更全的杂志信息网

会话密钥协商协议研究进展

更新时间:2009-03-28

0 引 言

信息技术的高速发展给人们带来极大的便利,同时也给信息安全保护带来巨大挑战。如何在不可信的网络中进行安全的信息交换成为热点问题,而密钥协商协议是解决此类问题的有效方法之一[1]。会话密钥协商协议[2]是指两个或者多个用户在不可信的有线或者无线网络中进行通信。它首先协商出一致的会话密钥,然后用此密钥对通信内容进行加密,避免信息被篡改或者伪造,从而达到安全传递信息的目的。近年来,会话密钥协商协议因其在无线网络安全通信、视频会议、文件共享等方面的广泛应用,取得了快速的发展。

本文首先对会话密钥协商协议需要满足的安全属性、可证明安全理论及协议分类进行介绍,然后对双方会话密钥协商协议与群组密钥协商协议的研究进展进行重点阐述,在性能、安全性等方面进行对比分析,最后指出会话密钥协商协议的发展方向。

来自于阿美或自他承包商,有能力、经验和资格识别脚手架安全风险,验证脚手架是否符合阿美相关标准要求,同时记录脚手架检查及验收结果。脚手架检查工程师也必须经过阿美认证,其证书有效期也是三年

1 预备知识

1.1 安全属性

目前,电气自动化在光伏建筑和光伏水泵系统方面的应用比较广泛,尤其是在软件控制方面的使用。在实践中,不论是光伏发电站还是光伏水泵系统的监控,必须对太阳能板的发电情况和工作情况进行监控,这不仅是为了保障设备的稳定、安全运行,还能及时发现问题,防患于未然,减少意外的发生。为此,必须合理灵活地运用监控软件和通信方式,常见的几种通讯方式有串口、通用分组无线服务技术以及北斗无线通信。

当密钥会话协商协议运行时,攻击者有许多方法可以尝试破坏该协议,因此设计者必须考虑好协议能够抵抗的攻击类型。为了能够设计一个安全的协议,必须对协议需要满足的安全属性[3-6,9,12-14]进行定义。

已知会话密钥安全性KSK(Known session key security):协议运行产生的会话密钥必须是唯一并且相互独立的。如果敌手获得协议的一个会话密钥,但不能导致该协议的其他会话密钥的泄露,称该协议具有已知会话密钥安全性。

银白色金属,质软(小刀可以切割),钠的密度大于煤油小于水,熔点较低(用酒精灯加热,很快熔化),具有良好的导电性和导热性。

2002年,Smart等[20]利用Boneh等[21]提出的第一个使用双线性对的基于身份的加密方案的思想,首次提出基于双线性对的身份基密钥协商协议,利用双线性对的三种性质经过一轮信息的交换过程传递一个参数实现协商出一个一致的会话密钥,每个参与方运行协议的过程中只需要两个椭圆曲线上的乘法运算和两个双线性对运算,计算量相对而言较大。在此基础上又提出了协议的改进形式,加入MAC用两轮交互来互相认证对方的合法身份。并且定性分析了协议满足的安全性,但没有形式化证明。Shim等[22]指出Smart等提出的协议满足的前向安全性是基本的前向安全,没有满足完美前向安全性。并提出了一种在CDH假设条件下满足完美前向安全性的协议,不但只需要一次双线性对的运算,更能够满足Smart协议的所有安全属性。但是该协议的KGC(Key Generation Center)能够根据获得的消息恢复出会话密钥,具有会话密钥托管属性。Mccullagh等[23]提出一种认证会话密钥协商协议,该协议有两种模式:会话密钥托管和无会话密钥托管。会话密钥托管模式下的协议满足多种安全属性,但不能够抵抗密钥值偏移攻击。无会话密钥托管模式是通过在双线性对中加入群的另一个生成元,将会话密钥的恢复归约成求解CDH问题。最后协议在BIDH(Bilinear Inverse Diffie-Hellman)问题假设下证明协议的安全性。

2.1 基于离散对数的密钥协商协议

未知密钥共享安全性UKS(Unknown key share):协议的一方参与者A认为自己与参与者B建立会话密钥,但实际上参与者A与参与者C建立了会话密钥。如果协议能够禁止上述情况的发生,则称该协议具有未知密钥共享安全性。

毕业班学生松散难管,这是高校教师的普遍看法,特别是近年来的学生基本上都是独生子女,自我感觉良好,家庭社会背景和经济基础较好,自以为是,没有形成良好的学习和生活习惯,生活比较散漫,生活自理能力不强,自我约束能力较差.

会话密钥托管SKE(Session key escrow):通信服务器(第三方)通过监听协议参与者在协议运行过程中的通信过程,根据已有消息以及通信过程获得的消息可以恢复出该次协议运行产生的会话密钥。若协议具有防止密钥托管属性,也称达到主密钥前向安全性。

相较于露地蔬菜种植,大棚蔬菜种植需要一定的资金投入,许多农民会因为这部分前期投入而放弃使用大棚种植方式,依然采用传统的种植方式。通过调查可以了解到,农民多是出于以下2个因素的考虑而放弃新型大棚蔬菜种植方式,一是建立大棚的费用超过农民的经济承受能力[1]。我国农民的经济收入并不高,但是这部分收入不仅要做生活之用,还要供孩子上学,有时还要额外支出医疗费用,在这种情况下农民对建立大棚则是有心无力。二是部分农民虽然有资金建立大棚,但由于缺乏大棚种植经验,并不敢冒险,毕竟农民的收入多是来源于种植,耽误了一年便会少一年的收入,影响家庭经济条件。

密钥控制安全性KC(Key control security): 密钥值的确定应该由协议的所有参与方共同确定,协议的参与一方不能使会话密钥的值为一个预先设定好的值。

密钥值偏移攻击KOA(Key off-set attack):攻击者拦截并篡改通信参与者之间交互的信息,使通信参与者最终计算出的密钥值是错误的。如果协议可以避免这种情况的发生,则称该协议能够抵抗密钥值偏移攻击。

