一种改进的无证书两方认证密钥协商协议
- 格式:pdf
- 大小:1.53 MB
- 文档页数:11
文档推荐
-
身份基认证密钥协商协议页数:3
-
X3DH密钥协商协议官方手册(中文版)页数:13
-
签名方案的多密钥协商协议页数:3
-
试论密钥协商协议及其安全性页数:1
下载文档原格式
合集下载
一种无证书两方密钥协商方案的分析与改进
摘
要 : 于签 密方案, i— 构造 了一 个高效 的无证 书两方认证密钥协商协议 。对 LuX 基 LuXu i. u的方案进行安全性分析 , 出由于传 指
送 消息存在 冗余 , 方案不具有强安全性 。该 方案 不能抵 抗被动攻击和主 动攻击。提 出一个 改进 的方案 来修 正上述 问题 , 方 该 新 案没有使用签密方案。分析结果表 明, 新协议 的效率和安全性提 高明显 。 关键 词: 密; 签 密钥协商; 强安全性; 冗余 ; 被动攻击; 主动攻击 D :0 7 8 .s. 0 .3 1 0 20 .0 文章编 号:0 283 (0 2 0 —0 10 文献标识码 : OI1 . 7/i n1 28 3 . 1. 0 6 3 js 0 2 3 10 .3 l 2 1 )30 2 -3 A 中图分类号 :N9 81 T 1.
v l e a l op s i ea tc n ci ea a k T v r o ep o l m n i n d a o e a r v d s h mewi o t sn i n r p- u n r b et a s t k a d a t t c . o o e c me t r b e me t e b v , n i v a v h o mp o e c e t u i g sg cy h u
书公钥密码 系统 。无证书密码系统保 留了基 于身份的密码 系
次对 称加密运 算和三 次指数运 算 , 并在较 弱的安全模 型 中证
t nsh mei po o e . ay i rs lp o e a ee ce c n eu i f h rp sdp oo o rv d i c e r p sd An lss eut r v s h th f in ya ds c rt o tep o o e rt c lsi o e . o s t t i y i mp
改进的双方密钥协商协议
i r v d p oo o s p e e t d a d i h e s he , t a a ee st a a e k t o g tr k y r n rptd. mp o e r tc lwa r s n e , n n t e n w c me he p r m t r h tm y la he l n —em e s wee e c y e
a t r aa zdanwpoal scr opr uhni tdkya emet rtcl rpsdi 0 b aj h o t 1 uh s nl e e r by euet —at ate tae e g e n o o pooe 2 1 yJ ni Z a . o y v w y c r p o n 1 i e e a
I pr v d t m o e wo- r y a he ia e y a r e e tpr t c l pa t ut ntc t d ke g e m n o o o
ZHANG o g x a L n - ing
( colfI omain i U w ̄i,Ln i h no g26 0 , hn ) Sho n r t ,L o f o n e t iy a dn 7 0 1 C i y S a
安全性的公开参数保护起 来, 避免 了长期私钥 的泄露 , 并对新协议 的安 全性和计 算量进行 了讨论。分析 结果表 明, 新
协议在 减少计算量的前提 下实现 了协议 双方的安 全密钥协商。 关键词 : 密码 学; 认证 ; 密钥 协商 ; 向安全性 ; 前 可证 明安全
中 图 分 类 号 : P39 T 0 文 献标 志 码 : A
(}通信作者电子邮箱 za g nx n@l .d .n hnl gi g y eu c ) o a u
a t r aa zdanwpoal scr opr uhni tdkya emet rtcl rpsdi 0 b aj h o t 1 uh s nl e e r by euet —at ate tae e g e n o o pooe 2 1 yJ ni Z a . o y v w y c r p o n 1 i e e a
I pr v d t m o e wo- r y a he ia e y a r e e tpr t c l pa t ut ntc t d ke g e m n o o o
ZHANG o g x a L n - ing
( colfI omain i U w ̄i,Ln i h no g26 0 , hn ) Sho n r t ,L o f o n e t iy a dn 7 0 1 C i y S a
安全性的公开参数保护起 来, 避免 了长期私钥 的泄露 , 并对新协议 的安 全性和计 算量进行 了讨论。分析 结果表 明, 新
协议在 减少计算量的前提 下实现 了协议 双方的安 全密钥协商。 关键词 : 密码 学; 认证 ; 密钥 协商 ; 向安全性 ; 前 可证 明安全
中 图 分 类 号 : P39 T 0 文 献标 志 码 : A
(}通信作者电子邮箱 za g nx n@l .d .n hnl gi g y eu c ) o a u
面向AdHoc网络的无证书认证组密钥协商协议
面向AdHoc网络的无证书认证组密钥协商协议在AdHoc网络中,无证书认证组密钥协商协议被广泛应用于节点之间安全通信的密钥协商过程。
与传统的公钥基础设施(PKI)系统相比,无证书认证组密钥协商协议无需依赖第三方认证机构,可以在无信任环境下完成节点间的密钥协商,因此在AdHoc网络中有着较好的适用性。
本文将重点探讨面向AdHoc网络的无证书认证组密钥协商协议的相关概念、存在的挑战和解决方法,以期为AdHoc网络的安全通信提供一定的参考。
一、无证书认证组密钥协商协议的基本概念无证书认证组密钥协商协议是指在AdHoc网络中,无需预先共享密钥或证书的情况下,由节点之间通过一定的协商协议达成共享密钥的过程。
通常情况下,无证书认证组密钥协商协议需要满足以下基本要求:1. 节点认证:参与协商的节点需要能够验证对方的身份,确保通信对象的合法性。
2. 私密性:协商过程中产生的共享密钥不能被窃取或破解。
3. 完整性:协商过程中的信息不能被篡改,确保协商结果的可靠性。
4. 鲁棒性:协商协议应当具有一定的抵抗攻击的能力,比如抵抗重放攻击、中间人攻击等。
目前,常见的无证书认证组密钥协商协议包括基于身份的协议(ID-based protocol)、基于密码学的协议等,它们通过不同的方式实现节点间的身份认证和密钥协商,具有各自的特点和适用场景。
在AdHoc网络中,由于网络拓扑结构的动态变化和节点的移动性,无证书认证组密钥协商面临着一系列的挑战与问题。
1. 节点认证问题:在无信任环境下,如何确保协商对方的身份合法性成为了一个难以解决的挑战。
