UC安全性证明中模拟器构造方法研究

在UC模型(通用可组合安全分析模型)中密码协议安全性证明的难点是模拟器的构造,而目前模拟器的构造没有通用有效的方法可循,针对这一问题,提出了一种构造模拟器的通用有效的方法.研究了UC模型的构建原理,分析了UC安全性的本质要求,指出了符合UC安全性本质要求的模拟器存在条件以及模拟内容,在此基础上,阐述了构造模拟器的方法,并给出了该方法的正确性分析.为正确使用UC模型进行密码协议的UC安全性证明提供了切实可行的方法.     

基于证人不可区分的通用可复合安全并行可否认认证

针对并行可否认认证问题,在UC(universally composable)安全框架中,基于WI(witness indistinguishable)提出了一种新的研究思路和解决方法.根据可否认认证的安全目标,形式化地建立了UC安全的并行可否认认证模型.利用可验证平滑投影哈希函数和非承诺加密体制,构造了一类新的并行可否认认证协议结构,基于确定性复合剩余假设和确定性Diffie-Hellman假设,实现了一个具体的协议方案.在公共参考串模型中,利用UC框架解决并行协议仿真问题,与定时假设和公共目录方案相比,不需要限定攻击者能力.新方案具备前向可否认性,是自适应攻击者UC安全的.不同于CCA2加密体制结构或多陷门承诺结构的并行可否认认证,协议效率得到了改善.     

UC安全的自认证盲签密协议

自认证盲签密(self-certified blind signcryption,SCBSC)协议能够同时实现公钥加密和盲签名,并且当发送方与接收方对签名存在争议时,任何第三方都能验证签名的有效性。然而,现有的自认证盲签密协议还不具有UC(universally composable)安全性,针对这个问题,引入UC安全框架,利用该框架可以模块化分析与设计自认证盲签密协议。定义了自认证盲签密协议在UC安全框架下对应的理想函数;证明了在适应性敌手模型下,自认证盲签密协议实现该理想函数,当且仅当签密协议满足不可区分适应性选择密文攻击(indistinguishability against adaptive chosen-ciphertext attacks,IND-CCA2)。     

可证明安全的节点不相交多路径源路由协议

多路径路由实现是移动ad hoc网络可靠运行的有效保证.针对多路径路由协议的安全性分析,建立了基于UC(universally composable)框架的可证明安全路由协议的新方法.基于攻陷的网络拓扑模型,扩展了可模糊路由概念,提出了多路径可模糊路由集合概念,用于描述攻陷网络拓扑结构的移动ad hoc网络多路径路由;基于UC安全模型,提出了基于UC-RP(universally composable security framework for ad hoc networks routing protocol)框架的路由协议形式化安全定义;针对MNDP(multiple node-disjoint paths)协议存在的安全问题,提出了新的移动ad hoc网络节点不相交多路径动态源路由协议(简记为SMNDP(security multiple node-disjoint paths)协议).将基于UC-RP框架的可证明安全路由协议的新方法应用于SMNDP协议的安全分析.SMNDP协议的可证明安全性可以归约为消息认证码和签名机制的安全性.SMNDP协议实现了路由发现协议的正确性、节点身份的认证性和路由消息的完整性.     

可证明安全的节点不相交多路径源路由协议

多路径路由实现是移动ad hoc网络可靠运行的有效保证.针对多路径路由协议的安全性分析,建立了基于UC(universally composable)框架的可证明安全路由协议的新方法.基于攻陷的网络拓扑模型,扩展了可模糊路由概念,提出了多路径可模糊路由集合概念,用于描述攻陷网络拓扑结构的移动ad hoc网络多路径路由;基于UC安全模型,提出了基于UC-RP(universally composable security framework for ad hoc networks routing protocol)框架的路由协议形式化安全定义;针对MNDP(multiple node-disjoint paths)协议存在的安全问题,提出了新的移动ad hoc网络节点不相交多路径动态源路由协议(简记为SMNDP(security multiple node-disjoint paths)协议).将基于UC-RP框架的可证明安全路由协议的新方法应用于SMNDP协议的安全分析.SMNDP协议的可证明安全性可以归约为消息认证码和签名机制的安全性.SMNDP协议实现了路由发现协议的正确性、节点身份的认证性和路由消息的完整性.     

