下载文档原格式
电⼦商务安全期末复习电⼦商务安全与管理期末复习题型: 1. 选择题(30分:1.5分1题,共20题)2. 判断并说明理由题(28分:4分1个,共7题。
其中判断对错占2分,简要说明理由占2分)3. 简答题(30分:6分1题,共5题)4. 综合分析题(12分:6分1题,共2题)1、电⼦商务涉及的安全问题有哪些?P4-6A. 信息的安全问题:冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信⽤的安全问题:来⾃买⽅的安全问题、来⾃卖⽅的安全问题、买卖双⽅都存在抵赖的情况C. 安全的管理问题D. 安全的法律保障问题2、电⼦商务系统安全的三个组成部分。
P74、电⼦商务的安全保障主要由哪三⽅⾯去实现?P17-22技术措施①信息加密技术:保证数据流安全,密码技术和⾮密码技术②数字签名技术:保证完整性、认证性、不可否认性③TCP/IP服务:保证数据完整传输④防⽕墙的构造选择:防范外部攻击,控制内部和病毒破坏管理措施①⼈员管理制度:严格选拔落实⼯作责任制贯彻EC安全运作三项基本原则:多⼈负责、任期有限、最⼩权限②保密制度不同的保密信息有不同的安全级别③跟踪、审计、稽核制度跟踪:⾃动⽣成系统⽇志审计:对⽇志进⾏审计(针对企业内部员⼯)稽查:针对企业外部的监督单位④系统维护制度硬件和软件⑤数据容灾制度⑥病毒防范制度⑦应急措施法律环境《中华⼈民共和国电⼦签名法》5、风险分析和审计跟踪的主要功能P10-11风险分析:a.设计前:根据分析系统固有的脆弱性,旨在发现系统设计前的潜在风险。
b.运⾏前:根据系统运⾏期的运⾏状态和结果,分析潜在安全隐患。
c.运⾏期:根据系统运⾏记录,跟踪系统状态的变化,分析运⾏期的安全隐患。
d.运⾏后:分析系统运⾏记录,为改进系统的安全性提供分析报告。
审计跟踪:a.记录和跟踪各种系统状态的变化。
b.实现对各种安全事故的定位。
c.保存、维护和管理审计⽇志1、信息传输中的五种常见加密⽅式。
P27①链路-链路加密②节点加密③端-端加密④A TM⽹络加密⑤卫星通信加密链路-链路加密与端端加密区别:2、对称加密的原理及其优缺点,常见对称密码算法有DES,AES,三重DES,Rivest 密码,对称加密密钥的传输可使⽤RSA密钥传输法。
2008年7月July 2008计 算 机 工 程Computer Engineering 第34 第14期Vol 卷.34 No.14 ·博士论文·文章编号:1000—3428(2008)14—0004—03文献标识码:A中图分类号:TP309基于口令的认证密钥交换协议王天芹(河南大学数据与知识工程研究所,开封 475001)摘 要:提出一种基于(t , n )门限秘密共享技术的分布式口令认证密钥交换方案。
用户口令的验证密钥通过秘密共享方案在服务器组内进行分配,验证任务需要t 个服务器协调来完成,任意t -1个服务器合谋无法获得诚实服务器关于口令验证的任何信息。
动态生成每个服务器的局部密钥,保证了方案的前向安全性。
通过身份认证的各用户之间以对服务器组保密的方式交换会话密钥。
该方案在DDH 假设下被证明是安全的。
关键词:秘密共享方案;密钥交换协议;口令认证;DDH 假设Authenticated Key Exchange Protocol Based on PasswordWANG Tian-qin(Institute of Data and Knowledge Engineering, Henan University, Kaifeng 475001)【Abstract 】This paper presents a distributed password authenticated key exchange protocol based on (t , n )-threshold secret sharing scheme, in which a set of t servers jointly realizes the identification, whereas any conspiracy of fewer servers gains no information about the verification data.The scheme has the property of forward secrecy. The authenticated users possess the secret session key. Under the DDH assumption, the security of the scheme is proved.【Key words 】secret sharing scheme; key exchange protocol; password authentication; DDH assumption1 概述密码学的主要任务就是在不安全的环境中确保安全通信。
“认证密钥协商协议”文件汇总目录一、认证密钥协商协议的设计与分析二、基于身份和无证书的两方认证密钥协商协议研究三、认证密钥协商协议的设计与应用四、关于认证密钥协商协议若干问题的研究五、基于口令认证密钥协商协议设计六、高效的标准模型下基于身份认证密钥协商协议认证密钥协商协议的设计与分析认证密钥协商协议是网络安全中的关键组件,用于在通信双方之间建立安全、可验证的密钥。
这类协议广泛应用于各种安全通信场景,如电子商务、在线支付、物联网等。
随着网络技术的不断发展,对认证密钥协商协议的设计与分析显得尤为重要。
自20世纪80年代以来,许多认证密钥协商协议陆续被提出,主要包括基于对称加密和基于非对称加密两种类型。
其中,基于对称加密的协议具有良好的性能,但存在密钥分发和管理困难的问题;而基于非对称加密的协议则解决了这一问题,但通信效率和计算成本相对较高。
近年来,研究者们针对这些协议的不足之处进行了大量改进,提出了诸多优化方案。
为了设计一个高效的认证密钥协商协议,我们首先需要建立安全的会话,确保通信双方的连接不被窃听或篡改;需要实现安全的密钥交换,确保通信双方在交换过程中不会泄露密钥信息;需要进行有效的身份认证,以防止伪造和冒充攻击。
在会话建立阶段,我们可以采用安全的哈希函数和随机数生成器来确保会话的随机性和不可预测性。
同时,使用加密算法对通信内容进行加密,以防止窃听。
在密钥交换阶段,我们可以采用Diffie-Hellman 密钥交换算法来实现双方的安全密钥交换。