一方面,节点可能受到伪装攻击或中间人攻击,导致无法正确验证对方身份;由于节点的移动性,节点的身份信息难以及时更新和验证。
2. 密钥协商的可靠性:AdHoc网络中,由于网络拓扑结构的不确定性,密钥协商可能受到重放攻击、消息篡改等问题的影响,导致协商结果的可靠性受到威胁。
3. 鲁棒性和效率:AdHoc网络中,由于节点数量众多、拓扑结构复杂,无证书认证组密钥协商协议需要具有较好的鲁棒性和高效率,否则将影响整个网络的通信质量和性能。
改进的三因素相互认证与密钥协商方案
改进的三因素相互认证与密钥协商方案三因素认证是一种通过结合用户所知的密码、用户所持有的设备或手机等物理令牌,以及用户的生物特征等多个身份验证要素,来提高身份认证安全性的方法。
而密钥协商方案则是用于在通信双方之间建立共享密钥的方法。
本文将介绍改进的三因素相互认证与密钥协商方案,以提高安全性。
一、方案介绍1.使用密码进行认证:用户首先需要输入自己所知的密码进行身份验证。
这可以是用户在注册过程中设定的复杂密码,或是通过其他途径获取的临时密码。
2.使用生物特征进行认证:在密码认证通过后,系统会要求用户进行生物特征的认证。
这可以是指纹、虹膜、声纹等。
系统将用户的生物特征与预先注册的模板进行比对,以确认用户的真实身份。
3.使用物理令牌进行认证:在生物特征认证通过后,用户需要使用自己所持有的物理令牌进行认证。
这可以是手机、硬件密钥盒等设备。
4. 密钥协商:在三因素认证通过后,系统将为用户生成一次性的加密密钥。
这个密钥将用于建立安全通信信道。
密钥生成过程可以使用公钥密码学的方法,如Diffie-Hellman密钥交换算法。
5.数据传输:在密钥协商完成后,用户可以使用生成的密钥对数据进行加密和解密。
在数据传输过程中,双方可以使用该密钥来建立双向加密通信。
二、方案改进为了进一步提高三因素相互认证与密钥协商方案的安全性,可以进行以下改进:1.强化生物特征识别:改进生物特征识别算法,提高其准确性和抗攻击能力。
例如,通过引入深度学习的方法,改进人脸、指纹等生物特征的识别算法。
2.引入多因素密钥协商:除了三因素认证外,引入更多的因素进行密钥协商。
例如,可以引入时间戳、地理位置信息等因素,以进一步增加密钥的安全性。
3.双向认证:在密钥协商过程中,不仅仅服务器对用户进行认证,同时用户也需要对服务器进行认证。
这可以通过公钥加密的方式实现,服务器提供公钥给用户进行加密认证。
4.安全传输通道:在密钥协商过程中,建立一个安全的传输通道是至关重要的。
基于无证书的可认证组密钥协商协议
( ia o X ’lC mmuia o s ntueX ’n70 0 , hn ) l nct n s t , ia 116 C i i Iit a
Abt a t An c r f aee s ae uh niae r u e ge me t m tc i r p sdb s do h r p r mutie rfr n l sr c : eti tls—b sda te t tdg o pk ya re n ic c p o  ̄ spo oe ae ntepo et y llna omsa d e・ i
a od h e srw ise n ei i h d n t- sd sh me fe t ey a d p v nsa t eatc v istek ye o su sih rt nteie t y bae c e sefc v l n r e t ci t kbyie d ya te t ai . d c d e i i e v a d n t u ni t h c on An
O 引 . 言
随着基于群组通信 的 网络应 用飞速 发展 , 组通 群 信 系统 的安全问题逐渐成为了社会关注 的焦点 。解决 安全问题 的手段有 多种 , 中安 全高效 的组密钥 协商 其
协议是一个重要途径 。
能实现对参与者 的身 份认证 , 仍存在 中 间人 攻击 。文 献 [3 采用 P I 1] K 机制解 决 了身份 认证 问题但 是证 书 管理复杂 ,0 5年 , 20 文献 [0 采用 基 于身份 的方 案进 1] 行 了改进 , 但是安全性存在不足。近年来 , 国内学者针 对采用多线性 表 进行 多方 密钥 协 商进行 了研 究 和探 讨 - “ , 给出了对应 的成员动态 变化 时组密钥 更新 - 并
Abt a t An c r f aee s ae uh niae r u e ge me t m tc i r p sdb s do h r p r mutie rfr n l sr c : eti tls—b sda te t tdg o pk ya re n ic c p o  ̄ spo oe ae ntepo et y llna omsa d e・ i
a od h e srw ise n ei i h d n t- sd sh me fe t ey a d p v nsa t eatc v istek ye o su sih rt nteie t y bae c e sefc v l n r e t ci t kbyie d ya te t ai . d c d e i i e v a d n t u ni t h c on An
O 引 . 言
随着基于群组通信 的 网络应 用飞速 发展 , 组通 群 信 系统 的安全问题逐渐成为了社会关注 的焦点 。解决 安全问题 的手段有 多种 , 中安 全高效 的组密钥 协商 其
协议是一个重要途径 。
能实现对参与者 的身 份认证 , 仍存在 中 间人 攻击 。文 献 [3 采用 P I 1] K 机制解 决 了身份 认证 问题但 是证 书 管理复杂 ,0 5年 , 20 文献 [0 采用 基 于身份 的方 案进 1] 行 了改进 , 但是安全性存在不足。近年来 , 国内学者针 对采用多线性 表 进行 多方 密钥 协 商进行 了研 究 和探 讨 - “ , 给出了对应 的成员动态 变化 时组密钥 更新 - 并
一种两方认证密钥协商方案的分析与改进
舒 剑 。
(. 1江西财 经 大学 电子 商务 系 , 南昌 30 1 ; . 303 2 电子科技 大 学 计算机 科 学与 工程 学院 , 成都 6 13 ) 171
摘 要 :基 于签 密方案 , i- u利 用椭 圆 曲线群 构造 了一 种 高效 、 LuX 强安 全 的 两方认 证 密钥 协 商协 议。 对 LuXu i—
cag m s gs adhn r et p vd rooi o e tr o e uh r l s hne e ae, n e e n d ni r e o c r ro e l c o e . s t p s e a m o p t ln d s v s p b m
第 2 第 l 期 8卷 2
21 年 1 01 2月
计 算 机 应 用 研 究
Ap l ai n Re e r h o o u e s p i t s a c f C mp tr c o
V0 . 8 No 1 12 . 2
De .2 l e 0 】
一
种 两方 认 证 密 钥 协 商方 案 的 分 析 与 改进 术
关键 词 :签 密 ;椭 圆曲线 ;强安 全性 ;完美前 向安全 ;冗余
中 图分 类号 :T 9 8 1 N 1.
