層次身份基認(rèn)證密鑰協(xié)商方案的安全性分析和改進(jìn)

毛可飛 陳 杰 劉建偉

?

層次身份基認(rèn)證密鑰協(xié)商方案的安全性分析和改進(jìn)

毛可飛*陳 杰 劉建偉

(北京航空航天大學(xué)電子信息工程學(xué)院 北京 100191)

該文分析了曹晨磊等人(2014)提出的層次身份基認(rèn)證密鑰協(xié)商方案的安全性，指出該方案無法抵抗基本假冒攻擊。文中具體描述了對該方案實(shí)施基本假冒攻擊的過程，分析了原安全性證明的疏漏和方案無法抵抗該攻擊的原因。然后，在BONEH等人(2005)層次身份基加密方案基礎(chǔ)上提出了一種改進(jìn)方案。最后，在BJM模型中，給出了所提方案的安全性證明。復(fù)雜度分析表明所提方案在效率上同原方案基本相當(dāng)。

密碼學(xué)；可證明安全性；認(rèn)證密鑰協(xié)商；層次身份基密碼體制

1 引言

身份基密碼體制可以降低公鑰密碼體制中公鑰基礎(chǔ)設(shè)施部署的難度[1,2]，這為身份基認(rèn)證密鑰協(xié)商帶來了廣泛的應(yīng)用需求[3,4]。為了更加契合現(xiàn)實(shí)世界中層次化的身份結(jié)構(gòu)，研究者在身份基密碼體制的基礎(chǔ)上設(shè)計(jì)了層次身份基密碼體制。層次身份基認(rèn)證密鑰協(xié)商是層次身份基密碼體制中關(guān)鍵密碼學(xué)組件[8]，可以實(shí)現(xiàn)父節(jié)點(diǎn)對子節(jié)點(diǎn)的私鑰配置，完成層次化身份結(jié)構(gòu)中任意兩節(jié)點(diǎn)間的認(rèn)證密鑰協(xié)商，為建立端到端的安全傳輸信道提供更好的密鑰協(xié)商手段，在云計(jì)算與存儲[9]、無線傳感器網(wǎng)絡(luò)[10]和電子健康網(wǎng)絡(luò)[11,12]中有很迫切的應(yīng)用需求。下面通過一個例子具體說明層次身份基認(rèn)證密鑰協(xié)商的一個應(yīng)用場景。在某集團(tuán)公司的網(wǎng)絡(luò)系統(tǒng)中，不同分公司的員工在處理具體事務(wù)時，需要彼此認(rèn)證對方身份并協(xié)商會話密鑰。如果采用傳統(tǒng)身份基認(rèn)證密鑰協(xié)商機(jī)制，集團(tuán)公司需要通過統(tǒng)一的認(rèn)證服務(wù)器驗(yàn)證所有職員的身份，并為合法職員頒發(fā)私鑰，這就意味著公司總部需要維持該認(rèn)證服務(wù)器，并承擔(dān)巨大的計(jì)算和通訊負(fù)擔(dān)。而實(shí)際上除了總公司和分公司中的高層職員外，大部分職員的人事管理權(quán)在分公司，其身份信息由所屬的分公司負(fù)責(zé)管理，集團(tuán)公司并不需要掌握所有分公司職員的具體人事信息。因此，在這種場景下，集團(tuán)公司可以選擇只為其管理控制的分公司高層職員頒發(fā)私鑰，由分公司內(nèi)部高層職員為其管理的下屬員工頒發(fā)私鑰，這樣可以顯著減少總公司統(tǒng)一認(rèn)證服務(wù)器的壓力，進(jìn)而減少開銷。

