基于身份的可证安全的密钥协商协议的研究.docx

《基于身份的可证安全的密钥协商协议的研究.docx》由会员分享，可在线阅读，更多相关《基于身份的可证安全的密钥协商协议的研究.docx（38页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、基于身份的可证安全的密钥协商协议的研究分类号：单位代码：密级：学号：硕士学位论文论文题目：基于身份的可证安全的密钥协商协议研究一队作者姓名蔡洋学院名称计算机科学与技术学院专业名称计算机应用技术指导教师徐秋亮教授合作导师年月日原创性声明本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡献的个人和集体,均已在文中以明确方式标明。本声明的法律责任由本人承担。期:？&丛？么？论文作者签名：荔峰关于学位论文使用授权的声明本人同意学校保留或向国家有关部门或机构送交论文的

2、印刷件和电子版,允许论文被查阅和借阅;本人授权山东大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。保密论文在解密后应遵守此规定?概:群翩签名编山东大学硕士学位论文目录摘要?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.第章绪论.研究背景和意义?.本文的组织安排和主要研究成果?第章背景知识.密钥协商协议的安全属性?.双线性配对?.目标抗碰撞函数第章可证安全的密钥协商协议的安全模型.安全模型的发展历程.安全模型的分析与比较第章基于身份的密钥协商协议?.基于身份的密钥协商协议?.一个新的基于身份的密钥协商协议第章总

3、结与展望？。参考文献?.致谢?攻读学位期间发表的学术论文及参与的科研项目.山东大学硕士学位论文.？9?9?99999?9?999999999999999999999999999?999?9?9999.?.?之?,999999999999 o 9?999? o 9? q 999999?9999999999 o o o o o o o o o o o o o o o o o .?山东大学硕士学位论文摘要本文的主要工作分为三个部分,第一部分从可证安全的角度介绍了密钥协商协议中的几个经典模型，给出了几个模型的具体描述,优缺点比较。第二部分概括性的介绍了基于身份的密钥协商协议发展过程中的几个比较经典的方

4、案，对比总结了几个协议的有点及共同问题等。第三部分在一个密钥封装机制方案的基础上,提出了一个基于弱假设的基于身份的密钥协商协议，并在标准模型下给出了新协议的形式化证明。自从年,和提出了密钥协商协议的概念并给出了第一个密钥协商协议的描述,大量的基于公钥密码体系的密钥协商协议被相继提出。到提出了基于身份的密码体系，免去了公钥体系下证书管理的开销,密钥协商协议进入到了基于身份领域的新篇章。随后将双线性对理论引入到密钥协商协议中来,和给出了第一个基于双线对的可证密钥协商协议的描述,提出了第一个基于双线性对的认证密钥协商协议,密钥协商协议的研究日趋成熟和多元化。在文章中，我们列举了几个经典的密钥协商协议

5、,介绍了每个协议的创新点,协议的基本执行过程,执行效率及优缺点比较等。通过比较分析这些协议，可以帮助我们设计出更高效更安全的密钥商协议。在密钥协商协议的安全性方面,如何证明一个新的密钥协商协议是安全的也是当今密码学界研究的一个重要问题。自年和提出了随机预言模型的概念后，同年提出了第一个形式化描述的密钥协商协议安全模型,在模型中给出了认证和安全的密钥协商协议等的定义，同时给出 T攻击者能力的描述。在这之后，几个经典的模型如,，等安全模型相继诞生。在本文中详细的介绍了这几个模型,通过比较的方式给出T各个模型的具体描述及各自的优缺点。受到等提出的一个密钥封装机制的启发,本文最后提出了一个标准模型下基

6、于身份的认证密钥协商协议,该协议基于较弱的假设并且我们给出了其在标准模型下形式化的证明。新协议具有如下特点：基于较弱的安全性假设。目前绝大多数密钥协商协议研究领域的论文基于山东大学硕士学位论文的是较强的假设或者其他判定假设的变形,而本文提出的协议基于较弱的假设。该协议采用的标准模型。现有文献中大部分安全的基于身份的密钥协商协议,都只是在随机模型下得到了证明。但是随机模型的安全与现实世界的安全不同，因为他所依赖的随机预言假设是现实世界所无法实现的。另一方面，标准模型下的证明因为其安全性是建立在底层数学难题难解性的基础上的,所以具有更高的安全性。该协议具有公开可验证性，即任何公开第三方都可以验证协