文献 标志 码 :A
文章编 号 :10 —65 2 1 )24 6・3 0 139 (0 1 1 —600
di1 .9 9 ji n 10 — 6 5 2 1 .2 0 8 o:0 3 6 /.s .0 1 3 9 .0 1 1 .6 s
提 出的方案进 行安 全性 分析 , 出该 方案 不具有 强安全 性 。该 方案 不 能抵 抗 临时私 钥 泄露 攻 击 , 指 并且 方案 不具 有 完美前 向安全 的特性 。分析 了方案 不安全 的原 因在 于传 送 的消 息存 在 冗余 , 在此 基础上提 出一种 改进 的 方 并
(. 1江西财 经 大学 电子 商务 系 , 南昌 30 1 ; . 303 2 电子科技 大 学 计算机 科 学与 工程 学院 , 成都 6 13 ) 171
摘 要 :基 于签 密方案 , i- u利 用椭 圆 曲线群 构造 了一 种 高效 、 LuX 强安 全 的 两方认 证 密钥 协 商协 议。 对 LuXu i—
cag m s gs adhn r et p vd rooi o e tr o e uh r l s hne e ae, n e e n d ni r e o c r ro e l c o e . s t p s e a m o p t ln d s v s p b m
第 2 第 l 期 8卷 2
21 年 1 01 2月
计 算 机 应 用 研 究
Ap l ai n Re e r h o o u e s p i t s a c f C mp tr c o
V0 . 8 No 1 12 . 2
De .2 l e 0 】
一
种 两方 认 证 密 钥 协 商方 案 的 分 析 与 改进 术
关键 词 :签 密 ;椭 圆曲线 ;强安 全性 ;完美前 向安全 ;冗余
中 图分 类号 :T 9 8 1 N 1.
文献 标志 码 :A
文章编 号 :10 —65 2 1 )24 6・3 0 139 (0 1 1 —600
di1 .9 9 ji n 10 — 6 5 2 1 .2 0 8 o:0 3 6 /.s .0 1 3 9 .0 1 1 .6 s
提 出的方案进 行安 全性 分析 , 出该 方案 不具有 强安全 性 。该 方案 不 能抵 抗 临时私 钥 泄露 攻 击 , 指 并且 方案 不具 有 完美前 向安全 的特性 。分析 了方案 不安全 的原 因在 于传 送 的消 息存 在 冗余 , 在此 基础上提 出一种 改进 的 方 并
可认证的无证书密钥协商协议
密钥协商是密码技术研究的一个重要方向,是信息安全 和数据保密 的重要 手段 。密钥 协商是 一种 协议 ,是在对 等的
成员之 间建立一个安 全 的通 信信道 ,能 够让通信 系统 中 的两 个或多个参 与主体在 一个公 开的 、安全 的信道上 通过 通信协 商联合建立一次会话所用 的临时会话 密钥的通信机制 。这类 机制被广泛应用 于面向群 的通信 中 ,如 视频会议 、网络游戏 、
关键词 :可认证的 密钥协 商;基于 身份 ;无证 书公钥 密码 体制 中 图 分 类 号 :TP309.2 文 献 标 志 码 :A
Authenticated certif icateless key agreem ent protocol
XIANG Xin—yin f School of Graduate,Xi'an University of Finance and Economic,Xi ̄an Shaanxi 710061,China)
Key words:authenticated key agreement; identity—based; eertif ieateless public key cr yptography
0 引 言
文献 [1]首 次提 出了基 于身份 的公 钥 密码体 制 ,其 思想 是将用户 的个人 身份信息 (如 名字 、IP地址 、邮箱地址 等 )作 为本人 的公钥 ,即每个人 的公钥可 以直接 用其身 份信息 计算 出来 。但是根据其身份信息 ,只有私钥 产生 中心 (Private Key Generator,PKG)能够计算 出每个人 的私钥 。因此 ,不可 避免 的产 生 了密 钥 托 管 问题 。
为 了有效地解决 密钥 托管 问题 ,文 献 [2]提 出了一种 无 证书公钥签名方案 ,该 方案无需公钥证书 ,避免 了基 于身份的 密码体制 中证 书管理 与认证 的问题 ,给 实际应用 带来 了极大 的便利。无证书的公钥签名方案不 同于基 于身 份的密码 体制 下的 PKG,它 需 要 一 个 可 信 第 三 方 密 钥 生 成 中 心 (Key Generating Centre,KGC),KGC利用用 户 的身份 ID生 成用 户 部分私钥 。用户根据 KGC产 生 的部 分私钥 和 自己随机选 取 的秘密值共同生成私钥 ,而 KGC不知 道用 户的私 钥 ,从而很 好地解决 了基于身份 的密码体 制 中密 钥托管 问题 。 目前 ,许 多学者对无证书公钥密码 体制进 行 了广 泛深入 的研究 ,并取 得 了许 多研 究成果 。文献 [3]提 出了一 种无证 书公钥 认证加 密方案 ,但该方案 缺乏 有效 的安 全性 证 明。文 献 [4]指 出他 们 的方案在签名 阶段存 在公 钥替换攻 击 ,并提 出 了一 种更为 安全 的无证 书公钥方案 ,但是该方案需要更多 的对数运算 ,这 无 疑 增 加 了计 算 量 。
