第 1 章 绪 论
1.1 密码技术概述
密码技术是一门通过将人们可以直接理解的内容通过一定的变换,变为无法直接理解的内容,在需要的时候再恢复为可以直接理解的内容的方法。它本质上是数学在现实生活中的应用[1]。一个最简单的密码算法包含加密、传递、和解密三个过程。加密就是将可以直接理解的内容变为无法直接理解的内容的变换过程,由原始信息的拥有者完成。由于信息在传递过程中有可能被未经信息拥有者认可的人所截获,这时由于信息已经被加密,截获信息的人无法理解信息的真正含义,就降低了信息泄露所带来的损失。如果被加密信息安全传递到信息拥有者所期望的接收者,接收者与可能的拦截者一样无法读懂被加密的信息,这样就需要有一个与加密变换相配套的变换,使得这些无法被直接理解的信息可以被转换为原来的可以被理解的信息,这就是解密算法。在密码学中,将人们可以直接理解的信息称为明文,经过变换后无法被理解的信息称为密文。他们分别是加解密算法的输入与输出数据。一般来讲,一个加密算法就要有一个解密算法与之对应。密码技术最早可追溯到几千年前。在先秦时期,战争频繁,前方的军队与后方通信,往往需要通过保密的方式进行。那时传输信息的“三发一至、五发一至”的方法所使用的方法就类似现代的密码技术:将一份明文按照事先约定的方法打乱顺序后拆成三份或五份密文,通过不同的渠道转发。如果其中的某一份被被敌方截获,信息也不至于泄露,而接收方收到全部密文后则可以按照事前约定将密文重组获得明文。这里双方的约定的打乱顺序的方法就相当于前面所说加密算法和解密算法。而究竟将打乱顺序后的密文分为几份发送则对应现代密码技术中的另一个概念,密钥。通常来讲,密钥是加解密算法中可变的成分,比如这里的三发或五发。当要通信的双方已经进行了明确的约定后,可以说加密算法与解密算法已经确定了。这是一个密码算法中的不变部分,但如果所有的部分都是不变的,当有敌人拦截到几份密文后,就可能通过密文的规律猜出通信双方所约定的加密及解密算法,从而通过密文解出明文。这时,密钥就充当了这一必须的可变成分。比如,如果有两个明文全都按照“三发一至”进行转发,且密文全部被拦截。拦截者通过比对,就可能推断出密文应该是三个为一组,进而去推测明密文之前的排序规律。而如果两个明文一个按照“三发一至”进行转发,另一个按照“五发一至”进行转发,密文全部被拦截以后,被推断出分组规律的难度则大为增加。图 1.1 描述了保密传输的基本流程。
对于移位密码算法来说,发送者和接收者之间除了使用密文进行通信之外,只需事先商定一个密钥 3 即可,而密文的拦截者想要通过拦截到的密文获取明文所花费的计算要比发送和接收者大很多。这就引出了加密算法如何防御可能的攻击的问题。原则上讲,一个好的加密算法应当尽可能减少发送者和接收者需要完成的计算量,同时尽可能增加攻击者需要完成的计算量。最好的情况是攻击者根本无法完成为了破解该算法所需的计算。如果一个加密算法从计算量上符合这一要求,可以称该算法在计算上是安全的。进一步,如果破解一个算法所需的计算量是无穷大的,可以称该算法在理论上是安全的。比如,目前数学上有大素数的质因数分解问题,离散对数的计算问题都属于计算上的困难问题,现在没有一个有效的算法能在多项式级别时间内得到这两个问题的解。如果攻击一个加密算法的问题可以被转化为一个计算数学上目前无法解决的困难问题,那么该加密算法当然也就是一个计算上安全的加密算法。我们知道解决一个 n 元一次方程组,或者确定一个一元 n 次方程的系数至少需要 n 组数据,那么如果攻击者只有至多n-1 个数据,无论进行多少计算都无法得出一个 n 元一次方程组的根或者确定一个一元 n 次方程的系数。如果破解一个加密算法必须解决用 n-1 组甚至更少的数据来解决 n 元一次方程组的问题,那么该加密算法就可以称为一个理论上安全的加密算法。
