第16巷 第1【 期 .计算机技术与发展 (、(JMI UI、ER TECHN{)l ( ̄iY AND 1)E\ff21.()PMT2NT V。1.16 N。.10 Oct.2006 2006年l0月 基于D—H公钥系统前向保密的密码协议 李 闵,卢建朱,黄益栓 (暨南大学计算机系,广东广州510632) 摘要:Diffie—Helln ̄ffD—H)算法可以实现密码系统的密钥交换,其安全性依赖于计算离散对数的难度,并且Diffie— Hellman密钥交换协议能够提供前向保密性。文中通过分析Diffie—Hellman密钥交换协议,给出了一个可以应用于任何非 对称密码体制的具有前向保密的密码协议。 关键词:前向保密;密码协议;单向函数;密钥交换 中图分类号:TP309 文献标识码:A 文章编号:1673—629X(2006)10—0153—02 A Forward Secrecy Protocol Based on D‘-。H PKE System LI Min,LU Jian—zhu,HUANG Yi—shuan (Computer Department,Jinan University,Guangzhou 510632,China) Abstract:Diffie—Hellman(D—H)algorithm c&n exchange the key in a crypto system,the security of which is based on the discrete lago- rithm.And Diffie—Hellman key—exchange protocol Carl provide a crypto system with the forward secrecy.Analyze Difie—Hellman key— exchange pmtck--ol,and present a crypto graphical protocol with forward secrecy which can be applied to any asymmetic cryptro systems. Key words:forward secrecy;crypto graphical protocol;one—way function;key exchange O前言 向保密性。张莆等 8给出了一种使用Diffie—Hellman建 公钥加密系统中,算法对用户和攻击者都是公开的, 系统的安全性依赖于密钥的安全性。密钥的泄露直接威 胁密码系统,使得所有保护系统的安全措施失效。如何减 少密钥泄露所造成的损失是目前信息安全领域研究的一 个热点。 目前已经提出许多方法(包括秘密共享…、短时加 密l2 J和事先加密l3 )试图解决这个问题。一般关注的是 前向安全(forward secure)。前向安全的主要思想是:将整 立的密码协议,在协议中使用了双方的身份标识,需要第 三方的PKI(公钥基础设施)的支持。王滨等 9提出一种 无第三方PKI身份认证的密码协议,但是计算要复杂,在 加密时,同时使用公钥私钥加密一个信息造成计算增加, 不利于小型设备的使用。 文中通过研究Deffie—Hdlman的密码协议,提出一 种交互式无需身份认证的具有前向保密的密钥协议,可用 于任何非对称密码系统,但是需要PKI的支持。该协议 在计算量上也要比文献[8]的计算量小,特别适用于小型 设备的通讯,如移动设备或智能卡之间通讯。 个系统的生存时间化分成若干个时期,利用密钥更新算法 在每个时期开始产生自己对应的密钥,而公钥保持不变。 同时在每个时期开始时,将上一时期的密钥删除,产生并 保存新密钥。这样,即使某个时期的密钥泄露了,也不会 威胁到该时期之前的其他密钥,从而提高了系统的安全性 1 Diffie—Hellman密钥建立协议 A、B作为通信的双方,现在要进行密钥的交换。 (1)A一>B:A,grA(ood P)r (2)B一>A:grB(rood P),Hl(grnmod P,KAB) (3)A一>B:H2(KAB) A:K =(g 、) sood P rB: Kas=(g B)rarood P 和有效性。前向安全密钥交换概念最先由Giintherl4 和 Diffie等人提出的。一个前向安全的密钥交换协议,即使 长期密钥泄漏也不会危及以前产生的会话密钥 j。后来, Andersm 提出非交互式的前向安全,Bellare和Yee 研 究了非交互式对称加密。 基于Dime—Hellman的公钥系统可以实现安全的前 说明: (1)A选择随机数 并发送给B: 收稿日期:2(}05一I2:5 作者简介:李阂(1979一),女,安徽六安人,硕[:研究 研究方向 A, (n10d P) (2)B选择随机数rR,计算: K邶=(g ) (rood P) 网络技术及安全: 建朱, :l:,副教授,研究疗f 勾汁算fJl网络与 息安全 并将 (rood P),Hl( ,orod P,K加)传给A。 维普资讯 http://www.cqvip.com
