基于身份密鑰交換的安全模型

劉文菊，張俊偉，馬建峰，楊超，李興華

（1. 天津工業大學 計算機科學與軟件學院，天津 300160；2. 西安電子科技大學 計算機網絡與信息安全教育部重點實驗室，陜西 西安 710071）

1 引言

1984年，Shamir首次提出了基于身份（ID-based）的非對稱密碼系統的概念[1]。與傳統的非對稱密碼系統不同，ID-based密碼系統簡化了密鑰管理的過程：用戶的公鑰可以由用戶的身份信息產生，而私鑰由一個可信的密鑰生成中心產生。隨著ID-based密碼學的發展，一些基于身份的密鑰交換(ID-based KE)協議被提出[2,3]。在 AKE 安全模型[4]下，Chen和 Kudla研究了可證安全的 ID-based KE[4]。在Canetti-Krawczyk模型(CK 模型)下，ID-based KE的可證安全模型也被提出[5,6]。但AKE安全模型和CK模型[7]僅僅保證ID-based KE協議在獨立運行情況下的安全性，而不能保證協議組合情況下的安全性。

通用可組合安全框架(UC, universally composable framework)[8]可以保證協議的組合安全性，即在UC框架下證明安全的協議，在該協議與其他協議并發運行的情況下，或者該協議作為一個系統的組件時，仍能保證協議的安全性。理想函數是UC安全框架中十分重要的部分，它扮演著一個不可攻陷的可信角色，能夠完成協議所執行的特定功能。目前已經定義了多個理想函數，如認證消息傳輸、安全消息傳輸、密鑰交換、公鑰加密、簽名、承諾、不經意傳輸[9]等。

在UC框架下設計協議的困難和核心內容就在于形式化和抽象一個完美的并且可以安全實現的理想函數。Nishimaki等在 UC框架中提出了ID-based Encryption和ID-based Signature的理想函數[10,11]。但在UC框架中針對ID-based KE還沒有形式化的定義。

本文在UC框架下提出了基于身份密鑰交換的安全模型。針對ID-based KE的安全需求，在攻擊模型添加了攻陷密鑰生成中心的能力，并設計了ID-based KE的理想函數。在新的攻擊模型和理想函數下，提出的模型既保證了ID-based KE的通用可組合安全性，又保證了一個重要安全屬性——密鑰生成中心前向保密性(KGC-FS, key generation center forward secrecy)。針對理想函數的實現問題，證明了帶有密鑰確認屬性(key confirmation)的 Chen-Kudla協議能安全實現ID-based KE的理想函數。

本文剩余部分組織如下：第2節介紹了UC框架；第3節在UC框架下給出了滿足ID-based KE安全需求的理想函數；第4節證明了帶有密鑰確認屬性的Chen-Kudla協議能安全實現ID-based KE的理想函數；第5節是結束語。

2 UC框架

UC框架如圖1所示。首先，UC框架定義了現實環境。現實環境描述協議的真實運行情況，其中所有參與方在真實敵手攻擊A存在的環境下運行真實協議。其次，UC框架定義了理想環境用來描述密碼協議的理想運行。在理想環境下，存在虛擬參與方，理想敵手S和一個理想函數F。參與方之間以及敵手S與參與方不直接通信；所有參與方和敵手S均與理想函數交互。理想函數本質上是一個不可攻陷的可信角色，用來完成協議所需的理想運行和功能。在UC的安全框架中，環境Z來模擬協議運行的整個外部環境（包括其他并行的協議、攻擊者等），Z可以與所有的參與者以及攻擊者 A和 S直接通信，Z不允許直接訪問理想函數F。

圖1 UC 框架

1) UC仿真

協議π仿真理想函數F當且僅當對于任意現實敵手 A，存在理想敵手 S，使得任意環境 Z，至多以可忽略的概率來區分：存在真實敵手A及協議π的現實環境和存在理想敵手S及理想函數F的理想環境。如果協議π能UC仿真理想函數F，就稱協議π在UC框架下安全實現了理想函數F，也稱π是UC安全的。

2) UC仿真的傳遞性

如果協議π1能UC仿真協議 π2并且協議π2能UC仿真協議π3，那么π1可以UC仿真π3。

3) 組合定理[8]

