安全协议与标准第三部分.pptVIP

* 第三部分 组密钥协商协议及签密 群组必威体育官网网址通信中的密钥协商协议 群组通信是目前的一种重要通信方式，网络视频会议、网络游戏、协同工作、协同作战等就属于群组通信系统。 群组通信系统经常要求是安全的，特别是必威体育官网网址视频会议、协同作战等情形，而目前广泛应用的群组通信系统大多是基于不安全的底层网络例如Internet、移动自组织的Ad Hoc网络（现代野外协同作战系统的基础网络）等其它网络，因此为了实现安全必威体育官网网址的群组通信，必须对传输的数据进行加密。 组密钥管理方法: 集中式密钥分配 分布式密钥协商 Diffie和Hellman于1976年提出了两方组密钥协商协议，从此开创了密钥协商协议研究的先河，之后提出的许多组密钥协商协议都是以此为基础进行拓展。目前，较有影响的组密钥协商协议有以下4类 ①闭合环形结构，以BD协议为代表。这类协议要求节点在逻辑上组成环状结构，相邻节点之间互相交换信息以协商得到组密钥。该类协议的特点是计算量很小。 ②非闭合环形结构，以CLIQUES协议簇为代表。这类协议也要求节点组成环状结构，协议按一定方向执行，最后由环的末节点负责将密钥值用各节点的公钥盲化后发送出去，其余节点用自己的私钥求解出密钥值。该类协议的缺点是交互轮数多，组织节点计算量大。 ③树形结构，以TGDH、STR和TFAN协议为代表。这类协议的特点是有效支持节点的加入与退出，也是目前研究的重点。其中，TGDH协议的计算量和通信量都较小；STR协议与TGDH协议相比通信量略有降低，但计算量有所上升；而TFAN协议在通信量和计算量上能取得较好的均衡； ④章鱼形结构，以OCTOPUS协议为代表。这类协议在通信量和计算量上同样取得了较好的均衡，但是对节点的加入和退出支持不够。 设：G是q阶循环群，G?Zp, p,q素数， g是G的生成元。 n个参与者：U1，U2，…，Un 两方密钥交换协议：DH协议，1976年 A :r1 B :r2 三方Diffie-Hellman密钥交换协议： G1 和G2是循环群，阶同为素数p，P为G1的生成元 e:G1 ×G1 →G2是双线性对映射 1. 离散对数问题(DLP): 给定两个P，Q∈G1, 找出一个整数n, 使得Q = nP 成立。 计算DH问题(CDHP): 对于a，b∈Zp*，给定(P，aP，bP), 计算abP。 双线性对上的计算DH问题(BCDH)：对于a,b,c，给定（P,aP,bP,cP), 计算 三方密钥交换协议：Joux协议，2000年 U1 :r1 U2 :r2 U3: r3 U1:r1 U2: r2 U3: r3 U4: r4 1. STR Kim-Perrig-Tsudik协议，2001年 两轮协议 U1:r1 U2: r2 U3: r3 U4: r4 2. CLIQUES Steiner-Tsudik-Waidner协议，2000年 n+1轮协议 U1:r1 U2: r2 U4: r4 U3: r3 3. BD Bermester-Desmedt协议，1994年 4. 超立方体协议 (Backer-Wille协议) 1998年 U1:r1 U2: r2 U3: r3 U4: r4 d轮协议: n=2d U1:r1 U2: r2 U4: r4 U3: r3 减少冗余的BD方案: 认证密钥协商协议 将非认证密钥协商协议转化为认证密钥协商协 议的方法。 协议具有三个优点： 1.巧妙定义Session ID(会话标识),减少了传输的消息数量。 2.单个用户只需要签名一个消息。这使得我们的协议在计算量上要优于现有协议。 3.单个用户执行签名时，被签名的消息包括会话标识，可有效地抗击重放攻击。 为了避免伪造信的内容，并确保其必威体育官网网址性，一般的实用做法是作者需要先对该信签名，然后将其封在一个信封里，交给邮递员。安全通信中的这种普通业务应用了数字签名和数据加密的技术，而且通常都是分开应用：发送方先对一个消息签名，然后加密该结果；接收方先解密该密文，然后验证签名。 签名和加密使机器循环操作，而且还引入了消息扩展。对消息进行密码学操作的代价通常是用消息扩展率和接发双方所需的计算时间度量。对于直接先签名后加密的过程，以既认证又必威体育官网网址的方式传递一条消息，其代价必然是数字签名和加密的代价之和。通常情况下，这并不是完成该任务的一种经济方式。 签密 签密（Signcryption）是以一种很有效的方式获得数字签名和加密组合功能的公钥密码原型。 它能提供了三种经常使用的安全性服务：必威体育官网网址性、认证性和不可否认性。因为人们经常都同时需要这些服务. Zheng提出了签密[2002]，以比直接组合数字签名和加密方案更经济的方式提供这些安全性。 Schn