專利名稱：：基于信任的新鮮性建立密碼協(xié)議安全性的方法
技術領域：
：本發(fā)明涉及的是一種信息安全
技術領域：
的方法，特別涉及一種基于信任的新鮮性建立密碼協(xié)議安全性的方法。
背景技術：
：密碼協(xié)議，又稱安全協(xié)議，是建立在密碼體制基礎上的交互通信協(xié)議，為在開放的網(wǎng)絡環(huán)境中傳送的各種信息，提供保密性、認證性、完整性和不可否認性。密碼協(xié)議的安全目標是多種多樣的。認證協(xié)議是以主體身份的認證或會話密鑰的建立為目標的密碼協(xié)議，是其它安全通信協(xié)議的基礎。但已有的密碼協(xié)議往往被證實并不如它們的設計者所期望的那樣安全，設計和驗證一個正確的密碼協(xié)議是一項十分困難的任務。人們常常借助形式化方法，對密碼協(xié)議進行設計和驗證。雖然研究人員提出了許多嚴格的安全性驗證方法，用于密碼協(xié)議安全性的驗證，并取得了有目共睹的成績，但是，仍有許多重要問題還沒有得到滿意的解決(l).不能有效判定消息是否具有新鮮性，從而無法防止重放和混淆的攻擊，是多協(xié)議運行環(huán)境、攻擊者能力的具體形式化描述相關的。(2).沒有給出具體量化指標以保證密碼協(xié)議具有足夠的安全性，從而無法對協(xié)議的正確性給出既充分又必要的判定。經(jīng)對現(xiàn)有技術的文獻檢索發(fā)現(xiàn)，MichaelBurrows等在《ACMTransactionsonComputerSystems》(ACM計算機系統(tǒng)學報)(1989,第8巻，第1期，第18一36頁)上發(fā)表的"Alogicofauthentication"(—種認證邏輯，以下簡稱BAN邏輯)開創(chuàng)性地提出了基于邏輯推理的密碼協(xié)議安全性驗證方法，成功地找出了許多認證協(xié)議中的安全缺陷，其后，研究人員對它進行了改進和擴充，形成了BAN類邏輯，它們從各個不同的方面對BAN邏輯作了改進。但是，BAN類邏輯認為X從來沒有出現(xiàn)在密碼協(xié)議的任何一條消息中，則X就是新鮮的。所以，盡管BAN類邏輯在揭示協(xié)議所遺漏的隱含假設方面是非常成功的，但它的推理規(guī)則卻不能有效區(qū)分消息是否新鮮，從而是多協(xié)議運行環(huán)境、攻擊者能力的具體形式化描述相關的，也無法檢測到交錯攻擊和重放攻擊。另外，由于BAN類邏輯中協(xié)議的理想化過程是非標準的，給出的保證密碼協(xié)議具有足夠的安全性的具體量化指標不能對協(xié)議的正確性給出既充分又必要的判定，從而，BAN類邏輯證明為安全的協(xié)議，卻并不能令人信服其安全性。
發(fā)明內(nèi)容本發(fā)明針對現(xiàn)有技術的不足，提供了一種基于信任的新鮮性建立密碼協(xié)議安全性的方法，本發(fā)明基于新鮮性原則提出了保證認證協(xié)議單方實體認證安全、雙方實體認證安全、單方密鑰安全、雙方密鑰傳輸安全、雙方密鑰協(xié)商安全的精確量化指標。這些量化指標能對協(xié)議的正確性給出既充分又必要的判定，也就是說，驗證結(jié)果或者能證明驗證的密碼協(xié)議是正確的，或者能指出密碼協(xié)議安全屬性的缺失，并能由安全屬性的缺失直接導出攻擊的結(jié)構(gòu)。本發(fā)明是通過如下技術方案實現(xiàn)的，本發(fā)明包括如下步驟步驟-一，明確密碼協(xié)議將要達成的安全目標單方實體認證，雙方實體認證，單方密鑰安全，或者雙方密鑰安全。安全目標指密碼協(xié)議運行完成時期望滿足的一些安全性質(zhì)，如保密性、認證性、完整性、不可否認性和公平性等。