8、安全协议与高效密码密钥交换方案解析

最新推荐文章于 2025-10-22 07:41:49 发布

原创最新推荐文章于 2025-10-22 07:41:49 发布 · 893 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#安全协议 # 密码基密钥交换 # 公平离线现金方案

安全协议与高效密码密钥交换方案解析

公平离线现金方案概述

公平离线现金方案有着特定的系统设置。铸币厂会选择素数 $p$ 和 $q$，满足 $p - 1 = \delta + k$（$\delta$ 为指定常数）以及 $p = \gamma q + 1$（$\gamma$ 为小整数）。接着定义乘法群 $\mathbb{Z}_p$ 中素数阶 $q$ 的唯一子群 $G_q$ 及其生成元 $g$、$g_1$、$g_2$。铸币厂会创建其秘密密钥 $X_B \in_R \mathbb{Z}_q$，同时定义一系列无关联的单向哈希函数 $H$、$H_0$、$H_1$ 等。铸币厂公布 $p$、$q$、$g$、$g_1$、$g_2$、$(H, H_0, H_1, \cdots)$ 以及其公钥 $h = g^{X_B}$、$h_1 = g_1^{X_B}$、$h_2 = g_2^{X_B}$。此外，还会公布受托人 $T$ 的公钥 $f_2 = g_2^{X_T}$（$X_T \in_R \mathbb{Z}_q$），且 $T$ 应为分布式实体以降低对其的信任程度。

用户会生成 $u_1 \in_R G_q$，使得 $g_1^{u_1} g_2 \neq 1$，并与身份 $I = g_1^{u_1}$ 关联。用户需证明对 $I$ 关于 $g_1$ 的离散对数的知晓，同时计算 $z’ = h_1^{u_1} h_2 = (Ig_2)^{X_B}$。

该方案包含以下几个重要功能：
1. 取款功能（Withdraw） ：此协议会在 $I$ 上创建一个受限盲签名。协议完成时，用户会获得铸币厂对 $(Ig_2)^s$（$s$ 为用户独有的随机秘密值）的有效签名。签名验证方程 $sig(A, B, u_i) = (z, a, b, r)$ 需满足 $g^r = h^{H(u_i,A,B,z,a,b)}a$ 和 $A^r = z^{H(u_i,A,B,z,a,b)}b$。匿名令牌 $AT_i$ 为元组 $(u_i, A, B, z, a, b)$，$h$ 为令牌发行者的公钥，$u_i$ 为参与者 $i$ 的化名。取款协议流程如下：

sequenceDiagram
    participant User
    participant Mint
    User->>User: w ∈R Zq; s, v_i ∈R Zq
    User->>Mint: a′,b′（a′ = g^w, b′ = (Ig_2)^w）
    User->>User: A = (Ig_2)^s; u_i = g^v_i; z = z′^s
    Mint->>Mint: x_1, x_2, u, v ∈R Zq; B_1 = g_1^x_1; B_2 = g_2^x_2; B = [B_1, B_2]
    Mint->>Mint: a = (a′)^u g^v; b = (b′)^s u A^v
    Mint->>Mint: c = H(u_i, A, B, z,a, b); c′ = c/u
    Mint->>User: c′
    User->>User: r′ = c′X_B + w mod q; r = r′u + v mod q
    User->>Mint: r′
    User->>User: 验证 g^r′ == h^c′a′, (Ig_2)^r′ == z′^c′b′