抵抗中间人攻击MITM(Man-in-the-middle attack resilience):中间人攻击是指攻击者与通信的参与方分别建立独立的联系,并交换其所收到的数据,使通信的参与者认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。如果协议能够抵抗该攻击,则其具有抵抗中间人攻击安全性。

1.2 可证明安全理论

可证明安全是指使用“归约”方法,采用数学中反证法的思想。首先确立密码协议或者签名算法的安全性目标,即已知会话密钥安全性、前向安全性等安全属性;然后定义一个安全模型,规范一个敌手的攻击目标以及它具有的攻击能力;最后,如果敌手能够成功破解该密码体制,则存在一个算法可以在多项式时间内解决一个基础密码算法或者公认的数学困难问题。人们普遍认为此基础密码算法和数学困难问题是难以破解的,因此产生矛盾,从而反证得出密码协议或者签名算法是安全的。目前可证明安全主要有在随机预言模型下可证安全和在标准模型可证安全两种证明方案。

随机预言机模型[7]RO(Random oracle)就是在证明某种协议或者签名算法的安全性时,利用随机预言机的均匀性、确定性和有效性三个性质来证明安全性。在证明密钥协商协议安全性中该模型被广泛应用[8-9],但Canetti等[10]认为在随机预言机模型下证明安全的系统在实际情况下并不一定安全。因此在标准模型下证明安全的方案[3-6,11-12]应运而生。当把随机预言机模型变换成现实环境,不使用Hash函数的随机预言机的形式来证明方案的安全性,仅仅依靠证明过程中所使用的数学困难性问题,例如双线性对问题、离散对数问题等。这样的证明过程称作在标准模型下可证安全。

1.3 分 类

3.2 非对称群组密钥协商协议

2 双方会话密钥协商协议

什么是语文教育现代化?围绕立德树人,培养创新型人才,满足国家、社会高速发展的需求为目标,建造具有中国传统、中国特色的母语教学课程,构建适应新时代社会所需要的现代语文教学结构,从而培养学生在现代社会所需要的母语交流必备品质、基本能力和正确的价值观,即语文核心素养。

1999年12月,欧盟委员会制定了《关于建立电子签名共同法律》。欧盟各国在很早就开始相关法律的制定,可见对其安全性的重视。中国也十分重视电子商务以及数字签名技术的发展,在第十届全国人民代表大会上通过中华人民共和国电子签名法,这一法律方案的制定也让我国数字签名技术更好的发展打下坚实的基础,除此以外,世界上很多国家也制定了和数字签名相关的法律法规。

抵抗密钥泄露伪装攻击KCI(Key compromise impersonation resilience):如果敌手获得协议参与一方的私有密钥,则敌手可以伪装成该参与方与其他参与者运行协议进行通信,但是不能使敌手伪装成其他参与者与该参与者成功完成协议。

4.1 双方会话密钥协商协议对比

2012年,Xie等[8]提出一种只需要一轮就可以协商出会话密钥的基于身份的协议,该协议的设计基于Galindo等[16]提出的一种签名机制,采用签名认证和自验证双重认证来保证身份和信息的有效性。文献[16]在RO模型下基于离散对数假设证明了签名机制的安全性,这是在一种RO模型-CK模型[17](Canetti-Krawczyk model)下基于CDH假设证明了安全性,实现完美前向安全,但是该协议不能够抵抗暂时密钥泄露攻击,在eCK模型下是不安全的。

2014年,Ghoreishi等[18]设计了三个基于身份的密钥协商协议,三种协议都只需要一轮信息的交换,因此与Cao等的协议[9]相比,运算量相对较少。文中分析了协议满足的安全属性,例如已知会话密钥安全、未知密钥共享安全性以及前向安全性等,但只是定性分析,并没有在RO模型下或者标准模型下证明协议的安全性。后来,Ghoreishi等[19]再次设计了一种基于身份的密钥协商协议,并重点分析协议的性能优势,但并没有考虑到用户认证的问题,因此也就没有检测消息被篡改的能力和辨认主动攻击者的能力。

我并不想为吕布的行为辩解。单就史料上看,他的确为利所动,杀了丁原、董卓,没什么好。只是,他真的比曹操、刘备等等,更恶吗?去读读《三国演义》,满目是狡诈、变节、阴谋、争战。所谓“老不看《三国》,少不读《水浒》”,因为年纪大点,经些世故,就能觉出,刘备之仁厚近乎伪,关张则近乎僭。

不基于双线性映射实现的密钥协商协议近来取得一定的发展,通过对身份信息进行签名、验证参与者私钥的有效性等手段来保证身份的合法性,不使用双线性映射实现的协议计算量相对使用双线性映射较小,但在安全性方面差强人意,敌手易于攻破协议,安全属性得不到有效保证。

2.2 基于双线性对的密钥协商协议

对此,《法制晚报》有文章指出,通报中提到的“所辖单位”或指中国福利彩票发行管理中心。中国福利彩票发行管理中心是民政部直属事业单位,负责全国的福利彩票发行和组织销售工作。

前向安全性FS(Forward secrecy):如果协议参与者一方或者多方的长期私有密钥的泄露不会导致他们之前已经建立的会话密钥的泄露,则称该协议具有前向安全性。如果通信参与的一方的长期私有密钥的泄露不会导致以前建立的会话密钥的泄露则称该协议达到基本的前向安全性(BFS)要求;如果协议所有参与者的长期密钥都泄露却仍然保持该性质,则称协议达到了完全的前向安全性(PFS)要求。若系统的主密钥泄露后仍能保持该性质则称该协议达到主密钥前向安全性(MFS)要求。

