無證書的層次認證密鑰協商協議

蘇航，劉建偉，陶芮

（北京航空航天大學電子信息工程學院，北京 100191）

無證書的層次認證密鑰協商協議

蘇航，劉建偉，陶芮

（北京航空航天大學電子信息工程學院，北京 100191）

提出了一種無證書的層次認證密鑰協商協議，協議的安全性基于計算性Diffie-Hellman困難假設，并在eCK（extended Canetti-Krawczyk）模型下證明了該協議的安全性。該協議中，根PKG為多層的域PKG驗證身份并生成部分私鑰，域 PKG為用戶驗證身份并生成部分私鑰，私鑰則由用戶選定的秘密值和部分私鑰共同生成。與已有協議相比，協議不含雙線性映射配對運算，且具有較高的效率。

無證書；層次認證密鑰協商協議；計算性Diffie-Hellman困難假設；eCK模型

1 引言

密鑰協商是保障節點間安全通信的重要機制。在傳統公鑰基礎設施[1]（PKI, public key infrastructure）中，需要證書來驗證用戶的身份。因此，PKI中涉及大量的證書管理問題。為了簡化這一問題，Shamir[2]于1984年提出基于身份的密碼體制（IBC,ID based cryptography）。在該體制中，選取用戶的身份作為公鑰，私鑰由可信的私鑰生成中心 PKG生成。然而在IBC中，PKG可掌握所有用戶的私鑰，這就是IBC中固有的密鑰托管問題。在2003年，Al-Riyami和Paterson[3]提出了無證書的公鑰密碼體制（CLPKC, certificateless public key cryptography），這一體制解決了 IBC中的密鑰托管問題。利用CLPKC，學者們提出了大量的無證書認證密鑰協商協議[4～10]。

在空間信息網絡中[11]，含有多種異構網絡和大量網絡節點，集中式的管理模式會因數據流過于集中，而導致網絡擁塞和服務延時及單點失效問題?？臻g節點的軟硬件處理能力相對較低，處理資源和帶寬相對較少，電源和推進能力有限。對于部分實時性要求較高的任務，通常不允許在運算過程中耗費過多時間。上述機制均是在單一 PKG環境下提出的，不適用于含有大量節點的空間信息網。Gentry等[12]提出了基于身份的層次加密體制（HIBC, hierarchical ID based cryptography），該體制中包含一個根PKG及多層的域PKG，根PKG對域PKG進行驗證并為其生成私鑰，上層域 PKG驗證下層域PKG并為其生成私鑰，直至用戶的上一層域。利用HIBC體制，Cao等[13]和Liu等[14]分別提出了基于身份的層次認證密鑰協商協議，不過這些協議沒有解決 IBC固有的密鑰托管問題。Chow、Roth和Rieffel[15]于 2008年首次對無證書的分層密碼體制（HCLC, hierarchical certificateless cryptography）進行了研究。這一體制既保留了HIBC體制的優點，又避免了HIBC體制中的密鑰托管問題。

本文基于HCLC體制，提出一種無證書的層次認證密鑰協商協議，并在eCK模型下證明了其安全性。在本文協議中，多層 PKG有效防止了單點失效問題，減輕了 PKG的運行壓力，提高了系統的承載能力，而且，解決了IBC體制中固有的密鑰托管問題。協議的計算開銷與雙方用戶所處層級呈線性關系，運算過程不含雙線性對運算，具有較高的效率，適用于計算能力小的空間節點。

2 預備知識

2.1 橢圓曲線

y2且

群G為循環加法群，群運算為加法運算（點乘運算），描述如下

2.2 困難問題及假設

計算性 Diffie-Hellman問題（CDH, computational Diffie-Hellman problem）：G為q階的循環加法群，給定P, aP, bP∈G（ a, b ∈是未知的隨機數），計算abP∈G。

定義1 多項式時間算法A在安全常數λ下解決CDH問題的優勢定義如下

定義2 CDH假設指出，不存在多項式時間算法A，使其具有不可忽略的優勢

可以解決CDH問題。

2.3 無證書的層次密鑰協商協議定義

結合無證書的密鑰協商協議[4～10]及無證書的層次密碼體制定義[15]，本節給出無證書的層次認證密鑰協商協議的定義。

1) ( pp, m sk)←Root-Setup(λ)：系統建立算法Root-Setup以安全常數λ∈N作為輸入，輸出全局性系統參數pp及主私鑰msk。

2) (k)← Partial-Private-Key-Extract(msk,ID)：部分私鑰生成算法 Partial-Private-Key-Extract以主密鑰 msk和任意一個用戶身份向量 ID =(I1, I2,… ,It)作為輸入，輸出為該用戶ID的部分私鑰k。

