CN111526006B - 一种适用于无证书密钥协商的密码逆向防火墙方法 - Google Patents

Abstract

本发明公开了一种适用于无证书密钥协商的密码逆向防火墙方法，属于信息安全技术领域。本发明将密码逆向防火墙应用于无证书密钥协商协议，基于本发明的方案，用户可以在无法确保完全安全正确的计算机或终端上正确防泄漏的运行对应的密码协商协议。通过为用户设置密码逆向防火墙，保证计算机内部的篡改不影响用户参与协议的正确性和数据的安全。参与协议的密码逆向防火墙对用户发出的T_ID进行重随机化，并通过对收入数据的恰当修改，保证协议双方在无需知情，无需泄露秘密信息的情况下数据的安全。

Description

一种适用于无证书密钥协商的密码逆向防火墙方法

技术领域

本发明属于信息安全技术领域，特别涉及无证书密钥协商协议的密码逆向防火墙。

背景技术

随着斯诺登对棱镜计划的揭露，人们发现一个表面安全的计算机系统可能在暗处监听窃取用户的秘密信息。该事件引发了对攻击者们的兴趣，也激发了对加密算法后门相关的研究。法国和美国的一些研究人员就提出了，如果技巧性地选择素数可使离散对数计算变得简单[http://www.ciotimes.com/InfoSecurity/123081.html,2017-01-10.]，足以破坏Diffie-Hellman密钥交换的安全性，从而不断泄露用户数据。因此，如果在一个计算机中放置后门或被篡改的密码实现，那么可能在用户不知情的情况下，攻击者可以控制用户的随机数的生成，从而控制和获取用户的秘密信息。那么该如何在计算机自身不能被信任或有后门的情况下仍然保证用户的信息和数据的安全是一个重大的挑战。

密码逆向防火墙(Cryptographic Reverse Firewalls，CRF)是由Ilya Mironov和Noah Stephens-Davidowitz提出的密码学的新的概念，是一种用来防止计算机内部安全威胁对用户数据造成泄漏的方案。它是一个位于用户计算机和外部世界之间的，由第三方运行的，保护加密方案和协议免受内部攻击的实体[I.Mironov,N.Stephens-Davidowitz.Cryptographic Reverse Firewalls[C].Advances in Cryptology-EUROCRYPT 2015,LNCS 9057,pp 657-686.]。密码逆向防火墙通过对用户计算机和外部世界之间的消息进行针对性的修改和重随机化，保证安全协议中的随机化不被恶意控制，从而保证用户数据的安全性。同时，密码逆向防火墙的存在不影响原始安全协议所实现的功能。对于参与协议的各方用户来说，密码逆向防火墙都是透明的，不需用户参与的。同时，密码逆向防火墙并不是一个可信的第三方，因此它并不能得到客户端的状态和任何秘密信息，只能获得公共参数和信道上传输的消息，所以密码逆向防火墙并不需要额外的秘密信息。密码逆向防火墙的最主要的目的是防渗透攻击，即防止用户的被篡改的客户端通过后门或监听信道等方式将用户的秘密信息泄露给攻击者，密码逆向防火墙可以保证密码算法的语义安全。

目前可实现密码逆向防火墙的安全协议需要满足一定的特性，如密钥的可延展性和算法的可重随机化等特性。密码逆向防火墙针对特定的协议进行不同的操作，从而实现其功能。密码逆向防火墙可以实现三个主要的功能:维护功能，维护安全和防止渗漏[I.Mironov,N. Stephens-Davidowitz.Cryptographic Reverse Firewalls[C].Advancesin Cryptology- EUROCRYPT 2015,LNCS 9057,pp 657-686.]。

(1)维护功能：无论用户的计算机是否正常安全的运行，是否受到篡改，密码逆向防火墙都不会破坏底层协议的功能。如果计算机是正常的，那么协议正常运行其功能，如果计算机是被篡改的，那么密码逆向防火墙的存在，会维护该协议在正常运行情况下的功能。此处并不是说明逆向防火墙需要对计算机是否正常进行检测，而是正常运行的逆向防火墙不会影响协议的正常执行。

