一種無可信第三方的認證協議研究

王杰 司志剛

解放軍信息工程大學電子技術學院 河南 450004

0 引言

身份認證是一種重要的安全技術，也是保證系統安全的第一道防線。用戶在使用系統之前，要求通過身份認證系統識別身份，才能得到授權訪問系統資源。在分布式系統中，特別是在移動臺與網絡之間的無線接口是開放的情況下，使得攻擊者有竊聽和冒充合法用戶的機會，所以對使用者的身份認證是非常重要且必不可少的。

1984年，Shamir首次提出了“基于身份的密碼方案”，該方案僅僅支持數字簽名，而不支持消息加密。Tsujii提出了一種新的基于身份的密碼方案，該方案是基于離散對數問題的困難性，它能抵抗共謀問題，但需要高次冪運算。Okamoto和Tanaka擴展了Shamir的思想，他們結合數字簽名和密鑰分發，提出了一種簡單的基于身份的密碼方案，該方案不僅支持消息加密，而且能抵抗共謀問題。但是，該方案存在一些缺陷，用戶認證可能被偽造，用戶秘密信息可能暴露出去，并且需要較高次的冪運算。

我們提出一個新的認證協議，密鑰管理中心(key management center,KMC)只是在建立安全網絡系統時或者有新成員要求注冊加入時才需要，而在其他任何時候它的存在都沒有作用，也就是說我們不需要可信的第三方(密鑰管理中心)。我們的協議不僅減少了指數運算的次數，而且解決了Okamoto和Tanaka方案中出現的安全問題。

1 無可信第三方的安全認證協議

本文的安全認證協議用到了基于 ID的認證方案和對稱密碼技術。基于 ID的認證方案用于系統建立和認證，而對稱密碼用于后來的消息認證以獲取更好的通信性能。新的認證協議有兩個階段：初始化階段在KMC 建立系統時完成，而認證階段在通信雙方完成雙向認證和交換共享會話密鑰時結束。

1.1 初始化階段

密鑰管理中心既不負責雙向認證也不負責產生共享密鑰，它的角色只是簡單地為新注冊用戶產生公開的和秘密的信息。當建立安全網絡系統時，KMC需要執行以下步驟：

(1) 選擇兩個大素數p和q，并且使npq=?。

(2) 通過以下計算，獲取密鑰管理中心的秘密信息d，這里d只有密鑰管理中心知道：

(3) 找到一個整數g，g是有限域 GF(p)和 GF(q)的生成元，這里g是密鑰管理中心的公開信息。

(4) 用IDi表示要求注冊到這個安全網絡中的用戶i的身份，它秘密存儲于用戶身份卡(IC卡、SIM卡、UIM卡、TF卡等)中，iID由姓名、部門、地址等組成。

(5) 選擇一個單向函數f計算 i的擴展身份(EIDi):EIDi≡f(IDi)(mod2N)

這里N表示EID的二進制長度。

(6) 計算EIDi后，生成用戶的秘密信息Si：

從上述可知，下等式成立：

(7) 通過一個安全通道把(n,g,f(x),Si)返回給用戶i，用戶i必須使Si保密，并且存儲(n,g,f(x))。

一旦安全網絡系統建立起來，除非有新用戶加入，將不再需要KMC。KMC必須秘密地存儲，以便以后使用。然而，整數p和q不再使用并且要秘密地銷毀。當一個新用戶要求加入時，他把自己的ID發送到中心。收到用戶ID之后，中心重復步驟(5)至(7)。

1.2 認證階段

新的認證協議只需要兩條消息就可完成雙向認證。從用戶i收到第一條消息之后，用戶j驗證消息的內容。如果驗證成功，他就相信這條消息是用戶i發送的。這樣用戶j完成了對用戶i的認證。同樣，用戶i通過第二條消息完成對用戶j的認證。一次會話的雙向認證和密鑰交換的執行步驟如下：

(1) 如果用戶i希望與用戶j通信，產生一個隨機數ri，并且計算下面兩個整數：這里timei是他計算出兩個整數的時間。

(2) 用戶i把(Xi,Yi,IDi,timei)發送給用戶j。

(3) 收到消息之后，用戶j把timei與當前本地時間相比較，如果timei和當前本地時間的差異比有效周期短，收到的消息被認為是有效的。根據不同的網絡環境，有效周期的長度可以調整(在時鐘不同步的網絡中，為了避免有效的消息被拒絕，timei與當前本地時間對比的步驟應當跳過)。然后用戶j計算EIDi=f(IDi)，并檢查下面的等式是否成立：

(4) 如果等式成立，用戶j認為消息是用戶i發送的，并且保存Xi，以便以后產生共享秘鑰。接下來，用戶j產生一個隨機數rj，并計算下面兩個整數：

(5) 用戶j把(Xj,Yj,IDj,timei)發送給用戶i。

(6) 用戶i收到消息之后，檢查timei是否與他之前發送的一樣(在這里，timei可以看作用戶i的一個因數，它只用了一次)。如果一樣，他計算EIDj=f(IDj)，并且檢查下面等式是否成立：

(7) 如果成立，用戶i計算會話密鑰Kij如下：

(8) 同樣地，用戶j計算會話密鑰Kji如下：

(9) 用戶i和j用Kij=Kji作為這次會話的共享密鑰來加密通信信息。

2 計算量

在Okamoto和Tanaka的方案中，為了完成雙向認證和交換共享密鑰，一次會話每一方需要五次冪運算(一次用于Xi，一次用于 Yi，兩次用于等式檢查，一次用于共享密鑰計算)。

