密鑰協(xié)商協(xié)議研究綜述1.1密鑰協(xié)商協(xié)議安全性需求1.1.1密鑰協(xié)商協(xié)議概述密鑰協(xié)商協(xié)議，又稱為密鑰交換協(xié)議，它指的是兩個(gè)或者多個(gè)用戶通過一系列步驟協(xié)商出一個(gè)共同的會話密鑰，并將其用于之后的保密通信。當(dāng)密鑰協(xié)商協(xié)議被提出之后，通信的用戶便可以在不安全的網(wǎng)絡(luò)媒介上安全地共享會話密鑰。假設(shè)Alice和Bob想利用一個(gè)私鑰密碼系統(tǒng)來實(shí)現(xiàn)保密通信，他們必須首先決定一個(gè)可用于共享的密鑰。若通過打電話的方式來討論如何選用密鑰，則竊聽者可以通過偷聽來的密鑰信息來獲取他們之后的通信內(nèi)容，使其通信不再具有安全性；若采用密鑰交換協(xié)議對密鑰選用進(jìn)行協(xié)商，Alice和Bob就可以在相對不安全的環(huán)境中安全地進(jìn)行密鑰的交換。密鑰協(xié)商協(xié)議是繼加密算法和數(shù)字簽名算法之后的又一個(gè)基本的密碼學(xué)工具，是構(gòu)建一個(gè)集安全性和復(fù)雜性于一身的上層協(xié)議和應(yīng)用的基礎(chǔ)。若沒有密鑰協(xié)商協(xié)議，再優(yōu)秀的加密算法或簽名算法也無法使用戶之間安全地協(xié)商出一個(gè)秘密的共同密鑰，也無法得到一個(gè)安全且有效的應(yīng)用。因此，密鑰協(xié)商的目標(biāo)是在一個(gè)不安全的環(huán)境下實(shí)現(xiàn)安全有效的密鑰交換。該目標(biāo)既要求要有一個(gè)好的安全性還要求算法執(zhí)行要具有高效率。效率問題主要是考慮算法的執(zhí)行輪數(shù)以及其交換的數(shù)據(jù)信息量；而對于安全性來說，人們一般認(rèn)為密鑰協(xié)商需要滿足一些安全性需求[30]。1.1.2密鑰協(xié)商協(xié)議的安全需求隱式密鑰認(rèn)證（ImplicitKeyAuthentication）：若一個(gè)密鑰協(xié)商協(xié)議具有了此特性，則可以保證除協(xié)議參與者外的其他人無法獲悉其所協(xié)商出的會話密鑰。顯式密鑰認(rèn)證（ExplicitKeyAuthentication）：若一個(gè)密鑰協(xié)商協(xié)議兼具隱式密鑰認(rèn)證和密鑰確認(rèn)的特性，則稱此協(xié)議具有顯式密鑰認(rèn)證的特性。其中，密鑰確認(rèn)是指協(xié)議參與者有權(quán)利確認(rèn)其它用戶最后協(xié)商出的是相同的會話密鑰。已知會話密鑰安全（KnownSessionKeySecurity）：若密鑰協(xié)商協(xié)議具有此特性，則可以在一次會話密鑰泄露的情況下保證其他輪次所協(xié)商出來的會話密鑰的安全性，即協(xié)議所協(xié)商出的不同輪次間的會話密鑰具有相互獨(dú)立性。向前安全性（ForwardSecrecy）：此協(xié)議具有完全前向安全性指的是若此協(xié)議所有參與者的長期私鑰遭到泄露并被攻擊者所破解，其之前所協(xié)商出來的密鑰仍然具有安全性；否則，稱此協(xié)議具有部分向前安全性。密鑰泄露的偽裝攻擊安全（Key-CompromiseImpersonationResilience）：指當(dāng)敵手破解用戶A的長期私鑰以后，敵手偽裝成用戶A去欺騙其他人，但是此時(shí)該敵手不能偽裝成其他未被其破解的用戶，比如偽裝成用戶B來欺騙該被破解的用戶A。未知密鑰協(xié)商攻擊安全（UnknownKey-shareResilience）：指用戶不能被欺騙去和未知的第三方協(xié)商密鑰，比如，用戶Alice本想和Bob協(xié)商密鑰，而實(shí)際上被攻擊者欺騙，最終與第三方Marry進(jìn)行密鑰協(xié)商。