网络安全教程 教学课件 田园 第13章 密钥交换协议（III）：组群.pptVIP

第13章 密钥交换协议（III）：组群密钥交换与分发协议 ;13.1 安全模型 ;13.1.1 组群密钥交换协议的安全模型; 组钥保密性质：组群G的非当前成员不具有关于当前组钥的任何信息（除所属空间、编码长度之外），即使从其他组群上并发运行的同类或异类协议窃取其生成的组钥也无助于此。 第一类匿名性质：非当前成员不能有效推断出当前组群中成员的身份。等价地，非当前成员不能有效推断出两个成员是否属于同一个组群。 第二类匿名性质：即使合法成员也不能有效推断出当前其他成员的身份。; 组钥无偏性质：只要攻击者未能入侵所有成员，而且所有未被入侵的成员都正常完成了协议会话，那么这些成员所生成的组钥仍然彼此相同。 给定一个现实的组群密钥交换协议Π，如果对任何现实的攻击者A（P.P.T.算法），一定存在以下理想协议模型FσGKE的攻击者SA，使得A对Π能够做到的任何事情，SA对理想的协议模型也能同样地做到，则Π定义做与FσGKE UC相似，简称UC安全或安全。; 现在描述FσGKE，首先约定一些符号。每个特定的FσGKE实例联系着一个唯一的sid，该实例处理的所有事务（对来自外部请求的响应）都带有该sid，同时还有一个唯一的ssid，因此每个事务的完整标识是sid||ssid。 U表示某个对象，也表示该对象的名字；G表示组群，也表示组群当前成员的集合，具体所指依据上下文而定；|G|表示集合G的大小，G初始为空集；G还具有一个true-false类型的属性G.corrupt，初始值为false，true表示G至少有一个成员被入侵。 ; 入侵是永久性的，即一旦入侵则该成员无法再恢复正常。 集合Corrupted表示已被入侵的对象的集合，初始为空。G有一个特殊成员，记做GC*(group controller)，它对我们精确刻画后期身份认证和匿名性质是必要的，但对其他安全特性则并非实质性的角色。 从后面的具体协议实例可以看到，GC*是一个非常自然的对象。; FσGKE为诚实的参与方提供服务接口GrpSetup、Join、Remove和GrpKey，为理想攻击者S提供服务接口Join、Remove、GrpKey和Corrupt。 为攻击者S提供接口Join、Remove、GrpKey的目的是为了描述S操纵协议会话以实施主动攻击的能力，而接口Corrupt描述S的入侵能力。 ; GrpSetup：当FσGKE收到消息（grpsetup,sid,GC*）时，若G非空则忽略该消息（即一个组群只能有一个GC*），否则G←{GC*}、G.corrupt←false、记录[GC*,sid]，然后向S发送消息（grpsetup, sid）。 Join：当有来自某个对象U的消息（Join,sid||ssid,U）时，若不存在记录[GC*,sid]或U∈G则FσGKE终止该事务，否则记录[to-join, sid||ssid,U]、向理想攻击者S发送消息（Join,sid||ssid,|G|）、等待S响应（即S有能力阻止U加入G、但S未知加入者的身份）。; 当有来自S的消息（Join,sid||ssid）时，FσGKE验证是否存在记录[to-join, sid||ssid,U]，若不存在该记录则随机生成一个对象并为其随机指派唯一的名字（也记做U）、G←G∪{U}、向U发送消息（join, sid||ssid, GC*, |G|）、向GC*发送消息（join, sid||ssid, U）、清除记录[to-join, sid||ssid,U]。; Remove：当有来自某个对象U的消息（remove,sid||ssid,U）时，若UG则FσGKE终止该事务，否则FσGKE在密钥空间上随机生成新组钥Kg、G←G-{U}、若G 与Corrupted不相交则G.corrupt←false、向GC*发送消息（grpkey, sid||ssid, Kg, U）、向除GC*以外的所有G成员发送消息（grpkey, sid||ssid, Kg, GC*, |G|）、清除Kg、最后向理想攻击者S发送消息（remove,sid||ssid, |G|）。; 若有来自S的消息（remove,sid||ssid），FσGKE从G随机选择一个对象（不妨记做U）、然后按照与上一段完全相同的步骤随机生成新组钥Kg并向各个对象发送Kg。 与Join不同，Remove总是立刻更新组钥，并且S不能阻止U被剔除。 这样处理的目的是为了表达组钥的后向保密性质。 在Join事务中出于简化而没有立即更新组钥，这并不影响安全性，利用GrpKey服务很容易生成新组钥。;