亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

一種橢圓曲線密鑰交換方法在manet網(wǎng)絡中的應用的制作方法

文檔序號:7965039閱讀:420來源:國知局
專利名稱:一種橢圓曲線密鑰交換方法在manet網(wǎng)絡中的應用的制作方法
技術領域
本發(fā)明涉及一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡中的應用,屬于信息安全保護領域背景技術MANET網(wǎng)絡的應用擴展了網(wǎng)絡用戶的自由度,但是MANET網(wǎng)絡的自由也同樣對系統(tǒng)的安全性帶來了挑戰(zhàn)。MANET網(wǎng)絡的安全要求體現(xiàn)在訪問控制和機密性兩個方面,訪問控制要確保敏感數(shù)據(jù)僅由經(jīng)過授權的用戶來訪問;機密性則要確保傳送的數(shù)據(jù)只被期望的接收方所接收和理解。MANET網(wǎng)絡安全威脅體現(xiàn)在如下幾個方面1,常規(guī)安全威脅依舊存在由于MANET網(wǎng)絡與傳統(tǒng)有線網(wǎng)絡的最大差別在于傳輸方式,作為一種網(wǎng)絡,傳統(tǒng)網(wǎng)絡中諸如病毒、惡意攻擊、非授權訪問等安全風險也都存在于MANET網(wǎng)絡。因此,在設計和使用MANET網(wǎng)絡時要求對這些問題給出考慮。
2,容易受到非授權訪問威脅MANET網(wǎng)絡沒有固定邊界限制,也沒有包括防火墻等安全設備在內(nèi)的接入控制技術。同時,大多數(shù)無線局域網(wǎng)所使用的都是ISM頻段,在該頻段范圍內(nèi)工作的設備非常多,存在同信道和臨信道以及其它設備相互之間的干擾問題。在MANET網(wǎng)絡安全方面需要特別關注未經(jīng)授權的訪問問題,未經(jīng)授權的非法訪問會帶來嚴重后果。首先,未經(jīng)授權的網(wǎng)絡用戶可以進入網(wǎng)絡非法瀏覽存放在MANET網(wǎng)絡上的信息,或者讓網(wǎng)絡感染上病毒;其次,未經(jīng)授權的用戶進入網(wǎng)絡后可以利用該網(wǎng)絡作為攻擊第三方的跳板,并可能誤導對方;第三,入侵者可以對移動終端發(fā)動攻擊。
3,密鑰管理問題MANET網(wǎng)絡密鑰管理是保證MANET網(wǎng)絡安全非常重要的一個措施,目前還沒有針對MANET網(wǎng)絡非常有效的密鑰管理與分配機制。在設計MANET密鑰管理方案時,必須考慮到MANET網(wǎng)絡自身特性和移動終端的特性,在系統(tǒng)計算量和通信量等方面給出充分考慮,以適應不斷提升的系統(tǒng)安全需求。
4,缺少交互認證
MANET網(wǎng)絡設計的另一個缺陷就是移動終端和MANET網(wǎng)絡之間認證過程的異步性。根據(jù)標準要求,只有成功認證后,認證端口才會處于受控狀態(tài)。但對用戶端來講并非如此,用戶端端口實際上總是處于認證成功后的受控狀態(tài)。而整個認證只是MANET系統(tǒng)對移動用戶端的單向認證,攻擊者可以處于用戶和MANET系統(tǒng)之間,對用戶來說,攻擊者充當MANET網(wǎng)絡管理者,而對于MANET網(wǎng)絡管理者來講,攻擊者又充當合法移動終端。
針對上述MANET網(wǎng)絡存在的安全威脅,目前在MANET網(wǎng)絡中使用的常規(guī)安全控制技術包括1,服務集標識符對多個MANET網(wǎng)絡中設置不同的SSID,要求移動終端只有在提供正確的SSID時才可接入網(wǎng)絡,以此實現(xiàn)對網(wǎng)絡用戶的接入控制,并實現(xiàn)對訪問權限的區(qū)別控制。由于該方式僅采用簡單的口令實現(xiàn)安全接入,而且系統(tǒng)SSID非常容易泄漏,因此該方法只能提供較低級別的安全保障。
