基于CK模型的安全節點認證密鑰交換協議*

劉志猛，趙燕麗

(山東工商學院 山東省高校智能信息處理重點實驗室，山東 煙臺 264005)

基于CK模型的安全節點認證密鑰交換協議*

劉志猛，趙燕麗

(山東工商學院 山東省高校智能信息處理重點實驗室，山東 煙臺 264005)

無線傳感器網絡中的節點常常被部署在非安全的環境中，因而容易遭受假冒等安全威脅。為保護可信節點之間數據通信安全，基于計算性Diffie-Hellman假設，提出一種節點認證與密鑰交換協議。推薦方案不僅能實現對參與節點真實身份的鑒別，而且生成一個參與方共享的秘密密鑰，為參與方之間的數據交換建立一個安全的通信信道。并證明了推薦方案能實現CK模型下認證和密鑰協商的協議的安全目標。此外，對安全屬性的分析表明該協議具備前向安全、已知會話密鑰安全、抗密鑰泄漏假冒及未知密鑰共享攻擊的能力。

無線傳感器網絡；節點認證；CK模型；計算性DH假設

0 引言

無線傳感器網絡往往部署在敵對環境中，因而可能要面對各種各樣的惡意攻擊。為保證任意兩個節點之間交互信息的安全，往往引入認證的密鑰交換協議(Authenticated Key Exchange，AKE)實現節點之間的認證，并協商出一個共享的秘密密鑰，繼而建立節點之間的安全通信信道。設計和分析安全的AKE協議是一項非常困難的工作。自從Bellare and Rogaway第一次提出密鑰交換協議的形式化方法[1]以來，眾多的AKE協議分析模型[2-7]被提出，其中最為著名也應用最為廣泛的當屬CK模型[5]。本文中，基于CDH假設，提出一種CK安全的適于節點認證的AKE協議，分析表明該協議具有抵抗KCI攻擊的屬性。

1 CK安全模型

在CK模型中，一個AKE實驗包括n個主體和一個經公共網絡相連的敵手M。每個主體都可以被接收到的網絡信息或者是其他子程序發來的行為請求激活。AKE協議的一次執行成為一次AKE會話。而敵手則具有選擇執行會話的主體的能力以及安排會話執行順序的能力。

CK模型通過以下兩步設計安全的認證密鑰交換協議：首先設計在認證鏈路模型中安全的密鑰交換協議π；其次，利用CK模型提供的認證器將π轉換成非認證鏈路模型下具有同等安全性的協議π′。

定義1 CK模型將兩個會話(Ni,Nj,s,initiator)和(Nj,Ni,s,responder)稱為匹配會話。

1.1 敵手能力

在CK模型中，敵手被模型化為一個具有概率多項式時間的圖靈機。認證鏈路模型中的AM敵手，僅能夠忠實地傳遞主體之間交換的消息，而不能任意添加或改變消息的內容。而非認證鏈路模型中的UM敵手，除了完全控制了主體之間的通信鏈路和協議事件的調度以外，還能夠通過發起一系列的查詢獲取參與主體及相關會話的秘密信息。

利用Session-State Reveal查詢敵手M獲得未完成的會話s的全部內部狀態信息。

利用Session-Key Reveal查詢獲得已完成的會話s的會話密鑰。

利用corrupt party查詢完全控制s的擁有者，從而獲得其包括長期私鑰的全部內部狀態信息。

利用Test-session查詢，獲得已完成、未過期并且尚未暴露的會話s的真實會話密鑰或者一個滿足密鑰分布的隨機數。

定義2 當且僅當會話s與其匹配會話都未被Session-State Reveal查詢、Session-Key Reveal查詢以及corrupt party查詢時，s及其匹配會話稱為未暴露的會話。

1.2 CK模型中安全密鑰交換協議

定義3 對所有PPT敵手M，CK安全的密鑰交換協議滿足以下性質：

(1)協議是未過期未暴露的，并且參與主體不是被腐化(corrupted)主體；

(2)參與主體完成匹配會話計算出相同的會話密鑰；

(3)PPT敵手M攻擊協議π的優勢函數滿足：

(1)

