李慧敏, 梁紅梅, 張金輝

( 1.莆田學(xué)院 數(shù)學(xué)與金融學(xué)院, 福建 莆田 351100； 2.應(yīng)用數(shù)學(xué)福建省高校重點(diǎn)實(shí)驗(yàn)室(莆田學(xué)院)，福建 莆田 351100； 3.閩南師范大學(xué) 數(shù)學(xué)與統(tǒng)計(jì)學(xué)院, 福建 漳州 363000 )

0 引言

隨著無(wú)線網(wǎng)絡(luò)的快速發(fā)展及其應(yīng)用的日益普及，無(wú)線通信安全(特別是跨域通信安全)問(wèn)題越來(lái)越受到人們的關(guān)注.認(rèn)證密鑰協(xié)商(AKA)協(xié)議是一種基于公鑰密碼系統(tǒng)的密碼學(xué)原語(yǔ)，它不僅能夠使用戶在開放的網(wǎng)絡(luò)環(huán)境下通過(guò)協(xié)商生成會(huì)話密鑰，還可以使用戶彼此認(rèn)證雙方身份.公鑰密碼系統(tǒng)主要包括基于目錄公鑰密碼系統(tǒng)[1]、基于身份公鑰密碼系統(tǒng)[2]、基于證書公鑰密碼系統(tǒng)[3]和無(wú)證書公鑰密碼系統(tǒng)[4].由于無(wú)證書公鑰密碼系統(tǒng)能夠克服傳統(tǒng)公鑰密碼系統(tǒng)的證書管理問(wèn)題和基于身份公鑰密碼系統(tǒng)的密鑰托管問(wèn)題，因此一些無(wú)證書密鑰協(xié)商協(xié)議相繼被一些學(xué)者提出[5-10],并被應(yīng)用于一些需要跨域通信的場(chǎng)景中，如無(wú)線網(wǎng)狀網(wǎng)絡(luò)(WMN)、鐵路運(yùn)輸管理信息系統(tǒng)、車聯(lián)網(wǎng)VANETs、Ad Hoc網(wǎng)絡(luò)和5G網(wǎng)絡(luò)等[11-15].2016年， Li等[11]基于無(wú)證書公鑰密碼系統(tǒng)建立了一種應(yīng)用于無(wú)線網(wǎng)狀網(wǎng)絡(luò)的無(wú)證書跨域密鑰協(xié)商(CAKA)協(xié)議，該協(xié)議不僅具備無(wú)證書公鑰密碼系統(tǒng)的優(yōu)點(diǎn)，而且能降低Internet服務(wù)提供者(ISP)的計(jì)算和通信開銷；但本文對(duì)文獻(xiàn)[11]中的密鑰協(xié)商協(xié)議進(jìn)行安全性分析后發(fā)現(xiàn)，其存在無(wú)法認(rèn)證對(duì)方身份及易被替換公鑰攻擊的安全性問(wèn)題，對(duì)此本文給出了原協(xié)議無(wú)法認(rèn)證對(duì)方身份的具體原因和對(duì)原協(xié)議進(jìn)行替換公鑰攻擊的具體步驟，并在文獻(xiàn)[11]中的協(xié)議基礎(chǔ)上給出了一種改進(jìn)的密鑰協(xié)商協(xié)議，同時(shí)通過(guò)實(shí)驗(yàn)驗(yàn)證了該協(xié)議的有效性.

1 相關(guān)理論

1.1 雙線性對(duì)的定義

假設(shè)q是一個(gè)素?cái)?shù)，G1是q階加法群，G2是q階乘法群，P是G1的生成元，則雙線性對(duì)為如下映射e:G1×G1→G2， 且滿足下列關(guān)系：

2)非退化性.對(duì)于任意的P,Q∈G1， 存在e(P,Q)≠1G2.

3)可計(jì)算性.對(duì)于任意的P,Q∈G1， 都有一個(gè)有效算法來(lái)計(jì)算e(P,Q)∈G2.

