摘 要:在智能醫(yī)療場景中,病人需佩戴各種傳感醫(yī)療設(shè)備,傳感醫(yī)療設(shè)備會在檢測過程中收集病人的心率、呼吸頻率、脈搏等生理和醫(yī)療信息,并將這些醫(yī)療信息傳輸?shù)皆品?wù)器,但日益增長的數(shù)據(jù)量在傳輸過程中必會帶來額外的通信開銷和傳輸時延,若發(fā)生數(shù)據(jù)竊取和竄改,將會造成難以控制的后果。除此之外,近年來量子計算技術(shù)飛速發(fā)展,基于經(jīng)典公鑰密碼體系的公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性面臨巨大挑戰(zhàn),保障量子安全已具有現(xiàn)實意義。由此,提出了一個能夠抵抗量子計算攻擊并適用于智能醫(yī)療的基于身份認(rèn)證密鑰協(xié)商協(xié)議,避免部署公鑰基礎(chǔ)設(shè)施(public key infrastructure,PKI),并證明其在改進(jìn)的ID-BJM模型下是安全的,其安全性可以歸約到環(huán)上帶誤差學(xué)習(xí)(ring learning with errors,RLWE)問題的難解性。所提協(xié)議通過兩輪信息交互實現(xiàn)了隱式認(rèn)證,且可保護(hù)自身設(shè)備的身份信息,并可抵抗信號泄露攻擊,保證在數(shù)據(jù)傳輸過程中的安全性,與其他相關(guān)的格上基于身份認(rèn)證密鑰協(xié)商協(xié)議方案相比,在安全性或執(zhí)行效率方面更具優(yōu)勢。
關(guān)鍵詞:基于身份密碼;環(huán)上帶誤差學(xué)習(xí);認(rèn)證密鑰協(xié)商協(xié)議;后量子密碼;隱私保護(hù);智能醫(yī)療
中圖分類號:TP309"" 文獻(xiàn)標(biāo)志碼:A
文章編號:1001-3695(2025)01-039-0282-06
doi:10.19734/j.issn.1001-3695.2024.02.0163
Anonymous identity-based authenticated key agreement protocol for smart healthcare
Abstract:In the smart healthcare scenario,patients need to wear a variety of sensing medical devices,which will collect the patient’s heart rate,respiratory rate,pulse and other physiological and medical information during the detection process,and transmit this medical information to the cloud server.However,the increasing amount of data in the transmission process will inevitably bring additional communication cost and transmission delay.In case of data theft and tampering,the consequences will be difficult to control.In addition,with the rapid development of quantum computing technology in recent years,the security of public network infrastructure based on classical public key cryptography system faces great challenges,and ensuring quantum security has practical significance.Therefore,this paper proposed an identity-based key agreement protocol that could resist quantum computing attacks and was suitable for smart healthcare,avoided the deployment of PKI ,and proved that it is secure under the improved ID-BJM model.The security could be reduced to the difficulty of the RLWE problem.The proposed protocol realized implicit authentication through two rounds of information interaction,protected the identity information of its own device,and could resist signal leakage attacks to ensure the security in the process of data transmission.Compared with other related on-lattice authentication key agreement protocol schemes,it has more advantages in security and execution efficiency.
