可认证的密钥协商协议_夏金月

IKE协议(因特网密钥交换协议)

IKE协议(因特网密钥交换协议) 因特网密钥交换协议（IKE）是一份符合因特网协议安全（IPSec）标准的协议。它常用来确保虚拟专用网络VPN（virtual private network）与远端网络或者宿主机进行交流时的安全。对于两个或更多实体间的交流来说，安全协会（SA）扮演者安全警察的作用。每个实体都通过一个密钥表征自己的身份。因特网密钥交换协议（IKE）保证安全协会（SA）内的沟通是安全的。因特网密钥交换协议（IKE）是结合了两个早期的安全协议而生成的综合性协议。它们是：Oakley协议和SKEME协议。因特网密钥交换协议（IKE）是基于因特网安全连接和密钥管理协议ISAKMP（Internet Security Association and Key Management Protocol）中TCP/IP框架的协议。因特网安全连接和密钥管理协议ISAKMP包含独特的密钥交换和鉴定部分。Oakley协议中指定了密钥交换的顺序，并清楚地描述了提供的服务，比如区别保护行为和鉴定行为。SKEME协议说明了密钥交换的具体方法。尽管没有要求因特网密钥交换协议（IKE）符合因特网协议安全（IPSec）的内容，但是因特网密钥交换协议（IKE）内的自动实现协商和鉴定、否则重发服务（请参考否则重发协议）、凭证管理CA（Certification Authority）支持系统和改变密码生成方法等内容均得益于因特网协议安全（IPSec）。 Intenet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的.到目前为止,它依然存在安全缺陷.基于该协议的重要的现实意义,简单地介绍了它的工作机制,并对它进行了安全性分析;对于抵御中间人攻击和DoS攻击,给出了相应的修正方法;还对主模式下预共享密钥验证方法提出了新的建议;最后给出了它的两个发展趋势:JFK和IKEv2. Internet key exchange (IKE) is the protocol used to set up a security association in the IPsec protocol suite, which is in turn a mandatory part of the IETF IPv6 standard, which is being adopted (slowly) throughout the Internet. IPsec (and so IKE) is an optional part of the IPv4 standard. But in IPv6 providing security through IPsec is a must. Internet密钥交换（IKE）解决了在不安全的网络环境（如Internet）中安全地建立或更新共享密钥的问题。IKE是非常通用的协议，不仅可为IPsec协商安全关联，而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。 一、IKE的作用当应用环境的规模较小时，可以用手工配置SA；当应用环境规模较大、参与的节点位置不固定时，IKE可自动地为参与通信的实体协商SA，并对安全关联库（SAD）维护，保障通信安全。二、IKE的机制IKE属于一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY 的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的两种密钥交换方式。IKE使用了两个阶段的ISAKMP：第一阶段，协商创建一个通信信道（IKE SA），并对该信道进行验证，为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务；第二阶段，使用已建立的IKE SA建立IPsec SA（如图1所示）。

