（计算机系统结构专业论文）基于口令认证的密钥交换协议若干关键技术研究.pdf

， 、 - 卜 ad i s 一 - 独创性声明 本人声明，所呈交的学位论文是在导师的指导下完成的。论文中取得 的研究成果除加以标注和致谢的地方外，不包含其他人己经发表或撰写过 的研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工 作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表不谢 ：匕 思。 学位论文作者签名：彳研匆分弱 日期：沙厂7 。丫 i j 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 作者和导师同意网上交流的时间为作者获得学位后： 半年口一年巴一年半口两年口 学位论文作者签名：孝叩易怕 导师签名： 签字日期： 沙、弋 签字日期： 茹牡易 刀崾 l - ， r 、 i 于平衡模型提出了认证密钥交换协议2 d h e k e ，并在协议分析与设计模型c k 2 0 0 1 下证 明了该协议的安全性；除此以外，还分别提出了平衡模型和非平衡模型下的口令认证密 钥交换协议2 p a k e 和v b 2 p a k e ，并对协议的安全性进行了分析。 其次，对三方口令认证密钥交换协议的通用构造模型进行了改进，并依据此模型构 造出了新的三方口令认证密钥交换协议3 p a k e 及v b 3 p a k e 协议，并在形式化模型 b p r 2 0 0 0 下证明这两个协议能够满足对三方口令认证密钥交换协议的安全要求。 然后，对已有跨域环境下口令认证密钥交换协议存在的安全漏洞进行了分析，并相 应提出了基于公钥体制的4 p a k e 协议，及对称加密体制下的v b - 4 p a k e 协议。对协议 一i i i 东北大学博士学位论文摘要 的安全性分析和执行效率分析表明，4 p a k e 协议能够提供较好的安全性，但基于公钥体 制会给用户带来一定的负担，且代价昂贵；而v b 4 p a k e 协议相对于其它对称加密体制 下的跨域协议能进一步提高安全性且执行效率相当。 最后，本文对开放性网络环境中一组固定成员之间共享会话密钥的建立过程进行了 讨论研究，提出非平衡模型下口令认证组密钥交换协议v b n p a k e ，及基于双线性配对 密钥树的口令认证组密钥交换协议n p a k e - 。其中n p a k e 协议结合了树型结构，并且使 用双线性配对取代了一般组密钥交换协议中的幂指数运算，降低了运算复杂度，因此在 计算效率和通信效率等方面都有很大的提高。 关键词：密钥交换协议；双向认证；口令认证；验证值；平衡模型；非平衡模型；离散 对数问题；双线性配对；可证明安全 一一 - ， ， ； i 东北大学博士学位论文a b s t r a c t 、r e s e a r c ho nk e y t e c h n o l o g i e sf o rp a s s w o r d - a u t h e n t i c a t e dk e y 1 c h a n gprotocolsexciaange r o t o e e l s a bs t r a c t n e t w o r ki n f o r m a t i o ns e c u r i t yi s a l w a y s a ni m p o r t a n tt o p i co fg r e a tc o n c e r ni nt h e p o p u l a r i t ya n dd e v e l o p m e n to ft h en e t w o r ka p p l i c a t i o n s i d e n t i t ya u t h e n t i c a t i o ni su s u a l l yt h e b a s i ca n df i r s ts t e pi ne n s u r i n gas e c u r en e t w o r k u s e r sm u s tb ei d e n t i f i e da n da u t h e n t i c a t e d s 0t h a tt h e yc a nb ea c c o u n t a b l eo r 西v e ns p e c i f i cp r i v i l e g e s a f t e ra u t h e n