网络安全教程 教学课件 ppt 田园 第13章 密钥交换协议（III）：组群.ppt

第13章密钥交换协议(III):组群*:*动态组群环境中的密钥交换协议:G/:pw/:当组群G的任何成员U根据协议的逻辑判定“U与G的成员会话”时,U实际上确实正在与(或已经与)G的成员而且仅仅与G的成员会话。一致性:当G的所有成员都正常生成其组钥(groupkey)时,所生成的组钥的值都相等。组钥保密性质:组群G的非当前成员不具有关于当前组钥的任何信息(除所属空间、编码长度之外),即使从其他组群上并发运行的同类或异类协议窃取其生成的组钥也无助于此。第一类匿名性质:非当前成员不能有效推断出当前组群中成员的身份。等价地,非当前成员不能有效推断出两个成员是否属于同一个组群。第二类匿名性质:即使合法成员也不能有效推断出当前其他成员的身份。组钥无偏性质:只要攻击者未能入侵所有成员,而且所有未被入侵的成员都正常完成了协议会话,那么这些成员所生成的组钥仍然彼此相同。给定一个现实的组群密钥交换协议Π,如果对任何现实的攻击者A(),一定存在以下理想协议模型FσGKE的攻击者SA,使得A对Π能够做到的任何事情,SA对理想的协议模型也能同样地做到,则Π定义做与FσGKEUC相似,简称UC安全或安全。现在描述FσGKE,首先约定一些符号。每个特定的FσGKE实例联系着一个唯一的sid,该实例处理的所有事务(对来自外部请求的响应)都带有该sid,同时还有一个唯一的ssid,因此每个事务的完整标识是sid||ssid。U表示某个对象,也表示该对象的名字;G表示组群,也表示组群当前成员的集合,具体所指依据上下文而定;|G|表示集合G的大小,G初始为空集;G还具有一个true-,初始值为false,true表示G至少有一个成员被入侵。入侵是永久性的,即一旦入侵则该成员无法再恢复正常。集合Corrupted表示已被入侵的对象的集合,初始为空。G有一个特殊成员,记做GC*(groupcontroller),它对我们精确刻画后期身份认证和匿名性质是必要的,但对其他安全特性则并非实质性的角色。从后面的具体协议实例可以看到,GC*是一个非常自然的对象。FσGKE为诚实的参与方提供服务接口GrpSetup、Join、Remove和GrpKey,为理想攻击者S提供服务接口Join、Remove、GrpKey和Corrupt。为攻击者S提供接口Join、Remove、GrpKey的目的是为了描述S操纵协议会话以实施主动攻击的能力,而接口Corrupt描述S的入侵能力。GrpSetup:当FσGKE收到消息(grpsetup,sid,GC*)时,若G非空则忽略该消息(即一个组群只能有一个GC*),否则G←{GC*}、←false、记录[GC*,sid],然后向S发送消息(grpsetup,sid)。Join:当有来自某个对象U的消息(Join,sid||ssid,U)时,若不存在记录[GC*,sid]或U∈G则FσGKE终止该事务,否则记录[to-join,sid||ssid,U]、向理想攻击者S发送消息(Join,sid||ssid,|G|)、等待S响应(即S有能力阻止U加入G、但S未知加入者的身份)。当有来自S的消息(Join,sid||ssid)时,FσGKE验证是否存在记录[to-join,sid||ssid,U],若不存在该记录则随机生成一个对象并为其随机指派唯一的名字(也记做U)、G←G∪{U}、向U发送消息(join,sid||ssid,GC*,|G|)、向GC*发送消息(join,sid||ssid,U)、清除记录[to-join,sid||ssid,U]。