曹晨磊 劉明奇 張 茹 楊義先

?

基于層級化身份的可證明安全的認證密鑰協(xié)商協(xié)議

曹晨磊*劉明奇 張 茹 楊義先

(北京郵電大學(xué)災(zāi)備技術(shù)國家工程實驗室 北京 100876)

目前基于身份的認證密鑰協(xié)商協(xié)議均以單個私鑰生成器(PKG)為可信第三方，但這種系統(tǒng)結(jié)構(gòu)難以滿足身份分層注冊與認證需求。該文以基于層級化身份的加密(HIBE)系統(tǒng)為基礎(chǔ)重構(gòu)了私鑰的組成元素，并利用橢圓曲線乘法循環(huán)群上的雙線性映射提出一個基于層級化身份的認證密鑰協(xié)商協(xié)議，為隸屬于不同層級的云實體提供了安全的會話密鑰協(xié)商機制?；贑DH(Computational Diffie-Hellman)與GDH(Gap Diffie-Hellman)假設(shè)，該文證明了新協(xié)議在eCK模型下具有已知密鑰安全性、前向安全性和PKG前向安全性，并且能夠抵抗基于密鑰泄露的偽裝攻擊。

云計算；認證密鑰協(xié)商協(xié)議；基于身份的密碼體制；基于層級化身份的加密；eCK模型

1 引言

云計算是一種模型，用以實現(xiàn)無處不在的、便利的、按需的、通過網(wǎng)絡(luò)共享的可配置計算資源池，這些資源能夠迅速地以最少的管理成本和服務(wù)提供商交互進行配置和釋放[1]。其中，云系統(tǒng)內(nèi)具有行為能力的參與者被稱為云實體，它包含任何具有發(fā)送或接收信息能力的硬件或軟件進程。雖然云計算的雛形最早可溯源到分布式計算及網(wǎng)格計算，但系統(tǒng)接入節(jié)點分布廣泛、硬件設(shè)備的虛擬化、安全控制策略托管、安全邊界模糊等特點也使得云安全問題變得更加復(fù)雜。因此云系統(tǒng)需要建立起完善的安全防護機制來保障自身安全，這些機制主要包含：身份認證與管理機制、訪問控制機制、審計與數(shù)據(jù)加密機制，而認證密鑰協(xié)商機制則是保障其它安全措施能夠有效執(zhí)行的關(guān)鍵環(huán)節(jié)。

為了設(shè)計出適用于云系統(tǒng)的、基于層級化身份的認證密鑰交換協(xié)議，本文以文獻[28]提出的HIBE系統(tǒng)為基礎(chǔ)對云系統(tǒng)內(nèi)的信任域進行了層級式劃分，使得云實體可在各級PKG處注冊身份信息并獲得相應(yīng)的合法私鑰，減輕了根PKG的運行壓力，提高了系統(tǒng)的承載能力。在此基礎(chǔ)上，本文重構(gòu)了私鑰的組成元素，利用橢圓曲線乘法循環(huán)群上雙線性映射中的冪指運算特性，提出了基于層級化身份的認證密鑰協(xié)商(Hierarchical Identity Based Key Agreement, HIBKA)協(xié)議，使得云實體可在未認證對方身份的情況下安全地協(xié)商會話密鑰，同時也為隸屬于不同層級間的云實體提供了會話密鑰協(xié)商機制。協(xié)議中的實體身份信息即為公鑰，如果實體不具備與其聲稱身份相匹配的合法私鑰，則無法計算出正確的會話密鑰，由此也實現(xiàn)了協(xié)議對實體身份信息的隱式認證。最終，本文基于eCK模型[5]證明了HIBKA協(xié)議具有已知密鑰安全、前向安全性和PKG前向安全性，并且能夠抵抗基于密鑰泄露的偽裝攻擊。

2 預(yù)備知識

3 HIBKA協(xié)議設(shè)計

系統(tǒng)建設(shè)者需根據(jù)云系統(tǒng)的物理位置、業(yè)務(wù)模塊、對外服務(wù)IP、使用機構(gòu)及用戶規(guī)模等實際情況，對系統(tǒng)內(nèi)的安全域進行層級化劃分，并在各個安全域內(nèi)設(shè)立PKG中心，為其所在安全域內(nèi)的用戶提供身份注冊及私鑰生成業(yè)務(wù)，以此來建立層級化的云信任體系架構(gòu)。

3.1 協(xié)議描述

(3) A根據(jù)B計算共享秘密：

(4) B根據(jù)A計算共享秘密：

3.2 協(xié)議正確性證明

根據(jù)定義1所述的雙線性性質(zhì)，用戶A可作如下運算：

圖1 基于層級化身份的認證密鑰協(xié)商協(xié)議

同理，用戶B可做如下運算：

4 安全性分析

4.1 安全模型

定義2 前向安全性。在密鑰協(xié)商過程中，即使參與通信的一方或者多方暴露了用來協(xié)商會話密鑰的長期密鑰，也不會威脅到他們以前所協(xié)商的會話密鑰的安全性。