t i c a t i o n ，t h en e x t q u e s t i o ni nt h eo p e nn e t w o r ke n v i r o n m e n t si sh o wt ob u i l das e c u r ec o m m u n i c a t i o nc h a n n e l t o p r o t e c tt h es e n s i t i v ei n f o r m a t i o nt r a n s m i t t e db e t w e e nu s e r s n em o s tg o n l m o na n d e f f e c t i v em e t h o df o rs o l v i n gt h i sp r o b l e mi n v o l v e sn e g o t i a t i n gas h a r e ds e s s i o n k e y t op r o v i d e d a t ap r i v a c y ap r o t o c o lt h a tp r o v i d e sb o t hi d e n t i t ya u t h e n t i c a t i o na n ds e s s i o nk e y n e g o t i a t i o n 啪m e e tt h es e c u r i t yr e q u i r e m e n t sm e n t i o n e da b o v ew h i c hi sr e f e r r e dt oa sa u t h e n t i c a t e d k e ye x c h a n g e ( a r e ) f u r t h e r m o r e ，t h eu s eo fp a s s w o r d si st h em o s tc o m m o na n dc o n v e n i e n ts o l u t i o nf o r i d e n t i t ya u t h e n t i c a t i o n , w h i c hh a sa t t r a c t e dw i d e s p r e a dc o n c e r t l a n da u t h e n t i c a t e dk e y e x c h a n g ep r o t o c o l sb a s e do np a s s w o r d s a r er e f e r r e dt oa sp a s s w o r d a u t h e n t i c a t e dk e y e x c h a n g e ( p a k e ) i np a k e ，u s e r ss h a r eap a s s w o r do rav e r i f i e rw i mt h es c r v e ra n dt h e s e t a e ru s e si tt oa u t h e n t i c a t et h eu s e r sw h i l eh e l p i n gt h e mt oa g r e eo nas e s s i o nk e yu n t i ln o w , m a n yp a k ep r o t o c o l sh a v eb e e np r o p o s e d h o w e v e r , t h e r ea r es t i l ls o m ei s s u e st h a tn e e dt o b ea d d r e s s e d ，e g h o wt oa c h i e v es t r o n ga u t h e n t i c a t i o nb yl 塔i n gal o w - e n t r o p yp a s s w o r d ， h o wt oa u t h e n t i c a t et h es e r v e r , h o wt or e s i s td i c t i o n a r ya t t a c k , h o wt oa c h i e v et h eb a l a n c e b e t w e e ne f f i c i e n c ya n ds e c u r i t y , a n dh o wt o