基于椭球体模型的弹道中段目标特性反演
doi: 10.3724/SP.J.1146.2008.00549
The Characteristic Inversion of the Mid-course Missile Based on the Ellipse Model
-
摘要: 针对弹道中段目标RCS序列识别问题,在分析其运动特性与电磁散射特性的基础上,结合传统的基于椭球体的目标形状反演模型,提出了一种新的利用RCS幅度相对于目标姿态角变化率反演弹道中段目标长短轴比值和目标相对于雷达视线姿态角的方法,克服了传统方法需要观测到目标RCS极大、极小值的缺陷。利用仿真和暗室测量的典型弹头类目标的RCS数据,验证了方法的有效性。
-
关键词:
- RCS;椭球体模型;弹道中段目标;反演
Abstract: This paper is for the identification from the RCS sequence of the Mid-course missile. On the base of analyzing its motion and electromagnetic scattering characteristic, a new method using RCS magnitude changes with respect to the object gesture angle for inversing the mid-course objects long-short axis ratio and gesture angle to the line of the radar is presented. Comparing with the traditional ellipse method, the new method overcomes the disadvantage of the necessity for the maximal and minimal RCS value of the object. The experiment results tested by the simulated and darkroom measurement of the representative missile object show the effectiveness of the method. -
1. 引言
两方口令认证密钥交换协议(Two-Party password-based Authenticated Key Exchange, 2PAKE)能够使得协议参与者使用低熵、易于记忆的口令(password)协商生成一个高熵的会话密钥。
目前,大多传统基于数论的底层困难问题都存在量子解决算法[1,2]。因此,随着量子计算机的发展,基于这些难题构造的密码协议或方案正面临所谓的量子威胁。同时,应对量子威胁的所谓“后量子密码”研究方兴未艾。其中,基于格(lattice)上难题(简称格基)的2PAKE协议的研究成为热点之一。2009年,Katz等人[3]构造了首个格基2PAKE协议。该协议的安全性在基于不可区分的公共参考串(Common Reference String,CRS)模型[4]下得到证明。随后,Ding等人[5]和Zhang等人[6]各自构造出新的格基2PAKE协议,同样在CRS模型下证明了安全性。此后,又有多个格基2PAKE协议陆续被提出[7-9],它们使用的安全模型皆为BPR模型[10]。
CRS模型与BPR模型没有考虑到协议的可组合性以及口令的相关性。相较而言,通用可组合(Universally Composable,UC)模型[11]则很好地解决了这些问题。2017年,Gao等人[12]基于SRP协议[13],提出了一个格基扩展版本协议,称为RLWE-SRP。另外,RLWE-SRP采用了由Ding等人[14]所提出的误差调和机制。但是,该机制效率较低,使得协议双方提取出的共同比特只是具有高熵,而并非均匀分布,需要一个随机提取器来获得均匀的值。相比而言,Peikert[15]于2014年提出的改进误差调和机制能够使协议双方所提取的共同比特满足均匀分布。
