认证和密钥交换协议的分析与设计

【摘要】： 随着现代计算机通信技术的快速发展和Internet的广泛应用,如何确保信息安全性的问题已经引起了社会的广泛关注。信息安全和密码学中的一个核心问题就是保证通信的参与者能在一个有敌手存在的环境中进行秘密可靠的通信。这个经常通过认证和密钥交换协议来实现,该协议使得参与者们互相认证对方的身份并且生成一个共享的秘密会话密钥。随后,参与者可以将该会话密钥应用到已有的技术中以实现相互之间的安全通信(比如说,应用加密算法、签名算法以及消息认证码到所有的通信中)。认证和密钥交换协议也是保证电子商务和电子政务安全的基础组成部分和理论保证。认证和密钥交换协议的分析和设计已经成为当前信息安全研究的热点问题。 尽管对于认证技术有许多较早的出版物,大家公认Needham和Schroeder出版在1978年Communications of the ACM杂志上的论文是现代认证技术研究的起始点。自此以后,许多认证协议被提出。对密钥交换协议的研究最早是由Diffie和Hellman在1976年提出的。现在,已有许多安全有效的密钥交换协议出现。 众所周知,在大多数的情况下认证和密钥交换都是必须的安全属性,从而产生了可认证密钥交换(AKE)协议。可认证密钥交换协议不仅实现参与者之间的身份认证,而且允许参与者计算共享的会话密钥以实现随后的安全通信。 目前,研究认证和密钥交换协议(在本论文中也称可认证密钥交换协议)主要有三种方法:分别是计算复杂性方法,探索性方法(启发式方法)和形式化分析方法。 本文分别利用计算复杂性方法和探索性方法对认证和密钥交换协议作了一些研究。我们的主要工作集中在认证和密钥交换协议的以下几个方面: 1.标准模型下安全的基于口令的可认证密钥交换协议 在现实环境中,用户希望选择容易记忆的口令作为自己的密钥而不是选择完全随机的口令,因此用户只生成和共享低熵的口令的环境应用更为广泛,并且最近该环境下可认证密钥交换协议的研究引起了研究者的广泛关注。 基于口令环境下的安全模型是由Halevi和Krawczyk首先提出的。在他们的模型中需要一个安全的公钥基础设施(PKI)存在。这是一个很强的前提,因而我们希望避免使用它。Goldreich和Lindell提出了第一个不需要任何附加前提的可证明安全协议。该协议的安全性基于陷门置换的存在性。但是,他们的协议非常复杂从而并不实用。 最近,Katz,Ostrovsky和Yung提出了一个有效并实用的基于口令的可认证密钥交换协议(KOY)。随后,Gennaro和Lindell对KOY协议进行了改进(GL)。此外,Gennaro还通过减少协议的通信带宽的方式改进了KOY协议和GL协议的有效性。 在第四章中,我们提出了一个新的基于口令的可认证密钥交换协议。新协议基于Cash,Kiltz和Shoup在2008年欧密会上提出的孪生确定Diffie-Hellman假定。在Cash等的论文中,他们也提出了一个基于口令的可认证密钥交换协议。但是他们协议的安全性是基于随机谕示假定的。普遍认为即使随机谕示被一个所有用户都知道的确定函数(比如SHA-1)取代,设计的协议仍然是安全的。然而,Canetti,Goldreich和Halevi指出当前没有任何确定的函数可以取代随机谕示。因此,这些协议的安全性仍然是探索性的。 而我们提出协议的安全性是在标准模型下证明的。目前,这个新协议是第一个标准模型下基于孪生确定Diffie-Hellman假定可证明安全的基于口令的可认证密钥交换协议。 除此之外,新提出的协议在有效性上与以前提出的标准模型下基于口令的可认证密钥交换协议是可比较的。具体的说,利用Shamir的指数加速算法,新协议中每方需要大约7次指数运算。而且,协议中的一些数值可以进行预计算,从而进一步改进协议的有效性。 2.随机谕示模型下安全有效的可认证密钥交换协议 2001年,Canetti和Krawzcyk提出了一个著名的安全模型,被称为CK模型。