許盛偉, 任雄鵬, 陳 誠(chéng), 袁 峰, 楊自力

1. 西安電子科技大學(xué) 通信工程學(xué)院, 西安710071

2. 北京電子科技學(xué)院, 北京100071

3. 武漢安天信息技術(shù)有限責(zé)任公司, 武漢430070

1 引言

密鑰協(xié)商協(xié)議是為了讓通訊雙方甚至多方能夠共享一個(gè)秘密密鑰, 該密鑰可以用于保證通信過(guò)程中的機(jī)密性和完整性. 按照公鑰密碼體制下公鑰驗(yàn)證方式的不同, 目前已有很多基于證書、基于身份、基于無(wú)證書的兩方認(rèn)證密鑰協(xié)商協(xié)議研究. 傳統(tǒng)的密碼應(yīng)用中, 用戶從CA 獲取證書, 以證書作為公鑰的載體, 通過(guò)CA 的簽名實(shí)現(xiàn)證書的有效性或者說(shuō)公鑰的有效性. 基于身份的公鑰密碼體制中, 用戶將獨(dú)一無(wú)二的身份作為公鑰, 比如郵箱、手機(jī)號(hào)等標(biāo)識(shí), 從而不需要獲得證書和驗(yàn)簽等過(guò)程. 基于身份的公鑰體制相比證書雖然擁有簡(jiǎn)便易用的優(yōu)點(diǎn), 但是具有天然密鑰托管的局限性. 2003 年AIRiyami 等人[1]提出無(wú)證書公鑰密碼體制, 該公鑰體制下用戶的私鑰一部分來(lái)自自身, 一部分來(lái)自密鑰管理中心, 解決了密鑰托管的問(wèn)題; 而公鑰不需要證書作為載體, 同時(shí)用戶的身份作為公鑰的一部分信息, 保留了身份體制的簡(jiǎn)潔性. 在帶寬受限的無(wú)線網(wǎng)絡(luò)環(huán)境下(如移動(dòng)Ad-hoc 網(wǎng)絡(luò)), 由于證書體制下存在繁瑣復(fù)雜的證書管理問(wèn)題, 以及身份體制下的會(huì)話密鑰托管問(wèn)題, 無(wú)證書兩方協(xié)議成為了研究熱點(diǎn).

目前已有多種協(xié)議提出. 2003 年AIRiyami 等人[1]基于無(wú)證書體制提出第一個(gè)無(wú)證書兩方密鑰協(xié)商協(xié)議. 2006 年Mandt 等人[2]指出文獻(xiàn)[1]不能抵抗臨時(shí)密鑰泄漏攻擊并提出了新協(xié)議. 2009 年Swanson等人[3]首次提出適用于無(wú)證書體制的eCK 模型, 并指出文獻(xiàn)[2,4,5] 存在KCI (Key Compromise Impersonation) 攻擊. 2009 年Lippold 等人[6]提出更強(qiáng)的eCK 安全模型以及該模型下的安全兩方協(xié)議, 但計(jì)算量較大. 2010 年Zhang 等人[7]提出適用于無(wú)證書體制的mBR 模型以及該模型下的兩方協(xié)議. 2011 年He 等人[8]提出基于mBR 模型的無(wú)對(duì)兩方協(xié)議, 但存在臨時(shí)密鑰泄漏攻擊. 2011 年Yang等人[9]提出eCK 模型下的兩方協(xié)議, 但是計(jì)算量較大, 并指出文獻(xiàn)[10,11] 存在安全性缺陷. 2011 年劉文浩等人[12]提出基于簽名的兩方協(xié)議, 但是被文獻(xiàn)[13] 指出存在I 類敵手偽裝攻擊. 2012 年He 等人[14,15]分別提出mBR 和eCK 模型下的兩方協(xié)議, 但是前者存在I 類敵手的偽裝攻擊, 后者被文獻(xiàn)[16]指出其證明過(guò)程中存在錯(cuò)誤. 2012 年Mohamed 等人[17]提出啟發(fā)式分析的無(wú)對(duì)協(xié)議. 2012 年楊浩民等人[18]提出基于雙線性對(duì)和數(shù)字簽名的兩方協(xié)議, 但是被文獻(xiàn)[19] 指出存在缺陷. 2013 年Li 等人[20]提出基于對(duì)運(yùn)算的兩方協(xié)議. 2013 年Sun 等人[16]提出了eCK 模型下的安全兩方協(xié)議. 2016 年李娜等人[21]提出啟發(fā)式安全的協(xié)議, 本文將指出其未能抵抗KCI 攻擊. 2016 年Sun 等人[22]提出基于seCK模型的強(qiáng)安全兩方協(xié)議, 但是該協(xié)議中用戶公私鑰長(zhǎng)度是一般協(xié)議的兩倍, 通信量和計(jì)算量較大. 2017 年周等人[13]提出聲稱eCK 模型下的兩方協(xié)議, 但是該協(xié)議未能抵抗臨時(shí)密鑰泄漏攻擊. 2019 年Wu 等人[23]等人提出eCK 模型下的兩方協(xié)議, 本文將指出其未能抵抗I 類敵手的KCI 攻擊.

