陳　虹　徐嘉鴻　肖振久

1(遼寧工程技術大學軟件學院　遼寧 葫蘆島 125105)

2(中國傳媒大學計算機學院　北京 100024)

?

基于身份的認證密鑰協(xié)商協(xié)議的改進

陳虹1徐嘉鴻1肖振久2

1(遼寧工程技術大學軟件學院遼寧 葫蘆島 125105)

2(中國傳媒大學計算機學院北京 100024)

摘要針對已有的基于身份的認證密鑰協(xié)商協(xié)議存在的安全問題，提出一種改進的基于身份的認證密鑰協(xié)商協(xié)議。該協(xié)議采用雙線性對運算方法, 用戶雙方的臨時和長期私鑰結合進行最終會話密鑰的計算，解決了原協(xié)議中存在的PKG前向安全性問題、單一依賴臨時或長期私鑰而存在的問題和已知臨時會話密鑰泄漏攻擊的問題。在保證改進協(xié)議正確基礎上，對協(xié)議的安全屬性及協(xié)議性能進行了分析。采用SVO邏輯對協(xié)議進行形式化分析，驗證了改進協(xié)議的認證性和安全性。結果表明，改進的協(xié)議滿足基于身份認證密鑰協(xié)商協(xié)議的所有安全性要求，與已有基于身份的認證密鑰協(xié)商協(xié)議相比具有更好的安全屬性及計算效率。

關鍵詞基于身份的認證密鑰協(xié)商雙線性對SVO邏輯形式化驗證

IMPROVEMENT OF ID-BASED AUTHENTICATED KEY AGREEMENT PROTOCOL

Chen Hong1Xu Jiahong1Xiao Zhenjiu2

1(School of Software,Liaoning Technical University,Huludao 125105,Liaoning,China)2(School of Computer,Communication University of China,Beijing 100024,China)

AbstractTo solve the security problem in existing ID-based authenticated key agreement protocol, in this paper we propose an improved ID-based authenticated key agreement protocol. The protocol uses bilinear pairing operation method, combines the temporary and long-term private keys of both users sides to calculate the final session key, and solves the problem of PKG-forward security in previous protocol, the problem caused by singly depending on the temporary or long-term private keys, and the problem of known temporary session key leakage attacks. Based on ensuring the correctness of the improved protocol, we analyse the security attribute and the performance of the improved protocol, and carry out formal analysis on the protocol with SVO logic, as well as verify the authentication property and security of the improved protocol. Results show that it satisfies all the security requirements of an ID-based authenticated key agreement protocol. Comparing with other existing similar protocols, it has better safety attribute and higher computational efficiency.

KeywordsID-based authenticationKey agreementBilinear pairingSVO logicFormal verification

0引言

密鑰協(xié)商協(xié)議作為最基礎的密碼原語之一，旨在在敵手控制的非安全信道中，兩個或多個通信用戶交換信息，用戶間彼此認證對方的身份，并協(xié)商出一個共享的會話密鑰。所協(xié)商出的會話密鑰可在將來的通信會話中使用，且對通信系統(tǒng)中傳輸?shù)臄?shù)據(jù)提供機密性和認證性等服務。

Diffie和Hellman[1]提出了第一個對等環(huán)境下的密鑰協(xié)商協(xié)議，而基本的Diffie-Hellman協(xié)議并不提供通信雙方的認證，因而存在中間人攻擊的安全問題。1984年，Shamir[2]基于公鑰提出了第一個基于身份的密鑰協(xié)商協(xié)議(ID-AKA)，這一協(xié)議的提出減去了繁瑣的證書發(fā)放和管理機制。2001年，由Boneh等人[3]第一個提出利用雙線性對運算的基于身份的認證密鑰協(xié)商協(xié)議，但該協(xié)議卻不能保證前向安全性。隨后，又出現(xiàn)了許多基于雙線性對運算的協(xié)議，如文獻[4-5,9-12]等。1997年，Blake-Wilson等人在文獻[8]中提出了基于RSA環(huán)境下的AKA協(xié)議的BJM97模型。而在此環(huán)境下BJM97模型不能保證前向安全性，且在測試會話中，Corrupt查詢不能被進行，而且還不能抵抗密鑰泄露模仿攻擊。之后Chen等人在文獻[13,14]中，定義并發(fā)展了基于身份的認證密鑰協(xié)商協(xié)議安全模型 ID-BJM模型，目前絕大部分關于ID-AKA協(xié)議，如文獻[4-7,13-16]，都是在BJM修改模型下給出安全性證明。