随机预言机模型下可证安全并不能代表实际情况依然安全,因此在2007年,王圣宝等[4]首次提出一种在标准模型下可证安全的基于身份的认证密钥协商协议,设计思路来自Gentry的身份基加密方案[24],可以在密钥托管模式和无托管模式下工作。密钥托管模式下,该协议能够满足主密钥前向安全性;无密钥托管模式的实现基于CDH问题。两种模式下都满足无密钥控制安全性且提供双向隐式密钥认证,通过增加一轮信息交互可以实现双向显式密钥确认。最后,协议基于一个被称为“短式增强型双线性Diffie-Hellman 指数”q-ABDHE(the truncated Augmented Bilinear Diffie-Hellman Exponent assumption)的计算复杂性假设下证明安全性。然而,Liu等[25]提出王圣宝等的非密钥托管协议不能够抵抗恶意的PKG(Private key generator)攻击,而且其安全模型不能模拟会话临时秘密泄露攻击。同时王圣宝等的协议基于q-ABDHE这个非常强的困难假设问题。Liu等[25]设计了一个基于Waters[26]的认证密钥协商协议,并根据王圣宝等的协议中提供的方法满足了无密钥托管这一安全属性。但是该协议效率低下,而且在协议的证明过程中,设计者在攻击者的第2阶段攻击过程中只是对攻击者发起挑战的随机预言机参与的一种会话进行Reveal查询,并没有将对其他会话进行Reveal 查询的情况考虑进去。直接意义上来理解,在攻击者选择要挑战的会话后需要在自适应阶段对该会话的参与一方进行更多的询问以便获得更多的信息来发现模拟的世界和现实世界的不同,因此在证明安全的过程中必须对这类情况进行考虑。高志刚等[5]提出一个效率较Liu协议更高的协议,并且安全性较高,可在一个更弱的安全性假设DBDH(decisional bilinear Diffie-Hellman)下以标准模型证明协议的安全性。2015年,陈明[12]指出高志刚等设计的协议证明安全中所采取的安全模型不能够模拟会话临时秘密泄露攻击,提出一种新的在标准模型下可证安全的密钥协商协议。他的主要贡献有两个。第一,去掉eID-eCK模型中的随机预言机,建立具有eID-eCK安全的标准安全模型,通过定义安全陷门函数去掉随机语言机,依靠形式化定义敌手的攻击能力实现完备模拟eID-eCK安全模型的安全属性。并且扩充新鲜预言机的定义来丰富展现敌手的攻击能力。第二,提出一种会话密钥可托管的基于身份的认证协议,能够抵抗用户长期私钥泄漏攻击和会话临时秘密泄漏攻击等安全属性,具有强安全性。协议的安全性被规约为多项式时间敌手求解DBDH难题和DBHI(Decisional bilinear Diffie-Hellman inversion)难题。陈明的基于身份的协议存在密钥托管问题,因此基于无证书的协议应运而生。2017年,李娜等[27]提出一种无证书的认证密钥协商协议,解决了密钥托管和复杂证书管理难题,但需要两轮协商完成。

基于双线性映射实现的认证密钥协商协议,在协议的工作过程中,身份信息包含在协议传递的参数中,只有合法用户才可以实现对方身份的认证,实现前向安全、抵抗密钥泄露伪装攻击等安全属性。虽然基于双线性映射实现认证安全性较高,但双线性映射相对于点乘、标量乘法、哈希等运算计算量大,在应用中需要考虑实际网络情况来保证资源的有效合理利用。

3 群密钥协商协议

群组密钥协商协议能够使参与会话的用户在一个安全的信道中进行通信,保证交互信息的机密性、真实性认证和完整性。群组密钥协商协议可以分为对称群组密钥协商协议和非对称群组密钥协商协议。对称群组密钥协商协议就是组内的用户通过协商,计算出一个相同的会话密钥来进行消息的加解密;而非对称群组密钥协商协议采用公钥密码体制,参与者协商出一个加密密钥,各自拥有的解密密钥可以对消息进行解密。对称群组会话密钥协商协议只允许组内成员间广播信息,非对称协议允许构建广播加密系统,群组成员协商出公钥,保留各自的私钥,这样任何知道协商出的公钥的用户都可以发送消息。

3.1 对称群组密钥协商协议

2002年,Zhang[28]等在双方密钥协商协议的基础上,扩展出一种三方会话密钥协商协议,该协议利用基于身份的密码技术,使用双线性对的性质,构造一轮可认证的协议,每个会话参与者会通过双线性对的运算来验证其他两方的合法性,最终会得到8个会话密钥。该协议在BDH问题假设下可以实现多种安全属性等。但是该协议的计算负载过重,不适宜在计算资源有限环境下使用,并且此协议是三方会话密钥协商协议,难以扩展成包含n个(n>3)参与者的群组会话密钥协商协议。此后,Shi等[29]提出一种可以使n(n>3)方参与的基于身份的会话密钥协商协议。每个参与者根据会话参与者数量,分别计算相应参数传给群组内其他用户,因此计算量随着参与者的增多线性增长。但协议改进ID-PKI模型,KGC有两个系统主私钥,且利用KGC来产生系统参数和用户的长期密钥对,该密钥对在最终的会话密钥中发挥作用的只是群G1的生成元P,利用该模型只需要一轮协商就能达到认证的目标,并且摆脱签名机制复杂的计算等限制,最终在DL(Discrete Logarithm)问题假设下达到已知会话密钥安全性、基本前向安全性、无密钥控制等安全性。2007年,HE和HAN[30]指出Shi等[29]提出协议存在安全漏洞,攻击者可以伪装成合法用户,但实际上合法用户并未参与其中,其他用户也未检测到合法用户未参与,并且不能抵抗会话密钥值偏移攻击。在Shi协议的基础上,HE和HAN扩展每个参与者传递的消息为三元组,新加入的两个参数的作用是使每个参与者通过两个双线性对的运算来确认其他用户的合法性。新的协议在保证满足Shi协议安全性的基础上,能够抵抗内部攻击如伪装攻击等,但在内部攻击者的攻击下不能够提供双向认证。

在高中语文的教学过程当中,尽管学生的年纪都相对来说比较成熟,有了一定的自我控制能力和学习能力,但是由于高中语文只是相对来说知识点比较多,文言文、古诗词知识不容易理解和掌握,同时学习时间不充裕,等等,学生在学习过程当中存在着许多问题。一些学生不能“吃饱”,有的学生有可能“吃不下”,学生之间的学习差异,让教师在教学中应思考如何避免学习分化的问题。一般来说,教师在进行授课时,是按照大多数学生的知识掌握进展情况进行授课的,因此难免会忽略一些特殊情况,这时我们就不难看出课外学习的重要作用。