Key words:identity-based cryptography;ring learning with error;authenticated key agreement protocol;post-quantum cryptography;privacy preservation;smart healthcare
0 引言
隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展和醫(yī)療條件的提升,人們能夠?qū)崿F(xiàn)對自身身體健康的實時檢測。醫(yī)療保健測試設(shè)備啟用物聯(lián)網(wǎng),并形成一個封閉的網(wǎng)絡(luò)。傳感醫(yī)療設(shè)備收集測試數(shù)據(jù),進(jìn)行計算,并將結(jié)果發(fā)送到云服務(wù)器進(jìn)行進(jìn)一步分析。云服務(wù)器允許醫(yī)生通過物聯(lián)網(wǎng)平臺獲取實時診斷數(shù)據(jù)。然而,由醫(yī)療保健設(shè)備收集的用戶醫(yī)療數(shù)據(jù)在通過互聯(lián)網(wǎng)等不安全通道發(fā)送時容易受到攻擊。對手可以竊聽所傳達(dá)的信息,并提取可能導(dǎo)致進(jìn)一步犯罪活動的數(shù)據(jù)。一個對手還可以發(fā)動許多其他的攻擊,例如,重播、預(yù)演、反射、中間人攻擊、證書操作和拒絕服務(wù),這些都是對人類生命的嚴(yán)重威脅。圖1描述了入侵者可能對智能醫(yī)療系統(tǒng)的所有部分構(gòu)成威脅的場景。例如,他可以用惡意軟件程序感染其中一個測試設(shè)備,假裝是經(jīng)過身份驗證的測試設(shè)備,并進(jìn)一步以內(nèi)部人士的身份發(fā)起攻擊。為保證數(shù)據(jù)傳輸?shù)陌踩裕瑐鞲嗅t(yī)療設(shè)備和云服務(wù)器之間要建立一條安全的通道,由此,認(rèn)證密鑰協(xié)商協(xié)議(authenticated key agreement protocol,AKA)[1]對于實現(xiàn)醫(yī)療數(shù)據(jù)的存儲和計算、保護(hù)用戶隱私是至關(guān)重要的。
國內(nèi)外學(xué)者已經(jīng)提出了許多種安全機(jī)制來解決智能醫(yī)療環(huán)境下所面對的數(shù)據(jù)攻擊。2017 年,Mahmmood等人[2]采用了傳統(tǒng)的公鑰加密方案,提出了一種基于橢圓曲線的認(rèn)證密鑰協(xié)商協(xié)議,在患者、醫(yī)生和云服務(wù)器三方之間實現(xiàn)安全通信。用戶需要為每個安全會話從服務(wù)器獲取公鑰,這就增加了計算開銷。2018 年,Gupta等人[3]提出了一種基于簡單的XOR和單向加密哈希函數(shù)的輕量級認(rèn)證密鑰協(xié)商協(xié)議,實現(xiàn)移動終端和可穿戴傳感設(shè)備的安全通信。 但在次年,Kim等人[4]指出Gupta等人的方案無法承受用戶冒充、會話密鑰泄露等攻擊,并在此基礎(chǔ)上提出了一種適用于可穿戴設(shè)備的輕量級認(rèn)證密鑰協(xié)商協(xié)議。Jia等人[5]借助霧計算技術(shù)基于雙線性配對提出了一種適用于無線醫(yī)療傳感器網(wǎng)絡(luò)環(huán)境中的認(rèn)證密鑰協(xié)商協(xié)議,以解決傳輸過程中數(shù)據(jù)的完整性和機(jī)密性。2020 年,Hajian等人[6]針對Gupta等人的方案不能抵抗特權(quán)內(nèi)部攻擊、傳感設(shè)備受損的問題,提出一種可擴(kuò)展醫(yī)療的匿名認(rèn)證密鑰協(xié)商協(xié)議,以解決此不安全問題。2021年Limbasiya等人[7]基于哈希函數(shù)提出了一種適用于多服務(wù)器醫(yī)療保健應(yīng)用程序的認(rèn)證密鑰協(xié)商協(xié)議,但該協(xié)議參數(shù)不變就不能保證會話密鑰的正向保密。2022年,王菲菲等人[8]對Jia等人的方案進(jìn)行分析,并運(yùn)用合理的方式去解決這些問題,在此基礎(chǔ)上借助霧計算技術(shù)提出了一個適用于智能醫(yī)療環(huán)境下的三方認(rèn)證密鑰協(xié)商協(xié)議。2021年,Amiya等人[9]基于身份的的密碼和哈希算法提出了能夠支持醫(yī)療保健服務(wù)的安全框架的輕量級多方認(rèn)證密鑰協(xié)商協(xié)議,但方案的安全性沒有進(jìn)行有效證明。
近些年來,隨著量子計算技術(shù)的飛速發(fā)展[10,11],及其在解決大規(guī)模計算難題有巨大潛能,致使經(jīng)典公鑰密碼體制的安全性面臨前所未有的沖擊,因此設(shè)計和部署可抗量子計算攻擊的后量子安全協(xié)議方案勢在必行。基于身份的密碼系統(tǒng)(identity-based cryptograph,IBC)[12]是一種以用戶的身份特征(如電子郵件、ID身份等)作為公鑰的非對稱公鑰密碼體系。因為其應(yīng)用消除了公鑰證書,避免了龐大PKI的部署,簡化了公鑰的管理,一直被學(xué)者應(yīng)用在認(rèn)證密鑰協(xié)商協(xié)議中,但在方案設(shè)計上,當(dāng)前絕大多數(shù)方案還是圍繞雙線性映射[13],正式出版的后量子格上基于身份的AKA方案還是非常的少。2013年,Wang等人[14]是采用Agrawal等人[15]的基于身份的加密(identity-based encryption,IBE)方案提出基于LWE的ID-AKA方案,Wang的方案結(jié)構(gòu)簡單但并不滿足前向安全性和匿名性。