2007年，王圣寶等[15]提出了帶有會話密鑰托管的基于身份的認證密鑰協(xié)商協(xié)議(簡稱WCD-1協(xié)議)和無會話密鑰托管的基于身份的認證密鑰協(xié)商協(xié)議(簡稱WCD-2協(xié)議)，并在ID-BJM模型下對兩個協(xié)議進行了證明；之后汪小芬等人[16]對WCD-2協(xié)議進行了分析和改進，提出了改進后的協(xié)議(簡稱WCX協(xié)議)，但改進后的協(xié)議仍不滿足已知會話相關臨時秘密信息安全屬性。而此類文獻中，均是在標準模型下證明協(xié)議的安全，并未給出形式化的證明分析，如文獻 [15-21]。因此本文在WCD-2協(xié)議的基礎上，提出改進的協(xié)議，權衡了安全性質和計算效率這兩者的關系，增加了密鑰確認機制。通過SVO邏輯對改進的協(xié)議進行形式化分析證明，使協(xié)議具有更好的安全性。

1雙線性對和困難問題假設

定義1設G1、G2分別為階數(shù)是q的循環(huán)加法群和乘法群，e:G1×G1→G2中的e為雙線性對的一個映射，它擁有如下性質：

(1) 雙線性：若g,h∈G1且a,b∈Zq，存在e(ag,bh)=e(g,h)ab。

(2) 非退化性：若g∈G1，則e(g,g)≠1。

(3) 可計算性：若g,h∈G1,則存在有效的算法可計算e(g,h)。

2WCD-2協(xié)議及安全性分析

2.1WCD-2協(xié)議簡介

1) 系統(tǒng)建立

2) 私鑰生成

對應身份ID∈Zq，從PKG中隨機選擇rID∈Zq，且每一個身份ID，均固定rID，計算私鑰dID=[rID,hID]，且hID=(hg-rID)1/(α-ID)。

3) 密鑰協(xié)商

設密鑰協(xié)商的雙方分別為Alice和Bob，Alice的身份為IDA，私鑰為hA，Bob的身份為IDB，私鑰為hB。Alice、Bob的公鑰分別為 gA=g1g-IDA、gB=g1g-IDB，Alice和Bob進行會話密鑰協(xié)商，其中gT=e(g,g)為公開參數(shù)。

(2) Alice將接收到的TB=TB1‖TB2‖TB3，計算出共享秘密KAB1和KAB2，然后Alice計算會話密鑰SKAB=H(IDA‖IDB‖TA‖TB‖KAB1‖KAB2)；接著Bob將接收的TA=TA1‖TA2‖TA3，計算共享秘密KBA1和KBA2，最后Bob計算會話密鑰SKBA=H(IDA‖IDB‖TA‖TB‖KBA1||KBA2)。

