CN111510291A - 基于双线性对的高效身份认证密钥协商协议 - Google Patents

Abstract

本发明属于网络空间安全领域，涉及基于双线性对的高效身份认证密钥协商协议。本发明包括系统建立、用户私生成和密钥协商步骤。本发明的协议在保证密钥协商协议的安全性的同时，减少协议中对双线性对的使用，从而实现提高协议计算效率的目的。本发明的密钥协商协议适合移动互联网、物联网等计算能力弱、存储能力低的环境。除此之外，协议也具有高安全性的特点，使用eCK模型证明了协议的安全性。本发明的协议满足弱前向安全性、抗密钥泄漏伪装攻击、抗临时密钥泄露攻击、抗未知密钥共享等安全属性。

Description

基于双线性对的高效身份认证密钥协商协议

技术领域

本发明属于网络空间安全领域，涉及基于双线性对的高效身份认证密钥协商协议。

背景技术

会话密钥协商协议是指在正式通信之前，通信的双方或者多方在公共信道上协商出对称加密密钥的规则。会话密钥协商协议直接影响对称加密密钥的安全性，因此会话密钥协商协议是构造安全网络环境的基础。

第一个现代密钥协商协议是由Diffie和Hellman提出，但是由于协议没有对协议双方进行身份认证，因此DH协议不能抵抗中间人攻击(Man-in-the-Middle Attack,MIMA)。为了解决这一问题，能够进行身份认证的密钥协商协议相继被提出，其中最著名的就是MQV协议。 MQV协议假设每一个会话方都有一对公私钥，并且所有的会话方都知道其他人的公钥。会话密钥是由长期私钥和临时密钥决定的，这样对会话方的身份认证问题就转换为对长期公钥的认证问题，而公钥基础设施(Public Key Infrastructure,PKI)恰好能解决这一问题。

PKI通过数字证书实现身份认证，但是数字证书的撤销、存储和分发等存在不足，而且证书验证的计算成本较高。因此，无证书的身份认证的密钥协商协议逐渐成为了研究重点。按照协议中是否使用了双线性对，可将协议分为基于双线性对的ID-AKA协议和无双线性对的 ID-AKA协议。基于双线性对的ID-AKA协议由于使用了双线性对运算，导致其计算量较大，协商时所需要的消息交换轮数也较多。不使用双线性对实现的ID-AKA协议计算量相对较小，但是在安全性方面差强人意，敌手易于攻破协议，安全性得不到有效保证。

Shamir首次提出基于身份的加密(Identity-based Encryption,IBE)体制。不同于传统的公钥密码体制，基于身份的加密体制可将用户的唯一身份标识(如电子邮箱地址、ID号等)作为其公钥。第一个真正实用的IBE是由Boneh和Franklin基于Weil双线性对实现。Smart在Boneh 和Franklin的IBE的基础上提出了第一个基于双线性对的ID-AKA协议。

与无双线性对的身份认证密钥协商协议相比，虽然基于双线性对的身份认证密钥协商协议在安全性上有明显优势，但由于双线性对的计算量较大，导致基于双线性对的身份认证密钥协商协议在计算效率上有明显不足。

发明内容

有鉴于此，本发明的目的在于解决现有基于双线性对的身份认证密钥协商协议在计算效率不够高，通信量过大的问题，提供一种基于双线性对的高效身份认证密钥协商协议。

为达到上述目的，本发明提供如下技术方案：

一种基于双线性对的高效身份认证密钥协商协议，包括以下步骤：

S1：系统建立：包括私钥生成中心(Private Key Generator，PKG)生成相应的公共参数和PKG主密钥；

S2：用户密钥生成：基于用户的唯一身份标识生成用户的私钥；

S3：密钥协商：基于用户的私钥、临时密钥协商出会话密钥。

进一步，所述步骤S1具体包括以下步骤：

S11：PKG生成q阶群G₁、G₂，其中G₁为循环加法群，G₂为循环乘法群；PKG随机选取3个生成元g、h和t，其中g,h,t∈G₁；PKG构建双线性对e:G₁×G₁→G₂；