定義3 密鑰生成中心前向安全性。在基于身份的密碼系統(tǒng)中，即使密鑰生成中心的主密鑰暴露了，也不會威脅到以前任何用戶之間所協(xié)商的會話密鑰的安全性。

4.2 協(xié)議安全性分析

第1種情況：對于攻擊者選定的測試會話，系統(tǒng)內(nèi)存有與之相匹配的會話，且匹配會話的擁有者是誠實的。

根據(jù)eCK 模型，利用S對協(xié)議運行環(huán)境進行構(gòu)造，當(dāng)M對A, B以外的會話進行查詢時，S可按查詢能力如實回答，當(dāng)M的查詢與A, B會話相關(guān)時，S按如下方式應(yīng)答(此時S不具有A與B的短期密鑰)：

第2種情況 對于攻擊者選定的測試會話，系統(tǒng)內(nèi)沒有與之相匹配的會話。

5 復(fù)雜度分析

6 結(jié)束語

本文以Boneh HIBE系統(tǒng)為基礎(chǔ)對云系統(tǒng)的信任域進行了層級式劃分，重構(gòu)了用戶私鑰的組成元素，并且利用橢圓曲線乘法循環(huán)群上雙線性映射中的冪指運算特性提出了一個基于層級化身份的、在eCK模型下可證安全的認證密鑰協(xié)商協(xié)議(HIBKA協(xié)議)，實現(xiàn)了對身份信息的隱式認證。HIBKA協(xié)議具有已知密鑰安全性、前向安全性和PKG前向安全性，并且能夠抵抗基于密鑰泄露的偽裝攻擊。使用者利用本協(xié)議構(gòu)造的公私鑰對仍可完成所有基于原有HIBE系統(tǒng)而設(shè)計的密碼運算。此外，HIBKA協(xié)議具有較好的執(zhí)行效率，隨著用戶之間層級差距的減小，協(xié)議的計算復(fù)雜度將不斷降低。

在HIBE研究領(lǐng)域內(nèi)，除了Boneh提出的基于橢圓曲線乘法循環(huán)群上雙線性映射冪指運算特性的公鑰密碼算法外，Gentry, Waters等諸多研究者也提出了各自的基于層級化身份的公鑰密碼算法系統(tǒng)。因此后續(xù)的研究工作可在以下幾方面進行探索：(1)在HIBKA協(xié)議基礎(chǔ)上優(yōu)化算法結(jié)構(gòu)，降低算法復(fù)雜度；(2)在Gentry, Waters等人提出的HIBE算法體系下構(gòu)建新的、基于層級化身份的認證密鑰協(xié)商協(xié)議并與HIBKA協(xié)議進行對比；(3)利用橢圓曲線群上的雙線性映射特性，建立非身份基的層級化認證密鑰協(xié)商協(xié)議，拓展協(xié)議的適用范圍及應(yīng)用場景。

表1 B-HIBE與W-HIBE系統(tǒng)的算法性能分析表

表2 HIBKA協(xié)議算法的計算復(fù)雜度分析表

[1] NIST Special Publication 800-145-2011. The NIST Definition of Cloud Computing[S]. 2011.

[2] Diffie W and Hellman M E. New directions in cryptography [J]., 1976, 22(6): 644-654.

[3] Matsumoto T, Takashima Y, and Imai H. On seeking smart public-key distribution systems[J]., 1986, E69-E(2): 99-106.

[4] Krawczyk H. HMQV: a high-performance secure Diffie- Hellman protocol[J]., 2005, 3621: 546-566.

[5] LaMacchia B, Lauter K, and Mityagin A. Stronger security of authenticated key exchange[J]., 2007, 4784: 1-16.

[6] 趙建杰, 谷大武. eCK模型下可證明安全的雙方認證密鑰協(xié)商協(xié)議[J]. 計算機學(xué)報, 2011, 34(1): 47-54.

[7] He D, Chen Y, and Chen J. An ID-based three-party authenticated key exchange protocol using elliptic curve cryptography for mobile-commerce environments[J]., 2013, 38(8): 2055-2061.

[8] Liu T, Pu Q, Zhao Y,.. ECC-based password- authenticated key exchange in the three-party setting[J]., 2013, 38(8): 2069-2077.

[9] Chou C, Tsai K, and Lu C. Two ID-based authenticated schemes with key agreement for mobile environments[J]., 2013, 66(2): 973-988.

[10] Nicanfar H and Leung V C M. Multilayer consensus ECC- based password authenticated key-exchange (MCEPAK) protocol for smart grid system[J]., 2013, 4(1): 253-264.

[11] Chou C, Tsai K, Wu T,.. Efficient and secure three-party authenticated key exchange protocol for mobile environments[J].-(&), 2013, 14(5): 347-355.

[12] Shamir A. Identity-based cryptosystems and signature schemes[J]., 1984, 196: 47-53.

[13] Boneh D and Franklin M. Identity-based encryption from the weil pairing[J]., 2003, 32(3): 586-615.

