对一个认证密钥协商协议的分析与改进*
路守克,史国川
【摘 要】认证密钥协商协议是一种重要的安全协议,然而设计安全的此类协议却是十分困难的。本文分析了陈铁明等人于2008年提出的一个认证密钥协商协议,指出该协议不能抵抗密钥泄露伪装攻击。首先给出了具体攻击方法,然后在原有协议的基础上提出了一个新的改进协议,最后对改进协议的安全性质进行了分析。分析表明,改进协议满足较高的安全性,提供了已知密钥安全、完善前向安全、抗密钥泄露伪装攻击、未知密钥共享以及无密钥控制等安全属性,并且改进协议在计算效率和安全性方面取得了较好平衡,更加适合实际网络通信需要。
【期刊名称】计算机工程与科学 【年(卷),期】2011(033)011 【总页数】4
【关键词】认证;密钥协商协议;双线性对;抗密钥泄露伪装攻击
1 引言
密钥协商协议是指两个或多个用户在开放的网络环境中通过协商建立一个便于保密通信的会话密钥,在通信过程中用户各自提供信息共同协商共享的密钥。1976年,Diffie和 Hellman[1]首次提出了公钥密码学的概念,同时给出了第一个密钥协商 协 议——Diffie-Hellman 协 议。1984 年,Shamir[2]提出了身份基的加密模型。2001年Boneh和Franklin[3]利用双线性对(Weil Pairing)实现了身份基的密码体制。随后,相继出现了许多利用Weil Pairing提出的基于公钥证书的密钥协商协议。2002年,Smart[4]提出了第
一个身份基的密钥协商协议,Chen和Kudla在文献[5]提出了身份基的密钥协商协议。2008年,陈铁明[6]等人提出了新的密钥协商协议——Chen-Ye-Cai协议(以下简称CYC协议)。本文,我们对CYC协议进行安全性分析,并提出改进方法。
抗 密 钥 泄 露 伪 装 攻 击[7](Key-Compromise Impersonation Resilience)是认证密钥协商协议的一个重要的安全属性。假设两个协议参与者A和B,如果A的长期私钥泄露,那么攻击者可以冒充A和别的实体进行密钥协商。然而,我们希望用户A私钥泄露不能够使攻击者反过来冒充其他用户与A进行密钥协商。密钥泄露伪装攻击指攻击者在得到用户A私钥后可以假冒其他用户和A进行密钥协商。通过本文对CYC协议的分析,发现该协议并不能抵抗密钥泄露伪装攻击。
2 背景知识
2.1 双线性对
设q为大素数,G1和G2分别为阶为q的椭圆曲线上的加法循环群和有限域上乘法循环群。双线性映射^e:G1×G1→G2是定义在群G1和G2上的双线性对。它必须满足以下性质:
(1)双线性:对任意p,q∈G1,a,b∈Z*q,有 (2)非退化性:
(3)可计算性:对任意p,q∈G1,存在多项式时间算法能够计算 2.2 困难性问题假设
判定性q-ABDHE问题:给定q+3元素的向量和Z,判断Z =是否成立。其中g、g′是群G 1 的生成元,
3 CYC协议的回顾
3.1 系统参数建立
私钥生成器(PKG)生成阶为q的群G 1和G2以及G1上的双线性映射,哈希函数 H 1 :{0,1}*→G 1 ,公开系统参数H 1,H>,其中H为密钥生成函数。用户ID选择私钥,计算QID=H 1()ID,再向PKG注册公钥 3.2 密钥协商
CYC协议如图1所示,其协商过程如下:
(1)A随机选择整数a,计算T A=aK B,发送T A、QA 给B。 (2)B随机选择整数b,计算T B=bK A,发送T B、QB 给A。
(3)用 户 A 计 算S A=s AT B,K AB=;相应地,用户B计算S B=s BT A, 协议的正确性很显然是成立的。在文献[7]中,陈铁明等人声称上述协议满足所有安全属性。然而,我们指出该协议并不满足密钥泄露伪装攻击安全属性,接下来给出具体的攻击方法。
4 对CYC协议的KCI攻击与改进
4.1 对CYC协议的KCI攻击
通过对CYC协议进行安全性分析,笔者指出CYC协议的一个重要的安全缺陷——不能抵抗密钥泄露伪装攻击。假设攻击者E获取了实体A的私钥,当然他可以伪装成A和其他用户密钥协商。在CYC协议中,并不满足密钥泄露伪装攻击,针对CYC协议的KCI攻击的具体攻击方法(如图2)是:用户A在收到T E (B)之后,计算K AB=,若 aT E(B)=T A,则E也可以利用T A和s A计算得到K AB。因此,T E(B)=T A/a=K B(也即B的公钥,显然是可以获得的)。如果T E(B)=K B的话,很容易会被用户A发觉,因此再乘上
对一个认证密钥协商协议的分析与改进
