互联网环境中可修补的密钥分配协议

互联网环境中可修补的密钥分配协议摘要本论文介绍了一种可修补的密钥分配协议。该协议的优点是,一旦所有泄露的密钥被安全密钥所取代，该协议仍是安全的。关键词互联网可修补的密钥分配协议1.引言完成安全的数据通讯,不仅需要加密、解密算法，还需要有安全的密钥分配协议的支持。一个密钥分配协议（简称KDP）是将密钥以一种安全、有效的方式分发给消息传递者。没有安全的密钥分配协议，即使使用了强有力的加/解密算法，整个系统也会存在着不安全的因素。常用的加/解密算法或是基于公钥，或是基于私钥（公钥密码系统有较好的安全性，但速度慢；而私钥密码系统速度快，但安全性能差）。这篇论文探讨私钥密码系统中密钥分配协议的设计问题，可提高系统的安全性。Needhem和Schroeder提出了一种基于单一网络的密钥分配协议；但这个协议在会话密钥或私钥泄露后易遭受重发攻击。于是，Denning和Sacco在此基础上发展并提出一个新的协议，它可防止密钥泄露后的安全破坏，但新协议的实现以网络环境中的同步时钟为前提。后来，Baueretal.设计了一个使用事件标志的协议，该协议能保证消息的新鲜性。大多数协议，仅使用单一受信任的认识服务器（AS）来分配会话密钥。随着网络中大量用户的急剧增加，由唯一的AS进行密钥分配的效率是极低的。同时，许多带有自己的AS的网络系统被联成一个大型网络。因此，互联网络中密钥分配的问题变得异常重要。Lu和Swndareshan提出一个层次KDP来解决这个问题。但是，从某种意义上讲，该层次KDP是不可修补的。若一个AS的主密钥被泄露，用一个新的主密钥取代旧密钥，是该系统仍处于不安全的状态。我们将提出一个简单的设计方法，为互联网络建立基于两个基本密钥分配协议的可修补的密钥分配协议。2可修补的密钥分配协议若系统的密钥没有被泄露，一个安全的KDP会正常工作。然而，处于网络环境中的密钥可能以多种方式泄露，而且，一旦这些密钥中任何一个被某个恶意的用户所窃知，则安全破坏就会出现了。对一些协议而言，即使在新密钥取代了被泄露的密钥，安全破坏仍然不能消除，则这些协议是不可修补的。若一旦新密钥取代被泄露的密钥，安全破坏就不存在了，系统又恢复到初始的安全状态，则该协议是可修补的。定义：若安全的密钥取代被泄露的旧密钥，因旧密钥的泄露而造成的安全破坏就不存在了，则该安全的KDP对密钥泄露是可修补的。Lu和Swndareshan设计的KDP是不可修补的。首先，我们介绍一下本论文所使用的一些符号：EMA：用户A的事件标记，确保相关事件新鲜性的非重复的随机数；MKA：用户A的主密钥；AS：网络中被信任的第三方，它知道系统中所有用户的主密钥;ASA：A所在域内的认证服务器，并获得A的主密钥。也可以说，A在ASA的控制下。CAS：系统中另一个被信任的第三方，掌握着AS的主密钥；AB：Z：发送者A向接收者B发送消息Z；（X）Y:密钥Y在预先指定的加密/解密算法的作用下对X进行加密/解密;SK：仅用于特定会话的会话密钥;LNA：A所属的网络系统。EKAB：由CAS为ASA和ASB产生的交换密钥。LuandSwndareshan提议的KDP如下：A是网络LNA中一个用户，由ASA控制着。A希望与用户B建立安全的通讯通道。而B属于网络系统LNB，在ASB的控制下（ASA≠ASB）。A与B之间没有任何共享的密钥。在ASA，ASB和CAS中进行密钥分配的协议如图1所示：图11.ASACAS：（A，B，LNB，EMASA）MKASA2.1CASASA：（EKAB，ASB，B，EMASA）MKASA2.2CASASB：（EKAB，ASA，A，EMASA）MKASB3.ASAASB：（A，B，EMASA）EKAB4.ASBASA：（SK，A，EMASA）EKAB证明：若由于某些原因，ASA的主密钥MKASA被某个恶意的用户C所窃取，则C能从CAS获得认证服务器ASA和ASX（表任意的认证服务器）之间共享的会话密钥EKAX。首先，C假装ASA向CAS请求EKAX。在步骤2.1，由于知道MKASA,C能通过解密获得EKAX。C保存在步骤2.2和3中得到的密钥EKAX和信息，以便以后使用。现在，假定ASA知道他的主密钥MKASA已泄露出去，并使用一个新的密钥MK/ASA取代MKASA。而C仍然迷惑ASX，通过重放以前保存的步骤2.2和3中的信息，使得ASX继续使用EKAX与C开始通迅。因此，Luet..al提出的协议属于不可修补的协议。认证服务器ASA的主密钥泄露比用户的主密钥泄露更严重，这是因为ASA域内用户与ASX域内用户之间通讯的所有信息都可能被C偷听。