基于移動網(wǎng)絡(luò)的端到端密鑰協(xié)商協(xié)議

徐 平，張方舟，張曉宇，馬西保

（東北石油大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院，黑龍江大慶 163318）

基于移動網(wǎng)絡(luò)的端到端密鑰協(xié)商協(xié)議

徐 平，張方舟，張曉宇，馬西保

（東北石油大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院，黑龍江大慶 163318）

雖然3G網(wǎng)絡(luò)的安全機(jī)制擴(kuò)展到核心網(wǎng)絡(luò)，但是并沒有實(shí)現(xiàn)端到端安全.基于自生成證書公鑰密碼體制，設(shè)計(jì)一種端到端密鑰協(xié)商協(xié)議，只需要一個(gè)消息交換就可以建立安全的三方會話密鑰.安全性分析結(jié)果表明：基于移動網(wǎng)絡(luò)的端到端密鑰協(xié)商協(xié)議能夠解決密鑰管理及第三方無舉證竊聽，與其他密鑰協(xié)商協(xié)議相比，具有較好的安全性，為端到端加密在移動通信系統(tǒng)中的大規(guī)模應(yīng)用提供基礎(chǔ).

密鑰協(xié)商協(xié)議；公共移動網(wǎng)絡(luò)；端到端；自生成證書；3G網(wǎng)絡(luò)；安全機(jī)制

DOI 10.3969／j.issn.2095－4107.2012.04.014

0 引言

隨著計(jì)算機(jī)和通信等信息技術(shù)的發(fā)展，以3G為代表的移動通信系統(tǒng)網(wǎng)絡(luò)取得廣泛應(yīng)用.基于移動網(wǎng)絡(luò)的應(yīng)用也取得成果，如移動辦公、移動政務(wù)和電子商務(wù)等，人們在享受移動網(wǎng)絡(luò)帶來的快速便捷生活時(shí)，也面臨重大的安全威脅問題.基于移動網(wǎng)絡(luò)的應(yīng)用也存在與有線網(wǎng)絡(luò)類似的威脅問題，如信息竊聽、信息截取、信息破壞和信息篡改等.與2G網(wǎng)絡(luò)的安全機(jī)制相比，3G網(wǎng)絡(luò)提出3G網(wǎng)絡(luò)安全體系結(jié)構(gòu)和安全措施，需要研究認(rèn)證算法、密鑰協(xié)商協(xié)議、加密算法到完整性算法等，以保障移動網(wǎng)絡(luò)的安全.由于移動網(wǎng)絡(luò)具有空中接口開放性的特點(diǎn)，很難滿足人們對移動網(wǎng)絡(luò)高安全性的要求.

密鑰協(xié)商作為移動網(wǎng)絡(luò)信息安全的重要研究方向，是在以3G為代表的移動通信系統(tǒng)中兩個(gè)或者多個(gè)參與主體在一個(gè)不安全和公開的信道上進(jìn)行聯(lián)合協(xié)商，從而建立一個(gè)參與主體者之間共享的會話密鑰，以實(shí)現(xiàn)通信主體間的安全通信.安全的密鑰協(xié)商協(xié)議是建立在復(fù)雜的高層協(xié)議基礎(chǔ)上.

自Diffie W等［1］在1976年提出密鑰協(xié)商概念以來，密鑰協(xié)商協(xié)議得到較為深入的研究.在Diffie－Hellman協(xié)議中，由于通信雙方?jīng)]有對身份進(jìn)行認(rèn)證，因此很容易受到中間人的攻擊.Al－Riyami S S等［2］提出無證書公鑰的概念以及基于數(shù)字證書的可認(rèn)證三方密鑰協(xié)商協(xié)議，它既沒有密鑰托管問題，也不需要證書，但Shim K［3］認(rèn)為該協(xié)議不能抵抗已知會話攻擊和密鑰泄露攻擊.筆者以無證書公鑰密鑰學(xué)［4］為基礎(chǔ)，根據(jù)MandttK［5］的兩方密鑰協(xié)商協(xié)議，基于移動網(wǎng)絡(luò)的應(yīng)用層，研究基于移動網(wǎng)絡(luò)的端到端的密鑰協(xié)商協(xié)議，保障端到端安全；基于自生成證書公鑰密碼體制，設(shè)計(jì)一種端到端密鑰協(xié)商協(xié)議.

