毛可飛 陳 杰 劉建偉

?

層次身份基認證密鑰協(xié)商方案的安全性分析和改進

毛可飛*陳 杰 劉建偉

(北京航空航天大學電子信息工程學院 北京 100191)

該文分析了曹晨磊等人(2014)提出的層次身份基認證密鑰協(xié)商方案的安全性，指出該方案無法抵抗基本假冒攻擊。文中具體描述了對該方案實施基本假冒攻擊的過程，分析了原安全性證明的疏漏和方案無法抵抗該攻擊的原因。然后，在BONEH等人(2005)層次身份基加密方案基礎(chǔ)上提出了一種改進方案。最后，在BJM模型中，給出了所提方案的安全性證明。復雜度分析表明所提方案在效率上同原方案基本相當。

密碼學；可證明安全性；認證密鑰協(xié)商；層次身份基密碼體制

1 引言

身份基密碼體制可以降低公鑰密碼體制中公鑰基礎(chǔ)設(shè)施部署的難度[1,2]，這為身份基認證密鑰協(xié)商帶來了廣泛的應用需求[3,4]。為了更加契合現(xiàn)實世界中層次化的身份結(jié)構(gòu)，研究者在身份基密碼體制的基礎(chǔ)上設(shè)計了層次身份基密碼體制。層次身份基認證密鑰協(xié)商是層次身份基密碼體制中關(guān)鍵密碼學組件[8]，可以實現(xiàn)父節(jié)點對子節(jié)點的私鑰配置，完成層次化身份結(jié)構(gòu)中任意兩節(jié)點間的認證密鑰協(xié)商，為建立端到端的安全傳輸信道提供更好的密鑰協(xié)商手段，在云計算與存儲[9]、無線傳感器網(wǎng)絡(luò)[10]和電子健康網(wǎng)絡(luò)[11,12]中有很迫切的應用需求。下面通過一個例子具體說明層次身份基認證密鑰協(xié)商的一個應用場景。在某集團公司的網(wǎng)絡(luò)系統(tǒng)中，不同分公司的員工在處理具體事務時，需要彼此認證對方身份并協(xié)商會話密鑰。如果采用傳統(tǒng)身份基認證密鑰協(xié)商機制，集團公司需要通過統(tǒng)一的認證服務器驗證所有職員的身份，并為合法職員頒發(fā)私鑰，這就意味著公司總部需要維持該認證服務器，并承擔巨大的計算和通訊負擔。而實際上除了總公司和分公司中的高層職員外，大部分職員的人事管理權(quán)在分公司，其身份信息由所屬的分公司負責管理，集團公司并不需要掌握所有分公司職員的具體人事信息。因此，在這種場景下，集團公司可以選擇只為其管理控制的分公司高層職員頒發(fā)私鑰，由分公司內(nèi)部高層職員為其管理的下屬員工頒發(fā)私鑰，這樣可以顯著減少總公司統(tǒng)一認證服務器的壓力，進而減少開銷。

