張艷碩 趙瀚森 陳 穎

北京電子科技學(xué)院，北京市 100070

引言

密鑰交換協(xié)議是重要的密碼機(jī)制，通過密鑰交換協(xié)議，通訊雙方可以通過一個(gè)公開的不安全的信道產(chǎn)生一個(gè)秘密的會(huì)話密鑰，以保障秘密性和數(shù)據(jù)的完整性。 密鑰交換協(xié)議有著豐富而廣泛的實(shí)際應(yīng)用。 在Web 安全中，針對面向于上傳下發(fā)和登錄過程的安全防護(hù)，應(yīng)用到了以Diffie-Hellman(DH)密鑰交換協(xié)議為基礎(chǔ)的加密來代替全面部署安全套接層Secure Sockets Layer(SSL)的方案[1]。

基于三方的口令認(rèn)證密鑰交換允許不安全信道上的三個(gè)用戶交換安全會(huì)話密鑰，并通過認(rèn)證服務(wù)器的幫助建立安全信道以保護(hù)其后續(xù)通信[2]。 現(xiàn)階段，已有多種不同思路被用來設(shè)計(jì)三方密鑰交換協(xié)議，如基于混淆設(shè)計(jì)的三方密鑰交換協(xié)議[3，4]，基于格的三方密鑰交換協(xié)議[5]，基于特征值的三方密鑰交換協(xié)議[6]，強(qiáng)三方安全模型下的密鑰交換協(xié)議[7]和基于口令的三方密鑰交換協(xié)議[8]等。 但不同程度的存在著安全隱患，如Yoon 和Jeon[9]指出，Wang-Zhao 的協(xié)議[5]易受消息修改攻擊；Zhao F 等人[10]證明，使用擴(kuò)展Chebyshev 混沌映射的匿名認(rèn)證協(xié)議易受特權(quán)攻擊和線下密碼猜測攻擊等。

Diffie-Hellman 密鑰交換的思想于1976 年由惠特菲爾德·迪菲(Bailey Whitfield Diffie)和馬丁·赫爾曼(Martin Edward Hellman)提出并發(fā)表的，是最經(jīng)典的密鑰交換協(xié)議。 它是一種安全協(xié)議，讓雙方在完全沒有對方任何預(yù)先信息的條件下通過不安全信道建立起一個(gè)密鑰，這個(gè)密鑰一般作為“對稱加密”的密鑰而被雙方在后續(xù)數(shù)據(jù)傳輸中使用。 其應(yīng)用非常廣泛，在SSH、VPN、Https 都有應(yīng)用，堪稱現(xiàn)代密碼基石。 但是DH密鑰交換協(xié)議無法抵抗中間人攻擊。 為了抵抗中間人攻擊的風(fēng)險(xiǎn)，發(fā)展出許多可認(rèn)證的密鑰交換協(xié)議，最為重要的Station To Station(STS)和Matsumoto Takashima Imai(MTI)密鑰交換協(xié)議也被設(shè)計(jì)出來[11]。 其中，1986 年，三位日本學(xué)者M(jìn)atsumoto、Takashima 和Imai 提出了認(rèn)證密鑰交換協(xié)議，可以抵抗中間人攻擊，即MTI 協(xié)議。 1992 年， Diffie、Oorschot 和Wiener 提出了一個(gè)端到端協(xié)議，可以抵抗中間人攻擊，即Station To Station(STS)協(xié)議。

本文基于經(jīng)典的兩方密鑰交換協(xié)議STS 協(xié)議和MTI 協(xié)議[12]，設(shè)計(jì)了兩個(gè)可認(rèn)證的三方密鑰交換協(xié)議 Tripartite STS (TSTS) 協(xié)議和Tripartite MTI (TMTI)協(xié)議，并給出協(xié)議的分析和對比，最后還給TMTI 協(xié)議的舉例。 在和經(jīng)典協(xié)議以及其他的三方密鑰交換協(xié)議[7－8]對比后發(fā)現(xiàn)，本文所設(shè)計(jì)的兩個(gè)三方協(xié)議即具有經(jīng)典協(xié)議的高安全性，還具有三方協(xié)議的功能性和適用性。

