Cybertwin中的格上生物特征認證密鑰交換協議

摘要：針對基于Cybertwin的網絡架構中通信雙方存在信道安全以及隱私保護的問題，提出新的格上認證密鑰交換協議。使用生物特征認證技術實現Cytertwin服務下的用戶實名制登錄和強身份認證需求，保證Cybertwin服務對用戶網絡行為的審計和追蹤。通過引入通信方身份信息構造格上抗碰撞哈希函數，使身份信息在公共信道傳輸過程中能夠應對量子威脅，同時滿足用戶匿名性和不可追蹤性。最后基于RLWE問題設計了新的和解機制，通過兩輪交互共享安全會話密鑰。協議在BPR模型下滿足理論可證明安全，具有抗量子攻擊、抗臨時秘密值泄露攻擊、抗生物特征猜測攻擊等安全特性。仿真實驗表明該協議計算和通信開銷適用于Cybertwin服務下數量龐大的終端互連需求。

關鍵詞：Cybertwin；生物特征認證；格密碼；抗碰撞哈希函數

中圖分類號：TP309文獻標志碼：A

文章編號：1001-3695（2022）04-040-1195-07

doi：10.19734/j.issn.1001-3695.2021.09.0415

Biometric authentication key exchange protocol from lattice on Cybertwin network

Tang Yongli1，Yin Minghui1，Zhao Zongqu1，Guo Xiaojie1，Deng Dazhi2

（1.College of Computer Science amp; Technology，Henan Polytechnic University，Jiaozuo Henan 454000，China；2.Jiaozuo Smart Financial Services Co.，Ltd.，Jiaozuo Henan 454000，China）

Abstract：Aiming at the channel security and privacy protection problems of the communication parties in the Cybertwin-based network architecture，this paper proposed a new authentication key exchange protocol from lattice，which used biometric authentication technology to realize the user real-name login and strong identity authentication requirements，to ensure the auditable and traceable of the user’s network behavior under the Cybertwin service.The novel protocol utilized the identity information of the communicating party to construct an anti-collision hash function from lattice，the hash function could deal with quantum threats in the process of public channel transmission，and satisfy the user’s anonymity and untraceable.Designing a new reconciliation mechanism based on the RLWE problem to share the secure session key through two rounds of interaction.The protocol satisfies the theoretical provably security in BPR model，and has security features such as resistance of quantum attack，resistance of ephemeral secret leakage attack，and resistance of biometric leak attack.Experiments prove that the calculation costs and communication costs of the protocol are suitable for a large number of terminal interconnection requirements under Cybertwin service.

Key words：Cybertwin；biometric authentication；lattice cryptography；anti-collision hash function

0引言

萬物互聯（Internet of everything，IoE）作為未來互聯網的發展方向，在下一代移動通信和人工智能技術的幫助下，能夠實現人、物、程序和數據的智能連接［1］。與傳統端到端網絡相比，IoE網絡需要提供無處不在的數據收集、處理、傳輸以及提供服務的能力［2］，以保證數十億人口和數千億設備的互連需求。Yu等人［3］針對IoE網絡的結構復雜性和應用多樣性等特點，提出了一種基于Cybertwin的網絡架構，可實現網絡的可擴展性、移動性、安全性和可用性。如圖1所示，基于Cybertwin的網絡架構包括終端、核心云、邊緣云和Cybertwin服務（簡稱Cybertwin）四個關鍵組件。終端指網絡中存在的人和物（設備），通過多種訪問方式與網絡連接。核心云為終端提供計算、緩存和通信資源。邊緣云位于核心云和終端之間，協助核心云為終端提供高質量網絡服務并快速響應終端請求。Cybertwin作為部署于邊緣云中的重要服務，能夠以通信代理的身份，將核心云中的網絡資源提供給終端用戶，并實時獲取和記錄終端所有行為數據，將這些數據轉換為數字資產進行管理。Cybertwin能夠實現網絡資源的統一管理，避免了傳統服務運營商的數據壟斷?；贑ybertwin的網絡架構中，終端作為網絡資源的獲得者和行為數據的提供者，存在身份認證和用戶實名制問題，還應滿足用戶匿名性和身份不可追蹤性。用戶匿名性指只有合法的Cybertwin才能獲得用戶的真實身份。不可追蹤性指用戶的不同認證會話相互獨立，攻擊者無法區分兩個認證會話中用戶是否相同［4］。

