寧炳欽，鄧倫治

(貴州師范大學 數學科學學院，貴州 貴陽 550025)

0 引言

隨著網絡規(guī)模的不斷擴大，跨域通信及通信安全成為了研究的焦點。設計合適的跨域通信認證密鑰協(xié)商方案是確保通信安全的有效手段?；趥鹘y(tǒng)公鑰證書的認證密鑰協(xié)商方案的主要問題是存在身份管理。為了解決證書管理給系統(tǒng)帶來的不便，Shamir[1]于1984年提出基于身份的公鑰密碼算法。在基于身份密碼系統(tǒng)中，將用戶的唯一身份標識作為用戶的公鑰，由密鑰生成中心為每一位用戶生成私鑰并發(fā)放。王圣寶[2]利用雙線性映射的方法，提出了一種基于身份的認證密鑰協(xié)商協(xié)議，并在標準模型下證明了協(xié)議的安全性。但雙線性映射運算往往比較耗時，因此該協(xié)議的計算效率有待提高。曹雪菲等[3]基于除法性計算Diffie-Hellman 假設，提出一種不使用雙線性對的基于身份的認證密鑰協(xié)商協(xié)議，但該協(xié)議不能抵抗臨時密鑰泄露安全。高志剛[4]和Chen[5]分別提出基于標準模型和隨機預言模型的認證密鑰協(xié)商協(xié)議，但執(zhí)行過程中用到雙線性對，計算效率不高。陳安林等[6]提出一種適用于移動自組網的基于身份的跨域兩方認證密鑰協(xié)商，并用Pi演算和pro-verif自動化驗證工具證明了安全屬性，但方案中使用了雙線性對，計算效率不高。Sun[7]設計的基于身份的密鑰協(xié)商協(xié)議安全性高且沒有使用雙線性映射，但協(xié)議執(zhí)行過程中的計算效率有待提高。基于身份的密鑰協(xié)商方案主要問題是密鑰托管問題。為了解決密鑰托管問題，Al-riyami[8]提出了無證書公鑰密碼體制。Zhang[9]和Ghoreishi等[10]分別基于無證書公鑰密碼系統(tǒng)構建了各自的密鑰協(xié)商協(xié)議，雖然安全性較高，但無證書公鑰密碼體系構建比基于身份的公鑰密碼系統(tǒng)復雜。劉小瓊等[11]構建了一個兩方無證書跨域認證密鑰協(xié)商協(xié)議，并采用了Pi演算法證明了協(xié)議的安全性，但協(xié)議中使用了雙線性對，計算效率有待加強。陳紅等[12]提出一個無線性對無證書兩方跨域認證密鑰協(xié)商協(xié)議，但方案在協(xié)商過程中出現錯誤，得不到相同的會話密鑰。魏振宇等[13]提出基于PKI體系的跨域密鑰協(xié)商協(xié)議，霍士偉[14]提出基于身份的Adhoc網絡認證和密鑰協(xié)商方案，雖然安全性高，但方案中使用公鑰加密，數字簽名等算法。且通過分析認為，只要經過合理的設計，基于身份也可以設計出無會話密鑰托管的跨域認證密鑰協(xié)商方案。

本文構建了一個安全有效的兩方基于身份跨域認證密鑰協(xié)商協(xié)議，并證明了協(xié)議的安全性。與其他同類方案的比較表明，新方案滿足目前已知的安全屬性，同時保證了良好的性能。

1 準備

本文涉及的預備知識主要有計算復雜性和密鑰協(xié)商安全屬性等知識。下面給出簡要介紹。

1.1 計算復雜性假設

相關問題及假設

表1 給出本文用到的符號和說明Tab.1 Notations and corresponding descriptions

1.2 密鑰協(xié)商協(xié)議的安全模型

文獻[15]提出了基于身份的ECK模型中，添加了敵手攻擊獲取協(xié)議參與方的臨時私鑰與PKG主密鑰的能力，從而使構造的協(xié)議有更強的安全性。模型中，該游戲分兩個階段：

階段1：敵手可以以任何順序進行以下查詢。

PKGStaticKey Reveal：C把系統(tǒng)的主密鑰發(fā)送給A。

Corrupt(i)：A查詢并獲取長期私鑰。

如果A認為第一階段的查詢結束了，則A選擇一個新的會話，然后進行游戲的第二階段，執(zhí)行Test()查詢。

定義3 新鮮會話。如果下面條件都不成立，則稱是新鮮的。

2)對于協(xié)議參與者i，A同時進行查詢Corrupt(i)和EphemeralKey Reveal(i)。

3)對于協(xié)議參與者j,A同時進行查詢Corrupt(j)和EphemeralKey Reveal(j)。

定義4 安全性。當認證密鑰交換協(xié)議達到以下條件，則稱該協(xié)議是安全的。

2)對于任意的多項式敵手A,能夠贏得游戲的概率是可以忽略的。

2 安全的跨域兩方認證密鑰協(xié)商方案

根據王真等[16]基于身份的移動互聯網高效認證密鑰協(xié)商協(xié)議推廣到基于身份的兩方跨域認證密鑰協(xié)商協(xié)議。

3)密鑰協(xié)商：用戶A,B分別是系統(tǒng)中不同域需要進行認證密鑰協(xié)商的兩方。

③A收到信息后，A計算

④B收到消息后，B計算

4)方案的正確性：

=(rA+hAsA)tBP+tA(rB+hBsB)P

=tB(rA+hAsA)P+(rB+hBsB)tAP

=tB(RA+hAPpubA)+dBTA

=tAtBP+dA(rB+hBsB)P

=tBTA+dB(rA+hAsA)P

=tBTA+dB(RA+hAPpubA)