1.2Diffie-Hellman密鑰協(xié)商協(xié)議1.2.1Diffie-Hellman密鑰協(xié)商協(xié)議的原理Diffie-Hellman密鑰協(xié)商協(xié)議也稱為DH密鑰協(xié)商協(xié)議或DH密鑰協(xié)商算法，該算法是在1976年WhitfieldDiffie和MartinHellman兩人合著的論文《NewDirectionsinCryptography》[3]中作為一種公開密鑰分發(fā)系統(tǒng)（publickeydistributionsystem）被提出來。DH算法并不是一種用來對信息進(jìn)行加密的算法，而是用來解決密鑰分發(fā)問題，使通信雙方就某次通信實(shí)現(xiàn)密鑰的統(tǒng)一。首先假定通信雙方分別為Alice和Bob，其Diffie-Hellman密鑰協(xié)商過程如圖1.1所示。此密鑰協(xié)商協(xié)議是通過四步確定通話雙方的會話密鑰并開始進(jìn)行加密通信的，其流程如下所示：初始化：Alice選取一個(gè)大素?cái)?shù)以及該素?cái)?shù)的本原根（geneator），要求，并將其發(fā)送給Bob。Alice產(chǎn)生一個(gè)私有的隨機(jī)數(shù)，要求，計(jì)算后，將發(fā)送給Bob；同時(shí)，Bob也產(chǎn)生一個(gè)私有的隨機(jī)數(shù)，要求，計(jì)算后，將發(fā)送給Alice。Alice依據(jù)、和計(jì)算，得到會話密鑰；同時(shí)，Bob也依據(jù)、和計(jì)算，得到會話密鑰。依據(jù) 可知，，此時(shí)Alice和Bob雙方便可利用會話密鑰進(jìn)行加密通信。圖1.1Diffie-Hellman密鑰協(xié)商過程1.2.2Diffie-Hellman密鑰協(xié)商協(xié)議的安全性Diffie-Hellman密鑰協(xié)商算法安全性的主要威脅是中間人攻擊。假設(shè)在使用DH密鑰協(xié)商算法進(jìn)行密鑰協(xié)商的過程中，在Alice和Bob之間存在一位稱為Marry的主動攻擊者，她能夠截獲Alice和Bob的消息并偽造假消息，考慮如下情況：Alice和Bob已經(jīng)共享了大素?cái)?shù)以及該素?cái)?shù)的本原根,同時(shí)，Marry已通過監(jiān)聽報(bào)文得知了這兩個(gè)消息。此時(shí)Alice計(jì)算，然后在將發(fā)送給Bob的過程中被Marry攔截，Marry自己再選定一個(gè)隨機(jī)數(shù)，計(jì)算并將發(fā)送給Bob。同時(shí)Bob計(jì)算，然后在將發(fā)送給Alice的過程中被Marry攔截，Marry自己再選定一個(gè)隨機(jī)數(shù)，計(jì)算并將發(fā)送給Alice。由于Alice和Bob雙方的通訊消息被替換，因此Alice計(jì)算出的密鑰實(shí)際上是Alice和攻擊者M(jìn)arry之間的協(xié)商密鑰，Bob計(jì)算出的密鑰實(shí)際上是Bob和攻擊者M(jìn)arry之間的協(xié)商密鑰。如果之后Alice和Bob用他們計(jì)算出的密鑰加密任何信息，Marry截獲之后都能夠解密得到明文，而且Marry完全可以偽裝成Alice或者Bob給對方發(fā)送消息。1.3經(jīng)典群密鑰協(xié)商協(xié)議研究1.1.1群密鑰協(xié)商協(xié)議概述在密鑰協(xié)商的研究中，將雙方密鑰協(xié)商向群組密鑰協(xié)商的擴(kuò)展是一個(gè)很重要且熱門的研究方向。