密钥交换和认证协议

密钥交换和认证协议（精选6篇）

篇1：密钥交换和认证协议

QMS和EMS

认证咨询协议

甲方：xxxxx有限公司

乙方:xxxxxx

为了顺利开展QMS（国际质量管理体系ISO9001：2008）和EMS（国际环境管理体系ISO14001：2008）的认证咨询工作，双方本着自愿和平等互利的原则，签订如下协议：

一、乙方的责任和义务

1、协助甲方开展QMS和EMS的认证咨询工作，编制质量管理手册和环境管理手册，编制程序性文件，制定质量、环境方针和质量环境目标，制定相应的质量和环境管理制度，帮助甲方建立质量管理体系和环境管理体系，并指导甲方体系的前期运行，直至甲方获得认证证书。

2、协助甲方获得两人或两人以上人员的内审员资质。

3、负责联系认证机构，组织QMS和EMS的认证评定工作，在甲方提供必要的资质、评价报告和检验报告等材料后的两个月内，通过QMS和EMS的现场认证评定；

4、负责为甲方获得QMS和EMS认证的有效证书。

二、甲方的责任和义务

1、必须配合乙方工作人员的工作及获取甲方必要的与同学认证相关的信息资源。

2、提供建立QMS和EMS必要的资源（包括人力、物力资源）。

3、提供必要的资质、评价报告和检验报告等。

4、支付乙方认证咨询费用共计贰万x仟元正。认证咨询费用分二次支付，第一 次壹万x仟元正于本协议签订时支付，第二次于QMS和EMS的现场认证评定通过后的三天内支付。

5、支付乙方赴甲方从事认证咨询工作人员发生的交通费、内审员证书费。

本协议一式二份，甲乙双方各持一份，本协议以甲方支付乙方第一次的认证咨询费用壹万捌仟元正后生效。如有未尽事宜，双方友好协商解决。

甲方签字：签字日期 ：年月日

乙方签字（盖章）：签字日期 ：年月日

篇2：密钥交换和认证协议

1．本订户协议将于您向指定的发证机构交付证书申请的当日开始生效。藉由交付本订户协议（与证书申请），即表示您要求发证机构签发数字证书予您，亦表示您已同意本协议中的条款。北京_____电子商务服务有限公司（下称_____）的公共认证服务受_______认证业务声明（以下称「认证业务声明」）所规范，认证业务声明将不定时修改，且视为本订户协议之一部份。认证业务声明公布于_______网站的资料库，网址为 https：//www.__________和 ftp：//___________，也可以通过e-mail： ______________________ 获得。认证业务声明之修正条文也公布于_______的资料库中，具体网址为 https：//_______________。

2．请注意发证机关已为您制作了私有密钥，并已通过_______安证通密钥管理器将您的私有密钥作了备份。因此，在您丢失私有密钥时，发证机关能帮助您恢复您的私有密钥。然而，发证机关也能出于合法的商业目的，在未经您允许的情况下恢复您的公用密钥。相应的，发证机关能解密其他人发给您的加密信息，您在考虑发送给您的加密信息的隐私性时，请把该内容考虑在内。当合理使用时，_______密钥恢复服务能提供可观的益处。然而，在（不太可能出现的）误用的情形下，发证机关能解密其管领范围下其他人发给您的加密信息。如果单一密钥对被用于数字签名和解密，签发管理中心能代表您使用一恢复的私有密钥来对信息进行数字签名。通过当您向发证机关交付证书申请，即表示您已经知晓并承认以上内容。

3．您必须同意，完全按照认证业务声明及本订户协议的条件使用本数字证书及相关的发证机构服务。您还必须同意，在信赖某数字证书或发证机构签发的其他证书的时候，明确遵守___的「信赖方协议」和认证业务声明第8章的规定。该信赖方协议也公布在_______的资料库中，网址为 https：//______________________。

_______客户保障计划提示：_______向特定的客户提供_______客户保障计划（下称保障计划）。_______客户保障计划之保障内证书的清单公布于_______的资料库，具体见网址：http：//______________________。

