基于切比雪夫多項(xiàng)式的三因子認(rèn)證密鑰協(xié)商協(xié)議

宋岱松，陳彥如，朱林全，李揚(yáng)，邢鑌,4

（1.四川大學(xué)計(jì)算機(jī)學(xué)院，成都610065；2.重慶工業(yè)大數(shù)據(jù)創(chuàng)新中心有限公司，重慶400707；3.西南通信研究所保密通信重點(diǎn)實(shí)驗(yàn)室，成都610041；4.工業(yè)大數(shù)據(jù)應(yīng)用技術(shù)國家工程實(shí)驗(yàn)室，北京100043）

0 引言

隨著5G 網(wǎng)絡(luò)的迅猛發(fā)展，物聯(lián)網(wǎng)技術(shù)得到了廣泛的實(shí)際應(yīng)用，如智能家居、智能電網(wǎng)、遠(yuǎn)程精準(zhǔn)醫(yī)療等應(yīng)用，方便了人們的日常生活，但由于網(wǎng)絡(luò)的開放性，物聯(lián)網(wǎng)設(shè)備間傳輸?shù)拿舾袛?shù)據(jù)容易被不法分子竊取、篡改，因此設(shè)備間需要有合適的認(rèn)證密鑰協(xié)商來鑒別合法設(shè)備和保障數(shù)據(jù)傳輸?shù)陌踩?/p>

由于物聯(lián)網(wǎng)設(shè)備往往是計(jì)算能力較弱、存儲(chǔ)空間受限的傳感器節(jié)點(diǎn)，基于RSA 的認(rèn)證密鑰協(xié)商協(xié)議并不適用，基于切比雪夫多項(xiàng)式的輕量級(jí)認(rèn)證密鑰協(xié)商協(xié)議成為首選。近年來，國內(nèi)外許多學(xué)者提出了一系列的協(xié)議，2014 年Yang 等人[1]提出智能卡的三方認(rèn)證密鑰協(xié)議，隨后被Park[2]證明其協(xié)議不能抵抗離線密碼猜測(cè)攻擊和內(nèi)部特權(quán)攻擊。2015 年Li 等人[3]提出基于切比雪夫混沌的三方認(rèn)證方案，但不滿足用戶匿名性以及無法抵抗已知特定會(huì)話的臨時(shí)信息攻擊。2016 年Amin 等人[4]在移動(dòng)網(wǎng)絡(luò)中提出用戶強(qiáng)匿名性的互認(rèn)證和密鑰協(xié)商方案，但其方案不具備完美前向安全性和消息完整性。2017 年Jiang 等人[5]提出無線傳感器網(wǎng)絡(luò)的三因素的輕量級(jí)認(rèn)證和密鑰協(xié)商協(xié)議，但其方案不具備完美前向安全性、抗模仿攻擊和消息完整性。2018 年Irshad 等人[6]提出一種匿名增強(qiáng)的三方認(rèn)證密鑰協(xié)商方案，但其方案不能抵抗中間人攻擊、抗重放攻擊、用戶匿名性和消息完整性。2019 年，Ying 等人[7]提出應(yīng)用于5G 多服務(wù)器環(huán)境的遠(yuǎn)程認(rèn)證密鑰協(xié)商模式，其模式不具備互認(rèn)證性、抗重放攻擊和抗模仿攻擊。

本文提出基于切比雪夫多項(xiàng)式的三因子認(rèn)證密鑰協(xié)商協(xié)議，文中詳細(xì)介紹協(xié)議各階段的執(zhí)行過程，最后對(duì)協(xié)議進(jìn)行安全性分析論證，并與已有部分協(xié)議進(jìn)行安全性比較。

1 切比雪夫多項(xiàng)式理論基礎(chǔ)

切比雪夫多項(xiàng)式也叫切比雪夫混沌映射，源起于多倍角的余弦函數(shù)和正弦函數(shù)的展開式，是與棣美弗定理有關(guān)，以遞歸式定義的多項(xiàng)式序列，是計(jì)算數(shù)學(xué)中的一類特殊函數(shù)。

1.1 切比雪夫多項(xiàng)式的基本原理[8]

1.2 切比雪夫多項(xiàng)式的相關(guān)定義

切比雪夫離散對(duì)數(shù)問題（Chebyshev Discrete Logarithm Problem，CDLP）：若已知T（nx）、x 的值求n 的值，在計(jì)算上是不可行的難題。

