曹 陽, 鄧方安, 陳 濤, 潘 平

(陜西理工大學(xué) 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，陜西 漢中 723000)

?

一種基于身份可認(rèn)證兩方密鑰協(xié)商方案

曹 陽, 鄧方安, 陳 濤, 潘 平

(陜西理工大學(xué) 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，陜西 漢中 723000)

為了降低計(jì)算開銷，提高安全性，通過Diffie-Hellman協(xié)議建立密鑰共享, 結(jié)合用戶身份信息,以VBNN_IBS簽名思想作為基礎(chǔ)，提出了一種可認(rèn)證的兩方密鑰協(xié)商方案。密鑰生成中心KGC結(jié)合用戶身份信息僅為用戶生成部分私鑰和公鑰，其完整的私鑰和公鑰由用戶結(jié)合自己的長期私鑰生成，安全性基于橢圓曲線離散對(duì)數(shù)問題。方案中無雙線性對(duì)運(yùn)算，只需橢圓曲線上4次點(diǎn)乘運(yùn)算、1次模運(yùn)算、3次哈希運(yùn)算，通信雙方只需2次通信就可實(shí)現(xiàn)雙方認(rèn)證和密鑰協(xié)商，提高了密鑰產(chǎn)生的效率。分析表明，該方案具有完美前向保密性、抗密鑰泄露偽裝攻擊、已知會(huì)話密鑰通信安全、非密鑰控制、抗重放攻擊等安全屬性。性能及安全性比較表明，該方案在安全性和性能方面具有較大的優(yōu)勢(shì)，適用于資源受限的無線網(wǎng)絡(luò)通信環(huán)境中。

簽名方案；橢圓曲線；身份認(rèn)證；密鑰協(xié)商

密鑰協(xié)商[1-2]是密鑰管理的重要組成部分，通過密鑰協(xié)商可使多個(gè)用戶在不安全信道上通信協(xié)商生成安全共享會(huì)話密鑰。密鑰協(xié)商設(shè)計(jì)思想提出以來，針對(duì)其安全性問題，大量學(xué)者對(duì)其進(jìn)行研究，并取得了很多成果。如：基于傳感器網(wǎng)絡(luò)提出了一種密鑰管理方案[3]；為了降低公鑰加密的計(jì)算開銷提出了無雙線性對(duì)的無證書密碼體制[4]，但運(yùn)算量較大；無雙線性對(duì)的認(rèn)證密鑰協(xié)商方案[5-6]；利用身份加密建立了無線網(wǎng)絡(luò)密鑰協(xié)商方案[7-8]，但計(jì)算開銷較大；無證書兩密鑰協(xié)商方案除去了雙線性對(duì)運(yùn)算[9]，但該方案不能實(shí)現(xiàn)雙向認(rèn)證；協(xié)商方案無雙線性對(duì)運(yùn)算[10]，但每次協(xié)商需要4次通信；文獻(xiàn)[11]提出的方案效率雖然提高了，但每次協(xié)商需要3次通信；無證書密鑰協(xié)商方案[12]存在雙線性對(duì)運(yùn)算。本文基于認(rèn)證、通信等問題，基于用戶身份，以橢圓曲線離散對(duì)數(shù)問題(elliptic curve discrete logarithm problem[13])的安全性作為保證，通過Diffie-Hellman協(xié)議建立密鑰共享，以BNN-IBS[14]的變形方案VBNN-IBS[15]為基礎(chǔ)，結(jié)合用戶身份信息，提出了一種可認(rèn)證的兩方密鑰協(xié)商方案。本方案的運(yùn)算量低，通信雙方只需2次通信就可實(shí)現(xiàn)雙向認(rèn)證和密鑰協(xié)商，具有完美前向保密性、抗密鑰泄露偽裝攻擊、已知會(huì)話密鑰通信安全等安全屬性。

1 背景知識(shí)

定義1(橢圓曲線)：有限域Fq上的橢圓曲線[13,16]E(Fq)是滿足a,b∈Fq，Δ=4a3+27b2≠0 modq的曲線：y2=x3+ax+b。無窮遠(yuǎn)點(diǎn)o與E(Fq)上的點(diǎn)構(gòu)成n階群，G為E(Fq)上的基點(diǎn)，p為G的階，p為大素?cái)?shù)，滿足p2不被n整除，G1為由G生成的循環(huán)群。

