论文研究 新的在标准模型中可证安全身份鉴别协议.pdf

基于RSA衍生的判定性Dependent RSA问题的困难性假设,提出一个安全高效的身份鉴别方案。在标准模型下,可证明该身份鉴别协议在主动并行攻击下能抵抗冒充攻击和中间人攻击。由于交互简单自然、低存储量、低计算量和好的安全性能,该身份鉴别协议更适合用于广泛应用的智能卡。2140计算机应用研究第26卷本后,因无法为任意消息生成P的合法答名,故无法冒充P通若b=y,则B输出1,表示(a,B)= Relevant集;若b≠y,则B输出过鉴别,即冒充不成功。1,表示(,阝)Rand集3)抗中间人攻击本协议采用以下四种策略来抵抗中间下面分析冒充者A回答b=y的概率。(α,B)∈Rand集,人攻击:则(A,B)=(a,c,B)=( x mod n,c,(y+1)modn)一直均匀a)让通信双方共享随机秘密值s(也可采用密钥协商来协的分布于zxZ。空间中,因此确定b∈{0,1}的概率为1/2商一个只用于本次协议的随机数)。协议中将这个共享秘密即P[Bm,B)=1]=P[b=y]=1/2。若(m,B)∈ Relevant值定义为双方成功交易次数。只有鉴别双方知道这个秘密值,集,则(A,B)=(α,c,B)=( x mod n,c,(x+1)mdn)能正确仟何不知该秘密值的中间敌手都不能冒充成功。地通过此次验证,即Pr[P(c,B)=1]=Prb=y]=1/2±h)采用先签名技术,使得中间敌手不能生成P的有效签2,由假设知是敌手A的优势。名,从而很难冒充成功。或者说Ⅴ发出挑战c,由丁中间敌手定理1在上述游戏中,如果一个多项式有界的冒充者在不知道P的私钥d,不能为挑战c生成正确的响应值B。虽然时内主动并行攻击中具有E优势(q次提前交互),那么Z敌手在获得两个来自P的有效的A=(K1)modn和A2中的 DRRSA问题可在时间t=t内以优势g>ε/2解决。(K2)modn后能合成一个A=(K1K2)"modn,但是Ⅴ获得后验证序列号s就可知道对方真伪。结束语c)单向无碰撞哈希函数h(·)将每次协议的仝部脚本捆身份鉴别方案是一种非常重的认证技术,中间人攻击是绑在一起,构成本轮协议的认证信息。敌手只有拥有K中正身份鉴别方案很难抓抗的一种攻击模式,文款12,4,5]中方确的序列号,才能生成有效的哈希值。案均因在中间人攻击下不安全导致易被敌手冒充。为了抵抗d)时戳t来提示鉴别者V对通信时间的把握,P、从协议开始到结束,包括网络时延应该有个大概的估计,若超过一定中间人攻击,需要一种技术来对所有消息的完整性和正确性验证。基于RSA问题衍生困难问题— DRRSA问题,提出一个的时限,可放弃本轮协议前面已提到过,不考虑敌于对收发双方的信息不作任何修在随机预言模型下可证安全的身份鉴别方案,该方案能抵抗各种攻击模式,从而在冒充攻击下是安全的。对中间人攻击的防改进行转发,因此类攻击没有本质意义,且所有设计严谨的非面对面的交互中都有路由(敌于)中转存在。范策略是通过在通信双方安全地传送两个随机数,然后用这两个随机数导出保密的会话密钥以保让后续通信的安全。在协3.2协议的效率与进一步扩展商会话密钥的过程中不仅验证了客户端身份,而且还保证了服本文方案所给鉴别协议用了两个模幂运算ME、一次模乘务器证书的有效性。使用这种策略,不需要客户端身份认证,运算MUL和一次加h运算H其中hah运算主要用丁认证。客户端也不需要验证服务器正书的有效性,就能建立安全的连因模幂运算ME最费时,与同样是基于RSA问题的文献[1,4,接,可以成功地防止中间人攻击,这在实际中具有普遍的实用5]中鉴别方案相比,几个方案计算量和通信量相当。本文鉴价值。下一步的研究工作是设计在标准模型下可证安全的双别协议能抗中问人攻击,安全性好。向身份鉴别方案。表1本文方案和文献[1,4,5]中方案效率比较参考文献方案计算量通信量本文方案[1 GUILLOU L S, QUISQUATER JJ. A practical zero-knowledge proto2ME +MUL +ll3|a文献1」中方案3ME I2MULol fitted to security microprocessors minim izing both transmiss ion and文献[4]中方案M上memory[ C//GUNTHER C G. Proc of EUROCRYPTO'88 BerlinSpringer-Verlag, 1988: 123-1283.3安全性证明[2 SCHNORR C P Efficient identification and signatures for smart cards设A是一个敌手算法,其目的是冒充某个用户P。B是[C]//Pron of CRYPTO'89 Berlin: Springer-Verlag, 1990: 239-252[3 BELLARE M, PALACIOY A GQ and Schnorr identification schemes个试图解决 DRRSA问题的挑战者。B以A为他的一个挑战子proofs of security against impersonation under active and concurrent程序。设B拥有一组(α,B),需要判定其属于Rad集或属于attacks[ C]// UNG M. Proc of CRYPTO'02 Berlin: Springer-Ver-Relevant集。允许冒充者A在冒充之前叮以与将要被冒充的lag,2002:167-177.诚实的示证者P交互qAendent RSA problems[ C]//STERN J. Proc of EUROCRYPT'99A输出(A,B,b),其中b∈10,1Heide berg, Berlin: Springer-Verlag, 1999: 239-254