1 DH 密鑰交換協(xié)議

Diffie-Hellman 密鑰交換的思想于1976 年在公鑰密碼學(xué)文章“New directions in cryptography”[13]中提出。 Diffie-Hellman 密鑰交換將離散對數(shù)問題作為困難問題，是最經(jīng)典的密鑰交換協(xié)議。 其中通信雙方Alice 和Bob 首先協(xié)商一個(gè)大素?cái)?shù)p 和一個(gè)底數(shù)g。

為了抵抗中間人攻擊的風(fēng)險(xiǎn)，發(fā)展出許多可認(rèn)證的密鑰交換協(xié)議[14]，其中最經(jīng)典的兩種為:STS 密鑰交換協(xié)議和MTI 密鑰交換協(xié)議。 STS密鑰交換協(xié)議[15]是對DH 密鑰交換協(xié)議的三步交換變體。 允許在雙方之間建立一個(gè)共享密鑰，并帶有相互實(shí)體認(rèn)證和相互顯示密鑰認(rèn)證，可以起到抵抗中間人攻擊的作用。 MTI 密鑰交換協(xié)議[16]能夠在兩條消息中，產(chǎn)生帶有抵抗中間人攻擊的隱式密鑰認(rèn)證的共享密鑰。

在兩方協(xié)議STS 協(xié)議和MTI 協(xié)議的基礎(chǔ)上，本文構(gòu)造出兩個(gè)可認(rèn)證的三方密鑰交換協(xié)議TSTS 協(xié)議和TMTI 協(xié)議。

2 TSTS 三方密鑰交換協(xié)議

2.1 STS 密鑰交換協(xié)議

STS 密鑰交換協(xié)議[12]是對DH 密鑰交換的三步交換變體。 方案如下:

2.2 STS 協(xié)議分析

在上述的STS 協(xié)議中，用戶A 和用戶B 之間的消息交換過程可以用圖1 所示。

2.3 TSTS 密鑰交換協(xié)議

在本節(jié)提出一個(gè)新的可認(rèn)證的三方STS 密鑰交換協(xié)議，記做TSTS(Tripartite STS)協(xié)議，協(xié)議的框架如圖2 所示。

具體方案如下:

本節(jié)提出的TSTS 協(xié)議的密鑰量和STS 協(xié)議是完全一樣的，因此擁有足夠大的密鑰空間。

2.4 TSTS 密鑰交換協(xié)議分析

2)安全性分析

定理1[17]:由于STS 協(xié)議帶有用戶簽名，因此可以有效防止中間插入攻擊。

用戶簽名是通過調(diào)用用戶的簽名算法及用戶私鑰的一種認(rèn)證方式，在用戶的簽名系統(tǒng)中若不知道用戶的私鑰，則無法仿造用戶簽名，由于用戶簽名僅有用戶自身知道，因此可以有效的防止中間插入攻擊。

定理2:TSTS 協(xié)議的安全性與STS 協(xié)議等同。

由于三方的TSTS 密鑰交換協(xié)議在傳輸過程中仍然使用用戶簽名，且每個(gè)用戶的簽名算法是完全保密的，所以本協(xié)議同樣可以有效的抵御中間人攻擊，具有可認(rèn)證性。 且TSTS 協(xié)議作為以STS 協(xié)議為基礎(chǔ)所設(shè)計(jì)出來的一個(gè)三方密鑰交換協(xié)議，協(xié)議中的安全性基礎(chǔ)與STS 協(xié)議完全一致，因此可以說，TSTS 協(xié)議的安全性與STS 協(xié)議是一致的。

