基于層級(jí)化身份的可證明安全的認(rèn)證密鑰協(xié)商協(xié)議

曹晨磊 劉明奇 張 茹 楊義先

?

基于層級(jí)化身份的可證明安全的認(rèn)證密鑰協(xié)商協(xié)議

曹晨磊*劉明奇 張 茹 楊義先

(北京郵電大學(xué)災(zāi)備技術(shù)國家工程實(shí)驗(yàn)室 北京 100876)

目前基于身份的認(rèn)證密鑰協(xié)商協(xié)議均以單個(gè)私鑰生成器(PKG)為可信第三方，但這種系統(tǒng)結(jié)構(gòu)難以滿足身份分層注冊(cè)與認(rèn)證需求。該文以基于層級(jí)化身份的加密(HIBE)系統(tǒng)為基礎(chǔ)重構(gòu)了私鑰的組成元素，并利用橢圓曲線乘法循環(huán)群上的雙線性映射提出一個(gè)基于層級(jí)化身份的認(rèn)證密鑰協(xié)商協(xié)議，為隸屬于不同層級(jí)的云實(shí)體提供了安全的會(huì)話密鑰協(xié)商機(jī)制?；贑DH(Computational Diffie-Hellman)與GDH(Gap Diffie-Hellman)假設(shè)，該文證明了新協(xié)議在eCK模型下具有已知密鑰安全性、前向安全性和PKG前向安全性，并且能夠抵抗基于密鑰泄露的偽裝攻擊。

云計(jì)算；認(rèn)證密鑰協(xié)商協(xié)議；基于身份的密碼體制；基于層級(jí)化身份的加密；eCK模型

1 引言

云計(jì)算是一種模型，用以實(shí)現(xiàn)無處不在的、便利的、按需的、通過網(wǎng)絡(luò)共享的可配置計(jì)算資源池，這些資源能夠迅速地以最少的管理成本和服務(wù)提供商交互進(jìn)行配置和釋放[1]。其中，云系統(tǒng)內(nèi)具有行為能力的參與者被稱為云實(shí)體，它包含任何具有發(fā)送或接收信息能力的硬件或軟件進(jìn)程。雖然云計(jì)算的雛形最早可溯源到分布式計(jì)算及網(wǎng)格計(jì)算，但系統(tǒng)接入節(jié)點(diǎn)分布廣泛、硬件設(shè)備的虛擬化、安全控制策略托管、安全邊界模糊等特點(diǎn)也使得云安全問題變得更加復(fù)雜。因此云系統(tǒng)需要建立起完善的安全防護(hù)機(jī)制來保障自身安全，這些機(jī)制主要包含：身份認(rèn)證與管理機(jī)制、訪問控制機(jī)制、審計(jì)與數(shù)據(jù)加密機(jī)制，而認(rèn)證密鑰協(xié)商機(jī)制則是保障其它安全措施能夠有效執(zhí)行的關(guān)鍵環(huán)節(jié)。

為了設(shè)計(jì)出適用于云系統(tǒng)的、基于層級(jí)化身份的認(rèn)證密鑰交換協(xié)議，本文以文獻(xiàn)[28]提出的HIBE系統(tǒng)為基礎(chǔ)對(duì)云系統(tǒng)內(nèi)的信任域進(jìn)行了層級(jí)式劃分，使得云實(shí)體可在各級(jí)PKG處注冊(cè)身份信息并獲得相應(yīng)的合法私鑰，減輕了根PKG的運(yùn)行壓力，提高了系統(tǒng)的承載能力。在此基礎(chǔ)上，本文重構(gòu)了私鑰的組成元素，利用橢圓曲線乘法循環(huán)群上雙線性映射中的冪指運(yùn)算特性，提出了基于層級(jí)化身份的認(rèn)證密鑰協(xié)商(Hierarchical Identity Based Key Agreement, HIBKA)協(xié)議，使得云實(shí)體可在未認(rèn)證對(duì)方身份的情況下安全地協(xié)商會(huì)話密鑰，同時(shí)也為隸屬于不同層級(jí)間的云實(shí)體提供了會(huì)話密鑰協(xié)商機(jī)制。協(xié)議中的實(shí)體身份信息即為公鑰，如果實(shí)體不具備與其聲稱身份相匹配的合法私鑰，則無法計(jì)算出正確的會(huì)話密鑰，由此也實(shí)現(xiàn)了協(xié)議對(duì)實(shí)體身份信息的隱式認(rèn)證。最終，本文基于eCK模型[5]證明了HIBKA協(xié)議具有已知密鑰安全、前向安全性和PKG前向安全性，并且能夠抵抗基于密鑰泄露的偽裝攻擊。