4．如果你获得的是一张保障内证书，那么您将自动成为保障计划的被保障方，_______将依据保障计划，向您提供特定的有限保证，并否认除保障计划之外的其他保证（包括适销性及适用性保证）。同时，_______将承担保障计划内规定的有限责任。有关保障计划的详细内容如“保障内证书”、“被保障方”等相关定义，请见_______客户保障计划，网址是：https：//__________。

篇3：密钥交换和认证协议

口令认证的密钥交换协议是指通信双方或多方以通过共享的口令建立一个会话密钥,从而实现在不安全信道上的安全数据传输。1992年,Bellovin和Merritt首次提出口令认证的两方密钥交换协议EKE。EKE协议以Diffie-Hellman密钥交换协议为基础,实现两方相互认证及会话密钥的建立,该协议没有使用服务器的公钥且能够抵御在线字典攻击[1]。随后,大量口令认证的两方[4]、三方[3]、跨域等密钥交换协议被提出。

口令认证的两方密钥交换协议中的两方是指两个平等的用户或者客户/服务器,采用的口令为某一方或客户的口令明文或口令的验证值。文献[4]提出一个计算复杂度低且简单的只需一个生成元的口令认证的密钥交换协议,并在标准模型下证明了协议的安全性。文献[5]分析文献[4]指出,一个外部攻击者可成功地对用户口令实施离线字典攻击,但没提出对文献[4]协议的改进。文献[7]提出一种基于身份加密算法的可口令认证的两方密钥交换协议,对协议的具体设计与安全性都没有进行阐述。本文在文献[7]的基础上提出一个通信轮数为两轮的口令认证的两方密钥交换协议,以下简称本协议。

1 基础知识

定义1 G1,G2是阶均为素数q的乘法群,双线性对e是一个映射e:G1×G1→G2,满足下列性质:

1)双线性对任意的P,Q∈G1,a,,都有e(Pa,Qb)=e(Qa,Pb)=e(P,Q)ab,

2)非退化性存在P,Q∈G1,满足e(P,Q)≠1;

3)可计算性对所有的P,Q∈G1,存在有效的算法计算e(P,Q)。

定义2离散对数问题(DLP):令G表示一个阶为素数p的群。给定y,g∈G,x∈Zp,已知y=gx,计算x是困难的。

定义3计算Diffie-Hellman问题(CDHP):令G表示一个阶为素数p的群。给定三元组(g,ga,gb),其中a,,计算gab是困难的。

定义4基于身份加密算法,简称IBE算法,是由下述四个算法组成[7]:

1)参数生成(Setup)选择安全参量K,获得系统参量params和主密钥MK。系统参数包括明文空间M与文空间这些算法必须满足一致性检测,即当ID给定,由Extract析取出私钥d时,有m∈M,c=Encrypt(params,ID,m),Decrypt(params,c,d)=m成立。

2)密钥抽取(Extract)输入params、MK和任意ID∈{0,1}*,获得相应的解密私钥d,其中ID是任意字符序列并作为公使用。Extract算法由给定的公钥析取出私钥。

3)加密(Encrypt)输入params、ID和m∈M,生成密文c∈C的。

4)解密(Decrypt)输入params、c∈C和私钥d,解密获得得m∈M明文。

2 口令认证的两方密钥交换协议的设计

本协议中,pw为客户C的口令明文,是客户C与服务器S共享的信息。基于身份加密算法中的身份采用pw,G和G1是阶均为素数q的乘法群,双线性对e:G×G→G1,抗碰撞哈希函数,H2:{0,1}*→{0,1}λ,公开参数G、G1、e、H1与H2。图1是协议的流程图,以下是协议的具体实现过程[7]。

