b+a
公钥基础设施 ID-Based PKI， 并给出了一个身份基加密方 案， 2008 年， 赵婷［15］给出一个新的身份基公钥基础设施。在 ID-Based PKI 中， 有一个密钥生成中心 KGC （Key Generation Center） 来生成系统需要的参数和根据用户信息生成 用户私钥， 它包括系统设置算法和私钥抽取算法。 KGC 利用参数生成器 BDH 生成阶为素数 q 的循环群
H2 被 用 作 密 钥
抽取函数， 则 B 认为 sk BA 是 A 协商所得会话密钥。
2.3
身份基公钥基础设施 2001 年 ， Bone 和 Franklin 首 次 提 出 了 实 用 的 身 份 基
［3］
4
4.1
协议分析
正确性分析 利用双线性对的知识我们可以得到如下结果：
̂ (T B + aQ A, Q B ) e ̂ (W B, S A p ) K AB = e ̂ ( bQ A + aQ A, Q B ) e ̂ S B ( P pub + P ′pub ), S A p =e ̂ ( Q A, Q B ) =e = K BA
q+2 q
5） 用 户 A 将 会 话 密 钥 sk 设 置 为 sk AB = H 2 ( A B T A 其 中 哈 希 函 数 H2 被 用 作 密 钥 抽 取 函 T B W AW B K AB) ， 数， 则 A 认为 sk AB 是 B 协商所得会话密钥； 6） 同 样 ， 用 户 B 将 会 话 密 钥 sk 设 置 为 sk BA = H 2 ( A
ab
3） 可计算性： 对任意 p, q ∈ G 1 ， 存在多项式时间算法
❋
收稿日期： 2011 年 10 月 17 日， 修回日期： 2011 年 11 月 22 日 基金项目： 安徽省自然科学基金 （青年基金） 项目 （编号： 10010606Q63） 资助。 作者简介： 史国川， 男， 教授， 研究方向： 网络信息安全。夏良， 男， 讲师， 研究方向： 网络信息安全。李江卫， 男， 硕士研究生， 研究方向： 网络信息安全。路守克， 男， 硕士研究生， 研究方向： 网络信息安全。
G1 和 G 2 ， G 1 × G 1 → G 2 ，p 是 G 1 的 ̂： 一个双线性对映射 e
* 生成元。选择强密码哈希函数 H 1:{0, 1} → Z q 和 H 2:{0, 1} * *
(
) )
̂ ( p, p ) e
S A S B ( s1 + s 2 )
̂ ( aQ B + bQ B, Q A ) e ̂ S A ( P pub + P ′pub ), S B p =e
1
引言
随着互联网技术的发展， 人们对信息网络的依赖越来
据用户信息得到， 私钥由可信第三方-私钥生成中心 （PKG ， Private Key Genenator） 生 成 的 。 自 2001 年 Boneh 和 Franklin［3］利用双线性对实现了身份基密码体制后， 人们 相继提出了许多实用的身份基加密体制和密钥协商协议以 及改进协议［5~14］。 本文研究了身份基和双线性映射的密钥协商问题， 首 先回顾了协议需要的背景知识， 在此基础上提出了一个新 的身份基认证密钥协商协议， 最后给出协议性能分析。
(
→ {0, 1} 。
* 系统设置： KGC 随 机 选 择 s1 ，s 2 ∈ Z q 作 为 系 统 主 密
k
很显然协议是正确的。因此，A 和 B 所分别计算获得 的会话密钥是相等的， 即
sk AB = sk BA = H 2 ( A B T A T B W AW B K AB )
总第 270 期 2012 年第 4 期
计算机与数字工程 Computer & Digital Engineering
Vol. 40 No. 4 60 第 40 卷
身份基认证密钥协商协议
史国川 夏 良 李江卫
合肥
路守克
230031）
（解放军陆军军官学院 摘 要
安全有效地传递信息是计算机安全通信研究领域的主要目标。为了使得用户间能在公开网络进行安全通信， 文中提出了一种
-1
3
新身份基认证密钥协商协议
本节我们提出一个新的身份基认证密钥协商协议 （见
表 1） ， 使得通信参与方能够在实现相互认证的同时共享一 个会话密钥。假设用户 A 和 B 要进行安全通信， 首先要经 过 PKG 系统初始化， 分别拥有公私钥对 ( Q i, S i ) ， 且知道对 方的公钥。用户 A 和 B 协商会话密钥执行的步骤如下：
［1］
2
2.1
背景知识
双线性对 G 1 和 G 2 分别是阶为 q 的椭圆曲线上 设 q 为大素数，
概 念 同 时 给 出 了 第 一 个 密 钥 协 商 协 议 -Diffie-Hellman 协 议。身份基 （或 基 于 身 份 的 ， ID-based） 密码系统最早由 Shamir［2］在 1984 年 提 出 。 2001 年 Boneh 和 Franklin［3］利 用 双线性对 （Weil Pairing） 实现了身份基的密码体制。随后， 相继出现了许多利用 Weil Pairing 提出的基于公钥证书的 密钥协商协议。 2002 年， Smart［4］提出了第一个身份基的密 钥协商协议。在基于身份的公钥密码系统中， 用户的公钥 就是用户的信息 （电子邮件地址、 姓名、 电话号码等） 或是根
新的两轮双方认证密钥协商协议，通过分析新协议的安全属性指出了构造双方认证密钥协商的一些原则。该协议实现了通信双方的相互 身份认证功能， 使通信双方能确认对方的身份，同时还提供了密钥协商的功能。 关键词 身份基；认证密钥协商；安全属性；双线性对 TP393 中图分类号
A New Identity-based Authenticated Key Agreement Protocol
* T A = aQ B ， WA = 1） 用 户 A 随 机 选 择 a ∈ Z q ， 计算，
( a, b ) ， 即使他知道某次的会话密钥， 他也不能求出共享的