對密碼學組件的具體方案進行安全分析是保證其安全的必要手段。為了彌補啟發(fā)式分析(heuristic analysis)的不足，文獻[13]開始了可證明安全性(provable security)理論的研究，以期把一個安全協(xié)議的安全性和一個已知困難問題通過規(guī)約聯(lián)系起來，從而保證安全協(xié)議的安全可靠。應用較廣的規(guī)約方法有兩種：一是文獻[14]提出的隨機預言(random oracle)模型，該模型利用雜湊函數(shù)和隨機預言機的替換實現(xiàn)理論和現(xiàn)實安全的轉(zhuǎn)換，盡管隨機預言模型中可證明安全的協(xié)議，在實際實施中有可能是不安全的，但是由于該模型下設(shè)計出的協(xié)議相對簡單，利用該模型進行規(guī)約仍然被工程應用廣泛接受；二是標準模型，該模型指的是不依賴隨機預言假設(shè)的安全性證明模型。目前標準模型下可證明安全的密碼方案效率仍然不夠理想，但是安全方面的優(yōu)勢已使其成為近年來的研究重點。對于認證密鑰協(xié)商方案的安全性證明來說，除規(guī)約方法外，還需要安全性模型來形式化定義安全目標和攻擊能力，1993年文獻[15]首次建立了基于兩方的認證和密鑰協(xié)商協(xié)議的安全模型，即BR模型。其后，為了形式化不同的應用環(huán)境，出現(xiàn)了適合身份基認證密鑰協(xié)商協(xié)議的BJM模型[16]，以及2007年由文獻[17]提出的eCK模型。文獻[18]擴展了BJM模型，并指出如果一個方案在該模型下可以證明是安全的，則該方案有抗基本假冒攻擊、已知會話密鑰安全、抗密鑰泄露偽裝攻擊和抗未知密鑰共享攻擊的安全屬性。文獻[19]也詳細分析了eCK模型的安全屬性，可以看出eCK模型要比BJM模型增加了弱的完美前向保密性和臨時秘密泄露安全兩個安全屬性。2012年文獻[20]又提出了攻擊者具有對會話內(nèi)部狀態(tài)查詢的能力的CK+模型，其也成為目前關(guān)于認證密鑰協(xié)商最強的安全性定義。但是過強的安全模型由于安全屬性過多，導致證明過程繁瑣，且容易忽視基本的安全屬性的問題。因此，選擇最合適的安全模型而不是最強的安全模型是合理的解決方法。關(guān)于安全模型涵蓋的安全屬性可詳見文獻[17,19]，其中抗基本假冒攻擊(basic impersonation resilience)屬性是指用戶Ａ是一個正確執(zhí)行協(xié)議的合法實體，攻擊者Ｃ在不知道用戶Ａ長期私鑰的前提下，其不能假冒用戶Ａ，該屬性是eCK模型和BJM模型都涵蓋的基本安全屬性。本文主要指出原方案不符合抗基本假冒攻擊屬性，為了清晰展現(xiàn)安全證明的過程，本文在標準模型下選用BJM模型進行安全性證明。

在層次身份基密碼體制中，已有研究工作較為系統(tǒng)的是層次身份基加密(Hierarchical Identity Based Encryption, HIBE)，該組件可以緩解單一私鑰生成者(Private Key Generator, PKG)負載過重的問題，并且更加契合網(wǎng)絡(luò)的分布式結(jié)構(gòu)[5]。學者們已從最初的隨機預言模型下的層次身份基加密方案[6]，發(fā)展到更為嚴謹?shù)臉藴誓Ｐ拖碌膶哟紊矸莼用芊桨竅21]，進一步又提出了更為有效并具有短私鑰和密文的方案[7]。然而，關(guān)于層次身份基認證密鑰協(xié)商的研究卻未形成體系。2011年，文獻[8]提出了非交互的層次身份基認證密鑰分發(fā)方案，由于方案中采用了非交互的方式，因此特別適合資源有限的傳感器網(wǎng)絡(luò)使用。最近，文獻[22]已經(jīng)證明了文獻[8]的方案存在安全問題，但是沒有給出相應的解決方案。文獻[12]針對無線健康網(wǎng)絡(luò)提出了私鑰新鮮的非交互層次認證密鑰協(xié)商方案。必須指出，非交互的層次身份基認證密鑰協(xié)商，在帶來節(jié)點間通訊量減少的優(yōu)點的同時，也減少了認證密鑰協(xié)商中的隨機性因素，從而限制了方案安全能力的提升。因此，可以考慮為資源相對充足的網(wǎng)絡(luò)環(huán)境設(shè)計安全能力更高的層次身份基認證密鑰協(xié)商方案，利用現(xiàn)有成熟HIBE方案的結(jié)構(gòu)來實現(xiàn)層次身份基認證密鑰協(xié)商是一個有效的研究思路。近兩年，文獻[11]基于文獻[6]的HIBE方案，提出了電子健康網(wǎng)絡(luò)的層次化認證密鑰協(xié)商方案，但是其沒有將方案抽象成具體的密碼學組件，也沒有在公知的認證密鑰協(xié)商安全模型下給出證明。文獻[9]基于文獻[7]的HIBE方案(B-HIBE方案)提出了層次身份基認證密鑰協(xié)商方案(HIBKA)，可以實現(xiàn)對實體的隱式認證，并在eCK模型[17]中給出了安全性證明。本文分析了曹晨磊等人[9]的方案，指出了其無法抵抗基本假冒攻擊，詳述了具體攻擊過程，指出了原安全性證明的疏漏，并結(jié)合B-HIBE方案[7]分析了攻擊產(chǎn)生的原因。最后，在B-HIBE加密方案基礎(chǔ)上提出了一個層次身份基認證密鑰協(xié)商(Hierarchical Identity-based Authenticated Key Agreement, HI-AKA)方案，并在BJM模型[16,23]下將其歸約到HIBE的安全性上。