密碼協(xié)議的安全目標各有不同，認證協(xié)議是以認證和認證的密鑰建立為目標的密碼協(xié)議，主要有單方實體認證在協(xié)議的某次運行中，參與通信的某一方認證另一方的身份。雙方實體認證在協(xié)議的某次運行中，參與通信的雙方互相認證對方的身份。單方密鑰安全在協(xié)議的某次運行中，參與通信的某一方認證另一方的身份，并相信由被認證的另一方為本次運行產(chǎn)生的新會話密鑰能夠在不安全的網(wǎng)絡環(huán)境中為敏感數(shù)據(jù)提供一個安全的通信信道。雙方密鑰安全在協(xié)議的某次運行中，參與通信的雙方互相認證對方的身份，并由其中一個主體或者兩個主體共同生成一個新的會話密鑰。通信的雙方都相信新會話密鑰能夠在不安全的網(wǎng)絡環(huán)境中為敏感數(shù)據(jù)提供一個安全的通信信道。本發(fā)明中，密碼協(xié)議安全屬性指協(xié)議某次運行中一個合法參與主體擁有的關于該密碼協(xié)議安全性的信任，包括主體的活現(xiàn)性信任、新鮮性標識符的保密性信任、新鮮性標識符的新鮮性信任、新鮮性標識符的關聯(lián)性信任。主體的活現(xiàn)性指協(xié)議中的一個合法參與者相信交互的另一方的確參與了協(xié)議的本次運行；新鮮性標識符的保密性指協(xié)議中的某個合法參與者相信該標識符是以攻擊者不可知的密文方式傳送的，即是保密的；新鮮性標識符的新鮮性指協(xié)議中的某個合法參與者相信該標識符是本次協(xié)議運行中新產(chǎn)生的，而不是一個舊的會話值；新鮮性標識符的關聯(lián)性指協(xié)議中的某個合法參與者相信這個新鮮性標識符是與本次協(xié)議運行的主體相關聯(lián)的，而不可能與其它主體關聯(lián)。單方實體認證的安全目標在協(xié)議的某次運行中，參與通信的某一方認證另一方的主體活現(xiàn)性。雙方實體認證的安全目標在協(xié)議的某次運行中，參與通信的雙方互相認證對方的主體活現(xiàn)性。單方密鑰安全的安全目標在協(xié)議的某次運行中，參與通信的某一方認證另一方的主體活現(xiàn)性，并相信由被認證的另一方為本次運行產(chǎn)生的新會話密鑰是保密的、新鮮的、是與通信雙方關聯(lián)的。雙方密鑰安全的安全目標在協(xié)議的某次運行中，參與通信的雙方互相認證對方的主體活現(xiàn)性，并由其中一個主體或者兩個主體共同生成一個新的會話密鑰。通信的雙方都相信新會話密鑰是保密的、新鮮的、是與通信雙方關聯(lián)的。假設存在一個認證協(xié)議n，它的目標是進行主體身份的認證，或者在兩個主體A和B之間建立一個用于安全通信的新會話密鑰kab。新會話密鑰kab可以有這樣三種產(chǎn)生方式(1)由協(xié)議的某個參與方產(chǎn)生的；(2)由認證協(xié)議it中的可信第三方S產(chǎn)生；(3)由通信雙方A、B的隨機輸入Na、Nb共同生成。保證認證協(xié)議安全性的充分必要條件，即保證認證協(xié)議足夠安全的量化安全目標如下<table>tableseeoriginaldocumentpage7</column></row><table>注'""表示主體活現(xiàn)性不可知，"1"表示主體活現(xiàn)性得到認證。u""或""表示新鮮性標識符的保密性不可知，"o"表示沒有保密性，"r表示具有保密性。m""或""表示新鮮性標識符的新鮮性不可知，"o"表示沒有新鮮性，"r表示具有新鮮性。w"#"或""表示新鮮性標識符未與任何主體關聯(lián)，IIA(或IIB)表示與A(或B)關聯(lián)。11BA和11AB均表示新鮮性標識符與A和B關聯(lián)。