该算法能够保证在不安全的通信通道上交换密钥时,双方仍能安全通信。
在身份认证阶段,我们可以采用数字签名技术进行身份认证,确保通信双方的连接是安全、可信任的。
对于认证密钥协商协议的性能分析,我们需要从安全性、可用性、通信量和实现复杂度等多个方面进行评估。
在安全性方面,我们的协议采用了安全的哈希函数和加密算法来保护通信内容不被窃听或篡改。
Diffie-Hellman密钥交换算法和数字签名技术也能够保证通信双方的身份认证和密钥安全交换。
可证明安全的抗量子高效口令认证密钥交换协议尹安琪;汪定;郭渊博;陈琳;唐迪【期刊名称】《计算机学报》【年(卷),期】2022(45)11【摘要】基于格的口令认证密钥交换(Password-Authenticated Key Exchange,PAKE)协议在后量子时代具有广泛的应用前景.降低通信轮次可以有效提高执行效率,也是格上PAKE协议的重要优化方向.现有基于格的低轮次PAKE协议的构建方法主要有两种:一种是基于非交互式零知识(Non-Interactive Zero-Knowledge,NIZK)证明,但在标准模型下如何在格上实现NIZK证明仍然是公开问题;另一种虽然宣称基于不可区分适应性选择密文攻击(Indistinguishability under Adaptive Chosen-Ciphertext Attack,IND-CCA2)的安全模型,但实际上只采用了不可区分性选择密文攻击(Indistinguishability under Chosen-Ciphertext Attack,IND-CCA1)安全的公钥加密(Public Key Encryption,PKE)方案,该类PAKE 协议在现实应用时需要利用签名/验签等技术才能保证安全性.这两种方法都会增加计算和通信开销.为此,本文利用带误差学习(Learning with Errors,LWE)问题的加法同态属性,提出了一种格上IND-CCA2安全的非适应性平滑投影哈希函数(Smooth Projective Hash Function,SPHF),该函数支持一轮PAKE协议的构造;并确定了所基于的PKE方案中相关参数的大小,从而消除了LWE问题的不完全加法同态属性对SPHF正确性的影响.尽所知,这是格上第一个直接基于IND-CCA2安全模型的非适应性SPHF,且该SPHF具有相对独立的研究价值,可应用于证据加密、零知识证明和不经意传输等领域.基于此,本文构建了一种格上可证明安全的高效PAKE协议.该协议可以抵御量子攻击;只需要一轮通信,因而具有最优的通信轮次;是基于标准模型,所以避免了使用随机预言机的潜在安全威胁,特别是使用随机预言机可能导致格上PAKE协议遭受离线口令猜测攻击和量子攻击;在实际应用时,该协议也不需要利用NIZK证明和签名/验签等技术来保证安全性,这有效提高了执行效率.本文还利用人人网474万口令数据验证了基于CDF-Zipf定律的PAKE协议安全模型可以更加准确地评估PAKE协议所提供的安全强度;最后基于该安全性模型,本文在标准模型下对所提出的PAKE协议进行了严格的安全性证明.实验结果表明,与其它相关协议相比,本文协议具有最优的整体执行效率和最低的通信开销.【总页数】16页(P2321-2336)【作者】尹安琪;汪定;郭渊博;陈琳;唐迪【作者单位】信息工程大学电子技术学院;南开大学网络空间安全学院;天津市网络与数据安全技术重点实验室(南开大学)【正文语种】中文【中图分类】TP393【相关文献】1.一种高效的匿名口令认证密钥交换协议2.基于RLWE问题的后量子口令认证密钥交换协议3.后量子基于验证元的三方口令认证密钥交换协议4.可证明安全的抗量子两服务器口令认证密钥交换协议5.格上基于密文标准语言的可证明安全两轮口令认证密钥交换协议因版权原因,仅展示原文概要,查看原文内容请购买。
第32卷第1期北京电子科技学院学报2024年3月Vol.32No.1JournalofBeijingElectronicScienceandTechnologyInstituteMar.2024格上两方一轮身份认证协议王㊀雄㊀吕晓晗㊀王文博北京电子科技学院网络空间安全系,北京㊀100070摘㊀要:在量子技术对传统密码冲击下,格上的口令认证密钥交换PAKE协议研究成为关注的热点㊂但是,当前格上PAKE协议大多通过两轮或三轮完成,且存在传输负载过重现象㊂而目前格上一轮协议多适用于一对一通信且不具有身份认证功能㊂针对以上问题提出的基于密钥共识的格上一轮身份认证协议,通过结合格上公钥加密㊁ASPH函数和密钥共识,实现了高效㊁安全的一轮通信中的身份认证与密钥协商㊂这一解决方案有望改善传统PAKE协议的问题,对于应对量子技术对密码学的挑战提供了一种思路㊂关键词:密钥共识;格密码;ASPH(ApproximateSmoothProjectiveHash);身份认证中图分类号:TP309㊀㊀㊀文献标识码:A文章编号:1672-464X(2024)1-01-11∗㊀基金项目:中央高校基本科研业务费资金资助(3282023052)∗∗㊀作者简介:王雄(1977-),男,河北保定人,副教授,硕士,主要研究方向为密码协议㊁密码系统㊂吕晓晗(1999-),女(通信作者),山东滨州人,硕士研究生,主要研究方向为密码协议㊁格密码(lvxiaohan8252@163.com)㊂王文博(1999-),男,甘肃天水人,硕士研究生,主要研究方向为身份认证协议㊁漏洞挖掘㊂0㊀引言㊀㊀Bellovin等[1]1992年提出第一个口令认证密钥交换PAKE(Password⁃AuthenticatedKeyEx⁃change)协议㊂由于PAKE中使用的口令简短易记,使得协议在很多领域中得以应用,并成为研究的热点㊂随后,大量文献基于对称密码体制㊁公钥密码体制提出了两方㊁三方的PAKE协议,并给出了随机预言机模型和标准模型下的安全证明,比如文献[2-5]㊂随着量子计算的发展,大量的密码技术遭遇前所未有的困难㊂基于格难题的PAKE协议以其并行运算㊁计算速度快和抗已知量子攻击等特点,成为后量子时代密码领域的研究新热点㊂Katz等[6]构建了第一个基于格上困难问题的PAKE方案㊂该方案使用平滑投射哈希函数和容错学习问题,并且基于GL(Gennaro⁃Lindell)框架㊂然而,该方案中的投射密钥生成依赖于密文,协议的效率仍然较低㊂后续格上PAKE协议的设计方向主要基于不同的构