陳開(kāi)兵，侯整風(fēng)

（1.合肥工業(yè)大學(xué) 計(jì)算機(jī)與信息學(xué)院，安徽 合肥230022；2.滁州職業(yè)技術(shù)學(xué)院 經(jīng)濟(jì)貿(mào)易系，安徽 滁州239000）

0 引 言

完全放開(kāi)的網(wǎng)絡(luò)情境下的雙方密鑰協(xié)商的問(wèn)題中，如何保證協(xié)議的高效性和安全性，是一個(gè)亟待解決的問(wèn)題［1］。Rogaway和Bellare［2－5］在1993年指出的BR 模型，是已知的第一個(gè)密鑰模型。Rubin和Shoup［3］在之后將其向智能卡領(lǐng)域推廣。然后，Krawczyk以及Canetti［4］在2001年建立CK模型，其在很大程度上對(duì)形式化證明的過(guò)程進(jìn)行簡(jiǎn)化，但也無(wú)法保證可以抵擋敵對(duì)技術(shù)的攻擊，比如偽裝技術(shù)，以及泄密技術(shù)［5］。近些年來(lái)，微軟公司為了彌補(bǔ)以上技術(shù)問(wèn)題，把密鑰的安全問(wèn)題融合成一，推出擴(kuò)展型CK 模型［6，7］，即eCK，而eCK 所具有的匹配式會(huì)話，對(duì)通信方進(jìn)行定義，其能給予當(dāng)今最安全的密鑰協(xié)商協(xié)議［8］。

為了保障交流的安全性，密鑰協(xié)商協(xié)議將提供一個(gè)會(huì)話密鑰，其利用的是例如互聯(lián)網(wǎng)等不安全信道，它作用于通信的身份認(rèn)證性、保密性等等安全保障，但過(guò)于復(fù)雜勢(shì)必增加協(xié)議的計(jì)算量。本文提出了一種雙輪雙方認(rèn)證密鑰協(xié)商協(xié)議，對(duì)于新形式的兩輪密鑰協(xié)商會(huì)議進(jìn)行嚴(yán)謹(jǐn)?shù)淖C明，另外，還可進(jìn)行三輪共同認(rèn)證的可確認(rèn)的密鑰協(xié)商會(huì)議，即SAKA－C。

1 密鑰協(xié)商協(xié)議

1.1 安全目標(biāo)

關(guān)于雙方認(rèn)證的密鑰協(xié)商協(xié)議，不能只是用簡(jiǎn)潔的描述去定義安全性，因其具有許多攻擊場(chǎng)景存在。目前通常認(rèn)定的下屬3種安全屬性，極有可能具有攻擊性：

1.1.1 弱勢(shì)完全前向安全性

前向安全性定義為：假如協(xié)議參與者的私鑰一直被敵對(duì)方掌握，但敵對(duì)方卻無(wú)法獲悉參與者處于私鑰泄漏前知曉通信密鑰。另外，前向安全性根據(jù)通信性質(zhì)，分為完美前向安全性以及弱勢(shì)完美前向安全性，即研究中提及的PFS以及WPFS［10］。

1.1.2 AKA 安全

在密鑰發(fā)展過(guò)程中，一般都取得了相關(guān)安全模型的證明：敵對(duì)方能夠控制所有使用非安全通信環(huán)境的通信過(guò)程，包括延遲、篡改內(nèi)容，重播或者監(jiān)聽(tīng)通信等等，敵對(duì)方還可以獲取部分參與者使用的私鑰。而所謂的AKA 安全，指的是地多方選取部分參與者做出密鑰協(xié)商，如若一個(gè)新產(chǎn)生的通信過(guò)程中的會(huì)話密鑰以及其隨機(jī)值，是不可以忽略概率進(jìn)行辨別的［9］。