3 安全性證明

下面給出本文協(xié)議在ECK模型下的安全性證明，H1和H2由隨機預言器模擬。

引理1 由于CDH問題是困難的，協(xié)議在A的攻擊下是安全的。

3.1 A不知道IDI的長期私鑰和IDJ的臨時密鑰

3.1.1 系統(tǒng)建立階段

3.1.2 訓練查詢階段

H1(ID*，R*)C維護一個初始化為空的列表LH1(ID*,R*,d*,h*)。A發(fā)送一個身份ID*給C，C按如下規(guī)則進行回答。

②否則，隨機生成hk∈{0 ,1}k,并在列表LH2中加入元組

Corrupt(ID*)A發(fā)送一個身份ID*給C，C查詢列表LH1。如果ID*在列表LH1中,則返回d*作為回答。如果ID*不在列表LH1，C先進行H1(ID*,R*)查詢并獲得d*，然后返回d*作為回答。當ID*=IDI，則返回⊥作為回答。

①如果T=⊥,若IDi∈PKGA,C在列表LH1中找到元組(IDi,Ri,di,hi)，在列表LE中找到元組(IDi,ti,Ti)，返回(Ti,Ri,PpubA)作為回答。

②如果T=(Ti,Ri,PpubA),如果IDj≠IDJ,C在列表LH1中找到元組

(IDj,Rj,dj,hj)，在列表LE中找到元組(IDj,tj,Tj)，返回(Tj,Rj,PpubB)作為回答；如果IDj=IDJ,C在列表LH1中找到元組(IDJ,RJ,dJ,hJ)，在列表LE中找到元組(IDJ,⊥,vP)，返回(vP,RJ,PpubB)作為回答。

⑤如果m≠W且IDi=IDI，IDj≠IDJ，C計算

⑧如果m=W且IDi=IDI，IDj≠IDJ，C計算

PKGstaticKey Reveal 如果A查詢IDj，C返回SI作為回答；否則，C返回⊥。

3.1.3 測試階段

3.2 A不道IDJ的長期私鑰與IDI的臨時密鑰

情況與3.1類似。

3.3 A不知道IDI和IDJ的臨時密鑰

3.3.1 系統(tǒng)建立

3.3.2 訓練查詢階段

①如果當T=⊥，若IDi∈PKGA,當IDi≠IDI,C在列表LH1中找到元組(IDi,Ri,di,hi)，在列表LE中找到元組(IDi,ti,Ti)，返回(TI,Ri,PpubA)作為回答；當IDi=IDI，C在列表LH1中找到元組(IDI,RI,dI,hI)，在列表LE中找到元組(IDI,⊥,uP)，返回(uP,RI,PpubA)作為回答。

②如果T=(Ti,Ri,PpubA),如果IDj≠IDJ,C在列表LH1中找到元組(IDj,Rj,dj,hj)，在列表LE中找到元組(IDj,tj,Tj)，返回(Tj,Rj,PpubB)作為回答；如果IDj=IDJ,C在列表LH1中找到元組(IDJ,RJ,dJ,hJ)，在列表LE中找到元組(IDJ,⊥,vP)，返回(vP,RJ,PpubB)作為回答。

⑤如果m≠W且IDi=IDI，IDj≠IDJ，C計算

⑧如果m=W且IDi=IDI，IDj≠IDJ，C計算

PKGstaticKey Reveal 若查詢IDi，則將sa發(fā)給A，若查詢IDj，將sb發(fā)給A。

3.3.3 測試階段

3.4 A不知道IDI和IDJ的長期私鑰

3.4.1 系統(tǒng)建立

C模擬定義中的游戲，在游戲中C回答A的所有詢問，A進行的所有查詢都不重復。C隨機選1≤I≤n1和1≤J≤n1,1≤W≤n0。C隨機選取U,V∈G1，設置PpubA=U=uP,設置PpubB=V=vP。

3.4.2 訓練查詢階段

①如果T=⊥,若IDi∈PKGA,C在列表LH1中找到元組(IDi,Ri,di,hi)，在列表LE中找到元組(IDi,ti,Ti)，返回(Ti,Ri,PpubA)作為回答。

②如果T=(Ti,Ri,PpubA),C在列表LH1中找到元組(IDj,Rj,dj,hj)，在列表LE中找到元組(IDj,tj,Tj)，返回(Tj,Rj,PpubB)作為回答。

④如果m≠W且IDi≠IDI，IDj=IDJ,C計算

⑤如果m≠W且IDi=IDI，IDj≠IDJ，C計算

⑦如果m=W且IDi≠IDI，IDj=IDJ,C計算

⑧如果m=W且IDi=IDI，IDj≠IDJ，C計算

3.4.3 測試階段

綜合以上情況，攻擊者贏得游戲的優(yōu)勢是可以忽略的，因此證明了方案的安全性。

4 與其他方案對比分析

將本文協(xié)議與文獻[6，11]相比，比較結果見表3。為了能更清楚展示運行時間，通過在移動設備上使用一個著名的加密庫(MIRACL)實施相關操作(三星Galaxy S5 與四核2.45G 處理器，2G 字節(jié)內存和谷歌 Android 4.4.2 操作系統(tǒng))得到表2中的數據(文獻[17])。

表2 相關運算的運行時間Tab.2 Runtime of relative operation

表3 與其他方案的比較Tab.3 Comparison with other schemes

5 結束語

本文結合基于身份的密碼體系和認證密鑰協(xié)商協(xié)議，設計了一種新的兩方跨域認證密鑰協(xié)商方案，并且在隨機預言機模型下證明了方案的安全性。通過分析發(fā)現，在滿足安全性的前提下，本文方案具有比較高的計算效率。