密钥， 因此新协议满足已知密钥安全性。 2） 前向安全性 （Forward secrecy FS） ： 如果协议参与 者一方长期私钥泄露了， 攻击者不能求出旧的会话密钥， 则 称协议提供了部分前向保密性。如果所有参与方长期私钥 泄露， 也不会导致旧的会话密钥泄露， 则称该协议提供了完 美前向安全。 如果用户的长期私钥泄露给攻击者， 攻击者并不知道 协 议wenku.baidu.com参 与 者 每 次 变 化 的 临 时 私 钥 ( a, b ) 和 系 统 主 密 钥
4.2
安全性分析 一个安全的密钥协商协议应该满足文献 ［16］ 所定义的
安全属性。本文的新方案具有无密钥控制、 已知密钥安全、 抗扮演攻击、 抗密钥泄漏扮演攻击、 隐式密钥认证等特性， 下面具体叙述和证明。 1） 已知密钥安全性 （Known-key secrecy K-KS） ： 协 议参与者每次协商的会话密钥是不同的， 攻击者在得到一 次会话密钥不能根据已获得的会话密钥求出其他任何会话 密钥。 攻击者不知道协议参与者每次变化的临时私钥
KGC ， KGC 首先计算 I i = H 1 ( ID i ) ， 然后计算用户 ID i 公私 钥 对 ( Q i, S i ) ， 公 钥 Q i = I i P KGC + P ′KGC = ( I i s1 + s 2 ) p ， 私钥 并把私钥安全的发给用户。 S i = ( I i s1 + s 2 ) p ，
钥， 且 P KGC = s1 p ，P ′KGC = s 2 p ， 并把 s1 和 s 2 作为系统主密 钥保存， 并公开系统参数 {G 1, G 2, q, p, P KGC, P ′KGC, H 1, H 2} 。
* 私钥抽取： 用 户 将 身 份 标 示 信 息 ID i ∈ Z q 提 交 给
solve the communication security problems which in a public network. An ID- based mutual authentication and key agreement scheme is proposed in this paper，in which some characteristics of bilinear map are used. The authors propose a new 2 rounds two party authenticated key agreement protocol and point out some principles to construct a secure protocol by analyzing the security properties of the protocol. The functions implemented by this protocolinclude authentication，guaranteed the ingegrity and agree the session key fairly between two communications. Key Words identity-based，authenticated key agreement，security attributes，bilinear pairing TP393 Class Number
越强， 电子商务、 电子政务、 企业信息化等与人们生活息息 相关的信息安全问题已经成为全社会关注的焦点， 网络通 信中的安全问题更加引起人们的重视。认证密钥协商协议 为开放的网络环境下安全通信提供了重要保证， 允许通信 双方 （多方） 在身份认证的基础上通过各自提供的信息共同 协商一个安全的共享会话密钥， 为随后的保密通信建立一 个秘密的通道， 使得通信参与方安全的传送信息， 以此来保 证数据的机密性、 完整性。 1976 年 ， Diffie 和 Hellman 首 次 提 出 了 公 钥 密 码 学 的
x z y
是否成立。 和 Z ， 判断 Z=e ̂( g a , g ′) 是
q+1
判 定 性 q-ABDHE 问 题 ： 给定 q+3 元素的向量
q+3 * Z ∈ G2 。 a ∈ Zq 否成立。其中 g ，g ′ 是群 G 1 的生成元， ，
B T A T B W AW B K BA) ， 其中哈希函数
SHI Guochuan XIA Liang LI Jiangwei LU Shouke 230031） （Army Officer Academy of PLA ， Hefei Abstract
Secure and efficient message delivery is one of the major aims of computer and communication security research. Aiming to
̂ ： G 1 × G 1 → G 2 是定义在群 G 1 和 G 2 上的双线 线性映射 e * 性 对 。 给 定 输 入 ( p, xp, yp, zp, W ) ， 其 中 x, y, z ∈ Z q ， W ∈ G 2 。判断 W = e ̂ ( p, p ) ( g ′, g ′a , g, g a, ⋯ g a ) ∈ G 1
̂： 的加法循环群和有限域上乘法循环群。双线性映射 e G 1 × G 1 → G 2 是定义在群 G 1 和 G 2 上的双线性对。它必须
满足以下性质：
* ̂ ( ap, bq ) 1） 双 线 性 ： 对 任 意 p, q ∈ G 1 ，a, b ∈ Z q ， 有e
̂ ( p, q ) 。 =e ̂ ( p, p ) ≠ 1 。 e 2） 非退化性：
2012 年第 4 期
̂ ( p, q ) 。 能够计算 e
计算机与数字工程
̂(W B, S A p) ； aQ A, Q B ) e
61
2.2
困难性问题假设 判定性双线性问题： 给定 G 1 和 G 2 均为阶 q 循环群， 双
̂(T A + bQ B, 4） 同样， 用户 B 计算共享秘密值：K BA = e ̂(W A, S B p) ； Q A) e