(3) 根據(jù)雙線性對的性質，得出Alice與Bob計算出的會話密鑰為SK=H(IDA‖IDB‖TA‖TB‖e(g,h)x+y‖e(g,t)xy)。

2.2WCD-2協(xié)議安全性分析

(1) 若存在攻擊者C，攻擊并獲取PKG主私鑰α，則會出現(xiàn)以下攻擊情況：

KAB1=e(TC1,hA)(TC2)rAe(g,h)x=e(g,h)x+z

由于攻擊者C獲取了PKG主私鑰α，由=g(α-IDB).x=(gx)α-IDB，可計算出gx，繼而計算出共享密鑰：

KCA1=e(gx,h)·e(g,h)z=e(g,h)x+z

協(xié)議執(zhí)行后，C成功冒充B與A進行協(xié)商，并獲得了一個會話密鑰SK。

(2) 若攻擊者C獲取主私鑰α和發(fā)送方A的長期私鑰dA=[rA,hA],則會根據(jù)(1)的基礎上繼續(xù)進行如下運算：

=e(g,ht-rA)z(α-IDB)/(α-IDA)·e(g,t)zrA·e(g,h)x

協(xié)議執(zhí)行后,C成功冒充B與A進行協(xié)商，并獲得了一個最終的會話密鑰SK。

3改進的WCD-2協(xié)議

3.1系統(tǒng)建立

3.2私鑰生成

對應身份ID∈Zq，隨機選擇rID∈Zq，且每一個身份ID，均固定rID，計算私鑰dID=[rID,hID]，且hID=(hg-rID)1/(α-ID)。

3.3密鑰協(xié)商與認證

設用戶分別為發(fā)送方A和響應方B，且發(fā)送方A的身份為IDA，私鑰為dA，響應方B的身份為IDB，私鑰為dB。發(fā)送方A和響應方B進行會話密鑰協(xié)商。令gA=g1g-IDA，gB=g1g-IDB，t=e(g,h)和gT=e(g,g)，身份ID對應的公鑰為gID，發(fā)送方A和響應方B可分別預先計算出gA、gB、t。

(3) 發(fā)送方A接受到TB=TB1‖TB2‖TB3，并計算共享秘密KAB=[e(TB1,hA)(TB2)rA(TB3)]x+rA，同理響應方B接收到TA=TA1‖TA2‖TA3，計算共享秘密KBA=[e(TA1,hB)(TA2)rB(TA3)]y+rB；

(4) 發(fā)送方A根據(jù)共享密鑰，計算會話密鑰SKAB=H(IDA‖IDB‖TA‖TB‖KAB)，同理響應方B根據(jù)共享密鑰，計算會話密鑰SKBA=H(IDA‖IDB‖TA‖TB‖KBA)；

(5) 發(fā)送方A和響應方B互相確認身份，根據(jù)雙線性對的性質，容易得出發(fā)送方A和響應方B共享的會話密鑰為SK=H(IDA‖IDB‖TA‖TB‖e(g,h)xy+xrA+yrB+rArB)。

發(fā)送方A與響應方B之間的基于身份的認證密鑰協(xié)商協(xié)議如圖1所示。

圖1　改進的基于身份的認證密鑰協(xié)商協(xié)議過程

3.4改進協(xié)議的正確性分析

(1) 首先根據(jù)已知條件，可計算出響應方B的TB1值：

(2) 其次根據(jù)雙線性對的性質，計算e(TB1,hA)：

=e(gy,h)e(gy,g-rA)

=e(g,h)ye(g,g)-rAy

(3) 再結合已知條件，計算出KAB的值：

KAB=[e(TB1,hA)(TB2)rA(TB3)]x+rA

=[e(g,h)ye(g,g)-rAye(g,g)rAye(g,h)rB]x+rA

=[e(g,h)y+rB](x+rA)

(4) 同理可得TA1，e(TA1,hB)，KBA的值，其中：

KBA=[e(TA1,hB)(TA2)rB(TA3)]y+rB

=[e(g,h)xe(g,g)-rBxe(g,g)rBxe(g,h)rA]y+rB

=[e(g,h)x+rA](y+rB)

所以：

SKBA=H(IDA‖IDB‖TA‖TB‖KBA)

=H(IDA‖IDB‖TA‖TB‖KAB)

=SKAB

最終可證：

SK=H(IDA‖IDB‖TA‖TB‖e(g,h)xy+xrB+yrA+rArB)

3.5改進協(xié)議中的密鑰確認

由WCD-2協(xié)議的消息流可以看出, 發(fā)送方A與響應方B之間缺少相互的認證機制。若攻擊者E通過攔截并獲得A的消息后, 可以假裝成B生成消息并發(fā)送給A且不被A發(fā)現(xiàn)。若協(xié)議參與者繼續(xù)執(zhí)行, 且生成一個會話密鑰, 攻擊者E還可以利用自己攻擊獲得來的信息，生成一致的會話密鑰, 從而最終與發(fā)送方A 建立一個共享的會話密鑰。為了解決上述存在的冒充攻擊問題，在本節(jié)中采用對稱加密的方法為改進協(xié)議增加密鑰確認機制。

改進協(xié)議的密鑰確認過程如圖2所示。

圖2　改進協(xié)議的密鑰確認過程

3.6改進協(xié)議的安全屬性分析

協(xié)議的安全屬性分析主要有以下幾個方面：

(1) 已知會話密鑰安全性。改進協(xié)議中臨時密鑰選取的是隨機數(shù)x、y,每當改進協(xié)議執(zhí)行一次時，都要從發(fā)送方A，響應方B中隨機選取一次，因此多個會話密鑰之間不具有相關性。

