基于身份的認(rèn)證密鑰協(xié)商協(xié)議的安全分析與改進(jìn)

1、汪小芬1,2, 陳原1, 肖國鎮(zhèn)1(1. 西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)國家重點(diǎn)實(shí)驗(yàn)室,陜西西安 710071;2. 電子科技大學(xué)計(jì)算機(jī)學(xué)院,四川成都 610054摘要:對(duì)基于身份的標(biāo)準(zhǔn)模型下可證明安全的認(rèn)證密鑰協(xié)商協(xié)議進(jìn)行安全性分析,發(fā)現(xiàn)惡意的密鑰生成中心(PKG, private key generator能計(jì)算出所有的會(huì)話密鑰,即它在無會(huì)話密鑰托管模式下不滿足PKG前向安全性。因此,為滿足無托管的要求,提出一個(gè)改進(jìn)的基于身份的認(rèn)證密鑰協(xié)商協(xié)議,并在標(biāo)準(zhǔn)模型下證明其為安全的認(rèn)證密鑰協(xié)商協(xié)議。結(jié)果表明,改進(jìn)后協(xié)議滿足完善前向安全性和PKG前向安全性。關(guān)鍵詞:基于身份的認(rèn)證密鑰協(xié)商;完善前向安全性

2、;PKG前向安全性;標(biāo)準(zhǔn)模型中圖分類號(hào):TN918.1 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1000-436X(200812-0016-06Analysis and improvement of an ID-basedauthenticated key agreement protocolWANG Xiao-fen1,2, CHEN Yuan1, XIAO Guo-zhen1(1. National Key Lab of Integrated Service Networks, Xidian University, Xian 710071, China;2. School of Computer Sci

3、ence and Technology, UESTC, Chengdu 610054, ChinaAbstract: The security of a recently proposed ID-based authenticated key agreement protocol was analyzed. Although it is provably secure in the standard model, a malicious PKG (private key generator can still obtain all of the agreed ses-sion keys, th

4、at is, it doesnt provide PKG-forward secrecy in escrowless mode. To satisfy the security requirement in es-crowless mode, an improved version of the protocol was presented and it was proved to be a secure authenticated key agreement in the standard model. Results show that it provides perfect forwar

5、d secrecy and PKG-forward secrecy.Key words: ID-based authenticated key agreement; perfect forward secrecy; PKG-forward secrecy; standard model1引言密鑰協(xié)商是安全通信的重要環(huán)節(jié)。通過密鑰協(xié)商協(xié)議,可在通信節(jié)點(diǎn)之間建立共享會(huì)話密鑰,以便實(shí)現(xiàn)開放網(wǎng)絡(luò)中的安全通信。Diffie和Hellman提出第一個(gè)兩方的密鑰協(xié)商協(xié)議1。自Shamir提出基于身份的密碼系統(tǒng)2以來,利用Shamir的密鑰構(gòu)造方法,研究者們相繼提出一些基于身份的密鑰協(xié)商協(xié)議3,4。2001年

6、Boneh等人利用雙線性對(duì)提出基于身份的加密方案5。此后大量文章利用雙線性對(duì)構(gòu)建基于身份的密鑰協(xié)商協(xié)議6,7,然而,這些協(xié)議都不滿足完善前向安全性和PKG前向安全性。盡管Shim的協(xié)議8滿足完善前向安全性,但對(duì)于中間人攻擊是脆弱的9。McCullagh等提出一種有效的密鑰協(xié)商協(xié)議10,然而他們的協(xié)議無法抵抗密鑰泄露偽裝攻擊11。Chen收稿日期:2008-06-21;修回日期:2008-10-24基金項(xiàng)目:國家自然科學(xué)基金資助項(xiàng)目(60473028,60603010;陜西省自然科學(xué)基金資助項(xiàng)目(2006F19Foundation Items: The National Natural Scie

