CN100358282C

CN100358282C - Wapi认证机制中的密钥协商方法

Info

Publication number: CN100358282C
Application number: CNB2005100418225A
Authority: CN
Inventors: 李兴华; 马建峰; 张帆; 曹春杰; 裴庆祺; 沈玉龙; 马卓; 杨力; 王超; 杨超
Original assignee: Xidian University
Current assignee: Xidian University
Priority date: 2005-03-23
Filing date: 2005-03-23
Publication date: 2007-12-26
Anticipated expiration: 2025-03-23
Also published as: CN1665183A

Abstract

本发明公开了一种WAPI中认证机制的密钥协商方法，以解决移动设备接入无线局域网时身份认证及密钥协商的问题。本方法设置密钥协商请求、响应、应答三条消息，其交互过程是：客户端STA产生一个随机数r₀，用接入点AP的公钥加密后连同会话标示符s传送给AP；AP解密得到r₀，选择另一随机数r₁，计算会话密钥和消息认证码，将后者同s及用STA公钥加密后的r₁一起发给STA；STA解密得到r₁后，验证AP发送的消息认证码来决定接入网络和输出会话密钥；最后再由STA计算另一消息认证码，将其和s一起发给AP；AP验证STA发送的消息认证码后，输出会话密钥并允许STA接入网络。该方法达到通用可组合的安全强度，实现了身份认证和密钥协商之目的，可用于对WAPI中认证机制的改进。

Description

WAPI认证机制中的密钥协商方法

技术领域

本发明属于无线通信技术领域，涉及无线局域网的安全技术，具体地说是一种WAPI中认证机制的密钥协商方法，以解决移动设备接入无线局域网时的身份认证及密钥协商问题。

背景技术

2003年中国知识产权局公布了《无线局域网移动终端的安全接入与无线链路的数据保密通信方法》的专利申请书(公开号：CN 1426200A)。此申请书所涉及的专利在中国无线局域网国家标准GB15629.11-无线局域网鉴别与保密基础结构WAPI中应用，其中的无线局域网鉴别基础结构简称为WAI。WAI采用类似于IEEE 802.1X结构的基于端口的认证模型，整个系统由客户端STA、接入点AP和认证服务单元ASU组成；采用公钥证书进行认证和密钥协商，目标在于实现客户端STA与接入点AP间的双向鉴别，对于采用“假”AP的攻击方式具有很强的抵御能力。不仅可以防止非法客户端STA接入接入点AP而占用网络资源，而且还可以防止客户端STA登录至非法接入点AP而造成信息泄漏。

国标GB15629.11中WAI的协议交互过程如图1所示，它主要由证书鉴别和密钥协商两个部分组成。

所述的证书鉴别部分按如下过程进行协议交互：

第一步，客户端STA将自己的证书和当前时间提交给接入点AP；

第二步，接入点AP将客户端STA的证书、提交时间和自己的证书一起用自己的私钥进行签名，并将这个签名连同这三部分一起发给认证服务单元ASU；

第三步，当认证服务单元ASU收到接入点AP提交来的鉴别请求之后，首先验证接入点AP的签名和证书。当鉴别成功之后，进一步验证客户端STA的证书；

第四步，认证服务单元ASU将客户端STA和接入点AP的鉴别结果信息用自己的私钥进行签名，并将这个签名连同这两个结果发回给接入点AP。

接入点AP对收到的结果进行签名验证，并得到对客户端STA的鉴别结果，根据这一结果来决定是否允许该客户端STA接入。同时接入点AP需要将认证服务单元ASU的验证结果转发给客户端STA，客户端STA也要对认证服务单元ASU的签名进行验证，并得到接入点AP的鉴别结果，根据这一结果来决定是否接入接入点AP。

所述的密钥协商部分按如下过程进行协议交互：

第一步，客户端STA向接入点AP发送密钥协商请求，双方首先进行密钥算法协商，随后，客户端STA产生一个随机数r₀，用接入点AP的公钥PK_AP加密之后传输给对方；

第二步，接入点AP向客户端STA发送密钥协商响应，接入点AP用自己的私钥将对方所产生的随机数r₀还原，也产生一个随机数r₁，用客户端STA的公钥PK_STA加密后传输给对方，并计算会话密钥K＝r₀_r₁；

