王杰 司志剛

解放軍信息工程大學(xué)電子技術(shù)學(xué)院 河南 450004

0 引言

身份認(rèn)證是一種重要的安全技術(shù)，也是保證系統(tǒng)安全的第一道防線。用戶在使用系統(tǒng)之前，要求通過身份認(rèn)證系統(tǒng)識(shí)別身份，才能得到授權(quán)訪問系統(tǒng)資源。在分布式系統(tǒng)中，特別是在移動(dòng)臺(tái)與網(wǎng)絡(luò)之間的無線接口是開放的情況下，使得攻擊者有竊聽和冒充合法用戶的機(jī)會(huì)，所以對(duì)使用者的身份認(rèn)證是非常重要且必不可少的。

1984年，Shamir首次提出了“基于身份的密碼方案”，該方案僅僅支持?jǐn)?shù)字簽名，而不支持消息加密。Tsujii提出了一種新的基于身份的密碼方案，該方案是基于離散對(duì)數(shù)問題的困難性，它能抵抗共謀問題，但需要高次冪運(yùn)算。Okamoto和Tanaka擴(kuò)展了Shamir的思想，他們結(jié)合數(shù)字簽名和密鑰分發(fā)，提出了一種簡(jiǎn)單的基于身份的密碼方案，該方案不僅支持消息加密，而且能抵抗共謀問題。但是，該方案存在一些缺陷，用戶認(rèn)證可能被偽造，用戶秘密信息可能暴露出去，并且需要較高次的冪運(yùn)算。

我們提出一個(gè)新的認(rèn)證協(xié)議，密鑰管理中心(key management center,KMC)只是在建立安全網(wǎng)絡(luò)系統(tǒng)時(shí)或者有新成員要求注冊(cè)加入時(shí)才需要，而在其他任何時(shí)候它的存在都沒有作用，也就是說我們不需要可信的第三方(密鑰管理中心)。我們的協(xié)議不僅減少了指數(shù)運(yùn)算的次數(shù)，而且解決了Okamoto和Tanaka方案中出現(xiàn)的安全問題。

1 無可信第三方的安全認(rèn)證協(xié)議

本文的安全認(rèn)證協(xié)議用到了基于 ID的認(rèn)證方案和對(duì)稱密碼技術(shù)?；?ID的認(rèn)證方案用于系統(tǒng)建立和認(rèn)證，而對(duì)稱密碼用于后來的消息認(rèn)證以獲取更好的通信性能。新的認(rèn)證協(xié)議有兩個(gè)階段：初始化階段在KMC 建立系統(tǒng)時(shí)完成，而認(rèn)證階段在通信雙方完成雙向認(rèn)證和交換共享會(huì)話密鑰時(shí)結(jié)束。

1.1 初始化階段

密鑰管理中心既不負(fù)責(zé)雙向認(rèn)證也不負(fù)責(zé)產(chǎn)生共享密鑰，它的角色只是簡(jiǎn)單地為新注冊(cè)用戶產(chǎn)生公開的和秘密的信息。當(dāng)建立安全網(wǎng)絡(luò)系統(tǒng)時(shí)，KMC需要執(zhí)行以下步驟：

(1) 選擇兩個(gè)大素?cái)?shù)p和q，并且使npq=?。

(2) 通過以下計(jì)算，獲取密鑰管理中心的秘密信息d，這里d只有密鑰管理中心知道：

(3) 找到一個(gè)整數(shù)g，g是有限域 GF(p)和 GF(q)的生成元，這里g是密鑰管理中心的公開信息。

(4) 用IDi表示要求注冊(cè)到這個(gè)安全網(wǎng)絡(luò)中的用戶i的身份，它秘密存儲(chǔ)于用戶身份卡(IC卡、SIM卡、UIM卡、TF卡等)中，iID由姓名、部門、地址等組成。

(5) 選擇一個(gè)單向函數(shù)f計(jì)算 i的擴(kuò)展身份(EIDi):EIDi≡f(IDi)(mod2N)

這里N表示EID的二進(jìn)制長(zhǎng)度。

(6) 計(jì)算EIDi后，生成用戶的秘密信息Si：

從上述可知，下等式成立：

(7) 通過一個(gè)安全通道把(n,g,f(x),Si)返回給用戶i，用戶i必須使Si保密，并且存儲(chǔ)(n,g,f(x))。

一旦安全網(wǎng)絡(luò)系統(tǒng)建立起來，除非有新用戶加入，將不再需要KMC。KMC必須秘密地存儲(chǔ)，以便以后使用。然而，整數(shù)p和q不再使用并且要秘密地銷毀。當(dāng)一個(gè)新用戶要求加入時(shí)，他把自己的ID發(fā)送到中心。收到用戶ID之后，中心重復(fù)步驟(5)至(7)。

