專利名稱:一種橢圓曲線密鑰交換方法在manet網(wǎng)絡(luò)中的應(yīng)用的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡(luò)中的應(yīng)用�����,屬于信息安全保護(hù)領(lǐng)域背景技術(shù)MANET網(wǎng)絡(luò)的應(yīng)用擴(kuò)展了網(wǎng)絡(luò)用戶的自由度��,但是MANET網(wǎng)絡(luò)的自由也同樣對(duì)系統(tǒng)的安全性帶來了挑戰(zhàn)�。MANET網(wǎng)絡(luò)的安全要求體現(xiàn)在訪問控制和機(jī)密性兩個(gè)方面,訪問控制要確保敏感數(shù)據(jù)僅由經(jīng)過授權(quán)的用戶來訪問���;機(jī)密性則要確保傳送的數(shù)據(jù)只被期望的接收方所接收和理解�����。MANET網(wǎng)絡(luò)安全威脅體現(xiàn)在如下幾個(gè)方面1�,常規(guī)安全威脅依舊存在由于MANET網(wǎng)絡(luò)與傳統(tǒng)有線網(wǎng)絡(luò)的最大差別在于傳輸方式���,作為一種網(wǎng)絡(luò)�,傳統(tǒng)網(wǎng)絡(luò)中諸如病毒�����、惡意攻擊����、非授權(quán)訪問等安全風(fēng)險(xiǎn)也都存在于MANET網(wǎng)絡(luò)。因此���,在設(shè)計(jì)和使用MANET網(wǎng)絡(luò)時(shí)要求對(duì)這些問題給出考慮���。
2,容易受到非授權(quán)訪問威脅MANET網(wǎng)絡(luò)沒有固定邊界限制��,也沒有包括防火墻等安全設(shè)備在內(nèi)的接入控制技術(shù)����。同時(shí),大多數(shù)無線局域網(wǎng)所使用的都是ISM頻段���,在該頻段范圍內(nèi)工作的設(shè)備非常多��,存在同信道和臨信道以及其它設(shè)備相互之間的干擾問題���。在MANET網(wǎng)絡(luò)安全方面需要特別關(guān)注未經(jīng)授權(quán)的訪問問題,未經(jīng)授權(quán)的非法訪問會(huì)帶來嚴(yán)重后果��。首先,未經(jīng)授權(quán)的網(wǎng)絡(luò)用戶可以進(jìn)入網(wǎng)絡(luò)非法瀏覽存放在MANET網(wǎng)絡(luò)上的信息���,或者讓網(wǎng)絡(luò)感染上病毒��;其次����,未經(jīng)授權(quán)的用戶進(jìn)入網(wǎng)絡(luò)后可以利用該網(wǎng)絡(luò)作為攻擊第三方的跳板�����,并可能誤導(dǎo)對(duì)方���;第三�����,入侵者可以對(duì)移動(dòng)終端發(fā)動(dòng)攻擊����。
3���,密鑰管理問題MANET網(wǎng)絡(luò)密鑰管理是保證MANET網(wǎng)絡(luò)安全非常重要的一個(gè)措施���,目前還沒有針對(duì)MANET網(wǎng)絡(luò)非常有效的密鑰管理與分配機(jī)制���。在設(shè)計(jì)MANET密鑰管理方案時(shí)���,必須考慮到MANET網(wǎng)絡(luò)自身特性和移動(dòng)終端的特性���,在系統(tǒng)計(jì)算量和通信量等方面給出充分考慮,以適應(yīng)不斷提升的系統(tǒng)安全需求��。
4�,缺少交互認(rèn)證
MANET網(wǎng)絡(luò)設(shè)計(jì)的另一個(gè)缺陷就是移動(dòng)終端和MANET網(wǎng)絡(luò)之間認(rèn)證過程的異步性。根據(jù)標(biāo)準(zhǔn)要求��,只有成功認(rèn)證后�����,認(rèn)證端口才會(huì)處于受控狀態(tài)����。但對(duì)用戶端來講并非如此,用戶端端口實(shí)際上總是處于認(rèn)證成功后的受控狀態(tài)�����。而整個(gè)認(rèn)證只是MANET系統(tǒng)對(duì)移動(dòng)用戶端的單向認(rèn)證,攻擊者可以處于用戶和MANET系統(tǒng)之間�����,對(duì)用戶來說��,攻擊者充當(dāng)MANET網(wǎng)絡(luò)管理者�����,而對(duì)于MANET網(wǎng)絡(luò)管理者來講���,攻擊者又充當(dāng)合法移動(dòng)終端�����。
針對(duì)上述MANET網(wǎng)絡(luò)存在的安全威脅��,目前在MANET網(wǎng)絡(luò)中使用的常規(guī)安全控制技術(shù)包括1����,服務(wù)集標(biāo)識(shí)符對(duì)多個(gè)MANET網(wǎng)絡(luò)中設(shè)置不同的SSID���,要求移動(dòng)終端只有在提供正確的SSID時(shí)才可接入網(wǎng)絡(luò)�,以此實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶的接入控制,并實(shí)現(xiàn)對(duì)訪問權(quán)限的區(qū)別控制���。由于該方式僅采用簡單的口令實(shí)現(xiàn)安全接入��,而且系統(tǒng)SSID非常容易泄漏,因此該方法只能提供較低級(jí)別的安全保障����。