7、nce Foundation of China (60473028,60603010; The Natural Science Foundation of Shanxi Province (2006F19第12期 汪小芬等:基于身份的認(rèn)證密鑰協(xié)商協(xié)議的安全分析與改進(jìn) ·17·等人的協(xié)議12首次在隨機(jī)預(yù)言機(jī)模型下證明其安全性,但他們的協(xié)議也不滿足完善前向安全性和PKG 前向安全性。1993年Bellare 和Rogaway 提出基于隨機(jī)預(yù)言機(jī)的安全模型13。在該模型中,散列函數(shù)被模擬為隨機(jī)預(yù)言機(jī),隨機(jī)預(yù)言機(jī)模型在很多方案的安全性證明中起到了關(guān)鍵作用。但是,近年來人們逐漸認(rèn)識(shí)到

8、某些在隨機(jī)預(yù)言機(jī)模型下可證明安全的方案在實(shí)際應(yīng)用中并不安全14,因?yàn)樯⒘泻瘮?shù)不能真正模擬隨機(jī)預(yù)言機(jī)。因此,在不借助隨機(jī)預(yù)言機(jī)的標(biāo)準(zhǔn)模型下可證明安全的方案更具有實(shí)際意義。2007年Wang 等利用Gentry 的基于身份的加密方案15,提出第一個(gè)標(biāo)準(zhǔn)模型下可證明安全的基于身份的密鑰協(xié)商協(xié)議16。對(duì)其無會(huì)話密鑰托管模式下的密鑰協(xié)商協(xié)議進(jìn)行安全性分析后,發(fā)現(xiàn)該協(xié)議不能滿足PKG 前向安全性,惡意的密鑰生成中心(PKG 能計(jì)算出所有的會(huì)話密鑰。因此,針對(duì)無托管的要求,本文提出一個(gè)改進(jìn)的基于身份的認(rèn)證密鑰協(xié)商協(xié)議,在標(biāo)準(zhǔn)模型下證明新協(xié)議的安全性,并且分析了新協(xié)議滿足完善前向安全性和PKG 前向安全性。2

9、 預(yù)備知識(shí)2.1 雙線性對(duì)和困難問題假設(shè)假定q 為一個(gè)大素?cái)?shù)(如160bit,群1G ,2G 階為q ,而g 為1G 的一個(gè)生成元,雙線性對(duì)112:e G G G ×為具有如下性質(zhì)的映射:1 雙線性:對(duì)任意1,g h G 和*,q a b Z ,有(,(,a b abe g h e g h =;2 非退化性:(,1e g g ,1是2G 的單位元; 3 可計(jì)算性:對(duì)任意11(,g h G G ×,存在有效多項(xiàng)式算法計(jì)算(,e g h 。定義1 判定性q -ABDHE 問題:給定'(,g 2',q qg g g g Z +",判斷1'(,q

10、Z e g g +=是否成立。這里'1,g g G ,q Z ,2Z G 。 2.2 ID-BJM 安全模型Chen 等在文獻(xiàn)12中定義了基于身份的認(rèn)證密鑰協(xié)商協(xié)議的形式化安全模型ID-BJM 模型,它是對(duì)Blake-Wilson 等人的BJM 模型17的擴(kuò)展。ID-BJM 模型下安全的認(rèn)證密鑰協(xié)商協(xié)議的安全性定義包含了已知密鑰安全性、未知密鑰共享安全性、抗被動(dòng)攻擊和主動(dòng)攻擊、抗密鑰泄露偽裝性和無密鑰控制性等基本的安全屬性16。該模型包括了一個(gè)協(xié)議參與者集合U 和一個(gè)主動(dòng)攻擊者E 。每個(gè)參與者被模擬為一組預(yù)言機(jī)(Oracle,預(yù)言機(jī),nI J 指協(xié)議的參與者I 與J 之間會(huì)話的第n 個(gè)