針對(duì)上述問(wèn)題, 本文首先分析了文獻(xiàn)[21,23] 存在的安全缺陷, 然后提出了新的兩方認(rèn)證密鑰協(xié)商協(xié)議, 并且在Super 類型敵手和無(wú)證書mBR 模型下, 基于CDH 和DCDH 困難問(wèn)題假設(shè)給出了兩類敵手下的嚴(yán)格安全性證明, 較上述方案不僅計(jì)算量和通信成本較低, 而且安全性具有優(yōu)勢(shì).

本文結(jié)構(gòu)如下: 第2 節(jié)介紹困難問(wèn)題假設(shè)、無(wú)證書密碼體制敵手類型、安全模型等預(yù)備知識(shí); 第3 節(jié)回顧文獻(xiàn)[21,23] 并構(gòu)造出針對(duì)該兩方案的攻擊算法; 第4 節(jié)描述新的無(wú)證書兩方認(rèn)證密鑰協(xié)商協(xié)議, 并進(jìn)行正確性和安全性分析; 第5 節(jié)將本協(xié)議和其他方案進(jìn)行比較分析; 第6 節(jié)總結(jié)并展望.

2 預(yù)備知識(shí)

2.1 困難問(wèn)題假設(shè)

CDH (Computational Diffie-Hellman) 問(wèn)題: 給定生成元P ∈G,G為循環(huán)群, 輸入aP和bP, 輸出abP. 假設(shè)現(xiàn)實(shí)中任意多項(xiàng)式時(shí)間算法能夠解決CDH 問(wèn)題的概率是可忽略的, 稱為CDH 困難問(wèn)題假設(shè).

DCDH (Divisible Computational Diffie-Hellman) 問(wèn)題: 給定生成元P ∈G,G為循環(huán)群, 輸入aP和bP, 輸出a?1bP. 假設(shè)現(xiàn)實(shí)中任意多項(xiàng)式時(shí)間算法能夠解決DCDH 問(wèn)題的概率是可忽略的, 稱為DCDH 困難問(wèn)題假設(shè).

根據(jù)文獻(xiàn)[24] 可知, DCDH 和CDH 問(wèn)題是等價(jià)的.

2.2 敵手類型

根據(jù)文獻(xiàn)[1], 無(wú)證書密碼體制中考慮兩類敵手: I 類敵手AI代表惡意用戶, 可以進(jìn)行用戶公鑰替換詢問(wèn), 但不知道系統(tǒng)私鑰; 敵手AII代表惡意KGC, 擁有主私鑰, 但不能替換用戶公鑰. 根據(jù)文獻(xiàn)[25], 將I 類敵手分為三種強(qiáng)度:

2.3 安全模型

目前已知無(wú)證書密鑰協(xié)商協(xié)議的安全性分析所采用的安全模型主要分為mBR 模型和eCK 模型, 雖然后者較前者能夠賦予敵手獲得會(huì)話臨時(shí)密鑰的能力, 但前者除卻完美前向安全性, 已經(jīng)涵蓋了正常情況下的所有攻擊, 能夠保證已知會(huì)話密鑰安全屬性、前向安全性、抗密鑰泄漏偽裝攻擊、未知密鑰共享安全等屬性, 故mBR 模型下亦能夠保證相當(dāng)?shù)陌踩?

