一種輕量級基于證書的認(rèn)證密鑰協(xié)商方案①

光笑黎,張露露,劉繼增

(長安大學(xué) 信息工程學(xué)院,西安 710064)

隨著新一代蜂窩網(wǎng)絡(luò)通信技術(shù)(5G)的快速發(fā)展,將5G 通信技術(shù)應(yīng)用于日常生活中是目前的發(fā)展趨勢[1].針對5G 車聯(lián)網(wǎng)環(huán)境下的終端用戶與用戶之間安全連接的需求,認(rèn)證密鑰協(xié)商是建立用戶間安全連接的關(guān)鍵.雖然5G 技術(shù)可以顯著地提高消息的傳輸效率,但許多現(xiàn)有的認(rèn)證方案是基于復(fù)雜的雙線性對運(yùn)算,計(jì)算時(shí)間太長,不適合時(shí)延敏感的5G 網(wǎng)絡(luò),為了構(gòu)建適用于5G 通信環(huán)境的實(shí)時(shí)認(rèn)證密鑰協(xié)商協(xié)議,需要盡可能地減少密鑰協(xié)商時(shí)間.

基于公鑰基礎(chǔ)設(shè)施的認(rèn)證密鑰協(xié)商[2]中,用戶的公、私鑰是通過數(shù)字證書發(fā)放,通信效率低,計(jì)算量大,同時(shí)證書的存儲和管理開銷也大.為了避免公鑰證書的使用,Shamir 等人[3]引入基于身份的密碼體制概念,基于身份的密碼體制中,用已知的身份信息作為公鑰,來避免使用公鑰證書,雖然簡化了傳統(tǒng)公鑰密碼系統(tǒng)中公鑰的管理,但是存在密鑰托管問題,為了克服以上問題,Alriyami 等人[4]提出基于無證書的公鑰密碼體制,用來解決密鑰托管問題,避免公鑰證書的使用,但可信的密鑰生成中心生成的部分私鑰需要通過安全信道傳給用戶[5-7],建立安全信道開銷較大,不適用于5G 車聯(lián)網(wǎng)環(huán)境.基于證書的公鑰體制中[8-12],每個(gè)用戶生成一個(gè)公/私鑰對,并將公鑰發(fā)送給受信任的證書頒發(fā)機(jī)構(gòu)(TA)用來請求證書,然后將證書發(fā)送給它的所有者.在基于證書的公鑰密碼體制中,因?yàn)門A 不知道用戶私鑰,解決了密鑰托管問題；因?yàn)樽C書不需要保持私密,也沒有密鑰分發(fā)問題,不需要建立安全信道,更適用于5G 環(huán)境.

本文給出了一個(gè)基于證書的認(rèn)證密鑰協(xié)議的構(gòu)造,并定義了CB-AKA 協(xié)議的安全模型,克服了通信環(huán)境中存在著數(shù)據(jù)泄露、會話密鑰泄漏、重放、中間人攻擊、公鑰替換攻擊和模擬攻擊,缺乏匿名性和不可追蹤性等安全和隱私問題.為了更好的適用于5G 通信環(huán)境,采用無雙線性對的認(rèn)證方法,保證計(jì)算代價(jià)和通信代價(jià).在密鑰協(xié)商時(shí),用匿名[13,14]保證用戶數(shù)據(jù)的隱私,同時(shí)用輕量級的算法[15-17]保證用戶之間安全快速的傳輸數(shù)據(jù),實(shí)現(xiàn)用戶之間的安全接入.

1 背景知識

1.1 雙線性對

令 G,GT是素?cái)?shù)階p的兩個(gè)循環(huán)群組,g為 G的生成元.假設(shè)e:G× G→GT為雙線性映射,則其滿足下列性質(zhì)：

雙線性：e(ga,hb)=e(g,h)ab,g,h∈G,a,b∈Zp.

非退化性：e(g,h)≠1.

可計(jì)算性：對任意g,h∈G,存在一個(gè)有效的算法

計(jì)算e(g,h).