1.2 困難性問(wèn)題

本文協(xié)議的安全性主要涉及以下3類困難性問(wèn)題[16]:

1.3 認(rèn)證密鑰協(xié)商協(xié)議的安全屬性

假設(shè)A和B是執(zhí)行AKA協(xié)議的兩個(gè)已完成相互認(rèn)證，并已建立用于安全通信會(huì)話的密鑰網(wǎng)格實(shí)體(如網(wǎng)狀客戶端、網(wǎng)狀路由器等)，則AKA協(xié)議必備的安全屬性為[17]：

1)已知會(huì)話密鑰安全.AKA協(xié)議的每個(gè)執(zhí)行過(guò)程都應(yīng)生成一個(gè)唯一、獨(dú)立的秘密會(huì)話密鑰，這樣即使一個(gè)密鑰泄漏也不會(huì)影響其他會(huì)話密鑰的安全性，從而避免會(huì)話密鑰被攻擊者用以冒充其他實(shí)體.

2)前向安全性.A和B之間的長(zhǎng)期密鑰如果被泄露，則不會(huì)對(duì)之前的會(huì)話密鑰產(chǎn)生威脅.前向安全性通常分為完全前向安全性和主密鑰前向安全性兩類.完全前向安全性是指即使攻擊者擁有A和B的私鑰，也無(wú)法知道A和B之間以前使用的會(huì)話密鑰；主密前向安全性是指即使攻擊者獲得了系統(tǒng)主密鑰，也無(wú)法獲得A和B之間以前的會(huì)話密鑰.

3)抗密鑰泄露偽裝.如果協(xié)議參與方A的長(zhǎng)期密鑰被泄露，則攻擊者雖可以偽裝成A參與會(huì)話，但無(wú)法偽裝成其他人，即其他用戶不會(huì)因?yàn)锳的密鑰被破解而受到影響.

4)未知密鑰共享安全.協(xié)議參與方如果要進(jìn)行會(huì)話，需要先對(duì)雙方的身份進(jìn)行認(rèn)證.

5)抗密鑰控制.當(dāng)A和B需要建立會(huì)話密鑰時(shí)，任何一方都不能生成和自己期望值一樣的會(huì)話密鑰.

2 文獻(xiàn)[11]中的無(wú)證書跨域認(rèn)證密鑰協(xié)商協(xié)議及其安全性分析

2.1 文獻(xiàn)[11]中的無(wú)證書跨域認(rèn)證密鑰協(xié)商協(xié)議

文獻(xiàn)[11]中提出的無(wú)證書跨域認(rèn)證密鑰協(xié)商協(xié)議(簡(jiǎn)稱CAKA協(xié)議)中規(guī)定， A和B之間需通過(guò)一輪消息交換完成A和B的相互認(rèn)證，并由此建立一個(gè)會(huì)話密鑰k.CAKA協(xié)議的具體執(zhí)行步驟如下：

用戶U的私鑰將由U和它的ISP通過(guò)以下兩個(gè)步驟生成：

① 提取部分私鑰.首先計(jì)算EU=sDQU(其中QU=H1(IU‖XU)∈G1)， 然后通過(guò)一個(gè)安全的途徑將EU發(fā)給U.

② 設(shè)置私鑰.用戶U收到EU后，判斷e(EU,P)=e(QU,pD)是否成立.如果等式成立，則EU是正確的，并將用戶U的私鑰設(shè)置為sU=〈kU,EU〉.

系統(tǒng)完成上述的初始化后，用戶A和用戶B即可建立會(huì)話密鑰并相互認(rèn)證，其過(guò)程如圖1所示.

2.2 文獻(xiàn)[11]中的無(wú)證書跨域認(rèn)證密鑰協(xié)商協(xié)議的安全性問(wèn)題

對(duì)CAKA協(xié)議進(jìn)行安全性分析可得如下結(jié)果：

1)無(wú)法驗(yàn)證另一方的身份.在CAKA協(xié)議中，任何人可以通過(guò)發(fā)送者發(fā)送的消息來(lái)獲取發(fā)送者的身份信息，冒充者可以假裝為消息的原始發(fā)送者與另一方通信，進(jìn)而使得該協(xié)議存在另一方身份無(wú)法認(rèn)證的安全問(wèn)題.其原因是該協(xié)議在執(zhí)行過(guò)程中要求按式(1)進(jìn)行身份認(rèn)證，并以此建立密鑰.

