英语原文共 10 页,剩余内容已隐藏,支付完成后下载完整资料
用对称平衡不完全块设计实现的基于身份的密钥协商协议
Jian Shen, Sangman Moh, and Ilyong Chung
摘要:密钥协商协议是密码学中的一个基本协议,有2个或多个参与者可以协商出一个共同的会议密钥,以便在他们之间进行安全地进行通信。在这种情况下,参与者可以安全地发送和接收消息。无法获取该会议密钥的攻击者将无法解密消息。在本文中,我们采用对称平衡不完全的块设计提出了一种新的基于身份的身份验证的多用户密钥协商协议。我们的协议是建立在椭圆曲线密码体制,同时利用一种叫做Weil对的双线性映射。提出的协议可以提供一个识别(身份)的身份验证服务,并抵抗一种称为差别的密钥攻击的攻击。此外,我们的协议是高效的,只需要2轮产生一个共同的会议密钥。值得注意的是,在我们的协议产生会议密钥的通信复杂度仅为和计算成本仅为,其中n意味着参与者的数量,m表示有限域的延伸度。此外,为了抵御来自恶意参与者的差别密钥攻击,我们的协议可以进一步扩展,以提供容错属性。
关键词:密钥协商协议;对称平衡不完全块设计(SBIBD);Weil对
1.引言
作为互联网和加密技术的一个发展,会议密钥协议的研究已经有许多不同的应用,如电话会议、董事会会议、学术讨论等。会议密钥协议有2种不同的类型。第一类是会议密钥分配协议,其中一个集中控制器选择一个会议密钥,并分发给参与者。在文献[1]-[8]中已经提出了几种主要的协议。第二类是会议密钥协商协议,所有参与者共同贡献一个共同的会议密钥,而无需任何集中控制器。后者更适用于分布式环境,并具有良好的灵活性。在文献中[9]-[8]中讨论了很多的这种类型的密钥协商协议。密钥协商协议是密码学中的一个基本协议,通过一个或多个参与者在一个共同的会议上达成共识,以便安全地进行通信。在这种情况下,参与者可以安全地发送和接收消息。无法访问该会议密钥的攻击者将无法解密消息。
第一个现代的密钥协商协议是Diffie-Hellman协议[11],但是因为它并不试图验证通信双方所以很容易遭受中间人攻击。此外,它只能用于2个参与者。后来,一个认证密钥协商协议在[14]中,由Law等人提出,其中认证的解决方案是将密钥协商协议与数字签名相结合的。在密钥协商协议的一个突破是由Joux在[12]中提出的三方单轮密钥协商协议中提出。Joux的协议使用Weil对生成一个三个用户之间共享的会话密钥,然而该协议并没有提供认证服务。为了在一组用户中生成共同的密钥,Barua等人扩展Juox的协议实现了多方密钥协商协议[10]。在文献[16]和[18]中提出了支持容错的会议密钥协商协议。特别是在[18]中,Yi利用Weil对提出了一个支持容错的基于身份的密钥协商协议。然而,Yi的协议需要一个集中控制器,称为一个会议桥,这需要更多的计算能力,并导致缺乏灵活性。
在本文中,我们采用对称平衡不完全区组设计(SBIBD)提出了一种新的基于身份的认证多用户的密钥协商协议。我们的协议是建立在椭圆曲线密码体制上,并利用一种叫做Weil对的双线性映射。提出的协议可以提供一个识别(身份)的身份验证服务,并能抵抗差别的密钥攻击。此外,我们的协议是高效的,只需要2轮产生一个共同的会议密钥。值得注意的是,在我们的协议中,生成一个会议密钥的通信成本是,计算成本仅为,相比之下,在Yi的协议中,虽然只需要一个回合来计算一个会议密钥,然而他的通信成本是,计算成本是。在这里,n意味着参与者的数量m代表有限域的伸展程度。我们的协议是建立在一个分散模型采用SBIBD,使得每个用户非常有效和方便的计算一个共同的会议密钥。与集中式模型相比,我们认为密钥协商协议的分散模型更具前景。所提出的协议是能够承受被动和主动攻击。我们的协议抵抗被动攻击的安全性是可以证明的。另一方面,我们的协议可以提供一些很好的性能以抵御主动攻击,如隐式密钥认证,已知会话密钥的攻击性,完美的向前保密,抵抗密钥泄露、信息丢失、无密钥控制。此外,为了抵御恶意参与者的差别密钥攻击,我们的协议可以进一步扩展,以提供容错属性,这将在第七节解释。本文的其余部分安排如下:在下面的部分中,对一些数学知识进行了简要总结。该协议的模型简要介绍在第三节。采用SBIBD的基于身份的密钥协商协议在第四节进行详细描述、安全分析和我们的协议的性能分析在第五和第六分别介绍了。关于容错的进一步讨论在第七节所示。最后,本文的结论是在第八节。
2. 预备知识
2.1. Weil对
设是一个素数,并且满足。是由Weierstrass方程 定义在有限域上的椭圆曲线。在上的有理数点集合 组成了阶循环群。此外,因为因此对于一些素数, 以为阶的点形成在上的一个循环子群,记为在上的。设是的生成元,是上包含所有阶为的元素的子群。
定义1:我们假设离散对数问题(DLP)在群和上是很难的。是和之间的双线性映射。改良Weil对是一个映射
并且具有以下的特点:
- 双线性:对任意的以及我们可以得出。
- 非退化性:若是的生成元,那么也是的一个生成元。
- 可计算性:任意的,存在一种高效的方法计算。
- 不可交换性:任意的,。
- 若,则。
2.2. 区组设计
在组合数学中,一个区组设计是一种特殊的超图或集合系统[22],它在实验设计、有限几何、软件测试,密码学以及代数几何等方面有广泛的应用。平衡不完全区组设计(BIBD)的定义如下。