3) (x)←Set-Secret-Value(pp, ID)：秘密值生成算法Set-Secret-Value以全局性系統參數pp和用戶ID作為輸入，輸出為該用戶ID的私有秘密值x。

4) (d)←Set-Private-Key(k, x)：私鑰生成算法Set-Private-Key以部分私鑰k和用戶的私有秘密值x作為輸入，輸出為該用戶ID的私鑰d。

5) (pk)←Set-Public-Key(pp,x)：公鑰生成算法Set-Public-Key以全局性系統參數pp和用戶ID的私有秘密值x作為輸入，輸出為用戶的公鑰。

6) (k)← Partial-Delegate(k′,ID)：部分私鑰委托算法Partial-Delegate以用戶身份向量 ID′ =(I1,…,It?1)的部分私鑰k′、用戶身份向量 ID =(I1, I2,… , It)作為輸入，輸出為用戶ID的部分私鑰k。

7) (T)←Temporary(d)：臨時信息生成算法Temporary以用戶私鑰d作為輸入，輸出為用于密鑰協商階段的臨時信息T。

8) (sk)← Agreement(pk′, T′, d)：密鑰協商算法Agreement以參與密鑰協商的用戶的私鑰d和另一用戶的公鑰pk′及其臨時信息T′作為輸入，輸出為協商的會話密鑰sk。

2.4 安全模型

在無證書的密鑰協商協議中存在2種類型的敵手[6]，其具有的攻擊能力如下。

敵手1 敵手A1是一個不誠實的參與者，他不能獲取系統的主私鑰，但是可以任意替換參與密鑰協商的用戶的私有秘密值和公鑰。

敵手2 敵手A2是一個惡意的PKG，但是不可以替換參與密鑰協商用戶的私有秘密值和公鑰。

Lippold等[17]將傳統的eCK模型擴展成無證書體制下的eCK模型。每個參與者被模擬為多項式時間圖靈機，可以并行地執行多項式通信會話，稱會話為參與者I和J的第s個會話。此模型是通過挑戰者C和敵手A之間的游戲來定義的，游戲可分為2個階段。

階段1 A被允許以任意順序做如下查詢。

Creat(IDi)：C是身份為IDi的參與者生成公私鑰對。稱不被A控制的用戶為誠實用戶。

RevealMasterKey：C返回系統主私鑰給A。

RevealPartialPrivateKey(IDi)：C返回IDi的部分私鑰給A。

RevealSecretValue(IDi)：C返回IDi的私有秘密值給A。

ReplacePublicKey( IDi, pk)：C將IDi的私有秘密值和公鑰替換為A選定的值。

RevealEphemeralKey( ∏s)：C返回ID的臨時

I,Ji私鑰給A。

一旦A認為第一階段可以結束了，則選擇一個新鮮會話開始第2階段的游戲。

在游戲的最后，A需要輸出一比特'{0,1}b∈ 。如果b′=b，則A贏得此次游戲。定義A贏得游戲的優勢為

定義5 安全性。若一個無證書密鑰協商協議滿足下列條件。

2) A贏得游戲的優勢AdvA是可以忽略的。那么本文稱該協議在eCK模型下是安全的。

3 協議設計

3.1 協議描述

本文提出的無證書的層次認證密鑰協商協議包 括 Root-Setup、Partial-Private-Key-Extract、Set-Secret-Value、Set-Private-Key、Set-Public-Key、Partial-Delegate、Temporary、Agreement這 8個部分，協議的具體構造過程如下。

1) (pp, msk)←Root-Setup(λ)：系統建立算法選取滿足安全常數λ的階為q的橢圓曲線循環加法群G，即|q|=λ，G的生成元為P。選取安全的散列函數G × G →K，其中，K為會話密鑰空間。選取主私鑰msk=s，計算公鑰Ppub=sP。輸出共享的全局性系統參數

