版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
基于身份的認證密鑰協(xié)商協(xié)議目錄概述技術背景密鑰協(xié)商協(xié)議安全屬性雙線性對BDDH假設Smart協(xié)議ID-BJM模型王等人的協(xié)議基于身份的認證密鑰協(xié)商協(xié)議WCD-1方案及其安全性分析基于身份的認證密鑰協(xié)商協(xié)議WCD-2方案及其安全性分析基于身份的認證密鑰協(xié)商協(xié)議WCX方案及其安全性分析安全增強的身份基認證密鑰協(xié)商協(xié)議及這種新方案的安全性分析結束語1.概述無線通信中的安全問題受到越來越多的重視,加解密的應用也越來越廣泛。隨之帶來的密鑰安全問題顯得尤為重要。密鑰協(xié)商協(xié)議作為產(chǎn)生密鑰的一種方式,必須能夠提供保證信息的安全性。同時為了協(xié)議更適合在實際中應用,協(xié)議的計算開銷應盡可能的小。在通信過程中使用認證密鑰協(xié)商協(xié)議可以使2個通過不安全信道通信的用戶協(xié)商達成一個共享的會話密鑰,還能讓這2個用戶彼此認證對方的身份。協(xié)商得到的會話密鑰可以為后續(xù)的通信會話提供保密、認證或者完整性等安全服務。2.技術背景密鑰協(xié)商協(xié)議安全屬性(1)已知會話密鑰安全性。已知舊的會話密鑰不會影響其他會話密鑰的安全性。(2)前向安全性和完美前向安全性。如果一方或多方參與實體的長期私鑰泄露,攻擊者不能有效計算舊的會話密鑰,稱之為部分前向安全性;如果所有參與實體的長期私鑰泄露,攻擊者仍然不能有效計算舊的會話密鑰,稱之為完美前向安全性。(3)PKG前向安全性。在基于身份的密鑰協(xié)商協(xié)議中,攻擊者即使獲得私鑰產(chǎn)生中心PKG的主密鑰,仍然無法計算參與實體的會話密鑰。2.技術背景(4)抗密鑰泄露偽裝。一個參與實體A的長期密鑰泄露將使得攻擊者可以偽裝A,但不應導致攻擊者可以偽裝成其他實體與A進行成功的密鑰協(xié)商。(5)無密鑰控制(密鑰完整性)。參與實體的任何一方或者第三方都不能在協(xié)議執(zhí)行結束時使得會話密鑰成為其預先選定的值。由于一輪兩方隱式認證密鑰協(xié)商協(xié)議的特殊性,協(xié)議交互的響應方總是在收到協(xié)議發(fā)起方的交互消息之后產(chǎn)生響應消息的,因而響應方天生具備比發(fā)起方更多的主動性,這種不公平性導致不可能實現(xiàn)真正意義上的無密鑰控制。但是最終會話密鑰的生成一定是雙方共同貢獻產(chǎn)生的。對于攻擊者而言,同樣不能控制協(xié)商的會話密鑰,通常我們將對應于攻擊者的密鑰控制歸結到會話密鑰完整性的要求。2.技術背景(6)抗未知密鑰共享。一個參與實體A不應被強迫與一個實體C實現(xiàn)共享會話密鑰,而實際上參與實體A卻認為他是在和一個參與實體B完成的密鑰協(xié)商。(7)消息獨立性。兩方或多方參與會話密鑰協(xié)商的實體交互的消息應是獨立產(chǎn)生并交互的,不受其他方的制約和強迫。顯然在單輪兩方密鑰協(xié)商協(xié)議中消息之間是獨立的,但是在帶有密鑰確認的多輪密鑰協(xié)商協(xié)議中不能保證獨立性,用于密鑰確認的消息一定與對方發(fā)送的消息相關聯(lián)。該安全屬性不適用于帶有密鑰確認的密鑰協(xié)商協(xié)議。(8)已知會話相關臨時秘密信息安全性。當參與實體在一次會話密鑰協(xié)商過程中使用的臨時秘密信息(短期密鑰)泄露后(但長期私鑰未泄露),不應當影響到會話密鑰的安全性。