2,物理地址過濾由于每個以計算機作為接入移動終端的網(wǎng)卡在制造時就擁有一個唯一的物理地址,因此可以在MANET網(wǎng)絡中以手工方式來維護一組允許訪問的MAC地址列表,以此實現(xiàn)物理地址過濾。該方案要求MANET網(wǎng)絡對所有終端的MAC地址列表隨時更新,因此系統(tǒng)可擴展性較差,無法實現(xiàn)移動終端在不同子群之間的漫游;同時,由于移動終端的MAC地址在可以偽造,因此這種方法的安全級別也較低。
3,有線對等加密在鏈路層采用RC4對稱加密技術,只有用戶的加密密鑰與網(wǎng)絡密鑰相同才能被批準接入網(wǎng)絡,以此來防止未經(jīng)授權非法用戶對網(wǎng)絡的監(jiān)聽以及非法用戶對網(wǎng)絡的訪問。WEP算法根據(jù)需要能提供40位、64位或者128位長度的密鑰,但該加密算法仍存在許多安全缺陷。例如,在MANET子集內(nèi)的所有終端用戶都必須要共享同一個密鑰,只要某個用戶丟失或者泄漏了密鑰將會造成整個MANET網(wǎng)絡的不安全。
4,虛擬專用網(wǎng)絡VPN是指在一個公共IP網(wǎng)絡平臺上通過隧道以及加密技術保證專用數(shù)據(jù)的網(wǎng)絡安全性,它不屬于IEEE 802.11標準的定義范圍,但是用戶可以借助VPN來抵抗無線網(wǎng)絡的不安全因素,同時還可以使用基于Radius的用戶認證方案。
5,端口訪問控制技術端口訪問控制技術也是用于MANET網(wǎng)絡的一種增強性安全解決方案。當移動終端與MANET網(wǎng)絡建立關聯(lián)之后,是否可以使用MANET網(wǎng)絡所提供的服務就取決于認證之后的結果。如果通過認證,則MANET網(wǎng)絡會為移動終端用戶打開這個邏輯端口,否則就不允許該接入用戶所提出的服務。
6,擴頻技術與窄帶射頻相反,擴頻發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內(nèi)發(fā)射。擴頻通信技術最早在軍方用來實現(xiàn)保密通信,最初的設計目的是實現(xiàn)抗噪音、抗干擾并實現(xiàn)對未經(jīng)授權接入的檢測。擴頻技術的實現(xiàn)方式有多種,最常用的是直接序列擴頻、跳頻擴頻和跳時以及這些方法的組合。擴頻通信系統(tǒng)的主要優(yōu)點包括抗干擾性強、隱蔽性好、可實現(xiàn)碼分多址、抗多徑干擾及能實現(xiàn)精確定時和測距等。
雖然采取了相應的安全保護措施,但是在MANET網(wǎng)絡中不能與傳統(tǒng)網(wǎng)絡一樣使用過于復雜的算法,因為那樣做會增大系統(tǒng)的處理負荷,不但達不到提高系統(tǒng)安全的目的,反而會適得其反,造成系統(tǒng)性能的喪失。鑒于此,本文對在傳統(tǒng)網(wǎng)絡中較為有效的橢圓曲線密碼體制進行分析,找出適合于MANET網(wǎng)絡要求的加解密方法和對應的密鑰交換方法。

發(fā)明內(nèi)容
本發(fā)明的目的在于找到一種將橢圓曲線應用于MANET網(wǎng)絡進行安全保護的方法,以滿足MANET在移動終端處理能力較弱,并且具有較高安全需求下的安全需求。
本發(fā)明的主要內(nèi)容是針對如何將高效的橢圓曲線密碼體制應用到對MANET網(wǎng)絡的安全保護,給出安全加解密和密鑰管理方案。
橢圓曲線離散對數(shù)問題EDLP的特征在于E(Fq)上的橢圓曲線離散對數(shù)等價(reduces意為具有相同的計算復雜性)到Fqk(Fq的擴域)上的離散對數(shù)問題,這就是所謂的對橢圓曲線離散對數(shù)問題的MOV攻擊方法。
在對EDLP的實際計算時,首先分解n,利用此分解可以容易地檢測α的階是否為n,隨機地在E[n]中選取點Q,直至α的階為n。如果利用數(shù)域篩法分解n,其運行時間為L[1/3,n]。
基于橢圓曲線的密鑰交換協(xié)議取決于EDLP的安全性。對EDLP的求解包括兩部分一是將Fq上的EDLP規(guī)約(reduce)到Fqk上的DLP;二是解Fqk上的DLP。所以,基于EDLP的密碼系統(tǒng)在安全方面應考慮使reduction和DLP二者在計算上盡量難。
