DH密钥协商算法报告文档.doc

《DH密钥协商算法报告文档.doc》由会员分享，可在线阅读，更多相关《DH密钥协商算法报告文档.doc（29页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、,XXXX学院课程设计报告DH密钥协商算法课程名称： 密码算法程序设计 学生姓名： 学生学号： 专业班级： 任课教师： 2014年12 月 1日指导老师评阅成绩表学习与工作态度（30%）选题意义（10%）研究水平与设计能力（25%）课程设计说明说（论文）撰写质量（25%）设计创新（10%）总分指导老师签名： 年 月 日课程设计答辩记录及评价表学生讲述情况教师主要提问记录学生回答问题情况答辩评分评分项目分值评价参考标准评分总分优良中及格差选题意义1098764研究水平与设计能力252320181510课程设计说明书（论文）撰写质量252320181510设计创新1098764答辩效果302825

2、221915答辩小组成员签名答辩小组组长签名： 年 月 日课程设计成绩评定表成绩汇总评分项目评分比例分数课程设计总分指导老师评分50%答辩小组评分50%目 录1. 选题背景12. DH密钥协商算法12.1 算法的产生12.2 算法的描述22.3 算法的安全性33.DH密钥协商算法的实现43.1 设计要求43.1.1 功能要求43.2 模块划分及实现53.2.1 小素数试除53.2.2 模重复平方法53.2.3 Miller-Rabin检测算法73.2.4 原根的产生83.2.5 产生随机素数114.测试报告12结 论17参考文献17附源代码181. 选题背景密钥协商实际上是一个协议，它通过两个

3、或多个成员在一个公开的信道上通信联合地建立一个秘密密钥，一般情况下，一个密钥协商方案的密钥是某个函数的值，其输入量由通信双方提供，协商过程是由一系列的顺序步骤完成的。会话密钥由每个协议参与者分别产生的参数通过一定的计算得出。常见的密钥协商协议，如IKE。密钥协商协议的生成方式则可分为证书型和无证书型。证书型是指在会话密钥的产生过程中，由一个可信的证书中心（CA）给参与密钥协商的各方各分发一个证书，此证书中含有此方的公钥，ID及其他信息。证书型密钥协商协议的优点是提供认证，目前PKI（公钥密码体制）广泛部署，比较成熟，应用面广，且由PKG管理公私钥对有利于统一管理，缺点是计算代价大，需要一个可信

4、的CA，同时证书还需要维护。无证书型是指各方在进行会话密钥的协商过程中不需要证书的参与，这是目前密钥协商协议的主流种类，优点是不需要CA的参与，减少了计算量，尤其是在低耗环境下应用的更多，同时安全性也不比证书型弱。几乎没有明显的缺点，只是设计一个安全的更加低耗的无证书密钥协商方案不是很容易。现有的流行的密钥协商协议，都使用了Diffie-Hellman，它们基本上可以看成是Diffie-Hellman的扩展。也就是说，群组密钥协商协议可以理解成如何使用Diffie-Hellman来实现群的密钥交换。2. DH密钥协商算法2.1 算法的产生Diffie-Hellman密钥交换协议是第一个被提出的

5、密钥协商方案，是美国斯坦福大学的W.Diffie和M.E.Hellman于1976年提出的，它是第一个发表的公钥密码体制，Diffie-Hellman算法的唯一目的就是使两个用户能安全的交换密钥，从而得到一个共享的会话密钥（秘密密钥）。需要注意的是，该算法本身不能用于加密解密，只能用于密钥的交换， 双方确定要用的密钥后，要使用其他对称密钥操作加密算法实际加密和解密消息。2.2 算法的描述1. 离散对数的概念： 1）原根：如果a是素数p的一个原根，那么数值：amodp，a2modp，a(p-1)modp是各不相同的整数，且以某种排列方式组成了从1到p-1的所有整数。 2）离散对数：如果对于一个整