1 密鑰協(xié)商技術(shù)

1.1 數(shù)學(xué)基礎(chǔ)

1.1.1 離散對數(shù)

定義q為一個(gè)大素?cái)?shù)，G1是階為q的加法循環(huán)群.G1中的元素R和Q滿足Q＝nR（n∈Z＊q）的整數(shù)，求n［6］.

1.1.2 橢圓曲線雙線性映射

定義q是一個(gè)大素?cái)?shù)，G1是階為q的加法群，G2是階為q的乘法群.雙線性映射［6］e：G1×G1→G2滿足關(guān)系：

（1）雙線性.對任意的P，Q，R∈G1，滿足：e（P＋Q，R）＝e（P，R）·e（Q，R），e（P，R＋Q）＝e（P，R）·e（P，Q），所以e（nP，Q）＝e（P，nQ）＝e（P，Q）n.

（2）非退化性.對任意的P，Q∈G1，存在e（P，Q）≠1.

（3）可計(jì)算性.對任意的P，Q∈G1，存在一個(gè)有效算法計(jì)算e（P，Q）.

1.1.3 假設(shè)

（1）計(jì)算性DH問題（CDHP）［7］.定義P是G1的生成元，G1是階為q的加法循環(huán)群.a，b∈Z＊q，a，b未知，若aP，bP∈G1，則計(jì)算（ab）P是困難的.

（2）雙線性DH問題（BDHP）［7］.定義P為G1的生成元.若aP，bP，cP∈G1，其中a，b，c∈Z＊q，則計(jì)算e（P，P）abc是困難的.

1.2 安全性質(zhì)

文獻(xiàn)［6，8］給出密鑰協(xié)商的安全性質(zhì)：

（1）已知密鑰安全性.兩個(gè)用戶每次協(xié)商的會話密鑰應(yīng)是獨(dú)一無二的，并且它的安全性不會受到泄漏的影響.

（2）抗密鑰泄漏偽裝攻擊.攻擊者得到某個(gè)用戶A的私鑰后，不能使攻擊者冒充為其他用戶和用戶A進(jìn)行通信.

（3）完美的前向安全性.在會話密鑰協(xié)商中，通信方會話密鑰的安全性不會受到之后長期私鑰泄漏的影響.

（4）抗未知密鑰共享.當(dāng)一個(gè)會話密鑰是A用戶與B用戶經(jīng)共同協(xié)商生成時(shí)，其中任一用戶都不會錯(cuò)誤地認(rèn)為此密鑰是由另一用戶共享而來的.

（5）無密鑰控制性.當(dāng)用戶參與密鑰協(xié)商生成會話密鑰時(shí)，無論是誰都不能任意設(shè)置會話密鑰的值，即便是預(yù)先設(shè)定值也不行.

（6）抗臨時(shí)密鑰泄漏攻擊.在某次密鑰協(xié)商過程中，攻擊者獲得臨時(shí)私鑰，但它無法計(jì)算出本次的會話密鑰.

1.3 公鑰密碼體制

Diffie W和Hellman M提出的公鑰密碼體制是密碼體制里重要研究成果［8］.為解決中間人攻擊和重放攻擊，提出基于身份的公鑰密碼體制IBC［7－9］（Identify－based Cryptography），基于身份的公鑰密碼體制中的公鑰部分不是由密鑰生成中心KGC產(chǎn)生，而是通信方的的屬性串（可以唯一確定通信方身份的標(biāo)識），如家庭住址和電子郵箱等信息.通信方進(jìn)行通信時(shí)，只要知道對方的屬性串就可以進(jìn)行通信，弱化密鑰生成中心的功能.在基于身份的公鑰密碼體制中，KGC知道所有通信方的私鑰，KGC可以冒充某通信方與其他通信用戶進(jìn)行通信，造成密鑰托管問題.

