密鑰協(xié)商協(xié)議的數(shù)據(jù)信息安全

揚(yáng)州大學(xué) 袁 進(jìn)

開放的網(wǎng)絡(luò)環(huán)境容易誘發(fā)各式各樣的攻擊，為防止攻擊者竊取信息，保證用戶安全使用計(jì)算機(jī)，需要對信息進(jìn)行加密保護(hù)。文章闡述了對隨機(jī)預(yù)言機(jī)和離散對數(shù)計(jì)算困難性的假設(shè)，構(gòu)建了密鑰協(xié)商協(xié)議的數(shù)據(jù)信息安全模型，對eCK07進(jìn)行了比較詳細(xì)的分析，為抵御量子計(jì)算的新加密方法提供一種思路。

網(wǎng)絡(luò)信息安全最重要的作用就是保障信息數(shù)據(jù)在傳輸過程中的安全性，這也是網(wǎng)絡(luò)安全的首要任務(wù)。網(wǎng)絡(luò)覆蓋面比較廣，涉及各行各業(yè)，但是不管是哪種系統(tǒng)類型，都要根據(jù)安全指標(biāo)來判斷信息安全性、可靠性和保密性來完成加密工作，防止出現(xiàn)信息泄露的現(xiàn)象。同時(shí)，使用者也要樹立正確的安全意識，加快對信息保密工作的落實(shí)，防止在實(shí)際應(yīng)用中，受到內(nèi)外部因素的影響，導(dǎo)致信息泄露，使得計(jì)算機(jī)信息安全面臨風(fēng)險(xiǎn)隱患。

1 隨機(jī)預(yù)言模型

Bellare和Rogaway在1993年提出了隨機(jī)預(yù)言模型(Random Oracle Model,ROM)。研究者認(rèn)為該模型在密碼理論和密碼實(shí)踐之間架設(shè)了一座橋梁，它的核心是一個(gè)公開的、可隨機(jī)選擇的函數(shù)H，它能接收的輸入值x，并隨機(jī)映射到一個(gè)有限集中。該隨機(jī)選擇的函數(shù)稱為隨機(jī)預(yù)言機(jī)，通信方或攻擊方可以向隨機(jī)預(yù)言機(jī)詢問，隨機(jī)預(yù)言機(jī)接收到詢問后對所詢問的問題進(jìn)行回答。

假設(shè)存在函數(shù)H:{a,b}n{a,b}k有以下性質(zhì)：

（1）均勻性：H的輸出在{a,b}k上均勻隨機(jī)分布。

（2）確定性：對于相同的輸入?yún)?shù)，H的輸出必然相同。

（3）有效性：假設(shè)輸入的信息是一個(gè)長度為n的字符串x，則H(x)可在規(guī)模為n的低階多項(xiàng)式時(shí)間內(nèi)完成計(jì)算。則稱H為隨機(jī)預(yù)言機(jī)。如果只從某些數(shù)學(xué)問題的難解性假設(shè)出發(fā)來證明密碼體制的安全性時(shí)，這樣的安全性證明模型稱為標(biāo)準(zhǔn)化模型。如果利用隨機(jī)預(yù)言機(jī)的上述屬性來證明密碼體制的安全性時(shí)，這樣的安全證明模型我們稱之為隨機(jī)預(yù)言模型。理想的散列函數(shù)具有確定性、有效性、單向性、弱抗碰撞性和強(qiáng)抗碰撞性等性質(zhì)，與隨機(jī)預(yù)言機(jī)相比，它除了不具備均勻性外，其他的性質(zhì)都可滿足，因此，在研究或工作中，通過精心設(shè)計(jì)散列函數(shù)使其能滿足均勻性，即可替代隨機(jī)預(yù)言機(jī)。

2 計(jì)算困難性假設(shè)