上述协议虽然参与者交互次数较少,但没有在随机预言模型或者标准模型下证明协议的安全性。Yao等[31]提出一种三轮可认证的基于身份的群组密钥协商协议。第一轮是参与者合法身份的认证,防止攻击者伪装;第二轮是密钥协商的过程;第三轮是密钥确认的过程,防止攻击者伪造和篡改中间消息。并且协议在随机预言机模型下证明协议的安全性。但该协议也存在安全漏洞,Yuan等[32]指出Yao协议只能抵抗被动攻击,但不能抵抗主动攻击,如内部攻击者可以伪造中间参数而不能够被发现。同时,Yao协议需要三轮才能协商出最终的会话密钥,交互轮数多,通信负载过大。Zhou等[33]首先设计一种只需要一轮就可协商出会话密钥的群组协议,基于身份密码学和双线性对实现协商出一个会话密钥,然后在此一轮协议的基础上,扩展出一个二轮密钥协商协议,在通信开销方面更高效。并且,两种协议都在DBDH困难假设下用随机预言机模拟其可证明安全性。2015年,Teng等[34]提出一种能够实现双向认证抵抗主动攻击的基于身份的群组密钥协商协议。该协议利用Zhao等[35]提出的EGBG模型,将短暂密钥泄露攻击考虑在内,但并没有引入NAXOS trick来抵抗短暂密钥泄露攻击,基于BDH和CDH假设在随机预言模型下证明协议满足多种安全属性。协议的正确性通过交互过程传递的参数的对称性来保证。而且,该协议没有使用签名算法来实现双向验证,性能较利用签名算法的协议更为高效。2016年,陈勇等[36]利用零知识证明将可否认性引入到群密钥协商协议中,可以在隐私保护等场合广泛应用。

中年男子从箱子内抓了一把毛茸茸的小鸡,捧给周泽赡,周泽赡摆摆手,中年男子执意把这一把给了她。周泽赡给他钱,他却不收。

随着研究的深入,静态协议满足不了实际需求,因此Teng等[37]设计提出一种基于身份的动态群组密钥协商协议,创新性地将矩阵论的知识运用在会话密钥的建立过程中,成员可以动态地加入或者离开群组,会话密钥随着成员变化而动态变化,且之后建立的会话密钥对离开的用户保密,之前建立的会话密钥对新加入的用户保密。在协议建立算法和加入算法中,只需要一轮信息交互,会话密钥的更新在成员离开群组时不需要额外的信息交换,达到更高效实用的效果。最后,协议在随机预言模型下基于DBDH可证安全。但该协议的动态性导致交互的信息量较多,计算和通信开销较大。Wu等[38]提出一种采用非交互式确认计算技术实现的两轮可撤销的会话密钥协商协议,在协议的创建过程中,每个用户的私钥包括一个固定的初始私钥和一个可更新密钥,PKG定期发送更新的私钥给用户,用户可以自己利用它更新自己的私钥。当需要撤销时或者监测到恶意用户时,PKG停止发送更新密钥给该用户。该协议基于CDH和DBDH假设在随机预言模型下证明了安全性,可以实现主动监测到恶意用户,达到前向安全性和无密钥控制等安全属性。然而其并非真正意义上的动态协议,密钥更新定期进行。

会话密钥协商协议根据参与会话的成员数量可以分为双方会话密钥协商协议与群组会话密钥协商协议。双方会话密钥协商协议完成两方参与者的会话密钥计算,又根据其是否运用双线性对分为基于离散对数的协议与基于双线性对的协议;群组会话密钥协商协议完成群组成员(成员数量至少为2)的会话密钥协商,进一步可以分为对称群组密钥协商协议与非对称群组密钥协商协议,群组成员在对称协议中协商出一致的会话密钥,而非对称协议协商出加密密钥与解密密钥。下面详细介绍上述分类协议的研究进展。

非对称群组密钥协商协议的概念是Wu等[39]在2009年提出的。该协议能够解决传统的群组密钥协商协议不能够用于广播系统、密文大小随着参与者数量线性增长、密钥确认需要增加额外的轮数等、不需要可信第三方来分发私钥缺陷。协议中首先构造了一种基于签名的可聚集广播机制,在随机预言模型下基于CDH和DBDH问题下证明该机制的安全性;然后基于该机制构造一个一轮非对称群组密钥协商协议,将每个用户的公钥聚集起来形成群组的加密密钥,将对同一个用户的多个不同签名聚合起来形成解密密钥;最后在标准模型下基于判定性n-BDHE(decision Bilinear Diffie-Hellman Exponentiation)假设下证明协议的安全性。但该协议不能够抵抗主动攻击和短暂密钥泄露攻击。随后,Zhang等[40]提出一种基于身份的非对称认证群组密钥协商协议。首先提出了一种批量多签名机制,基于乘法群的双线性映射,对多个用户进行批验签,但对不同的消息的签名没有进行一次验证而是进行多次验证。然后,在签名算法的基础上实现协商协议,只需一轮即可完成协商过程,基于随机预言模型在k-BDHE假设下可证安全。

上述协议虽然在性能和安全性上做的较为全面,但只是静态的协议,设计时没有考虑用户动态的增加和减少的情况。因此Zhang等[41]针对前期提出的协议设计一种认证非对称群组密钥协商协议,通过系统建立、认证、密钥建立、加密密钥派生、解密密钥派生、加密和解密七个过程对协议的具体过程进行阐述,协商只需要一轮,不需要所有参与的用户同时在线,定性分析了协议满足的安全属性,对不同阶段进行仿真实验证明性能良好。最后,对基本协议进行扩展,协议不但可以用来进行广播加密,用户也可以动态的加入或退出协议,还可以选择消息的接受者,实现真正意义上的动态密钥协商协议。此后,Wei等[42]根据Zhang协议,提出一种CL-AAGKA(certificateless authenticated asymmetric group key agreement),通过将无证书公钥加密机制引入AAGKA,突破了基于IBC机制实现的AAGKA协议的密钥托管限制;通过系统建立、基本私钥提取、设置秘密值、设置密钥、设置公钥、加入、离开、布告板初始化、群组公钥派生、群组私钥派生、加密和解密十二个多项式时间算法构建协议;引入信任等级概念,实现信任等级第三级的基于PKI的AAGKA协议而没有复杂的证书管理压力;通过布告板的使用来实现用户动态的加入与离开;缺点是没有在RO模型或标准模型下形式化敌手模型并证明协议的安全性。

