任勇軍,王建東,莊毅,王箭,徐大專

(南京航空航天大學(xué) 信息科學(xué)與技術(shù)學(xué)院, 江蘇，南京 210016)

在安全通信領(lǐng)域,密鑰協(xié)商協(xié)議具有重要的基礎(chǔ)性作用. 王圣寶等提出了第一個標(biāo)準(zhǔn)模型下基于身份的兩方認(rèn)證密鑰協(xié)商協(xié)議[1](記為Wang協(xié)議),但是其安全性證明是不完整的. 該協(xié)議使用了一個密鑰抽取函數(shù)H2,但沒有對其性質(zhì)進(jìn)行說明,在證明中也沒有使用該函數(shù). 實際上,密鑰抽取函數(shù)兼有隨機提取器的功能[2]. 在標(biāo)準(zhǔn)模型下通信方協(xié)商得到的信息首先需要使用隨機提取器以獲得高熵的比特串,然后再進(jìn)行密鑰抽取操作才能夠保證會話密鑰是一個在密鑰空間均勻分布的比特串. Chevassut等[2]已經(jīng)證明不正確地選用密鑰抽取函數(shù)會產(chǎn)生一個固定的會話密鑰值,導(dǎo)致協(xié)議不能抵抗攻擊者的攻擊. Colin等人提出采用密鑰封裝機制構(gòu)造密鑰協(xié)商協(xié)議的一般方法,并提出了3個基于身份的密鑰封裝方案,以此為基礎(chǔ)構(gòu)造了3個兩方認(rèn)證密鑰協(xié)商協(xié)議[3](分別記為IBAK1，IBAK2和IBAK3),將協(xié)議的安全性規(guī)約為密鑰封裝方案的安全性,但是并沒有對所提出的三個基于身份的密鑰封裝方案的安全性進(jìn)行證明,無法保證所提出協(xié)議的安全性. 而且IBAK1和IBAK2協(xié)議使用了Water式的Hash函數(shù),導(dǎo)致系統(tǒng)的公鑰過大,安全性證明規(guī)約松散,協(xié)議IBAK3存在密文過長,所需傳輸數(shù)據(jù)量過大[4]. 最近Tian等人也提出了一個標(biāo)準(zhǔn)模型下可證安全的認(rèn)證密鑰協(xié)商協(xié)議[5](記為Tian協(xié)議),但使用了較弱的安全模型(BR模型)進(jìn)行證明.

作者采用MTI協(xié)議族的加密-解密密鑰協(xié)商思想,并根據(jù)密鑰抽取函數(shù)的功能,將密鑰抽取階段細(xì)化為隨機提取和密鑰抽取兩個步驟,以Kiltz等人的選擇密文安全(chosen ciphertext attack2, CCA2)的基于身份的加密(identity-based encryption, IBE)方案[4]為基礎(chǔ),設(shè)計了一個新的標(biāo)準(zhǔn)模型下基于身份的認(rèn)證密鑰協(xié)商協(xié)議IBAKE,使用改進(jìn)的Canetti-Krawczyk模型[6](記為CK2005模型)形式化證明了該協(xié)議的安全性.

1 形式化安全模型

Krawczyk指出CK2001模型[7]不能抵抗KCI攻擊和提供前向安全性,改進(jìn)了CK2001模型,記為CK2005模型[6],作者使用該模型對IBAKE協(xié)議進(jìn)行形式化證明.

定義1安全密鑰協(xié)商協(xié)議.若一個密鑰協(xié)商協(xié)議滿足如下兩個條件：① 任何兩個未腐化的協(xié)議參加者如果擁有匹配會話,那么它們就能夠計算獲得一個相同的會話密鑰；② 對于任何惡性攻擊者E,AE是可忽略的，那么稱該協(xié)議是一個安全的密鑰協(xié)商協(xié)議.