如果協議ρ實現理想函數F，且π 是F-混合模型[8]下的協議，那么協議 πρ/F（用協議 ρ 替換協 π中的理想函數F所得到的組合協議）UC仿真F-混合模型下的協議π。特別地，如果協議π在F-混合模型下實現理想函數 G，那么協議 πρ/F也實現了理想函數G。

3 ID-based KE的理想函數

3.1 攻陷KGC

在UC框架中，給攻擊者增加了攻陷KGC的能力(記為CorruptKGC)。當攻擊者發起CorruptKGC攻擊后，攻擊者可以獲得 KGC的內部狀態，即系統主密鑰，這就意味著所有參與方的長期私鑰泄漏。同時，KGC被標記為 corrupted；所有參與者被記為compromised（compromised表明該參與方的長期密鑰已經泄漏）。需要特別指出的是：由于KGC的特殊性，這里假定 KGC不能被已有的 Corrupt攻陷，只能被CorruptKGC攻陷。

3.2 理想函數 F iKdKGEC

理想函數KGCidKEF 如下。

Setup

當從KGC收到 (Setup, sid, KGC)：

· 將(Setup, sid, KGC)發送給 S；

· 當從S收到(Set, sid, PKs), 給KGC輸出(Set,sid, PKs)；

· 記錄(KGC, PKs)并標記為 fresh。

Extract

當從 Pi收到(Extract, sid, IDi, PKs’)：

· 如果記錄(KGC, PKs’)存在, IDi是 Pi的身份標識, 那么在ID-Reg中記錄(IDi, Pi), 標示為fresh.否則, 不記錄；

· 將(Extract, sid, IDi, PKs’)發送給 S, 隨后從 S收到(Received, sid)；

· 將(Extracted, sid, IDi, PKs’)發送給 Pi和KGC(如果 PKs’沒有被記錄,或者 IDi不是 Pi的身份標識, 不發送這個消息)。

Key Exchange

當從Pi收到 (NewSession, sid, Pi, Pj, role, IDi,PKs’)：

· 將(NewSession, sid, Pi, Pj, role, IDi, PKs’)發送給S；

· 如果這是第一個 NewSession 質詢并且存在記錄(KGC, PKs’)和(IDi, Pi), 或者這是第二個NewSession 質詢且(Pj, Pi, IDj)已被記錄, 存在記錄(KGC, PKs’)和(IDi, Pi), 那么記錄(Pi, Pj, IDi)。

當從 S收到 (NewKey, sid, Pi, IDi, sk), 其中|sk|=k, 如果存在記錄(Pi, Pj, IDi)且這是對Pi的第一次NewKey質詢, 那么∶

· 如果 Pi或 Pj被攻陷,輸出(sid, sk)給 Pi；

· 否則, 如果存在記錄(Pj, Pi, IDj), 且已經給Pj發送過密鑰 sk’,輸出(sid, sk’)給 Pi；

· 否則, 選取一個新的隨機數sk’（長度為k）作為密鑰, 發送(sid, sk’)給 Pi。

當從S收到 (Corrupt, sid, Pi)：

如果Pi不是KGC且Pi還沒被攻陷, 那么：

· 將 Pi標記為 corrupted；

· 如果記錄(IDi, Pi)未泄露, 標示 Pi為compromised。

當收到來自敵手 S的消息(CorruptKGC, sid,KGC)∶

如果KGC未被攻陷, 那么：

· 將KGC標示為corrupted；

· 如果存在記錄(KGC, PKs’), 那么 ID-Reg 中的所有未泄露記錄標示為compromised。

其中Setup：當KGC發送系統建立的請求時，理想函數將這個請求發送給敵手S。S決定系統的公共參數并且將這些參數發送給KGC。

Extract：當參與方發出注冊請求時，理想函數在ID-Reg中記錄這個ID并將這個請求發送給敵手S。當收到S的響應時，將結果發送給參與方和KGC。

Key Exchange：在會話密鑰產生前，如果任意一方被攻陷，敵人S可以決定會話密鑰的值。否則，FiKdKGEC生成一個隨機數作為會話密鑰。

3.3 KGC-FS

KGC-FS：即使KGC被攻陷（這意味著系統主密鑰泄露，進而導致系統中所有參與方的長期私鑰泄露），任何已經建立的密鑰仍是安全的。KGC-FS屬性也保證了另一個重要屬性——無密鑰托管（without key escrow）。