双方会话密钥协商协议,要求通信双方在公开网络中传递信息,协商出会话密钥。一般基于双线性对的密钥协商协议交互轮数和信息量较小,具有较高的效率和很好的安全性,并且不需要建立和维护代价高昂的公钥基础设施,易于实现和应用;而不基于双线性对的协议计算量小,在资源受限的网络中尤其是计算资源受限的网络中比较适用,但安全性相对而言较弱。

在保密性需求较高的环境中,不但需要考虑动态性,也需要保证用户身份的隐私性。张等[43]提出一种一轮密钥协商协议,适用于大型跨时区的分布式协同计算环境、多域间的群组密钥协商;该协议采用可认证技术,抵抗主动攻击;而且实现匿名密钥协商,采用盲密钥注册方案,每个域都有自己的认证中心,各成员用自己的身份在各自的域认证机构进行盲注册,认证中心也有自己的公私钥对,实现对用户的认证;并支持动态群组密钥更新,采用单个群组成员更换密钥因子实现群组密钥的动态更新,以便群组成员的退出及新成员的加入。陈等[44]基于无证书密码体制提出一种较张等的协议性能更优越的群密钥协商协议,不但支持群成员动态变化,也实现了对用户身份的保密。

缠尸布碎成了絮,纷纷扬扬地飘落,吹散了一地。尸体重新落回台面,脸面朝下,后背朝上,已一丝不挂。天葬刀并不稍停,锋利的刀刃在筋骨与关节间如龙游走。猩红的血顺着刀身上纤细的云纹倒流而上,所经之处,刀身闪现起荧荧红光。血水继续蜿蜒向上,直流入刀柄前端墨玉骷髅的口中。

4 比 较

Diffie-Hellman协议[13]是最早的一轮双方密钥协商协议,该协议的安全性直接作为密码学中的标准假设性问题,即CDH(Computational Diffie-Hellman)问题和DDH(Decisional Diffie-Hellman)问题。但是该协议只能抵抗被动攻击,并不能有效地抵抗主动攻击,一旦攻击者具有篡改双方的交换信息的能力,则没有相应的认证机制来避免或者检测到该情况,协议设计过于简单。为了避免中间人攻击这一漏洞,近年来,许多研究者根据DH协议设计了认证密钥协商协议来保证除了合法参与者外其他人无法获取本次密钥协商相关信息。2010年,Cao等[9]利用基于身份思想[14]提出一种不使用双线性映射的认证密钥协商协议,在密钥提取阶段,通信双方会相互验证长期私钥的有效性,进而互相验证双方的身份以防攻击者的主动攻击。在cNR-mBR游戏(Computational No Reveal-modified Bellare-Rogaway game)模型下基于CDH假设证明协议的安全性,能够抵抗密钥泄露伪装攻击,达到完美前向安全性和主密钥前向安全性。并且该协议只需要一轮的信息交换,计算量较少。但该模型是一种简化的mBR(Modified Bellare-Rogaway model)模型[7],并不能进行Reveal查询,因此安全性较弱。Islam等[15]指出Cao等提出的协议既不能抵挡密钥偏移攻击,可能产生错误的会话密钥;也不能够抵挡已知特定会话暂时信息攻击。针对缺点改进了Cao等的协议,采用消息认证码MAC来抵抗密钥值偏移攻击;加入新的参数,利用CDH问题来抵抗已知特定会话暂时消息攻击。同时,该协议与Cao等的协议相比计算量更少,但是Islam协议需要会话参与双方进行信息交互,并且Islam等并没有形式化的对协议进行安全性证明。

表1将双方会话密钥协商协议在计算开销和交互轮数方面进行比较,表2在安全属性、安全模型以及基于的数学困难问题方面进行比较,相关符号如表3所示。基于离散对数的协议因未使用双线性对,计算开销较小,但满足的安全属性较少,且大多未形式化证明协议的安全性,整体安全性较差,例如DH协议,仅需要两次幂运算,但并不能实现完美前向安全性等安全属性。又如在Ghoreishi等[18]提出的协议中,虽然只运用了少量的乘法运算,但并没有实现未知密钥共享、抵抗密钥值偏移攻击等安全性,因为其协商过程缺少认证,其计算量自然就降低。攻击者可以篡改其参数值,那么安全属性就得不到保障。在基于双线性对的协议虽然计算开销较大,但在安全性方面做得较好,大都运用可证明安全理论证明协议的安全性(文献[4-5,12,23,25]),实现多数安全属性,例如王等[4]提出的第二种协议,虽然需要双线性对运算和多次乘法和幂运算,但其在标准模型下证明协议满足多种安全性,例如其无会话密钥托管性是利用双线性对的性质以及CDH困难问题来逆向证明实现的;又如高志刚等[5]提出的两种协议,从表中可以看到其需要对运算、乘法及幂运算,但也满足多种安全属性,在协议安全模型中,攻击者具有获取用户私钥、获取会话密钥和篡改协议的传输消息等多种能力,在该安全模型下证明协议的安全性后就可以知道协议满足已知会话密钥安全性、未知密钥共享安全性和抵抗密钥泄露伪装攻击等,同时协议采用消息认证码算法增加了密钥确认过程,相应地也增加了协议的运算量。

 

表1 双方会话密钥协商协议性能比较

  

ProtocolPairingMulExpAddHashNo.ofpasses不使用双线性对Xie[8]058251Cao[9]050221D⁃H[13]002001Islam[15]040231Ghoreishi[18]050001Ghoreishi[19]060221基于双线性对Wang⁃1[4]124011Wang⁃2[4]125011Gao⁃1[5]234011Gao⁃2[5]235011Chen[12]125211Smart[20]220001Shim[22]120201Mcc⁃1[23]131101Mcc⁃2[23]131101Liu⁃1[25]323011Liu⁃2[25]324011Li[27]180332