本文采用文獻(xiàn)[7] 的無(wú)證書mBR 模型, 與文獻(xiàn)[7] 不同的是本文模型中收回了II 類敵手訪問(wèn)替換公鑰預(yù)言機(jī)的能力. 模型中密鑰協(xié)商協(xié)議的安全性由模擬器和敵手之間的游戲來(lái)定義, 其中參與者IDi的第n個(gè)會(huì)話被建模為預(yù)言機(jī)∏ni,j, 敵手被看作概率多項(xiàng)式時(shí)間圖靈機(jī), 掌控整個(gè)網(wǎng)絡(luò)通道, 用戶直接與敵手交互, 游戲分四階段完成:

3 兩個(gè)協(xié)議的安全性分析

3.1 Wu 等人協(xié)議[23] 回顧

假設(shè)Alice、Bob 為協(xié)議的參與方, Alice 的公鑰為(XA,RA), 私鑰為(xA,yA), Bob 的公鑰為(XB,RB), 私鑰為(xB,yB), 其中Xi=xiP,Ri=riP,yi=ri+sH1(IDi,Ri),i=A,B,s為KGC 的主私鑰, 具體協(xié)商如下:

3.2 Wu 等人協(xié)議[23] 的安全性分析

(4)AI收到消息(IDB,TB,QB) 后, 由于AI已知Bob 的私鑰(xB,yB), 通過(guò)計(jì)算(1)式, 最終AI可以成功冒充Alice 而不被Bob 發(fā)現(xiàn).

3.3 李娜等人協(xié)議[21] 回顧

3.4 李娜等人協(xié)議[21] 的安全性分析

下面通過(guò)構(gòu)造具體算法證明文獻(xiàn)[21] 中的方案易遭受普通敵手的KCI 攻擊. 假設(shè)任意敵手E具有Bob 的完整私鑰skB=(xB,dB), 按照下述過(guò)程可以成功偽裝Alice:

4 協(xié)議描述

文獻(xiàn)[21] 基于雙線性對(duì), 利用簽名值(h,s) 和時(shí)間戳加密方法實(shí)現(xiàn)認(rèn)證和密鑰確認(rèn); 文獻(xiàn)[23] 中無(wú)需對(duì)運(yùn)算, 利用驗(yàn)證值Q實(shí)現(xiàn)認(rèn)證. 兩者均通過(guò)各自計(jì)算共享秘密值的方法, 將長(zhǎng)期私鑰、臨時(shí)私鑰和對(duì)方公鑰充分混合, 但是很遺憾未能充分保證安全性, 也間接說(shuō)明了設(shè)計(jì)安全高效協(xié)議的困難性. 與前述協(xié)議不同, 本文基于DH 交換方式, 無(wú)需對(duì)運(yùn)算, 亦無(wú)需驗(yàn)證值或簽名值來(lái)實(shí)現(xiàn)認(rèn)證, 提出了新的協(xié)議.

4.1 具體協(xié)議

圖1 本文密鑰協(xié)商協(xié)議Figure 1 Proposed key agreement protocol

4.2 正確性分析

由下式(2) 可知Alice 與Bob 協(xié)商得到相同密鑰.

4.3 安全性分析

引理1 在良性敵手存在的情況下以及隨機(jī)預(yù)言機(jī)模型下, 相互匹配的兩臺(tái)預(yù)言機(jī)總會(huì)協(xié)商得到同一會(huì)話密鑰, 并且密鑰是均勻分布的.

證明: 假設(shè)Alice 和Bob 是會(huì)話參與者,A為良性敵手, Alice 和Bob 完全按照協(xié)議規(guī)則互相發(fā)送消息, 根據(jù)上述正確性分析可知兩者協(xié)商出相同會(huì)話密鑰, 協(xié)議中臨時(shí)密鑰a,b均是隨機(jī)選擇, 從而K1,K2,K3均隨機(jī), 基于隨機(jī)預(yù)言機(jī)H2, 故K是在{0,1}l上均勻分布的.

5 性能分析

本節(jié)從協(xié)議的計(jì)算成本、通信成本、安全性三個(gè)方面進(jìn)行比較. 比較結(jié)果見表1. 其中計(jì)算成本以點(diǎn)乘運(yùn)算S、指數(shù)運(yùn)算E、雙線性對(duì)P 等運(yùn)算來(lái)衡量, 該成本包含公鑰的計(jì)算量; 通信成本指?jìng)鬏斨凶畲笙⒌拈L(zhǎng)度,|G| 代表群中元素的長(zhǎng)度, 通信成本中包括公鑰和標(biāo)識(shí)ID 長(zhǎng)度; 安全性衡量指標(biāo)包括安全模型以及與聲稱安全性是否相符.