第三步，客户端STA用自己的私钥将对方产生的随机数r₁还原，也计算会话密钥K＝r₀_r₁。

上述国标中WAI存在如下缺陷：

1.密钥协商协议不安全。由于在WAI的密钥协商过程中，一个攻击者可以首先将接入点AP发送给客户端STA的第二条消息给丢弃，然后可以假冒接入点AP给客户端STA发送ENC(PK_STA，r)，其中r为攻击者任意选择的一个随机数。这样当协议结束的时候，客户端STA得到的会话密钥是K₁＝r₀_r，而接入点AP得到的会话密钥是K₂＝r₀_r₁。也就是说在协议结束时，接入点AP和客户端STA得到了不相同的会话密钥，因此该密钥协商协议是不安全的。

2.密钥协商协议不能够抵抗未知密钥共享攻击。如果一个攻击者E向证书权威CA申请的公钥与接入点AP或者是客户端STA的公钥相同，则攻击者E就可以发起未知密钥共享攻击。假设攻击者E申请到了同客户端STA一样的公钥，那么在客户端STA发送给接入点AP的第一条消息ENC(PK_AP，r₀)时，攻击者E将其截获，转发给接入点AP，并声称该消息的发送者是E，则接入点AP就会根据攻击者E的公钥PK_E给攻击者E发送应答消息ENC(PK_E，r₁)。攻击者E再将此消息转发送给客户端STA，并声称该消息来自接入点AP。由于客户端STA和攻击者E具有相同的公钥，因而当协议执行完后，客户端STA就会以为自己与接入点AP协商了一个会话密钥，而接入点AP却会认为自己与攻击者E协商了一个会话密钥，这样就造成了密钥协商协议不能够抵抗未知密钥共享攻击的后果。

3.没有实现接入点AP对客户端STA的身份认证功能。在WAPI中，只有当接入点AP确认客户端STA拥有与其自身出示的公钥证书相对应的私钥时，才能够实现对客户端STA的身份认证。但从WAI的执行过程看出，一个攻击者只要知道一个合法用户的证书，就可以顺利的通过证书鉴别；而且该WAI的密钥协商过程是隐式的密钥认证，接入点AP不能够确认客户端STA拥有与其自身出示的公钥证书相对应的私钥，这样就可使该攻击者不被发现地完成密钥协商协议，所以WAI没有实现对客户端STA的身份认证功能。

4.客户端STA在没完成身份认证的情况下就被允许访问网络。由于在该WAI中，一个攻击者只要提交一个合法用户的证书就可以假冒该用户接入网络，因此在网络是计时收费的情况下，就可能导致误收费。同时攻击者一旦接入网络就有可能发动许多的攻击，对网络的安全造成严重的威胁。

为了克服上述的缺陷，2004年全国信息技术标准化技术委员会宽带无线IP标准工作组颁布了WAPI的实施指南。该实施指南中WAI的交互过程同国标中WAI的的交互过程基本一样，都是由证书鉴别和密钥协商两部分组成。这两者中的证书鉴别过程完全一样，而且实施指南中的单波密钥协商同国标中的密钥协商过程大体相同，都是由客户端STA和接入点AP分别产生随机数后用对方的公钥加密后传送给对方，并通过这两个随机数计算得到会话密钥。不同的是：(1)实施指南中的密钥协商请求是由接入点AP发出，而且在协商请求中增加了接入点AP对加密后的随机数、鉴别请求时间、客户端STA和接入点AP的身份标示等数据的一个数字签名；(2)密钥协商应答是由客户端STA发出，而且在该协商应答中，增加了客户端STA对加密后的随机数、鉴别请求时间、客户端STA和接入点AP的身份标示等数据计算出的一个消息认证码。

WAPI实施指南中单波密钥协商交互过程的安全性相对于国标中方案的安全性有一定的提高，但没有达到通用可组合的安全强度。而无线局域网是一个复杂的网络环境，其中存在着大量分布式并发执行的协议，如果一个协议未达到通用可组合的安全强度，就可能在并发执行或者是在同别的协议组合时出现安全问题，所以实施指南中单波密钥协商协议没有达到足够的安全强度。

发明内容

本发明的目的在于克服WAI上述的缺点，提供一种在不改变原WAI基本框架下WAPI认证机制中的密钥协商方法，以解决WAPI中密钥协商和身份认证问题，进一步提高WAPI认证机制的安全强度。