(2)维护安全：无论用户的计算机是否正常，密码逆向防火墙都会保证原协议的安全性。需要强调此处的安全性，是指原协议的安全性。如果原协议无法保证用户信息的安全性，那么即使密码逆向防火墙存在，用户信息的安全性依然无法得到保证。此处的保证安全性，并不是提供安全性。

(3)防止渗漏：此处的渗漏表示用户消息的泄露。该功能表示，如果密码逆向防火墙达到防止渗漏功能，则通过该逆向防火墙，用户计算机中的恶意实现无法向外部世界泄露任何信息。

常见的加密算法包括对称加密算法和非对称加密算法。对称加密算法使用同样的密钥进行加解密，与非对称加密相比，对称加密算法计算量比较小，加密效率高速度快，因此常常用于数据加密。但对称密码算法存在一个问题，即在加密数据传送前，进行数据传输的双方需要提前共享一个安全密钥，而且该密钥需要保证新鲜性和安全性。而密钥协商协议正是用于解决该问题的。密钥协商协议是指两个或多个实体通过约定的步骤，分别产生参数通过一定的计算得出最终的会话密钥。其中每一个参与者对密钥的结果都会产生影响。密钥协商的过程不需要可信第三方的参与。通过密钥协商协议，用户可以在会话前生成一个安全的会话密钥，是一种解决对称密码体制中密钥共享和存储问题的方案。

公钥密码学的出现和发展很好的解决了一些经典对称密码体制的问题，但公钥密码体制本身也存在一些问题。公钥体制中一个最基本问题就是，如何保证用户公钥的真实性和有效性。传统的解决方式是通过公钥基础设施为用户颁发证书，从而保证用户公钥的有效和真实性。但证书解决问题的同时带来了很大的计算、通信和存储代价[张福泰,孙银霞,张磊,耿曼曼, 李素娟.无证书公钥密码体制研究[J].软件学报,2011,22(06):1316-1332]。于是，就出现了基于身份的密码系统和无证书密码体制。

无证书密码体制(certificateless public key cryptography)由Al-Riyami和Paterson提出，克服了基于公钥基础设施的证书代价和基于身份密码系统的私钥托管问题，本发明基于的密钥协商协议便是属于无证书密码系统的范畴。在无证书密码体制中，仍然存在可信第三方密钥生成中心KGC，KGC的存在是为了设置系统参数和计算用户的部分私钥。用户获得部分私钥之后，再根据自己生成的秘密值计算自己的私钥和公钥。通过这样的密钥生成方法，KGC 就无法得知用户私钥，从而克服了密钥托管问题。本发明的密码逆向防火墙方法适用于由Shi 等人提出的无证书的密钥协商协议[Y.Shi,J.Li.Two-PartyAuthenticated Key Agreement in Certificateless Public Key Cryptography[J].Wuhan University Journal of Natural Sciences,2007, 12(1):71-74.]，该密钥协商协议利用双线性对的特性，通过用户之间特定数据的交换，完成在无证书密码体制下的密钥协商过程。本发明的密码逆向防火墙通过针对用户交换的数据进行重随机化，实现对用户数据的保护和防泄漏。

当前，密码逆向防火墙的相关研究主要有以下：

2015年，Ilya Mironov和Noah Stephens-Davidowitz[I.Mironov,N.Stephens-Davidowitz. Cryptographic Reverse Firewalls[C].Advances in Cryptology-EUROCRYPT 2015,LNCS 9057,pp 657-686.]针对斯诺登事件提出了密码逆向防火墙的概念和模型，指出密码逆向防火墙作为一个不可信的第三方，通过公共参数对用户计算机的消息进行重随机化，从而防止计算机内部的后门和篡改泄露用户的信息。Ilya Mironov和Noah Stephens-Davidowitz提出密码逆向防火墙应该实现的三种功能，分别为维护功能，保证安全和防止渗漏。密码逆向防火墙的提出为安全从业人员一种新的抵抗计算机内部攻击和后门的思路。