KA=e(EA+kAQA,PA)=e(sDAQA+kAQA,aP)=e((sDA+kA)QA,aP)=

e((sDA+kA)P,aQA)=e(RA,PDA+XA).

(1)

由式(1)可知KA=e(RA,PDA+XA)， 但由于PDA和XA是公開的，所以只要獲得RA就可以計(jì)算出KA.另外，由于RA在協(xié)議執(zhí)行過(guò)程的第1步中是以明文傳輸?shù)?，即任何人通過(guò)發(fā)送的信息均可獲得RA， 因此協(xié)議中的第1步無(wú)法實(shí)現(xiàn)認(rèn)證對(duì)方身份的目的.

2)替換公鑰攻擊.由于CAKA協(xié)議是基于無(wú)證書公鑰密碼系統(tǒng)建立的，因此需要考慮對(duì)該協(xié)議的替換公鑰攻擊.本文對(duì)CAKA協(xié)議進(jìn)行替換公鑰攻擊的具體步驟如下：

由以上可知，攻擊者按上述操作即可成功冒充用戶A， 然后與用戶B進(jìn)行交互并獲取會(huì)話密鑰.用戶B是通過(guò)式(2)對(duì)消息發(fā)送者進(jìn)行身份驗(yàn)證并建立會(huì)話密鑰的,由式(2)可知上述攻擊是可以實(shí)現(xiàn)的.

3 改進(jìn)的跨域認(rèn)證密鑰協(xié)商協(xié)議及其安全性分析

3.1 改進(jìn)的跨域認(rèn)證密鑰協(xié)商協(xié)議

原協(xié)議之所以無(wú)法實(shí)現(xiàn)雙方認(rèn)證的目的和會(huì)受到替換公鑰攻擊是因?yàn)轵?yàn)證式(1)中沒(méi)有用到用戶的全部私鑰(密鑰生成中心生成的部分私鑰和用戶自己選的秘密值)，攻擊者可以通過(guò)發(fā)送的消息獲取到發(fā)送者的身份信息.本文改進(jìn)的協(xié)議中用戶公私鑰產(chǎn)生的方式與文獻(xiàn)[11]一樣，但對(duì)文獻(xiàn)[11]協(xié)議中的交互認(rèn)證和密鑰協(xié)商的過(guò)程(3個(gè)步驟)進(jìn)行了改進(jìn).改進(jìn)方法為：用戶A和B在執(zhí)行協(xié)議的過(guò)程中必須使用全部私鑰，且在用戶A和B發(fā)送的消息中分別加入各自的身份信息，同時(shí)攻擊者無(wú)法通過(guò)發(fā)送的消息獲取發(fā)送者的身份信息.本文提出的跨域認(rèn)證密鑰協(xié)商協(xié)議中的系統(tǒng)初始化與文獻(xiàn)[11]中的系統(tǒng)初始化相同，認(rèn)證和會(huì)話密鑰的建立過(guò)程如圖2所示.

本文改進(jìn)協(xié)議的交互認(rèn)證和密鑰協(xié)商過(guò)程的具體步驟如下：

注：該步驟將原協(xié)議步驟1中的KA=e(EA+kAQA,PA)改為KA=e(RB,pDB)， 并還需計(jì)算C1=Enc(T1‖NA‖A‖B,k1).另外，用戶A發(fā)送給用戶B的消息也由原方案中的M1=(FlagA,B,RAP′A,{T1,NA}k1)改為M1=(FlagA,FlagB,P′A,C1).