定义2:设V={0,1,2,3,4,hellip;,V-1}是一个有V个元素的集合,B={}是b个区组的集合,其中是V的一个子集,且||=k。若它们满足以下条件则可称一个平衡不完全区组设计(balanced incomplete block design-BIBD)即((b,v,r,k,lambda;)-区组设计)。
- B是V的k元素子集,这些k元素子集也称为区组。
- V的每个元素在b个区组中恰好出现r次。
- V中的每两个元素在b个区组中恰好出现lambda;次。
- klt;lambda;。
其中,b 表示区组数,v 表示样品数,k 每个区组中的样品个数,r 包含每对样品的区组的个数,lambda;包含每个样品的区组的个数。对一个(b,v,r,k,lambda;)-区组设计若其满足r=k, b=v,则其称为一个对称平衡不完全区组设计(symmetric balanced incomplete block design-SBIBD)即((v,k,lambda;)-区组设计)。因为BIBD的特征是由五个参数B,V,R,K和lambda;所决定的,它被称为(b,v,r,k,lambda;)设计。很显然,所有的五个参数是不独立的。换句话说,并不是对任意参数都存在一个BIBD。然而,没有已知的充分条件可以证明一定的存在(b,v,r,k,lambda;)设计。我们将证明存在(b,v,r,k,lambda;)设计的相应必要条件的参数之间的一些关系。根据定理在[23]中的证明,在BIBD两个基本关于这些参数的方程这些参数是和。一个区组设计除了可以用一个列表的k元素子集表示外,也可以通过关联矩阵L来描述,这是一个以0和1为项的矩阵。矩阵的行和列分别对应于块和元素。矩阵的第i行和第j列是1如果块包含元素是0则不然。
2.3. 模型
我们的协议是建立在一个分散的模型上。在我们的系统中的消息传播模式为多播的。一个密钥生成中心,一些诚实的会议参与者(用户)和对手都参与了协议。请注意,没有一个集中的管理员,例如一个会议桥或一个会议管理器接收来自用户的消息,操作这些消息或广播相应的结果给用户。该协议中的用户是一个概率多项式时间图的机器,对于一个对手也是同样。用户之间不存在私人渠道。有2种类型的攻击者:被动攻击者和主动攻击者。一个被动攻击者试图了解会议密钥偷听组播通道而主动攻击者是试图模拟用户或扰乱会议的人。该协议的安全性是基于椭圆曲线上的离散对数问题(DLP)[24]和计算Diffie-Hellman假设的一个变种称为双线性Diffie-Hellma假设(BDH)[19]。在中的双线性Diffie-Hellman问题的定义如下:对于给定,计算,其中是的生成元。一个算法是说有优势解决在上的BDH问题,如果。当概率是基于,的随机选择。BDH假设说在解决上的BDH问题上,没有多项式时间算法的优势至少为。
3. 采用SBIBD的基于身份的密钥协商协议
3.1 初始阶段
为了通过一个安全通道分发私有密钥给参与者,密钥生成中心(KGC)被当作一个可信的第三方。在我们的协议中,每个用户在KGC注册以获取他们的私钥。之后,每一个成员都可以进行密钥协商协议来计算共同的会议密钥。首先,一个值得信赖的KGC根据定义1选择两个素数阶群G1和G2以及一个改良weil对由映射E。接下来,KGC选取两单向散列函数
函数将它的任意长度输入映射G1中的非零的点,而H2将将它的任意长度输入映射为一个非零的整数。最后,KGC挑选一个随机整数作为私钥,计算其公钥,公开,但将自己的私钥保密。每个用户身份。KGC 通过计算用户i的公钥,然后用户i的私钥将通过安全通道
这是发给用户i。此外,为了支持认证,密钥生成中心选择两个数p ,q并计算,其中p和q是素数。在那之后,每个用户选择一个比较大的整数使得和互质。同时的值由确定。最后KGC分发给所有用户最为他们的公钥。用户i计算,其中,并保持保密作为自己的私钥。
3.1 密钥协商阶段
共同会议密钥是采用SBIBD计算,其中块的数量与参与者的数量是相同的。我们选择了一个(7,3,1)设计。设一个有限集X = { 1,2,3,4,5,6,7 },然后B1 = { 1,2,4 },B2 = { 2,3,5 },B3 = { 3,4,6 },B4 = { 4,5,7 },B5 = { 1,5,6 },B6 = { 2,6,7 },B7 = { 1,3,7 }。因此,一个的关联矩阵由图1所示。矩阵的行和列分别
图1. 关联矩阵
对应于区组设计的块和元素。如果第i块包含第j个元素,则,否则。
为了产生一个共同的会议密钥,每个用户都会通过采用这种根据一个(7,3,1)设计得到的关联矩阵的结构接收来自一些用户的秘密消息,我们的协议要求两轮来计算出一个共同的会议密钥。
第1轮:在每一个阶段每个用户选择一个随机数作为自己的密钥,然后计算。同时,为了实现对基于身份认证的目的,用户i需要计算,其中值得注意的是,,以及,同时表示一个时间戳。在我们的协议中,用户i接收用户j的信息,其中,是用于生成会议密钥,用于认证将在下一小节解释。我们现在从用户1的角度来描述的密钥协商的过程。用户1从用户2和用户4接收信息,。然后计算:
;
;
;
;
其中;
第2轮:如果,用户从用户接收到的信息,其中。是用于生成会议密钥,用于认证将在下一小节解释。特别地,对于用户1,他将接收来自用户5,用户7的信息,,。之后用户1便可以通过以下公式计算出共同的会议密钥了。
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[29256],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
