高隆，唐春明，張永強(qiáng)

?

基于橢圓曲線的多方密鑰協(xié)商協(xié)議

高隆1，唐春明1，張永強(qiáng)2

（1. 廣州大學(xué)數(shù)學(xué)與信息科學(xué)學(xué)院，廣東廣州 510000；2. 數(shù)安時代科技股份有限公司，廣東廣州 510000）

密鑰協(xié)商協(xié)議是在公開的信道上，2個或者多個參與方之間進(jìn)行的共享密鑰機(jī)制。利用安全單向函數(shù)，設(shè)計了一種基于橢圓曲線的多方密鑰協(xié)商協(xié)議，協(xié)議能夠滿足密鑰交換協(xié)議的安全特性，并且具有較高的計算效率。

多方密鑰協(xié)商協(xié)議；橢圓曲線；安全單向函數(shù)；離散對數(shù)

1 引言

隨著計算機(jī)和網(wǎng)絡(luò)的發(fā)展，信息安全已經(jīng)成為一個重要課題。在開放的網(wǎng)絡(luò)中，用戶用密鑰加密要交換的消息是實現(xiàn)信息安全的重要方法。密鑰協(xié)商是2個或者多個參與方在公開的信道中，協(xié)商建立一個共享的秘密密鑰。在1976年以前，人們在通信領(lǐng)域的觀念是：如果不事先進(jìn)行秘密共享是無法進(jìn)行安全保密通信的，即在通信前要先進(jìn)行密鑰共享。1976年，第一個現(xiàn)代密鑰交換協(xié)議Diffie-Hellman[1]的提出，打破了人們的傳統(tǒng)觀念，使用戶可以在完全公開的信道上進(jìn)行秘密共享。DH協(xié)議的安全性是基于在有限域上離散對數(shù)的難解性，該協(xié)議沒有進(jìn)行認(rèn)證，容易受到中間人的攻擊，為了彌補(bǔ)沒有認(rèn)證這一漏洞，學(xué)者提出了認(rèn)證密鑰協(xié)商協(xié)議，本文協(xié)議主要是基于口令。

基于口令的多方密鑰協(xié)商協(xié)議允許參與者利用低熵的口令進(jìn)行密鑰協(xié)商，這種通信方式的優(yōu)勢在于參與者無需存儲高熵的難以記憶的密鑰即可完成密鑰協(xié)商，建立會話密鑰。近年來，已經(jīng)有一些基于口令的多方密鑰協(xié)商協(xié)議[2~4]被提出,但這些協(xié)議大多建立在“同口令認(rèn)證模型”基礎(chǔ)上，即假設(shè)它們事先會共享一個秘密口令。文獻(xiàn)[5]提出2種新的基于口令協(xié)商協(xié)議，建立在不同口令認(rèn)證上，即每個用戶只與服務(wù)器共享口令。文獻(xiàn)[6]利用安全單向函數(shù)構(gòu)造了一種基于橢圓曲線的三方密鑰協(xié)商協(xié)議，并利用分組的思想推廣到了多方。文獻(xiàn)[7]是基于身份認(rèn)證的利用雙線性對構(gòu)造的多方密鑰協(xié)議，但在協(xié)議過程中也利用了“相同的口令”這一思想。本文在文獻(xiàn)[6]的基礎(chǔ)上結(jié)合文獻(xiàn)[7]利用安全單向函數(shù)提出一種新的基于橢圓曲線的密鑰協(xié)商協(xié)議，協(xié)議是建立在“不同口令認(rèn)證”的基礎(chǔ)上，協(xié)議過程相對簡單，計算速度相對較快。

2 預(yù)備知識

2.1 Diffie-Hellman 密鑰協(xié)商方案（CDH）

這里的CDH通常指的是計算Diffie-Hellman問題，這個困難問題是基于有限域上離散對數(shù)的難解性，即，求解是困難的。同樣的基于橢圓曲線上的Diffie-Hellman協(xié)議也是基于有限域上離散對數(shù)的難解性，即，是橢圓曲線上的基點，求解是困難的。

2.2 密鑰協(xié)商協(xié)議的安全特性

由于密鑰協(xié)商協(xié)議是在公開的網(wǎng)絡(luò)情況下各個參與者得到的共享密鑰的解決方法，協(xié)議的安全性至關(guān)重要，文獻(xiàn)[8]給出了一般的協(xié)議需要滿足的安全性。

