一個改進的無證書跨域認(rèn)證密鑰協(xié)商協(xié)議

李慧敏, 梁紅梅, 張金輝

( 1.莆田學(xué)院 數(shù)學(xué)與金融學(xué)院, 福建 莆田 351100； 2.應(yīng)用數(shù)學(xué)福建省高校重點實驗室(莆田學(xué)院)，福建 莆田 351100； 3.閩南師范大學(xué) 數(shù)學(xué)與統(tǒng)計學(xué)院, 福建 漳州 363000 )

0 引言

隨著無線網(wǎng)絡(luò)的快速發(fā)展及其應(yīng)用的日益普及，無線通信安全(特別是跨域通信安全)問題越來越受到人們的關(guān)注.認(rèn)證密鑰協(xié)商(AKA)協(xié)議是一種基于公鑰密碼系統(tǒng)的密碼學(xué)原語，它不僅能夠使用戶在開放的網(wǎng)絡(luò)環(huán)境下通過協(xié)商生成會話密鑰，還可以使用戶彼此認(rèn)證雙方身份.公鑰密碼系統(tǒng)主要包括基于目錄公鑰密碼系統(tǒng)[1]、基于身份公鑰密碼系統(tǒng)[2]、基于證書公鑰密碼系統(tǒng)[3]和無證書公鑰密碼系統(tǒng)[4].由于無證書公鑰密碼系統(tǒng)能夠克服傳統(tǒng)公鑰密碼系統(tǒng)的證書管理問題和基于身份公鑰密碼系統(tǒng)的密鑰托管問題，因此一些無證書密鑰協(xié)商協(xié)議相繼被一些學(xué)者提出[5-10],并被應(yīng)用于一些需要跨域通信的場景中，如無線網(wǎng)狀網(wǎng)絡(luò)(WMN)、鐵路運輸管理信息系統(tǒng)、車聯(lián)網(wǎng)VANETs、Ad Hoc網(wǎng)絡(luò)和5G網(wǎng)絡(luò)等[11-15].2016年， Li等[11]基于無證書公鑰密碼系統(tǒng)建立了一種應(yīng)用于無線網(wǎng)狀網(wǎng)絡(luò)的無證書跨域密鑰協(xié)商(CAKA)協(xié)議，該協(xié)議不僅具備無證書公鑰密碼系統(tǒng)的優(yōu)點，而且能降低Internet服務(wù)提供者(ISP)的計算和通信開銷；但本文對文獻[11]中的密鑰協(xié)商協(xié)議進行安全性分析后發(fā)現(xiàn)，其存在無法認(rèn)證對方身份及易被替換公鑰攻擊的安全性問題，對此本文給出了原協(xié)議無法認(rèn)證對方身份的具體原因和對原協(xié)議進行替換公鑰攻擊的具體步驟，并在文獻[11]中的協(xié)議基礎(chǔ)上給出了一種改進的密鑰協(xié)商協(xié)議，同時通過實驗驗證了該協(xié)議的有效性.

1 相關(guān)理論

1.1 雙線性對的定義

假設(shè)q是一個素數(shù)，G1是q階加法群，G2是q階乘法群，P是G1的生成元，則雙線性對為如下映射e:G1×G1→G2， 且滿足下列關(guān)系：

2)非退化性.對于任意的P,Q∈G1， 存在e(P,Q)≠1G2.

3)可計算性.對于任意的P,Q∈G1， 都有一個有效算法來計算e(P,Q)∈G2.

1.2 困難性問題

本文協(xié)議的安全性主要涉及以下3類困難性問題[16]:

1.3 認(rèn)證密鑰協(xié)商協(xié)議的安全屬性

假設(shè)A和B是執(zhí)行AKA協(xié)議的兩個已完成相互認(rèn)證，并已建立用于安全通信會話的密鑰網(wǎng)格實體(如網(wǎng)狀客戶端、網(wǎng)狀路由器等)，則AKA協(xié)議必備的安全屬性為[17]：

1)已知會話密鑰安全.AKA協(xié)議的每個執(zhí)行過程都應(yīng)生成一個唯一、獨立的秘密會話密鑰，這樣即使一個密鑰泄漏也不會影響其他會話密鑰的安全性，從而避免會話密鑰被攻擊者用以冒充其他實體.