2,物理地址過濾由于每個(gè)以計(jì)算機(jī)作為接入移動(dòng)終端的網(wǎng)卡在制造時(shí)就擁有一個(gè)唯一的物理地址�����,因此可以在MANET網(wǎng)絡(luò)中以手工方式來維護(hù)一組允許訪問的MAC地址列表����,以此實(shí)現(xiàn)物理地址過濾。該方案要求MANET網(wǎng)絡(luò)對(duì)所有終端的MAC地址列表隨時(shí)更新�,因此系統(tǒng)可擴(kuò)展性較差,無法實(shí)現(xiàn)移動(dòng)終端在不同子群之間的漫游�����;同時(shí),由于移動(dòng)終端的MAC地址在可以偽造�����,因此這種方法的安全級(jí)別也較低���。
3�����,有線對(duì)等加密在鏈路層采用RC4對(duì)稱加密技術(shù)����,只有用戶的加密密鑰與網(wǎng)絡(luò)密鑰相同才能被批準(zhǔn)接入網(wǎng)絡(luò)�,以此來防止未經(jīng)授權(quán)非法用戶對(duì)網(wǎng)絡(luò)的監(jiān)聽以及非法用戶對(duì)網(wǎng)絡(luò)的訪問。WEP算法根據(jù)需要能提供40位���、64位或者128位長度的密鑰���,但該加密算法仍存在許多安全缺陷。例如����,在MANET子集內(nèi)的所有終端用戶都必須要共享同一個(gè)密鑰�,只要某個(gè)用戶丟失或者泄漏了密鑰將會(huì)造成整個(gè)MANET網(wǎng)絡(luò)的不安全�。
4,虛擬專用網(wǎng)絡(luò)VPN是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性�����,它不屬于IEEE 802.11標(biāo)準(zhǔn)的定義范圍����,但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素,同時(shí)還可以使用基于Radius的用戶認(rèn)證方案�����。
5�����,端口訪問控制技術(shù)端口訪問控制技術(shù)也是用于MANET網(wǎng)絡(luò)的一種增強(qiáng)性安全解決方案�。當(dāng)移動(dòng)終端與MANET網(wǎng)絡(luò)建立關(guān)聯(lián)之后��,是否可以使用MANET網(wǎng)絡(luò)所提供的服務(wù)就取決于認(rèn)證之后的結(jié)果���。如果通過認(rèn)證�����,則MANET網(wǎng)絡(luò)會(huì)為移動(dòng)終端用戶打開這個(gè)邏輯端口��,否則就不允許該接入用戶所提出的服務(wù)��。
6���,擴(kuò)頻技術(shù)與窄帶射頻相反����,擴(kuò)頻發(fā)送器用一個(gè)非常弱的功率信號(hào)在一個(gè)很寬的頻率范圍內(nèi)發(fā)射����。擴(kuò)頻通信技術(shù)最早在軍方用來實(shí)現(xiàn)保密通信,最初的設(shè)計(jì)目的是實(shí)現(xiàn)抗噪音��、抗干擾并實(shí)現(xiàn)對(duì)未經(jīng)授權(quán)接入的檢測(cè)����。擴(kuò)頻技術(shù)的實(shí)現(xiàn)方式有多種,最常用的是直接序列擴(kuò)頻���、跳頻擴(kuò)頻和跳時(shí)以及這些方法的組合���。擴(kuò)頻通信系統(tǒng)的主要優(yōu)點(diǎn)包括抗干擾性強(qiáng)���、隱蔽性好、可實(shí)現(xiàn)碼分多址��、抗多徑干擾及能實(shí)現(xiàn)精確定時(shí)和測(cè)距等�����。
雖然采取了相應(yīng)的安全保護(hù)措施���,但是在MANET網(wǎng)絡(luò)中不能與傳統(tǒng)網(wǎng)絡(luò)一樣使用過于復(fù)雜的算法���,因?yàn)槟菢幼鰰?huì)增大系統(tǒng)的處理負(fù)荷�,不但達(dá)不到提高系統(tǒng)安全的目的,反而會(huì)適得其反�,造成系統(tǒng)性能的喪失。鑒于此��,本文對(duì)在傳統(tǒng)網(wǎng)絡(luò)中較為有效的橢圓曲線密碼體制進(jìn)行分析��,找出適合于MANET網(wǎng)絡(luò)要求的加解密方法和對(duì)應(yīng)的密鑰交換方法。
發(fā)明內(nèi)容
本發(fā)明的目的在于找到一種將橢圓曲線應(yīng)用于MANET網(wǎng)絡(luò)進(jìn)行安全保護(hù)的方法��,以滿足MANET在移動(dòng)終端處理能力較弱���,并且具有較高安全需求下的安全需求��。
本發(fā)明的主要內(nèi)容是針對(duì)如何將高效的橢圓曲線密碼體制應(yīng)用到對(duì)MANET網(wǎng)絡(luò)的安全保護(hù)�,給出安全加解密和密鑰管理方案����。
橢圓曲線離散對(duì)數(shù)問題EDLP的特征在于E(Fq)上的橢圓曲線離散對(duì)數(shù)等價(jià)(reduces意為具有相同的計(jì)算復(fù)雜性)到Fqk(Fq的擴(kuò)域)上的離散對(duì)數(shù)問題,這就是所謂的對(duì)橢圓曲線離散對(duì)數(shù)問題的MOV攻擊方法�。
在對(duì)EDLP的實(shí)際計(jì)算時(shí),首先分解n����,利用此分解可以容易地檢測(cè)α的階是否為n,隨機(jī)地在E[n]中選取點(diǎn)Q�,直至α的階為n。如果利用數(shù)域篩法分解n�,其運(yùn)行時(shí)間為L[1/3,n]�。