2) (k)← Partial-Private-Key-Extract (msk, ID)：給定主私鑰 msk和任意一個用戶身份向量ID =(,… ,It)，部分私鑰生成算法隨機選取計 算 r = H( I ||g P)， 其 中 ，

i1i i

1≤i≤t。輸出該用戶所對應的部分私鑰

若等式不成立，則拒絕此部分私鑰。

3) (x)←Set-Secret-Value(pp, ID)：給定全局性系統參數pp，秘密值生成算法隨機選取 x∈Z*q，輸出用戶ID的私有秘密值為x。

4) (d)←Set-Private-Key(k, x)：給定用戶ID的部分私鑰k和私有秘密值x，輸出該用戶ID的私鑰

若d=0，則需要重新執行Set-Secret-Value算法。

5) (pk)←Set-Public-Key( pp, x)：給定全局性系統參數pp和用戶ID的私有秘密值x，輸出該用戶ID的公鑰

6) (k)← Partial-Delegate(k′,ID)：部分私鑰委托算法由用戶 ID =(I1, I2,… ,It)的上層PKG運行，其中PKG的部分私鑰為部分公鑰為隨機選取 gt∈，計算PKG為用戶ID生成部分私鑰

若k=0，則需要重新選取 gt∈。通過安全信道將{g1P, … , gtP, k }發送給用戶 ID，其中，g1P,… , gtP為用戶ID的部分公鑰。用戶驗證等式為

若等式不成立，則拒絕此部分私鑰。若等式成立，用戶可執行 Set-Secret-Value、Set-Private-Key和Set-Public-Key算法生成自己的私鑰和公鑰。

7) (T)←Temporary(d)：用戶A和B分別執行臨時信息生成算法，A隨機選取臨時私鑰 tA∈，計算 TA=tAdAP，發送{pkA}給B。B隨機選取臨時私鑰 tB∈，計算 TB=tBdBP，發送{TB,p kB}給A。

8) (sk)← Agreement(pk′, T′, d)：用戶 A 和 B分別執行密鑰協商算法，計算會話密鑰。

A計算

會話密鑰

B計算

會話密鑰

3.2 協議正確性

要證明協議中用戶 A和 B獲得相同的會話密鑰，即 skA=skB，只需證明 kAB=kBA，證明如下。

用戶A做如下計算

用戶B做如下計算

因此，用戶A與用戶B可計算獲得相同的會話密鑰。

4 安全性分析

本節在基于身份的eCK模型[7]下證明本文協議的安全性，在證明過程中將模擬根 PKG為不同層次的節點生成部分私鑰的功能，密鑰托管功能可由相同方式模擬。假定散列函數H1和H2是隨機預言機，由定義可知匹配會話和可計算得到相同的會話密鑰。

4.1 引理1的證明

引理1 假定CDH假設成立，則本文協議在A1的攻擊下在eCK模型下是安全的。

證明 假設A1以不可忽略的優勢 AdvA1在多項式時間內贏得在2.4節中定義的游戲，那么C可利用A1的能力解決CDH問題。C選擇 s∈，并令 Ppub= P0= sP 。令全局系統參數 pp ={G,q, P, P0,H1, H2}，并發送pp給敵手A1。

令n0表示每個參與者最多發起的會話數，假定敵手A1最多激活n1個誠實用戶，最多做n2次散列H2查詢。當A1做Test查詢后，只有3種方法來贏得此游戲。

1) 猜測攻擊：A1直接猜測出會話密鑰。

2) 密鑰復制攻擊：A1使Test會話的一個非匹配會話擁有和Test會話一樣的會話密鑰，通過查詢該非匹配會話的會話密鑰贏得游戲。

3) 偽造攻擊：在某時刻，A1向C進行了值為(I||J||Z1||Z2)的H2查詢。此時，A1計算出了正確的Z1和Z2值。

通過協議構造和2.4節中的定義可知，猜測攻擊的優勢可以忽略。而由于H2中的會話標識符包含了通信雙發的身份及發送和接受的消息，非匹配會話不可能擁有與Test會話相同的會話密鑰，密鑰復制攻擊的優勢也可忽略。因此，只需考慮偽造攻擊的情形。

令AdvC為C解決CDH問題的優勢。給定CDH問 題 實 例 U = uP, V = vP，C的 任 務 是 計 算W =CDH( U, V )= uvP 。C模擬2.4節定義的游戲，對A1的查詢做出以下回答。