切比雪夫Diffe-Hellman 問題（Chebyshev Diffe-Hellman Problem，CDHP）：若已知T（nx）、Tm（x）、x 的值，求解Tnm（x）是在計(jì)算上是不可行的難題。

2 TFA-ECP協(xié)議

本文結(jié)合常見的物聯(lián)網(wǎng)節(jié)點(diǎn)間通信模型，提出基于切比雪夫多項(xiàng)式的認(rèn)證密鑰協(xié)商協(xié)議（TFA-ECP 協(xié)議），其主要應(yīng)用于資源受限的節(jié)點(diǎn)間和安全注冊(cè)中心之間相互認(rèn)證和臨時(shí)會(huì)話密鑰協(xié)商。TFA-ECP 協(xié)議分為三個(gè)階段，注冊(cè)中心初始化階段、安全注冊(cè)階段和安全認(rèn)證協(xié)商階段。

為方便描述TFA-ECP 協(xié)議，用SRC 代表安全注冊(cè)中心，Alice 和Bob 分別代表參與認(rèn)證和密鑰協(xié)商的兩個(gè)物聯(lián)網(wǎng)節(jié)點(diǎn)設(shè)備，協(xié)議所使用的部分符號(hào)含義如表1 所示。

表1 TFA-ECP 協(xié)議部分符號(hào)含義

2.1 注冊(cè)中心初始化階段

在注冊(cè)中心初始化階段，SRC 首先選取大素?cái)?shù)p、本機(jī)標(biāo)識(shí)IDs、隨機(jī)數(shù)x ∈(-∞,∞)作為擴(kuò)展切比雪夫多項(xiàng)式的參數(shù)，接著選擇隨機(jī)數(shù)s 作為SRC 的全局私鑰，通過Ts( x )mod p 計(jì)算得到SRC 的全局公鑰PK，然后選擇哈希函數(shù)H（.）和對(duì)稱加密算法E（k.）/D（k.），最后SRC 存儲(chǔ)本機(jī)標(biāo)識(shí)IDs到數(shù)據(jù)庫，通過公開信道將信息{x,p,PK,E（k.）/D（k.）,H（.）}下發(fā)給網(wǎng)絡(luò)中的其他節(jié)點(diǎn)。

2.2 安全注冊(cè)階段

在安全注冊(cè)階段，網(wǎng)絡(luò)中各節(jié)點(diǎn)已經(jīng)接收到SRC下發(fā)的信息，其注冊(cè)執(zhí)行過程如圖1 所示。Alice 選取身份標(biāo)識(shí)IDa和隨機(jī)數(shù)a ∈(-∞,∞)，ska∈(-∞,∞)，其中ska作為Alice 的設(shè)備私鑰，計(jì)算Ras=Tska( x )mod p 、Ra=Ta(x)mod p 、MIDa=Ta(IDa)mod p 和 kas=Ta(PK)mod p，產(chǎn)生時(shí)間戳Tas，利用kas將MIDa、Tas和Ras經(jīng)加密后得到加密信息Mas，隨后使用哈希函數(shù)計(jì)算摘要信息Signas=H( Mas||Ra)，最后Alice 將信息{Mas，Ra，Signas}發(fā)送給SRC。同樣地，Bob 的注冊(cè)過程和Alice 完全相同，將信息{Mbs,Rb,Signbs}發(fā)送給SRC。

當(dāng)SRC 接收到Alice（或Bob）發(fā)送過來的注冊(cè)信息時(shí)，首先重新計(jì)算Signa`s=H( Mas||Ra)，判斷Signa`s和Signas的值是否相等，若不等則拒絕該注冊(cè)請(qǐng)求，若相等，則計(jì)算kas=Ts( Ra)mod p，使用kas解密密文Mas得到MIDa、Tas和Ras。接著，SRC 生成時(shí)間戳Ta`s，然后，判斷是否滿足 |Ta`s-Tas|≤ΔT ，若不滿足，則拒絕該注冊(cè)請(qǐng)求，若 滿 足，選 取 隨 機(jī) 數(shù) ma∈(-∞,∞) ，計(jì) 算wa=H( ma||MIDa||(Ts(Ras)mod p) )，WTa=Twa( PK )mod p ，Vsa=H( ma||WTa||IDs)，重新生成時(shí)間戳Tsa，使用ksa將Tsa、ma和IDs加密得到Msa，計(jì)算MIDa、Vsa和Msa的摘要信息Signsa。最后，SRC 將＜MIDa,ksa,WTa,ma＞存放到數(shù)據(jù)庫，并通過公開信道將信息{Msa,Vsa,Signsa}發(fā)送給Alice。相似地，收到Bob 的注冊(cè)信息時(shí)，SRC 也會(huì)將＜MIDb,ksb,WTb,mb＞存放到數(shù)據(jù)庫，并通過公開信道將信息{Msb,Vsb,Signsb}發(fā)送給Bob。