基于橢圓曲線的密鑰交換協(xié)議取決于EDLP的安全性。對(duì)EDLP的求解包括兩部分一是將Fq上的EDLP規(guī)約(reduce)到Fqk上的DLP���;二是解Fqk上的DLP�。所以,基于EDLP的密碼系統(tǒng)在安全方面應(yīng)考慮使reduction和DLP二者在計(jì)算上盡量難����。
在構(gòu)造安全的橢圓曲線密碼系統(tǒng)時(shí),首先應(yīng)選用non-supersingular型橢圓曲線�,然后利用3種確定系數(shù)a2和a6。其中計(jì)算#E(Fq)可在多項(xiàng)式時(shí)間內(nèi)得到結(jié)果�。在確定橢圓曲線后,需要在該橢圓曲線上選取一個(gè)安全的點(diǎn)P(階為素?cái)?shù)或含大的素因子)�。建立在non-supersingular型橢圓曲線上的密碼系統(tǒng),如果滿足上述構(gòu)造條件�����,對(duì)其進(jìn)行攻擊的方法只能利用PH方法進(jìn)行reduce和解DLP�。
為提高E(Fq)上密碼方案的實(shí)現(xiàn)算法(點(diǎn)乘法)的運(yùn)算速度,通常將E定義在GF((2n)m)或GF(2k)上��,GF((2n)m)上的倍點(diǎn)��、逆和乘法相對(duì)速度較快���。
本發(fā)明的技術(shù)方案對(duì)橢圓曲線離散對(duì)數(shù)問題進(jìn)行分析�����,找出安全橢圓曲線的生成方法�,提出構(gòu)造橢圓曲線的算法并選取安全點(diǎn)���,然后對(duì)橢圓曲線在MANET網(wǎng)絡(luò)中的快速實(shí)現(xiàn)算法和密鑰交換協(xié)議進(jìn)行分析��。
公鑰密碼體制是建立在單向陷門函數(shù)基礎(chǔ)上的��。本節(jié)首先描述了傳統(tǒng)的基于有限乘法群上離散對(duì)數(shù)和整數(shù)分解問題的密碼體制�,分析其在安全方面所面臨的問題和其在運(yùn)算性能上的不足��,進(jìn)而給出基于橢圓曲線的公鑰密碼體制的應(yīng)用前景�。Diffie-Hellman密鑰交換協(xié)議的安全性建立在群上離散對(duì)數(shù)問題上,公鑰為gx���、gy��、p和g�����,私鑰為x和y���,通信雙方以群上運(yùn)算結(jié)果(gy)x=(gxy)作為短期密鑰�����。離散對(duì)數(shù)問題定義為已知由g生成的循環(huán)群G和y∈G��,且G是有限域GF(P)上的乘法群���,求x∈GF(P),使得y=gx(y=loggx)��。
在理論上��,RSA建立在對(duì)大整數(shù)n的分解難題上���,即�����,已知合數(shù)n�,求p和q��,使得n=pq�。目前,對(duì)大于100位十進(jìn)制整數(shù)的有效分解方法是二次篩法QS�、數(shù)域篩NFS和橢圓曲線分解等算法。利用NFS可在數(shù)月時(shí)間分解512位RSA合數(shù)��?;跈E圓曲線的整數(shù)分解方法ECM是當(dāng)前最有效的方法,Peter Montgomery成功地從一個(gè)449二進(jìn)制位的合數(shù)分解出一個(gè)157二進(jìn)制位的素因子���,這是已知最好的結(jié)果��。
從對(duì)RSA算法的直接攻擊考慮��,當(dāng)Φ(n)=(p1-1)(p2-1)僅由小的素因子組成時(shí)��,則很容易在小的范圍內(nèi)攻擊密文�����。當(dāng)gcd(p1-1���,p2-1)較大時(shí),設(shè)p1-1和p2-1的最小公倍數(shù)為u�����,則u<Φ(n),對(duì)于a�����,b∈ZΦ(n)且a�,b∈Zu,如果�,ab≡1modΦ(n),則ab≡1mod u����,此時(shí)較容易發(fā)現(xiàn)解密密鑰b。
由于用戶對(duì)安全要求的提高���,而提高素?cái)?shù)和公鑰位數(shù)(1024二進(jìn)制位)時(shí)��,基于乘法群上的公鑰算法運(yùn)行速度以指數(shù)數(shù)量下降��,如對(duì)于目前離散對(duì)數(shù)攻擊方法而言����,要求D-H方案的素?cái)?shù)模P的長度應(yīng)大于512二進(jìn)制位���,通常情況下�,當(dāng)P取1024位時(shí),密鑰交換時(shí)間至少為4秒�。1985年Koblitz和Miller提出利用橢圓曲線上的點(diǎn)構(gòu)成的abelian加法群構(gòu)造離散對(duì)數(shù)問題,從已有的攻擊算法表明基于有限域橢圓曲線上的對(duì)數(shù)問題的難度(reduce)在復(fù)雜性上與乘法群上的離散對(duì)數(shù)難度相同��,且橢圓曲線所基于的域的運(yùn)算位數(shù)遠(yuǎn)小于傳統(tǒng)離散對(duì)數(shù)的運(yùn)算位數(shù)��,其加法運(yùn)算很容易用計(jì)算機(jī)的硬件和軟件實(shí)現(xiàn)�����,特別是基于GF(2n)的橢圓曲線����。如基于GF(2255)的密鑰交換時(shí)間通常為幾十毫秒�。從安全方面考慮,用戶可隨意地選擇安全的橢圓曲線���,如對(duì)基于K=GF(p)上的橢圓曲線���,p=2n,y2+xy=x3+a2x2+a6�����,用戶可在GF(p)上隨機(jī)選取a2和a6。在應(yīng)用方面�,利用基于有限域的橢圓曲線可實(shí)現(xiàn)數(shù)據(jù)加密、密鑰交換���、數(shù)字簽名等密碼方案����。
