CN102833748A - 一种基于数字证书的无线网络轻量级认证密钥协商协议 - Google Patents

Abstract

本发明涉及一种可用于无线网络的轻量级认证密钥协商协议，基于“证书私钥-保护密钥”双重认证系统和“保护密钥”动态协商机制，结合公钥密码与共享动态保护密钥对用户身份进行双重认证，用户通过交换证书及私钥签名证明会话持有及私钥拥有性，进行第一重认证，通过共享保护密钥进行第二重认证。协议利用上次会话结束后双方共享保护密钥保护重要参数的交换，并使用本次会话新计算的保护密钥确认密钥的正确性，每轮通信在交换参数的同时即可验证其正确性。密钥组的协商及参数交换均采用简单的位运算，并通过Finished消息完成密钥更新的确认。协议设置会话ID来动态选择是否利用已共享的旧参数计算本次会话密钥，在保证安全高效的同时增强协议的灵活性。

Description

一种基于数字证书的无线网络轻量级认证密钥协商协议

技术领域

本发明涉及一种可用于无线互联网络的轻量级认证密钥协商协议，利用“证书私钥-保护密钥”双重认证系统和“保护密钥”动态协商机制，并采用新旧保护密钥相结合的方法保护重要参数的交换，会话密钥的运算均使用超轻量级运算符，最后结合BAN逻辑和非形式化分析方法对协议进行安全性分析，证明其在达到一级信仰和二级信仰的同时具有双向实体认证、完美的向前保密性等安全属性。本协议仅需要两次通信即可完成密钥协商阶段的参数交换，会话密钥组的计算使用运算量很小的位运算，具有传输高效、存储量小、计算量低等特点，适用于无线互联网用户间的身份认证，密钥协商和密钥更新，保密通信等领域。

背景技术

在非对称密码体制出现之前，早期的认证协议都是基于对称密码体制设计，用户间不能协商会话密钥，后来伴随着公钥密码的发展，一些认证协议开始基于公钥密码体制或是公钥体制与对称密码相结合的方法设计。早期提出的如Needham-Schroeder协议、Woo-Lam协议、Denning-Sacco协议和Fiat-Shamir认证协议等著名协议后来被发现在重放攻击或已知密钥攻击下不安全。2002年，Kim等人(Kim M，Kim K.ANew Identification Scheme Based on the Bilinear Diffie-Hellman Group[C].InInformation security and privacy：7th Australasian Conference，ACISP 2002 Melbourne.Australia，July 3-5，2002：362-378.)基于BDHP困难性问题提出一个认证协议，但是该协议的交互过程较复杂并存在安全漏洞。2003年中国推出了自己的无线局域网国家标准GB 15629.11(Information technology-Telecommunications and information exchangebetween systems-Local and metropolitan area networks-Specific requirements-Part 11：Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications.GB 15629.11-2003.(in Chinese))，标准包含无线认证和保密基础设施WAPI机制，但该协议在认证环节缺乏私钥验证，密钥协商环节不具备前向安全性等安全属性，不能抵抗重放攻击及密钥非同步等攻击。2004年，IEEE标准批准802.11i安全规范(IEEEP802.11i/D3.0，Specification for Enhanced Security[OL]，http://standards.ieee.org/reading/ieee/std/lanman/rafts/P802.11i.pdf)，由于AP端发送的“EAP-Success”消息为明文传送，很容易被攻击者伪造进行中间人攻击。同年PoPescu(Popescu，C.A secureauthenticated key agreement protocol.Electrotechnical Conference，2004.MELECON2004.Proceedings of the 12th IEEE Mediterranean.12-15 May 2004(2)：783-786.)提出了一种认证密钥协商协议，该协议的安全性及执行效率都较好，但是由于参数的下确性确认完全依赖于协议参与者双方的长期共享密钥，故不具有密钥泄漏安全性。2005年，Sui等人(Sui A，Hui L，Yiu S，Chow K，Tsang W，Chong C，et al.An improvedauthenticated key agreement protocol with perfect forward secrecy for wireless mobilecommunication.In IEEE wireless and communications and networking conference(WCNC2005)，2005：2088-93.)提出了基于口令的椭圆曲线认证协议，该协议虽然计算开销较小，但不能抵抗离线口令穷举攻击。2007年.Feng等人(冯登国，陈伟东.基于口令的安全协议的模块化设计与分析[J].中国科学E辑，2007，37(2)：223-237.)提出了基于口令的模块化认证协议，但是由于协议在通信及计算上的开销都较大，不适用于无线互联网络。2010年，Lo等人(Lo J-W，Lee C-C，Hwang M-S.A secure and efficientECC-based AKA protocol for wireless mobile communications.Int J Innovat ComputInform Control 2010，6(11)：5249-58.)利用ECC算法提出了基于口令的认证密钥协商协议，2011年He(He D.Weakness in an ECC-based AKA protocol for wirelessmobile communications.Cryptology ePrint Archive，Report 2011/336，2011.)指出Lo等人的协议并不能抵抗离线口令穷举攻击。2012年，Jonathan等人(Jonathan Katz，PhilipMacKenzie，Gelareh Taban，Virgil Gligor.Two-server password-only authenticated keyexchange[J].Journal of Computer and System Sciences，March 2012，78(2)：651-669)设计了一个双服务器认证密钥协商协议，但以上协议由于其通信计算量开销过大或抗攻击能力不够导致它们并不适合应用于无线网络。