1)参数生成客户C随机选择生成元g∈G,选择随机数ω∈Zp,主密钥MK=ω,相应的系统参数公钥PK=(g,g1=gω)。客户发送其身份C与公钥PK给服务器S。

2)加密服务器S用PK加密pw生成密文c,S随机选择r∈Zp,计算c=gr(w+pw),相应的临时密钥K=e(g,g)r,服务器将其身份S,c和gr发给客户C。

3)密钥提取和解密客户C通过MK及pw计算usk=g1/(ω+pw),通过计算K'=e(usk,c)解密c得K'=e(g,g)r。

4)客户C计算Cauth=H1(C‖S‖gω‖c‖pw‖K'‖grω),计算SKC=H2(C‖S‖gω‖gr‖pw‖grω),将Cauth和C发送给服务器。服务器S计算C'auth=H1(C‖S‖gω‖c‖pw‖K‖grω),验证如果成立,接受客户为其会话对方并计算SKS=H2(C‖S‖gω‖gr‖pw‖grw)作为双方的会话密钥。双方间的会话密钥为SK=H2 (C‖S‖gω‖gr‖pw‖grw)。

3 口令认证的两方密钥交换协议的分析

3.1 口令认证的两方密钥交换协议的安全性分析

1)双向认证双向认证是指客户C与服务器S之间相互验证对方的身份,防止敌手以假冒的身份与其他客户建立共享的会话密钥。客户C通过计算K'=e(usk,c)解密c得到K'=e(g,g)r是否与K相等来确认服务器的身份,服务器通过验证来验证客户的身份,当K'=K与C'auth=Cauth时,双方实现相互认证,因此本协议提供双向认证,双向认证也杜绝了中间人攻击的存在[5]。

2)抵抗字典攻击口令认证的密钥交换协议易遭受字典攻击,字典攻击可分为3类:离线字典攻击、可测在线字典攻击和不可测在线字典攻击。①本协议能抵抗离线字典攻击,传输的信息仅密文c与Cauth含有口令pw,如果外部敌手想通过截获的信息来获得pw,就面临DLP问题。②本协议可以抵抗可测在线字典攻击,因为客户通过验证计算出的K'与服务端发送的K是否相等来验证服务器是否存储了客户口令pw,一旦验证失败,就认为服务器变成为在线字典攻击对象。同样,服务器通过对客户身份的认证来确定客户是否成为在线字典攻击的对象。③敌手对口令pw的猜测能被客户或服务器检测到,因此敌手不能进行不可测的在线字典攻击。

3)密钥机密性密钥机密性是指敌手不能获得客户与服务器共享会话密钥中的任何有用信息。本协议能提供密钥机密性,敌手要想计算出客户与服务器间的会话密钥,必须先知道r或ω,然后才能计算出grω,由于r和ω是随机选取的,又因为DLP困难问题,敌手无法根据已知信息计算出r或ω。

4)前向安全性口令认证密钥交换协议的前向安全性指即使敌手获得一个或多个用户的口令,也不能影响以前由该口令建立的会话密钥的安全,即会话密钥、口令之间具有独立性。本协议中,假设敌手拥有了客户口令pw,但要想计算出会话密钥SK,必须先计算出grω,但计算grω是DLP或CDHP问题,因此本协议提供前向安全性。

5)抵抗服务器泄露伪装攻击口令认证的密钥交换协议能抵抗服务器泄露伪装攻击,是指即使敌手从服务器上获得客户口令pw,仍然不能冒充合法用户与其他用户完成交互。本协议能够抵抗服务器泄露伪装攻击,即使敌手获得pw,也不能冒充服务器与客户交互,因为敌手不知道r和ω,无法计算出客户与服务器间的会话密钥,即敌手与客户间的交互不会给客户、服务器间的交互带来影响,同样敌手也不能冒充客户同服务器进行交互。

3.2 口令认证的两方密钥交换协议的效率分析

表1是各协议的运行效率比较,本协议与其他协议比较,通信轮数相当,生成元少,指数运算少。与文献[7]协议相比,哈希函数减少两次,指数运算多两次。可以说,本协议在提高安全性的同时,保持较好的运行效率。

4 结语

本文提出一个两轮的口令认证的两方密钥交换协议,该协议可实现双向认证,能抵抗各种字典攻击和服务器泄漏伪装攻击,也具有密钥机密性与前向安全性的安全属性,同时具有较高的运行效率,能满足目前客户服务器模式通信环境的要求。

参考文献

[1]Bellovin S M,Merritt M.Encrypted Key Exchange:Password-Based Protocols Secure against Dictionary Attacks[C]//IEEE Computer Society Symposium on Research in Security and Privacy,Oakland,CA, USA,1992:72-84.