協(xié)議中使用的用戶簽名保證了完成協(xié)議時(shí)對方確實(shí)計(jì)算出了共同密鑰，即該協(xié)議仍然具有密鑰認(rèn)證性。

3 TMTI 三方密鑰交換協(xié)議

3.1 MTI 密鑰交換協(xié)議

MTI 密鑰交換協(xié)議[12]能夠在兩條消息中產(chǎn)生帶有抵抗中間人攻擊的隱式密鑰認(rèn)證的共享密鑰。 整個(gè)交互過程如圖4 所示。

方案如下:

3.2 MTI 協(xié)議分析

MTI 協(xié)議在運(yùn)行期間進(jìn)行了兩輪消息的交互，是對原始Diffie-Hellman 協(xié)議的簡單修改，不需要用戶建立簽名系統(tǒng)，因而要比STS 協(xié)議更簡單、更便于應(yīng)用。 然而，MTI 協(xié)議中雖然用戶沒有使用數(shù)字簽名，但是可信管理機(jī)構(gòu)TA 的簽名，使得任何想進(jìn)行中間人攻擊的攻擊者面臨著離散對數(shù)難題，即計(jì)算密鑰的運(yùn)算分別需要知道私鑰xA和xB，因而MTI 協(xié)議同樣能夠防止中間人攻擊[12]。

3.3 TMTI 密鑰交換協(xié)議

在本節(jié)將提出一個(gè)新的可認(rèn)證的三方MTI密鑰交換協(xié)議，記做TMTI(Tripartite MTI)協(xié)議，協(xié)議框架如圖5 所示。

本節(jié)提出的TMTI 協(xié)議的密鑰量和雙方MTI協(xié)議是完全一樣的，因此擁有足夠大的密鑰空間。

3.4 TMTI 密鑰交換協(xié)議分析

1)正確性分析

2)安全性分析

定理3[17]:MTI 協(xié)議的安全性是基于MTI困難問題之上的，因此MTI 協(xié)議被動(dòng)攻擊下是足夠安全的。

MTI 困難問題和Diffie-Hellman 困難問題具有相同的難解性，同時(shí)Diffie-Hellman 困難問題又和離散對數(shù)困難問題有著相同的難解性，因?yàn)榭梢哉f雖然MTI 協(xié)議在主動(dòng)攻擊下的安全性證明還未解決，但在被動(dòng)攻擊下是足夠安全的。

定理4:TMTI 協(xié)議在安全性方面與MTI 協(xié)議是一致的。

以隱私權(quán)的發(fā)展歷程為例，在古典的隱私權(quán)時(shí)期，隱私權(quán)往往被歸之于憲法上的基本權(quán)利，在以憲法作為新興權(quán)利的保護(hù)依據(jù)的同時(shí)往往將憲法上的基本權(quán)利與自然法上的權(quán)利混在一起。基本權(quán)利與民事權(quán)利也可以相互轉(zhuǎn)化[15]。

因?yàn)門MTI 協(xié)議是一個(gè)基于MTI 協(xié)議所設(shè)計(jì)出的一個(gè)三方密鑰交換協(xié)議，因此TMTI 協(xié)議也是以MTI 協(xié)議為基礎(chǔ)的，TMTI 協(xié)議的安全基礎(chǔ)也是MTI 的困難問題，又因?yàn)镸TI 的困難問題與離散對數(shù)問題具有相同的難解性[17]，所以TMTI 協(xié)議在被動(dòng)攻擊下仍然是安全的。

TMTI 協(xié)議和MTI 協(xié)議一樣，參與者也沒有建立并使用自己的簽名系統(tǒng)，但同樣的，協(xié)議中可信第三方TA 的簽名系統(tǒng)保證了整個(gè)協(xié)議中傳輸?shù)臄?shù)據(jù)不被修改，可以有效的防止中間人攻擊，具有可認(rèn)證性。

4 TSTS 協(xié)議與TMTI 協(xié)議比較

1)協(xié)議之間的聯(lián)系

TSTS 協(xié)議是基于雙方STS 協(xié)議的三方密鑰交換協(xié)議，TMTI 協(xié)議則是基于雙方MTI 協(xié)議的三方密鑰交換協(xié)議。 同時(shí)這兩個(gè)協(xié)議都是Diffie-Hellman 密鑰交換協(xié)議的改進(jìn)。