p r o v i d ef o r m a lp r o o fa n da n a l y s i st os e c u r i t y p r o t o c o l s ，e t c t l l i sd i s s e r t a t i o nf o c u s e s0 1 1t h ea n a l y s i sa n dr e s e a r c ho fs e v e r a lk e yt e c h n o l o g i e sf o r 乳蟠 f i r s t l y , f o rt h em a n n e r so f t h ek e ys h a r e db e t w e e nt h eu s e ra n dt h es e r v e ri na k e ，t h e b a l a n c e dm o d e la n da u g m e n t e dm o d e la r ed e f i n e da n da n a l y z e dr e s p e c t i v e l y b a s e do nt h e b a l a n c e dm o d e l ，a l la k ep r o t o c o l2 d h e k ei nt h ec k 2 0 01s e c u r i t ym o d e li sp r e s e n t e da n d i t ss e c u r i t yi sp r o v e d i na d d i t i o n , t w op a k ep r o t o c o l s2 p a k ea n dv b 一2 p a k eb a s e do n v 一 东北大学博士学位论文 a b s t r a c t b a l a n c e dm o d e la n da u g m e n t e dm o d e lr e s p e c t i v e l ya r ep r o p o s e da n da n a l y z e d s e c o n d l y , t h eg e n e r i cs c h e m e f o rc o n s t r u c t i n gp a k ep r o t o c o lf o rt h r e e - p a r t i e si s i m p r o v e d b a s e do nt h i sc o n s t r u c t i n gs c h e m e ，t w on e wp a k ep r o t o c o l s 3 p a k ea n d v b 3 p a k ea r ep r o p o s e d a n di ti sp r o v e df o r m a l l yi nt h eb p r 2 0 0 0s e c u r i t ym o d e lt h a tt h e n e w p r o t o c o l sc a nm e e tt h es e c u r i t yr e q u i r e m e n t st ot h et h r e e - p a r t yp a s s w o r da u t h e n t i c a t e d k e ye x c h a n g ep r o t o c o l s t h i r d l y , t h es e c u r i t yv u l n e r a b i l i t i e so ft h ee x i s t i n gp a k ep r o t o c o l s a r ea n a l y z e di n c r o s s r e a l ms e t t i n g t oo v e r c o m et h ev u l n e r a b i l i t i e s ，a4 p a k ep r o t o c o li nt h ep u b l i ck e y s y s t e ma n dav b - 4 p a k ep r o t o c o l i nt h es y m m e t r i ce n c r y p t i o ns y s t e ma r ep r e s e n t e d r e s p e c t i v e l y b ya n a l y z i n gt h es e