定義2(橢圓曲線離散對(duì)數(shù)問題[13])：如果存在整數(shù)l(0

定義3(完美前向保密性[3])：如果所有參與者的長期私鑰泄漏，已建立的會(huì)話密鑰不會(huì)被攻破[3]，即攻擊者不能有效計(jì)算出舊的會(huì)話密鑰。

定義4(抗密鑰泄露偽裝攻擊[3])：獲得了用戶UIDA的長期私鑰xA和臨時(shí)私鑰aA的攻擊者只具有冒充用戶UIDA的能力，即攻擊者不能偽造其他用戶與用戶UIDA生成會(huì)話密鑰[3]。

定義5(已知密鑰安全[3])：每一次密鑰協(xié)商過程中，密鑰協(xié)商雙方都能獨(dú)立生成唯一的共享會(huì)話密鑰[3]，即其他會(huì)話密鑰的泄露不會(huì)影響密鑰的安全性。

定義6(非密鑰控制[3])：任何用戶都不能強(qiáng)制會(huì)話密鑰是一個(gè)預(yù)先確定的值。

定義7(未知密鑰共享[3])：在用戶UIDA不知道的情況下，不能強(qiáng)制用戶UIDA與用戶UIDB共享一個(gè)會(huì)話密鑰。

2 VBNN_IBS簽名方案

Bellar等[14]利用橢圓曲線上的點(diǎn)乘運(yùn)算，基于身份信息，提出了一種簽名方案——BNN_IBS[14]簽名方案，并對(duì)其安全性作了證明。CAO 等[15]為了將BNN_IBS簽名方案的簽名長度由105 byte減少到83 byte，提出了BNN_IBS的變形方案——VBNN_IBS[15]簽名方案。VBNN_IBS方案描述如下。

a.選取系統(tǒng)參數(shù)

b.生成用戶密鑰

c.簽名

d.驗(yàn)證

根據(jù)公開參數(shù)、用戶UIDi、消息m的簽名〈R,h,Q〉，計(jì)算c=H1(UIDi‖R)，驗(yàn)證h=H2(UIDi,m,R,QG-h(R+cK))是否成立。若成立，則接收消息，否則放棄。

3 密鑰協(xié)商方案

方案主要包括初始化、用戶密鑰生成、密鑰協(xié)商3個(gè)部分。為了進(jìn)一步增加方案的安全性，在用戶密鑰生成時(shí)增加了長期私鑰和臨時(shí)私鑰。

3.1 初始化

3.2 用戶密鑰生成

3.3 密鑰協(xié)商

c.用戶UIDA收到〈UIDB,EB,hB,QB,SB,fB〉后，判斷nonce是否是自己發(fā)送給用戶UIDB的，nonce=fB⊕SB⊕UIDB。如果是，則計(jì)算cB=H1(UIDB‖SB)，并驗(yàn)證hB=H2(UIDB,EB,QB,QBG-hB(SB+SBcBK))是否成立。如果成立，說明用戶UIDB的身份合法。計(jì)算KAB=bAEB，會(huì)話密鑰為SKAB=H2(UIDA‖UIDB‖KAB)。

4 方案分析

4.1 正確性分析

證明1：

Ri+H1(UIDi‖Ri)K=Ri+H1(UIDi‖Ri)kG

=riG+H1(UIDi‖Ri)kG

=(ri+cik)G

=diG

證明2：

hA=H2(UIDA,EA,QA,QAG-hA(SA+SAcAK))

=H2(UIDA,EA,QA,QAG-hA(SA+SAcAK))

=H2(UIDA,EA,QA,(aA+hAsA)G-hA(SA+SAcAK))

=H2(UIDA,EA,QA,aAG+hAsAG-hA(SA+SAcAK))

=H2(UIDA,EA,QA,YA+hAxAdAG-hA(SA+SAcAK))

=H2(UIDA,EA,QA,YA+hAxA(rA+CAk)G-hA(SA+SAcAK))

=H2(UIDA,EA,QA,YA+hA(xARA+xARAcAK)-hA(SA+SAcAK))

=H2(UIDA,EA,QA,YA+hA(SA+SAcAK)-hA(SA+SAcAK))

=H2(UIDA,EA,QA,YA)

=hA

證明3：

KAB=bAEB=bAbBG=bBEA=KBA

由證明1知，用戶驗(yàn)證KGC分配給自己的私鑰有效性是正確的；由證明2知，密鑰協(xié)商雙方身份認(rèn)證是正確的；由證明3知，密鑰協(xié)商雙方得出的會(huì)話密鑰是相同的。因此，方案是正確的。