KGC-FS對于ID-based KE是一個非常重要的屬性。一方面，如果 ID-based KE協議不能保證KGC-FS，那么KGC就可以獲得系統中任意兩方協商的會話密鑰，進而得到雙方交換的消息內容。如果通信雙方希望保證他們通信的機密性，甚至也不希望KGC獲得他們之間的通信內容，那么ID-based KE協議就必須滿足KGC-FS，即無密鑰托管。另一方面，如果不能保證KGC-FS，那么，當KGC被攻陷時，敵人可以獲得所有系統中已經建立的會話密鑰，進而得到系統中所有的已經通信的消息內容。

理想函數 FiKdKGEC滿足KGC-FS。原因如下：FiKdKGEC會對CorruptKGC做出相應的響應。但是，在僅僅發生CorruptKGC的情況下，產生的會話密鑰仍然是隨機的，即敵手不能決定會話密鑰的值，不能威脅會話密鑰的安全。

4 實現ID-based KE的理想函數

本節證明帶有密鑰確認屬性的 Chen-Kudla協議（記為πidKE）能安全實現理想函數 FiKdKGEC。

需要說明的是，在Setup和Extract階段，協議運行在一個安全的信道下。這樣可以確保系統主密鑰和參與方長期私鑰在密鑰交換前的安全性。下面給出了協議πidKE的詳細描述。

Setup

當KGC輸入(Setup, sid, Ps)：

· H是散列函數，f和g是偽隨機函數；

Extract

當 Pi輸入(Extract, sid, IDi, PKs’)，如果 PKs’存在且IDi是Pi身份標識：

· 令Qi=H(IDi), Pi的私鑰為秘密地發送 Si給 Pi；

· 輸出 (Extracted, sid, IDi, PKs’)。

參與方Pj的注冊過程與Pi的過程類似。

Key Exchange

發起者Pi輸入(Pi, Pj, sid, ID, initiator)，類似地,響應者輸入(Pj, Pi, sid, ID’, responder)。

· Pi隨機選擇 a∈Zq*, 發送(Pi, sid, μ, α)給 Pj，其中,

· 收到(Pi, sid, μ, α)后, Pj隨機選擇令Pj計算并刪除b，計算則其中 l為消息計數器，發送(Pj, sid,ν, β, l, σj)給 Pi；

· 收到(Pj, sid, ν, β, l, σj)后, Pi計算0)和并刪除 a, 其中，然后, Pi用 κa’驗證 σj的正確性，如果正確, Pi計算l’為消息計數器，發送(Pi, sid, l’, σi)給 Pj, 輸出(sid, Pi, Pj, κd’)；

· 收到(Pi, sid, l’, σi)后, Pj用 κa驗證 σi的正確性，如果正確, 輸出(sid, Pj, Pi, κd)。

定理1如果BDH假設和CDH假設成立，f和 g是偽隨機函數，則 πidKE安全實現理想函數FiKdKGEC。

證明令現實敵手為 A。構造理想敵手 S，對于任何環境Z僅能以一個可忽略的概率區分是：A與πidKE交互的真實環境(標記為REAL)和S與 FiKdKGEC交互的理想環境(標記為IDEAL)。

1) 構造S

首先構造內部狀態仿真器I (如果g是偽隨機函數，πidKE具有應答屬性)。輸入(κd, s, Pi, Pj)，I輸出其中 r 是隨機數且|r|=|κa|。有關應答屬性和內部狀態仿真器的詳細內容請參閱文獻[12]。

敵手S運行如下。

Setup

當S從 FiKdKGEC收到(Setup, sid, KGC)且KGC未被攻陷，S為A仿真πidKE并以(Setup, sid, KGC)為輸入。

πidKE輸出(Set, sid, PKs)后，當從 FiKdKGEC收到(Setup, sid, KGC)時，S將(Set, sid, PKs)發給 FiKdKGEC。

