一個(gè)新的適用于移動(dòng)設(shè)備的雙方身份認(rèn)證與密鑰共識(shí)協(xié)議

王佳強(qiáng)，亢保元，邵棟陽(yáng)

（天津工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與軟件學(xué)院，天津 300387）

一個(gè)新的適用于移動(dòng)設(shè)備的雙方身份認(rèn)證與密鑰共識(shí)協(xié)議

王佳強(qiáng)，亢保元，邵棟陽(yáng)

（天津工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與軟件學(xué)院，天津 300387）

隨著現(xiàn)代互聯(lián)網(wǎng)的高速發(fā)展，人們通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程通信變得越來(lái)越頻繁。但是，在遠(yuǎn)程通信中如何確認(rèn)通信雙方的身份以及如何保證通信內(nèi)容的安全，成為人們?cè)絹?lái)越關(guān)注的問(wèn)題，身份認(rèn)證與密鑰共識(shí)協(xié)議就是用來(lái)解決這個(gè)問(wèn)題的。在現(xiàn)有的身份認(rèn)證與密鑰共識(shí)協(xié)議中，有些協(xié)議在身份認(rèn)證方面存在一些問(wèn)題，在沒(méi)有驗(yàn)證對(duì)方身份的前提下達(dá)成會(huì)話密鑰是危險(xiǎn)的。本文通過(guò)對(duì)Liang Ni等人協(xié)議的分析，提出了一個(gè)改進(jìn)的身份認(rèn)證與密鑰共識(shí)協(xié)議，并對(duì)其安全性進(jìn)行了分析。分析結(jié)果表明，新協(xié)議可以抵抗中間人攻擊、假冒攻擊等。而且，新協(xié)議中不包含雙線性對(duì)運(yùn)算，它特別適用于資源受限制的移動(dòng)設(shè)備。

身份認(rèn)證；密鑰共識(shí)；信息安全；密碼學(xué)；橢圓曲線

0 引言

隨著現(xiàn)代網(wǎng)絡(luò)的飛速發(fā)展，遠(yuǎn)程通信、電子商務(wù)、電子政務(wù)等也得到了迅速的發(fā)展。特別是移動(dòng)設(shè)備普及的今天，人們通過(guò)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程通信變得越來(lái)越頻繁。我們?cè)谙硎芫W(wǎng)絡(luò)給我們帶來(lái)便利的同時(shí)，如何在通信中保證信息的安全也變得極為重要。為了讓遠(yuǎn)程通信的實(shí)體，在確定對(duì)方身份的前提下，達(dá)成共享密鑰，并對(duì)通信內(nèi)容進(jìn)行加密，從而保護(hù)通信者的隱私，這就必須使用有效的身份認(rèn)證與密鑰共識(shí)協(xié)議。身份認(rèn)證與密鑰共識(shí)（Authenticated Key Agreement，AKA）協(xié)議是密碼學(xué)運(yùn)用最廣泛的協(xié)議之一，它可以保證兩方或多方實(shí)體在公開(kāi)信道上進(jìn)行安全的通信，在現(xiàn)代通信和網(wǎng)絡(luò)中起著非常重要的作用。