(2) 前向安全性。即使發(fā)送方A和接收方B，其中一方或者兩者同時都泄露了長期密鑰dID=，歷史會話的安全性也不會受到影響。攻擊者E不能有效計算e(g,h)xye(g,h)rAye(g,h)rArBe(g,h)rBx這些歷史會話密鑰，因此改進協(xié)議具有前向安全性。

(3)PKG前向安全性。攻擊者E攻擊PKG獲得α，但仍無法計算發(fā)送方A和響應方B的會話密鑰，因為攻擊者E通過所掌握的信息能夠計算出：

即可以計算出：gx、gy，但仍然無法計算出e(g,h)xy，因為這需要解決CDH困難問題，繼而也無法計算出共享秘鑰KAB=KBA=e(g,h)xy+rBx+rAy+rArB，因此改進協(xié)議具有PKG前向安全性。

(4) 抗密鑰泄露偽裝攻擊。假設攻擊者E得知發(fā)送方A泄露的長期密鑰并偽裝成A，但E不可能成功地偽裝成響應方B并與發(fā)送方A進行密鑰協(xié)商，因為E并不知道B的私鑰，因此無法計算出相應的會話密鑰。

(5) 密鑰完整性。最終會話密鑰的形成是由發(fā)送方A和響應方B兩者隨機所選擇的x、y值和其長期密鑰決定的。因此雙方都無法預先決定選擇的值，對于攻擊者E而言，即使它采用中間人攻擊，也無法使得A、B、E三者的會話密相同，因而改進協(xié)議滿足密鑰完整性。

(6) 已知會話臨時密鑰安全性。攻擊者E即使得知發(fā)送方A和響應方B的臨時密鑰x、y值，但最終的會話密鑰值是由臨時密鑰x、y和長期密鑰中rIDA和rIDB構成的，因此無法計算出e(g,h)xy，甚至e(g,h)xy+rBx+rAy+rArB，所以改進協(xié)議具有已知會話臨時密鑰安全性。

(7) 抗未知密鑰共享。發(fā)送方A和響應方B在協(xié)商會話密鑰時，發(fā)送方A不會被強制與第三方C進行共享會話密鑰協(xié)商。因為在信息交互的過程中，A發(fā)送的信息是用B的公鑰進行加密的，因此C無法計算出相應的會話密鑰。

4改進協(xié)議的形式化分析

形式化邏輯分析語言SVO吸收了BAN、GNY、AT等邏輯系統(tǒng)的優(yōu)點，具有十分簡潔的推理規(guī)則和公理。在形式化語義方面，SVO邏輯對一些概念進行了重新定義，本文以協(xié)議的假設為起點，運用邏輯推理規(guī)則得到最終實現(xiàn)的目標，從而證明協(xié)議的安全性。

4.1SVO邏輯語法符號

(1) P says X：表示此次會話開始后P發(fā)送了消息X。

(2) P said X：表示以前會話P發(fā)送了消息X。

(3) P sees X：表示P擁有消息X。

(4) {Xp}K：用密鑰K對消息X加密后得到的消息，P為發(fā)送者(常省略)。

(5) [X]K：用私鑰K對消息X簽名后得到的消息，并自動獲得了X。

(6) K-1：表示密鑰K對應的解密密鑰。

(7) PKψ(P,K)：表示K是P的加密公鑰。

(8) PKσ(P,K)：表示K是P的簽名驗證公鑰。

(9) PKδ(P,K)：表示K是P的協(xié)商公鑰，并且公鑰所對應的私鑰是良好的。

(10) SV(X,K,Y)：表示簽名驗證，即對于簽名X，用簽名驗證密鑰K驗證X是否為消息Y的簽名。

(11) ShareKey(K,P,Q)：表示K是P與Q的良好共享密鑰。

(12) ShareKey(K-,P,Q)：表示P與Q通信中密鑰K未得到確認，此為非確認共享密鑰，即ShareKey(K-,P,Q)=(ShareKey(K,P,Q))∧(PseesK)。

(13) ShareKey(K+,P,Q)：表示P與Q通信中密鑰K得到確認，此為確認共享密鑰，即ShareKey(K+,P,Q)=(ShareKey(K,P,Q))∧(PseesK)∧(Qsays(QseesK))。