2) 不存在誠實的用戶擁有Test會話的匹配會話。

A可以通過 ReplacePublicKey查詢獲得參與者的私有秘密值x和公鑰xP。此時可分為以下4種情形。

1)A1既不知道I的臨時私鑰，也不知道J的部分私鑰

C對A1的查詢做出以下回答。

Creat(IDi)：假設 IDi=(I1, I2,… ,Ili)，C維護初始為空的列表L，記錄格式為 { ID ,k, R1,… ,Rli,

C

若IDi=J，C在LC列表中找形如的元組，其中，IDj為IDi的上層用戶，取其中層級最大的用戶，記為 IDj=(I1, I2,… ,Ilj),lj≤li。選 取 L 列 表 中 相 應 的 rn,Rn， 隨 機 選 擇

H

計算

1

令 H( I ||Rn) = rn,n ∈ {1,… , l}，記錄L元組為

1n i i iC記 錄L 元 組 為H1

若 IDi≠ J, li=1，C隨機選擇計算

若 IDi≠ J, li≠1，C在LC列 表 中 找 形 如{ IDj,*,*,… , *,*,*}的元組，其中，IDj為IDi的上層用戶，取其中層級最大的用戶，記為選取 LH1列表中相應的隨機選擇 rlj,… ,rli,k, x∈Z*。計算i i i i q

H1( In,)查詢：C維護初始為空的列表 LH1，記錄格式為{ In,,}的元組。若(In,)在列表LH1中，則返回給A1；若不在，則隨機選擇∈返回給A1，并記錄{ In,,}。

H2(I Di, I Dj,Z1, Z2)查詢：C維護初始為空的列表LH2， 記 錄 格 式 為{ IDi, I Dj,Ti, Tj, pki, pkj,Z1,Z2,s k}的元組。若 LH2中有記錄則返回對應的sk給A1；若沒有記錄，則按如下操作。

若IDi=J，C在LS列表中找{ IDi, I Dj,Ti, Tj,pki, p kj, s k}的元組。若找到，則計算

若IDi≠J，C在LS列表中找的 元 組 。 若 找 到 ， 則 在 LH2中 記 錄的元組，sk為LS中的值。否則，隨機選取sk∈K，在 LH2中記錄的元組。返回 sk給A1。

RevealSecretValue(IDi)：C查詢LC列表，若找到形如{ IDi,*,*,… , *,*,*}的元組，則返回xi給A1；否則執行Creat(IDi)，再返回xi給A1。

ReplacePublicKey( IDi,pk)：C查詢LC列表，若找到形如{ IDi,*,*,… , *,*,*}的元組，則替換 xi, Pi為A1所選值；否則執行Creat(IDi)，再替換 xi, Pi為A1所選值。

RevealPartialPrivateKey(IDi)：若IDi=J，則C停止模擬；否則，C發送部分私鑰給A1。

若IDi=J，C隨機選取并計算

Test( ∏s)：若≠，則C停止模擬；否

I, J

則，C隨機選取ξ∈K，發送ξ給A1。

假定A1贏得此次游戲，則A1必定計算出了正確的Z、Z。C則有的概率在 L 中找到對應

12H2

的正確元組。又因為 TI= tI( kI+ xI) P = V ，則

否則，按照協議規則進行回答。

A1忽略，則AdvC也不可忽略。這與CDH假設矛盾。

2) A1既不知道 J的臨時私鑰，也不知道I的部分私鑰

H2查詢：C維護初始為空的列表LH2， 記 錄 格 式 為Z2,s k}的元組。若 LH2中有記錄則返回對應的sk給A1；若沒有記錄，則按如下操作。

若IDi=I或IDi=J，則按照1)中IDi=J時進行，其余按照1)中的規則進行。

RevealPartialPrivateKey(IDi)：若 IDi=I或IDi=J ，則C停止模擬；否則，C發送部分私鑰給A1。

假定A1贏得此次游戲，則A1必定計算出了正確的Z、Z。C則有的概率在 L 中找到對應

12H2的正確元組，則

4) A1不知道I和J的臨時私鑰

除以下查詢的回答不同外，其余查詢均按照1)中的規則進行。

Creat(IDi)：假設 IDi=(I1, I2,… ,Ili)，C維護初始為空的列表LC，記錄格式為的元組。C按如下規則生成元組數據。

C在LC列表中找形如的元組，其中，IDj為IDi的上層用戶，取其中層級最大的用戶，記為 IDj=(I1, I2,… ,Ilj),lj≤ li。選取LH1列表中相應的隨 機 選 擇計算