1.2 認(rèn)證階段

新的認(rèn)證協(xié)議只需要兩條消息就可完成雙向認(rèn)證。從用戶i收到第一條消息之后，用戶j驗(yàn)證消息的內(nèi)容。如果驗(yàn)證成功，他就相信這條消息是用戶i發(fā)送的。這樣用戶j完成了對(duì)用戶i的認(rèn)證。同樣，用戶i通過第二條消息完成對(duì)用戶j的認(rèn)證。一次會(huì)話的雙向認(rèn)證和密鑰交換的執(zhí)行步驟如下：

(1) 如果用戶i希望與用戶j通信，產(chǎn)生一個(gè)隨機(jī)數(shù)ri，并且計(jì)算下面兩個(gè)整數(shù)：這里timei是他計(jì)算出兩個(gè)整數(shù)的時(shí)間。

(2) 用戶i把(Xi,Yi,IDi,timei)發(fā)送給用戶j。

(3) 收到消息之后，用戶j把timei與當(dāng)前本地時(shí)間相比較，如果timei和當(dāng)前本地時(shí)間的差異比有效周期短，收到的消息被認(rèn)為是有效的。根據(jù)不同的網(wǎng)絡(luò)環(huán)境，有效周期的長(zhǎng)度可以調(diào)整(在時(shí)鐘不同步的網(wǎng)絡(luò)中，為了避免有效的消息被拒絕，timei與當(dāng)前本地時(shí)間對(duì)比的步驟應(yīng)當(dāng)跳過)。然后用戶j計(jì)算EIDi=f(IDi)，并檢查下面的等式是否成立：

(4) 如果等式成立，用戶j認(rèn)為消息是用戶i發(fā)送的，并且保存Xi，以便以后產(chǎn)生共享秘鑰。接下來，用戶j產(chǎn)生一個(gè)隨機(jī)數(shù)rj，并計(jì)算下面兩個(gè)整數(shù)：

(5) 用戶j把(Xj,Yj,IDj,timei)發(fā)送給用戶i。

(6) 用戶i收到消息之后，檢查timei是否與他之前發(fā)送的一樣(在這里，timei可以看作用戶i的一個(gè)因數(shù)，它只用了一次)。如果一樣，他計(jì)算EIDj=f(IDj)，并且檢查下面等式是否成立：

(7) 如果成立，用戶i計(jì)算會(huì)話密鑰Kij如下：

(8) 同樣地，用戶j計(jì)算會(huì)話密鑰Kji如下：

(9) 用戶i和j用Kij=Kji作為這次會(huì)話的共享密鑰來加密通信信息。

2 計(jì)算量

在Okamoto和Tanaka的方案中，為了完成雙向認(rèn)證和交換共享密鑰，一次會(huì)話每一方需要五次冪運(yùn)算(一次用于Xi，一次用于 Yi，兩次用于等式檢查，一次用于共享密鑰計(jì)算)。

我們的協(xié)議把每次通信會(huì)話的冪運(yùn)算次數(shù)從五次減少到兩次。在認(rèn)證階段，我們可以首先計(jì)算出gri，然后按下面計(jì)算出Xi和 Yi：

在這兩個(gè)方程中，只需乘法運(yùn)算，沒有冪運(yùn)算。同樣，驗(yàn)證發(fā)送者的身份不需要冪運(yùn)算就可以完成。所以，我們的協(xié)議只需要兩次冪運(yùn)算(一次用于gri，一次用于共享密鑰(Xi)ri)。

3 安全分析

為了保證通信網(wǎng)絡(luò)的保密性和安全性，我們的協(xié)議提供消息加密和通信雙向認(rèn)證。它不存在Tsujii方案中的共謀問題，因?yàn)樗陌踩砸蕾囉谟?jì)算離散對(duì)數(shù)問題的難度。如果一個(gè)冒充者想假裝用戶i和其他人通信，他必須找到兩個(gè)整數(shù)x和y滿足下面的等式：

在這個(gè)等式中使用小的公共指數(shù)沒有減少破解(x,y)的難度。盡管冒充者能得到一個(gè)整數(shù)對(duì)(y3,x2)使這個(gè)等式成立，但是整數(shù)對(duì)(x,y)是很難得到的，因?yàn)閺?y3,x2)計(jì)算(x,y)是一個(gè)離散對(duì)數(shù)難題。

我們的協(xié)議也可以保護(hù)用戶免于Hastad攻擊。Hastad在1985年提出一種公共主干網(wǎng)絡(luò)中使用RSA低次冪運(yùn)算的攻擊方法。為說明這種攻擊方法，舉例如下：假設(shè)消息m被廣播給三個(gè)終端，這里的三個(gè)公開冪指數(shù)是： e1=e2=e3=3，模分別是 n1，n2和n3，加密的消息分別是：m3mod n1，m3mod n2，m3mod n3。根據(jù)中國(guó)剩余定理，我們可以得到m3mod n1n2n3。然而，m3＜n1n2n3，因?yàn)閙＜n1n2n3。因此，m3不會(huì)因?yàn)闇p小模 n1n2n3而受到影響，消息可以通過計(jì)算m3的立方根而獲得。這種攻擊在我們的協(xié)議中就不能成功，因?yàn)樗械耐ㄐ欧绞褂孟嗤哪?shù)n。

