基于橢圓曲線的多方密鑰協商協議

高隆，唐春明，張永強

?

基于橢圓曲線的多方密鑰協商協議

高隆1，唐春明1，張永強2

（1. 廣州大學數學與信息科學學院，廣東廣州 510000；2. 數安時代科技股份有限公司，廣東廣州 510000）

密鑰協商協議是在公開的信道上，2個或者多個參與方之間進行的共享密鑰機制。利用安全單向函數，設計了一種基于橢圓曲線的多方密鑰協商協議，協議能夠滿足密鑰交換協議的安全特性，并且具有較高的計算效率。

多方密鑰協商協議；橢圓曲線；安全單向函數；離散對數

1 引言

隨著計算機和網絡的發展，信息安全已經成為一個重要課題。在開放的網絡中，用戶用密鑰加密要交換的消息是實現信息安全的重要方法。密鑰協商是2個或者多個參與方在公開的信道中，協商建立一個共享的秘密密鑰。在1976年以前，人們在通信領域的觀念是：如果不事先進行秘密共享是無法進行安全保密通信的，即在通信前要先進行密鑰共享。1976年，第一個現代密鑰交換協議Diffie-Hellman[1]的提出，打破了人們的傳統觀念，使用戶可以在完全公開的信道上進行秘密共享。DH協議的安全性是基于在有限域上離散對數的難解性，該協議沒有進行認證，容易受到中間人的攻擊，為了彌補沒有認證這一漏洞，學者提出了認證密鑰協商協議，本文協議主要是基于口令。

基于口令的多方密鑰協商協議允許參與者利用低熵的口令進行密鑰協商，這種通信方式的優勢在于參與者無需存儲高熵的難以記憶的密鑰即可完成密鑰協商，建立會話密鑰。近年來，已經有一些基于口令的多方密鑰協商協議[2~4]被提出,但這些協議大多建立在“同口令認證模型”基礎上，即假設它們事先會共享一個秘密口令。文獻[5]提出2種新的基于口令協商協議，建立在不同口令認證上，即每個用戶只與服務器共享口令。文獻[6]利用安全單向函數構造了一種基于橢圓曲線的三方密鑰協商協議，并利用分組的思想推廣到了多方。文獻[7]是基于身份認證的利用雙線性對構造的多方密鑰協議，但在協議過程中也利用了“相同的口令”這一思想。本文在文獻[6]的基礎上結合文獻[7]利用安全單向函數提出一種新的基于橢圓曲線的密鑰協商協議，協議是建立在“不同口令認證”的基礎上，協議過程相對簡單，計算速度相對較快。

2 預備知識

2.1 Diffie-Hellman 密鑰協商方案（CDH）

這里的CDH通常指的是計算Diffie-Hellman問題，這個困難問題是基于有限域上離散對數的難解性，即，求解是困難的。同樣的基于橢圓曲線上的Diffie-Hellman協議也是基于有限域上離散對數的難解性，即，是橢圓曲線上的基點，求解是困難的。

2.2 密鑰協商協議的安全特性

由于密鑰協商協議是在公開的網絡情況下各個參與者得到的共享密鑰的解決方法，協議的安全性至關重要，文獻[8]給出了一般的協議需要滿足的安全性。

已知密鑰安全（known-key security）。由于共享密鑰中含有每個參與者由隨機數生成器生成的短私鑰，故每次協議生成的密鑰都是唯一的，以前的密鑰泄露，攻擊者也不會知道現在正在交換的密鑰。

完美前向保密性（perfect forward secrecy）。如果一個參與者或者多方參與者長期使用的私鑰長期泄露，也不會影響在此之前生成的共享密鑰，這就是完美前向保密性。

密鑰不可控制性（key control property）。由于共享密鑰是用各方參與者共同協商產生，無論是哪方都不能對協商的共享密鑰預先控制其選定的值。

抵抗密鑰泄露攻擊（resist key leakage attack）。協議要能抵抗如下攻擊：假設用戶A的私鑰長期泄露，那么攻擊者能夠假扮A用戶欺騙其他用戶，但是不能扮演其他用戶欺騙用戶A。

密鑰共享可知性（key sharing）。參與協議的任何一個用戶都不可能在不知曉的情況下進行共享密鑰或者某幾個用戶在某個用戶不知曉的情況下進行密鑰共享。

2.3 參數設定

3 協議過程

在文獻[6]中，三方協議過程大概如下。

文獻[6]中的三方協議流程如圖1所示。

下面給出在文獻[6]的基礎上，受文獻[7]啟發設計的一種多方密鑰交換協議，假設有個用戶進行協商，參數如2.3節中的參數，這里的用戶都是安全可信任用戶，協議過程如下。

4 安全性與效率分析

橢圓曲線的選擇：文獻[9]給出了橢圓曲線密碼體制的安全性分析，文獻[10]給出了一種構造安全橢圓曲線的有效方法。根據文獻[9,10]，選擇一條安全的橢圓曲線，在安全橢圓曲線的基礎上，橢圓曲線上離散對數的難解性能夠有效地保證密鑰參數在通信過程中的安全保密性。

由于該協議的共享密鑰是由每個參與者的隨機數生成的短私鑰構成，故每次協議生成的密鑰都是唯一的，并且每次重新開始協議，用戶的短暫私鑰都會不一樣，故滿足已知密鑰安全性和完美前向安全性和密鑰不可控性。

