無線通信安全作業(yè)_第1頁
無線通信安全作業(yè)_第2頁
無線通信安全作業(yè)_第3頁
無線通信安全作業(yè)_第4頁
無線通信安全作業(yè)_第5頁
已閱讀5頁,還剩28頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

基于身份的認(rèn)證密鑰協(xié)商協(xié)議目錄概述技術(shù)背景密鑰協(xié)商協(xié)議安全屬性雙線性對BDDH假設(shè)Smart協(xié)議ID-BJM模型王等人的協(xié)議基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCD-1方案及其安全性分析基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCD-2方案及其安全性分析基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCX方案及其安全性分析安全增強(qiáng)的身份基認(rèn)證密鑰協(xié)商協(xié)議及這種新方案的安全性分析結(jié)束語1.概述無線通信中的安全問題受到越來越多的重視,加解密的應(yīng)用也越來越廣泛。隨之帶來的密鑰安全問題顯得尤為重要。密鑰協(xié)商協(xié)議作為產(chǎn)生密鑰的一種方式,必須能夠提供保證信息的安全性。同時(shí)為了協(xié)議更適合在實(shí)際中應(yīng)用,協(xié)議的計(jì)算開銷應(yīng)盡可能的小。在通信過程中使用認(rèn)證密鑰協(xié)商協(xié)議可以使2個(gè)通過不安全信道通信的用戶協(xié)商達(dá)成一個(gè)共享的會話密鑰,還能讓這2個(gè)用戶彼此認(rèn)證對方的身份。協(xié)商得到的會話密鑰可以為后續(xù)的通信會話提供保密、認(rèn)證或者完整性等安全服務(wù)。2.技術(shù)背景密鑰協(xié)商協(xié)議安全屬性(1)已知會話密鑰安全性。已知舊的會話密鑰不會影響其他會話密鑰的安全性。(2)前向安全性和完美前向安全性。如果一方或多方參與實(shí)體的長期私鑰泄露,攻擊者不能有效計(jì)算舊的會話密鑰,稱之為部分前向安全性;如果所有參與實(shí)體的長期私鑰泄露,攻擊者仍然不能有效計(jì)算舊的會話密鑰,稱之為完美前向安全性。(3)PKG前向安全性。在基于身份的密鑰協(xié)商協(xié)議中,攻擊者即使獲得私鑰產(chǎn)生中心PKG的主密鑰,仍然無法計(jì)算參與實(shí)體的會話密鑰。2.技術(shù)背景(4)抗密鑰泄露偽裝。一個(gè)參與實(shí)體A的長期密鑰泄露將使得攻擊者可以偽裝A,但不應(yīng)導(dǎo)致攻擊者可以偽裝成其他實(shí)體與A進(jìn)行成功的密鑰協(xié)商。(5)無密鑰控制(密鑰完整性)。參與實(shí)體的任何一方或者第三方都不能在協(xié)議執(zhí)行結(jié)束時(shí)使得會話密鑰成為其預(yù)先選定的值。