密码学-16 密钥交换协议(SIGMA协议的细节和变体)+VPN应用.pdf

SIGMA密钥交换协议及其变体 ed = 1 mod φ(N) Y = Me mod N d M = Y mod N 密钥交换协议(1)  协议安全目标的基本概念  直观地说，带身份认证的密钥交换协议(Authenticated Key Exchange ） 需要同时完成两类目标：  (1) 在线认证协议当前参与方的身份，其中某些协议只追求一方认证  另一方的身份(单向认证) ，另一些协议追求互相认证(双向认证) ；  (2) 在协议双方之间生成一个密钥K ，K 用于接下来对一切需要保密 s s  的数据进行对称加密。  更精确地说，这类协议的安全目标包括以下须同时满足的三点：  (1) 如果协议任何一方A(B)按照协议的逻辑判定对方的身份是B(A) ，则  当前实际参与协议的对方确实是B(A) ，即抗身份欺诈性质。  (2) 如果协议任何一方A(B) 按照协议的逻辑判定当前与之会话的对方是  B(A) ，则对方也必定判定当前与之会话的对方是A(B) ，即一致性。  (3) 除合法参与方之外，协议所生成的会话密钥K 使任何第三方(无论 s  被动或主动攻击者)无法(用P.P.T.算法)有效推断出来，即密钥保密性。 密钥交换协议(4)  SIGMA协议(1996)：基本参数和基础方案  SIGMA协议是对前述Diffie-Hellman协议的优化，也是一类基于判定 性Diffie-Hellman 问题难解性的密钥交换协议。  prf 表示拟随机函数(在目前阶段暂将其理解为单向散列函数即可) 。  SIG=(KG ,Sign,Vf)是抗伪造的数字签名方案。 s  MAC=(KGm, MAC, MVf)是抗伪造的消息认证码方案。  循环群G 以g为公开的生成子，G上的判定性Diffie-Hellman 问题难解。 A B  CA(A ||vk )和CA(B||vk )表示A和B的签字公钥证书。 密钥交换协议(5)  SIGMA协议：工作过程  2 1 3 4 5 6 7 密钥交换协议(6)  SIGMA协议：关于显式采用公钥证书的说明  与Diffie-Hellman 协议不同，公钥证书显式出现于SIGMA协议 的消息之中，目的是针对这样的应用情形，即协议参与方之一事 先未知当前需要与之对话的对方。  例一，在大规模分布式计算系统中，一个客户进程A 需要请 求特定的服务时，未必总按照事先的安排访问特定的服务器(B) ， 而是在网络环境中广播请求，任何能够提供服务的、可信任的服 务器都可以成为协议的对方。  例二，在无线移动网络环境中，A 需要与访问接入点或基站 建立协议会话，这时A尤其无法事先明确究竟将与哪个对方(B)进 行协议会话，只能在线认证对方的身份。  既然A不能事先明确B 究竟是“谁”，因此A在第2条消息中待 B 明确看到身份标识“B”之后，根据B提供的公钥证书CA(B||vk )