2010年第7期 福 建 电脑 85 一个改进的简单可认证密钥协商协议 陈泗盛 .刘政连1,2 (1、福建师范大学福清分校数学与计算机科学系福建福清350300 2、英国伦敦大学皇家霍洛威数学系埃厄姆TW20 OEX英国) 【摘要】:简单可认证的密码协商协议(sAKA)是由Seo和Sweeney提出的,它是在Difie—Hellmen协议基础上进行改 进,目的是通信双方提供一个可认证的安全会话密钥的协商机制。本文将在SAKA的基础上,提出一个改进的方案,该改进 版可以抵抗已提出的对SAKA的伪造攻击。 【关键词】:可认证密钥协商;中间人攻击;窜改攻击;密钥交换。 0、引言 步骤5.Bob收到x.后.计算 n L 密钥协商协议是通信双方在公共信道上获取安全会话密钥 的重要技术.而会话是通信双方建立安全通信信道的重要保证 D e和Hellman提出用户双方能够在不安全信道上进行会话 X=-X 咖 和key:=-X 因此,Alice和B0b获得共同的会话密钥 (modp) 步骤6.为了验证会话密钥的有效性和验证另一方.AliceI51 密钥协商的双方密钥协商的协议.通常称其为Difife—HeUn an密 钥协商协议IlI。而.这个协议的一个非常脆弱的地方就是其无法 Bob ̄key ,Bob[ ̄Allce发送kev 。当双方收到各自的消息后, 抵抗中间人攻击.主要的原因是协议中没有要求对参与双方进 Alice和Bob可以分别使用0 计算出会话密钥,从而起到认证作 行身份认证 针对这个安全问题.研究者们在Dime—Hellman密钥协商协 议的基础上提出了三方协议.即在协议的执行过程中加入了一 用。 2 对SAKA算法的一些攻击 2.1 Tseng’攻击方法 在Seo-Sweeney协议中,尽管一个攻击者(EVE),不能伪装 个可信的第三方为参与双方提供双互的身份认证服务 但是.在 很多应用场合底下这个可信第三方是不存在的 基于这个问题. 1999年,Seo和Sweenev在D皿e—Hellman协议的基础上,提出 成Bob通过运行协议¥1Alice协商一个共享的会话密钥.但是该协 议中的会话密钥的认证过程中存在着脆弱性。Tseng@出了一个 重放攻击的方法。在验证阶段中(步骤6),当Eve收到Alice发送的 了一种简单的可认证的密钥协商协议(SAKA.Simple Authent1 cated Key Agreement)121。该协议的主要思想是,先假设通信双方 信物”。 在SAKA算法提出来之后.不少研究者提出了一些攻击方 (modn)后,Eve就以BobflO'身份把Key (modn)重新发送给Al— 预共享了一个秘密密钥.并用此秘密密钥作为双方身份认证的” Keyice。当Alice收到E 。发送的Key (m。dn)后,计算(Key ̄)Q'modp,其 mod(p一1)),可以得到会话密钥。因此,即使Alice计算 法,并分别给出了针对自己攻击方法的改进方案『2—71。其中 中Q Q~ 1(他也会相信自己得到了和B0b一致的会话 Yang和Chang[7】给出了一个可以攻击现有的任何SAKA算法。 出了错误的会话密钥. 因此.本文将提出一个改进的SAKA.我们分析了该算法的会话 密钥。为了防止以上重放攻击.Tseng ̄验证阶段提出了一种改进 密钥的安全性,同时又分析了该改进算法可以抵抗Yang-Chang 的方法.改进后的认证步骤如下 攻击方法 1、SAKA算法 f1)Alice发送Y给Bob. (2)Bob发送X给Alice. SAKA算法是SeO和Sweeney在Difife—Hellman协议基础上提 出的。为了描述的方便,在本文的剩下部分中,我们假设.Ailice (3)Alice和Bob检验是否有等式X g'(modp)¥11y--g。(modp) 和Bob双方预共享着一个秘密密钥Q.为了安全通信.双方将进 成立。 行会话密钥协商。和Difife—HeHman协议一样,同样假设.双方共 Tseng在其论文中说明了改改进方案的安全性.具体的可以 享着系统参数p和q,其中p是一个大素数,q是GF(p)的~个原根。 参考文献 SAKA算法描述如下 2.2 Ku—Wang ̄击方法 步骤1.协议执行之前.