在構造安全的橢圓曲線密碼系統(tǒng)時,首先應選用non-supersingular型橢圓曲線,然后利用3種確定系數(shù)a2和a6。其中計算#E(Fq)可在多項式時間內(nèi)得到結果。在確定橢圓曲線后,需要在該橢圓曲線上選取一個安全的點P(階為素數(shù)或含大的素因子)。建立在non-supersingular型橢圓曲線上的密碼系統(tǒng),如果滿足上述構造條件,對其進行攻擊的方法只能利用PH方法進行reduce和解DLP。
為提高E(Fq)上密碼方案的實現(xiàn)算法(點乘法)的運算速度,通常將E定義在GF((2n)m)或GF(2k)上,GF((2n)m)上的倍點、逆和乘法相對速度較快。
本發(fā)明的技術方案對橢圓曲線離散對數(shù)問題進行分析,找出安全橢圓曲線的生成方法,提出構造橢圓曲線的算法并選取安全點,然后對橢圓曲線在MANET網(wǎng)絡中的快速實現(xiàn)算法和密鑰交換協(xié)議進行分析。
公鑰密碼體制是建立在單向陷門函數(shù)基礎上的。本節(jié)首先描述了傳統(tǒng)的基于有限乘法群上離散對數(shù)和整數(shù)分解問題的密碼體制,分析其在安全方面所面臨的問題和其在運算性能上的不足,進而給出基于橢圓曲線的公鑰密碼體制的應用前景。Diffie-Hellman密鑰交換協(xié)議的安全性建立在群上離散對數(shù)問題上,公鑰為gx、gy、p和g,私鑰為x和y,通信雙方以群上運算結果(gy)x=(gxy)作為短期密鑰。離散對數(shù)問題定義為已知由g生成的循環(huán)群G和y∈G,且G是有限域GF(P)上的乘法群,求x∈GF(P),使得y=gx(y=loggx)。
在理論上,RSA建立在對大整數(shù)n的分解難題上,即,已知合數(shù)n,求p和q,使得n=pq。目前,對大于100位十進制整數(shù)的有效分解方法是二次篩法QS、數(shù)域篩NFS和橢圓曲線分解等算法。利用NFS可在數(shù)月時間分解512位RSA合數(shù)。基于橢圓曲線的整數(shù)分解方法ECM是當前最有效的方法,Peter Montgomery成功地從一個449二進制位的合數(shù)分解出一個157二進制位的素因子,這是已知最好的結果。
從對RSA算法的直接攻擊考慮,當Φ(n)=(p1-1)(p2-1)僅由小的素因子組成時,則很容易在小的范圍內(nèi)攻擊密文。當gcd(p1-1,p2-1)較大時,設p1-1和p2-1的最小公倍數(shù)為u,則u<Φ(n),對于a,b∈ZΦ(n)且a,b∈Zu,如果,ab≡1modΦ(n),則ab≡1mod u,此時較容易發(fā)現(xiàn)解密密鑰b。
由于用戶對安全要求的提高,而提高素數(shù)和公鑰位數(shù)(1024二進制位)時,基于乘法群上的公鑰算法運行速度以指數(shù)數(shù)量下降,如對于目前離散對數(shù)攻擊方法而言,要求D-H方案的素數(shù)模P的長度應大于512二進制位,通常情況下,當P取1024位時,密鑰交換時間至少為4秒。1985年Koblitz和Miller提出利用橢圓曲線上的點構成的abelian加法群構造離散對數(shù)問題,從已有的攻擊算法表明基于有限域橢圓曲線上的對數(shù)問題的難度(reduce)在復雜性上與乘法群上的離散對數(shù)難度相同,且橢圓曲線所基于的域的運算位數(shù)遠小于傳統(tǒng)離散對數(shù)的運算位數(shù),其加法運算很容易用計算機的硬件和軟件實現(xiàn),特別是基于GF(2n)的橢圓曲線。如基于GF(2255)的密鑰交換時間通常為幾十毫秒。從安全方面考慮,用戶可隨意地選擇安全的橢圓曲線,如對基于K=GF(p)上的橢圓曲線,p=2n,y2+xy=x3+a2x2+a6,用戶可在GF(p)上隨機選取a2和a6。在應用方面,利用基于有限域的橢圓曲線可實現(xiàn)數(shù)據(jù)加密、密鑰交換、數(shù)字簽名等密碼方案。
本發(fā)明首先對橢圓曲線的離散對數(shù)問題進行分析,然后給出構造安全橢圓曲線的有效方法,給出橢圓曲線快速實現(xiàn)算法并找出有效的密鑰分配方案。


下面結合附圖和具體實施方式
對本發(fā)明作進一步說明。