2 預(yù)備知識(shí)

3 HIBKA協(xié)議設(shè)計(jì)

系統(tǒng)建設(shè)者需根據(jù)云系統(tǒng)的物理位置、業(yè)務(wù)模塊、對(duì)外服務(wù)IP、使用機(jī)構(gòu)及用戶規(guī)模等實(shí)際情況，對(duì)系統(tǒng)內(nèi)的安全域進(jìn)行層級(jí)化劃分，并在各個(gè)安全域內(nèi)設(shè)立PKG中心，為其所在安全域內(nèi)的用戶提供身份注冊(cè)及私鑰生成業(yè)務(wù)，以此來建立層級(jí)化的云信任體系架構(gòu)。

3.1 協(xié)議描述

(3) A根據(jù)B計(jì)算共享秘密：

(4) B根據(jù)A計(jì)算共享秘密：

3.2 協(xié)議正確性證明

根據(jù)定義1所述的雙線性性質(zhì)，用戶A可作如下運(yùn)算：

圖1 基于層級(jí)化身份的認(rèn)證密鑰協(xié)商協(xié)議

同理，用戶B可做如下運(yùn)算：

4 安全性分析

4.1 安全模型

定義2 前向安全性。在密鑰協(xié)商過程中，即使參與通信的一方或者多方暴露了用來協(xié)商會(huì)話密鑰的長期密鑰，也不會(huì)威脅到他們以前所協(xié)商的會(huì)話密鑰的安全性。

定義3 密鑰生成中心前向安全性。在基于身份的密碼系統(tǒng)中，即使密鑰生成中心的主密鑰暴露了，也不會(huì)威脅到以前任何用戶之間所協(xié)商的會(huì)話密鑰的安全性。

4.2 協(xié)議安全性分析

第1種情況：對(duì)于攻擊者選定的測(cè)試會(huì)話，系統(tǒng)內(nèi)存有與之相匹配的會(huì)話，且匹配會(huì)話的擁有者是誠實(shí)的。

根據(jù)eCK 模型，利用S對(duì)協(xié)議運(yùn)行環(huán)境進(jìn)行構(gòu)造，當(dāng)M對(duì)A, B以外的會(huì)話進(jìn)行查詢時(shí)，S可按查詢能力如實(shí)回答，當(dāng)M的查詢與A, B會(huì)話相關(guān)時(shí)，S按如下方式應(yīng)答(此時(shí)S不具有A與B的短期密鑰)：

第2種情況 對(duì)于攻擊者選定的測(cè)試會(huì)話，系統(tǒng)內(nèi)沒有與之相匹配的會(huì)話。

5 復(fù)雜度分析

6 結(jié)束語

本文以Boneh HIBE系統(tǒng)為基礎(chǔ)對(duì)云系統(tǒng)的信任域進(jìn)行了層級(jí)式劃分，重構(gòu)了用戶私鑰的組成元素，并且利用橢圓曲線乘法循環(huán)群上雙線性映射中的冪指運(yùn)算特性提出了一個(gè)基于層級(jí)化身份的、在eCK模型下可證安全的認(rèn)證密鑰協(xié)商協(xié)議(HIBKA協(xié)議)，實(shí)現(xiàn)了對(duì)身份信息的隱式認(rèn)證。HIBKA協(xié)議具有已知密鑰安全性、前向安全性和PKG前向安全性，并且能夠抵抗基于密鑰泄露的偽裝攻擊。使用者利用本協(xié)議構(gòu)造的公私鑰對(duì)仍可完成所有基于原有HIBE系統(tǒng)而設(shè)計(jì)的密碼運(yùn)算。此外，HIBKA協(xié)議具有較好的執(zhí)行效率，隨著用戶之間層級(jí)差距的減小，協(xié)議的計(jì)算復(fù)雜度將不斷降低。