2 新協(xié)議

2.1 IBAKE協(xié)議描述

系統(tǒng)內(nèi)存在一個私鑰生成中心(private key generator, PKG)負(fù)責(zé)為用戶生成和安全分發(fā)長期私鑰,兩個用戶A和B希望通過IBAKE協(xié)商達(dá)成一個共享會話密鑰. PKG 選取階為素數(shù)p的乘法交換群G1，G2,雙線性對e:G1×G1→G2,G1上的生成元f和g,隨機整數(shù)α,β,γ∈Zp,計算g1=gα,v1=e(g,g)β,v2=e(g,g)γ. 用戶A和B的長期私鑰didi=(si,1,si,2,di,1,di,2),i∈{A,B},其中

IBAKE協(xié)議由3個階段組成：系統(tǒng)建立,私鑰生成和密鑰協(xié)商階段. 其中,系統(tǒng)建立和私鑰生成階段與Kiltz基于身份的加密方案[4]完全相同. 密鑰協(xié)商階段由3部分組成：加密、解密和計算.

2.1.1 加密

A和B分別隨機選取rA和rB(rA,rB∈Zp),然后分別執(zhí)行如下的加密操作.

2.1.2 解密

A和B接收到消息后,分別使用自己的私鑰執(zhí)行解密操作.

2.1.3 計算

2.2 性能比較

根據(jù)文獻(xiàn)[3-4]中給出的各基本運算的參考計算成本(G1上指數(shù)運算的成本為1,其它運算以此為參照),對現(xiàn)有標(biāo)準(zhǔn)模型下各認(rèn)證密鑰協(xié)商協(xié)議的計算成本及通信效率進(jìn)行了比較. 根據(jù)文獻(xiàn)[4]中超奇異橢圓曲線80 bit安全級別G1和G2上元素的長度分別為512 bit和1 024 bit,MAC的長度為80 bit,對各協(xié)議的公鑰和密文長度進(jìn)行了計算比較. Tian等[5]提出的協(xié)議是一個顯式密鑰認(rèn)證的3次傳遞協(xié)議,為便于量化比較,將其化為隱式密鑰認(rèn)證的2次傳遞協(xié)議,比較結(jié)果如表1所示. 結(jié)果表明,與現(xiàn)有的標(biāo)準(zhǔn)模型下基于身份的認(rèn)證密鑰協(xié)商協(xié)議相比,IBAKE協(xié)議的各項性能都較好,計算效率是所有協(xié)議中最高的,每個通信方所需傳遞的通信量只比最好的協(xié)議多了一個群G1上的成員(即512 bit).

表1 協(xié)議性能比較

3 安全性證明

定理如果IBAKE中應(yīng)用CCA2安全的IBE,Exct(·)是(m,ε)-隨機提取器,expd(·)屬于偽隨機函數(shù)族F,群G1上的判定性DH假設(shè)成立,那么IBAKE是一個安全的認(rèn)證密鑰協(xié)商協(xié)議.

證明首先IBAKE協(xié)議滿足定義1中的條件①：若兩個協(xié)議參與者都沒有被腐化,那么它們不可能被攻擊者冒充；若其會話是匹配的,則它們正確地收到了對方發(fā)來的協(xié)議消息,因此能夠計算獲得相同的會話密鑰. 下面,為證明條件②也是滿足的,提出引理1.

引理1設(shè)E是協(xié)議IBAKE的任意一個攻擊者,E的優(yōu)勢滿足下式：

證明根據(jù)測試會話的兩個參與者是否已被腐化兩種情況,使用一系列攻擊游戲證明引理1.

3.1 情況1

在測試會話的兩個參與者沒有被腐化的情況下,使用如下6個游戲證明其安全性.

游戲0這是協(xié)議的最初狀態(tài),一個隨機比特b被選擇,當(dāng)b=0時,向測試會話查詢返回真實值,當(dāng)b=1時,隨機從U2中選擇一個數(shù)作為對測試會話查詢的回答.

游戲1此游戲除了下面這點外與游戲0相同：如果兩個不同的會話擁有相同的意定伙伴,并且產(chǎn)生相同的消息,那么協(xié)議就中止執(zhí)行.