本文其余部分結(jié)構(gòu)如下：第2節(jié)簡介B-HIBE方案和HIBKA方案，并給出基本假冒攻擊的具體過程和原因分析；第3節(jié)描述增強安全的新方案；第4節(jié)在BJM模型下將新方案安全歸約到B-HIBE方案的安全；最后一節(jié)給出結(jié)論。

2 預備知識

2014年曹晨磊等人在文獻[9]設(shè)計了一個HIBKA方案。該方案基于文獻[7]的B-HIBE方案，其設(shè)計目標是滿足已知密鑰安全和前向安全性等安全性質(zhì)，可以抵抗基于密鑰泄露的偽裝攻擊。本節(jié)首先簡單地回顧了B-HIBE方案和HIBKA方案，然后詳述了內(nèi)部節(jié)點實施偽造攻擊的過程。最后，通過對比以上方案節(jié)點私鑰的異同，指出了HIBKA存在安全漏洞的原因。

2.1 B-HIBE方案回顧

B-HIBE方案[7]包括4個子算法：系統(tǒng)建立、私鑰抽取、加密和解密。具體過程簡述如下。

B-HIBE(IND-sID-CCA)安全的定義是在敵手事先明示一個其要挑戰(zhàn)的節(jié)點(假設(shè)身份為)，并可以查詢除了挑戰(zhàn)節(jié)點和其父節(jié)點外的任何節(jié)點私鑰條件下，敵手選取想要挑戰(zhàn)的兩個相等長度明文和，敵手無法以不可忽略的優(yōu)勢判斷模擬者加密后的密文所對應的明文。

2.2 HIBKA方案回顧

HIBKA方案[9]包括3個子算法：系統(tǒng)建立、私鑰抽取和密鑰協(xié)商。具體過程簡述如下。

(1)系統(tǒng)建立：該步驟同2.1節(jié)中B-HIBE方案系統(tǒng)建立一致。

(3)密鑰協(xié)商：假設(shè)用戶A和用戶B要進行密鑰協(xié)商，兩者在第層有公共節(jié)點，將兩者的身份分別記為和，其中。用戶A和用戶B利用自己的私鑰按如下步驟進行認證密鑰協(xié)商：

2.3對HIBKA方案的基本假冒攻擊

本節(jié)我們假設(shè)敵手完全控制了HIBKA系統(tǒng)中的一個攻擊者C，從而對系統(tǒng)中用戶A和用戶B的認證密鑰協(xié)商實施假冒攻擊。這種攻擊條件在實際環(huán)境中是非常易于實現(xiàn)的，敵手可以通過收買或注冊成為系統(tǒng)中任何一個合法用戶，從而獲得該用戶的秘密信息，進而對受害節(jié)點實施攻擊。不失一般性，我們假設(shè)攻擊者C想要偽裝成2.2節(jié)中密鑰協(xié)商算法中描述的用戶A，并攻擊其與用戶B進行的認證密鑰協(xié)商，攻擊成功的標志是攻擊者C可以利用用戶A的身份同用戶B進行一次正常的認證密鑰協(xié)商，并且攻擊者C和用戶B計算出相同的會話密鑰。假設(shè)攻擊者C所屬層級為, 利用,和按照2.2節(jié)所述可以分別獲得公私鑰對,和。前文假設(shè)用戶A和用戶B在第層有公共節(jié)點，不妨增設(shè)攻擊者C同受害者們在第層有公共節(jié)點，攻擊者C身份和其合法獲得的私鑰可以分別記為和私鑰。攻擊者C采用如下步驟實施對用戶A和用戶B密鑰協(xié)商算法的攻擊，具體如下描述。