為滿足新的安全需求，構造基于Cybertwin的網絡架構下的認證密鑰交換（authentication key exchange，AKE）協議是實現用戶和Cybertwin相互認證、保證用戶匿名和不可追蹤最有效的方法。AKE協議能夠確保只有合法的通信方獲得會話密鑰，為后續安全通信提供保障。

Shor算法［5］的提出，使基于傳統困難問題的AKE協議在后量子時代面臨嚴重的安全威脅。針對量子攻擊的問題，Ajtai等人［6］提出了首個基于格上困難問題的公鑰密碼方案。自從Regev［7］在格上提出帶錯誤學習（learning with errors，LWE）問題，并證明LWE問題的困難性能夠歸約到格上SIVP問題，這標志著基于格的公鑰密碼算法進入嶄新時期。

2012年，Ding等人［8］基于LWE/RLWE（ring learning with errors，RLWE）困難問題，設計了首個利用和解機制生成會話密鑰的密鑰交換協議，通信雙方無須任何加/解密運算便可得到會話密鑰。但文獻［8］協議沒有提供用戶和服務器之間的認證機制，無法抵抗中間人攻擊。針對此問題，Ding等人［9］在2017年構造了可證明安全的基于RLWE的口令認證密鑰交換（password authentication key exchange，PAKE）協議。文獻［9］協議通過共享口令實現用戶和服務器的相互認證，以此抵抗中間人攻擊。Islam［10］利用和解機制提出基于RLWE困難問題的兩方口令認證密鑰交換（2PAKE）協議。通信雙方從注冊中心獲得統一公鑰和私鑰以實現密鑰重用，節省了計算開銷。協議在隨機預言機模型下可證明安全，并通過LatticeCrypto函數庫評估其性能。Jin等人［11］提出新的和解機制——對稱/非對稱密鑰共識算法，并基于LWE困難問題設計了密鑰交換協議。文獻［11］協議沒有提供通信雙方的相互認證機制，且會話密鑰由臨時秘密值生成，容易受到中間人攻擊、臨時秘密值泄露攻擊。針對這一問題，2020年Zhao等人［12］基于對稱密鑰共識算法，設計了基于LWE的雙因子認證密鑰交換協議，使用雙因素（智能卡和生物特征）進行身份認證，增強了協議認證的安全性。同年Yang等人［13］在文獻［9，11］協議的基礎上，利用非對稱密鑰共識算法，提出了三輪交互的格上PAKE協議，并在Bellare-Pointcheval-Rogaway（BPR）模型下證明了該協議能抵抗量子攻擊，其運行效率和安全強度相較于文獻［9，11］均有所提高。以上協議都是針對傳統互聯網安全目標而設計的，并不能很好地滿足Cybertwin網絡架構中用戶實名制、匿名性和不可追蹤性等新的安全需求。

隨著網絡的飛速發展，研究人員發現傳統的低熵口令存在不與用戶身份相關聯和易遺忘、丟失、偽造等缺點，已經不能適用于復雜的網絡環境。相較于上述協議使用的口令認證技術，生物特征認證顯得更加安全可靠。生物特征作為與用戶身份相關聯的唯一標志，具有不易丟失、交換、盜竊、偽造等優勢，便于用戶隨身攜帶和實名登錄認證［14～17］?；谏锾卣鞯恼J證技術滿足Cybertwin下的用戶實名制和強身份認證需求，保證Cybertwin對用戶網絡行為的審計和追蹤。因此，設計新的強安全的生物特征認證協議是迫切需要的。

本文提出了應用于Cybertwin服務的格上生物特征認證密鑰交換協議，主要貢獻如下：a）使用生物特征認證技術實現Cybertwin服務下的用戶實名制登錄和強身份認證需求，通過引入通信方身份信息構造格上抗碰撞哈希函數，保證用戶匿名性和不可追蹤性；b）基于RLWE問題設計了新的和解機制共享臨時秘密值，并計算會話密鑰，協議能抵抗量子攻擊、臨時秘密值泄露攻擊，且具有更高的運行效率。

1背景知識

1.1相關定義

RLWE問題。設n=2k，k∈。將q上的多項式環定義為q［x］，其中q是一個奇素數，且滿足q mod 2n=1。對于多項式環q=q［x］/（xn+1）中的任何多項式元素y，分別用其系數向量nq表示。給定一個固定的正實數β，q上的離散高斯分布用χβ表示。