发明内容

基于上述，本发明提出一种应用于无线网络的轻量级认证密钥协商协议，该协议中保护重要参数交换的保护密钥动态变化，弥补了上述协议的不足，不仅具有完备的安全属性，抵抗多种攻击，而且满足无线网对于通信次数少和计算开销小的需求，通过结合BAN逻辑形式化分析和非形式化分析方法对协议进行分析，证明其能够在保证安全的情况下高效的完成用户间的保密通信。

为了实现此目的，本发明设计了基于数字证书的无线网络轻量级认证密钥协商协议，其具体交互流程如图1所示。

协议中的符号定义：

K_a，K_b：Alice，Bob的公钥。

Alice，Bob的私钥。

Rot(x，y)：x循环左移f(y)位。

Mixbits(x，y)算法描述：

z←x

for i＝1 to 32 do

$z\←(\frac{z}{2}+z+z+y)\mathrm{mod}{2}^L$

end for

return z

：按位进行异或运算

∨：按位进行或运算

本发明的优点在于：通信次数少，计算量小，安全性较高，能够实现双向实体认证，密钥协商，具有完美的向前保密性(PFS)，并且能够抵抗重放攻击，非同步攻击，已知密钥攻击等攻击，为用户间的快速双向认证和密钥协商提供了高效安全的解决方案，适用于无线互联网络。

附图说明

图1为本发明中所设计的基于数字证书的无线网络轻量级认证密钥协商协议的具体交互过程；

具体实施方式

(一)实施步骤

协议包含了身份认证、密钥协商和密钥更新三个阶段，现将协议中用户Alice和Bob的具体交互过程描述如下：

1.Alice向Bob发送Hello消息挑起会话，并在Hello消息之后附上Alice的数字证书及会话ID，计算消息摘要并用A的私钥加密生成数字签名。注意当会话ID为非0时，表示用户希望恢复之前会话的参数，在计算新密钥时使用已保存的上次会话的k。

2.Bob在收到A的Hello消息后，检查A的数字证书有效性，进行身份认证，提取出Alice的公钥，验证A的数字签名，检查消息完整性，证明A确实为此次会话持有者。

3.Bob生成随机数k，n_B，将两个参数与旧保护密钥K_1old一起计算α，K_1new，K_2new，β如图1所示，用Alice的公钥加密k，发送

给Alice，其中

为使用Bob的私钥加密消息前面几个部分的消息摘要生成的数字签名。在这一步骤中，若Bob同意恢复之前的会话，则回复与Alice相同的会话ID，表示同意在计算新密钥时复用之前会话中的k，给Alice发送的信息中无须包含[k]_Ka，省去了公钥加解密的开销。

4.Alice收到消息后，首先检查证书的有效性，对Bob进行身份认证，若证书中的身份信息与Bob的身份吻合，则提取出公钥验证Bob的数字签名，检查信息的完整性，证明Bob确实为此次会话持有者。