由于一輪兩方隱式認(rèn)證密鑰協(xié)商協(xié)議的特殊性,協(xié)議交互的響應(yīng)方總是在收到協(xié)議發(fā)起方的交互消息之后產(chǎn)生響應(yīng)消息的,因而響應(yīng)方天生具備比發(fā)起方更多的主動性,這種不公平性導(dǎo)致不可能實(shí)現(xiàn)真正意義上的無密鑰控制。但是最終會話密鑰的生成一定是雙方共同貢獻(xiàn)產(chǎn)生的。對于攻擊者而言,同樣不能控制協(xié)商的會話密鑰,通常我們將對應(yīng)于攻擊者的密鑰控制歸結(jié)到會話密鑰完整性的要求。2.技術(shù)背景(6)抗未知密鑰共享。一個(gè)參與實(shí)體A不應(yīng)被強(qiáng)迫與一個(gè)實(shí)體C實(shí)現(xiàn)共享會話密鑰,而實(shí)際上參與實(shí)體A卻認(rèn)為他是在和一個(gè)參與實(shí)體B完成的密鑰協(xié)商。(7)消息獨(dú)立性。兩方或多方參與會話密鑰協(xié)商的實(shí)體交互的消息應(yīng)是獨(dú)立產(chǎn)生并交互的,不受其他方的制約和強(qiáng)迫。顯然在單輪兩方密鑰協(xié)商協(xié)議中消息之間是獨(dú)立的,但是在帶有密鑰確認(rèn)的多輪密鑰協(xié)商協(xié)議中不能保證獨(dú)立性,用于密鑰確認(rèn)的消息一定與對方發(fā)送的消息相關(guān)聯(lián)。該安全屬性不適用于帶有密鑰確認(rèn)的密鑰協(xié)商協(xié)議。(8)已知會話相關(guān)臨時(shí)秘密信息安全性。當(dāng)參與實(shí)體在一次會話密鑰協(xié)商過程中使用的臨時(shí)秘密信息(短期密鑰)泄露后(但長期私鑰未泄露),不應(yīng)當(dāng)影響到會話密鑰的安全性。雙線性對設(shè)G1、G2分別是階為素?cái)?shù)p的加群和乘群,P為G1的一個(gè)生成元。雙線性對 :G1×G1G2為具有如下性質(zhì)的映射:(1)雙線性對所有的P,Q,R∈G1,a,b∈Z*q,存在(P+Q,R)=(P,R)(Q,R),(P,Q+R)=(P,Q)(P,R),(aP,bR)=(P,Q)ab。(2)非退化性(P,Q)≠1,1是G2的單位元。(3)可計(jì)算性對所有的P,Q∈G1,存在有效算法可以計(jì)算(P,Q)。BDDH假設(shè)設(shè)P,aPe,(P,P)bc,abcP,rP∈G1,其中,a,b,c,r∈Z*q。在多項(xiàng)式時(shí)間內(nèi)無法證明(P,aP,(P,P)bc,abcP)=(P,aP,(P,P)bc,rP)。Smart協(xié)議Smart運(yùn)用了雙線性對的知識提出了一個(gè)基于身份的認(rèn)證密鑰協(xié)商協(xié)議——Smart協(xié)議。在Smart協(xié)議中,用戶A選擇一個(gè)一次性密鑰a∈Ζ*q,計(jì)算TA=aP,并發(fā)送TA