盡管我們使用時(shí)間表檢驗(yàn)消息的合法性，即使假設(shè)不存在同步時(shí)鐘，重放攻擊在對(duì)我們的協(xié)議也不會(huì)成功。考慮以下情況：入侵者竊聽了一次消息會(huì)話，比如，用戶i和用戶j之間的消息。入侵者可能重放在以前的會(huì)話中捕獲的舊的認(rèn)證消息，收到舊的消息之后，用戶j檢驗(yàn)timei的合法性。如果系統(tǒng)時(shí)鐘是同步的，通過檢驗(yàn)timei知道這條消息是不可用的，所以丟棄這條認(rèn)證消息。如果系統(tǒng)時(shí)鐘沒有同步，重新考慮這條消息，然后選擇一個(gè)新的隨機(jī)數(shù)rj'，回復(fù)入侵者以下消息：

然而這次會(huì)話的共享密鑰是K'=g3?ri?rj'，而不是舊的共享密鑰K=g3?ri?rj。不知道隨機(jī)數(shù)ri，入侵者不可能計(jì)算出新的共享密鑰K'。因?yàn)榕f的消息都是用舊的共享密鑰K加密的，所以入侵者不能成功重放他竊聽到的舊消息。用戶 j可能試圖用新的共享密鑰K'解密重放的舊消息，但是解密失敗。因此，關(guān)閉連接，從而攻擊失敗。

我們的協(xié)議也沒有Okamoto方案中出現(xiàn)的兩個(gè)弱點(diǎn)：

(1) 我們的協(xié)議使用兩個(gè)小素?cái)?shù)3和2代替Okamoto方案中的兩個(gè)整數(shù)e和c，因?yàn)閑是c的一個(gè)因數(shù)的可能性不再存在，所以在我們的協(xié)議中的用戶秘密信息不可能透露。

(2) 因?yàn)槭褂脝蜗蚝瘮?shù)f(x)，在我們的協(xié)議中偽造認(rèn)證消息將會(huì)失敗。如果一個(gè)惡意用戶想給用戶j發(fā)送一個(gè)偽造的消息，隨機(jī)選擇一個(gè)數(shù)對(duì)(X',Y')。盡管一個(gè)偽造的EID '可能通過(15)式計(jì)算出來，但不可能從EID '中獲取正確的ID'，因?yàn)閱蜗蚝瘮?shù)f(x)求逆的過程非常困難。如果隨機(jī)選擇一個(gè)身份信息ID ''，和(X',Y')、寫消息的時(shí)間以及偽造的消息一起發(fā)送，用戶j收到信息包后，將會(huì)從f(ID'')得到EID ''，而不是EID '。從而，(7)式的驗(yàn)證就會(huì)失敗，用戶j就會(huì)拒絕冒充的請(qǐng)求。所以，我們的協(xié)議能使用戶在通信過程中抵抗冒充請(qǐng)求攻擊。

4 結(jié)論

本文提出了一種基于身份的認(rèn)證協(xié)議，在協(xié)議中 KMC和存儲(chǔ)公共信息的文檔都不是必需的。一旦安全網(wǎng)絡(luò)系統(tǒng)建立起來，認(rèn)證和密鑰交換可由有關(guān)雙方獨(dú)自處理，而不需要KMC。本協(xié)議解決了 Okamoto方案中出現(xiàn)的問題。即使在系統(tǒng)時(shí)鐘不同步的情況下，它也能抵抗重放攻擊。與Okamoto方案需要五次冪運(yùn)算相比，我們的協(xié)議完成雙向認(rèn)證和密鑰交換僅僅需要兩次冪運(yùn)算，所以大大降低了通信設(shè)備的負(fù)載。本協(xié)議在無線窄帶網(wǎng)絡(luò)環(huán)境下移動(dòng)終端用戶身份的認(rèn)證中具有一定的應(yīng)用價(jià)值。

[1]A.Shamir, “Identity-based crypto systems and signature schemes,” in Proc. Crypto-84, Santa Barbara, CA.1984.

[2]S. Tsujii, T. Itho, and K. Kurosawa.ID-based cryptosystem using discrete logarithm problem.Electron. Lett., vol. 23.1987.

[3]E. Okamoto and K. Tanaka.Identity-based information security management system for personal computer networks.IEEE J. Select. Areas Commun., vol. 7.1989.

[4]王玲玲,侯整風(fēng).無可信中心的可認(rèn)證秘密共享協(xié)議.計(jì)算機(jī)應(yīng)用.2007.

[5]J. Hastad.On using RSA with low exponent in a public key network. in Lecture Notes in Computer Science: Advances in Cryptology-CRYPTO’85 Proc.