采用Peikert式误差调和机制,本文提出一个更高效的具有通用可组合性的格基2PAKE协议,称为RLWE-CAPAKE,并在UC框架下证明其安全性。新协议的设计思想来源于Abdalla等人[16]于2008年提出的CAPAKE协议。新协议既保持了CAPAKE协议的优势,又能抵抗量子攻击。
2. 预备知识
2.1 理想格
格是线性空间
Rn 上n个线性无关向量v1,v2,···,vn 组成的点的集合,表示为L={a1⋅v1+a2⋅v2+···+ an⋅vn|ai 为整数} ,其中v1,v2,···,vn 称为格基。理想格[17]则是具有特殊环结构的格。理想I 是环R=Z[x]/f(x) 的一个商环,其中f(x) 为首一整数多项式。n 阶整数群Zn 上I 的集合便是理想格。相较于格,理想格可以使用一个向量表示一个n 维格,大大降低了空间复杂度;理想格的特殊代数结构可以进行快速运算,大大降低了时间复杂度。最近,张洋等人[18]提出的理想格上格基的快速三角化算法有助于进一步降低运算的时间复杂度。2.2 环上带误差学习问题
2010年,Lyubashevsky等人[17]提出了基于理想格的环上带误差学习(Ring Learning With Errors, RLWE)问题,并指出求解RLWE问题的难度可以量子规约到求解近似最短向量问题。被密码学界普遍认为能够抵抗量子攻击。
定义1 (RLWE分布):设
R 为Z 上阶数为n 的多项式环,Rq=R/qR 为以正整数q 为模的商环,χγ 为R 上以γ 为标准差,0为分布中心,r 为半径的高斯离散分布。设固定向量s 为秘密值,在Rq×Rq 上的RLWE分布As,χγ 通过均匀随机地选择向量a∈Rq ,e∈χγ 进行采样,并得到采样结果(a,b=s⋅a+e(odq)) 。定义2 (判定RLWE问题):给定多项式个独立样本
(ai,bi)∈Rq×Rq ,任意PPT算法A 能够区分样本取自RLWE分布As,χγ 还是均匀随机地取自Rq×Rq 的优势可忽略。2.3 Peikert式误差调和机制
RLWE问题固有的误差问题会导致通信双方无法得到完全相同的会话密钥。为解决这一问题,Ding等人[14]在2012年首次提出误差调和机制(称为Ding式误差调和机制)。2014年,Peikert[15]指出Ding式误差调和机制中协议双方提取出的共同比特只是具有高熵,而并非均匀分布,需要一个随机提取器来获得均匀的值,这会带来较大的效率损失。他提出一个改进的误差调和机制(Peikert式误差调和机制),该机制中协议双方提取的共同比特均匀分布。Peikert式误差调和机制具体描述如下:
对于偶数模数
q≥2 ,定义Zq={−q2,···,0,···,q2−1} 及3个区间:I0:={0,1,···,⌊q4⌉−1} ,I1:={−⌊q4⌋, ···,−1}(odq) ,E:=[−q8,q8)∩Z ,其中⌊q4⌉ 和⌊q4⌋ 为Zq 上的两个陪集,⌊q4⌉=⌊q4+12⌋∈Z 。对于v∈Zq ,w=v+e(odq) ,定义3个函数:定义3 (交叉取整函数)
⟨⋅⟩q,2:Zq→Z2 如b=⟨v⟩q,2:=⌊4q⋅v⌋(od2) ;定义4 (模取整函数)
⌊⋅⌉q,2:Zq→Z2 如⌊v⌉q,2:=⌊2q⋅v⌉ ;定义5 (调和函数)
rec(w,b):Zq×Z2→Z2 如rec(w,b):={0,w∈Ib+E(odq)1,w∉Ib+E(odq) 。其中,rec(w, ⟨v⟩q,2)=⌊v⌉q,2 。对于奇数模数
q ,可定义随机翻倍函数dbl(⋅): Zq→Z2q ,如ˉv=dbl(v)=2v−ˉe ,其中ˉe∈Z 。ˉe 模2后均匀随机且与v 独立,2w=ˉv+(2e+ˉe) (od2q)∈Z2q 。2.4 安全模型
本文设计的协议的安全性在Canetti等人[11]提出的UC框架下,结合Canetti-Rabin[19]提出的具有联合状态的UC(Joint state UC,JUC)定理,使用UC混合模型证明。
定义6 (混合模型下的安全实现) 给定混合模型下的
n 方协议π 以及理想功能F ,如果对于任意概率多项式时间(Probabilistic Polynomial Time, PPT)混合敌手H 都存在PPT理想攻击者S ,使得对于任意环境Z ,在和混合敌手H 及协议π 交互后输出1的概率分布与在和理想攻击者S 及理想功能F 交互后输出1的概率分布是多项式不可区分的,则称协议π 在混合模型下UC安全地实现了理想功能F 。3. 基于理想格的两方PAKE协议
