基于移動網絡的端到端密鑰協商協議

徐 平，張方舟，張曉宇，馬西保

（東北石油大學計算機與信息技術學院，黑龍江大慶 163318）

基于移動網絡的端到端密鑰協商協議

徐 平，張方舟，張曉宇，馬西保

（東北石油大學計算機與信息技術學院，黑龍江大慶 163318）

雖然3G網絡的安全機制擴展到核心網絡，但是并沒有實現端到端安全.基于自生成證書公鑰密碼體制，設計一種端到端密鑰協商協議，只需要一個消息交換就可以建立安全的三方會話密鑰.安全性分析結果表明：基于移動網絡的端到端密鑰協商協議能夠解決密鑰管理及第三方無舉證竊聽，與其他密鑰協商協議相比，具有較好的安全性，為端到端加密在移動通信系統中的大規模應用提供基礎.

密鑰協商協議；公共移動網絡；端到端；自生成證書；3G網絡；安全機制

DOI 10.3969／j.issn.2095－4107.2012.04.014

0 引言

隨著計算機和通信等信息技術的發展，以3G為代表的移動通信系統網絡取得廣泛應用.基于移動網絡的應用也取得成果，如移動辦公、移動政務和電子商務等，人們在享受移動網絡帶來的快速便捷生活時，也面臨重大的安全威脅問題.基于移動網絡的應用也存在與有線網絡類似的威脅問題，如信息竊聽、信息截取、信息破壞和信息篡改等.與2G網絡的安全機制相比，3G網絡提出3G網絡安全體系結構和安全措施，需要研究認證算法、密鑰協商協議、加密算法到完整性算法等，以保障移動網絡的安全.由于移動網絡具有空中接口開放性的特點，很難滿足人們對移動網絡高安全性的要求.

密鑰協商作為移動網絡信息安全的重要研究方向，是在以3G為代表的移動通信系統中兩個或者多個參與主體在一個不安全和公開的信道上進行聯合協商，從而建立一個參與主體者之間共享的會話密鑰，以實現通信主體間的安全通信.安全的密鑰協商協議是建立在復雜的高層協議基礎上.

自Diffie W等［1］在1976年提出密鑰協商概念以來，密鑰協商協議得到較為深入的研究.在Diffie－Hellman協議中，由于通信雙方沒有對身份進行認證，因此很容易受到中間人的攻擊.Al－Riyami S S等［2］提出無證書公鑰的概念以及基于數字證書的可認證三方密鑰協商協議，它既沒有密鑰托管問題，也不需要證書，但Shim K［3］認為該協議不能抵抗已知會話攻擊和密鑰泄露攻擊.筆者以無證書公鑰密鑰學［4］為基礎，根據MandttK［5］的兩方密鑰協商協議，基于移動網絡的應用層，研究基于移動網絡的端到端的密鑰協商協議，保障端到端安全；基于自生成證書公鑰密碼體制，設計一種端到端密鑰協商協議.

1 密鑰協商技術

1.1 數學基礎

1.1.1 離散對數

定義q為一個大素數，G1是階為q的加法循環群.G1中的元素R和Q滿足Q＝nR（n∈Z＊q）的整數，求n［6］.

1.1.2 橢圓曲線雙線性映射

定義q是一個大素數，G1是階為q的加法群，G2是階為q的乘法群.雙線性映射［6］e：G1×G1→G2滿足關系：

（1）雙線性.對任意的P，Q，R∈G1，滿足：e（P＋Q，R）＝e（P，R）·e（Q，R），e（P，R＋Q）＝e（P，R）·e（P，Q），所以e（nP，Q）＝e（P，nQ）＝e（P，Q）n.

（2）非退化性.對任意的P，Q∈G1，存在e（P，Q）≠1.

（3）可計算性.對任意的P，Q∈G1，存在一個有效算法計算e（P，Q）.

1.1.3 假設

（1）計算性DH問題（CDHP）［7］.定義P是G1的生成元，G1是階為q的加法循環群.a，b∈Z＊q，a，b未知，若aP，bP∈G1，則計算（ab）P是困難的.

（2）雙線性DH問題（BDHP）［7］.定義P為G1的生成元.若aP，bP，cP∈G1，其中a，b，c∈Z＊q，則計算e（P，P）abc是困難的.

1.2 安全性質

文獻［6，8］給出密鑰協商的安全性質：

（1）已知密鑰安全性.兩個用戶每次協商的會話密鑰應是獨一無二的，并且它的安全性不會受到泄漏的影響.