11、實(shí)例。攻擊者被定義為一個(gè)概率多項(xiàng)式時(shí)間圖靈機(jī),并能訪問模型中所有的預(yù)言機(jī)。對(duì)于良性(benign的攻擊者,它只是誠實(shí)地傳遞預(yù)言機(jī)之間的信息。定義2 會(huì)話標(biāo)識(shí)符SID :預(yù)言機(jī),nI J 發(fā)送和接收的所有消息的串聯(lián)。定義3 搭檔預(yù)言機(jī)PID :若2個(gè)預(yù)言機(jī),nI J 和,n J I在同意(accept狀態(tài)時(shí)有相同的會(huì)話標(biāo)識(shí)符SID ,則稱,nI J 與,n J I 互為搭檔預(yù)言機(jī),I 和J 互為搭檔。通過定義挑戰(zhàn)者C 與敵手E 之間的游戲來定義密鑰協(xié)商協(xié)議的安全性。挑戰(zhàn)者C 可以模擬所有的預(yù)言機(jī),nI J ,密鑰生成中心PKG 和隨機(jī)預(yù)言機(jī),產(chǎn)生主密鑰和所有的系統(tǒng)參數(shù),并為參與者I 產(chǎn)生私鑰I

12、S 。攻擊者E 允許進(jìn)行下列預(yù)言機(jī)查詢(Oracle query。1 Send(I,J,n,M 查詢:E 可以向預(yù)言機(jī),nI J 發(fā)送消息M ,該預(yù)言機(jī)按照協(xié)議規(guī)范應(yīng)答一個(gè)響應(yīng)消息m ,預(yù)言機(jī)將每個(gè)收到和發(fā)出的消息都記入它的運(yùn)行腳步記錄中。若預(yù)言機(jī)收到的第一條消息M ,那么該預(yù)言機(jī)作為發(fā)起者(initiator發(fā)起一次會(huì)話;否則,它擔(dān)任響應(yīng)者(responder的角色。2 ,Reveal(nI J 查詢:收到此查詢的預(yù)言機(jī),返回它協(xié)商得到的會(huì)話密鑰。如果該預(yù)言機(jī)的狀態(tài)還不是“已接受”(accpted,那么它返回一個(gè)符號(hào)表示終止。執(zhí)行了Reveal 查詢的預(yù)言機(jī)狀態(tài)是打開的(opened。3 C

13、orrupt(I 查詢:此查詢要求被詢問的協(xié)議參與者I 返回它擁有的長期私鑰S I 。相應(yīng)地,回答過Corrupt 查詢的實(shí)體的狀態(tài)被稱為“已腐化”(corrupted。4 Corrupt(PKG 查詢:此查詢要求返回系統(tǒng)主密鑰。5 ,Test(nI J 查詢:在游戲的某個(gè)時(shí)刻,E 可以向一個(gè)“新鮮”的預(yù)言機(jī)發(fā)出Test 查詢,E 將收到該預(yù)言機(jī)所擁有的會(huì)話密鑰或者一個(gè)隨機(jī)值。該·18· 通 信 學(xué) 報(bào) 第29卷預(yù)言機(jī)通過投擲一枚公平硬幣0,1b 來回答此查詢:若投幣結(jié)果為0,那么它返回自己協(xié)商獲得的會(huì)話密鑰;否則,它返回會(huì)話密鑰空間0,1k上的一個(gè)隨機(jī)值。這里,k 表示會(huì)

14、話密鑰的比特長度。 在游戲的第2階段,E 可以繼續(xù)針對(duì)預(yù)言機(jī)進(jìn)行Send, Reveal 和Corrupt 查詢。E 所受到的限制為:它不能對(duì)它所選被測試的預(yù)言機(jī)及其搭檔預(yù)言機(jī)(若搭檔預(yù)言機(jī)存在的話進(jìn)行Reveal 查詢。另外,E 也不能對(duì)被測試參與者的意定伙伴進(jìn)行Corrupt 查詢。輸出:最后,E 輸出一個(gè)對(duì)b 的判斷(記為'b 。若'b b =,那么稱E 贏得了此游戲。文中定義E 獲勝的優(yōu)勢概率為'(2Pr1E Adv l b b =(l 為安全參數(shù)。定義4 新鮮預(yù)言機(jī):預(yù)言機(jī),nI J 在同意(accept狀態(tài)(因此得到一個(gè)會(huì)話密鑰是未打開的,其搭檔預(yù)言機(jī),n