雙線性對設G1、G2分別是階為素數(shù)p的加群和乘群,P為G1的一個生成元。雙線性對 :G1×G1G2為具有如下性質的映射:(1)雙線性對所有的P,Q,R∈G1,a,b∈Z*q,存在(P+Q,R)=(P,R)(Q,R),(P,Q+R)=(P,Q)(P,R),(aP,bR)=(P,Q)ab。(2)非退化性(P,Q)≠1,1是G2的單位元。(3)可計算性對所有的P,Q∈G1,存在有效算法可以計算(P,Q)。BDDH假設設P,aPe,(P,P)bc,abcP,rP∈G1,其中,a,b,c,r∈Z*q。在多項式時間內無法證明(P,aP,(P,P)bc,abcP)=(P,aP,(P,P)bc,rP)。Smart協(xié)議Smart運用了雙線性對的知識提出了一個基于身份的認證密鑰協(xié)商協(xié)議——Smart協(xié)議。在Smart協(xié)議中,用戶A選擇一個一次性密鑰a∈Ζ*q,計算TA=aP,并發(fā)送TA
給用戶B。同樣,用戶B選擇一個一次性密鑰b∈Ζ*q,計算TB=bP,并發(fā)送TB
給用戶A。然后,用戶A計算KAB
=
(SA,TB)(aQB,Ps),用戶B計算KBA
=(SB,TA)(aQA,Ps)。這樣,兩個用戶就得到了一個相同的密鑰:K=KAB=KBA
=(bQA+aQB,Ps)。
該協(xié)議提供了已知密鑰安全性、部分前向保密性、未知密鑰共享安全性、密鑰泄漏安全性和密鑰控制安全性。ID-BJM模型1993年Bellare和Rogaway提出基于隨機預言機的安全模型。在該模型中,散列函數(shù)被模擬為隨機預言機,隨機預言機模型在很多方案的安全性證明中起到了關鍵作用。但是,近年來人們逐漸認識到某些在隨機預言機模型下可證明安全的方案在實際應用中并不安全,因為散列函數(shù)不能真正模擬隨機預言機。因此,在不借助隨機預言機的標準模型下可證明安全的方案更具有實際意義。ID-BJM模型Chen等人的協(xié)議首次在隨機預言機模型下證明其安全性,但他們的協(xié)議也不滿足完善前向安全性和PKG前向安全性。ID-BJM模型下安全的認證密鑰協(xié)商協(xié)議的安全性定義包含了已知密鑰安全性、未知密鑰共享安全性、抗被動攻擊和主動攻擊、抗密鑰泄露偽裝性和無密鑰控制性等基本的安全屬性。該模型包括了一個協(xié)議參與者集合U和一個主動攻擊者E。每個參與者被模擬為一組預言機(Oracle),預言機指協(xié)議的參與者I與J之間會話的第n個實例。攻擊者被定義為一個概率多項式時間圖靈機,并能訪問模型中所有的預言機。對于良性(benign)的攻擊者,它只是誠實地傳遞預言機之間的信息。ID-BJM模型定義1會話標識符SID:預言機發(fā)送和接收的所有消息的串聯(lián)。定義2搭檔預言機PID:若2個預言機和在同意(accept)狀態(tài)時有相同的會話標識符SID,則稱和互為搭檔預言機,I和J互為搭檔。通過定義挑戰(zhàn)者C與敵手E之間的游戲來定義密鑰協(xié)商協(xié)議的安全性。挑戰(zhàn)者C可以模擬所有的預言機,密鑰生成中心PKG和隨機預言機,產(chǎn)生主密鑰和所有的系統(tǒng)參數(shù),并為參與者I產(chǎn)生私鑰SI