2)前向安全性.A和B之間的長期密鑰如果被泄露，則不會對之前的會話密鑰產(chǎn)生威脅.前向安全性通常分為完全前向安全性和主密鑰前向安全性兩類.完全前向安全性是指即使攻擊者擁有A和B的私鑰，也無法知道A和B之間以前使用的會話密鑰；主密前向安全性是指即使攻擊者獲得了系統(tǒng)主密鑰，也無法獲得A和B之間以前的會話密鑰.

3)抗密鑰泄露偽裝.如果協(xié)議參與方A的長期密鑰被泄露，則攻擊者雖可以偽裝成A參與會話，但無法偽裝成其他人，即其他用戶不會因為A的密鑰被破解而受到影響.

4)未知密鑰共享安全.協(xié)議參與方如果要進行會話，需要先對雙方的身份進行認(rèn)證.

5)抗密鑰控制.當(dāng)A和B需要建立會話密鑰時，任何一方都不能生成和自己期望值一樣的會話密鑰.

2 文獻[11]中的無證書跨域認(rèn)證密鑰協(xié)商協(xié)議及其安全性分析

2.1 文獻[11]中的無證書跨域認(rèn)證密鑰協(xié)商協(xié)議

文獻[11]中提出的無證書跨域認(rèn)證密鑰協(xié)商協(xié)議(簡稱CAKA協(xié)議)中規(guī)定， A和B之間需通過一輪消息交換完成A和B的相互認(rèn)證，并由此建立一個會話密鑰k.CAKA協(xié)議的具體執(zhí)行步驟如下：

用戶U的私鑰將由U和它的ISP通過以下兩個步驟生成：

① 提取部分私鑰.首先計算EU=sDQU(其中QU=H1(IU‖XU)∈G1)， 然后通過一個安全的途徑將EU發(fā)給U.

② 設(shè)置私鑰.用戶U收到EU后，判斷e(EU,P)=e(QU,pD)是否成立.如果等式成立，則EU是正確的，并將用戶U的私鑰設(shè)置為sU=〈kU,EU〉.

系統(tǒng)完成上述的初始化后，用戶A和用戶B即可建立會話密鑰并相互認(rèn)證，其過程如圖1所示.

2.2 文獻[11]中的無證書跨域認(rèn)證密鑰協(xié)商協(xié)議的安全性問題

對CAKA協(xié)議進行安全性分析可得如下結(jié)果：

1)無法驗證另一方的身份.在CAKA協(xié)議中，任何人可以通過發(fā)送者發(fā)送的消息來獲取發(fā)送者的身份信息，冒充者可以假裝為消息的原始發(fā)送者與另一方通信，進而使得該協(xié)議存在另一方身份無法認(rèn)證的安全問題.其原因是該協(xié)議在執(zhí)行過程中要求按式(1)進行身份認(rèn)證，并以此建立密鑰.

KA=e(EA+kAQA,PA)=e(sDAQA+kAQA,aP)=e((sDA+kA)QA,aP)=

e((sDA+kA)P,aQA)=e(RA,PDA+XA).

(1)

由式(1)可知KA=e(RA,PDA+XA)， 但由于PDA和XA是公開的，所以只要獲得RA就可以計算出KA.另外，由于RA在協(xié)議執(zhí)行過程的第1步中是以明文傳輸?shù)?，即任何人通過發(fā)送的信息均可獲得RA， 因此協(xié)議中的第1步無法實現(xiàn)認(rèn)證對方身份的目的.

2)替換公鑰攻擊.由于CAKA協(xié)議是基于無證書公鑰密碼系統(tǒng)建立的，因此需要考慮對該協(xié)議的替換公鑰攻擊.本文對CAKA協(xié)議進行替換公鑰攻擊的具體步驟如下：

由以上可知，攻擊者按上述操作即可成功冒充用戶A， 然后與用戶B進行交互并獲取會話密鑰.用戶B是通過式(2)對消息發(fā)送者進行身份驗證并建立會話密鑰的,由式(2)可知上述攻擊是可以實現(xiàn)的.