給用戶B。同樣,用戶B選擇一個(gè)一次性密鑰b∈Ζ*q,計(jì)算TB=bP,并發(fā)送TB

給用戶A。然后,用戶A計(jì)算KAB

=

(SA,TB)(aQB,Ps),用戶B計(jì)算KBA

=(SB,TA)(aQA,Ps)。這樣,兩個(gè)用戶就得到了一個(gè)相同的密鑰:K=KAB=KBA

=(bQA+aQB,Ps)。

該協(xié)議提供了已知密鑰安全性、部分前向保密性、未知密鑰共享安全性、密鑰泄漏安全性和密鑰控制安全性。ID-BJM模型1993年Bellare和Rogaway提出基于隨機(jī)預(yù)言機(jī)的安全模型。在該模型中,散列函數(shù)被模擬為隨機(jī)預(yù)言機(jī),隨機(jī)預(yù)言機(jī)模型在很多方案的安全性證明中起到了關(guān)鍵作用。但是,近年來人們逐漸認(rèn)識到某些在隨機(jī)預(yù)言機(jī)模型下可證明安全的方案在實(shí)際應(yīng)用中并不安全,因?yàn)樯⒘泻瘮?shù)不能真正模擬隨機(jī)預(yù)言機(jī)。因此,在不借助隨機(jī)預(yù)言機(jī)的標(biāo)準(zhǔn)模型下可證明安全的方案更具有實(shí)際意義。ID-BJM模型Chen等人的協(xié)議首次在隨機(jī)預(yù)言機(jī)模型下證明其安全性,但他們的協(xié)議也不滿足完善前向安全性和PKG前向安全性。ID-BJM模型下安全的認(rèn)證密鑰協(xié)商協(xié)議的安全性定義包含了已知密鑰安全性、未知密鑰共享安全性、抗被動攻擊和主動攻擊、抗密鑰泄露偽裝性和無密鑰控制性等基本的安全屬性。該模型包括了一個(gè)協(xié)議參與者集合U和一個(gè)主動攻擊者E。每個(gè)參與者被模擬為一組預(yù)言機(jī)(Oracle),預(yù)言機(jī)指協(xié)議的參與者I與J之間會話的第n個(gè)實(shí)例。攻擊者被定義為一個(gè)概率多項(xiàng)式時(shí)間圖靈機(jī),并能訪問模型中所有的預(yù)言機(jī)。對于良性(benign)的攻擊者,它只是誠實(shí)地傳遞預(yù)言機(jī)之間的信息。ID-BJM模型定義1會話標(biāo)識符SID:預(yù)言機(jī)發(fā)送和接收的所有消息的串聯(lián)。定義2搭檔預(yù)言機(jī)PID:若2個(gè)預(yù)言機(jī)和在同意(accept)狀態(tài)時(shí)有相同的會話標(biāo)識符SID,則稱和互為搭檔預(yù)言機(jī),I和J互為搭檔。通過定義挑戰(zhàn)者C與敵手E之間的游戲來定義密鑰協(xié)商協(xié)議的安全性。挑戰(zhàn)者C可以模擬所有的預(yù)言機(jī),密鑰生成中心PKG和隨機(jī)預(yù)言機(jī),產(chǎn)生主密鑰和所有的系統(tǒng)參數(shù),并為參與者I產(chǎn)生私鑰SI

。攻擊者E允許進(jìn)行下列預(yù)言機(jī)查詢(Oraclequery)。ID-BJM模型1)Send(I,J,n,M)查詢:E可以向預(yù)言機(jī)發(fā)送消息M,該預(yù)言機(jī)按照協(xié)議規(guī)范應(yīng)答一個(gè)響應(yīng)消息m,預(yù)言機(jī)將每個(gè)收到和發(fā)出的消息都記入它的運(yùn)行腳步記錄中。若預(yù)言機(jī)收到的第一條消息M≠φ,那么該預(yù)言機(jī)作為發(fā)起者(initiator)發(fā)起一次會話;否則,它擔(dān)任響應(yīng)者(responder)的角色。Reveal()查詢:收到此查詢的預(yù)言機(jī),返回它協(xié)商得到的會話密鑰。如果該預(yù)言機(jī)的狀態(tài)還不是“已接受”(accpted),那么它返回一個(gè)符號⊥表示終止。執(zhí)行了Reveal查詢的預(yù)言機(jī)狀態(tài)是打開的(opened)。Corrupt(I)查詢:此查詢要求被詢問的協(xié)議參與者I返回它擁有的長期私鑰SI。相應(yīng)地,回答過Corrupt查詢的實(shí)體的狀態(tài)被稱為“已腐化”(corrupted)。Corrupt(PKG)查詢:此查詢要求返回系統(tǒng)主密鑰。Test()查詢:在游戲的某個(gè)時(shí)刻,E可以向一個(gè)“新鮮”的預(yù)言機(jī)發(fā)出Test查詢,E將收到該預(yù)言機(jī)所擁有的會話密鑰或者一個(gè)隨機(jī)值。該預(yù)言機(jī)通過投擲一枚公平硬幣b∈{0,1}來回答此查詢:若投幣結(jié)果為0,那么它返回自己協(xié)商獲得的會話密鑰;否則,它返回會話密鑰空間{0,1}k