H2查詢：C維護初始為空的列表LH2， 記 錄 格 式 為Z2,s k}的元組。若 LH2中有記錄則返回對應的sk給A1；若沒有記錄，則按如下操作。

C在LS列表中找的元組。若找到，則計算

RevealPartialPrivateKey(IDi)：C查找LC列表，發送部分私鑰給A1。

1i1按照協議規則進行回答。即可。

3) A1不知道I和J的部分私鑰

除以下查詢的回答不同外，其余查詢均按照1)中的規則進行。

Creat(IDi)：假設 IDi=(I1, I2,… , Ili)，C維護初始為空的列表LC，記錄格式為 { IDi,ki,,… ,,}的元組。C按如下規則生成元組數據。

若IDi=I，C在LC列表中找形如{ IDj,*,*,… ,*,*,*}的元組，其中，IDj為IDi的上層用戶，取其中層級最大的用戶，記為 IDj=(I1, I2,… ,Ilj),l≤l。選取 L 列表中相應,，隨機選擇

j iH1

假定A1贏得此次游戲，則A1必定計算出了正確的Z、Z。C則有的概率在 L 中找到對應

12H2的 正 確 元 組 。 又 因 為 TI= tI( kI+ xI) P = U ，TJ= tJ(kJ+ xJ)P = V ，則

所以 CDH( U, V)=Z2。

4.1.2 不存在誠實的用戶擁有Test會話的匹配會話

不存在誠實的用戶擁有Test會話的匹配會話可分為以下2種情形。

1) A1擁有 I的部分私鑰和私有秘密值，根據新鮮性定義，敵手不能查詢I的臨時私鑰。

2) A1不知道 I的部分私鑰和私有秘密值，根據新鮮性定義，敵手可以查詢I的臨時私鑰。

上述2種情形分別與4.1.1節1）和2）類似，同理可證明其安全性。

4.2 引理2的證明

引理2 假定CDH假設成立，則本文協議在A2的攻擊下在eCK模型下是安全的。

證明 假設A2以不可忽略的優勢 AdvA2在多項式時間內贏得了在2.4節中定義的游戲，那么C可利用A2的能力解決CDH問題。同引理1中證明類似，此時本文只需考慮2種情形。

2) 不存在誠實的用戶擁有Test會話的匹配會話。

A2作為惡意PKG可以獲得所有參與者的部分私鑰k。此時，存在誠實的用戶擁有Test會話的匹配會話又可分為以下4種情形。

1) A2既不知道I的臨時私鑰，也不知道J的私有秘密值

C對A2的查詢做出回答，除以下查詢的回答不同外，其余查詢均按照4.1.1節中1)的規則進行。

Creat(IDi)：假設 IDi=(I1, I2,… ,Ili)，C維護初始 為 空 的 列 表LC， 記 錄 格 式 為 { IDi,ki,,… ,的元組。C按如下規則生成元組數據。

若IDi=J，C在LC列表中找形如*,… ,*,*,*}的元組，其中，IDj為IDi的上層用戶，取其中層級最大的用戶，記為 IDj=(I1, I2,… ,Ilj),l≤l。選取 L 列表中相應的,,，隨機選

j iH1擇計算

若IDi≠J，C在LC列表中找形如{I Dj,*,*,… ,*,*,*}的元組，其中，IDj為IDi的上層用戶，取其中層級最大的用戶，記為 IDj=(I1, I2,… ,Ilj),lj≤li。 若 li≠ 1， 則 選 取 LH1列 表 中 相 應 的隨 機選擇若 li=1，則 lj= 0，隨機選擇計算

