揚州大學(xué) 袁 進

開放的網(wǎng)絡(luò)環(huán)境容易誘發(fā)各式各樣的攻擊，為防止攻擊者竊取信息，保證用戶安全使用計算機，需要對信息進行加密保護。文章闡述了對隨機預(yù)言機和離散對數(shù)計算困難性的假設(shè)，構(gòu)建了密鑰協(xié)商協(xié)議的數(shù)據(jù)信息安全模型，對eCK07進行了比較詳細的分析，為抵御量子計算的新加密方法提供一種思路。

網(wǎng)絡(luò)信息安全最重要的作用就是保障信息數(shù)據(jù)在傳輸過程中的安全性，這也是網(wǎng)絡(luò)安全的首要任務(wù)。網(wǎng)絡(luò)覆蓋面比較廣，涉及各行各業(yè)，但是不管是哪種系統(tǒng)類型，都要根據(jù)安全指標來判斷信息安全性、可靠性和保密性來完成加密工作，防止出現(xiàn)信息泄露的現(xiàn)象。同時，使用者也要樹立正確的安全意識，加快對信息保密工作的落實，防止在實際應(yīng)用中，受到內(nèi)外部因素的影響，導(dǎo)致信息泄露，使得計算機信息安全面臨風(fēng)險隱患。

1 隨機預(yù)言模型

Bellare和Rogaway在1993年提出了隨機預(yù)言模型(Random Oracle Model,ROM)。研究者認為該模型在密碼理論和密碼實踐之間架設(shè)了一座橋梁，它的核心是一個公開的、可隨機選擇的函數(shù)H，它能接收的輸入值x，并隨機映射到一個有限集中。該隨機選擇的函數(shù)稱為隨機預(yù)言機，通信方或攻擊方可以向隨機預(yù)言機詢問，隨機預(yù)言機接收到詢問后對所詢問的問題進行回答。

假設(shè)存在函數(shù)H:{a,b}n{a,b}k有以下性質(zhì)：

（1）均勻性：H的輸出在{a,b}k上均勻隨機分布。

（2）確定性：對于相同的輸入?yún)?shù)，H的輸出必然相同。

（3）有效性：假設(shè)輸入的信息是一個長度為n的字符串x，則H(x)可在規(guī)模為n的低階多項式時間內(nèi)完成計算。則稱H為隨機預(yù)言機。如果只從某些數(shù)學(xué)問題的難解性假設(shè)出發(fā)來證明密碼體制的安全性時，這樣的安全性證明模型稱為標準化模型。如果利用隨機預(yù)言機的上述屬性來證明密碼體制的安全性時，這樣的安全證明模型我們稱之為隨機預(yù)言模型。理想的散列函數(shù)具有確定性、有效性、單向性、弱抗碰撞性和強抗碰撞性等性質(zhì)，與隨機預(yù)言機相比，它除了不具備均勻性外，其他的性質(zhì)都可滿足，因此，在研究或工作中，通過精心設(shè)計散列函數(shù)使其能滿足均勻性，即可替代隨機預(yù)言機。

2 計算困難性假設(shè)

在現(xiàn)代密碼學(xué)中通常把算法或者協(xié)議的安全性規(guī)約到一些多項式時間內(nèi)難解的問題上，本文主要研究離散對數(shù)難解問題。

定義1：離散對數(shù)(Discrete Logarithm，DL)問題。設(shè)G是一個階為大素數(shù)q的循環(huán)群，g是它的生成元，ga是群G中的元素。給定ga求解指數(shù)a稱為離散對數(shù)問題。離散對數(shù)假設(shè)是指在任何一個概率多項式時間內(nèi)攻擊方都不可能以一個不可忽略的概率破解離散對數(shù)問題。

定義2：可計算Diffie-Hellman（Computational Diffie-Hellman，CDH）問題。設(shè)G是一個q階乘法循環(huán)群，g是它的一個生成元，CDH問題是指給定三元組(g,ga,gb)，其中且未知，計算gab。

設(shè)Aer是一個概率多項式時間算法，它能夠在概率多項式時間內(nèi)解決CDH問題的概率定義為：

定義3：CDH假設(shè)。CDH假設(shè)是指對每一個概率多項式時間算法Aer，它的都是可忽略不計的。

定義4：判定性Diffie-Hellman（Decisional Diffie-Hellman，DDH）問題。設(shè)G是一個q階乘法循環(huán)群。g是它的一個生成元，DDH問題是指給定四元組(g,ga,gb,gc)，其中a∈Z*，b∈Z*，c∈Z*且未知，判定gab和gc是否相等。

定義5：DDH假設(shè)。設(shè)Aer是一個概率多項式時間算法，用表示Aer成功解決DDH問題的概率。DDH假設(shè)是指對每一個概率多項式時間算法Aer，它的是可忽略不計的。