动态密钥协商协议IKEv2研究与分析

新一代动态密钥协商协议IKEv2的研究与分析 周耀鹏1,2,李志华1 (1.江南大学信息工程学院，2.无锡科技职业学院,江苏无锡 214122) 摘要: IKE协议作为IPSec体系中动态密钥协商机制，极大地增强了IPSec体系的安全性。而IEKv2作为IKE的替代者，对原有的IKE协议进行了诸多方面的改进。本文首先简单介绍了IKE协议，然后重点分析了IKEv2具体协商过程，最后阐述了IKEv2的发展趋势。 关键词：IP安全(IPSec)；Internet动态密钥交换(IKE)；IKE第二版本（IKEv2）；动态密钥协商 中图分类号：TP393.08 文献标识码：A Research and Analysis about the New Generation Dynamic Key Negotiation Protocol IKEv2 Zhou Yao-peng,Li Zhi-hua (1.Jiangnan University,School of Information Technology,2.Wuxi Professional College of Science and Technology,Jiangsu,Wuxi 214028，China) Abstract: As the dynamic key negotiation mechanism in the IPSec system,IKE improves the safety of the IPSec system greatly.Being a substitute,IKEv2 makes IKE be improved in many aspects.This paper introduces the IKE protocol in brief, and emphatically analyzes the concrete negotiation process of IKEv2,finally elaborates the IKEv2 trend of development. Key words:IP Security（IPSec）；Internet Key Exchange（IKE）；version 2 of Internet Key Exchange（IKEv2）；dynamic key negotiation 引言 目前网络安全的重要性日益突出，IKE协议作为IPSec体系的组成部分，极大地增强了网络通讯的安全性。但是IKE协议具有很多缺陷，为此新的IKEv2协议在IKE的基础之上进行了大量的改进，从而进一步增强IPSec体系的安全性，为上层网络的安全性提供了保障。 1 IKE简介 IKE协议属于整个IPSec体系结构中的动态密钥协商部分，它是多种动态密钥交换机制之一，也是目前事实上的工业标准。IKE协议主要用于进行虚拟专用网VPN的认证与SA会话密钥的协商。它可以动态地建立安全关联，为通信双方提供IPSec安全通信所需的相关信息，例如加密算法、会话密钥、通信双方身份认证等。 IKE机制协商的目的是产生一个通过验证的密钥和提供双方同意的安全服务，即最终提供IPSec 安全关联（IPSec SA），使进行通讯的IPSec VPN之间能够建立安全的数据通讯隧道。IKE主要通过两个阶段的协商过程来建立IPSec安全关联（IPSec SA）。第一阶段建立ISAKMP SA，第二阶段利用第一阶段得到的ISAKMP SA进一步协商从而建立IPSec SA。 IKE是一种混合型协议，其复杂性一直受到业界广泛的批评。另外，IKE还存在很多问题。

X3DH密钥协商协议官方手册(中文版)

The X3DH Key Agreement Protocol X3DH密钥协商协议 原作者：Moxie Marlinspike 原编辑：Trevor Perrin 中文版翻译：pior 原文版本：Revision 1, 2016-11-04 中文译本：V0.1, 2020-04-27

目录 1 简介 (3) 2 预备知识 (3) 2.1 X3DH参数 (3) 2.2 密码符号 (3) 2.3 角色 (4) 2.4 密钥 (4) 3 X3DH协议 (5) 3.1 概述 (5) 3.2 发布密钥 (5) 3.3 发送初始消息 (6) 3.4 接收初始消息 (8) 4 安全要素 (8) 4.1 身份认证 (8) 4.2 协议重放 (9) 4.3 重放与密钥重用 (9) 4.4 可否认性 (9) 4.5 签名 (10) 4.6 密钥泄露 (10) 4.7 服务器信任 (11) 4.8 身份绑定 (11) 5 知识产权 (11) 6 致谢 (11) 7 参考 (12)

1简介 本文描述了“X3DH”（也称为“扩展的三重Diffie-Hellman”）密钥协商协议。X3DH协议基于公私钥认证，在通信两方之间建立共享密钥。X3DH协议提供了转发保密性和加密可否认性。X3DH协议是为异步通信而设计的，若“Bob”离线，用户“Alice”也可使用“Bob”已向服务器发布的一些信息向其发送加密数据，并为将来的通信建立共享密钥。 2预备知识 2.1X3DH参数 使用X3DH协议的应用程序必须确定几个参数，见表1： 表 1 X3DH参数表 名称定义 椭圆曲线类型 25519 or X448 散列函数 一个256位或512位的散列函数（例如：SHA-256、SHA-512） 信息 标识应用程序的ASCII字符串 例如，应用程序可以选择椭圆曲线X25519、散列函数SHA-512和信息“MyProtocol”，应用程序还必须定义一个编码函数encode（PK），以便将 X25519或X448的公钥PK编码为字符串。建议的编码函数由一些表示椭圆曲线类型的单字节常量组成，然后是u坐标的小尾数编码[1]。 2.2密码符号 本文在描述X3DH协议时，将使用以下符号： ●X||Y，表示字符串X和Y的连接。 ●DH（PK1,PK2），表示由椭圆曲线Diffie-Hellman函数输出的密钥，参 数PK1和PK2表示两个不同密钥对的公钥。椭圆曲线Diffie-Hellman 函数可选X25519或X448函数，具体取决于椭圆曲线参数。 ●Sig（PK,M），表示用公钥PK对应的私钥对消息M进行签名，如XEdDSA 数字签名机制，可用公钥PK进行签名验证。XEdDSA的签名和验证功能