成员之 间建立一个安 全 的通 信信道 ,能 够让通信 系统 中 的两 个或多个参 与主体在 一个公 开的 、安全 的信道上 通过 通信协 商联合建立一次会话所用 的临时会话 密钥的通信机制 。这类 机制被广泛应用 于面向群 的通信 中 ,如 视频会议 、网络游戏 、
关键词 :可认证的 密钥协 商;基于 身份 ;无证 书公钥 密码 体制 中 图 分 类 号 :TP309.2 文 献 标 志 码 :A
Authenticated certif icateless key agreem ent protocol
XIANG Xin—yin f School of Graduate,Xi'an University of Finance and Economic,Xi ̄an Shaanxi 710061,China)
Key words:authenticated key agreement; identity—based; eertif ieateless public key cr yptography
0 引 言
文献 [1]首 次提 出了基 于身份 的公 钥 密码体 制 ,其 思想 是将用户 的个人 身份信息 (如 名字 、IP地址 、邮箱地址 等 )作 为本人 的公钥 ,即每个人 的公钥可 以直接 用其身 份信息 计算 出来 。但是根据其身份信息 ,只有私钥 产生 中心 (Private Key Generator,PKG)能够计算 出每个人 的私钥 。因此 ,不可 避免 的产 生 了密 钥 托 管 问题 。
为 了有效地解决 密钥 托管 问题 ,文 献 [2]提 出了一种 无 证书公钥签名方案 ,该 方案无需公钥证书 ,避免 了基 于身份的 密码体制 中证 书管理 与认证 的问题 ,给 实际应用 带来 了极大 的便利。无证书的公钥签名方案不 同于基 于身 份的密码 体制 下的 PKG,它 需 要 一 个 可 信 第 三 方 密 钥 生 成 中 心 (Key Generating Centre,KGC),KGC利用用 户 的身份 ID生 成用 户 部分私钥 。用户根据 KGC产 生 的部 分私钥 和 自己随机选 取 的秘密值共同生成私钥 ,而 KGC不知 道用 户的私 钥 ,从而很 好地解决 了基于身份 的密码体 制 中密 钥托管 问题 。 目前 ,许 多学者对无证书公钥密码 体制进 行 了广 泛深入 的研究 ,并取 得 了许 多研 究成果 。文献 [3]提 出了一 种无证 书公钥 认证加 密方案 ,但该方案 缺乏 有效 的安 全性 证 明。文 献 [4]指 出他 们 的方案在签名 阶段存 在公 钥替换攻 击 ,并提 出 了一 种更为 安全 的无证 书公钥方案 ,但是该方案需要更多 的对数运算 ,这 无 疑 增 加 了计 算 量 。
两个无证书两方认证密钥协商协议分析
作者 简介 : 程庆丰( 1 9 7 9一) , 男 ,辽宁朝阳人 , 博士 ,讲师.研究 方向 : 密码学 和信息安 全.
・
5 4・
洛 阳师范学院学报 2 0 1 3年第 5期
∈{ 0 , 1 } ’ 随机选择 r 仨 , 再计算部分私钥 D =
+ 讲。 ( , 尺 ) , 其中R = r v P为用户 的部分 公钥 , 然 后通 过安 全信 道分 发 给用 户 U 用 户设 置 阶段 : 用 户 随 机选 择 E Z 作 为 自己的部分秘密密钥 , 并将 S = ( , D ) 作为长期 私钥 , 对应的长期公钥为 P =< X u = x u P , R >. 下面介绍 C L K A— L X协议的密钥协商过程 , 该
C L K A— L X协议是 由刘文浩等¨ 在 2 0 1 1 年提
出的, 并 在 随机 预 言 模 型 下 证 明 了协 议 的安 全 性 , 首先 简要 回顾 一下 C L K A—L x协 议 . 设P , q 是 两 大素数 ,满 足 q I p—l ,k是 系 统 的 安 全参 数 , G是 阶为 q的加 法循 环 群 , P是 群 G的
一
个生成元.密钥生成 中心( K G C ) 随机选择 s ∈ z
作为系统的主密钥 , 并将 P 。 曲= s P作为系统 的公开
书密钥协商( C L K A ) 协议【 6 也相继被提 出. 2 0 1 1 年, 刘文浩等¨ 叫提出 了一个 具有强安全 性 的两方无证书密钥协商协议 , 简称 C L K A— L X协 议, 并 宣称 该协 议 在 e C K模 型 l l 下 是 可 证 明安 全 的.最近 , 杨浩民等 ¨ 基于双线性对设计了一个新
一种改进的基于移动通信的论证密钥协商协议——MAKAP~+
( )抗 未知 密钥共享攻 击 攻击 者 E不能 在实体 A面前 4 扮演诚实 的实体 E, 而在实体 B面前扮演诚实 的实体 A 。 ( )密钥控制 任何 一个 实体 都 不能 预先 计算 出会话 密 5
钥。
个只有通信 双方 知晓的秘密会话密钥 。这个 会话密钥能够 为 文献 [ ] 出了一个在移动通 信系统 中可证 安全 的双 向认 1提
第2 7卷 第 6期
21 0 0年 6 月
计 算机 应 用与 软件
Co u e p ia insa d S f r mp t rAp lc t o n ot e wa
Vo . 7 No 6 12 .