7、议建立过程中所传输的消息的一致性。关键词:认证密钥协商;标准模型;基于身份密码体系;可证安全山东大学硕士学位论文山东大学硕士学位论文；山东大学硕士学位论文第章绪论.研究背景和意义自从年世界上第一台计算机诞生到如今已经近六十多年的时间,在这六十年里,计算机领域得到了全面快速的发展，第一台计算机诞生、互联网技术的提出等等标志性的事件记录着信息领域的各种突出成果。现如今，家用电脑已经得到了广泛的普及，互联网传输速度正在飞快的发展，各种移动设备如手机、平板电脑正在向着更快更时尚的方向发展，给人以无国界的信息传递与通信。随着技术的不断发展和进步,现如今不管你在世界的任何角落,都可以通过各种实时通讯软件与

8、自己认识或不认识的人进行通信，进行消息、数据的传递与共享。每时每刻都有大量的数据正在网络环境中进行传输,这数据都是公开可获取的,那我们要如何保证自己通信的消息数据不被其他人取或者修改呢尤其是最近的诸多新的技术和思想如云概念、分布式计算技术及对安全要求较高的电子政务、电子商务、网上银行、手机银行等等，对于息的安全性、完整性、保密性提出了更高的要求。我们要怎么保证自己的身证号码,银行账号和密码,或者是个人隐私信息等不被网络中恶意的参与者取呢这些对提出的更高的要求,要求现有的技术能够实现在不安全的网络环境中建立安全的通信信道，同时必须具有如下的安全属性：数据保密性。即保证传输的数据不会被泄露,既要保

9、证一次连接中的所有用户数据及用户的隐私消息不会被泄露，同时还要防止攻击者进行流量分析获取信息。为了达到消息保密性的效果,我们一般对发出的消息进行加密,保证即使攻击者获取了加密的消息也不会破解得出用户信息。数据完整性。保证在通信过程中收到的消息没有被修改,没有被插入其他消息,没有被删除或者被重放,即保证收到的消息和发出的消息是一致的。为了达到这一目的，我们一般采用加密算法、哈希函数或者是消息认证码，的方式,来检测消息是否一致。实体认证。通过验证参与通信的实体是否是其所声称的实体,来保证参与通信的参与方的真实性。山东大学硕士学位论文访问控制。阻止对资源的非授权使用，即限定访问指定数据的人员、时间及

10、权限等。通过该方式可以防止网络或主机中存储的数据不被越权访问或非法访问。不可否认性。防止整个或者部分通信过程中,任何一个通信实体否认其曾经发送过某消息或执行过某操作。因此,当消息发出后，接收方能够证明消息是由声称的发送方发出的。同样接收消息后,发送方能够证明消息事实上却是由声称的接收方收到。在年，贝尔实验室的在论文保密系统的通信理论/第一次提出了信息论的概念，同时这也是第一篇公开发表的密码学文献。在这文章中把信息论的概念引入到密码学领域中，提出采用数学的思想去解决密学的相关问题,标志着密码学成为了一个独立的学科。如何将密码学的研究果应用到我们平时的网络应用中，解决上述的信息保密性完整性等问题，

11、是多研究者的共同目标和方向。但是无论是对称密码学的算法,算法，还是公钥密码学的算法,证书体制等等,都涉及到密钥的安全性问题。一旦密钥被泄露或者是被破解,攻击者就可以任意的伪造加密信息,破解采用密钥所加密的信息,伪装成该参与方伪造签名等。所以密钥的安全性是整个码体系是否健全的核心因素，因为他直接影响到整个密码技术的安全使用。保证密钥的安全，就要保证密钥建立过程及密钥保管使用过程中的安全性。而密钥协商协议就是为了保证密钥建立过程中的安全性也提出的，密钥协商协议的目标是在不安全的公开传输环境中，双方通过几轮的交互生成只有双方掌握的密钥。密钥协商协议是密钥管理体系的一个重要部分,不同于密钥分配协议，由

12、参与通信的一方一般是具有普遍公信力的权威机构生成密钥然后分配给其他的参与方,在密钥协商协议中，参与通信的各方均不能独立生成密钥,而是通过互相协商的方式生成共有的密钥。在协商的过程中，要保证每个参与方O对最终密钥均有贡献。在年，和在文献【中第一次提出了公钥密码学的概念，开启了现代密码学的新篇章。公钥密码学不同于之前的对称密码学,用于消息加密和解密的密钥是不同的，进行通信的双方不需要提前协商一个统一的密就能达成保密通信，消息的发送方只需要提前知道接收方的公钥信息,就能山东大学硕士学位论文的送秘密信息给接收方。同时根据这个概念提出了密钥协商概念,该协议允许两个通信参与方和可以在公开的信道上通过传递消