這些量化指標能對協(xié)議的正確性給出既充分又必要的判定，也就是說，驗證結(jié)果或者能證明驗證的密碼協(xié)議是正確的，或者能指出密碼協(xié)議安全屬性的缺失，并能由安全屬性的缺失直接導出攻擊的結(jié)構(gòu)-(1)主體活現(xiàn)性缺失偽裝成該主體發(fā)起針對該認證協(xié)議的攻擊。(2)新會話密鑰的保密性缺失新會話密鑰攻擊者已知。(3)新會話密鑰的新鮮性缺失使用一個已經(jīng)得到的、或者舊的會話密鑰欺騙某個誠實的協(xié)議參與者，是個重放攻擊。(4)新會話密鑰的關聯(lián)性缺失使用與其它協(xié)議運行實例中的主體相關聯(lián)的會話密鑰，來欺騙某個誠實的協(xié)議參與者。如果擁有主體活現(xiàn)性信任，而新會話密鑰的關聯(lián)性缺失，則暗示了一個交錯攻擊。步驟二，明確密碼協(xié)議安全性驗證的初始假設密碼協(xié)議參與者在協(xié)議運行前已經(jīng)獲得了自身的私鑰和其他參與者的公鑰，或者已經(jīng)獲得了自己與通信對方或者與可信第三方的長期共享密鑰。假設密碼協(xié)議中使用的密碼算法是安全的，即密碼協(xié)議不安全不是因為該底層密碼算法不安全，而是因為協(xié)議設計上的缺陷。這些缺陷使得攻擊者能夠在不需要破解密碼算法的條件下，就可以破壞密碼協(xié)議的安全性目標。對于采用非對稱密碼技術的機制，假設密碼協(xié)議參與者在協(xié)議運行前已經(jīng)獲得了自身的私鑰和其他參與者的公鑰；對于采用對稱密碼技術的機制，假設密碼協(xié)議參與者在協(xié)議運行前已經(jīng)獲得了自己與通信對方(或與可信第三方)的長期共享密鑰。假設密碼協(xié)議參與者能保證自身為協(xié)議的某次運行產(chǎn)生的新鮮性標識符具有唯一性和新鮮性。步驟三，在發(fā)送或者接收每一句消息(Message*)后，基于步驟二的密碼協(xié)議安全性的初始假設以及新鮮性原則建立每個通信參與主體獲得的密碼協(xié)議安全屬性，直至協(xié)議運行結(jié)束。新會話密鑰和新會話密鑰生成部分之外的其他新鮮性標識符，以及非認證主體，或非建立新會話密鑰主體的活現(xiàn)性，都僅在安全屬性驗證過程中出現(xiàn)，用于幫助得到最終的密碼協(xié)議安全屬性。所述新鮮性原則指對每個通信參與主體而言，密碼協(xié)議的安全性取決于發(fā)送或者接收的單向變換，每個單向變換應包含自身已相信新鮮的新鮮性標識符。所述主體指通信的合法參與者，是概率多項式時間機器；所述協(xié)議指在兩方或互相協(xié)作的多方之間進行通信的過程；所述新鮮性標識符指為協(xié)議的某次運行產(chǎn)生的一個唯一的標識符，可以是隨機數(shù)、時間戳、新會話密鑰、或生成新會話密鑰的組成部分。會話指一個協(xié)議的運行實例，一個主體可以同時運行多個協(xié)議或一個協(xié)議的多個實例；所述已相信新鮮的新鮮性標識符即信任的新鮮性標識符，指協(xié)議的某次運行中一個合法的參與者相信新鮮的新鮮性標識符。對于不同的參與者和不同的協(xié)議運行，信任的新鮮性標識符是不同的。所述單向變換，具體為可以通過一個(m,Prfk(m))對實現(xiàn)，其中m為消息，k為密鑰，Prfk在對稱加密技術的實現(xiàn)中表示一個帶密鑰的偽隨機函數(shù)(例如，CBC-MAC或HMAC)，在非對稱加密技術的實現(xiàn)中表示一個數(shù)字簽名算法。所述建立每個通信參與主體獲得的密碼協(xié)議安全屬性，具體為①獲得主體活現(xiàn)性協(xié)議中的某個合法參與者P收到一個加密消息，該消息包括P已經(jīng)信任新鮮的新鮮性標識符，而且P斷定惟有欲證明主體活現(xiàn)性的主體才能夠產(chǎn)生該密文。