可认证无证书密钥协商协议研究与改进

文章信息

李娜, 董云卫, 车天伟, 张玉臣

LI Na, DONG Yunwei, CHE Tianwei, ZHANG Yuchen

可认证无证书密钥协商协议研究与改进

Research and improvement on certificateless authenticated key agreement

武汉大学学报 (工学版), 2017, 50(1): 146-149

Engineering Journal of Wuhan University, 2017, 50(1): 146-149

http://dx.doi.org/10.14188/j.1671-8844.2017-01-022

文章历史

收稿日期: 2016-06-16

Abstract

PDF

Figures

Tables

引用本文

李娜, 董云卫, 车天伟, 张玉臣. 可认证无证书密钥协商协议研究与改进[J]. 武汉大学学报(工学版), 2017, 50(1): 146-149. 复制到剪切板

LI Na, DONG Yunwei, CHE Tianwei, ZHANG Yuchen. Research and improvement on certificateless authenticated key agreement[J]. Engineering Journal of Wuhan University, 2017, 50(1): 146-149. 复制到剪切板

可认证无证书密钥协商协议研究与改进

李娜¹, 董云卫¹, 车天伟^2,3, 张玉臣⁴

1. 西北工业大学计算机学院，陕西西安 710129;
2. 西安电子科技大学计算机学院，陕西西安 710071;
3. 北京建投科信科技发展有限公司，北京 100055;
4. 解放军信息工程大学，河南郑州 450001

收稿日期：2016-06-16

作者简介：李娜 (1972-)，女，博士研究生，主要从事软件工程研究，E-mail: tao_lina@163.com.

通讯作者：董云卫 (1968-)，男，教授，博士生导师，主要从事嵌入式系统、软件工程、可信软件设计与验证研究，E-mail: yunweidong@nwpu.edu.cn

基金项目：国家高技术研究发展计划 (863)(编号：2011AA010105)；上海市高可信计算重点实验室开放课题 (编号：07dz22304201304).

摘要：常用的基于证书的认证密钥协商协议，在管理和维护证书方面占用较多的资源.在无证书的密钥协商协议的基础之上，综合密钥安全和性能方面的考虑，从可认证密钥协商形式化安全模型分析入手，提出了一种增强的可认证无证书的密钥协商安全模型，给出了可认证无证书密钥协商协议CL-AKA，并从系统建立、用户密钥生成和密钥协商3个方面进行了描述和安全性分析.结果表明，该协议安全性高，与同类协议相比具有性能上的优势.

关键词：双线性对可认证密钥协商

Research and improvement on certificateless authenticated key agreement

LI Na¹, DONG Yunwei¹, CHE Tianwei^2,3, ZHANG Yuchen⁴

1. School of Computer Science, Northwestern Polytechnical University, Xi'an 710129, China;
2. School of Computer Science and Technology, Xidian University, Xi'an 710071, China;
3. Beijing Jianyin Investment Technology Development Co., Ltd, Beijing 100055, China;
4. PLA Information Engineering University, Zhengzhou 450001, China

Abstract: Commonly used the authenticated key agreement protocols based certificate have taken up too much system resources in managing and maintaining certificates. In this paper on the basis of certificateless authenticated key agreement, considering a combination of key security and performance to analyze firstly from the formal security model of the authentication key agreement and then a new enhanced certificateless authenticated security key agreement model and key agreement (CL-AKA) are proposed.Three aspects including initializing system, user key building, and key agreement are depicted in detail; and safety analysis are conducted. The results show that the protocol is highly secure and has advantages over the performance of the similar agreement protocols.

Key words: bilinear pair authenticated key agreement

一般而言，通过对开放信道传输的信息进行加密来确保节点间的通信安全，最简单的办法是采用对称加密技术建立安全通道，前提是节点双方需共享会话密钥，而通过协商的方式建立节点间的共享密钥一直以来受到人们青睐.

最著名的密钥协商协议是Diffie等在文献[1]中提出的，称为Diffie-Hellman协议，由于没有对通信双方的身份进行认证，该协议易遭受中间人攻击.为此，文献[2, 3]提出了基于证书的认证密钥协商协议，但管理和维护证书需占用较多的系统资源.2001年，文献[4]提出了一个基于身份的可认证密钥协商协议，拉开了基于身份密钥协商协议^[5-10]研究的序幕.

2003年，Al-Riyami等在文献[11]中给出了一种无证书的密钥协商协议，简称AP协议.自此，可认证的无证书密钥协商协议引起人们的兴趣.出于安全方面的考虑，Georg Lippold等提出了一种可证明安全的无证书认证密钥协商协议^[12].

