趙 慶，王 斌，張淏湜

（揚州大學 信息工程學院，江蘇 揚州225127）

傳統(tǒng)的公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）認證體系是利用可信第三方通過頒發(fā)證書的形式綁定網(wǎng)絡(luò)中用戶身份及其公鑰，在通信過程中驗證證書的有效性即可判定用戶身份的真實性［1］，而在無線網(wǎng)絡(luò)環(huán)境下傳送證書須消耗較大的帶寬，導致身份認證過程的網(wǎng)絡(luò)訪問延遲，因此許多專家學者作了大量研究．MILLER［2］提出橢圓曲線在密碼學中的使用，主要通過使用更小的密鑰提供相當或更高等級的安全．高志剛等［3］通過橢圓曲線定義了群之間的雙線性映射．SHAMIR［4］提出的基于身份的密碼學體制（identity－based encryption，IBE）是由密鑰生成中心將用戶公開的身份標志（如用戶姓名、身份證號等）生成私鑰，從而提高密鑰的管理水平．JOUX［5］利用Weil配對技術(shù)提出了僅需一輪通信且基于身份的三方密鑰共享協(xié)議．文獻［6－8］采用橢圓曲線上Pairing的基于身份的加密算法，不再利用數(shù)字證書將用戶身份與公鑰綁定，故簡化了認證過程．MOON 等［9］提出了一種利用AAA（authenticatian，authorization，accounting）體系結(jié)構(gòu)的基于身份的票據(jù)方案，然而用戶在漫游服務(wù)器認證時可能會被還原出真實身份．文獻［10］提出了更為嚴謹?shù)穆握J證方案，但該方案由于須接入智能卡而不具通用性．本文利用文獻［11］提出的無證書公鑰密碼體制，提出一種基于文獻［10］漫游認證方案的無線網(wǎng)絡(luò)安全身份票據(jù)方案，并進行了安全性分析．

1 基于身份的票據(jù)方案

1．1 系統(tǒng)參數(shù)設(shè)置

給定加法群（G1，＋）和乘法群（G2，·），素數(shù)階為q，其位長一般是160bit，且求解離散對數(shù)是困難的．雙線性映射e：G1×G1→G2，P 為G1的生成元．設(shè)在G1上的CDH（computational diffiehellman）假設(shè)成立．CDH 假設(shè)：G＝〈P〉是階為q的循環(huán)群，輸入x·P，y·P∈G1（x，y∈Z＊q，且其值未知），則計算（xy）·P 是困難的．

定義1①A→B：m，表示A 向B發(fā)送信息m；②x∈RS，表示在群S 中等概率的選取隨機數(shù)x；③Ex（m），表示將消息m 用密鑰x 加密；④signx（m），表示將消息m 用密鑰x 簽名．

1）參數(shù)建立．對安全參數(shù)k，給出EG＝（e（·），G1，G2，q，P），隨機選取s∈Z＊q為系統(tǒng)私鑰并計算系統(tǒng)公鑰PS＝s·P．選取無碰撞散列函數(shù)H：（0，1）＊→Z＊q；H1：｛0，1｝＊×G1→｛0，1｝i，i是輸出數(shù)據(jù)的長度；H2，H3：｛0，1｝＊→G1．公開參數(shù)為EG，PS，H，H1，H2，H3．

2）用戶私鑰提?。脩鬋 選取xC∈RZ＊q并計算YC＝xC·P 作為自己的公鑰公開．密鑰生成中心PKG 由系統(tǒng)私鑰s和用戶C公開身份IDC∈｛0，1｝＊及YC，計算QIDC＝H2（IDC‖YC）及用戶部分私鑰DIDC＝s·QIDC，并儲存用戶的公鑰，再將DIDC通過安全信道發(fā)送給用戶C．確定用戶C 的公開身份為IDC，公鑰為YC，私鑰為（DIDC，xC）．

3）用戶認證及密鑰交換．用戶C 選取r∈RZ＊q，t∈RZ＊q，計算U＝r·QIDC，J1＝t·P，kS＝H3（r·DIDC），C→S：（EkS（IDC‖J1），U）．

本地服務(wù)器S計算US＝s·U＝s·（r·QIDC）＝（r·DIDC），導出對稱密鑰kS，解密出IDC，J1，然后選取α∈RZ＊q，計算J2＝α·P，J＝α·（t·P）；S→C：J2．

用戶C計算與本地服務(wù)器S 共享的會話密鑰skSC＝H（（t·J2）‖r·s·QIDC‖IDC‖IDS），C→S：EskSC（IDC‖IDS‖t·J2），本地服務(wù)器S解密后若（t·J2）與J 相等，則表明驗證通過，即可防止冒充攻擊．