1.1.3 防止密鑰泄露偽裝攻擊

如若M 和N 是密鑰協(xié)商協(xié)議的參與者，如若M 的私鑰被敵對(duì)方長(zhǎng)期知曉，那么敵對(duì)方就可以假冒以M 的名義與另外的協(xié)議參與者進(jìn)行會(huì)話。但是，加入這份協(xié)議為防止密鑰泄露偽裝攻擊，那么即使私鑰泄密，敵對(duì)方也無(wú)法反過(guò)來(lái)假冒其他的參與者，如實(shí)體M［11］。

1.2 eCK 安全模型

通過(guò)對(duì)微軟公司3 位學(xué)者LaMacchia、Lauter 以及Mityagin［12］開(kāi)發(fā)的eCK 模型進(jìn)行研究，進(jìn)行下述探討：

敵對(duì)方。敵對(duì)方D 將主動(dòng)攻擊參與者。在eCK 下，敵對(duì)方可以隨意延遲、篡改內(nèi)容，重播或者監(jiān)聽(tīng)通信。換句話時(shí)候，D 能夠?qū)?huì)話網(wǎng)絡(luò)進(jìn)行完全的掌控。

通過(guò)上述角色的概念界定，對(duì)通信方認(rèn)證的密鑰協(xié)商協(xié)議安全與否進(jìn)行衡量。由此，D 是可以實(shí)現(xiàn)語(yǔ)言機(jī)查詢(xún)的，而且是自適應(yīng)與無(wú)序的。

根據(jù)協(xié)議規(guī)范對(duì)消息d進(jìn)行反饋。同時(shí)，運(yùn)用這個(gè)查詢(xún)，敵對(duì)方發(fā)起參與者之一，例如如M，進(jìn)行與另一方，例如N，進(jìn)行名字叫Q 的對(duì)話；

（2）Long－term－Key－Reveal（M）。敵對(duì)方D 通過(guò)對(duì)該通話進(jìn)行查詢(xún)，取得M 長(zhǎng)期使用的私鑰；

（5）Establish－Party（M）。敵對(duì)方M 運(yùn)動(dòng)該查詢(xún)能在CA 中獲得M 使用的公鑰；

該模型的結(jié)尾部分，敵對(duì)方D 將錄入值n′，當(dāng)做是關(guān)于n的辨別，如n′＝n，敵對(duì)方D 取得勝利。

通過(guò)上述解析，將對(duì)協(xié)商協(xié)議的安全性以及通信的新鮮性進(jìn)行定義。如下所示：

（1）敵對(duì)方并未關(guān)于參與者M(jìn)，N 做出Ephemeral－Key－Reveal以及Long－term－Key－Reveal查詢(xún)；

則叫做協(xié)議是新鮮的。

和CK 模型比較而言，eCK 模型對(duì)臨時(shí)的私鑰外泄以及密鑰偽裝攻擊進(jìn)行具有一定的抵抗能力。另外，eCK 能讓敵對(duì)方D 進(jìn)行同時(shí)的Ephemeral－Key－Reveal以及Longterm－Key－Reveal查詢(xún)。

2 雙方認(rèn)證密鑰協(xié)商協(xié)議

本文中將對(duì)兩方認(rèn)證的新密鑰協(xié)商協(xié)議中兩個(gè)模型進(jìn)行分析，定義名稱(chēng)叫做SAKA、SAKA－C。SAKA－C 擁有SAKA 的特性，以及密鑰確認(rèn)功能。

2.1 符號(hào)說(shuō)明

下述符號(hào)對(duì)全文適用。

IDM，IDN：有關(guān)參與者M(jìn)、N 身份的認(rèn)證識(shí)別；

x，y：素?cái)?shù)，滿足RSA 安全需求，y｜（x－1）；

S：｛0 ，1 ｝u→ ｛0 ，1｝θ：θ是安全參數(shù)，是理想的Hash 函數(shù)；

S1：｛0 ，1 ｝u→：被參與者用作隱藏長(zhǎng)期以及臨時(shí)私鑰，是理想的Hash函數(shù)；

h：利用y當(dāng)做階的群H 組成生成元；

SK：參與者M(jìn)、N 協(xié)商取得的通信密鑰。

2.2 雙方認(rèn)證密鑰協(xié)商協(xié)議不帶密鑰確認(rèn)