隨著當(dāng)今時(shí)代面向群組的應(yīng)用愈來愈多，群組密鑰協(xié)商的研究也隨之變得愈發(fā)火熱，人們圍繞著怎樣才能設(shè)計(jì)出一種安全且高效的認(rèn)證群組密鑰協(xié)商協(xié)議做出了很多努力。對于實(shí)際應(yīng)用而言，除了可證明安全性外，在設(shè)計(jì)群組密鑰協(xié)商協(xié)議時(shí)效率問題也是其中一個(gè)十分重要的研究方面，特別是針對進(jìn)行協(xié)商的人數(shù)較大的通信群組。在群組密鑰協(xié)商協(xié)議設(shè)計(jì)之初，人們采用的的設(shè)計(jì)思想基本都是將DH協(xié)議有兩方擴(kuò)展到多方，在這些早期所提出的群組密鑰協(xié)商協(xié)議中，群組是靜態(tài)的，即不考慮在協(xié)議應(yīng)用過程中群組成員的加入或退出，典型的協(xié)議有Tang等人提出的Ingemarsson協(xié)議[18]、Steiner等人提出的GDH協(xié)議[19]、Becker和Wille二人所提出的BW協(xié)議[20]和Kim等人提出的TGDH協(xié)議[21]等。后來，隨著人們研究的深入和實(shí)際應(yīng)用的需求，動態(tài)群組的密鑰協(xié)商問題逐漸受到重視。與靜態(tài)群組相對應(yīng)，動態(tài)群組是指群組的成員可以隨時(shí)出現(xiàn)一個(gè)新成員的加入，或是一個(gè)老成員的退出。如果在動態(tài)群組中進(jìn)行密鑰協(xié)商，就必須保證每次發(fā)生成員變更時(shí)都會更新會話密鑰，這樣既可以保證新加入的成員不能知曉其加入之前的群組通信內(nèi)容，也可以保證退出的老成員不能繼續(xù)知曉其離開之后的群組通信內(nèi)容。典型的考慮動態(tài)群組中成員關(guān)系的變化的協(xié)議有2002年MichaelSteiner等人提出的CLIQUES[22]密鑰協(xié)商方案以及EmmanuelBresson等人提出并不斷進(jìn)行研究和改進(jìn)的BCP協(xié)議[23-25]等。1.1.2GDH群組密鑰協(xié)商協(xié)議研究GDH群組密鑰協(xié)商協(xié)議[2]是Steiner,Tsudik和Waidner提出的一類群組密鑰協(xié)商協(xié)議，包括GDH.1，GDH.2，GDH.3。假設(shè)共有個(gè)通信實(shí)體執(zhí)行此GDH群組密鑰協(xié)商協(xié)議，此協(xié)議的代數(shù)結(jié)構(gòu)可以概括為：兩個(gè)大素?cái)?shù)和滿足，是上的一個(gè)階數(shù)為的循環(huán)子群，是上的一個(gè)生成元。下面以GDH.2協(xié)議為代表介紹GDH群組密鑰協(xié)商協(xié)議所包含的兩個(gè)過程。上流程：在第輪，，成員選擇一個(gè)隨機(jī)數(shù)，計(jì)算和并傳送給；廣播：在第輪中，成員選擇一個(gè)隨機(jī)數(shù)，廣播集合；收到后，每個(gè)成員可以計(jì)算得到共享的群組密鑰。GDH協(xié)議在處理群組成員變化時(shí)，通常采用重新對會話密鑰進(jìn)行協(xié)商的做法，因此，GDH協(xié)議中運(yùn)算量和信息量都是相當(dāng)大的。由協(xié)議的執(zhí)行過程可知，GDH協(xié)議的具有以下特點(diǎn)[38]：每個(gè)組員對最終的群會話密鑰的產(chǎn)生結(jié)果均有影響，即最終的會話密鑰密鑰是以所有群組成員的密鑰素材為基礎(chǔ)得到的；每個(gè)密鑰素材都是群組成員自己的私鑰，協(xié)商過程中所傳遞的公共值是