。攻擊者E允許進行下列預言機查詢(Oraclequery)。ID-BJM模型1)Send(I,J,n,M)查詢:E可以向預言機發(fā)送消息M,該預言機按照協(xié)議規(guī)范應答一個響應消息m,預言機將每個收到和發(fā)出的消息都記入它的運行腳步記錄中。若預言機收到的第一條消息M≠φ,那么該預言機作為發(fā)起者(initiator)發(fā)起一次會話;否則,它擔任響應者(responder)的角色。Reveal()查詢:收到此查詢的預言機,返回它協(xié)商得到的會話密鑰。如果該預言機的狀態(tài)還不是“已接受”(accpted),那么它返回一個符號⊥表示終止。執(zhí)行了Reveal查詢的預言機狀態(tài)是打開的(opened)。Corrupt(I)查詢:此查詢要求被詢問的協(xié)議參與者I返回它擁有的長期私鑰SI。相應地,回答過Corrupt查詢的實體的狀態(tài)被稱為“已腐化”(corrupted)。Corrupt(PKG)查詢:此查詢要求返回系統(tǒng)主密鑰。Test()查詢:在游戲的某個時刻,E可以向一個“新鮮”的預言機發(fā)出Test查詢,E將收到該預言機所擁有的會話密鑰或者一個隨機值。該預言機通過投擲一枚公平硬幣b∈{0,1}來回答此查詢:若投幣結果為0,那么它返回自己協(xié)商獲得的會話密鑰;否則,它返回會話密鑰空間{0,1}k
上的一個隨機值。這里,k表示會話密鑰的比特長度。ID-BJM模型在游戲的第2階段,E可以繼續(xù)針對預言機進行Send,Reveal和Corrupt查詢。E所受到的限制為:它不能對它所選被測試的預言機及其搭檔預言機(若搭檔預言機存在的話)進行Reveal查詢。另外,E也不能對被測試參與者的意定伙伴進行Corrupt查詢。輸出:最后,E輸出一個對b的判斷(記為b‘)。若b’=b,那么稱E贏得了此游戲。文中定義E獲勝的優(yōu)勢概率為AdvE(l)=2Pr[b‘=b]?1(l為安全參數(shù))。定義3新鮮預言機:預言機在同意(accept)狀態(tài)(因此得到一個會話密鑰)是未打開的,其搭檔預言機也未打開,搭檔J沒有被腐化,則預言機是新鮮的(fresh)。定義4ID-BJM模型下安全的認證密鑰協(xié)商協(xié)議,若協(xié)議滿足下列性質:1)只存在良性攻擊者的情況下,預言機與其搭檔預言機在接受狀態(tài)時得到相同的會話密鑰SK,且均勻分布在密鑰空間{0,1}k
上。2)游戲結束后,敵手E成功的優(yōu)勢AdvE
(l)是可忽略的。稱該協(xié)議為ID-BJM模型下安全的認證密鑰協(xié)商協(xié)議。3.王等人的協(xié)議王圣寶等人給出的一個會話密鑰托管模型下的基于身份的認證密鑰協(xié)商協(xié)議WCD-1方案和一個無會話密鑰托管模型下的基于身份的認證密鑰協(xié)商協(xié)議WCD-2方案。WCD-1方案直接利用Gentry公鑰加密方案構造,該方案巧妙地利用了公鑰加密方案中為保證明文加解密安全而采用的隨機盲化方法以達成在加密方和解密方安全傳遞秘密,該方法正好可以利用來實現(xiàn)密鑰協(xié)商,而不需要真正的加解密手段實現(xiàn)密鑰協(xié)商,因而有較高的計算效率。WCD-2方案對WCD-1方案進行了改進,改進方法試圖引入PKG不可計算部分,以達到無會話密鑰托管的目的。WCD-1方案及安全屬性分析(1)系統(tǒng)建立階段:PKG隨機選取兩個生成元g,h∈G1和α∈Zp,計算g1=gα。系統(tǒng)公開參數(shù)為(g,g1,h),系統(tǒng)主密鑰為α,H2為會話密鑰抽取函數(shù)。(2)私鑰生成階段:對給定身份ID∈Zp,隨機選擇hID∈Zp,計算身份的私鑰dID=<rID,hID>,其中hID=(hg-rID)1/α-ID。