2.4基本假冒攻擊的正確性證明

如上所述，攻擊者C使用用戶A的身份，順利地同用戶B實施了密鑰協(xié)商，在協(xié)商過程中攻擊者C同用戶B的交互過程完全同真實用戶A一致。以下將證明，攻擊者C和用戶B分別計算的會話密鑰和相同，即雙方可以順利完成隱式認證。

由式(8)和式(9)可知，攻擊者C和用戶B生成的會話秘密信息相同，進而生成會話密鑰也相同。因此，攻擊者C以用戶A的身份同用戶B，成功實現(xiàn)了認證密鑰協(xié)商，至此攻擊者C基本假冒攻擊成功。

2.5基本假冒攻擊產(chǎn)生理論和實際原因

首先，從安全性證明角度分析原方案出現(xiàn)基本假冒攻擊的原因。目前的認證密鑰協(xié)商協(xié)議安全分析中，都假設(shè)攻擊者具有完全控制信道的能力，并且在安全性模型中用發(fā)送查詢模擬這種能力。在原安全性證明中，如果采用發(fā)送查詢形式化本文2.3節(jié)中的攻擊，當模擬者模擬并標識用戶A和用戶B形成會話密鑰時，攻擊者C就可以很容易地回答模擬者發(fā)出的挑戰(zhàn)(區(qū)分會話密鑰和一個隨機值)，因為攻擊者可以利用式(6)計算會話秘密信息的值，從而通過查詢獲得會話密鑰。如上分析，在原安全性證明中攻擊者C實際上可以不用求解困難問題，就能夠以不可忽略的優(yōu)勢贏得挑戰(zhàn)，這就破壞了原安全性證明中的假設(shè)條件。因此，原安全性證明此處存在疏漏。

然后，從方案具體實現(xiàn)角度分析原方案出現(xiàn)基本假冒攻擊的原因。前文已述，相對B-HIBE方案中的用戶，HIBKA方案中每個用戶增加了個組成元素，因此任何一個用戶都有對應任意層的。這使攻擊者C可以將其私鑰任意變換為和其父節(jié)點層私鑰一致的結(jié)構(gòu)。利用遞推關(guān)系，攻擊者C可以用此方法生成符合任何節(jié)點私鑰結(jié)構(gòu)的私鑰。在利用式(3)或者式(4)計算共享秘密時，攻擊者可以利用其配置的私鑰，得出雙方的共享秘密，進而得到會話密鑰，完成攻擊過程。反觀B-HIBE方案，每個用戶只有其子層對應的，其父節(jié)點以上層私鑰信息保護在群的一個指數(shù)中，這既保證了父節(jié)點對子節(jié)點的私鑰配置功能，又防止了子節(jié)點恢復上層節(jié)點私鑰結(jié)構(gòu)，進而避免了類似攻擊。鑒于以上分析，為了提高方案的安全性，嚴格遵循B-HIBE方案的“私鑰抽取”結(jié)構(gòu)是一種簡單有效的思路。

3 安全增強的層次身份基認證密鑰協(xié)商方案

為了防范HIBKA方案存在的安全風險，本節(jié)基于B-HIBE方案提出一種層次身份基認證密鑰協(xié)商(HI-AKA)方案。方案同樣包含3個子算法：系統(tǒng)建立、私鑰抽取和密鑰協(xié)商。其中系統(tǒng)建立和私鑰抽取同B-HIBE方案基本一致，以下僅詳細介紹密鑰協(xié)商，其它詳細內(nèi)容請參看文獻[7]。