2016年，Dodis等人[Y.Dodis,I.Mironov,N.Stephens-Davidowitz.MessageTransmission with Reverse Firewalls—Secure Communication on CorruptedMachines[C].Advances in Cryptology–CRYPTO 2016,pp 341-372.]提出了关于保留CCA安全的消息传输协议的密码逆向防火墙的相关概念和模型，并给出了基于Elgamal加密算法和Diffie-Hellman密钥协商协议的具体逆向防火墙模型方案，提供了一种高效简单的保证CCA安全的方案。他们的工作为可重随机化的RCCA安全(Rerandomizable RCCA-SecureSchemes)带来了新的关注。

同年，Chen等人[R.Chen,Y.Mu,G.Yang,et al.Cryptographic Reverse Firewallvia Malleable Smooth Projective Hash Functions[C].Advances in Cryptology–ASIACRYPT 2016,pp 844-876.]基于可延展平滑投影哈希函数(Malleable SmoothProjective Hash Function)提出了几种广泛使用的密码协议的通用密码逆向防火墙结构。他们引入可延展的平滑投影哈希函数这一概念，并展示了如何通过可延展的平滑投影哈希函数以模块化的方式为一些广泛使用的密码协议构建密码逆向防火墙模型。Chen等人提出了基于消息传输协议(Message Transmission Protocol)和不经意签名的信封(Oblivious Signature-Based Envelope Protocol)的密码逆向防火墙的模型，并进一步对不经意传输(Oblivious Transfer)进行了研究与改进，并提出了不经意传输协议的密码逆向防火墙。

针对来自计算机内部的威胁，也有不同于密码逆向防火墙的解决方案，Russell等人[A. Russell，Q.Tang，M.Yung，H.Zhou.Generic Semantic Security against aKleptographic Adversary. Proceedings of the 2017ACM SIGSAC Conference onComputer and Communications Security，pp 907-922.]提出一种针对盗码学(Kleptography)语义安全策略，开发了一种消除潜意识通道的通用技术。在该方案考虑的攻击环境中，计算机内部可能存在潜在信道，使用的密码算法可能被恶意攻击，从而攻击者可以控制用户的随机性生成，导致用户密钥和数据的泄露。Russell 等人针对这种攻击模型提出了双分裂策略，其中随机性生成由两个可能被攻击的随机数生成器控制。当密码算法分别通过两个随机生成器进行取样，并通过一个免疫函数进行混合后，可以破坏密码算法中存在的潜意识通道。即使随机数生成器是被篡改或存在后门的，双分裂模型仍然可以实现防泄漏。该方案通过将软件工程方案和密码学相结合的方法，提出了一种通用的消除潜意识通道的技术。

发明内容

本发明的目的在于：将密码逆向防火墙应用于无证书密钥协商协议，使用户计算机即使处于不安全或被篡改的状态仍然可以不泄露秘密信息的进行无证书密钥协商，保护用户数据安全。

本发明的一种适用于无证书的密钥协商协议的密码逆向防火墙方法，在待进行密钥协商协议的通信双方中的其中一方设置密码逆向防火墙，其具体密钥协商协议过程为：

步骤S1：设定系统参数：

密钥生成中心生成加法群G₁和乘法群G₂，其中，G₁、G₂具有相同的素数阶q，P为G₁的生成元；

密钥生成中心计算参数

其中，

为给定的双线性映射

密钥生成中心设置哈希函数

其中，有限域

{0，1}^*表示任意比特长的二进制序列；

密钥生成中心从有限域

中随机选取参数，作为主密钥s，并计算公钥P_pub＝sP；

公开系统参数

步骤S2：生成密钥：

待进行密钥协商协议的通信双方分别向密钥生成中心发送用户身份信息ID，密钥生成中心基于收到的用户身份信息ID生成用户的部分私钥D_ID＝(1/(H₁(ID)+s))P并返回给对应的发送方；