1.2 橢圓曲線

Millier[18]首次提出了橢圓曲線密碼體制的概念,Fp被 假設(shè)為具有大素?cái)?shù)q的 有限域.橢圓曲線E定義為y2=x3+ax+bmodq,其中a,b∈Fp并 且Δ=4a3+27b2≠0.在點(diǎn)加法P+Q=R的操作下,通過橢圓曲線E生成加法群 G,并且標(biāo)量乘法運(yùn)算表示為kP=P+P+···+P(ktimes).

1.3 橢圓曲線群上困難問題假設(shè)

橢圓曲線離散對數(shù)問題(ECDLP)：給出(P,xP)∈G,ECDL 問題要去找一個(gè)整數(shù)x.

橢圓曲線計(jì)算性Diffie-Hellman 問題(ECCDHP)：給出(P,xP,yP)∈G,ECCDH 問題要計(jì)算xyP∈G.

1.4 網(wǎng)絡(luò)模型

基于證書下AKA 協(xié)議的網(wǎng)絡(luò)模型如圖1所示.其中,參與者有3 種類型：用戶Ui,服務(wù)器S和證書權(quán)威中心TA.

圖1 網(wǎng)絡(luò)模型

證書權(quán)威中心TA：TA 的任務(wù)是生成系統(tǒng)參數(shù),根據(jù)Ui和S的公鑰生成證書.

用戶Ui：Ui是一個(gè)移動用戶,從TA 獲得證書,并使用證書來對S證明自己的身份.經(jīng)過S認(rèn)證,可以訪問S提供的移動服務(wù).

服務(wù)器S：S是一個(gè)移動服務(wù)提供商,也從TA 獲得它的私鑰,并使用它來顯示其身份的資格.S驗(yàn)證Ui的有效性后,根據(jù)Ui的請求提供相應(yīng)的移動服務(wù).

1.5 安全屬性

作為一種AKA 協(xié)議,基于證書的AKA 協(xié)議應(yīng)滿足以下安全特性.

(1)相互認(rèn)證：方案應(yīng)提供相互認(rèn)證,即,服務(wù)器S對用戶Ui進(jìn) 行身份驗(yàn)證,用戶Ui對 服務(wù)器S進(jìn)行身份驗(yàn)證.

(2)會話密鑰協(xié)議：在方案的互認(rèn)證階段結(jié)束時(shí),用戶Ui與服務(wù)器S共享一個(gè)會話密鑰進(jìn)行消息加密.

(3)用戶匿名性：方案不應(yīng)泄露用戶身份信息,以保證用戶隱私,敵手無法從交換的消息中獲得用戶的真實(shí)身份和行為.

(4)不可追蹤性：方案應(yīng)保證對手無法從交換的消息中追蹤到用戶,為用戶提供更大的安全性.

(5)前向保密：如果一個(gè)或多個(gè)參與者的私鑰被泄漏,對手在泄漏之前建立的會話密鑰時(shí)必須具有微不足道的優(yōu)勢.這種安全屬性可以擴(kuò)展到以下2 種類型：(1)完全正向保密：即使對手擁有所有參與者的私鑰,也必須保持正向保密；(2)部分前向保密：即使對手擁有一些但不是所有參與者的私鑰,也必須保持前向保密.

(6)已知會話密鑰攻擊抵抗：在已知給定協(xié)議中生成的會話密鑰的情況下,對手無法計(jì)算另一個(gè)安全會話密鑰.

(7)中間人攻擊的抵抗：攻擊者不能冒充合法用戶欺騙云服務(wù)器,也不能冒充服務(wù)器欺騙合法用戶.

(8)重放攻擊抵抗：對手無法對協(xié)議發(fā)起攻擊,重放舊消息.

(9)TA 前向保密：即使對手擁有TA 的主密鑰,也必須保護(hù)前向保密.

2 本文方案

2.1 建立

所有系統(tǒng)參數(shù)由證書權(quán)威(TA)生成.這一階段的工作步驟如下：

(1)TA 隨機(jī)選取兩個(gè)大素?cái)?shù)p和q,選取由方程y2=x3+ax+bmodq定義的非奇異橢圓曲線E,其中a,b∈Fp.