注：該步驟將原協(xié)議步驟2中的KA=e(RA,pDA+XA)改為KA=e(EB,PA)， 將KB=e(EB+kBQB,PB)改為KB=e(RA,pDA)， 這里的KA=e(EB,PA)與步驟1中的KA=e(RB,pDB)是相等的.另外，還需計(jì)算h=H2(A‖B‖T1‖T2‖N‖k)，C2=Enc(T1‖T2‖NA‖N‖NB‖A‖B‖h,k)， 同時(shí)用戶B發(fā)送給用戶A的消息也由原協(xié)議中的M2=(FlagB,A,RB,P′B,{T1,T2,N,NA,NB,h}k)改為M2=(FlagB,FlagA,P′B,C2).

注：該步驟將原協(xié)議步驟3中的KB=e(RB,pDB+XB)改為KB=e(EA,PB)， 這里的KB和步驟2中的KB=e(RA,pDA)是相等的.

3.2 改進(jìn)CAKA協(xié)議的正確性和安全性分析

3.2.1協(xié)議的正確性分析

協(xié)議的正確性可由下式驗(yàn)證：

KA=e(RB,pDB)=e(aQB,sDBP)=e(aP,sDBQB)=e(PA,EB)=e(EB,PA)，

KB=e(RA,pDA)=e(bQA,sDAP)=e(bP,sDAQA)=e(PB,EA)=e(EA,PB)，

K=bPA=baP=abP=aPB.

由上式易知，本文提出的協(xié)議是正確的.

3.2.2協(xié)議的安全性分析

2)前向安全性.假設(shè)用戶A的長(zhǎng)期私鑰sA=〈kA,EA〉被敵手A′得到，此時(shí)可能出現(xiàn)當(dāng)一個(gè)用戶偽裝成一個(gè)CAKA請(qǐng)求者或一個(gè)跨域AKA接收者時(shí)(如圖2中的用戶A)，A′可以截取之前的對(duì)話信息并計(jì)算KA(KA=e(EB,PA))和KB(KB=e(EA,PB))， 但無(wú)法計(jì)算得到密鑰k(k=H2(KA‖KB‖K)).因?yàn)楦鶕?jù)G1中的DLP和CDHP假設(shè)，敵手無(wú)法從PA獲得a或從PB獲得b， 從而無(wú)法計(jì)算K=abP.因此，即使用戶A或用戶B的私鑰被泄露，先前會(huì)話密鑰也不會(huì)被泄露，由此可知前向安全性是可靠的.

3) 抗密鑰泄露偽裝.假設(shè)敵手獲得了用戶A的長(zhǎng)期私鑰sA(sA=〈kA,EA〉)， 這時(shí)敵手雖然可以模擬用戶A發(fā)起CAKA請(qǐng)求或偽裝AKA接收者，但無(wú)法從交互中獲取其他用戶的長(zhǎng)期私鑰，即即使用戶A的私鑰被泄露，其他用戶私鑰的安全性也不會(huì)受到影響.

4) 未知密鑰共享安全.在改進(jìn)的CAKA協(xié)議中由于使用了指定驗(yàn)證者的技術(shù)，會(huì)話密鑰只能由CAKA請(qǐng)求者和接收者計(jì)算，任何其他第三方都不能強(qiáng)迫用戶A與其他用戶共享密鑰，除非雙方都執(zhí)行圖2中的CAKA協(xié)議.這是因?yàn)橹挥兄付ǖ慕邮照連才能獲得PA(PA=aP)、k1(k1=H2(KA‖PA))、 會(huì)話密鑰k(k=H2(KA‖KB‖K))和對(duì)消息M1的解密，而M1的解密需要隱式身份驗(yàn)證.文獻(xiàn)[18]已證明隱式認(rèn)證特性隱含未知密鑰共享的彈性.