 

表2 双方会话密钥协商协议安全属性比较

  

ProtocolSecuritypropertiesKSKBFSPFSMFSKCIUKSKCKOAecurityModelAssumption不使用双线性对Xie[8]√√√√×√√√√ROCDHCao[9]√√√√√√√√×ROCDHDH[13]√√××√××√×××Islam[15]√√√√√√√√√××Ghoreishi[18]√√×√××√√×××Ghoreishi[19]√√√√√√√√×××

 

续表2

  

ProtocolSecuritypropertiesKSKBFSPFSMFSKCIUKSKCKOAecurityModelAssumption基于双线性对Wang⁃1[4]√√√×√√×√√Standardq⁃ABDHEWang⁃2[4]√√√√√√√√√Standardq⁃ABDHEGao⁃1[5]√√√×√√×√√StandardDBDHGao⁃2[5]√√√√√√√√√StandardDBDHChen[12]√√√×√√×√×StandardBDH/q⁃BDHISmart[20]√√××√√×√×××Shim[22]√√√×√√×√×××Mccullagh⁃1[23]√√√×√√×√×ROBIDHMccullagh⁃2[23]√√√√√√√√×ROBIDHLiu⁃1[25]√√√×√√×√×StandardDBDHLiu⁃2[25]√√√√√√√√×StandardDBDHLi[27]√√√√√√√√√××

 

表3 相关符号定义

  

符号定义Pairing双线性对运算Mul群上乘法运算Exp求幂运算Add加法运算Hash哈希运算No.ofpasses交互轮数

4.2 群组密钥协商协议对比

表4、表5将群组会话密钥协商协议在计算性能和安全方面进行对比。对比发现,群组密钥协商协议计算开销较大时,一般其满足的安全属性也较多,并形式化证明安全性,以计算代价换取协议的高安全性。例如张等[43]提出的协议,双线性对和乘法的运算量与群成员的数量成正比,运算量随着群成员数量增加而线性增长,计算开销极大。但协议的安全性确实得到了保障,每个群成员需要利用双线性对的性质验证成员的身份信息以及密钥的一致性,同时盲密钥注册方案保证了成员身份的匿名性,这些都相应增加了计算成本。又如Wu等[38]提出的群密钥交换协议,双线性对、乘法、加法、幂运算数量都与群成员数量线性相关,计算开销大,但其每收到一轮信息,均会进行相应的验证工作以达到主动监测恶意攻击者的目的,因此其计算开销必然增加。当协议的对运算、求幂运算等运算次数较少时,实现的安全属性也相应较少,以牺牲协议的安全换取较高的效率。例如Shi[29]等提出的基于身份的一轮群密钥协商协议,当用户的长期私钥泄露时,攻击者可以根据多个群成员的私钥计算出会话密钥,且一旦攻击者篡改消息,用户没有相应的验证机制来检测篡改消息,同时协议没有克服基于身份的协议的固有的会话密钥托管的缺陷,从而可以看出设计简单的协议是以安全性为代价换来的计算开销的降低。

 

表4 群组会话密钥协商协议性能比较

  

ProtocolPairingMulExpAddHashNo.ofpassesZhang[28]888331Shi[29]1n0n-101HE⁃HAN[30]35n-304n-5n1Yao[31]n+52n+607n-32n+23Zhou⁃1[33]2n-22n-204n-33n-21Zhou⁃2[33]3n+413n-22+n2Teng[34]2n-2n+106n-62n+12Chen[36]04n+13n-1002Wu[38]3n+2n+9n-12n+642Wu[39]14n-3n+1001Zhang[40]34n-3n+102n1Zhang[41]14n-3n+1001Wei[42]2n+22nn+1001Zhang[43]3n2n+402n-101Chen[44]45n+309n-72n1

 

表5 群组会话密钥协商协议安全属性比较

  

ProtocolSecuritypropertiesKSKBFSPFSMFSKCIUKSKCKOAecurityModelAssumptionZhang[28]√√√√√√√√√×BDHShi[29]√√××√√×√××DLHE⁃HAN[30]√√××√√×√××DLYao[31]√√√√√√√√√ROBDH/DHZhou⁃1[33]√√√√√√√√×RODBDHZhou⁃2[33]√√√√√√√√√RODBDHTeng[34]√√√√√√√√√ROBDH/CDHChen[36]√√√√√√×√√ROCDH/DLWu[38]√√√√√√√√√RODBDH/CDHWu[39]√√√√√√√√×Standardn⁃BDHEZhang[40]√√×√√√√√√ROk⁃BDHEZhang[41]√√√√√√√√√××Wei[42]√√√√√√√√√××Zhang[43]√√√√√√√√√RODBDHChen[44]√√√√√√√√√ROCDH/k⁃BDHE

5 结 语

会话密钥协商协议近年来取得迅速发展,在双方会话密钥协商协议的研究中,基于双线性对的密钥协商协议因其在安全性方面取得的良好性质,适用于保密通信等安全需求较高,但对效率性能的要求较为普通的环境中;不使用双线性对的会话密钥协商协议,因其简单实用的设计,在效率性能方面具有突出的表现,在对实时性要求较高而对安全性的需求不高的环境中较为适用。在群组会话密钥协商协议中,对称群组密钥协商协议与非对称群组密钥协商协议因为使用的技术手段不同,各自的效率性能与安全性也都不尽相同,在不同的环境中需要根据实际的情况进行选择应用,对称群密钥协商协议允许组内成员安全地通信,可以应用于视频会议、网络电话、文件共享等,非对称群组密钥协商协议不但能够提供组内加密通信,而且能够提供广播功能,只有合法用户才可以解密,能够在分布式环境、云环境系统中提供广播式加密服务。

在协议的设计过程中,不但需要其充足的复杂度来抵抗攻击,而且要有足够的实用性经济性来真正实现应用,因此需要在设计协议之初就考虑协议需要满足的一些设计原则和目标。

(1) 明确协议需要满足的安全属性。在最开始设计协议时,应当根据协议的设计目的明确协议需要满足的安全属性,虽然满足尽可能多的安全属性是我们设计协议的重要追求,但也需要满足相关性能方面的要求,符合实际环境。