加密算法的安全问题又和攻击者所具有的攻击能力密切相关。由于加密的目的就是要保证在密文被攻击者截获的情况下,明文无法被解出,所以,我们在分析加密算法安全性时,可以很自然的假设所有发送者加密后发出的密文在被接收者获取的同时也被攻击者得到。又由于加密算法是确定不变的,攻击者通过对大量密文的分析,也存在很大的可能性找出加密算法的规律,从而了解该算法。1883年,荷兰密码学家 Auguste Kerckhoffs 在其著作《La Cryptographie Militaire》中指出,任何安全的加密算法都应该假定攻击者已知发送者与接收者之间约定的加密算法,保证密文安全的唯一基础是发送者与接收者之间约定的密钥。这一假定通常被称为基尔霍夫原理(Kerckhoffs Principle)。于是,在现代的密码学中,保证发送者与接收者之间通信安全的核心条件变为确保攻击者不能获取通信双方所保存的密钥。而加密算法的核心任务则变为在密钥安全的情况下,攻击者无法通过密文解出明文。在这一假定的前提下,如果攻击者只能获取发送者所发出的密文,而没有任何其它辅助信息的话,称该攻击者为唯密文攻击者。如果攻击者不仅可以截获发送者发出的密文,还能再得到该密文所对应的明文,称该攻击者为已知明文攻击者。比如,发送者有可能因为大意,在发送密文之外也将明文发送给接收者,或者接收者解密密文后保管不善,使得明文为攻击者所窃取。如果攻击者偶然得到了发送者加密用的机器,虽然他无法直接得到密钥,但却可以像发送者那样选择明文进行加密并获得密文,称该攻击者为选择明文攻击者。
第 2 章 签密算法研究
签密算法是在一个逻辑步骤之内,通过一系列运算既完成加密又实现签名的算法,其核心价值在于减小加密与签名总的运算量[38,39]。本章先介绍一个有一个接收者和一个发送者的签密算法,通过分析其安全性提出一个简单的改进。然后再介绍一个多发送者共同签密,再由一个接收者进行验证解密的多用户签密方案,以同样的方式分析其安全性并进行相应的改进。最后,介绍一个门限签密算法,分析并改进其安全性。
2.1 一个两用户的签密算法的分析与改进
2.1.1 原算法描述
安全通信协议是为了在通信过程中执行基本加解密算法从而实现安全通信所规定的,通信各方必须按照某种顺序执行的一系列步骤的组合。这里的一系列步骤是指从协议开始到结束,协议参加的各方都需要执行的一个操作序列,序列中的每一个操作都要依次执行,前一步的结果作为后一步开始的信号,不能跳步也不能漏步。安全通信协议必须有至少两方或两方以上参与才有意义,所有参与者都需要严格安全协议规定来执行。比如,信息发送方为了将信息加密并发送给期望的信息接收者,必须要与接收者协商密钥。那么把实现加密作为一个安全通信协议的执行目的,则至少要假定发送方与接收方已经完成了密钥的协商,或者同时制定密钥的协商协议。当信息的目标接收者收到加密的密文后也需要验证其完整性与信源的真实性。如果将解密作为一个安全通信协议的执行目的,也需要假设接收方可以通过其他渠道来验证信息完整性或在解密过程中描述验证完整性的方法。同样地,密钥的协商以及身份的认证方法都可以作为一个安全通信协议的执行目的。一个好的安全通信协议需要合理安排各个子算法的执行顺序,尽可能去掉功能重复部分,使各个子算法为了最终的目标形成连贯的整体。由于不同的通信实体在不同情况下所形成的通信网络的网络结构不尽相同,设计安全通信协议还需要考虑适应不同的网络结构。所以目前各种针对不同网络结构的达到不同安全强度的安全通信协议层出不穷。本节对加密与签名协议、密钥协商及身份认证协议做简要介绍。
第 3 章 认证密钥协商协议研究 ....... 31
3.1 一个用户与可信中心共享口令协议的安.....31
3.2 一个用户之间共享口令协议的安全.....34
3.3 一个新的基于多项式插值算法的认.......38
3.4 一个新的基于 Diffie-Hellman 算法的密......42
3.5 一个星型结构的认证密钥协商协议的安全.....50
3.6 一个树型结构的认证密钥协商协议的安全.....54
3.7 一个线型结构的认证密钥协商协议的安全.....58
3.8 本章小结 .......62
第 4 章 无线自组织网络匿名安全路由..... 63
4.1 网络模型与攻击能力假设 .....65
4.2 一个新的基于公钥的匿名安全路由协议 .....66
4.3 一个新的基于身份的匿名安全路由协议 .....75
4.4 一个新的基于身份的匿名组播路由协议 .....90
4.5 本章小结 .......99
第 5 章 连续事件驱动签名协议研究 ........ 101