待进行密钥协商协议的通信方从有限域

中随机选取参数，作为用户的秘密值s_ID，并计算用户的私钥S_ID＝s_IDD_ID，以及用户的公钥

步骤S3：发送数据：

为了便于描述，将设置了密码逆向防火墙的通信方定义为用户A，未设置密码逆向防火墙的通信方定义为用户B；

用户A从有限域

中 选取随机数a，并计算参数T_A＝aQ_B，其中，Q_B＝H₁(ID_B)P+P_pub，ID_B表示用户B的用户身份信息；

用户A将<T_A，P_A>发送给用户A的密码逆向防火墙，其中，P_A表示用户A的公钥；

用户A的密码逆向防火墙从有限域

中选取随机数x，计算参数T′_A＝xT_A，并发送<T′_A，P_A>给用户B；

用户B从有限域

中选取随机数b，计算参数T_B＝bQ_A，并发送<T_B，P_B>给用户A的密码逆向防火墙；其中，Q_A＝H₁(ID_A)P+P_pub，ID_A表示用户A的用户身份信息，P_B表示用户 B的公钥；

步骤S4：接收数据：

用户A的密码逆向防火墙计算P′_B＝P_B ^x，并将<T_B，P′_B>发送给用户A；

步骤S5：密钥计算：

用户A基于其私钥S_A计算密钥

并存储；

用户B基于其私钥S_B计算密钥

并存储；

完成通信双方(用户A与B)之间的无证书密钥协商。

由于采用了上述技术方案，本发明的有益效果是：本发明通过使用密码逆向防火墙对无证书密钥协商协议中用户交互的数据进行重随机化，保证用户的秘密信息在计算机本身安全性无法保证时也不被泄露，并且维护原密钥协商协议的功能和安全性。该发明可以保证用户在被篡改的机器或密码系统中正常且不泄露数据的运行相应的无证书密钥协商协议。

附图说明

图1是本发明具体实施方式的协议流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发明作进一步地详细描述。

本发明提出了一种适用于无证书密钥协商的密码逆向防火墙方法，通过该密码逆向防火墙的设置，可以维护原密钥协商协议的安全性和功能性，防止额外的信息泄露。当用户的计算机或密码系统受到恶意监控或篡改时，运行了密码逆向防火墙的计算机仍然可以保证在无秘密数据泄露的情况下进行无证书密钥协商过程，且协议运行的正确性不会被密码逆向防火墙的存在所影响，用户也无需知晓密码逆向防火墙的存在。

本发明的适用于无证书的密钥协商协议的密码逆向防火墙方法，基于文献《Y.Shi，J.Li. Two-Party Authenticated Key Agreement in Certificateless PublicKey Cryptography[J].Wuhan University Journal of Natural Sciences，2007，12(1)：71-74》中所公开的无证书的密钥协商协议实现。其中，密码逆向防火墙作用在于，可以防止计算机内部的篡改和破坏影响协议本身的安全性。本申请中，协议参与方无需知晓密码逆向防火墙的存在，并且密码逆向防火墙不需要额外知晓安全参数，当用户A(其中A设置了基于该协议的密码逆向防火墙)和B之间通过该无证书的密钥协商协议进行密钥的协商时，其具体实现过程如下：

设定系统参数，用于生成用户的部分私钥D_ID、私钥S_ID和公钥P_ID等相关值；

用户A和B进行密钥协商流程，用户A向用户B发送<T_A，P_A>，用户A的密码逆向防火墙将其重随机化为<T′_A，P_A>并发送给用户B；用户B向用户A发送<T_B，P_B>，用户A的密码逆向防火墙将其重随机化为<T_B，P′_B>并发送给A；