判定性RLWE假設。令s∈q，As，χβ在（a，as+e）∈q×q上均勻分布，其中a←q，e←χβ。判定性RLWE困難性表現為任何概率多項式時間算法PPT很難將As，χβ從均勻隨機分布q×q中區分出來。

非齊次小整數解問題（inhomogeneous small integer solution，ISIS）。定義隨機矩陣A∈m×nq和隨機向量u∈nq，實數βgt;0。存在向量z∈nq，使得Az=u mod q成立，且滿足|x|≤β。ISIS問題的困難性在于已知矩陣A∈m×nq和向量μ∈nq，在概率多項式時間內求解非零向量z∈nq的概率可忽略不計。

格上抗碰撞哈希函數。hi（x）=Aix∈mq，Ai∈m×nq，‖x‖∞≤1（輸入項x的無窮范數小于等于1）。將輸入的x向量化參與運算（這里1表示元素全為1的向量）：

h1（x）=A1x1mod 2，hRIDi（x）=RIDix1mod 2

hCj（x1，x2，x3）=Cjx1+x2x31mod 2

此函數的安全分析如本文4.2節所示。

1.2模糊提取技術

在此定義Dodis等人［18］提出的生物特征模糊提取技術，該機制能夠在給定的誤差范圍內從輸入的生物特征中提取個人信息，采樣出一個隨機字符串作為特征值。通過確定性派生算法，使用帶有噪聲的生物特征信息，在滿足錯誤閾值的條件下可以得到相同的特征值。其中包括GEN（）和REP（）兩個算法。

GEN（ω）=（a，b）是概率生成算法，令生物特征信息ω為輸入參數，生成特征值a∈{0，1}（=128）［19］和輔助字符串b。

REP（ω′，b）=a是確定性派生算法，利用帶有噪聲的生物特征參數ω′，在滿足生物特征錯誤閾值Δω（即|ω′-ω|≤Δω）以及擁有輔助字符串b的條件下，得到相同的特征值a。

1.3密鑰共識算法［11］

KC=（params，Con，Rec）為一個滿足正確性和安全性的帶噪聲的對稱密鑰共識算法（optimal key consensus with noise，OKCN）（如算法1所示）。其中參數定義如下：params=（q，m，g，d，aux）表示為系統參數，其中q、m、g、d為正整數，并且滿足2≤m，g≤q，0≤d≤ε·q/2」，ε表示為一個小于1的任意實數。aux由參數q、m、g、d定義為aux={q′=lcm（q，m），α=q′/q，β=q′/m}。其中還包括Con（）和Rec（）兩個算法。

（K1，V）←Con（σ1，params）。其輸入為σ1∈q和params，通過和解算法Con（）輸出K1和V，其中K1∈q是共享的會話密鑰，V∈q是將在后續過程中公開傳輸給接收方的參數值，以便雙方能夠達成共識。

K2←Rec（σ2，V，params）。其輸入參數σ2∈q、V、params，當且僅當|σ1-σ2|q≤d成立，則通過和解算法Rec（）輸出會話密鑰K2。

算法1帶噪聲的對稱密鑰共識（OKCN）算法

params=（q，m，g，d，aux），aux={q′=lcm（q，m），α=q′/q，β=q′/m}

procedure Con（σ1，params）

e←［-（α-1）/2」，α/2」］

σA=（ασ1+e） mod q′

K1=σA/β」

V′=σA mod β

V=V′g/β」

return（K1，V）

end procedure

procedure Rec（σ2，V，params）

K2=ασ2/β-（V+1/2）/g

return （K2）

end procedure

1.4安全模型

本文采用Bellare-Pointcheval-Rogaway模型［13］證明所提協議滿足語義安全性。在該安全模型中，敵手

作為主動攻擊者，能夠監聽公共信道中的信息，對消息進行修改、重放和攔截。定義P為本文協議，ID=user∪Cybertwin為一組非空集合，其中user和Cybertwin表示有限且不相交的非空集合。每個主體p∈ID都擁有一個相關聯的實例πp，其中包括用戶實例πiU和Cybertwin實例πjC，i和j為正整數。