15、J I 也未打開,搭檔J 沒有被腐化,則預(yù)言機(jī),nI J是新鮮的(fresh。 定義5 ID-BJM 模型下安全的認(rèn)證密鑰協(xié)商協(xié)議若協(xié)議滿足下列性質(zhì):1 只存在良性攻擊者的情況下,預(yù)言機(jī),nI J與其搭檔預(yù)言機(jī),n J I 在接受狀態(tài)時(shí)得到相同的會(huì)話密鑰SK ,且均勻分布在密鑰空間0,1k上。2 游戲結(jié)束后,敵手E 成功的優(yōu)勢(E Adv l 是可忽略的。稱該協(xié)議為ID-BJM 模型下安全的認(rèn)證密鑰協(xié)商協(xié)議。3 Wang 協(xié)議本節(jié)簡要介紹文獻(xiàn)16中給出的無會(huì)話密鑰托管模型下的基于身份的認(rèn)證密鑰協(xié)商協(xié)議(簡稱Wang 協(xié)議。其中涉及的參數(shù)與困難問題假設(shè)沿用文獻(xiàn)16。1 系統(tǒng)建立密鑰生成中心PKG

16、 隨機(jī)選取3個(gè)生成元1,g h t G 以及p Z ,計(jì)算1g g =。設(shè)置系統(tǒng)公開參數(shù)為1(,g g h t ,系統(tǒng)主密鑰為。2 私鑰生成對(duì)應(yīng)身份p ID Z ,隨機(jī)選擇ID p r Z ,計(jì)算私鑰ID ID ID ,d r h =<>,其中ID 1(IDID (r h ht =。對(duì)每一個(gè)身份ID 固定ID r 。3 密鑰協(xié)商假設(shè)Alice(身份為A ID 與Bob(身份為B ID 進(jìn)行會(huì)話密鑰的協(xié)商。令A(yù) ID A 1g g g =,B ID B 1g g g =和(,T t e g t =。Alice 隨機(jī)選擇p x Z ,計(jì)算1A B xT g =, 2A x T T t

17、=, 將12A A A T T T =發(fā)送給Bob ;Bob 隨機(jī)選擇p y Z ,計(jì)算1B A y T g =,2B y T T t =,將12B B B T T T =發(fā)送給Alice 。Alice 計(jì)算共享秘密A 112AB B A B (,(,r x K e T h T e g h =和22AB B x K T =。Bob 計(jì)算共享秘密B 112BA A B A (,(,r y K e T h T e g h =和22BA A y K T =。根據(jù)雙線性對(duì)的性質(zhì),容易得出11AB BA (,x y K K e g h +=,22AB BA (,xy K K e g t =。最后Alic

18、e 與Bob 計(jì)算出相同的會(huì)話密鑰為2A B A B (ID ID (,(,x yxy sk H T T e g h e g t +=。4 對(duì)Wang 協(xié)議的安全性分析本節(jié)分析Wang 協(xié)議的安全性,說明惡意密鑰生成中心(PKG能通過下述方法獲得Alice 與Bob 協(xié)商的所有會(huì)話密鑰。1 系統(tǒng)生成階段PKG 隨機(jī)選取2個(gè)生成元1,g h G 以及p Z ,計(jì)算1g g =。隨機(jī)選擇整數(shù)p Z ,計(jì)算t g =。設(shè)置系統(tǒng)公開參數(shù)為1(,g g h t ,系統(tǒng)主密鑰為。PKG 保密的信息。2 恢復(fù)第1個(gè)共享秘密PKG 擁有Alice 的私鑰A A A ,d r h =<>,Bob 的