Extract

當S從 FiKdKG

EC收到(Extract, sid, IDi, PKs’)且 Pi未被攻陷，S將(Extract, sid, IDi, PKs’)作為輸入運行πidKE。

πidKE輸出(Extracted, sid, IDi, PKs’)后，當 S 從FiKdKGEC收到(Extract, sid, IDi, PKs’)時，發送(Received,sid)給 FiKdKGEC。

Key Exchange

當S從 FiKdKG

EC收到(NewSession, sid, Pi, Pj, role,IDi, PKs’)，即 Pi請求與 Pj運行密鑰交換協議(會話標識為sid)，S以(sid, Pi, Pj, role)為輸入運行πidKE。

當 A 發送 (Pi, sid, μ, α)給 Pj，S 仿真從 Pi到 Pj的消息(Pi, sid, μ, α)。同樣，當 A 發送 (Pj, sid, ν, β, l,σj)給 Pi，σj為 MAC 值，S 仿真從 Pj到 Pi的消息(Pj,sid, ν, β, l, σj)。當 A 發送 (Pi, sid, l’, σi)給 Pj，σj為MAC 值，S 仿真從 Pi到 Pj的消息(Pi, sid, l’, σi)。

當 πidKE輸出(sid, Pi, Pj, κ)時，S 發送(NewKey,sid, Pi, κ)給 FiKdKGEC。

CorruptKGC

當 A攻陷 KGC時，S發送(CorruptKGC, sid,KGC)給 FiKdKGEC。

Corrupt

當A攻陷Pi時，S發送(Corrupt, sid, Pi)給 FiKdKG

EC。在這種情況下，如果 FiKdKGEC已經發送密鑰給Pi，那么S獲得密鑰 κ。另外，如果在發生攻陷時，Pi和 Pj都沒有輸出密鑰，那么，S將πidKE中Pi的內部狀態發送給A。如果在發生攻陷的時刻，Pi或Pj已經輸出密鑰，S應用內部狀態仿真器I得到仿真的內部狀態τi和τj，并且將τi發送給A作為Pi的內部狀態(如果Pj被攻陷，那么A將得到τj)。

2) IDEAL和REAL的不可區分性

根據仿真器S，證明不可區分性分為以下3種情況：CORRUPT事件表示Pi或Pj至少有一個被攻陷（事件1）；NONE事件表示CORRUPT和CKGC均未發生（事件2）；CKGC表示KGC被攻陷，Pi和 Pj未被攻陷（事件 3）。然后，證明在這 3種事件下，IDEAL和REAL是不可區分的。

事件1CORRUPT

當CORRUPT事件發生時，S完美仿真了敵手A，因此，IDEAL和REAL是不可區分的。

事件2NONE

首先定義協議 π0、π1和 π2。π0：π0隨機選取 γ1(或γ1’)和 γ2(或 γ2’)，然后 π0隨機產生 κd和 κa，以及 MAC值。π1：與 π0相比，修改了計算 γ1(或 γ1’)和 γ2(或 γ2’)的方法。π1計算和類似地，和π2：與 π1相比，修改了計算和的方法。π2使用偽隨機函數 f計算 κd和 κd’。類似地，π2使用 f計算 κa和 κa’。

π0隨機選取 γ1(或 γ1’)和 γ2(或 γ2’)的值，隨機產生會話密鑰和MAC值，那么π0的輸出為隨機數。因此，從環境Z的角度，IDEAL和π0是不可區分的，即 IDEAL≈π0。

引理1如果BDH假設和CDH假設成立，π1和 π0是不可區分的，即

假設存在環境 Z以不可忽略的概率區分 π1和π0。在Z的基礎上，能構造2個算法D1和D2。D1能在概率多項式時間內（PPT）以不可忽略的概率解決BDH問題，這與BDH假設相矛盾。類似地，D2可以成功解決CDH問題，這與CDH假設矛盾。