Jn 0 0 u .2 1
一
种 改进 的 基 于移 动 通 信 的论 证 密 钥 协 商协 议— — MA P+ KA
以后 的通信提供 如数据完整性 、 密性等保护 。 保 证 的密钥 协商 协议 —— MA A K P协议 , 在 随机预 言机模 型 j 并
r l be T r u h t e a ay i o sp r r n e t e p a tc l y o e i l . h o g h n l ss fi e o ma c ,h r cia i fMAKAP p oo o a e n p o e . a t f t r tc lh sb e r v d Ke wo d y rs Au h n iae e g e me t r tc l U k o n k y s a e atc Ra d m r ce mo e t e t td k y a r e n oo o n n w e —h r t k c p a n o o a l d l
为一个研究 的热点 。认 证密钥协商协议 可以在通信过程 中使得 通信 双方确认对方 的身份 , 并在确认 对方的真实 身份 后 , 协商 出
钥。
个只有通信 双方 知晓的秘密会话密钥 。这个 会话密钥能够 为 文献 [ ] 出了一个在移动通 信系统 中可证 安全 的双 向认 1提
第2 7卷 第 6期
21 0 0年 6 月
计 算机 应 用与 软件
Co u e p ia insa d S f r mp t rAp lc t o n ot e wa
Vo . 7 No 6 12 .
Jn 0 0 u .2 1
一
种 改进 的 基 于移 动 通 信 的论 证 密 钥 协 商协 议— — MA P+ KA
以后 的通信提供 如数据完整性 、 密性等保护 。 保 证 的密钥 协商 协议 —— MA A K P协议 , 在 随机预 言机模 型 j 并
r l be T r u h t e a ay i o sp r r n e t e p a tc l y o e i l . h o g h n l ss fi e o ma c ,h r cia i fMAKAP p oo o a e n p o e . a t f t r tc lh sb e r v d Ke wo d y rs Au h n iae e g e me t r tc l U k o n k y s a e atc Ra d m r ce mo e t e t td k y a r e n oo o n n w e —h r t k c p a n o o a l d l
为一个研究 的热点 。认 证密钥协商协议 可以在通信过程 中使得 通信 双方确认对方 的身份 , 并在确认 对方的真实 身份 后 , 协商 出
基于无证书的两方认证密钥协商协议
的 正确性 , 应用 p 演算对协议进行形式化分析 , i 借助 P V f 工具验证 了协议 的安全性。与其 它两方 密钥协 商协议 性能 o i r ef
相 比 。 全 性和 效 率都 更好 。 安
关键词 : 密钥协 商;双线性对 ;无证 书密码体制 ;形式化分析
中图分类号 :P 9 . 8 T 33 0
1 1 系统 参数建立 .
重视。对于通信双方而言 , 好的通信协议是确保安全 的有效手 段。基 于无证 书密码体 制 ( e i a l s C rf te — tc e s i bsd …而设计的认证密钥协商协议 一方 面保持 了 a ) e 身份的易管理性 , 消除了传统公钥密码体制中公钥证 书管理 的负担 , 同时还解 决 了基 于身份 的公钥 密码 体 制中固有的密钥托管问题 , 成为当前研究 的热点¨ 剖。
协议包 含 三个 实 体 : 信 双 方 A、 通 B和 P G( r K Pi — vt K yG nrt ) K a e eeao 。P G随机选 择 s q, 将 s e r ∈Z 并 作 为 系统私钥 秘 密 保 存 , P为 G。 生 成 元 ; 义 两 个 的 定 H s 数 HI 0,} 一 z 和 H : 0 1 一 G 。 ah函 :{ 1 。 2 {,} 1
me tp tc l ,t e n w y p p s e g e me tp oo o a etrs c r y a d e ce c . n r o os h e l r o e k y a r e n r tc lh s b t e u t n f in y o o d e i i
2 1 年第 1 01 2期 文章编号 : 0 .4 5 2 1 )20 1-4 1 627 (0 I 1- 30 0 0
相 比 。 全 性和 效 率都 更好 。 安
关键词 : 密钥协 商;双线性对 ;无证 书密码体制 ;形式化分析
中图分类号 :P 9 . 8 T 33 0
1 1 系统 参数建立 .
