黃仁季，吳曉平，李洪成

（海軍工程大學信息安全系，湖北 武漢 430033）

基于身份標識加密的身份認證方案

黃仁季，吳曉平，李洪成

（海軍工程大學信息安全系，湖北 武漢 430033）

在大規(guī)模通信節(jié)點的網絡中，網絡節(jié)點數量大、設備種類多，傳統(tǒng)的PKI密碼體系存在證書管理困難與資源浪費的問題。設計了基于身份標識加密的節(jié)點雙向認證方案。利用基于身份的密碼加密對通信節(jié)點進行雙向的身份認證，解決了PKI體系中的數字證書管理問題；采用密鑰分割的方法解決了基于身份密碼體制所存在的密鑰托管問題。同時，在認證協(xié)議中引入隨機因子、時間戳、散列運算等防范各種網絡攻擊。最后，對加密算法的安全性和效率以及認證協(xié)議的安全性進行了分析，證明了認證方案是安全可靠的。

節(jié)點身份認證；基于身份的密碼體制；密鑰托管；加密

1　引言

身份認證又稱為實體認證，是網絡接入控制的中心環(huán)節(jié)。網絡節(jié)點身份認證是指網絡中的一方根據某種協(xié)議規(guī)范確認另一方身份并允許其做與身份對應的相關操作的過程。它為網絡提供了安全準入機制，是網絡安全的第一道屏障［1］。

網絡節(jié)點身份認證協(xié)議主要分為基于對稱密碼體制的認證協(xié)議、基于非對稱密碼體制的認證協(xié)議以及基于單向散列函數的認證協(xié)議等。傳統(tǒng)的基于對稱密碼的認證方案，即預共享密鑰配置方案［2］，包括矩陣密鑰預分配方案［3］與基于多項式的密鑰預分配方案等［4］。由于2個節(jié)點之間需要預共享密鑰，在大規(guī)模通信節(jié)點網絡中所需的共享密鑰數量較大，管理困難。傳統(tǒng)的非對稱密碼一般采用PKI實現(xiàn)，需要數字證書綁定節(jié)點的身份與公鑰，需要密管中心對數字證書進行管理，而PKI證書管理復雜，需要建造復雜的CA，證書發(fā)布、吊銷、驗證和保存需要占用較多的資源。為簡化公鑰證書的管理，1984年，Shamir引入了基于身份的密碼學（IBC， identity based cryptograph）。在IBC中，公鑰是代表用戶身份的任意字符串，比如用戶的名字、E-mail地址、手機號碼等；存在一個可信任的機構——私鑰生成器（PKG， private key generator）根據用戶的身份生成相應的私鑰：由于公鑰直接從身份信息中提取，證書和公鑰目錄是不必要的，因此，簡化了公鑰的管理，并由此帶來了不需要密鑰信道的非交互式通信以及不需要證書校驗，節(jié)約了計算和通信成本［5］。然而，基于身份加密體制因為可信任機構產生并分發(fā)用戶私鑰，存在密鑰托管的問題，另一方面，基于身份的加密算法基于雙線性對的運算，提高了運算的復雜度，目前的加密算法還存在不夠高效的問題［6］。

在大規(guī)模通信網絡中，通信設備之間相互通信之前首先要進行節(jié)點身份認證，確保通信雙方的安全可靠。網絡上通信設備數量大、種類多、通信實時性要求高，因此，通信節(jié)點之間的認證協(xié)議需要具有通用性與高效性，目前的許多認證方案不能滿足其要求［7］。針對大量通信設備之間通信情況下數字證書管理困難以及兩節(jié)點之間需要進行雙向認證的問題，本文設計了基于身份標識加密的網絡通信節(jié)點雙向認證方案。