・154・ 计算饥技术与发展 第l6卷 (3)A接收到后计算: KaB=(gr^)rB mod P 并计算H2(KaB),传给B,证实A已经得到K ,A,B分 别已经计算出KaB的值,KaB就作为会话密钥开始通信。 符号说明: g和P是大素数,g是模P的本原元, 是由A产生的 随机数,rB是由B产生的随机数,分别作为A和B的私钥。 KaB代表通过协议建立的会话密钥,HI(…)和H2(…)是 两个散列函数,进行散列运算。 2一种新型具有前向保密性密码协议 2.1提出新模型 这里将上文所示协议改为如下形式 (1)A一>B:gr ̄mod P (2)B一>A:g n划P,b A:K =H( mod P, ) B:KAB=H(gbrAmod P,rB) 这里要求散列函数H(…)具有下列性质: H( mod P,rA)=H( mod P,r月),在数学可以 找到满足这一性质的散列函数。所以Diffie—Hellman密钥 建立协议能具有前向保密安全性就是因为它成功地应用 了离散对数求解这个数学上的NP问题[加]。 2.2实现前向保密性密码协议的详细设计 2.2.1初始 时刻的协议 初始化,构造双方公共参数g,P以及散列函数H, H1,H2。A产生A的长期私钥是ra,B产生B的长期私钥 是r月。 2.2.2 时刻到 +1时刻的协议 (1)A一>B: Q ,g.mod P (2)B一>A:g@;mod P,Hi(grAmod P,KaB) (3)A一>B:H2(KaB) 说明: (1)A:产生一个请求Q ,并将其传给B表示A要求 生成第i阶段会话的密钥KaB。 (2)B:接收Q 后,产生一个随机数b ,并计算密钥 =H(g@,mod P,rB) 以及散列值Hl(gr ̄.mod P,KaB),将grAmod户,Hl (g@'orod P,KaB)传给A。 (3)A:计算 KaB=H(g tmod P,ra) 以及散列值Hl(g mod ,KAB),验证消息来自B,并传 H2( )给B,证实得出密钥。B收到后进行验证,证实 A获得了密钥K^B。 A和B的第i次会话的密钥K =H(g- ,I,rood P,rJj) =H(g mod p,FA)。 3安全性分析 3.1选择密文攻击 在协议中,由PKI负责公布g,P,H,Hl,H2等参数, 要计算g ,这是个离散对数问题 J,无法在有效的多项 式时间内计算。故协议可以防止密文攻击。 3.2中间人攻击 假设中间人为E,其通过PKI获得私钥为rF,可以获 得g,P,H,HI,H2等公共参数,又假设E可以截获并修 改A,B的通讯内容。 (1)A一>E: Q ,grAmod P E一>B: Q ,gr ̄mod P B用自己的私钥替换了A的私钥,送给B。 (2)B一>E:g@,mod P,H1(gr ̄mod P,Kee) E一>A: grd'mod P,HI(g m0d P,KEA) E产生随机数e ,替换了B的b 和其私钥,这样E可 以同时和A,B通讯,而A,B却认为是和对方通讯。 (3)A一>E:H2( ) E一>B:H2(Kee) 在这种攻击模式中,E可以通过实时截获和修改A, B的通讯内容,而达到知晓其信息的目的,这在通讯设备 上要求很高,而且性能要好,况且成本很高,在安全性要求 不是特别高的通信中,特别是小型设备,我们的协议具有 很大的优势。 3.3会话密钥的泄漏 如果第i阶段建立的会话密钥KaB泄漏,那么根据协 议只会暴露当前的会话内容,而不会暴露第i阶段以前的 会话内容,所以实现了前向安全。并且,也不会暴露第i阶 段以后建立的会话内容,因为不能推出第 +1阶段的会 话密钥,所以具有较好的安全性。 3.4 A。B长期私钥的泄漏 如果A,B的长期私钥泄漏,根据协议并不能得到当 前会话的密钥 ,所以系统仍然是安全的。而且可以 通过重新执行Diffie—Hellman协议,建立新的私钥来更换 A,B的长期私钥。 4小结 文中提出基于【)iffie—Hellnmn密码协议,并实现了密 码系统的前向安全性,而且无需身份认证,提高了系统的 效率,特别适用于安全性要求不高的小型设备使用。 参考文献: [1]Ostrovsky R,Yung M.How tO withstand mobile virus attacks [A]tK)DC’91[C].[s.1.]:ACM,1991.51~59. [2]1)amg’ard I B,Nielsen J B.Improved non—conunittir ̄g cn. cr3rption ̄henles based on a general complexity assumption [A1 Crypto’O0[C].LNCS 1880.[s.1.]:Springer—Verlag. 2000.432—450 (下转第l66页) 维普资讯 http://www.cqvip.com
・166・ 计算机技术与发展 第16卷 如果发布服务的所有输入都被匹配,带有最低匹配等 级的输入将决定最终的匹配结果。比如表l中,匹配等级 5代表所有输入对的属性匹配都是等价,类型匹配要么足 等价要么是包含,但 要有一个输入对的类型匹配是包 含,将决定了匹配等级低于所有类型匹配都是等价的等 级。 出的服务质量和发布服务的服务质量进行语义匹配以检 验服务质量要求是否满足。 4总结和展望 文中介绍了语义web服务的描述语言OWL—S,设 计并实现了一个基于OWL—S的Web服务发现系统。针 对OWL~S描述的web服务的发布和查询过程进行了介 输入参数匹配的步骤如下:对于发布服务的每一个输 入,都试图找到和其具有最高匹配等级的请求服务输入。 最高的匹配等级大于0则找到了一个匹配。发布服务的 绍,重点介绍了web服务的OWL—S信息在数据库中的 存储结构以及服务匹配算法。文中只是实现语义web服 务发现的一个初步模型,存在一些不足之处,如系统并没 有考虑与现有UDDI注册中心的结合,另外文中所介绍的 0wL—S本体到数据库的映射完全取决于系统采用的推 理机,推理机的局限性会导致信息存储的不完整,这些问 输人和具有大于0的最高匹配等级的请求服务的输入形 成一个输入对。 当发布服务的输入列表为空时,输人参数匹配等级返 回为6,因为此时发布服务不需要任何输入参数,没有必 要进行输入的匹配。 题将在进一步研究工作中予以解决。 