(1)系統(tǒng)建立：除B-HIBE方案中系統(tǒng)建立步驟外，系統(tǒng)增加選擇2個抗碰撞雜湊函數(shù)和。

(2)私鑰抽取：同B-HIBE方案。

(3)密鑰協(xié)商：假設(shè)用戶A和用戶B要進行密鑰協(xié)商，不失一般性，我們假設(shè)兩者在第層有公共節(jié)點，將兩者的身份分別表示為和，其中。用戶A和用戶B利用自己的私鑰按如下步驟進行認證密鑰協(xié)商。

4 HI-AKA方案分析

本節(jié)首先證明了HI-AKA方案的正確性。然后，為了提供簡潔的證明，將本文方案在BJM模型下直接歸約到B-HIBE方案的安全性。如果HI-AKA方案可以在BJM模型下被攻陷的話，就可以利用這個漏洞去攻陷B-HIBE方案[7]的不可區(qū)分選擇密文(IND-sID-CCA)安全，因此HI-AKA方案在BJM模型下是安全的。

4.1 HI-AKA正確性證明

HI-AKA方案可以在任意用戶A和用戶B之間協(xié)商出相同的會話密鑰。具體證明如下。

由式(14)和式(15)結(jié)果可知，用戶A和用戶B分別生成的會話密鑰和一致。因此，HI-AKA方案的正確性成立。

4.2 HI-AKA安全性證明

本節(jié)在文獻[23]的啟發(fā)下，利用BJM模型證明所提方案HI-AKA是符合BJM模型涵蓋的安全特性。

命題1 若B-HIBE方案是IND-sID-CCA安全的話，那么HI-AKA方案在BJM模型中是安全的。

分析：因為B-HIBE和HI-AKA方案的系統(tǒng)參數(shù)一致，因此當B-HIBE的安全游戲選定時，我們可以得到返回密文的第1項內(nèi)容等于；當選定時，的第1項內(nèi)容是群中的一個隨機值。進而，當時，，因此攻擊者收到的是真正的會話密鑰；當時，，攻擊者收到的是一個隨機值。可以看出在上述模擬的過程中，模擬者至少以的概率不會終止挑戰(zhàn)過程。而對于攻擊者，其所面對的模擬者模擬的安全性游戲和真實的環(huán)境是無法區(qū)分的。因此，當我們假設(shè)攻擊者攻破HI-AKA方案的優(yōu)勢是，其攻破B-HIBE方案IND-sID-CCA的安全的優(yōu)勢至少為。

4.3復雜度分析

由于本文是受文獻[9]的方案啟發(fā)，并且同屬層次身份基認證密鑰方案，本節(jié)主要和該方案進行了計算復雜度對比。我們在表1中采用如下參數(shù)表示，其中與分別表示與上的指數(shù)運算，與分別表示與上的乘法運算，代表雙線性運算，和為用戶所處的層級，為系統(tǒng)總層級，代表抗碰撞雜湊函數(shù)運算。從表1中可以看出，HI-AKA的私鑰抽取復雜度要優(yōu)于HIBKA，因為雖然都基于B-HIBE方案，但是后者私鑰多了個上的參數(shù)；生成和生成復雜度HI-AKA要差于HIBKA，因為HIBKA直接利用私鑰計算和，節(jié)約了兩個節(jié)點共有層數(shù)的部分指數(shù)運算，但是這也是本文所述攻擊產(chǎn)生的原因之一；生成或復雜度HI-AKA方案要低于HIBKA方案，因為HI-AKA盡量保持了B-HIBE方案的簡潔結(jié)構(gòu)，一定程度降低了運算的復雜程度；生成或的計算復雜度兩個方案一致，因為保證會話密鑰安全性，兩者都選用了抗碰撞雜湊函數(shù)實現(xiàn)密鑰輸出；可以看出，本文所提出的HI-AKA方案的計算復雜程度與系統(tǒng)參數(shù)成線性關(guān)系，可以參考類似文獻[11,23,24]采用PBC數(shù)據(jù)包[25]進行實現(xiàn)。