6、数b和素数p的一个原根a，可以找到一个唯一的指数i，使得b=(ai)mod p，其中0ip-1，那么指数i称为b的以a为基数的模p的离散对数。2. 算法有效性Diffie-Hellman算法的有效性依赖于计算离散对数的难度，其含义是：当已知大素数p和它的一个原根a后，对给定的b，要计算i，被认为是很困难的，而给定i计算b却相对容易。3. Diffie-Hellman算法：假如用户A和用户B希望交换一个密钥。取素数p和整数a，a是p的一个原根，公开a和p。 1）A选择大的随机数RA(0=RA=p-2)，并计算SA=(aRA) mod p，并且把SA发送给用户B。 2）B选择随机数RB(0=RB=

7、p-2)，并计算SB=(aRB) mod p，并且把SB发送给用户A。 3）A计算密钥的方式是：K=(SB) RA modp，B计算密钥的方式是：K=(SA) RB modp，证明：(SB) RA modp= (aRB modp) RA modp = (aRB) RA modp = (aRA) RBmodp (- 密钥即为 a(RA*RB) modp) =(aRA modp) RB modp = (SA) RB modp由于RA和RB是保密的，而第三方只有p、a、SB、SA可以利用，只有通过取离散对数来确定密钥，但对于大的素数p，计算离散对数是十分困难的。4. 例子：假如用户Alice和用户B

8、ob希望交换一个密钥，取一个素数p=97和97的一个原根a=5，Alice和Bob分别选择秘密密钥RA=36和RB=58，并计算各自的公开密钥： SA=aRA modp=536 mod 97=50 SB=aRB modp=558 mod 97=44Alice和Bob交换了公开密钥之后，计算共享密钥如下： Alice：K=(SB) RA modp=4436 mod 97=75 Bob：K=(SA) RB modp=5058 mod 97=75Diffie-Hellman密钥交换协议的基本模式如图2-1所示：SA=aRA(mod p)用户A 用户BSB=aRB(mod p)图2-1 Diffie-

9、Hellman密钥交换协议的基本模式2.3 算法的安全性当然，为了使这个例子变得安全，必须使用非常大的RA,RB 以及p， 否则可以实验所有的可能取值。(总共有最多97个这样的值, 就算RA和RB很大也无济于事)。 如果p是一个至少 300 位的质数，并且RA和RB至少有100位长， 那么即使使用全人类所有的计算资源和当今最好的算法也不可能从a,p和a(RA*RB) modp中计算出 RA*RB。 这个问题就是著名的离散对数问题。注意g则不需要很大, 并且在一般的实践中通常是2或者5。在最初的描述中，迪菲赫尔曼密钥交换本身并没有提供通讯双方的身份验证服务，因此它很容易受到中间人攻击。 一个中间

10、人在信道的中央进行两次迪菲赫尔曼密钥交换，一次和Alice另一次和Bob，就能够成功的向Alice假装自己是Bob，反之亦然。而攻击者可以解密（读取和存储）任何一个人的信息并重新加密信息，然后传递给另一个人。因此通常都需要一个能够验证通讯双方身份的机制来防止这类攻击。 有很多种安全身份验证解决方案使用到了迪菲赫尔曼密钥交换。例如当Alice和Bob共有一个公钥基础设施时，他们可以将他们的返回密钥进行签名。有攻击的Diffie-Hellman密钥交换协议如图2-2所示： SA=aRA(mod p) SA=aRA(mod p)用户A 攻击者C 用户B SB=aRB(mod p) SB=aRB(mo

11、d p)图2-2 有攻击的Diffie-Hellman密钥交换协议3. DH密钥协商算法的实现3.1 设计要求3.1.1 功能要求（1）产生一个奇数p ，判断是否是素数。素数要求介于214-215。先用小于20的素数去试除，再使用Miller-Rabin概率检测算法进行检测；（2）求得模p 的一个原根，要求原根的值介于32-1024之间；（3）输出双方选择的随机数，随机数介于25-27，使用模重复平方法进行计算，输出双方的计算结果；（4）网络传输方面，可以是C/S模式，也可以是B/S模式；（5）输出最后协商的密钥； 3.1.2 输出要求（1）输出奇数的产生过程，用函数实现产生满足要求的奇数；（