支付功能（Payment） ：该协议在匿名通道中执行。其中，元组 $(D_1, D_2)$ 是用户身份 $I$ 在受托人 $T$ 公钥下的 ElGamal 加密。支付协议流程如下：

sequenceDiagram
    participant User
    participant Shop
    User->>User: A_1 = g_1^{u_1s}, A_2 = g_2^s; m ∈R Zq; D_1 = Ig_T^m, D_2 = g_2^m
    User->>Shop: D_1,D_2
    Shop->>Shop: 验证 D_2 != 1
    User->>Shop: u_i,A_1,A_2,A,B,(z,a,b,r)
    Shop->>Shop: 验证 A == A_1A_2, A != 1; sig(A, B, u_i) == (z,a, b, r)
    Shop->>Shop: d = H_1(A_1, B_1, A_2, B_2, I_S, date/time); s_0, s_1, s_2 ∈R Zq; D′ = D_1^{s_0} g_2^{s_1} D_2^{s_2}; V = H_1((D′)^s/(f ′_2)^{ms})
    Shop->>User: d,D′,f′_2（f ′_2 = f_2^{s_0} g_2^{s_2}）
    User->>User: r_1 = d(u_1s) + x_1; r_2 = ds + x_2
    User->>Shop: r_1,r_2,V
    Shop->>Shop: 验证 V == H_1(A_1^{s_0} A_2^{s_1}); g_1^{r_1} == A_1^d B_1, g_2^{r_2} == A_2^d B_2

存款功能（Deposit） ：商店将支付记录提交给铸币厂，铸币厂使用与商店支付协议中相同的检查方程来检查记录。若方程成立，铸币厂会向商店账户存入相应金额。
追踪功能（Trace） ：为追踪参与支付协议并导致特定存款的用户身份，铸币厂会联系受托人 $T$ 并提供商店提交的记录。$T$ 可使用 ElGamal 密文元组 $(D_1, D_2)$ 解密身份信息。

现有密码基密钥交换协议回顾

传统的公钥密码系统在密钥建立方面比秘密密钥密码系统更方便，但由于难以记忆的秘密密钥或公钥基础设施建立的困难，使用起来并不容易。为解决这些问题，出现了基于密码的协议，如 Bellovin 和 Merrit 提出的加密密钥交换（EKE）协议。这些基于密码的协议允许双方仅使用密码共享公共密钥，且与使用证书的公钥方案相比，不受太多限制。

不过，这些协议必须抵御密码猜测攻击，如字典攻击。离线密码猜测攻击难以检测，因为攻击者会使用公开信息验证猜测值；而在线密码猜测攻击可通过计算访问失败次数来阻止。

基于密码的密钥交换协议主要分为两类：
1. 明文等效机制 ：如 DH - EKE、SPEKE。
2. 基于验证器的机制 ：如 A - EKE、B - SPEKE、SRP、KS。

下面是现有协议的特点对比表格：
|协议|客户端|服务器|会话密钥|模 $p$|认证机制|
| ---- | ---- | ---- | ---- | ---- | ---- |
|DH - EKE|$h(P)$|$h(P)$|$g^{xy}$|安全素数|明文|
|SPEKE|$h(P)$|$h(P)$|$h(P)^{2xy}$|安全素数|明文|
|A - EKE|$S(P), V(P)$|$V(P)$|$g^{xy}$|安全素数|验证器|
|B - SPEKE|$P, h(P)$|$h(P), g^P$|$h(P)^{2xy}$|安全素数|验证器|
|SRP|$k = h(salt,P)$|$s, g^{h(s,P)}$|$g^{xy + uky}$|安全素数（推荐）|验证器|
|KS|$f(salt,P)$|$s \oplus P, g^{f(s,P)}$|$g^{xy}$|非平滑素数|验证器|

不同协议有各自的优缺点：
- DH - EKE ：结合了非对称和对称密码学，允许双方通过明文等效机制共享公共密钥。但它需要安全素数和原根，且对对称密码学的选择要求严格，否则易受信息泄露或分区攻击。
- SPEKE ：无需对称密码学，将 Diffie - Hellman 密钥交换的基选择为密码的函数。但它也需要安全素数来防止子群限制攻击。
- A - EKE ：使用数字签名证明客户端对密码的知晓。
- B - SPEKE ：通过第二次 Diffie - Hellman 方法认证客户端。
- SRP ：在密钥交换时更灵活，无需将基选择为密码的函数，执行时间也较短，但无法达成正确的 Diffie - Hellman 指数 $g^{xy}$。
- KS ：能达成正确的 Diffie - Hellman 指数 $g^{xy}$，且协议简单高效，但使用盐仍无法阻止攻击者通过窃取验证器获取密码信息。