對密碼學(xué)組件的具體方案進(jìn)行安全分析是保證其安全的必要手段。為了彌補(bǔ)啟發(fā)式分析(heuristic analysis)的不足，文獻(xiàn)[13]開始了可證明安全性(provable security)理論的研究，以期把一個安全協(xié)議的安全性和一個已知困難問題通過規(guī)約聯(lián)系起來，從而保證安全協(xié)議的安全可靠。應(yīng)用較廣的規(guī)約方法有兩種：一是文獻(xiàn)[14]提出的隨機(jī)預(yù)言(random oracle)模型，該模型利用雜湊函數(shù)和隨機(jī)預(yù)言機(jī)的替換實(shí)現(xiàn)理論和現(xiàn)實(shí)安全的轉(zhuǎn)換，盡管隨機(jī)預(yù)言模型中可證明安全的協(xié)議，在實(shí)際實(shí)施中有可能是不安全的，但是由于該模型下設(shè)計(jì)出的協(xié)議相對簡單，利用該模型進(jìn)行規(guī)約仍然被工程應(yīng)用廣泛接受；二是標(biāo)準(zhǔn)模型，該模型指的是不依賴隨機(jī)預(yù)言假設(shè)的安全性證明模型。目前標(biāo)準(zhǔn)模型下可證明安全的密碼方案效率仍然不夠理想，但是安全方面的優(yōu)勢已使其成為近年來的研究重點(diǎn)。對于認(rèn)證密鑰協(xié)商方案的安全性證明來說，除規(guī)約方法外，還需要安全性模型來形式化定義安全目標(biāo)和攻擊能力，1993年文獻(xiàn)[15]首次建立了基于兩方的認(rèn)證和密鑰協(xié)商協(xié)議的安全模型，即BR模型。其后，為了形式化不同的應(yīng)用環(huán)境，出現(xiàn)了適合身份基認(rèn)證密鑰協(xié)商協(xié)議的BJM模型[16]，以及2007年由文獻(xiàn)[17]提出的eCK模型。文獻(xiàn)[18]擴(kuò)展了BJM模型，并指出如果一個方案在該模型下可以證明是安全的，則該方案有抗基本假冒攻擊、已知會話密鑰安全、抗密鑰泄露偽裝攻擊和抗未知密鑰共享攻擊的安全屬性。文獻(xiàn)[19]也詳細(xì)分析了eCK模型的安全屬性，可以看出eCK模型要比BJM模型增加了弱的完美前向保密性和臨時秘密泄露安全兩個安全屬性。2012年文獻(xiàn)[20]又提出了攻擊者具有對會話內(nèi)部狀態(tài)查詢的能力的CK+模型，其也成為目前關(guān)于認(rèn)證密鑰協(xié)商最強(qiáng)的安全性定義。但是過強(qiáng)的安全模型由于安全屬性過多，導(dǎo)致證明過程繁瑣，且容易忽視基本的安全屬性的問題。因此，選擇最合適的安全模型而不是最強(qiáng)的安全模型是合理的解決方法。關(guān)于安全模型涵蓋的安全屬性可詳見文獻(xiàn)[17,19]，其中抗基本假冒攻擊(basic impersonation resilience)屬性是指用戶Ａ是一個正確執(zhí)行協(xié)議的合法實(shí)體，攻擊者Ｃ在不知道用戶Ａ長期私鑰的前提下，其不能假冒用戶Ａ，該屬性是eCK模型和BJM模型都涵蓋的基本安全屬性。本文主要指出原方案不符合抗基本假冒攻擊屬性，為了清晰展現(xiàn)安全證明的過程，本文在標(biāo)準(zhǔn)模型下選用BJM模型進(jìn)行安全性證明。