Alice 收到SRC 返回的消息后，首先重新計(jì)算摘要信息Sign`sa=H( Msa||Vsa||MIDa)，判斷Sign`sa和Signsa的值是否相等，若不相等，則丟棄并重新進(jìn)行注冊(cè)，若相同，則利用kas 對(duì)Msa解密得到ma、Tsa和IDs，Alice 生成時(shí)間戳Ts`

a，判斷 |Ts`a-Tsa|≤ΔT 是否滿足，若不滿足，則丟棄并重新進(jìn)行注冊(cè)，若滿足，計(jì)算wa`=H( ma||MIDa||(Tska(PK)mod p)) ，進(jìn)而計(jì)算WTa`=Tw`a(PK) mod p，計(jì)算摘要信息Vs`a=H( ma||WTa`||IDs)，判斷Vs`a和Vsa是否相等，若不相等，則丟棄并重新進(jìn)行注冊(cè)，若滿足，則將＜IDs,MIDa,ma,WTa,kas＞存放到本地?cái)?shù)據(jù)庫。相同地，Bob 收到SRC 返回的消息后，經(jīng)過相同計(jì)算驗(yàn)證過程，將＜IDs,MIDb,mb,WTb,kbs＞存放到本地?cái)?shù)據(jù)庫。

圖1 TFA-ECP協(xié)議安全注冊(cè)階段過程示意圖

2.3 安全認(rèn)證協(xié)商階段

在安全認(rèn)證協(xié)商階段，假定Alice 將向Bob 發(fā)送信息，需要通過SRC 完成身份認(rèn)證和臨時(shí)會(huì)話密鑰協(xié)商，其認(rèn)證協(xié)商執(zhí)行過程如圖2 所示。Alice 首先選擇隨機(jī)數(shù)g ∈(-∞,∞) ，計(jì)算skasb=H( g||IDs||ma||WTa)，was=Tskasb( x )mod p，etas=Tskasb( PK )mod p 生成時(shí)間戳Tasb，然后從本地?cái)?shù)據(jù)庫中獲取kas，并利用其對(duì)was和Tasb加密得到Masb，計(jì)算摘要信息Vasb=H(etas||WTa||IDs|| MIDa) ，Signasb=H( Masb||Vasb)，最后將信息{Masb,Vasb,Signasb}發(fā)送給SRC，同時(shí)Bob 也開啟認(rèn)證協(xié)商階段，相似地將計(jì)算加密后的信息{Mbsa,Vbsa,Signbsa}發(fā)送給SRC。

