密鑰協商協議的數據信息安全

揚州大學 袁 進

開放的網絡環境容易誘發各式各樣的攻擊，為防止攻擊者竊取信息，保證用戶安全使用計算機，需要對信息進行加密保護。文章闡述了對隨機預言機和離散對數計算困難性的假設，構建了密鑰協商協議的數據信息安全模型，對eCK07進行了比較詳細的分析，為抵御量子計算的新加密方法提供一種思路。

網絡信息安全最重要的作用就是保障信息數據在傳輸過程中的安全性，這也是網絡安全的首要任務。網絡覆蓋面比較廣，涉及各行各業，但是不管是哪種系統類型，都要根據安全指標來判斷信息安全性、可靠性和保密性來完成加密工作，防止出現信息泄露的現象。同時，使用者也要樹立正確的安全意識，加快對信息保密工作的落實，防止在實際應用中，受到內外部因素的影響，導致信息泄露，使得計算機信息安全面臨風險隱患。

1 隨機預言模型

Bellare和Rogaway在1993年提出了隨機預言模型(Random Oracle Model,ROM)。研究者認為該模型在密碼理論和密碼實踐之間架設了一座橋梁，它的核心是一個公開的、可隨機選擇的函數H，它能接收的輸入值x，并隨機映射到一個有限集中。該隨機選擇的函數稱為隨機預言機，通信方或攻擊方可以向隨機預言機詢問，隨機預言機接收到詢問后對所詢問的問題進行回答。

假設存在函數H:{a,b}n{a,b}k有以下性質：

（1）均勻性：H的輸出在{a,b}k上均勻隨機分布。

（2）確定性：對于相同的輸入參數，H的輸出必然相同。

（3）有效性：假設輸入的信息是一個長度為n的字符串x，則H(x)可在規模為n的低階多項式時間內完成計算。則稱H為隨機預言機。如果只從某些數學問題的難解性假設出發來證明密碼體制的安全性時，這樣的安全性證明模型稱為標準化模型。如果利用隨機預言機的上述屬性來證明密碼體制的安全性時，這樣的安全證明模型我們稱之為隨機預言模型。理想的散列函數具有確定性、有效性、單向性、弱抗碰撞性和強抗碰撞性等性質，與隨機預言機相比，它除了不具備均勻性外，其他的性質都可滿足，因此，在研究或工作中，通過精心設計散列函數使其能滿足均勻性，即可替代隨機預言機。

2 計算困難性假設

在現代密碼學中通常把算法或者協議的安全性規約到一些多項式時間內難解的問題上，本文主要研究離散對數難解問題。

定義1：離散對數(Discrete Logarithm，DL)問題。設G是一個階為大素數q的循環群，g是它的生成元，ga是群G中的元素。給定ga求解指數a稱為離散對數問題。離散對數假設是指在任何一個概率多項式時間內攻擊方都不可能以一個不可忽略的概率破解離散對數問題。

定義2：可計算Diffie-Hellman（Computational Diffie-Hellman，CDH）問題。設G是一個q階乘法循環群，g是它的一個生成元，CDH問題是指給定三元組(g,ga,gb)，其中且未知，計算gab。

設Aer是一個概率多項式時間算法，它能夠在概率多項式時間內解決CDH問題的概率定義為：

定義3：CDH假設。CDH假設是指對每一個概率多項式時間算法Aer，它的都是可忽略不計的。

定義4：判定性Diffie-Hellman（Decisional Diffie-Hellman，DDH）問題。設G是一個q階乘法循環群。g是它的一個生成元，DDH問題是指給定四元組(g,ga,gb,gc)，其中a∈Z*，b∈Z*，c∈Z*且未知，判定gab和gc是否相等。

定義5：DDH假設。設Aer是一個概率多項式時間算法，用表示Aer成功解決DDH問題的概率。DDH假設是指對每一個概率多項式時間算法Aer，它的是可忽略不計的。

3 密鑰協商協議的數據信息安全

3.1 屬性

在對密鑰協商協議的研究中，研究者認識到密鑰協商協議的安全性是非常重要的，為了提高協議的安全性，提出過很多解決辦法，比如消息認證碼、數字簽名、密鑰認證和密鑰確認等等，但從密鑰協商協議的安全屬性角度來研究，它應該具備如下一些性質：