目前人們已經(jīng)提出了很多 AKA協(xié)議[1-11]。Zhang等人[6]基于CDH困難問(wèn)題，使用雙線性對(duì)提出了一個(gè)無(wú)證書(shū)的雙方認(rèn)證與密鑰共識(shí)協(xié)議。Zhang[7]還提出了一個(gè)一次信息交換的雙方認(rèn)證密鑰共識(shí)協(xié)議，這個(gè)協(xié)議中，只需要一位用戶向另一位用戶發(fā)送一次消息即可達(dá)成密鑰。但文獻(xiàn)[7]的協(xié)議仍然使用了計(jì)算量大的雙線性對(duì)運(yùn)算，為了提高協(xié)議的計(jì)算效率，何德彪[9]等人提出了一個(gè)無(wú)雙線性對(duì)運(yùn)算的無(wú)證書(shū)雙方認(rèn)證與密鑰共識(shí)協(xié)議。同樣，Liang Ni[10]等人也提出了一個(gè)無(wú)雙線性對(duì)運(yùn)算的強(qiáng)安全的基于身份的認(rèn)證與密鑰共識(shí)協(xié)議。因?yàn)槲墨I(xiàn)[9,10]中的協(xié)議沒(méi)有使用計(jì)算量大的雙線性對(duì)運(yùn)算，所以，這兩個(gè)協(xié)議有較高的計(jì)算效率。但是，在兩個(gè)協(xié)議中，存在著這樣一個(gè)問(wèn)題，當(dāng)攻擊者修改了通信雙方發(fā)送的信息后，通信者仍然會(huì)進(jìn)行所有的計(jì)算。雖然，在安全性方面，若不是合法的用戶，難以達(dá)成會(huì)話密鑰，但是，這就造成了部分計(jì)算的浪費(fèi)，影響協(xié)議的效率。SK Hafizul Islama等[11]人提出的身份認(rèn)證與密鑰共識(shí)協(xié)議中，增加了明確的身份認(rèn)證步驟，該協(xié)議可以有效地認(rèn)證用戶身份，并在用戶身份認(rèn)證失敗后終止計(jì)算，從而減少計(jì)算的浪費(fèi)，提高了協(xié)議的效率。

本文參考了前人協(xié)議的優(yōu)點(diǎn)，結(jié)合Liang Ni[10]等人的協(xié)議，提出了一個(gè)改進(jìn)的身份認(rèn)證與密鑰共識(shí)協(xié)議。該協(xié)議包含明確的身份認(rèn)證步驟，而且沒(méi)有使用雙線性對(duì)，從而減小了計(jì)算量，特別適用于廣泛使用的移動(dòng)設(shè)備。

1 預(yù)備知識(shí)

這一部分，我們將介紹Liang Ni等人的協(xié)議和我們提出的新協(xié)議中用到的一些數(shù)學(xué)難題。

1.1 橢圓曲線離散對(duì)數(shù)問(wèn)題

設(shè)G是一個(gè)由某橢圓曲線上的點(diǎn)P生成的p（素?cái)?shù)）階加法循環(huán)群，當(dāng)給出G中的某元素P和元素Q = xP 時(shí)，計(jì)算x ∈是困難的。

1.2 可逆計(jì)算Diffie–Hellman問(wèn)題

設(shè)G是一個(gè)由某橢圓曲線上的點(diǎn)P生成的p（素?cái)?shù)）階加法循環(huán)群，當(dāng)給出xP和yP時(shí)，計(jì)算 x y-1P是困難的。

2 新的身份認(rèn)證與密鑰協(xié)商協(xié)議

通過(guò)對(duì)Liang Ni[10]等人身份認(rèn)證與密鑰共識(shí)協(xié)議的分析，我們發(fā)現(xiàn)該協(xié)議不能及時(shí)發(fā)現(xiàn)傳遞的信息是否被攻擊者修改。而且，當(dāng)攻擊者修改了通信雙方發(fā)送的信息后，通信者仍然會(huì)進(jìn)行全部的計(jì)算，這就影響了協(xié)議的效率。這一部分我們給出了一個(gè)改進(jìn)的協(xié)議，加入了明確的認(rèn)證步驟。新協(xié)議包括密鑰生成中心初始化階段、用戶注冊(cè)階段以及認(rèn)證與密鑰共識(shí)三個(gè)階段。

2.1 協(xié)議中所需符號(hào)和意義

? q ：一個(gè)大素?cái)?shù)；

? G ：一個(gè)由某橢圓曲線上的點(diǎn)P生成的q階加法循環(huán)群；

? P：G的一個(gè)生成元；

2.2 新協(xié)議

新協(xié)議中有一個(gè)可信的密鑰生成中心（KGC）。下面是新協(xié)議的具體描述：

2.2.1 初始化階段

（1）KGC選擇一個(gè)安全素?cái)?shù)k，選擇一個(gè)由橢圓曲線上的點(diǎn)p生成的q（k-bits）階加法循環(huán)群G。

（2）KGC隨機(jī)選擇一個(gè)生成元PG∈，并選擇兩個(gè)HASH函數(shù)