（2）抗密鑰泄漏偽裝攻擊.攻擊者得到某個用戶A的私鑰后，不能使攻擊者冒充為其他用戶和用戶A進行通信.

（3）完美的前向安全性.在會話密鑰協商中，通信方會話密鑰的安全性不會受到之后長期私鑰泄漏的影響.

（4）抗未知密鑰共享.當一個會話密鑰是A用戶與B用戶經共同協商生成時，其中任一用戶都不會錯誤地認為此密鑰是由另一用戶共享而來的.

（5）無密鑰控制性.當用戶參與密鑰協商生成會話密鑰時，無論是誰都不能任意設置會話密鑰的值，即便是預先設定值也不行.

（6）抗臨時密鑰泄漏攻擊.在某次密鑰協商過程中，攻擊者獲得臨時私鑰，但它無法計算出本次的會話密鑰.

1.3 公鑰密碼體制

Diffie W和Hellman M提出的公鑰密碼體制是密碼體制里重要研究成果［8］.為解決中間人攻擊和重放攻擊，提出基于身份的公鑰密碼體制IBC［7－9］（Identify－based Cryptography），基于身份的公鑰密碼體制中的公鑰部分不是由密鑰生成中心KGC產生，而是通信方的的屬性串（可以唯一確定通信方身份的標識），如家庭住址和電子郵箱等信息.通信方進行通信時，只要知道對方的屬性串就可以進行通信，弱化密鑰生成中心的功能.在基于身份的公鑰密碼體制中，KGC知道所有通信方的私鑰，KGC可以冒充某通信方與其他通信用戶進行通信，造成密鑰托管問題.

為了解決密鑰托管問題，人們在基于身份的密碼體制基礎上進行改進，提出無證書的公鑰加密體制CL－PKC［4－6，10］（Certificateless Public Key Cryptography）.這種公鑰密碼體制中通信方的私鑰并不是完全由密鑰生成中心KGC生成，而是由通信方與KGC共同生成.

基于無證書的公鑰密鑰體制會發生拒絕解密DoD（Denial of Decryption）攻擊［11］，也可以說是拒絕服務DoS（Denial of Service）攻擊，從而影響通信方之間正常的信息傳輸.基于無證書的公鑰密碼體制有對手I（AdersaryⅠ）和對手Ⅱ（AdersaryⅡ）假設［4－5］.對手Ⅰ（AdersaryⅠ）不知道KGC的主密鑰（master key），但是它可以替換所有用戶的公鑰（public key）.當用戶A與用戶B進行通信時，攻擊者替換用戶A的公鑰，造成B無法解密A傳遞過來的信息，使得用戶B無法得到正確的通信消息，造成DoD攻擊.另外，在基于無證書的公鑰密鑰體制中，還存在身份確認缺陷［11］.用戶A需要確認B的身份，他們之間才能正確進行通信，在基于無證書的公鑰體制中，由于沒有用戶的公鑰證書，而且用戶的公鑰是由用戶自己生成的，因此沒有可信的第三方對用戶的身份進行認證.如果用戶A無法對B的身份進行確認時，則無法進行正常通信.

2 基于自生成證書的端到端協議

結合無證書的公鑰體制和傳統的公鑰密碼體制的的特點，人們提出基于自生成證書的公鑰密碼體制［11－13］.自生成證書的公鑰密碼系統既保留無證的書公鑰密碼體制的優點，又具有傳統的公鑰密碼體制證書的特性，能夠克服拒絕解密DoD（Denial of Decryption）攻擊，增強對通信方的身份確認.

2.1 密碼體制

傳統的公鑰密碼體制中的證書是由第三方認證機構CA（Certificate Authority）管理的，由于傳統公鑰密碼體制證書的實施過于復雜，應用推廣受到限制.人們又提出基于身份的密碼體制（IBC）［7－9］和無證書的公鑰密碼體制（CL－PKC）［4，6，10］.

自生成證書公鑰密碼體制借鑒無證書公鑰密碼體制的特點，通信方與密鑰生成中心KGC共同生成用戶的私鑰；同時借鑒傳統公鑰密碼體制的特點，在生成用戶公鑰時，還要生成公鑰證書.對傳統的公鑰體制的證書管理進行改進，用戶將自己的公鑰證書儲存在可信第三方，并對自己生成的證書進行維護.密鑰生成中心KGC與用戶共同協商，生成用戶自己的私鑰，KGC不能知道用戶的秘密參數，所以KGC并不知道用戶真正的私鑰.這種證書管理的方法克服了傳統的公鑰密碼體制中證書由認證機構集中管理的弱點.