圖1為橢圓曲線密鑰交換方法在MANET網(wǎng)絡中的應用;圖2描述了在一種有限域上密鑰交換的時間和在Web客戶-服務器環(huán)境下SSL的握手建立共享會話密鑰的時間;圖3描述了在另一種有限域上密鑰交換的時間和在Web客戶-服務器環(huán)境下SSL的握手建立共享會話密鑰的時間;圖4描繪了在Sun-SPARC10上橢圓曲線倍點xP和乘法群模指數(shù)gx運算的時間比較,在安全上(MOV攻擊算法)通常認為GF(2155)橢圓曲線的倍點問題與gx≈1024一樣難,而運行時間前者比后者快10倍以上。
具體實施例方式
一、橢圓曲線安全算法分析1,橢圓曲線離散對數(shù)問題EDLPMenezes將E(Fq)上的橢圓曲線離散對數(shù)等價(reduces意為具有相同的計算復雜性)到Fqk(Fq的擴域)上的離散對數(shù)問題,這就是所謂的對橢圓曲線離散對數(shù)問題的MOV[11]攻擊方法。
任何一個有限abelian群G都可以表示為由它分解成的若干循環(huán)群的和。當這種分解是唯一時,即G=Zn1Zn2Zn3...Zns,其中ni+1|ni,i=1,2,3,..,s-1,ns>2,Zn(或Z/n)表示階為n的群,則可引出以下定義。
算法1求k的部分信息輸入P0∈E(Fq),P0的最大階為n1,同時,已知R,且R=l×P0。
輸出一個整數(shù)l`,l`≡l(mod n`),其中n`是n2的因子。
1隨機選取一個點T∈E(Fq)。
2計算α=en1(P,T),]]>β=en1(P,T).]]>3計算l`(Fqk上β的離散對數(shù),基是α,即,l`=logαβ)。
算法2EDLP到Fqk上的DLP的等價方法輸入P0∈E(Fq),P0的階為n,R∈<P>。
輸出一個整整數(shù)k,且R=l×P0。
1確定最小的整數(shù)k,且E[n]∈E(Fqk).]]>2尋找Q∈E[n],且α=en(P,Q)的階為n。
3計算β=en(R,Q)。
4計算l(Fqk上β的離散對數(shù),基是α,即,l=logαβ,n-1>l>0)其中<P>表示由E(Fq)上具有最大階的點P生成的子群。由于β=en(R,Q)=en(kP,Q)=en(P,Q)l=αl,所以,算法2的輸出是正確的。當k非常大時,利用算法2求解(l=logR)通常運行指數(shù)時間,但對于Supersingular形橢圓曲線的EDLP則不然。
2,Supersingular形橢圓曲線的Reduction算法對于Supersingular形橢圓曲線文獻11和62給出了可在多項式時間運行的算法6.3。Supersingular形橢圓曲線的EDLP到Fqk上DLP的等價算法。
輸入P0∈E(Fq),P0的階為n,R∈<P>,E(Fq)定義在supersingular形橢圓曲線上。輸出一個整整數(shù)k,且R=l×P0。
1確定最小的整數(shù)k和c,從6類supersingular形橢圓曲線信息表中[2]2隨機選取點Q`∈E[Fqk],]]>設置Q=(cn1/n),Q有n階。
3計算α=en(P,Q),β=en(R,Q)。
4計算l`(Fqk上β的離散對數(shù),基是α,即,l`=logαβ)。
5檢查R=l`×P0是否成立?如果不成立,α必須小于n,轉向2;如果成立,則結束。
如果E(Fq)是一個supersingular形橢圓曲線,則,將E(Fq)上的離散對數(shù)問題reduce到Fqk上的離散對數(shù)問題是一個概率多項式時間的reduction。
在對EDLP的實際計算時,首先分解n,利用此分解可以容易地檢測α的階是否為n,隨機地在E[n]中選取點Q,直至α的階為n。如果利用數(shù)域篩法分解n,其運行時間為L[1/3,n]。算法3的reduction時間為概率多項式時間,當考慮有限域離散對數(shù)問題的亞指數(shù)時間時,如果q是素數(shù)或q=pm,其中P是素數(shù),則可以得出推論3,Non-supersingular形橢圓曲線的EDLP難度設non-supersingular上的E(Fq)的特征為p,P是E(Fq)上階為n的點,R∈<P>,如果gcd(n,q)=1,則可以利用算法2正確地計算logPR。