实现本发明目的的技术方案是保持WAI的证书鉴别部分不变，只对密钥协商部分进行改进。具体来说，本发明首先在原密钥协商应答中添加一个消息认证码来使密钥协商协议达到Canetti-Krawczyk模型下的可证安全，然后添加一条客户端STA发送给接入点AP的应答消息来使密钥协商协议达到通用可组合的安全强度，并且实现身份认证和密钥协商有机的结合，构成一个新的WAI密钥协商协议，该协议包括如下具体过程：

1.在接入点AP与客户端STA进行密钥算法协商之后，由客户端STA产生一个随机数r0，通过接入点AP的公钥加密后连同会话标示符传送给接入点AP；

2.接入点AP对接收到的客户端STA发送过来的加密随机数解密得到r₀，并选择另外一个随机数r₁，将这两个随机数作为输入，通过计算得到接入点AP的会话密钥和消息认证码的密钥，用该消息认证码的密钥对客户端STA以及接入点AP的身份数据进行计算，得到接入点AP的消息认证码；然后，对所选择的另外一个随机数r₁通过客户端STA的公钥加密后，再与会话标示符以及所述的消息认证码由接入点AP一并发送给客户端STA；

3.客户端STA对接收到的接入点AP发送过来的加密随机数进行解密，得到接入点AP选择的随机数r₁，将该随机数r₁与客户端STA产生的随机数r₀作为输入，通过计算得到客户端STA的会话密钥和消息认证码的密钥，用该消息认证码的密钥对客户端STA以及接入点AP的身份数据进行计算，得到客户端STA的消息认证码；然后，客户端STA将该消息认证码与从AP接收到的消息认证码进行校验，如果一致，则由客户端STA输出会话密钥，并决定接入网络；最后，由客户端STA用自身计算出的消息认证码的密钥对客户端STA以及接入点AP的身份数据进行计算，得到客户端STA的另外一个消息认证码，并将它连同会话标示符发送给接入点AP；

4.接入点AP验证客户端STA发送过来的消息认证码，如果正确，则输出会话密钥，并允许客户端STA接入网络。

上述接入点AP计算得到其会话密钥、消息认证码密钥、消息认证码的过程如下：

首先，由接入点AP对客户端STA产生的随机数r₀和接入点AP选择的另外一个随机数r₁进行计算，即k＝r₀_r₁，

然后，根据参数k分别计算消息认证码密钥、会话密钥、消息认证码，即K_a＝f_k(0)，K_d＝f_k(1)，MAC_ka(″0″，STA，AP，s)，

其中，f为伪随机函数，

s为会话标示符，它由调用密钥协商协议的上层协议来确定，

K_a是消息认证码密钥，

K_d是会话密钥，

MAC_ka(″0″，STA，AP，s)是接入点AP计算得到的消息认证码。

上述客户端STA计算得到其会话密钥、消息认证码的密钥、消息认证码过程如下：

首先，由客户端STA对其产生的随机数r₀和接入点AP选择的随机数r₁进行计算，即k＝r₀_r₁，

然后，根据参数k分别计算消息认证码密钥、会话密钥、消息认证码，即K_a＝f_k(0)，K_d＝f_k(1)，MAC_ka(″0″，STA，AP，s)，MAC_ka(″1″，STA，AP，s)，

其中，f为伪随机函数，

s是会话标示符，它由调用密钥协商协议的上层协议来确定，

K_a是消息认证码密钥，

K_d是会话密钥，

MAC_ka(″0″，STA，AP，s)是客户端STA计算得到的消息认证码，客户端STA利用该消息认证码对接入点AP发送过来的消息认证码进行比较验证，

MAC_ka(″1″，STA，AP，s)为客户端STA发送给接入点AP的另一个消息认证码。

本发明与国标中的WAI相比，具有以下优点：

1.改进的方案保持了国标中的WAI的框架。

由于本发明只对WAI密钥协商部分进行了修改，其密钥协商思想并没改变，都是客户端STA和接入点AP各自产生随机数，用对方的公钥加密传送给对方，所以原方案不需要做大的改动就可以达到安全的目的。