圖1表明，新協(xié)議SAKA里M，N兩個(gè)參與者相繼運(yùn)行。

圖1 SAKA 協(xié)議

換算a ＝S1（m，），Um＝（）amodx，pm＝a／（Um＋m）mody，Tm＝hUm modx 把（Tm，pm）向B進(jìn)行傳遞。

（3）接（Tm，pm），N 核計(jì)Um＝（Tm）npmmodx，證實(shí)右式Tm＝hUm modx 正確性。如正確，那么B 任意選擇∈Zuy當(dāng)做臨時(shí)的一個(gè)私鑰。同時(shí)核算b ＝S1（n，），Un＝）bmodx，pn＝b／（UN＋n）modx，TN＝hUN modx。

（4）接（TN，pN），M 核計(jì)UN＝（TN）mpNmodx同時(shí)證實(shí)右式TN＝hUN modx 正確性。如正確，核計(jì)U ＝和SK ＝S（U，pM，pN，IDM，IDN）。

最后，M、N 成功構(gòu)建通信密鑰SK。

2.3 協(xié)議的安全屬性

這里主要具體闡述SKAK 協(xié)商協(xié)議的安全屬性，給予該協(xié)議對(duì)冒充、共享以及重放等等攻擊有較強(qiáng)的抵御能力。

2.3.1 抵抗未知密鑰共享攻擊

假若有M、N 的相關(guān)信息 （IDM和IDN）并未包括在SAKA 協(xié)議的通信密鑰中，下述未知密鑰共享攻擊：

敵對(duì)方D 很有可能把M 長(zhǎng)期的公鑰設(shè)置成自己的，由于CA 不會(huì)驗(yàn)證用戶(hù)與公鑰的關(guān)系。然后D 公布（，IDD）。運(yùn)用圖2的描述，N 就會(huì)相信該消息是D 通過(guò)SK加密密鑰發(fā)送給自己的。

圖2 共享攻擊

（1）假設(shè)M、N 進(jìn)行通信，命名Session 1。此時(shí)D 發(fā)起通信Session 2，把從Session 1 里獲取的信息（TM，pM）向N 發(fā)送；

（3）D 取得（T′N(xiāo)，p′N(xiāo)），把（TN，pN）向M 傳遞。那么M 和N 通過(guò)Session1和Session2兩個(gè)通信，同樣能獲得密鑰SK。此時(shí)M 覺(jué)得與D 在Session1里構(gòu)建了通信密鑰，而N 覺(jué)得與D 在Session2里構(gòu)建了通信密鑰。在之后會(huì)話中，D 就獲取M 使用的Session1里加密信息，在Session2里傳遞N。因N 同樣有SK 密鑰，就能夠知曉這個(gè)是D 發(fā)送的。處于eCK 模型下，D 能夠采取Session－Key－Reveal從而取得密鑰SK，指令Test通信為Session1，進(jìn)而獲取該角逐的勝利。

2.3.2 抵抗重放攻擊

重放攻擊，指的是敵對(duì)方運(yùn)用已獲取的通信消息來(lái)取得新通信私密消息的動(dòng)作。M、N 在SAKA 協(xié)議的每次通信均要選取新∈以及∈當(dāng)做此次通信的臨時(shí)私鑰。運(yùn)用以及 槇b核計(jì)新（TM，pM）以及（TN，pN）。因通信生成的私鑰每次都有差別，所以可以避免重放攻擊。

2.3.3 抵抗冒充攻擊

2.4 帶密鑰確認(rèn)的雙方認(rèn)證密鑰協(xié)商協(xié)議

DoS，拒絕服務(wù) （denial of service），經(jīng)常會(huì)攻擊那些沒(méi)有確認(rèn)密鑰的應(yīng)用。若M 在雙方協(xié)商中擁有正確的通信密鑰，但因?yàn)閿硨?duì)方D 的攻擊，使得B 參與者獲取了錯(cuò)誤的密鑰SK’。如若M 在具有密鑰的SK 取得消息，則參與者N 不能取得密鑰，那么結(jié)果會(huì)是M 不斷發(fā)出信息，繼而取得正解。這將會(huì)使得網(wǎng)絡(luò)資源造成極大浪費(fèi)，進(jìn)而發(fā)展成網(wǎng)絡(luò)大塞車(chē)。