在HIBE研究領(lǐng)域內(nèi)，除了Boneh提出的基于橢圓曲線乘法循環(huán)群上雙線性映射冪指運(yùn)算特性的公鑰密碼算法外，Gentry, Waters等諸多研究者也提出了各自的基于層級(jí)化身份的公鑰密碼算法系統(tǒng)。因此后續(xù)的研究工作可在以下幾方面進(jìn)行探索：(1)在HIBKA協(xié)議基礎(chǔ)上優(yōu)化算法結(jié)構(gòu)，降低算法復(fù)雜度；(2)在Gentry, Waters等人提出的HIBE算法體系下構(gòu)建新的、基于層級(jí)化身份的認(rèn)證密鑰協(xié)商協(xié)議并與HIBKA協(xié)議進(jìn)行對(duì)比；(3)利用橢圓曲線群上的雙線性映射特性，建立非身份基的層級(jí)化認(rèn)證密鑰協(xié)商協(xié)議，拓展協(xié)議的適用范圍及應(yīng)用場(chǎng)景。

表1 B-HIBE與W-HIBE系統(tǒng)的算法性能分析表

表2 HIBKA協(xié)議算法的計(jì)算復(fù)雜度分析表

[1] NIST Special Publication 800-145-2011. The NIST Definition of Cloud Computing[S]. 2011.

[2] Diffie W and Hellman M E. New directions in cryptography [J]., 1976, 22(6): 644-654.

[3] Matsumoto T, Takashima Y, and Imai H. On seeking smart public-key distribution systems[J]., 1986, E69-E(2): 99-106.

[4] Krawczyk H. HMQV: a high-performance secure Diffie- Hellman protocol[J]., 2005, 3621: 546-566.

[5] LaMacchia B, Lauter K, and Mityagin A. Stronger security of authenticated key exchange[J]., 2007, 4784: 1-16.

[6] 趙建杰, 谷大武. eCK模型下可證明安全的雙方認(rèn)證密鑰協(xié)商協(xié)議[J]. 計(jì)算機(jī)學(xué)報(bào), 2011, 34(1): 47-54.

[7] He D, Chen Y, and Chen J. An ID-based three-party authenticated key exchange protocol using elliptic curve cryptography for mobile-commerce environments[J]., 2013, 38(8): 2055-2061.

[8] Liu T, Pu Q, Zhao Y,.. ECC-based password- authenticated key exchange in the three-party setting[J]., 2013, 38(8): 2069-2077.

[9] Chou C, Tsai K, and Lu C. Two ID-based authenticated schemes with key agreement for mobile environments[J]., 2013, 66(2): 973-988.

[10] Nicanfar H and Leung V C M. Multilayer consensus ECC- based password authenticated key-exchange (MCEPAK) protocol for smart grid system[J]., 2013, 4(1): 253-264.

[11] Chou C, Tsai K, Wu T,.. Efficient and secure three-party authenticated key exchange protocol for mobile environments[J].-(&), 2013, 14(5): 347-355.

[12] Shamir A. Identity-based cryptosystems and signature schemes[J]., 1984, 196: 47-53.

[13] Boneh D and Franklin M. Identity-based encryption from the weil pairing[J]., 2003, 32(3): 586-615.

[14] Smart N P. Identity-based authenticated key agreement protocol based on the weil Pairing[J]., 2002, 38(13): 630-632.

[15] 王圣寶, 曹珍富, 董曉蕾. 標(biāo)準(zhǔn)模型下可證安全的身份基認(rèn)證密鑰協(xié)商協(xié)議[J]. 計(jì)算機(jī)學(xué)報(bào), 2007, 30(10): 1842-1852.

[16] 汪小芬, 陳原, 肖國鎮(zhèn). 基于身份的認(rèn)證密鑰協(xié)商協(xié)議的安全分析與改進(jìn)[J]. 通信學(xué)報(bào), 2008, 29(12): 16-21.

[17] 高海英. 可證明安全的基于身份的認(rèn)證密鑰協(xié)商協(xié)議[J]. 計(jì)算機(jī)研究與發(fā)展, 2012, 49(8): 1685-1689.

[18] 任勇軍, 王建東, 王箭, 等. 標(biāo)準(zhǔn)模型下基于身份的認(rèn)證密鑰協(xié)商協(xié)議[J]. 計(jì)算機(jī)研究與發(fā)展, 2010, 47(9): 1604-1610.