2.密钥协商协议不仅在Canetti-Krawczyk模型下是可证安全的，而且密钥协商协议也达到了更高的安全级别，即通用可组合的安全强度。

由于本发明改进的密钥协商协议首先在Canetti-Krawczyk模型下是可证安全的，所以它能够提供未知密钥共享(unknown key-share)、丢失信息(loss of information)、密钥泄漏伪装(key-compromise impersonation)、已知密钥安全(known-key security)等安全属性，进而达到通用可组合的安全强度，该安全强度能够保证该密钥协商协议在WLAN这个复杂的网络环境中并发执行时的安全，同时也能够确保该协议具有可组合性。

3.密钥协商和实体认证实现了有机的结合，达到了客户端STA和接入点AP双向认证和密钥协商的目的。

由于本发明采用的密钥协商过程安全地实现了客户端STA和接入点AP双向显式的密钥认证，只有拥有与经过合法检验过的证书相对应私钥的实体才能够计算出对应的消息认证码，因而防止了国标中WAI方案中可能出现的攻击：一个合法的实体通过了证书鉴别，但攻击者却在密钥协商过程中取代该合法实体来完成密钥协商的问题，安全地实现了客户端STA和接入点AP在密钥协商过程中的身份认证目的。

4.客户端STA只有通过了证书鉴别和密钥协商之后才能够被允许接入网络。

由于本发明采用客户端STA只有通过了证书鉴别和密钥协商之后才能够被允许接入网络的方案，因此避免了国标中WAI中一些攻击者利用合法用户的证书来通过证书鉴别接入网络，而导致误收费以及对网络造成安全威胁的弊端。

5.改进的方案相对于国标中的WAI效率损失小。

由于本发明改进的方案相对于国标中WAI的密钥协商协议只增加了一条消息的传输，客户端STA和接入点AP各增加了三次消息认证码的计算，而消息认证码运算相对于公钥计算来说其消耗的计算资源是很少的，所以改进的方案相对于国标中WAI方案其效率损失不大。

本发明与WAPI实施指南中的WAI相比，具有以下优点：

1.本发明的方案达到了通用可组合的安全强度，但实施指南中的方案未达到此安全强度，而该安全强度对保证密钥协商协议在WLAN这个复杂的网络环境中安全运行是十分有必要的。

2.相对于WAPI实施指南中的方案，本发明的方案增加了一条消息的传输，但接入点AP不需要进行签名运算、客户端STA不需要做对签名的验证运算，而这两种运算都是公钥计算，需要的运算量大。所以从计算量上本发明方案的效率比实施指南中单波密钥协商的效率要高。

附图说明

图1为国标中WAI的交互过程图

图2为国标中WAI的密钥协商协议图

图3为本发明的密钥协商协议交互过程图

图4为本发明客户端STA密钥协商请求分组图

图5为本发明接入点AP密钥协商响应分组图

图6为本发明客户端STA应答消息分组图

具体实施方式

在执行无线局域网鉴别与保密基础结构WAPI时，首先由客户端STA和接入点AP通过密钥生成算法得到各自的公私钥对，再从认证服务单元ASU申请到各自的公钥证书，公钥证书可以采用无线局域网国家标准GB15629.11中规定的格式。然后，开始无线局域网鉴别基础结构WAI的协议交互，该协议交互包括证书鉴别和密钥协商两部分。其中，证书鉴别过程采用国家标准GB15629.11中规定的步骤进行，密钥协商的具体交互过程按图3所示的三条消息进行。

1.第一条消息为客户端STA向接入点AP发送密钥协商请求。该请求内容包括会话标示符s和用接入点AP的公钥PK_AP对随机数r₀加密后的结果ENC(PK_AP，r₀)。产生该请求内容的过程是：首先由客户端STA采用国家密码管理委员会办公室批准的WLAN随机数产生算法产生一个随机数r₀；其次，用接入点AP的公钥PK_AP对该随机数r₀进行公钥加密，得到结果ENC(PK_AP，r₀)；然后，将加密后的数据置于密钥协商请求分组中的“密钥协商数据”字段，同时传送会话标示符s。该会话标示符s是由上层协议，即调用密钥协商协议的协议来提供的，该标示符具有唯一性。由于国家标准中密钥协商请求分组中只有密钥协商数据、备选会话算法个数、备选算法标示三个数据段，而没有考虑到传送会话标示符，所以需要在其密钥协商请求分组中添加一个“会话标示符”数据段，该“会话标示符”字段添加在原密钥协商请求分组的“备选算法标示”之后，其余的数据段同国标中规定的一样，其具体格式见图4。图4中密钥协商数据段的长度为17到256个字符，备选会话算法个数数据段的长度为1个字符，备选算法标示数据段长度为1到255个字符，“会话标示符”数据段的长度为16个字符。