4.2 方案安全性分析

4.2.1 抗密鑰泄露偽裝攻擊

4.2.2 完美前向保密性

方案中共享密鑰SKAB=H2(UIDA‖UIDB‖KAB)=H2(UIDA‖UIDB‖KBA)是由橢圓曲線和哈希函數(shù)實(shí)現(xiàn)密鑰協(xié)商雙方身份認(rèn)證得到的。由3.3密鑰協(xié)商過程知，EA=bAG，EB=bBG，其中bA、bB是用戶選取的隨機(jī)數(shù)，如果攻擊者想從EA、EB計(jì)算出bA、bB，難解性基于橢圓曲線離散對(duì)數(shù)問題。由于共享密鑰是由隨機(jī)數(shù)確定，每一輪密鑰協(xié)商所選取的隨機(jī)數(shù)都不同，即使密鑰協(xié)商雙方的私鑰泄露或系統(tǒng)主密鑰泄露，密鑰雙方共享會(huì)話密鑰的安全性也不會(huì)被影響。因此方案具有完美的前向保密性。

4.2.3 已知會(huì)話密鑰安全性

如果攻擊者得到以前的會(huì)話密鑰，但也無法得到本次及將來協(xié)商的會(huì)話密鑰。因?yàn)榉桨钢杏脩裘荑€是由系統(tǒng)生成的部分密鑰和用戶長期私鑰構(gòu)成，bA、bB、xA、xB用戶選取的是隨機(jī)數(shù)，即方案具備已知會(huì)話密鑰安全性。

4.2.4 非密鑰控制安全性

由SKAB=H2(UIDA‖UIDB‖KBA)，KAB=KBA知，會(huì)話密鑰的計(jì)算中只包含了UIDA、UIDB、KAB、KBA信息，KAB、KBA是由用戶選取的隨機(jī)數(shù)生成，H2是哈希函數(shù)。由于用戶每一輪選取的隨機(jī)數(shù)都不同，使得任何用戶都沒有辦法使會(huì)話密鑰是一個(gè)預(yù)先確定的值。即方案具有非密鑰控制安全性。

4.2.5 抗重放攻擊

方案中，加入了新鮮數(shù)nonce，通過判斷nonce的有效性可以防止重放攻擊。

4.2.6 未知密鑰共享安全性

方案中，計(jì)算會(huì)話密鑰的哈希函數(shù)包含了密鑰協(xié)商雙方的身份，且雙方在計(jì)算會(huì)話密鑰前通過等式hi=H2(UIDi,Ei,Qi,QiG-hi(Si+SiciK))進(jìn)行身份認(rèn)證，也就不會(huì)出現(xiàn)一方在不知道的情況下與另一方進(jìn)行會(huì)話密鑰共享。即本方案具有未知密鑰共享的安全性。

4.3 開銷分析

4.3.1 計(jì)算開銷

方案中無雙線性對(duì)運(yùn)算，主要用到點(diǎn)乘運(yùn)算、模運(yùn)算、哈希運(yùn)算，密鑰協(xié)商雙方通信的次數(shù)為2次。用l表示1次點(diǎn)乘運(yùn)算，m表示1次模運(yùn)算，h表示1次哈希運(yùn)算，由2.3知，一次密鑰協(xié)商過程中密鑰協(xié)商雙方運(yùn)算量各為(4l+m+3h)。

4.3.2 存儲(chǔ)開銷

方案中要求預(yù)裝系統(tǒng)的參數(shù)、用戶身份信息、建立密鑰配對(duì)的參數(shù)。由于密鑰分配的隨機(jī)性及用戶的隨機(jī)性，系統(tǒng)必須為用戶存儲(chǔ)相關(guān)信息，密鑰也可能出冗余，對(duì)存儲(chǔ)空間的利用率還需要進(jìn)一步完善，下一步的工作就是在此基礎(chǔ)上研究空間的利用率問題。