在層次身份基密碼體制中，已有研究工作較為系統(tǒng)的是層次身份基加密(Hierarchical Identity Based Encryption, HIBE)，該組件可以緩解單一私鑰生成者(Private Key Generator, PKG)負(fù)載過重的問題，并且更加契合網(wǎng)絡(luò)的分布式結(jié)構(gòu)[5]。學(xué)者們已從最初的隨機(jī)預(yù)言模型下的層次身份基加密方案[6]，發(fā)展到更為嚴(yán)謹(jǐn)?shù)臉?biāo)準(zhǔn)模型下的層次身份基加密方案[21]，進(jìn)一步又提出了更為有效并具有短私鑰和密文的方案[7]。然而，關(guān)于層次身份基認(rèn)證密鑰協(xié)商的研究卻未形成體系。2011年，文獻(xiàn)[8]提出了非交互的層次身份基認(rèn)證密鑰分發(fā)方案，由于方案中采用了非交互的方式，因此特別適合資源有限的傳感器網(wǎng)絡(luò)使用。最近，文獻(xiàn)[22]已經(jīng)證明了文獻(xiàn)[8]的方案存在安全問題，但是沒有給出相應(yīng)的解決方案。文獻(xiàn)[12]針對無線健康網(wǎng)絡(luò)提出了私鑰新鮮的非交互層次認(rèn)證密鑰協(xié)商方案。必須指出，非交互的層次身份基認(rèn)證密鑰協(xié)商，在帶來節(jié)點(diǎn)間通訊量減少的優(yōu)點(diǎn)的同時，也減少了認(rèn)證密鑰協(xié)商中的隨機(jī)性因素，從而限制了方案安全能力的提升。因此，可以考慮為資源相對充足的網(wǎng)絡(luò)環(huán)境設(shè)計(jì)安全能力更高的層次身份基認(rèn)證密鑰協(xié)商方案，利用現(xiàn)有成熟HIBE方案的結(jié)構(gòu)來實(shí)現(xiàn)層次身份基認(rèn)證密鑰協(xié)商是一個有效的研究思路。近兩年，文獻(xiàn)[11]基于文獻(xiàn)[6]的HIBE方案，提出了電子健康網(wǎng)絡(luò)的層次化認(rèn)證密鑰協(xié)商方案，但是其沒有將方案抽象成具體的密碼學(xué)組件，也沒有在公知的認(rèn)證密鑰協(xié)商安全模型下給出證明。文獻(xiàn)[9]基于文獻(xiàn)[7]的HIBE方案(B-HIBE方案)提出了層次身份基認(rèn)證密鑰協(xié)商方案(HIBKA)，可以實(shí)現(xiàn)對實(shí)體的隱式認(rèn)證，并在eCK模型[17]中給出了安全性證明。本文分析了曹晨磊等人[9]的方案，指出了其無法抵抗基本假冒攻擊，詳述了具體攻擊過程，指出了原安全性證明的疏漏，并結(jié)合B-HIBE方案[7]分析了攻擊產(chǎn)生的原因。最后，在B-HIBE加密方案基礎(chǔ)上提出了一個層次身份基認(rèn)證密鑰協(xié)商(Hierarchical Identity-based Authenticated Key Agreement, HI-AKA)方案，并在BJM模型[16,23]下將其歸約到HIBE的安全性上。

本文其余部分結(jié)構(gòu)如下：第2節(jié)簡介B-HIBE方案和HIBKA方案，并給出基本假冒攻擊的具體過程和原因分析；第3節(jié)描述增強(qiáng)安全的新方案；第4節(jié)在BJM模型下將新方案安全歸約到B-HIBE方案的安全；最后一節(jié)給出結(jié)論。

2 預(yù)備知識

2014年曹晨磊等人在文獻(xiàn)[9]設(shè)計(jì)了一個HIBKA方案。該方案基于文獻(xiàn)[7]的B-HIBE方案，其設(shè)計(jì)目標(biāo)是滿足已知密鑰安全和前向安全性等安全性質(zhì)，可以抵抗基于密鑰泄露的偽裝攻擊。本節(jié)首先簡單地回顧了B-HIBE方案和HIBKA方案，然后詳述了內(nèi)部節(jié)點(diǎn)實(shí)施偽造攻擊的過程。最后，通過對比以上方案節(jié)點(diǎn)私鑰的異同，指出了HIBKA存在安全漏洞的原因。

