馬 俊

（陜西工業(yè)職業(yè)技術(shù)學(xué)院 基礎(chǔ)部， 陜西 咸陽 712000）

一種多方可認證密鑰協(xié)商方案的分析與改進

馬 俊

（陜西工業(yè)職業(yè)技術(shù)學(xué)院 基礎(chǔ)部， 陜西 咸陽 712000）

在無證書公鑰密碼體制下對一種多方可認證密鑰協(xié)商方案進行了分析，指出該方案無法抵抗合法用戶的扮演攻擊和口令偶爾泄露導(dǎo)致的危機。分析了該方案存在漏洞的原因，并在此基礎(chǔ)上給出一個改進的密鑰協(xié)商方案。新方案引入密鑰種子和口令進化機制解決了上述問題，同時消除了冗余消息，降低了用戶占用的帶寬。分析表明新方案的安全性更強。

無證書密碼體制；雙線性對；密鑰協(xié)商；密鑰種子；口令進化

密鑰協(xié)商[1]是是密碼學(xué)和信息安全領(lǐng)域非常重要的研究內(nèi)容之一，其目的是為了公共信道上的通信安全。公鑰密碼體制主要有兩種：傳統(tǒng)公鑰證書密碼體制和基于身份公鑰密碼體制。由于傳統(tǒng)公鑰證書密碼體制中的證書管理非常復(fù)雜，為了簡化證書管理，Shamir[2]于1984年首次給出了基于身份的公鑰密碼體制，用戶的公鑰不再需要頒發(fā)證書認證，而是由用戶的身份產(chǎn)生?；谏矸莸墓€密碼體制雖然解決了復(fù)雜的證書管理問題，但由于用戶的私鑰是由私鑰生成中心PKG給出，因而產(chǎn)生了密鑰托管的問題。無證書公鑰密碼體制是近年來密碼學(xué)領(lǐng)域興起的優(yōu)于傳統(tǒng)公鑰證書和身份密碼體制的一種新的公鑰密碼體制，于2003年被Al-Riyami等人首次提出。該體制和基于身份的公鑰密碼體制同樣不需要公鑰證書，而且克服了上述密鑰托管問題。在無證書公鑰密碼體制中，用戶的私鑰由兩部分構(gòu)成，一部分來此私鑰生成中心PKG ，另一部分由用戶給出，公鑰是由用戶所給的秘密值、系統(tǒng)參數(shù)及身份產(chǎn)生，由于PKG不知道用戶的完全私鑰，從而無證書公鑰密碼體制克服了上述密鑰托管問題。

無證書公鑰密碼體制是現(xiàn)今密碼學(xué)和信息安全領(lǐng)域的研究熱點。在該體制下，研究可認證密鑰協(xié)商協(xié)議的學(xué)者相應(yīng)較少，公開出現(xiàn)的幾個方案也都遭到了不同的攻擊[3]。M-T方案和Wang方案無法抵抗密鑰泄露偽裝攻擊，Swanson[4]方案不滿足已知會話臨時信息安全性。對Ma[5]方案進行分析，進一步發(fā)現(xiàn)該方案不能抵抗合法用戶的扮演攻擊和口令偶爾泄露導(dǎo)致的危機，分析了該方案不安全的具體原因并在此基礎(chǔ)上給出一種改進的密鑰協(xié)商方案。

1 相關(guān)基礎(chǔ)知識

定義1 雙線性映射

3）可計算性：對任意 P，Q∈G1，存在算法可計算 e（P，Q）。

定義2 計算Diffie-Hellman問題

定義3 雙線性Diffie-Hellman問題

2 Ma方案簡介與安全性分析

2.1 Ma方案簡介

2.2 Ma方案的安全性分析

經(jīng)過認真分析，Ma方案存在下面的安全缺陷：

2）若攻擊者偶然得到口令 PW，則協(xié)議的密鑰協(xié)商過程中就會出現(xiàn)假冒合法用戶的攻擊者。

2.3 Ma方案的改進與分析

為了彌補Ma方案的以上兩個缺陷，在保證已有安全性的基礎(chǔ)上給出一個新的改進方案。

2.3.1 改進的新方案

協(xié)商第一次會話密鑰時， n個用戶{U1，U2…，Un}首先先要初始化密鑰種子r1=H（PW0），PW1=fr1（PW0）；n個用戶{U1，U2…，Un}第k（k≠1）次協(xié)商會話密鑰時，事先要計算密鑰種子rk=g（rK-1），PWk=frk（PWk-1），用后刪掉rk-1和PWk-1。

不失一般性， n個用戶{U1，U2…，Un}協(xié)商第k次會話密鑰。

1）廣播的消息計算

Ui（1≤i≤n）任意選取 yi∈Zq，計算Zi=（yi- xi）P，υi= H1（Zi，Pi），Mi=（xi/υi）rkSi廣播（Zi，υi，Mi）給其他用戶。