表1 HI-AKA方案和HIBKA方案計算復雜度比較

5 結(jié)束語

本文分析了文獻[9]提出的層次身份基認證密鑰協(xié)商方案的安全性，給出了對該方案實施基本假冒攻擊的具體步驟，分析了該攻擊存在的原因。最后，在B-HIBE加密方案[7]的基礎(chǔ)上提出了一個HI- AKA方案，并在BJM模型中證明了所提HI-AKA方案具有未知密鑰共享安全性、已知會話密鑰安全性、基本前向安全性的安全屬性。此外，由于HI- AKA方案高度契合B-HIBE方案，可方便地移植到已經(jīng)選用B-HIBE方案的層次化網(wǎng)絡(luò)系統(tǒng)，降低認證密鑰協(xié)商部署和維護的開銷。

參考文獻

[1] BONEH D and FRANKLIN M. Identity-based encryption from the Weil pairing[C]. Proceedings of 21st Annual International Cryptology Conference, Santa Barbara, California, USA,2001: 213-229.

[2] SHAMIR A. Identity-based cryptosystems and signature schemes[C]. Proceedings of 4rd Annual International Cryptology Conference, Santa Barbara, California, USA, 1984: 47-53.

[3] 夏松, 權(quán)建校, 韓文報. 不同PKG環(huán)境下可證安全的基于身份AKA協(xié)議[J]. 電子與信息學報, 2010, 32(10): 2393-2399.doi: 10.3724/SP.J.1146.2009.01382.

XIA S, QUAN J, and HAN W. Provably secure identity-based authenticated key agreement protocols in multiple PKG environment[J].&, 2010, 32(10): 2393-2399.doi: 10.3724/SP.J.1146.2009.01382.

[4] 曹雪菲, 寇衛(wèi)東, 樊凱, 等. 無雙線性對的基于身份的認證密鑰協(xié)商協(xié)議[J]. 電子與信息學報, 2009, 31(5): 1241-1244.doi: 10.3724/SP.J.1146.2008.00003.

CAO X, KOU W, Fan K,An identity-based authenticated key agreement protocol without bilinear pairing[J].&, 2009, 31(5): 1241-1244. doi: 10.3724/SP.J.1146.2008.00003.

[5] HORWITZ J and LYNN B. Toward hierarchical identity-based encryption[C]. Proceedings of International Conference on the Theory and Applications of Cryptographic Techniques, Amsterdam, Netherland, 2002: 466-481.

[6] GENTRY C and SILVERBERG A. Hierarchical ID-based cryptography[C]. Proceedings of 8th International Conference on the Theory and Application of Cryptology and Information Security, Queenstown, New Zealand, 2002: 548-566.

[7] BONEH D, BOYEN X, and GOH E. Hierarchical identity based encryption with constant size ciphertext[C]. Proceedings of 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Aarhus, Denmark, 2005: 440-456.

[8] GUO H, MU Y, LI Z,An efficient and non-interactive hierarchical key agreement protocol[J].&, 2011, 30(1): 28-34.

[9] 曹晨磊, 劉明奇, 張茹, 等. 基于層級化身份的可證明安全的認證密鑰協(xié)商協(xié)議[J]. 電子與信息學報, 2014, 36(12): 2848-2854.doi:10.3724/SP.J.1146.2014.00684.

CAO C, LIU M, ZHANG R,Provably secure authenticated key agreement protocol based on hierarchical identity[J].&,2014, 36(12): 2848-2854. doi: 10.3724/SP.J.1146.2014.00684.

[10] IBRIQ J and MAHGOUB I. HIKES: hierarchical key establishment scheme for wireless sensor networks[J]., 2014, 27(10): 1825-1856.

[11] LIU W, LIU J, WU Q,. SAKE: scalable authenticated key exchange for mobile e-health networks[OL].http://onlinelibrary.wiley.com/doi/10.1002/sec.1198/abstract, 2015.

[12] KIM H. Freshness-preserving non-interactive hierarchical key agreement protocol over WHMS[J]., 2014, 14(12): 23742-23757.doi: 10.3390/s141223742.

[13] GOLDWASSER S and MICALI S. Probabilistic encryption[J]., 1984, 28(2): 270-299.