2.1 B-HIBE方案回顧

B-HIBE方案[7]包括4個子算法：系統(tǒng)建立、私鑰抽取、加密和解密。具體過程簡述如下。

B-HIBE(IND-sID-CCA)安全的定義是在敵手事先明示一個其要挑戰(zhàn)的節(jié)點(diǎn)(假設(shè)身份為)，并可以查詢除了挑戰(zhàn)節(jié)點(diǎn)和其父節(jié)點(diǎn)外的任何節(jié)點(diǎn)私鑰條件下，敵手選取想要挑戰(zhàn)的兩個相等長度明文和，敵手無法以不可忽略的優(yōu)勢判斷模擬者加密后的密文所對應(yīng)的明文。

2.2 HIBKA方案回顧

HIBKA方案[9]包括3個子算法：系統(tǒng)建立、私鑰抽取和密鑰協(xié)商。具體過程簡述如下。

(1)系統(tǒng)建立：該步驟同2.1節(jié)中B-HIBE方案系統(tǒng)建立一致。

(3)密鑰協(xié)商：假設(shè)用戶A和用戶B要進(jìn)行密鑰協(xié)商，兩者在第層有公共節(jié)點(diǎn)，將兩者的身份分別記為和，其中。用戶A和用戶B利用自己的私鑰按如下步驟進(jìn)行認(rèn)證密鑰協(xié)商：

2.3對HIBKA方案的基本假冒攻擊

本節(jié)我們假設(shè)敵手完全控制了HIBKA系統(tǒng)中的一個攻擊者C，從而對系統(tǒng)中用戶A和用戶B的認(rèn)證密鑰協(xié)商實(shí)施假冒攻擊。這種攻擊條件在實(shí)際環(huán)境中是非常易于實(shí)現(xiàn)的，敵手可以通過收買或注冊成為系統(tǒng)中任何一個合法用戶，從而獲得該用戶的秘密信息，進(jìn)而對受害節(jié)點(diǎn)實(shí)施攻擊。不失一般性，我們假設(shè)攻擊者C想要偽裝成2.2節(jié)中密鑰協(xié)商算法中描述的用戶A，并攻擊其與用戶B進(jìn)行的認(rèn)證密鑰協(xié)商，攻擊成功的標(biāo)志是攻擊者C可以利用用戶A的身份同用戶B進(jìn)行一次正常的認(rèn)證密鑰協(xié)商，并且攻擊者C和用戶B計(jì)算出相同的會話密鑰。假設(shè)攻擊者C所屬層級為, 利用,和按照2.2節(jié)所述可以分別獲得公私鑰對,和。前文假設(shè)用戶A和用戶B在第層有公共節(jié)點(diǎn)，不妨增設(shè)攻擊者C同受害者們在第層有公共節(jié)點(diǎn)，攻擊者C身份和其合法獲得的私鑰可以分別記為和私鑰。攻擊者C采用如下步驟實(shí)施對用戶A和用戶B密鑰協(xié)商算法的攻擊，具體如下描述。

2.4基本假冒攻擊的正確性證明

如上所述，攻擊者C使用用戶A的身份，順利地同用戶B實(shí)施了密鑰協(xié)商，在協(xié)商過程中攻擊者C同用戶B的交互過程完全同真實(shí)用戶A一致。以下將證明，攻擊者C和用戶B分別計(jì)算的會話密鑰和相同，即雙方可以順利完成隱式認(rèn)證。

由式(8)和式(9)可知，攻擊者C和用戶B生成的會話秘密信息相同，進(jìn)而生成會話密鑰也相同。因此，攻擊者C以用戶A的身份同用戶B，成功實(shí)現(xiàn)了認(rèn)證密鑰協(xié)商，至此攻擊者C基本假冒攻擊成功。