19、私鑰B B B ,d r h =<>。從公開信道上截獲12A A A T T T =和12B B B T T T =。PKG 可計(jì)算出A 12B A B (,(r e T h T = (,y e g h 和B 12A B A (,(,r x e T h T e g h =,因此可恢復(fù)第1個(gè)共享秘密11AB BA (,x y K K e g h +=。3 恢復(fù)第2個(gè)共享秘密PKG 有主密鑰,Alice 的公開身份信息A ID 和Bob 的公開身份信息B ID ,可計(jì)算出1A (ID 和1B (ID ,滿足1A A (ID (ID 1mod p =, 1B B (ID (ID 1mod

20、 p =。然后從截獲的信息A 1(ID A x T g =和B 1(ID B x T g =,可計(jì)算出1A 1(ID A (x g T =和1B 1(ID B (y g T =。由此恢復(fù)出第第12期 汪小芬等:基于身份的認(rèn)證密鑰協(xié)商協(xié)議的安全分析與改進(jìn) ·19·2個(gè)共享秘密22AB BA (,(,x y xy K K e g g e g t =。4 恢復(fù)會(huì)話密鑰PKG 恢復(fù)出Alice 與Bob 的會(huì)話密鑰2A B A B (ID ID (,(,x yxy SK H T T e g h e g t +=。惡意的PKG 可以利用主密鑰和秘密參數(shù),根據(jù)截獲的中間消息恢復(fù)出所有的

21、會(huì)話密鑰。因此,Wang 協(xié)議不滿足PKG 前向安全性。5 改進(jìn)的無會(huì)話密鑰托管的認(rèn)證密鑰協(xié)商協(xié)議針對(duì)無密鑰托管的認(rèn)證密鑰協(xié)商協(xié)議的要求(協(xié)議必須滿足PKG 前向安全性,對(duì)Wang 協(xié)議做了改進(jìn),提出一個(gè)無會(huì)話密鑰托管的認(rèn)證密鑰協(xié)商協(xié)議。5.1 系統(tǒng)建立密鑰生成中心(PKG輸入安全參數(shù)0l >,產(chǎn)生系統(tǒng)參數(shù):1 q 階群1G 、2G ,1G 生成元g ,隨機(jī)選取1h G ,雙線性對(duì)112:e G G G ×2 隨機(jī)選取*qZ 作為PKG 的私鑰,PKG 公鑰為1g g =;3 密鑰生成函數(shù)*:0,10,1k H ,k 表示會(huì)話密鑰的長度。系統(tǒng)公開參數(shù)為121,q G G e g

22、 g h H ,系統(tǒng)主密鑰為由PKG 秘密保管。 5.2 用戶密鑰對(duì)生成對(duì)應(yīng)身份p ID Z ,私鑰生成方式如下:隨機(jī)選擇ID p r Z ,計(jì)算ID ID 1g g g =,ID 1(IDID (r h hg =,身份ID 對(duì)應(yīng)的公鑰為ID g ,私鑰為ID ID ID ,d r h =<>。對(duì)每一個(gè)身份ID ,固定ID r ,且確保ID 。 5.3 密鑰協(xié)商協(xié)議假設(shè)Alice(身份為A ID ,公鑰A ID A 1g g g =,私鑰A A A ,d r h =<>與Bob(身份為B ID ,公鑰B ID B 1g g g =,私鑰B B B ,d r h =<

23、;>進(jìn)行會(huì)話密鑰的協(xié)商。Alice 與Bob 計(jì)算公開參數(shù)(,T g e g g =。1 Alice 隨機(jī)選擇p x Z ,計(jì)算1A BxT g =, 2A x T T g =,3A x T g =將123A A A A T T T T =發(fā)送給Bob ;Bob 隨機(jī)選擇p y Z ,計(jì)算1B AyT g =, 2B y T T g =, 3B y T g =,將123B B B B T T T T =發(fā)送給Alice 。2 Alice 計(jì)算共享秘密11AB B A (,K e T h = A 2B (,r x T e g h 和23AB B x K T =;Bob 計(jì)算共享秘密11BA

