劉志猛，趙燕麗

(山東工商學(xué)院 山東省高校智能信息處理重點(diǎn)實(shí)驗(yàn)室，山東 煙臺(tái) 264005)

基于CK模型的安全節(jié)點(diǎn)認(rèn)證密鑰交換協(xié)議*

劉志猛，趙燕麗

(山東工商學(xué)院 山東省高校智能信息處理重點(diǎn)實(shí)驗(yàn)室，山東 煙臺(tái) 264005)

無線傳感器網(wǎng)絡(luò)中的節(jié)點(diǎn)常常被部署在非安全的環(huán)境中，因而容易遭受假冒等安全威脅。為保護(hù)可信節(jié)點(diǎn)之間數(shù)據(jù)通信安全，基于計(jì)算性Diffie-Hellman假設(shè)，提出一種節(jié)點(diǎn)認(rèn)證與密鑰交換協(xié)議。推薦方案不僅能實(shí)現(xiàn)對(duì)參與節(jié)點(diǎn)真實(shí)身份的鑒別，而且生成一個(gè)參與方共享的秘密密鑰，為參與方之間的數(shù)據(jù)交換建立一個(gè)安全的通信信道。并證明了推薦方案能實(shí)現(xiàn)CK模型下認(rèn)證和密鑰協(xié)商的協(xié)議的安全目標(biāo)。此外，對(duì)安全屬性的分析表明該協(xié)議具備前向安全、已知會(huì)話密鑰安全、抗密鑰泄漏假冒及未知密鑰共享攻擊的能力。

無線傳感器網(wǎng)絡(luò)；節(jié)點(diǎn)認(rèn)證；CK模型；計(jì)算性DH假設(shè)

0 引言

無線傳感器網(wǎng)絡(luò)往往部署在敵對(duì)環(huán)境中，因而可能要面對(duì)各種各樣的惡意攻擊。為保證任意兩個(gè)節(jié)點(diǎn)之間交互信息的安全，往往引入認(rèn)證的密鑰交換協(xié)議(Authenticated Key Exchange，AKE)實(shí)現(xiàn)節(jié)點(diǎn)之間的認(rèn)證，并協(xié)商出一個(gè)共享的秘密密鑰，繼而建立節(jié)點(diǎn)之間的安全通信信道。設(shè)計(jì)和分析安全的AKE協(xié)議是一項(xiàng)非常困難的工作。自從Bellare and Rogaway第一次提出密鑰交換協(xié)議的形式化方法[1]以來，眾多的AKE協(xié)議分析模型[2-7]被提出，其中最為著名也應(yīng)用最為廣泛的當(dāng)屬CK模型[5]。本文中，基于CDH假設(shè)，提出一種CK安全的適于節(jié)點(diǎn)認(rèn)證的AKE協(xié)議，分析表明該協(xié)議具有抵抗KCI攻擊的屬性。

1 CK安全模型

在CK模型中，一個(gè)AKE實(shí)驗(yàn)包括n個(gè)主體和一個(gè)經(jīng)公共網(wǎng)絡(luò)相連的敵手M。每個(gè)主體都可以被接收到的網(wǎng)絡(luò)信息或者是其他子程序發(fā)來的行為請(qǐng)求激活。AKE協(xié)議的一次執(zhí)行成為一次AKE會(huì)話。而敵手則具有選擇執(zhí)行會(huì)話的主體的能力以及安排會(huì)話執(zhí)行順序的能力。

CK模型通過以下兩步設(shè)計(jì)安全的認(rèn)證密鑰交換協(xié)議：首先設(shè)計(jì)在認(rèn)證鏈路模型中安全的密鑰交換協(xié)議π；其次，利用CK模型提供的認(rèn)證器將π轉(zhuǎn)換成非認(rèn)證鏈路模型下具有同等安全性的協(xié)議π′。