2016年,文獻(xiàn)[16]構(gòu)造了一個基于RLWE的格上基于身份兩方認(rèn)證密鑰協(xié)商協(xié)議,并在ID-BJM模型[17]下證明了其安全性。該方案是利用基于RLWE問題的密鑰協(xié)商協(xié)議和基于身份簽密方案組合構(gòu)造的基于身份認(rèn)證密鑰協(xié)商協(xié)議,但基于身份簽密仍是經(jīng)典橢圓曲線密碼方案,所以該方案并不完全滿足RLWE的特性,也就不是一個純粹的后量子格密碼方案。Wang等人[18]提出了新的格問題:雙邊非齊次小整數(shù)解(computational bilateral inhomogeneous small integer solution,CBi-ISIS)和雙邊小整數(shù)解(bilateral small integer solution,Bi-SIS)困難問題,基于這些新問題,他們設(shè)計了一種類似于經(jīng)典DH密鑰協(xié)商協(xié)議的基于格的雙方認(rèn)證密鑰協(xié)商協(xié)議。然而,該方案缺少認(rèn)證機(jī)制,對于各種攻擊都是不安全的,包括眾所周知的中間人攻擊[19]。Gupta等人[20]改進(jìn)了Wang等人的方案,提供了一些安全保護(hù),并設(shè)計了兩個AKA協(xié)議,第一個使用簽名方案進(jìn)行認(rèn)證,而第二個使用信號加密,但這樣會導(dǎo)致較高的存儲、通信和計算成本。Rana等人[21]設(shè)計了一個基于RLWE的認(rèn)證密鑰協(xié)商協(xié)議。2020年,Rana等人[22]基于雙邊非齊次小整數(shù)解CBi-ISIS和Bi-SIS困難問題[18]構(gòu)造了一個基于身份的認(rèn)證密鑰協(xié)商協(xié)議,并且在隨機(jī)預(yù)言模型(random oracle model,ROM)下證明其語義安全性。2022年,Gupta等人[23]使用矩陣和向量之間的加法和乘法基于雙邊非齊次小整數(shù)解和雙邊小整數(shù)解問題構(gòu)造了能夠保證相互認(rèn)證和量子安全的認(rèn)證密鑰協(xié)商協(xié)議。但文獻(xiàn)[24]指出Bi-SIS問題存在嚴(yán)重的安全性缺陷問題,文獻(xiàn)[25]指出使用線性代數(shù)方法可以攻破基于Bi-ISIS的密鑰協(xié)商協(xié)議,所以基于(R)LWE系列難題來構(gòu)造格方案比較穩(wěn)妥,2023年,趙之祥等人[26]采用Peikert式誤差協(xié)調(diào)機(jī)制基于RLWE構(gòu)造了格上基于身份的認(rèn)證密鑰協(xié)商協(xié)議,實現(xiàn)雙方身份認(rèn)證和完美前向安全,但該方案對于能否抵抗其他攻擊沒有給出評估。同年,倪亮等人[27]采用格上基于身份的加密方案提出了適用于智能家居的格上基于身份認(rèn)證密鑰協(xié)商協(xié)議,解決了智能家居多方認(rèn)證問題。
為了解決上述問題,本文提出了一個適用于智能醫(yī)療環(huán)境下支持隱私保護(hù)[28]的后量子基于身份認(rèn)證密鑰協(xié)商協(xié)議,其困難性依賴于格上的RLWE問題,可以抵抗量子計算機(jī)攻擊。主要工作如下:a)該協(xié)議將用戶真實身份信息隱藏,只有在雙方通信時可以獲取到對方身份信息,這樣可以避免敵手竊取、冒用用戶身份;b)基于身份的密碼系統(tǒng)消除了公鑰證書,避免了龐大PKI的部署,簡化了公鑰的管理,具有非常重要的理論意義與使用價值;c)本協(xié)議通過兩輪的信息交互完成雙方身份認(rèn)證,并且在改進(jìn)的ID-BJM模型中進(jìn)行了嚴(yán)格的安全證明,能夠抵抗信號泄露攻擊[29]。通過對比,本文提出的適用于智能醫(yī)療的AKA協(xié)議在執(zhí)行效率和安全性方面與現(xiàn)有一些典型的基礎(chǔ)性后量子認(rèn)證密鑰協(xié)商協(xié)議相比,在安全特性、計算開銷等某些具體性能指標(biāo)方面具有較為明顯的優(yōu)勢。
1 基礎(chǔ)知識
1.1 基于格的困難問題
1.2 安全模式
該部分解釋了身份認(rèn)證密鑰協(xié)商協(xié)議的形式化對抗模型ID-BJM模型。2002年,Chen等人[31]將Ballare-Roarway模型[32]應(yīng)用到基于身份的密鑰協(xié)商協(xié)議的背景下,稱為ID-BJM模型,本協(xié)議采用改進(jìn)的ID-BJM模型,相比原攻擊模型增加了Execute(∏kUi,Uj)預(yù)言機(jī)查詢。假設(shè)U={U1,U2,…,Un}是n個用戶的集合,集合U包括誠實用戶和不誠實用戶,設(shè)敵手Euclid Math OneAAp是一個多項式時間的圖靈機(jī)。
2 格上ID-AKA協(xié)議
本文提出了一個新的適用于智能醫(yī)療的后量子格上ID-AKA協(xié)議,其中涉及兩個實體,即醫(yī)療傳感設(shè)備(Ui),云服務(wù)器(Uj)。基于身份加密(IBE)是一種以用戶的身份特征(如電子郵件,ID身份等)作為公鑰的公鑰加密方法。它需要有一個有可信的私鑰生成方(private key generator,PKG),私鑰生成方的作用是在系統(tǒng)初始化時,產(chǎn)生私鑰和公開參數(shù)。本協(xié)議涉及三個階段:a)初始階段;b)密鑰生成;c)密鑰協(xié)商階段。
2.1 初始階段
2.2 密鑰生成
