construct secure p-p network communication under non-ca environment...

Construct Secure P-P Network Communication under Non-CA Environment在無認證中心的環境下，建構點對點安全網路通訊

實驗室： 灰色系統與資訊安全實驗室 指導老師： 黃宜豊 老師 組員： 吳函育 蔡承廷

摘要 本專題目的為在 Non-CA 環境下，透過 Diffie-Hellma

n PKDS 與本實驗室所提出的高亂度亂數產生器 (PRNG) ，建構出一個安全的網路通訊方法 。

我們針對訊息傳遞的類型不受任何檔案限制，並加以實作之。

希望對多個不同使用者的環境下，能對每個使用者的資料有完善的檔案管理系統，其資料不受他方任意擷取、竄改，並對此問題有效的方法。

大綱 相關機制介紹 在 Non-CA 環境下建立安全的網路通訊 實作 結論＆展望

Diffie-Hellman PKDS 簡介Large prime number

A: Sending B: Receiving

p mod gY aXa

p mod gY bXb

p mod ba XXa gKK p mod ba XX

b gKK

Value gp,: Public

aX bX

Large prime number

Process of D-H PKDS在系統中公佈 :

- p: big prime number - q: primitive root of pA方隨機選擇一個大數 Xa

-B方隨機選擇一個大數 Xb -A方計算自己的Key -B方計算自己的Key -最後AB兩方都得到共享的 secret key

pgY aXa mod

pgY bXb mod

pgpgpYK baaba XXXXXba modmodmod

pgpgpYK babaa XXXXXbb modmodmod

Stream Cipher Technique

seed

A 方 B 方

私密管道

PRNG

PRNS PRNSPRNG: 亂數產生器

PRNS: 擬亂數列 PRNG

安全度問題分析 Diffie-Hellman PKDS ：　密鑰只有一把，在長度固定之下，破密者僅

需直接破解 而得密鑰。

串流加密技術：　由於金匙只有一把，且收方如何獲得與發送

方的那一把金匙 ?

PgY aXa mod

在 Non-CA 環境下建立安全的網路通訊

參 數 定 義

Pi、P 強質數（512位元或更高位元）

Gi、G Pi、P之原根（64位元或更高位元）

A Sender

B Receiver

Xai、Xa、Xbi、Xb 私鑰

Yai、Ya、Ybi、Yb 公鑰

Ki、K 共同密鑰

CK Control Key(512位元或更高位元之實數)

Status 兩個實數組成 1-1或 1-2或 2-1….。用於辨別狀態。

前面表示跟第幾個人作傳輸；後面表示第幾個傳輸步驟

PRNG Pseudo Random Number Generator

Checksum 用於判斷是否 bit是否正確。

IDA Identification of A

IDB Identification of B

Doc A方欲傳送之明文

*.DH1~*.DH3 副檔名以及辨別步驟

A 方 B 方Xai Xbi

iXi,ai,bi pmodYKK i,b

PRNG

Ki

PRNS

IdBY,g,pIdA b BPlaintext PRNG

Ck,Status,Ybi+Ciphertext B

iX

i,bi,ai pmodYKK i,a

PRNS

Plaintext B

Xa Xb

pmodYKK aXba

Ck,Status,Ya,+Ciphertext A

PRNG

PRNG

步驟一

K

PRNS PRNS

Plaintext A

pmodYKK bXab Plaintext A = IdA +

Document + IdB

完成

步驟二 步驟三 步驟四

Ck,Status, IdA,Pi,gi,Yai1

2

3

Ciphertext B

Ciphertext B

Ciphertext A

Ciphertext AEncryption

Encryption

Decryption

Decryption

本系統有下列 6點安全度提升的方式： 使用 PRNS 進行加密 三段文機制 Hash Code 機制 避免使用者冒用身分機制 透過 CK+Status 達到身分的唯一性 隨用即丟 (在不增加傳遞的次數下達到更高安全度 )

MC-PKDS Table

Ck pi gi Xai Yai Ki Ybi p g Xbi Xa Xb Ya Yb K Status Checksum IdA IdB

xx 2 2 2 2 2 2 2 2 2 2 1-2 aaa bbb

Ck pi gi Xai Yai Ki Ybi p g Xbi Xa Xb Ya Yb K Status Checksum IdA IdB

xx 1 1 1 1 3 3 3 3 3 3 3 3 1-3 3 aaa bbb

Ck pi gi Xai Yai Ki Ybi p g Xbi Xa Xb Ya Yb K Status Checksum IdA IdB

xx 2 2 2 2 2 2 2 2 2 4 2 4 1-4 y/n aaa bbb

Ck pi gi Xai Yai Ki Ybi p g Xbi Xa Xb Ya Yb K Status Checksum IdA IdB

xx 1 1 1 1 1-1 aaa

Step1:A 方完成傳輸動作後的 Table

Step2:B 方完成傳輸動作後的 Table

Step3:A 方完成傳輸動作後的 Table

Step4:B 方完成傳輸動作後的 Table

實作 如何傳遞訊息，不受檔案類型限制：

1. 我們將 Step3 送方傳給收方的檔案，轉為 Byte 型式。

2. 在與本實驗室的 PRNG( 亂數產生器 )系統所產生 PRNS( 擬亂數列 )，做加密動作。

3. 送方即可將其加密後的檔案，透過網路傳輸送達收方。

4. 收方再將加密後的檔案解密即可安全獲得送方欲傳之檔案。

圖示表示

Encryption Data

StatusLength of

CKLength of

YaValue of

CK Value of

Ya

檔案名稱＆副檔名

程式userfile

Recieve Send Recieve Send

系統架構：

Program Files

Test1 Test2

Table Table

使用者帳號＆密碼

使用者帳號 XOR 程式內碼

結論＆展望 結論：1. 我們透過此機制，即可不須 CA 認證達到多人間秘密

通訊2. 此機制不會受到檔案類型的限制 展望：

將完善的檔案管理系統加以實作

DEMO