参考文献: [1]Berners—LeeT,Hendler J,LassilaO.The SemanticWeb[J]. Scientific American,2001,284(5):34—43. 输出参数的匹配与输入一样,这里不再赘述,但值得 注意的是匹配顺序的颠倒,对于请求服务的每个输出,系 统都试图在发布服务输出中找到一个匹配。 在0W乙一S中,可以使用()Ⅵ 本体中描述的某种分 层方法来对服务进行分级。在这个本体中,每个具体的服 务或者是类Profile的实例或者是类Profile某个子类的实 [2]OWL web Ontology language Guide[R/OL].W3C【=al1dj~ date Recommendation 18 August 2003.http:/^^ ^n v.w3. org厂rR/2003 R—OWl—guide~20030818/.2003. 例。在进行服务Profile分级的匹配时,系统试图在发布 服务中找到最匹配请求服务需求的服务。假设reqSer. viceHie表示请求服务分级,advServiceHie表示发布服务分 级。reqServiceHie和advServiceHie均为某个服务分层本 [3]Martin D、OWL—S:Semantic Markup for Web Services[R/ OL].Technical report,Darnl consortium,http://1 M. danfl、org/services/owl—s/1.0/owl—S.pdf.、vI SP Primel" Working Draft 0.3.,2004—02. 体中定义的概念。两者进行类型匹配的结果见表2。 表2服务分级匹配结果 [4]PaolucdM,KawamuraT,PayneTR,et a1.ImportingtheSe— mantic、vebinUDDI[A].InProc of、】IrebServi0eS,E—Busi~ nGSS nd aSemantic web Workshop,CAiSE 2002[C].[S.I.]: [S.n.],2002.225—236. [5 J Kopena J,Regli W.DAMLJessKB:A tOOl for reasoning with the semantic web[J].In IEEE Intelligent Systems,2003,l8: 74~77. [6 J Paolucci M,Kawamura T,Payne T,et .Semantic matclifg nof web service capabiifties[A].In Proceedigsn of 1st Interna— rional Semantic web Conference(ISwC2002)[C].Berlin: Spriger~Verlnag.2002.333—347. 最后一个匹配阶段是服务质量的匹配,服务请求者提 ・+一+-+-+“+-+・・+“—・卜-+-—・卜“—・卜-+-+“—・卜・・+-+-+-—・卜一+-+-+・・+-+一+-+“+“+“+“+・・+一+“+-+一+“+一十”+一+一+-+“+-+“+“+・—+“+・ (上接第154页) [3]Lindelf Y.A simpler constucrtion of CCA2一secure public— key eneryption under generN assumptions[A]Eurocrypt 2003 [C].LNCS2656.[S.1.]:Spriger—Vernlag,2003.241—254. uk/ftp/uaers/rial4/forward ̄cure.p(If,1997. [7 j Bellare M,Yee B.Forward security in private—key crypto— graphy[A].CI、_RSA 2003[C].LNCS2612.[S.1.]:Sprigenr [4】Fujisah E,Oksmoto T.Secure integration of asynmmtirc and symmetric encryption sehenles[A].Crypto’99[C].LNCS 1666.【s.1.]:Spriger—Vernlag.1999.537—554 Verlag.2003.1一l8. [8]王滨,汪和松.Diffie—Hellma密钥建立协议的前向保密 性研究[J].长沙电力学院学报(自然科学版),2004,19(3): l5一l7. 。 [5] 12 ̄medt Y,Frnkeal y.- Fhreshold cryptosysteI11S[A].Cry)to’ 89[Cj.LNCS 435. 315. 1]:Springer—Verlag,1989.307 [9] 王滨.张少武,杨飚.密码协议的前向保密性研究[Jj 计算饥工程与应用,2004,40(25):l57~l60 【l0 j Chc ̄n J H,Lee D H.I)iffie—Hcllman Problems and Bilinear f 6]Anderson R. I'wo rellKlys kon public key,crv.pt(Jlogyf EB/OI ]. Invlted La:ctttre,ACIV{一CCS’97.http://www.C1.Ⅷn.Rc Nlat ̄s[EB/OLj htrl ://eprint iacr org/2002/1 17/,2002
因篇幅问题不能全部显示,请点此查看更多更全内容