對每一個身份ID選擇固定的rID。(3)密鑰協(xié)商階段:假設IDA與IDB進行會話密鑰協(xié)商。令gA=g1g-IDA,gB=g1g-IDB和tT=e(g,g)。協(xié)議過程如下:IDA隨機選擇x∈Zp,計算TA1=gxB,TA2=txT,將TA=TA1‖TA2發(fā)送給IDB;IDB隨機選擇y∈Zp,計算TB1=gyA,,TB2=tyT,將TB=TB1‖TB2發(fā)送給IDA;IDA計算共享秘密:KAB=e(TB1,hA)·(TB2)rA·e(g,h)x;IDB計算共享秘密:KBA=e(TA1,hB)·(TA2)rB·e(g,h)y;由以上等式容易看出KAB=KBA=e(g,h)x+y,從而IDA與IDB可以計算出相同的會話密鑰:sk=H2(IDA‖IDB‖TA‖TB‖e(g,h)x+y)WCD-1方案及安全屬性分析顯然方案最終會話密鑰只關聯(lián)于臨時秘密x和y的選取。只掌握長期密鑰的情況下可以很容易計算最終的會話密鑰,而不具備完美前向安全性,只具有部分前向安全性;只掌握臨時秘密的情況下同樣可以很容易計算出共享會話密鑰,因而不具備已知會話相關臨時秘密信息安全性;由于PKG掌握系統(tǒng)主密鑰,容易計算得到實體的長期私鑰,進而可以容易地計算實體的會話密鑰,從而不具有PKG前向安全性,只能用于會話密鑰托管環(huán)境中。WCD-2方案及安全屬性分析(1)系統(tǒng)建立階段:PKG隨機選取三個生成元g,h,t∈G1和α∈Zp,計算g1=gα。系統(tǒng)公開參數(shù)為(g,g1,h,t),系統(tǒng)主密鑰為α,H2為會話密鑰抽取函數(shù)。(2)私鑰生成階段:對給定身份ID∈Zp,隨機選擇rID∈Zp,計算身份的私鑰dID=<rID,hID>,其中hID=(ht-rID)1/α-ID。對每一個身份ID選擇固定的。(3)密鑰協(xié)商階段:假設IDA與IDB進行會話密鑰協(xié)商。令gA=g1g-IDA,gB=g1g-IDB和tT=e(g,t)。協(xié)議交互過程如下:IDA隨機選擇x∈Zp,計算TA1=gxB,TA2=txT,將TA=TA1‖TA2發(fā)送給IDB;IDB隨機選擇y∈Zp,計算TB1=gyA,,TB2=tyT,將TB=TB1‖TB2發(fā)送給IDA;IDA計算共享秘密:KAB1=e(TB1,hA)·(TB)rA·e(g,h)x,KAB2=TxB2IDB計算共享秘密:KBA1=e(TA1,hB)·(TA2)rB·e(g,h)y,KBA2=TyA2從以上公式容易看出KAB1=KBA1=e(g,h)x+y與KAB2=KBA2=e(g,t)xy,從而IDA與IDB可以計算出相同的會話密鑰:sk=H2(IDA‖IDB‖TA‖TB‖e(g,h)x+y‖e(g,t)xy)WCD-2方案密鑰協(xié)商階段圖ABXyKAB1=e(TB1,hA)·(TB2)rA·e(g,h)x
KBA1=e(TA1,hB)·(TA2)rB·e(g,h)yKAB2=TxB2
KBA2=TyA2skA=H(A|B|TA|TB|KAB1|KAB2)skB=H(A|B|TA|TB|KBA1|KBA2)