已知密鑰安全（known-key security）。由于共享密鑰中含有每個參與者由隨機(jī)數(shù)生成器生成的短私鑰，故每次協(xié)議生成的密鑰都是唯一的，以前的密鑰泄露，攻擊者也不會知道現(xiàn)在正在交換的密鑰。

完美前向保密性（perfect forward secrecy）。如果一個參與者或者多方參與者長期使用的私鑰長期泄露，也不會影響在此之前生成的共享密鑰，這就是完美前向保密性。

密鑰不可控制性（key control property）。由于共享密鑰是用各方參與者共同協(xié)商產(chǎn)生，無論是哪方都不能對協(xié)商的共享密鑰預(yù)先控制其選定的值。

抵抗密鑰泄露攻擊（resist key leakage attack）。協(xié)議要能抵抗如下攻擊：假設(shè)用戶A的私鑰長期泄露，那么攻擊者能夠假扮A用戶欺騙其他用戶，但是不能扮演其他用戶欺騙用戶A。

密鑰共享可知性（key sharing）。參與協(xié)議的任何一個用戶都不可能在不知曉的情況下進(jìn)行共享密鑰或者某幾個用戶在某個用戶不知曉的情況下進(jìn)行密鑰共享。

2.3 參數(shù)設(shè)定

3 協(xié)議過程

在文獻(xiàn)[6]中，三方協(xié)議過程大概如下。

文獻(xiàn)[6]中的三方協(xié)議流程如圖1所示。

下面給出在文獻(xiàn)[6]的基礎(chǔ)上，受文獻(xiàn)[7]啟發(fā)設(shè)計的一種多方密鑰交換協(xié)議，假設(shè)有個用戶進(jìn)行協(xié)商，參數(shù)如2.3節(jié)中的參數(shù)，這里的用戶都是安全可信任用戶，協(xié)議過程如下。

4 安全性與效率分析

橢圓曲線的選擇：文獻(xiàn)[9]給出了橢圓曲線密碼體制的安全性分析，文獻(xiàn)[10]給出了一種構(gòu)造安全橢圓曲線的有效方法。根據(jù)文獻(xiàn)[9,10]，選擇一條安全的橢圓曲線，在安全橢圓曲線的基礎(chǔ)上，橢圓曲線上離散對數(shù)的難解性能夠有效地保證密鑰參數(shù)在通信過程中的安全保密性。

由于該協(xié)議的共享密鑰是由每個參與者的隨機(jī)數(shù)生成的短私鑰構(gòu)成，故每次協(xié)議生成的密鑰都是唯一的，并且每次重新開始協(xié)議，用戶的短暫私鑰都會不一樣，故滿足已知密鑰安全性和完美前向安全性和密鑰不可控性。

該協(xié)議采用簽名認(rèn)證，故滿足抵抗密鑰泄露攻擊和抵抗不知曉密鑰共享。

該協(xié)議在發(fā)送消息中采用了跟文獻(xiàn)[6]一樣的安全手段，故具有跟文獻(xiàn)[6]中協(xié)議一樣的能夠抵抗消息重放、防篡改、防中間人攻擊等安全性質(zhì)。

文獻(xiàn)[6]把協(xié)議推廣到方中采用的是分組，過程會相對復(fù)雜，人數(shù)越多，輪數(shù)就會越多，而本文只需要2輪。文獻(xiàn)[7]利用雙線性對計算自己的份額，相當(dāng)于進(jìn)行一次點乘跟一次雙線性對計算，而本文是利用了安全單向函數(shù)計算自己的份額，雖然每個用戶計算自己的份額時進(jìn)行了2次點乘和一次單向函數(shù)運(yùn)算，但計算時間依然小于文獻(xiàn)[7]中的計算自己份額的時間，故具有較高的計算效率。

5 結(jié)束語

本文在文獻(xiàn)[6]的基礎(chǔ)上受到文獻(xiàn)[7]啟發(fā)，提出了一種比較高效的多方密鑰協(xié)商協(xié)議，協(xié)議利用了簽名機(jī)制、口令認(rèn)證，具有較高的安全性質(zhì)。這個協(xié)議的安全性是建立在用戶都是誠實可信的前提下進(jìn)行的，假設(shè)用戶不誠實可信，就會泄露共享密鑰，當(dāng)然這會是以后的研究工作。

[1] DIFFIE W, HELLMAN M. New directions in cryptography[J]. IEEE transactions on Information Theory, 1976, 22(6):644-645.

[2] ABDALLA M, BRESSON E, CHEVASSUT O,etal.Password-based groupkey exchange in a constant number of rounds[C]//The9th International Workshop on Theory and Practice inPublic KeyCryptography. c2006:427-442.