②獲得新鮮性標識符的保密性新鮮性標識符在密碼協(xié)議中以攻擊者不可知的密文方式傳送。③獲得新鮮性標識符的新鮮性協(xié)議中的某個合法參與者P收到帶數(shù)據(jù)完整性保護的加密消息，該消息包括P已經(jīng)信任新鮮的新鮮性標識符，則加密消息中的新的新鮮性標識符是新鮮的。④獲得新鮮性標識符的關聯(lián)性協(xié)議中的某個合法參與者P收到帶數(shù)據(jù)完整性保護的加密消息，該消息包括P已經(jīng)信任新鮮的新鮮性標識符，而且該加密消息中或者顯式指明了關聯(lián)主體的身份，或者是某主體使用私鑰或者雙方共享的長期密鑰對消息進行了密碼學操作，從而與相應主體的身份相關聯(lián)。步驟四，將步驟三獲得的密碼協(xié)議安全屬性與步驟一的密碼協(xié)議將要達成的安全目標進行比較，安全目標得到滿足，則該密碼協(xié)議是正確的；期望的安全目標沒有滿足，則該協(xié)議存在安全屬性的缺失，從而可以根據(jù)安全屬性的缺失直接導出構(gòu)造攻擊的結(jié)構(gòu)。本發(fā)明在密碼協(xié)議的安全性驗證中，取得了顯著的進步，使得在并發(fā)的多協(xié)議運行環(huán)境和攻擊者對通信信道具有完全控制能力的通信環(huán)境下密碼協(xié)議的安全性驗證實際可行。與現(xiàn)有技術相比，本發(fā)明具有如下有益效果1、本發(fā)明不僅是證明密碼協(xié)議正確性的方法，而且是査找協(xié)議錯誤的方法;2、對于存在安全屬性缺失的密碼協(xié)議，由本發(fā)明的檢測結(jié)果能直接導出構(gòu)造攻擊的結(jié)構(gòu)；3、本發(fā)明新鮮性原則抓住了密碼協(xié)議安全性的本質(zhì)，能有效區(qū)分消息是否新鮮，從而是密碼協(xié)議多協(xié)議運行環(huán)境、攻擊者能力的具體形式化描述無關的，能從本質(zhì)上防止重放和混淆的攻擊；4、基于信任的新鮮性建立密碼協(xié)議安全性的方法中的新鮮性原則不僅對認證密碼協(xié)議非常有效，還可以進一步擴展，應用到更多的密碼協(xié)議安全屬性的驗證，如不可否認性和公平性等。圖l是本發(fā)明流程圖2是本發(fā)明中安全目標建立的流程圖3是本發(fā)明中初始假設建立的流程圖4是本發(fā)明中安全屬性建立的流程圖5是本發(fā)明中安全性驗證結(jié)果判定的流程圖。具體實施例方式下面結(jié)合附圖對本發(fā)明的實施例作詳細說明本實施例在本發(fā)明技術方案前提下進行實施，給出了詳細的實施方式和具體的操作過程，但本發(fā)明的保護范圍不限于下述的實施例。Alan0.Freier等在URLi也址http:〃wp.netscape.com/eng/ssl3/draft302.txt上發(fā)表的"TheSSLProtocolVersion3.0"(SSL協(xié)議3.0版)是Netscape公司設計的基于非對稱公鑰密碼體制的密鑰傳輸協(xié)議。Lb是主體A為A和B的會話隨機選取的一個臨時會話密鑰，CA是主體A的公鑰證書。SSL協(xié)議與認證有關的消息傳遞情況如下Message1A—B:{KabMessage2B—A:{Nb}KabMessage3A—B:{CA,{Nb}Ka-1}Kab下面本發(fā)明方法驗證SSL協(xié)議的安全屬性。如圖1所示，本實施例包括如下步驟步驟一，如圖2所示，明確密碼協(xié)議將要達成的安全目標；<table>tableseeoriginaldocumentpage11</column></row><table>步驟二，如圖3所示，明確密碼協(xié)議安全性驗證的初始假設。