算法2可以容易地推廣到gcd(n,q)≠1的情況。設n=psn`,s>=1,gcd(n`,p)=1,令P`=psP,R`=psR,R`∈<P`>,則利用算法2可得logp`R`≡logpR mod(n`)設P``=n`P,R``=n`R,則ord(P``)=ps,R``∈<P``>,利用Pohlig-Hellman方法可以計算logP``R``,觀察logP``R``≡logPR mod(ps)。
利用中國剩余定理可以求出logpR。
對于多數(shù)non-supersingular上的EDLP的求解時間為完全指數(shù)時間。設gcd(n,q)=1,F(xiàn)q上離散對數(shù)的運行時間為L(q,c,1/3)。算法6.2規(guī)約(reduce)EDLP到Fqk上的DLP的運行時間為L(qk,c,1/3),算法2中E[n]∈E(Fqk)]]>或立的條件是n|qk-1,對于隨機地選取階為n的點,n≈q,不可能出現(xiàn)k<=(lnq)2,即,只要n和q同時是素數(shù),則可以滿足條件n|qk-1。這對于多數(shù)non-supersingular橢圓曲線是容易滿足的。
二、構造安全的橢圓曲線1,EDLP安全理論安全是指在目前已知的對橢圓曲線離散對數(shù)攻擊算法的攻擊下,橢圓曲線應滿足的條件,這主要包括選取安全的橢圓曲線,如何從橢圓曲線上選取安全的點P。首先,由第3章可知,安全橢圓曲線的構造應選取non-supersingular橢圓曲線,即當q=2n時a6≠0,當q是素數(shù)時a23+27a62≠0且#E(Fq)≠q+1。更進一步,當前最有效的攻擊算法Pollard-ρ方法解離散對數(shù)問題需要 步,其中r是n的最大素因子,n是點P的階,n-1>l>0,為抵御PH的離散對數(shù)攻擊(求解l),n必須滿足包含大的素因子的條件。而對于Menezes的歸約(MOV reduction)算法的攻擊,必須保證k>c,c足夠大。
定理1 E(Fq)上對數(shù)問題是完全指數(shù)運算時間問題,當且僅當#E(Fq)的素因子r不能整除qv-1,其中v=1,2,3,..,10,定理2 E(Fq)上對數(shù)問題是完全指數(shù)運算時間問題,當且僅當#E(Fq)能被一個形如2ip+1的素數(shù)整除,且 定理3 設p是一素數(shù),D是一個正整數(shù),則4p=x2+Dy2有解(x,y),當且僅當-D是模p的二次剩余,同時多項式HD(x)有模p的根。
定理4 給定D,設p是一素數(shù),且4p=x2+Dy2,則存在一橢圓曲線E(Fq),滿足4#E(Fq)=(x-2)2+Dy2,即橢圓曲線E(Fq)可以由HD(x)模p的根得到。
2,Non-supersingular橢圓曲線加法群的點計數(shù)#E(Fq)構造安全橢圓曲線密碼系統(tǒng)首先是要選擇一條安全的橢圓曲線,即確定橢圓曲線方程的各項系數(shù),a2和a6。由第3節(jié)MOV攻擊算法可知E(Fq)的階的確定對安全是重要的。所以,首先必須計算#E(Fq)。根據(jù)Hasse定理,|#E(Fq)-q-1|<=2q.]]>定義在F2n的non-supersingular橢圓曲線E(F2n)的點計數(shù)的方法是#E(F2n)=2n+1-t,|t|<22n.---(1)]]>E(Fq)的基m(cardinality)定義為m=2n+1-t,其中t是一個整數(shù),|t|<22n.]]>傳統(tǒng)的計數(shù)方法[11]是利用baby setps giant steps(Schoof,1985)方法測試所有可能的t,直至滿足(1)。該方法的運算時間為O(2n/4),即,多項式時間。
Schoof算法利用Forbenius的特性E將 影射到自己;發(fā)送點(x,y,1)到(xq,yq,1)。
由自同態(tài)特征方程2-t+q=0 (2)其中,t滿足基m=2n+1-t。