[14] Smart N P. Identity-based authenticated key agreement protocol based on the weil Pairing[J]., 2002, 38(13): 630-632.

[15] 王圣寶, 曹珍富, 董曉蕾. 標(biāo)準模型下可證安全的身份基認證密鑰協(xié)商協(xié)議[J]. 計算機學(xué)報, 2007, 30(10): 1842-1852.

[16] 汪小芬, 陳原, 肖國鎮(zhèn). 基于身份的認證密鑰協(xié)商協(xié)議的安全分析與改進[J]. 通信學(xué)報, 2008, 29(12): 16-21.

[17] 高海英. 可證明安全的基于身份的認證密鑰協(xié)商協(xié)議[J]. 計算機研究與發(fā)展, 2012, 49(8): 1685-1689.

[18] 任勇軍, 王建東, 王箭, 等. 標(biāo)準模型下基于身份的認證密鑰協(xié)商協(xié)議[J]. 計算機研究與發(fā)展, 2010, 47(9): 1604-1610.

[19] 高志剛, 馮登國. 高效的標(biāo)準模型下基于身份認證密鑰協(xié)商協(xié)議[J]. 軟件學(xué)報, 2011, 22(5): 1031-1040.

[20] Waters B. Efficient identity-based encryption without random oracles[J]., 2005, 3494: 114-127.

[21] Farash M S, Attari M A, Atani R E,.. A new efficient authenticated multiple-key exchange protocol from bilinear pairings[J]., 2013, 39(2): 530-541.

[22] Tan Z. An enhanced ID-based authenticated multiple key agreement protocol[J]., 2013, 42(1): 21-28.

[23] Chen Y and Han W. Efficient identity-basedauthenticated multiple key exchange protocol[J].-, 2013, 35(4): 629-636.

[24] Xiong H, Chen Z, and Li F. New identity-based three-party authenticated key agreement protocol with provable security[J]., 2013, 36(2): 927-932.

[25] Yang H, Zhang Y, Zhou Y,.. Provably secure three-party authenticated key agreement protocol using smart cards[J]., 2014, 58(1): 29-38.

[26] Ni L, Chen G, and Li J. Escrowable identity-based authenticated key agreement protocol with strong security[J]., 2013, 65(9): 1339-1349.

[27] Ni L, Chen G, Li J,.. Strongly secure identity-based authenticated key agreement protocols in the escrow mode[J].-, 2013, 56(8): 082113:1-082113:14.

[28] Boneh D, Boyen X, and Goh E J. Hierarchical identity based encryption with constant size ciphertext[J]., 2005, 3494: 440-456.

[29] Gentry C and Halevi S. Hierarchical identity based encryption with polynomially many levels[J]., 2009, 5444: 437-456.

[30] Okamoto T and Pointcheval D. The gap problems: a new class of problems for the security of cryptographic schemes[J]., 2001, 1992: 104-118.

[31] Waters B. Dual system encryption: realizing fully secure IBE and HIBE under simple assumptions[J]., 2009, 5677: 619-636.

曹晨磊： 男，1982年生，博士生，研究方向為可信計算與云安全.

劉明奇： 女，1989年生，碩士生，研究方向為移動云安全.

張 茹： 女，1976年生，副教授，研究方向為可信計算、信息隱藏與數(shù)字水印.

楊義先： 男，1961年生，教授，研究方向為信息安全.

Provably Secure Authenticated Key AgreementProtocol Based on Hierarchical Identity

Cao Chen-lei Liu Ming-qi Zhang Ru Yang Yi-xian

(,,100876,)

At present most Identity-based authenticated key agreement protocols are built on the security infrastructure in which a single Private Key Generator (PKG) is contained as the only trusted third party of the whole system, however such kind of infrastructure can not satisfy the requirements of hierarchical identity register and authentication. On the basis of Hierarchical Identity Based Encryption (HIBE) system, this paper reconstructs the private key and proposes a new hierarchical identity based authenticated key agreement protocol using the bilinear map in multiplicative cyclic group and it provides secure session key exchange mechanism for cloud entities on different hierarchical levels. Based on the Computational Diffie-Hellman (CDH) and Gap Diffie-Hellman (GDH) assumptions, this paper proves that the new protocol not only achieves known-key security, forward secrecy and PKG forward secrecy, but also resists key-compromise impersonation attacks in the eCK model.

Cloud computing;Authenticated key agreement protocol; Identity-Based Cryptography (IBC); Hierarchical Identity Based Encryption (HIBE); eCK Model

TP309

A

1009-5896(2014)12-2848-07

10.3724/SP.J.1146.2014.00684

曹晨磊 caochenlei@gmail.com

2014-05-23收到，2014-08-29改回

國家自然科學(xué)基金(61003284, 61121061)，北京市自然科學(xué)基金(4122053)，中央高?；究蒲袠I(yè)務(wù)費專項資金(BUPT2013 RC0310)和新聞出版重大科技工程項目(GXTC-CZ-1015004/09, GXTC-CZ- 1015004/15-1)資助課題