S12：PKG随机选取PKG主密钥α：

并计算PKG公钥g₁：g₁＝g^α；

S13：PKG生成密钥生成函数H：{0，1}^*→{0，1}^k，其中k为会话密钥的长度；

S14：PKG计算参数t_T：t_T＝e(g,t)；

S15：PKG公开参数：{e,g,g₁,h,t,t_T,H}。

进一步，所述步骤S2具体包括：

对于一个身份标识为ID的用户，其中ID∈Z_p且ID≠α；则该用户的公钥g_ID： g_ID＝g₁g^-ID，用户的私钥d_ID：d_ID＝＜r_ID,h_ID＞，其中

r_ID∈Z_p随机选取。

进一步，所述步骤S3具体包括以下步骤：

S31：对于一个身份标识为ID_A的会话密钥协商发起者A，其公钥为：

私钥为：d_A＝＜r_A,h_A＞；

S32：对于身份标识为ID_B的会话密钥协商的接受者B，其公钥为：

私钥为：d_B＝＜r_B,h_B＞；

S33：用户A随机选择x∈Z_p作为他的临时密钥，并计算：

用户A将

发送给用户B；用户B随机选择y∈Z_p作为他的临时密钥，并计算：

B将

发送给用户A；

S34：用户A收到B发送的T_B后，计算共享密钥：

用户B收到A发送的T_A后，计算共享密钥：

S35：用户A根据计算出的共享密钥

以及T_A、T_B、ID_A、ID_B计算会话密钥：

用户B根据计算的共享密钥

以及T_A、T_B、ID_A、ID_B计算会话密钥：

进一步，在所述步骤S3中，在用户交换消息之前，计算秘密参数的代价，其代价为：4TE₁+1TE₂，其中TE₁表示G₁群的指数运算时间，TE₂表示G₂群的指数运算时间，其它计算代价忽略。

进一步，在所述步骤S3中，在用户交换消息之后，计算共享密钥的代价，其代价为：1TP+3TE₂，其中TP表示双线性对的运算时间，TE₂表示G₂群的指数运算时间，其它计算代价忽略。

进一步，在所述步骤S3中，用户的交换信息的通信量，通信量为：TL，其中TL表示用户用A与用户B协商会话密钥过程中交换信息T_A或T_B的长度。

本发明的有益效果在于：

该协议具有计算效率高，通信量低的特点，适合于移动设备、物联网等资源有限的环境下。本发明具有较高的安全性，协议满足弱前向安全性、抗密钥泄漏伪装攻击、抗临时密钥泄露攻击、抗未知密钥共享等安全属性。

协议在eCK模型下是一个安全的密钥协商协议。安全性证明被模拟成对手A和密钥协商参与者的游戏，模拟器M为对手A模拟整个游戏过程。游戏结束后，若抗临时密钥泄露攻击的ID-AKA协议满足下列条件：

(1)若仅有如实、完整传送信息的良性对手，密钥协商的参与者总能正确计算出相同的会话密钥。

(2)在模拟器M与对手A的游戏结束后，对手A在游戏中成功获取密钥协商参与者的会话密钥的优势Adv_A(k_i)是可以忽略的。

本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。

附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作优选的详细描述，其中：

图1为本发明所述基于双线性对的高效身份认证密钥协商协议的协商过程。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本发明的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本发明的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

如图1所示，基于双线性对的身份认证密钥协商协议，包括以下步骤：

步骤1：在用户的网络中，以一个用户都信任的服务器作为PKG，并且所有用户均知道该服务器的IP地址和它的公钥。PKG生成相应的公共参数和PKG主密钥，步骤如下：

步骤1-1：PKG生成q阶群G₁、G₂，其中G₁为循环加法群，G₂为循环乘法群；PKG随机选取3个生成元g、h和t，其中g,h,t∈G₁；PKG构建双线性对e:G₁×G₁→G₂；

步骤1-2：PKG随机选取PKG主密钥α：

并计算PKG公钥g₁：g₁＝g^α；

步骤1-3：PKG生成密钥生成函数H：{0，1}^*→{0，1}^k，其中k为会话密钥的长度；

步骤1-4：PKG计算参数t_T：t_T＝e(g,t)；

步骤1-5：PKG公开参数：{e,g,g₁,h,t,t_T,H}。

步骤2：用户可以将他的邮箱地址、ID号等作为他的唯一身份标识。用户的唯一身份标识生成用户的私钥，步骤如下：

步骤2-1：对于一个身份标识为ID的用户，其中ID∈Z_p且ID≠α；则该用户的公钥g_ID： g_ID＝g₁g^-ID，用户的私钥d_ID：d_ID＝＜r_ID,h_ID＞，其中

