不可区分属性的计算可靠性分析方法研究.docxVIP

? ? 不可区分属性的计算可靠性分析方法研究 ? ? 胡亚希 Summary：针对目前越来越复杂的安全协议，在计算可靠的安全协议符号分析方法的基础上，提出了一种计算可靠且支持双线性对、对称加密以及密钥循环的安全协议符号模型，该模型明确指定双线性对实例生成器和加密算法需要满足的安全属性，并证明了在满足这些安全属性的条件下，符号方法分析的不可区分属性蕴含计算方法分析的不可区分属性，这保证了该模型具有计算可靠性。同时，该模型通过增强攻击者对密钥循环的控制能力去除了无密钥循环的限制。 Key：安全协议;符号方法;计算可靠性;通用可复合;双线性对 ：TP393 ? ? ?：A ：1009-3044（2021）32-0040-04 人类迈入21世纪，随着信息技术的蓬勃发展，计算机网络逐渐成为人们工作和生活不可或缺的一部分。在互联网上，每天交换着巨量的数据，如何保证这些数据的安全，成为当下网络安全研究者们的关注焦点。 密码协议是保障通信系统安全的重要手段，其本身的安全性和可靠性直接关系到网络与通信系统的安全[1]。对于网络安全协议的形式化分析，一直存在两类不同的方法：计算方法和符号方法。计算方法是在概率论和计算复杂性理论基础上的一种“归约”方法，其结果更具密码学可靠性，但是证明过程是高度创造性的手工数学式证明，这对于目前越来越复杂的安全协议，不仅证明本身越来越复杂，而且证明的正确性也越来越不容易[2]。符号方法用形式化语言和符号推理对协议进行分析和验证，更容易实现自动化分析。但是由于对密码学原语和攻击者能力的理想建模，使得这类分析方法的肯定性结论往往并不直接具有现实意义，被认为没有真正建立起密码学的可靠性[3]。 Abadi和Rogaway[4]于2000年首次结合计算方法和符号方法，研究了不可区分属性的计算可靠性，提出在无密钥循环且对称加密算法满足type-0安全的条件下，如果消息在符号模型下具有不可区分性，则它们在计算模型下对应的二进制位串同样具有不可区分性。Abadi和Rogaway的研究虽然揭示了符号模型和计算模型之间关联，但其要求消息中只能包含对称加密原语，且不包含密钥循环。为此，本文通过扩展该方法，提出了包含双线性对和对称加密等原语的符号模型，去除了无密钥循环的限制，并证明了扩展后的方法依然具有计算可靠性。 1 符号模型 在符号模型中，消息通过符号表达式表示。Data，Keys和Nonce是互不相交的可数集合，分别表示协议中所有的数据、密钥和新鲜值的符号集合。d，d1，d2，…通常表示集合Data中的元素，k， k1， k2，…通常表示集合Keys中的元素，x， x1， x2，…通常表示集合Nonce中的元素。g1和g2分别表示双线性对中加法循环群G1和乘法循环群G2的生成元。p表示形如ax1x2x3+ bx4x5x6+…的多项式（Ploy），a， b等均为任意实数。 定义1-1：消息。消息的语法可由如下BNF规则给出： msg∷=keys |d |x |g1x|（msg，msg） |{msg}keys keys∷=k | g2p 消息（M，N）表示消息M和N的连接。{M}k表示用密钥k加密消息M。g1x，g2p分别表示群G1和群G2中的元素。表达式中的项都是符号，而不是实际应用中的二进制位串。例如，（M，N）=（M′，N′）当且仅当M=M′且N=N′;（M，N）必定和{M′}k不相等;类似地，{M}k={M′}k′当且仅当M=M′且k=k′。通常（（M1，M2）， M3）简写成（M1，M2， M3），{（M1，M2）}k简写成{M1，M2}k。 为了表示攻击者不能解密的消息，引入模式的定义，增加了符号“?”。直观上，模式是表达式集合的扩展，增加了攻击者不能解密的消息表达式类型。但消息的模式比消息本身的结构要简单。 定义1-2：模式。模式的语法可由如下BNF规则给出： pat∷=keys |d |x |g1x|（pat，pat） |{pat}keys| ? keys∷=k | g2p 在给出安全性定义之前，需要先定义攻击者获取信息的能力，即推演关系“?”。M ?t表示在没有任何先验知识的情况下，攻击者通过消息集合M可以推断得到t。 定义1-3：推演关系。推演关系“?”是一种最小关系，需满足以下三个条件： 1） 若t?M，则M?t， M?l; 2） 若M?x，则M? g1x; 若M?x且M? g1y， M? g1z，则M? g2xyz; 若M?g2p且M?g2q，则M? g2lp+q， l?Z; 3） 若M?t1且M?t2，则M?（t1，t2）; 若M?（t1，t2），则M?t1且M?t2; 若M?t且M?k，则M?{t}k; 若M?{t}k且M ?k，则M?t; 为了表示消息和消息模式之间的对应关系，定义模式函数p（M，