2.第二条消息为接入点AP向客户端STA发送密钥协商响应应答。其具体过程是：

接入点AP在收到客户端STA发送过来的密钥协商请求后，首先按照该请求进行会话算法的协商，在客户端STA提供的备选算法中选择一种自己支持的算法；其次，利用自己的私钥SK_AP对密钥协商数据ENC(PK_AP，r₀)进行解密得到r₀；然后，接入点AP也利用随机数产生算法来产生一个随机数r₁，并用客户端STA的公钥PK_STA对其进行公钥加密得到结果ENC(PK_STA，r₁)，同时接入点AP要计算出一个消息认证码MAC_ka(″0″，STA，AP，s)。其计算过程如下：

接入点AP首先计算k＝r₀_r₁，然后计算K_a＝f_k(0)，K_d＝f_k(1)，MAC_ka(″0″，STA，AP，s)。其中f为伪随机函数；K_a是消息认证码的密钥；K_d是会话密钥，为以后的消息传送提供加密保护。接入点AP在得到K_a，K_d后，擦除其内部的中间状态，如k和r₀和r₁等，只保留状态(STA，AP，K_d，K_a，s)。最后将ENC(PK_STA，r₁)、MAC_ka(″0″，STA，AP，s)以及会话标示符s发送给客户端STA。

由于国标中的密钥协商响应分组中只有“会话算法协商响应标示”和“密钥协商数据”这两个部分，没有“消息认证码”和“会话标示符”字段，所以需要在原分组的基础上添加这两个字段，该“消息认证码”和“会话标示符”字段添加在原密钥协商响应分组的最后，其余的数据段同国标中规定的一样，具体格式见图5。图5中“会话算法协商响应标示”为1个字符长度，“密钥协商数据”为17到256个字符长度，“消息认证码”字段为20个字符长度，“会话标示符”为16个字符的长度。

3.第三条消息是客户端STA给接入点AP发送应答消息。其具体过程是：客户端STA在收到ENC(PK_STA，r₁)之后，对其进行解密得到随机数r₁，客户端STA计算k＝r₀_r₁，K_a＝f_k(0)，K_d＝f_k(1)，MAC_ka(″0″，STA，AP，s)，然后将其计算出的消息认证码同接入点AP发送过来的消息认证码进行比较。如果一致，则输出会话密钥k_d，并计算MAC_ka(″1″，STA，AP，s)，之后将其连同会话标示符S一同发送给接入点AP，并决定接入网络。客户端STA在输出K_d前也将其中间状态擦除，如k和r₀和r₁等，只保留状态(STA，AP，K_d，K_a，s)。

客户端STA应答消息分组格式为新添加的数据分组，其格式如图6所示。其中“消息认证码”字段长度为20个字符，而“会话标示符”字段长度为16个字符。

4.接入点AP验证应答消息。其具体过程是接入点AP在收到客户端STA发送过来的应答消息后，对该消息中的消息认证码MAC_ka(″1″，STA，AP，s)进行验证，如果正确，则输出会话密钥k_d，并允许客户端STA访问网络，否则就拒绝客尸端STA对网络的访问。

本发明效果安全的证明：

Canetti-Krawczyk模型是目前流行的一种形式化分析密钥协商协议的方法，该模型给出了一个密钥协商协议安全的定义，即会话密钥安全。如果一个密钥协商协议满足以下两个条件则它就是会话密钥安全的。

1.如果两个未被攻陷的参与者完成了匹配的会话，它们将输出相同的会话密钥；

2.攻击者区分会话密钥和随机数的概率不超过0.5+ε，其中ε为一个在安全参数下可忽略的概率，称之为“优势”。

将图3中整个协议记为π′，而将前两条消息完成的协议记为π，可以通过如下方法证明π是会话密钥安全的，π′是通用可组合的安全。

A.对π是会话密钥安全的证明

假定G、ENC、DEC分别是CCA2安全的公钥加密方案中的密钥生成算法、加密算法和解密算法，该CCA2是指适应性的选择密文攻击，而且客户端STA和接入点AP已经调用了算法G来分别得到了它们的公私钥对；另外假定{f_k}_k∈{0，1}l是一个伪随机函数，其中l为安全参数。