游戲2此游戲除了下面這點外與游戲1相同：游戲開始攻擊者隨機選擇一個數(shù)m∈{1,2,…,norac},設(shè)通信方進(jìn)行的第m次會話稱為標(biāo)記會話,其預(yù)言機稱為標(biāo)記預(yù)言機. 若該會話不是測試會話,則協(xié)議中止,攻擊者E攻擊失敗,輸出一個隨機比特. 設(shè)該預(yù)言機的輸入信息為C,輸出信息為C*,會話的擁有者為T,其意定伙伴為T*.

游戲4游戲4除了下面這點外,其它部分與游戲3相同：從U1中隨機選取K″*(即K″*∈U1),并用于代替Exctk(K′*)進(jìn)行計算.

游戲5此游戲與游戲4的區(qū)別只在于：當(dāng)任何s′需要使用ExpdK″*(s′)計算會話密鑰時,就從U2中隨機選取一個值代替ExpdK″*(s′)進(jìn)行計算.

3.2 情況1安全分析

設(shè)σi表示攻擊者E在游戲i中正確猜中b這一事件,τi表示攻擊者E在游戲i中的優(yōu)勢,即有τi=|2P[σi]-1|. 當(dāng)事件M不發(fā)生時,游戲i和i+1相同,有

[M].

(1)

從游戲0到游戲2的分析：設(shè)PsameMsg是兩個或者多個會話產(chǎn)生相同消息的概率,因此有

由式(1)有

則

(2)

游戲2中,由于錯誤選擇m而導(dǎo)致協(xié)議中止執(zhí)行的概率為1-1/norac. 根據(jù)式(1)有noracτ2=τ1,帶入式(2)得

(3)

游戲3的分析：游戲開始時,攻擊者S獲得系統(tǒng)公鑰kp,除了當(dāng)激活標(biāo)記會話時,S就像游戲2所描述那樣運行,并產(chǎn)生一個將要進(jìn)行測試的用戶eT*. 當(dāng)S收到密文C*和K′*之后,它將C*作為標(biāo)記會話的輸出,將K′*作為解密算法Dec(kp,KeyDer(kp,u,eT*),C*)的結(jié)果用于計算,以回答當(dāng)b=0時的測試會話查詢. 所有由E提出的合法查詢S都能夠使用它的預(yù)言機進(jìn)行回答. 當(dāng)E中止協(xié)議執(zhí)行并輸出b′時,S停止并輸出1-b′,有

P[σ2]-P[σ3],

τ2=|2P[σ2]-1|≤|2P[σ2]-2P[σ3]|+

|2P[σ3]-1|,

因此

(4)

τ3=|2P[σ3]-1|≤|2P[σ3]-2P[σ4]|+

|2P[σ4]-1|≤2ε+τ4.

(5)

|P[σ4]-P[σ5]|,

那么

τ4=|2P[σ4]-1|≤|2P[σ4]-2P[σ5]|+

(6)

設(shè)當(dāng)b=0時,返回的測試會話查詢?yōu)镽1⊕ExdpKT*(s′)；當(dāng)b=1時返回R2,R1和R2都是從U2中隨機選取的,因此攻擊者E不能直接獲得關(guān)于R1和R2的任何信息,使得攻擊者E不能獲得b的任何信息,所以

τ5=0.

(7)

由式(3)～(7)有

(8)

3.3 情況2

在測試會話的任何一方參與者被腐化的情況下,使用以下4個游戲證明其安全性.

游戲0選擇一個隨機比特b,當(dāng)b=0時,測試會話查詢返回真實值;當(dāng)b=1時,隨機從U2中選擇一個數(shù)作為對測試會話查詢的回答.

游戲1此游戲除了下面這點外與游戲0相同：游戲剛開始就隨機選擇j,j*∈{1,2,…,norac},設(shè)T和T*分別是第j和j*次會話的擁有者. 若T的第j次會話不是測試會話,或T*的第j*次會話的輸出不是測試會話的輸入,協(xié)議就停止運行,攻擊者E攻擊失敗,輸出一個隨機比特. 而且除了隨機選取h∈G1用Exctk(h)代替KTT*″,測試會話和其匹配會話的會話密鑰照常計算.

游戲2除了下面這點外,其它部分與游戲1相同：從U1中隨機選取K″(即K″∈U1),并用于代替Exctk(h)進(jìn)行計算.