2.5基本假冒攻擊產(chǎn)生理論和實(shí)際原因

首先，從安全性證明角度分析原方案出現(xiàn)基本假冒攻擊的原因。目前的認(rèn)證密鑰協(xié)商協(xié)議安全分析中，都假設(shè)攻擊者具有完全控制信道的能力，并且在安全性模型中用發(fā)送查詢模擬這種能力。在原安全性證明中，如果采用發(fā)送查詢形式化本文2.3節(jié)中的攻擊，當(dāng)模擬者模擬并標(biāo)識用戶A和用戶B形成會話密鑰時，攻擊者C就可以很容易地回答模擬者發(fā)出的挑戰(zhàn)(區(qū)分會話密鑰和一個隨機(jī)值)，因?yàn)楣粽呖梢岳檬?6)計(jì)算會話秘密信息的值，從而通過查詢獲得會話密鑰。如上分析，在原安全性證明中攻擊者C實(shí)際上可以不用求解困難問題，就能夠以不可忽略的優(yōu)勢贏得挑戰(zhàn)，這就破壞了原安全性證明中的假設(shè)條件。因此，原安全性證明此處存在疏漏。

然后，從方案具體實(shí)現(xiàn)角度分析原方案出現(xiàn)基本假冒攻擊的原因。前文已述，相對B-HIBE方案中的用戶，HIBKA方案中每個用戶增加了個組成元素，因此任何一個用戶都有對應(yīng)任意層的。這使攻擊者C可以將其私鑰任意變換為和其父節(jié)點(diǎn)層私鑰一致的結(jié)構(gòu)。利用遞推關(guān)系，攻擊者C可以用此方法生成符合任何節(jié)點(diǎn)私鑰結(jié)構(gòu)的私鑰。在利用式(3)或者式(4)計(jì)算共享秘密時，攻擊者可以利用其配置的私鑰，得出雙方的共享秘密，進(jìn)而得到會話密鑰，完成攻擊過程。反觀B-HIBE方案，每個用戶只有其子層對應(yīng)的，其父節(jié)點(diǎn)以上層私鑰信息保護(hù)在群的一個指數(shù)中，這既保證了父節(jié)點(diǎn)對子節(jié)點(diǎn)的私鑰配置功能，又防止了子節(jié)點(diǎn)恢復(fù)上層節(jié)點(diǎn)私鑰結(jié)構(gòu)，進(jìn)而避免了類似攻擊。鑒于以上分析，為了提高方案的安全性，嚴(yán)格遵循B-HIBE方案的“私鑰抽取”結(jié)構(gòu)是一種簡單有效的思路。

3 安全增強(qiáng)的層次身份基認(rèn)證密鑰協(xié)商方案

為了防范HIBKA方案存在的安全風(fēng)險(xiǎn)，本節(jié)基于B-HIBE方案提出一種層次身份基認(rèn)證密鑰協(xié)商(HI-AKA)方案。方案同樣包含3個子算法：系統(tǒng)建立、私鑰抽取和密鑰協(xié)商。其中系統(tǒng)建立和私鑰抽取同B-HIBE方案基本一致，以下僅詳細(xì)介紹密鑰協(xié)商，其它詳細(xì)內(nèi)容請參看文獻(xiàn)[7]。

(1)系統(tǒng)建立：除B-HIBE方案中系統(tǒng)建立步驟外，系統(tǒng)增加選擇2個抗碰撞雜湊函數(shù)和。

(2)私鑰抽?。和珺-HIBE方案。

(3)密鑰協(xié)商：假設(shè)用戶A和用戶B要進(jìn)行密鑰協(xié)商，不失一般性，我們假設(shè)兩者在第層有公共節(jié)點(diǎn)，將兩者的身份分別表示為和，其中。用戶A和用戶B利用自己的私鑰按如下步驟進(jìn)行認(rèn)證密鑰協(xié)商。

4 HI-AKA方案分析

本節(jié)首先證明了HI-AKA方案的正確性。然后，為了提供簡潔的證明，將本文方案在BJM模型下直接歸約到B-HIBE方案的安全性。如果HI-AKA方案可以在BJM模型下被攻陷的話，就可以利用這個漏洞去攻陷B-HIBE方案[7]的不可區(qū)分選擇密文(IND-sID-CCA)安全，因此HI-AKA方案在BJM模型下是安全的。