定義1 CK模型將兩個(gè)會(huì)話(Ni,Nj,s,initiator)和(Nj,Ni,s,responder)稱為匹配會(huì)話。

1.1 敵手能力

在CK模型中，敵手被模型化為一個(gè)具有概率多項(xiàng)式時(shí)間的圖靈機(jī)。認(rèn)證鏈路模型中的AM敵手，僅能夠忠實(shí)地傳遞主體之間交換的消息，而不能任意添加或改變消息的內(nèi)容。而非認(rèn)證鏈路模型中的UM敵手，除了完全控制了主體之間的通信鏈路和協(xié)議事件的調(diào)度以外，還能夠通過發(fā)起一系列的查詢獲取參與主體及相關(guān)會(huì)話的秘密信息。

利用Session-State Reveal查詢敵手M獲得未完成的會(huì)話s的全部內(nèi)部狀態(tài)信息。

利用Session-Key Reveal查詢獲得已完成的會(huì)話s的會(huì)話密鑰。

利用corrupt party查詢完全控制s的擁有者，從而獲得其包括長期私鑰的全部內(nèi)部狀態(tài)信息。

利用Test-session查詢，獲得已完成、未過期并且尚未暴露的會(huì)話s的真實(shí)會(huì)話密鑰或者一個(gè)滿足密鑰分布的隨機(jī)數(shù)。

定義2 當(dāng)且僅當(dāng)會(huì)話s與其匹配會(huì)話都未被Session-State Reveal查詢、Session-Key Reveal查詢以及corrupt party查詢時(shí)，s及其匹配會(huì)話稱為未暴露的會(huì)話。

1.2 CK模型中安全密鑰交換協(xié)議

定義3 對(duì)所有PPT敵手M，CK安全的密鑰交換協(xié)議滿足以下性質(zhì)：

(1)協(xié)議是未過期未暴露的，并且參與主體不是被腐化(corrupted)主體；

(2)參與主體完成匹配會(huì)話計(jì)算出相同的會(huì)話密鑰；

(3)PPT敵手M攻擊協(xié)議π的優(yōu)勢函數(shù)滿足：

(1)

2 節(jié)點(diǎn)認(rèn)證的密鑰交換協(xié)議

2.1 計(jì)算性Diffie-Hellman假設(shè)

AdvCDH(A)=Pr[A(p,g,ga,gb)=gab]≤ε(k)

(2)

2.2 推薦協(xié)議

假設(shè)相鄰節(jié)點(diǎn)A和B的密鑰對(duì)為(a,PKA=ga)；節(jié)點(diǎn)B私鑰和公鑰對(duì)為(b,gb)。則雙方分別執(zhí)行匹配會(huì)話協(xié)商一個(gè)共享的會(huì)話密鑰，繼而為后續(xù)的數(shù)據(jù)通信建立安全的通信信道。如圖1所示。

圖1 認(rèn)證鏈路模型中的協(xié)議π

2.3 推薦協(xié)議的安全證明

引理1 如果CDH假設(shè)成立，則推薦的認(rèn)證密鑰交換協(xié)議π是CK安全的。

具體證明過程如下：

(1)根據(jù)協(xié)議描述，正確執(zhí)行協(xié)議π的參與節(jié)點(diǎn)完成協(xié)議的執(zhí)行后計(jì)算并輸出相同的會(huì)話密鑰g(a′b′)。會(huì)話標(biāo)識(shí)s與雙方選擇的隨機(jī)數(shù)綁定一起，保證了s的會(huì)話密鑰的新鮮性。

(2)以下證明推薦協(xié)議π同時(shí)滿足定義3的性質(zhì)(2)。假設(shè)在CK模型中存在一個(gè)認(rèn)證模型中的敵手M，能以不可忽略的優(yōu)勢正確地猜測出測試會(huì)話查詢的返回值。除了M以外，構(gòu)造一個(gè)解決器D，它能以不可忽略的概率δ(k)區(qū)分出真實(shí)的會(huì)話密鑰和符合會(huì)話密鑰分布的隨機(jī)數(shù)。將D的輸入記為(p,g,(ta)*,(tb)*,t*)，以0.5的概率分別從D0和D1中選取，其中：