[2]Jonathan K,Rafail O,Moti Y.Efficient Password-Authenticated Key Exchange Using Human-Memorable Passwords[C]//Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques:Advances in Cryptology,Innsbruck,Austria, 2001:475 -494.

[3]Philip D M,Pate S,Swaminathan R.Password-Authenticated Key Ex- change Based on RSA[C]//Proceedings of the 6th International Conference on the Theory and Application of Cryptology and Information Security:Advances in Cryptology,Kyoto,Japan,2000:599-613.

[4]舒剑,许春香.标准模型下高效的基于口令认证密钥协商协议[J].电子与信电学报,2009,31(11):2716-2719.

[5]胡学先,刘文芬,张振峰.对两个口令认证密钥交换协议的安全性分析[J].计算机工程与应用.2010,46(18):18-20.

[6]Jiang S Q,Gong G.Password based key exchange with mutual authentication [C]//Proceedings of SAC 2004,Nicosia,Cyprus,LNCS 3357:267-279.

篇4：密钥交换和认证协议

身份认证是防止网络应用系统免遭主动攻击的重要技术,在完成身份认证的同时,双方在线建立会话密钥并用来加密随后的通信内容,保证认证的连续性和会话的完整性,是很多网络应用系统提出的新需求。挑战应答身份认证动态口令认证技术由于具有抗小数能力强,客户端需要的计算量小,便于系统中B/S模式实现的优点,得到网络应用系统的广泛应用。

本文基于挑战 - 应答,提出了一种新的可在线交换密钥的挑战 - 应答认证方案,此方案将用户密码作为服务器与用户共享的加密密钥, 结合随机数和时间戳,实现动态认证。对协议安全性进行分析,使用BAN模态逻辑证明,协议实现了预期目标。

2 基于挑战 - 应答的动态口令认证方案

广义的挑战 - 应答认证协议是各类认证协议设计的依据,对其研究的重要性不言自明。对其相互认证的安全实现,来学嘉教授从理论上提出了充要条件;挑战应答协议得到了前沿学者的重视,实践上出现了很多研究成果。本文在此基础上提出的认证方案,基于对称密钥和异或运算,协议结构简捷,密钥交换简单。

2.1 协议过程

(1)A—S:IDu,Nu

(2)S—A:{Kus,T,Nu}Kas

(3)A—S: {Nu+1}Kus

IDu是待认证用户名 ,Nu是用户端A产生的随机数,Kus=(pwNuNs)(pw是用户存储在服务器中密码的哈希值,Ns是服务器S产生的随机数),Kas是存储在数据库中该用户密码pw的哈希值, 在本协议中充当了服务器与用户A的共享秘钥,T是时间戳。

在协议初始化阶段,认证服务器以安全的方式存储用户口令的哈希值。协议的执行过程解释如下述。

用户输入IDu,用户端同时发送随机数Nu,向服务器提出认证请求,服务器接收后,查找数据库验证IDu,若无此用户,断开与用户的连接。有此用户,则从数据库中取得该用户密码pw作为共享密钥Kas, 产生随机数Ns, 生成交换 密钥Kus (Kus=KasNuNs), 然后连接Kus,Nu,T,加密后发送到用户端。用户端接收后,提示用户输入密码pw,用其哈希值解密接收后的数据,不能解密,断开与用户的连接。解密成功则得到Kus,Nu,T,首先比较得到的Nu是否与发送的Nu相同, 不相同则断开连接;相同则验证时间戳是否合理,不合理断开连接;符合则计算Nu+1,使用Kus加密后发送到服务器;服务器收到响应消息后, 解密并计算Nu+1, 验证与接收来的Nu+1是否相等,不相等则断开连接 ;相等则通过认证。