试论密钥协商协议及其安全性

信息安全 ? Information Security 200 ?电子技术与软件工程 Electronic Technology & Software Engineering ●基金项目：2017年怀化职业技术学院科学研究项目“基于PKC 的无证书群认证密钥协商协议研究”（KY201708）。 【关键词】密钥协商 认证密钥协商协议 安全 近年来，科学技术的发展推动了互联网技术的发展，一些新型技术，如大数据、云计算等先进技术成为当代信息技术发展的主流方向。随着网络的进一步开放，以及网络功能的强大，信息安全的重要性日益凸显。能否处理好信息的收集、加工和加密等方面的安全性，是衡量一个国家科技实力的重要指标，也是国家战略力量的重要组成部分。此外对一个国家，一个民族来讲，还具有重要的政治意义和战略意义。在此形势下为了有效保护信息，要采用密码学的相关知识，发挥出密码学在保护信息完整性、保密性、可用性、可控性和不可否认性等方面的作用。密钥协商作为密码学的一个重要分支，也成为当前信息安全领域的一个非常重要的研究方向。 1 密钥协商协议 Dif?e 和Hellman[1]经过多年的研究，在1976年首次公开了他们的研究成果。其研究成果为给出了密钥协商的具体协议内容，由此开创了公钥密码学这一新概念，推动了密码学的发展。从密匙的协议内容上来看，密匙协商的适用范围为开放性的网络，在开放性网络中，通过两个或多个的参与者，在不为人知的网络信道中进行协商，然后根据各参与者的要求，以协商出一个能够适用于参与之间在未来进行安全通信的会话密钥。在构建出会话密钥以后，会根据密匙协商的协议，将其作为更高级别密钥协商协议的基本模块。 与密钥协商协议相比，认证密钥协商协议的安全性更高，主要原因在于其具备的认证机制，这样不仅允许参与者建立起共享会话密钥，还能够在构建了会话密匙以后，通过认证机制对于参与者的身份进行认证，在认证通过 试论密钥协商协议及其安全性 文/邓飞 以后才能够允许参与者使用会话密匙进行保密 通信。此外认证密匙协商协议的发展对于增强通信网络中的安全性具有重要的意义。得益于认证密匙协议良好的兼容性，认证密匙协议能够发挥出基础的作用，在结合了数字签名、数据加密技术以后，能够形成安全性更高的密码算法，满足数据安全、密钥管理、保密通信等方面的安全通信需要。 2 密钥协商协议的种类和作用 根据构成密匙协商协议的底层协议不同， 密匙协商协议可以从公钥证书、身份、口令三个方面进行区分。首先基于公钥证书的密钥协商协议是指在公开网络中，每一个网络的参与者都可以获得由CA 签发的认证证书，这是每个参与者的独一无二的身份标识。然后当网络中的两个或者多个参与者试图构建通信时，他们则可以根据自己所掌握的长期公钥，在经过认证机制的证书认证以后，会验证长期公匙的真实性。在验证通过以后，参与者们会进行会话密匙的短期交换，在短期交换中所获得的密匙为短期的公钥，然后和参与者所获得的长期公钥共同组成会话密钥，以此保证了网络通信中的信息安全。