上的一個(gè)隨機(jī)值。這里,k表示會話密鑰的比特長度。ID-BJM模型在游戲的第2階段,E可以繼續(xù)針對預(yù)言機(jī)進(jìn)行Send,Reveal和Corrupt查詢。E所受到的限制為:它不能對它所選被測試的預(yù)言機(jī)及其搭檔預(yù)言機(jī)(若搭檔預(yù)言機(jī)存在的話)進(jìn)行Reveal查詢。另外,E也不能對被測試參與者的意定伙伴進(jìn)行Corrupt查詢。輸出:最后,E輸出一個(gè)對b的判斷(記為b‘)。若b’=b,那么稱E贏得了此游戲。文中定義E獲勝的優(yōu)勢概率為AdvE(l)=2Pr[b‘=b]?1(l為安全參數(shù))。定義3新鮮預(yù)言機(jī):預(yù)言機(jī)在同意(accept)狀態(tài)(因此得到一個(gè)會話密鑰)是未打開的,其搭檔預(yù)言機(jī)也未打開,搭檔J沒有被腐化,則預(yù)言機(jī)是新鮮的(fresh)。定義4ID-BJM模型下安全的認(rèn)證密鑰協(xié)商協(xié)議,若協(xié)議滿足下列性質(zhì):1)只存在良性攻擊者的情況下,預(yù)言機(jī)與其搭檔預(yù)言機(jī)在接受狀態(tài)時(shí)得到相同的會話密鑰SK,且均勻分布在密鑰空間{0,1}k