造方案(例如通过引入ASPH函数㊁利用效率更高的困难问题㊁引入密钥共识算法等)提高认证效率㊂2011年,Ding等[7]构造了一个格上三轮两方PAKE协议,使格上PAKE协议的效率得到了一定的提高㊂2017年,Zhang等[8]对ASPH函数做出改进,利用底层PKE(Password⁃basedkeyex⁃change)及其关联的非自适应ASPH函数,搭建了两轮PAKE框架㊂同年,Gao等[9]结合SRP北京电子科技学院学报2024年(SecureRemotePassword)协议底层困难问题与判定RLWE(RingLearningwithErrorsProblem)的优点,提出一个新的基于RLWE的SRP协议㊂2017年,Jin等[10]通过引入和形式化密钥共识及其非对称变异AKC(AdaptiveK⁃CurvatureFunc⁃tion)函数的构建工具,抽象了基于LWE(Learn⁃ingwithErrorsProblem)和RLWE的密钥交换协议中的一些密钥成分,设计了KC(keyconsen⁃sus)和AKC(asymmetrickeyconsensus)方案㊂2019年,Karbasi等[11]对SPH(SmoothProjectiveHash)函数进行改进,首次构造出基于RLWE问题的SPHF㊂2021年,李子臣等[12]基于RLWE难题,利用了Peikert错误协调机制,在客户端/服务器模式下构造出PAKE协议㊂2022年,尹安琪等[13]根据Gentry等的方案[14]和Katz等的方案[15]设计了一种基于格的两轮PAKE协议,并分析了协议的安全性㊂同年,Li等[16]基于Peikert方案[17]提出一个具有自适应光滑性的基于格的SPH函数,获得了具有严格安全分析的格上一轮PAKE协议㊂Zhao等[18]也提出了一种基于密钥共识的格密码认证密钥交换协议㊂通过研究可以发现,上述协议或者具有两轮以上的交互(例如[6]㊁[7]㊁[12]),或者不具有身份认证功能(例如[18]㊁[8])㊂当然,基于密钥共识机制设计出的格上身份认证协议可以有效减少通信轮数,但目前存在的格上一轮协议绝大多只能用于一对一的通信,并且不提供身份认证功能㊂为解决上述问题,本文提出一种新的基于密钥共识的格上一轮身份认证协议,提高通信效率的同时实现身份认证功能,并基于随机预言机模型证明了协议的安全性㊂1㊀相关知识1 1㊀格的相关知识定义1格㊂给定线性空间mˑn上m个线性无关向量B=(b1, ,bm),这些向量的整系数线性组合表示为格Λ⊂Rn,即Λ=L(B)=ðmi=1xibi,xiɪ㊂在格密码中,明文和密文通常表示为向量㊂加密过程涉及将明文与格基和误差向量结合,然后进行一些数学运算,如模运算,以生成密文㊂解密过程涉及逆向操作,从密文恢复到原始明文㊂基于格的结构目前是后量子密码学的重要候选者,计算格问题无法有效解决的假设下,许多基于格的结构被认为是安全的㊂定义2㊀LWE[19]㊂LWE分布是一种离散概率分布,通常用于描述一个随机过程,其中一些线性关系受到小的随机误差的干扰㊂在LWE分布中,有一组向量(称为秘密向量s)和一个包含噪声的线性组合,即对秘密向量的线性组合添加了一些随机误差㊂表示为:As,α=(a,b=ats+emodq)ɪnqˑq(n,qɪ,α>0,sɪnq)㊂其中,αѳrnq为随机均匀选取的向量,eѳrD,αq为容错向量㊂LWE难题是一个密码学难题,涉及到从LWE分布的样本中恢复出秘密向量㊂具体来说,给定一组LWE分布的样本(线性组合和噪声)LWE难题的目标是找到生成这些样本的秘密向量㊂LWE难题的安全性基于随机性和误差的引入,使得从样本中恢复秘密信息变得非常困难㊂LWE难题在构建抗量子计算的加密算法研究中起到了关键作用,因此基于LWE难题构建抗量子攻击的身份认证协议是一个可行的思路㊂1 2㊀基于格的公钥加密体制基于LWE问题的公钥密码体制表示为PKε=(KeyGen,Enc,Dec),P表示明文的集合㊂该体制满足CCA安全,具体如下所示:令n1,n2ɪ,q为素数,n=n1+n2+1,m=O(nlogq)ɪ,α,βɪ㊂生成体制公私钥对的算法为(pk,sk)ѳKeyGen(1k):将与安全性相关的参数(pk,sk)作为算法的输入,得到(A0,R0)ѳTrapGen(1n,1m,q)㊁(A1,R1)ѳTrapGen(1n,1m,q)㊁crsѳ㊃2㊃第32卷格上两方一轮身份认证协议㊀CRSGen(1k),最终得到体制公钥和体制私钥的组合(pk,sk)=((A0,A1,crs),R0)㊂加密算法为cѳEnc(pk,label,pw):输入公钥pk=(A0,A1,crs)㊁明文pwɪP㊁labelɪ{0,1}∗㊁随机数r,随机选取s0,s1ѳrnq,e0,e1ѳrDm,αq,输出密文c=(u,v)㊁u=f(pk,pw,r)㊁v=g(pk,label,pw,r)㊂解密算法为Dec:输入私钥sk=R0㊁label和密文c=(u,v),输出相应的明文pw或ʅ,记为pwѳDec(sk,label,(u,v))㊂正确性:对于任意公私钥对(pk,sk),密文c=(u,v)的第一部分u在任何vᶄ和labelᶄɪ{0,1}∗的意义上修正明文pw,在安全参数k和sk㊁r的随机选择中Dec(sk,labelᶄ,(u,vᶄ))∉{ʅ,pw}的概率是可以忽略的㊂1 3㊀近似平滑投射哈希函数实现CCA安全的公钥加密体制的平滑投射函数最早由Cramer等[20]提出,本文使用的AS⁃PH函数参考文献[6]㊁[8]㊂给定CCA安全公钥加密方案PKε=(KeyGen,Enc,Dec)和有效可识别的PAKE密码字典消息空间D,假设该加密方案定义了密文的有效性,可以由pk单独有效地确定,所有诚实生成的密文都是有效的,并且假设不存在解密错误㊂假设给定一个有效密文c,可以将c=(u,v)分解为(f,g)的输出㊂密钥对(pk,sk)由密钥生成算法KeyGen(1k)产生,Cpk表示关于公钥pk的有效密文空间,P是明文空间㊂定义X={(label,c,pw)|(label,c)ɪCpk;pwɪPL={(label,c,pw)ɪX|labelɪ{0,1}∗;c=Enc(pk,label,pw)}L-={(label,c,pw)ɪX|labelɪ{0,1}∗;pw=Dec(sk,label,c)}一个公钥pk的公钥加密体制对应的ε-approximateSPH函数记为(K,l,{Hhk:Xң{0,1}l}hkɪK,HP