本發(fā)明首先對(duì)橢圓曲線的離散對(duì)數(shù)問題進(jìn)行分析�����,然后給出構(gòu)造安全橢圓曲線的有效方法�,給出橢圓曲線快速實(shí)現(xiàn)算法并找出有效的密鑰分配方案。
下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明作進(jìn)一步說明��。
圖1為橢圓曲線密鑰交換方法在MANET網(wǎng)絡(luò)中的應(yīng)用��;圖2描述了在一種有限域上密鑰交換的時(shí)間和在Web客戶-服務(wù)器環(huán)境下SSL的握手建立共享會(huì)話密鑰的時(shí)間��;圖3描述了在另一種有限域上密鑰交換的時(shí)間和在Web客戶-服務(wù)器環(huán)境下SSL的握手建立共享會(huì)話密鑰的時(shí)間���;圖4描繪了在Sun-SPARC10上橢圓曲線倍點(diǎn)xP和乘法群模指數(shù)gx運(yùn)算的時(shí)間比較��,在安全上(MOV攻擊算法)通常認(rèn)為GF(2155)橢圓曲線的倍點(diǎn)問題與gx≈1024一樣難�����,而運(yùn)行時(shí)間前者比后者快10倍以上�。
具體實(shí)施例方式
一、橢圓曲線安全算法分析1��,橢圓曲線離散對(duì)數(shù)問題EDLPMenezes將E(Fq)上的橢圓曲線離散對(duì)數(shù)等價(jià)(reduces意為具有相同的計(jì)算復(fù)雜性)到Fqk(Fq的擴(kuò)域)上的離散對(duì)數(shù)問題����,這就是所謂的對(duì)橢圓曲線離散對(duì)數(shù)問題的MOV[11]攻擊方法�。
任何一個(gè)有限abelian群G都可以表示為由它分解成的若干循環(huán)群的和。當(dāng)這種分解是唯一時(shí)�����,即G=Zn1Zn2Zn3...Zns���,其中ni+1|ni�����,i=1����,2,3���,..����,s-1���,ns>2��,Zn(或Z/n)表示階為n的群���,則可引出以下定義。
算法1求k的部分信息輸入P0∈E(Fq)����,P0的最大階為n1,同時(shí)��,已知R����,且R=l×P0���。
輸出一個(gè)整數(shù)l`,l`≡l(mod n`)�,其中n`是n2的因子。
1隨機(jī)選取一個(gè)點(diǎn)T∈E(Fq)��。
2計(jì)算α=en1(P,T),]]>β=en1(P,T).]]>3計(jì)算l`(Fqk上β的離散對(duì)數(shù)��,基是α����,即,l`=logαβ)�����。
算法2EDLP到Fqk上的DLP的等價(jià)方法輸入P0∈E(Fq)�����,P0的階為n�����,R∈<P>�。
輸出一個(gè)整整數(shù)k,且R=l×P0����。
1確定最小的整數(shù)k,且E[n]∈E(Fqk).]]>2尋找Q∈E[n]���,且α=en(P�����,Q)的階為n����。
3計(jì)算β=en(R�,Q)。
4計(jì)算l(Fqk上β的離散對(duì)數(shù)�,基是α,即�,l=logαβ,n-1>l>0)其中<P>表示由E(Fq)上具有最大階的點(diǎn)P生成的子群�。由于β=en(R,Q)=en(kP����,Q)=en(P���,Q)l=αl,所以�,算法2的輸出是正確的。當(dāng)k非常大時(shí)�����,利用算法2求解(l=logR)通常運(yùn)行指數(shù)時(shí)間��,但對(duì)于Supersingular形橢圓曲線的EDLP則不然��。
2����,Supersingular形橢圓曲線的Reduction算法對(duì)于Supersingular形橢圓曲線文獻(xiàn)11和62給出了可在多項(xiàng)式時(shí)間運(yùn)行的算法6.3。Supersingular形橢圓曲線的EDLP到Fqk上DLP的等價(jià)算法���。
輸入P0∈E(Fq),P0的階為n���,R∈<P>��,E(Fq)定義在supersingular形橢圓曲線上��。輸出一個(gè)整整數(shù)k���,且R=l×P0��。
1確定最小的整數(shù)k和c����,從6類supersingular形橢圓曲線信息表中[2]2隨機(jī)選取點(diǎn)Q`∈E[Fqk],]]>設(shè)置Q=(cn1/n)�����,Q有n階�����。
3計(jì)算α=en(P��,Q)����,β=en(R,Q)���。
4計(jì)算l`(Fqk上β的離散對(duì)數(shù)��,基是α�����,即����,l`=logαβ)。
5檢查R=l`×P0是否成立����?如果不成立,α必須小于n����,轉(zhuǎn)向2;如果成立���,則結(jié)束����。
如果E(Fq)是一個(gè)supersingular形橢圓曲線���,則�,將E(Fq)上的離散對(duì)數(shù)問題reduce到Fqk上的離散對(duì)數(shù)問題是一個(gè)概率多項(xiàng)式時(shí)間的reduction�����。
在對(duì)EDLP的實(shí)際計(jì)算時(shí)����,首先分解n,利用此分解可以容易地檢測(cè)α的階是否為n����,隨機(jī)地在E[n]中選取點(diǎn)Q,直至α的階為n����。如果利用數(shù)域篩法分解n,其運(yùn)行時(shí)間為L[1/3,n]����。算法3的reduction時(shí)間為概率多項(xiàng)式時(shí)間,當(dāng)考慮有限域離散對(duì)數(shù)問題的亞指數(shù)時(shí)間時(shí)�����,如果q是素?cái)?shù)或q=pm,其中P是素?cái)?shù)�,則可以得出推論3,Non-supersingular形橢圓曲線的EDLP難度設(shè)non-supersingular上的E(Fq)的特征為p���,P是E(Fq)上階為n的點(diǎn)����,R∈<P>��,如果gcd(n,q)=1�,則可以利用算法2正確地計(jì)算logPR。