游戲3游戲3與游戲2的區(qū)別只在于：當(dāng)對于任何s′需要使用ExpdK″(s′)計算會話密鑰時,就從U2中隨機選取一個值代替ExpdK″(s′)進(jìn)行計算.

3.4 情況2安全分析

(9)

游戲2的分析：情況2中游戲2的安全分析與情況1中游戲4的相同,由此有

τ1≤2ε+τ2.

(10)

游戲3的分析：情況2中游戲3的安全分析與情況1游戲5的相同,有

(11)

因測試會話密鑰獨立于所有其它會話,且只有測試會話擁有相應(yīng)的測試會話標(biāo)識符,故在游戲3中E沒有優(yōu)勢猜中b,即

τ3=0,

(12)

綜合式(8)～(12),有

(13)

3.5 綜合情況1和2的安全分析

設(shè)M表示測試會話有匹配會話這一事件,σ表示E在協(xié)議IBAKE中正確猜中了b. 那么有：

AE(k)=|2P[σ]-1|,P[σ]=P[σ|M]P[M]+P[σ|M]P[M]=P[σ|M]+P[M](P[σ|M]-P[σ|M]),故min(P[σ|M],P[σ|M])≤P[σ]≤max(P[σ|M],P[σ|M]),則

AE(k)≤max(AE(k)|M,AE(k)|M).

(14)

引理1得證.

因為上述優(yōu)勢是可忽略的,定義1規(guī)定的安全密鑰協(xié)商協(xié)議所需的條件②也得到滿足,所以協(xié)議IBAKE是一個安全的密鑰協(xié)商協(xié)議,定理得證.

4 結(jié) 論

利用MTI協(xié)議族的加密-解密密鑰協(xié)商思想,以Kiltz等人CCA2安全的IBE方案為基礎(chǔ),設(shè)計了一個新的基于身份的兩方認(rèn)證密鑰協(xié)商協(xié)議IBAKE,與現(xiàn)有的標(biāo)準(zhǔn)模型下基于身份的密鑰協(xié)商協(xié)議相比,該協(xié)議在計算效率、公鑰長度、通信效率等方面性能都較好,而且使用CK2005模型形式化證明了該協(xié)議的安全性.

參考文獻(xiàn)：

[1]王圣寶,曹珍富,董曉蕾.標(biāo)準(zhǔn)模型下可證安全的身份基認(rèn)證密鑰協(xié)商協(xié)議[J].計算機學(xué)報,2007,30(10):1842-1852．

Wang Shengbao, Cao Zhenfu, Dong Xiaolei. Provably secure identity-based authenticated key agreement protocols in the standard model[J]. Chinese Journal of Computers, 2007,30(10):1842-1852. (in Chinese)

[2]Chevassut O, Fouque P A, Gaudry P. Key derivation and randomness extraction[OL/EB]. (2005-02-11)[2005-02-11]http:∥eprint.iacr.org/2005/061．

[3]Colin B,Yvonne C,Juan G N, et al. Efficient one-round key exchange in the standard model[C]∥Proceedings of ACISP 2008, LNCS 5107. Berlin: Springer-Verlag, 2008:69-84．

[4]Eike K,Yevgeniy V. CCA2 Secure IBE: standard model efficiency through authenticated symmetric encryption[C]∥Proceedings of CT-RSA’08, LNCS 4964. Berlin: Springer-Verlag, 2008：221-239．

[5]Tian H B, Susilo W, Yang M. A provable secure ID-based explicit authenticated key agreement protocol without random oracles[J].Journal of Computer Science and Technology, 2008,23(5):832-842．

[6]Krawczyk H. HMQV: a high-performance secure Diffie-Hellman protocol[C]∥Proceedings of CRYPTO’05, LNCS 3621. Berlin：Springer-Verlag, 2005：546-566．

[7]Canetti R, Krawczyk H. Analysis of key-exchange protocols and their use for building secure channels[C]∥Proceedings of EUROCRYPT 2001, LNCS 3122. Berlin：Springer-Verlag, 2001：453-474．