TA=TA1|TA2TB=TB1|TB2對WCD-2協(xié)議的安全性分析對密鑰泄漏模仿攻擊的擴展定義定義1(密鑰泄漏模仿攻擊,KeyCompromiseImpersonation,KCI)密鑰泄漏模仿攻擊是一種已知密鑰的攻擊,即當A的長期私鑰泄漏之后,攻擊者可以向A冒充B。定義2(主私鑰泄漏模仿攻擊,MaserKeyCompromiseImpersonation,MKCI)若實體的私鑰不完全依賴于KGC的主私鑰,則當KGC的主私鑰泄漏之后(實體私鑰未泄漏),攻擊者可以向一個實體(如A)冒充另一個實體(如B)。定義3(增強的私鑰泄漏模仿攻擊,StrengthenKeyCompromiseImpersonation,SKCI)若實體的私鑰不完全依賴于KGC的主私鑰,則當KGC的主私鑰和實體A的長期私鑰泄漏之后,攻擊者可以向A冒充B。易知,一個協(xié)議若可抵抗增強的私鑰泄漏模仿攻擊,則一定能抵抗私鑰泄漏模仿攻擊和主私鑰泄漏模仿攻擊。主私鑰泄漏模仿攻擊首先分析協(xié)議不能抵抗主私鑰泄漏模仿攻擊。假設一個攻擊者C獲得了主私鑰(但產(chǎn)生用戶長期私鑰所需的隨機數(shù)未泄漏),則C試圖向A模仿B如下:(1)A隨機選取一個臨時私鑰xZp并計算相應的臨時公鑰與之后發(fā)送TA=TA1|TA給B。(2)C攔截消息TA并隨機選取一個臨時私鑰zZp,計算相應的臨時公鑰及。之后,C發(fā)送TC=TC1|TC2給A。收到TC后,A計算共享秘密(thesharedsecret)如下KAB1=e(TC1,hA)·(TC2)rA·e(g,h)x=e(g,h)x+zKAB2=Txc2=e(g,t)xz(3)由于C知道,由,首先計算。C進一步計算共享秘密如下:
一次協(xié)議運行結束后,C成功地模仿B與A協(xié)商獲得了一個會話密鑰sk=H(A|B|TA|TC|KCA1|KCA2)
主私鑰泄漏模仿攻擊圖AC(B)
XC攔截,C選擇
zKAB1=e(TC1,hA)·(TC2)rA·e(g,h)x
KAB2=TxC2skA=H(A|B|TA|TB|KAB1|KAB2)
skC=H(A|B|TA|TC|KCA1|KCA2)TA=TA1|TA2TB=TB1|TB2增強的私鑰泄漏模仿攻擊假設一個攻擊者C獲得了用戶A的長期私鑰<,>及KGC的主私鑰(但產(chǎn)生用戶長期私鑰所需的隨機數(shù)未泄漏),則C試圖向A模仿B。攻擊如下:(1)A隨機選取一個臨時私鑰xZp,并計算相應的臨時公鑰及。之后發(fā)送TA=TA1|TA2給B。(2)C攔截消息TA并隨機選取一個臨時私鑰為zZp,計算相應的臨時公鑰及。之后,C發(fā)送TC=TC1|TC2給A。(3)收到后,A計算共享秘密(thesharedsecret)如下:=====(4)由于C知道,由,C首先計算。利用A的私鑰<,>,C進一步計算共享秘密如下:====一次協(xié)議運行結束后,C成功地模仿B與A協(xié)商獲得了一個最終的會話密鑰sk,由下圖所示增強的私鑰泄漏模仿攻擊圖AC(B)
XC攔截,C選擇z
====skA=H(A|B|TA|TB|KAB1|KAB2)
skC=H(A|B|TA|TC|KCA1|KCA2)TA=TA1|TA2TC=TC1|TC2對WCD-2協(xié)議的安全性分析由上述分析,我們發(fā)現(xiàn)該協(xié)議不能抵抗主私鑰泄漏模仿攻擊和增強的私鑰泄漏模仿攻擊。通過對協(xié)議及安全模型的分析,我們從兩個不同的角度給出導致已經(jīng)證明安全的協(xié)議存在攻擊的原因。當收到corrupt詢問時,被詢問的協(xié)議參與者返回自己的長期私鑰,但不能返回KGC的主私鑰,因此無法反映KGC主私鑰泄漏的情況。也就是說,該模型不允許泄漏KGC的主私鑰。這是不太現(xiàn)實的。因為在IBC中,KGC是一個可信的私鑰生成器,它利用一個固定的主私鑰為域內所有用戶產(chǎn)生并分發(fā)私鑰。