1．2 用戶票據(jù)請求

1）用戶C選取β∈RZ＊q，計算H（TC），TC為用戶當前時間戳．C→S：（EskSC（TC‖IDC‖IDS，β·P，service），（IDC，TC））．

2）由本地服務(wù)器S 驗證TC是否在合法間隔內(nèi)，驗證通過后選取λ∈RZ＊q，計算J3＝λ·P，VSC＝λ·（β·P）以及用戶C的匿名身份IDCanom＝EskSC（H（TC）⊕IDC），同時將其真實身份與匿名身份存儲于服務(wù)器中．令I(lǐng)Dall＝（IDCanom‖IDC‖IDS），S→C：EskSC（J3‖IDall）．

3）用戶C收到信息后解密得到J3，得出β·J3＝β·（λ·P），然后計算與服務(wù)提供商SP之間的會話密鑰skSP＝H（β·（λ·P）‖IDall‖service），C→S：EskSP（β·J3）．

4）本地服務(wù)器S收到信息解密后若β·J3與VSC相等，則令g＝（IDCanom，IDS，lifetime，service），本地服務(wù)器S形成簽名ω＝signyS（g），yS為S的簽名密鑰，同時生成用戶C 的票據(jù)ticket＝［g，ω］，S→C：EskSC（ticket）．

1．3 服務(wù)請求

1）用戶C經(jīng)本地服務(wù)器S認證后，C→SP：（EskSP（ticket，TSP），IDCanom，service），TSP為服務(wù)提供商SP當前的時間戳．

2）服務(wù)提供商SP收到用戶C的服務(wù)請求后，SP→S：EPS（IDCanom，request），request表示服務(wù)提供商SP向本地服務(wù)器S獲取與用戶C之間會話密鑰的請求．

3）本地服務(wù)器S收到服務(wù)提供商SP的請求后，通過查詢數(shù)據(jù)庫獲取用戶C 的真實身份，S→SP：EKSP（IDCanom，kSP，service），KSP是服務(wù)提供商SP的公鑰．

4）服務(wù)提供商SP解密獲得用戶C 的身份和會話密鑰skSP，然后解密用戶C 已發(fā)送過來的信息，驗證票據(jù)中本地服務(wù)器S的簽名以及TSP是否有效，驗證通過則證明用戶C 為合法用戶，隨即向其發(fā)送服務(wù)請求響應(yīng)．

1．4 漫游認證和票據(jù)分發(fā)

當用戶C從本地移動到其他地區(qū)并使用該地區(qū)服務(wù)時，須在漫游服務(wù)器F上重新進行認證，可參照在本地服務(wù)器S的票據(jù)請求，利用與漫游服務(wù)器F共享的密鑰和自己的匿名身份，在漫游服務(wù)器F上獲取臨時票據(jù)．

1）用戶C首先選取η∈RZ＊q，計算l1＝η·P，C→F：m1＝｛EskSC（IDC，l1），IDCanom，TC｝．

2）漫游服務(wù)器F 驗證TC是否合法，驗證通過則選取μ∈RZ＊q，計算l2＝μ·P，令j＝（EskSC（IDC，l1），TC，IDCanom，l2，TF），F(xiàn)→S：m2＝｛j，CertF，signyF（H1（j））｝，TF為漫游服務(wù)器F選取的時間戳，CertF，yF分別為漫游服務(wù)器F的證書和簽名密鑰．

3）本地服務(wù)器S收到消息后，若CertF和時間戳TF有效，則用漫游服務(wù)器F的公鑰檢驗消息的簽名是否合法，驗證合法則還原出用戶C的真實身份IDC，并與EskSC（IDC，l1）中解密出的IDC比較是否一致．驗證通過后，本地服務(wù)器S選取δ∈RZ＊q，計算l3＝δ·P，lSF＝δ·l2，lSC＝δ·l1．令n＝（H1（IDC），EskSC（IDC，l1，lSF），lSC，l2，TS），計算簽名信息θ＝signyS（n），S→F：m3＝｛n，CertS，θ｝．

4）漫游服務(wù)器F 收到消息后驗證證書和簽名是否合法，利用lSC計算VCF＝μ·lSC＝μ·（δ·（η·P）），得到與用戶C的會話密鑰skCF＝H1（H1（IDC）‖IDF‖VCF）．F→C：m4＝｛EskSC（lSF），l1，CertF，IDCanom，TC，signyF（H1（EskSC（lSF），l1，IDCanom，TC））｝．

5）用戶C收到消息后驗證證書和簽名的合法性，然后利用skSC解密獲得lSF，計算VCF＝η·lSF＝η·δ·（μ·P），從而得到與漫游服務(wù)器F之間的會話密鑰skCF．

1．5 票據(jù)更新

當用戶C移動到新地區(qū)時，票據(jù)可能會過期或者被破壞，故須進行更新．

1）用戶C 首先選取ψ∈RZ＊q，計算L1＝ψ·P，同時選取新的時間戳T′C，C→F：m5＝｛EskCF（T′C，L1，ticket），IDCanom，requestrenew｝．

