郭 嘉，劉廷艦，董峰偉

（三未信安科技股份有限公司，北京 100000）

得益于5G 通信技術(shù)及物聯(lián)網(wǎng)、互聯(lián)網(wǎng)技術(shù)的發(fā)展，我國(guó)已經(jīng)正式進(jìn)入了“萬(wàn)物互聯(lián)”的時(shí)代。新時(shí)期背景下人們?cè)谙硎芪锫?lián)網(wǎng)、互聯(lián)網(wǎng)技術(shù)所帶來(lái)的便利的同時(shí)，也在承受信息泄露、丟失風(fēng)險(xiǎn)所帶來(lái)的挑戰(zhàn)。傳統(tǒng)互聯(lián)網(wǎng)環(huán)境下的身份認(rèn)證模式需要不同用戶基于不同服務(wù)器的需求，記憶并應(yīng)用多種口令，這導(dǎo)致傳統(tǒng)的身份認(rèn)證過(guò)程中極容易出現(xiàn)因口令泄漏所引發(fā)的安全問(wèn)題。想要從根源上避免諸如此類的問(wèn)題，便可以基于SM9 算法以及去中心化的認(rèn)證機(jī)制，在降低認(rèn)證代價(jià)的基礎(chǔ)上全面避免認(rèn)證節(jié)點(diǎn)堵塞的問(wèn)題，還可以有效優(yōu)化認(rèn)證過(guò)程的隱私性與效率。

1 SM9 算法概念解析

1.1 專業(yè)術(shù)語(yǔ)解析

SM9 算法是基于256 位BN 橢圓曲線的公鑰加密算法，盡管其相較于傳統(tǒng)的國(guó)家商用密鑰而言做出了一定的創(chuàng)新，但其本質(zhì)仍屬于IBE 機(jī)制[1]。本文所應(yīng)用到的SM9 算法相關(guān)專業(yè)術(shù)語(yǔ)如下。

1.1.1 標(biāo)識(shí)（Identify）

標(biāo)識(shí)是指在用戶實(shí)體無(wú)法否認(rèn)的身份信息，即身份認(rèn)證過(guò)程中唯一一個(gè)可以確定用戶實(shí)體的信息，具有唯一性與絕對(duì)性[2]。如身份證號(hào)、電子郵件地址等，通常情況下標(biāo)識(shí)會(huì)以ID 的縮寫形式出現(xiàn)，用戶x、用戶y 可以利用IDx、IDy的形式代替。

1.1.2 主密鑰（Master Key）

可以將其理解為標(biāo)識(shí)密鑰分層機(jī)構(gòu)中最重要、最頂層的密鑰，應(yīng)用中通常會(huì)分為主公鑰以及主私鑰2 個(gè)模塊。其中，主公鑰面向全部用戶，主私鑰則只需要由密鑰生成中心（Key General Center，簡(jiǎn)稱KGC）進(jìn)行單獨(dú)保存，以此維護(hù)其私密性，并且在后續(xù)的流程中，KGC 會(huì)根據(jù)用戶的標(biāo)識(shí)及主私鑰生成具有針對(duì)性的用戶密鑰（User Key）[3]。

1.2 公鑰加密方案解析

設(shè)定P1為橢圓曲線假發(fā)循環(huán)群G1的生成元，則P2為橢圓曲線加法循環(huán)群G2的生成元；H（·）代表Hash 函數(shù)；Enc（·）及Dec（·）依次對(duì)應(yīng)分組加密與分組解密的運(yùn)算模式；KDF（·）是密鑰推導(dǎo)過(guò)程中涉及的函數(shù)；MAC（·）是身份認(rèn)證過(guò)程中攜帶密鑰的認(rèn)證消息編碼；e（·）是雙線性對(duì)。綜上，基于本次研究的SM9 密鑰加密算法如下。

假設(shè)①與②分別為身份認(rèn)證流程中的信息發(fā)送者及信息接收者，則身份認(rèn)證過(guò)程中的加密流程如下。

首先是密鑰生成：KGC 產(chǎn)生的隨機(jī)數(shù)ke∈[1，N-1]作為加密主私鑰，計(jì)算Ppub-e=[ke]P1為加密主公鑰、（ke，Ppub-e）則為加密主密鑰對(duì)；