,Proj:KңHP㊂哈希密文的集合为K,X是函数的定义域,{0,1}l为函数值域㊂近似平滑投射哈希函数由以下算法组成㊂对哈希密钥进行采样hkѳrK,hk是元组,其中每个元素都服从离散高斯分布;对于hkɪK,x=(label,(u,v),pw)ɪX,计算Hhk(x)=Hhk(u,pw);计算投射密钥hp=Proj(hk),其中hkɪK㊂对于任意hkѳrK㊁x=(label,(u,v),pw)ɪL㊁随机数r,计算u=f(pk,pw,r)㊁v=g(pk,label,pw,r),有一个有效的近似算法为Hash(hp,x,r)=Hash(hp,(u,pw),r)㊂正确性:对x=(label,(u,v),pw)ɪL以及投射密钥hp=Proj(hk),满足Pr[Ham(Hhk(u,pw),Hash(hp,(u,pw),r))ȡε]=negl(k)㊂平滑性:对任意的函数h:HPңX\L-㊁hkѳrK㊁hp=Proj(hk)㊁x=h(hp)㊁ρѳr{0,1}l,两个分布(hp,Hhk(x))和(hp,ρ)是不可区分的㊂1 4㊀密钥共识定义4密钥共识(Keyconsensus[10])㊂一个密钥共识算法KC=(params,Con,Rec),其中的参数定义如下:params=(q,m,g,d,aux)表示系统参数,q,m,g,d均为正整数,且满足m,g是2的幂,q=m㊃g,2md<q,aux表示通常由q,m,g,d确定的辅助值,可以设置为一个特殊的符号Φ指示为空㊂(k1,v)ѳCon(σ1,params):输入为(σ1ɪq,params),概率多项式时间调节算法的输出为(k1,ν),其中k1ɪm是共享密钥,vɪg是在后续过程中将公开传输到另一个通信方的提示信号,以便双方达成共识㊂k2ѳRec(σ2,v,params):输入为(σ2ɪq,v,params),确定性多项式时间和解密算法Rec输出k2ɪm㊂正确性:如果k1=k2且任意σ1,σ2ɪq满足|σ1-σ2|qɤd,密钥共识算法满足正确性㊂安全性:如果k1和v相互独立,且k1均匀分布在m,σ1ɪq时,密钥共识算法满足安全性㊂㊃3㊃北京电子科技学院学报2024年2㊀安全模型㊀㊀本文在文献[21]的基础上给出安全性分析模型㊂协议的参与者包含用户M和信任的服务器V用户持有的能在服务器证明身份信息的口令记为w(wɪD,独立均匀选取),服务器拥有该口令对应的wᶄ,wᶄ与wᶄ相等㊂ΠiM表示用户M中的第i个实例,ΠjV表示服务器V中的第j个实例㊂敌手A是一种概率多项式时间(Probabi⁃listicPolynomial⁃Time,PPT)算法,可以完全控制这些设备之间的所有通信信道㊂A可以拦截和读取所有消息,删除或修改任何所需的消息,以及注入它自己的消息㊂还允许A获得一个实例的会话密钥,以便模拟会话密钥可能发生的泄漏㊂敌手A与每个实例进行交互的方式如下所示㊂execute(M,i,V,j)㊂此查询用于模拟对手的被动攻击能力㊂如果ΠiM和ΠjV没有被激活,该提示查询模型将激活ΠiM和ΠjV来运行协议,然后将协议执行记录发送给对手㊂send(M,i,msg)㊂它用于模拟对手对证明者实例ΠiM的主动攻击㊂敌手拦截并修改发送给实例ΠiM的消息msg,将用户实例ΠiM对消息的回应返回给A㊂send(V,j,msg)㊂该询问模拟敌手的主动攻击,敌手拦截发送给服务器ΠjV的消息并进行修改,再把该服务器相应的的回复返回到A㊂reveal(M,i)㊂此查询模拟已知的密钥攻击或会话密钥丢失㊂它允许对手获得用户实例ΠiM的有效会话密钥㊂test(M,i)㊂该查询用于描述协议会话密钥的语义安全性,而对手只能访问一次查询㊂选择一个随机比特bѳr{0,1},如果b=1,则返回用户实例ΠiM的会话密钥skiM;否则返回均匀选取的随机值㊂新鲜性㊀如果对手A没有向实例ΠiM请求reveal(M,i),那么实例ΠiM就是新鲜的㊂在查询模型中,只要当验证者接受会话密钥时,查询操作test(M,i)中的实例ΠiM保证是新鲜的,对手就可以在多项式时间内进行任何顺序查询㊂安全性㊀设口令字典空间为D,Q(k)为攻击者以在线方式测试口令次数的边界值,其中k表示与安全参数无关的常数㊂如果对于所有字典D和所有的PPT对手A最多进行Q(k)次在线攻击,满足advΠ,A(k)ɤQ(k)|D|+negl(k),那么该PAKE协议是安全的㊂3㊀基于密钥共识的格上一轮身份认证协议3 1㊀方案构造基于密钥共识的格上一轮身份认证协议使用ASPH函数进行设计,利用可拆分公钥密码体制[6,8]和密钥共识算法[10]实现安全性和高效性㊂协议中的符号说明如表1所示㊂表1㊀协议中的符号说明Tab.1㊀Explanationofsymbolsintheagreement符号说明符号说明r1,r2用户和服务器的随机值label标签hkHash密钥f,g函数KHash密钥空间sk1,sk2用户,服务器的会话密钥hp投射密钥用户和服务器共享口令wɪD,其中,D为系统中口令的集合㊂协议的具体流程如下:(1)初始化阶段公钥加密体制的公钥pk由可信第三方生成,对应的私钥任何用户不能知悉㊂用户上传身份标识与口令w到服务器,服务器按照身份标识与口令的对应关系保存所有用户身份标识以及口令㊂(2)身份认证及密钥协商阶段用户与服务器实现身份认证及密钥协商的㊃4㊃第32卷格上两方一轮身份认证协议㊀流程如图1㊂图1㊀基于密钥共识的格上一轮身份认证协议Fig.1㊀Oneroundidentityauthenticationprotocolbasedonkeyconsensusonlattice(1)用户M:选择随机值r1㊁散列密钥hk1,计算hp1=Proj(hk1);令label1=IDM||IDV||hp1,计算(u1,v1)=Enc(pk,label1,w,r1),其中u1=f(pk,w,r1),v1=g(pk,label1,w,r1);令c1=(u1,v1),将身份标识以及发送给服务器V㊂(2)服务器V:接收到用户消息后,首先对c1的有效性进行验证,如果无效就选择终止此次会话;若验证有效,随机选择r2,散列密钥hk2,计算hp2=Proj(hk2)㊁u2=f(pk,wᶄ,r2);计算σ1=Hash(hp1,(u2,wᶄ),r2)⊕Hhk2(u1,wᶄ),n=σ1modg,会话密钥sk1=⌊σ1g」;令label2=IDM||IDV||hp1||hp2,v2=g(pk,label2,wᶄ,r2);令c2=(u2,v2),将hp2