密鑰生成(Extract(mpk,msk,ID)→skID):云服務(wù)器Uj確保在傳送過程中身份信息不被泄露,將IDuj發(fā)送給PKG,PKG系統(tǒng)收到云服務(wù)器的身份信息IDuj,運(yùn)行Extract算法計算s=H1(IDuj),生成相應(yīng)的用戶私鑰sk=s,并計算出公鑰p=as+2e。
2.3 密鑰協(xié)商階段
本階段在公開信道執(zhí)行,敵手可以在任意過程對用戶之間的通信進(jìn)行監(jiān)聽、攔截、竄改等攻擊。假設(shè)醫(yī)療傳感設(shè)備Ui和云服務(wù)器Uj之間要運(yùn)行協(xié)議,醫(yī)療傳感設(shè)備的身份信息為IDui,云服務(wù)器的身份信息和長期私鑰為(IDuj,s)。具體協(xié)議執(zhí)行過程如下(圖2為其過程概覽):
a)用戶醫(yī)療傳感設(shè)備Ui從離散高斯分布χβ中隨機(jī)選取秘密向量ri、fi,并計算出:
xi=ari+2fi c′=H1(c) d′=H1(d) ki=(pri+2c′)d′+2c
wi=cha(ki) σi=Mod2(ki,wi)
3 安全分析
3.1 正確性證明
醫(yī)療傳感設(shè)備和云服務(wù)器遵循本文的ID-AKA協(xié)議就可以成功地得到公共會話密鑰SK=h3(IDui‖IDuj‖k‖t‖σ‖σ′)。本協(xié)議的正確性取決于雙方協(xié)商出的會話密鑰是否相等,即判定ki=?kj,ti=?tj,σi=?σj,σ′i=?σ′j。
a)ki和kj第一個共享機(jī)密,ki=kj的正確性依賴于是否小于q/8,如果在誤差允許的范圍內(nèi),本協(xié)議是正確的。
ki=(pxi+2c′)d′+2c=arisd′+2fied′+2c′d′+2c,kj=(xis+2c′)d′+2e=
arisd′+2fisd′+2c′d′+2dki-kj=2(fied′+c-fisd′-d)
所以在誤差允許的范圍內(nèi)保證ki和kj是相同的,且由丁式錯誤協(xié)調(diào)機(jī)制可以保證ωi=ωj,σi=σj,同樣也為后來的共享秘密提供了正確性的條件。
b)在共享機(jī)密的前提之下,可以得到:
tj=h2(zi‖xi‖kj‖σj‖IDui=h2(zi‖xi‖ki‖σi‖IDui)=ti
由此得到tj=ti。
c)若要證明σ′i=σ′j,需要證明出ω′i=ω′j:
‖xjri-xjri‖=‖2fjri-2firj‖2lt;q/8
由引理1和2,可得‖xjri-xjri‖=‖2fjri-2firj‖2lt;q/8,因此可得xjri=xjri,則w′i=cha(xjri)=w′j=cha(xirj),且σ′i=Mod(w′i,wi)=σ′j=Mod(w′j,wj)。證畢。
3.2 協(xié)議所具有的主要安全特性分析
如前文所述,所提協(xié)議是基于RLWE困難問題構(gòu)造而成,此階段討論了該協(xié)議的安全特性。
3.2.1 抵抗量子計算機(jī)攻擊
后量子密碼中的格密碼算法因其在安全性、密鑰大小和計算復(fù)雜度上可達(dá)到較好平衡被廣泛關(guān)注,其安全性可歸約到格上困難問題最短向量問題(shortest vector problem,SVP)和最近向量問題(closest vector problem,CVP)的復(fù)雜性,基于格上的困難問題[32,33]等已被數(shù)學(xué)證明可以抵御量子計算機(jī)的攻擊。本方案是基于格的RLWE構(gòu)造的認(rèn)證密鑰協(xié)商協(xié)議,所以該協(xié)議可以抵抗后量子計算機(jī)攻擊。
3.2.2 抗中間人(MITM)攻擊
在本協(xié)議中,醫(yī)療傳感設(shè)備Ui發(fā)送消息〈ti,zi,xi,wi〉給云服務(wù)器Uj,假設(shè)對手Euclid Math OneAAp捕獲了這兩個信息,然后試圖編造它們,然而,〈ti,zi,xi,wi〉偽造等信息是不可能的。因為敵手必須解決實例(a,xi)=(a,ari+2fi)或(a,xj)=(a,afj+2fj)來偽造身份驗證程序來代替ti。此外,敵手只能得到醫(yī)療傳感設(shè)備Ui的身份ID以及計算出ωi=cha(ki),σi=Mod2(ki,ωi)。因此,敵手不能模擬醫(yī)療傳感設(shè)備Ui。以同樣的方式,云服務(wù)器Uj發(fā)送消息〈σ′j,xj,zj〉發(fā)起Ui由于類似原因,敵手不能模擬醫(yī)療傳感設(shè)備Uj。因此,本協(xié)議能夠經(jīng)受住中間人(MITM)的攻擊。
3.2.3 抗已知密鑰(KCS)攻擊
已知密鑰攻擊是指即使Euclid Math OneAAp知道交換的消息和一些早期會話的會話密鑰,對手Euclid Math OneAAp也無法生成當(dāng)前的會話密鑰SK=h3(IDui‖IDuj‖k‖t‖σ‖σ′)。在本協(xié)議中,Ui和Uj計算出了會話密鑰,然而敵手捕獲了數(shù)據(jù)信息〈ti,zi,xi,wi〉,〈σ′j,xj,zj〉,但由于哈希函數(shù)H3(·)的單向性,以及從χβ中隨機(jī)抽取的樣本ri、rj、fi和fj的新鮮度,敵手無法計算其他會話的會話鍵。
3.2.4 抗未知密鑰(UKS)攻擊
假設(shè)Ui和Uj在一個會話中生成一個新的公共會話密鑰SK=h3(IDui‖IDuj‖k‖t‖σ‖σ′)。在本協(xié)議中,沒有實體認(rèn)為SK與敵手Euclid Math OneAAp共享。因為,Ui和Uj在相互驗證時,需要通過驗證是否ti=tj,σ′i=σ′j。
3.2.5 抗密鑰泄露偽裝(KCI)攻擊
假設(shè)Uj為云服務(wù)器,當(dāng)Uj的長期密鑰泄露后,敵手冒充Ui和Uj進(jìn)行通信,但是本協(xié)議用戶的身份信息具有匿名性,保證了敵手無法冒充云服務(wù)器來與醫(yī)療傳感設(shè)備進(jìn)行通信。