重视。对于通信双方而言 , 好的通信协议是确保安全 的有效手 段。基 于无证 书密码体 制 ( e i a l s C rf te — tc e s i bsd …而设计的认证密钥协商协议 一方 面保持 了 a ) e 身份的易管理性 , 消除了传统公钥密码体制中公钥证 书管理 的负担 , 同时还解 决 了基 于身份 的公钥 密码 体 制中固有的密钥托管问题 , 成为当前研究 的热点¨ 剖。
协议包 含 三个 实 体 : 信 双 方 A、 通 B和 P G( r K Pi — vt K yG nrt ) K a e eeao 。P G随机选 择 s q, 将 s e r ∈Z 并 作 为 系统私钥 秘 密 保 存 , P为 G。 生 成 元 ; 义 两 个 的 定 H s 数 HI 0,} 一 z 和 H : 0 1 一 G 。 ah函 :{ 1 。 2 {,} 1
me tp tc l ,t e n w y p p s e g e me tp oo o a etrs c r y a d e ce c . n r o os h e l r o e k y a r e n r tc lh s b t e u t n f in y o o d e i i
2 1 年第 1 01 2期 文章编号 : 0 .4 5 2 1 )20 1-4 1 627 (0 I 1- 30 0 0
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第40卷第5期计算机学报Vol. 40 No. 5 2〇17 年5月C H IN E S E J O U R N A L O F C O M P U T E R S May 2017一种改进的无证书两方认证密钥协商协议周彦伟杨波张文政2)1;)(陕西师范大学计算机科学学院西安710119)2)(保密通信重点实验室成都610041)3)(中国科学院信息工程研究所信息安全国家重点实验室北京100093)摘要在不使用双线性映射的前提下,文中提出可证安全的高效无证书两方认证密钥协商协议,并在eC K安全模型和随机谕言机模型下基于离散对数困难问题证明了文中协议的安全性和不可伪造性;与目前已有的同类协议相比,文中协议具有更高的计算效率,同时具有已知密钥安全、完美的前后向安全性、抵抗未知密钥共享和密钥泄露伪装攻击等安全属性.文中协议更适用于基于身份的公钥系统,并在带宽受限的通信环境(如无线传感器网络、八d-H〇c网络等)中具有较好的推广性.关键词无证书密钥协商;可证明安全;离散对数;无双线性映射安全模型中图法分类号TP309 DOl 号10. 11897/SP.J. 1016.2017. 01181An Improved Two-Party Authenticated CertificatelessKey Agreement ProtocolZ H O U Y a n-W e i1),2),3)Y A N G B o1),2),3)Z H A N G W e n-Z h e n g2)^ (School o f Computer Science »Shaanxi Normal University »X iyan710119)(Science and Technology on Communication Security Laboratory ^Chengdu610041)3) {.Stale K ey Laboratory o f Inform ation Security Insiiiuie o f Information Engineering »Chinese Academy o f Sciences »B eijin g100093)A b s tr a c tB ased o n d is c re te lo g a r ith m (D L)p r o b le m,th is p a p e r p ro p o s e s a s a fe ly a u th e n tic a te da n d e ffic ie n t tw o p a r ty c e rtific a te le s s k e y a g re e m e n t p ro to c o l w ith o u t u s in g th eb ilin e a r p a ir in g s,w h ic h is p ro v a b ly secu re and u n fo r g e a b ility in th e eC K s e c u rity m o d e l a n d ra n d o m o ra c le m o d e l (R O M)u n d e r th e D L a s s u m p tio n.C o m p a re d w it h o th e r s im ila r p r o to c o ls,th is one is m o ree ffic ie n t and a ls o has k n o w n k e y s e c u r it y,p e rfe c t fo r w a r d a n d b a c k w a rd s e c re c y,re s is ta n c e tou n k n o w n k e y-s h a re a tta c k s a n d k e y-c o m p ro m is e im p e rs o n a tio n a tta c k s,e tc.I t is m o re s u ita b lef o r th e id e n tity-b a s e d p u b lic k e y c r y p tog r a ph y,a n d has b e tte r p o p u la riz a tio n in th e re s tric te db a n d w id th o f th ec o m m u n ic a tio n e n v iro n m e n t(e.g.w ire le s s se n so rs n e t w o r k s,A d-H o cn e t w o r k s,e tc.).K e y w o rd s c e rtific a te le s s k e y a g re e m e n t;p r o v a b ly s e c u r ity;d is c re te lo g a r it h m;w ith o u t b ilin e a r p a ir in g;eC K s e c u rity m o d e l收稿日期:2015-10-05;在线出版日期:2016-01-18.本课题得到国家自然科学基金(61272436,61402275,61303092,61572303)、中国科学院信息工程研究所信息安全国家重点实验室开放课题(2015-M S-10)、保密通信重点实验室基金(9140C110206140C1105CI)、中央髙校基本科研业务费专项资金(GK2015CI4CI16)及陕西师范大学优秀博士论文项目(X2014YBCI1)资助.