上。2)游戲結(jié)束后,敵手E成功的優(yōu)勢AdvE

(l)是可忽略的。稱該協(xié)議為ID-BJM模型下安全的認(rèn)證密鑰協(xié)商協(xié)議。3.王等人的協(xié)議王圣寶等人給出的一個(gè)會話密鑰托管模型下的基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCD-1方案和一個(gè)無會話密鑰托管模型下的基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCD-2方案。WCD-1方案直接利用Gentry公鑰加密方案構(gòu)造,該方案巧妙地利用了公鑰加密方案中為保證明文加解密安全而采用的隨機(jī)盲化方法以達(dá)成在加密方和解密方安全傳遞秘密,該方法正好可以利用來實(shí)現(xiàn)密鑰協(xié)商,而不需要真正的加解密手段實(shí)現(xiàn)密鑰協(xié)商,因而有較高的計(jì)算效率。WCD-2方案對WCD-1方案進(jìn)行了改進(jìn),改進(jìn)方法試圖引入PKG不可計(jì)算部分,以達(dá)到無會話密鑰托管的目的。WCD-1方案及安全屬性分析(1)系統(tǒng)建立階段:PKG隨機(jī)選取兩個(gè)生成元g,h∈G1和α∈Zp,計(jì)算g1=gα。系統(tǒng)公開參數(shù)為(g,g1,h),系統(tǒng)主密鑰為α,H2為會話密鑰抽取函數(shù)。(2)私鑰生成階段:對給定身份ID∈Zp,隨機(jī)選擇hID∈Zp,計(jì)算身份的私鑰dID=<rID,hID>,其中hID=(hg-rID)1/α-ID。對每一個(gè)身份ID選擇固定的rID。(3)密鑰協(xié)商階段:假設(shè)IDA與IDB進(jìn)行會話密鑰協(xié)商。令gA=g1g-IDA,gB=g1g-IDB和tT=e(g,g)。協(xié)議過程如下:IDA隨機(jī)選擇x∈Zp,計(jì)算TA1=gxB,TA2=txT,將TA=TA1‖TA2發(fā)送給IDB;IDB隨機(jī)選擇y∈Zp,計(jì)算TB1=gyA,,TB2=tyT,將TB=TB1‖TB2發(fā)送給IDA;IDA計(jì)算共享秘密:KAB=e(TB1,hA)·(TB2)rA·e(g,h)x;IDB計(jì)算共享秘密:KBA=e(TA1,hB)·(TA2)rB·e(g,h)y;由以上等式容易看出KAB=KBA=e(g,h)x+y,從而IDA與IDB可以計(jì)算出相同的會話密鑰:sk=H2(IDA‖IDB‖TA‖TB‖e(g,h)x+y)WCD-1方案及安全屬性分析顯然方案最終會話密鑰只關(guān)聯(lián)于臨時(shí)秘密x和y的選取。只掌握長期密鑰的情況下可以很容易計(jì)算最終的會話密鑰,而不具備完美前向安全性,只具有部分前向安全性;只掌握臨時(shí)秘密的情況下同樣可以很容易計(jì)算出共享會話密鑰,因而不具備已知會話相關(guān)臨時(shí)秘密信息安全性;由于PKG掌握系統(tǒng)主密鑰,容易計(jì)算得到實(shí)體的長期私鑰,進(jìn)而可以容易地計(jì)算實(shí)體的會話密鑰,從而不具有PKG前向安全性,只能用于會話密鑰托管環(huán)境中。WCD-2方案及安全屬性分析(1)系統(tǒng)建立階段:PKG隨機(jī)選取三個(gè)生成元g,h,t∈G1和α∈Zp,計(jì)算g1=gα。系統(tǒng)公開參數(shù)為(g,g1,h,t),系統(tǒng)主密鑰為α,H2為會話密鑰抽取函數(shù)。(2)私鑰生成階段:對給定身份ID∈Zp,隨機(jī)選擇rID∈Zp,計(jì)算身份的私鑰dID=<rID,hID>,其中hID=(ht-rID)1/α-ID。對每一個(gè)身份ID選擇固定的。(3)密鑰協(xié)商階段:假設(shè)IDA與IDB進(jìn)行會話密鑰協(xié)商。令gA=g1g-IDA,gB=g1g-IDB和tT=e(g,t)。協(xié)議交互過程如下:IDA隨機(jī)選擇x∈Zp,計(jì)算TA1=gxB,TA2=txT,將TA=TA1‖TA2發(fā)送給IDB;IDB隨機(jī)選擇y∈Zp,計(jì)算TB1=gyA,,TB2=tyT,將TB=TB1‖TB2發(fā)送給IDA;IDA計(jì)算共享秘密:KAB1=e(TB1,hA)·(TB)rA·e(g,h)x,KAB2=TxB2IDB計(jì)算共享秘密:KBA1=e(TA1,hB)·(TA2)rB·e(g,h)y,KBA2=TyA2從以上公式容易看出KAB1=KBA1=e(g,h)x+y與KAB2=KBA2=e(g,t)xy,從而IDA與IDB可以計(jì)算出相同的會話密鑰:sk=H2(IDA‖IDB‖TA‖TB‖e(g,h)x+y‖e(g,t)xy)WCD-2方案密鑰協(xié)商階段圖ABXyKAB1=e(TB1,hA)·(TB2)rA·e(g,h)x

KBA1=e(TA1,hB)·(TA2)rB·e(g,h)yKAB2=TxB2

KBA2=TyA2skA=H(A|B|TA|TB|KAB1|KAB2)skB=H(A|B|TA|TB|KBA1|KBA2)