r_ID∈Z_p随机选取；

步骤3：基于用户的私钥、临时密钥协商出会话密钥，步骤如下：

步骤3-1：对于一个身份标识为ID_A的会话密钥协商发起者A，其公钥为：

私钥为：d_A＝＜r_A,h_A＞；

步骤3-2：对于身份标识为ID_B的会话密钥协商的接受者B，其公钥为：

私钥为：d_B＝＜r_B,h_B＞；

步骤3-3：用户A随机选择x∈Z_p作为他的临时密钥，并计算：

用户A将

发送给用户B；用户B随机选择y∈Z_p作为他的临时密钥，并计算：

B将

发送给用户A；

步骤3-4：用户A收到B发送的T_B后，计算共享密钥：

用户B收到A发送的T_A后，计算共享密钥：

步骤3-5：用户A根据计算出的共享密钥

以及T_A、T_B、ID_A、ID_B计算会话密钥：

用户B根据计算的共享密钥

以及T_A、T_B、ID_A、ID_B计算会话密钥：

步骤3-6：至此，用户A与用户B协商出了正确且完全一致的对称加密密钥SK。用户A与用户B通过对称加密密钥SK对信息进行加密、解密，从而实现了安全通信。

在用户交换消息之前，计算秘密参数的代价，其代价为：4TE₁+1TE₂，其中TE₁表示G₁群的指数运算时间，TE₂表示G₂群的指数运算时间，其它计算代价忽略。

在用户交换消息之后，计算共享密钥的代价，其代价为：1TP+3TE₂，其中TP表示双线性对的运算时间，TE₂表示G₂群的指数运算时间，其它计算代价忽略。

用户的交换信息的通信量，通信量为：TL，其中TL表示用户用A与用户B协商会话密钥过程中交换信息T_A或T_B的长度。

本发明发明具有较高的安全性，协议满足弱前向安全性、抗密钥泄漏伪装攻击、抗临时密钥泄露攻击、抗未知密钥共享等安全属性。

协议在eCK模型下是一个安全的密钥协商协议。安全性证明被模拟成对手A和密钥协商参与者的游戏，模拟器M为对手A模拟整个游戏过程。游戏结束后，若抗临时密钥泄露攻击的ID-AKA协议满足下列条件：

(1)若仅有如实、完整传送信息的良性对手，密钥协商的参与者总能正确计算出相同的会话密钥。

(2)在模拟器M与对手A的游戏结束后，对手A在游戏中成功获取密钥协商参与者的会话密钥的优势Adv_A(k_i)是可以忽略的。

证明：

首先证明抗临时密钥泄露攻击的ID-AKA协议在条件(1)下是安全的协商协议。因为对手是良性的，这就是说，对手会如实地传送协议双方的会话消息，所以协议双方在都遵守协商协议规范的情况下，能够正确、完整地接收协商消息。那么，就有

则协议双方都能正确计算出会话密钥SK。即协议在条件(1)的情况下是安全的认证协商协议。

使用反证法证明在条件(2)的情况下也是正确的。如果对手A能以不可忽略的优势ε赢得游戏，那么模拟器M能以不可忽略的优势

解判定q-ABDHE问题。其中对手最多建立q_s个会话，最多进行q_i次StaticKeyReveal查询。

给定一个判定q-ABDHE问题的输入

模拟器M需判定等式

是否成立。在初始阶段，模拟器M按以下方式进行初始化：

首先随机选取一个q次秘密多项式f(x)∈Z_p[x]，然后根据

计算h＝t^f(α)

将公共参数(g,g₁＝g^α,t,h)发送给对手A和模拟器M，但是对手A和模拟器M均不知道主密钥。按照上述方式设置的参数与真实系统中参数的分布相同。

随机选择3个整数u,v∈{1,2,…,p}，n∈{1,2,…,q_s}。ID_u和ID_v分别表示第u个和第v个协议参与者。模拟器M选择预言机

模拟器M为对手A模拟整个游戏，它们之间的交互如下：

StaticKeyReveal查询：输入ID_i，如果ID_i＝α那么直接用α解判定q-ABDHE问题，否则，如果i≠v，让

其中

是一个q-1阶的多项式。计算

返回私钥

由于f(x)分布与真实系统中的分布相同，因此对手A无法通过分布来判断它的有效性，即这一私钥对对手A来说是有效的。如果i＝v，则报错并退出(E₁)。

Send查询：模拟器如实回答除预言机

之外其它预言机的Send查询。当对手A对预言机

进行Send查询时，模拟器生成两个q+1阶多项式：f₂(x)＝x^q+2、

然后返回

和

其中

这里

是

中x^l的系数。令

如果

那么

假设预言机

从其匹配预言机

接收到

那么共享密钥为

则会话密钥为

SessionKeyReveal查询：如果所查询的预言机为

或者其匹配预言机

退出并报错 (E₂)。否则，返回会话密钥。

EphemeralSecretReveal查询：如果所查询的预言机为

或者其匹配预言机

退出并报错(E₃)。否则，返回临时密钥。

Test查询：在整个游戏过程中的某一时刻，对手A选择一个预言机做Test查询。如果对手A没有选中模拟器M事先猜测的预言机，那么退出并报错(E₄)，否则返回会话密钥SK_uv。