2.2.2 用戶注冊(cè)階段

（1）用戶iU向 KGC發(fā)出注冊(cè)申請(qǐng)，并通過(guò)安全信道發(fā)送自己的身份信息iID。

（4）用戶iU收到密鑰對(duì)后，驗(yàn)證:

若等式成立，則保存密鑰對(duì)；否則，則注冊(cè)失敗。

2.2.3 用戶間認(rèn)證與密鑰共識(shí)階段

用戶 A的身份信息是 I DA，密鑰對(duì)是 S KA=(KA, vA)。用戶 B的身份信息是 I DB，密鑰對(duì)是SKB= （KB, vB）。當(dāng)用戶A和用戶B想要達(dá)成會(huì)話密鑰時(shí)，他們執(zhí)行下面的步驟（如表1）：

若等式不成立，則放棄執(zhí)行下面的步驟；若等式成立，則繼續(xù)計(jì)算：

所以，若用戶A和用戶B均為合法用戶，則他們最終的會(huì)話密鑰SKBA= SKAB。而且，該協(xié)議有明確的驗(yàn)證步驟，可以有效地避免由于攻擊者篡改用戶之間的通信信息而造成的計(jì)算浪費(fèi)。

表1

3 新方案的安全性分析

這一部分我們將使用常見(jiàn)的攻擊方法對(duì)新協(xié)議進(jìn)行安全性分析，這里假設(shè)存在一個(gè)攻擊者 Eve，他可以截獲所有在公共信道中傳輸?shù)男畔ⅰ＞唧w做法如下：

3.1 假冒攻擊

攻擊者Eve想要假冒用戶B，用戶B的身份信息為BID ，為了通過(guò)用戶A的驗(yàn)證，其驗(yàn)證等式為：

攻擊者Eve必須找到可以使該驗(yàn)證等式成立的參數(shù) tB, RB, KB，攻擊者Eve選擇參數(shù) KB′，RE，計(jì)算：

此時(shí)，攻擊者Eve想要通過(guò)tB′P計(jì)算tB′是困難的，所以，攻擊者Eve難以找到可以讓用戶A計(jì)算驗(yàn)證等式成立的參數(shù) tB, RB, KB。故新協(xié)議可以抵抗假冒攻擊。

3.2 修改攻擊

攻擊者Eve試圖通過(guò)修改所截獲的用戶A,B間的通信信息，并發(fā)送修改后的信息給對(duì)方用戶，從而可以分別和用戶 A，B達(dá)成會(huì)話密鑰，達(dá)到獲取信息的目的。以攻擊者Eve修改用戶B發(fā)送的信息并與用戶A達(dá)成密鑰為例，攻擊者Eve修改：

此時(shí)，驗(yàn)證等式

很明顯用戶A計(jì)算驗(yàn)證等式時(shí)不成立，所以，攻擊者Eve通不過(guò)用戶A的驗(yàn)證，故新協(xié)議可以抵抗修改攻擊。

3.3 中間人攻擊

3.4 重放攻擊

所以，最終攻擊者Eve和用戶B達(dá)成的會(huì)話密鑰SK不相同。故新協(xié)議可以抵抗重放攻擊。

3.5 臨時(shí)密鑰泄露攻擊

若某次用戶A和用戶B進(jìn)行通信時(shí)，所選用的臨時(shí)秘密信息 rA,rB被攻擊者Eve獲得，由于：

所以，攻擊者 Eve在沒(méi)有 vA, vB的情況下，想要計(jì)算 TA, TB是困難的。而且，又因?yàn)橛脩鬉和用

11

戶B計(jì)算驗(yàn)證信息

4 結(jié)論

本文提出的協(xié)議的安全性基于橢圓曲線離散對(duì)數(shù)難題，由于協(xié)議沒(méi)有使用雙線性對(duì)計(jì)算，這樣做減小了計(jì)算量。同時(shí)，該協(xié)議可以有效地進(jìn)行身份的驗(yàn)證，通過(guò)驗(yàn)證后才可以進(jìn)行之后的步驟，從而減少了不必要的計(jì)算。該協(xié)議可以抵抗修改攻擊，假冒攻擊等，具有一定的安全性。在安全和效率方面都可以滿足廣泛使用的移動(dòng)設(shè)備的要求。

[1] M. Hou, Q. Xu, A two-party certificateless authenticated key agreement protocol without pairings[J]. 2nd IEEE International Conference on Computer Science and Information Technology, 2009, pp. 412-416.