周彦伟,男,1986年生,博士研究生,主要研究方向为密码学、匿名通信技术等.E-m ail: Z yw_SnnU®丨oxm .杨波(通信作者),男,1邮3年生,博士,教授,博士生导师,陕西省“百人计划”特聘教授,主要研究领域为信息安全、密码学等.E-m ail: byang@sm . c n.张文政,男,1邮6年生,研究员,主要研究领域为信息安全等.1182计算机学报2017 年1引言公钥加密机制是信息安全领域的关键技术,然 而传统基于证书的密码体制中,由于证书保证了持 有人与公钥间的对应关系,故涉及证书的管理、颁发 和撤销等操作,导致证书的管理过程复杂且代价极 高•基于身份的公钥密码体制(Id e n tity-B a s e d P u b lic K e y C r y p to g r a p h y,I D-P K C)[1]改进 了传统公钥密 码体制中证书管理的问题.I D-P K C中由于身份信息 (如姓名、电子邮箱等)直接被作为公钥使用,使得公 钥无需与证书绑定;而用户的私钥由可信第三方密 钥生成中心(K e y G e n e ra tio n C e n te r,K G C)负责生 成,因此恶意的K G C具备伪造任意用户的合法密 文或替代用户进行解密的能力,即I D-P K C存在密 钥托管的不足,该不足制约了 I D-P K C在实际中的 应用.为了克服I D-P K C的密钥托管不足,无证书公 钥密码系统(C ertificateless P u b lic K e y C ry p to g ra p h y, C L-P K C)[2]被提出,C L-P K C中,依然存在拥有系统 主密钥的K G C,K G C根据用户的身份和系统主密 钥为用户生成部分私钥;用户基于K G C为其计算 的部分私钥和随机选取的秘密值生成完整的私钥;公钥由用户的秘密值、身份和系统参数计算得出,C L-P K C中用户参与其私钥的生成,增强了私钥生 成过程中用户的自主性,很好地解决了 I D-P K C的密钥托管问题.国内外研究者相继提出了不同的无证书两方密 钥协商协议[3_22],其中文献[3-5]中的协议都不能抵 抗密钥泄露伪装攻击或临时私钥泄露产生的攻击,文献[6-8]分别介绍了针对上述方案的具体攻击算 法;相较于指数运算和点乘运算,双线性运算是更为 耗时的运算®,由于协议[9〜’2『21]都是基于双线性映 射构建的,因此运算量较大,均存在计算效率低的不 足;为提高协议的执行效率,无双线性运算的无证书 两方密钥协商协议%19]相继被提出,但是文献[17] 指出协议[15_16]均不安全;虽然文献[19 ]的协议相较 于其他方案而言具有较高的计算效率,但该方案的 安全性是在较弱的安全模型默B i?(m o d ifie d B e lla re-R o g a w a y)模型下进行证明的,分析发现文献[18-19] 中的协议易受到A:类敌手的伪造攻击,无法满足其 所声称的对此类敌手不可伪造性攻击的抵抗;协 议[17]是一个可证安全的无证书两方密钥协商协议,并在 eCK (extended Canetti-Krawczyk)强安全模型 下证明了方案的安全性,但该方案存在计算效率低 的不足;文献[20]提出了能同时满足前向安全性和 无密钥托管等安全属性的无证书两方密钥协商协 议,由于仅需进行1轮的消息通信,该协议的执行效 率较高;文献[21]基于数字签名技术提出了两方无 证书密钥协商协议,并分析了协议所具有的私钥泄 露安全等相关安全属性;遗憾的是文献[22]分析发 现文献[20-21]中的协议都无法满足其所声称的安 全性.由于文献[22]是从消息泄露的角度出发对文 献[20-21]进行安全性分析的;因此本文从安全模型 的敌手类型出发,在无消息泄露的前提下,基于公开 信息和敌手自身已有的攻击能力构造具体的伪造性 攻击算法,证明协议[2°]无法满足其所声称的对A类 敌手的不可伪造性,A类敌手对文献[18-19]中协议 的伪造攻击算法与文献[20]的相关算法的构造相类 似,本文以文献[20]为例详细介绍.针对现有方案[1521]所存在的不足,本文提出可 证安全的高效无证书两方认证密钥协商协议,并分 别在e C K强安全模型和随机谕言机模型下基于离 散对数困难问题的困难性证明了本文密钥协商协议 的安全性和不可伪造性;此外该协议还具有完美的 前后向安全性、抵抗重放攻击、抗伪造性攻击和无密 钥托管等安全属性,相较于现有的无证书密钥协商 协议,本文协议具有较高的计算和通信效率.2相关基础知识2.1相关困难问题离散对数(D is c re te lo g a r it h m,D L)问题.令 _P 是阶为大素数<7的循环群G的一个生成元;给定P 和cp e G,对任意未知的问题的目标是计算C.算法_4在概率多项式时间内成功解决D L问题的概率定义如下:A d v^(A)=P r[A(P,c P)=c\c e Z;J,其中概率来源于算法>4的随机选择及 <:在Z丨上的 随机选取.定义1.D L假设.对于任意的多项式时间算 法>4概率A c fo DL(_A)是可忽略的.①MIRACL. Multiprecision integer and rational arithmetic C/C H--h library, http://indigo, ie/mscott/周彦伟等:一种改进的无证书两方认证密钥协商协议1183 5期计算性D if f ie-H e llm a(C D H)问题•令P是阶 为大素数g的循环群G的一个生成元;对于任意未 知的已知P,a P,6P e G,C D H问题的目 标为计算&P.算法>4在概率多项式时间内成功解 决C D H问题的概率定义如下:A d v C D U(y4) =P r^A i P,a P,b P)=a b P\a,b(z Z*^ ,其中,概率来源于算法的随机选择及〜6在上的随机选取.定义2.C D H假设.对于任意的多项式时间 算法>4概率/W DII(_A)是可忽略的.2.2安全属性及安全模型文献[13]详细介绍了认证密钥协商协议需满足 的协商密钥安全性、抵抗密钥泄露伪装攻击和会话 密钥托管等相关安全属性.参照文献[19]所定义的 安全模型,无证书密钥协商协议将面临两种类型的 敌手攻击,将这两种敌手分别简写为A和A n两类.A:此类敌手无法掌握系统的主密钥,但可利 用合法用户的公钥完成对密钥协商协议安全性的攻 击,即具有替换合法用户公钥的能力;则A类敌手 为恶意的用户.•A n:此类敌手可掌握系统的主密钥,但其不具 有替换合法用户公钥的能力;则类敌手为恶意的K G C.e C K安全模型[17]中将会话的相应参与者形式化 为谕言机;攻击者具有执行Sewfi?,i?eweaZ,C o rrw辦 和等询问请求的能力;并且攻击者在相应的攻 击游戏结束后输出对会话密钥的一个猜测.通过下 述敌手与挑战者间的游戏来定义密钥协商协议的安 全性;并且在该游戏中,敌手可自适应的对谕言机进 行查询.