添加消息認(rèn)證碼 （MAC），是SAKA－C 協(xié)議用來(lái)確認(rèn)密鑰實(shí)現(xiàn)的方法，但其也保障了協(xié)商協(xié)議的完美前向安全性。如圖3所示。

3 討 論

圖3 SAKA－C協(xié)議

在本文前文敘述中，關(guān)于eCK 模型中闡述了SAKA 協(xié)議安全問(wèn)題，而SAKA－C協(xié)議的安全性能用該方法進(jìn)行證實(shí)。因此本章將以SKKA 為例進(jìn)行證明，并提出公鑰基礎(chǔ)設(shè)施在安全模型、核計(jì)量以等等比較。

3.1 SAKA的安全性探討

定理 假設(shè)S：｛ 0 ，1 ｝u→ ｛0， 1｝θ為任意預(yù)言機(jī)，CDH假設(shè)在群H 中可執(zhí)行，即SAKA 在eCK 模型內(nèi)顯示安全狀態(tài)。若D處于多項(xiàng)式中，運(yùn)用查詢(xún)到n個(gè)參與者以及至多k次通信用（D）取得勝利，必定具有一個(gè)模擬器P，能夠處于多項(xiàng)式時(shí)間中比AdvA∏KA（S）更能掌握CDH 問(wèn)題。加上因S是任意預(yù)言機(jī)SK ＝S（U，pM，pN，IDM，IDN）。若D 處于多項(xiàng)式時(shí)間中以無(wú)法忽略的概率取得勝利此時(shí)D 將運(yùn)用下述兩種方法來(lái)區(qū)分真實(shí)的通信密鑰以及任意值：

情形1：密鑰復(fù)制攻擊 （key replication at－tack）.M 開(kāi)啟通信c，構(gòu)建和Test會(huì)話一樣的通信密鑰SK。D 就能運(yùn)用Session－Key－Reveal流程獲取C 的通信密鑰，進(jìn)而取得Test通信密鑰。

情形2：偽造攻擊 （forging attack）。D 能夠核計(jì)出U，進(jìn)而經(jīng)S取得SK。

有關(guān)情形1，按照假設(shè)，S是任意預(yù)言機(jī)，并且通信參與者獲得的私鑰不一樣。因參與者在eCK 模型下不能做出Long－term－Key－Reveal以及Ephemeral－Key－Reveal查詢(xún)，所以不可能存在兩個(gè)通信具有一樣的參與者，還擁有一樣私鑰的情況。也就是情形1體積的攻擊不具有可能性。

有關(guān)情形2，通過(guò)對(duì)偽造攻擊的分析，下面會(huì)證實(shí)，假若D 用無(wú)法忽略的概率取得勝利，其可建立模擬器P，運(yùn)用D 無(wú)法忽略的概率處理CDH 問(wèn)題。

對(duì)于P的挑戰(zhàn) （U，V），P會(huì)和D 根據(jù)SAKA 協(xié)議程序進(jìn)行查詢(xún)，對(duì)參與者傳回的信息進(jìn)行修改，進(jìn)而可以在M 取得勝利后，P能夠處理CDH 問(wèn)題。下述有兩種情形：

情形3：Test通信具有匹配性，并為誠(chéng)實(shí)參與者所有；

有關(guān)情形3：

P任意選擇的通過(guò)M、N 進(jìn)行匹配通信，選取經(jīng)過(guò)是：任意選取通信兩個(gè)，證實(shí)其是否是匹配通信，因P 能夠選擇K 個(gè)通信，所以此次選取概率是2／k2。P把兩個(gè)通信里的TN用F替代，TM用E替代。開(kāi)始攻擊，D 有1／k2的概率選擇通信里當(dāng)做Test通信。那么其余的通信會(huì)當(dāng)做Test匹配通信。此時(shí)D 如果取得偽造攻擊勝利，P 就可以處理CDH 問(wèn)題。