5.若Alice在第4步检查信息的完整性通过，则用自己的私钥解密[k]_Ka，得到k，由旧保护密钥K_1old和α解出n_B，根据k和n_B计算出新保护密钥K_1new，由n_B和K_1new计算得到β′，比较β′与β是否相等。若相等，执行第6步。

6.生成随机数n_A，使用新旧保护密钥由K_2new，K_2old，n_A计算得到γ，δ如图所示，并发送γ‖δ给Bob。

7.Bob收到消息后，根据γ，K_2old算出n_A，由新保护密钥K_2new，n_A计算得到δ′，根据K_1new，K_2new，n_A，n_B计算得到新会话密钥组K_AB。比较δ′与δ是否相等，若相等，则将密钥更新为K_AB。

8.将会话密钥组K_AB截为六段，依次为A方加密密钥，B方加密密钥，A方MAC密钥，B方MAC密钥，A方初始向量，B方初始向量。使用MAC密钥及初始向量对第7步中收到的γ‖δ计算MAC值作为Finished消息发送给Alice，供Alice进行密钥确认。之后将自己的密钥更新为新协商的会话密钥组K_AB。同时更新共享保护密钥，令K_1old＝K_1new，K_2old＝K_2new，保护下次会话的参数交换。

9.Alice计算会话密钥组K_AB，并用同样的方法截取为六段，使用MAC密钥及初始向量对第6步中计算的γ‖δ计算MAC值，与收到的Finished消息进行比较，若一致，则将自己的密钥更新为新协商的会话密钥组K_AB。同时更新共享保护密钥，令K_1old＝K_1new，K_2old＝K_2new，保护下次会话的参数交换。至此身份认证及密钥协商阶段结束，之后可以开始使用协商好的密钥加密应用数据。

(二)BAN逻辑形式化分析

首先利用BAN逻辑形式化分析方法对本发明所提出的轻量级无线网络认证密钥协商协议进行形式化分析，分析过程严格按照BAN逻辑要求的分析步骤进行。

协议的认证目的：

一级信仰： $A|\≡A\stackrel{K_{\mathrm{AB}}}{\↔},B|\≡A\stackrel{K_{\mathrm{AB}}}{\↔}B$

二级信仰： $A|\≡B|\≡A\stackrel{K_{\mathrm{AB}}}{\↔}B,B|\≡A|\≡A\stackrel{K_{\mathrm{AB}}}{\↔}B$

协议的描述：

A→B：{Certificate A，Session ID}

$A\→B:\{K_{2\mathrm{old}}\⊕n_A,\mathrm{Mixbits}(n_B,k)\⊕\stackrel{\‾}{n_A}\}$

$B\→A:{\{K_{2\mathrm{old}}\⊕n_A,\mathrm{Mixbits}(n_B,k)\⊕\stackrel{\‾}{n_A}\}}_{K_{\mathrm{AB}}}$

协议理想化：

省略消息1，因为它对分析协议的逻辑属性没有作用。

消息2： $B\→A:{\{\stackrel{K_B}{\→}B,{\left\{k\right\}}_{K_A},{\left\{n_B\right\}}_{K_{1\mathrm{old}}},(k,n_B)\}}_{K_{B^{-1}}}$

消息3： $A\→B:{\{n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B\}}_{K_{2\mathrm{old}}}$

消息4： $B\→A:{\{n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B\}}_{K_{\mathrm{AB}}}$

初始化假设：

(1)A|≡#(k，n_B)

(2)B|≡#(n_A)

$\left(3\right),B|\≡\stackrel{K_A}{\→}A$

$\left(4\right),A|\≡\stackrel{K_B}{\→}B$

$\left(5\right),A|\left(B\right|\⇒(k,n_B))$

$\left(6\right),B|\≡A\stackrel{K_{2\mathrm{old}}}{\↔}B$

$\left(7\right),B|\≡A\⇒(n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B)\}$

(8)A|≡n_A

逻辑推理：

由公式(1-a)和假设(4)，应用消息含义中的公钥规则得到

$A|\≡B|~\{\stackrel{K_B}{\→}B,{\left\{k\right\}}_{K_A},{\left\{n_B\right\}}_{K_{1\mathrm{old}}},(k,n_B)\}---(1-b)$

由公式(1-b)，应用发送规则，可得

A|≡B|～(k，n_B)            (1-c)