圖2 TFA-ECP協(xié)議安全認(rèn)證協(xié)商過程示意圖

一旦SRC 收到Alice（或Bob）發(fā)送來的消息時(shí)，首先計(jì)算Signa`

sb=H( Masb||Vasb)，Signb`sa=H( Mbsa||Vbsa)，判斷Sign`asb和Signasb，Signb`sa和Signbsa是否相等，若兩者任一不相等，則拒絕該認(rèn)證協(xié)商請(qǐng)求，若兩者都相等，則分別從數(shù)據(jù)庫中獲取＜MIDa,ksa,WTa,ma＞和＜MIDb,ksb,WTb,mb＞，分別利用ksa和ksb對(duì)Masb，Mbsa解密得到was、Tasb、wbs和Tbsa，，判斷 |Ta`sb-Tasb|≤ΔT 和 |Tb`sa-Tbsa|≤ΔT是否滿足，若不滿足條件，則拒絕該認(rèn)證協(xié)商請(qǐng)求，若滿足條件，則計(jì)算Fa=Ts( wa)mod p 和Fb=Ts( wb)mod p ，Va`sb=H( Fa||WTa||IDs||MIDa)和Vb`sa=H(Fb||WTb||IDs||MIDb)，判斷Va`sb和Vasb，Vb`sa和Vbsa是否相等，若兩者任一不相等，則拒絕該認(rèn)證協(xié)商請(qǐng)求，若兩者都相等，則 SRC 選 擇 隨 機(jī) 數(shù) r ∈(-∞,∞) 并 計(jì) 算token=H(W Ta||WTb||r )。然后，SRC 產(chǎn)生時(shí)間戳Ts，計(jì)算摘要信息HSK=H( Fa||Fb||token||Ts)，Ga=H(W Ta||HSK )，Gb=H(W Tb||HSK )。利用ksa對(duì)Fb、token、Ga和Ts加密得到Msab，并計(jì)算摘要信息Vsab=H(token||WTa|| Fb|| Ts||Fa||Ga) ，Signsab=H( Msab||Vsab)，利用ksb對(duì)Fa、token、Gb和 Ts加 密 得 到 Msba，并 計(jì) 算 摘 要 信 息Vsba=H( t oken||WTb||Fa|| Ts||Fb||Gb)，Signsba=H( Msba||Vsba)。最后，SRC 將消息{Msab,Vsab,Signsab}和消息{Msba,Vsba,Signsba}分別發(fā)送給Alice 和Bob。

Alice（或Bob）收到SRC 響應(yīng)的消息時(shí)，首先重新計(jì)算摘要信息Sign`sab=H( Msba||Vsba)，若Sign`sab和Signsab不相等，則中止認(rèn)證協(xié)商過程，若相等，則使用kas對(duì)Msab解密得到Fb、token、Ga、Ts。然后，判斷 |Ts`-Ts|≤ΔT 是否滿足條件，若不滿足條件，則立即終止該認(rèn)證協(xié)商階段，若滿足該條件，則計(jì)算臨時(shí)會(huì)話密鑰SSKab=H( Fb||etasb||token )，計(jì)算摘要信息La=H(WTa||HSK) 。接著，計(jì)算Vs`ab=H( token||Fb|| Ts||etasb||La)，判斷Vs`ab和Vsab是否相等，若不相等，則中止該認(rèn)證協(xié)商階段，若相等，則Alice 將SSKab作為本次通信的臨時(shí)會(huì)話密鑰。相似地，Bob 經(jīng)過相同的計(jì)算驗(yàn)證步驟，最終將SSKba作為本次通信的臨時(shí)會(huì)話密鑰。

3 TFA-ECP協(xié)議安全性分析

本節(jié)將對(duì)本文所提出的TFA-ECP 協(xié)議進(jìn)行安全性分析，詳細(xì)論證所提出的協(xié)議能夠滿足的安全屬性。

3.1 安全屬性定義

用戶匿名性（User Anonymity）：在協(xié)議執(zhí)行過程中，敵手無法獲得的節(jié)點(diǎn)設(shè)備真實(shí)的ID 標(biāo)識(shí)。

完美前向安全性（Perfect Forward Security）：敵手即使獲得當(dāng)前節(jié)點(diǎn)的長期密鑰，也無法通過長期密鑰計(jì)算出之前協(xié)商出臨時(shí)會(huì)話密鑰。

消息完整性（Message Integrity）：發(fā)送節(jié)點(diǎn)在公開信道發(fā)送消息，敵手通過監(jiān)聽公開信道，截獲消息并篡改消息后再轉(zhuǎn)發(fā)給接收節(jié)點(diǎn)，接收節(jié)點(diǎn)收到消息后能夠鑒別消息是否被惡意篡改。

抗重放攻擊（Replay Attacks Resistance）：敵手不能通過多次發(fā)送歷史消息給目的節(jié)點(diǎn)。

抗模仿攻擊（Impersonation Attacks Resistance）：敵手如果不能獲得注冊(cè)中心下發(fā)給節(jié)點(diǎn)的長期密鑰，就不能模仿節(jié)點(diǎn)和其他節(jié)點(diǎn)進(jìn)行認(rèn)證協(xié)商。

互認(rèn)證性（Mutual Authentication）：節(jié)點(diǎn)之間通過注冊(cè)中心能夠相互認(rèn)證，且認(rèn)證過程無法被敵手偽造。