(2)輸入一個(gè)安全參數(shù)k,TA 選取一組素?cái)?shù)階q和生成器P的橢圓曲線點(diǎn)的群G.

(3)TA 選擇隨機(jī)數(shù)s∈作為系統(tǒng)主密鑰,并對其保密,然后計(jì)算系統(tǒng)公鑰Ppub=sP.

(4)TA 選擇哈希函數(shù)：H:{0,1}?→

(5)TA 公布系統(tǒng)參數(shù){p,q,G,P,Ppub,H},并對系統(tǒng)主密鑰s保密.

2.2 用戶注冊

用戶Ui向TA 注冊以獲得證書.圖2為用戶注冊.

(1)用戶密鑰產(chǎn)生：隨機(jī)選擇整數(shù)xi,ki∈,xi作為秘密值,計(jì)算pki=xiP,pidi=H(IDi,ki).然后,Ui通過不安全通道將pki和靜態(tài)匿名身份pidi發(fā)送給TA.

(2)證書生成：TA 隨機(jī)選擇一個(gè)整數(shù)ri,bi∈,計(jì)算Ri=riP,Bi=biP,pidi′=pidi⊕H(Bi,biPpub),Certi=ri+sH(pidi′,pki,Ri).

圖2 用戶注冊

2.3 服務(wù)器注冊階段

服務(wù)器S向TA 注冊以獲得證書.圖3為服務(wù)器注冊.

圖3 服務(wù)器注冊

(1)服務(wù)器密鑰產(chǎn)生：隨機(jī)選擇整數(shù)xj∈,xj作為秘密值,計(jì)算pkj=xjP.然后,S通過不安全通道將pki發(fā)送給TA.

(2)證書生成：TA 隨機(jī)選擇一個(gè)整數(shù)rj∈,計(jì)算Rj=rjP,Certj=rj+sH(IDj,pkj,Rj).

2.4 相互認(rèn)證和密鑰協(xié)議階段

用戶Ui和服務(wù)器S分別執(zhí)行以下操作,實(shí)現(xiàn)相互認(rèn)證,最終生成公共會話密鑰.圖4為Ui和S認(rèn)證密鑰協(xié)商.

(1)Ui選擇ai∈RZ?q并計(jì)算Ai=aiP,Wi=Rj+H(IDj,pkj,Rj)Ppub+pkj,Authi?j=(ski+Certi+ai)Wi,PIDi=pidi′⊕H(Ai,Authi?j),Mi=H(pidi′,PIDi,Authi?j,Ai,T1),Trans1={PIDi,Ai,Mi,T1}.Ui發(fā)送Trans1 到S.

(2)收到Ui消息后,S讀取當(dāng)前時(shí)間T2并檢查|T2?T1|≤ΔT.如果該值有效,則S計(jì)算Wj=pki+Ri+H(pidi′,pki,Ri)Ppub,Authj?i=(Wj+Ai)(skj+Certj),pidi′=PIDi⊕H(Ai,Authj?i),并檢查Mi?=H(pidi′,PIDi,Authj?i,Ai,Ti),如果不相等,則終止該進(jìn)程.否則,選擇隨機(jī)數(shù)aj∈RZ?q,讀取當(dāng)前時(shí)間T3并計(jì)算Aj=ajP,A′j=ajAi,Keyj=H(A′j,Ai,Aj),pidj=IDj⊕H(Aj,Authj?i),Mj=H(pidi′,pidj,Authj?i,Aj,T3).并設(shè)置Trans2={pidj,Mj,Aj,T3}.S發(fā)送Trans2到Ui.

(3)收到S的消息后,Ui讀取當(dāng)前時(shí)間T4并檢查|T4?T3|≤ΔT.如果該值有效,則計(jì)算IDj=pidj⊕H(Aj,Authi?j),并檢查Mj?=H(pidi′,pidj,Authj?i,Aj,T3),如果不相等,則終止該值.否則,Ui計(jì)算A′i=aiAj,Keyi=H(A′i,Ai,Aj).