C記 錄 LH1元 組 為{In,Rin,

H2查詢：C維護初始為空的列表LH2，記錄格式為的元組。若 LH2中有記錄則返回對應的 sk給A2；若沒有記錄，則按如下操作。

若IDi=J，C在LS列表中找的元組。若找到，則計算

LH2中記錄的元組。返回sk給A2。

若IDi≠J，按4.1.1節中1)的規則回答。

RevealSecretValue(IDi)：C按以下規則回答。

若IDi=J，則C停止模擬；否則，按4.1.1節中1)的規則回答。

RevealPartialPrivateKey(IDi)：C發送部分私鑰給A2。

RevealMasterKey：C返回主私鑰給A2。

Send(∏s,m )：若=，則返回 T=V給

I,Ji

A2。若IDi=J，C隨機選取*iqt∈Z，并計算

否則，按照協議規則進行回答。

假定A2贏得此次游戲，則A2必定計算出了正確的Z、Z。C則有的概率在 L 中找到對應

12H2的正確元組。又因為 TI= tI( kI+ xI) P = V ，則

剩余情形的證明與引理1類似，同理可得引理2成立。

由引理1和引理2可得出定理1。

定理1 本文基于CDH假設的協議在eCK模型下是安全的。

5 效率分析

5.1 協議復雜度

本節對本文協議主要算法的計算復雜度進行分析，并與文獻[13,14]協議相對比，結果如表1所示。由于3種協議在構造上存在差別，所以分別以Key-Extract、Delegate和Agreement代表 3種協議的私鑰生成、私鑰委托和密鑰協商算法。在分析計算復雜度時，主要考慮的計算類型有：橢圓曲線上的雙線性對運算、循環加法群G中點乘運算及雙線性群GT中的指數運算及散列函數運算。用 P表示雙線性對運算，M表示點乘運算，E表示GT中的指數運算，H表示散列函數 H ：{0,1}*→G的運算。對于有系統最大層級限制的方案，用L表示系統最大層級，l表示用戶所處層級，lA、lB為用戶 A和 B的層級，i表示為用戶A和B在第i層有相同的節點。

表1 計算復雜度分析

5.2 算法執行耗時

為了對比協議的計算開銷，本節選取jpbc庫中A類橢圓曲線進行測試，其曲線方程為 y2=x3+x，G群階數為512 bit，域階數為160 bit。測試平臺的相關配置信息如表2所示。

本節對A類曲線中的雙線性對運算、G群點乘運算、G群乘法運算、GT群指數運算、GT群乘法運算、域乘法運算、域加法運算及散列函數運算的單次運算耗時分別進行了測試，結果如表3所示。

表2 測試平臺配置

表3 單次運算執行耗時

假設系統層級為 7，表 4和表 5分別為Key-Extract和 Delegate算法的執行耗時。在Agreement算法中，本節選取3種情形進行測試，假設用戶所處層級分別為 lA= 2、 lB= 7、i=1，測試結果如表6所示。

表4 Key-Extract算法執行耗時

表5 Delegate算法執行耗時

表6 Agreement算法執行耗時

測試結果表明，與同類協議相比，本文協議不僅解決了身份基密碼體制固有的密鑰托管問題，而且具有較高的執行效率。在私鑰生成和私鑰委托算法方面，本文協議具有不可比擬的優勢。在密鑰協商階段，算法耗時與用戶所處層級之和呈線性關系。雖然算法耗時隨著用戶所處層級之和的增加而不斷增加，但與前2種協議相比，本文協議仍具有較高的效率。

6 結束語

本文提出一種適用于空間信息網的無證書的層次認證密鑰協商協議，并對協議的安全性進行了證明。本文協議不僅解決了傳統公鑰基礎設施中的證書管理問題，而且避免了基于身份密碼體制固有的密鑰托管問題。與同類協議相比，本文協議具有較高的執行效率。本文協議對系統層級深度沒有限制，擴大了無證書的層次認證密鑰協商協議的適用范圍。

[1] HUNT R. PKI and digital certification infrastructure[C]// Ninth IEEE International Conference on Networks. IEEE, c2001： 234-239.

[2] SHAMIR A. Identity based cryptosystems and signature schemes[C]//Advances in Cryptology Crypto84. Berlin： Springer-Verlag, c1984： 47-53.

[3] AL-RIYAMI S S, PATERSON K G. Certificateless public key cryptography[M]. Advances in Cryptology-ASIACRYPT 2003, Springer Berlin Heidelberg, 2003： 452-473.

[4] HE D, CHEN Y, CHEN J, et al. A new two-round certificateless authenticated key agreement protocol without bilinear pairings [J].Mathematical and Computer Modelling, 2011, 54(11)： 3143-3152.

[5] HE D, CHEN J, HU J. A pairing-free certificateless authenticated key agreement protocol[J]. International Journal of Communication Systems, 2012, 25(2)： 221-230.

[6] HE D, PADHYE S, CHEN J. An efficient certificateless two-party authenticated key agreement protocol[J]. Computers & Mathematics with Applications, 2012, 64(6)： 1914-1926.