2　相關理論

2.1雙線性Diffie-Hellman（BDH， bilinear diffie-hellman）問題

1）雙線性映射和雙線性群

①雙線性：

則說G是雙線性群，如G中的群運算是有效可計算的，而且存在有效可計算的和可容許雙線性映射

2）雙線性Diffie-Hellman假設

判定性BDH問題定義：輸入（P， aP， bP， cP，abcP）和（P， aP， bP， cP， μP），其中，a， b， c， μ， P均為隨機的，輸出YES。如果（P， aP， bP， cP， abcP）和（P， aP， bP， cP， μP）是多項式時間可區(qū)分的，算算法 A解決判定性 BDH問題的優(yōu)勢ε為如果不存在t時間的攻擊者至少以優(yōu)勢ε解決判定性BDH問題，則判定性（t，ε）-BDH假設成立。

3）BDH問題安全性結論［8］

①如果雙線性映射e是有效可計算的，則G中判定性 Diffie-Hellman（DDH， decisional diffie-hellman）問題是容易的。

②計算性 BDH問題能以多項式時間歸約為G或GT中的判定性 Diffie-Hellman（CDH， computational diffie-hellman）問題。

③對于P∈GT*定義一個G到GT的同構映射如果的逆映射存在，則計算性BDH問題是容易的；如果的逆映射存在，DDH問題在中是容易的；從G到的雙線性映射e是一個單向函數。

2.2基于身份加密的安全模型

在選定一個身份攻擊挑戰(zhàn)下，如果在多項式時間內敵手沒有一個不可忽略的優(yōu)勢贏得如下游戲挑戰(zhàn)，基于身份標識的加密（IBE， identity-based encryption）系統(tǒng)具有選擇密文安全性［8］。

系統(tǒng)建立：挑戰(zhàn)者運行系統(tǒng)建立過程算法，將params發(fā)送給敵手。

階段1 敵手自適應地發(fā)出查詢i次，每次可能為：1） 密鑰生成查詢，挑戰(zhàn)者在 IDi上運行KeyGen算法，并將產生的私鑰發(fā)給敵手；2） 解密查詢，挑戰(zhàn)者在身份IDi上運行KeyGen算法，利用生成的私鑰解密c1，并將結果發(fā)給敵手。

挑戰(zhàn)階段：敵手提交2個明文m1、m2和一個身份ID。ID必須在階段1的密鑰生成查詢中沒有出現(xiàn)過。挑戰(zhàn)者選擇一個隨機比特b，令

將c發(fā)送給敵手作為其挑戰(zhàn)密文。

階段2 除敵手不可以請求ID的私鑰和解密查詢（ID，C）外，同階段1。

猜測階段：敵手提交一個猜測的b’，如果與b相等，則敵手成功，稱敵手在上述挑戰(zhàn)過程中為一個IND-ID-CCA（選擇密文安全性）敵手。

3　基于身份標識加密的節(jié)點雙向認證方案

3.1 加密算法的構造

基于Waters IBE方案［8］，利用密鑰產生中心（KGC， key generate center）的分割，設計加密算法解決密鑰托管問題。密鑰分割方案如圖1所示。

圖1 密鑰托管問題解決方案

2） Extract（ msk， v）

通信節(jié)點收到每個KGC發(fā)送來的私鑰dv i后，合成自己真正的私鑰其中，

加解密一致性檢驗為

所以

3.2基于身份加密的節(jié)點雙向認證協(xié)議

認證協(xié)議在第3.1節(jié)加密算法的保護下完成節(jié)點認證，整體認證方案如圖2所示。

圖2　節(jié)點安全認證實施過程

假設兩通信設備節(jié)點A、B之間建立通信進行認證，使用3.1節(jié)中的加密算法E，具體步驟如下。

1）B向A發(fā)送指令，進行認證請求。即B向A發(fā)送信息Request||IDB||time，其中，Request為建立認證請求，IDB為B的身份信息，time為時間戳。

2）A接收到B的認證請求后向B發(fā)送認證回復并對自己的身份進行認證。A向 B發(fā)送信息E（Reply||IDA||N1||time||HASH，IDB）， 其中，Reply為對請求的回復，IDA為A的身份標識，N1為由A產生的隨機數，time為時間戳，HASH為對上述信息的散列值以進行完整性校驗，返回信息使用B的身份信息進行加密。