本文充分考虑节点间密钥协商的安全性和适用性^[13]，研究提出了一种可认证的无证书密钥协商模型ECL-AKA (Enhanced Certificateless Authenticated Key Agreement)，基于该模型，设计了一种增强的可认证无证书密钥协商协议CL-AKA (Certificateless Authenticated Key Agreement)，并对协议进行了安全分析和性能分析.

1 ECL-AKA安全模型 1.1 双线性对

定义1 设G₁是阶为q的加法群，G₂是阶为q的乘法群，存在满足下面条件的双线性映射:G₁×G₁→G₂称为一双线性对.

1) 双线性性：对于任意P, Q∈G₁，a, b∈Z_q^*，有

2) 非退化性：存在P, Q∈G₁，满足(P, Q)≠1_G₂(1_G₂是G₂的单位元).

3) 可计算性：对于任意P, Q∈G₁，存在有效算法能够计算 (P, Q).

1.2 安全模型

Al-Riyami等定义的安全模型CL-PKE^[11]中设定了2类攻击者A_Ⅰ和A_Ⅱ.第1类攻击者A_Ⅰ能够申请并替换用户的公钥，但不能访问系统主密钥s；第2类攻击者A_Ⅱ知道系统的主密钥s，但不能变更用户的公钥.对于无证书的可认证密钥协商安全模型中，引入上述2类攻击者，参照BR模型^[14]，定义增强的安全模型ECL-AKA，该模型中攻击者能够进行如下询问.

1) Create (ID_i)：允许攻击者m建立一个新的参与者ID_i.

2) Corrupt Secret (ID_i)：参与者i反馈它的秘密值x_i.

3) Corrupt Partial (ID_i)：参与者i反馈它的部分私钥值d_i.

4) Corrupt Full (ID_i)：参与者i反馈它的完整私钥值sk_i.

5) Send (Π_{i, j}^s, x)：Π_{i, j}^s执行Π(1^k, i, j, K_i, conv_{i, j}^s, r_{i, j}^s, x)=(m, δ_{i, j}^s, σ_{i, j}^s)，输出m和δ_{i, j}^s.如果x=λ，则参与者i是这次交互的发起者，可以模仿攻击者的冒充能力.

6) Reveal (Π_{i, j}^s)：Π_{i, j}^s执行Π(1^k, i, j, K_i, conv_{i, j}^s, r_{i, j}^s, x)=(m, δ_{i, j}^s, σ_{i, j}^s)，输出σ_{i, j}^s可以模仿参与者i和j之间会话密钥的泄漏.

7) Replace (ID_i, pk′ _i)：参与者i用pk′ _i替换它的公钥pk_i，攻击者可以随机选择一个公钥值替代参与者的公钥.

8) Test (Π_{i, j}^s)：Π_{i, j}^s充当挑战者随机选取b∈{0, 1}.如果b=0，Π_{i, j}^s返回这次会话s的协商密钥σ_{i, j}^s；否则Π_{i, j}^s返回σ_{i, j}^s分布特性的一个随机值.

可以看出，攻击者A_Ⅰ可以对它选取的参与者进行的询问包括：Create (ID_i)、Corrupt Secret (ID_i)、Corrupt Partial (ID_i)、Corrupt Full (ID_i)、Send (Π_{i, j}^s, x)、Reveal (Π_{i, j}^s) 和Replace (ID_i, pk′ _i) 询问.如果A_Ⅰ置换了一个参与者的公钥，就不允许获取参与者对应的私钥.另外，A_Ⅰ不能既替换参与者的公钥，又可以访问参与者的部分私钥.

由于攻击者A_Ⅱ拥有系统的主密钥，可以计算出参与者的部分私钥，又具备替换参与者的公钥的权限，所以A_Ⅱ能够进行如下的询问：Create (ID_i)、Send (Π_{i, j}^s, x)、Reveal (Π_{i, j}^s)、Corrupt Secret (ID_i) 和Corrupt Full (ID_i).