3.2 TFA-ECP協(xié)議安全屬性分析

（1）用戶匿名性

概言之，蘇佩斯科學(xué)理論觀的形成不僅有其深厚的理論思想背景，亦有其現(xiàn)實(shí)的理論發(fā)展需求。一方面，邏輯經(jīng)驗(yàn)主義者關(guān)于科學(xué)理論的“公認(rèn)觀點(diǎn)”為其科學(xué)理論觀的建構(gòu)提供了先在的問題框架與思想緣起；另一方面，對(duì)“公認(rèn)觀點(diǎn)”的批判性重審又在一定意義上促生了其對(duì)科學(xué)理論重新加以解讀的理論需求，而集合論的發(fā)展及其理論優(yōu)勢(shì)恰恰為蘇佩斯實(shí)現(xiàn)對(duì)科學(xué)理論觀的重建提供了恰當(dāng)?shù)倪壿嬂砺放c方法論平臺(tái)。可以說，對(duì)科學(xué)理論“集合論模型”的構(gòu)建正是蘇佩斯科學(xué)理論觀的一個(gè)重要的理論訴求。

在TFA_ECP 協(xié)議的任何階段，由于節(jié)點(diǎn)的身份信息都經(jīng)過加密傳輸或者使用臨時(shí)身份ID，加密后的身份信息只有合法的節(jié)點(diǎn)或者注冊(cè)中心正確計(jì)算密鑰后才能獲得，臨時(shí)身份ID 每次會(huì)話都會(huì)不同，敵手無法根據(jù)截獲信息獲得節(jié)點(diǎn)真實(shí)身份，故滿足用戶匿名性。

（2）完美前向安全性

在認(rèn)證協(xié)商階段，協(xié)商產(chǎn)生的臨時(shí)會(huì)話密鑰跟通信雙方節(jié)點(diǎn)和注冊(cè)中心產(chǎn)生的隨機(jī)數(shù)有關(guān)，因此敵手獲得當(dāng)前的臨時(shí)會(huì)話密鑰也無法計(jì)算得出之前會(huì)話的密鑰，故滿足完美前向安全性。

（3）消息完整性

任意節(jié)點(diǎn)收到消息后，會(huì)通過哈希散列算法計(jì)算摘要值，驗(yàn)證消息是否被敵手篡改，并且解密后的消息，再次進(jìn)行摘要計(jì)算，驗(yàn)證消息和簽名是否同時(shí)被敵手篡改，故滿足消息完整性。

（4）抗重放攻擊

任意節(jié)點(diǎn)鑒定消息未被篡改后使用密鑰解密得到時(shí)間戳Tn，節(jié)點(diǎn)可以根據(jù)時(shí)間戳判定消息的新鮮性，故可以抗重放攻擊。

敵手在不知道Alice 長期密鑰WTa的情況下模仿Alice，只能隨機(jī)生成偽長期密鑰WTx用于此次認(rèn)證協(xié)商，在SRC 對(duì)Vasb進(jìn)行驗(yàn)證時(shí)，Va`

sb=H(Fa||WTa||IDs||MIDa) ，會(huì)發(fā)現(xiàn)Vasb`和Vasb值不相等，故具備抗模仿攻擊。

（6）互認(rèn)證性

SRC 在接收到Alice 的消息后，通過驗(yàn)證Vasb值來認(rèn)證Alice 或者Bob 的身份，當(dāng)Alice 收到SRC 響應(yīng)的消息后，結(jié)合計(jì)算出來的SSKab和Vsab的值來對(duì)Bob 和SRC 的身份進(jìn)行認(rèn)證，同理，Bob 也可完成對(duì)Alice 和SRC 的身份認(rèn)證，故滿足互認(rèn)證性。

3.3 協(xié)議安全性比較

本節(jié)將所提TFA-ECP 協(xié)議、Jiang[5]協(xié)議、Ying[7]協(xié)議和Gope[10]協(xié)議進(jìn)行安全性比較，安全性分析結(jié)果如表2 所示。

表2 協(xié)議安全性比較結(jié)果

4 結(jié)語

本文從物聯(lián)網(wǎng)的實(shí)際安全問題觸發(fā)，提出了基于切比雪夫多項(xiàng)式的三因子認(rèn)證密鑰協(xié)商協(xié)議（TFAECP），首先對(duì)切比雪夫多項(xiàng)式原理進(jìn)行說明，然后詳盡地描述了其初始化階段，注冊(cè)階段和認(rèn)證協(xié)商階段，最后對(duì)TFA-ECP 協(xié)議進(jìn)行安全性分析論證，且安全性優(yōu)于Jiang、Ying 和Gope 的協(xié)議。