24、 A B (,K e T h =B 2A r T (,y e g h 和23BA A y K T =。3 Alice 計(jì)算會(huì)話密鑰AB A B A (ID ID SK H T = 12B AB AB T K K ;Bob 計(jì)算會(huì)話密鑰BA A B A (ID ID SK H T = 12B BA BA T K K 。顯然11AB BA (,x y K K e g h +=, 22AB BA K K = xy g =,因此Alice 與Bob 計(jì)算出相同的會(huì)話密鑰為A B A B (ID ID (,x yxy SK H T T e g h g +=。5.4 安全性證明在ID-BJM 模型下,證明

25、改進(jìn)協(xié)議的安全性。根據(jù)2.3節(jié)給出的基于身份的密鑰協(xié)商協(xié)議的安全模型,得到如下定理。定理1 在q-ABDHE 假設(shè)成立的條件下,改進(jìn)協(xié)議是一個(gè)安全的認(rèn)證密鑰協(xié)商協(xié)議。證明 首先,說明條件1是滿足的。因?yàn)槿?個(gè)協(xié)議的參與者遵守協(xié)議規(guī)則,而且攻擊者是良性的,則2個(gè)參與者都能正確地接收來自對(duì)方的消息,他們之間有匹配會(huì)話,因此11AB BA K K =,22AB BA K K =,兩方計(jì)算出相同的會(huì)話密鑰SK 。而參與者計(jì)算密鑰的臨時(shí)參數(shù)是隨機(jī)均勻選取的,所以密鑰SK 在密鑰空間上是均勻隨機(jī)分布的。下面證明第2個(gè)條件也滿足。采用反證法,若存在多項(xiàng)式時(shí)間的敵手A 能夠以不可忽略的優(yōu)勢贏得游戲(假設(shè)敵手最

26、多進(jìn)行q 次Corrupt 查詢,發(fā)起算法s q 次會(huì)話,則存在一個(gè)模擬器X 能夠以不可忽略的優(yōu)勢'2/(s q q >解判定q-ABDHE 問題。模擬器X 對(duì)于一個(gè)判定q-ABDHE 問題的輸入2''(,q qg g g g g Z +",需要判斷1'(,q Z e g g +=是否成立。初始化階段:為產(chǎn)生系統(tǒng)參數(shù),模擬器X 按照下述方式進(jìn)行初始化。隨機(jī)選取一個(gè)q 次秘密多項(xiàng)式p (f x Z x ,然后根據(jù)(,qg g g "計(jì)算(f h g =。將系統(tǒng)公開參數(shù)1(,g g g h =發(fā)送給A ,X 不知道主密鑰。這樣設(shè)置的參數(shù)與真

27、實(shí)系統(tǒng)參數(shù)具有相同的分布。隨機(jī)選取3個(gè)整數(shù),1,2,u v p ",1,n 2," s q 。ID u 和ID v 分別表示第u 和第v 個(gè)參與者,X 選擇檢測預(yù)言機(jī)為,nu v 。模擬器X 為攻擊者A 模擬攻擊游戲,他們之間進(jìn)行如下交互。·20· 通 信 學(xué) 報(bào) 第29卷1 Corrupt 查詢:輸入為ID i 。若ID i =,直接用解判定q -ABDHE 問題;否則,若i v ,令I(lǐng)D (ID (ID i i if x f F x x =,是一個(gè)1q 次多項(xiàng)式,計(jì)算ID (ID i i r f =,ID 1(ID ID ID (i i ii F f

28、 h ghg=,返回私鑰ID ID ,i i r h <>。由于(f x 是一個(gè)均勻隨機(jī)多項(xiàng)式,它滿足正確的分布,因此這一私鑰對(duì)于攻擊者A 來說是有效的。若i v =,則報(bào)錯(cuò)退出(1E 。2 Send 查詢:A 誠實(shí)回答除,nu v 之外的其他預(yù)言機(jī)的Send 查詢。當(dāng)對(duì),nu v 做Send 查詢時(shí),產(chǎn)生2個(gè)1q +次多項(xiàng)式22(q f x x+=, 2,ID (v F x =22(ID ID v v f x f x 。返回預(yù)言機(jī),nu v 的消息1u T ,2u T 和3u T ,其中221(ID 'v f f u T g =,2,ID 2,0(,lv qF lu l