(14) *：SVO使用*表示主體所收到的但不可識別的消息。

4.2SVO推理規(guī)則及公理

4.2.1SVO的兩個初始規(guī)則

1) 分離規(guī)則

MP(Modus Ponens)：φ∧φ?ψ?ψ

2) 必要性規(guī)則

Nec(Necessitation)：├φ?├Pbelievesφ

4.2.2SVO的11條公理

1) 相信公理

Ax0 (Pbelievesφ∧Pbelievesψ)≡(Pbelievesψ∧ψ)

Ax1 Pbelievesφ∧Pbelieves(φ?ψ)?Pbelievesψ

Ax2 Pbelievesφ?Pbelieves(Pbelievesφ)

2) 源關聯(lián)公理

Ax3 SharedKey(K,P,Q)∧Rreceived{XQ}K?QsaidX∧QseesK

Ax4 PKσ(Q,K)∧RreceivedX∧SV(X,K,Y)?QsaidY

3) 密鑰協(xié)商公理

Ax5 PKδ(P,Kp)∧PKδ(Q,Kq)?SharedKey(F0(Kp,KQ),P,Q)

Ax6 φ≡φ[F0(K,K′)/F0(K′,K)]

公理Ax5中F0(Kp,KQ)表示協(xié)商密鑰生成函數(shù)(如DH算法)，F(xiàn)0使用第1個參數(shù)所表示的公鑰，使用第2個參數(shù)所對應的私鑰。

4) 接收公理

Ax7 Preceived(X1,…,Xn)?PreceivedXi

Ax8 Preceived{X}k∧PseesK-1?PreceivedX

Ax9 Preceived[X]k?PreceivedX

5) 看見公理

Ax10 PreceivedX?PseesX

Ax11 Psees(X1,…,Xn)?PseesXi

Ax12 PseesX1∧…∧PseesXn?PseesF(X1,…,Xn)

6) 理解公理

Ax13 Pbelieves(PseesF(X))?Pbelieves(PseesX)

7) 說過公理

Ax14 Psaid(X1,…,Xn)?PsaidXi∧PseesXi

Ax15 Psays(X1,…,Xn)?PsaysXi∧Psaid(X1,…,Xn)

公理Ax14表明一個主體只能說它所擁有的，公理Ax15表明一個主體最近說過且包含它說過的。

8) 仲裁公理

Ax16 Pcontrolsφ∧Psaysφ?φ

公理Ax16表明P對φ有仲裁權。

9) 新鮮性公理

Ax17 fresh(Xi)?fresh(X1,…,Xn)

Ax18 fresh(X1,…,Xn)?fresh(F(X1,…,Xn))

公理Ax18中，F(xiàn)的計算必須依賴X1,…,Xn中新鮮元素的值，若F(X1,X2,X3)=(X1+(0*X2)+X3)不是新鮮的，因為F的計算并不依賴于X2的值，即公理Ax18不可用。

10) Nonce驗證公理

Ax19 fresh(X)∧PsaidX?PsaysX

11) 共享密鑰對稱公理

Ax20 SharedKey(K,P,Q)≡SharedKey(K,Q,P)

公理Ax20表明共享密鑰具有對稱性。

根據(jù)SVO邏輯中的Ax1公理和MP法則，可得到以下結論：

P|≡φ∧P|≡φ?ψ|-P|≡ψ

4.3改進協(xié)議的SVO邏輯分析過程

運用SVO邏輯來證明新協(xié)議的安全過程如下：首先用SVO邏輯語言，表示已給出的協(xié)議初始假設集，再推導出協(xié)議最后要實現(xiàn)的目標集，最后證明假設集├目標集。結論成立，則說明已經達到了協(xié)議預期的設計目標，由此可知協(xié)議是安全的。

首先，根據(jù)協(xié)議的內容，對發(fā)送方A的關于密鑰協(xié)商初始的建設，信息接收和論證的過程的假設(響應方B的初始假設也這樣類似得到)：

G1 A believes fresh(x)∧(A sees x)

G2 A believes PKδ(A,x)

G3 A believes Bseesy

G4 A believes A received(gag-IDB)x

G5 A believes A received{IDB,TA1‖TA2‖TA3}SK

G6 A received[(g,g-IDA)x∧(Bseesy)?PKδ(B,y)]

G7 A believes A received[(g,g-IDA)x∧(Bseesy)?PKδ(B,y)]