算法2可以容易地推廣到gcd(n,q)≠1的情況���。設(shè)n=psn`����,s>=1����,gcd(n`,p)=1����,令P`=psP�����,R`=psR,R`∈<P`>�����,則利用算法2可得logp`R`≡logpR mod(n`)設(shè)P``=n`P��,R``=n`R�,則ord(P``)=ps,R``∈<P``>���,利用Pohlig-Hellman方法可以計(jì)算logP``R``���,觀察logP``R``≡logPR mod(ps)。
利用中國剩余定理可以求出logpR��。
對(duì)于多數(shù)non-supersingular上的EDLP的求解時(shí)間為完全指數(shù)時(shí)間����。設(shè)gcd(n,q)=1,F(xiàn)q上離散對(duì)數(shù)的運(yùn)行時(shí)間為L(q�����,c,1/3)���。算法6.2規(guī)約(reduce)EDLP到Fqk上的DLP的運(yùn)行時(shí)間為L(qk��,c����,1/3)����,算法2中E[n]∈E(Fqk)]]>或立的條件是n|qk-1,對(duì)于隨機(jī)地選取階為n的點(diǎn)�,n≈q,不可能出現(xiàn)k<=(lnq)2����,即,只要n和q同時(shí)是素?cái)?shù)�����,則可以滿足條件n|qk-1��。這對(duì)于多數(shù)non-supersingular橢圓曲線是容易滿足的。
二����、構(gòu)造安全的橢圓曲線1,EDLP安全理論安全是指在目前已知的對(duì)橢圓曲線離散對(duì)數(shù)攻擊算法的攻擊下���,橢圓曲線應(yīng)滿足的條件,這主要包括選取安全的橢圓曲線��,如何從橢圓曲線上選取安全的點(diǎn)P����。首先,由第3章可知����,安全橢圓曲線的構(gòu)造應(yīng)選取non-supersingular橢圓曲線,即當(dāng)q=2n時(shí)a6≠0�,當(dāng)q是素?cái)?shù)時(shí)a23+27a62≠0且#E(Fq)≠q+1。更進(jìn)一步�,當(dāng)前最有效的攻擊算法Pollard-ρ方法解離散對(duì)數(shù)問題需要 步,其中r是n的最大素因子����,n是點(diǎn)P的階�����,n-1>l>0�����,為抵御PH的離散對(duì)數(shù)攻擊(求解l)����,n必須滿足包含大的素因子的條件���。而對(duì)于Menezes的歸約(MOV reduction)算法的攻擊���,必須保證k>c,c足夠大�����。
定理1 E(Fq)上對(duì)數(shù)問題是完全指數(shù)運(yùn)算時(shí)間問題�,當(dāng)且僅當(dāng)#E(Fq)的素因子r不能整除qv-1,其中v=1�����,2,3��,..�,10,定理2 E(Fq)上對(duì)數(shù)問題是完全指數(shù)運(yùn)算時(shí)間問題�����,當(dāng)且僅當(dāng)#E(Fq)能被一個(gè)形如2ip+1的素?cái)?shù)整除�,且 定理3 設(shè)p是一素?cái)?shù)�,D是一個(gè)正整數(shù),則4p=x2+Dy2有解(x�,y),當(dāng)且僅當(dāng)-D是模p的二次剩余��,同時(shí)多項(xiàng)式HD(x)有模p的根�����。
定理4 給定D����,設(shè)p是一素?cái)?shù),且4p=x2+Dy2�����,則存在一橢圓曲線E(Fq),滿足4#E(Fq)=(x-2)2+Dy2�����,即橢圓曲線E(Fq)可以由HD(x)模p的根得到�。
2,Non-supersingular橢圓曲線加法群的點(diǎn)計(jì)數(shù)#E(Fq)構(gòu)造安全橢圓曲線密碼系統(tǒng)首先是要選擇一條安全的橢圓曲線��,即確定橢圓曲線方程的各項(xiàng)系數(shù)����,a2和a6。由第3節(jié)MOV攻擊算法可知E(Fq)的階的確定對(duì)安全是重要的����。所以,首先必須計(jì)算#E(Fq)�����。根據(jù)Hasse定理�����,|#E(Fq)-q-1|<=2q.]]>定義在F2n的non-supersingular橢圓曲線E(F2n)的點(diǎn)計(jì)數(shù)的方法是#E(F2n)=2n+1-t,|t|<22n.---(1)]]>E(Fq)的基m(cardinality)定義為m=2n+1-t,其中t是一個(gè)整數(shù)�,|t|<22n.]]>傳統(tǒng)的計(jì)數(shù)方法[11]是利用baby setps giant steps(Schoof,1985)方法測(cè)試所有可能的t���,直至滿足(1)�����。該方法的運(yùn)算時(shí)間為O(2n/4)���,即,多項(xiàng)式時(shí)間����。
Schoof算法利用Forbenius的特性E將 影射到自己�����;發(fā)送點(diǎn)(x�����,y�,1)到(xq���,yq,1)����。
由自同態(tài)特征方程2-t+q=0 (2)其中,t滿足基m=2n+1-t�����。