在無(wú)證書公鑰系統(tǒng)下，由于替換公鑰攻擊是針對(duì)無(wú)證書方案的一種基本攻擊，所以MITM攻擊也有可能由ISP或獲得ISP主密鑰的敵手A1或A2發(fā)起，其中敵手A1可以隨意更改客戶端的公鑰，但不能訪問(wèn)系統(tǒng)主密鑰；敵手A2可以掌控系統(tǒng)主密鑰，但不能替換客戶端的公鑰[19].如文獻(xiàn)[18]所述，抵抗替換公鑰攻擊的一種方法是綁定用戶的公鑰和私鑰，本文采用的方法是將用戶A的身份IA和固定公鑰XA與部分私鑰綁定，即EA=sDAH1(IA‖XA).因此，敵手在不知道私鑰的情況下不能從替換的公鑰中獲得部分私鑰EA， 即使敵手A1可以替換公鑰X′A=k′AP，Q′A=H1(IA‖X′A),RA=a′Q′A并成功假扮用戶A， 但在CDHP的假設(shè)下，他仍然無(wú)法根據(jù)a′bP、P′B計(jì)算出正確的PB.對(duì)于敵手A2，他可以訪問(wèn)域主密鑰sD， 但不能替換客戶端的公鑰，所以即使敵手A2知道部分私鑰EA， 他仍然不能在不知道sA的情況下偽裝用戶A來(lái)計(jì)算KA.因此，兩種類型的敵手都無(wú)法在不知道兩個(gè)客戶端完整私鑰的情況下計(jì)算出會(huì)話密鑰，從而說(shuō)明本文改進(jìn)的CAKA協(xié)議可以抵御MITM攻擊.

3.3 改進(jìn)CAKA協(xié)議的效率分析

本文通過(guò)計(jì)算協(xié)議涉及的主要密碼運(yùn)算[20]的個(gè)數(shù)對(duì)本文改進(jìn)的協(xié)議與文獻(xiàn)[11]中的協(xié)議進(jìn)行對(duì)比分析，計(jì)算中分別用Tm、Tp和Ta表示G1中的點(diǎn)乘運(yùn)算、雙線性對(duì)運(yùn)算和加法運(yùn)算，用Te表示AES(Advanced Encryption Standard)對(duì)稱加密運(yùn)算，用Th表示哈希運(yùn)算H2， 計(jì)算結(jié)果見(jiàn)表1.使用PBC庫(kù)(版本0.5.14)在64位、2.4 GHz基于Intel Core i7 - 5500U處理器、4 GB主內(nèi)存、Windows 7系統(tǒng)的電腦上測(cè)試所有這些計(jì)算，各運(yùn)算的執(zhí)行時(shí)間見(jiàn)表2.

表1 兩個(gè)協(xié)議涉及的主要密碼運(yùn)算個(gè)數(shù)

表2 運(yùn)算執(zhí)行時(shí)間ms

為了更好的比較兩種協(xié)議的性能，根據(jù)表1和表2計(jì)算出了兩個(gè)協(xié)議中用戶A和用戶B的執(zhí)行時(shí)間及協(xié)議總的執(zhí)行時(shí)間，見(jiàn)圖3.由圖3可以看出，本文改進(jìn)的協(xié)議不僅解決了文獻(xiàn)[11]中存在的安全問(wèn)題，而且還提高了效率.其中用戶A的執(zhí)行時(shí)間提高了7.23%，用戶B的執(zhí)行時(shí)間提高了6.73%，協(xié)議總執(zhí)行時(shí)間提高了6.98%.

圖3 兩種協(xié)議的執(zhí)行時(shí)間

4 結(jié)論

對(duì)本文提出的改進(jìn)的無(wú)證書跨域密鑰協(xié)商協(xié)議進(jìn)行實(shí)驗(yàn)表明，該協(xié)議不僅解決了文獻(xiàn)[11]中存在的無(wú)法驗(yàn)證雙方身份問(wèn)題和容易受到替換公鑰攻擊的安全問(wèn)題，而且還提高了協(xié)議的執(zhí)行效率.本文的改進(jìn)方法還可為同類跨域密鑰協(xié)商協(xié)議的設(shè)計(jì)提供良好的參考價(jià)值.本文在研究中僅考慮了兩個(gè)用戶在跨域情景下的密鑰協(xié)商協(xié)議，今后我們將對(duì)跨域環(huán)境下的多方密鑰協(xié)商協(xié)議進(jìn)行研究，從而實(shí)現(xiàn)跨域環(huán)境下的多方安全通信.