D0={〈G,g,ta,tb,ta-1b-1〉:a′,b′∈RZq}

(3)

D1={〈G,g,ta,tb,tr〉:a′,b′,r∈RZq}

(4)

令m表示M發(fā)起的全部會(huì)話數(shù)。首先M選中的第r次會(huì)話正好是測試會(huì)話時(shí)，M發(fā)起會(huì)話測試查詢繼而接收響應(yīng)t*。如果D的輸入來自D0，則響應(yīng)是真實(shí)的會(huì)話密鑰ga′b′；如果來自D1，則響應(yīng)是隨機(jī)數(shù)。由于輸入來自D0或D1的概率分別是0.5，則D提供的測試會(huì)話查詢響應(yīng)的概率分布與攻擊者成功猜測出測試會(huì)話會(huì)話密鑰的概率相同，因此M正確猜測測試值是真正的會(huì)話密鑰還是隨機(jī)數(shù)的概率等于0.5+δ(k)，即區(qū)分器D正確區(qū)分輸入來自D0還是D1的概率是0.5+δ(k)。其次，M選中的第r次會(huì)話不是測試會(huì)話時(shí)，則D總是在終止后輸出一個(gè)隨機(jī)位，則M猜中的概率等于0.5。由于兩種情況下，測試會(huì)話與M選中會(huì)話相同和不同的概率分別是1/m和1-1/m，因此M猜中的概率響應(yīng)也就是M獲勝的概率等于(0.5+ε)×(1/m)+0.5(1-1/m)，說明解決器D能以不可忽略的優(yōu)勢區(qū)分D0和D1，這與不存在有效算法能解決CDH假設(shè)相矛盾。因此，在CDH假設(shè)下推薦協(xié)議π是CK模型安全的。

3 非認(rèn)證模型中的安全協(xié)議

選取基于簽名技術(shù)的MT-認(rèn)證器λSIG模擬推薦協(xié)議π，構(gòu)造出非認(rèn)證模型中具有相同會(huì)話密鑰安全的協(xié)議π′。

引理2 假設(shè)認(rèn)證器所選用的簽名算法能抵抗選擇消息攻擊，則協(xié)議λSIG(π)在非認(rèn)證鏈路模型中模擬了推薦協(xié)議π[2-3]。

非認(rèn)證鏈路模型中CK安全的節(jié)點(diǎn)認(rèn)證密鑰交換協(xié)議如圖2所示。協(xié)議執(zhí)行過程如下：

(1)對(duì)于輸入(NA,NB,s)，發(fā)起方A選擇隨機(jī)數(shù)ra∈RZq，計(jì)算a′=H(a,ra)、tA=(PKB)a′,并將消息(NA,tA,s)發(fā)送給B。

(2)收到消息后，響應(yīng)方B選擇隨機(jī)數(shù)rb∈RZq后計(jì)算b′=H(b,rb)、tB=(PKA)b′，繼而向A發(fā)送消息(NB,tb,s)及簽名SIGB(NB,s,tA,tB,NA)。計(jì)算會(huì)話密鑰KB=(tA)b′b-1=gH(a,ra)H(b,rb)，并擦除rb。

(3)A驗(yàn)證收到的消息和簽名，并檢驗(yàn)簽名中包含信息的正確性。如果驗(yàn)證通過，則A向B發(fā)送消息及簽名NA,s,SIGA(NA,s,tB,tA,NB)，擦除ra。輸出會(huì)話密鑰KA=(tB)a′a-1=gH(a,ra)H(b,rb)。

(4)B收到NA,s,SIGA(NA,s,tB,tA,NB)后，驗(yàn)證簽名是否有效、簽名內(nèi)的消息是否正確。如果通過驗(yàn)證，則輸出會(huì)話密鑰KB。