2.1.1 协议执行过程

2.1.2 协议的特点及安全性分析

(1) 用户端与服务器都是协议执行的发起方 , 两个挑战随机数及时间戳的产生都依赖于一方,同时包含了对另一方的认证,而且属于同一轮执行,符合来学嘉教授的协议相互认证安全实现的充要条件。

(2)密钥交换的实现不依赖于公钥密码体制而使用对称密钥机制,从而不依赖于可信的第三方,大大减少了通信双方的运算量。

(3)时间戳与对称密钥加结合 ,中间人无法在短时间内将篡改后的请求发送给通信的某一方,有利于防范一种中间人攻击。

(4)交换密钥Kus引入了秘密随机数Ns,实现了一次一密,可以用来加密随后的通信。

(5)用户密码的哈希值充当了对称密钥 ,密码不在线路中传输,而且符合用户的使用习惯,服务器和用户端使用用户密码的哈希值作为共享密钥,使得共享密钥不再唯一,提高了密钥的安全性管理。

3 使用 BAN 模态逻辑技术进行的协议形式化分析

因为本协议没有提供抗否认性的功能,因此可以采用基于信仰的BAN模态逻辑证明方法。基于模态逻辑的协议验证是个演绎推理的过程,在验证之前,需要先定义逻辑推理规则和公理,其后对安全协议的形式化分析可分为四步进行:(1) 对安全协议会话过程进行形式化描述,亦即协议理想化过程;(2)定义协议的初始化假设;(3)对安全协议的预期目标进行形式化说明;(4)启用推理规则和公理,从初始假设和协议交互事实出发进行逻辑推理,得到各主体的最终信仰或知识.验证其安全性是否满足预期目标。

与本文有关的BAN逻辑的推理规则及公理见表1。

3.1 协议形式化描述

根据协议过程,协议在形式上有三条消息,第1条消息(M1)是明文传递,与安全属性的分析论证无关,因此在描述过程中加以忽略。

3.2 协议初始化假设

假设(1)和(2)表示,A相信Kas是A与S的共享密钥,S相信Kus是S与A的共享密钥,Kas是数据库服务中存储的用户密码的哈希值,Kus是服务器产生的,由用户使用密码解密才能得到,因此这两个假设是可行的;假设(3)和(4)表示A相信服务器S产生Kus和T,这与事实相符,这个假设也是可行的;假设(5)和(6)表示相信各自发送的随机数是新鲜性的。

3.3预期目标的形式化说明

3.4逻辑推理及验证

4协议在B/S模式下的模拟实现

本协议在Widows 2000及Java1.6下顺利实现。浏览器端主要使用Active Object控件向服务器发送或者接收认证数据,服务器程序选择MVC框架,通过创建Check.jsp文件协助完成与客户端的认证过程;通信双方发送代表不同认证阶段的认证数据值,完成协议的认证过程。

5结束语

篇5：一个新的高效认证密钥协商协议

本文提出一个高效的双方两次传递密钥协商协议。通过分析表明，新协议不仅满足了认证性(即协议双方能够相互认证对方的身份)，并且还满足了认证密钥协商协议所应当满足的一些基本安全属性，例如前向安全性、抗密钥泄露伪装攻击以及已知密钥安全性等。

1 协议描述

新协议的系统设置过程如下：协议参与实体A和B共同选择并公布一个合适的大素数p以及乘法群Zp*上的生成元g,2≤g≤p-2。A随机选择一个整数a,2≤a≤p-2，作为长期私钥，并计算相应的长期公钥A=ga-1mod p(B生成类似的长期密钥b和B)。A和B分别通过公钥证书获得对方真实的长期公钥的副本。

同经典Diffie-Hellman密钥协商协议中的协议消息一样，两个协议方分别向对方发送自己所生成的临时公钥。

协议如图1所示，其详细运行过程如下：

1)A随机选取整数x，并满足x∈[2,p-1]，然后计算tA=Bx。相应地，B随机选取整数y，并满足y∈[2,p-1]，然后计算tB=Ay;

2)A通过向B发送tA，发起与B之间的一次协议运行。相应地，B向A发送tB，作为响应消息;