㊁c2以及n发送给用户M㊂(3)用户M:接收到服务器V的消息后,首先对c2的有效性进行验证,如果无效就选择终止此次会话;若验证有效,计算σ2=Hhk1(u2,w)⊕Hash(hp2,(u1,w),r1),并计算会话密钥sk2=⌊(σ2-n)/g⌉modm㊂接下来,证明协议的正确性㊂根据ASPH的近似正确性可知:Pr[Ham(Hhk(u,pw),Hash(hp,(u,pw),r))ȡε]=negl(k)㊂因此σ1和σ2的汉明距离至多为2ε㊂现引入一个新的函数|㊃|t:对任意正整数tȡ1,|x|t=min{xmodt,t-xmodt}㊂我们使用|σ1-σ2|q来度量两个元素之间的距离,由于σ1和σ2的汉明距离至多为2ε,与q相比相对较小,所以|σ1-σ2|qɤd㊂根据|㊃|t的定义可以知道:对任意x,y,t,lɪ,tȡ1,lȡ0,如果|x-y|tɤ1,那么存在θɪ以及δɪ[-1,1]使得x=y+θt+δ㊂因为|σ1-σ2|qɤd,所以存在θɪ和δɪ[-1,1]使得σ2=σ1+θq+δ㊂因此sk2=⌊(σ1-n+θq+δ)/g⌉modm=(sk1+θm+⌊δ/g⌉)modm⌊⌉意为取最接近的整数,因为2md<q,所以|θg|ɤdg<12,所以δ/g最接近零可忽略,因此sk2=sk1modm=sk1㊂3 2㊀安全性证明本节给出了格上基于密钥共识的一轮身份认证密钥交换协议的安全性证明㊂定理1如果PKε=(KeyGen,Enc,Dec)是一种基于LWE难题CCA安全的公钥加密方案和?-ASPH函数簇,并且使用密钥共识KC=(params,Con,Rec)来协商会话密钥㊂那么本文协议是一个安全的PAKE协议㊂要证明定理1,选择通过一系列游戏从游戏0到游戏7来建立㊂游戏0代表一个真实且安全的游戏,而游戏7代表一个随机选择会话密钥的均匀分布游戏,其安全性是通过增加对手的优势来建立的㊂我们通过逐步转变游戏规则来证明定理1㊂advA,i(k)表示在游戏Gi中敌手的优势㊂从游戏0到7,敌手的优势差最多为Q(k)|D|+negl(k)㊂游戏0:本实验在一个安全模型中模拟了游㊃5㊃北京电子科技学院学报2024年戏的真实攻击㊂游戏1:相比较于游戏0,本实验修改了每个execute询问的回答中σ2的的计算方法,将其修改为用hk来直接进行计算,例如,σ2=Hhk1(u2,w) Hhk2(u1,w)㊂基于格PAKE协议的ε-ASPH函数簇为:1)哈希函数簇H={Hhk}hkɪHK,其中,定义域为X,值域为{0,1}l,HK为Hash密钥空间;2)密钥投射函数Proj:HKңHP,其中,HP为投射密钥空间㊂由于模拟器知道hk,引理1可以通过ASPH的近似正确性推导出来㊂因此存在|advA,1(k)-advA,0(k)|ɤnegl(k)㊂游戏2:继续将execute做修改,将密文c1替换为加密虚拟口令(不属于字典集D的口令被称为虚拟口令)得到的密文㊂游戏1和游戏2的唯一区别是在加密结果上的替换,如果敌手A能够明显优于随机猜测地区分这两个游戏,那么存在算法B可以在底层格上的公钥加密中打破CCA安全性㊂算法B随机均匀地选择一个挑战公钥pk,并在游戏1中与敌手A交互㊂如果对手A要求算法B进行一个execute询问,那么B首先随机选择hk1ѳrK,计算hp1=Proj(hk1)㊂然后向挑战者发送(w,0)和label1=IDM||IDV||hp1以获得一个挑战密文c∗1㊂最后,算法B将使用密文c∗1作为execute查询的答案,并将对手A的输出视为自己的猜测㊂如果c∗1是真实密码w的加密密文,算法B将完全模拟对手A的攻击环境,否则,算法B将在游戏2中模拟对手A的攻击环境㊂因此,如果对手A不能以明显优势区分游戏1和游戏2,那么算法B就不能以同样的优势破坏CCA的安全性㊂由于公钥加密体制满足CCA安全,所以|advA,2(k)-advA,1(k)|ɤnegl(k)㊂游戏3:继续将execute做修改,强制σ2与σ1为直接选取的随机数,而其他计算保持不变㊂在每次execute询问中,两个密文c1和c2都是加密不属于字典集的随机数得到的值,其中,σ1和σ2的值在统计上接近于均匀分布,因此可以忽略所产生的优势差异㊂根据ASPH函数的定义及性质,有|advA,3(k)-advA,2(k)|ɤnegl(k)㊂在从游戏1到游戏3的过程中,敌手A修改了execute查询的模拟方式,并且在这些修改后的查询中没有获得有关用户密码的任何信息㊂接下来将开始考虑以下send询问㊂send0(M,i,V,j)㊂激活证明者和验证者实例获取协议执行记录㊂send1(V,j,msg1)㊂敌手给服务器发送一轮消息msg1=(IDM,c1,hp1)得到服务器返回的下一轮消息㊂send2(M,i,msg2)敌手向用户实例ᵑiM发送下一轮消息msg2=(hp2,c2,n)㊂如果服务器实例ΠjV接收到有效的消息msg1,就向敌手返回相应的消息msg2㊂模拟器C将记录与密钥生成阶段生成的公钥pk对应的私钥sk㊂游戏4:对于send1(V,j,msg1)询问,令labelᶄ1=IDMᶄ||IDVᶄ||hp1,如果cᶄ1不是有效的密文,则模拟器C拒绝该消息㊂否则,模拟器C利用私钥sk计算wᶄ=Decsk(cᶄ1),若wᶄ=w,则认为敌手A成功并结束游戏㊂假设cᶄ1是一个有效的密文,因为游戏4中的模拟器C知道pk对应的私钥sk,所以,解密cᶄ1可以得到wᶄ㊂显然这种令wᶄ=w的修改可以增加敌手的优势㊂至于wᶄʂw这种情况,有(labelᶄ1,cᶄ1,w)∉L-㊂根据ASPH的平滑性,wᶄʂw的优势在统计距离上可以忽略㊂根据近似平滑散列函数的定义和密钥共识的正确性,有advA,3(k)ɤadvA,4(k)+negl(k)㊂游戏5:对于send2(M,i,msg2),令msg2=(IDM,c1,hp1)是send0(M,i,V,j)询问输出的消㊃6㊃第32卷格上两方一轮身份认证协议㊀息㊂如果msg2ᶄ是之前send1(V,j,msg1)询问的输出,模拟器直接使用相应的hk1计算σ2,强制用户实例与服务器实例拥有相同的σ,由于σ对敌手是隐藏的,所以此修改不改变敌手的优势㊂令labelᶄ2=IDM||IDV||hpᶄ1||hpᶄ2;如果检验cᶄ2不是有效的密文,模拟器C拒绝询问;否则,模拟器C用私钥sk解密cᶄ2得到wᶄ㊂若wᶄ=w,模拟器C认为敌手成功并停止模拟,这个修改增加了敌手的优势㊂根据近似平滑散列函数的定义和密钥共识的正确性,有advA,4(k)ɤadvA,5(k)+negl(k)㊂游戏6:对send0(M,i,V,j)询问进行修改,如果用户触发了send0操作,那么将对虚拟口令进行加密,并生成密文c1㊂在游戏5和游戏6之间唯一的区别是,密文是对不属于字典集D的口令加密获取的值㊂如果敌手A可以在概率多项式时间内明显优于随机猜测地区分这两个游戏,并将其能力转换为算法B,那么算法B可以以相同的优势破坏公钥密码体制的CCA安全性㊂随机均匀选择一个挑战公钥pk,算法B使用pk作为协议的CRS,模拟游戏5中敌手A的攻击环境㊂当算法B回答敌手的send0询问时,首先随机选择hk1ѳrK,计算hp1=Proj(hk1)㊂然后算法B向挑战者发送(w,0)和label1=IDM||IDV||hp1,获得一个挑战密文c∗1㊂最后算法B将(IDM||IDV||hp1)发送给敌手A㊂当算法B必须解密有效密文对(labelᶄ1,cᶄ1)=(label1,c∗1)时,提交(labelᶄ,cᶄ1)给自己的CCA安全挑战者㊂算法B取一个比特值bɪ{0,1}作为敌手A的输出,将其作为它自己的猜测㊂如果密文c∗1是对真实密码w的加密,而算法B模拟了敌手A在游戏5中的攻击环境,那么如果敌手A能够在概率多项式时间内明显优于随机猜测地区分游戏6和游戏5,那么算法B可以以相同的优势破坏公钥密码体制的CCA安全性㊂而公钥加密体制确保CCA安全,所以|advA,6(k)-advA,5(k)|ɤnegl(k)㊂游戏7:send1(V,j,msgᶄ1=(IDMᶄ,cᶄ1,hpᶄ1))询问被修改,如果msgᶄ1是之前send0询问的输出,模拟器C用相应的散列密钥(hk1,hk2)计算σ1;否则,模拟器C执行方式完全类似于游戏6㊂如果msgᶄ1是之前send0询问的输出,那么模拟器C可以知道相应的散列密钥(hk1,hk2),cᶄ1是对虚拟口令的加密㊂因此可知,该修改的统计距离可以忽略不计㊂所以,根据近似平滑散列函数的定义和密钥共识的正确性,有|advA,7(k)-advA,6(k)|ɤnegl(k)㊂在给定场景中,事件ε表示敌手A提交了一个密文,然后成功解密该密文以获得真实密码w㊂如果事件ε没有发生,那么可以忽略敌手A在安全参数k上的任何优势㊂在游戏7中,所有查询输出的密文都是虚拟口令的加密结果,因此敌手A无法通过查询获得有关真实密码的任何相关信息㊂因为Q(k)次在线攻击是敌手A的极限,且一次攻击的概率成功为Pr[wᶄ=w]ɤ1|D|,所以事件ε发生的概率最大为Q(k)|D|,经过计算可得知,advA,7(k)ɤQ(k)|D|+negl(k)㊂综合游戏1 游戏7可以得到advA,0(k)ɤQ(k)|D|+negl(k)㊂所以定理1的说法正确㊂4㊀性能比较㊀㊀本节从安全性和效率两个方面,对本文协议和已有的格上两方身份认证协议进行比较,具体如表2㊁表3所示㊂其中,Exp表示模幂运算,Enc/Dec表示公钥加密/解密运算,ASPH/SPH表示近似平滑投射哈希运算,Hash表示哈希运算㊂同时,为了能够更加直观的对协议的性能进行比较,本文统一分别假设l㊁k㊁n㊁m㊁logq的值㊃7㊃北京电子科技学院学报2024年为128bit㊁128bit㊁256bit㊁6400bit与12㊂表2㊀通信与计算开销比较Tab.2㊀Comparisonofcommunicationandcomputingcosts协议难题假设双向认证通信复杂度通信开销/bit计算开销[18]LWE否O((m+nk)logq)4700163Exp+1Enc+2Hash[8]LWE否O(2(4m-2n+kn)logq+k)10016002Enc+4ASPH+2Hash[6]LWE是O((3mn+2kn)logq+k)597699842Exp+2Enc+2ASPH+5Hash[13]GPV是O(((mn+1)+k(n+1))logq)200555522Exp+2Enc+2SPH+4Hash本协议LWE是O((mn+nl)logq+l)200541442Exp+2Enc+2ASPH+2Hash㊀㊀本文使用LWE问题进行协议的设计,多项式时间内量子算法无法解决,因而能够抵抗量子攻击㊂协议[18]㊁[8]只是完成通信密钥的协商,缺少对通信双方的身份认证,协议[6]㊁[13]与本文协议提供通信双方相互认证的功能,进一步提升了协议的安全性㊂在通信开销方面,支持双向认证的协议需要更多的通信数据㊂但是,相对于协议[6]和[13],本文协议的通信开销进一步降低,提高了通信效率㊂在计算开销方面,本文协议相对于协议[18]减少了指数运算次数但是增加了加密与哈希运算次数,与[8]相比增加了指数运算次数,但是哈希运算次数得到了减少㊂虽然指数运算成本比哈希运算的成本消耗要高,但是总体来看还是增加了计算开销,这也是提供双向认证的必要开销㊂从表2也可以看到,本文通过利用密钥共识算法,比同为双向认证的协议[6]㊁[13]减少了哈希运算次数,缩短了计算所需的时间㊂综合来看,在保证安全性的前提下,本文协议降低了计算开销,提高了计算效率㊂表3㊀存储开销对比Tab.3㊀Storageoverheadcomparison协议存储复杂度存储开销客户端服务器客户端服务器[18]O((ml+m+n+k+km)logq+m)O((2(m+n)k+k)logq+2m)1974860820461568[8]O((2mn+k(m+2n1)+8m-3n1+2n2+1)logq+5k)O((2mn+k(m+2n1)+8m-3n1+2n2+1)logq+5k)5015718450157184[6]O((mn(3k+2n+6)+n(2k+1))logq+5k)O((mn(3k+2n+6)+n(2k+1))logq+5k)177****2768177****2768[13]O((mn+2m+2n+1)+(m+n+1)k)logq+3k)O((mn(2k+2n+4)+3n+1+(n+1)klogq+3k)30046092151****1964本协议O((3ml+mn+m)logq+l)O((4ml+mn+m+1)logq+l)4922892859059340㊀㊀在存储开销方面,各个协议表现不一㊂在客户端方面,本文协议优于协议[8]和[6],在服务器方面,本文协议又优于协议[6]和[13]㊂从两端综合来看,支持双向认证的协议在存储方面要高于不支持双向认证的协议㊂可以看到,虽然本文协议在指标上比不支持认证的协议[8]略差,却大幅优于同为双向认证协议的协议[13]㊂虽然在客户端与