5.1 连续事件驱动签名协议基本模型 ....101
5.2 Chan 等人的事件驱动签名协议简介.........102
5.3 Li 等人的事件驱动签名协议简介.....106
5.4 基于离散对数方法构建的新事件驱动....108
5.5 新协议的安全与效率分析 ....109
5.6 本章小结 ......110
结论
本文在保密通信的几个关键领域进行了一系列理论与应用研究。主要研究包括签名加密协议的安全性与效率,认证密钥协商协议的攻击与防御,自组织网络节点间信息的完全匿名路由,以及点对点网络中连续事件的签名等。具体来讲,本文的主要工作如下:在签密协议方面,本文从一个两方协议入手,分析伪造攻击与公钥替换攻击对签密协议的影响,并给出相应的改进建议。然后将协议扩展到线型网络结构下的多用户签密及门限签密协议,提出可以抵抗这两种攻击的多用户条件下的改进方案。在认证密钥协商协议方面,本文在各种不同的网络结构下,在目前主流的基于口令密钥协商协议与基于身份密钥协商协议领域进行了相对全面和比较深入的研究。基于口令认证密钥协商协议出现的较早,协议的结构简单,操作步骤较少,其特点是用户需要记住一个简短的、安全强度较低的口令,每次一组用户需要会话前,先通过认证密钥协商过程建立安全强度较高的会话密钥。基于口令的协议有两种主要形式,第一种是每个用户与一个可信的第三方共享一个口令,协商过程在第三方帮助下完成。第二种是所有用户之间共享一个口令,协商过程不依赖外界辅助。本文先提出了针对一个线型网络下的第一种形式的协议的中间人攻击、离线字典攻击及在线字典攻击方法,分析攻击有效的原因并进行了相应的改进。再利用多项式插值算法构建了一个应用于星型网络的四轮认证密钥协商协议。然后针对一个用户之间共享口令的协议提出了一种改进的在线字典攻击方法,分析攻击有效的原因并指出克服这种攻击的方法。最后,在环型网络结构下,利用 DH 算法构建了一个两轮的多方认证密钥协商协议。
基于身份的认证密钥协商协议是在基于公钥的认证密钥协商协议基础上发展起来的。由于公钥还需要与其持有者身份相关联才能用于认证,所以其使用成本相对较高。基于身份是指直接使用用户的身份标识作为其公钥,这样就简化了公钥认证的条件。本文分别对一个星型网络结构的基于身份协议、一个树型网络结构的基于身份协议、和一个线型网络结构的协议进行了安全性分析,指出它们在安全认证方面存在的脆弱性,并进行了相应的改进,使其可以抵御伪造攻击。在匿名路由协议方面,本文针对完全敌对环境下自组织网络提出了一个基于公钥的单播完全匿名路由协议、一个基于身份的单播完全匿名路由协议和一个基于身份标识的组播完全匿名路由协议。一般的匿名协议是信息初始节点和目的节点相对其他节点匿名。这里的完全匿名是指协议执行完成后,初始节点和目的节点不知道哪些中间节点帮它们转发了路由包。每个中间节点也不知道谁是初始节点、谁是目的节点、有多少以及哪些其它中间节点转发了路由包。这对路由包的结构和路由协议提出了更高的要求。为了实现完全匿名,本文对路由包中所有包含有效信息的字段进行了不同层次的加密,使用了临时公钥与长期公钥组合应用的技术,不同节点根据自己的私有信息和相同的算法从同样的路由包中获得不同的信息。这使得本文所构建的协议不仅可以抵抗路由包分析攻击、重定向攻击、伪造攻击、重放攻击、模仿攻击、拒绝服务攻击等攻击方法,而且由于任何节点不掌握其它节点的身份、位置、节点间关系等信息,在敌对环境下,即使一些节点变节也不会威胁其它节点的安全。连续事件签名主要应用在点对点型大规模在线网络游戏领域。在事件签名协议方面,本文从一个基于一次性签名和哈希链的协议入手,提出对其进行攻击的方法并分析其存在的安全缺陷。然后介绍了两个在该协议基础上分别针对重放攻击和伪造攻击的改进协议,并指出这两种协议改进方法中存在的问题,最后引入离散对数的方法提出一个新的点对点网络中的连续事件签名协议。通过安全和效率分析得出了新协议的安全性和实用性。