用户A和B根据获取的数据进行密钥的计算，密钥协商完成。

协议流程参见图1，具体执行步骤包括：设定系统参数、生成密钥、发送数据、接收数据、密钥计算，具体描述如下：

(1)设定系统参数：

加法群G₁和乘法群G₂由密钥生成中心KGC(Key Generate Center)选定，其中G₁、G₂有相同的素数阶q，P为G₁的生成元，且

其中

为给定的双线性映射

KGC公开哈希函数

KGC随机选取主密钥

并计算出对应的公钥 P_pub＝sP。其中，有限域

{0，1}^*表示任意比特长的二进制序列；

基于上述设定，得到的系统参数为：

并公开这些系统参数。

(2)生成密钥：

输入用户身份信息ID给KGC，KGC计算用户的部分私钥D_ID＝(1/(H₁(ID)+s))P，并将部分私钥D_ID返回给用户；

用户随机选取

作为用户的秘密值，并计算私钥S_ID＝s_IDD_ID，以及公钥

(3)发送数据：

用户A选取随机数

计算参数T_A＝aQ_B，发送<T_A，P_A>，其中，P_A表示用户A的公钥，Q_B＝H₁(ID_B)P+P_pub，ID_B表示用户B的用户身份信息。

用户A的CRF获取用户A发送的T_A，随机生成

且x不为0，令T′_A＝xT_A，并发送<T′_A，P_A>给用户B。

同时，用户B从有限域

中选取随机数b，计算参数T_B＝b Q_A，并发送<T_B，P_B>给用户A的CRF。其中，Q_A＝H₁(ID_A)P+P_pub，ID_A表示用户A的用户身份信息，P_B表示用户B 的公钥。

(4)接收数据：

用户A的CRF收到用户B发送的<T_B，P_B>，计算P′_B＝P_B ^x，并将原来的<T_B，P_B>替换为<T_B，P′_B>后再发送给用户A。

从而使得用户A收到<T_B，P′_B>，用户B收到<T′_A，P_A>。

(5)密钥计算：

用户A计算密钥

其中S_A表示用户A的私钥。

用户B计算密钥

其中S_B表示用户B的私钥。

从而完成用户A与B之间的无证书密钥协商。

验证双方密钥：

从上可知，K_A＝K_B，即本申请中，CRF参与的无证书密钥协商过程在进行重随机化保护用户数据安全的同时，不会影响协议本身的正常运行，维护了密钥协商协议的功能。

以上所述，仅为本发明的具体实施方式，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。

Claims (1)

1.一种适用于无证书密钥协商的密码逆向防火墙方法，在待进行密钥协商协议的通信双方中的其中一方设置密码逆向防火墙，其特征在于，包括下列步骤：

步骤S1：设定系统参数：

密钥生成中心生成加法群G₁和乘法群G₂，其中，G₁、G₂具有相同的素数阶q，P为G₁的生成元；

密钥生成中心计算参数

其中，

为给定的双线性映射

密钥生成中心设置哈希函数

其中，有限域

{0，1}^*表示任意比特长的二进制序列；

密钥生成中心从有限域

中随机选取参数，作为主密钥s，并计算公钥P_pub＝sP；

公开系统参数

步骤S2：生成密钥：

待进行密钥协商协议的通信双方分别向密钥生成中心发送用户身份信息ID，密钥生成中心基于收到的用户身份信息ID生成用户的部分私钥D_ID＝(1/(H₁(ID)+s))P并返回给对应的发送方；

待进行密钥协商协议的通信双方分别从有限域

中随机选取参数，作为用户的秘密值s_ID，并计算私钥S_ID＝s_IDD_ID，以及公钥

步骤S3：发送数据：

待进行密钥协商协议的通信双方中的第一通信方从有限域

中选取随机数a，并计算参数T_A＝aQ_B，其中，Q_B＝H₁(ID_B)P+P_pub，ID_B表示待进行密钥协商协议的通信双方中的第二通信方的用户身份信息ID；且第一通信方设置有密码逆向防火墙；

第一通信方将＜T_A，P_A＞发送给第一通信方的密码逆向防火墙，其中，P_A表示第一通信方的公钥；

第一通信方的密码逆向防火墙从有限域

中随机选取参数x，计算参数T′_A＝xT_A，并发送＜T′_A，P_A＞给第二通信方，其中，参数x不为0；

第二通信方从有限域

中选取随机数b，计算参数T_B＝bQ_A，并发送＜T_B，P_B＞给第一通信方的密码逆向防火墙；其中，Q_A＝H₁(ID_A)P+P_pub，ID_A表示第一通信方的用户身份信息ID，P_B表示第二通信方的公钥；

步骤S4：接收数据：

第一通信方的密码逆向防火墙计算P′_B＝P_B ^x，并将＜T_B，P′_B＞发送给第一通信方；

步骤S5：密钥计算：

第一通信方基于其私钥S_A计算密钥

并存储；

第二通信方基于其私钥S_B计算密钥

并存储；

验证双方密钥：

第一通信方的密钥K_A和第二通信方的密钥K_B相同。

Images