29、T Ze g ='g , 2,ID 3'(v F u T g=。這里2,ID ,v l F 是2,ID (v F x 中l(wèi) x 的系數(shù)。令12,ID log (v g g F =。若1'(,q Z e gg +=,則1(ID v u T g =,2(,u T e g g =,3u T g =。且12(,(,v r u v u e T h T e g h =。假設(shè)預(yù)言機(jī),nu v 收到的消息為1v T ,2v T 和3v T 。則生成的共享秘密為112(,(,ur uv v u v K e g h e T h T =和23(uv v K T =。對(duì)應(yīng)的會(huì)話密鑰為12(ID

30、 ID uv u v u v uv uv SK H T T K K =。3 Reveal 查詢:當(dāng)查詢的預(yù)言機(jī)為,nu v 或其匹配預(yù)言機(jī),n u v ,報(bào)錯(cuò)退出(2E 。否則,返回對(duì)應(yīng)的會(huì)話密鑰。4 ,Test(ti j :在模擬的過程某個(gè)時(shí)刻,將選擇一個(gè)預(yù)言機(jī)做Test 查詢。若A 沒有選擇X 事先猜測的預(yù)言機(jī)做Test 查詢,則報(bào)錯(cuò)退出(3E ; 否則,返回uv SK 。輸出:游戲結(jié)束后,A 輸出他的猜測值'b 。事件E 表示模擬器X 不報(bào)錯(cuò)退出,則2Pr 1s E q q 。假如1'(,q Z e g g +=,則A 能以12+的概率正確猜測b 。否則,A 沒有任何優(yōu)勢

31、猜測正確b 的值。A 若能以不可忽略的優(yōu)勢正確判斷b 的值,則X 能以不可忽略的概率判斷1(,q Z e g g +=是否成立。模擬器X 不報(bào)錯(cuò)退出的概率至少為21s q q 。綜上可得,'2(s q q =?？偨Y(jié)上述結(jié)果,可得X 能以不可忽略的概率解2(s q q =解判定q -ABDHE 問題,這與判定q -ABDHE 假設(shè)矛盾。因此,假設(shè)不成立。改進(jìn)協(xié)議是安全的認(rèn)證密鑰協(xié)商協(xié)議。協(xié)議滿足完善前向安全性和PKG 前向安全性。即使敵手獲得Alice 和Bob 的私鑰,以及系統(tǒng)主密鑰,只能計(jì)算出第1個(gè)共享秘密11AB BA K K = (,x y e g h +=。但若要得到第2個(gè)共享

32、秘密,必須由x g 和y g ,計(jì)算xy g 。然而這是CDH 困難問題。因此PKG 無法計(jì)算出協(xié)商的會(huì)話密鑰,新協(xié)議成功取消了密鑰托管。6 結(jié)束語PKG 前向安全性是基于身份的認(rèn)證密鑰協(xié)商協(xié)議重要的安全性質(zhì)。本文對(duì)文獻(xiàn)16的標(biāo)準(zhǔn)模型下可證明安全的基于身份的認(rèn)證密鑰協(xié)商協(xié)議進(jìn)行安全性分析,得出其無會(huì)話密鑰托管模式下的協(xié)議不滿足PKG 前向安全性。針對(duì)無密鑰托管的要求,本文給出一個(gè)改進(jìn)的基于身份的認(rèn)證密鑰協(xié)商協(xié)議,同樣在標(biāo)準(zhǔn)模型下證明改進(jìn)協(xié)議是可證明安全的;最后分析改進(jìn)協(xié)議滿足完善前向安全性與PKG 前向安全性。 參考文獻(xiàn):1 DIFFIE W, HELLMAN M E. New directions in cryptographyJ.IEE