自生成證書公鑰體制的特點［13］：

（1）自生成證書只有用戶本人才知道他的私鑰，其他人不可能得到此私鑰的任何信息；

（2）自生成證書的過程需要密鑰生成中心KGC的協助，使用戶證書的公信力得到保障；

（3）為避免在公鑰密碼體制中傳統集中式管理所帶來的弊端，用戶可以管理自己的證書；

（4）自生成證書公鑰體制適用于任意基于離散對數的公鑰加密及數字簽名研究.

2.2 公鑰系統

自生成證書公鑰體制系統［14－19］由4個模塊組成：

（1）生成用戶部分私鑰模塊.用戶和KGC（密鑰生成中心）進行交互，參與生成用戶的部分私鑰.

（2）生成／更新用戶最終公鑰私鑰模塊.用戶利用部分私鑰更新完整的公私鑰對或生成相應的公鑰證書.

（3）驗證用戶證書模塊.通過系統參數和用戶公鑰證書驗證用戶公鑰證書的正確性.

（4）生成系統參數模塊.建立系統所需要的系統參數.

自生成證書公鑰體制借鑒無證書的公鑰密碼體制的特點生成系統的參數；用戶在生成公鑰時，由用戶生成公鑰證書.自生成證書公鑰系統的初始化實現步驟：

（1）系統參數初始化.設G1是橢圓曲線上階為q的循環加法群，G2是階為q的循環乘法群，P為群G1的生成元，定義2個單向哈希函數H1：｛0，1｝＊→G1、H2：｛0，1｝n×G2→Z＊q和一個雙線性映射e：G1×G1→G2，密鑰生成中心KGC隨機選擇Smaster∈Z＊q作為該系統的主密鑰，求解系統公鑰Psp＝SmasterP，系統公開參數Sparams＝｛G1，G2，H1，H2，e，q，P，Psp｝.

（2）部分私鑰提取.KGC（用戶密鑰生成中心）獲得A用戶提供的唯一身份信息IEA，對它進行認證后輸入到系統，同時輸入主密鑰Smaster以及參數Sparams，求得A用戶的部分密鑰EA和QA，并把它們經安全信道分別發送給A用戶.其中，QA＝H1（IEA），DA＝SmasterQA，EA的真實性可以通過等式e（EA，P）＝e（QA，Psp）的驗證實現.

（3）秘密值的選取.由A用戶完成秘密值的選取，xA∈G1即為長期秘密值.

（4）私鑰生成.A用戶將秘密值xA、部分密鑰EA以及參數Sparams作為輸入，得到輸出SA作為私鑰，其中，SA＝xASmasterQA＝xAEA.

（5）公鑰生成.將A用戶的秘密值xA以及系統參數Sparams作為輸入，得到輸出PA作為公鑰.其中PA＝＜XA，YA＞，XA＝xAP，YA＝xAPsp＝xASparamsP.生成用戶公鑰后，還要生成相應的公鑰證書CertA，并對生成的公鑰證書進行驗證.

自生成證書公鑰系統由用戶生成公鑰證書并自行管理，同時保留無證書公鑰體制的優點（無密鑰托管問題），摒棄傳統公鑰體制復雜的證書管理.

2.3 密鑰協商

有關無證書公鑰密碼體制密鑰協商研究較多，有基于雙DH的無證書公鑰體制的密鑰協商［4］，也有數字簽名的無證書公鑰體制密鑰協商過程［5］，還有對現有協議的安全改進［6，11］.在無證書公鑰密碼體制的密鑰協商的基礎上，結合自生成證書公鑰體制的特點，在無證書密鑰協商中附加消息認證碼MAC（Message Authentication Code）；結合證書的特點，提出一種基于自生成證書的可認證端到端密鑰協商.

根據2.2，設有2個不同的密鑰生成中心KGC1與KGC2，A用戶屬于KGC1，B用戶屬于KGC2，2個用戶希望通過密鑰協商得到1個共享密鑰以便進行安全通信.所有KGC采用相同公開參數｛G1，G2，H1，H2，e，q｝，2個密鑰中心各自生成的主密鑰s1與s2屬于Z＊q，密鑰中心的公鑰分別是P1＝s1P，P2＝s2P，其中：P為雙方認可循環加法群G1的生成元.用戶A將身份信息IEA提交到密鑰生成中心KGC1，KGC1將部分密鑰EA＝s1QA＝s1H1（IEA）通過安全信道返回；同理，用戶B將IEB提交到密鑰生成中心KGC2，KGC2將部分私鑰EB＝s2QB＝s2H1（IEB）.用戶A和用戶B分別生成密鑰生成中心不知道的秘密值xA與xB∈Z＊q，它們各自對應部分密鑰為EA與EB，所生成的私鑰為SA＝＜EA，xA＞、SB＝＜EB，xB＞.用戶A公鑰為PA＝xAP，臨時密鑰S′A＝xAQA＋EA＝QA（xA＋s1）；同理，用戶B的公鑰S′B＝xBQB＋EB＝QB（xB＋s2）.