[7] TONG D, LIU J W, MAO K F, et al. Certificateless and pairing-free key agreement scheme for satellite network[C]//Communications Security Conference (CSC 2014). IET, c2014： 1-5.

[8] MOHAMED N A F, HASHIM M H A, BASHIER E, et al.Fully-secure and efficient pairing-free certificateless authenticated key agreement protocol[C]// 2012 World Congress on Internet Security(WorldCIS), IEEE, c2012： 167-172.

[9] SUN H Y, WEN Q Y, ZHANG H, et al. A strongly secure pairing-free certificateless authenticated key agreement protocol for low-power de-vices[J]. Information Technology and Control, 2013, 42(2)： 191-204.

[10] GHOREISHI S M, ABD R S, ISNIN I F, et al. New secure identity-based and certificateless authenticated key agreement protocols without pairings[C]// 2014 International Symposium on Biometrics and Security Technologies (ISBAST). IEEE, c2014： 188-192

[11] WANG Z, DU X, SUN Y. Group key management scheme based on proxy re-cryptography for near-space network[C]// 2011 International Conference on Network Computing and Information Security (NCIS).IEEE. c2011, 1： 52-56.

[12] GENTRY C, SILVERBERG A. Hierarchical ID-based cryptography[M]. Advances in cryptology—ASIACRYPT2002, Springer Berlin Heidelberg, 2002： 548-566

[13] 曹晨磊, 劉明奇, 張茹, 等. 基于層級化身份的可證明安全的認證密鑰協商協議[J]. 電子與信息學報, 2014, 36(12)： 2848-2854.CAO C L, LIU M Q, ZHANG R, et al. Provably secure authenticated key agreement protocol based on hierarchical identity[J]. Journal of Electronics & Information Technology, 2014, 36(12)：2848-2854.

[14] LIU W, LIU J, WU Q, et al. SAKE： scalable authenticated key exchange for mobile e-health networks[J/OL]. Security and Communication Networks, http：//onlinelibrary.wiley.com/doi/10.1002/sec.1198/epdf.

[15] CHOW S S M, ROTH V, RIEFFEL E G. General certificateless encryption and timed-release encryption [M]. Security and Cryptography for Networks, Springer Berlin Heidelberg, 2008： 126-143.

[16] HANKERSON D, VANSTONE S, MENEZES A J. Guide to elliptic curve cryptography [M]. Springer Science & Business Media, 2004.

[17] LIPPOLD G, BOYD C, NIETO J G. Strongly secure certificateless key agreement[M]. Pairing-Based Cryptography-Pairing 2009, Springer Berlin Heidelberg, 2009： 206-230.

Hierarchical certificateless authenticated key agreement protocol

SU Hang, LIU Jian-wei, TAO Rui
(School of Electronic and Information Engineering, Beihang University, Beijing 100191, China)

A hierarchical certificateless authenticated key agreement protocol was proposed, and the proposed protocol was proved secure in extended Canetti-Krawczyk (eCK) model, the security of the protocol was based on the computational Diffie-Hellman assumption. In the protocol, a root PKG authenticates the identity and generates a partial private key for lower-level PKG which authenticate the identity and generate a partial private key for users, private key generated by partial private key and user selected secret value. Comparing with the existing protocols, the protocol is efficient without bilinear pairings computation.

certificateless, hierarchical authenticated key agreement protocol, computational Diffie-Hellman assumption,eCK model

s: The National Basic Research Program of China (973 Program) (No.2012CB315905), The National Natural Science Foundation of China (No.61272501), The Fundamental Research Funds for the Central Universities (No.YWF-15-GJSYS-059)

ΤΝ918.1

A

10.11959/j.issn.1000-436x.2016145

2015-11-04；

2016-01-20

國家重點基礎研究發展計劃（“973”計劃）基金資助項目（No.2012CB315905）；國家自然科學基金資助項目（No.61272501）；中央高?；究蒲袠I務費專項基金資助項目（No.YWF-15-GJSYS-059）

蘇航（1992-），男，安徽宿州人，北京航空航天大學碩士生，主要研究方向為空間網絡安全、密碼學。

劉建偉（1964-），男，山東萊州人，博士，北京航空航天大學教授、博士生導師，主要研究方向為密碼學、網絡與信息安全。

陶芮（1991-），女，天津人，北京航空航天大學碩士生，主要研究方向為密碼學、網絡與信息安全。