3）B接收到A的返回信息，利用自己的身份和自己的私鑰對消息解密，得到A的身份標識，對隨機數N1按照雙方事先約定的變換f進行變換返回給 B，具體消息內容為 E（f（N1）||N2||time|| HASH， IDA），其中，f（N1）為對隨機數N1的變換用以對方進行驗證，N2為由B生成的隨機數，time為時間戳，整個消息散列運算附后并由A的身份信息IDA進行加密。

4）A收到B的信息，利用自己的身份IDA以及自己的私鑰進行解密，得到 f（N1），并用自己剛才生成的N1計算f（N1）檢查是否一致，如果一致則通過了對B的身份認證，承認B的合法身份，同時對收到的N2進行f變換，用以B對自己的認證具體消息內容為 E（confirm||f（N2）||time||HASH， IDB），其中，confirm為認證通過確認，time為時間戳，對消息散列運算連在后面并用IDB進行加密。

5）B收到A的認證確認信息后，利用自己的身份和私鑰進行解密，用生成的N2計算f（N2）與收到的f（N2）比較是否一致，通過對A的身份認證，向A發(fā)送確認信息以及通信內容E（confirm||m ||time|| HASH， IDA），其中，confirm為對A的身份認證結果，time為時間戳， HASH為整個消息散列值，消息與其散列值通過A的身份進行加密。

6）A與B完成雙向身份認證，建立正常通信。

4　安全性及效率分析

4.1加密算法的安全性對比分析

對于用戶私鑰 d，要取得或生成私鑰須計算出主私鑰g2α，g2為公開參數，但α為秘密參數，所以，計算α可表示為：已知g和g1gα，求解α，即離散對數問題，具有計算復雜性。

選擇明文安全（IND-ID-CPA），即密文不會向任何計算能力為多項式界的攻擊者泄露有關明文的任何有用信息。如果對任何 t時間的IND-ID-CPA攻擊者A，做至多次私鑰提取查詢，有則 IBE方案是

本方案的加密過程基于Waters體制，所以，如果判定性 BDH假設成立，則-IND-ID-CPA是安全的［8］：其中，是私鑰提取查詢的最大次數。

在Waters的IBE體制下，其安全性不依賴隨機預言機，是標準模型下的IBE方案。如表1所示，與BasicIdent體制和FullIdent體制［9］等基于隨機預言的IBE方案相比，具有更高的安全性。與原始的Waters方案相比，本方案解決了密鑰托管問題，降低了由于 KGC受到攻擊或破壞而給整個網絡帶來的威脅。

表1　加密算法安全性對比

如表2所示，與BasicIdent體制和FullIdent體制相比［10］，加密方案在系統(tǒng)建立階段成本較高，多出一個數量級；但是在密鑰提取階段和加密階段具有相似的時間成本，只需要20 ms左右；在解密階段，計算成本比 BasicIdent體制和FullIdent體制多出10 ms，為30 ms?；谝陨戏治?，本方案的加解密過程在保證安全性的前提下效率沒有明顯下降，只在系統(tǒng)建立過程中較為耗時，但在實際應用中系統(tǒng)建立對時間成本要求不高，本方案仍具有較好的效率。

表2　加密算法性能對比

4.3節(jié)點雙向認證協(xié)議的安全性對比分析

認證協(xié)議主要通過雙方的隨機數N1和N2以及對雙方身份加密后信息的正確解密進行節(jié)點之間的身份認證，4.1節(jié)證明了加密算法的安全性，在加密算法安全時，節(jié)點之間的認證具有有效性。同時，本協(xié)議還具有以下抵御攻擊的能力。

1）重放攻擊［11，12］：方案通過設置挑戰(zhàn)隨機數和時間戳來防止重放攻擊，每次認證過程由雙方產生隨機數進行身份確認，每條消息均附有時間戳，使每一次在信道中傳輸的消息都不相同，攻擊者不能通過截獲歷史消息進行重放實現(xiàn)非法認證。