13、息的方式,生成双方共享的保密会话密钥o该方法的安全性是建立在离散对数问题难解性的基础之上,即使公开信道中存在恶意的攻击者以获取所有双方的传输消息，但是在没有双方私钥的情况下，仍然无法破解话密钥。但是由于在方案中没有考虑到认正参与方身份的能力，所以无法抵挡中间人攻击.。对于任何一个攻击者,都可以伪装成合法的会话参与方,与其他成员进行密钥协商过程,而其他成员仍认为自己和合法的参与方进行着通信。在和提出了基于公钥体系的密钥协商协议后，许多学者参与到了这个领域的研究,也提出了大量的有认证功能,能够抵抗中间人攻击且具有其他安全属性的密钥协商协议。其最著名的当属，等提出的协议,该协议具有较高的执行效率并且

14、能够很好的抵抗若干主动攻击,所以该协议被很多组织标准化,并被美国安全局采用作为保护美国政府信息安全的下一代密码体制。在年,在】中指出该协议不能抵抗多种主动攻击,并且长期以来一直没法在严格的密钥协商模型下去证明该协议的安全性，提出了一个改进的协议o近年来又产生了针对的若干种改进协议，如,11,o上述基于公钥体系下的密钥协商协议都是采用将密钥协商过程的认证性转化为长期密钥的认证性的思路上来达到认证的目的。协议假设双方都持有一对公/私钥对,并且双方都知道彼此的公钥,在密钥协商过程中，他们通过交换生成一个临时的密钥,通过将临时密钥和长期私钥进行组合得到最终的共享会话密钥。因为长期密钥的真实性是通过进行

15、认证的，所以保证了只有合法的参与方才能生成对应的共享密钥。上述是基于公钥体制的密钥协商协议的发展,但是公钥体制存在着证书信息管理量大，管理困难等诸多问题。所以在年提出了基于身份的密码体系的设想,在基于身份的密码体制中，系统不需要证书,可以使用用户的身份标识如姓名，邮箱，地址等作为自己的公钥,而私钥由一个可信第根据用户的公钥进行生成。三方一私钥生成中心，利用用户的身份信息生成公钥的方法，不需要保存用户的证书信息,避免了证山东大学硕士学位论文书管理的开销,大大简化了证书管理的过程。由此可见,基于身份的密码体系相对于基于身份的密码体系的有了长足的进步。在年，第一个将双线性配对由密码分析领域引入到密钥

16、协商协议的构建中来，提出了一个一轮的三方间密钥协商协议。该协议标志着密钥协商协议的研究进入了一个新领域，大量的基于双线性对的密钥协商协议被相继提出。在年，和提出了第一个基于双线性对的可证密钥协商协议。首次在该领域引入认证的概念，提出了一个基于双线性对的可证的认证密钥协商协议。在密钥协商协议的安全性方面,如何证明一个密钥协商协议是安全的也是当今密码界研究的一个非常重要的问题。在年，由和【率先提出了随机预言模型，成为可证安全领域的一个重要手段。但是怎么采用去证明密钥协商协议的安全性呢由此，和两人在同一年提出了.模型模型，形式化的证明了一个密钥协商协议的安全性,解决了该问题。随后在年，和】两人又提出

17、一个针对三方的密钥协商协议方案模型,在该方案中对模型进行了扩展,允许攻击者获取参与方长期密钥的能力。在年,，及提出了一个针对认证问题和密钥交换问题的可计算安全模型模型，提出可以采用模拟的方法来证明方案的正确性。年，和“基于模型及上述模型，提出了一个具有更高强度的安全模型模型。在其基础上，等入提出了扩展的模型模型,该模型不仅具有模型的安全特性，同时能够抵抗密钥泄露伪装和临时密钥泄露等攻击。在目前来说,对密钥协商协议提出了更多的新要求,不仅仅要求新的密钥协商协议具有更高的安全属性,能够抵抗多种被动、主动攻击。同时也要求协议具有较高的执行效率,具有较低的计算量,较少的通信量,较低的轮复杂度。同时要求

18、新协议能够基于较弱的安全性假设,能够具有诸多特性如公开验证等。针对不同的应用环境,也出现了基于属性的密钥协商协议,具有跨域特性的密钥协商协议等新方向。山东大学硕士学位论文.本文的组织安排和主要研究成果本文的研究重点是双方的可证密钥协商协议,首先我们在前人的基础上分析了各个阶段经典的密钥协商协议安全模型，然后分析了几个经典的基于身的密钥协商协议，对他们的效率、安全性等进行了比较分析。最终提出了一标准模型下的密钥协商协议,并在.的安全模型下给出了协议的证明。具体的组织内容如下：第一章,介绍了本文的研究背景和意义,介绍了密码学的广泛应用及密钥协商协议在密码学中的重要地位。重点介绍了基于公钥体系的密钥