協商過程見圖1.A用戶與B用戶的會話密鑰經過協商而來，實現步驟：

（1）A用戶選擇秘密隨機數a∈Z＊q，同理，B用戶選擇隨機數b∈Z＊q，求解TA＝aQA、TB＝bQB.

（2）當A用戶要使用B用戶的公鑰證書時，A用戶要向公鑰證書撤銷列表服務器查詢B的公鑰證書是否在撤銷列表中，假如存在，則用戶A不能使用B的公鑰證書.若撤銷列表中不存在用戶B的公鑰證書，用戶A才能使用B的公鑰證書.A將＜IEA，TA，PA＞發送給B，同時B將＜IEB，TB，PB＞發送給A.用符號表示：A把參數傳遞給B：A→B：IEA，TA＝aQA，PA；B把參數傳遞給A：B→A：IEB，TB＝bQB，PB.

（3）消息確認，A將MACKA（IEA，TA，PA）發送給B，B將MACKB（IEB，TB，PB）發送給A，雙方分別驗證消息的完整性，如果MACKA（IEB，TB，PB）與MACKB（IEB，TB，PB）相同，MACKA（IEA，TA，PA）與MACKB（IEA，TA，PA）也相同，說明密鑰協商成功，可以生成會話密鑰；若驗證結果不匹配，則需要重新密鑰協商.

（4）S′A，S′B是A和B生成的短期密鑰，A、B分別計算KA和KB.

A計算KA：KA＝e（S′A，P）a·e（TB，PB＋P2）；B計算KB：KB＝e（S′B，P）b·e（TA，PA＋P1）.

（5）生成會話密鑰，若A和B得到KA＝KB，通過計算可以得到密鑰［16］：

A用戶與B用戶需要對KAB進行哈希處理，得到雙方協商的會話密鑰KS：KS＝H2（KAB｜｜abP｜｜xAxBP），保證攻擊者不能從會話密鑰中獲得任何信息.

圖1 密鑰協商過程

3 安全性能分析

3.1 密鑰協商協議

（1）密鑰安全性.通信方每次進行密鑰協商時，雙方用戶選取的秘密隨機數參與密鑰協商，從而每次都會產生1個唯一的會話密鑰，每個用戶認為此密鑰是相對安全的，因為只有協議的參與者才知道此密鑰.

（2）抵抗中間人攻擊.通信雙方用臨時的密鑰生成會話密鑰，攻擊者即使獲得用戶的秘密私鑰，也無法得到他的短期密鑰，因為離散對數的存在使用戶私鑰無法通過計算而得到.同時，通信雙方交換消息認證碼MAC，可以有效抵抗中間人攻擊.

（3）前向安全性.即使其中任一方泄漏私鑰，也不會影響泄漏之前的會話密鑰.

（4）密鑰不可控性.在會話密鑰協商過程中，密鑰生成參數是由參與者本身所產生且帶有隨機性，具有較好的不可控性.

（5）抗未知密鑰共享.通信方經過協商的某次會話密鑰只有通信方知道，在每次密鑰協商時，都要驗證通信方的證書確保用戶的身份；同時在密鑰協商過程中交換消息認證碼MAC，確保通信方中的某一方不能和第三方共享這次會話密鑰.

3.2 端到端密鑰協商

基于自生成證書公鑰體制的端到端密鑰協商較好地滿足安全準則，與原有協議相比，具有特點：

（1）在用戶和服務器通信的過程中，由于引入安全的無證書密鑰協商協議，通信雙方經過共同協商計算獲得會話密鑰，從而避免第三方對信息的無舉證竊聽.

（2）使用無證書公鑰加密技術，以便密鑰的管理與分配，從而有效解決原有認證中心巨大的密鑰庫帶來的弊端.

4 結束語

針對無證書公鑰體制的拒絕解密DoD攻擊和無法確認通信方身份缺陷，在自生成證書的公鑰體制基礎上，研究新公鑰體制下的密鑰協商，提出基于自生成證書公鑰體制的可認證端到端密鑰協商，安全性較強，適用于移動網絡帶寬差、移動終端計算能力弱的移動網絡應用環境，可以滿足基于移動網絡端到端通信的應用安全性.在端對端密鑰協商的基礎上，可以對群組密鑰協商協議進行分析，研究在移動網絡應用環境中實現群組密鑰協商的可行性.