[19] 高志剛, 馮登國. 高效的標(biāo)準(zhǔn)模型下基于身份認(rèn)證密鑰協(xié)商協(xié)議[J]. 軟件學(xué)報(bào), 2011, 22(5): 1031-1040.

[20] Waters B. Efficient identity-based encryption without random oracles[J]., 2005, 3494: 114-127.

[21] Farash M S, Attari M A, Atani R E,.. A new efficient authenticated multiple-key exchange protocol from bilinear pairings[J]., 2013, 39(2): 530-541.

[22] Tan Z. An enhanced ID-based authenticated multiple key agreement protocol[J]., 2013, 42(1): 21-28.

[23] Chen Y and Han W. Efficient identity-basedauthenticated multiple key exchange protocol[J].-, 2013, 35(4): 629-636.

[24] Xiong H, Chen Z, and Li F. New identity-based three-party authenticated key agreement protocol with provable security[J]., 2013, 36(2): 927-932.

[25] Yang H, Zhang Y, Zhou Y,.. Provably secure three-party authenticated key agreement protocol using smart cards[J]., 2014, 58(1): 29-38.

[26] Ni L, Chen G, and Li J. Escrowable identity-based authenticated key agreement protocol with strong security[J]., 2013, 65(9): 1339-1349.

[27] Ni L, Chen G, Li J,.. Strongly secure identity-based authenticated key agreement protocols in the escrow mode[J].-, 2013, 56(8): 082113:1-082113:14.

[28] Boneh D, Boyen X, and Goh E J. Hierarchical identity based encryption with constant size ciphertext[J]., 2005, 3494: 440-456.

[29] Gentry C and Halevi S. Hierarchical identity based encryption with polynomially many levels[J]., 2009, 5444: 437-456.

[30] Okamoto T and Pointcheval D. The gap problems: a new class of problems for the security of cryptographic schemes[J]., 2001, 1992: 104-118.

[31] Waters B. Dual system encryption: realizing fully secure IBE and HIBE under simple assumptions[J]., 2009, 5677: 619-636.

曹晨磊： 男，1982年生，博士生，研究方向?yàn)榭尚庞?jì)算與云安全.

劉明奇： 女，1989年生，碩士生，研究方向?yàn)橐苿?dòng)云安全.

張 茹： 女，1976年生，副教授，研究方向?yàn)榭尚庞?jì)算、信息隱藏與數(shù)字水印.

楊義先： 男，1961年生，教授，研究方向?yàn)樾畔踩?

Provably Secure Authenticated Key AgreementProtocol Based on Hierarchical Identity

Cao Chen-lei Liu Ming-qi Zhang Ru Yang Yi-xian

(,,100876,)

At present most Identity-based authenticated key agreement protocols are built on the security infrastructure in which a single Private Key Generator (PKG) is contained as the only trusted third party of the whole system, however such kind of infrastructure can not satisfy the requirements of hierarchical identity register and authentication. On the basis of Hierarchical Identity Based Encryption (HIBE) system, this paper reconstructs the private key and proposes a new hierarchical identity based authenticated key agreement protocol using the bilinear map in multiplicative cyclic group and it provides secure session key exchange mechanism for cloud entities on different hierarchical levels. Based on the Computational Diffie-Hellman (CDH) and Gap Diffie-Hellman (GDH) assumptions, this paper proves that the new protocol not only achieves known-key security, forward secrecy and PKG forward secrecy, but also resists key-compromise impersonation attacks in the eCK model.

Cloud computing;Authenticated key agreement protocol; Identity-Based Cryptography (IBC); Hierarchical Identity Based Encryption (HIBE); eCK Model

TP309

A

1009-5896(2014)12-2848-07

10.3724/SP.J.1146.2014.00684

曹晨磊 caochenlei@gmail.com

2014-05-23收到，2014-08-29改回

國家自然科學(xué)基金(61003284, 61121061)，北京市自然科學(xué)基金(4122053)，中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金(BUPT2013 RC0310)和新聞出版重大科技工程項(xiàng)目(GXTC-CZ-1015004/09, GXTC-CZ- 1015004/15-1)資助課題