惡意攻擊者可能通過一些非常手段獲得主私鑰,如果用戶的私鑰不僅僅依賴于KGC的主私鑰,則我們希望主私鑰的泄漏不影響協(xié)議的安全性質。其次,從協(xié)議本身來看,由協(xié)議的消息流可以看出,兩個參與者之間缺少相互的實體認證,因此攻擊者攔截得到A的消息后,可以冒充B產(chǎn)生消息并發(fā)送給A而不被A所察覺。參與者繼續(xù)執(zhí)行協(xié)議,最終生成一個會話秘密,而攻擊者也可以利用自己已有的知識產(chǎn)生一個完全相同的會話秘密,從而最終與A建立一個共享的會話密鑰。WCX方案及安全屬性分析汪等針對無密鑰托管的認證密鑰協(xié)商協(xié)議的要求提出了一個改進的無會話密鑰托管的認證密鑰協(xié)商協(xié)議WCX方案(1)系統(tǒng)建立階段:與WCD-1協(xié)議基本相同。其中H為會話密鑰抽取函數(shù)。(2)實體密鑰對生成階段:與WCD-1協(xié)議相同,令gT=e(g,g)。(3)密鑰協(xié)商階段:IDA隨機選擇x∈Zp,計算TA1=gxb,TA2=gxT,TA3=gx將TA=TA1‖TA2‖TA3發(fā)送給IDB;IDB隨機選擇y∈Zp,計算TB1=gyA,TB2=gyT,TB3=gy,將TB=TB1‖TB2‖TB3發(fā)送給IDA;IDA計算共享秘密:KAB1=e(TB1,hA)·TB2rA·e(g,h)x,KAB2=TxB3IDB計算共享秘密:KBA1=e(TA1,hB)·TA2rB·e(g,h)y和KBA2=TyA3IDA計算會話密鑰:skAB=H(IDA‖IDB‖TA‖TB‖KAB1‖KAB2)IDB計算會話密鑰:skBA=H(IDA‖IDB‖TA‖TB‖KBA1‖KBA2)顯然KAB1=KBA1=e(g,h)x+y
,KAB2=KBA2=gxy因此IDA與IDB計算出相同的會話密鑰為:sk=H(IDA‖IDB‖TA‖TB‖e(g,h)x+y‖gxy)該協(xié)議滿足完美前向安全性和PKG前向安全性。4.安全增強的身份基認證密鑰協(xié)商協(xié)議為了提供更多的安全屬性,提高方案的安全性,本章構造了一個安全增強的認證密鑰協(xié)商方案。改進后的新方案幾乎滿足全部已知的安全屬性,特別是滿足完美前向安全性、PKG前向安全性以及已知會話相關臨時秘密信息安全屬性。與此時,新方案保持了良好的計算效率。新方案描述如下:
(1)系統(tǒng)建立階段:PKG隨機選取兩個生成元g,h∈G1和α∈Zp,計算g1=gα。系統(tǒng)公開參數(shù)(g,g1,h),系統(tǒng)主密鑰為α,H為會話密鑰抽取函數(shù)H:{0,1}*→{0,1}k,k為會話密鑰長度。(2)密鑰生成階段:對給定身份ID∈Zp,隨機選擇rID∈Zp,計算身份的私鑰dID=<rID,hID>,其中hID=(hg-rID)1/(α-ID)。對每一個身份ID選擇固定的rID。(3)密鑰協(xié)商階段:假設IDA與IDB進行會話密鑰協(xié)商。令gA=g1g-IDA,gB=g1g-IDB和gT=e(g,g)。協(xié)議過程如下:安全增強的身份基認證密鑰協(xié)商協(xié)議協(xié)議過程如下:IDA隨機選擇x∈Zp,并計算TA1=gxB,TA2=gxT,TA3=grAT,將TA=TA1‖TA2‖TA3發(fā)送給IDB;IDB隨機選擇y∈Zp,并計算TB1=gyA,TB2=gyT,TB3=grBT,將TB=TB1‖TB2‖TB3發(fā)送給IDA;IDA計算共享秘密如下:KAB1=e(TB1,hA)·TB2rA·e(g,h)x,KAB2=(TB2·TB