令i l f,和为第S次执行协议时的两个参与 者,其中*和_/为用户标号,即表示第z个用户r o,和第_;'个用户n v密钥协商游戏包2个阶段,在第1个阶段中,攻 击者可自适应地进彳了 Sew<i,i?ew eaZ和C o rrw外询问.相关询问的具体执行及新鲜参与者的定义详见 文献[17],本文不再赘述.第1阶段的询问结束后,攻击者随机选取新鲜 参与者i l f,,,并对其执行T e M C ilf,,)请求,获得该请 求的相应输出消息.T扣:当i l f,是新鲜参与者时,挑战者选 取随机数6e{〇,i},并根据6的取值返回相应的应答.若6=0,则输出相应的会话密钥;否则,输出会 话密钥空间中的一个随机值.攻击者收到(m,)询问的相应输出后,可 自适应地进行Sew<i,i?ew eaZ和C o rrw辦询问,但不 能对参与者i l f,,进行办^^/询问,不能对与£^相匹配的参与者进行只抑似/询问^也不能对参与者进行C o rrw外询问.游戏结束时,攻击者输出6'作为对随机数6的猜测,若6 =^/,则攻击者在攻击 游戏中获胜.综上所述,攻击者>4在上述攻击游戏中获胜的 优势为(是)=外[6' =6] —j,其中是是安全参数.定义3.密钥协商安全.当一个认证密钥协商 协议同时满足下述条件时,则称该协议是安全的认 证密钥协商协议.(1) 若敌手忠实地传送消息,对协议消息不任何修改,且参与者接受该会话,则参与者协商了相 同的会话密钥,并且该会话在密钥空间上服从均匀 分布;(2) 对于任意的多项式时间敌手在上述游中获胜的优势是可忽略的.3 Liu等人方案的安全性分析本节针对文献[20]所提出的方案构造具体的不 可伪造性攻击算法,证明该方案不具备其所声称的 对义:类敌手的不可伪造性.令用户A U c e和B o b分别为文献[20]中无证书 两方密钥协商方案的参与者,则A l i c e的公私钥为 〈=(i?A,X A),S K A=(D A,:r A)〉,B o b 的公私钥 为(P K b = (R b,X b),S K b = (D b,x b)>.A类敌手A具有替换合法用户公钥的能力,但 其不掌握系统主密钥.敌手A获悉A U c e的公钥P K A=CRA,X A)后,使用伪造公钥替代A U c e的公 钥,并生成伪造的密钥协商信息.敌手A与B o b间的具体交互过程如下所示:①A获悉A l i c e的公钥=(i?A,X A)和身份7队等信息后,计算X:; = —d+(J D A,)),其中:y为K G C计算的系统公钥;②儿使用P i C=(i?A,X;〇代替参与者A l 的原始公钥P K A=(i?A,X A),则参与者B o b 认为1184计算 机学报2017 年A l i c e的公钥就为敌手A 按下述步骤伪装成A l i c e与参与者B o b 进行会话密钥协商:A 选取随机数计算T A=a P、// =H2(T A || J D A ||即生成签名 a 's'),将(I D A,//,S ',to )传递给 B o b .③B o b 收到消息(J D A ,//,S ',m )后,验证密钥 协商消息(V ,S ')的合法性.若合法性验证通过,则B o b 通过了对敌手A的身份合法性验证,即敌手A伪装A l i c e 成功.B o b 收到消息(J D A,//,S ',m )后,密钥协商消息的合法性验证过程如下所示:① 计算/4 =压(71^,1);② 计算 T ; = S ' (X ; +i?A + ;y //2 +) = a P =T a ;③由于n = T A ,则等式// = H2(n||J D a || m )成立,即B o b 认为签名是由A U c e 生成的合法签名.因此伪造消息通过了参与者B o b 的合法性验证,即A 类敌手A 具有伪装A U c e 的能力.由上述过程可知,敌手A 的伪造密钥协商消息通过了 B o b 的合法性验证,则A 伪装A U c e 成功.敌手A 通过B o b 的身份合法性验证后,与B o b间进行会话密钥协商,具体协商过程如下所述:B o b 选取随机数66^,计算=A(B o b 认为是与A U c e 在协商密钥),并计算:KB ,1= x b (X a +P a + T a ) = x b (a P ) =a x BP ;X B ,2 = DB (X ; +P A + TA ) = DB (a P ) = a D BP ;K b .i =b (X 'A-\-P a ~\-T a ) =b (a P ) = a b P .敌手A 收到消息(r o B ,i ?B )后,计算=i?B +^^(^^,私:^并计算:K a .i =〇.X b =a x BP =K b ,i =K i ;K a ,2 =a P B =a D BP =K b ,2=K 2 ;K a ,3 =a T B =a b P = K B,s = K S.B o b 与敌手A最终协商的会话密钥为K = H (I D a ,I D b ,X a ,X b ,T a ,T b ,K 1,K 2,K 3).综上所述,文献[20]的方案无法满足其所声称 的对A 类敌手的不可伪造性.4本文密钥协商协议本节提出可证安全的高效无证书两方认证密钥协商协议,具体细节如下所述.4.1 系统建立群G 是阶为大素数g C g 〉〗%々为安全参数)的循环群,P 是群G 的一个生成元;选择抗碰撞的单 向哈希函数f ^d C M f X G X G—$,只2:{0,1)^父{(Mf X G—S ,H :{0,1}*—{0,1}%其中 L 为用户身份标识的长度;K GC随机选择主密钥56之9%计算系统公开钥,并公开系统参数=W,G ,P p …6,执,执,H 〉,秘密保存 4.2用户密钥生成用户JA随机选取秘密值:rq6之9%计算公开参数X % =:r ro ';并发送身份标识J D ,和公开参数X% 给 K G C .给定用户的身份标识JA及公开参数Xq,K G C随机选取秘密数e z g *,并计算Y珥和:V q = (J A ,X q ,),并通过安全信道将3^和返回给用户/认;用户J A 通过验证 等式:y r o , P +尸如A (J A ,X 珥,)是否成立,判断:V q 和的有效性;若上述等式成立, 则J A的公私钥为PK q=〉和S K q=(xid ’,yiD ’)_4.3身份认证及密钥协商用户A lic e (身份标识为J D A )与B o b (身份标识为n)B )间的消息交互及密钥协商过程如下所述:首先,A H c e 选取随机秘密数a i ,a 2分 别计算 SA = a ! 〇A + ;yA ) 1、Q a = 〇2 (X B ++)和 U a = W2 ( ,I Db,<2li 3,<22 f * );最后,A lic e 发送消息(J D A ,J DB ,U A ,SA ,QA )给 B o b .其中,B o b 收到(J D A ,J D B ,U A ,SA ,Q A )后,首先计算 f *B,l = S a (Xa"F Y a 和f *B ,2 = (A +3^ ) 1 〇A ,若有等式 u a = h 2(j d a ,^^,^^,^,。