安全协议与高效密码密钥交换方案解析

新型 3 通道路径密码基密钥交换方案

为了在不牺牲安全性和性能的前提下减少通信步骤，提出了一种新型的 3 通道路径密码基密钥交换方案。以下是该方案的详细介绍：

符号说明

符号	含义
$ID$	用户的名称或地址
$p$	大素数模
$q$	$p - 1$ 的大素数因子
$g$	$GF(p)$ 中的原元素
$\alpha$	$GF(p)$ 中阶为 $q$ 的元素
$P$	密码
$v$	存储在服务器中的验证器
$x, y, r$	随机选择的整数
$e, t$	Alice 用于密钥交换和认证的传输信息
$h()$	公共哈希函数
$f()$	公共拉伸函数
$K$	会话密钥

方案流程

该方案基于验证器机制，结合额外的 Nyberg - Rueppel 单通方案进行密钥交换和认证。具体步骤如下：
1. 密码设置 ：为了与 Bob 建立密码 $P$，Alice 计算 $v = \alpha^{-f(P)}$，Bob 将 $v$ 与 $ID$ 一起存储作为 Alice 的验证器。
2. 认证和密钥协商
- 步骤 1 ：Alice 选择两个随机整数 $x$ 和 $r$（$x, r \in_R {1, 2, \cdots, q - 1}$），计算 $e = \alpha^{x - r}$ 和 $t = r + e \cdot f(P) \mod q$，然后将 $(e, t)$ 和 $ID$ 发送给 Bob，启动密钥交换。

sequenceDiagram
    participant Alice
    participant Bob
    Alice->>Bob: ID, (e, t)

- **步骤 2**：Bob 查找 Alice 的验证器，从消息 $(e, t)$ 中计算出 $\alpha^x$（通过 $(g^t \cdot v^e \cdot e)$）。然后，Bob 选择一个随机整数 $y$（$y \in_R \{1, 2, \cdots, q - 1\}$），计算会话密钥 $K = \alpha^{xy}$，并将 $\alpha^y$ 和 $h(K, e, t)$ 发送给 Alice。

sequenceDiagram
    participant Alice
    participant Bob
    Bob->>Alice: α^y, h(K, e, t)

- **步骤 3**：Alice 也可以计算出 $K = \alpha^{xy}$ 和相应的哈希值，检查哈希值是否匹配。如果匹配，Alice 将 $h(K, \alpha^y)$ 发送给 Bob。

sequenceDiagram
    participant Alice
    participant Bob
    Alice->>Bob: h(K, α^y)

- **最终结果**：如果 Bob 计算出的哈希值与 Alice 发送的匹配，双方就达成了 Diffie - Hellman 指数 $\alpha^{xy}$。

方案优势总结

通信效率高 ：该方案是 3 通道路径的密钥交换协议，与现有的 4 通道或更多通道的协议相比，能够减少网络流量和总执行时间。
计算成本低 ：从客户端的计算成本来看，该方案减少了客户端（或移动设备）的模幂运算，适合移动通信。
安全性强 ：该方案能够抵抗被动或主动攻击者的字典攻击，具有完美前向保密性，能够抵抗已知密钥攻击和窃取验证器攻击。
无需特殊条件 ：与一些现有的协议不同，该方案不需要安全素数或原根来防止分区攻击或子群限制攻击，使用大素数阶子群提高了效率。

综上所述，这种新型的 3 通道路径密码基密钥交换方案在安全性和效率方面都具有显著优势，尤其适用于对通信效率和客户端计算成本有较高要求的场景，如移动通信。