另外，新MKASA|/取代MKASA之前，C可以获得ASA与其它任何认证服务器共享的密钥，其后果将不堪设想。为避免这种攻击，该系统必须替代所有认证服务器的主密钥。但在实际应用中，这种方法并不可行。CASASBASAAB342.212.1针对可修补的KDP的定义，应对协议进行各种可能情形的广泛的测试，以验证KDP是可修补的还是不可修补的。3．适于互联网络中可修补的KDPA．两个基本的KDP第一个KDP用于消息传递者A和B共享密钥KABKDP1：1.AB：A，EMA2.BA：（EMA，SK）KAB引理1：KDP1是可修补的。证明：每次会话密钥的分配只使用消息传递者共享的密钥，这样，若该密钥被泄露，新的密钥取代被泄露的密钥，则泄露出去的旧密钥就不再可用。第二个DKP适用于消息传递者没有共享任何密钥，但在同一个AS控制下的情形。KDP2：1、AB：（A，EMA）2、BAS：（A，EMA，A，EMB）3、ASA：（EMB，A，SK）MKB，（EMA，B，SK）MKA4、AB：（EMB，A，SK）MKB引理2：KDP2是可修补的。证明：若MKA被泄露给某个恶意的用户C，则C能假冒A向AS请求与任意用户X共享的会话密钥。一旦A发现他的主密钥被泄露，于是用一个新的MK/A取代旧的，那么C就不能再假冒A与X进行新的会话。这是因为C再一次使用KDP2后，他不能由泄露的旧密钥MKA获得新的会话密钥。这同样适用于系统中其它用户。因此，KDP2对密钥泄露是可修补的。B．适于互联网的层次KDP我们将提出一个基于KDP1和KDP2的适用于互联网的可修补的KDP。新KDP密钥仍在一个层次结构中管理。新KDP为消息传递者A、B分配会话密钥基于以下规则：KD规则：1）若A，B共享一个密钥，则使用KDP1分配会话密钥；2）若A，B不共享任何密钥，但在同一个AS的控制下，则使用KDP2；3）若A，B均不符合上述两种情形，则消息发起者使用KDP1向其域内的AS请求密钥分配；4）上述过程在层次结构的高层次上可被重复递归使用，直到分发会话密钥。再来考虑一下图1的情况。由ASA控制的A希望与ASB控制着的B建立一个安全通道。根据KD规则(3)，A会利用KDP1的第一步向ASA请求分配会话密钥。一旦ASA收到来自A的请求,若ASA志ASB共享密钥，则ASA使用KDP1向ASB请求分配密钥；否则，若ASA与ASB都在同一个CAS的控制下，则ASA使用KDP2向ASB请求分配密钥，若ASA和ASB既不共享密钥，又不在同一个CAS的控制下，则ASA继续向其所在域内的认证服务器AS/A申请，AS/A再进一步作出判断，重复该过程，直至层次树的根（根据KD规则4）。最后，会话密钥会被分配给消息传递者A和B。因此，我们能基于KD规则建立适用于互联网的KDP。定理2：符合KD规则的层次KDP是可修补的。证明要点：令n表示为实现会话密钥的分配，KDP所经历的树的层数，则若消息传递者共享密钥，则n=0；若协议经历的最高层次就是AS的高度，则n=1；令AS（K）表示高度为K的认证服务器。则对任意的n≥1，有两种可能的密钥分配方式：1）AS（n-1）A由不同的AS（n-1）B在同一个AS(n)的控制下；2）ASA（n-1）和ASB（n-1）由不同的AS（n）控制着，但它们共享着一个密钥。使用归纳法证明该定理。当n=0，n=1时，由引理1，2可知，KDP是可修补的。假设当n=k(n≥2)时，KDP是可修补的。当n=k+1时，KDP会如下进行，发起者A向ASA(1)发出请求。接着，请求被传送到ASA（K）。若ASA（K）与ASB（K）在同一个认证服务器的控制下，则由引理2，以及n=k时，KDP是可修补的假设，可得到n=k+1时，KDP也是可修补的。若是不可修补的，则必推得DKP2也不可修补。这与引理2矛盾。若ASA（K）和ASB（K）在不同认证服务器的控制下，而这两个认证服务器共享着同一密钥。那么该协议被证明是可修补的。若它不可修补，则必推得KDP1的最高两层也不可修补，这与引理1矛盾。4．结论许多KDP被提出用于安全的数据通讯。但只有少数的KDP能将同类的KDP综合起来。Luat.al.提出层次KDP解决了这个问题。但这种方法是不可修补的。因此，一旦系统中某一个密钥被泄露，则所有相关的密钥必须被取代。本论文提出一种新方法,为大型网络建立可修补的KDP。在这种系统中，一旦某个密钥泄露，只需替代被泄露的密钥。参考文献HwangT,KuW.ReparablekeydistributionprotocolsforInternetenvironment.IEEETransonCommunications,1995,43(5):1947--1949