4.1 HI-AKA正確性證明

HI-AKA方案可以在任意用戶A和用戶B之間協(xié)商出相同的會話密鑰。具體證明如下。

由式(14)和式(15)結(jié)果可知，用戶A和用戶B分別生成的會話密鑰和一致。因此，HI-AKA方案的正確性成立。

4.2 HI-AKA安全性證明

本節(jié)在文獻(xiàn)[23]的啟發(fā)下，利用BJM模型證明所提方案HI-AKA是符合BJM模型涵蓋的安全特性。

命題1 若B-HIBE方案是IND-sID-CCA安全的話，那么HI-AKA方案在BJM模型中是安全的。

分析：因?yàn)锽-HIBE和HI-AKA方案的系統(tǒng)參數(shù)一致，因此當(dāng)B-HIBE的安全游戲選定時，我們可以得到返回密文的第1項(xiàng)內(nèi)容等于；當(dāng)選定時，的第1項(xiàng)內(nèi)容是群中的一個隨機(jī)值。進(jìn)而，當(dāng)時，，因此攻擊者收到的是真正的會話密鑰；當(dāng)時，，攻擊者收到的是一個隨機(jī)值。可以看出在上述模擬的過程中，模擬者至少以的概率不會終止挑戰(zhàn)過程。而對于攻擊者，其所面對的模擬者模擬的安全性游戲和真實(shí)的環(huán)境是無法區(qū)分的。因此，當(dāng)我們假設(shè)攻擊者攻破HI-AKA方案的優(yōu)勢是，其攻破B-HIBE方案IND-sID-CCA的安全的優(yōu)勢至少為。

4.3復(fù)雜度分析

由于本文是受文獻(xiàn)[9]的方案啟發(fā)，并且同屬層次身份基認(rèn)證密鑰方案，本節(jié)主要和該方案進(jìn)行了計(jì)算復(fù)雜度對比。我們在表1中采用如下參數(shù)表示，其中與分別表示與上的指數(shù)運(yùn)算，與分別表示與上的乘法運(yùn)算，代表雙線性運(yùn)算，和為用戶所處的層級，為系統(tǒng)總層級，代表抗碰撞雜湊函數(shù)運(yùn)算。從表1中可以看出，HI-AKA的私鑰抽取復(fù)雜度要優(yōu)于HIBKA，因?yàn)殡m然都基于B-HIBE方案，但是后者私鑰多了個上的參數(shù)；生成和生成復(fù)雜度HI-AKA要差于HIBKA，因?yàn)镠IBKA直接利用私鑰計(jì)算和，節(jié)約了兩個節(jié)點(diǎn)共有層數(shù)的部分指數(shù)運(yùn)算，但是這也是本文所述攻擊產(chǎn)生的原因之一；生成或復(fù)雜度HI-AKA方案要低于HIBKA方案，因?yàn)镠I-AKA盡量保持了B-HIBE方案的簡潔結(jié)構(gòu)，一定程度降低了運(yùn)算的復(fù)雜程度；生成或的計(jì)算復(fù)雜度兩個方案一致，因?yàn)楸ＷC會話密鑰安全性，兩者都選用了抗碰撞雜湊函數(shù)實(shí)現(xiàn)密鑰輸出；可以看出，本文所提出的HI-AKA方案的計(jì)算復(fù)雜程度與系統(tǒng)參數(shù)成線性關(guān)系，可以參考類似文獻(xiàn)[11,23,24]采用PBC數(shù)據(jù)包[25]進(jìn)行實(shí)現(xiàn)。

表1 HI-AKA方案和HIBKA方案計(jì)算復(fù)雜度比較

5 結(jié)束語

本文分析了文獻(xiàn)[9]提出的層次身份基認(rèn)證密鑰協(xié)商方案的安全性，給出了對該方案實(shí)施基本假冒攻擊的具體步驟，分析了該攻擊存在的原因。最后，在B-HIBE加密方案[7]的基礎(chǔ)上提出了一個HI- AKA方案，并在BJM模型中證明了所提HI-AKA方案具有未知密鑰共享安全性、已知會話密鑰安全性、基本前向安全性的安全屬性。此外，由于HI- AKA方案高度契合B-HIBE方案，可方便地移植到已經(jīng)選用B-HIBE方案的層次化網(wǎng)絡(luò)系統(tǒng)，降低認(rèn)證密鑰協(xié)商部署和維護(hù)的開銷。

參考文獻(xiàn)

[1] BONEH D and FRANKLIN M. Identity-based encryption from the Weil pairing[C]. Proceedings of 21st Annual International Cryptology Conference, Santa Barbara, California, USA,2001: 213-229.