取素?cái)?shù)l�,當(dāng)E作用在tarsion群E[l]時(shí),式(2)可寫成2-t+q≡O(shè) mod l(3)發(fā)現(xiàn)足夠多的l(tl)�,且所有的l滿足Πl>4q;]]>tl≡t(mod l),利用中國剩余定理可求出t��,從而得到#E(Fq)�����。0<k<l�����,設(shè)k≡q(mod l),尋找τ,0<τ<l��,則有(xq2,yq2)+k(x,y)=τ(xq,yq)=t(xq,yq)---(4)]]>(t-τ)(xq,yq)=O�,O是E的自同態(tài),由于(xq�,yq)是階為1的點(diǎn),所以τ≡t(mod l)�。
三、構(gòu)造安全橢圓曲線的算法安全橢圓曲線的生成方法有以下三種1����,隨機(jī)選取橢圓曲線(a)隨機(jī)選取a2和a6,且a2�,a6∈Fq,構(gòu)成橢圓曲線E(Fq)���;(b)計(jì)算#E(Fq)����;(c)檢驗(yàn)E(Fq)是否包含大素因子r���,否則轉(zhuǎn)(a);(d)檢驗(yàn)r是否滿足定理6.3或6.4��;(e)E(Fq)是安全橢圓曲線。
2���,給定階m求曲線E(Fq)當(dāng)q是一個(gè)素?cái)?shù)時(shí)�����,E(Fq)的計(jì)算方法如下(a)隨機(jī)選取一整數(shù)m�,且q+1-2q≤m≤q+1+2q,]]>同時(shí)m包含的大素因子r滿足定理6.3或6.4����;(b)利用定理6.5和6.6(文獻(xiàn)64 Francois Morain)算法計(jì)算a2和a6,且a2���,a6∈Fq�����;(c)E(Fq)是安全橢圓曲線��。
當(dāng)q=2n時(shí)���,利用Lay-Zimmer算法計(jì)算E(Fq)。
(a)選擇一小整數(shù)cmax����;(b)利用Lay-Zimmer算法計(jì)算a2和a6����,其中橢圓曲線E(F2n)的階m=cr��,r是素?cái)?shù)����,c<cmax;(c)如果r能整除(2n)v-1�����,則轉(zhuǎn)(a)����;其中v=1,2�,3,....���,10�;(d)E(F2n)是安全橢圓曲線�����。
3���,Weil定理方法設(shè)F2n上�����,n的小素因子為k�����。
(a)隨機(jī)選取一橢圓曲線Ey2+xy=-x3+a2x2+a6�����,a6≠0��,����,a2����,a6∈F2k,]]>由于F2k是F2n的子域�����,所以��,a2�,a6∈F2n,]]>E是F2n上的橢圓曲線�;
(b)計(jì)算w=#E(F2k);]]>(c)設(shè)t=qk+1-w,c=m/k�����,定義數(shù)列{Vn}��,V1=2��,V2=t�,Vn=t Vn-1-2k Vn-2,n>2�����,計(jì)算Vc�,u=#E(F2n)=2n+1-Vc;]]>(d)如果u不能被一個(gè)大素?cái)?shù)r整除,則轉(zhuǎn)(a)�;(e)如果r能整除(2n)v-1����,則轉(zhuǎn)(a)��;其中v=1���,2,3�,...10;(f)E(F2n)是安全橢圓曲線�����。
四�、選取安全點(diǎn)對(duì)于基于離散對(duì)數(shù)問題的密碼放案的攻擊是從點(diǎn)lP的倍數(shù)l。對(duì)于Pollard-ρ攻擊方法而言�,最安全點(diǎn)P的階應(yīng)為素?cái)?shù)。
P的階的計(jì)算方法是測(cè)試一些a和b���,直至aP=bP����,且b>a���,則最小的c即為點(diǎn)P的階���,且cp=(b-a)P=OE���。
五、橢圓曲線的快速實(shí)現(xiàn)算法為實(shí)現(xiàn)有限域上的快速逆和乘法��,橢圓曲線的實(shí)現(xiàn)可以在復(fù)合域GF((2n)m)和GF(2k)兩種有限域上�����,其中GF((2n)m)≌GF(2nm)如n=16��,m=素?cái)?shù)或gcd(m,n)=1�����。使用符合域的好處在于其基本域GF(2n)可以預(yù)計(jì)算{22����,23,..���,2nm+1)�����,從而提高速度��。本節(jié)主要內(nèi)容參照文獻(xiàn)65和66�����。
1�����,乘法nP和倍點(diǎn)算法設(shè)P=(x,y)�,傳統(tǒng)的倍點(diǎn)2P=(x1��,y1)算法是利用E(Fq)群加法x1=(x+yx)2+(x+yx)+α---(1)]]>y1=x2+(x+yx)x1+x1---(2)]]>由上式可知��,倍點(diǎn)需要有限域Fq上的7次加法�、2次乘法、1次平方及1次逆(1/x)運(yùn)算�����。而nP的計(jì)算是反復(fù)倍點(diǎn)運(yùn)算。模擬有限域上的模指數(shù)運(yùn)算可以提高速度�,如平方乘,k-ary����,window等方法。文獻(xiàn)9給出了E(Fq)的k-ary乘法算法����。
P∈E(Fq),n=(et�����,et-1����,..,e1�,e0)b,b=2k���,k>=1(或稱為窗口長度�����,如k=5)�,則Q=nP可由以下算法求出nP算法(輸入P∈E(Fq),輸出Q=nP)1預(yù)計(jì)算
P0←OE�����;Fori=1 to 2k-1Pi=Pi-1+P����;(Pi=iP)2 Q←OE;3 for i=t to 0Q←2kQ�;/*k-ary t次點(diǎn)加*/Q←Q+Pei;4 return(Q).