2）拒絕服務攻擊：攻擊者為了破壞網絡的服務，可以選擇對認證服務器或者認證者發(fā)動拒絕服務攻擊，耗費網絡資源。如果發(fā)生對認證者的拒絕服務攻擊，認證者在收到申請者發(fā)送的消息時，首先會檢查消息中認證者的隨機數與自己之前發(fā)送的是否一致，若不一致，則丟棄該分組，這在一定程度上可以抵抗對認證節(jié)點的拒絕服務攻擊。

3）雙向身份認證：雙向身份認證可以有效防范中間人攻擊。認證過程通過對雙方產生的隨機數的識別與利用雙方身份標識進行加密的技術結合，實現(xiàn)相互間身份的認證，可防范會話劫持。

4）消息完整性鑒別：通過對消息內容進行散列運算生成校驗碼，對消息內容的完整性進行鑒別，可以有效鑒別消息是否受到破壞、篡改或失真。對散列值利用基于身份密碼進行加密，保護完整性校驗信息的安全性，提高可靠度。

5）完善的加密機制：認證過程消息由基于身份的加密機制進行加密保護，有效保護了傳輸信息的安全性，防止受到劫獲與竊聽。同時，基于節(jié)點身份的加密與解密過程也具有對節(jié)點身份的認證作用，與認證內容相互補充。

如表 3所示，與現(xiàn)在網絡上廣泛使用的Kerberos、SSL等認證協(xié)議相比［13］，方案中的認證協(xié)議采用了基于身份的密碼體制，不需要用數字證書綁定節(jié)點的身份與公鑰，節(jié)省了證書的生產、存儲、使用成本；在大規(guī)模的網絡中不需要建立復雜的CA認證體系，節(jié)約了系統(tǒng)的構建成本，減少了系統(tǒng)的復雜度。與單純的基于身份密碼體制的認證相比，方案中加入了隨機因子、認證碼等因素，提高了認證的安全可靠性。

表3　認證協(xié)議對比

5　結束語

本文對Waters的基于身份加密算法進行了改進，解決了基于身份密碼的密鑰托管問題，并利用改進的IBE算法設計了網絡通信設備節(jié)點的雙向認證方案。認證方案以加密為基礎實現(xiàn)節(jié)點的身份認證，實現(xiàn)了通信設備節(jié)點間的雙向認證，利用隨機因子與散列值防范各種網絡攻擊。與傳統(tǒng)節(jié)點認證方案相比，本文方案免去了數字證書的管理，直接以節(jié)點身份作為公鑰，節(jié)約了管理成本，提高了使用效率。同時，本文方案將 IBE

體制融合入認證協(xié)議中，從算法和協(xié)議兩方面保證了認證的安全性，與其他基于身份的密碼相比，

在保證安全性的同時最大限度地保證認證的效率與通信流量的控制。在下一步工作中，還需要進一步改進加密方案，提高解密的效率；對認證協(xié)議優(yōu)化，不斷提高方案的運行效率。

［1］黎妹紅， 韓磊. 身份認證技術及應用［M］. 北京： 北京郵電大學出版社， 2012. LI M H， HAN L. Identity authentication technology and application［M］. Beijing： Beijing University of Posts and Telecommunications Press， 2012.

［2］ESCHENAUER L， GLIGOR V. A key-management scheme for distributed sensor networks［C］//The 9th ACM Conference on Computer and Communications Security. c2002： 41-47.

［3］DU W， DENG J， HAN Y S， et al. A pairwise key pre-distribution scheme for wireless sensor networks ［J］. ACM Transaction on Information and System Security， 2005， 8（2）： 228-258.

［4］LIU D， NING P. Establishing pairwise keys in distributed sensor networks［C］//The 10th ACM Conference on Computer and Communications Security. c2003： 52-61.

［5］楊浩淼， 邱樂德. 基于身份的公鑰密碼體制的研究［M］. 成都：電子科技大學出版社， 2012. YANG H M， QIU L D. Research on identity-based public key cryptosystem ［M］. Chengdu： University of Electronic Science and Technology Press， 2012.