由公式(1-c)和假设(1)，应用临时值验证规则，可得

A|≡B|≡(k，n_B)            (1-d)

由公式(1-d)和假设(5)，应用仲裁规则，可得

A|≡(k，n_B)                (1-e)

由公式(1-e)和假设(8)，应用信仰规则，得到

A|≡(k，n_B，n_A)，即 $A|\≡A\stackrel{K_{\mathrm{AB}}}{\↔}B---\left(a\right)$

由消息3可得

由公式(2-a)假设(6)，应用消息含义中的共享密钥规则，得到

$B|\≡A~(n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B)---(2-b)$

由假设(2)，应用新鲜性规则，得到

$B|\≡\#(n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B)---(2-c)$

由公式(2-b)和公式(2-c)，应用临时值验证规则，得到

$B|\≡A|\≡(n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B)---(2-d)$

由公式(2-d)，应用信仰规则，得到

$B|\≡A|\≡A\stackrel{K_{\mathrm{AB}}}{\↔}B---\left(b\right)$

由公式(2-d)和假设(7)，应用仲裁规则，得到

$B|\≡(n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B)---(2-e)$

由公式(2-e)，应用信仰规则，得到

$B|\≡A\stackrel{K_{\mathrm{AB}}}{\↔}B---\left(c\right)$

由消息4可得

由公式(a)和(3-a)，应用消息含义中的共享密钥规则，可得

$A|\≡B|~\{n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B\}---(3-b)$

由假设(1)，应用新鲜性规则，得到

$A|\≡\#\{n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B\}---(3-c)$

由公式(3-b)和(3-c)，应用临时值验证规则，可得

$A|\≡B|\≡\{n_A,A\stackrel{K_{\mathrm{AB}}}{\↔}B\}---(3-d)$

由公式(3-d)，应用信仰规则，可得

$A|\≡B|\≡A\stackrel{K_{\mathrm{AB}}}{\↔}B---\left(d\right)$

由以上分析可知该协议符合最终的目标，达到认证的目的，即一级信仰(a)和(c)，二级信仰(b)和(d)。但需要说明，协议的安全性以与用户证书配套的私钥安全为前提。

(三)安全属性及抗攻击能力分析

由于BAN逻辑本身的一些缺陷，可能无法探测针对协议的某些攻击及协议的一些安全属性，因此本文结合非形式化分析方法，从攻击及保密性方面对协议进行进一步分析。

1.双向实体认证

Alice和Bob通过发送数字证书以及对发送信息的数字签名来实现身份认证。由于数字证书中所包含的身份信息有CA权威第三方的签名，用户首先可以通过检查身份信息来进行第一重身份认证，之后Bob可以提取出证书中Alice的公钥信息验证Alice的签名，从而证明Alice确实为会话持有者。同理，Bob也是一样。由于Alice与Bob共享保护密钥，所以在交换随机数的同时可以起到第二重身份认证的作用。经过两重身份认证之后即可实现用户间的双向实体认证。

2.密钥协商

Alice和Bob之间的会话密钥组及保护密钥是由k，n_A，n_B三个参数经过相关计算生成的，其中n_A由Alice随机生成，而k，n_B由Bob随机生成，且k以公钥加密方式传输，n_A，n_B也都分别在旧保护密钥K_1old，K_2old的保护下隐蔽传输，并且利用新保护密钥K_1new，K_2new进行正确性确认，只有Alice，Bob可以计算得到，最后Alice通过Bob发送的Finished消息进行密钥的一致性确认，故最终的会话密钥组及保护密钥只有Alice和Bob可以获得。

3.完美的向前保密性(PFS)

在会话密钥组的协商及更新过程中，攻击者即使掌握了双方当前的会话密钥，也不会对下次的密钥协商造成威胁。因为参与每次会话密钥组计算的三个随机数都是重新生成的，并且分别加密传输，只有同时持有私钥及共享保护密钥的用户才能得到，而且在会话密钥组及保护密钥更新时新旧密钥之间不存在关联等式，因此本协议具有PFS性质。