圖2 非認(rèn)證鏈路模型中的協(xié)議π′

若CDH假設(shè)成立，選用簽名算法能抵抗選擇消息攻擊且散列函數(shù)是抗強(qiáng)碰撞的，由引理1、2可知協(xié)議π′在非認(rèn)證鏈路模型下是CK安全的。

4 結(jié)論

為保護(hù)相鄰節(jié)點(diǎn)之間交換信息的安全性，本文在CDH假設(shè)基礎(chǔ)上，提出一種節(jié)點(diǎn)認(rèn)證和密鑰交換協(xié)議，既實(shí)現(xiàn)了對(duì)節(jié)點(diǎn)真實(shí)身份的認(rèn)證，又為雙方交換數(shù)據(jù)建立一個(gè)安全的通信信道。此外，分析表明推薦協(xié)議既能實(shí)現(xiàn)在CK模型下的安全目標(biāo)，還能為參與雙方以及建立的會(huì)話密鑰提供抗KCI、完美前向安全等安全屬性。與類似協(xié)議相比，由于推薦協(xié)議需要計(jì)算的模冪指數(shù)、Hash運(yùn)算量相對(duì)較少，故而能較好地適應(yīng)資源相對(duì)受限的無線傳感器節(jié)點(diǎn)環(huán)境中的應(yīng)用。

[1] BELLARE M,RAN C.Entity authentication and key distribution[C].International Cryptology Conference,1993:232-249.

[2] BELLARE M,RAN C,KRAWCZYK H.A modular approach to the design and analysis of authentication and key exchange protocols[C].Thirtieth ACM Symposium on the Theory of Computing,1998, 20(301):419-428.

[3] BELLARE M,ROGAWAY P.Provably secure session key distribution-the three party case[C].Proceedings of the 27th Annual ACM Symposium on Theory of Computing,1995:57-66.

[4] KRAWCZYK H.HMQV:a high-performance secure diffie-hellman protocol[C].Protocol Advances in CryptologyCrypto’05 Lncs,2005,3621:546-566.

[5] RAN C,KRAWCZYK H.Analysis of key-exchange protocols and their use for building secure channels[C].Lecture Notes in Computer Science,2001,2045:453-474.

[6] LAMACCHIA B,LAUTER K,MITYAGIN A.Stronger security of authenticated key exchange[C].International Conference on Provable Security,2007:1-16.

[7] CREMERS C.Examining indistinguishability-based security models for key exchange protocols:the case of{CK,CK-HMQV,and eCK}[C].Proceedings of the 6th ACM Symposium on Information,Computer and Communications Security,2011:80-91.

A secure node authenticated key exchange protocol based on CK model

Liu Zhimeng, Zhao Yanli

(Key Laboratory of Intelligent Information Processing in Universities of Shandong, Shandong Institute of Business and Technology,Yantai 264005, China)

Nodes in wireless sensor networks are often deployed in a non secure environment, which is vulnerable to security threats such as counterfeiting .To protect sensor nodes deployed in insecure wireless sensor networks from variety of malicious attacks, an authenticated key exchange protocol is proposed, which security relies on Computational Diffie-Hellman Problem, and is better suited for Wireless Sensor Networks (WSN) to establish a shared session key between two adjacent nodes. The proposed protocol has some good security properties on the basis of CK model, including perfect forward secrecy，known session key，unknown-key share, key compromise impersonation resistance.

wireless sensor networks; node authentication; the CK model; CDH assumption

山東省高等學(xué)?？萍加?jì)劃(J12LJ04)

TN918

A

10.19358/j.issn.1674- 7720.2017.09.002

劉志猛，趙燕麗.基于CK模型的安全節(jié)點(diǎn)認(rèn)證密鑰交換協(xié)議[J].微型機(jī)與應(yīng)用，2017,36(9)：5-7.

2017-01-06)

劉志猛(1974-)，男，碩士，講師，主要研究方向：信息與網(wǎng)絡(luò)安全。

趙燕麗(1976-)，女，碩士，講師，主要研究方向：大數(shù)據(jù)及安全。