随后,Krawzcyk改进了这个模型以实现弱的前向安全性(wPFS)。然而,这个加强的安全模型依然不能包括参与双方临时密钥暴露攻击和参与双方静态密钥暴露攻击。最近,LaMacchia,Lauter和Mityagin提出了扩展的CK模型(eCK),该模型包含了所有上面提到的安全属性。它被认为是目前最强的安全模型。 NAXOS协议是第一个将安全性建立在eCK模型之下的可认证密钥交换协议。该协议的一个弱点是每个参与者需要进行4次指数运算。最近,Ustaoglu提出了CMQV协议,该协议既有效又安全。但是,CMQV协议有一个不紧的安全性证明。 在第三章中,我们提出了CMQV协议的一个改进版本CMQV+。该新协议也是一个基于Diffie-Hellman方法的可认证密钥交换协议。它满足如下特性: (ⅰ)与NAXOS协议相比,CMQV+协议更加有效。因为CMQV+协议的计算可以利用Shamir的指数加速算法从而平均减少0.75次指数运算,所以在每次协议的执行过程中,CMQV+协议只需要进行3.25次指数运算,而NAXOS协议需要4次。 (ⅱ)与CMQV协议相比,CMQV+协议在eCK模型下有一个紧的安全性证明。在CMQV协议中,模拟器通过与敌手的一次交互无法回答CDH谕示。因此模拟器必须同敌手进行新一轮的交互,并且要基于相同输入,相同抛币并对模拟过程进行合适的修改。利用分叉引理的证明方法,模拟器对CDH谕示作出回答。分叉引理的使用导致无法得到一个紧的安全性归约。因此,我们对CMQV协议进行了修改,使得模拟器可以通过一次交互就可以回答CDH谕示。这样以来,安全性证明就避免使用到分叉引理,从而使得安全性归约是紧的。 目前,CMQV+协议是eCK模型下有紧的安全性证明的最有效的可认证密钥交换协议。 3.远程用户认证和密钥交换协议的分析和设计 当前,远程用户认证和密钥交换协议也成为一个重要的安全机制,它使得服务器和用户可以在不安全的信道上相互认证身份,并且进一步保证只有合法的用户可以访问到远程服务器提供的资源。 在第五章,我们用探索性方法分析了一个远程用户认证协议。我们证明了该远程用户认证方案是完全可破解的。我们还提出了一个改进方案并给出了安全性分析。 1981年,Lamport提出了第一个基于口令的远程认证方案。随后的几个方案在安全性和有效性方面做出了改进。Hwang和Li发现如果口令表被敌手得到,这些方案将部分或者全部被破解。同时,他们提出了利用智能卡的远程用户认证方案来解决这些方案中存在的问题。不久,Chan-Cheng,Shen-Lin-Hwang,Chang-Hwang和Leung等提出了许多方案以增强安全性或者改进有效性。2004年,Kumar基于Shen-Lin-Hwang的方案提出了一个远程用户认证方案。新的方案可以同时抵抗Chan-Cheng和Shen-Lin-Hwang的攻击。 在2000年,Boneh和Franklin提出了一个实用的利用双线性对的基于身份的加密方案。自此以后,许多利用双线性对的基于身份的密码方案被提出,比如签名方案和可认证密钥交换协议。2006年,Wang和Chai提出了一个利用双线性对的远程用户认证方案。 在第五章中,我们首先回顾了Wang-Chai的方案并对他们的方案进行了安全性分析。我们证明Wang-Chai提出的方案完全不能抵抗冒充攻击。也就是说,一个敌手在获得一个以前的合法登录消息后(比如通过搭线窃听的方式),根据这个合法的登录消息可以很容易的伪造出另一个有效的登录消息,并通过远程服务器的认证,从而冒充合法用户访问远程服务器上的资源。 其次,我们基于Wang-Chai的方案提出了一个基于双线性对的远程用户认证和密钥交换方案。该方案由初始化阶段,注册阶段,登录阶段以及认证和会话密钥协商阶段四个阶段组成。我们证明新方案既可以抵抗上述冒充攻击又可以抵抗重放攻击,并且实现了完备的前向安全性。此外,新方案还实现了双向认证和会话密钥协商。