假定对CL-AKA协议的攻击按照如下规则进行：攻击者A_Ⅰ和第2类攻击者A_Ⅱ可以进行如下形式的询问：Create (ID_i)、Corrupt Secret (ID_i)、Corrupt Partial (ID_i)、Corrupt Full (ID_i)、Send (Π_{i, j}^s, x)、Reveal (Π_{i, j}^s) 和Replace (ID_i, pk′_i).攻击者A选择一个新鲜的预言机Π_{i, j}^s，在某个时刻进行Test (Π_{i, j}^s) 询问，结束一系列攻击后，输出对b的猜测.攻击者A判断会话密钥和随机数的优势定义如下：

定义2 一个可认证无证书密钥协商协议CL-AKA是安全的，若满足：

1) 对于被动攻击，预言机Π_{i, j}^s与Π_{j, i}^t总是拥有一样的共享密钥，且该密钥均匀分布在目标空间.

2) 对于恶意攻击，预言机Π_{i, j}^s与Π_{j, i}^t，它们拥有相同的共享密钥，则Adv_A^CL-AKA(k) 是可以忽略的.

2 一种新的CL-AKA协议

根据上述的ECL-AKA安全模型，提出一种新的、安全的无证书可认证密钥协商协议CL-AKA.

2.1 系统建立

密钥生成中心KGC选择安全参数1^k，确定系统主密钥s∈_RZ_q^*和系统参数：

式中：G₁是q阶加法循环群；G₂是q阶乘法循环群；e:G₁×G₁→G₂是一个双线性配对函数；P是G₁的生成元；P₀=sP是系统公钥；H₁:{0, 1}^*→G₁^*是一个单项抗碰撞函数，将任意长度的字符串映射到G₁上的点；H₂:G₂×G₁×G₁×G₁×G₁×G₁→Z_q^*是一个单项抗碰撞函数，生成会话密钥；H₃:{0, 1}^*→Z_q^*.

KGC公开系统参数Params.

2.2 用户密钥生成

节点v_i运行秘密值设定算法，输入系统参数Params和自己的身份ID_i∈{0, 1}^*，输出秘密值x_i.

节点v_i运行公钥设定算法，输入系统参数Params和秘密值x_i，输出公钥pk_i= < X_i, Y_i>，其中X_i=x_iP，Y_i=x_iP₀.

节点v_i根据KGC计算的部分私钥d_i=sQ_i，其中Q_i=H₁(ID_i||pk_i)，运行私钥设定算法，输入系统参数Params、秘密值x_i和部分私钥d_i，输出私钥sk_i=x_id_i.

值得一提的是节点v_i获取KGC计算的部分私钥d_i后，可通过e(d_i, P)=e(H₁(ID_i||pk_i), P₀) 来验证d_i的正确性.

2.3 密钥协商

假设A和B是2个通信节点，通过上述过程生成自己的公私钥对.

A的私钥sk_A=x_Ad_A，公钥pk_A= < X_A, Y_A>= < x_AP, x_AP₀>，x_A为用户A的秘密值，d_A为用户A的部分私钥.

B的私钥sk_B=x_Bd_B，公钥pk_B= < X_B, Y_B>= < x_BP, x_BP₀>，x_B为用户B的秘密值，d_B为用户B的部分私钥.

A和B协商密钥的过程如下：

1) A随机选择临时密钥a，计算W_A=aQ_A，T_A=aP，h_A=H₃(T_A||Q_A)，s_A=a/(x_A+h_A)，生成签名 (h_A, s_A)，向用户B发送一个五元组 (W_A, T_A, pk_A, h_A, s_A).

2) B收到 (W_A, T_A, pk_A, h_A, s_A) 后，计算P_A=X_A+h_AP，T′_A=s_A(X_A+h_AP).若H₃(T′_A||Q_A)=h_A，B通过了对A的身份验证，否则结束对话.

3) B随机选择临时密钥b，计算W_B=bQ_B，T_B=bP，h_B=H₃(T_B||Q_B)，s_B=b/(x_B+h_B)，生成签名 (h_B, s_B)，向用户A发送一个五元组 (W_B, T_B, pk_B, h_B, s_B).

4) A收到 (W_B, T_B, pk_B, h_B, s_B) 后，计算P_B=X_B+h_BP，T′ _B=s_B(X_B+h_BP).若H₃(T′ _B||Q_B)=h_B，A通过了对B的身份验证，否则结束对话.

5) A计算K_A=e(d_A, W_B+aQ_B)，会话密钥K_AB=H₂(K_A, aT_B, x_Apk_B, Q_A, Q_B).

6) B计算K_B=e(d_B, W_A+bQ_A)，会话密钥K_BA=H₂(K_B, bT_A, x_Bpk_A, Q_A, Q_B).

7) A选取一时间戳t_A，用K_AB进行加密，发送[t_A]_KAB给B.