3.1 协议描述
相较于Abdalla等人[16]提出的CAPAKE协议,本文提出的新协议具有如下两个优势:(1)基于RLWE难题、采用文献[15]改进的误差调和机制,被密码学界普遍认为可以抵抗量子攻击;(2)新协议中,服务器不直接存储用户的口令,而只存储服务器ID及用户口令的哈希值
HPW=H0(S||PW) 。实际应用中,“单口令多用途”现象比较普遍,即用户往往针对许多不同的应用服务器使用相同的口令。该改进避免了当服务器沦陷后,敌手可直接获得用户口令,从而可向其他服务器冒充为用户的风险。3.1.1 初始化阶段
用户加入系统时,需向服务器注册。用户
U 将其口令PW 及服务器ID即S 输入哈希函数H0(⋅) 计算得到HPW ,同时从商群Rq 中均匀随机选择公共参数a ,将用户ID即U ,HPW 及a 通过安全信道发送给服务器S 。S 收到U 的注册信息后将⟨U,HPW,a⟩ 添加到存储在数据库中的列表L 上,本文设定外部敌手无法获得服务器内部信息。3.1.2 相互认证及密钥交换阶段
用户和服务器每次会话会自动生成一个会话ID,会话ID为ssid的用户和服务器相互认证及密钥交换的过程如下,其中具体的计算如图1所示:
(1)
U→S:M1={U,X} :U 输入S,PW ,再次计算HPW ,均匀随机地从商群Rq 中选择其私钥sx 、从高斯离散分布χγ 中选取误差ex,e′x ,计算其公钥X=a⋅sx+ex∈Rq ,最后将U 和X 发送给S 。(2)
S→U:M2={S,Y∗} :收到M1 后,S 首先检测X 是否在商群Rq 内,若不在,则退出该次会话;若在,则均匀随机地从Rq 中选择其私钥sy 、从χγ 中选取误差ey,e′y ,计算其公钥Y=a⋅sy+ey∈Rq 。随后利用X 生成带误差的中间秘密值v=X⋅sy+ e′y∈Rq ,对v 使用随机翻倍函数dbl(⋅) 得到ˉv ,对ˉv 使用交叉取整函数⟨⋅⟩2q,2 得到σ ,对ˉv 使用模取整函数[⋅]q,2 得到不带误差的中间秘密值Ks 。S 使用对称密钥(ssid||HPW) 加密Y 以及σ 得到Y∗ ,最后将S 和Y∗ 发送给U 。(3)
S→U:M3={Auth} :收到M2 后,U 首先用(ssid||HPW) 解密Y∗ 得到Y||σ ,再利用Y 生成带误差的中间秘密值w=Y⋅sx+e′x∈Rq ,随后结合σ 对w 使用调和函数rec(2w,σ) 得到不带误差的中间秘密值Ku 。之后,U 使用哈希函数H1(⋅) 、H2(⋅) 分别计算认证因子Auth=H1(ssid∥U∥S∥X∥Y∥ Ku) 、会话密钥SKu=H2(ssid∥U∥S∥X∥Y∥Ku) ,最后将Auth 发送给S 。(4)
SKs=H2(ssid∥U∥S∥X∥Y∥Ks)= SKu :收到Auth 后,S 使用H1(⋅) 计算得到Auth∗= H1(ssid∥U∥S∥X∥Y∥Ks) 并与Auth 比较。若相等,S 计算会话密钥SKs=H2(ssid∥U∥S∥X∥ Y∥Ks) ;否则,S 发出错误信息。3.2 方案的正确性
若
U 和S 诚实地运行协议,他们将以显著的概率得到SKs=SKu 。协议中:v=X⋅sy+e′y=(a⋅sx+ex)⋅sy+e′y=a⋅sx⋅sy+ex⋅sy+e′y, w=Y⋅sx+e′x=(a⋅sy+ey)⋅sx+e′x=a⋅sy⋅sx+ey⋅sx+e′x=v+ey⋅sx+e′x−ex⋅sy−e′y 令
e∗=ey⋅sx+e′x−ex⋅sy−e′y∈Rq ,则w=v+e∗ ,令ˉv=2v−ˉe=2(w−e∗)−ˉe= 2w− (2e∗+ˉe)∈Z2q 。由文献[15]的等式(2.1)、事实2.1、事实2.4可知,2e∗+ˉe 的解码基的所有系数不在区间[−q/4,q/4) 内的概率可忽略。根据文献[15]的声明3.2:对于偶数q ,存在v∈Zq ,e∈E 满足w=v+e ,则rec(w,⟨v⟩q,2)=⌊v⌉q,2 。因此,U 和S 诚实地运行协议,得到SKs≠SKu 的概率可忽略。4. 安全性证明
定理1:在考虑适应性敌手的条件下,本文协议在(
