任勇軍,王建東,莊毅,王箭,徐大專

(南京航空航天大學(xué) 信息科學(xué)與技術(shù)學(xué)院, 江蘇，南京 210016)

在安全通信領(lǐng)域,密鑰協(xié)商協(xié)議具有重要的基礎(chǔ)性作用. 王圣寶等提出了第一個(gè)標(biāo)準(zhǔn)模型下基于身份的兩方認(rèn)證密鑰協(xié)商協(xié)議[1](記為Wang協(xié)議),但是其安全性證明是不完整的. 該協(xié)議使用了一個(gè)密鑰抽取函數(shù)H2,但沒有對(duì)其性質(zhì)進(jìn)行說明,在證明中也沒有使用該函數(shù). 實(shí)際上,密鑰抽取函數(shù)兼有隨機(jī)提取器的功能[2]. 在標(biāo)準(zhǔn)模型下通信方協(xié)商得到的信息首先需要使用隨機(jī)提取器以獲得高熵的比特串,然后再進(jìn)行密鑰抽取操作才能夠保證會(huì)話密鑰是一個(gè)在密鑰空間均勻分布的比特串. Chevassut等[2]已經(jīng)證明不正確地選用密鑰抽取函數(shù)會(huì)產(chǎn)生一個(gè)固定的會(huì)話密鑰值,導(dǎo)致協(xié)議不能抵抗攻擊者的攻擊. Colin等人提出采用密鑰封裝機(jī)制構(gòu)造密鑰協(xié)商協(xié)議的一般方法,并提出了3個(gè)基于身份的密鑰封裝方案,以此為基礎(chǔ)構(gòu)造了3個(gè)兩方認(rèn)證密鑰協(xié)商協(xié)議[3](分別記為IBAK1，IBAK2和IBAK3),將協(xié)議的安全性規(guī)約為密鑰封裝方案的安全性,但是并沒有對(duì)所提出的三個(gè)基于身份的密鑰封裝方案的安全性進(jìn)行證明,無法保證所提出協(xié)議的安全性. 而且IBAK1和IBAK2協(xié)議使用了Water式的Hash函數(shù),導(dǎo)致系統(tǒng)的公鑰過大,安全性證明規(guī)約松散,協(xié)議IBAK3存在密文過長,所需傳輸數(shù)據(jù)量過大[4]. 最近Tian等人也提出了一個(gè)標(biāo)準(zhǔn)模型下可證安全的認(rèn)證密鑰協(xié)商協(xié)議[5](記為Tian協(xié)議),但使用了較弱的安全模型(BR模型)進(jìn)行證明.

作者采用MTI協(xié)議族的加密-解密密鑰協(xié)商思想,并根據(jù)密鑰抽取函數(shù)的功能,將密鑰抽取階段細(xì)化為隨機(jī)提取和密鑰抽取兩個(gè)步驟,以Kiltz等人的選擇密文安全(chosen ciphertext attack2, CCA2)的基于身份的加密(identity-based encryption, IBE)方案[4]為基礎(chǔ),設(shè)計(jì)了一個(gè)新的標(biāo)準(zhǔn)模型下基于身份的認(rèn)證密鑰協(xié)商協(xié)議IBAKE,使用改進(jìn)的Canetti-Krawczyk模型[6](記為CK2005模型)形式化證明了該協(xié)議的安全性.

1 形式化安全模型

Krawczyk指出CK2001模型[7]不能抵抗KCI攻擊和提供前向安全性,改進(jìn)了CK2001模型,記為CK2005模型[6],作者使用該模型對(duì)IBAKE協(xié)議進(jìn)行形式化證明.

定義1安全密鑰協(xié)商協(xié)議.若一個(gè)密鑰協(xié)商協(xié)議滿足如下兩個(gè)條件：① 任何兩個(gè)未腐化的協(xié)議參加者如果擁有匹配會(huì)話,那么它們就能夠計(jì)算獲得一個(gè)相同的會(huì)話密鑰；② 對(duì)于任何惡性攻擊者E,AE是可忽略的，那么稱該協(xié)議是一個(gè)安全的密鑰協(xié)商協(xié)議.