我們的協議把每次通信會話的冪運算次數從五次減少到兩次。在認證階段，我們可以首先計算出gri，然后按下面計算出Xi和 Yi：

在這兩個方程中，只需乘法運算，沒有冪運算。同樣，驗證發送者的身份不需要冪運算就可以完成。所以，我們的協議只需要兩次冪運算(一次用于gri，一次用于共享密鑰(Xi)ri)。

3 安全分析

為了保證通信網絡的保密性和安全性，我們的協議提供消息加密和通信雙向認證。它不存在Tsujii方案中的共謀問題，因為它的安全性依賴于計算離散對數問題的難度。如果一個冒充者想假裝用戶i和其他人通信，他必須找到兩個整數x和y滿足下面的等式：

在這個等式中使用小的公共指數沒有減少破解(x,y)的難度。盡管冒充者能得到一個整數對(y3,x2)使這個等式成立，但是整數對(x,y)是很難得到的，因為從(y3,x2)計算(x,y)是一個離散對數難題。

我們的協議也可以保護用戶免于Hastad攻擊。Hastad在1985年提出一種公共主干網絡中使用RSA低次冪運算的攻擊方法。為說明這種攻擊方法，舉例如下：假設消息m被廣播給三個終端，這里的三個公開冪指數是： e1=e2=e3=3，模分別是 n1，n2和n3，加密的消息分別是：m3mod n1，m3mod n2，m3mod n3。根據中國剩余定理，我們可以得到m3mod n1n2n3。然而，m3＜n1n2n3，因為m＜n1n2n3。因此，m3不會因為減小模 n1n2n3而受到影響，消息可以通過計算m3的立方根而獲得。這種攻擊在我們的協議中就不能成功，因為所有的通信方使用相同的模數n。

盡管我們使用時間表檢驗消息的合法性，即使假設不存在同步時鐘，重放攻擊在對我們的協議也不會成功。考慮以下情況：入侵者竊聽了一次消息會話，比如，用戶i和用戶j之間的消息。入侵者可能重放在以前的會話中捕獲的舊的認證消息，收到舊的消息之后，用戶j檢驗timei的合法性。如果系統時鐘是同步的，通過檢驗timei知道這條消息是不可用的，所以丟棄這條認證消息。如果系統時鐘沒有同步，重新考慮這條消息，然后選擇一個新的隨機數rj'，回復入侵者以下消息：

然而這次會話的共享密鑰是K'=g3?ri?rj'，而不是舊的共享密鑰K=g3?ri?rj。不知道隨機數ri，入侵者不可能計算出新的共享密鑰K'。因為舊的消息都是用舊的共享密鑰K加密的，所以入侵者不能成功重放他竊聽到的舊消息。用戶 j可能試圖用新的共享密鑰K'解密重放的舊消息，但是解密失敗。因此，關閉連接，從而攻擊失敗。

我們的協議也沒有Okamoto方案中出現的兩個弱點：

(1) 我們的協議使用兩個小素數3和2代替Okamoto方案中的兩個整數e和c，因為e是c的一個因數的可能性不再存在，所以在我們的協議中的用戶秘密信息不可能透露。

(2) 因為使用單向函數f(x)，在我們的協議中偽造認證消息將會失敗。如果一個惡意用戶想給用戶j發送一個偽造的消息，隨機選擇一個數對(X',Y')。盡管一個偽造的EID '可能通過(15)式計算出來，但不可能從EID '中獲取正確的ID'，因為單向函數f(x)求逆的過程非常困難。如果隨機選擇一個身份信息ID ''，和(X',Y')、寫消息的時間以及偽造的消息一起發送，用戶j收到信息包后，將會從f(ID'')得到EID ''，而不是EID '。從而，(7)式的驗證就會失敗，用戶j就會拒絕冒充的請求。所以，我們的協議能使用戶在通信過程中抵抗冒充請求攻擊。

4 結論

本文提出了一種基于身份的認證協議，在協議中 KMC和存儲公共信息的文檔都不是必需的。一旦安全網絡系統建立起來，認證和密鑰交換可由有關雙方獨自處理，而不需要KMC。本協議解決了 Okamoto方案中出現的問題。即使在系統時鐘不同步的情況下，它也能抵抗重放攻擊。與Okamoto方案需要五次冪運算相比，我們的協議完成雙向認證和密鑰交換僅僅需要兩次冪運算，所以大大降低了通信設備的負載。本協議在無線窄帶網絡環境下移動終端用戶身份的認證中具有一定的應用價值。

[1]A.Shamir, “Identity-based crypto systems and signature schemes,” in Proc. Crypto-84, Santa Barbara, CA.1984.

[2]S. Tsujii, T. Itho, and K. Kurosawa.ID-based cryptosystem using discrete logarithm problem.Electron. Lett., vol. 23.1987.

[3]E. Okamoto and K. Tanaka.Identity-based information security management system for personal computer networks.IEEE J. Select. Areas Commun., vol. 7.1989.

[4]王玲玲,侯整風.無可信中心的可認證秘密共享協議.計算機應用.2007.

[5]J. Hastad.On using RSA with low exponent in a public key network. in Lecture Notes in Computer Science: Advances in Cryptology-CRYPTO’85 Proc.