FRO ,FIC )混合模型中能够UC安全地实现理想功能FCApwKE 的多会话扩展ˆFCApwKE 。根据定义6可知,证明定理1即可证明协议RLWE-CAPAKE在混合模型下UC安全地实现了理想功能
ˆFCApwKE ,即具有UC安全性。本节定义了一个序列游戏来证明定理1,这个序列游戏中理想攻击者逐步为挑战者模拟出协议中参与者的所有交互和输出。如果模拟出的信息和真实协议不可区分,那么就将真实环境下的协议安全问题规约到了理想模型中的协议安全问题。证明中使用了3个理想功能:Hofheinz等人[20]提出的随机预言功能FRO , Liskov等人[21]提出的理想密码功能FIC 以及基于口令的认证密钥交换理想功能FCApwKE [16]。为了节省篇幅,上述3个理想功能的具体描述省略。表1给出了利用这些游戏证明不可区分性的简要过程,
A 为与协议RLWE-CAPAKE实体交互的敌手,S 为与理想功能ˆFCApwKE 交互的理想攻击者。S 利用一个模拟的挑战者A 去攻击协议RLWE-CAPKE,试图获得攻击理想功能ˆFCApwKE 的优势。S 为A 模拟出一系列预言机,S 把Z 的输入传递给A ,把A 的输出作为S 的输出使Z 可以读取。设H 为(FRO ,FIC )混合模型下敌手,与RLWE-CAPAKE实体交互时即为A ,与理想功能ˆFCApwKE 交互时即为S 。这个序列游戏中游戏G2 是考虑A 未执行查询,直接猜测出Ku 意外获胜的情况。游戏G3 和G5 分别考虑了在第S4 步之前未被攻陷和客户端已经被攻陷这两种情况。混合模型下,攻击者H 和协议的用户实例通过下述查询进行交互:表 1 UC框架不可区分性证明概览游戏 模型 游戏 模拟器 挑战者 U1 U2 U3 U4 哈希与加解密 G0 现实 真实 真实 真实 真实 真实 协议 A G1 混合 真实 真实 真实 真实 模拟 H A G2 混合 真实 真实 真实 真实 模拟 H A G3 混合 真实 真实 真实 模拟 模拟 H A G4 混合 模拟 真实 模拟 真实 模拟 H A G5 混合 真实 真实 真实 模拟 模拟 H A G6 混合 真实 模拟 真实 模拟 模拟 H A G7 理想 模拟 模拟 模拟 模拟 模拟 S A (1)TestPwd查询:参与者完全被模拟时,验证某一方的口令是否为想要的那个口令;
(2)NewKey查询:参与者完全被模拟且口令未泄露时,验证两方是否拥有相同的口令;
(3)GoodPwd查询:参与者未完全被模拟时,验证某一方的口令是否为想要的那个口令;
(4)SamePwd查询:参与者未完全被模拟且口令未泄露时,验证两方是否拥有相同的口令。
具体证明过程如下:
游戏
G0 :该游戏是环境Z 与现实世界的敌手A 及RLWE-CAPAKE协议的实例在随机预言模型以及理想密码模型下进行交互。游戏
G1 :理想攻击者S 模拟随机预言机和加解密预言机。(1)在随机预言模型下,
S 维持一个长度为qH 的列表ΛH ,用于提供随机预言机H0 ,H1 ,H2 的查询应答。对于一个Hash查询Hn(q) (n = 0或1或2),如果在ΛH 中存在(n,q,r) 记录,则返回r ;否则,随机选取一个r∈{0,1}lHn ,如果ΛH 已经存在(n,∗,r) 记录则中止查询,否则在ΛH 中添加(n,q,r) 记录并返回r 。(2)在理想密码模型下,
S 维持一个长度为qE+qD 的列表ΛED={(ssid,X,HPW,Y||σ,sa,ea, E,Y∗)}∪{(ssid,X,HPW,Y||σ,sa,ea,D,Y∗)} 来提供具有如下属性的加解密预言机查询应答:(a) 对同一口令的同一问题的查询,回答一致;(b) 任一口令的模拟方案加解密是可置换的;(c) 不同口令对应的密文不同。其中sa,ea 用于在解密查询时构造Y||σ 。对于一个加密查询Essid||HPW(Y||σ) ,如果ΛED 中存在(ssid,X,HPW,Y||σ,∗,∗,∗,Y∗) 记录则返回Y∗ ;否则,随机选取Y∗∈G∗=G{1} ,如果ΛED 中存在(∗,∗,∗,∗,∗,∗,∗,Y∗) 记录则中止查询,否则在ΛED 中添加(ssid,X,HPW,⊥,Y||σ,⊥,⊥,E,Y∗) 并返回Y∗ ,其中⊥ 代表此处无需用到该值。对于一个解密查询Dssid||HPW(Y∗) ,如果在ΛED 中存在(∗,∗,HPW,Y||σ,∗,∗,∗,Y∗) 记录就返回Y||σ ;否则,随机选择ss∈Rq ,es∈χγ ,e′s∈χγ ,计算Y′=a⋅ss+es∈Rq ,v′=X⋅ss+e′s∈Rq ,ˉv′←rdbl(v′)∈R2q 及σ′←r⟨ˉv′⟩2q,2∈{0,1}n ,如果ΛED 中存在(∗,∗,∗,Y||σ,∗,∗,∗,∗) 记录则中止查询,否则在ΛED 中添加(ssid,X,HPW,Y′||σ′,ss,es,D,Y′∗) 并返回Y||σ 。上面出现的两种终止查询情况是为了满足不同的口令对应不同的密文这一属性。证毕引理 1 游戏