2 新協(xié)議

2.1 IBAKE協(xié)議描述

系統(tǒng)內(nèi)存在一個(gè)私鑰生成中心(private key generator, PKG)負(fù)責(zé)為用戶生成和安全分發(fā)長期私鑰,兩個(gè)用戶A和B希望通過IBAKE協(xié)商達(dá)成一個(gè)共享會(huì)話密鑰. PKG 選取階為素?cái)?shù)p的乘法交換群G1，G2,雙線性對(duì)e:G1×G1→G2,G1上的生成元f和g,隨機(jī)整數(shù)α,β,γ∈Zp,計(jì)算g1=gα,v1=e(g,g)β,v2=e(g,g)γ. 用戶A和B的長期私鑰didi=(si,1,si,2,di,1,di,2),i∈{A,B},其中

IBAKE協(xié)議由3個(gè)階段組成：系統(tǒng)建立,私鑰生成和密鑰協(xié)商階段. 其中,系統(tǒng)建立和私鑰生成階段與Kiltz基于身份的加密方案[4]完全相同. 密鑰協(xié)商階段由3部分組成：加密、解密和計(jì)算.

2.1.1 加密

A和B分別隨機(jī)選取rA和rB(rA,rB∈Zp),然后分別執(zhí)行如下的加密操作.

2.1.2 解密

A和B接收到消息后,分別使用自己的私鑰執(zhí)行解密操作.

2.1.3 計(jì)算

2.2 性能比較

根據(jù)文獻(xiàn)[3-4]中給出的各基本運(yùn)算的參考計(jì)算成本(G1上指數(shù)運(yùn)算的成本為1,其它運(yùn)算以此為參照),對(duì)現(xiàn)有標(biāo)準(zhǔn)模型下各認(rèn)證密鑰協(xié)商協(xié)議的計(jì)算成本及通信效率進(jìn)行了比較. 根據(jù)文獻(xiàn)[4]中超奇異橢圓曲線80 bit安全級(jí)別G1和G2上元素的長度分別為512 bit和1 024 bit,MAC的長度為80 bit,對(duì)各協(xié)議的公鑰和密文長度進(jìn)行了計(jì)算比較. Tian等[5]提出的協(xié)議是一個(gè)顯式密鑰認(rèn)證的3次傳遞協(xié)議,為便于量化比較,將其化為隱式密鑰認(rèn)證的2次傳遞協(xié)議,比較結(jié)果如表1所示. 結(jié)果表明,與現(xiàn)有的標(biāo)準(zhǔn)模型下基于身份的認(rèn)證密鑰協(xié)商協(xié)議相比,IBAKE協(xié)議的各項(xiàng)性能都較好,計(jì)算效率是所有協(xié)議中最高的,每個(gè)通信方所需傳遞的通信量只比最好的協(xié)議多了一個(gè)群G1上的成員(即512 bit).

表1 協(xié)議性能比較

3 安全性證明

定理如果IBAKE中應(yīng)用CCA2安全的IBE,Exct(·)是(m,ε)-隨機(jī)提取器,expd(·)屬于偽隨機(jī)函數(shù)族F,群G1上的判定性DH假設(shè)成立,那么IBAKE是一個(gè)安全的認(rèn)證密鑰協(xié)商協(xié)議.

證明首先IBAKE協(xié)議滿足定義1中的條件①：若兩個(gè)協(xié)議參與者都沒有被腐化,那么它們不可能被攻擊者冒充；若其會(huì)話是匹配的,則它們正確地收到了對(duì)方發(fā)來的協(xié)議消息,因此能夠計(jì)算獲得相同的會(huì)話密鑰. 下面,為證明條件②也是滿足的,提出引理1.

引理1設(shè)E是協(xié)議IBAKE的任意一個(gè)攻擊者,E的優(yōu)勢(shì)滿足下式：

證明根據(jù)測(cè)試會(huì)話的兩個(gè)參與者是否已被腐化兩種情況,使用一系列攻擊游戲證明引理1.

3.1 情況1

在測(cè)試會(huì)話的兩個(gè)參與者沒有被腐化的情況下,使用如下6個(gè)游戲證明其安全性.

游戲0這是協(xié)議的最初狀態(tài),一個(gè)隨機(jī)比特b被選擇,當(dāng)b=0時(shí),向測(cè)試會(huì)話查詢返回真實(shí)值,當(dāng)b=1時(shí),隨機(jī)從U2中選擇一個(gè)數(shù)作為對(duì)測(cè)試會(huì)話查詢的回答.

游戲1此游戲除了下面這點(diǎn)外與游戲0相同：如果兩個(gè)不同的會(huì)話擁有相同的意定伙伴,并且產(chǎn)生相同的消息,那么協(xié)議就中止執(zhí)行.