2）身份認證

Ui（1≤i≤n）接收到其他用戶的消息（Zi，υi，Mi）后，驗證等式

是否成立，如果等式成立，通過認證，否則停止這次協(xié)議。

3）密鑰份額計算

通過認證后， 用戶Ui（1≤i≤n）計算αi= e（（yi- xi）Zi-1，diZi+1）⊕PWk，廣播αi給其他用戶。

4）會話密鑰計算

用戶i（1≤i≤n）計算最終的會話密鑰

其中

2.3.2 新方案的安全性分析

所以用戶Ui-1，Ui+1不能假冒用戶Ui進行新的密鑰協(xié)商，新方案可抵此類扮演攻擊。

2）Ma方案中PW偶然泄露導(dǎo)致的攻擊在新方案中也得到了解決，原因是引入口令進化機制。hash函數(shù)f ：G2→ G2，PWk=fr1（PWk-1）保證了每次協(xié)商中的口令是新鮮的，即使攻擊者使用其他手段獲得前面某一次協(xié)商中的口令，由于其并不清楚口令進化的次數(shù)，所以攻擊者不能得到此次協(xié)商的口令，也就不能進行因PW偶然泄露導(dǎo)致的攻擊。

3）新方案滿足Ma方案已有的安全特性，具有強安全性。

新方案中用戶Ui（1≤i≤n）廣播（Zi，υi，Mi）給其他用戶，不再廣播Pi，消除了冗余消息，減少了對帶寬的占用，并且最終的會話密鑰中增加了di，其他消息并未減少，因此新方案滿足Ma方案已有的安全特性，具有強安全性。

3 結(jié)束語

在無證書公鑰密碼體制下對一種多方可認證密鑰協(xié)商方案 進行了分析，指出該協(xié)商方案存在安全隱患。參與協(xié)商的合法用戶可用保存的信息假冒其他用戶進行另外的密鑰協(xié)商。進一步指出該協(xié)商方案不能抵抗合法用戶的扮演攻擊和口令PW偶然泄露導(dǎo)致的危機?；诖?，給出一種改進的協(xié)商方案，解決了上述問題。新方案的安全性更好，而且消除了冗余消息，有效降低了用戶對帶寬的占用。

[1] Diffie W，Hellman M.New directions in cryptography[J].IEEE Transactions on Information Theory，1976，22（6）：644-654.

[2]Shamir A.Identity-Based cryptosystems and signature schemes[C]//PP LNCS196：Advance in Cryptography-Crypto'84.Berlin：Springer-Verlag，1984 ：47-3.

[3] Al-Riyami S，Paterson K.Certificateless public key cryptography[C]//Lecture Notes in Computer Science，vol 2894.[S.l.]Springer-Verlag，2003：452-473.

[4] Swanson C M.Security in key agreement：Two -party certificatelesss chemes[D].Waterloo：University of Waterloo，2008.

[5] Swanson C M.Security in key agreement：Two -party certificateless schemes[D].Waterloo：University of Waterloo，2008.

[6]馬俊.一種新的無證書可認證多方密鑰協(xié)商協(xié)議[J].信息技術(shù)，2013，37（7）：98-100.

Ma Jun.A new method based on authenticated key agreement protocols[J]. Information Technology，2013，37（7）：98-100.

[7]王曉峰，張璟，王尚平，等.基于口令認證的移動Ad Hoc網(wǎng)密鑰協(xié)商方案[J].軟件學(xué)報，2006，17（8）：1811- 1817.

WANG Xiao-Feng， ZHANG Jing， WANG Shang-Ping，et al.A key agreement scheme for mobile Ad Hoc networks based on password authentication[J].Journal of Software， 2006， 17（8）：1811-1817.

[8] DU Xin-jun，WANG Ying，GE Jian-hua，et al.An Improved ID-based suthenticated key sgreement Group key kgree ment scheme[EB/OL].[2007-01-05].http：//eprint.iacr.org/2003/247.

Analysis and improvement of the multi-party authenticated key agreement protocol

MA Jun
（Department of Basic Courses， Shaanxi Polytechnic Institute， Xianyang 712000， China）

The paper analyses a multi-party authenticated key agreement based on certificateless public key cryptography system， the protocol is a danger for the legal users， which may be vulnerable to impersonation attack and reveal the password occasionally.This paper scientifically explains the reasons why the protocol is unsafe and that puts forward an improved scheme.Thereby the key seed and password evolution scheme is introduced， which can eliminate the redundant message and reduce the occupied bandwidth for the users.The analysis of security shows that the new scheme is more secure.

certificateless cryptography；bilinear pairing；key agreement；key seed；password evolution

TN918.1

A

1674-6236（2014）14-0052-03

2013-11-03 稿件編號：201311025

陜西工業(yè)職業(yè)技術(shù)學(xué)院科研項目（ZK12-25）

馬 ?。?976 —），男，陜西渭南人，碩士，講師。研究方向：密碼理論和網(wǎng)絡(luò)信息安全。