G0 和游戏G1 对于任意环境Z 都是计算不可区分的。证明:根据哈希函数的抗碰撞性,对于
r≠r′ ,A 得到Hn(r)=Hn(r′) (n = 0或1或2)的概率是可忽略的。根据RLWE判定问题,A 成功区分Y′ 是取自RLWE分布As,χγ 还是Rq×Rq 的概率可忽略。对于Y≠Y′ ,σ≠σ′ ,Y∗≠Y′∗ ,Essid||HPW(Y′||σ′) 和Essid||HPW(Y||σ) 得到相同的密文Y∗ 的概率及Dssid||HPW (Y′∗) 和Dssid||HPW(Y∗) 得到相同的Y||σ 的概率也是可忽略的。因此A 无法在PPT内区分游戏G0 和游戏G1 。证毕游戏
G2 :此游戏与游戏G1 基本相同,不同之处在于如果现实世界敌手A 在未执行任何查询的情况下成功猜测出Ku ,则理想攻击者S 中止模拟随机预言机和加解密预言机。引理 2 游戏
G1 和游戏G2 对于任意环境Z 都是计算不可区分的。证明:现实世界敌手
A 在未执行任何查询的情况下成功猜测出Ku 发生的概率是可忽略的,故A 无法在PPT内区分游戏G1 和游戏G2 。证毕游戏
G3 :假定S 有能力掌控协议前3轮的双方参与者,可知道两参与者的口令,而敌手可通过完全获得参与者的内部存储器来攻陷参与者。如果在第S4 步之前没有发生攻陷,S 模拟两方参与者模拟协议的执行。如果在第S4 步最开始,两方参与者仍然都没有被攻陷,且所有的消息都是预言机产生的,则S 执行SamePwd查询,验证两方口令是否相同。如果两方口令相同,S 在密钥空间中随机选择一个密钥K 并发送给两方参与者;否则,S 在密钥空间中随机选择一个密钥单独发给客户端,服务器则只收到错误信息。如果在第S4 步之前某一方参与者已经被攻陷,S 将不执行任何操作。引理 3 游戏
G2 和游戏G3 对于任意环境Z 都是计算不可区分的。证明:当两方参与者的口令相同时,此游戏与游戏
G2 不可区分;当两方参与者的口令不同时,除了碰撞外,此游戏中协议的第S4 步的一次执行与现实世界模型中协议的第S4 步的一次执行不可区分。由哈希函数的抗碰撞性可知,发生碰撞的概率可忽略,故A 无法在PPT内区分游戏G2 和游戏G3 。证毕游戏
G4 :S 在不获得客户端口令的情况下,从协议的最开始模拟未被攻陷的客户端:在第U1 步,S 模拟客户端选择随机数sx∈Rq,ex∈χγ 并计算相应的X 发送给服务器;在第U3 步,若S 模拟的客户端仍然未被攻陷,则它不能发起对Y∗ 的解密查询。随后,如果客户端收到的消息都是预言机生成的,S 通过H′1 查询获取Auth=H′1(ssid∥U∥S∥ X∥Y∗) ,其中H′1 为S 的私有随机预言机。如果客户端收到的信息不是预言机生成的,分两种情况进行操作:(1)若服务器被A 攻陷,则S 可以得到服务器的口令(此时的模拟器为H ,它同时具有A 和S 两种身份),或者如果Y∗ 已在加密查询下被A 获取,S 可利用加解密查询列表ΛED 恢复出服务器使用的口令。随后,在接收Y∗ 时,S 进行GoodPwd查询,若口令正确,S 通过H1 查询获取Auth=H1 (ssid∥U∥S∥X∥Y∥Ku) ;否则,通过H′1 查询获取Auth=H′1(ssid∥U∥S∥X∥Y∗) 。(2)如果Y∗ 未在加密查询下被A 获取过,S 模拟客户端通过H′1 查询获取Auth =H′1(ssid∥U∥S∥X∥Y∗) 。但是若A 询问了以ssid∥U∥S∥X∥Y∥Ku 或ssid∥U∥S∥ X∥Y∥Ks 为输入的H0 或H1 查询会使得游戏中止。在第