(2) 降低计算复杂度。在构造协议时,要尽可能地降低计算的复杂度,减少复杂的密码运算的数量,节约计算资源,这样既可以在计算能力充足的环境下使用,又可以在资源受限的环境中部署,增加协议的适用性。

(3) 降低通信复杂度。设计协议时,通信参与者互相传递的信息需要尽可能简单,数量要少,这样攻击者获取的信息量就少,降低了会话密钥被破解的风险,同时也降低了通信开销,节省资源。

(4) 减少安全假设数量。在设计协议前,设计者往往需要对协议使用环境进行安全评估,做出适量的安全假设。例如第三方的参与是否为可信的,通信参与者是否可信等,安全假设的数量越多,那么协议的安全性越差,因此需要减少安全假设的数量,提高协议的安全性。

明确设计原则和目标是首要步骤,之后再设计协议,虽然现有的协议在不断地进步发展,但设计新协议时在效率性能、安全性分析、应用与新技术等方向仍然有待更深入研究。

(1) 协议效率性能方面:在设计协议时必须考虑计算开销、通信开销和安全性,在保证安全性的同时,实现高效快速与符合实际需求是会话密钥协商协议必须考虑的问题。分析并改进现有的方案、结合不同密码体制下高效的协议,对设计满足实际需求的高效、安全协议具有重要促进作用,现有的协议在效率性能方面仍然有提升的空间,如何实现更多的安全属性同时降低计算与通信开销是现在会话密钥协商协议主要的研究方向之一。

五是希望国家尽快完善金融监管的各类法律与法规。要抓紧修改、整理和完善《人民银行法》《商业银行法》以及《保险法》《担保法》《证券法》等金融法规;尽早出台银行、证券和保险的监管法规和金融机构市场准入和退出等法规,从而为制度化、规范化的金融监管提供法律依据。只有这样,才能为金融监管中出现的顺周期性提供逆周期监管的科学的法律体系。

(2) 协议安全分析方面:通过建立各种会话密钥协商协议在现代密码学意义上安全的概念,运用可证明安全理论,设计更加高效、更加安全的协议,特别是在标准模型下证明协议的安全性是另一个主要的研究方向,虽然现有的协议或者在随机预言机模型下或者在标准模型下可证安全,但设计更加安全高效且可证安全的协议仍然十分重要。

(3) 协议应用领域方面:会话密钥协商协议特点突出,已经在分布式系统、云计算等许多方向广泛应用。对会话密钥协商协议的新应用领域的不断创新和探索是一个值得关注与研究的重要方向。

(4) 新技术结合方面:随着新技术新方向的不断出现,将会话密钥协商协议与新的技术结合以实现新的更高目标。例如将会话密钥协商协议与区块链技术结合以实现去中心化,到达不需要可信第三方参与的目标。

参考文献

[1] Sun H M, He B Z, Chen C M, et al. A provable authenticated group key agreement protocol for mobile environment[J]. Information Sciences, 2015, 321:224-237.

[2] Luo M, Zhang Y, Khan M K, et al. An efficient chaos-based 2-party key agreement protocol with provable security: Two-party Key Agreement Protocol[J]. International Journal of Communication Systems, 2017, 30(14):e3288.

[3] Xu D, Zhang S, Chen J, et al. A provably secure anonymous mutual authentication scheme with key agreement for SIP using ECC[J]. Peer-to-Peer Networking and Applications, 2017(1):1-11.

[4] 王圣宝, 曹珍富, 董晓蕾. 标准模型下可证安全的身份基认证密钥协商协议[J]. 计算机学报, 2007, 30(10):1842-1852.

[5] 高志刚, 冯登国. 高效的标准模型下基于身份认证密钥协商协议[J]. 软件学报, 2011, 22(5):1031-1040.

[6] Hölbl M, Welzer T, Brumen B. An improved two-party identity-based authenticated key agreement protocol using pairings[J]. Journal of Computer & System Sciences, 2012, 78(1):142-150.

[7] Bellare M, Rogaway P. Random oracles are practical[C]// The 1st ACM Conference on Computer and Communication Security. New York: ACM Press, 1993:62-73.

[8] Xie M, Wang L. One-round identity-based key exchange with Perfect Forward Security[J]. Information Processing Letters, 2012, 112(14-15):587-591.

[9] Cao X, Kou W, Du X. A pairing-free identity-based authenticated key agreement protocol with minimal message exchanges[J]. Information Sciences, 2010, 180(15):2895-2903.

[10] Canetti R, Goldreich O, Halevi S. The random oracle methodology, revisited (preliminary version)[J]. Journal of the Acm, 2000, 51(4):557-594.

[11] 高海英. 可证明安全的基于身份的认证密钥协商协议[J]. 计算机研究与发展, 2012, 49(8):1685-1689.

[12] 陈明. 标准模型下可托管的基于身份认证密钥协商[J]. 电子学报, 2015, 43(10):1954-1962.

[13] Diffie W, Hellman M E. New directions in cryptography[J]. IEEE Transactions on Information Theory, 1976, 22 (6):644-654.

[14] Shamir A. Identity-based cryptosystems and signature schemes[C]// Proceedings of the C RYPTO′84, Lecture Notes in Computer Science 196. Berlin: Springer-Verlag, 1984:47-53.

[15] Islam S H, Biswas G P. An improved pairing-free identity-based authenticated key agreement protocol based on ECC[J]. Procedia Engineering, 2012, 30(4):499-507.

[16] Galindo D, Garcia F D. A Schnorr-Like Lightweight Identity-Based Signature Scheme[C]// Progress in Cryptology-AFRICACRYPT 2009, Second International Conference on Cryptology in Africa, Gammarth, Tunisia, June 21-25, 2009. Proceedings. 2009:135-148.

[17] Ran C, Krawczyk H. Analysis of Key-Exchange Protocols and Their Use for Building Secure Channels[J]. Lecture Notes in Computer Science, 2001, 2045:453-474.