對于采用非對稱密碼技術的機制，假設密碼協(xié)議參與者A(或B)在協(xié)議運行前已經(jīng)通過某種安全方式獲得了自己的私鑰Ka—1(或Kb—1)和其他參與者的公鑰Ka和Kb;假設密碼協(xié)議參與者A能保證自身為協(xié)議的某次運行產(chǎn)生的新鮮性標識符Kab具有唯一性和新鮮性。步驟三，如圖4所示，基于步驟二的密碼協(xié)議安全性的初始假設以及新鮮性原則建立每個通信參與主體獲得的密碼協(xié)議安全屬性，直至協(xié)議運行結(jié)束。在協(xié)議運行的第一步，A隨機選取了一個會話密鑰Kab，并使用主體B的公鑰加密后發(fā)送到通信信道上，所以A可以相信Kab是新鮮、保密的。在收到Messagel后，主體B相信IU是保密的，但是無法斷定該隨機數(shù)的新鮮性，以及是否與主體A或B關聯(lián)，因為任何人(包括攻擊者)都可以偽造這個密文。在協(xié)議運行的第二步，B生成了一次性隨機數(shù)Nb，并使用會話密鑰IU加密后發(fā)送到通信信道上，所以B可以相信Nb是新鮮、保密的；在收到Message2后，雖然主體A可以使用IU解密相應的密文，但A無法區(qū)分解密結(jié)果是一個有效隨機數(shù)Nb還是一個亂碼，所以A什么也得不到。在協(xié)議運行的第三步，主體A相信Kab與A關聯(lián)；在收到Message3后，主體B知道只有主體A能夠從發(fā)送的Message2中得到K，所以一定是A使用私鑰解密了相應的密文并使用IU加密后發(fā)送了Message3，所以B相信A的確參與了通信，而IU和Nb也與A關聯(lián)起來了，但不能斷定是與B關聯(lián)的。<table>tableseeoriginaldocumentpage11</column></row><table>至此，A相信IU是新鮮、保密的，是與A關聯(lián)的，但不能斷定B的確參與了通信，不能斷定IU是與B關聯(lián)的；B相信A的確參與了通信，IU和Nb是新鮮、保密的，是與A關聯(lián)的，但是B不能斷定1U和隊是與B關聯(lián)的。步驟四，如圖5所示，將步驟三獲得的密碼協(xié)議安全屬性與步驟一的密碼協(xié)議將要達成的安全目標進行比較，A和B都不能相信SSL協(xié)議是雙方密鑰安全的。由本發(fā)明得到的SSL協(xié)議安全屬性缺失，根據(jù)步驟一構(gòu)造攻擊的方法，能直接導出攻擊的結(jié)構(gòu)(1)針對主體A不能斷定B的確參與了通信，攻擊者I可以假冒主體B的身份欺騙主體A，構(gòu)造攻擊l:Message1A—I(B):{Kab}KbMessage2卿—A:NtMessage3A—I(B):{CA,{N!，}Ka"}Kab協(xié)議運行結(jié)束，主體A認為已經(jīng)與主體B之間共享了一個會話密鑰Kab，從而將收集到的信息使用Kab加密后送給主體B，而實際上主體B根本不知道存在A與B之間的這個會話密鑰K化。如果主體B不與主體A進行交互，那么這個欺騙可以一直進行下去。(2)針對主體B不能斷定IU是與B關聯(lián)的，攻擊者I可以使用I與A共享的密鑰欺騙主體B，構(gòu)造攻擊2:Message1A—I:{Kab}kIMessage1'I(A)—B:{Kab}KbMessage2'B—I(A):{Nb}KabMessage2I—A:{Nb}KabMessage3A—I{CA,{Nb}KabMessage3，I(A)—B:{CA,{Nb}Ka"}Kab這是一個完善的攻擊過程，主體A認為和I完成了一個成功的密鑰建立過程，主體B認為和A(實際上是攻擊者I)完成了一個成功的密鑰建立過程。協(xié)議運行結(jié)束，主體B認為與主體A(實際上是攻擊者I)共享了一個會話密鑰Kab，而這個會話密鑰實際上是攻擊者I與主體A所共享的。