2 節點認證的密鑰交換協議

2.1 計算性Diffie-Hellman假設

AdvCDH(A)=Pr[A(p,g,ga,gb)=gab]≤ε(k)

(2)

2.2 推薦協議

假設相鄰節點A和B的密鑰對為(a,PKA=ga)；節點B私鑰和公鑰對為(b,gb)。則雙方分別執行匹配會話協商一個共享的會話密鑰，繼而為后續的數據通信建立安全的通信信道。如圖1所示。

圖1 認證鏈路模型中的協議π

2.3 推薦協議的安全證明

引理1 如果CDH假設成立，則推薦的認證密鑰交換協議π是CK安全的。

具體證明過程如下：

(1)根據協議描述，正確執行協議π的參與節點完成協議的執行后計算并輸出相同的會話密鑰g(a′b′)。會話標識s與雙方選擇的隨機數綁定一起，保證了s的會話密鑰的新鮮性。

(2)以下證明推薦協議π同時滿足定義3的性質(2)。假設在CK模型中存在一個認證模型中的敵手M，能以不可忽略的優勢正確地猜測出測試會話查詢的返回值。除了M以外，構造一個解決器D，它能以不可忽略的概率δ(k)區分出真實的會話密鑰和符合會話密鑰分布的隨機數。將D的輸入記為(p,g,(ta)*,(tb)*,t*)，以0.5的概率分別從D0和D1中選取，其中：

D0={〈G,g,ta,tb,ta-1b-1〉:a′,b′∈RZq}

(3)

D1={〈G,g,ta,tb,tr〉:a′,b′,r∈RZq}

(4)

令m表示M發起的全部會話數。首先M選中的第r次會話正好是測試會話時，M發起會話測試查詢繼而接收響應t*。如果D的輸入來自D0，則響應是真實的會話密鑰ga′b′；如果來自D1，則響應是隨機數。由于輸入來自D0或D1的概率分別是0.5，則D提供的測試會話查詢響應的概率分布與攻擊者成功猜測出測試會話會話密鑰的概率相同，因此M正確猜測測試值是真正的會話密鑰還是隨機數的概率等于0.5+δ(k)，即區分器D正確區分輸入來自D0還是D1的概率是0.5+δ(k)。其次，M選中的第r次會話不是測試會話時，則D總是在終止后輸出一個隨機位，則M猜中的概率等于0.5。由于兩種情況下，測試會話與M選中會話相同和不同的概率分別是1/m和1-1/m，因此M猜中的概率響應也就是M獲勝的概率等于(0.5+ε)×(1/m)+0.5(1-1/m)，說明解決器D能以不可忽略的優勢區分D0和D1，這與不存在有效算法能解決CDH假設相矛盾。因此，在CDH假設下推薦協議π是CK模型安全的。

3 非認證模型中的安全協議

選取基于簽名技術的MT-認證器λSIG模擬推薦協議π，構造出非認證模型中具有相同會話密鑰安全的協議π′。

引理2 假設認證器所選用的簽名算法能抵抗選擇消息攻擊，則協議λSIG(π)在非認證鏈路模型中模擬了推薦協議π[2-3]。

非認證鏈路模型中CK安全的節點認證密鑰交換協議如圖2所示。協議執行過程如下：

(1)對于輸入(NA,NB,s)，發起方A選擇隨機數ra∈RZq，計算a′=H(a,ra)、tA=(PKB)a′,并將消息(NA,tA,s)發送給B。

(2)收到消息后，響應方B選擇隨機數rb∈RZq后計算b′=H(b,rb)、tB=(PKA)b′，繼而向A發送消息(NB,tb,s)及簽名SIGB(NB,s,tA,tB,NA)。計算會話密鑰KB=(tA)b′b-1=gH(a,ra)H(b,rb)，并擦除rb。