4.抗重放攻击

当攻击者在协议中重放之前的消息时，这些篡改造成的错误都会在协议中逐步累积，Bob计算n_A并比较其正确性时就会发现遭受攻击。即使没有发现，最终导致通信双方更新密钥时计算出来的值不同步，由于Finished消息是用新协商好的MAC密钥计算出来，所以如果双方最终更新的密钥不同步或不一致，那么Alice在比较Finished值时就会发现。

5.抗非同步攻击

Bob在进行密钥更新之后会用新得到的MAC密钥对收到的γ‖δ计算MAC值构成Finished消息发送给Alice，A收到消息后也用新计算得到的MAC密钥对自己上一步发出的γ‖δ计算MAC值，比较两个值是否一致，若相同，则密钥协商成功，若不同，则说明密钥更新不同步，可能受到攻击。故本协议可以抵抗非同步攻击。

(四)性能比较

将本发明所提出的轻量级认证密钥协商协议与现有的其它两种协议进行性能比较如表1所示。

表1与同类协议的性能比较

注：1.计算性能所述各项均指Alice的计算量

2.2(1/1)表示一共进行了2次该类型，包括1次加密运算和1次解密运算。

WAPI协议的认证环节与密钥协商阶段是分开的，在认证环节缺乏私钥认证，密钥协商阶段缺乏密钥确认过程，如果考虑相应的私钥认证以及密钥确认过程的话，其交互轮数将会增加。由表1可以看出本文所提的基于数字证书的轻量级认证密钥协商协议，在性能上明显优于EAP-TLS和WAPI协议。本协议中仅有的一次公钥加密的运算开销是可选的，当使用会话ID选择复用上次会话的参数时，即可节省此次公钥解密的开销，具有灵活性，从而更适合应用于无线网络中用户的安全认证与密钥协商。

Claims (3)

1.一种基于数字证书的无线网络认证密钥协商协议，其特征在于包括以下步骤：

1)使用数字证书及持有证书者的数字签名证明私钥拥有性，并结合共享对称密钥进行双重身份认证；

2)利用新旧保护密钥结合的方法保护参与新会话密钥组计算的重要参数的交换；

3)利用新协商的MAC密钥计算MAC值进行密钥确认，确保双方新会话密钥组以及保护密钥的动态同步更新。

2.如权利要求1所述的无线网络轻量级认证密钥协商协议，其特征在于：

所述步骤2)中结合新旧密钥保护参与计算新会话密钥的重要参数交换的具体步骤是(假定通信双方为Alice和Bob)：

2.1)Bob首先验证Alice数字证书的有效性及私钥拥有性，验证成功后利用Alice的公钥加密参数k，发送给Alice；

2.2)Bob利用上次会话双方已计算好的保护密钥来保护n_B，具体计算过程见图1，发送给Alice；

2.3)Alice接收后，通过共享的保护密钥K_1old计算得到n_B，利用新计算出的K_1new来验证所接收到的n_B的正确性，若验证通过，则利用上次会话双方已共享的保护密钥来保护n_A，发送给Bob，具体计算过程见图1；

2.4)Bob接收后，通过共享的保护密钥K_2old计算得到n_A，并利用新计算出的K_2new验证其正确性，具体计算过程见图1。

其中新旧密钥保护重要参数的结合之处在于，使用公钥及旧保护密钥来保护参数，使用新保护密钥来验证所接收参数的正确性，新旧密钥相辅相承，参数的交换与正确性验证同时完成，使攻击者很难攻破三道防线，获得全部参数进而得到会话密钥或是篡改参数欺骗用户。

3.如权利要求1所述的无线网络轻量级认证密钥协商协议，其特征在于：

所述步骤3)中密钥更新的具体步骤为：

3.1)Bob在计算得到新会话密钥之后，利用MAC密钥及初始向量对上一步接收到的参数计算MAC值，之后将密钥更新为新协商的会话密钥组。同时令K_1old＝K_1new，K_2old＝K_2new，把本次会话新计算出来的共享密钥更新为保护密钥.保护下次会话的参数交换。

3.2)Alice在计算得到新会话密钥之后，利用MAC密钥及初始向量对上一步发送给Bob的参数计算MAC值，与接收到的MAC值进行比较，若两值相等，则将密钥更新为新协商的会话密钥组。同时令K_1old＝K_1new，K_2old＝K_2new，把本次会话新计算出来的共享密钥更新为保护密钥，保护下次会话的参数交换。

Images