為了解決密鑰托管問題，人們在基于身份的密碼體制基礎(chǔ)上進(jìn)行改進(jìn)，提出無證書的公鑰加密體制CL－PKC［4－6，10］（Certificateless Public Key Cryptography）.這種公鑰密碼體制中通信方的私鑰并不是完全由密鑰生成中心KGC生成，而是由通信方與KGC共同生成.

基于無證書的公鑰密鑰體制會發(fā)生拒絕解密DoD（Denial of Decryption）攻擊［11］，也可以說是拒絕服務(wù)DoS（Denial of Service）攻擊，從而影響通信方之間正常的信息傳輸.基于無證書的公鑰密碼體制有對手I（AdersaryⅠ）和對手Ⅱ（AdersaryⅡ）假設(shè)［4－5］.對手Ⅰ（AdersaryⅠ）不知道KGC的主密鑰（master key），但是它可以替換所有用戶的公鑰（public key）.當(dāng)用戶A與用戶B進(jìn)行通信時(shí)，攻擊者替換用戶A的公鑰，造成B無法解密A傳遞過來的信息，使得用戶B無法得到正確的通信消息，造成DoD攻擊.另外，在基于無證書的公鑰密鑰體制中，還存在身份確認(rèn)缺陷［11］.用戶A需要確認(rèn)B的身份，他們之間才能正確進(jìn)行通信，在基于無證書的公鑰體制中，由于沒有用戶的公鑰證書，而且用戶的公鑰是由用戶自己生成的，因此沒有可信的第三方對用戶的身份進(jìn)行認(rèn)證.如果用戶A無法對B的身份進(jìn)行確認(rèn)時(shí)，則無法進(jìn)行正常通信.

2 基于自生成證書的端到端協(xié)議

結(jié)合無證書的公鑰體制和傳統(tǒng)的公鑰密碼體制的的特點(diǎn)，人們提出基于自生成證書的公鑰密碼體制［11－13］.自生成證書的公鑰密碼系統(tǒng)既保留無證的書公鑰密碼體制的優(yōu)點(diǎn)，又具有傳統(tǒng)的公鑰密碼體制證書的特性，能夠克服拒絕解密DoD（Denial of Decryption）攻擊，增強(qiáng)對通信方的身份確認(rèn).

2.1 密碼體制

傳統(tǒng)的公鑰密碼體制中的證書是由第三方認(rèn)證機(jī)構(gòu)CA（Certificate Authority）管理的，由于傳統(tǒng)公鑰密碼體制證書的實(shí)施過于復(fù)雜，應(yīng)用推廣受到限制.人們又提出基于身份的密碼體制（IBC）［7－9］和無證書的公鑰密碼體制（CL－PKC）［4，6，10］.

自生成證書公鑰密碼體制借鑒無證書公鑰密碼體制的特點(diǎn)，通信方與密鑰生成中心KGC共同生成用戶的私鑰；同時(shí)借鑒傳統(tǒng)公鑰密碼體制的特點(diǎn)，在生成用戶公鑰時(shí)，還要生成公鑰證書.對傳統(tǒng)的公鑰體制的證書管理進(jìn)行改進(jìn)，用戶將自己的公鑰證書儲存在可信第三方，并對自己生成的證書進(jìn)行維護(hù).密鑰生成中心KGC與用戶共同協(xié)商，生成用戶自己的私鑰，KGC不能知道用戶的秘密參數(shù)，所以KGC并不知道用戶真正的私鑰.這種證書管理的方法克服了傳統(tǒng)的公鑰密碼體制中證書由認(rèn)證機(jī)構(gòu)集中管理的弱點(diǎn).

自生成證書公鑰體制的特點(diǎn)［13］：

（1）自生成證書只有用戶本人才知道他的私鑰，其他人不可能得到此私鑰的任何信息；

（2）自生成證書的過程需要密鑰生成中心KGC的協(xié)助，使用戶證書的公信力得到保障；

（3）為避免在公鑰密碼體制中傳統(tǒng)集中式管理所帶來的弊端，用戶可以管理自己的證書；

（4）自生成證書公鑰體制適用于任意基于離散對數(shù)的公鑰加密及數(shù)字簽名研究.