19、协商协议基于身份的密码协商协议的发展过程，阐述了本文的组织安排和主要获得的究成果。第二章,介绍了本文中所涉及到的相关基础知识。包括密钥协商协议的基本安全属性,双线性对的定义以及双线性对相关的若干复杂性假设等知识。时给出了本文提出方案所基于的安全模型的描述。第三章,研究了可证安全的密钥协商协议中几个经典的安全模型。这里首先介绍了模型,模型,模型等几个经典模型,给出了几个模型的形式化描述,介绍了其中的关键定义,提出的背景等知识。然后对几个方案的特点，优缺点进行了比较和总结，并且通过比较其中对攻击者能力的定来探求安全属性差异的内在原因。第四章,本章的主要工作分为两个部分,首先概括性的介绍了基于身份的

20、密钥协商协议发展过程中的几个经典的方案。在总结了这几个方案的共同问的基础上，提出了一个新的密钥协商协议。在这里首先给出了密钥封装机制定义和等提出的密钥封装机制的描述。在其基础上提出了一个新的密钥协商协议,新的协议基于假设，同时具有公开可验证性。最后在，的安全模型下给出了该方案的形式化证明及安全性分析。第五章,对全文的研究内容和已经取得的研究成果进行了总结,并且展望了未来的研究方向。山东大学硕士学位论文第章背景知识.密钥协商协议的安全属性密钥协商协议的安全属性基于对攻击者能力的假设,而攻击者的目的就是要攻破这些安全属性。在密码协议分析中我们讲攻击者分为两种,被动攻击者和主动攻击者。其中被动攻击者

21、只能监听通信信道，但是不能修改和插入信息而主动攻击者具有更为强大的能力，在监听信道外还能够对传输的消息进行修改、删除、重放、插入自己信息等操作。我们在这里先介绍密钥协商协议的各种非正式的安全定义,即安全属性。密钥协议安全属性包括：已知密钥安全.。当两个协议参加者之间通过协商生成的会话密钥泄露,攻击者不会根据已有的临时密钥值计算出其他的会话密钥的值,即不会对其他会话密钥的安全性产生影响。这是密钥协商协议最基本的安全属性，保证了会话密钥之间的独立性。前向安全o 一个或多个协议参与方的长期密钥泄露后，不会导致之前协商生成的会话密钥泄露。在这里前向安全分为部分前向安全和完全前向安全，部分前向安全指部分

22、参与方的长期密钥泄露,不会泄露之前协商生成的会话密钥。而完全前向安全是指，即使全部参与方的长期密钥都泄露了，也不会影响到之前建立的会话密钥的安全性。o协议参与方抗密钥泄露伪装.的长期密钥泄漏后，攻击者当然能够模仿与其他参与方进行密钥协商，但是不能伪装成其他参与方与协商。抗未知密钥分享。当与完成密钥协商过程后,不会错误的以为是跟完成的协商过程。无密钥控制。会话密钥生成后，协议参与方必须对会话密钥有相同的贡献,会话密钥的值不受任何一方控制。抗临时私钥泄露攻击o为了保山东大学硕士学位论文证会话密钥的唯一性,在计算会话密钥的过程中会加入临时私钥。抗临时私钥泄露即保证即使临时私钥泄露，攻击者也不会计算出

23、对应的会话密钥。.双线性配对在这里我们要介绍本文所采用的基本工具?双线性配对也称为双线性对，o双线性配对在基于身份的密码体制中有着较广泛的使用，一般的双线性对均可以通过椭圆曲线上的.对和对得到。年，第一个将双线性配对由密码分析领域引入到密钥协商协议的构建中来,提出了一个一轮的三方间密钥协商协议。.双线性映射是一个加法循环群，阶为，是和同阶的乘法循环群。是的一个生成元。定义双线性映射又一，并且其满足以下三个条件：双线性:对于，w和，e：,我们有非退化性:对于所有的生成元，就是的生成元。即，。可计算性:假设，匕我们可以在多项式时间内计算，。.离散对数相关的复杂性假设在这里,我们简单介绍下相关的问题