2）漫游服務(wù)器F解密信息后，F(xiàn)→S：m6＝｛signyF（EskCF（T′C，L1，ticket），IDCanom）｝．

3）本地服務(wù)器S首先驗證漫游服務(wù)器簽名的合法性，驗證通過則利用存儲在服務(wù)器中的真實身份與匿名身份對應(yīng)，對IDCanom解密出用戶C 的真實身份IDC，然后用之前與用戶C 共享的會話密鑰skS解密出T′C，L1，ticket，選取ξ∈RZ＊q，計算L2＝ξ·P，Lch＝ξ·L1＝ξ·ψ·P，生成用戶新的匿名身份ID′Canom＝EskSC（H（T′C）⊕IDC），以及用戶C 與服務(wù)提供商SP 之間新的會話密鑰sk′CF＝H（Lch‖ID′Canom‖IDC‖IDS‖sk），計算ωnew＝signyS（ID′Canom，IDS，lifetime），ticket′＝［ID′Canom，IDS，lifetime，ωnew］．S→F：m7＝｛Lch，L2，ticket，IDS，signyS（Lch，L2，ticket，IDS）｝．

4）漫游服務(wù)器F對m 中的簽名進行驗證，驗證通過后F→C：m8＝｛m7，signyF（m7）｝．

5）用戶C驗證漫游服務(wù)器F的簽名是否正確，驗證通過后則獲取Lch，L2．計算并檢驗ψ·L2是否與Lch相等，相等則說明票據(jù)合法，同時計算出與服務(wù)提供商SP 之間的會話密鑰sk′CF＝H（Lch‖ID′Canom‖IDC‖IDS）．

2 安全性分析

命題1用戶C與服務(wù)提供商SP之間的會話密鑰kSP、用戶C與漫游服務(wù)器F之間共享的會話密鑰skCF的值具有保密性．

證明 用戶C與服務(wù)提供商SP之間的會話密鑰kSP的生成依賴于β和λ，β，λ分別由用戶C 和本地服務(wù)器S選取并保密，由于引入加密函數(shù)以及CDH 假設(shè)，攻擊者無法通過用戶C 與本地服務(wù)器S之間傳遞的消息逆向推導出β和λ 的值，所以kSP的值具有保密性．用戶C與漫游服務(wù)器F之間共享的會話密鑰skCF保密性原理相同．

命題2用戶C的真實身份只有本地服務(wù)器S可以還原．

證明 用戶C的真實身份IDC利用用戶C與本地服務(wù)器S之間共享的會話密鑰skS加密，充分保證了用戶C真實身份的安全性．

命題3時間戳的使用防止攻擊者使用重放攻擊．

證明 在用戶票據(jù)請求、服務(wù)請求、漫游認證以及票據(jù)更新中，由于傳遞的信息中包含時間戳，用戶和服務(wù)器都可以通過對時間戳的合理計算來核實時間，從而有效防止了重放攻擊．

［1］ LEE Y，LEE J，SONG J S．Design and implementation of wireless PKI technology suitable for mobile phone in mobile－commerce［J］．Comput Commun，2007，30（4）：893－903．

［2］ MILLER V S．Use of elliptic curves in cryptography［C］／／Advances in Cryptology CRYPTO′85Proceedings of LNCS218．New York，USA：Springer－Verlag，1986：417－426．

［3］ 高志剛，馮登國．高效的標準模型下基于身份認證密鑰協(xié)商協(xié)議［J］．軟件學報，2011，22（5）：1031－1040．

［4］ SHAMIR A．Identity－based cryptosystems and signature schemes［C］／／Proceedings of CRYPTO 84on Advances in Cryptology Lecture Notes in Computer Science．New York，USA：Springer－Verlag，1985，196：47－53．

［5］ JOUX A．A one round protocol for tripartite diffie－h(huán)ellman［C］／／Proceedings of the 4th International Symposium on Algorithmic Number Theory．London，UK：Springer－Verlag，2000：385－394．

［6］ BONEH D，F(xiàn)RANKLIN M．Identity－based encryption from the weil pairing［C］／／Proceedings of CRYPTO（LNCS）．［S．l．］：Spinger－Verlag，2001，2139：213－229．

［7］ WATERS B．Efficient identity－based encryption without random oracles［C］／／Proceedings of 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques．Denmark：Springer－Verlag，2005：114－127．

［8］ GENTRY C．Practical identity－based encryption without random oracles［C］／／Proceedings of 25th Annual International Conference on the Theory and Applications of Cryptographic Techniques．Berlin：Springer－Verlag，2006，4004：445－464．

［9］ MOON J S，LEE I Y．An AAA scheme using ID－based ticket with anonymity in future mobile communication［J］．Comput Commun，2011，34（3）：295－304．

［10］ HE Daojing，MA Maode，ZHANG Yan，et al．A strong user authentication scheme with smart cards for wireless communications［J］．Comput Commun，2011，34（3）：367－374．

［11］ 廖大見，唐元生．一種無證書強代理簽名方案的設(shè)計［J］．揚州大學學報：自然科學版，2011，14（3）：66－69．