[2] N. McCullagh, P.S.L. M.Barreto, A new two-party identity-based authenticated keyagreement[J]. CT-RSA 2005, vol.3376, 2005, pp. 262-274 .

[3] Yang Lu, Quanling Zhang, et al, Comment on a certificateless one-pass and two-party authenticated key agreement protocol[J]. Information Sciences 369 (2016) 184-187.

[4] 劉文浩, 許春香. 無(wú)證書(shū)兩方密鑰協(xié)商協(xié)議[J]. 軟件學(xué)報(bào),2011.22(11): 2843-2852.

[5] 曹陽(yáng), 鄧方安, 等. 一種基于身份可認(rèn)證兩方密鑰協(xié)商協(xié)議[J]. 成都理工大學(xué)學(xué)報(bào)(自然科學(xué)版), 2016. 43(6): 758-761.

[6] L. Zhang, F. Zhang, et al, Simulatable certificateless two-party authenticated key agreement protocol[J]. Information Sciences 180(6), (2010): 1020-1030.

[7] L. Zhang, Certificateless one-pass and two-party authenticated key agreement protocol and its extensions[J] Information Sciences, 293, (2015): 182-195.

[8] Debiao He, Sahadeo Padhyeb, et al, An efficient certificateless two-party authenticated key agreement protocol[J].Computers and Mathematics with Applications 64, (2012):1914-1926.

[9] Liang Ni, Gongliang Chen, et al, Strongly secure identity-based authenticated key agreement protocols without bilinear pairings[J]. Information Sciences 367–368, (2016):176-193.

[10] SK Hafizul Islam, G.P. Biswas, A pairing-free identity-based two-party authenticated key agreement protocol for secure and efficient communication[J]. Journal of King Saud University Computer and Information Sciences, 2017, 29(1):63-73.

A New Two-party Authenticated and Key Agreement Protocol for Mobile Devices

WANG Jia-qiang, KANG Bao-yuan, SHAO Dong-yang
(School of Computer Science and Software Engineering, Tianjin Polytechnic University, Tianjin 300387, China)

With the development of modern Internet, the frequency of our online communication is growing. But,the problem of how to confirm the identity and ensure the safety of the communication content has been concerned.And the Authenticated and Key Agreement Protocol is used to solve this problem. However, there are some drawbacks of authentication in several existing AKA protocols, and it is dangerous to accomplish the shared session key without verifying the identity of the two-party. In this paper, we proposed an improved AKA protocol by analyzing Liang Ni[10]s’ protocol. We also analyze the security of the protocol. The result show that new protocol can resist the man-in-the-middle attack, impersonation attacks ... And new AKA protocol is particularly suitable for resource-constrained mobile devices for the bilinear parings is not included.

: Authenticated; Key Agreement; Information security; Cryptography; Elliptic curve

TP309.7

A

10.3969/j.issn.1003-6970.2017.10.013

本文著錄格式：王佳強(qiáng)，亢保元，邵棟陽(yáng). 一個(gè)新的適用于移動(dòng)設(shè)備的雙方身份認(rèn)證與密鑰共識(shí)協(xié)議[J]. 軟件，2017，38（10）：73-76

本文受到天津市應(yīng)用基礎(chǔ)與前沿技術(shù)研究計(jì)劃項(xiàng)目(項(xiàng)目編號(hào)：No.15JCYBJC15900)

王佳強(qiáng)(1991-)，男，山西運(yùn)城人，碩士研究生，主要研究方向：密碼學(xué)、信息安全、身份認(rèn)證與密鑰共識(shí)；亢保元(1965-)，男，陜西鳳翔人，教授，博士，主要研究方向：密碼學(xué)、信息安全、數(shù)字簽名、身份認(rèn)證與密鑰共識(shí)、電子貨幣。