8) B用K_BA解密[t_A]_KAB，计算t′_A=t_A+1，发送[t′_A]_{K_BA}给A.

9) A用K_AB解密[t′_A]_KBA, 若t′_A=t_A+1，结束对话.

可以验证A和B生成的会话密钥是一致的, 因为:

所以:

用户A、B协商的密钥：

3 协议分析 3.1 安全分析

可认证密钥协商协议一般应具有身份认证、已知会话密钥安全、会话密钥前向安全、抗密钥泄漏伪装攻击、抗未知会话密钥共享、会话密钥确认功能和密钥协商的不可控等安全属性.所提协议的安全属性分析如下.

1) 身份认证

节点用户的密钥协商通过以下方式进行身份确认，用户A生成签名 (h_A, s_A)，其中h_A=H₃(T_A||Q_A)，s_A=a/(x_A+h_A)，而T_A=aP；用户B收到A的签名 (h_A, s_A) 后，计算P_A=X_A+h_AP，T′ _A=s_A(X_A+h_AP)，若H₃(T′ _A||Q_A)=h_A，B通过对A的身份验证，否则结束对话.反过来，用户A用同样的方式对用户B进行身份验证.因此协议实现了用户双方相互认证.

2) 已知会话密钥安全

用户A随机选择临时密钥a，计算W_A=aQ_A，T_A=aP；B随机选择临时密钥b，计算W_B=bQ_B，T_B=bP.

用户A、B协商的密钥为：K_AB=K_BA=H₂(e(Q_A, Q_B)^s(a+b), abP, x_Ax_BP, x_Ax_BP₀, Q_A, Q_B).其中的e(Q_A, Q_B)^s(a+b)和aT_B的值由临时密钥a, b决定.

协议每次执行的临时密钥是不同的，从而生成的会话密钥也不同，因此一次会话密钥的泄漏不会导致其他次会话密钥的泄漏.协议具有已知会话密钥安全.

3) 会话密钥前向安全

假设攻击者A知道了用户A的秘密值x_A和部分私钥d_A，知道了用户B的秘密值x_B和部分私钥d_B，另外它也获取了系统私钥s.对于会话密钥:

攻击者能够计算x_Ax_BP、x_Ax_BP₀，因为Q_A和Q_B已知，所以e(Q_A, Q_B)^s可解.令e(Q_A, Q_B)=g，对于g^a+b=g^ag^b和aT_B=abP，a和b是用户A、B临时密钥，且一次一密.

所以，协议具有完美前向安全性，即便A和B的长期私钥均被泄漏了，也无法推导出以前产生的会话密钥.

4) 抗密钥泄漏伪装攻击

攻击者A获取了用户A的秘密值x_A和部分私钥d_A，它可以计算用户A的私钥sk_A=x_Ad_A，进而可以冒充用户A同其他用户协商密钥.假设攻击者A想冒充用户B同用户A建立会话密钥，计算h_B=H₃(T_B||Q_B)，s_B=b/(x_A+h_B)，而T_B=bP；用户A收到B的签名 (h_B, s_B) 后，计算P_B=X_B+h_BP，T′ _B=s_B(X_B+h_BP)，显然H₃(T′ _B||Q_B)≠h_B，A未通过对B(A冒充) 的身份验证.因此，协议可以抵抗密钥泄漏伪装攻击.

5) 抗未知会话密钥共享

假设A与B正常运行协议建立了会话密钥：

因为e(Q_A, Q_B)≠e(Q_A, Q_C)，Q_B≠Q_C，所以A可以确认K_AB只能是A和B建立的会话密钥，不可能是A和C建立的会话密钥.

6) 会话密钥确认

A和B分别计算会话密钥K_AB和K_BA，然后A选取一时间戳t_A，用K_AB进行加密，发送[t_A]_{K_AB}给B，B用K_{B A}解密[t_A]_{K_AB}，计算T′ _A=t_A+1，发送[T′_A]_{K_BA}给A，最后A用K_AB解密[T′_A]_{K_BA}, 若T′_A=t_A+1，则A和B确信相互都已经共享了会话密钥.

7) 密钥协商的不可控

从协议的过程可以看出，共享密钥K_AB的协商对A和B机会均等，K_AB不是任何一方预先选定的值，所以协议不受任何单独一方的控制.

3.2 性能分析

通过与文献[5]提出的CK协议和文献[12-14]提出的AP协议对比可知，所提协议具有性能上的优势.