U3 步,在S 模拟的客户端仍未被A 攻陷时,如果由H′1 查询获取Auth 且没有攻陷发生在任何一方,则S 通过H′0 查询获取SKu 。如果由H1 查询获取Auth ,或由H′1 查询获取Auth 但之后发生了攻陷,则S 通过H0 查询获取SKu 。如果在此步S 模拟的客户端被攻陷,S 可以得到内部状态sx ,ex 及HPW ,从而可以计算出Y||σ ,接下来,S 重新执行预言机获取Auth=H1(ssid∥U∥S∥X∥Y∥Ku) 和SKu=H2(ssid∥U∥S∥X∥Y∥Ku) 。在第
S4 步,若服务器被攻陷,且S 进行GoodPwd查询后口令正确,S 重新执行预言机获取Auth=H1(ssid∥U∥S∥X∥Y∥Ks) 和SKs=H2 (ssid∥U∥S∥X∥Y∥Ks) 。当且仅当A 在攻陷之前询问了以ssid∥U∥S∥X∥Y∥Ku 或ssid∥U∥S∥ X∥Y∥Ks 为输入的H0 或H1 查询,A 能够对游戏G4 与游戏G3 进行区分。引理 4 游戏
G3 与游戏G4 对于任意环境Z 都是计算不可区分的。证明:
A 未在加密查询下并且获取过Y∗ 的情况下知道相应的sy 和ey 的概率可忽略,A 在第S4 步攻陷服务器之前询问了以ssid∥U∥S∥X∥Y∥Ku 或ssid∥U∥S∥X∥Y∥Ks 为输入的H0 或H1 查询的概率也可忽略,故A 无法在PPT内区分游戏G3 与游戏G4 。证毕游戏
G5 :在该游戏中,S 模拟在第S4 步中没被攻陷的服务器。分如下两种情况:(1)如果在第
S4 步之前没有攻陷发生,且所有的信息都是预言机产生的,则S 之后的操作与G3 中的操作相同。(2)如果在第
S4 步之前客户端已经被A 攻陷,或者某一信息不是预言机产生的(比如A 已经通过解密Y∗ 获得Y ),S 恢复出服务器已使用过的口令,并验证客户端发送的Auth 是否正确。如果Auth 正确,S 询问关于服务器的GoodPwd查询,若口令正确,服务器会获得和客户端同样的密钥,否则,会获得一条错误信息。如果Auth 不正确,服务器会获得一条错误信息。若服务器在第
S4 步被A 攻陷,S 恢复出服务器的口令,查询列表ΛED 找到该口令相应的信息发送给A 。当A 意外猜测到了Y 时,A 可在客户端发送完Auth 之后模仿客户端,此时游戏中止。引理 5 游戏
G4 和游戏G5 对于任意环境Z 都是计算不可区分的。证明:
A 意外猜测到Y 的概率可忽略,故A 无法在PPT内区分游戏G4 和游戏G5 。证毕游戏
G6 :S 从协议开始模拟未被攻陷的服务器。在第S2 步,S 随机选择一个未执行过加密查询的Y∗ 发送给客户端。如果在之后服务器被A 攻陷,S 利用列表ΛED 获得相应的sy ,ey 及Y||σ 并发送给A 。如果一直到游戏的最后两参与者仍未被攻陷,与游戏G3 不同,他们会得到一个共享的基于口令的会话密钥。参与者之一被攻陷的情况与游戏G4 和游戏G5 中的描述相同,且游戏的执行不依赖Y∗ 的值。引理 6 游戏
G5 和游戏G6 对于任意环境Z 都是计算不可区分的。证明:游戏
G3 ,G4 和G5 中可能中止情况发生的概率都是可忽略的,故A 无法在PPT内区分游戏G5 和游戏G6 。证毕游戏
G7 :S 从协议开始模拟未被攻陷的客户端和服务器,其中将游戏G6 中使用的混合模型下的GoodPwd查询和SamePwd查询分别替换为理想模型下的TestPwd查询和NewKey查询,若游戏中止或终止都会告知A 。引理 7 游戏
G6 和游戏G7 对于任意环境Z 都是计算不可区分的。证明:如果两方参与者拥有相同的
ssid ,相对的角色(客户端和服务器)并且有相同的(X,Y∗ )对,则称两方参与者拥有匹配会话。如果客户端和服务器拥有匹配会话,则他们会得到相同的会话密钥:如果两方都未被攻陷,则他们的会话密钥与实验G3 中相同;如果客户端未被攻陷,服务器被攻陷,他们的会话密钥与游戏G4 中相同;如果客户端被攻陷,则他们的会话密钥与游戏G5 相同。如果客户端和服务器未拥有匹配会话,他们的(X,Y∗ )对或Auth 必有不同,两方拥有相同的(X,Y∗ )对的概率以q2ε/q 为上界,这个概率可忽略,其中qε 为向预言机加密查询的次数。故A 无法在PPT内区分游戏G6 和游戏G7 。证毕由于游戏
G7 与理想功能ˆFCApwKE 中的客户端和服务器拥有完全一致的行为,因此游戏G7 与理想功能ˆFCApwKE 对于任意环境Z 都是概率多项式不可区分的。进一步综合引理1至引理7可知,对于任意环境Z ,在和混合敌手H 及新提出协议的实例交互后输出1的概率分布与在和理想攻击者S 及理想功能ˆFCApwKE 交互后输出1的概率分布是计算不可区分的。定理1证毕。5. 效率分析