12、2）输出用小素数试除的判断过程，并输出每次试除之后的余数，用函数实现一次试除并返回试除之后的余数；（3）Miller-Rabin概率检测算法运行5次，输出检测过程及结果。用函数实现一次Miller-Rabin概率检测算法并返回检测结果；（4）如果不是奇素数，输出下一个奇数产生的规则；（5）输出产生模的一个原根的过程；（6）输出使用模重复平方法进行计算的过程和结果。3.2 模块划分及实现3.2.1 小素数试除算法描述：小素数试除主要是用随机产生的数来试除小于20的素数，以此简单判定该随机数是否是素数。实现方式：以本次程序编写为例，取小素数数组S_PrimeTable7 = 3, 5, 7, 11

13、, 13, 17, 19 ，用产生的大随机数来除以数组中的元素，若所得余数不为0，则能暂时判断该随机数为素数。具体实现代码如下：int SPrime(int odd)int i, remainder, k = 0;for (i = 0; i7; i+)remainder = odd % S_PrimeTablei;printf(第%d次小素数%d试除的余数为%d.n, i + 1, S_PrimeTablei, remainder);if (remainder = 0)k+;if(!k)printf(小素数试除判断%d是素数。nn,odd);elseprintf(小素数试除判断%d不是素数。n

14、n,odd);return !k;3.2.2 模重复平方法算法描述： 模重复平方法是对大整数模m和大整数e计算be(mod m)。在本次设计中，模重复平方法主要使用在米勒检测算余值部分、求原根部分、SA和SB的计算以及最后密钥的计算过程中，其中，SA和SB的计算以及最后密钥的计算要求输出计算过程。（为了界面显示美观，在此写了两个模重复平方算法的代码，思路相同，只是在其中一个函数中写了输出计算过程，该函数用来计算SA和SB以及最后的密钥。）实现方式：令a=1，并将十进制数e写成二进制，若二进制数值为1，则计算a(a*b)mod n,b(b*b)mod n；若二进制数值为0，则计算aa mod n

15、,b(b*b)mod n。最后a即为最终计算结果。具体实现代码如下：int MoChongFu(int m, int e,int n) int binary22;int count=0,i;int a=1,b; b=m;do binarycount=e%2;e=e/2;count+;while(e!=0);for(i=0;icount;i+)if(binaryi=1)a=(a*b)%n;b=(b*b)%n; /printf(a=%d, b=%dn,a,b);if(binaryi=0)a=a;b=(b*b)%n; /printf(a=%d, b=%dn,a,b);return a;3.2.3 M

16、iller-Rabin检测算法算法描述：米勒检测在本次设计中主要用来检测在小素数判定了之后的随机数是否是素数。实现方式：将待检测的数n写成n-1=2s*t，选取随机数a，计算batmod n。若b mod n1，则n是素数。否则，做如下循环，循环次数为1s：如果b mod n-1，则b是素数，否则，bb*b mod n。具体实现代码如下：int milejiance(int odd)int s=0,i,count=0;int a,b,t,num;num=odd-1;while(1) if(num%2=0)s+;num=num/2;elset=num;break;printf(将%d写成%d-1

17、=2%d*%dttn,odd,odd,s,t);a=rand()%(odd-3)+2;printf(产生的随机数a是：%dn,a);b=MoChongFu(a,t,odd);printf(第1次算出的余值是：%dn,b);if(b%odd=1|b=(odd-1) return 1;for(i=0;i1，m的欧拉函数a所有不同素因数是q1,q2,，qk，则g是模m的一个原根的充要条件是 g(a/qi)!=1(mod m),i=1,2，k 实现方式： 先求大素数的欧拉函数的素因数an，并通过素因数求得g的指数cn，接着验证gcn 是否同余于1，对g=2,3，逐个验算，直到算出最小的g值满足gcn均