2.2 公鑰系統(tǒng)

自生成證書公鑰體制系統(tǒng)［14－19］由4個(gè)模塊組成：

（1）生成用戶部分私鑰模塊.用戶和KGC（密鑰生成中心）進(jìn)行交互，參與生成用戶的部分私鑰.

（2）生成／更新用戶最終公鑰私鑰模塊.用戶利用部分私鑰更新完整的公私鑰對或生成相應(yīng)的公鑰證書.

（3）驗(yàn)證用戶證書模塊.通過系統(tǒng)參數(shù)和用戶公鑰證書驗(yàn)證用戶公鑰證書的正確性.

（4）生成系統(tǒng)參數(shù)模塊.建立系統(tǒng)所需要的系統(tǒng)參數(shù).

自生成證書公鑰體制借鑒無證書的公鑰密碼體制的特點(diǎn)生成系統(tǒng)的參數(shù)；用戶在生成公鑰時(shí)，由用戶生成公鑰證書.自生成證書公鑰系統(tǒng)的初始化實(shí)現(xiàn)步驟：

（1）系統(tǒng)參數(shù)初始化.設(shè)G1是橢圓曲線上階為q的循環(huán)加法群，G2是階為q的循環(huán)乘法群，P為群G1的生成元，定義2個(gè)單向哈希函數(shù)H1：｛0，1｝＊→G1、H2：｛0，1｝n×G2→Z＊q和一個(gè)雙線性映射e：G1×G1→G2，密鑰生成中心KGC隨機(jī)選擇Smaster∈Z＊q作為該系統(tǒng)的主密鑰，求解系統(tǒng)公鑰Psp＝SmasterP，系統(tǒng)公開參數(shù)Sparams＝｛G1，G2，H1，H2，e，q，P，Psp｝.

（2）部分私鑰提取.KGC（用戶密鑰生成中心）獲得A用戶提供的唯一身份信息IEA，對它進(jìn)行認(rèn)證后輸入到系統(tǒng)，同時(shí)輸入主密鑰Smaster以及參數(shù)Sparams，求得A用戶的部分密鑰EA和QA，并把它們經(jīng)安全信道分別發(fā)送給A用戶.其中，QA＝H1（IEA），DA＝SmasterQA，EA的真實(shí)性可以通過等式e（EA，P）＝e（QA，Psp）的驗(yàn)證實(shí)現(xiàn).

（3）秘密值的選取.由A用戶完成秘密值的選取，xA∈G1即為長期秘密值.

（4）私鑰生成.A用戶將秘密值xA、部分密鑰EA以及參數(shù)Sparams作為輸入，得到輸出SA作為私鑰，其中，SA＝xASmasterQA＝xAEA.

（5）公鑰生成.將A用戶的秘密值xA以及系統(tǒng)參數(shù)Sparams作為輸入，得到輸出PA作為公鑰.其中PA＝＜XA，YA＞，XA＝xAP，YA＝xAPsp＝xASparamsP.生成用戶公鑰后，還要生成相應(yīng)的公鑰證書CertA，并對生成的公鑰證書進(jìn)行驗(yàn)證.

自生成證書公鑰系統(tǒng)由用戶生成公鑰證書并自行管理，同時(shí)保留無證書公鑰體制的優(yōu)點(diǎn)（無密鑰托管問題），摒棄傳統(tǒng)公鑰體制復(fù)雜的證書管理.

2.3 密鑰協(xié)商

有關(guān)無證書公鑰密碼體制密鑰協(xié)商研究較多，有基于雙DH的無證書公鑰體制的密鑰協(xié)商［4］，也有數(shù)字簽名的無證書公鑰體制密鑰協(xié)商過程［5］，還有對現(xiàn)有協(xié)議的安全改進(jìn)［6，11］.在無證書公鑰密碼體制的密鑰協(xié)商的基礎(chǔ)上，結(jié)合自生成證書公鑰體制的特點(diǎn)，在無證書密鑰協(xié)商中附加消息認(rèn)證碼MAC（Message Authentication Code）；結(jié)合證書的特點(diǎn)，提出一種基于自生成證書的可認(rèn)證端到端密鑰協(xié)商.