游戲2此游戲除了下面這點(diǎn)外與游戲1相同：游戲開始攻擊者隨機(jī)選擇一個(gè)數(shù)m∈{1,2,…,norac},設(shè)通信方進(jìn)行的第m次會(huì)話稱為標(biāo)記會(huì)話,其預(yù)言機(jī)稱為標(biāo)記預(yù)言機(jī). 若該會(huì)話不是測(cè)試會(huì)話,則協(xié)議中止,攻擊者E攻擊失敗,輸出一個(gè)隨機(jī)比特. 設(shè)該預(yù)言機(jī)的輸入信息為C,輸出信息為C*,會(huì)話的擁有者為T,其意定伙伴為T*.

游戲4游戲4除了下面這點(diǎn)外,其它部分與游戲3相同：從U1中隨機(jī)選取K″*(即K″*∈U1),并用于代替Exctk(K′*)進(jìn)行計(jì)算.

游戲5此游戲與游戲4的區(qū)別只在于：當(dāng)任何s′需要使用ExpdK″*(s′)計(jì)算會(huì)話密鑰時(shí),就從U2中隨機(jī)選取一個(gè)值代替ExpdK″*(s′)進(jìn)行計(jì)算.

3.2 情況1安全分析

設(shè)σi表示攻擊者E在游戲i中正確猜中b這一事件,τi表示攻擊者E在游戲i中的優(yōu)勢(shì),即有τi=|2P[σi]-1|. 當(dāng)事件M不發(fā)生時(shí),游戲i和i+1相同,有

[M].

(1)

從游戲0到游戲2的分析：設(shè)PsameMsg是兩個(gè)或者多個(gè)會(huì)話產(chǎn)生相同消息的概率,因此有

由式(1)有

則

(2)

游戲2中,由于錯(cuò)誤選擇m而導(dǎo)致協(xié)議中止執(zhí)行的概率為1-1/norac. 根據(jù)式(1)有noracτ2=τ1,帶入式(2)得

(3)

游戲3的分析：游戲開始時(shí),攻擊者S獲得系統(tǒng)公鑰kp,除了當(dāng)激活標(biāo)記會(huì)話時(shí),S就像游戲2所描述那樣運(yùn)行,并產(chǎn)生一個(gè)將要進(jìn)行測(cè)試的用戶eT*. 當(dāng)S收到密文C*和K′*之后,它將C*作為標(biāo)記會(huì)話的輸出,將K′*作為解密算法Dec(kp,KeyDer(kp,u,eT*),C*)的結(jié)果用于計(jì)算,以回答當(dāng)b=0時(shí)的測(cè)試會(huì)話查詢. 所有由E提出的合法查詢S都能夠使用它的預(yù)言機(jī)進(jìn)行回答. 當(dāng)E中止協(xié)議執(zhí)行并輸出b′時(shí),S停止并輸出1-b′,有

P[σ2]-P[σ3],

τ2=|2P[σ2]-1|≤|2P[σ2]-2P[σ3]|+

|2P[σ3]-1|,

因此

(4)

τ3=|2P[σ3]-1|≤|2P[σ3]-2P[σ4]|+

|2P[σ4]-1|≤2ε+τ4.

(5)

|P[σ4]-P[σ5]|,

那么

τ4=|2P[σ4]-1|≤|2P[σ4]-2P[σ5]|+

(6)

設(shè)當(dāng)b=0時(shí),返回的測(cè)試會(huì)話查詢?yōu)镽1⊕ExdpKT*(s′)；當(dāng)b=1時(shí)返回R2,R1和R2都是從U2中隨機(jī)選取的,因此攻擊者E不能直接獲得關(guān)于R1和R2的任何信息,使得攻擊者E不能獲得b的任何信息,所以

τ5=0.

(7)

由式(3)～(7)有

(8)

3.3 情況2

在測(cè)試會(huì)話的任何一方參與者被腐化的情況下,使用以下4個(gè)游戲證明其安全性.

游戲0選擇一個(gè)隨機(jī)比特b,當(dāng)b=0時(shí),測(cè)試會(huì)話查詢返回真實(shí)值;當(dāng)b=1時(shí),隨機(jī)從U2中選擇一個(gè)數(shù)作為對(duì)測(cè)試會(huì)話查詢的回答.

游戲1此游戲除了下面這點(diǎn)外與游戲0相同：游戲剛開始就隨機(jī)選擇j,j*∈{1,2,…,norac},設(shè)T和T*分別是第j和j*次會(huì)話的擁有者. 若T的第j次會(huì)話不是測(cè)試會(huì)話,或T*的第j*次會(huì)話的輸出不是測(cè)試會(huì)話的輸入,協(xié)議就停止運(yùn)行,攻擊者E攻擊失敗,輸出一個(gè)隨機(jī)比特. 而且除了隨機(jī)選取h∈G1用Exctk(h)代替KTT*″,測(cè)試會(huì)話和其匹配會(huì)話的會(huì)話密鑰照常計(jì)算.