c u r i t ya n dp e r f o r m a n c e s ，i ti ss h o w nt h a t4 p a k ep r o t o c o l c a nr e s i s tm a n ya t t a c k s ，b u tb a s e do nt h ep u b l i ck e ys y s t e mp u t sac e r t a i nb u r d e na n dh e a v y c o s to i lt h eb s c i s a n dc o m p a r e dt oo t h e rp r o t o c o l si nt h es y m m e t r i ce n c r y p t i o ns y s t e m , v b 4 p a k ee n h a n c e st h es e c u r i t yw h i l eh a sc o m p a r a b l ee f f i c i e n c y f i n a l l y , t h eg r o u pp a k ep r o t o c o l si no p e nn e t w o r ke n v i r o n m e n t sa r ei n v e s t i g a t e d a v b n p a k ep r o t o c o lb a s e do nt h ea u g m e n t e dm o d e la n dan p a k e p r o t o c o lb a s e do n b i l i n e a rp a i r i n ga n dk e yt r e ea l ep r o p o s e d t h en p a k e p r o t o c o lc o m b i n e st h eh i e r a r c h i c a l s t r u c t u r ew i t ht h eb i l i n e a rp a i r i n ga l g o r i t h mi n s t e a do ft h ee x p o n e n t i a lo p e r a t o ri nc o m m o n n p a k ep r o t o c o l s ，w h i c hc a r lr e d u c et h ec o m p u t a t i o n a lc o m p l e x i t y t h e r e f o r e ，n p a k e p r o t o c o l h a sag r e a t l yi m p r o v e m e n ti nc o m p u t a t i o n a le f f i c i e n c ya n dc o m m u n i c a t i o n e f f i c i e n c y k e yw o r d s ：k e ye x c h a n g ep r o t o c o l ；m u t u a la u t h e n t i c a t i o n ；p a s s w o r d a u t h e n t i c a t e d ；v e r i f i e r ； b a l a n c e dm o d e l ；a u g m e n t e dm o d e l ；d i s c r e t el o g a r i t h mp r o b l e m ；b i l i n e a rp a i r i n g ；p r o v a b l e s e c u r i t y 一一 东北大学博士学位论文 目 录 目录 独创性声明i 摘要。i i i a b s t r a c t v 第1 章绪论1 1 1 引言1 1 1 1 安全协议概述1 1 1 2 安全协议的概念和分类2 1 1 3d o l e v - y a o 攻击者模型3 1 1 4 安全协议的设计原则3 1 2 基于口令认证的密钥交换协议5 1 2 1 基本概念5 1 2 2 研究背景5 1 2 3 国内外研究现状9 1 2 4 本课题组的研究1 0 1 2 5 存在的问题1 0 1 3 本文研究内容及主要贡献1 1 1 4 本文的组织结构1 2 第2 章相关理论基础1 5 2 1 数学基础1 5 2 1 1 群和有限域1 5 2 1 2 椭圆曲线上的双线性配对1 