為進(jìn)一步提高速度��,文獻(xiàn)65給出了直接計(jì)算2k的方法���,該方法較反復(fù)倍點(diǎn)運(yùn)算快。更進(jìn)一步�����,文獻(xiàn)66-4.3節(jié)給出滑動(dòng)窗口方法�����,并在第7章給出了一種改進(jìn)的算法,預(yù)計(jì)算2iP(2P�,4P,8P�,..)。
2����,有限域GF((2n)m)元素的逆橢圓曲線乘法運(yùn)算中最耗費(fèi)時(shí)間的運(yùn)算是逆運(yùn)算。為提高效率���,考慮在有限域GF((2n)m)上的橢圓曲線����,GF((2n)m)和GF(2n)/P(x))同構(gòu)���,如GF((216)11)≌GF(2176)�����,P(x)=x11+x2+1�����。其中P(x)=xm+Σi=0m-1pixi,pi∈GF(2n),]]>如果gcd(m���,n)=1���,則P(x)是定義在GF(2n)上度為m的不可約首一多項(xiàng)式。設(shè)A∈GF((2n)m)�����,則A(x)=am-1xm-1+am-2xm-2+..+a1x+a0(6.3)其中ai∈GF(2n)��。利用Fermat小定理A2nm-1=AA2nm-2=1 mod P(x)����,可得A-1=A2nm-2A的逆可以通過加法鏈22nm-2=2+22+23+..+2nm+1預(yù)計(jì)算提高運(yùn)算速度。
Ar=Ar-1A��,r-1=2mn-12n-1-1=2n+22n+23n+..+2(m-1)n]]>A-1=(Ar)-1Ar-1���。
3,有限域GF((2n)m)元素的加法C(x)=A(x)+B(x)����,系數(shù)相加,由于系數(shù)是n(8�����、16或32)位二進(jìn)制,所以速度較快�。
4有限域GF((2n)m)元素的乘法乘法是E(GF((2n)m))中第2費(fèi)時(shí)的運(yùn)算。設(shè)A�,B∈GF((2n)m),并表示為(6.3)式�����,C(x)=A(x)B(x)mod P(x)�。令m=2tl-1,t是整數(shù)����,k=2m+1,C(x)的度<2m-1�����,A和B可以表示為以下形式�。
A(x)=xk2(0xk2-1+ak-2xk2-2+...+ak2)+(ak2-1xk2-1+...+a0)=Ahxk2+Al]]>B(x)=xk2(0xk2-1+bk-2xk2-2+...+bk2)+(bk2-1xk2-1+...+b0)=Bhxk2+Bl]]>5點(diǎn)的階與安全點(diǎn)設(shè)點(diǎn)P,對(duì)于任意a�����,b,當(dāng)b>a時(shí)���,如果a*P=b*P成立��,則c*P=OE��,其中c=b-a.��。最小的c即為點(diǎn)P的階����。因?yàn)閏能夠整除橢圓曲線的階�,所以,只要已知橢圓曲線的階包含大素因子�����,利用Weil方法����,確定橢圓曲線E����,就能夠容易地找到階為素?cái)?shù)的安全點(diǎn)�。
本文在有限域GF(2255)=GF((215)17)�,y2+xy=x3+161,階為素?cái)?shù)的安全點(diǎn)P為const ecPoint curve_point={/*P.x=*/{17�����,0x38cc���,0x052f�,0x2510�,0x45aa,0x1b89����,0x4468,0x4882��,0x0d67����,0x4feb,0x55ce���,0x0025���,0x4cb7��,0x0cc2���,0x59dc,0x289e��,0x65e3����,0x56fd,}���,/*P.y=*/{17����,0x31a7����,0x65f2,0x18c4�,0x3412,0x7388,0x54c1��,0x539b��,0x4a02��,0x4d07�,0x12d6��,0x7911�����,0x3b5e�����,0x4f0e�,0x216f,0x2bf2�,0x1974,0x20da��,}����,}��;/*curve_point*/P的階為一個(gè)255位的素?cái)?shù)1026dd85081b82314691ced9bbec30547840e4b0e4bf72d8b5e0d258442bbcd31��。
六���、密鑰交換協(xié)議及實(shí)現(xiàn)密鑰交換是通信實(shí)體A和B建立本次會(huì)話密鑰的協(xié)議,設(shè)A和B已知橢圓曲線公鑰信息���,即橢圓曲線E基于的域GF(q)�����、橢圓曲線E��、橢圓曲線上的點(diǎn)P和點(diǎn)P的階n�����。在本文的安全WWW環(huán)境中�����,A方作為Web服務(wù)器�,B方是Win95客戶瀏覽器,Web在收到瀏覽器的握手Hello信息后�����,向?yàn)g覽器發(fā)送橢圓曲線公鑰信息�,主要包括ECParameters ::=SEQUENCE {versionINTEGER -- 版本號(hào)��,fieldIDFieldID -- 定義E的有限域GF(q)curve Curve�����, -- 橢圓曲線a和b的系數(shù)base ECPoint���,-- 用于密鑰交換的點(diǎn)Porder INTEGER�,-- P的階cofactor INTEGER�, … }
A的私鑰為dA,公鑰為QA=dAP=(xA�����;yA)�����。B的私鑰為dB,公鑰為QB=dBP=(xB���;yB)�。
模擬Diffie-Hellman協(xié)議可得出基于橢圓曲線的基本密鑰交換協(xié)議���,即�����,實(shí)體B收到QA后��,計(jì)算會(huì)話密鑰K=QAdB��,同理��,A計(jì)算會(huì)話密鑰K=QBdA����。下面是一個(gè)具有鑒別功能的密鑰交換過程(1)實(shí)體A(a)選擇隨機(jī)整數(shù)KA�����,KA∈GF(q)�����,1≤KA≤n-1;(b)計(jì)算點(diǎn)P的倍數(shù)��,(x1�;y1)=RA=KAP;(c)A發(fā)送RA至B��。