［1］ Diffie W，Hellman M.New directions in Cryptography［J］.IEEE Trans on Information Theory，1976，22（6）：644－654.

［2］ Al－Riyamiss S S，Paterson K G.Tripartite authenticated key agreementprotocols from pairings［M］.［S.l］：Springer－Verlag.

［3］ Shim K.Efficientone－round tripartite authenticated key agreementprotocol form the Weil pairing［J］.Electronics Letters，2003（39）：208－209.

［4］ Al－Riyami S S，Paterson K G.Certificateless public key cryptography［R］.Advances in Cryptology－Asiacrypt’03，Lecture Notes in Computer Science，2003，2894：452－473.

［5］ MandttK.Certificateless authenticated two－party key agreementprotocols［D］.Oppland：GjvikUniversity College，2006.

［6］ 朱志馨，董曉蕾.高效安全的無證書密鑰協商方案［J］.計算機應用研究，2009，26（12）：4787－4789.

［7］ 邵琳，李暉.一種移動環境下的基于身份的端到端認證和密鑰協商協議［J］.計算機應用研究，2008，25（8）：2457－2459.

［8］ 陳家琪，馮俊，郝妍.基于無證書密碼學的可認證三方密鑰協商協議［J］.計算機應用研究，2010，27（5）：1904.

［9］ Dan Boneh，MattFranklin.Identity－based encryption from the Weil pairing［J］.Advance－s in Cryptology－CRYPTO 2001，2001，2139：213－229.

［10］ SmartN P.An identity based authenticated key agreementprotocol based on the Wei lPairing［J］.Electronics Letters，2002，38（13）：630－632.

［11］ 馮新泉，黎忠文.P2P中基于無證書的認證及密鑰協商協議［J］.計算機技術與發展，2009，19（2）：165－168.

［12］ Junzuo Lai，Weidong Kou.Self－Generated－Certificate public key encryption withoutpai ring［R］.Public Key Cryptography－PKC 2007.

［13］ Liu J K，Au M H.Self－Generated－Certicate public key cryptosystem［DB／OL］.CryptologyePrintArchive，Report2006／194，2006.http：／／eprint.iacr.org／2006，194.

［14］ 郭寶安，賴俊祚.自產生證書的公鑰密碼系統［J］.計算機工程，2009，35（11）：16－19.

［15］ 吳曉宇，李玉賢，韓佳霖等.3G終端數據機密性服務設計［J］.大慶石油學院學報，2011，35（2）：95.

［16］ 舒劍.認證密鑰協商協議的設計與分析［D］.成都：電子科技大學博士論文，2010.

［17］ Blake－Wilson S，Johnson D，Menezes A.Key agreementprotocols and their security analysis［C］／／Proc of the 6th M A International Conference on Cryptography and Coding［S I］.SpringerVerlag，2008.

［18］ 肖自碧，楊波.發展安全的公鑰密碼系統的新方法研究［J］.計算機應用研究，2007，24（10）：5－8.

［19］ 秦波，伍前紅.密鑰協商協議進展［J］.計算機科學，2008，35（92）：9－12.

End－to－end key agreementbased on mobile network／2012，36（4）：74－78

XU Ping，ZHANG Fang－zhou，ZHANG Xiao－yu，MA Xi－bao
（College of Computer and Information Technology，NortheastPetroleum University，Daqing，Heilongjiang163318，China）

Although the security mechanism＇s extension of 3Gnetwork has reached the core network，itdoesn＇trealize the security of end to end.Therefore the research of security which is based on mobile network application is an urgentand importanttask，and the confidentiality of end to end is the key to it.This article is aboutdesigning an end to end key agreementprotocol based on the system of self－generated certificate and public key password.This protocol builds a security tripartite session key only need one round message exchange，which can strongly overcome the key escrow and offer perfectforward secrecy.Security analysis resultshows thatthis article＇s design of key agreementalgorithm can solve key managementproblem and the interception which can notbe proved.Compared with existing key agreementprotocol，the newly proposed key agreementprotocol has better security.Thus，this mechanism lays a foundation for extensive practical application of end－to－end encryption in mobile communication.

key agreementprotocol；public mobile network；end－to－end；self－generated certificate；3G network；security mechanism

book=4,ebook=138

TP309

A

2095－4107（2012）04－0074－05

2012－05－18；編輯：任志平

黑龍江省教育廳科學技術研究項目（12511013）

徐 平（1965－），博士，教授，主要從事計算機網絡和教育技術方面的研究.