實(shí)際上，SK ＝S（U，pM，pN，IDM，IDN），如D 取得SK，就能核計(jì)U，經(jīng)S查詢(xún)，取得SK。按上文的假設(shè)，K＝CDH（E，b）。所以，如D 取得偽造攻擊的勝利，P就可以處理CDH 問(wèn)題。

因eCK 模型下，D 不能在Test通信里的M 或N 一并采用Long－term－Key－Reveal以 及Ephemeral－Key－Reveal查詢(xún)，所以D 進(jìn)行（m，槇a）以及（n，槇b）查詢(xún)時(shí)概率能夠忽略。而S出現(xiàn)碰撞的幾率O（k2／2θ）因關(guān)于S的假設(shè)也能忽略。所以，P與D 有下屬優(yōu)勢(shì)

證畢。

3.2 性能分析

當(dāng)今，在eCK 模型下的兩輪雙方認(rèn)證密鑰協(xié)商協(xié)議很少。我們將選取類(lèi)似案例在安全能力以及核計(jì)量假設(shè)上做出比較。我們將在計(jì)算量中選取模指數(shù)運(yùn)算次數(shù)最耗時(shí)的方案進(jìn)行比較。表1TEXP顯示模指數(shù)運(yùn)算其中1次的時(shí)間。

表1 協(xié)議的性能比較

從表1可見(jiàn)，和Okamato協(xié)議比較，SAKA 在計(jì)算量上有明顯的優(yōu)勢(shì)。SAKA 和NAXOS 以及CMQV 比較，NAXOS以及CMQV 都是基于GDH 問(wèn)題，而前者需要的模指數(shù)運(yùn)算較多，但是該協(xié)議是基于CDH 問(wèn)題。據(jù)目前研究表明，相較GDH，CDH 更為標(biāo)準(zhǔn)。所以，SAKA 更具有安全性假設(shè)優(yōu)勢(shì)。

總的來(lái)說(shuō)，本文所闡述的新協(xié)議，可以對(duì)安全性以及計(jì)算量之間的假設(shè)進(jìn)行平衡，對(duì)兩個(gè)評(píng)價(jià)標(biāo)準(zhǔn)也有較均衡的體現(xiàn)。

4 結(jié)束語(yǔ)

本文對(duì)新的一種高效和安全性可證的雙方認(rèn)證和雙輪密鑰協(xié)商協(xié)議進(jìn)行闡述，通過(guò)對(duì)新協(xié)議在安全性方面的解析，提出在認(rèn)證密鑰協(xié)商時(shí)須審慎的方面；新協(xié)議有利于平衡計(jì)算量以及安全性中協(xié)議評(píng)價(jià)雙方的標(biāo)準(zhǔn)；再通過(guò)eCK 模型中，CDH 假設(shè)的證實(shí)協(xié)議的安全性。然后本文還提出帶密鑰的一種確認(rèn)屬性的協(xié)議，能夠?qū)奢嗠p方認(rèn)證協(xié)議補(bǔ)足不能實(shí)現(xiàn)密鑰確認(rèn)的問(wèn)題。另外，上述協(xié)議有關(guān)計(jì)算量中的特征仍不顯現(xiàn)，如若要在安全目標(biāo)與假設(shè)既定的前提下研究出計(jì)算量更小的協(xié)議，仍然需要進(jìn)一步的研究。

［1］ZHAO Jianjie，GU Dawu.Provably secure two－party authenticated key exchange protocol in eCK model［J］.Chianese Journal of Computers，2011，34 （1）：47－54 （in Chinese）.［趙建杰，谷大武.eCK 模型下可證明安全的雙方認(rèn)證密鑰協(xié)商協(xié)議［J］.計(jì)算機(jī)學(xué)報(bào)，2011，34 （1）：47－54.］

［2］CHEN Zemao，ZHAO Juange，LI Zheng.UMTS authentication and key agreement protocol based on certificate validity ticket［J］.Journal of Wuhan University of Technology，2012，34 （9）：129－134 （in Chinese）.［陳澤茂，趙俊閣，李錚.基于證書(shū)有效性憑據(jù)的UMTS認(rèn)證和密鑰協(xié)商協(xié)議 ［J］.武漢理工大學(xué)學(xué)報(bào)，2012，34 （9）：129－134.］

［3］La Macchia B，Lauter K，Mityagin A.Stronger security of authenticated key exchange ［G］.LNCS 4784：Prov Sec，2007：1－16.