游戲2除了下面這點(diǎn)外,其它部分與游戲1相同：從U1中隨機(jī)選取K″(即K″∈U1),并用于代替Exctk(h)進(jìn)行計(jì)算.

游戲3游戲3與游戲2的區(qū)別只在于：當(dāng)對(duì)于任何s′需要使用ExpdK″(s′)計(jì)算會(huì)話密鑰時(shí),就從U2中隨機(jī)選取一個(gè)值代替ExpdK″(s′)進(jìn)行計(jì)算.

3.4 情況2安全分析

(9)

游戲2的分析：情況2中游戲2的安全分析與情況1中游戲4的相同,由此有

τ1≤2ε+τ2.

(10)

游戲3的分析：情況2中游戲3的安全分析與情況1游戲5的相同,有

(11)

因測(cè)試會(huì)話密鑰獨(dú)立于所有其它會(huì)話,且只有測(cè)試會(huì)話擁有相應(yīng)的測(cè)試會(huì)話標(biāo)識(shí)符,故在游戲3中E沒有優(yōu)勢(shì)猜中b,即

τ3=0,

(12)

綜合式(8)～(12),有

(13)

3.5 綜合情況1和2的安全分析

設(shè)M表示測(cè)試會(huì)話有匹配會(huì)話這一事件,σ表示E在協(xié)議IBAKE中正確猜中了b. 那么有：

AE(k)=|2P[σ]-1|,P[σ]=P[σ|M]P[M]+P[σ|M]P[M]=P[σ|M]+P[M](P[σ|M]-P[σ|M]),故min(P[σ|M],P[σ|M])≤P[σ]≤max(P[σ|M],P[σ|M]),則

AE(k)≤max(AE(k)|M,AE(k)|M).

(14)

引理1得證.

因?yàn)樯鲜鰞?yōu)勢(shì)是可忽略的,定義1規(guī)定的安全密鑰協(xié)商協(xié)議所需的條件②也得到滿足,所以協(xié)議IBAKE是一個(gè)安全的密鑰協(xié)商協(xié)議,定理得證.

4 結(jié) 論

利用MTI協(xié)議族的加密-解密密鑰協(xié)商思想,以Kiltz等人CCA2安全的IBE方案為基礎(chǔ),設(shè)計(jì)了一個(gè)新的基于身份的兩方認(rèn)證密鑰協(xié)商協(xié)議IBAKE,與現(xiàn)有的標(biāo)準(zhǔn)模型下基于身份的密鑰協(xié)商協(xié)議相比,該協(xié)議在計(jì)算效率、公鑰長度、通信效率等方面性能都較好,而且使用CK2005模型形式化證明了該協(xié)議的安全性.

參考文獻(xiàn)：

[1]王圣寶,曹珍富,董曉蕾.標(biāo)準(zhǔn)模型下可證安全的身份基認(rèn)證密鑰協(xié)商協(xié)議[J].計(jì)算機(jī)學(xué)報(bào),2007,30(10):1842-1852．

Wang Shengbao, Cao Zhenfu, Dong Xiaolei. Provably secure identity-based authenticated key agreement protocols in the standard model[J]. Chinese Journal of Computers, 2007,30(10):1842-1852. (in Chinese)

[2]Chevassut O, Fouque P A, Gaudry P. Key derivation and randomness extraction[OL/EB]. (2005-02-11)[2005-02-11]http:∥eprint.iacr.org/2005/061．

[3]Colin B,Yvonne C,Juan G N, et al. Efficient one-round key exchange in the standard model[C]∥Proceedings of ACISP 2008, LNCS 5107. Berlin: Springer-Verlag, 2008:69-84．

[4]Eike K,Yevgeniy V. CCA2 Secure IBE: standard model efficiency through authenticated symmetric encryption[C]∥Proceedings of CT-RSA’08, LNCS 4964. Berlin: Springer-Verlag, 2008：221-239．

[5]Tian H B, Susilo W, Yang M. A provable secure ID-based explicit authenticated key agreement protocol without random oracles[J].Journal of Computer Science and Technology, 2008,23(5):832-842．

[6]Krawczyk H. HMQV: a high-performance secure Diffie-Hellman protocol[C]∥Proceedings of CRYPTO’05, LNCS 3621. Berlin：Springer-Verlag, 2005：546-566．

[7]Canetti R, Krawczyk H. Analysis of key-exchange protocols and their use for building secure channels[C]∥Proceedings of EUROCRYPT 2001, LNCS 3122. Berlin：Springer-Verlag, 2001：453-474．