3.2.6 弱前向安全性(PFS)
當(dāng)協(xié)議的私鑰泄露后,由于參數(shù)ri、rj、fi、fj的隨機(jī)性和身份信息的匿名性,敵手無法獲得以前雙方協(xié)商出的會話密鑰。
3.2.7 抗信號泄露攻擊(SLA)
ki=(pxi+2c′)d′+2c=arisd′+2fied′+2c′d′+2c不能被對手預(yù)測,因為xi在Rq上是隨機(jī)的。即使對手控制xj,秘密s仍然通過乘以隨機(jī)值d′來保護(hù)。因此,本文的解決方案隱藏了關(guān)于s的信息。
3.3 安全性證明
本協(xié)議遵循改進(jìn)的ID-BJM模型,令A(yù)dvID-AKAEuclid Math OneAAp(t)為Euclid Math OneAAp在多項式時間約束t的ID-AKA協(xié)議中侵犯會話密鑰的語義安全與Ui和Uj之間的相互身份驗證的成功概率,AdvRLWEEuclid Math OneAAp(t′)是Euclid Math OneAAp在多項式時間界t′內(nèi)解決RLWE問題的一個實例的成功概率。對手Euclid Math OneAAp能夠多次訪問執(zhí)行、發(fā)送和隨機(jī)預(yù)言查詢,qH1、qH3、qe和qs是H1查詢、H3查詢、執(zhí)行查詢和發(fā)送查詢的數(shù)量,θ、ε、η、γ分別表示H1、H3、高斯分布χβ、身份字典的空間。隱藏在測試預(yù)言中的隨機(jī)位b是一致隨機(jī)的,它決定了測試查詢的輸出是一個真實的會話密鑰還是一個隨機(jī)數(shù)。Euclid Math OneAAp正確地猜測比特b時,則認(rèn)為Euclid Math OneAAp贏得了比賽。
定理1 如果解決RLWE問題是困難的,那么基于RLWE 的ID-AKA協(xié)議就是困難的,在改進(jìn)的ID-BJM模型下是安全的。具體而言,攻擊者Euclid Math OneAAp贏得游戲的優(yōu)勢滿足:
證明 假設(shè)Euclid Math OneAAp可以違反本文ID-AKA協(xié)議的會話密鑰的語義安全性,那么一個運(yùn)行PPT算法的挑戰(zhàn)者Euclid Math OneAAp就可以解決Rq×Rq中的RLWE問題的一個實例。本文定義游戲Gamei指Euclid Math OneAAp與Euclid Math OneCAp之間起交互作用,在每個游戲中,為了獲得一個關(guān)于預(yù)言查詢的正確輸出的響應(yīng),Euclid Math OneCAp運(yùn)行一個PPT算法。對于每個Gamei都定義了一個時間Xi,基于此事件Xi(0≤i≤6),Euclid Math OneAAp將違反游戲Gamei中ID-AKA協(xié)議的語義安全和會話密鑰。假設(shè)在ID-AKA協(xié)議的模擬過程中,除非有事件E發(fā)生,否則Gamei和Gamei+1是不可區(qū)分的。所以就有:
|Pr[Xi+1]-Pr[Xi]|≤Pr[E](3)
Game0:該實驗?zāi)M了標(biāo)準(zhǔn)模型下針對本文提出的ID-AKA協(xié)議的一次真實攻擊,攻擊者可以使用任何的隨機(jī)預(yù)言機(jī)對協(xié)議進(jìn)行查詢。
|Pr[X 0]=Pr[X 1]|(5)
引理4 如果攻擊者執(zhí)行哈希函數(shù)查詢可以得到之前ti,根據(jù)哈希函數(shù)的性質(zhì)可知攻擊者無法獲得當(dāng)前的會話密鑰SK,因此攻擊者通過此查詢優(yōu)勢沒有增加。
證明 消息〈ti,t′ic′,d′〉不能重復(fù),即當(dāng)i≠i′時,ti=t′i。消息〈ti,t′i,c′,d′〉中包含參數(shù)xi=ari+2fi,xj=afj+2fj,其中ri、fi、rj、fj從中隨機(jī)選擇,因此消息重復(fù)的概率接近0,一般情況下哈希函數(shù)發(fā)生碰撞的概率為0。證畢。
Game2:在此實驗中,哈希函數(shù)產(chǎn)生的消息為〈ti,c′,d′〉,并且哈希函數(shù)需要滿足以上性質(zhì),因此攻擊者無法區(qū)分游戲2和1,由此得到:
引理5 如果攻擊者執(zhí)行預(yù)言查詢想要獲得用戶私鑰,因為xi在Rq上是隨機(jī)的。即使對手控制xj,秘密s仍然通過乘以隨機(jī)數(shù)d′來保護(hù)的,因此攻擊者通過此查詢并沒有增加優(yōu)勢。
證明 由于kj=arisd′+2fisd′+2c′d′+2d,并且從c′、d′在每次查詢都是新鮮的,敵手試圖通過預(yù)測c′、d′來選擇合適的xi然后泄露出s的信息,這樣是很難實現(xiàn)的。
Game4:在這個游戲中,敵手作為一個內(nèi)部用戶,使用發(fā)送查詢來獲取信號來恢復(fù)長期密鑰s,由引理2可知,這樣是很難實現(xiàn)的。由此就可以得到是|Pr[X3]-Pr[X4]|可以忽略的,即:
Game5:如果攻擊者通過Corrupt(P)可以得到之前會話密鑰,根據(jù)上述證明可知會話密鑰的產(chǎn)生與身份ID是相互獨(dú)立的,且身份ID是無法直接獲取的,因此攻擊者無法獲得當(dāng)前的會話密鑰,攻擊者通過此查詢Corrupt(P)優(yōu)勢沒有增加。
Game6:在這個游戲中,通過離線模式進(jìn)行的不同類型的猜測攻擊,即可以在不模擬H3的情況下計算出會話密鑰SK=h3(IDui‖IDuj‖k‖t‖σ‖σ′)。SK絕對獨(dú)立于H3和(IDui‖IDuj‖k‖t‖σ‖σ′)。若SK的預(yù)測不模擬H3,Euclid Math OneAAp可以成功地猜出SK,那么敵手Euclid Math OneAAp可以通過與挑戰(zhàn)者Euclid Math OneCAp交互來解決具有多項式時間界t′的RLWE問題的一個實例。因此就有:
由于所有的游戲都是被執(zhí)行的,所以敵手需要使用測試查詢來猜測b來贏得游戲,對于新鮮的SK,敵手成功的概率為1/2。即:
由以上分析,敵手獲勝的概率為
綜合以上分析,game0~game6結(jié)合了實際環(huán)境下敵手攻擊的各種可能的方式,即攻擊者基于隨機(jī)預(yù)言機(jī)進(jìn)行隨機(jī)查詢,如在線字典攻擊,中間人攻擊等,敵手獲勝的概率為
則敵手對協(xié)議進(jìn)行攻擊成功的優(yōu)勢可以忽略,本文構(gòu)造的ID-AKA協(xié)議最終可歸約為格上的RLWE問題的困難性,且可以有效地證明所提方案是后量子安全的。
4 性能比較與分析
本章分析了本協(xié)議的計算成本,并討論了本方案與其他協(xié)議的差異性。本協(xié)議選取參數(shù)n=1024 bit,q的比特長度為大于等于23的最小素數(shù),身份信息的比特長度為32 bit,選取哈希函數(shù)輸出為512 bit。其次對有關(guān)各種計算操作以及雙方所花費(fèi)的時間進(jìn)行描述。定義Tg、Tsm、Tpma、Tcha、Th分別為離散高斯分布抽樣、環(huán)上的離散標(biāo)量乘法操作、環(huán)上先乘后加操作、特征函數(shù)操作、哈希函數(shù)操作。由于異或操作用時較短,可以忽略。各種操作的時間成本如表2所示,表2的數(shù)據(jù)信息來源于Lattice-crypto數(shù)據(jù)庫。為了讓方案能更好地對比,本章選取基于(R)LWE的AKA協(xié)議進(jìn)行對比,方案有Wang[14]、DBS協(xié)議[34]等。
實驗環(huán)境:編程語言為C和C++,電腦配置:操作系統(tǒng):Windows 10,處理器:11th Gen Intel CoreTM i5,內(nèi)存:8 GB。
在本協(xié)議中PKG系統(tǒng)將私鑰發(fā)給云服務(wù)器之后,醫(yī)療傳感設(shè)備Ui執(zhí)行兩次Tg操作隨機(jī)抽樣ri、rj,執(zhí)行一次Tpma操作得到xi,執(zhí)行五次Th操作,Tcha操作執(zhí)行了兩次,Tsm操作執(zhí)行了一次,最后醫(yī)療傳感設(shè)備Ui的計算消耗為2Tg+Tpma+5Th+2Tcha+Tsm,同理,云服務(wù)器Uj的計算消耗也為2Tg+Tpma+5Th+2Tcha+Tsm。在各種操作執(zhí)行過程中,離散高斯分布抽樣操作和環(huán)上先乘后加操作需要耗費(fèi)大量的時間,而其他操作耗時相對來說非常少,所以說本方案在與其他文獻(xiàn)公鑰尺寸相同的基礎(chǔ)上,減少了隨機(jī)抽樣操作和環(huán)運(yùn)算操作減少運(yùn)算時間。所提協(xié)議與其他相關(guān)協(xié)議的計算開銷如表3所示。
要計算出會話密鑰,醫(yī)療傳感設(shè)備和云服務(wù)器都要給對方發(fā)送消息,因為{xi,xj}∈{0,1}4096,{ωi,ωj}∈{0,1},{σi,σj}∈{0,1}512,所以該方案通信開銷為4096×2+512×4+1×1=10241 bit。本方案與其他文獻(xiàn)相比同時實現(xiàn)了匿名性和抗信號泄露攻擊,同時與文獻(xiàn)[35]相比減少傳輸輪次,如表4所示。
5 結(jié)束語
本文提出了一個新的格上后量子基于身份AKA協(xié)議,其安全性基于RLWE困難問題,提案可抵抗量子計算機(jī)攻擊和抗信號泄露攻擊,且在一定程度上實現(xiàn)了身份的匿名性。在雙方信息交互過程中,只需要兩輪信息傳輸,方案沒有使用簽名、加密等產(chǎn)生巨大通信開銷的密碼原語且在改進(jìn)的ID-BJM模型下進(jìn)行了嚴(yán)格的安全性證明。在推薦參數(shù)下,與現(xiàn)有的一些典型的相關(guān)基礎(chǔ)性協(xié)議相比,本文所構(gòu)造的基礎(chǔ)AKA協(xié)議具有較高的執(zhí)行效率和良好的安全性,在安全強(qiáng)度、計算開銷等某些具體性能指標(biāo)方面具有較為明顯的優(yōu)勢。下一步工作將繼續(xù)對方案的性能進(jìn)行改進(jìn),并且對基于格的ID-AKA協(xié)議的應(yīng)用領(lǐng)域大膽擴(kuò)展,不僅僅局限于物聯(lián)網(wǎng)環(huán)境,考慮將其應(yīng)用在區(qū)塊鏈、云計算、工業(yè)互聯(lián)網(wǎng)等多個場景中。
參考文獻(xiàn):
[1]Dodis Y,Mironov I,Stephens-Davidowitz N.Message transmission with reverse firewalls-secure communication on corrupted machines[C]//Proc of Annual Cryptology Conference.Berlin:Springer,2016:341-372.
[2]Mahmood Z,Ning Huansheng,Ata U,et al.Secure authentication and prescription safety protocol for telecare health services using ubiquitous IoT[J].Applied Sciences,2017(7):1069.
[3]Gupta A,Tripathi M,Shaikh T J,et al.A lightweight anonymous user authentication and key establishment scheme for wearable devices[J].Computer Networks,2019(149):29-42.