为了更好的解决长期密匙和短期密匙的构成问题，通常可以在经过CA 认证以后，还可以使用公钥基础设施(简称PKI)进行解决。PKI 是针对公钥密码的不足而改进的一种优化技术。传统的密匙认证，如基于目录的公钥认证框架X.509证书，该类证书认证要求较高，所以无论是建立还是维护都需要耗费大量的时间。鉴于基于公钥证书的密钥协商协议繁多的数字证书和较长的认证过程，Shamir[2] 对PKI 中的并?缓解进行了删减优化，根据用户所认证过的密匙而自动为用户生成私钥，其所提出的这种密匙协商协议则为基于身份的密匙协商协议。基于身份的密匙协商协议是建立在用户的身份信息基础之上，如用户的身份证号码、IP 地址、电子邮件地址等。这些独一无二的信息在经过私钥生成器(简称PKG)以后，会根据个人信息而产生数字签名，然后自动生成生成私钥。为了更好的解决基于身份的密匙协商协议的安全问题，Cocks 和Boneh 和Franklin 基于二次剩余问题，提出利用PKG 代替Cocks 的方案。虽然基于PKG 而自动生成的用户私钥，大大加快了密匙生成的 速度，便利了通信传输，但是这种方式也存在着较为严重的安全隐患。一旦遭到网络攻击或是PKG 计算过程中发生食物，都会导致用户的私钥发生泄漏问题。在推动基于身份的密匙协商协议发展的同时，又产生了密钥托管问题。 为了解决密钥托管问题，Girault 提出了用用户自行决定私钥的概念，即在基于公钥证书的密钥协商协议和基于身份的密匙协商协议基础之上，综合利用两种密匙协商协议的优点，先行经过CA 认证的数字证书，然后公钥由系统自动生成，私钥则由用户根据自己的信息自行选择。这种新提出的解决方案，可以有效规避基于公钥证书的密钥协商协议和基于身份的密匙协商协议中所产生的问题，推动了密匙协商协议的进一步发展。 3 结束语 密匙协商协议的发展较快，市场上存在着种类较多的密匙协商协议。因而在对密匙协商协议进行概括时，具有一定的难度，无法将其完全概括出来。且网络环境较为复杂，密匙协商协议的安全性也会随着网络攻击的变化而变化，不可一一归纳。随着密匙协商协议的日渐成熟，关于密匙协商协议的研究成为热门的研究方向。在新的研究成果的推动之下，密匙协商协议的理论得到了丰富。但也要看到，密匙协商协议的研究中依然存在着不足。如当前的安全模型都没有考虑物理攻击等等问题。还需要继续不断深化研究，才能够使密匙协商协议真正的发展起来。 参考文献 [1]魏振宇,芦翔,史庭俊.基于PKI 体 系的跨域密钥协商协议[J].计算机科学,2017,44(01):155-158. [2]郭瑞.高效的可证明安全无证书公钥密码 体制及其应用[D].北京邮电大学,2014. 作者简介 邓飞（1978-），男，湖南省怀化市人。副教授，网络工程师。研究方向为Web 网络与信息安全。 作者单位 怀化职业技术学院信息与艺术设计系 湖南省怀化市 418000