假设Alice和Bob预共享着一个秘密 密钥Q,这里(Q,P一1)=1。 尽管Tseng在其论文中说明了改改进方案的安全性.但是 Ku—Wang在文献中给出了一个篡改攻击方法。其攻击方法如下 步骤2,Alice选取一个随机密钥a,1≤a≤P一2,计算 当Alice发送 .给Bob的时候, e截取该消息,并用一个任 g‘(modp). 然后将消息 ,发送给Bob 步骤3,Bob选取一个随机密钥b.J≤b< ̄p-2.计算 D 意数 ,X ,∈[1,p— 】进行替代,并将其发送给Bob。收到消息 后,Bob发送y, ̄Alice。然后,在验证过程中,步骤 中A比e发 送相应的l,给Bob:步骤(2)中。Bob将发送其认为是 的消息 Yl g(modp) 然后将消息Y.发送给Alice ermoclp) ̄AIice;在步骤( )中,由于 ≠ga 咖,所以Af. 认为 ,,,无效,而因为有l, modp ̄.f-,i ̄Bob确认这个错误 步骤4,Alice收到y,后,计算 ^_, 的会话密钥 ), : ~f,加 J是有效的。 王,sy (mode)和后e sy‘ o 同样.为了防止以上篡改攻击.Tseng对验证阶段提出了一 福建电脑 2010年第7期 种改进的方法.改进后的认证步骤如下 1)Alice计算 k s ,加咖J .Y2---(KeyI)。 gabQ m。dp) 并将k 发送给Alice _一I 然后发送Yz给Bob 步骤A6,Alice@ ̄Jk 后,验证等式k,--(k ) (modp)是否成立。 如果成立.Alice相信协议是正确执行的。 (v.2)Bo6验证等式y (modp)=-Key:是否成立。如果成立, Bob就相信自己获得正确 ,,Alice获得了正确的y,,从而Bob确信 因此,Alice和B0b获得共同的会话密钥k。=k2z g^b(modp),并 会话密钥 e v1的有效性。然后发送 给Alice. 得到了认证。 3.2安全性分析 (v.3)Alice检验是否有x;g (modp)成立。 (1)会话密钥安全性分析 2.3 Yang—Chang攻击方法 情况1:假设攻击者Eve想从X /Y 中获取秘密密钥a/b,因为 尽管Ku—Wang的改进版中通过改变协议在会话密钥验证阶 其'9aQ=-log ̄x和bQ--log。Y,因此想获取a/t'是困难问题,因为他 段协议的对称性来防止了上面的重放攻击和篡改攻击。但是.该 必须面对解离散对数问题。 改进方案还是不安全的,Yang和Chang针对该方案提出了一个 情况2:假设Eve获得了k 和k ,那Eve也是无法计算出安全会 篡改攻击方法.该攻击方法如下 攻击者Eve,首先准备一个数e,聊d 一 J。然后,在SAKA协议 i ̄{YJk 和k:。首先,k。--09 modp,k:--Cx) m0dI),而Eve不知道)(/ 中的会话密钥建立阶段,在步骤J,当Alice向Bob发送消息 ,的时 Y和a,b,因此从这方向无法计算得到k。和k:。而由k,---(-k。) 。nlodp, 候, e截取}『lj息 ,并用一个新的数值 =Oc 厂z 。 替代 fl- ̄-k 面临的是解离散对数问题;由k,和k k: (bmodp)it ̄k:也 X,发送给Bob;在会话密钥验证阶段,在步骤(v1)中,当Alice向 将面临解离散对数问题。因此,会话密钥是安全的。 Bo6发送y:的时候,Eve截取淌息并用l,t =( e一 『mD咖 替代 情况3:在会话密钥建立之后,即Alice计算得k。和Bob计算 Y2发送给曰D6;在步骤 2J中,易知等式 eY。=fy ; 『,no咖 的 得k:后,双方可以通过验证等式来验证会话密钥的有效性。这 验证能够通过,此时Bob相信自己获得正确 ,,Alice获得了正确 样,EveT ̄知道会话密钥的情况下不能想任意一方认证自己。 所以.由上面分析知道t ̄-i的改进方案中的会话密钥是安 (a ̄JY,,从而Bo6确信会话密钥 ey:的有效性。然后,Bobbin_X=-- 全的。 (mo@) ̄Alice,此时过程中, e截取消息并用 ‘ 中 (2) ̄Yang—Chang攻击分析 如果,对本方案采取Yang和Chang提出的攻击方法。