24、及其假设。问题：即计算问题o群是由生成元生成的群，其阶为。对于任意的，匕给定扫，计算出夕叩。问题：即判定问题0群是由生成元生成的群，其阶为。对于任意的，;，给定口，扫,，判断等式扫是否成立。假设及假设即不存在多项式时间算法,能够以不可忽略的优势解决问题和问题。山东大学硕士学位论文.双线性映射相关的复杂性假设基于双线性的问题已经被广泛的用于构建密码方案,特别是密钥协商方案中。问题:即双线性问题。假设，是上述的加法循环群和乘法循环群,是的生成元。对于任意的玛，W ；,给定,，,计算，e问题:即判定双线性问题。假设,是上述的加法循环群和乘法循环群,是的生成元。对于任意构，以及随机元素匕给定,，判断等

25、式,是否成立。问题:即计算双线性问题。给定符合问题的,及一,计算，e。假设即计算双线性问题是一个困难问题,就是说不存在多项式时间算法,能够以不可忽略的概率求出问题的解：S,】.目标抗碰撞函数目标抗碰撞，函数是函数族中的一种。我们采用丧：+表示一个采用位密钥的函数。对于一个攻击者，其对于函数的优势被定义为：w：+，？三；+,?】对于任何多项式时间攻击者,其矗是可以忽略的，则我们称之为目标抗碰撞的函数。这里需耍注意的是目标抗碰撞是相对于碰撞抵抗来说更弱的一个需求，所以任何实际中的碰撞抵抗函数都可以作为目标抗碰撞函数使用。山东大学硕士学位论文第章可证安全的密钥协商协议的安全模型.安全模型的发展历程自

26、从世纪年代以来,可证安全的密钥协商协议的设计与分析成为了研究热点。可证安全理论的发展有效的推动了安全协议的设计与验证,对于保障协议的安全性和正确性具有重要的意义。在本章节中，我们重点介绍密钥协商协议的安全模型,然后对双方密钥协商协议的模型、三方间密钥协商协议的模型、提出模型化构造方法的模型以及后续的模型、安全程度较高的模型进行了总结,分析他们各自的安全性,并指出各自的安全缺陷,进而可以设计和提出更安全的密钥协商协议。1在年首先提出了可证安全的密钥协商协议的安全和模型，并给出了明确的安全密钥协商协议的定义及攻击者能力的描述,并且给出了一个双方间的密钥协商协议。在年,和两人扩展了上述模型,将双方间

27、的协商协议扩展到三方。我们称上述两个模型为及，两个模型的安全性均是建立在已生成的会话密钥与某随机数的计算不可区分性上的年,，和】等人基于及模型提出了一个模型化的方案构造方法，以此来简化认证密钥协商协议的设计和分析过程。该构造方法被用在了之后及的构造过程中。，和】基于模型,提出了一个双方间加密的密钥协商协议,并且修改了之前协议中查询只能出现在攻击者操作最后的硬性基于限制，使协议的安全性有个新的提升。在中，与模型与的模型化方案构造方法,提出了一个新的安全模型。在年,等人基于模型及的协议提，即。在模型中扩展出了一个新的模型？了攻击者能力，使新的方案能够抵抗密钥泄露伪装攻击。.模型和模型山东大学硕士学

28、位论文模型第一次提出了认证密钥协商协议的定义及双方间密钥协商协议的安全性定义,新模型的提出简化了协议安全性的证明过程。在该模型中所有参与者属于集合，但是中不包括攻击者。每个参与者拥有一个身份及一个长期密钥。协议运行时输入参与者身份,长期密钥及随机数,运行结果可以是接受或拒绝。攻击者拥有参与方实例的集合，每个实例用表示,其中表示参与方想要与建立序号为的会话。攻击者能够通过查询的方式与每个交互,给发送参与方的身份信息,会话标示符及实际消息,等待参与方的回复。所以在这里攻击者被假设为主动敌手。同时协议中定义了良性敌手，良性敌手只能在问简单的传递消息,而不能修改消息。定义.匹配预言机:如果两个及?满足

29、如下条件,则成为匹配语言机：?南的输出消息是?的输入消息?的输出消息是的输入消息密钥协商协议的安全性是通过攻击者的游戏定义的。游戏分为两个阶段，在第一个阶段,攻击者允许执行如下的查询：,由于所有都由攻击者控制,所以攻击者可以向任何发送查询,会按照协议流程运行并给与回复。.攻击者通过这个查询获取参与方实例的会话密钥O定义.新鲜预言机:如果一个预言机?满足如下定义,则称一个预言机为新鲜预言机：南已经接受会话?没有被执行过查询查任何与其建立了匹配会话的预言机?.都没有被执行过询山东大学硕士学位论文当攻击者决定终止游戏的阶段一,攻击者可以执行阶段二,即执行.在这里定义该查询在整个游戏过程中只能执行一次