[3] ABDALLA M, POINTCHEVAL D.A scalable password-based groupkeyexchange in a constant number of rounds[C]//The 9th International Workshop on Theory and Practice in Public KeyCryptography. c2006: 332-347.

[4] BRESSON E, CHEVASSUT O, POINTCHEVAL D. GroupDiffie-Hellmankey exchange secure against dictionaryattacks[C]//ASIACRYPT’02, Berlin. 2002: 497-514.

[5] BYUN J, LEE D.-party encrypted Diffie-Hellman keyexchangeusing Diffie-Hellman passwords[C]//ACNS’05. c2005: 75-90.

[6] 謝環(huán), 左黎明, 湯鵬志. 一種基于橢圓曲線的多方密鑰交換協(xié)議[J].信陽師范學(xué)院學(xué)報，2011,10(4):13-15. XIE H, ZUO L M, TANG P Z. A muti-parties secret key exchange protocol based on elliptic curve[J]. Journal of Xinyang Normal University, 2011, 10(4):13-15.

[7] 趙婷, 王曉峰, 王尚平, 等. 基于身份的可認(rèn)證多方密鑰協(xié)商方案[J].計算機(jī)工程，2008, 34(6): 164. ZHAO T, WANG X F, WANG S P, et al. Muti-parties secret key agreement based on authentication[J]. Computer Engineering, 2008, 34(6): 164.

[8] SIMON B W, JOHNSON D, MENEZES A. Key agreement protocols and their security analysis[C]//The 6th IMA International Conference on Cryptography and Coding. c1997:30-45.

[9] 劉培, 藤玲瑩, 佘堃, 等. 橢圓曲線密碼體制的安全性分析[J].計算機(jī)工程與設(shè)計，2006,27(16):2943-2945. LIU P, TENG L Y, SHE X, et al. Securit analysis of elliptic curve cryptosystem[J]. Computer Engineering and Design, 2006,27(16): 2943-2945.

[10] 吳開貴，吳中福.一種安全橢圓曲線的有效構(gòu)造方法[J]. 計算機(jī)科學(xué), 2006, 33(4):108-110. WU K G, WU Z F. An effective method of security elliptic curve[J]. Computer Science, 2006,33(4):108-110.

[11] 徐秋亮, 李大興. 橢圓曲線密碼體制[J].計算機(jī)研究與發(fā)展, 1999, 36(11):1281-1288. XU Q L, LI D X. Elliptic curve cryptosystem[J]. Computer Research and Development, 1999, 36(11):1281-1288.

Multi-parties key agreement protocol based on elliptic curve

GAO Long1, TANG Chun-ming1, ZHANG Yong-qiang2

(1. School of Mathematics and Information Science, Guangzhou University, Guangzhou 510000, China;2. Number of Times Polytron Technologies Inc., Guangzhou 510000, China)

The key agreement protocol is a shared key mechanism between two or more participants in a public channel. A multi key agreement protocol based on elliptic curve was designed by using the secure one-way function. The protocol was based on password authentication. The protocol designed can satisfy the security characteristics of the key exchange protocol, and has high computing efficiency.

multi-parties key agreement protocol, elliptic curve, hash function, discrete logarithm

The National Natural Science Foundation of China (No.11271003), The Natural Science Foundation of Guangdong Province (No.2015A03030816),Major basic Research Project of Guangdong Provincial Department of Education (No.2014KZDXM044), The Ministry of Education in Colleges and Universities Specialized Research Fund for the Doctoral Program (No.20134410110003)

TP309.2；TP309.7

A

10.11959/j.issn.2096-109x.2016.00056

2016-03-07；

2016-04-23。

唐春明，395033429@qq.com

國家自然科學(xué)基金資助項目（No.11271003）；廣東省自然科學(xué)基金資助項目（No.2015A030308016）；廣東省教育廳基礎(chǔ)研究重大基金資助項目（No.2014KZDXM044）；教育部高等學(xué)校博士學(xué)科點專項科研聯(lián)合基金資助項目（No.20134410110003）

高?。?991-），男，湖南衡陽人，廣州大學(xué)碩士生，主要研究方向為信息安全、密碼學(xué)。

唐春明（1972-），男，湖南懷化人，博士，廣州大學(xué)教授、博士生導(dǎo)師，主要研究方向為信息安全、密碼學(xué)。

張永強(qiáng)（1976-），男，四川成都人，博士，數(shù)安時代科技股份有限公司高級工程師，主要研究方向為信息安全。