服务器两端都具有很低的存储开销,但是协议[18]不支持双向身份认证,而本文协议在指标方面比协议[18]略低,但是双向身份认证的优势无疑增强了本文协议的使用场景和推广前景㊂综合以上分析结果表明,本文协议不仅具有双向认证的安全性,还有效的降低了通信和计算成本㊂因此,本文协议更具适用性与推广性㊂㊃8㊃第32卷格上两方一轮身份认证协议㊀5㊀结束语㊀㊀本文设计的协议利用多项式时间内量子算法无法解决的LWE问题进行构造,能够抗量子攻击㊂基于可拆分公钥密码体制和密钥共识算法,利用ASPH函数,在能够实现双向身份认证功能从而保证安全性的前提下,降低了通信开销㊁计算开销和存储开销,提高了通信效率㊂未来将考虑设计在本文使用的框架下的3PAKE方案,使其适用于大规模用户相互通信场景㊂参考文献[1]㊀BellovinSM,MerrittM.Encryptedkeyex⁃change:Password⁃basedprotocolssecurea⁃gainstdictionaryattacks[C]//IEEEComput⁃erSocietySymposiumonResearchinSecurityandPrivacy,Oakland:IEEEPress,1992:72-84.[2]㊀KatzJ,OstrovskyR,YungM.Efficientandsecureauthenticatedkeyexchangeusingweakpasswords[J].JournaloftheACM(JACM),2009,57(1):1-39.[3]㊀GennaroR,LindellY.Aframeworkforpass⁃word⁃basedauthenticatedkeyexchange[C]//InternationalConferenceontheTheoryandApplicationsofCryptographicTechniques.Berlin,Heidelberg:SpringerBerlinHeidel⁃berg,2003:524-543.[4]㊀AbdallaM,BenhamoudaF,PointchevalD.Disjunctionsforhashproofsystems:Newcon⁃structionsandapplications[C]//AdvancesinCryptology⁃EUROCRYPT2015:34thAnnualInternationalConferenceontheTheoryandApplicationsofCryptographicTechniques.So⁃fia,Bulgaria:SpringerBerlinHeidelberg,2015:69-100.[5]㊀魏福山,马建峰,李光松等.标准模型下高效的三方口令认证密钥交换协议[J].软件学报,2016,27(09):2389-2399.(WeiFus⁃han,MaJianfeng,LiGuangsong,etal.Effi⁃cientTripartitePasswordAuthenticationKeyExchangeProtocolundertheStandardModel[J].JournalofSoftware,2016,27(09):2389-2399.).[6]㊀KATZJ,VAIKUNTANATHANV.Smoothprojectivehashingandpassword⁃basedauthen⁃ticatedkeyexchangefromlattices[C]//2009AdvancesinCryptology.Berlin:Springer,2009:636-652.[7]㊀DingY,FanL.Efficientpassword⁃basedau⁃thenticatedkeyexchangefromlattices[C]//2011SeventhInternationalConferenceonComputationalIntelligenceandSecurity.San⁃ya,China:IEEE,2011:934-938.[8]㊀ZhangJ,YuY.Two⁃roundPAKEfromap⁃proximateSPHandinstantiationsfromlattices[C]//InternationalConferenceontheTheoryandApplicationofCryptologyandInformationSecurity.Springer:Cham,2017:37-67.[9]㊀GaoX,DingJ,LiuJ,etal.Post⁃quantumsecureremotepasswordprotocolfromRLWEproblem[C]//InternationalConferenceonIn⁃formationSecurityandCryptology.Springer:Cham,2017:99-116.[10]㊀JinZ,ZhaoY.Optimalkeyconsensusinpresenceofnoise[J].(2016-11-18)[2017-10-06].㊀https://doi.org/10 48550/arX⁃iv.1611 06150.[11]㊀KarbasiAH,AtaniRE,AtaniSE.ANewRing⁃BasedSPHFandPAKEProtocolonIde⁃alLattices[J].ISeCure,2019,11(1):75-86.[12]㊀李子臣,谢婷,张卷美.基于RLWE问题的后量子口令认证密钥交换协议[J].电子学报,2021,49(02):260-267.(LiZichen,XieTing,ZhangJuanmei.Postquantum㊃9㊃北京电子科技学院学报2024年passwordauthenticationkeyexchangeprotocolbasedonRLWEproblem[J].JournalofE⁃lectronics,2021,49(02):260-267.).[13]㊀尹安琪,曲彤洲,郭渊博等.格上基于密文标准语言的可证明安全两轮口令认证密钥交换协议[J].电子学报,2022,50(05):1140-1149.