用戶②的標(biāo)識(shí)為ID②，則為用戶②所生成的加密私鑰為de②，KGC 在有限域FN上計(jì)算t1=H1（ID②，N）+ke，t2=，得到de②=[t2]P2；

其次是加密過(guò)程：為了加密消息明文M，①需要執(zhí)行以下步驟。

1）計(jì)算Q②=[H1（ID②＼＼h ID，N）]P1+Ppub-e；

2）選擇隨機(jī)數(shù)r∈[1，N-1]；

3）計(jì)算C1=[r]Q②，g=e（Ppub-e，P2），w=gr；

4）計(jì)算K=KDF（C1＼＼w＼＼ID②）；

5）按加密明文的分類方法進(jìn)行計(jì)算，在采用序列密碼方式加密的情況下，則計(jì)算C2=M+K；在采用分組密碼方式加密的情況下，則計(jì)算C2=Enc（K，M）；

6）計(jì)算C3=MAC（K，C2），得到密文為C=C1＼＼C2＼＼C3。

最后是解密過(guò)程：針對(duì)密文C=C1＼＼C2＼＼C3，②的解密過(guò)程如下。

1）計(jì)算w′=e（C1，de②）；

2）計(jì)算K′=KDF（C1＼＼w′＼＼ID②）；

3）按加密明文方法的不同進(jìn)行解密，在采用序列密碼方式加密的情況下，則計(jì)算M′=C2+K1；在采用分組密碼方式加密的情況下，則計(jì)算M′=Dec（K1′，C2）；

4）計(jì)算u=MAC（K2′，C2），假設(shè)u=C3，則輸出明文M′，否則報(bào)錯(cuò)。

1.3 SM9 數(shù)字簽名算法

設(shè)①與②分別對(duì)應(yīng)簽名方以及驗(yàn)證方，則基于SM9的數(shù)字簽名過(guò)程如下。

首先是密鑰生成：KGC 產(chǎn)生的隨機(jī)數(shù)ke∈[1，N-1]作為加秘主私鑰，計(jì)算Ppub-s=[ke]P1為加密主公鑰、（ke，Ppub-s）則為加密主密鑰對(duì)；

簽名方①的標(biāo)識(shí)為ID①，則為用戶②所生成的加密私鑰為de①，KGC 在有限域FN上計(jì)算t1=H1（ID②，N）+ke，，得到de①=[t2]P2。

其次是簽名過(guò)程：假設(shè)有待簽名的消息為A，則①的簽名過(guò)程如下。

1）計(jì)算g1=（Ppub-s，P2）；

2）選擇隨機(jī)數(shù)r∈[1，N-1]；

3）計(jì)算w=gr，h=H（M＼＼w，N），l=（r-h）modN；

4）計(jì)算S=[l]de①，則A 的簽名為（h，S）。

最后是驗(yàn)證過(guò)程：為驗(yàn)證消息M′的簽名（h′，S′），②需要執(zhí)行下述過(guò)程。

1）計(jì)算g1=（Ppub-s，P）2；

2）計(jì)算，h1=H（ID①，N）；

3）計(jì)算P=[h1]P1+Ppub-s，u=e（P，S′），w′=u·t；

4）計(jì)算h2=H（2M′＼＼w′，N），假設(shè)h2=h′，則簽名驗(yàn)證通過(guò)，反之失敗[4]。

2 基于SM9 算法的互聯(lián)網(wǎng)身份認(rèn)證實(shí)現(xiàn)

本文涉及的符號(hào)定義如圖1 所示。

2.1 參數(shù)初始化

由于本次技術(shù)方案重點(diǎn)采用了MS9 的公鑰計(jì)算模式，因此在完成初始化參數(shù)之前，需要確定基點(diǎn)P1∈G1，P2∈G2。將這一過(guò)程中IGC 所產(chǎn)生的隨機(jī)數(shù)集SkI∈[1，N-1]定義為私鑰，而后設(shè)GI中包含的元素PkI∈[SkI]PI為公鑰。由此，可以確定公私密鑰對(duì)為（SkI，PkI）[5]。后續(xù)過(guò)程中，IGC 會(huì)公開(kāi)PkI同時(shí)將SkI私鑰存儲(chǔ)于數(shù)據(jù)庫(kù)之中。