圖4 Ui和S 認(rèn)證密鑰協(xié)商

3 協(xié)議分析

3.1 協(xié)議正確性分析

由協(xié)議可知,要驗(yàn)證Mi=Mj需要先驗(yàn)證Authi=Authj.由Keyi,Keyj計(jì)算式可知,只需證明A′i=A′j=aiajP,即可得到Keyi=Keyj.

因?yàn)锳′i=A′j=aiajP,所以得到Keyi=Keyj.因此,這驗(yàn)證了該協(xié)議的正確性.

3.2 協(xié)議安全性分析

本文在1.5 節(jié)中,給出了認(rèn)證,密鑰協(xié)商,用戶匿名等方面的安全性需求.下面將分析1.5 節(jié)的安全性需求.

(1)相互認(rèn)證：沒有多項(xiàng)式對手有能力成功偽造合法的登錄或響應(yīng)消息,參與者可以通過驗(yàn)證接收到的消息是否有效來對彼此進(jìn)行身份驗(yàn)證,因此,該協(xié)議可以實(shí)現(xiàn)相互認(rèn)證.

(2)會話密鑰協(xié)商：根據(jù)2.4 節(jié)中表示的協(xié)議,所有的參與者都可以計(jì)算出相同的值A(chǔ)′i=A′j=aiajP,和共同的會話密鑰Keyi=Keyj.因此,AKA 協(xié)議可以實(shí)現(xiàn)會話密鑰協(xié)商.

(3)用戶匿名性：在本方案中,用戶的身份用戶Ui不在消息＜Trans1,Trans2＞中傳輸.此外,根據(jù)用戶的PIDi=pidi′⊕H(Ai,Authi?j),沒有Authi?j無法確定pidi′.因此,不可能知道用戶的身份.因此,該方案提供了用戶匿名性.

(4)不可追蹤性：在本方案中,參與者Ui和S需要分別選擇隨機(jī)數(shù)ai,aj,才能計(jì)算Ai=aiP,Aj=ajP.此外,時(shí)間戳在提議的協(xié)議中是動態(tài)的.因此,該方案為用戶提供了不可跟蹤性.

(5)前向保密：假設(shè)對手竊取智能卡,截取消息Ai=aiP,Aj=ajP,為了得到的值Keyi=H(A′i,Ai,Aj),對手必須計(jì)算A′i=A′j=aiajP,即,它必須解決ECCDH問題.由于ECCDH 假設(shè)是難以解決的,該協(xié)議提供了完美的前向保密.

(6)已知會話密鑰攻擊的抵抗性：根據(jù)該方案中描述的協(xié)議,每個(gè)會話中的會話密鑰Keyi=H(A′i,Ai,Aj)(A′i=aiAj)不同,ai為隨機(jī)數(shù).因此,即使一個(gè)會話密鑰被泄露,它也不能影響其他會話密鑰的隱私.

(7)中間人攻擊的抵抗性：假設(shè)敵手知道IDi,IDj,其目標(biāo)是偽造有效的消息＜Trans1,Trans2＞.要偽造一個(gè)有效的Trans1,隨機(jī)選擇一個(gè)數(shù)a′i∈RZ?q,計(jì)算但是,對于敵手,沒有Mi=H(pidi′,PIDi,Authi?j,Ai,T1)是很難計(jì)算Trans1的.同樣,沒有Mj就很難偽造Trans2.從上面的分析中,知道該方案提供了相互的身份驗(yàn)證,并且攻擊者無法成功地模擬用戶或應(yīng)用服務(wù)器.因此,該協(xié)議可以抵抗中間人攻擊.

(8)抗重放攻擊：根據(jù)方案中描述的協(xié)議,將時(shí)間戳{T1,T2,T3,T4}添 加到認(rèn)證過程中.由于{T1,T2,T3,T4}的新鮮度,參與者(例如,Ui和S)可以通過驗(yàn)證重放攻擊.