(YinAnqi,QuTongzhou,GuoYuanbo,etal.Aprovablesecuretworoundpasswordauthenticationkeyexchangeprotocolbasedonciphertextstandardlanguageongrid[J].JournalofElectronics,2022,50(05):1140-1149.).[14]㊀GentryC,PeikertC,VaikuntanathanV.Trapdoorsforhardlatticesandnewcrypto⁃graphicconstructions[C]//ProceedingsofthefortiethannualACMsymposiumonTheoryofcomputing.NewYork:AssociationforCom⁃putingMachinery.2008:197-206.[15]㊀KatzJ,VaikuntanathanV.Smoothprojectivehashingandpassword⁃basedauthenticatedkeyexchangefromlattices[C]//InternationalConferenceontheTheoryandApplicationofCryptologyandInformationSecurity.Berlin,Heidelberg:SpringerBerlinHeidelberg,2009:636-652.[16]㊀LiZ,WangD.Achievingone⁃roundpass⁃word⁃basedauthenticatedkeyexchangeoverlattices[J].IEEEtransactionsonservicescomputing,2019,15(1):308-321.[17]㊀MicciancioD,PeikertC.Trapdoorsforlat⁃tices:Simpler,tighter,faster,smaller[C]//AnnualInternationalConferenceontheTheoryandApplicationsofCryptographicTech⁃niques.Berlin,Heidelberg:SpringerBerlinHeidelberg,2012:700-718.[18]㊀ZhaoZ,MaS,QinP.Passwordauthentica⁃tionkeyexchangebasedonkeyconsensusforIoTsecurity[J].ClusterComputing,2023,26(1):1-12.[19]㊀RegevO.Onlattices,learningwitherrors,randomlinearcodes,andcryptography[J].JournaloftheACM(JACM),2009,56(6):1-40.[20]㊀CRAMERR,SHOUPV.Universalhashproofsandaparadigmforadaptivechosenci⁃phertextsecurepublic⁃keyencryption[C]//InternationalConferenceontheTheoryandApplicationsofCryptographicTechniques:AdvancesinCryptology.Berlin:Springer,2002:45-64.[21]㊀BenhamoudaF,PointchevalD.Verifier⁃basedpassword⁃authenticatedkeyexchange:Newmodelsandconstructions[J].CryptologyePrintArchive,2013.(2013-12-16)[2014-10-14].https://ia.cr/2013/833.ATwoPartyOneRoundIdentityAuthenticationProtocoloverLatticeWANGXiong㊀LVXiaohan㊀WANGWenboCyberspaceSecurityDepartment,BeijingElectronicScienceandTechnologyInstitute,Beijing100070,P.R.ChinaAbstract:Inthefaceofquantumtechnologyᶄsimpactontraditionalcryptography,researchonlattice⁃basedPassword⁃AuthenticatedKeyExchange(PAKE)protocolshasgainedsignificantattention.How⁃ever,currentlattice⁃basedPAKEprotocolsoftenrequiretwoorthreerounds,leadingtoheavytransmis⁃㊃01㊃㊃11㊃第32卷格上两方一轮身份认证协议㊀sionloads.Additionally,existingone⁃roundlattice⁃basedprotocolsaremainlysuitedforone⁃on⁃onecommunicationandlackidentityauthentication.Toaddresstheseissues,anovellattice⁃basedone⁃roundidentityauthenticationprotocolbasedonkeyconsensushasbeenproposed.Thisinnovativesolu⁃tioncombineslattice⁃basedpublickeyencryption,ASPHfunctions,andkeyconsensustoachieveeffi⁃cientandsecureidentityauthenticationandkeynegotiationwithinasinglecommunicationround.Thisbreakthroughhasthepotentialtoaddressthechallengesposedbyquantumtechnologytocryptographyandextenditsapplicabilitytomany⁃to⁃manycommunicationscenarios.Keywords:keyconsensus;latticecipher;ASPH;Identityauthentication(责任编辑:夏㊀超)。