低成本RFID搜索协议的设计与安全性证明

RFID(无线射频识别)搜索协议作为RFID领域的一种新兴协议存在着标签成本高以及易遭受攻击等问题.针对于此,着重从降低标签成本和提高安全性角度,通过在协议的整个过程中完全采用伪随机函数、引用秘密信息更新机制和增加搜索标志位机制的方法,设计了一个所需标签成本较低的RFID搜索协议,并在通用可组合(UC)模型下对其安全性进行了形式化证明,指出该协议是UC安全的,实现了机密性、匿名性、不可追踪性、防窃听、防重放、并发安全等安全特性.     

标准模型下通用可组合的口令认证密钥交换协议

通过构造不可延展的、可提取的且是弱模拟可靠的陷门承诺体制,以及相应的平滑投射Hash函数簇,设计了一个高效的通用可组合(universal composable,简称UC)安全的两方口令认证密钥交换(password authenticated key exchange,简称PAKE)协议,并在静态腐化模型下给出了严格的安全性证明.该协议使得PAKE协议在UC框架下达到了最优的两轮.与已有的协议相比,该协议避免了零知识证明协议的使用,在保持计算复杂度相当的前提下有效地提高了通信效率.     

群盲签名的通用可组合性研究

协议的UC安全性可以确保它在并发环境下运行的安全性。本文在UC框架下提出了一个群盲签名的理想函数,并在离散对数假设下构造了一个具有UC安全的群盲签名协议。然后,分析了此协议的安全性并详细地证明了群盲签名可以安全实现理想函数。     

通用可组合安全计算的信任模型研究

通用可组合（UC）安全计算的存在性需要刻画某种基础假定的信任模型的支持。针对国内对于UC安全计算的信任模型研究甚少的现状,研究了UC安全性的本质要求及其对UC安全计算的限制,得出了使用这些信任模型的根本原因,进而分析了国外用来刻画这些基础假定的信任模型的设计原理,比较了它们的异同和优缺点,并展望了未来的研究方向。     

一种典型MANET匿名路由协议的分析与改进

鉴于现有MANET匿名路由协议中不明确的敌手模型、未知安全性的密码学原语以及非严格的分析方法不能提供协议匿名性的信任,因此,对其中一种有代表性的匿名DSR进行了分析与改进,先从定义敌手攻击能力的角度明确敌手模型,并以数据分组与端节点不可关联性为目标定义协议的理想过程.然后,在路由发现阶段获得由UC安全的会话密钥组成的路径,在数据传输阶段用该密钥构造可验证的轻型路由洋葱.最后,在UC框架中基于理想过程证明协议的匿名性.     

A new approach for UC security concurrent deniable authentication

Deniable authentication protocols allow a sender to authenticate a message for a receiver, in a way which the receiver cannot convince a third party that such authentication ever took place. When we consider an asynchronous multi-party network with open communications and an adversary that can adaptively corrupt as many parties as it wishes, we present a new approach to solve the problem of concurrent deniable authentication within the framework of universally composable （UC） security. We formulate a definition of an ideal functionality for deniable authentication. Our constructions rely on a modification of the verifiably smooth projective hashing （VSPH） with projection key function by trapdoor commitment. Our protocols are forward deniable and UC security against adaptive adversaries in the common reference string model. A new approach implies that security is preserved under concurrent composition of an unbounded number of protocol executions; it implies non-malleability with respect to arbitrary protocols and more. The novelty of our schemes is the use of witness indistinguishable protocols and the security is based on the decisional composite residuosity （DCR） assumption. This new approach is practically relevant as it leads to more efficient protocols and security reductions.     