即,在步 进行替代并发送给A z ce;在步骤 中,易知等式 ‘ 0 验 骤A2,_ ̄Alice向Bob发送消息x。的时候,Eve截取消息X,,并用一 证能够通过,因此,此时 lice相信自己获得正确Y ,Bob获得了正 确的 ,从而A Z ce确信会话密钥 e 的有效性。但是,此时 ey,一 个新的数值x 。=(x。) gae modp)替代x 发送给Bob。则最后Alice f,舯dp),而 eY:=-d 『『no J。 得到的会话密钥是k。 modp),而Bob得到会话密钥是k:=g 3、改进的SAKA算法 (modp)。 在这一部分.我们将提出一个改进版的SAKA算法,新f ̄OSA. 则在验证阶段,因为|i}, ,加咖 ,所以 e要 6在验证 KA算法可以抵抗Yang和Chang提出的篡改攻击,最后再给出该 方案的安全性分析。 等式A s 时候能够通过,必须使把 ,替换成 , =-k; 3.1算法描述 f6,加acpJ。而,在知道Jj},和e情况下, B可以计算 , : 步骤A1.协议执行之前.假设Alice和Bob预共享着一个秘密 密钥Q,这里(Q,P一1)=1。 r6,加 , : 基础上计算 , ==--k: ,加却J,Eve必须知道 :,同时 步骤A2,Alice选取一个随机密钥a,l≤a≤p一2,计算 由于 e知道e,则知道 :等价于知道 ,,而我们上面分析知计算 Xl g~(modp). k z是一个离散对数困难问题。故, e无法让 6验证等式 然后将消息X.发送给Bob L一 fmo J成功。 步骤A3,Bob选取一个随机密钥b,1≤b≤p一2,计算 当等式 ; 咖J的验证不成立时,Bo6就能检测到自 YI g‘(modp) 己获得了错误的 或者A趾e获得了错误的l, ,因此曰o6就不会向 然后将消息Y.发送给Alice 发送 。因此, e要想A z ce相信自己获得正确的 ,,则必须伪 步骤A4,Mice收到Y.后,计算 n~ - k 造Jj} s mo J。由于,西e只知道 ,,因此要伪造 其必须知道 Y Y (modp),kl Y(modp),k3 kl (bmodp) k,,而有我们上面分析知计算k,也是离散对数困难问题。故,Eve 并将k 发送给Bob ●・, 步骤A5,Bob收到x.和k1后,计算 也无法让A比e验证等式 ,; 。咖 成功。 xs m。dp),k:Xb(modp)所以,由上面分析知道我们的改进方案是可以抵抗y锄 , 叫 击.. 验证等式k2= ) modp  ̄.。如果成立,Bob就相信自己 4.结语 获得正确X.,Alice获得了正确的Y,,从而B0b确信会话密钥k,的 本文先给出了简单可认证密钥协商协议SAKA的描述,并在 有效性.则计算 此基础上了介绍了一些对其的攻击方法.针对已提出的攻击方 法,我们提出了一个改进的sA 协议,我们分(下转第133页) 2010年第7期 福建 电脑 133 像.根据不同的需求积极参与。 技术.实现课程各教学环节的模块化管理,为用户的二次开发提 供了操作平台 在程序结构上各教学环节模块既是系统的一部分.又是相 对的子程序.用户可以根据凸透镜实际焦距的不同来更改 成像画面。 在主模块中.将课程各个教学环节分别设置在时间轴不同 的帧中调用.而每个属下的类再设置为属下的二级子模块.且各 模块均为一的小程序.用户可以进行修改数据。如模拟实验 下的焦距 4.5”短”而”精”.便于网上教学 因为Flash采用的是流行的矢量技术.用它创作的作品.不 但交互功能强大.动画效果丰富多彩.无级放大的矢量图永远不 图2.三维立体菜单在3D中做成动莉效果 会产生令人讨厌的锯齿.而且”短”而”精”,文件小,传输速度快, 在各项功能实现时.将FLASH的影片交互与ActionScript2. 所以受网络资源的制约小.可以利用独有的优势在网上广泛传 O代码控制相结合.用户不仅可以在各模块问任意跳转.而且可 播.供用户网上学习 以输入不同的焦距,拖动物体蜡烛查看成像特点。 5 结语 Flash的交互功能还表现在.当使用者按住鼠标接触到物体 多媒体教学课件的开发不仅要遵循其实用性、科学性、交互 蜡烛时,才可以拖动蜡烛。在物体蜡烛影片上添加如下代码: 性、界面友好等基本原则.还要注意软件的通用性,给用户留下 onClipEvent(mouseDown){ 二次开发的接口,以方便用户动态的更新内容.