取素數(shù)l,當E作用在tarsion群E[l]時,式(2)可寫成2-t+q≡O mod l(3)發(fā)現(xiàn)足夠多的l(tl),且所有的l滿足Πl>4q;]]>tl≡t(mod l),利用中國剩余定理可求出t,從而得到#E(Fq)。0<k<l,設k≡q(mod l),尋找τ,0<τ<l,則有(xq2,yq2)+k(x,y)=τ(xq,yq)=t(xq,yq)---(4)]]>(t-τ)(xq,yq)=O,O是E的自同態(tài),由于(xq,yq)是階為1的點,所以τ≡t(mod l)。
三、構造安全橢圓曲線的算法安全橢圓曲線的生成方法有以下三種1,隨機選取橢圓曲線(a)隨機選取a2和a6,且a2,a6∈Fq,構成橢圓曲線E(Fq);(b)計算#E(Fq);(c)檢驗E(Fq)是否包含大素因子r,否則轉(a);(d)檢驗r是否滿足定理6.3或6.4;(e)E(Fq)是安全橢圓曲線。
2,給定階m求曲線E(Fq)當q是一個素數(shù)時,E(Fq)的計算方法如下(a)隨機選取一整數(shù)m,且q+1-2q≤m≤q+1+2q,]]>同時m包含的大素因子r滿足定理6.3或6.4;(b)利用定理6.5和6.6(文獻64 Francois Morain)算法計算a2和a6,且a2,a6∈Fq;(c)E(Fq)是安全橢圓曲線。
當q=2n時,利用Lay-Zimmer算法計算E(Fq)。
(a)選擇一小整數(shù)cmax;(b)利用Lay-Zimmer算法計算a2和a6,其中橢圓曲線E(F2n)的階m=cr,r是素數(shù),c<cmax;(c)如果r能整除(2n)v-1,則轉(a);其中v=1,2,3,....,10;(d)E(F2n)是安全橢圓曲線。
3,Weil定理方法設F2n上,n的小素因子為k。
(a)隨機選取一橢圓曲線Ey2+xy=-x3+a2x2+a6,a6≠0,,a2,a6∈F2k,]]>由于F2k是F2n的子域,所以,a2,a6∈F2n,]]>E是F2n上的橢圓曲線;
(b)計算w=#E(F2k);]]>(c)設t=qk+1-w,c=m/k,定義數(shù)列{Vn},V1=2,V2=t,Vn=t Vn-1-2k Vn-2,n>2,計算Vc,u=#E(F2n)=2n+1-Vc;]]>(d)如果u不能被一個大素數(shù)r整除,則轉(a);(e)如果r能整除(2n)v-1,則轉(a);其中v=1,2,3,...10;(f)E(F2n)是安全橢圓曲線。
四、選取安全點對于基于離散對數(shù)問題的密碼放案的攻擊是從點lP的倍數(shù)l。對于Pollard-ρ攻擊方法而言,最安全點P的階應為素數(shù)。
P的階的計算方法是測試一些a和b,直至aP=bP,且b>a,則最小的c即為點P的階,且cp=(b-a)P=OE。
五、橢圓曲線的快速實現(xiàn)算法為實現(xiàn)有限域上的快速逆和乘法,橢圓曲線的實現(xiàn)可以在復合域GF((2n)m)和GF(2k)兩種有限域上,其中GF((2n)m)≌GF(2nm)如n=16,m=素數(shù)或gcd(m,n)=1。使用符合域的好處在于其基本域GF(2n)可以預計算{22,23,..,2nm+1),從而提高速度。本節(jié)主要內(nèi)容參照文獻65和66。
1,乘法nP和倍點算法設P=(x,y),傳統(tǒng)的倍點2P=(x1,y1)算法是利用E(Fq)群加法x1=(x+yx)2+(x+yx)+α---(1)]]>y1=x2+(x+yx)x1+x1---(2)]]>由上式可知,倍點需要有限域Fq上的7次加法、2次乘法、1次平方及1次逆(1/x)運算。而nP的計算是反復倍點運算。模擬有限域上的模指數(shù)運算可以提高速度,如平方乘,k-ary,window等方法。文獻9給出了E(Fq)的k-ary乘法算法。
P∈E(Fq),n=(et,et-1,..,e1,e0)b,b=2k,k>=1(或稱為窗口長度,如k=5),則Q=nP可由以下算法求出nP算法(輸入P∈E(Fq),輸出Q=nP)1預計算
P0←OE;Fori=1 to 2k-1Pi=Pi-1+P;(Pi=iP)2 Q←OE;3 for i=t to 0Q←2kQ;/*k-ary t次點加*/Q←Q+Pei;4 return(Q).