TA=TA1|TA2TB=TB1|TB2對WCD-2協(xié)議的安全性分析對密鑰泄漏模仿攻擊的擴(kuò)展定義定義1(密鑰泄漏模仿攻擊,KeyCompromiseImpersonation,KCI)密鑰泄漏模仿攻擊是一種已知密鑰的攻擊,即當(dāng)A的長期私鑰泄漏之后,攻擊者可以向A冒充B。定義2(主私鑰泄漏模仿攻擊,MaserKeyCompromiseImpersonation,MKCI)若實(shí)體的私鑰不完全依賴于KGC的主私鑰,則當(dāng)KGC的主私鑰泄漏之后(實(shí)體私鑰未泄漏),攻擊者可以向一個(gè)實(shí)體(如A)冒充另一個(gè)實(shí)體(如B)。定義3(增強(qiáng)的私鑰泄漏模仿攻擊,StrengthenKeyCompromiseImpersonation,SKCI)若實(shí)體的私鑰不完全依賴于KGC的主私鑰,則當(dāng)KGC的主私鑰和實(shí)體A的長期私鑰泄漏之后,攻擊者可以向A冒充B。易知,一個(gè)協(xié)議若可抵抗增強(qiáng)的私鑰泄漏模仿攻擊,則一定能抵抗私鑰泄漏模仿攻擊和主私鑰泄漏模仿攻擊。主私鑰泄漏模仿攻擊首先分析協(xié)議不能抵抗主私鑰泄漏模仿攻擊。假設(shè)一個(gè)攻擊者C獲得了主私鑰(但產(chǎn)生用戶長期私鑰所需的隨機(jī)數(shù)未泄漏),則C試圖向A模仿B如下:(1)A隨機(jī)選取一個(gè)臨時(shí)私鑰xZp并計(jì)算相應(yīng)的臨時(shí)公鑰與之后發(fā)送TA=TA1|TA給B。(2)C攔截消息TA并隨機(jī)選取一個(gè)臨時(shí)私鑰zZp,計(jì)算相應(yīng)的臨時(shí)公鑰及。之后,C發(fā)送TC=TC1|TC2給A。收到TC后,A計(jì)算共享秘密(thesharedsecret)如下KAB1=e(TC1,hA)·(TC2)rA·e(g,h)x=e(g,h)x+zKAB2=Txc2=e(g,t)xz(3)由于C知道,由,首先計(jì)算。C進(jìn)一步計(jì)算共享秘密如下:

一次協(xié)議運(yùn)行結(jié)束后,C成功地模仿B與A協(xié)商獲得了一個(gè)會話密鑰sk=H(A|B|TA|TC|KCA1|KCA2)

主私鑰泄漏模仿攻擊圖AC(B)

XC攔截,C選擇

zKAB1=e(TC1,hA)·(TC2)rA·e(g,h)x

KAB2=TxC2skA=H(A|B|TA|TB|KAB1|KAB2)

skC=H(A|B|TA|TC|KCA1|KCA2)TA=TA1|TA2TB=TB1|TB2增強(qiáng)的私鑰泄漏模仿攻擊假設(shè)一個(gè)攻擊者C獲得了用戶A的長期私鑰<,>及KGC的主私鑰(但產(chǎn)生用戶長期私鑰所需的隨機(jī)數(shù)未泄漏),則C試圖向A模仿B。攻擊如下:(1)A隨機(jī)選取一個(gè)臨時(shí)私鑰xZp,并計(jì)算相應(yīng)的臨時(shí)公鑰及。之后發(fā)送TA=TA1|TA2給B。(2)C攔截消息TA并隨機(jī)選取一個(gè)臨時(shí)私鑰為zZp,計(jì)算相應(yīng)的臨時(shí)公鑰及。之后,C發(fā)送TC=TC1|TC2給A。(3)收到后,A計(jì)算共享秘密(thesharedsecret)如下:=====(4)由于C知道,由,C首先計(jì)算。利用A的私鑰<,>,C進(jìn)一步計(jì)算共享秘密如下:====一次協(xié)議運(yùn)行結(jié)束后,C成功地模仿B與A協(xié)商獲得了一個(gè)最終的會話密鑰sk,由下圖所示增強(qiáng)的私鑰泄漏模仿攻擊圖AC(B)

XC攔截,C選擇z

====skA=H(A|B|TA|TB|KAB1|KAB2)