為保障能夠充分發(fā)揮SM9 算法的優(yōu)勢(shì)，IGC 應(yīng)該基于IdI生成與其相對(duì)應(yīng)的私鑰SkI，而后在有限域FN之上完成t1=H（IdI，N）+SkI及t2=SkI·t1-1modN的計(jì)算，最終得到SkI=[t2]P2。這一過(guò)程如圖2 所示，其中輸入為空，輸出為生成的公鑰PkI及公鑰的有效期限，同時(shí)對(duì)這一流程進(jìn)行簽名。參數(shù)初始化的流程形式如圖2 所示。

圖2 參數(shù)初始化的流程形式

2.2 生成用戶身份標(biāo)識(shí)

用戶Ui在完成注冊(cè)操作并認(rèn)證成功后，IGC 會(huì)為該用戶生成能代表其身份且具有唯一性的Idi及Ski分別作為該用戶的公鑰與私鑰[6]。同參數(shù)初始化過(guò)程一般，IGC 會(huì)在有限域FN之上完成t1=H（Idi，N）+Ski以及t2=Skiti-1modN的計(jì)算，進(jìn)而得到Ski=[t2]P2。為保障用戶的隱私性，這一過(guò)程將采用離線模式，因此可以并保障IGC 所反饋給用戶的信息不會(huì)泄露，同時(shí)還會(huì)將此作為身份認(rèn)證信息利用共識(shí)機(jī)制上傳于區(qū)塊鏈之中，以滿足用戶后續(xù)的登錄與驗(yàn)證行為[7]。

2.3 密鑰更新

在用戶有更新密鑰的需求時(shí)，用戶自身會(huì)充當(dāng)IGC 的角色進(jìn)行更新流程[8]。即用戶通過(guò)指定的操作在相關(guān)系統(tǒng)中選擇隨機(jī)數(shù)k∈[1，N-1]作為這次更新活動(dòng)的私鑰。而后系統(tǒng)會(huì)自動(dòng)計(jì)算G1中的元素Pki=[k]P1作為公鑰。并在有限域FN之上完成t1=H（IdI，N）+k以及t2=k·t1-1modN的計(jì)算，進(jìn)而得到Ski=[t2]P2。這一過(guò)程之后用戶的基礎(chǔ)身份信息不會(huì)發(fā)生改變，并且更新后的私鑰為Ski，其參數(shù)為Pki，流程如圖3 所示。這一流程中需要輸入索引以及Hash 值，并輸出密鑰更新后的參數(shù)Pki及密鑰的有效時(shí)間，進(jìn)一步利用未更新之前的密鑰對(duì)這一流程進(jìn)行簽名[9]。

圖3 用戶密鑰更新形式

2.4 密鑰更換

身份認(rèn)證過(guò)程中存在因用戶自身遺忘、泄漏密鑰進(jìn)而導(dǎo)致其無(wú)法更新密鑰的情況。因此需要向IGC 主動(dòng)發(fā)出更換密鑰的申請(qǐng)，該過(guò)程與用戶身份標(biāo)識(shí)的過(guò)程存在相似性[10]。用戶的身份標(biāo)識(shí)保持不變，在IGC 接收到用戶的更換密鑰申請(qǐng)后，其會(huì)在有限域FN之上完成t1=H（IdI，N）+Ski以及t2=Skit1-1modN的計(jì)算，進(jìn)而得到Ski=[t2]P2。具體流程如圖4 所示。

圖4 用戶密鑰更換形式

2.5 身份信息更換

在用戶需要更換其自身的身份標(biāo)識(shí)以更好地進(jìn)行身份認(rèn)證活動(dòng)時(shí)，也同樣需要向IGC 發(fā)出更換身份信息的申請(qǐng)。IGC 在接收申請(qǐng)后，會(huì)結(jié)合用戶的需求為其重新生成一份具有唯一標(biāo)識(shí)的身份標(biāo)識(shí)符以及Ski作為其公鑰與私鑰。首先需要輸入索引及Hash 值，用以在用戶正式更換身份標(biāo)識(shí)之前明確相關(guān)參數(shù)所在的位置，而后結(jié)合用戶需求輸出身份標(biāo)識(shí)以及參數(shù)、有效期限等，最后對(duì)本流程進(jìn)行簽名。如若用戶想要注銷其身份信息，只需要將輸出區(qū)域設(shè)置為空白即可，如圖5 所示。