(2)實(shí)體B(a)選擇隨機(jī)整數(shù)KB���,KB∈GF(q),KB∈{1����,2,..���,n-1}��;(b)計(jì)算點(diǎn)P的倍數(shù)��,(x2��;y2)=RB=KBP�;(c)B發(fā)送RB至A。
(3)實(shí)體A計(jì)算共享的會(huì)話密鑰(a)計(jì)算SA=KA+x1dAxAmod n��;(b)計(jì)算會(huì)話密鑰K=sA(RB+x2xBQB)���。
(4)實(shí)體B計(jì)算共享的會(huì)話密鑰(a)計(jì)算sB=KB+x2dBxBmod n�����;(b)計(jì)算會(huì)話密鑰K=sB(RA+x1xAQA)����。
上述協(xié)議的安全性依賴于橢圓曲線離散對(duì)數(shù)問題�,在實(shí)體A已知QB和實(shí)體A已知QB的情況下,雙方可以對(duì)收到的RB和RA數(shù)據(jù)源進(jìn)行鑒別���。表6.1和6.2描述了在兩種有限域上密鑰交換的時(shí)間和在Web客戶-服務(wù)器環(huán)境下SSL的握手建立共享會(huì)話密鑰的時(shí)間���。
權(quán)利要求
1.一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡(luò)中的應(yīng)用,其特征是分析橢圓曲線密碼體制的安全性和在MANET網(wǎng)絡(luò)使用的可行性���,設(shè)計(jì)符合要求的MANET網(wǎng)絡(luò)橢圓曲線生成算法��,給出橢圓曲線安全點(diǎn)的選取方法以及對(duì)橢圓曲線密碼體制密鑰分配方法��。
2.根據(jù)權(quán)利要求1所述的一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡(luò)中的應(yīng)用�����,其橢圓曲線離散對(duì)數(shù)問題EDLP的特征在于E(Fq)上的橢圓曲線離散對(duì)數(shù)等價(jià)(reduces意為具有相同的計(jì)算復(fù)雜性)到Fqk(Fq的擴(kuò)域)上的離散對(duì)數(shù)問題���,這就是所謂的對(duì)橢圓曲線離散對(duì)數(shù)問題的MOV攻擊方法��。
3.根據(jù)權(quán)利要求1所述的一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡(luò)中的應(yīng)用���,其特征在于在對(duì)EDLP的實(shí)際計(jì)算時(shí),首先分解n��,利用此分解可以容易地檢測(cè)α的階是否為n����,隨機(jī)地在E[n]中選取點(diǎn)Q����,直至α的階為n。如果利用數(shù)域篩法分解n�����,其運(yùn)行時(shí)間為L[1/3,n]�����。
4.根據(jù)權(quán)利要求1所述的一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡(luò)中的應(yīng)用����,其特征在于基于橢圓曲線的密鑰交換協(xié)議取決于EDLP的安全性。對(duì)EDLP的求解包括兩部分一是將Fq上的EDLP規(guī)約(reduce)到Fqk上的DLP�;二是解Fqk上的DLP。所以�����,基于EDLP的密碼系統(tǒng)在安全方面應(yīng)考慮使reduction和DLP二者在計(jì)算上盡量難���。
5.根據(jù)權(quán)利要求4所述橢圓曲線密碼體制應(yīng)用����,在構(gòu)造安全的橢圓曲線密碼系統(tǒng)時(shí)����,首先應(yīng)選用non-supersingular型橢圓曲線,然后利用3種確定系數(shù)a2和a6��。其中計(jì)算#E(Fq)可在多項(xiàng)式時(shí)間內(nèi)得到結(jié)果。在確定橢圓曲線后���,需要在該橢圓曲線上選取一個(gè)安全的點(diǎn)P(階為素?cái)?shù)或含大的素因子)����。建立在non-supersingular型橢圓曲線上的密碼系統(tǒng)��,如果滿足上述構(gòu)造條件�����,對(duì)其進(jìn)行攻擊的方法只能利用PH方法進(jìn)行reduce和解DLP���。
6.根據(jù)權(quán)利要求5所述的將橢圓曲線密碼體制應(yīng)用到MANET網(wǎng)絡(luò)中的情況����,為提高E(Fq)上密碼方案的實(shí)現(xiàn)算法(點(diǎn)乘法)的運(yùn)算速度����,通常將E定義在GF((2n)m)或GF(2k)上�����,GF((2n)m)上的倍點(diǎn)、逆和乘法相對(duì)速度較快�。
全文摘要
本發(fā)明屬于無線網(wǎng)絡(luò)安全保護(hù)領(lǐng)域,特別涉及到對(duì)MANET網(wǎng)絡(luò)安全保護(hù)過程的新型加解密體制和密鑰管理方法研究�����,針對(duì)MANET網(wǎng)絡(luò)特性��,分析了可將橢圓曲線密碼體制應(yīng)用到MANET網(wǎng)絡(luò)的可行性�����,分析了安全橢圓曲線應(yīng)滿足的條件����,給出了安全橢圓曲線密碼系統(tǒng)的構(gòu)造方法和在有安全需求的MANET網(wǎng)絡(luò)中的密鑰交換實(shí)現(xiàn)方法。
文檔編號(hào)H04L29/06GK1913433SQ200610103449
公開日2007年2月14日 申請(qǐng)日期2006年7月21日 優(yōu)先權(quán)日2006年7月21日
發(fā)明者王順滿, 陶然, 王越, 周四永 申請(qǐng)人:北京理工大學(xué)