skC=H(A|B|TA|TC|KCA1|KCA2)TA=TA1|TA2TC=TC1|TC2對WCD-2協(xié)議的安全性分析由上述分析,我們發(fā)現(xiàn)該協(xié)議不能抵抗主私鑰泄漏模仿攻擊和增強(qiáng)的私鑰泄漏模仿攻擊。通過對協(xié)議及安全模型的分析,我們從兩個(gè)不同的角度給出導(dǎo)致已經(jīng)證明安全的協(xié)議存在攻擊的原因。當(dāng)收到corrupt詢問時(shí),被詢問的協(xié)議參與者返回自己的長期私鑰,但不能返回KGC的主私鑰,因此無法反映KGC主私鑰泄漏的情況。也就是說,該模型不允許泄漏KGC的主私鑰。這是不太現(xiàn)實(shí)的。因?yàn)樵贗BC中,KGC是一個(gè)可信的私鑰生成器,它利用一個(gè)固定的主私鑰為域內(nèi)所有用戶產(chǎn)生并分發(fā)私鑰。惡意攻擊者可能通過一些非常手段獲得主私鑰,如果用戶的私鑰不僅僅依賴于KGC的主私鑰,則我們希望主私鑰的泄漏不影響協(xié)議的安全性質(zhì)。其次,從協(xié)議本身來看,由協(xié)議的消息流可以看出,兩個(gè)參與者之間缺少相互的實(shí)體認(rèn)證,因此攻擊者攔截得到A的消息后,可以冒充B產(chǎn)生消息并發(fā)送給A而不被A所察覺。參與者繼續(xù)執(zhí)行協(xié)議,最終生成一個(gè)會話秘密,而攻擊者也可以利用自己已有的知識產(chǎn)生一個(gè)完全相同的會話秘密,從而最終與A建立一個(gè)共享的會話密鑰。WCX方案及安全屬性分析汪等針對無密鑰托管的認(rèn)證密鑰協(xié)商協(xié)議的要求提出了一個(gè)改進(jìn)的無會話密鑰托管的認(rèn)證密鑰協(xié)商協(xié)議WCX方案(1)系統(tǒng)建立階段:與WCD-1協(xié)議基本相同。其中H為會話密鑰抽取函數(shù)。(2)實(shí)體密鑰對生成階段:與WCD-1協(xié)議相同,令gT=e(g,g)。(3)密鑰協(xié)商階段:IDA隨機(jī)選擇x∈Zp,計(jì)算TA1=gxb,TA2=gxT,TA3=gx將TA=TA1‖TA2‖TA3發(fā)送給IDB;IDB隨機(jī)選擇y∈Zp,計(jì)算TB1=gyA,TB2=gyT,TB3=gy,將TB=TB1‖TB2‖TB3發(fā)送給IDA;IDA計(jì)算共享秘密:KAB1=e(TB1,hA)·TB2rA·e(g,h)x,KAB2=TxB3IDB計(jì)算共享秘密:KBA1=e(TA1,hB)·TA2rB·e(g,h)y和KBA2=TyA3IDA計(jì)算會話密鑰:skAB=H(IDA‖IDB‖TA‖TB‖KAB1‖KAB2)IDB計(jì)算會話密鑰:skBA=H(IDA‖IDB‖TA‖TB‖KBA1‖KBA2)顯然KAB1=KBA1=e(g,h)x+y

,KAB2=KBA2=gxy因此IDA與IDB計(jì)算出相同的會話密鑰為:sk=H(IDA‖IDB‖TA‖TB‖e(g,h)x+y‖gxy)該協(xié)議滿足完美前向安全性和PKG前向安全性。4.安全增強(qiáng)的身份基認(rèn)證密鑰協(xié)商協(xié)議為了提供更多的安全屬性,提高方案的安全性,本章構(gòu)造了一個(gè)安全增強(qiáng)的認(rèn)證密鑰協(xié)商方案。改進(jìn)后的新方案幾乎滿足全部已知的安全屬性,特別是滿足完美前向安全性、PKG前向安全性以及已知會話相關(guān)臨時(shí)秘密信息安全屬性。與此時(shí),新方案保持了良好的計(jì)算效率。新方案描述如下:

(1)系統(tǒng)建立階段:PKG隨機(jī)選取兩個(gè)生成元g,h∈G1和α∈Zp,計(jì)算g1=gα。系統(tǒng)公開參數(shù)(g,g1,h),系統(tǒng)主密鑰為α,H為會話密鑰抽取函數(shù)H:{0,1}*→{0,1}k,k為會話密鑰長度。(2)密鑰生成階段:對給定身份ID∈Zp,隨機(jī)選擇rID∈Zp,計(jì)算身份的私鑰dID=<rID,hID>,其中hID=(hg-rID)1/(α-ID)。對每一個(gè)身份ID選擇固定的rID。(3)密鑰協(xié)商階段:假設(shè)IDA與IDB進(jìn)行會話密鑰協(xié)商。令gA=g1g-IDA,gB=g1g-IDB和gT=e(g,g)。協(xié)議過程如下:安全增強(qiáng)的身份基認(rèn)證密鑰協(xié)商協(xié)議協(xié)議過程如下:IDA隨機(jī)選擇x∈Zp,并計(jì)算TA1=gxB,TA2=gxT,TA3=grAT,將TA=TA1‖TA2‖TA3發(fā)送給IDB;IDB隨機(jī)選擇y∈Zp,并計(jì)算TB1=gyA,TB2=gyT,TB3=grBT,將TB=TB1‖TB2‖TB3發(fā)送給IDA;IDA計(jì)算共享秘密如下:KAB1=e(TB1,hA)·TB2rA·e(g,h)x,KAB2=(TB2·TB3)(x+rA)IDB計(jì)算共享秘密如下:KBA1=e(TA1,hB)·TA2rB·e(g,h)y,KBA2=(TA2·TA3)(y+rB)IDA計(jì)算會話密鑰為:skAB=H(IDA‖IDB‖TA‖TB‖KAB1‖KAB2)IDB計(jì)算會話密鑰為:skBA=H(IDA‖IDB‖TA‖TB‖KBA1‖KBA2)容易看出,KAB1=KBA1=e(g,h)x+y,KAB2=KBA2=gT(x+rA)(y+rB)=gTxy·gTxrB·gTyrA·gTrArB因此IDA與IDB計(jì)算出共享會話密鑰為:sk=H(IDA‖IDB‖TA‖TB‖e(g,h)x+y‖gTxy+xrB+yrA+rArB)安全增強(qiáng)的身份基認(rèn)證密鑰協(xié)商協(xié)議該協(xié)議滿足完美前向安全性和PKG前向安全性。即使敵手獲得IDA和IDB的私鑰,以及系統(tǒng)主密鑰α,只能計(jì)算出第一個(gè)共享秘密KAB1=KBA1=e(g,h)x+y。若要得到第二個(gè)共享秘密,必須由gx和gy計(jì)算出gxy。該方案通過增加交互消息TA3=gx和TB3=gy,使得在會話密鑰生成中增加PKG不可計(jì)算因素,從而達(dá)到PKG前向安全屬性。當(dāng)然這勢必會影響協(xié)議執(zhí)行的效率。同時(shí)注意到,改進(jìn)協(xié)議中(g,h)x+y和gxy兩個(gè)因素仍然是在已知會話相關(guān)臨時(shí)秘密信息下可計(jì)算的,因而該方案仍然不滿足已知會話相關(guān)臨時(shí)秘密信息安全屬性。新方案安全性(1)已知會話密鑰安全性。該方案中已知舊的會話密鑰不會影響新的會話密鑰安全性。每一次協(xié)議的執(zhí)行,臨時(shí)秘密x和y都是分別由參與實(shí)體A和B獨(dú)立隨機(jī)選取的。多個(gè)會話密鑰值之間具有無關(guān)性。(2)前向安全性和完美前向安全性。如果A或者B以及A和B的長期密鑰dID=<rID,hID>泄露,將不會影響舊的會話密鑰安全性。雖然這將導(dǎo)致攻擊者可以根據(jù)歷史交互消息和長期密鑰計(jì)算KAB1=KBA1=e(g,h)x+y,,,,,,但是由于(,)和(,),計(jì)算和,進(jìn)而計(jì)算KAB2=KBA2=...,需要解決CDH困難問題。通過(,)計(jì)算同樣需要解決CDH困

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論