3)A和B都对所接收到的协议消息进行临时公钥有效性检验，即检验它们是否都存在于协议所基于的群G中。如检验过程失败，那么它们终止协议运行。否则，进行第四步;

4)A和B分别计算共享秘密KAB和KBA;

5)A计算K'BA=gx,B计算K'BA=tAb=gx;

6)A和B分别将最终共享会话秘密设置为KAB||K'AB和KBA||K'BA;

协议正确性分析：很显然，协议满足正确性，即协议参与实体A和B在参与完成一次协议的运行之后，若他们都严格按照协议的规范进行操作，且通信过程没有出现传输错误，那么他们能够协商获得一个相同的共享秘密值g(b+y)(a+x)||gxy。进一步，利用一个哈希函数，A和B可以利用这个共享秘密值分别派生获得相同的会话密钥，用于后续的安全通信，为双方提供诸如对称加密或者数据完整性等安全服务。

2 协议分析

这里，我们首先分析协议的运行效率，包括它的计算效率和通信效率。接着，我们依照前文中列出的关于认证密钥协商协议的安全属性，采取逐条分析的方式来检验协议的安全性。

2.1 效率分析

首先，我们来分析协议的计算效率，也即协议中通信双方所需的主要计算操作的个数。同前面的分析一样，我们只计算其中的指数运算以及乘法运算(也即群运算)，而忽略计算速度相对来说十分快速的其它运算，例如加法运算、求逆运算和哈希值的计算等等。

从对协议运行过程的描述中我们可以发现，协议满足角色对称(role symmetric)的性质，及协议的两个参与实体所需要的计算步骤，以及所发送的协议数据的长度都是完全一样的。因此，我们只需要分析其中的一个协议参与实体的计算量。

这里，我们以协议实体A为例来进行分析。在一次协议的运行中，A需要进行3次指数运算，它们分别为生成协议消息tA=gx的一次指数运算、计算共享秘密值KAB=(tBB)a+x的一次指数运算，以及计算共享秘密值K'BA=tAy的一次指数运算。另外，A还需要计算一次乘法运算，即计算KAB=(tBB)a+x中的tB与B的相乘。

最后，我们特别强调指出，协议参与实体A和B所需的计算步骤，如a+x，比特串联结运算以及最终计算获得会话密钥的哈希运算也是完全相同的，但它们的运算速度相对于前面提到的指数运算和乘法运算来说，计算负荷几乎是可以被忽略不计的。

在通信效率方面，协议中要求协议的每个参与实体向其协议伙伴发送一个群元素，也即协议消息tA和tB。在一些实际应用场景中，协议双方的公钥证书可能也会随着协议消息tA、tB被一道发送给协议伙伴，但我们指出，这种作法对于所有基于公钥技术的双方认证密钥协商协议来说都是通用的。一般情况下，我们不把公钥证书的传递计为协议的通信量。这样做的另一个重要原因是，对于两个实体之间的多次协议运行来说，公钥证书只需要被传递一次。

2.2 安全性分析

下面，我们来分析协议的安全属性。协议可以抵抗被动攻击，不仅如此，由于子协议双方在计算最终共享会话秘密值的时候使用了对方的真实长期公钥(通过验证对方的公钥证书确保了对方公钥的真实有效性)，因此使得协议还能够抵抗主动攻击。具体来说，NAK协议获得了由Law等人所定义的如下各项安全属性[7,8]：

1)已知会话密钥安全：

在新提出的协议中，对于每次协议运行来说，协议的两个参与实体都会生成新的临时密钥，并且它们被绑定进入双方最终各自生成的相互相等的共享会话秘密值之中。由每一个协议参与实体随机选择的临时密钥，保证了每个会话密钥都是唯一的。因此，各个会话密钥之间是相互独立的，也就是说某个会话密钥的泄露，不会导致其它次协议运行所产生的会话密钥的泄露。这表明协议满足了已知会话密钥安全的安全属性。