[2] SHAMIR A. Identity-based cryptosystems and signature schemes[C]. Proceedings of 4rd Annual International Cryptology Conference, Santa Barbara, California, USA, 1984: 47-53.

[3] 夏松, 權(quán)建校, 韓文報(bào). 不同PKG環(huán)境下可證安全的基于身份AKA協(xié)議[J]. 電子與信息學(xué)報(bào), 2010, 32(10): 2393-2399.doi: 10.3724/SP.J.1146.2009.01382.

XIA S, QUAN J, and HAN W. Provably secure identity-based authenticated key agreement protocols in multiple PKG environment[J].&, 2010, 32(10): 2393-2399.doi: 10.3724/SP.J.1146.2009.01382.

[4] 曹雪菲, 寇衛(wèi)東, 樊凱, 等. 無雙線性對的基于身份的認(rèn)證密鑰協(xié)商協(xié)議[J]. 電子與信息學(xué)報(bào), 2009, 31(5): 1241-1244.doi: 10.3724/SP.J.1146.2008.00003.

CAO X, KOU W, Fan K,An identity-based authenticated key agreement protocol without bilinear pairing[J].&, 2009, 31(5): 1241-1244. doi: 10.3724/SP.J.1146.2008.00003.

[5] HORWITZ J and LYNN B. Toward hierarchical identity-based encryption[C]. Proceedings of International Conference on the Theory and Applications of Cryptographic Techniques, Amsterdam, Netherland, 2002: 466-481.

[6] GENTRY C and SILVERBERG A. Hierarchical ID-based cryptography[C]. Proceedings of 8th International Conference on the Theory and Application of Cryptology and Information Security, Queenstown, New Zealand, 2002: 548-566.

[7] BONEH D, BOYEN X, and GOH E. Hierarchical identity based encryption with constant size ciphertext[C]. Proceedings of 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Aarhus, Denmark, 2005: 440-456.

[8] GUO H, MU Y, LI Z,An efficient and non-interactive hierarchical key agreement protocol[J].&, 2011, 30(1): 28-34.

[9] 曹晨磊, 劉明奇, 張茹, 等. 基于層級化身份的可證明安全的認(rèn)證密鑰協(xié)商協(xié)議[J]. 電子與信息學(xué)報(bào), 2014, 36(12): 2848-2854.doi:10.3724/SP.J.1146.2014.00684.

CAO C, LIU M, ZHANG R,Provably secure authenticated key agreement protocol based on hierarchical identity[J].&,2014, 36(12): 2848-2854. doi: 10.3724/SP.J.1146.2014.00684.

[10] IBRIQ J and MAHGOUB I. HIKES: hierarchical key establishment scheme for wireless sensor networks[J]., 2014, 27(10): 1825-1856.

[11] LIU W, LIU J, WU Q,. SAKE: scalable authenticated key exchange for mobile e-health networks[OL].http://onlinelibrary.wiley.com/doi/10.1002/sec.1198/abstract, 2015.

[12] KIM H. Freshness-preserving non-interactive hierarchical key agreement protocol over WHMS[J]., 2014, 14(12): 23742-23757.doi: 10.3390/s141223742.

[13] GOLDWASSER S and MICALI S. Probabilistic encryption[J]., 1984, 28(2): 270-299.

[14] BELLARE M and PHILLIP R. Random oracles are practical: a paradigm for designing efficient protocols[C]. Proceedings of the 1st ACM Conference on Computer and Communications Security, Fairfax, VA, USA, 1993: 62-73.

