技術領域

本發明屬于密碼協議，具體涉及一種高效、不可鍛造、不需數字簽名的SSH(SecureShell)運輸層(Transport?Layer)認證協議(Authentication?Protocol)。

背景技術

SSH運輸層認證協議是保護互聯網信息安全，特別是在基于UNIX或Linux操作系統的分布式客戶-服務器環境下的信息安全的核心認證密碼協議。SSH運輸層認證協議用以使得一個客戶安全地登錄至一個遠程的服務器，以便安全地在遠程服務器上下載文件或安全地在遠程服務器上運行指令。

目前的SSH運輸層認證協議工業標準是IETF(Internet?Engineering?Task?Force)在2002年9月公布的，由T.Ylonen所提出的互聯網草案(INTERNET-DRAFT)：draft-ietf-transport-15.txt。

目前的SSH運輸層認證協議工業標準基于Diffie-Hellman密鑰交換，并且遠程服務器使用數字簽名向客戶認證身份。目前SSH運輸層認證協議工業標準核心密碼協議如下：

第一輪：客戶“A”向服務器發送X＝g^x。

第二輪：服務器“B”向客戶發送{B，Y＝g^y，sig}。其中，B＝g^b是服務器“B”的公鑰，b為服務器“B”的私鑰；sig是服務器“B”利用私鑰b對信息Hash(pub，sid，B，X，Y，X^y)應用數字簽名標準(Digital?Signature?Standard)算法所得到的數字簽名；其中Hash是一個哈西函數，sid是會話標示符(sid實際上為客戶和服務器在協議運行之前所交換的兩個隨機數的串聯)，pub是其它與協議運行相關的信息(一般包括：協議版本，客戶和服務器所支持的密碼算法、安全參數等)。會話密鑰設為K＝H_K(X^y)＝H_K(g^xy)。

收到服務器“B”返回的第二輪信息后，客戶“A”驗證服務器“B”的公鑰B的有效性，驗證sig是否為服務器對Hash(pub，sid，B，X，Y，Y^x)的簽名；如果驗證失敗，客戶“A”中止協議；驗證成功，客戶“A”計算會話密鑰K＝H_K(Y^x)＝H_K(g^xy)。

目前的SSH運輸層認證協議工業標準的不足之處為：因為使用數字簽名機制來認證遠程服務器的身份，導致協議的通訊復雜性和計算復雜性較高，不夠理想。比如，以目前的數字簽名標準(Digital?Signature?Standard)為例(因為數字簽名標準是基于離散對數的，因此服務器“B”的公鑰自然也是基于離散對數的)，其通訊復雜性(即簽名的長度)為2q，簽名者(即服務器“B”)需作一個指數運算，而簽名驗證者(即：客戶“A”)需作至少1.5個指數運算，而且無論是簽名還是簽名的驗證均不能夠離線事先計算。如果加上DH密鑰成分的計算與會話密鑰的計算，客戶“A”總的計算復雜性為3.5個指數運算，服務器“B”總的計算復雜性為3個指數運算。

發明內容

本發明的目的在于提供一種高效、不可鍛造、不需數字簽名的SSH運輸層認證協議，以降低目前SSH運輸層認證協議的(在線on-line)計算復雜性(computational?complexity)和通訊復雜性(communication?complexity)。

本發明協議具有如下特點：

本發明提供兩種不同的不需數字簽名的SSH運輸層認證協議實現方法，提供比目前SSH運輸層認證協議工業標準更優的(在線)計算復雜性和通訊復雜性。