未来,在匿名路由方面,可以进一步实现多方通信协议。组播协议每次可以实现所有用户对一个用户身份的确认,当有 n 个用户需要通信时,就可能需要 n次认证。在组播路由的基础上,希望做到一次握手实现所有用户之间的多向相互认证。当然这要比组播更复杂,效率也要低于一次组播认证,但如果设计合理,完全可能在总通信开销上小于 n 次组播之和。在认证密钥协商方面,很多协议实际上是从具体的网络结构模型中抽象出来的,但这些协议往往没有指明自己所适用的具体网络结构,由此给读者带来的困惑实际上影响了人们对这些协议的理解。这点在我完成本文的时候深有体会。接下来,我会按照本文对各种协议所对应的抽象网络结构的总结,进一步将目前多数的认证密钥协商协议进行总结分类。
参考文献
[1] William Stallings, Cryptography and Network http://sblunwen.com/txgclw/ Security Principles and Practices(Fourth Edition), Prentice Hall, November 16, 2005
[2] Hill, P.C.J. Vigenère through Shannon to Planck-a short history of electroniccryptographic systems, IEEE History of Telecommunications Conference, 2008,pp.41-46.
[3] Mehmet E. Dalkilic, Cengiz Gungor, An Interactive Cryptanalysis Algorithm forthe Vigenere Cipher, Lecture Notes in Computer Science Volume 1909, 2000, pp341-351.
[4] Jones, C.F., Genetic algorithm solution of Vigenere alphabetic codes, Proceedingsof the 2001 IEEE Mountain Workshop on Soft Computing in IndustrialApplications, 2001,pp.59-63
[5] Bibhudendra Acharya, Saroj Kumar Panigrahy, Sarat Kumar Patra, and GanapatiPanda, Image Encryption Using Advanced Hill Cipher Algorithm, InternationalJournal of Recent Trends in Engineering, Vol. 1, No. 1, May 2009,pp.663-667.
[6] V. Umakanta Sastry, N. Ravi Shankar, and S. Durga Bhavani,AModified PlayfairCipher for a Large Block of Plaintext,International Journal of Computer Theoryand Engineering, Vol. 1, No. 5, December, 2009,pp.1793-8201
[7] Murali, P., Modified Version of Playfair Cipher Using Linear Feedback ShiftRegister, International Conference onInformation Management and Engineering,2009, pp.488-490.
[8] Gilbert, Martin, the First World War, Henry Holt, Inc., 1994.
[9] Kahn, David, the Code Breakers: The Story of Secret Writing, the MacmillianCompany, 1967, pp. 333-347.
[10] Davis, R., The data encryption standard in perspective, IEEE CommunicationsSociety Magazine, vol.16, no.6, November 1978, pp.5-9.