［4］Boyd C，Cliff Y，Nieto J G，et al.Efficient one round key exchange in the standard model［G］.LNCS 5107：Information Security and Privacy，2008：69－83.

［5］LIU Tianhua，ZHU Hongfeng.An improved tree－based distributed group key agreement protocol［J］.Acta Armamentarii，2012，33 （6）：702－705 （in Chinese）.［劉天華，朱宏峰.一種基于樹(shù)結(jié)構(gòu)的分布式組密鑰協(xié)商協(xié)議 ［J］.兵工學(xué)報(bào)，2012，33 （6）：702－705.］

［6］ZHOU Yihua，LIU Liang.TPM based authenticated key agreement protocol with one－way anonymous［J］.Journal of Beijing University of Technology，2012，38 （9）：1372－1376 （in Chinese）.［周藝華，劉亮.基于TPM 的單向匿名認(rèn)證密鑰協(xié)商協(xié)議 ［J］.北京工業(yè)大學(xué)學(xué)報(bào)，2012，38 （9）：1372－1376.］

［7］Okamoto T.Authenticated key exchange and keyen capsulation in the standard model［G］.LNCS 4833：Asia Crypt，2007：474－484.

［8］ZHANG Longxiang.Improved two－party authenticated key agreement protocol［J］.Journal of Computer Applications，2012，32 （11）：3147－3148 （in Chinese）.［張龍翔.改進(jìn)的雙方密 鑰 協(xié) 商 協(xié) 議 ［J］. 計(jì) 算 機(jī) 用，2012，32 （11）：3147－3148.］

［9］WANG Ding，XUE Feng，WANG Liping，et al.Improved password based key agreement scheme with perfect forward secrecy ［J］.Journal of Shandong University （Natural Science），2012，47 （9）：19－25 （in Chinese）.［汪定，薛 鋒，王立萍，等.改進(jìn)的具有PFS特性的口令認(rèn)證密鑰協(xié)商方案 ［J］.山東大學(xué)學(xué)報(bào) （理學(xué)版），2012，47 （9）：19－25.］

［10］XU Ping，ZHANG Fangzhou，ZHANG Xiaoyu，et al.End－toend key agreement based on mobile network ［J］.Journal of Northeast Petroleum University，2012，36 （4）：74－78 （in Chinese）.［徐平，張方舟，張曉宇，等.基于移動(dòng)網(wǎng)絡(luò)的端到端密鑰協(xié)商協(xié)議 ［J］.東北石油大學(xué)學(xué)報(bào)，2012，36 （4）：74－78.］

［11］YANG Haomin，ZHANG Yaoxue，ZHOU Yuezhi.Certificateless two－party authenticated key agreement protocol based on bilinear pairings［J］.Journal of Tsinghua University （Science and Technology），2012，52 （9）：1293－1297 （in Chinese）.［楊浩民，張堯?qū)W，周悅芝.基于雙線性對(duì)的無(wú)證書(shū)兩方認(rèn)證密鑰協(xié)商協(xié)議［J］.清華大學(xué)學(xué)報(bào) （自然科學(xué)版），2012，52 （9）：1293－1297.］

［12］SHU Jian.Certificateless two－party authenticated key agreement protocol with provable security ［J］.Journal of Chinese Computer Systems，2012，33 （9）：2056－2063 （in Chinese）.［舒劍.可證安全的無(wú)證書(shū)兩方認(rèn)證密鑰協(xié)商協(xié)議 ［J］.小型微型計(jì)算機(jī)系統(tǒng)，2012，33 （9）：2056－2063.］