3 密鑰協(xié)商協(xié)議的數(shù)據(jù)信息安全

3.1 屬性

在對密鑰協(xié)商協(xié)議的研究中，研究者認識到密鑰協(xié)商協(xié)議的安全性是非常重要的，為了提高協(xié)議的安全性，提出過很多解決辦法，比如消息認證碼、數(shù)字簽名、密鑰認證和密鑰確認等等，但從密鑰協(xié)商協(xié)議的安全屬性角度來研究，它應(yīng)該具備如下一些性質(zhì)：

（1）已知密鑰安全。通信方A和B之間運行一個密鑰協(xié)商協(xié)議時，即可產(chǎn)生一個單獨的會話密鑰。而面對已獲得本次會話密鑰的攻擊方無法根據(jù)本次會話密鑰推算出以前的會話密鑰。該安全屬性可以把安全危害局限于當次通信，而不會危害到前后通信。

（2）前向安全。若通信的一方或多方的長期私鑰不慎泄露，之前接收的信息不會因為私鑰的泄露受到影響，其目的是對之前被加密的資料提供完善的機密性保護。

（3）完美前向安全。假如通信雙方或多方全部泄露了長期私鑰，但不影響長期私鑰泄露之前的信息。即系統(tǒng)仍然對長期私鑰泄密之前的已加密的信息進行保護，攻擊方也不能竊取之前的信息。

3.2 模型——eCK07模型

2007年微軟三位研究員LaMacchia，Lauter和Mityagin等在研究現(xiàn)有的安全模型時，根據(jù)當時對安全的要求，提出一種新的模型——extended Canetti & Krawczyk model 2007模型（eCK07），該模型以CK01為基礎(chǔ)，很好地解決了之前模型可能存在的密鑰泄露的問題，并且包含更多的安全屬性。該模型完善了之前模型存在的缺陷，其安全性能更高，被廣泛接受。目前，從效率和安全性能上來eCK07仍然是非常好的模型之一，很多安全協(xié)議在其上建立。

在隨機預(yù)言模型下的安全模型eCK07中包含的實體主要有一批參與方，即通信各方，證書中心CA和攻擊方Aer。eCK07擴展了攻擊方的能力，例如，假定Aer完全控制了通信網(wǎng)絡(luò)，且可以向CA注冊不存在的參與方等。eCK07允許臨時私鑰泄露且捕獲更多攻擊行為。

（1）會話

定義6：匹配會話。如果參與方Ci和Cj的第s次會話與參與方Cj和Ci的第t次會話有相同的密鑰協(xié)商消息，則我們說和這兩個會話是匹配的，和可互稱對方是自己的匹配會話。

（2）權(quán)威認證機構(gòu)CA

假定權(quán)威認證機構(gòu)是可信任的機構(gòu)，它可以驗證每個參與方的長期公鑰與其身份的綁定情況，每個通過驗證的個體，包括參與方和攻擊方，都可以參與協(xié)議。但CA并不保證協(xié)議參與者的公鑰是唯一的，即可能出現(xiàn)兩個或兩個以上參與方擁有相同的長期公鑰。

（3）攻擊方

假定攻擊方Aer是一個概率多項式時間圖靈機，它完全控制網(wǎng)絡(luò)通信，能做到偽造、延遲發(fā)送、丟棄、篡改、監(jiān)聽消息等操作。

（4）雙方認證密鑰協(xié)商協(xié)議的安全性

在eCK07安全模型中是通過一個游戲GAME來定義雙方認證密鑰協(xié)商協(xié)議的安全性的，假定一個模擬器M和攻擊方Aer進行一場游戲，該游戲分為兩個階段進行。第一階段，攻擊方Aers可以對參與方Ci和Cj（i≠j）進行的第s次會話執(zhí)行Send操作，

操作描述如下：

Send(,m)：攻擊方Aer向發(fā)送消息m，以控制會話的活動性。πi,j按照協(xié)議規(guī)范對消息m進行應(yīng)答。另外，攻擊方Aer可要求參與的一方向參與的另一方發(fā)起會話。

在第一階段，Aer具有以下的查詢能力，用來捕獲參與方的秘密信息，使得參與者的信息泄露。

（1）Session_Key_Reveal():Aer可獲得πs會話的會話密鑰。

（2）Static_Key_Reveal(Ci)：Aer可獲得參與方Ci的長期私鑰。

（3）Ephemeral_Key_Reveal(Ci)：Aer可獲得參與方Ci的暫時私鑰。

（4）Establish_Party(Ci)：Aer可以以身份Ci在CA上注冊一個合法的參與者，并且完全控制這個虛擬的參與方Ci。

結(jié)語：在信息化社會，信息安全已經(jīng)受到人們的密切關(guān)注。保證信息免受各種類型的威脅、干擾和破壞成為各大計算機公司和密碼學(xué)科研工作者的一項重要使命。信息的安全通信是現(xiàn)代密碼學(xué)研究的重要任務(wù)之一，現(xiàn)代密碼學(xué)是保證信息安全的一種重要理論基礎(chǔ)，基于該理論可實現(xiàn)網(wǎng)絡(luò)環(huán)境下信息的安全傳輸，以及信息的可認證性，完整性，可用性和不可否認性保護。