[4]Kim M,Joonyoung L,Yu S,et al.A secure authentication and key establishment scheme for wearable devices[C]//Proc of the 28th International Conference on Computer Communication and Networks.Spain:Valencia,2019:1-2.
[5]Jia Xiaoying,He Debiao,Kumar N,et al.Authenticated key agreement scheme for fog-driven IoT healthcare system[J].Wireless Networks,2019(25):4737-4750.
[6]Hajian R,ZakeriKia S,Erfani S H,et al.SHAPARAK:scalable healthcare authentication protocol with attack-resilience and anonymous key-agreement[J].Computer Networks,2020,183:article ID 107567.
[7]Limbasiya T,Sahay S K,Sridharan B.Privacy-preserving mutual authentication and key agreement scheme for multi-server healthcare system[J].Information Systems Frontiers,2021,23(4):1-14.
[8]王菲菲,汪定.基于霧計算的智能醫(yī)療三方認(rèn)證與密鑰協(xié)商協(xié)議[J].軟件學(xué)報,2023,34(7):3272-3291.(Wang Feifei,Wang Ding.Fog computing-based three-party authentication and key agreement protocol for smart healthcare[J].Journal of Software,2023,34(7):3272-3291.)
[9]Amiya K S,Suraj S,Deepak P.Lightweight multi-party authentication and key agreement protocol in IoT-based E-healthcare service[J].ACM Trans on Multimedia Computing Communications and Applications,2021,17:1-20.
[10]Wan Yun.Summary of hot research topics in information technology in 2017[J].Science amp; Technology Review,2018,36(1):91-97.
[11]Ni Liang,Zhang Qian.Research on several issues in modern novel authenticated key agreement protocols[M].Beijing:China Railway Publishing House Co.Ltd.,2020.
[12]Shamir A.Identity-based cryptosystems and signature schemes[M].Springer:Berlin,1984.
[13]Smart N P.Identity-based authenticated key agreement protocol based on Weil pairing[J].Electronics Letters,2002,38(13):630-632.
[14]Wang Hao,Zhao Chuan,Xu Qiuliang,et al.Identity-based authenti-cate key exchange protocol from lattice[C]//Proc of the 9th International Conference on Computational Intelligence and Security.Pisca-taway,NJ:IEEE Press,2013:564-568.
[15]Agrawal S,Boneh D,Boyen X.Efficient lattice(H) IBE in the stan-dard model[C]//Proc of Annual International Conference on Theory and Applications of Cryptographic Techniques.Berlin:Springer,2010:553-572.
[16]趙秀鳳,高海英,王愛蘭.基于RLWE的身份基認(rèn)證密鑰交換協(xié)議[J].計算機(jī)研究與發(fā)展,2016,53(11):441-454.(Zhao Xiufeng,Gao Haiying,Wang Ailan.Identity-based authentication key exchange protocol based on RLWE[J].Journal of Computer Research and Development,2016,53(11):441-454.)