在TSTS 協(xié)議中，有用戶的數(shù)字簽名參與到數(shù)據(jù)的傳輸過程中；在TMTI 協(xié)議的傳輸過程中，有可信第三方TA 的數(shù)字簽名的參與，所以可以保證傳輸?shù)臄?shù)據(jù)不被惡意篡改，因此兩個(gè)協(xié)議都可以有效的防止中間人攻擊，具有可認(rèn)證性。

TSTS 協(xié)議由于用戶數(shù)字簽名的存在，使協(xié)議具有了密鑰認(rèn)證性；由于TMTI 協(xié)議中的公私鑰對的存在，使TMTI 協(xié)議具有隱式密鑰鑒別的特性。

2)協(xié)議的不同之處

對于TSTS 協(xié)議來說，是一個(gè)四輪協(xié)議，還需要協(xié)議的用戶建立并使用自己的簽名系統(tǒng)，看似比TMTI 協(xié)議更加復(fù)雜一些，但是也正是由于用戶簽名的存在，使TSTS 協(xié)議具有密鑰確認(rèn)的功能。

TMTI 協(xié)議是一個(gè)三輪協(xié)議，較TSTS 協(xié)議來說，不需要協(xié)議的用戶建立并使用簽名系統(tǒng)，因此TMTI 協(xié)議的步驟更為簡單，也更便于應(yīng)用，但是TMTI 協(xié)議并不能提供密鑰確認(rèn)服務(wù)，只具有隱式密鑰鑒別特性。

在這兩個(gè)協(xié)議的效率方面，TSTS 協(xié)議是一個(gè)四輪協(xié)議，而TMTI 協(xié)議是一個(gè)三輪協(xié)議，因此在協(xié)議效率這方面，TMTI 協(xié)議更優(yōu)于TSTS協(xié)議。

5 TMTI 密鑰交換協(xié)議舉例

下面我們用一個(gè)例子來解釋TMTI 協(xié)議，此例來源于兩方MTI 協(xié)議的例子[12]，這里改寫成三方。 假設(shè)素?cái)?shù)p ＝29，并選取有限域Z29的生成元g ＝11。

假設(shè)用戶A 選擇自己的私鑰xA＝15，然后用戶A 再計(jì)算自己的公鑰yA＝1115(mod 29)＝18，用戶A 將yA傳遞給可信管理機(jī)構(gòu)TA，由TA簽名后得到用戶A 的證書C(A)。

假設(shè)用戶B 選擇自己的私鑰xB＝17，然后用戶B 再計(jì)算自己的公鑰yB＝1117(mod 29)＝21，用戶B 將yB傳遞給可信管理機(jī)構(gòu)TA，由TA簽名后得到用戶B 的證書C(B)。

假設(shè)用戶C 選擇自己的私鑰xC＝23，然后用戶C 再計(jì)算自己的公鑰yC＝1123(mod 29)＝27，用戶C 將yC傳遞給可信管理機(jī)構(gòu)TA，由TA簽名后得到用戶C 的證書C(C)。

這樣，用戶A、B 和C 就得到了共同的密鑰。TSTS 協(xié)議的例子與上面類似，這里不贅述。

6 結(jié)論

本文延續(xù)DH 密鑰交換協(xié)議的思路，分別基于STS 密鑰交換協(xié)議和MTI 密鑰交換協(xié)議，增加了一個(gè)協(xié)議的參與方，各提出了一個(gè)三方密鑰交換協(xié)議，即TSTS 和TMTI。 這兩個(gè)協(xié)議是兩個(gè)經(jīng)典的兩方密鑰交換協(xié)議STS 協(xié)議和MTI 協(xié)議的一種推廣，推廣后的協(xié)議依然可以抵抗中間人攻擊，且增加了協(xié)議的功能性和適用性。