由于篇幅限制，這里簡要地給出 D1算法的核心內容來說明D1如何利用Z來解決BDH問題。

D1選擇x作為系統主密鑰，xP作為系統公鑰。

D1令 Pi的公鑰為Pj的公鑰為

D1激活 Z，運行協議 π0和 A，其中 μ=aP，ν=bP。

當Z輸出1時，D1計算

因此，如果Z能以不可忽略的概率區分π0和π1，D1也能以不可忽略的概率解決 BDH問題。這與BDH假設相矛盾。D2與D1類似，這里不做贅述。

引理2如果函數f是偽隨機函數，π2和π1是不可區分的，即

如果Z能以不可忽略的概率區分 π2和 π1，則能構造一個區分器區分偽隨機函數f生成的數和隨機數。這與函數f是偽隨機函數相矛盾。

引理3如果函數g是偽隨機函數，REAL和π2是不可區分的，即

證明過程與引理2類似。

根據 UC-仿真的傳遞性，如果 BDH假設和CDH假設成立，f和 g是偽隨機函數，那么。即事件NONE發生時，Z僅能以可忽略的概率區分REAL和IDEAL。

事件3CKGC

事件CKGC發生時，Z只能以可忽略的概率區分REAL 和IDEAL。這與發生NONE事件的證明類似。唯一的區別在于π1≈π0的證明。在這里，π1和 π0的不可區分性僅僅依靠 CDH假設，而不是BDH 假設，因為 Z 可以計算

根據以上3種情況的分析，定理2得證。 □

5 結束語

本文在UC框架下提出了基于身份密鑰交換的可組合安全模型。在攻擊模型中添加了CorruptKGC，設計了ID-based KE理想函數KGCidKEF 。提出的模型滿足了ID-based KE的通用可組合安全性和KGC-FS。同時，證明了帶有密鑰確認性質的Chen-Kudla協議可以安全實現理想函數KGCidKEF 。

[1] SHAMIR A. Identity-based cryptosystems and signature schemes[A].Advances in Cryptology-CRYPTO’84[C]. Springer-Verlag, 1984.47-53.

[2] CHEN L, KUDLA C. Identity based authenticated key agreement protocols from pairings[A]. CSFW'03[C]. 2003.219-236.

[3] 汪小芬, 陳原, 肖國鎮. 基于身份的認證密鑰協商協議的安全分析與改進[J]. 通信學報, 2008, 29(12)∶16-21.WANG X F, CHEN Y, XIAO G Z. Analysis and improvement of an ID-based key agreement protocol[J]. Journal on Communications,2008, 29(12)∶ 16-21.

[4] BELLARE M, ROGAWAY P. Entity authentication and key distribution[A]. Advances in Cryptology-Crypto’93[C]. 1993. 232-249.

[5] LI X H, MA J F, MOON S J. Security extension for the canetti-krawczyk model in identity-based system[J]. Science in China(F series), 2005, 48(1)∶ 117-124.

[6] ZHU R W, TIAN X J, WONG D S. A suite of enhanced security models for key compromise impersonation resilience and ID-based key exchange[EB/OL]. http∶//eprint.iacr. org/2005/ 455, 2005.

[7] CANETTI R, KRAWCZYK H. Analysis of key-exchange protocols and their use for building secure channels[A]. Proc EUROCRYPT 2001[C]. Springer-Verlag, 2001. 453-474.

[8] CANETTI R. Universally composable security∶ a new paradigm for cryptographic protocols[EB/OL]. http∶//eccc.uni-trier.de/eccc-reports/2001/ TR01-016/, 2001.

[9] 李鳳華,馮濤,馬建峰. 基于 VSPH的UC不經意傳輸協議[J]. 通信學報, 2007, 28(7)∶28-34.LI F H, FENG T, MA J F. Universally composable oblivious transfer protocol based on VSPH[J]. Journal on Communications, 2007,28(7)∶28-34.

[10] NISHIMAKI R, MANABE Y, OKAMOTO T. Universally composable identity-based encryption[A]. The 2006 Symposium on Cryptography and Information Security Hiroshima[C]. Japan, 2006.17-20.

[11] NISHIMAKI R, MANABE Y, OKAMOTO T. Universally composable identity-based encryption[J]. IEICE Trans Fundamentals, 2008,(E91-A) (1)∶ 262-271.

[12] CANETTI R, KRAWCZYK H. Universally composable key exchange and secure channels[A]. Eurocrypt 02[C]. 2002. 337-351.