(3)針對主體A不能斷定IU是與B關聯(lián)的，攻擊者I利用主體B做加解密預言機欺騙主體A，構(gòu)造攻擊3:Message1A—1(B):{Kab}KbMessage1'I—B:{Kab}KbMessage2，B—I:{Nb}KabMessage21(B)—A:{Nb}KabMessage3A—I(B){CA,{Nb}Ka"}KabMessage3'I—B:協(xié)議運行結(jié)束后，主體A認為已經(jīng)與主體B之間共享了一個會話密鑰Kab，而主體B根本不知道這個會話密鑰；主體B認為和主體I之間進行了一次不成功的密鑰協(xié)商過程。即使將Message2更改為{B,Nb}Kab，攻擊2仍然有效，而在攻擊l的情況下，A可以發(fā)現(xiàn)這是一個亂碼，從而中止通信。本實施例抓住了密碼協(xié)議安全性的本質(zhì)，能有效區(qū)分消息是否新鮮，從而是密碼協(xié)議多協(xié)議運行環(huán)境、攻擊者能力的具體形式化描述無關的，能從本質(zhì)上防止重放和混淆的攻擊。基于新鮮性原則給出的保證密碼協(xié)議足夠安全的精確量化指標不僅是充分的而且是必要的。本發(fā)明不僅是證明密碼協(xié)議正確性的方法，而且是査找協(xié)議錯誤的方法；對于存在安全屬性缺失的密碼協(xié)議，由本發(fā)明的檢測結(jié)果能直接導出構(gòu)造攻擊的結(jié)構(gòu)。權利要求1、一個基于信任的新鮮性建立密碼協(xié)議安全性的方法，其特征在于，包括如下步驟步驟一，明確密碼協(xié)議將要達成的安全目標單方實體認證，雙方實體認證，單方密鑰安全，或者雙方密鑰安全；步驟二，明確密碼協(xié)議安全性驗證的初始假設密碼協(xié)議參與者在協(xié)議運行前已經(jīng)獲得了自身的私鑰和其他參與者的公鑰，或者已經(jīng)獲得了自己與通信對方或者與可信第三方的長期共享密鑰；步驟三，在發(fā)送或者接收每一句消息后，基于步驟二的密碼協(xié)議安全性的初始假設以及新鮮性原則建立每個通信參與主體獲得的密碼協(xié)議安全屬性，直至協(xié)議運行結(jié)束；所述新鮮性原則，具體為對每個通信參與主體而言，密碼協(xié)議的安全性取決于發(fā)送或者接收的單向變換，每個單向變換應包含自身已相信新鮮的新鮮性標識符；步驟四，將步驟三獲得的密碼協(xié)議安全屬性與步驟一的密碼協(xié)議將要達成的安全目標進行比較，安全目標得到滿足，則該密碼協(xié)議是正確的，否則根據(jù)安全屬性的缺失直接構(gòu)造攻擊。2、根據(jù)權利要求1所述的基于信任的新鮮性建立密碼協(xié)議安全性的方法，其特征是，所述明確密碼協(xié)議將要達成的安全目標，具體為-單方實體認證的安全目標在協(xié)議的某次運行中，參與通信的某一方認證另一方的主體活現(xiàn)性；雙方實體認證的安全目標在協(xié)議的某次運行中，參與通信的雙方互相認證對方的主體活現(xiàn)性；單方密鑰安全的安全目標在協(xié)議的某次運行中，參與通信的某一方認證另一方的主體活現(xiàn)性，并相信由被認證的另一方為本次運行產(chǎn)生的新會話密鑰是保密的、新鮮的、是與通信雙方關聯(lián)的；雙方密鑰安全的安全目標在協(xié)議的某次運行中，參與通信的雙方互相認證對方的主體活現(xiàn)性，并由其中一個主體或者兩個主體共同生成一個新的會話密鑰。通信的雙方都相信新會話密鑰是保密的、新鮮的、是與通信雙方關聯(lián)的。