Diffie-Hellman密钥交换协议

Diffie-Hellman Method Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法，它是OAKLEY的一个组成部分。 Whitefield与Martin Hellman在1976年提出了一个奇妙的密钥交换协议，称为Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm)。这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥。然后可以用这个密钥进行加密和解密。但是注意，这个密钥交换协议/算法只能用于密钥的交换，而不能进行消息的加密和解密。双方确定要用的密钥后，要使用其他对称密钥操作加密算法实际加密和解密消息。 缺点 然而，该技术也存在许多不足：没有提供双方身份的任何信息。它是计算密集性的，因此容易遭受阻塞性攻击，即对手请求大量的密钥。受攻击者花费了相对多的计算资源来求解无用的幂系数而不是在做真正的工作。没办法防止重演攻击。容易遭受中间人的攻击。第三方C在和A通信时扮演B；和B通信时扮演A。A和B都与C协商了一个密钥，然后C就可以监听和传递通信量。中间人的攻击按如下进行： B在给A的报文中发送他的公开密钥。 C截获并解析该报文。C将B的公开密钥保存下来并给A发送报文，该报文具有B的用户ID但使用C的公开密钥YC，仍按照好像是来自B的样子被发送出去。A收到C的报文后，将YC和B的用户ID存储在一块。类似地，C使用YC向B发送好像来自A 的报文。 B基于私有密钥XB和YC计算秘密密钥K1。A基于私有密钥XA和YC 计算秘密密钥K2。C使用私有密钥XC和YB计算K1，并使用XC和YA计算K2。从现在开始，C就可以转发A发给B的报文或转发B发给A的报文，在途中根据需要修改它们的密文。使得A和B都不知道他们在和C共享通信。 中间人攻击描述： （1）Alice 公开发送值a和p给Bob,攻击者Carol截获这些值，随即把自己产生的公开值发给Bob。 （2）Bob 公开发送值a和p给Alice,又被 Carol截获，随即把自己产生的公开值发给Alice。 （3）Alice 和Carol计算出两人之间的共享密钥k1。 （4）Bob 和Carol计算出两人之间另一个的共享密钥k2。 受到中间人Carol攻击后，Alice用密钥k1给Bob发送消息，Carol截获后用k1解密就可读取消息，然后将获得的明文消息用k2加密（加密前对消息可能做某些修改，即主动攻击），然后发给Bob。对Bob发给Alice的消息，Carol 用同样的手法读取和修改。 造成中间人攻击得逞的原因是：DH密钥交换算法不进行认证对方。利用数字签名可以解决中间人攻击的缺陷

基于口令的认证密钥协商协议的安全分析与改进

2010年3月Journal on Communications March 2010 第31卷第3期通信学报V ol.31No.3基于口令的认证密钥协商协议的安全分析与改进 舒剑1,2，许春香1 (1. 电子科技大学计算机科学与工程学院，四川成都 611731；2. 江西财经大学电子商务系，江西南昌 330013) 摘 要：对基于口令的标准模型下可证明安全的认证密钥协商协议进行安全分析，指出该协议易受反射攻击。同时给出了一个改进方案，该方案不仅弥补了原方案的缺陷，而且改善了协议的性能。最后，基于DDH假设，在标准模型下证明了协议的安全性。结果表明，改进后的协议还具有完美前向安全特性。 关键词：基于口令；反射攻击；标准模型；可证安全 中图分类号：TＮ918.1 文献标识码：A 文章编号：1000-436X(2010)03-0051-06 Analysis and improvement of a password-based authenticated key exchange protocol SHU Jian1,2, XU Chun-xiang1 (1. School of Computer Science and Engineering, University of Electronic Science and Technology of China, Chengdu 611731, China; 2. Department of Electronic Commercial, University of Jiangxi Financial Economics, Nanchan 330013, China) Abstract: The security of a recently proposed password-based authenticated key exchange protocol was analyzed. Al-though it was provably secure in the standard model, it was vulnerable to reflection attacks. A modify scheme was pro-posed, which eliminated the defect of original scheme and improved the efficiency of the protocol. The security of the proposed scheme had been proven in the standard model under DDH assumption. The results show that it provides per-fect forward secrecy. Key words: password-based; reflection attacks; standard model; provably secure 1引言 认证密钥协商协议是让用户在开放网络通过交互，建立一个共享的会话密钥，从而实现开放网络中的安全通信。较早的认证密钥协商协议是通信双方借助持有的高熵秘密（如数字签名的私钥)生成会话密钥，然后使用会话密钥进行加密或认证。但是这些高熵秘密不便于保存和记忆，有时还需要可信第三方的参与。让用户共享一个低熵的口令而生成高熵的会话密钥在实际环境中有广泛的应用，但这方面的研究相对较少。由于口令具有长度短的特性，攻击者可能在离线状态下进行穷举字典攻击。 Bellovin和Merritt[1]首先提出能抵抗字典攻击的基于口令的两方密钥协商协议，随后许多相关工作[2~9]对如何利用口令生成会话密钥进行了研究。文献[1~9]都是在随机预言模型下证明协议的安全性。随机预言模型自从1993年被Bellare和Rogaway[10]提出以来，在密码学的可证安全领域得到广泛的应用。然而，随机预言模型下的安全并不代表真实世界的安全，因为它依赖现实世界无法实现的随机预言假设。另一方面，不需要随机预言假设的证明（即在标准模型下的证明）就能够清楚地说明，除非其 收稿日期：2009-04-17；修回日期：2010-01-15 基金项目：国家高技术研究发展计划（“863”计划）基金资助项目（2009AA012415） Foundation Item: The National High Technology Research and Development Program of China (863 Program) (2009AA012415)