3)(x+rA)IDB計算共享秘密如下:KBA1=e(TA1,hB)·TA2rB·e(g,h)y,KBA2=(TA2·TA3)(y+rB)IDA計算會話密鑰為:skAB=H(IDA‖IDB‖TA‖TB‖KAB1‖KAB2)IDB計算會話密鑰為:skBA=H(IDA‖IDB‖TA‖TB‖KBA1‖KBA2)容易看出,KAB1=KBA1=e(g,h)x+y,KAB2=KBA2=gT(x+rA)(y+rB)=gTxy·gTxrB·gTyrA·gTrArB因此IDA與IDB計算出共享會話密鑰為:sk=H(IDA‖IDB‖TA‖TB‖e(g,h)x+y‖gTxy+xrB+yrA+rArB)安全增強的身份基認證密鑰協(xié)商協(xié)議該協(xié)議滿足完美前向安全性和PKG前向安全性。即使敵手獲得IDA和IDB的私鑰,以及系統(tǒng)主密鑰α,只能計算出第一個共享秘密KAB1=KBA1=e(g,h)x+y。若要得到第二個共享秘密,必須由gx和gy計算出gxy。該方案通過增加交互消息TA3=gx和TB3=gy,使得在會話密鑰生成中增加PKG不可計算因素,從而達到PKG前向安全屬性。當然這勢必會影響協(xié)議執(zhí)行的效率。同時注意到,改進協(xié)議中(g,h)x+y和gxy兩個因素仍然是在已知會話相關臨時秘密信息下可計算的,因而該方案仍然不滿足已知會話相關臨時秘密信息安全屬性。新方案安全性(1)已知會話密鑰安全性。該方案中已知舊的會話密鑰不會影響新的會話密鑰安全性。每一次協(xié)議的執(zhí)行,臨時秘密x和y都是分別由參與實體A和B獨立隨機選取的。多個會話密鑰值之間具有無關性。(2)前向安全性和完美前向安全性。如果A或者B以及A和B的長期密鑰dID=<rID,hID>泄露,將不會影響舊的會話密鑰安全性。雖然這將導致攻擊者可以根據(jù)歷史交互消息和長期密鑰計算KAB1=KBA1=e(g,h)x+y,,,,,,但是由于(,)和(,),計算和,進而計算KAB2=KBA2=...,需要解決CDH困難問題。通過(,)計算同樣需要解決CDH困
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 《機電概念設計基礎》課件-運行時行為
- 2024外墻保溫材料綠色施工技術與材料購銷合同協(xié)議2篇
- 換簽租賃合同(2篇)
- 2024年版項目管理實踐之招投標策略3篇
- 2024年田土承包與土地整治服務合同協(xié)議3篇
- 2025年寶雞貨物從業(yè)資格證考試題
- 2025年中衛(wèi)貨運從業(yè)資格證試題庫及答案
- 2025年杭州貨運從業(yè)資格證模擬考試0題題庫
- 2025年福州貨運從業(yè)資格證考500試題
- 2025年哈爾濱貨運從業(yè)資格考試
- 2024-2030年全球與中國石墨匣缽市場現(xiàn)狀動態(tài)及投資價值評估報告
- 腎穿刺活檢術的準備和操作方法教學提綱
- 20以內的加法口算練習題4000題 210
- 讀書分享課件:《一句頂一萬句》
- GB 17927-2024家具阻燃性能安全技術規(guī)范
- 公墓管理制度模板
- 補簽考勤管理制度
- 30萬噸級原油碼頭工程施工組織設計(沉箱重力墩式棧橋碼頭)
- 地力培肥合同協(xié)議書
- 第七單元《條形統(tǒng)計圖》(教案)-2024-2025學年四年級上冊數(shù)學人教版
- 2024年秋新人教版七年級上冊生物課件 第四章 生物分類的方法 第二節(jié) 從種到界
評論
0/150
提交評論