在現(xiàn)代密碼學(xué)中通常把算法或者協(xié)議的安全性規(guī)約到一些多項(xiàng)式時(shí)間內(nèi)難解的問題上，本文主要研究離散對數(shù)難解問題。

定義1：離散對數(shù)(Discrete Logarithm，DL)問題。設(shè)G是一個(gè)階為大素?cái)?shù)q的循環(huán)群，g是它的生成元，ga是群G中的元素。給定ga求解指數(shù)a稱為離散對數(shù)問題。離散對數(shù)假設(shè)是指在任何一個(gè)概率多項(xiàng)式時(shí)間內(nèi)攻擊方都不可能以一個(gè)不可忽略的概率破解離散對數(shù)問題。

定義2：可計(jì)算Diffie-Hellman（Computational Diffie-Hellman，CDH）問題。設(shè)G是一個(gè)q階乘法循環(huán)群，g是它的一個(gè)生成元，CDH問題是指給定三元組(g,ga,gb)，其中且未知，計(jì)算gab。

設(shè)Aer是一個(gè)概率多項(xiàng)式時(shí)間算法，它能夠在概率多項(xiàng)式時(shí)間內(nèi)解決CDH問題的概率定義為：

定義3：CDH假設(shè)。CDH假設(shè)是指對每一個(gè)概率多項(xiàng)式時(shí)間算法Aer，它的都是可忽略不計(jì)的。

定義4：判定性Diffie-Hellman（Decisional Diffie-Hellman，DDH）問題。設(shè)G是一個(gè)q階乘法循環(huán)群。g是它的一個(gè)生成元，DDH問題是指給定四元組(g,ga,gb,gc)，其中a∈Z*，b∈Z*，c∈Z*且未知，判定gab和gc是否相等。

定義5：DDH假設(shè)。設(shè)Aer是一個(gè)概率多項(xiàng)式時(shí)間算法，用表示Aer成功解決DDH問題的概率。DDH假設(shè)是指對每一個(gè)概率多項(xiàng)式時(shí)間算法Aer，它的是可忽略不計(jì)的。

3 密鑰協(xié)商協(xié)議的數(shù)據(jù)信息安全

3.1 屬性

在對密鑰協(xié)商協(xié)議的研究中，研究者認(rèn)識到密鑰協(xié)商協(xié)議的安全性是非常重要的，為了提高協(xié)議的安全性，提出過很多解決辦法，比如消息認(rèn)證碼、數(shù)字簽名、密鑰認(rèn)證和密鑰確認(rèn)等等，但從密鑰協(xié)商協(xié)議的安全屬性角度來研究，它應(yīng)該具備如下一些性質(zhì)：

（1）已知密鑰安全。通信方A和B之間運(yùn)行一個(gè)密鑰協(xié)商協(xié)議時(shí)，即可產(chǎn)生一個(gè)單獨(dú)的會話密鑰。而面對已獲得本次會話密鑰的攻擊方無法根據(jù)本次會話密鑰推算出以前的會話密鑰。該安全屬性可以把安全危害局限于當(dāng)次通信，而不會危害到前后通信。

（2）前向安全。若通信的一方或多方的長期私鑰不慎泄露，之前接收的信息不會因?yàn)樗借€的泄露受到影響，其目的是對之前被加密的資料提供完善的機(jī)密性保護(hù)。

（3）完美前向安全。假如通信雙方或多方全部泄露了長期私鑰，但不影響長期私鑰泄露之前的信息。即系統(tǒng)仍然對長期私鑰泄密之前的已加密的信息進(jìn)行保護(hù)，攻擊方也不能竊取之前的信息。

3.2 模型——eCK07模型

2007年微軟三位研究員LaMacchia，Lauter和Mityagin等在研究現(xiàn)有的安全模型時(shí)，根據(jù)當(dāng)時(shí)對安全的要求，提出一種新的模型——extended Canetti & Krawczyk model 2007模型（eCK07），該模型以CK01為基礎(chǔ)，很好地解決了之前模型可能存在的密鑰泄露的問題，并且包含更多的安全屬性。該模型完善了之前模型存在的缺陷，其安全性能更高，被廣泛接受。目前，從效率和安全性能上來eCK07仍然是非常好的模型之一，很多安全協(xié)議在其上建立。