3、根據(jù)權利要求1所述的基于信任的新鮮性建立密碼協(xié)議安全性的方法，其特征是，所述明確密碼協(xié)議安全性驗證的初始假設，具體為對于采用非對稱密碼技術的機制，假設密碼協(xié)議參與者在協(xié)議運行前已經(jīng)獲得了自身的私鑰和其他參與者的公鑰；對于采用對稱密碼技術的機制，假設密碼協(xié)議參與者在協(xié)議運行前已經(jīng)獲得了自己與通信對方或者與可信第三方的長期共享密鑰；假設密碼協(xié)議參與者能保證自身為協(xié)議的某次運行產(chǎn)生的新鮮性標識符具有唯一性和新鮮性。4、根據(jù)權利要求1所述的基于信任的新鮮性建立密碼協(xié)議安全性的方法，其特征是，所述建立每個通信參與主體獲得的密碼協(xié)議安全屬性，具體為在發(fā)送或者接收每一句消息后，基于密碼協(xié)議安全性的初始假設以及新鮮性原則建立每個通信參與主體獲得的密碼協(xié)議安全屬性，直至協(xié)議運行結(jié)束。5、根據(jù)權利要求1所述的基于信任的新鮮性建立密碼協(xié)議安全性的方法，其特征是，所述已相信新鮮的新鮮性標識符即信任的新鮮性標識符，具體為協(xié)議的某次運行中一個合法的參與者相信新鮮的新鮮性標識符。6、根據(jù)權利要求1所述的基于信任的新鮮性建立密碼協(xié)議安全性的方法，其特征是，所述單向變換，具體為通過一個m，Prfk(m)對實現(xiàn)，其中m為消息，k為密鑰，Prfk在對稱加密技術的實現(xiàn)中表示一個帶密鑰的偽隨機函數(shù)，在非對稱加密技術的實現(xiàn)中表示一個數(shù)字簽名算法。7、根據(jù)權利要求1所述的基于信任的新鮮性建立密碼協(xié)議安全性的方法，其特征是，所述建立每個通信參與主體獲得的密碼協(xié)議安全屬性，具體為①獲得主體活現(xiàn)性協(xié)議中的某個合法參與者P收到一個加密消息，該消息包括p已經(jīng)信任新鮮的新鮮性標識符，而且p斷定惟有欲證明主體活現(xiàn)性的主體才能夠產(chǎn)生該密文；②獲得新鮮性標識符的保密性新鮮性標識符在密碼協(xié)議中以攻擊者不可知的密文方式傳送；③獲得新鮮性標識符的新鮮性協(xié)議中的某個合法參與者P收到帶數(shù)據(jù)完整性保護的加密消息，該消息包括P已經(jīng)信任新鮮的新鮮性標識符，則加密消息中的新的新鮮性標識符是新鮮的；④獲得新鮮性標識符的關聯(lián)性協(xié)議中的某個合法參與者P收到帶數(shù)據(jù)完整性保護的加密消息，該消息包括P已經(jīng)信任新鮮的新鮮性標識符，而且該加密消息中或者顯式指明了關聯(lián)主體的身份，或者是某主體使用私鑰或者雙方共享的長期密鑰對消息進行了密碼學操作，從而與相應主體的身份相關聯(lián)。全文摘要一種信息安全領域的基于信任的新鮮性建立密碼協(xié)議安全性的方法，本發(fā)明步驟為步驟一，明確密碼協(xié)議將要達成的安全目標；步驟二，明確密碼協(xié)議安全性驗證的初始假設；步驟三，在發(fā)送或者接收每一句消息后，基于密碼協(xié)議安全性的初始假設以及新鮮性原則建立每個通信參與主體獲得的密碼協(xié)議安全屬性，直至協(xié)議運行結(jié)束；步驟四，將獲得的密碼協(xié)議安全屬性與期望的安全目標進行比較。本發(fā)明不僅能有效區(qū)分消息是否新鮮，而且安全性的驗證與并發(fā)的運行環(huán)境及攻擊者能力的具體形式化描述無關，能從本質(zhì)上防止重放和混淆的攻擊；不僅對認證密碼協(xié)議非常有效，還可以進一步擴展，應用到更多的密碼協(xié)議安全屬性的驗證。文檔編號H04L9/32GK101299752SQ200810039569公開日2008年11月5日申請日期2008年6月26日優(yōu)先權日2008年6月26日發(fā)明者玲董,陳克非申請人:上海交通大學