30、,并且只能在最后执行。攻击者选择一个新鲜预言机发送查询，对应从，集合中随机选择一个数,如果是返回其长期密钥,如果则返回一个符合长期密钥标准的随机数。攻击者在收到结果后需要根据结果作出猜测，猜测其值如果，则攻击者成功猜出结果？。这里定义攻击者优势为：,?!一去.定义.安全的认证密钥协商协议:如果一个协议是一个安全的互相认证协议并且满足如下条件，则该协议为安全的认证密钥协商协议：是良性的攻击者,？南及?知是选定的两个参与者实例。两个总是接受会话,最终生成的会话密钥均匀分布在密钥空间。如果是一个多项式时间的攻击者,则攻击者攻破协议的概率可以忽略。在后续工作中，和副扩展了他们的工作，提出了针对三方间密

31、钥协商的安全模型。在该模型中，两个参与方想要与密钥分发中心建立会话，共享密钥。在模型中，允许攻击者执行、及查询。其中和的接收者分别是协议参与方和密钥分发中心,接收者诚实的运行协议,并返回执行结果。查询与大致相同，攻击者可以通过该获取参与方实例本次会话生成的会话密钥。查询允许攻击者获取参与方的所有内部信息及长期密钥,在后续过程中,攻击者可以根据自己的情况选择替换掉该密钥。在模型代替了中的匹配会话概念表示匹中,采用伙伴函数配关系，在这里伙伴函数的定义为两个实例参与了同一个会话并且生成了相同的会话密钥。.模型及模型，及】在年提出了一个针对认证问题和密钥交山东大学硕士学位论文换问题的可计算安全模型,在

32、这里我们成为模型。该模型不同于以往的模型采用不可区分性证明协议安全性的方法,采用的基于模拟方法的安全证明方法。同时在该文章中提出了一种基于模块化的认证协议构建方法,并且针对的是消息驱动协议。模块化认证协议构造的核心在于全局编译器的设计，在该方法中首先会设计一个在理想的认证模型下可证安全的简单密钥交换协议，然后通过编译器的作用，将其转化为一个在未认证模型下同样安全的密钥交换协议。在这里我们称编译器为验证器,其作用强协议对抗更强更现实的攻击者的能力。在该模型中涉及到若干定义如非认证链路模型,认证链路模型,验证器等若干概念,我们会在下面结合模型一起介绍。在年，和】基于模型及上述模型，提出了一个具有高

33、强度的安全模型,我们称之为模型。其主要目标是通过模块化的协议构建方法,简化密钥交换协议的设计与分析过程。该模型同样采用模型中的不可区分性证明方法，即攻击者无法有效的区分随机数与会话密那么我们说该协议是安全的，同时采用模型中的攻击者模型替换了模型中的攻击者模型,强化了模型的安全性。在证明部分,结合了模型中的不可区分行证明及中的仿真化证明思路,简化了证明的过程。模型中采用了模块化的设计与分析协议的方法,里面涉及到如下的核心概念。非认证链路模型,o非认证链路模型规定了攻击者的能力及协议的运行流程。其中规定攻击者的基能力包括可以监听所有传输消息,可以决定消息的目的地和到达时间，可以意的修改消息及注入自

34、己的消息等等。攻击者的能力可以归纳为如下几个查腐化参与方。攻击者可以在任何时间点腐化一个参与方，可与获取到该参与方的所以内部信息，包括其长期密钥、与会话相关的信息及会话密钥。当参与者被腐化后,攻击者可以完全控制该参与者并且可以伪装成该参与者参与其他会话的建立。会话密钥查询o攻击者可以通过该获取特定会话山东大学硕士学位论文的会话密钥。会话状态查询.。攻击者提供参与者名及他的一个未完成的会话的会话,可以获取该会话的所有内部状态信息。认证链路模型,o认证链路模型中攻击者拥有同样的能力，但是规定只能诚实的在参与方间传输消不允许修改消息。仿真。假设II和H是两个方的消息驱动协议。II运行在中，II）运行

35、在中。如果对于任何模型下的攻击者，总存在一个模型下的攻击者，使得和协议开,交互的运行结果与和协议n的运行结果相同。我们称n在下仿真了 n。验证器。验证器是一个算法，其输入为一个下的协议，输出为一个安全性相同的下的协议。如果对于一个算法,对于任何下协议【，H8可以在下仿真n,则称为验证器。除了上述几个查询外，模型的对于模型中的查询进行了重新定义,取消了攻击者只能在最后才能执行查询的限制。定义允许攻击者在查询?后可以继续上述三种，但是必须保证的新鲜。同时在这里给出了针对模块化协议构造方法的会话密钥安全定义。定义.会话密钥安全:一个密钥交换协议是安全的,如果对于任意模型下的攻击者,他能满足如下条件：