2)前向安全性：

由于协议双方最终计算得到的共享会话秘密值中包含了gxy，因此，在敌手不能够获得双方的临时私钥的前提下，即使协议参与实体双方的长期私钥都被泄露，敌手也无法恢复出已经删除的会话密钥。也就是说，不仅满足了部分前向安全性(即当两个协议参与实体中的一个实体的长期密钥泄露下的前向安全性)，还满足了完美前向安全性(PFS,perfect forward secrecy)。

3）密钥不可控制：

同已知会话密钥安全性的分析中一样，由于协议要求两个参与实体在每次协议运行前都要随机产生一个新的临时密钥，因此任何一个协议参与方，包括敌手，都无法将最终的会话密钥预先设置为一个选定的值。我们强调指出，最终会话密钥的值依赖于每次协议运行前有协议参与实体所随机选取的参数，因此它也是随机的。

4）抗密钥泄露伪装攻击安全：

通过对协议的一个简化版本，及最终协议双方只计算第一个共享会话秘密值的协议的分析表明，它不能够抵抗密钥泄露伪装攻击：假设协议参与实体A的长期私钥a被泄露，敌手可以通过伪造一个协议消息，利用a来向A冒充为B(或者其它除A之外的任何实体)。敌手的这个攻击能够成功的关键之处在于，他能够伪造出一个恰当的协议消息，使得他与A最终分别计算得到的会话秘密值是相等的。但是，敌手却不知道该协议消息相对于所采用的群的生成元g的离散对数。

基于这一重要观察，我们在协议中引入了第二个共享会话秘密值的计算，即KBA=tAy(相对于B来说)。这样，由于敌手不知晓对应于其所发出协议消息的离散对数，因此他无法计算获得gxy。由于最终的会话密钥派生于两部分会话秘密值的链接，所以敌手无法计算获得与协议参与方A相同的会话密钥，也就是说，敌手针对A的密钥泄露伪装攻击时无法成功的。这样，我们就表明了协议的抗密钥泄露伪装攻击的安全属性。

综上，通过上面的针对安全属性的逐条比对分析，我们知道协议满足了所有安全认证密钥协商协议所应该达到的安全属性。

3 结论

本文进行了新的认证Diffie-Hellman密钥协商协议的设计与分析研究。我们提出了一个新的双方认证密钥协商协议。协议不仅保持了较高的通信效率和计算效率(它要求每个协议参与实体只计算三次指数运算和一次乘法运算)，还达到了我们所列出的所有四条安全属性。通过分析表明，我们新提出的协议具有较强的实用性。

参考文献

[1]Shannon C E.Communication Theory of Secrecy Systems[J].Bell SystemTechnical Journal,1949,28(4):656-715.

[2]Massey J L.Contemporary Cryptography:an Introduction[C]//Contemporary Cryptology:the Science of Information Integrity.New York:IEEE Press,1991:1-39.

[3]Bennett C H,Brassard G,Ekert A K.Quantum Cryptography[J].Scientic American,1992,267(4):50-57.

[4]Bennett C H,Brassard G,Robert J M.Privacy Amplification by Public Discussion[J].SIAN Journal on Computing,1988,17(2):210-219.

[5]Wyner A D.The Wire-tap Channel[J].Bell System Technical Journal,1975,54(8):656-715.

[6]YaoA.Protocols of forSecure Computation[A].Proc23rd IEEESymposium on Foundations of Computer Science(FOCS82)[C].New York:IEEE Computer Security,1982:160-164.

[7]Yao A.Howto Generate and Exchange Secrets[A].Proc27th IEEE Symposium on Foundations of Computer Science(FOCS86)[C].NewYork:IEEE Computer Security,1986:62-167.

[8]Fischlin M.A Cost-effective Pay-per-multiplication Comparison Method for Millionaires[EB/OL].(2001-04-01).http://www.mi.infor-matik.uni-frankfurt.de/research/papers.html.

