具金钥交换的群体导向监别机制之递回式协定设计.doc

具金鑰交換的群體導向鑑別機制之遞迴式協定設計 吳宗成、、 國立台灣科技大學資訊管理系暨研究所 tcwu@cs.ntust.edu.tw 摘要 鑑別協定(authentication protocol)的目的在於提供通訊個體之間的身分驗證，以確保網路上唯有合法的使用者可以進行交換資料；而金鑰交換協定(key exchange protocol)是利用一種有效率且安全的方式來達到安全的網路通訊，亦即利用此協定能夠使通訊個體彼此之間共享一把秘密金鑰(secret key)，進而建立一個安全的溝通管道。現行的鑑別與金鑰交換協定便是結合鑑別與金鑰交換兩機制，使得通訊個體能在單一的通訊協定中同時達成個體鑑別與金鑰交換。利用傳統的點對點(end-to-end)鑑別與金鑰交換協定能夠使n個個體鑑別彼此的身分及交換一把交談金鑰，然而這需要次的交互動作(interaction)且至少需要的完成時間。本論文將利用遞迴演算法(recursive algorithm)及二元樹(binary tree)架構提出一個兼具安全與效率的具金鑰交換之群體導向鑑別(group-oriented authentication)協定，使得n個個體只需要次的交互動作即可在的時間內藉由一個鑑別伺服器(authentication server，AS)便可達到上述目的。綜合言之，本方法具有以下的特點： 一併完成個體的身分鑑別與金鑰交換動作。 利用遞迴演算法及二元樹的特性，有效地降低協定的完成時間、訊息傳輸回合數及資料傳輸量大小。 使用較具運算效率的單向雜湊函數及互斥或(XOR)運算建立通訊訊息，即可完成身分鑑別與金鑰交換的目的，毋需使用計算複雜度較高的指數運算。 由於每位群體成員彼此間的交互動作次數大約相等，因此可以達成系統的負載平均分攤化(load amortized)。 壹、緒論 密碼技術(cryptographic techniques)是用以保障資料通訊的安全性(security)與私密性(privacy)，避免資料在傳遞時被非法盜用或截聽的核心技術。為了使通訊個體能確認雙方身分的真實性，在傳遞資料之前，通訊個體必須藉由「個體鑑別」(entity authentication)機制，以鑑別對方所宣稱的身分，進而防制攻擊者假扮通訊個體進行不法通訊。再者，通訊個體必須建立一個安全的溝通管道，才能確保通訊內容的安全性與私密性，而透過「金鑰交換」(key exchange)機制便可達成此一目的[7]。通訊雙方透過金鑰交換機制可以建立一把共享秘密的交談金鑰(session key)，爾後雙方便可利用此把金鑰進行安全且秘密的資料傳遞[6]。由此得知，「個體鑑別」與「金鑰交換」機制對安全通訊具舉足輕重的地位。 正如前面所述，一旦通訊個體要進行一個安全通訊時，往往必須分別執行「個體鑑別」以及「金鑰交換」機制才能確保其通訊的安全性與私密性，然而這種作法將需要較多的交互動作(interaction)才能達成前述目的。為了能更有效率且安全地達到個體鑑別與金鑰交換，具金鑰交換的鑑別機制相繼被提出[1, 2, 9, 11-17]，其主要設計理念是將個體鑑別與金鑰交換二個機制結合在一個協定之中，以期同時達到個體鑑別與金鑰交換。 現行的個體鑑別與金鑰交換大都著重於探討兩個通訊個體的應用[10-12, 14-16]，然而在現實環境中，我們可能會面臨一個群體中的所有成員要進行個體鑑別及交換一把交談金鑰的情況[5]。若欲使用傳統點對點(end-to-end)的方式來解決此類問題，則需要耗費次的傳輸回合(round)數，亦即交互動作的次數才能達成。此外，在傳統點對點的方式之每一回協定的執行，可信賴第三者(trusted third party，TTP)必須與群體成員個別進行交互動作才完成個體鑑別與金鑰交換，其負載多半比一般的參與者重，因此設計一個有效率的協定時，不但要考慮降低計算與通訊複雜度，還應當重視這些複雜度的平均分攤化(amortized)[8]。 1997年，Bull[3]首先考慮系統負載平均分攤化而提出一個新的鑑別協定以建立網路上兩兩節點之間的交談金鑰。該協定主要是以遞迴方式將所有成員的訊息依序地包裹往前傳送，直至送達鑑別伺服器AS(authentication sever，AS)後，由AS根據所收到的訊息內容來鑑別參與者的身分。一旦鑑別成功後，AS將產生兩兩參與者之間共享的交談金鑰，並且將交談金鑰傳回給各位參與者。然而，Ryan及Schneider[18]則指出該方法會面臨Domino攻擊(亦即只要其中有一把交談金鑰被破解，則攻擊者可以自行推導出其他所有的交談金鑰)，並加以修改。雖然Ryan及Schneider所提出之改進Bull的方法能夠應用於群體導向的個體鑑別與金鑰交換，但該方法所需要的