根据上述这两个假定条件，设计如下加密游戏过程：

步骤0：

为解密Oracle，它向协议π中的攻击者提供挑战秘文c^*＝ENC(PK_AP，r₀)，其中

r_{0} \overset{R}{&LeftArrow;} {0,1}^{l} \cdot

步骤1：

向

发送三元组(c，r_b，t)，其中c为

选择的一秘文，r_b为

选择的一个随机数，t为选择的一个字符串。

用MAC_ka′(t)作出应答，其中k_a′＝f_k′(0)，k′＝r_b_r′，r′＝DEC(SK_AP，c)。

可以多次地重复该过程，其中每一个三元组都由它适应性的选择。也就是说，根据

对以前三元组的应答，

来选择下一个三元组。为了降低攻击难度，

可以使每个三元组中的r_b保持不变。

步骤2：

发送一个测试串t^*＝(“0”，STA，AP，s)给。

选择一个比特

b \overset{R}{&LeftArrow;} {0,1}^{l} \cdot

如果b＝0，那么它就给

发送应答MAC_ka″(t^*)，其中k_a″＝f_k″(0)，k″＝r₀_r_b，r₀是阶段0中的被加密的随机数。如果b＝1

返回一个随机串s^*，其长度和MAC_ka″(t^*)一样。

步骤3：与阶段1相同。

步骤4：输出一个比特b′，作为对b的猜测。

当且仅当b＝b′时，则

赢得了游戏。这种情况下说明加密方案不是CCA2安全的。对该游戏需要进行如下说明。

(1)

通过密钥生成算法G获得了公私钥对PK_AP和SK_AP。知道PK_AP但不知道SK_AP。

(2) 是协议π中的攻击者，它利用从协议攻击中获得的能力来参与游戏的执行。

(3)步骤0中的挑战密文c^*是协议π中客户端STA发送给接入点AP第一条消息中的密文。步骤1中

随意地挑选测试密文c，随机数r_b以及字符串t，交给

处理。需要注意的是：

不能够同时选择c^*和t^*＝(“0”，STA，AP，s)作为输入，为了降低攻击难度，攻击者可以保持每次选择的三元组中的r_b不变。

根据会话密钥安全的定义，为了证明π是会话密钥安全的，需要证明它满足两个条件。第一，在客户端STA和接入点AP完成了匹配的会话的情况下，它们将得到相同的会话密钥。具体来说，就是攻击者在协议的执行过程中不能伪造一个接入点AP发送给客户端STA的消息认证码，否则就会导致这两者得到不相同的会话密钥。第二，攻击者不能够以不可忽略的优势来区分会话密钥k_d和一个随机数。下面分别证明π能够满足这两个条件。

引理1攻击者在π的执行过程中不能够以不可忽略的概率来伪造消息认证码，在协议结束时客户端STA和接入点AP会得到相同的会话密钥。

证明：如果攻击者

在π的执行过程中能够以不可忽略的概率来伪造一个消息认证码的话，那么它在游戏的第2步中肯定能够以不可忽略的概率计算出MAC_ka″(t^*)，这样一来它自然能够以不可忽略的优势来区分MAC_ka″(t^*)和s^*，从而能够以不可忽略的优势来猜对b。那么攻击者就赢得了上面的游戏，则加密方案就不是CCA2安全的了，而这与前提假设相矛盾。所以攻击者在π的执行过程中不能够以不可忽略的概率来伪造消息认证码。那么在STA和AP完成了匹配的会话的情况下，它们会得到相同的会话密钥。