7 2 1 3 安全协议的数学假设1 8 2 2 密码技术简介1 9 2 2 1 对称密码体制1 9 2 2 2 公钥密码体制2 0 2 2 3 哈希函数2 1 2 2 4 消息认证码2 2 2 3 基本密钥交换协议2 3 2 3 1d i 伍e h e l l m a n 密钥交换协议2 3 2 3 2j o u x 的三方密钥交换协议2 4 v i i - 东北大学博士学位论文 目 录 2 3 3 基于口令认证的密钥交换协议2 4 2 4 可证明安全的模型及分析理论2 9 2 4 1 攻击模型3 0 2 4 2 新鲜性31 2 4 3 安全定义3 2 2 4 4b r 模型3 3 2 4 5c k 模型3 5 2 5 本章小结3 6 第3 章两方认证密钥交换协议3 7 3 1 认证密钥交换协议的模型3 7 3 2 平衡模型下的两方认证密钥交换协议3 7 3 2 1 回顾a d d m a ( e k e 2 ) 协议3 7 3 2 2 构造会话密钥安全的认证密钥交换协议。3 8 3 2 3 基于口令认证的改进协议2 p a k e 4 3 3 2 4 平衡模型下的安全漏洞4 6 3 3 非平衡模型下的两方认证密钥交换协议4 7 3 3 1 基于验证值的v b 2 p a k e 协议4 7 3 3 2v b 2 p a k e 协议的安全性分析一4 8 3 3 3 非平衡模型的安全性5 1 3 4 效率分析51 3 5 本章小结5 2 第4 章三方p a k e 协议的构造及证明。5 3 4 1 三方密钥交换协议5 3 4 1 1 可信任第三方5 3 4 1 2 三方密钥交换协议的运行模式5 3 4 1 3 基于口令认证的三方密钥交换协议的通用构造模型5 4 4 2 新的三方口令认证密钥交换协议5 5 4 2 1 基于口令认证的3 p a k e 协议5 5 4 2 2 基于验证值的口令认证协议v b 3 p a k e 5 7 4 3 新三方协议的安全性证明5 9 4 3 1 安全模型5 9 4 3 2 安全定义6 8 v i i i - 东北大学博士学位论文 目录 4 3 33 p a k e 协议的安全性证明6 9 。 4 3 4v b 3 p a k e 协议的安全性证明7 3 4 4 安全性比较及效率分析7 4 4 4 1 安全性比较7 4 4 4 2 效率分析7 5 4 5 本章小结7 5 第5 章跨域密钥交换协议7 7 5 1 跨域协议概述7 7 5 2 回顾e c 2 c p a ka 协议7 8 5 2 1 协议描述7 8 5 2 2e c 2 c p a k a 协议的安全漏洞分析8 0 5 3 基于公钥体制的4 p a k e 协议8 2 5 3 1 协议描述8 3 5 3 2 安全性分析8 4 5 4 基于口令认证的v b - 4 p a k e 协议8 6 5 4 1 协议描述8 7 5 4 2 安全性分析8 9 5 4 3 效率分析一9 2 5 5 本章小结9 3 第6 章组密钥交换协议9 5 6 1 组密钥交换协议概述9 5 6 2v b n p a k e 组密钥交换协议9 6 6 2 1 初始化参数9 6 6 2 2 协议的建立过程9 7 6 2 3 安全性分析10 2 6 3 基于双线性配对密钥树的口令认证组密钥交换协议1 0 4 6 3 1 基于双线性配对的密钥树1 0 4 6 3 2 协议描述。1 0 6 6 3 3 安全分析。1 0 8 6 3 4 效率分析。1 0 9 6 4 本章小结110 第7 章总结与展望111 一一 目录 1l1 1l1 11 ：! 1l ! ； 1 2 5 的论文及科研情况1 2 6 1 2 7 一x 一 东北大学博士学位论文 第1 章绪论 1 1 引言 1 1 1 安全协议概述 第1 章绪论 随着信息技术和网络技术的飞速发展，信息网络的广泛应用已成为社会进步和发展 的重要标志之一。信息网络给人们的生活带来了巨大的便利，但同时也使人们日益感受 到其背后潜伏着的不安全因素。越来越多的病毒、黑客、网络犯罪正在不断的给网络用 户造成危害和损失。信息网络的安全问题及其对经济发展、国家安全和社会稳定的重大 影响，正日益地显现出来，受到越来越多的关注。中国工程院院士沈昌祥曾经做过这样 的比喻，“如果我们把信息系统比成一个人，那么芯片就是细胞，电脑就是大脑，网络 是神经，智能是营养，信息是血浆。那么，我认为更重要的是，信息安全是人体的免疫 系统。正因为信息安全具有如此重要的战略地位，信息安全已经成为信息社会急需解 决的最重要问题之一。