输出：游戏结束后，对手A输出它对b的猜测值b'∈{0,1}。

事件E表示模拟器M正常(不报错)退出，那么

如果

那么对手A能以ε+1/2的概率正确猜出b的值。否则对手A没有优势正确猜出b的值。

如果对手A能以不可忽略的优势ε正确猜测出b的值，那么模拟器M也能以不可忽略的优势ε′判断

是否成立。模拟器M正常退出的概率至少为

那么ε′＝ε/(q_i ³q_s)。

综上所述，模拟器M能以不可忽略的概率ε'＝ε/(q_i ³q_s)解判定q-ABDHE问题，这与判定q-ABDHE假设矛盾，因此假设不成立，所以抗临时密钥泄露攻击的ID-AKA协议在eCK 模型下是安全的认证密钥协商协议。

下面证明抗临时密钥泄露攻击的ID-AKA协议满足PKG前向安全性。假设对手A获得了PKG的主密钥α，那么对手A可以从

中计算出

从

计算出

但是对手A无法计算出

也无法计算出共享密钥以及会话密钥。因此协议满足PKG前向安全性。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.一种基于双线性对的高效身份认证密钥协商协议，其特征在于：包括以下步骤：

S1：系统建立：包括私钥生成中心PKG生成相应的公共参数和PKG主密钥；

S2：用户密钥生成：基于用户的唯一身份标识生成用户的私钥；

S3：密钥协商：基于用户的私钥、临时密钥协商出会话密钥。

2.根据权利要求1所述的基于双线性对的高效身份认证密钥协商协议，其特征在于：所述步骤S1具体包括以下步骤：

S11：PKG生成q阶群G₁、G₂，其中G₁为循环加法群，G₂为循环乘法群；PKG随机选取3个生成元g、h和t，其中g,h,t∈G₁；PKG构建双线性对e:G₁×G₁→G₂；

S12：PKG随机选取PKG主密钥α：

并计算PKG公钥g₁：g₁＝g^α；

S13：PKG生成密钥生成函数H：{0，1}^*→{0，1}^k，其中k为会话密钥的长度；

S14：PKG计算参数t_T：t_T＝e(g,t)；

S15：PKG公开参数：{e,g,g₁,h,t,t_T,H}。

3.根据权利要求1所述的基于双线性对的高效身份认证密钥协商协议，所述步骤S2具体包括：

对于一个身份标识为ID的用户，其中ID∈Z_p且ID≠α；则该用户的公钥g_ID：g_ID＝g₁g^-ID，用户的私钥d_ID：d_ID＝＜r_ID,h_ID＞，其中

r_ID∈Z_p随机选取。

4.根据权利要求1所述的基于双线性对的高效身份认证密钥协商协议，所述步骤S3具体包括以下步骤：

S31：对于一个身份标识为ID_A的会话密钥协商发起者A，其公钥为：

私钥为：d_A＝＜r_A,h_A＞；

S32：对于身份标识为ID_B的会话密钥协商的接受者B，其公钥为：

私钥为：d_B＝＜r_B,h_B＞；

S33：用户A随机选择x∈Z_p作为他的临时密钥，并计算：

用户A将

发送给用户B；用户B随机选择y∈Z_p作为其临时密钥，并计算：

B将

发送给用户A；

S34：用户A收到B发送的T_B后，计算共享密钥：

用户B收到A发送的T_A后，计算共享密钥：

S35：用户A根据计算出的共享密钥

以及T_A、T_B、ID_A、ID_B计算会话密钥：

用户B根据计算的共享密钥

以及T_A、T_B、ID_A、ID_B计算会话密钥：

5.根据权利要求4所述的基于双线性对的高效身份认证密钥协商协议，在所述步骤S3中，在用户交换消息之前，计算秘密参数的代价，其代价为：4TE₁+1TE₂，其中TE₁表示G₁群的指数运算时间，TE₂表示G₂群的指数运算时间，其它计算代价忽略。

6.根据权利要求4所述的基于双线性对的高效身份认证密钥协商协议，在所述步骤S3中，在用户交换消息之后，计算共享密钥的代价，其代价为：1TP+3TE₂，其中TP表示双线性对的运算时间，TE₂表示G₂群的指数运算时间，其它计算代价忽略。

7.根据权利要求4所述的基于双线性对的高效身份认证密钥协商协议，在所述步骤S3中，用户的交换信息的通信量，通信量为：TL，其中TL表示用户用A与用户B协商会话密钥过程中交换信息T_A或T_B的长度。

Images