18、不同余于1，那么g便是大素数m的最小原根，因为当cn遍历欧拉函数a的简化剩余系时，gcn遍历模m的所有原根，所以可以通过欧拉函数的简化剩余系求得满足要求的原根。具体实现代码如下：int yuangen(int yy)int n=2,g=0,q,k,j=0,a10;int i=0,l=0;int gg;int c10;int count=0,flag=0;q=yy-1;while(1)if (q%n=0)aj=n;j+;q=q/n;n+;if(qn)break;printf(模%d的欧拉函数分解质因数为：n,yy);for(n=0;nj;+n)printf(%d ,an);printf(nn);

19、printf(所以指数为：);for(n=0;nj;+n)cn=(yy-1)/an;printf(%d ,cn);printf(nn);for(g=2;g+)for(n=0;n32&k1024)printf(取介于25到210之间的一个原根值为：);printf(%dnn,k);return k;return 0;3.2.5 产生随机素数算法描述：使用srand()和rand()函数产生随机数n，然后通过判断n%2是否为0来判断产生的是否是奇数。具体实现代码如下：int S_PrimeTable7 = 3, 5, 7, 11, 13, 17, 19 ;/产生一个随机数int Random_Od

20、d()int odd = 0;while (1)srand(time(NULL);odd = rand() % (16385) + 16384;if (odd % 2 != 0)break;/printf(%dn, odd);return odd;4. 测试报告产生奇素数，用小素数试除并且输出试除的余数，再进行Miller-Rabin检测，若Miller-Rabin检测没有通过，则输出产生下一个随机数的规则并继续产生下一个随机数，直至产生满足条件的奇素数，如图4-1、4-2所示：图 4-1 产生随机数并用小素数试除图 4-2 米勒检测过程代码调试的最终结果如图4-3、图4-4、图4-5、图4-

21、6、图4-7、图4-8所示：图4-3 产生随机数并用小素数试除图4-4 米勒检测过程图4-5 大素数的欧拉函数分解质因数图4-6 求原根并计算各自的密钥图4-7 模重复平方法计算过程图4-8 计算共同密钥结 论本文是在学习了相关C语言知识、密码学及相关信息安全数学知识之上进行的设计，本设计采用C语言实现，实现了DH密钥协商算法，用户A和用户B通过自己选取的随机数和公开的大素数通过离散对数的某些算法求得密钥，并相互交换密钥，通过交换得来的密钥产生共同的密钥。由于学生水平有限，在程序可读性和规范性上有着一定的欠缺，略显不足，而在实现功能上也显得不是很完善，需要在进一步的学习中得到提升。在编写程序的

22、过程中遇到了一些不可避免的错误和问题，但是都通过书本以及同学的帮助得以及时将这些问题解决，此次设计对我的逻辑性理解和编程能力都有一定的提高。参考文献1 谭浩强. C程序设计M.北京：清华大学出版，1999.12 2 张仕斌. 应用密码学M.西安：西安电子科技大学出版，2009.123 陈恭亮.简明信息安全数学基础M. 北京：高等教育出版社， 20011.1附源代码#include#include#include#includeint Random_Odd();int SPrime(int odd);int MoChongFu(int m, int e,int n);int MoChongFua

23、(int m, int e,int n);int milejiance(int odd);int yuangen(int yy);int S_PrimeTable7 = 3, 5, 7, 11, 13, 17, 19 ;int main(void)int yy=0;int gg;int A,B,Key,Key1,Key2;int SA,SB;int i,flag1,flag2;doq:printf(*nnn);while(yy = Random_Odd();yy = Random_Odd();printf(产生的随机数是:%dnn,yy);flag1=!SPrime(yy);for(i=0;i