3 改進的跨域認(rèn)證密鑰協(xié)商協(xié)議及其安全性分析

3.1 改進的跨域認(rèn)證密鑰協(xié)商協(xié)議

原協(xié)議之所以無法實現(xiàn)雙方認(rèn)證的目的和會受到替換公鑰攻擊是因為驗證式(1)中沒有用到用戶的全部私鑰(密鑰生成中心生成的部分私鑰和用戶自己選的秘密值)，攻擊者可以通過發(fā)送的消息獲取到發(fā)送者的身份信息.本文改進的協(xié)議中用戶公私鑰產(chǎn)生的方式與文獻[11]一樣，但對文獻[11]協(xié)議中的交互認(rèn)證和密鑰協(xié)商的過程(3個步驟)進行了改進.改進方法為：用戶A和B在執(zhí)行協(xié)議的過程中必須使用全部私鑰，且在用戶A和B發(fā)送的消息中分別加入各自的身份信息，同時攻擊者無法通過發(fā)送的消息獲取發(fā)送者的身份信息.本文提出的跨域認(rèn)證密鑰協(xié)商協(xié)議中的系統(tǒng)初始化與文獻[11]中的系統(tǒng)初始化相同，認(rèn)證和會話密鑰的建立過程如圖2所示.

本文改進協(xié)議的交互認(rèn)證和密鑰協(xié)商過程的具體步驟如下：

注：該步驟將原協(xié)議步驟1中的KA=e(EA+kAQA,PA)改為KA=e(RB,pDB)， 并還需計算C1=Enc(T1‖NA‖A‖B,k1).另外，用戶A發(fā)送給用戶B的消息也由原方案中的M1=(FlagA,B,RAP′A,{T1,NA}k1)改為M1=(FlagA,FlagB,P′A,C1).

注：該步驟將原協(xié)議步驟2中的KA=e(RA,pDA+XA)改為KA=e(EB,PA)， 將KB=e(EB+kBQB,PB)改為KB=e(RA,pDA)， 這里的KA=e(EB,PA)與步驟1中的KA=e(RB,pDB)是相等的.另外，還需計算h=H2(A‖B‖T1‖T2‖N‖k)，C2=Enc(T1‖T2‖NA‖N‖NB‖A‖B‖h,k)， 同時用戶B發(fā)送給用戶A的消息也由原協(xié)議中的M2=(FlagB,A,RB,P′B,{T1,T2,N,NA,NB,h}k)改為M2=(FlagB,FlagA,P′B,C2).

注：該步驟將原協(xié)議步驟3中的KB=e(RB,pDB+XB)改為KB=e(EA,PB)， 這里的KB和步驟2中的KB=e(RA,pDA)是相等的.

3.2 改進CAKA協(xié)議的正確性和安全性分析

3.2.1協(xié)議的正確性分析

協(xié)議的正確性可由下式驗證：

KA=e(RB,pDB)=e(aQB,sDBP)=e(aP,sDBQB)=e(PA,EB)=e(EB,PA)，

KB=e(RA,pDA)=e(bQA,sDAP)=e(bP,sDAQA)=e(PB,EA)=e(EA,PB)，

K=bPA=baP=abP=aPB.

由上式易知，本文提出的協(xié)議是正確的.

3.2.2協(xié)議的安全性分析

2)前向安全性.假設(shè)用戶A的長期私鑰sA=〈kA,EA〉被敵手A′得到，此時可能出現(xiàn)當(dāng)一個用戶偽裝成一個CAKA請求者或一個跨域AKA接收者時(如圖2中的用戶A)，A′可以截取之前的對話信息并計算KA(KA=e(EB,PA))和KB(KB=e(EA,PB))， 但無法計算得到密鑰k(k=H2(KA‖KB‖K)).因為根據(jù)G1中的DLP和CDHP假設(shè)，敵手無法從PA獲得a或從PB獲得b， 從而無法計算K=abP.因此，即使用戶A或用戶B的私鑰被泄露，先前會話密鑰也不會被泄露，由此可知前向安全性是可靠的.

3) 抗密鑰泄露偽裝.假設(shè)敵手獲得了用戶A的長期私鑰sA(sA=〈kA,EA〉)， 這時敵手雖然可以模擬用戶A發(fā)起CAKA請求或偽裝AKA接收者，但無法從交互中獲取其他用戶的長期私鑰，即即使用戶A的私鑰被泄露，其他用戶私鑰的安全性也不會受到影響.