為進一步提高速度,文獻65給出了直接計算2k的方法,該方法較反復倍點運算快。更進一步,文獻66-4.3節(jié)給出滑動窗口方法,并在第7章給出了一種改進的算法,預計算2iP(2P,4P,8P,..)。
2,有限域GF((2n)m)元素的逆橢圓曲線乘法運算中最耗費時間的運算是逆運算。為提高效率,考慮在有限域GF((2n)m)上的橢圓曲線,GF((2n)m)和GF(2n)/P(x))同構,如GF((216)11)≌GF(2176),P(x)=x11+x2+1。其中P(x)=xm+Σi=0m-1pixi,pi∈GF(2n),]]>如果gcd(m,n)=1,則P(x)是定義在GF(2n)上度為m的不可約首一多項式。設A∈GF((2n)m),則A(x)=am-1xm-1+am-2xm-2+..+a1x+a0(6.3)其中ai∈GF(2n)。利用Fermat小定理A2nm-1=AA2nm-2=1 mod P(x),可得A-1=A2nm-2A的逆可以通過加法鏈22nm-2=2+22+23+..+2nm+1預計算提高運算速度。
Ar=Ar-1A,r-1=2mn-12n-1-1=2n+22n+23n+..+2(m-1)n]]>A-1=(Ar)-1Ar-1。
3,有限域GF((2n)m)元素的加法C(x)=A(x)+B(x),系數(shù)相加,由于系數(shù)是n(8、16或32)位二進制,所以速度較快。
4有限域GF((2n)m)元素的乘法乘法是E(GF((2n)m))中第2費時的運算。設A,B∈GF((2n)m),并表示為(6.3)式,C(x)=A(x)B(x)mod P(x)。令m=2tl-1,t是整數(shù),k=2m+1,C(x)的度<2m-1,A和B可以表示為以下形式。
A(x)=xk2(0xk2-1+ak-2xk2-2+...+ak2)+(ak2-1xk2-1+...+a0)=Ahxk2+Al]]>B(x)=xk2(0xk2-1+bk-2xk2-2+...+bk2)+(bk2-1xk2-1+...+b0)=Bhxk2+Bl]]>5點的階與安全點設點P,對于任意a,b,當b>a時,如果a*P=b*P成立,則c*P=OE,其中c=b-a.。最小的c即為點P的階。因為c能夠整除橢圓曲線的階,所以,只要已知橢圓曲線的階包含大素因子,利用Weil方法,確定橢圓曲線E,就能夠容易地找到階為素數(shù)的安全點。
本文在有限域GF(2255)=GF((215)17),y2+xy=x3+161,階為素數(shù)的安全點P為const ecPoint curve_point={/*P.x=*/{17,0x38cc,0x052f,0x2510,0x45aa,0x1b89,0x4468,0x4882,0x0d67,0x4feb,0x55ce,0x0025,0x4cb7,0x0cc2,0x59dc,0x289e,0x65e3,0x56fd,},/*P.y=*/{17,0x31a7,0x65f2,0x18c4,0x3412,0x7388,0x54c1,0x539b,0x4a02,0x4d07,0x12d6,0x7911,0x3b5e,0x4f0e,0x216f,0x2bf2,0x1974,0x20da,},};/*curve_point*/P的階為一個255位的素數(shù)1026dd85081b82314691ced9bbec30547840e4b0e4bf72d8b5e0d258442bbcd31。
六、密鑰交換協(xié)議及實現(xiàn)密鑰交換是通信實體A和B建立本次會話密鑰的協(xié)議,設A和B已知橢圓曲線公鑰信息,即橢圓曲線E基于的域GF(q)、橢圓曲線E、橢圓曲線上的點P和點P的階n。在本文的安全WWW環(huán)境中,A方作為Web服務器,B方是Win95客戶瀏覽器,Web在收到瀏覽器的握手Hello信息后,向瀏覽器發(fā)送橢圓曲線公鑰信息,主要包括ECParameters ::=SEQUENCE {versionINTEGER -- 版本號,fieldIDFieldID -- 定義E的有限域GF(q)curve Curve, -- 橢圓曲線a和b的系數(shù)base ECPoint,-- 用于密鑰交換的點Porder INTEGER,-- P的階cofactor INTEGER, … }
A的私鑰為dA,公鑰為QA=dAP=(xA;yA)。B的私鑰為dB,公鑰為QB=dBP=(xB;yB)。