本节从安全性和计算与通信效率两方面对本文所提出的新协议与Ding等人[7]提出的PAK理想格扩展协议(RLWE-PAK)及Gao等人[12]提出的SRP理想格扩展协议(RLWE-SRP)进行比较。Ding式REC代表Ding式误差调和机制,Peikert式REC代表Peikert式误差调和机制。
如表2所示,这3个协议均基于RLWE问题,且通信开销也基本相同。RLWE-PAK与本文新协议的环运算次数基本相同,但是它的安全性证明基于BPR模型。如前所述,该模型相对UC模型而言不够完善。进一步,相比RLWE-SRP协议,虽然两者都在UC框架下被证明安全性,但是,本文新协议具有更少的环运算次数,即具有更高的计算效率。因此,综合而言,新协议具有更高的安全性和更好的效率。
表 2 理想格上口令基2PAKE协议的性能比较协议 通信开销 环运算次数 安全模型 难题假设 误差调和 RLWE-PAK 2nlog2q+n 4 BPR模型 RLWE Ding式REC RLWE-SRP 2nlog2q+n 5 UC模型 RLWE Ding式REC 本文协议 2nlog2q+n 4 UC模型 RLWE Peikert式REC 6. 结束语
本文提出了一个基于RLWE问题的2PAKE协议,并在UC框架下详细证明了其安全性。新协议采用了更加高效的误差调和机制。通过与现有相关协议进行比较,结果表明了新协议具有更高的安全性和计算效率。
-
Sessler A M 等著, 卢胜利等译. NMD 与反制NMD. 北京: 国防大学出版社, 2001: 117-120.[2]Knott E F. Simulation of reentry vehicle motion duringlaboratory measurements of radar cross section [J]. IEEETransactions on Antennas and Propagation, 1969, 21(5):242-244.[3]Mehrhdz D. Radar observations in low earth orbit [J].Advanced space Research.1997, 19(2):203-212[4]Lee S H. Investigation of the effects of target featurevariations on ballistic missile RCS [D]. [Master dissertation],Department of The Air Force Air University, 2006.[5]Lambour R, Rajan N, and Morgan T, et al.. Assessment oforbital debris size estimation from radar cross sectionmeasurements [J].[J]. Advanced Space Research.2004,34:1013-[6]Hanson F and Beaghler G. Discriminating interceptortechnology program (DITP) laser radar [C]. SPIE Conferenceon Laser Radar Technology and Applications IV, 1999, SPIE3707: 372-380.[7]黄小红. 基于RCS 序列的空间目标形状估计[J]. 航天电子对抗, 2005, 21(4): 44-46.Huang Xiao-hong. Estimation of space object shapes fromRCS time series[J]. Aerospace Electronic Warfare, 2005, 21(4):44-46.[8]刘永祥. 