3.3 安全屬性比較和效率分析

本節(jié)與以前基于證書的AKA 協(xié)議進(jìn)行安全屬性和計(jì)算成本方面的比較.

(1)安全屬性比較

R1：相互認(rèn)證,R2：會話密鑰協(xié)商,R3：用戶匿名性,R4：不可追蹤性,R5：前向保密,R6：已知會話密鑰攻擊的抵抗性,R7：中間人攻擊的抵抗性,R8：抗重放攻擊,R9：抗公鑰替換攻擊,R10：解決密鑰托管問題,R11：不建立安全信道.不同方法的安全屬性比較如表1.

(2)計(jì)算代價(jià)比較

選擇一個(gè)帶生成器p的群G,其中是一個(gè)160 位素?cái)?shù)q,p是從超奇異橢圓曲線E(Fp)：y2=x3+ax+bmodp中選取的一個(gè)點(diǎn)(p是一個(gè)512 位素?cái)?shù)).

本文使用MIRACL Crypto SDK 測試了上述操作,并在2.53 GHz、i7 CPU 和4 GB 內(nèi)存的64 位Windows 10操作系統(tǒng)上運(yùn)行實(shí)驗(yàn).表2列出了這些操作的平均運(yùn)行時(shí)間.對于計(jì)算成本分析,表2給出了一些基本操作的執(zhí)行時(shí)間.表3給出了文獻(xiàn)[9-12]和本文提出的方案計(jì)算代價(jià)比較.

表1 安全屬性比較

表2 基本操作的執(zhí)行時(shí)間

表3 該方案與其他方案用戶計(jì)算代價(jià)比較

對于認(rèn)證密鑰協(xié)商過程中的計(jì)算代價(jià),文獻(xiàn)[9]需要運(yùn)行1 個(gè)模乘運(yùn)算和2 個(gè)雙線性對運(yùn)算,所以總的運(yùn)行時(shí)間為13.1496 ms.文獻(xiàn)[10]需要運(yùn)行1 個(gè)模乘運(yùn)算和2 個(gè)雙線性對運(yùn)算,總的運(yùn)行時(shí)間為13.1496 ms.文獻(xiàn)[11] 需要運(yùn)行7 個(gè)模乘運(yùn)算,總的運(yùn)行時(shí)間為9.9414 ms.文獻(xiàn)[12]需要運(yùn)行8 個(gè)模乘運(yùn)算和1 個(gè)雙線性對運(yùn)算,所以總的運(yùn)行時(shí)間為21.6708 ms.本文提出的方案需要運(yùn)行4 個(gè)模乘運(yùn)算,總的運(yùn)行時(shí)間為5.6808 ms.

圖5清楚的展示出計(jì)算代價(jià)的比較結(jié)果,從圖中直觀得到本文方案計(jì)算代價(jià)明顯優(yōu)于其他方案.

圖5 用戶計(jì)算代價(jià)比較

4 總結(jié)

為了克服注冊時(shí)密鑰托管,安全信道建立代價(jià)高等問題,幾個(gè)基于證書認(rèn)證密鑰協(xié)商方案已經(jīng)被提出.但是,這些方案大多采用昂貴的雙線性對運(yùn)算,在計(jì)算和通信開銷方面性能不理想.本文提出了一個(gè)采用橢圓曲線的基于證書的認(rèn)證密鑰協(xié)商協(xié)議.安全性分析表明,該協(xié)議在隨機(jī)預(yù)言機(jī)模型下是安全的,能夠滿足基于證書的認(rèn)證密鑰協(xié)商協(xié)議下的安全需求.性能分析結(jié)果表明,該協(xié)議具有較低的計(jì)算代價(jià).本文提出的協(xié)議對各種類型的攻擊具有強(qiáng)大的彈性,這也使它適合廣泛的應(yīng)用程序使用,以在不同級別上維護(hù)安全性.在本文的基礎(chǔ)上,可進(jìn)一步研究用戶、霧節(jié)點(diǎn)、云服務(wù)器三方認(rèn)證密鑰協(xié)商方案.