双线性对运算相对指数运算和点乘运算比较慢，消耗计算资源较多，对协议性能影响比较大.CK协议双方各自进行1次双线性对运算，分别计算部分会话密钥K_AB=e(s_A, aQ_B+T_B) 和K_BA=e(s_B, bQ_A+T_A)；AP协议协议双方各自进行2次双线性对运算，分别计算部分会话密钥K_A→B=e(Q_B, Y_B)^ae(sk_A, T_B) 和K_B→A=e(Q_A, Y_A)^be(sk_B, T_A)；所提协议同CK协议一样，通信双方各自进行1次双线性对运算，分别计算部分会话密钥K_A=e(d_A, W_B+aQ_B) 和K_B=e(d_B, W_A+bQ_A).

所提协议与CK协议和AP协议相关性能比较如表 1所示.

表 1 所提协议与CK协议、AP协议性能比较 Table 1 Performance of CK、AP and proposed

属性	所提协议	CK协议	AP协议
协商通信轮数	2	2	2
点乘运算	4	6	4
双线性配对运算	2	2	4
Hash运算	3	3	3

表选项

4 结语

无证书可认证密钥协商协议，既无证书管理问题，也无密钥托管问题.本文基于BR模型和无证书公钥密码体制，提出了一种安全增强的密钥协商模型ECL-AKA，给出了一种新的无证书可认证密钥协商协议CL-AKA.分析表明，该协议符合密钥协商的安全性要求，同时具有同类协议性能上的优势.下一步将重点关注协议的具体实现.

参考文献

[1]	Diffie W, Hellman M E. New directions in cryptography[J]. IEEE Transactions on Information Theory, 1976, 22(6): 644–654. DOI:10.1109/TIT.1976.1055638

[2]	Lee C, Lim J, Kim J. An efficient and secure key agreement[EB/OL]: Citeseer, 2012.

[3]	Ma X Y, Li Y, Chen Q B. A new key agreement protocol for mobile Ad Hoc networks[J]. Computer Applications, 2003, 24(1): 82–83.

[4]	Boneh D, Franklin M. Identity-based encryption from the weil pairing[J]. Lecture Notes in Computer Science, 2001: 213–229.

[5]	Lei Zhang, Wu Qianhong. Provably secure certificateless authenticated asymmetric group key agreement[J]. Information Security Practice and Experience Lecture Notes in Computer Science, 2014, 8434: 496–510. DOI:10.1007/978-3-319-06320-1

[6]	Yu Qihong, Li Jiguo. Leakage-resilient certificateless-based authenticated key exchange protocol[J]. Application Research of Computers, 2014, 31(12): 3726.

[7]	Cramer R, Shoup V. A practical public key cryptosystem provably secure against adaptive chosen ciphertext attack[J]. Lecture Notes in Computer Science, 1998, 1462: 13–25. DOI:10.1007/BFb0055715

[8]	Waters B. Efficient identity-based encryption without random oracles[J]. Lecture Notes in Computer Science, 2005, 3494: 114–127. DOI:10.1007/b136415

[9]	Boneh D, Boyen X. Secure identity based encryption without random oracles[J]. Lecture Notes in Computer Science, 2004, 3152: 197–206.

[10]	张玉臣, 王亚弟, 刘璟, 等. Ad Hoc网络环境下分布式密钥管理[J]. 武汉大学学报:理学版, 2009, 55(1): 85–88. Zhang Yuchen, Wang Yadi, Liu Jin, et al. Distributed key management for mobile ad hoc network[J]. Journal of Wuhan University (Natural Science Edition), 2009, 55(1): 85–88.

[11]	Al-Riyami S S, Paterson K G. Certificateless public key cryptography[J]. Lecture Notes in Computer Science, 2003, 2894: 452–473. DOI:10.1007/b94617

[12]	Lippold G, Boyd C, Nieto J G. Strongly secure certificateless key agreement[J]. Lecture Notes in Computer Science, 2009, 5671: 206–230. DOI:10.1007/978-3-642-03298-1

[13]	张玉臣, 王亚弟, 韩继红, 等. 自组网环境下基于组合公钥的分布式密钥管理[J]. 计算机科学, 2011(10): 75–78. Zhang Yuchen, Wang Yadi, Han Jihong, et al. Distributed key management for ad-hoc network based on CPK[J]. Computer Science, 2011(10): 75–78.

[14]	Wu C, Chen Z. A new efficient certificateless signcryption scheme[C]//Proceedings of Internation Symposium on Information Science and Engineering, 2008:661-664.