5.1 計(jì)算成本

本文所設(shè)計(jì)協(xié)議不僅無(wú)需對(duì)運(yùn)算, 而且計(jì)算成本只需5 個(gè)點(diǎn)乘運(yùn)算, 其中計(jì)算M時(shí)需要兩次點(diǎn)乘, 計(jì)算K1,K2和K3時(shí)分別需要一次點(diǎn)乘. 由表1可知, 本協(xié)議計(jì)算成本最小, 與文獻(xiàn)[8,14,21] 的計(jì)算成本相同. 由于文獻(xiàn)[6,7,21] 中需要雙線性對(duì)運(yùn)算, 所以計(jì)算成本最大. 除此以外, 文獻(xiàn)[13,16,22,23] 計(jì)算成本均比本文較大.

5.2 通信成本

選取有限域Fp中素?cái)?shù)p為512 位, 群G1,G2的階q為160 位, 用戶標(biāo)識(shí)ID 的長(zhǎng)度為16 位, 那么群G1,G2中的點(diǎn)元素大小|G| 均為1024 位, 本文協(xié)議中傳輸?shù)淖铋L(zhǎng)消息包括三個(gè)點(diǎn)元素和一個(gè)標(biāo)識(shí)ID, 所以通信長(zhǎng)度為(1024×3+16)/8 = 386 個(gè)字節(jié). 由表1可知, 文獻(xiàn)[6,7] 通信長(zhǎng)度最小為258 字節(jié);文獻(xiàn)[22] 通信長(zhǎng)度最大為770 字節(jié); 文獻(xiàn)[8,14,16] 與本文通信長(zhǎng)度相當(dāng); 除此以外, 文獻(xiàn)[13,21,23] 通信成本均比本文較大.

表1 性能比較結(jié)果Table 1 Results of performance comparison

5.3 安全性

本文采用mBR 模型針對(duì)強(qiáng)敵手實(shí)現(xiàn)了可證安全, 具有已知會(huì)話密鑰安全, 完美前向安全, 抗密鑰泄漏偽裝攻擊, 未知密鑰共享安全, 密鑰不可控等安全屬性. 由表1 可知, 文獻(xiàn)[7,8,14] 與本文協(xié)議采用的安全模型相同, 但是文獻(xiàn)[14] 未能達(dá)到聲稱的安全性, 本文所假設(shè)的敵手能力較文獻(xiàn)[8] 更強(qiáng), 故安全性更高; 文獻(xiàn)[6,13,16,23] 均基于eCK 安全模型, 但是其中文獻(xiàn)[13,23] 未能達(dá)到聲稱的安全性; 文獻(xiàn)[22] 所使用的seCK 模型安全強(qiáng)度最高. 結(jié)合上述計(jì)算和通信成本分析, 綜合考慮安全性和效率兩方面, 可知本文協(xié)議具有更明顯的優(yōu)勢(shì).

6 總結(jié)與展望

本文提出了一種新的安全無(wú)證書認(rèn)證密鑰協(xié)商協(xié)議, 避免了證書管理和密鑰托管的局限性, 同時(shí)在mBR 模型和Super 敵手類型下, 基于DCDH 和CDH 困難問(wèn)題假設(shè), 保證了協(xié)議的安全性, 能夠保證已知會(huì)話密鑰安全屬性、完美前向安全性、抗密鑰泄漏偽裝攻擊、未知密鑰共享安全、密鑰不可控性等屬性. 該協(xié)議不僅具有安全性優(yōu)勢(shì), 而且計(jì)算效率較高, 通信成本較低, 在物聯(lián)網(wǎng)等寬帶受限的網(wǎng)絡(luò)環(huán)境中具有較好的應(yīng)用前景. 由于mBR 模型不能賦予敵手獲取臨時(shí)密鑰的能力, 所以即使在該模型下協(xié)議是可證安全的, 仍未能抵抗臨時(shí)密鑰泄漏攻擊. 故后續(xù)工作方向是如何在eCK 模型和Super 敵手類型下提出高效安全的協(xié)議.