圖5 用戶注銷身份信息形式

3 安全性及效率分析

首先，對(duì)用戶口令安全方面進(jìn)行分析。該技術(shù)方案中用戶在不同服務(wù)器上進(jìn)行身份認(rèn)證的情況下，需要使用相同的口令以及不同的隨機(jī)數(shù)，進(jìn)一步利用該過(guò)程中所生成的Hash 值進(jìn)行身份認(rèn)證，因此相關(guān)用戶在不同服務(wù)器系統(tǒng)中只需要記住統(tǒng)一的口令便可完成身份證操作。在有重新注冊(cè)、更換終端設(shè)備等需求的情況下，只需使用統(tǒng)一的口令，便可對(duì)所有系統(tǒng)進(jìn)行更新處理。

其次，對(duì)用戶丟失終端的安全隱患進(jìn)行分析。本技術(shù)方案中儲(chǔ)存在用戶終端設(shè)備上的隨機(jī)數(shù)、私鑰等信息都是經(jīng)過(guò)特殊加密處理后的數(shù)據(jù)。假設(shè)存在用戶終端設(shè)備丟失的情況，只要其他人無(wú)法提供正確的口令，便無(wú)法破解終端上所儲(chǔ)存的用戶私密信息。因此，即使在用戶終端設(shè)備丟失的情況下，該技術(shù)方案仍可抵御口令猜測(cè)攻擊、信息遺失等安全隱患，全面保護(hù)用戶身份認(rèn)證過(guò)程的安全性與隱私性。

最后，是他人仿冒用戶身份進(jìn)行認(rèn)證方面的安全性分析。該技術(shù)方案中所發(fā)起的身份認(rèn)證申請(qǐng)過(guò)程中的所有信息都是經(jīng)過(guò)發(fā)起方數(shù)字簽名及接收方公鑰加密的，因此，不存在他人利用仿冒用戶身份標(biāo)識(shí)的情況完成身份認(rèn)證。如果存在用戶終端設(shè)備丟失，且他人仿冒用戶身份進(jìn)行驗(yàn)證的情況，只要他人在規(guī)定次數(shù)內(nèi)沒(méi)有輸入正確的口令，該系統(tǒng)設(shè)備便會(huì)自動(dòng)鎖定相關(guān)程序應(yīng)用，因此，他人無(wú)法仿冒用戶的真實(shí)身份進(jìn)行認(rèn)證。同時(shí)，如上文所述，該技術(shù)方案存在一定的錯(cuò)誤預(yù)設(shè)次數(shù)，這為用戶的身份認(rèn)證過(guò)程提供了一定的容錯(cuò)率，即使用戶存在遺忘相關(guān)信息的情況，只要用戶能夠在規(guī)定的次數(shù)輸入正確的口令，便能夠完成身份認(rèn)證。

4 結(jié)束語(yǔ)

綜上所述，本次研究基于SM9 算法，進(jìn)一步利用了區(qū)塊鏈技術(shù)的優(yōu)勢(shì)，整理出了一種更具隱私性與效率性的互聯(lián)網(wǎng)身份認(rèn)證技術(shù)方案以及其配套的密鑰管理方案，重點(diǎn)解決了既有SM9 算法中密鑰更新的困境。采用本技術(shù)方案進(jìn)行互聯(lián)網(wǎng)身份認(rèn)證的過(guò)程中，用戶僅僅需要在首次注冊(cè)后有第三方可信任IGC 為其生成獨(dú)有的身份認(rèn)證標(biāo)識(shí)以及密鑰，在后續(xù)的過(guò)程中便可以完全由用戶自行操作，不會(huì)過(guò)度依賴IGC。并且后續(xù)過(guò)程中用戶的交易形式、交流內(nèi)容等都會(huì)儲(chǔ)存于區(qū)塊鏈之上，利用共識(shí)機(jī)制保障相關(guān)數(shù)據(jù)的安全性與真實(shí)可信性。此次提出的身份認(rèn)證方案基本框架具有一定的推廣與深入研究?jī)r(jià)值，未來(lái)可進(jìn)一步加深研究，從而實(shí)現(xiàn)其在更廣泛場(chǎng)景中的應(yīng)用。