4.4 性能及安全性比較

方案的性能主要從密鑰協(xié)商雙方通信的次數(shù)、點(diǎn)乘次數(shù)、是否存在對(duì)運(yùn)算3個(gè)方面考慮，安全性方面主要從抗密鑰泄露偽裝攻擊、已知會(huì)話密鑰安全性、完美前向保密性、未知密鑰共享安全性、雙向認(rèn)證、非密鑰控制安全性6個(gè)方面與引言中提到的文獻(xiàn)[9-12]相比較。性能及安全性比較如表1所示。其中“數(shù)字”表示次數(shù)；“√” 表示具有該方面的安全性；“×”表示不具有該方面的安全性；“T1”代表抗密鑰泄露偽裝攻擊；“T2”代表已知會(huì)話密鑰安全性；“T3”代表完美前向保密性；“T4”代表未知密鑰共享安全性；“T5”代表雙向認(rèn)證；“T6”代表非密鑰控制安全性。

表1 性能及安全性比較

Table 1 Comparison of performance with security

性能文獻(xiàn)文獻(xiàn)?文獻(xiàn)?文獻(xiàn)?本方案對(duì)運(yùn)算00010點(diǎn)乘52454通信次數(shù)24322T1√√√×√T2√√√√√T3√√√√√T4××××√T5××××√T6√√√√√

5 結(jié) 論

本文提出的密鑰協(xié)商方案無雙線性對(duì)運(yùn)算，密鑰生成中心KGC結(jié)合用戶身份信息生成的私鑰、公鑰只能作為用戶的部分私鑰和部分公鑰，完整的私鑰、公鑰由用戶自己生成，僅需2次通信就可實(shí)現(xiàn)通信雙方的認(rèn)證和密鑰協(xié)商，且通信雙方運(yùn)算量各為(4l+m+3h)，提高了認(rèn)證和密鑰產(chǎn)生的效率。安全分析表明，方案具有抗重放攻擊、完美前向保密性、抗密鑰泄露偽裝攻擊等屬性。性能及安全性比較表明，該方案在安全性和性能方面具有較大的優(yōu)勢(shì)，較適用于資源受限的無線網(wǎng)絡(luò)通信環(huán)境中。

[1] Chan H, Perring A, Song D. Random key predistribution schemes for sensor networks [C]//Proc of the 2003 IEEE Symp on Security and Privacy. Washington: IEEE Computer Society, 2003: 197-213.

[2] Eschenauer L, Gligor V. A key management scheme for distributed sensor networks[C]//Proc of the 9th ACM Conf on Computer and Communications Security. New York: ACM Press, 2002: 41-47.

[3] 袁艷祥.基于身份的密鑰管理研究[D].杭州:杭州電子科技大學(xué)檔案館,2013. Yuan Y X. Identity-based Key Management[D]. Hangzhou: The Archive of Hangzhou Dianzi University, 2013. (In Chinese)

[4] Baek J, Safavi-Naini R, Suailo W. Certificateless public key encryption without paring[C]// LNCS3650: Proceedings of the 8th International Conference on Information Security(S.l). Berlin: Springer-Verlag, 2005: 134-148.

[5] 朱輝,李暈,譚示崇,等.不使用雙線性對(duì)的無證書認(rèn)證協(xié)議[J].武漢大學(xué)學(xué)報(bào):信息科學(xué)版,2010,35(5):574-577. Zhu H, Li Y, Tan S C,etal. Certificateless authentication protocol without pairing[J]. Geomatics and Information science of Wuhan University, 2010, 35(5):574-577. (In Chinese)

[6]Geng M, Zhang F. Provably secure certificateless two-party authenticated key agreement protocol without pairing[C]//Proceedings of the International Conference on Computational Intelligence and Security, CIS’09[S.l.]. Washington: IEEE Computer Society, 2009: 208-212.

[7] 郭江鴻,李興華,武堅(jiān)強(qiáng).一個(gè)新的基于身份的無線傳感器網(wǎng)絡(luò)密鑰協(xié)商方案[J].計(jì)算機(jī)科學(xué),2011,38 (3):127-130. Guo J H, Li X H, Wu J Q. New identity-based key agreement scheme for WSN[J]. Computer Science, 2011, 38(3): 127-130. (In Chinese)

[8] 程宏兵,費(fèi)國臻.基于身份的無線傳感器網(wǎng)絡(luò)密鑰系統(tǒng)[J].計(jì)算機(jī)科學(xué),2007,34(10):116-119. Cheng H B, Fei G Z. Research of identity-based key system scheme for wireless sensor network[J]. Computer Science, 2007, 34(10): 116-119. (In Chinese)

[9] 劉文浩,許春香.無證書兩方密鑰協(xié)商方案[J].軟件學(xué)報(bào),2011,22(11):2843-2852. Liu W H, Xu C X. Two party certificateless key agreement schemes[J]. Journal of Software, 2011, 22(11): 2843-2852. (In Chinese)