[18] Ghoreishi S M, Abd Razak S, Isnin I F, et al. New secure identity-based and certificateless authenticated Key Agreement protocols without pairings[C]// Biometrics and Security Technologies (ISBAST), 2014 International Symposium on. IEEE, 2015:188-192.

[19] Ghoreishi S M, Isnin I F, Abd Razak S, et al. Secure and authenticated key agreement protocol with minimal complexity of operations in the context of identity-based cryptosystems[C]// International Conference on Computer, Communications, and Control Technology. IEEE, 2015.

[20] Smart N P. Identity-based authenticated key agreement protocol based on Weil pairing[J]. Electronics Letters, 2002, 38(13):630-632.

[21] Boneh D, Franklin M K. Identity-Based Encryption from the Weil Pairing[C]// International Cryptology Conference on Advances in Cryptology. Springer-Verlag, 2001:213-229.

[22] Shim K. Efficient ID-based authenticated key agreement protocol based on Weil pairing[J]. Electronics Letters, 2003, 39(8):653-654.

[23] Mccullagh N, Barreto P S L M. A new two-party identity-based authenticated key agreement[C]// International Conference on Topics in Cryptology. Springer-Verlag, 2005:262-274.

[24] Gentry C. Practical identity-based encryption without random oracles[J]. Lecture Notes in Computer Science, 2006, 4004:445-464.

[25] Liu Z H, Ma H. New two-party identity-based authenticated key agreement protocol without random oracles[C]//Proceedings of the 4th International Conference on Information Security and Cryptology.Beijing:Science Press,2009.78-91.

[26] Chen L, Cheng Z, Smart N P. Identity-based key agreement protocols from pairings[J]. International Journal of Information Security, 2003, 20(4):219-233.

[27] 李娜, 董云卫, 车天伟,等. 可认证无证书密钥协商协议研究与改进[J]. 武汉大学学报(工学版), 2017, 50(1):146-149.

[28] Zhang F, Liu S, Kim K. ID-based one round authenticated tripartite key agreement protocol with pairings[DB]. 2002, oai:CiteSeerX.psu:10.1.1.79.2509.

[29] Shi Y, Chen G, Li J. ID-based one round authenticated group key agreement protocol with bilinear pairings[C]// International Conference on Information Technology: Coding and Computing. 2005,1:757-761.

[30] He Y Z, Han Z. An Efficient authenticated group key agreement protocol[C]//Proc of the 41st Annual IEEE Int Carnahan Conf on Security Technology. Piscataway, NJ: IEEE,2007:250-254.

[31] Yao G, Wang H, Jiang Q. An authenticated 3-round identity-based group key agreement protocol[C]// International Conference on Availability. IEEE Computer Society, 2008:538-543.

[32] Yuan W, Hu L, Li H, et al. Analysis of an Authenticated 3-Round Identity-Based Group Key Agreement Protocol[M]// Computer, Informatics, Cybernetics and Applications. Springer Netherlands, 2012:889-896.

[33] Zhou L, Susilo W, Mu Y. Efficient ID-Based authenticated group key agreement from bilinear pairings[C]// Mobile Ad-hoc and Sensor Networks, Second International Conference, MSN 2006, Hong Kong, China, December 13-15, 2006, Proceedings. 2006:521-532.

[34] Teng J K, Wu C K, Tang C M, et al. A strongly secure identity-based authenticated group key exchange protocol[J]. Science China Information Sciences, 2015, 58(9):1-12.

[35] Zhao J J, Gu D W, Gorantla M C. Stronger security model of group key agreement[C]// Proceedings of 6th ACM Symposium on Information, Computer and Communications Security, Hongkong, 2011:435-440.

[36] 陈勇, 何明星, 曾晟珂,等. 两轮次的可否认的群密钥协商协议[J]. 密码学报, 2016, 3(2):137-146.

[37] Teng J K, Wu C K, Tang C M. An ID-based authenticated dynamic group key agreement with optimal round[J]. Science China Information Sciences, 2012, 55(11):2542-2554.

[38] Wu T Y, Tsai T T, Tseng Y M. A provably secure revocable ID-based authenticated group key exchange protocol with identifying malicious participants[J]. Informatica, 2014, 2014(3):29-42.

[39] Wu Q, Mu Y, Susilo W, et al. Asymmetric group key agreement[C]// Advances in Cryptology - EUROCRYPT 2009, International Conference on the Theory and Applications of Cryptographic Techniques, Cologne, Germany, April 26-30, 2009. Proceedings. 2009:153-170.

[40] Zhang L, Wu Q, Qin B, et al. Identity-Based authenticated asymmetric group key agreement protocol[J]. Journal of Computer Research & Development, 2014, 6196(19):510-519.

[41] Zhang L, Wu Q, Qin B, et al. Asymmetric group key agreement protocol for open networks and its application to broadcast encryption[J]. Computer Networks, 2011, 55(15):3246-3255.

[41] Wei G, Yang X, Shao J. Efficient certificateless authenticated asymmetric group key agreement protocol[J]. Ksii Transactions on Internet & Information Systems, 2012, 6(12):3352-3365.

[43] 张启坤, 王锐芳, 谭毓安. 基于身份的可认证非对称群组密钥协商协议[J]. 计算机研究与发展, 2014, 51(8):1727-1738.

[44] 陈若昕, 陈杰, 张跃宇,等. 无证书非对称群密钥协商协议[J]. 密码学报, 2016, 3(4):382-398.

 
胡志言,杜学绘,曹利峰
《计算机应用与软件》2018年第05期文献

服务严谨可靠 7×14小时在线支持 支持宝特邀商家 不满意退款

本站非杂志社官网,上千家国家级期刊、省级期刊、北大核心、南大核心、专业的职称论文发表网站。
职称论文发表、杂志论文发表、期刊征稿、期刊投稿,论文发表指导正规机构。是您首选最可靠,最快速的期刊论文发表网站。
免责声明:本网站部分资源、信息来源于网络,完全免费共享,仅供学习和研究使用,版权和著作权归原作者所有
如有不愿意被转载的情况,请通知我们删除已转载的信息 粤ICP备2023046998号