（1）已知密鑰安全。通信方A和B之間運行一個密鑰協商協議時，即可產生一個單獨的會話密鑰。而面對已獲得本次會話密鑰的攻擊方無法根據本次會話密鑰推算出以前的會話密鑰。該安全屬性可以把安全危害局限于當次通信，而不會危害到前后通信。

（2）前向安全。若通信的一方或多方的長期私鑰不慎泄露，之前接收的信息不會因為私鑰的泄露受到影響，其目的是對之前被加密的資料提供完善的機密性保護。

（3）完美前向安全。假如通信雙方或多方全部泄露了長期私鑰，但不影響長期私鑰泄露之前的信息。即系統仍然對長期私鑰泄密之前的已加密的信息進行保護，攻擊方也不能竊取之前的信息。

3.2 模型——eCK07模型

2007年微軟三位研究員LaMacchia，Lauter和Mityagin等在研究現有的安全模型時，根據當時對安全的要求，提出一種新的模型——extended Canetti & Krawczyk model 2007模型（eCK07），該模型以CK01為基礎，很好地解決了之前模型可能存在的密鑰泄露的問題，并且包含更多的安全屬性。該模型完善了之前模型存在的缺陷，其安全性能更高，被廣泛接受。目前，從效率和安全性能上來eCK07仍然是非常好的模型之一，很多安全協議在其上建立。

在隨機預言模型下的安全模型eCK07中包含的實體主要有一批參與方，即通信各方，證書中心CA和攻擊方Aer。eCK07擴展了攻擊方的能力，例如，假定Aer完全控制了通信網絡，且可以向CA注冊不存在的參與方等。eCK07允許臨時私鑰泄露且捕獲更多攻擊行為。

（1）會話

定義6：匹配會話。如果參與方Ci和Cj的第s次會話與參與方Cj和Ci的第t次會話有相同的密鑰協商消息，則我們說和這兩個會話是匹配的，和可互稱對方是自己的匹配會話。

（2）權威認證機構CA

假定權威認證機構是可信任的機構，它可以驗證每個參與方的長期公鑰與其身份的綁定情況，每個通過驗證的個體，包括參與方和攻擊方，都可以參與協議。但CA并不保證協議參與者的公鑰是唯一的，即可能出現兩個或兩個以上參與方擁有相同的長期公鑰。

（3）攻擊方

假定攻擊方Aer是一個概率多項式時間圖靈機，它完全控制網絡通信，能做到偽造、延遲發送、丟棄、篡改、監聽消息等操作。

（4）雙方認證密鑰協商協議的安全性

在eCK07安全模型中是通過一個游戲GAME來定義雙方認證密鑰協商協議的安全性的，假定一個模擬器M和攻擊方Aer進行一場游戲，該游戲分為兩個階段進行。第一階段，攻擊方Aers可以對參與方Ci和Cj（i≠j）進行的第s次會話執行Send操作，

操作描述如下：

Send(,m)：攻擊方Aer向發送消息m，以控制會話的活動性。πi,j按照協議規范對消息m進行應答。另外，攻擊方Aer可要求參與的一方向參與的另一方發起會話。

在第一階段，Aer具有以下的查詢能力，用來捕獲參與方的秘密信息，使得參與者的信息泄露。

（1）Session_Key_Reveal():Aer可獲得πs會話的會話密鑰。

（2）Static_Key_Reveal(Ci)：Aer可獲得參與方Ci的長期私鑰。

（3）Ephemeral_Key_Reveal(Ci)：Aer可獲得參與方Ci的暫時私鑰。

（4）Establish_Party(Ci)：Aer可以以身份Ci在CA上注冊一個合法的參與者，并且完全控制這個虛擬的參與方Ci。

結語：在信息化社會，信息安全已經受到人們的密切關注。保證信息免受各種類型的威脅、干擾和破壞成為各大計算機公司和密碼學科研工作者的一項重要使命。信息的安全通信是現代密碼學研究的重要任務之一，現代密碼學是保證信息安全的一種重要理論基礎，基于該理論可實現網絡環境下信息的安全傳輸，以及信息的可認證性，完整性，可用性和不可否認性保護。