[10] 潘進(jìn),劉小瓊,李國朋.無雙線性對(duì)的無證書兩方認(rèn)證密鑰協(xié)商協(xié)議[J].計(jì)算機(jī)應(yīng)用研究,2012,29(6):2240-2243. Pan Jin, Liu X Q, Li G P. Certificateless-based two-party authenticated key agreement protocol[J]. Application Research of Computers, 2012, 29(6): 2240-2243. (In Chinese)

[11] 曹雪菲,寇衛(wèi)東,樊凱,等.無雙線性對(duì)的基于身份的認(rèn)證密鑰協(xié)商協(xié)議[J].電子與信息學(xué)報(bào),2009,31(5):1241-1244. Cao X F, Kou W D, Fan K,etal. An identity-based authenticated key agreement protocol without bilinear pairing[J]. Journal of Electronics & Information Technology, 2009, 31(5): 1241-1244. (In Chinese)

[12] 朱志馨,董曉蕾.高效安全的無證書密鑰協(xié)商方案[J].計(jì)算機(jī)應(yīng)用研究,2009,26(12): 4787-4790. Zhu Z X, Dong X L. Efficient and secure certificateless key agreement protocol[J]. Application Research of Computers, 2009, 26(12): 4787-4790. (In Chinese)

[13] 曹陽,洪歧,陳勇,等.一種基于ECC具有時(shí)間限制的動(dòng)態(tài)秘密共享方案[J].重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版),2014,26(4):556-558. Cao Y, Hong Q, Chen Y,etal. A time-limited dynamic secret-sharing scheme based on ECC[J]. Journal of Chongqing University of Posts and Telecommunications, 2014, 26(4): 556-558. (In Chinese)

[14] Bellare M, Namprempre C, Neven G. Security proofs for identity-based identification and signature schemes[J]. Journal of Cryptology, 2009, 22(1): 1-16.

[15] Cao X, Kou W, Dang L,etal. IMBAS: Identity-based multi-user broadcast authentication in wireless sensor networks[J]. Computer Communications, 2008, 31: 659-671.

[16] 郭松輝,牛小鵬,王玉龍.一種基于橢圓曲線的輕量級(jí)身份認(rèn)證及密鑰協(xié)商方案[J].計(jì)算機(jī)科學(xué),2015,42(1):137-141. Guo S H, Niu X P, Wang Y L. Elliptic curve based light-weight authentication and key agreement scheme[J]. Computer Science, 2015, 42(1): 137-141. (In Chinese)

A two-party key agreement scheme based on authenticated identity

CAO Yang, DENG Fang-an, CHEN Tao, PAN Ping

SchoolofMathematicsandComputerScience,ShaanxiSci-techUniversity,Hanzhong723000,China

Based on the establishment of shared key through the Diffie-Hellman agreement in terms of the user’s identity information and combined with VBNN-IBS signature thought as a foundation, a two-party key agreement scheme is proposed so as to reduce the computation cost and improve the security. In the scheme, the key generation centre (KGC) uses users’ identity information to generate part of the private and public keys for the two parties in communication. The complete private key and public key are composed of users’ private key for a long time, and the security is based on elliptic curve discrete logarithm problem. The no-bilinear paring operation is realized only by four times point multiplication operation, one modular operation, and three times hash operations. Meanwhile, the two parties in communication can realize the authentication and key agreement only by communication twice, which improves the efficiency of the key generation. It shows that the scheme possess a lot of safety properties, such as perfect forward secrecy, resisting key leak feinting, known session key communications security, non-key control, and anti-replay attacks capacity, etc. The comparison of performance with security reveals that the scheme has great advantages in terms of safety and efficiency. Therefore, it is suitable for the resource-constrained wireless network communication environment.

signature scheme; elliptic curve; identity authentication; key agreement

10.3969/j.issn.1671-9727.2016.06.14

1671-9727(2016)06-0757-05

2015-05-25。 [基金項(xiàng)目] 國家自然科學(xué)基金項(xiàng)目(21373132); 陜西省教育廳資助項(xiàng)目(16JK1149)。 [第一作者] 曹陽(1978-),女,碩士,講師,研究方向：信息安全與計(jì)算機(jī)應(yīng)用, E-mail:cyang0618@sina.com。

TP309

A