一个简便的三方密钥交换协议

一个简便的三方密钥交换协议 【摘要】基于口令认证的三方密钥交换协议（3PAKE）是使通信双方在认证服务器的帮助下能相互进行认证并建立一个会话密钥。在本论文中，我们提出了一个通过增强口令而不需服务器中间加密的简单的基于口令认证的三方密钥交换协议。通过这种方式，每个客户端只共享一个值得信赖的服务器通用密码，任何两个客户端通过服务器的介入可以验证彼此并交换会话密钥。相比以前的协议，我们所提出的协议无需加密密码且更有效率、更方便。 【关键词】口令攻击；口令；第三方协议；认证；密钥交换 1.引言 密码验证协定（PAKE关键交换）协议，是指用户和服务器之间共享口令或口令的验证值，服务器借此对用户进行身份的认证，并协助用户完成会话密钥的生成。目的是通过各通信方的交互，建立共同的会话密钥，从而能够实现在不安全信道上的安全通信。设计一个安全的PAKE面临这样一个问题，由密码是从一个比较小的范围中选取的，这样的协议很容易受到字典攻击。Bellovin and Merritt[1]在此基础上，首次提出了两方的基于口令的密钥交换协议（2PAKE）解决了通信双方如何在不预先共享秘密的情况下协商会话密钥的问题，开辟了公钥密钥学的新方向。加密的关键是通讯双方共同协商一个共享会话密钥，然后使用该会话密钥来加密所传送的消息。自此，基于口令的认证方式成为使用最普遍也最方便的加密方式。[9-11][2-3]但是2PAKE协议也存在弊端，由于2PAKE使用的是“用户一服务器”模型，用户所需要记忆的口令数会随着与它通信的用户数的增加而增加，这限制了协议在实际中的应用。例如在大型通信环境中采用2PAKE 将导致“用户—用户”之间的密钥管理非常的复杂。为了解决这个问题，一些第三方密钥验证协议（3PAKE）[4-7]随即被提出。在一个3PAKE，每个用户只需要与一个可信的服务器（TS）共享一个简单口令，可信服务器认证通信双方并帮助持有不同口令的通信方生成会话密钥。1995年，Steiner等[1]开发出一种基于Diffie-Hellman（DH）密匙交换概念的3PAKE协议，与Bellovin和Merrit的协议相比，其交互轮数与验证元数目都有效的减少，系统的运算效率更高。之后，Ding和Horster[5]等。指出Steiner等的协议无法检测出在线猜测密码攻击，并提出了一种改进的方案来解决这个安全漏洞。Lin等在文献[6]证明Steiner等的协议无法抵御连续的恶意程序调用离线猜测密码攻击。为解决这个的缺陷，Lin等使用公共密钥加密技术来构建他们的补救措施，以提高密钥协议的安全性。然而，公共密钥技术无论是通信开销或是计算开销都很大。为了提高协议性能，文献[7]中，作者提出了不使用公钥加密的3PAKE协议，但也需要使用到一个密码作为验证密码。 在本文中，我们提出了一个简便的3PAKE[8]。与以前的3PAKE协议相比，我们的协议是更加高效、便捷的自协议且不需要加密密码。 2.预备知识