［6］鄧倫治， 王祥斌， 瞿云云. 高效的基于身份的簽密方案［J］. 計算機工程與科學， 2014， 36（3）： 441-445. DENG L Z， WANG X B， QU Y Y. High-efficient signcryption scheme based on identity［J］. Computer Engineering & Science， 2014， 36（3）：441-445.

［7］馬陵勇， 卓澤朋， 廉玉忠.新的無證書簽密方案［J］. 吉林師范大學學報， 2014， 3： 93-95. MA L Y， ZHUO Z P， LIAN Y Z. New certificateless signcryption scheme［J］. Journal of Jilin Normal University， 2014， 3：93-95

［8］胡亮， 趙闊， 袁巍， 等. 基于身份的密碼學［M］. 北京： 高等教育出版社， 2011. HU L， ZHAO K， YUAN W， et al. The cryptography based on identity［M］. Beijing： Higher Education Press， 2011.

［9］BONEC D， FRANKLIN M. Identity-based encryption from the weil pairing［J］. Siam Journal on Computing， 2003， 32（3）： 213-229.

［10］李發(fā)根， 吳威峰. 基于配對的密碼學［M］. 北京： 科學出版社，2014. LI F G， WU W F. Based on the matching of cryptography ［M］. Beijing：Science Press， 2014.

［11］張麗， 郝身剛， 岳賢鋒.基于雙線性映射的匿名跨域認證方案［J］.河南師范大學學報，2013， 41（1）： 155-158. ZHANG L， HAO S G， QIU X F. An anonymous autentication for multi-domain based on the bilinear map［J］. Journal of Henan Normal University， 2013， 41（1）：155-158.

［12］劉團奇， 張浩軍， 趙志鵬. 一種云環(huán)境下基于身份的統(tǒng)一身份認證方案研究［J］. 中原工學院學報， 2015： 26（4）： 55-58. LIU T Q， ZHANG H J， ZHAO Z P. A unified identity authentication scheme research in cloud with ID-based［J］. Journal of Zhongyuan Institute of Technology， 2015， 26 （4）： 55-58.

［13］葉清. 網絡安全原理［M］. 武漢： 武漢大學出版社， 2014. YE Q. Network security principle［M］. Wuhan： Wuhan University Press， 2014.

Identity authentication scheme based on identity-based encryption

HUANG Ren-ji， WU Xiao-ping， LI Hong-cheng

（Department of Information Security， Naval University of Engineering， Wuhan 430033， China）

In large-scale communication nodes network， there are a large number of network nodes and so many types of equipment. So there are problems of certificate management difficulties and resource waste in the traditional PKI cryptosystem. A mutual node authentication scheme based on identity-based encryption， which solved the problem of the digital certificate management in the PKI system by the identity-based encryption and the key escrow problem in identity based cryptograph by splitting the key as well， was designed. At the same time， the introduction of random factor， timestamp and hash algorithm in the authentication protocol prevented various network attacks. Finally， the security and efficiency of the encryption algorithm and the security of the authentication protocol were analyzed， which proved the security and reliability of the authentication scheme.

node identity authentication， identity based cryptograph， key escrow， encryption

TP309.7

A

10.11959/j.issn.2096-109x.2016.00047

2016-04-07；

2016-05-06。通信作者：黃仁季，wuyingjituan@163.com

國家自然科學基金資助項目（No.61100042）；湖北省自然科學基金資助項目（No.2015CFC867）；國家社會科學基金軍事學資助項目（No.15GJ003-201）

Foundation Items： The National Natural Science Foundation of China （No.61100042）， The Natural Science Foundation of Hubei Province （No.2015CFC867）， The National Social Science Found Project in Military Science （No.15GJ003-201）

黃仁季（1994-），男，山東青島人，海軍工程大學碩士生，主要研究方向為信息網絡安全。

吳曉平（1961-），男，山西新絳人，博士，海軍工程大學教授、博士生導師，主要研究方向為信息安全、密碼學。

李洪成（1991-），男，河南商丘人，海軍工程大學博士生，主要研究方向為信息安全、數據挖掘。