[15] BELLARE M and PHILLIP R. Entity authentication and key distribution[C]. Proceedings of 13th Annual International Cryptology Conference, Santa Barbara, California, USA, 1993: 232-249.

[16] BLAKE-WILSON S, JOHNSON D, and MENEZES A. Key agreement protocols and their security analysis[C]. Proceedings of 6th IMA International Conference, Cirencester, UK, 2005: 30-45.

[17] LAMACCHIA B, LAUTER K, and MITYAGIN A. Stronger security of authenticated key exchange[C]. Proceedings of First International Conference ProvSec, Wollongong, Australia, 2007: 1-16.

[18] CHEN L, CHENG Z, and SMART N. Identity-based key agreement protocols from pairings[J]., 2007, 6(4): 213-241.

[19] 倪亮, 陳恭亮, 李建華. eCK模型的安全性分析[J]. 山東大學(xué)學(xué)報(bào)(理學(xué)版), 2013, 48(7): 46-48.

NI L, CHEN G, and LI J. Security analysis of the eCK model[J].(), 2013, 48(7): 46-48.

[20] FUJIOKA A, SUZUKI K, XAGAWA K,. Strongly secure authenticated key exchange from factoring, codes, and lattices[C]. Proceedings of 15th International Conference on Practice and Theory in Public Key Cryptography, Darmstadt, Germany, 2012: 467-484.

[21] BONEH D and BOYEN X. Efficient selective-ID secure identity-based encryption without random oracles[C]. Proceedings of International Conference on the Theory and Applications of Cryptographic Techniques, Interlaken, Switzerland, 2004: 223-238.

[22] ZHU G, XIONG H, and QIN Z. On the security of an efficient and non-interactive hierarchical key agreement protocol[J]., 2014, 74(2): 883-889.

[23] 魏江宏, 劉文芬, 胡學(xué)先. 標(biāo)準(zhǔn)模型下可證安全的屬性基認(rèn)證密鑰交換協(xié)議[J]. 軟件學(xué)報(bào), 2014, 25(10): 2397-2408.

WEI J, LIU W, and HU X. Provable secure attribute based authenticated key exchange protocols in the standard model[J]., 2014, 25(10): 2397-2408.

[24] DENG H, WU Q, QIN B,. Ciphertext-policy hierarchical attribute-based encryption with short ciphertexts[J]., 2014, 275: 370-384.

[25] LYNN B. On the implementation of pairing-based cryptosystems[D]. [Ph.D. dissertation], Stanford University, 2007.

Security Analysis and Improvements of Hierarchical Identity Based Authenticated Key Agreement Scheme

MAO Kefei CHEN Jie LIU Jianwei

(,,100191,)

The security of hierarchical identity based authenticated key agreement scheme which was proposed by CAO. (2014) is cryptanalyzed. First, it is pointed out that the scheme is not completely secure against the basic impersonation attack. Then, the process and the reasons of the attack are described. Finally, an improvement scheme to mend the security leaks is proposed based on the hierarchical identity based encryption (BONEH. 2005). The security proof of the proposal is presented in the BJM model. The computation efficiency of the proposed scheme is nearly equivalent to the CAO.’s.

Cryptography; Provable security; Authenticated key agreement; Hierarchical identity based cryptography

TP309

A

1009-5896(2016)10-2619-08

10.11999/JEIT151443

2015-12-22；改回日期：2016-05-16；網(wǎng)絡(luò)出版：2016-07-04

毛可飛 owen.buaa@gmail.com

國家自然科學(xué)基金(61272501)，國家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃(2012CB315905)

The National Natural Science Foundation of China (61272501), The National Key Basic Research Program of Ching (2012CB315905)

毛可飛： 男，1977年生，博士生，研究方向?yàn)榫W(wǎng)絡(luò)協(xié)議和優(yōu)化算法.

陳 杰： 男，1985年生，博士生，研究方向?yàn)榫W(wǎng)絡(luò)協(xié)議和信息安全.

劉建偉： 男，1964年生，教授，研究方向?yàn)樾畔踩兔艽a學(xué).