引理2攻击者在协议π的执行过程中不能够以不可忽略的优势来区分会话密钥k_d和一个随机数。

证明：假设攻击者

在协议π的执行过程中能够以不可忽略的优势来区分会话密钥k_d和一个随机数。在Canetti-Krawczyk模型中，攻击者是不能够直接得到会话密钥k_d的。而k_d＝f_k(1)，根据f的性质，它只有以不可忽略的概率得到k才能够获得以不可忽略的优势区分k_d和一个随机数的能力。也就是说攻击者在只知道ENC(PK_AP，r₀)和ENC(PK_STA，r₁)以及一些公共信息的的情况下，能够以一个不可忽略的优势来区分k＝r₀_r₁和一个随机数。那么攻击者就能够以不可忽略的优势来区分k″＝r₀_r_b和随机数，因为k″中的r_b是攻击者自己选定的，所以它区分k″和随机数的难度要小于区分k和随机数的难度。假设攻击者区分k和随机数的优势为η₁，那么攻击者区分k″和随机数的优势为η₂≥η₁，而k_a″＝f_k″(0)从而攻击者能够以不可忽略的概率得到k_a″，之后攻击者就可以通过不可忽略的概率计算出MAC_ka″(t^*)，那么攻击者就能够以不可忽略的优势来区分开MAC_ka″(t^*)和s^*。这样攻击者就可以赢得上面的游戏了，那么加密方案就不是CCA2安全的，这与前提假设相矛盾，所以攻击者在协议π的执行过程中不能够以不可忽略的优势来区分会话密钥k_d和随机数的。

定理1 如果所采用的加密方案是CCA2安全的，{f_k}_k∈{0，1}l是伪随机函数，那么π就是会话密钥安全的。

证明：根据引理1和引理2可知，在协议π结束时客户端STA和接入点AP得到了相同的会话密钥，且攻击者不能够以不可忽略的优势来区分会话密钥和一个随机数。那么由会话密钥安全的定义可知，协议π是会话密钥安全的。

同时从设计的游戏中可以看出，在协议的执行中，接入点AP和客户端STA内部应该有一个独立的模块来实现游戏中

的功能-解密功能。而且，对于接入点AP来说和客户端STA来说，k，r₀，r₁在使用完后应该立即擦除。

无线局域网是一个复杂的网络环境，其中存在着大量并发执行的协议和许多的不可预测性，而通用可组合的安全能够保证协议在这样的环境中运行时的安全。改进的密钥协商协议能够达到通用可组合的安全强度。

从上面的分析知道π是会话密钥安全的，并且由美国《Universally ComposableNotions of Key Exchanges and Secure Channels》文献可知，只要改进协议中的第3条消息能够给协议提供应答属性，那么改进的协议就是通用可组合的安全。

B.π′是通用可组合安全的证明

引理3 如果所采用的加密方案是CCA2安全的，{f_k}_k∈{0，1}l是伪随机函数，那么该密钥交换协议具有应答属性。

证明：为了证明π′具有应答属性，需要构造一个内部状态仿真器I，在π′中，第一个输出会话密钥的实体是客户端STA，在输出会话密钥k_d之前它的内部状态是(k_d，k_a，s，STA，AP)。此时，接入点AP的内部状态也是完全一样的(其中间的内部状态如k，r₀，r₁都已经被擦除了)。从会话密钥kd和一些公开信息中I可以得到客户端STA和接入点AP被模拟的状态l_STA＝l_AP＝(k_d，r_I，s，STA，AP)，其中r_I是一个随机数，它和k_a具有相同的长度，I不能够从会话密钥k_d和从别的公开信息中计算出k_a来。客户端STA和接入点AP的内部状态分别由l_STA和l_AP来取代，那么在协议中最后一条消息中的消息认证码为MAC_rI(“1”，STA，AP，s)，而不是MAC_Ka(“1”，STA，AP，s)。下面证明I是一个好的内部状态仿真器。

假设是一个攻击者。如果I不是一个好的内部状态仿真器，那么环境机z就能够以不可忽略的优势来区分它是与π′以及攻击者

的交互还是在同理想处理后的协议(I分别用l_STA和l_AP取代了客户端STA和接入点AP内部状态后的协议)以及攻击者的交互。而改造后的协议与π′唯一不同的地方是用随机数r_I取代了k_a。因此如果I不是一个好的内部状态仿真器，那么环境机z就能以一个不可忽略的优势来区分r_I和k_a。而k_d＝f_k(1)，如果攻击者能够区分k和随机数的话，那么它就能够区分k_d和随机数，而从引理2可知攻击者不能够区分k_d和随机数，那么攻击者肯定也不能区分k和随机数。也就是说，攻击者在不能够区分k和随机数的情况下，却能够以不可忽略的优势来区分k_a和随机数。而k_a＝f_k(0)，这与{f_k}_k∈{0，1}l，是伪随机函数的假设相矛盾。所以z不能够以不可忽略的优势来区分它是与π′和