[17]Bellare M,Rogaway P R.Random oracles are practical:a paradigm for designing efficient protocols[C]//Proc of the 1st ACM Conference on Computer and Communications Security.New York:ACM Press,1993:62-73.
[18]Wang Shanbiao,Zhu Yan,Ma Di,et al.Lattice-based key exchange on small integer solution problem[J].Science China Information Sciences,2014,57(11):1-12.
[19]Gupta D S,Biswas G.Cryptanalysis of Wang et al.’s lattice-based key exchange protocol[J].Perspectives in Science,2016,8:228-230.
[20]Gupta D S,Biswas G.A novel and efficient lattice-based authenticated key exchange protocol in C-K model[J].International Journal of Communication Systems,2018,31(3):e3473.
[21]Rana S,Mishra D.Lattice-based key agreement protocol under ring-LWE problem for IoT-enabled smart devices[J].SDHAN,2021,46(2):1-11.
[22]Hafizul I S K,Zeadally S.Provably secure identity-based two-party authenticated key agreement protocol based on CBi-ISIS and Bi-ISIS problems on lattices[J].Journal of Information Security and Applications,2020,54:102540.
[23]Gupta D S,Ray S,Singh T,et al.2022.Post-quantum lightweight identity-based two-party authenticated key exchange protocol for Internet of Vehicles with probable security[J].Computer Communications,2022,181:69-79.
[24]Ding Jintai,Schmitt K,Zhang Zheng.A key exchange based on the short integer solution problem and the learning with errors problem[M]//Carlet C,Guilley S,Nitaj A,et al.Codes,Cryptology and Information Security.Cham:Springer,2019.
[25]Jing Zhengjun,Gu Chunsheng,Yu Zhimin,et al.Cryptanalysis of lattice-based key exchange on small integer solution problem and its improvement[J].Cluster Computing,2019,22(S1):1717-1727.
[26]趙之祥,廉歡歡,沈劍.基于格的身份基認(rèn)證密鑰交換協(xié)議[J].密碼學(xué)報,2024,11(2):441-454.(Zhao Zhixiang,Lian Huanhuan,Shen Jian.Identity-based authentication key exchange protocol from lattice[J].Journal of Cryptologic Research,2024,11(2):441-454.)
[27]倪亮,劉笑顏,谷兵珂,等.適用于智能家居的格上基于身份多方認(rèn)證密鑰協(xié)商協(xié)議[J].計算機(jī)應(yīng)用研究,2024,41(4):1191-1197.(Ni Liang,Liu Xiaoyan,Gu Bingke,et al.Identity-based multiparty authentication key agreement protocol for smart homes from lattice[J].Application Research of Computers,2024,41(4):1191-1197.)
[28]楊亞濤,韓新光,黃潔潤,等.基于RLWE支持身份隱私保護(hù)的雙向認(rèn)證密鑰協(xié)商協(xié)議[J].通信學(xué)報,2019,40(11):180-186.(Yang Yatao,Han Xinguang,Huang Jierun,et al.Two-way authentication key agreement protocol based on RLWE support identity privacy protection[J].Journal on Communications,2019,40(11):180-186.)
[29]Ding Ruoyu,Cheng Chi,Qin Yue.Further analysis and improvements of a lattice-based anonymous PAKE scheme[J].IEEE Systems Journal,2022,16(3):5035-5043.
[30]倪亮,王念平,谷威力,等.基于格的抗量子認(rèn)證密鑰協(xié)商協(xié)議研究綜述[J].計算機(jī)科學(xué),2020,47(9):293-303.(Ni Liang,Wang Nianping,Gu Weili,et al.Review of lattice-based anti-quantum authentication key agreement protocol[J].Computer Science,2020,47(9):293-303.)
[31]Chen L,Kudla C.Identity based key agreement protocols from pairings[C]//Proc of the 16th IEEE Computer Security Foundations Workshop.Washington DC:IEEE Computer Society,2002:219-213.
[32]王小云,劉明潔.格密碼學(xué)研究[J].密碼學(xué)報,2014,1(1):13-27.(Wang Xiaoyun,Liu Mingjie.Research on lattice cryptography[J].Journal of Cryptologic Research,2014,1(1):13-27.)
[33]王旭陽,胡愛群.格困難問題的復(fù)雜度分析[J].密碼學(xué)報,2015,2(1):1-16.(Wang Xuyang,Hu Aiqun.Complexity analysis of lattice-difficult problems[J].Journal of Cryptologic Research,2015,2(1):1-16.)
[34]Ding Jintai,Branco P,Schmitt K.Key exchange and authenticated key exchange with reusable keys based on RLWE assumption[EB/OL].(2019).https://www.semanticscholar.org/paper/Key-Exchange-and-Authenticated-Key-Exchange-with-on-Ding-Branco/6153c18a847e7ccf 04ae3ed6071b0acdfb5f8137.
[35]Dharminder D,Chandran K P.LWESM:learning with error based secure communication in mobile devices using fuzzy extractor[J].Journal of Ambient Intelligence and Humanized Computing,2020,11(10):4089-4100.