36、如果两个未攻陷的参与者建立了会话，他们输出相同的会话密钥攻击者进行测试会话查询,猜中的概率不超过/,其中是可忽略的。.模型在模型的基础上,等人四提出了扩展的模型模型。模型具备了模型的安全性，同时能够抵抗密钥泄露伪装和临时私钥泄露等攻击。在该模型中,将两个参与方的秘密信息划分为四块,即双方的长期密钥和双方的临时私钥,将临时私钥作为单独的一个部分来对待和处理。在模型中，并没有采用模型中匹配会话的概念,而是采用了模型中匹配语言机的概念。山东大学硕士学位论文在该模型中，每个用户被定义为一个概率图灵机,每个用户均拥有唯一的公私钥对，以及与身份绑定的证书。每个参与者被模拟为一个，表示参与者与参与者的第次会

37、话。在模型中定义了一个主动攻击者,它控制了所有的通信。攻击者可以进行如下的查询：代表参与者发送消息给参与者。诚实的运行协议并给予回复。该查询允许开始与的一次密钥协商会话.获取参与方的长期密钥。.返回?南的临时私钥给攻击者.返回的会话密钥给攻击者。在该安全模型中，去掉了前面几个模型中的查询。在该模型中作者提出查询已经没有必要了，因为通过，,三个查询,攻击者可以获得参与者的所有内部消息，可以代替参与方计算出任何信息。在上述查询执行的任何时刻,攻击者可以选择一个已经完成的会话,执行查询,并且得到挑战值。.在整个游戏过程中该查询只能执行一次，但是可以在游戏的任何时候执行。在接收查询后会从，集合中随机选

38、择一个值，如果是,其会话密钥,否则返回一个随机值,九其中入是系统参数。并且返回挑战值。在接收挑战值后,攻击者需要做一次猜测,猜测是会话密钥还是随机值。如果猜测值正确则攻击者获胜。定义.安全的认证密钥协商协议。在中定义攻击者在认证密钥协商协议的游戏中获胜的优势为：如果不存在攻击者能够以不可忽略的优势获取游戏的胜利，则称该密钥协商协议为安全的。山东大学硕士学位论文.安全模型的分析与比较在介绍完上述经典安全模型后,我们将通过比较的方式,分析各个安全模型的特点与差异，从可证安全的角度总结各个模型的优点与缺点。首先我们分析每个模型达到的安全要求,评价其优缺点，然后我们会通过对各个模型的安全定义和攻击者能

39、力的比较,分析其安全属性的内在原因。通过对各个全模型的比较与分析,有助于将来设计更好更高效的安全协议，同时掌握安模型的换代规律,会对更安全的安全模型的提出起到积极的作用。.安全模型的优缺点分析与比较安全模型是首个针对密钥协商协议领域提出的安全模型,在其中第一次给出了安全协商协议及认证功能等的定义,对于密钥协商协议的设计和安性分析具有重要的作用。但是作为最早提出的模型，模型也有着诸多缺陷。首先它不允许攻击者修改消息或者去腐化参与方获取器长期密钥，即该型没有考虑到前向安全的问题。同时模型中没有考虑恶意参与方的问题,也有考虑密钥控制等相关问题。和在年提出了模型,并在该模型中首次加入了允许攻击者获取参

40、与方长期密钥的查询，但是对于只能在游戏结束时运行的限制仍然存在。显然，由于存在新鲜性的要求,攻击者在做猜测时不能用到任何窃取的长期私钥的信息。因此模型仍然不能满足前向安全性。同时,模型没有考虑互相认证和密钥认证性问题。第三,模型没有考虑密钥控制及其相关的攻击,并且在模型中没有对搭档函数作出明确的定义。模型和模型从本质上来说具有相同的安全定义和安全属性，跟之前的和模型相比,这两个模型有两个突出的贡献,首先取消了查询只能在攻击者操作最后的这一限制,允许攻击者在该查询后仍然能够执行其他的查询。其次提出了模块化的协议构造方法,对于安全密钥协商协议的设计具有指导作用。模型中允许会话状态查询,因此它比模型