导弹防御系统中的雷达目标综合识别研究[D]. [博士论文], 国防科技大学, 2004.Liu Yong-xiang. Integrated radar target discrimination inballistic missile defense system[D]. [Ph.D. dissertation].National University of Defense Technology, 2004.[9]冯德军, 王雪松, 肖顺平, 王国玉. 弹道中段雷达目标识别与对抗[J], 航天电子对抗, 2004, (5): 31-35.Feng De-jun, Wang Xue-song, Xiao Shun-ping and WangGuo-yu. The radar target discrimination and warfare formid-course missile. Aerospace Electronic Warfare, 2004, (5):31-35.[10]金文彬, 刘永祥, 任双桥, 黎湘, 庄钊文. 锥体目标空间进动特性分析及其参数提取[J]. 宇航学报, 2004, 25(4): 408-410.Jin Wen-bin, Liu Yong-xiang, Ren Shuang-qiao, Li Xiang,and Zhuang Zhao-wen. Characte analyzing of spatialprecession for cone and its parameter extracting[J]. Journal ofAstronautics, 2004, 25(4): 408-410.[11]陈行勇, 黎湘, 郭桂蓉, 姜斌. 微进动弹道导弹目标雷达特征提取[J].电子与信息学报.2006, 28(4):643-646浏览[12]刘永祥, 黎湘, 庄钊文.空间目标进动特性及在雷达识别中的应用[J]. 自然科学进展, 2004, 14(11): 1329-1332.Liu Yong-xiang, Li Xiang, and Zhuang Zhao-wen. Theprecession characteristic of spatial target and its applicationin Radar Recognition[J]. Progress in Natural Science, 2004,14(11): 1329-1332. 期刊类型引用(10)
1. 刘国光, 胡学成, 杜文韬. 基于二维匹配优化成像的地面动目标检测方法. 电子测量技术. 2019(05): 44-51 . 百度学术
2. 聂松, 郝明, 庄龙, 刘颖. 基于CSI-ISAR的非合作目标成像技术. 电子测量技术. 2019(05): 90-94 . 百度学术
3. 聂松, 郝明, 庄龙, 刘颖. 基于CSI-MD的地面动目标聚焦成像技术. 现代雷达. 2019(08): 23-28 . 百度学术
4. 张升, 孙光才, 李学仕, 邢孟道. 一种新的基于瞬时干涉的SAR-GMTI精聚焦和定位方法. 电子与信息学报. 2015(07): 1729-1735 . 本站查看
5. 易鸿. 一种对多目标高概率检测及高精度成像算法. 贵州师范大学学报(自然科学版). 2015(06): 101-105 . 百度学术
6. 张学攀, 廖桂生, 朱圣棋, 束宇翔, 李东. 单通道SAR无模糊估计快速运动目标速度. 电子与信息学报. 2014(08): 1932-1938 . 本站查看
7. 郑纪彬, 朱文涛, 苏涛, 何学辉. 一种新的高速多目标快速参数化检测算法. 电子与信息学报. 2013(02): 381-387 . 本站查看
8. 郑纪彬, 任爱锋, 苏涛, 朱文涛. 多分量Chirp信号相位参数的精确估计算法. 西安交通大学学报. 2013(02): 69-74 . 百度学术
9. 张学攀, 廖桂生, 朱圣棋, 许京伟, 杨东. 基于双通道距离频率干涉相位解运动目标径向速度模糊方法. 宇航学报. 2013(08): 1152-1158 . 百度学术
10. 杨洁. 多通道SAR-GMTI处理的统计特性分析. 西安邮电学院学报. 2011(04): 9-12+20 . 百度学术
其他类型引用(4)
-
计量
- 文章访问数: 3282
- HTML全文浏览量: 78
- PDF下载量: 856
- 被引次数: 14