(3)A驗證收到的消息和簽名，并檢驗簽名中包含信息的正確性。如果驗證通過，則A向B發送消息及簽名NA,s,SIGA(NA,s,tB,tA,NB)，擦除ra。輸出會話密鑰KA=(tB)a′a-1=gH(a,ra)H(b,rb)。

(4)B收到NA,s,SIGA(NA,s,tB,tA,NB)后，驗證簽名是否有效、簽名內的消息是否正確。如果通過驗證，則輸出會話密鑰KB。

圖2 非認證鏈路模型中的協議π′

若CDH假設成立，選用簽名算法能抵抗選擇消息攻擊且散列函數是抗強碰撞的，由引理1、2可知協議π′在非認證鏈路模型下是CK安全的。

4 結論

為保護相鄰節點之間交換信息的安全性，本文在CDH假設基礎上，提出一種節點認證和密鑰交換協議，既實現了對節點真實身份的認證，又為雙方交換數據建立一個安全的通信信道。此外，分析表明推薦協議既能實現在CK模型下的安全目標，還能為參與雙方以及建立的會話密鑰提供抗KCI、完美前向安全等安全屬性。與類似協議相比，由于推薦協議需要計算的模冪指數、Hash運算量相對較少，故而能較好地適應資源相對受限的無線傳感器節點環境中的應用。

[1] BELLARE M,RAN C.Entity authentication and key distribution[C].International Cryptology Conference,1993:232-249.

[2] BELLARE M,RAN C,KRAWCZYK H.A modular approach to the design and analysis of authentication and key exchange protocols[C].Thirtieth ACM Symposium on the Theory of Computing,1998, 20(301):419-428.

[3] BELLARE M,ROGAWAY P.Provably secure session key distribution-the three party case[C].Proceedings of the 27th Annual ACM Symposium on Theory of Computing,1995:57-66.

[4] KRAWCZYK H.HMQV:a high-performance secure diffie-hellman protocol[C].Protocol Advances in CryptologyCrypto’05 Lncs,2005,3621:546-566.

[5] RAN C,KRAWCZYK H.Analysis of key-exchange protocols and their use for building secure channels[C].Lecture Notes in Computer Science,2001,2045:453-474.

[6] LAMACCHIA B,LAUTER K,MITYAGIN A.Stronger security of authenticated key exchange[C].International Conference on Provable Security,2007:1-16.

[7] CREMERS C.Examining indistinguishability-based security models for key exchange protocols:the case of{CK,CK-HMQV,and eCK}[C].Proceedings of the 6th ACM Symposium on Information,Computer and Communications Security,2011:80-91.

A secure node authenticated key exchange protocol based on CK model

Liu Zhimeng, Zhao Yanli

(Key Laboratory of Intelligent Information Processing in Universities of Shandong, Shandong Institute of Business and Technology,Yantai 264005, China)

Nodes in wireless sensor networks are often deployed in a non secure environment, which is vulnerable to security threats such as counterfeiting .To protect sensor nodes deployed in insecure wireless sensor networks from variety of malicious attacks, an authenticated key exchange protocol is proposed, which security relies on Computational Diffie-Hellman Problem, and is better suited for Wireless Sensor Networks (WSN) to establish a shared session key between two adjacent nodes. The proposed protocol has some good security properties on the basis of CK model, including perfect forward secrecy，known session key，unknown-key share, key compromise impersonation resistance.

wireless sensor networks; node authentication; the CK model; CDH assumption

山東省高等學校科技計劃(J12LJ04)

TN918

A

10.19358/j.issn.1674- 7720.2017.09.002

劉志猛，趙燕麗.基于CK模型的安全節點認證密鑰交換協議[J].微型機與應用，2017,36(9)：5-7.

2017-01-06)

劉志猛(1974-)，男，碩士，講師，主要研究方向：信息與網絡安全。

趙燕麗(1976-)，女，碩士，講師，主要研究方向：大數據及安全。