根據(jù)2.2，設(shè)有2個(gè)不同的密鑰生成中心KGC1與KGC2，A用戶屬于KGC1，B用戶屬于KGC2，2個(gè)用戶希望通過密鑰協(xié)商得到1個(gè)共享密鑰以便進(jìn)行安全通信.所有KGC采用相同公開參數(shù)｛G1，G2，H1，H2，e，q｝，2個(gè)密鑰中心各自生成的主密鑰s1與s2屬于Z＊q，密鑰中心的公鑰分別是P1＝s1P，P2＝s2P，其中：P為雙方認(rèn)可循環(huán)加法群G1的生成元.用戶A將身份信息IEA提交到密鑰生成中心KGC1，KGC1將部分密鑰EA＝s1QA＝s1H1（IEA）通過安全信道返回；同理，用戶B將IEB提交到密鑰生成中心KGC2，KGC2將部分私鑰EB＝s2QB＝s2H1（IEB）.用戶A和用戶B分別生成密鑰生成中心不知道的秘密值xA與xB∈Z＊q，它們各自對應(yīng)部分密鑰為EA與EB，所生成的私鑰為SA＝＜EA，xA＞、SB＝＜EB，xB＞.用戶A公鑰為PA＝xAP，臨時(shí)密鑰S′A＝xAQA＋EA＝QA（xA＋s1）；同理，用戶B的公鑰S′B＝xBQB＋EB＝QB（xB＋s2）.

協(xié)商過程見圖1.A用戶與B用戶的會話密鑰經(jīng)過協(xié)商而來，實(shí)現(xiàn)步驟：

（1）A用戶選擇秘密隨機(jī)數(shù)a∈Z＊q，同理，B用戶選擇隨機(jī)數(shù)b∈Z＊q，求解TA＝aQA、TB＝bQB.

（2）當(dāng)A用戶要使用B用戶的公鑰證書時(shí)，A用戶要向公鑰證書撤銷列表服務(wù)器查詢B的公鑰證書是否在撤銷列表中，假如存在，則用戶A不能使用B的公鑰證書.若撤銷列表中不存在用戶B的公鑰證書，用戶A才能使用B的公鑰證書.A將＜IEA，TA，PA＞發(fā)送給B，同時(shí)B將＜IEB，TB，PB＞發(fā)送給A.用符號表示：A把參數(shù)傳遞給B：A→B：IEA，TA＝aQA，PA；B把參數(shù)傳遞給A：B→A：IEB，TB＝bQB，PB.

（3）消息確認(rèn)，A將MACKA（IEA，TA，PA）發(fā)送給B，B將MACKB（IEB，TB，PB）發(fā)送給A，雙方分別驗(yàn)證消息的完整性，如果MACKA（IEB，TB，PB）與MACKB（IEB，TB，PB）相同，MACKA（IEA，TA，PA）與MACKB（IEA，TA，PA）也相同，說明密鑰協(xié)商成功，可以生成會話密鑰；若驗(yàn)證結(jié)果不匹配，則需要重新密鑰協(xié)商.

（4）S′A，S′B是A和B生成的短期密鑰，A、B分別計(jì)算KA和KB.

A計(jì)算KA：KA＝e（S′A，P）a·e（TB，PB＋P2）；B計(jì)算KB：KB＝e（S′B，P）b·e（TA，PA＋P1）.

（5）生成會話密鑰，若A和B得到KA＝KB，通過計(jì)算可以得到密鑰［16］：

A用戶與B用戶需要對KAB進(jìn)行哈希處理，得到雙方協(xié)商的會話密鑰KS：KS＝H2（KAB｜｜abP｜｜xAxBP），保證攻擊者不能從會話密鑰中獲得任何信息.