該協議采用簽名認證，故滿足抵抗密鑰泄露攻擊和抵抗不知曉密鑰共享。

該協議在發送消息中采用了跟文獻[6]一樣的安全手段，故具有跟文獻[6]中協議一樣的能夠抵抗消息重放、防篡改、防中間人攻擊等安全性質。

文獻[6]把協議推廣到方中采用的是分組，過程會相對復雜，人數越多，輪數就會越多，而本文只需要2輪。文獻[7]利用雙線性對計算自己的份額，相當于進行一次點乘跟一次雙線性對計算，而本文是利用了安全單向函數計算自己的份額，雖然每個用戶計算自己的份額時進行了2次點乘和一次單向函數運算，但計算時間依然小于文獻[7]中的計算自己份額的時間，故具有較高的計算效率。

5 結束語

本文在文獻[6]的基礎上受到文獻[7]啟發，提出了一種比較高效的多方密鑰協商協議，協議利用了簽名機制、口令認證，具有較高的安全性質。這個協議的安全性是建立在用戶都是誠實可信的前提下進行的，假設用戶不誠實可信，就會泄露共享密鑰，當然這會是以后的研究工作。

[1] DIFFIE W, HELLMAN M. New directions in cryptography[J]. IEEE transactions on Information Theory, 1976, 22(6):644-645.

[2] ABDALLA M, BRESSON E, CHEVASSUT O,etal.Password-based groupkey exchange in a constant number of rounds[C]//The9th International Workshop on Theory and Practice inPublic KeyCryptography. c2006:427-442.

[3] ABDALLA M, POINTCHEVAL D.A scalable password-based groupkeyexchange in a constant number of rounds[C]//The 9th International Workshop on Theory and Practice in Public KeyCryptography. c2006: 332-347.

[4] BRESSON E, CHEVASSUT O, POINTCHEVAL D. GroupDiffie-Hellmankey exchange secure against dictionaryattacks[C]//ASIACRYPT’02, Berlin. 2002: 497-514.

[5] BYUN J, LEE D.-party encrypted Diffie-Hellman keyexchangeusing Diffie-Hellman passwords[C]//ACNS’05. c2005: 75-90.

[6] 謝環, 左黎明, 湯鵬志. 一種基于橢圓曲線的多方密鑰交換協議[J].信陽師范學院學報，2011,10(4):13-15. XIE H, ZUO L M, TANG P Z. A muti-parties secret key exchange protocol based on elliptic curve[J]. Journal of Xinyang Normal University, 2011, 10(4):13-15.

[7] 趙婷, 王曉峰, 王尚平, 等. 基于身份的可認證多方密鑰協商方案[J].計算機工程，2008, 34(6): 164. ZHAO T, WANG X F, WANG S P, et al. Muti-parties secret key agreement based on authentication[J]. Computer Engineering, 2008, 34(6): 164.

[8] SIMON B W, JOHNSON D, MENEZES A. Key agreement protocols and their security analysis[C]//The 6th IMA International Conference on Cryptography and Coding. c1997:30-45.

[9] 劉培, 藤玲瑩, 佘堃, 等. 橢圓曲線密碼體制的安全性分析[J].計算機工程與設計，2006,27(16):2943-2945. LIU P, TENG L Y, SHE X, et al. Securit analysis of elliptic curve cryptosystem[J]. Computer Engineering and Design, 2006,27(16): 2943-2945.

[10] 吳開貴，吳中福.一種安全橢圓曲線的有效構造方法[J]. 計算機科學, 2006, 33(4):108-110. WU K G, WU Z F. An effective method of security elliptic curve[J]. Computer Science, 2006,33(4):108-110.

[11] 徐秋亮, 李大興. 橢圓曲線密碼體制[J].計算機研究與發展, 1999, 36(11):1281-1288. XU Q L, LI D X. Elliptic curve cryptosystem[J]. Computer Research and Development, 1999, 36(11):1281-1288.

Multi-parties key agreement protocol based on elliptic curve

GAO Long1, TANG Chun-ming1, ZHANG Yong-qiang2

(1. School of Mathematics and Information Science, Guangzhou University, Guangzhou 510000, China;2. Number of Times Polytron Technologies Inc., Guangzhou 510000, China)

The key agreement protocol is a shared key mechanism between two or more participants in a public channel. A multi key agreement protocol based on elliptic curve was designed by using the secure one-way function. The protocol was based on password authentication. The protocol designed can satisfy the security characteristics of the key exchange protocol, and has high computing efficiency.

multi-parties key agreement protocol, elliptic curve, hash function, discrete logarithm

The National Natural Science Foundation of China (No.11271003), The Natural Science Foundation of Guangdong Province (No.2015A03030816),Major basic Research Project of Guangdong Provincial Department of Education (No.2014KZDXM044), The Ministry of Education in Colleges and Universities Specialized Research Fund for the Doctoral Program (No.20134410110003)

TP309.2；TP309.7

A

10.11959/j.issn.2096-109x.2016.00056

2016-03-07；

2016-04-23。

唐春明，395033429@qq.com

國家自然科學基金資助項目（No.11271003）；廣東省自然科學基金資助項目（No.2015A030308016）；廣東省教育廳基礎研究重大基金資助項目（No.2014KZDXM044）；教育部高等學校博士學科點專項科研聯合基金資助項目（No.20134410110003）

高隆（1991-），男，湖南衡陽人，廣州大學碩士生，主要研究方向為信息安全、密碼學。

唐春明（1972-），男，湖南懷化人，博士，廣州大學教授、博士生導師，主要研究方向為信息安全、密碼學。

張永強（1976-），男，四川成都人，博士，數安時代科技股份有限公司高級工程師，主要研究方向為信息安全。