篇6：基于认证码的密钥分配协议研究

信息安全在信息社会扮演着越来越重要的作用,密码学是保障信息安全的重要工具,目前广泛使用的密码体制依赖于没有严格证明的数学难题。然而,随着经典计算机计算能力的提高和量子计算机[1]取得的重大突破,依赖于数学难题的某些密码算法如RSA算法等将面临着严峻的挑战。密钥分配问题是信息安全中的一个重要而又棘手的问题。针对这个问题,人们提出了许多协议。本文考虑含有主动攻击者的密钥分配问题,即攻击者不仅可以窃听信息,也可以篡改信息。

1 密钥分配模型

图1为密钥分配协议的模型,其中Alice、Bob为合法的用户,Eve为主动攻击者。密钥分配协议一般可以分为两个阶段:初始化阶段以及密钥形成阶段。

初始化阶段要借助一个有扰的信道,如图1所示的卫星广播信道。当卫星广播一个随机的比特串时,Alice,Bob和Eve都能收到,但是由于信道是有扰的,所以都不能准确地接收。设Alice,Bob和Eve收到的比特串分别用随机变量X,Y和Z来表示。由于初始阶段采用的是广播信道,Eve不能干预卫星向Alice、Bob传输信息。但是在随后的密钥形成阶段,合法用户Alice、Bob通过公共信道来交换信息,主动攻击者Eve可以篡改信息,所以有必要进行消息认证。

2 消息认证

2.1 传统的消息认证

定义1[2] 函数族F:A→B称为Universal2(简称Universal)的条件是对∀x1,x2∈A且x1≠x2,f(x1)=f(x2)成立的概率最多为1/B,其中f从F中均匀选择。

定义2 如果下面的两个条件满足的话,函数族H:A→B就是一个ε几乎强Universal2(或简记为ε-ASU2):(1)对每一个a∈A,b∈B,满足h(a)=b的函数h的个数为H/B。(2)对每个a1,a2∈A,a1≠a2,b1≠b2,满足h(a1)=b1且h(a2)=b2的哈希函数个数最多为ε·H/B。

定义3 一个(1/B)-ASU2函数族称为强-Universal2(或简称为SU2)。

传统的消息认证通常使用哈希函数SU2和ε-SU2。只考虑简单的消息认证过程,如图2所示。假设Alice向Bob发送消息x,也就是说x为待认证的消息。

2.2 基于认证码[3]的消息认证

传统的消息认证是以合法用户事先拥有密钥为前提的,但是,初始阶段结束后,Alice、Bob拥有的比特串X、Y是不一致的,所以无法直接由X、Y得到密钥。下面介绍的基于认证码的消息认证可以解决这个问题。

假设在初始阶段,Alice、Bob分别拥有比特串X、Y,并且他们都满足纠错码V(na,ka)。假设待认证的消息为m,vi是指对应于m的V中的第i个比特。w=(w1,w2,…,wt)是消息m的认证,基于认证码的消息认证过程如图3所示。

3 结束语

基于哈希函数的消息认证要求合法的用户事先共享密钥,而基于认证码的消息认证则不需要,也就是说,后者即使是在比特串X、Y不一致的情况下也能提供消息认证。

摘要：密钥分配是保密通信必须解决的重要课题。主要研究有主动攻击者的密钥分配问题,利用哈希函数和认证码来进行消息认证。与基于哈希函数的消息认证相比,基于认证码的消息认证无需合法用户事先共享密钥。

关键词：认证,哈希函数,认证码

参考文献

[1] Shor P W.Algorithms for quantum computation: Discrete logarithms and factoring[C]//Proc. 35th Annu. Symp. Foundations of Computer Science(SantaFe,NM,Nov.1994). Cupertino, CA: IEEE Computer Society Press,1994:124-134.

[2] Carter J L,Wegman M N.Universal classes of hash functions, Journal of Computer and System Sciences[Z].1979,18:143-154.

[3]Maurer U.Information-theoretically secure secret-key agreement by notauthenticated public discussion[J]//Lecture Notes in Computer Sci-ence.Berlin,Germany:Springer-Verlag,1997,1233:209-223.

[4]Maurer U.Secret key agreement by public discussion from common in-formation[J].IEEE Trans.Inf.Theory,1993,39(3):733-742.