圖1 密鑰協(xié)商過程

3 安全性能分析

3.1 密鑰協(xié)商協(xié)議

（1）密鑰安全性.通信方每次進(jìn)行密鑰協(xié)商時(shí)，雙方用戶選取的秘密隨機(jī)數(shù)參與密鑰協(xié)商，從而每次都會產(chǎn)生1個(gè)唯一的會話密鑰，每個(gè)用戶認(rèn)為此密鑰是相對安全的，因?yàn)橹挥袇f(xié)議的參與者才知道此密鑰.

（2）抵抗中間人攻擊.通信雙方用臨時(shí)的密鑰生成會話密鑰，攻擊者即使獲得用戶的秘密私鑰，也無法得到他的短期密鑰，因?yàn)殡x散對數(shù)的存在使用戶私鑰無法通過計(jì)算而得到.同時(shí)，通信雙方交換消息認(rèn)證碼MAC，可以有效抵抗中間人攻擊.

（3）前向安全性.即使其中任一方泄漏私鑰，也不會影響泄漏之前的會話密鑰.

（4）密鑰不可控性.在會話密鑰協(xié)商過程中，密鑰生成參數(shù)是由參與者本身所產(chǎn)生且?guī)в须S機(jī)性，具有較好的不可控性.

（5）抗未知密鑰共享.通信方經(jīng)過協(xié)商的某次會話密鑰只有通信方知道，在每次密鑰協(xié)商時(shí)，都要驗(yàn)證通信方的證書確保用戶的身份；同時(shí)在密鑰協(xié)商過程中交換消息認(rèn)證碼MAC，確保通信方中的某一方不能和第三方共享這次會話密鑰.

3.2 端到端密鑰協(xié)商

基于自生成證書公鑰體制的端到端密鑰協(xié)商較好地滿足安全準(zhǔn)則，與原有協(xié)議相比，具有特點(diǎn)：

（1）在用戶和服務(wù)器通信的過程中，由于引入安全的無證書密鑰協(xié)商協(xié)議，通信雙方經(jīng)過共同協(xié)商計(jì)算獲得會話密鑰，從而避免第三方對信息的無舉證竊聽.

（2）使用無證書公鑰加密技術(shù)，以便密鑰的管理與分配，從而有效解決原有認(rèn)證中心巨大的密鑰庫帶來的弊端.

4 結(jié)束語

針對無證書公鑰體制的拒絕解密DoD攻擊和無法確認(rèn)通信方身份缺陷，在自生成證書的公鑰體制基礎(chǔ)上，研究新公鑰體制下的密鑰協(xié)商，提出基于自生成證書公鑰體制的可認(rèn)證端到端密鑰協(xié)商，安全性較強(qiáng)，適用于移動網(wǎng)絡(luò)帶寬差、移動終端計(jì)算能力弱的移動網(wǎng)絡(luò)應(yīng)用環(huán)境，可以滿足基于移動網(wǎng)絡(luò)端到端通信的應(yīng)用安全性.在端對端密鑰協(xié)商的基礎(chǔ)上，可以對群組密鑰協(xié)商協(xié)議進(jìn)行分析，研究在移動網(wǎng)絡(luò)應(yīng)用環(huán)境中實(shí)現(xiàn)群組密鑰協(xié)商的可行性.

［1］ Diffie W，Hellman M.New directions in Cryptography［J］.IEEE Trans on Information Theory，1976，22（6）：644－654.

［2］ Al－Riyamiss S S，Paterson K G.Tripartite authenticated key agreementprotocols from pairings［M］.［S.l］：Springer－Verlag.

［3］ Shim K.Efficientone－round tripartite authenticated key agreementprotocol form the Weil pairing［J］.Electronics Letters，2003（39）：208－209.

［4］ Al－Riyami S S，Paterson K G.Certificateless public key cryptography［R］.Advances in Cryptology－Asiacrypt’03，Lecture Notes in Computer Science，2003，2894：452－473.

［5］ MandttK.Certificateless authenticated two－party key agreementprotocols［D］.Oppland：GjvikUniversity College，2006.

［6］ 朱志馨，董曉蕾.高效安全的無證書密鑰協(xié)商方案［J］.計(jì)算機(jī)應(yīng)用研究，2009，26（12）：4787－4789.