G8 A believes A received{IDB,TA1‖TA2‖TA3}SK

然后，再用SVO邏輯來表示協(xié)議的實現(xiàn)目標發(fā)送方A實現(xiàn)的目標集為：

A believes ShareKey(K+,A,B)，A believes fresh(SK)；

響應方B實現(xiàn)的目標集為：

B believes ShareKey(K+,A,B)，B believes fresh(SK)。

最后，由上述假設和SVO邏輯(下面同4.1節(jié)的符號表示)的公理及規(guī)則，對協(xié)議進行如下的推理和證明：

A believes (A received (gag-IDB)x∧Bseesb)

由G3、G4、公理Ax0可得。

(1) A believes PKδ(B,b)由SVO邏輯(1)、G6、公理Ax0、Ax1+MP規(guī)則可得。

(2) A believes(PKδ(A,x)∧PKδ(B,b))由G2、(2)、公理Ax0可得。

(3) A believes(PKδ(A,x)∧PKδ(B,b)?ShareKey(K,A,B))SK=(IDA‖IDB‖TA‖TB‖e(g,h)(x+rA)(y+rB))由(3)、公理Ax5可得。

(4) A believes ShareKey(K,A,B)由(3)、(4)、Ax1+MP規(guī)則可得。

(5) A believes(AseesSK)∧(Bsaid(BseesSK))由G5、G7、公理Ax0、Ax1+MP規(guī)則可得。

(6) A believes(AseesSK)由(6)、公理Ax0可得。

(7) A believes Bsaid(BseesSK)由(6)、公理Ax0可得。

(8) A believes Bsaid(BseesSK)由(6)、公理Ax0可得。

(9) A believes fresh(x)?fresh(IDA‖IDB‖TA‖TB‖e(g,h)(x+rA)(y+rB))由G1和公理Ax18可得。

(10)Abelievesfresh(IDA‖IDB‖TA‖TB‖e(g,h)(x+rA)(y+rB))，即Abelievesfresh(SK)由G1、(9)、公理Ax0、A1+MP規(guī)則可得。

(11) A believes Bsays(BseesSK)由(8)、(10)、公理Ax19可得。

(12)Abelieves(ShareKey(K,A,B)∧(AseesSK)∧Bsaid(BseesSK))即AbelievesShareKey(K+,A,B)由(5)、(7)、(11)、公理Ax0可得。

最終分析結果為：A believes ShareKey(K+,A,B)，A believes fresh(SK)。

同理，響應方B也可以通過上述方法，得到最后的結論。根據(jù)上述的證明結果，協(xié)議成功執(zhí)行后，發(fā)送方A和響應方B都相信SK是它們雙方確認通信的共享密鑰，并且該密鑰是新鮮的。運用SVO邏輯對協(xié)議進行形式化證明分析，新協(xié)議達到了預先設定的目標集，由此證明新協(xié)議是安全的。

5協(xié)議的性能分析比較

協(xié)議的性能分析主要從安全性和計算效率兩方面進行分析比較?，F(xiàn)將文獻[15]和文獻[16]中的幾個協(xié)議與改進協(xié)議(簡稱NEW協(xié)議)的安全性和計算效率進行比較，比較結果如表1和表2所示。

表1　協(xié)議的安全性的比較

表2　協(xié)議的計算效率比較

其中，F(xiàn)S代表前向安全性；PKG-FS代表PKG前向安全性；KSK代表已知會話密鑰安全性；KI代表密鑰完整性；Y、N分別代表表中對應的協(xié)議是否滿足相應的安全性。

通過表1的比較結果可以看出，改進協(xié)議與同類文獻中的協(xié)議相比，改進協(xié)議均滿足上述安全屬性的需求。

其中，Pairing Computation雙線性運算簡稱為P；Multiplication Computation乘法運算簡稱為M；Index Computation指數(shù)運算簡稱為S。

通過表2的比較結果可以看出，改進協(xié)議與同類文獻中的協(xié)議相比，并沒有明顯增加計算負擔。

綜上所述，從表1和表2的結果和3.6節(jié)中的安全屬性分析可以看出，改進協(xié)議滿足目前所有安全性能的指標，并且較好地權衡了安全性和計算效率這兩者的關系。

