文档介绍:山东大学博士学位论文认证和密钥交换协议的分析与设计姓名:张立江申请学位级别:博士专业:信息安全指导教师:王小云 20090410 山东大学博士学位论文认证和密钥交换协议的分析与设计张立江山东大学数学学院密码技术与信息安全教育部重点实验室摘要随着现代计算机通信技术的快速发展和Intemet的广泛应用,如何确保信息安全性的问题已经引起了社会的广泛关注。信息安全和密码学中的一个核心问题就是保证通信的参与者能在一个有敌手存在的环境中进行秘密可靠的通信。这个经常通过认证和密钥交换协议来实现,该协议使得参与者们互相认证对方的身份并且生成一个共享的秘密会话密钥。随后,参与者可以将该会话密钥应用到已有的技术中以实现相互之间的安全通信(比如说,应用加密算法、签名算法以及消息认证码到所有的通信中)。认证和密钥交换协议也是保证电子商务和电子政务安全的基础组成部分和理论保证。认证和密钥交换协议的分析和设计已经成为当前信息安全研究的热点问题。尽管对于认证技术有许多较早的出版物, 大家公 munications oftheACM杂志上的论文是现代认证技术研究的起始点。自此以后,许多认证协议被提出。对密钥交换协议的研究最早是由Diffie和Hellman在1976年提出的。现在,已有许多安全有效的密钥交换协议出现。众所周知,在大多数的情况下认证和密钥交换都是必须的安全属性, 从而产生了可认证密钥交换(AKE)协议。可认证密钥交换协议不仅实现参与者之间的身份认证,而且允许参与者计算共享的会话密钥以实现随后的安全通信。目前,研究认证和密钥交换协议(在本论文中也称可认证密钥交换协议)主要有三种方法:分别是计算复杂性方法,探索性方法(启发式方法)和形式化分析方法。本文分别利用计算复杂性方法和探索性方法对认证和密钥交换协议山东大学博士学位论文作了一些研究。我们的主要工作集中在认证和密钥交换协议的以下几个方面: ,用户希望选择容易记忆的口令作为自己的密钥而不是选择完全随机的口令,因此用户只生成和共享低熵的口令的环境应用更为广泛,并且最近该环境下可认证密钥交换协议的研究引起了研究者的广泛关注。基于口令环境下的安全模型是nhHalevi和Krawczyk首先提出的。在他们的模型中需要一个安全的公钥基础设施(PKI)存在。这是一个很强的前提,因而我们希望避免使用它。Goldreich和Lindell提出了第一个不需要任何附加前提的可证明安全协议。该协议的安全性基于陷门置换的存在性。但是,他们的协议非常复杂从而并不实用。最近,Katz,Ostrovsky和Yung提出了一个有效并实用的基于口令的可认证密钥交换协议(KOY)。随后,Gennaro和Lindell对KOY协议进行了改进(GL)。此外,Gennaro还通过减少协议的通信带宽的方式改进了KOY协议和GL协议的有效性。在第四章中,我们提出了一个新的基于口令的可认证密钥交换协议。新协议基于Cash,Kiltz和Shoup在2008年欧密会上提出的孪生确定Dittie- Hellman假定。在Cash等的论文中,他们也提出了一个基于口令的可认证密钥交换协议。但是他们协议的安全性是基于随机谕示假定的。普遍认为即使随机谕示被一个所有用户都知道的确定函数()取代,设计的协议仍然是安全的。然而,ti,Goldreich和Halevi指出当前没有任何确定的函数可以取代随机谕示。因此,这些协议的安全性仍然是探索性的。而我们提出协议的安全性是在标准模型下证明的。目前,。除此之外,新提出的协议在有效性上与以前提出的标准模型下基于口令的可认证密钥交换协议是可比较的。具体的说,利用Shamir的指数加速算法,新协议中每方需要大约7次指数运算。而且,协议中的一些数值可以山东大学博士学位论文进行预计算,从而进一步改进协议的有效性。 2001年,ti和Krawzcyk提出了一个著名的安全模型,被称为CK模型。随后,Krawzcyk改进了这个模型以实现弱的前向安全性(wPFS)。然而,这个加强的安全模型依然不能包括参与双方临时密钥暴露攻击和参与’双方静态密钥暴露攻击。最近,hia,Lauter和Mityagin提出了扩展的CK模型(eCK),该模型包含了所有上面提到的安全属性。它被认为是目前最强的安全模型。 NAXOS协议是第一个将安全性建立在eCK模型之下的可认证密钥交换协议。该协议的一个弱点是每个参与者需要进行4次指数运算。最近,Ustaoglu提出TCMQV协议,该协议既有效又安全。但是,CMQV协议有一个不紧的安