［7］ 邵琳，李暉.一種移動環(huán)境下的基于身份的端到端認(rèn)證和密鑰協(xié)商協(xié)議［J］.計(jì)算機(jī)應(yīng)用研究，2008，25（8）：2457－2459.

［8］ 陳家琪，馮俊，郝妍.基于無證書密碼學(xué)的可認(rèn)證三方密鑰協(xié)商協(xié)議［J］.計(jì)算機(jī)應(yīng)用研究，2010，27（5）：1904.

［9］ Dan Boneh，MattFranklin.Identity－based encryption from the Weil pairing［J］.Advance－s in Cryptology－CRYPTO 2001，2001，2139：213－229.

［10］ SmartN P.An identity based authenticated key agreementprotocol based on the Wei lPairing［J］.Electronics Letters，2002，38（13）：630－632.

［11］ 馮新泉，黎忠文.P2P中基于無證書的認(rèn)證及密鑰協(xié)商協(xié)議［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2009，19（2）：165－168.

［12］ Junzuo Lai，Weidong Kou.Self－Generated－Certificate public key encryption withoutpai ring［R］.Public Key Cryptography－PKC 2007.

［13］ Liu J K，Au M H.Self－Generated－Certicate public key cryptosystem［DB／OL］.CryptologyePrintArchive，Report2006／194，2006.http：／／eprint.iacr.org／2006，194.

［14］ 郭寶安，賴俊祚.自產(chǎn)生證書的公鑰密碼系統(tǒng)［J］.計(jì)算機(jī)工程，2009，35（11）：16－19.

［15］ 吳曉宇，李玉賢，韓佳霖等.3G終端數(shù)據(jù)機(jī)密性服務(wù)設(shè)計(jì)［J］.大慶石油學(xué)院學(xué)報(bào)，2011，35（2）：95.

［16］ 舒劍.認(rèn)證密鑰協(xié)商協(xié)議的設(shè)計(jì)與分析［D］.成都：電子科技大學(xué)博士論文，2010.

［17］ Blake－Wilson S，Johnson D，Menezes A.Key agreementprotocols and their security analysis［C］／／Proc of the 6th M A International Conference on Cryptography and Coding［S I］.SpringerVerlag，2008.

［18］ 肖自碧，楊波.發(fā)展安全的公鑰密碼系統(tǒng)的新方法研究［J］.計(jì)算機(jī)應(yīng)用研究，2007，24（10）：5－8.

［19］ 秦波，伍前紅.密鑰協(xié)商協(xié)議進(jìn)展［J］.計(jì)算機(jī)科學(xué)，2008，35（92）：9－12.

End－to－end key agreementbased on mobile network／2012，36（4）：74－78

XU Ping，ZHANG Fang－zhou，ZHANG Xiao－yu，MA Xi－bao
（College of Computer and Information Technology，NortheastPetroleum University，Daqing，Heilongjiang163318，China）

Although the security mechanism＇s extension of 3Gnetwork has reached the core network，itdoesn＇trealize the security of end to end.Therefore the research of security which is based on mobile network application is an urgentand importanttask，and the confidentiality of end to end is the key to it.This article is aboutdesigning an end to end key agreementprotocol based on the system of self－generated certificate and public key password.This protocol builds a security tripartite session key only need one round message exchange，which can strongly overcome the key escrow and offer perfectforward secrecy.Security analysis resultshows thatthis article＇s design of key agreementalgorithm can solve key managementproblem and the interception which can notbe proved.Compared with existing key agreementprotocol，the newly proposed key agreementprotocol has better security.Thus，this mechanism lays a foundation for extensive practical application of end－to－end encryption in mobile communication.

key agreementprotocol；public mobile network；end－to－end；self－generated certificate；3G network；security mechanism

book=4,ebook=138

TP309

A

2095－4107（2012）04－0074－05

2012－05－18；編輯：任志平

黑龍江省教育廳科學(xué)技術(shù)研究項(xiàng)目（12511013）

徐 平（1965－），博士，教授，主要從事計(jì)算機(jī)網(wǎng)絡(luò)和教育技術(shù)方面的研究.