6結語

本文在文獻[15]中的WCD-2協(xié)議的基礎上，針對其存在的不安全因素，提出了改進的協(xié)議。解決了WCD-2協(xié)議中存在的PKG前向安全性的問題，以及由于單一依賴臨時或長期私鑰，而不具備已知會話臨時密鑰安全性的問題。最后，在改進協(xié)議的基礎上，增加了密鑰確認機制，使協(xié)議更安全地實現(xiàn)了基于身份的認證。同時本文通過SVO邏輯對改進協(xié)議進行形式化分析，驗證了協(xié)議的安全性。在協(xié)議性能分析方面，較好地權衡了安全性質和計算效率的這兩者的關系，使改進后的協(xié)議更具有實際的意義。

參考文獻

[1] Diffie W,Hellman M E.New directions in cryptography[J].IEEE Trans Info Theory,1976,22(6):44-654.

[2] Shamir A.Identity-based cryptosystems and signature schemes[C]//Advances in Cryptology—Crypto1984,Berlin:Springer-Verlag,1984:47-53.

[3] Boneh D,Franklin M.Identity based encryption from the Weil pairing[C]//Advances in Cryptology—Crypto 2001,Berlin:Springer-Verlag,2001:213-229.

[4] Yuan Q,Li S.A new efficient ID-based authenticated key agreement protocol[EB/OL].2011-6-5.(2005-08-29).[2009-08-25].http://Cryptology ePrint Archive2005/309.

[5] Ni L,Chen G,Li J,et al.Strongly secure identity-based authenticated key agreement prot ocols[J].Computers and Electrical Engineering,2011,37(2):205-217.

[6] Cao X,Kou W,Du X.A pairing-free identity-based authenticated key agreement protocol with mimimal message exchanges[J].Information Sciences,2010,180(15):2895-2903.

[7] He D,Chen J,Hu J.A new provably secure authenticated key agreement protocol without blinear pairings[J].JOURNAL of Information & Computartional Science,2010,7(5):1089-1096.

[8] Blakewlson S,Johnson C,Menezes A.Key agreement protocols and their security analysis[C]//Proceedings of the 6th IMA International Conference on Cryptography and Coding,Berlin,1997:30-45.

[9] 王璐,侯林峰,張耀武.一種改進的雙線性對的雙向基于身份的認證密鑰協(xié)商協(xié)議[J].信息通信,2012(1):129-130.

[10] 張文科,李芳.基于身份的增強三方認證密鑰協(xié)商協(xié)議[J].計算機工程與應用,2013,49(15):92-96.

[11] 項順伯.一種基于雙線性對的三方密鑰交換協(xié)議[J].廣東石油化工學院學報,2013,23(1):34-36.

[12] 劉志遠.安全的基于身份認證密鑰協(xié)商協(xié)議[J].湖南科技大學學報,2014,29(1):64-67.

[13] Chen L,Kulda C.Identity based authenticated key agreement protocols from pairing[C]//Proceedings of 16th IEEE Computer Security Foundations Workshop,New York,2003:219-233.

[14] Chen L,Cheng Z,Smart N P.Identity-based Key Agreement Protocols from Pairings[J].International Journal of Information Security,2007,6(4):213-241.

[15] 王圣寶,曹珍富,董曉蕾.標準模型下可證安全的身份基認證密鑰協(xié)商協(xié)議[J].計算機學報,2007,30(10):1842-1852.

[16] 汪小芬,陳原,肖國鎮(zhèn).基于身份的認證密鑰協(xié)商協(xié)議的安全性分析與改進[J].通信學報,2008,29(12):16-21.

[17] 項順伯.基于身份的改進認證密鑰協(xié)商協(xié)議[J].計算機工程,2011,37(17):128-129.

[18] 舒劍.高效的強安全的基于身份認證密鑰協(xié)商協(xié)議[J].計算機應用,2012,32(1):95-98.

[19] 高海英.高效的基于身份的認證密鑰協(xié)商協(xié)議[J].計算機應用,2012,32(1):35-37.

[20] 李芳,陳明.強安全的和無雙線性對的基于身份密鑰協(xié)商[J].計算機工程與科學,2013,35(6):65-71.

[21] 高海英.可證明安全的基于身份的認證密鑰協(xié)商協(xié)議[J].計算機研究與發(fā)展,2012,49(8):1685-1689.

中圖分類號TP309

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.02.066

收稿日期：2014-08-06。國家自然科學基金項目(61103199)。陳虹，副教授，主研領域：網絡安全。徐嘉鴻，碩士生。肖振久，副教授。