41、提供了更高的安全保障。但是其也存在着缺点，即会话是公开的,可能会影响根据这个模型设计出的协议的安全性。同时模型中没有考虑密钥确认及互相认证山东大学硕士学位论文的问题，同时对于密钥控制等问题没有考虑到。年提出的模型是模型的一种扩展,其在模型的基础上提出了临时密钥的安全性问题,并且提出了一个能够抵抗密钥泄露伪装攻击和无密钥控制的安全模型。所以综上所述，模型具有相对较好的安全属性。不仅仅具有已知密钥安全和前向安全的属性，同时能够抵抗密钥泄露伪装、无密钥控制、抗临时钥泄露攻击等特性。.对攻击者能力定义比较在上述几个安全模型中，均是将攻击者模拟为一个多项式图灵机,攻击者能够控制整个信道,不仅可以获取所有

42、发送的消息，同时能够对消息进行改。甚至可以通过查询的方式获取参与方实例的部分内部信息。在这些模型攻击者的能力都是通过查询的方式定义的，在这里我们通过比较每个模型中的差异的方式,来分析不同模型安全性的差异的内在原因。鉴于每个模型中对于定义的存在差异性,我们在这里利用如下较为代表性的查询名来描述：:攻击者发送查询,接收到的参与方实例会根据协议运行的要求计算输出结果,并且将接受或拒绝的回复返回给攻击者。查询,，:参与方在接收？后,会根据协议要求决定是否接受结果并返回本次生成的会话密钥给。在和模型中，该查询被定义为,，查询。9查询,，:参与方在接收后,如果其目前处于未接受会话、未生成会话密钥的状态,它

43、会将内部的所有信息返回给攻击者。这里的内部信息指的是的内部临时密钥,但不包括长期密钥。:查询允许攻击者腐化参与方,获取被腐化的参与方实例的所有内部信息。,:接收到查询的参与方实例会随即给攻击者返回其会话密钥或一个等长的随机值，攻击者在收到该值后需要判断到底是随机值还是会话山东大学硕士学位论文钥。下面的表.是对各模型中定义的攻击者能力的比较表.攻击者能力比较查询类型是是是是是是是是是是.否否否否是否是否是是是是是是是在表.中我们比较了每个模型中攻击者的能力，根据表可以看出，在中不允许进行查询,这其实是削弱攻击者能力的一种限定。同时模型也没有查询,但是在该模型中单独定义了和两个查询,通过？查询、查

44、询,攻击者也能获取参与方实例的查询及所有内部信息，相当于查询。同时通过观察可以发现,虽然模型是对模型的改进,但是模型中没有像一样定义.查询去获取参与方的内部信息。因为在目前来说,大部分实际的协议如协议等，其内部的消息仅仅定义查询能够达到等为临时密钥一个,如此则模型通过.价的效果。另外在查询中的区别通过表格无法完全反映出来。在查询的定义中，和两个安全模型定义查询只能在攻击者游戏的最后一步执行,而自模型后,就取消了这一限制。在查询后能否执行其他查询，决定了攻击者在做猜测时能否用到其窃取的长期私钥消息，该能力与前安全这一安全属性有关。各个模型的内在区别除了攻击者能力的描述外,还有对于验证及安全协议本

45、身的定义的区别。通过对这些内在区别进行分析,可以对协议的安全能力析有一定的了解。山东大学硕士学位论文第章基于身份的密钥协商协议.基于身份的密钥协商协议基于身份的密码系统的概念最初是由提出的,在该系统中不需要传统系统中的证书,而是采用用户的身份信息作为系统公钥,这样大大减小了证书管理的开销。在年，第一个提出了基于身份的密钥协商协议的概念。在前人研究基础上，墙】引入了身份认证的概念，提出了第一个基于身份的认证密钥协商协议,从此以后产生了大量的基于身份的认证密钥协协议。在可证安全角度，和】在年第一次在随机预言模型下证明了一个基于身份的密钥协商协议。在年根据和【】的基于身份的加密思想,设计了第一个基于双线对的认证密钥协商协议。在该协议中，所有密钥协商的参与都是由同一个密钥生成中心生成。该协议基于的假设，其安全性是通过启发式的方法证明的。协议满足已知密钥安全、不完善密钥控制、双隐式认证、部分前向安全、抗未知密钥分享攻击和密钥泄露伪装攻击等。但随后在口中提出该协议并不具有完美前向安全性,并在此基础上提出了一个改进的协议，随后和两人在】中证明的改进协议不能抵抗中间人攻击。在年提出了一个基于身份的密钥协商协议。在该协议中每个参与方都可以选择自己的码,一个可以信任的根据每个参与方的身份为其颁发一个独立的秘密值,再根据这个秘密值与用户的码计算