4) 未知密鑰共享安全.在改進的CAKA協(xié)議中由于使用了指定驗證者的技術(shù)，會話密鑰只能由CAKA請求者和接收者計算，任何其他第三方都不能強迫用戶A與其他用戶共享密鑰，除非雙方都執(zhí)行圖2中的CAKA協(xié)議.這是因為只有指定的接收者B才能獲得PA(PA=aP)、k1(k1=H2(KA‖PA))、 會話密鑰k(k=H2(KA‖KB‖K))和對消息M1的解密，而M1的解密需要隱式身份驗證.文獻[18]已證明隱式認(rèn)證特性隱含未知密鑰共享的彈性.

在無證書公鑰系統(tǒng)下，由于替換公鑰攻擊是針對無證書方案的一種基本攻擊，所以MITM攻擊也有可能由ISP或獲得ISP主密鑰的敵手A1或A2發(fā)起，其中敵手A1可以隨意更改客戶端的公鑰，但不能訪問系統(tǒng)主密鑰；敵手A2可以掌控系統(tǒng)主密鑰，但不能替換客戶端的公鑰[19].如文獻[18]所述，抵抗替換公鑰攻擊的一種方法是綁定用戶的公鑰和私鑰，本文采用的方法是將用戶A的身份IA和固定公鑰XA與部分私鑰綁定，即EA=sDAH1(IA‖XA).因此，敵手在不知道私鑰的情況下不能從替換的公鑰中獲得部分私鑰EA， 即使敵手A1可以替換公鑰X′A=k′AP，Q′A=H1(IA‖X′A),RA=a′Q′A并成功假扮用戶A， 但在CDHP的假設(shè)下，他仍然無法根據(jù)a′bP、P′B計算出正確的PB.對于敵手A2，他可以訪問域主密鑰sD， 但不能替換客戶端的公鑰，所以即使敵手A2知道部分私鑰EA， 他仍然不能在不知道sA的情況下偽裝用戶A來計算KA.因此，兩種類型的敵手都無法在不知道兩個客戶端完整私鑰的情況下計算出會話密鑰，從而說明本文改進的CAKA協(xié)議可以抵御MITM攻擊.

3.3 改進CAKA協(xié)議的效率分析

本文通過計算協(xié)議涉及的主要密碼運算[20]的個數(shù)對本文改進的協(xié)議與文獻[11]中的協(xié)議進行對比分析，計算中分別用Tm、Tp和Ta表示G1中的點乘運算、雙線性對運算和加法運算，用Te表示AES(Advanced Encryption Standard)對稱加密運算，用Th表示哈希運算H2， 計算結(jié)果見表1.使用PBC庫(版本0.5.14)在64位、2.4 GHz基于Intel Core i7 - 5500U處理器、4 GB主內(nèi)存、Windows 7系統(tǒng)的電腦上測試所有這些計算，各運算的執(zhí)行時間見表2.

表1 兩個協(xié)議涉及的主要密碼運算個數(shù)

表2 運算執(zhí)行時間ms

為了更好的比較兩種協(xié)議的性能，根據(jù)表1和表2計算出了兩個協(xié)議中用戶A和用戶B的執(zhí)行時間及協(xié)議總的執(zhí)行時間，見圖3.由圖3可以看出，本文改進的協(xié)議不僅解決了文獻[11]中存在的安全問題，而且還提高了效率.其中用戶A的執(zhí)行時間提高了7.23%，用戶B的執(zhí)行時間提高了6.73%，協(xié)議總執(zhí)行時間提高了6.98%.

圖3 兩種協(xié)議的執(zhí)行時間

4 結(jié)論

對本文提出的改進的無證書跨域密鑰協(xié)商協(xié)議進行實驗表明，該協(xié)議不僅解決了文獻[11]中存在的無法驗證雙方身份問題和容易受到替換公鑰攻擊的安全問題，而且還提高了協(xié)議的執(zhí)行效率.本文的改進方法還可為同類跨域密鑰協(xié)商協(xié)議的設(shè)計提供良好的參考價值.本文在研究中僅考慮了兩個用戶在跨域情景下的密鑰協(xié)商協(xié)議，今后我們將對跨域環(huán)境下的多方密鑰協(xié)商協(xié)議進行研究，從而實現(xiàn)跨域環(huán)境下的多方安全通信.