在隨機(jī)預(yù)言模型下的安全模型eCK07中包含的實(shí)體主要有一批參與方，即通信各方，證書中心CA和攻擊方Aer。eCK07擴(kuò)展了攻擊方的能力，例如，假定Aer完全控制了通信網(wǎng)絡(luò)，且可以向CA注冊不存在的參與方等。eCK07允許臨時(shí)私鑰泄露且捕獲更多攻擊行為。

（1）會話

定義6：匹配會話。如果參與方Ci和Cj的第s次會話與參與方Cj和Ci的第t次會話有相同的密鑰協(xié)商消息，則我們說和這兩個(gè)會話是匹配的，和可互稱對方是自己的匹配會話。

（2）權(quán)威認(rèn)證機(jī)構(gòu)CA

假定權(quán)威認(rèn)證機(jī)構(gòu)是可信任的機(jī)構(gòu)，它可以驗(yàn)證每個(gè)參與方的長期公鑰與其身份的綁定情況，每個(gè)通過驗(yàn)證的個(gè)體，包括參與方和攻擊方，都可以參與協(xié)議。但CA并不保證協(xié)議參與者的公鑰是唯一的，即可能出現(xiàn)兩個(gè)或兩個(gè)以上參與方擁有相同的長期公鑰。

（3）攻擊方

假定攻擊方Aer是一個(gè)概率多項(xiàng)式時(shí)間圖靈機(jī)，它完全控制網(wǎng)絡(luò)通信，能做到偽造、延遲發(fā)送、丟棄、篡改、監(jiān)聽消息等操作。

（4）雙方認(rèn)證密鑰協(xié)商協(xié)議的安全性

在eCK07安全模型中是通過一個(gè)游戲GAME來定義雙方認(rèn)證密鑰協(xié)商協(xié)議的安全性的，假定一個(gè)模擬器M和攻擊方Aer進(jìn)行一場游戲，該游戲分為兩個(gè)階段進(jìn)行。第一階段，攻擊方Aers可以對參與方Ci和Cj（i≠j）進(jìn)行的第s次會話執(zhí)行Send操作，

操作描述如下：

Send(,m)：攻擊方Aer向發(fā)送消息m，以控制會話的活動性。πi,j按照協(xié)議規(guī)范對消息m進(jìn)行應(yīng)答。另外，攻擊方Aer可要求參與的一方向參與的另一方發(fā)起會話。

在第一階段，Aer具有以下的查詢能力，用來捕獲參與方的秘密信息，使得參與者的信息泄露。

（1）Session_Key_Reveal():Aer可獲得πs會話的會話密鑰。

（2）Static_Key_Reveal(Ci)：Aer可獲得參與方Ci的長期私鑰。

（3）Ephemeral_Key_Reveal(Ci)：Aer可獲得參與方Ci的暫時(shí)私鑰。

（4）Establish_Party(Ci)：Aer可以以身份Ci在CA上注冊一個(gè)合法的參與者，并且完全控制這個(gè)虛擬的參與方Ci。

結(jié)語：在信息化社會，信息安全已經(jīng)受到人們的密切關(guān)注。保證信息免受各種類型的威脅、干擾和破壞成為各大計(jì)算機(jī)公司和密碼學(xué)科研工作者的一項(xiàng)重要使命。信息的安全通信是現(xiàn)代密碼學(xué)研究的重要任務(wù)之一，現(xiàn)代密碼學(xué)是保證信息安全的一種重要理論基礎(chǔ)，基于該理論可實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下信息的安全傳輸，以及信息的可認(rèn)證性，完整性，可用性和不可否認(rèn)性保護(hù)。