人们己经越来越清楚的意识到，信息安全是信息化的基础工作， 将直接影响国民经济的健康发展；没有信息安全作保障，信息网络这个美丽的大厦随时 可能倒塌。 信息安全是一个综合、交叉的学科领域，它要综合利用数学、物理、通信和计算机 诸多学科的长期知识积累和最新发展成果，进行自主创新研究，加强顶层设计，提出系 统的、完整的、协同的解决方案【l 】。其主要研究内容包括：密码理论与技术、安全协议 理论与技术、安全体系结构理论与技术、信息对抗理论与技术、网络安全与安全产品。 其中对安全协议的研究建立在密码理论与技术之上，安全协议是网络信息系统中内部与 内部用户之间、内部与外部用户之间通信的协议规则，可以达到身份认证、密钥交换等 目的，从而实现用户之间安全共享网络资源的需求。目前，安全协议在金融、商务、政 务、军事和社会生活等诸多分布式网络系统中的应用已经日益普遍，而安全协议的设计 和分析仍然是一件非常复杂而困难的工作。多数安全协议的设计都包含消息传递，而每 个消息都经过精心设计，消息之间存在着复杂的相互作用和制约关系；同时，安全协议 中可能使用了多种不同的密码体制。而正是安全协议这种复杂的设计过程同时也导致了 多数的安全协议都存在一定安全漏洞，并不如它们的设计者所期望的那样安全，据协议 分析专家g a v i nl o w e 估计，超过半的公开协议事实上不能保证它们的安全性目标【2 j 。 东北大学博士学位论文第1 章绪论 从另一个方面来说，随着技术的不断更新，网络系统会不断面临各种新旧攻击手段的威 胁，如拒绝服务和流量分析等，这种情况就使得攻击者可以利用现有安全协议自身的缺 陷来实施各种各样的攻击，从而达到破坏网络信息安全的目的。因此，对安全协议的设 计也要不断更新、不断改进，使其能够更有效、更安全的解决信息网络的应用需求问题。 1 1 2 安全协议的概念和分类 安全协议( s e c u r i t yp r o t o c 0 1 ) 也被称为密码协议，是建立在密码体制基础上的一种 交互通信协议，它运行在计算机通信网或分布式系统中，运用密码算法和协议逻辑来达 到身份认证、密钥交换等目的【3 1 。安全协议的参与者可能是可以信任的人，也可能是攻 击者或完全不信任的人。 在网络通信中最常用、最基本的安全协议，按照协议所要达到的目的不同，可以分 为以下几类【4 】： ( 1 ) 认证协议 认证协议包括实体认证( 身份认证) 协议、消息认证协议、数据源认证协议和数据 接收认证协议等，用于防止假冒、篡改、否认等攻击。 ( 2 ) 密钥交换协议 密钥交换协议用于完成交互系统间的共享秘密，即会话密钥的建立。一般情况下是 在参与协议的双方或多方之间建立共享的密钥。协议中的密码算法可以采用对称密码体 制，也可以采用非对称密码体制。密钥交换协议通常与认证协议结合在一起使用。 ( 3 ) 认证密钥交换协议 认证密钥交换协议是认证协议和密钥交换协议的结合。这类协议先对通信实体的身 份进行认证，在实体身份被确认的基础上，再为下一步的安全通信建立实体间的会话密 换协议有互联网密钥交换( 江) 协议、分 一2 对d - y 模型的不足之处，很多学者也提出了相应的改进策略，如a n a l y z 操作和s y m t h 操作刀以及消息产生器【8 】等。 但尽管如此，d y 模型仍然被广泛采纳为安全协议的标准攻击模型，目前的模型检 测和定理证明技术也大都基于d y 模型。 1 1 4 安全协议的设计原则 安全协议的设计，一方面要具有足够的复杂性以抵御各种攻击；另一方面，还要使 协议尽量保持足够的简单性和高效率，以便用于较差的网络环境。1 9 9 6 年，a b a d i 和 n e e d h a m 提出了安全协议设计的基本原则p 】： 明确的通信：每条消息都应明确表达其用意，一条消息的解释应完全依赖于其 内容，而不必借助上下文来推断； 一3 一 东北大学博士学位论文第1 章绪论 前提准确：与消息的执行相关的前提条件应明确给出，并且其正确性与合理性 能够得到认证，由此可判断消息是否能够被接受； 主体身份的标识：如果一个主体的身份对于某个消息的含义是重要的，则要在 消息中明确给出该主体的标识； 明确密码算法的目的：明确所采用的密码算法的目的，否则将造成冗余； 加密数据的签名：当主体对一个加密信息进行签名时，并不表明主体知道消息 的内容；反之，如果主体对一消息签名后再加密，则表明主体知道消息的内容； 因此，要注意加密和签名的顺序； 随机数的使用：使用随机数可提供消息的新鲜性； 时间戳的使用：使用时间戳必须考虑各种机器的时钟差异，而这种差异不应影 响协议执行的有效性； 编码原n - 如果编码用于表示消息的含义，则应指出所使用的具体编码格式。 