的交互还是同理想处理后的协议和的交互，那么对π′来说I是一个好的内部状态仿真器，π′具有应答属性。

结合定理1和引理3，可以得到定理2。

定理2 如果协议所采用的加密方案是CCA2安全的，{f_k}_k∈{0，1}l是伪随机函数，那么改进的密钥交换协议是通用可组合的安全。

由于WAI中的证书鉴别过程已经实现了认证服务单元ASU对客户端STA和接入点AP拥有证书合法性的检测，而改进的密钥协商协议又是显式的密钥认证，所以新的方案就实现了密钥协商和实体认证的有机结合，达到了客户端STA和接入点AP双向认证和密钥协商的目的。

符号解释

WAPI-无线局域网鉴别与保密基础结构；

WAI-无线局域网鉴别基础结构；

PK_A-实体A的公钥；

ENC(PK_A，m)-用实体A的公钥对消息m进行公钥加密；

f_k()-密钥为k的伪随机函数；

MAC_K(m)-采用密钥K对消息m做消息认证码计算

Claims

1.一种WAPI认证机制中的密钥协商方法，包括如下过程：

1).在接入点AP与客户端STA进行密钥算法协商之后，由客户端STA产生一个随机数r₀，通过接入点AP的公钥加密后连同会话标示符s一并传送给接入点AP；

2).接入点AP对接收到的客户端STA发送过来的加密随机数解密得到r₀，并选择另外一个随机数r₁，将这两个随机数作为输入，通过计算得到接入点AP的会话密钥和消息认证码的密钥，用该消息认证码的密钥对客户端STA以及接入点AP的身份数据进行计算，得到接入点AP的消息认证码；然后，对所选择的另外一个随机数r₁通过客户端STA的公钥加密后，再与会话标示符s以及所述的消息认证码由接入点AP一并发送给客户端STA；

3).客户端STA对接收到的接入点AP发送过来的加密随机数进行解密，得到接入点AP选择的随机数r₁，将该随机数r₁与客户端STA产生的随机数r₀作为输入，通过计算得到客户端STA的会话密钥和消息认证码的密钥，用该消息认证码的密钥对客户端STA以及接入点AP的身份数据进行计算，得到客户端STA的消息认证码；然后，客户端STA将该消息认证码与从AP接受到的消息认证码进行比较验证，如果一致，则由客户端STA输出会话密钥，并决定接入网络；最后，由客户端STA用自身计算出的消息认证码的密钥对客户端STA以及接入点AP的身份数据进行计算，得到客户端STA的另外一个消息认证码，并将它连同会话标示符s-并发送给接入点AP；

4).接入点AP验证客户端STA发送过来的消息认证码，如果正确，则输出会话密钥，并允许客户端STA接入网络。

2.根据权利要求1的密钥协商协议方法，其特征在于所述接入点AP计算会话密钥、消息认证码、消息认证码密钥的过程如下：

首先，由接入点AP对客户端STA产生的随机数r₀和接入点AP选择的另外一个随机数r₁进行计算，即k＝r₀_r₁；然后，根据参数k分别计算消息认证码密钥、会话密钥、消息认证码，即K_a＝f_k(0)，K_d＝f_k(1)，MAC_ka(″0″，STA，AP，s)，

其中：f为伪随机函数，

s是会话标示符，

K_a是接入点AP的消息认证码密钥，

K_d是会话密钥，

MAC_ka(″0″，STA，AP，s)是接入点AP计算得到的消息认证码。

3.根据权利要求1的密钥协商方法，其特征在于所述客户端STA计算会话密钥、消息认证码的密钥、消息认证码的过程如下：

首先，由客户端STA对客户端STA产生的随机数r₀和接入点AP选择的随机数r₁进行计算，即k＝r₀_r₁；

其中，f为伪随机函数，

s是会话标示符，

K_a是消息认证码密钥，

K_d是会话密钥，

MAC_ka(″0″，STA，AP，s)是客户端STA的消息认证码，客户端STA利用该消息认证码对接入点AP发送过来的消息认证码进行比较验证，

MAC_ka(″1″，STA，AP，s)为客户端STA发送给接入点AP的消息认证码。