减少开发成本. if(this.hitTest(root.~xmoDse,root._ymouse)){ 尽可能避免资源的浪费.是进行多媒体开发人员需要重点研究 startDrag("_root.1j—mc”,true,0,180.4,550,180.4); 的问题 为了实现这个目标.开发人员要注意有选择性的综合应 ,/Ji mc为物体蜡烛的影片实例名 用多种开发工具.因为任何一种软件开发工具都有其优点和局 } 限性.集百家之长.才能快捷有效地设计出美观实用的产品。 ) onClipEvent(mouseUp){ 参考文献: stopDrag(); f1]石潇.((Hash8.0动画实用教程》[M]江西:江西高校出版社,2007 l [2】王汝义.《R h网站建设技术精粹》【I .北京:人民邮电出版社,2006 4.4管理模块化 【3]5--玉梅.((3dsMax8效果图制作实战从入f1到精通》fM】.北京:人民邮电 利用FLASH的时问片段分割(TimeLine)、重组(MC嵌套) 出版社.2008 ・・—-— 一一—-一 —— 一--+一一—●一 +一—— “—●一一+ (上接第86页) 析了其会话密钥的安全性,并分析了其能够抵抗l,伽g- 彻g攻 1//1. 击。 【5】Iuon~Chang Lin,Chin—Chen Chang,Min—Shiang Hwang.Security Enhancement for the Simple Authentication Key Agreement Algorithm, 参考文献: COMPSAC 2000.PP.113—115. [1】Dilfie,W.and HeUman,M.E."New directions in cryptography”,IEEE 【6】c.Yang and T.Chang.”Crypt.analysis of simple authentication key a— Tram.,1976,IT-22,pp644—654 greement protocol”, FI II、玎)AMENTALS,2004, VOL.E87一A, No.8, (2J D.Seo and P.Sweeney.”Simple authenticated key agreement algo— pp2174—2176 rithm”,Electron.Letters,I 999,vo1.35。DO.13,PP.1073—1074[7]Ting—Yi Chang.Chou—Chan Yang and Ya—wen Yang."Cryptanalysis . 【3】Y.一M.Tseng.”Weakness in simple authenticated key a ̄eement proto— of the improved authenticated key a ̄eement protocol”.Apphed Mathe— col”,Electron.Letters,2000,vo1.36,no.1,pp.48-49. matics and Compumfion,2005,pp771—774. 【4]w.一C.Ku and S.一D.Wang.”Cryptanalysis of modiifed authenticated key agreement protocol”,Electron.Lette.,2000,vo1.36,no.21,PP.1770一 (上接第112页) 持。基于网络的在线考试系统可以进行无纸化在线考试.另外还 Li—hua.ZHU Shi-jie.SHI Jian—hui.Lu You-ke.基于Java的医学网络考 具题库管理、试卷生成和成绩查询的功能.是高校检验学生掌握 试系统的研制一中国医疗设备2008,23(9) 知识的一个良好途径,为低碳社会做一份贡献。 f2】宁洁琪,网络考试系统的设计与实现一广西轻工业2009,25(8) [3】余建桥,预测模型获取的遗传算法研究,计算机科学,25(2),1998. 参考文献: [1jz平.袁波.陈利华.朱世杰.施建辉.路又可.SHI Ping.YUANBo.CHEN