24、5;i+)flag2=!milejiance(yy);if(flag2)printf(第%d次米勒检测未通过。nn,i+1);printf(因为第%d次米勒检测没有通过，所以随机数%d不是素数，n产生下一个随机数，先用小素数试除，再进行5次米勒检测，如果小素数试除通过并且5次都通过，则说明该随机数是大素数。,i+1,yy);printf(n);goto q;elseprintf(第%d次米勒检测通过。nn,i+1);while(flag1|flag2);gg=yuangen(yy);srand(time(NULL);A = rand()%(96)+32;B = rand()%(96)+32;p

25、rintf(Alice选择的随机数A是：%dn,A);printf(Bob选择的随机数B是：%dnn,B);printf(计算SA=(ggA) mod yy:n);SA=MoChongFua(gg,A,yy);printf(n);printf(计算SB=(ggB) mod yy:n);SB=MoChongFua(gg,B,yy);printf(所以SA和SB分别是：%d,%dnn,SA,SB);printf(计算Key1=(SBA) mod yy:n);Key1=MoChongFua(SB,A,yy);printf(n);printf(计算Key2=(SAB) mod yy:n);Key2=M

26、oChongFua(SA,B,yy);printf(所以：Key1=%d,Key2=%dnn,Key1,Key2);if(Key1=Key2)Key=Key1;printf(所以共同密钥Key是：%dnn,Key);return 0;/产生一个随机数int Random_Odd()int odd = 0;while (1)srand(time(NULL);odd = rand() % (16384) + 16384;if (odd % 2 != 0)break;/printf(%dn, odd);return odd;/如果是素数的话返回1int SPrime(int odd)int i, r

27、, k = 0;for (i = 0; i7; i+)r = odd % S_PrimeTablei;printf(第%d次小素数%d试除的余数为%d.n, i + 1, S_PrimeTablei, r);if (r = 0)k+;if(!k)printf(小素数试除判断%d是素数。nn,odd);elseprintf(小素数试除判断%d不是素数。nn,odd);return !k;int MoChongFu(int m, int e,int n) int binary22;int count=0,i;int a=1,b; b=m;do binarycount=e%2;e=e/2;count

28、+;while(e!=0);for(i=0;icount;i+)if(binaryi=1)a=(a*b)%n;b=(b*b)%n;if(binaryi=0)a=a;b=(b*b)%n;return a;int MoChongFua(int m, int e,int n) int binary22;int count=0,i;int a=1,b; b=m;do binarycount=e%2;e=e/2;count+;while(e!=0);for(i=0;icount;i+)if(binaryi=1)a=(a*b)%n;b=(b*b)%n;printf(a=%d, b=%dn,a,b);if(

29、binaryi=0)a=a;b=(b*b)%n;printf(a=%d, b=%dn,a,b);return a;/米勒检测int milejiance(int odd)int s=0,i,count=0;int a,b,t,num;num=odd-1;while(1) if(num%2=0)s+;num=num/2;elset=num;break;printf(将%d写成%d-1=2%d*%dttn,odd,odd,s,t);a=rand()%(odd-3)+2;printf(产生的随机数a是：%dn,a);b=MoChongFu(a,t,odd);printf(第1次算出的余值是：%dn,

30、b);if(b%odd=1|b=(odd-1)return 1;for(i=0;is-1;i+)b=(b*b)%odd;printf(第%d次算出的余值为%d n,i+2,b);if(b=(odd-1)return 1;return 0; /欧拉函数的素因数和两者的商int yuangen(int yy)int n=2,g=0,q,k,j=0,a10;int gg;int c10;q=yy-1;while(1)if (q%n=0)aj=n;j+; while()q=q/n;while(!(q%n)q=q/n;if(qn)break;printf(模%d的欧拉函数分解质因数为：n,yy);for(n=0;nj;+n)printf(%d ,an);printf(nn);printf(所以指数为：);for(n=0;nj;+n)cn=(yy-1)/an;printf(%d ,cn);printf(nn);for(g=2;g+)for(n=0;n32&k1024)printf(取介于25到210之间的一个原根值为：);printf(%dnn,k);return k;return 0;