对上述基本原则归纳起来，要设计能够满足安全性、有效性、完整性和公平性的安 全协议，应注意以下设计规则【1 0 】： ( 1 ) 采用一次性随机数代替时间戳：时间戳要求各实体之间采用同步认证机制， 即各实体之间要严格保持时钟同步。但在有些网络环境中很难实现时钟同步，例如一些 a dh o e 网络中。因此，以一次性随机数代替时间戳，实现实体间的异步认证； ( 2 ) 具有抵御常见攻击的能力：对所设计的协议，必须能够证明它们对于一些常 见的攻击方法是安全的； ( 3 ) 适用于任何数据处理能力：所设计的协议不仅能够在计算机上使用，还应能 够在具有较低数据处理能力的智能卡上使用。因此，在不影响安全性的情况下，协议中 应尽量减少密码运算的使用，保证计算效率； ( 4 ) 适用于任何网络结构：所设计的协议应独立于网络； ( 5 ) 协议可以采用任何密码算法：协议应采用已知的或具有代表性的密码算法。 算法可以是对称加密算法，也可以是非对称加密算法； ( 6 ) 协议设计应便于进行功能扩充：所设计的协议对各种不同的通信环境具有很 高的灵活性，允许进行一定的功能扩充； ( 7 ) 最少的安全假设：在进行协议设计时，常常首先对网络环境或基本的密码算 法进行风险分析，做出适当的初始安全假设。例如，假设各通信实体应该相信各自产生 的密钥是最好的，或者假设网络中心的认证服务器是可信赖的，或者假设离散对数问题 是不可解的，等等。但是初始假设越多，协议的安全性就越差。因此应尽可能减少初始 一4 一 东北大学博士学位论文 第1 章绪论 安全假设的数目。 1 2 基于口令认证的密钥交换协议 1 2 1 基本概念 文献【1 1 】将基于口令认证的密钥交换协议定义为：两个独立的通信实体之间基于一 个共享口令建立安全通信信道的过程。本节对该定义进行了扩展给出如下定义： 基于h 令认证的密钥交换( p a s s w o r d - a u t h e n t i c a t e dk e ye x c h a n g e ，p a k e ) 协议， 是指在开放的网络环境中，两个或多个彼此独立的通信实体之间以口令认证机制为基 础，通过密钥交换协议协商出共享会话密钥，建立起安全通信信道的过程。 由定义可知，基于口令认证的密钥交换协议应该实现传统密钥交换协议的基本功 能，包括： ( 1 ) 双向认证：即协议的发起方和接收方都要验证对方的身份； ( 2 ) 密钥交换：在协议完成时，参与方都能产生只有彼此知道的会话密钥，用来 保护后继的会话。 1 2 2 研究背景 1 2 2 1 会话密钥 开放系统中的通信主体数量往往非常庞大，一个主体要维持和系统中所有其他主体 间的通信状态是极其困难的，这就要求参与主体采用“交互遗忘 的通信模式。而如 果已经“遗忘 的两个主体希望在开放系统中进行安全通信，则首先需要在他们之间建 立一条安全的通信信道，以保护双方通信过程中的敏感信息。 对信息加密通常是保护这些信息所采用的重要手段。而加密信息时所使用的密钥可 以是实体间共享的长期密钥，也可以是一个临时密钥。现实世界中，一个主体同时与多 个不同的主体建立并行会话是很常见的事。而在开放的网络环境中要为每一个会话提供 一条安全的通信信道，就要求每个加密密钥都应该是新鲜的并且唯一的。因此，临时的 加密密钥看起来更适合上述的安全服务。相比实体间共享的长期密钥，临时密钥的优势 很明显 4 1 ： ( 1 ) 减少攻击者获取到的能够发起密码攻击的有用信息； ( 2 ) 当密钥丢失时，减少所暴露的信息数量，降低损失； ( 3 ) 可以使不同的、不相关的会话保持独立性； 一5 一 东北大学博士学位论文第1 章绪论 ( 4 ) 能够提高效率，例如，如果长期密钥基于公钥密码体制，则使用对称密码体 制下的临时密钥就能带来可观的效率。 如何生成通信双方都知道且只有他们知道的临时加密密钥，就是密钥交换协议要解 决的问题。其中的临时加密密钥是在每次协议结束时产生，也被称为会话密钥。在完成 由密钥交换协议支撑的安全通信之后，通信双方应立即删除所建立的信道，即参与主体 把支撑安全信道的会话密钥遗忘。 由此，本文给出会话密钥的正式定义。 会话密钥( s e s s i o nk e y ，s k ) 是要进行通信的主体之间的临时密钥。该临时密钥只 在参与通信的主体之间共享，且只能用于通信主体间对当次会话消息进行加密，会话结 束则该临时密钥失效。