[14] BELLARE M and PHILLIP R. Random oracles are practical: a paradigm for designing efficient protocols[C]. Proceedings of the 1st ACM Conference on Computer and Communications Security, Fairfax, VA, USA, 1993: 62-73.

[15] BELLARE M and PHILLIP R. Entity authentication and key distribution[C]. Proceedings of 13th Annual International Cryptology Conference, Santa Barbara, California, USA, 1993: 232-249.

[16] BLAKE-WILSON S, JOHNSON D, and MENEZES A. Key agreement protocols and their security analysis[C]. Proceedings of 6th IMA International Conference, Cirencester, UK, 2005: 30-45.

[17] LAMACCHIA B, LAUTER K, and MITYAGIN A. Stronger security of authenticated key exchange[C]. Proceedings of First International Conference ProvSec, Wollongong, Australia, 2007: 1-16.

[18] CHEN L, CHENG Z, and SMART N. Identity-based key agreement protocols from pairings[J]., 2007, 6(4): 213-241.

[19] 倪亮, 陳恭亮, 李建華. eCK模型的安全性分析[J]. 山東大學學報(理學版), 2013, 48(7): 46-48.

NI L, CHEN G, and LI J. Security analysis of the eCK model[J].(), 2013, 48(7): 46-48.

[20] FUJIOKA A, SUZUKI K, XAGAWA K,. Strongly secure authenticated key exchange from factoring, codes, and lattices[C]. Proceedings of 15th International Conference on Practice and Theory in Public Key Cryptography, Darmstadt, Germany, 2012: 467-484.

[21] BONEH D and BOYEN X. Efficient selective-ID secure identity-based encryption without random oracles[C]. Proceedings of International Conference on the Theory and Applications of Cryptographic Techniques, Interlaken, Switzerland, 2004: 223-238.

[22] ZHU G, XIONG H, and QIN Z. On the security of an efficient and non-interactive hierarchical key agreement protocol[J]., 2014, 74(2): 883-889.

[23] 魏江宏, 劉文芬, 胡學先. 標準模型下可證安全的屬性基認證密鑰交換協(xié)議[J]. 軟件學報, 2014, 25(10): 2397-2408.

WEI J, LIU W, and HU X. Provable secure attribute based authenticated key exchange protocols in the standard model[J]., 2014, 25(10): 2397-2408.

[24] DENG H, WU Q, QIN B,. Ciphertext-policy hierarchical attribute-based encryption with short ciphertexts[J]., 2014, 275: 370-384.

[25] LYNN B. On the implementation of pairing-based cryptosystems[D]. [Ph.D. dissertation], Stanford University, 2007.

Security Analysis and Improvements of Hierarchical Identity Based Authenticated Key Agreement Scheme

MAO Kefei CHEN Jie LIU Jianwei

(,,100191,)

The security of hierarchical identity based authenticated key agreement scheme which was proposed by CAO. (2014) is cryptanalyzed. First, it is pointed out that the scheme is not completely secure against the basic impersonation attack. Then, the process and the reasons of the attack are described. Finally, an improvement scheme to mend the security leaks is proposed based on the hierarchical identity based encryption (BONEH. 2005). The security proof of the proposal is presented in the BJM model. The computation efficiency of the proposed scheme is nearly equivalent to the CAO.’s.

Cryptography; Provable security; Authenticated key agreement; Hierarchical identity based cryptography

TP309

A

1009-5896(2016)10-2619-08

10.11999/JEIT151443

2015-12-22；改回日期：2016-05-16；網(wǎng)絡(luò)出版：2016-07-04

毛可飛 owen.buaa@gmail.com

國家自然科學基金(61272501)，國家重點基礎(chǔ)研究發(fā)展計劃(2012CB315905)

The National Natural Science Foundation of China (61272501), The National Key Basic Research Program of Ching (2012CB315905)

毛可飛： 男，1977年生，博士生，研究方向為網(wǎng)絡(luò)協(xié)議和優(yōu)化算法.

陳 杰： 男，1985年生，博士生，研究方向為網(wǎng)絡(luò)協(xié)議和信息安全.

劉建偉： 男，1964年生，教授，研究方向為信息安全和密碼學.