模擬Diffie-Hellman協(xié)議可得出基于橢圓曲線的基本密鑰交換協(xié)議,即,實體B收到QA后,計算會話密鑰K=QAdB,同理,A計算會話密鑰K=QBdA。下面是一個具有鑒別功能的密鑰交換過程(1)實體A(a)選擇隨機整數(shù)KA,KA∈GF(q),1≤KA≤n-1;(b)計算點P的倍數(shù),(x1;y1)=RA=KAP;(c)A發(fā)送RA至B。
(2)實體B(a)選擇隨機整數(shù)KB,KB∈GF(q),KB∈{1,2,..,n-1};(b)計算點P的倍數(shù),(x2;y2)=RB=KBP;(c)B發(fā)送RB至A。
(3)實體A計算共享的會話密鑰(a)計算SA=KA+x1dAxAmod n;(b)計算會話密鑰K=sA(RB+x2xBQB)。
(4)實體B計算共享的會話密鑰(a)計算sB=KB+x2dBxBmod n;(b)計算會話密鑰K=sB(RA+x1xAQA)。
上述協(xié)議的安全性依賴于橢圓曲線離散對數(shù)問題,在實體A已知QB和實體A已知QB的情況下,雙方可以對收到的RB和RA數(shù)據(jù)源進行鑒別。表6.1和6.2描述了在兩種有限域上密鑰交換的時間和在Web客戶-服務器環(huán)境下SSL的握手建立共享會話密鑰的時間。
權利要求
1.一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡中的應用,其特征是分析橢圓曲線密碼體制的安全性和在MANET網(wǎng)絡使用的可行性,設計符合要求的MANET網(wǎng)絡橢圓曲線生成算法,給出橢圓曲線安全點的選取方法以及對橢圓曲線密碼體制密鑰分配方法。
2.根據(jù)權利要求1所述的一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡中的應用,其橢圓曲線離散對數(shù)問題EDLP的特征在于E(Fq)上的橢圓曲線離散對數(shù)等價(reduces意為具有相同的計算復雜性)到Fqk(Fq的擴域)上的離散對數(shù)問題,這就是所謂的對橢圓曲線離散對數(shù)問題的MOV攻擊方法。
3.根據(jù)權利要求1所述的一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡中的應用,其特征在于在對EDLP的實際計算時,首先分解n,利用此分解可以容易地檢測α的階是否為n,隨機地在E[n]中選取點Q,直至α的階為n。如果利用數(shù)域篩法分解n,其運行時間為L[1/3,n]。
4.根據(jù)權利要求1所述的一種橢圓曲線密鑰交換方法在MANET網(wǎng)絡中的應用,其特征在于基于橢圓曲線的密鑰交換協(xié)議取決于EDLP的安全性。對EDLP的求解包括兩部分一是將Fq上的EDLP規(guī)約(reduce)到Fqk上的DLP;二是解Fqk上的DLP。所以,基于EDLP的密碼系統(tǒng)在安全方面應考慮使reduction和DLP二者在計算上盡量難。
5.根據(jù)權利要求4所述橢圓曲線密碼體制應用,在構造安全的橢圓曲線密碼系統(tǒng)時,首先應選用non-supersingular型橢圓曲線,然后利用3種確定系數(shù)a2和a6。其中計算#E(Fq)可在多項式時間內(nèi)得到結果。在確定橢圓曲線后,需要在該橢圓曲線上選取一個安全的點P(階為素數(shù)或含大的素因子)。建立在non-supersingular型橢圓曲線上的密碼系統(tǒng),如果滿足上述構造條件,對其進行攻擊的方法只能利用PH方法進行reduce和解DLP。
6.根據(jù)權利要求5所述的將橢圓曲線密碼體制應用到MANET網(wǎng)絡中的情況,為提高E(Fq)上密碼方案的實現(xiàn)算法(點乘法)的運算速度,通常將E定義在GF((2n)m)或GF(2k)上,GF((2n)m)上的倍點、逆和乘法相對速度較快。
全文摘要
本發(fā)明屬于無線網(wǎng)絡安全保護領域,特別涉及到對MANET網(wǎng)絡安全保護過程的新型加解密體制和密鑰管理方法研究,針對MANET網(wǎng)絡特性,分析了可將橢圓曲線密碼體制應用到MANET網(wǎng)絡的可行性,分析了安全橢圓曲線應滿足的條件,給出了安全橢圓曲線密碼系統(tǒng)的構造方法和在有安全需求的MANET網(wǎng)絡中的密鑰交換實現(xiàn)方法。
文檔編號H04L29/06GK1913433SQ200610103449
公開日2007年2月14日 申請日期2006年7月21日 優(yōu)先權日2006年7月21日
發(fā)明者王順滿, 陶然, 王越, 周四永 申請人:北京理工大學
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1