因为加密会话消息都采用对称加密算法，因此会话密钥也被称作 对称密钥。 1 2 2 2 身份认证 认证密钥交换协议的攻击者包括未经授权而企图获益的攻击者或共谋者。他们发动 的攻击可能会造成严重的后果，例如，获得敏感信息或密钥，或者攻击者成功地欺骗某 个参与者并与其建立会话密钥，从而造成重大损失。通常，如果某个主体断定自己和对 方正常运行了协议，而对方却有不同的结论，那么就认为该协议存在着漏洞。因此，对 通信方身份的认证也是需要重点讨论的问题。 协议中的身份认证( i d e n t i t ya u t h e n t i c a t i o n ) 是指参与协议的一方通过获得某种确凿 的证据来相信参与协议的另一方的身份，并确认对方真正参与了整个协议的运行3 1 。 以密码学中的经典人物a l i c e 和b o b 为例，身份认证的主要目的如下： 诚实主体a l i c e 可以成功地向另一方主体b o b 证实自己的身份； b o b 不能重复使用和a l i c e 交换的身份识别信息来假冒a l i c e 和第三方完成协议 的运行； 任何人都不能假冒a l i c e 来和b o b 完成协议； 可用于身份认证的技术分为基于物理形式和基于密码技术两大类。基于物理形式的 身份识别又可分为3 类【1 2 】： 用户实体所知道的 证明方输入后由验 用户实体所拥有的 用户实体本身的特 基于密码技术的身份认 东北大学博士学位论文 第1 章绪论 一答 来确认对方的身份，如挑战应答协议、零知识证明协议、k e r b e r o s 认证协议等。 1 2 2 3 双向认证 随着i n t e m e t 的快速增长，传统的用户认证( 只有服务器对用户进行身份认证) 在 分布式开放网络环境中已经存在明显的不足。目前，已经有越来越多的服务器成为企业 与外界沟通的工具，或成为产品信息的发布平台，或作为商业的交易平台。而这些位于 开放环境中的公开服务器都很容易受到攻击而被假冒。因此，除了服务器要验证用户的 身份以外，用户也应该要验证服务器的真实性。如果没有对服务器的适当认证，用户则 不能确定是否已经连接到一台真实服务器或由攻击者操纵的假冒服务器。在这种情况 下，用户则很有可能会收到错误的消息，却认为消息源于可信服务器而就此采取行动； 甚至，用户还有可能会向假冒服务器提供自己的敏感信息，如信用卡号码、口令等。因 此，在分布式开放网络环境中理想的认证方式应该是双向认证。 文献 1 3 1 将双向认证( m u t u a la u t h e n t i c a t i o n ) 定义为通信过程中，通信主体之间相 互确认对方的身份及消息的完整性和新鲜性等的过程。通常，一个通信实体产生新鲜的、 经过加密的挑战发送给对方实体，而对方实体将该挑战包含在加密的应答中返回给发送 方，从而实现双向认证。其中，挑战和应答中可以使用随机数或时间戳来保证其新鲜性。 加密密钥为通信双方共享的密钥。 1 2 2 4 口令认证 多数的认证密钥交换协议都需要协议的参与方之间要有一个共享密钥，共享密钥可 用于认证身份或加密消息。密钥可以是长密钥，一般都在6 4 比特以上。长密钥看起来 都是随机数，因此对人脑来说难以记忆，而如果把它们写在纸上，或保存在硬盘上，又 增加了泄露密钥的危险。相比较之下，因为口令简单而容易记忆，因此而成为用户使用 最广泛的共享密钥。另外，用户可以自己选择口令，而无需使用其他辅助策略来产生或 储存它。 但基于口令认证的协议也容易存在安全隐患，因为人们往往倾向于选择生日、姓名、 单词等容易记忆的字符串作为口令。调查表明，在英语国家有2 5 的口令是英文单词， m o r r i st h o m p s o n 1 4 】发现穷举搜索一部字典，可以在5 分钟之内发现1 3 的e l 令：1 9 9 9 年，中科院信息安全中心的s a m s a 根据中国人的常见姓氏和人名的常用字，设计了一部 专用字典，用它发现了某服务器中所保存的约1 2 的e l 令。很显然，这样很容易方便攻 击者进行口令猜测攻击( p a s s w o r dg u e s s i n ga t t a c k s 1 4 1 ) 。 使用口令如此危险，但它却依然是目前系统、网络等各种验证系统中主要所采用的 身份认证方式。因为基于口令认证是最经济、最实用的安全机制之一，同指纹认证、虹 一7 东北大学博士学位论文 第1 章绪论 膜认证等基于生物特征的认证机制相比，1 2 1 令认证机制具有数据量小、速度快等优点； 并且口令认证非常容易实现，多数用