通用可组合安全的多重数字签名

针对多重数字签名协议的安全性研究只是专注于单一协议执行时的安全性的现状,在通用可组合安全性框架下研究了多重数字签名协议在多协议并发执行时的安全性问题。首先形式化定义了多重数字签名协议的理想功能,然后基于Waters数字签名提出一个多重数字签名协议并证明其具有通用可组合(UC)安全性。所提出的多重数字签名协议可安全地运行于互联网等多协议并发执行环境。     

Less is more: relaxed yet composable security notions for key exchange

Although they do not suffer from clear attacks, various key agreement protocols (for example that used within the TLS protocol) are deemed as insecure by existing security models for key exchange. The reason is that the derived keys are used within the key exchange step, violating the usual key-indistinguishability requirement. In this paper, we propose a new security definition for key exchange protocols that offers two important benefits. Our notion is weaker than the more established ones and thus allows the analysis of a larger class of protocols. Furthermore, security in the sense that we define enjoys rather general composability properties. In addition, our composability properties are derived within game-based formalisms and do not appeal to any simulation-based paradigm. Specifically, we show that for protocols, whose security relies exclusively on some underlying symmetric primitive, can be securely composed with key exchange protocols provided that two main requirements hold: (1) No adversary can break the underlying primitive, even when the primitive uses keys obtained from executions of the key exchange protocol in the presence of the adversary (this is essentially the security requirement that we introduce and formalize in this paper), and (2) the security of the protocol can be reduced to that of the primitive, no matter how the keys for the primitive are distributed. Proving that the two conditions are satisfied, and then applying our generic theorem should be simpler than performing a monolithic analysis of the composed protocol. We exemplify our results in the case of a profile of the TLS protocol.     

乐观公平交换协议的可追究性分析

可追究性是安全电子商务协议必须遵循的重要原则之一,乐观公平交换协议是一类重要的电子商务协议。目前没有针对乐观公平交换协议的可追究性进行形式化分析的具体方法。文章提出了一种分析乐观公平交换协议可追究性的形式化方法,该方法不再单独定义非否认证据,只是研究协议的目标设计是否能提供实现可追究性的证据,将可追究性证明与公平性等其它安全性质的证明分开讨论,这样不论协议是否满足其它安全性质,都可以讨论协议是否满足可追究性。     

标准模型下可证安全的属性基认证密钥交换协议

在Waters的属性基加密方案的基础上,提出了一个在标准模型下可证安全的两方属性基认证密钥交换协议。在修改的BJM模型中,给出了所提协议在判定性双线性Diffie-Hellman假设下的安全性证明。此外,针对无会话密钥托管的应用需求,在基本协议的基础上,构造了能够有效防止会话密钥托管的属性基认证密钥交换协议。在计算效率方面,所提协议与现有的仅在随机预言模型下可证安全的属性基认证密钥交换协议相当。     

一种构造并发不可延展零知识的新方法

构造了一个新的并发不可延展的零知识论证系统,具有更好的鲁棒性.新方案基于Feige-Shamir结构而设计,以具有鲁棒性的不可延展承诺方案以及巧妙设计的证据不可区分性证明为基本组件,来实现并发不可延展性和鲁棒性.此外,对敌手视图的模拟借助了"茫然模拟"的策略.当与其它协议并发组合时,该方案更易于分析和应用.基于单向函数假设,该方案的轮复杂性为超对数.     

公开可验证的零知识水印检测

对称水印方案的水印检测密钥可以被用来伪造和移去水印,因此要求它在检测过程中也是保密的.零知识的水印检测方案利用密码学中零知识和知识证明的思想和算法,实现在水印检测时使得验证者确信水印存在性的同时又不泄漏水印检测密钥.提出了公开可验证的零知识水印检测的安全需求,给出一个公开可验证的承诺方案和一个证明知道被承诺值的离散对数的零知识知识证明协议.在此基础上提出了一个公开可验证的零知识水印方案,并讨论了它的安全性.