敵手

可以向預言機πp發起以下查詢：

send（p，Msg）。如果敵手

發出此查詢，預言機πp根據所提協議返回相應的消息。

execute（πiU，πjC）。通過此查詢，敵手

可以獲得協議執行過程中，πiU和πjC之前傳輸的消息，用以模擬竊聽攻擊。

reveal（p，i）。通過此查詢，敵手

將獲得主體p持有的會話密鑰。

corrupt（p）。該查詢模擬內部攻擊和未知的密鑰共享攻擊，敵手

通過發起corrupt（P）查詢，獲得主體p的長期私鑰。

test（πp）。該查詢對會話密鑰的語義安全性進行仿真。為響應敵手

的Test查詢，預言機選擇一個隨機數b∈{0，1}。如果b=1，向敵手

返回正確的會話密鑰；如果b=0，向敵

返回一個隨機值；若尚未生成會話密鑰，則輸出為空（⊥）。每個敵手只能發起一次Test（）查詢。

如果實體user和Cybertwin能夠相互認證并成功協商會話密鑰SK，且沒有任何其他實體得到會話密鑰，稱user和Cybertwin為合作伙伴。如果user和Cybertwin之間成功生成會話密鑰SK，且敵手沒有向user和Cybertwin發起過send（p，Msg）、corrupt（p）和reveal（p，i）查詢，則稱該會話密鑰SK滿足新鮮性。通過挑戰者和敵

之間的游戲仿真，驗證所提協議的語義安全性。敵手

在會話密鑰滿足新鮮性的條件下發起test查詢，預言機πp返回隨機值b∈{0，1}。如果b=1，向敵手

返回正確的會話密鑰；如果b=0，向敵手

返回一個隨機值；若尚未生成會話密鑰，則輸出為空（⊥）。敵手

需要猜測b的取值，以判斷能否區分正確的會話密鑰。假設Pr［Succ］表示敵手猜對的概率，則敵手

攻破所提協議的語義安全性的優勢可以定義為Adv（

）=|2Pr［Succ］-1|。

2協議描述

2.1注冊階段

用戶user錄入生物特征信息BIOi，將注冊消息〈BIOi〉發送給注冊中心RC。同時Cybertwin向RC發送注冊請求。注冊中心RC利用概率生成算法GEN（BIOi）=（bi，τi）獲得特征值bi和輔助字符串τi，計算用戶身份信息RIDi=h1（bi），選取隨機向量Cj作為Cybertwin身份信息，并計算R=RIDi⊕Cj。最后，RC分別向用戶和Cybertwin發送〈R，τi，h1（），REP（）〉、〈Cj，RIDi〉，最終用戶和Cybertwin將其存入各自數據庫。詳細注冊過程如圖2所示。

2.2認證密鑰交換階段

用戶user在設備中錄入生物特征信息BIOi，計算bi=REP（BIOi，τi）和RIDi=h1（bi），選取隨機值seed←${0，1}256，生成參數A=Gen（seed）。然后，生成隨機多項式環X1，E1←χnβ，計算Y1=AX1+E1，導出當前時間戳T1，計算M1=hRIDi（Y1，seed，T1），最后，用戶將認證信息〈M1，Y1，seed，T1〉發送至Cybertwin。

Cybertwin收到認證信息〈M1，Y1，seed，T1〉后，導出當前時間戳T*1，首先驗證時間戳是否滿足|T1-T*1|≤ΔT，其中ΔT表示延遲閾值。如果滿足，計算M′1=hRID′i（Y1，seed，T1），驗證M′1=M1是否成立。若M′1≠M1，則終止會話；否則生成參數A=Gen（seed），選取隨機多項式環X2，E2←χnβ，計算Y2=AX2+E2、σ1=Y1X2和（SK′1，V）←Con（σ1，params），導出當前時間戳T2，計算M2=hCj（Y2，V，T2）和會話密鑰SK1=hRIDi+Cj（Y1，Y2，SK′1）。最后，Cybertwin將〈M2，Y2，V，T2〉發送給用戶user。

用戶user收到認證信息〈M2，Y2，V，T2〉后，導出當前時間戳T*2，驗證時間戳是否滿足|T2-T*2|≤ΔT。若滿足，計算Cj=R⊕RIDi和M′2=hCj（Y2，V，T2），驗證M′2=M2 是否成立。如果M′2≠M2，中止當前會話；否則計算σ2=X1Y2和SK′2←Rec（σ2，V，params），得到會話密鑰SK2=hRIDi+Cj（Y1，Y2，SK′2）。最后，用戶和Cybertwin使用會話密鑰SK=SK1=SK2進行后續安全通信。詳細認證和密鑰交換過程如圖2所示。

2.3正確性

定理1在所提協議中，假設OKCN系統參數滿足（2d+1）mlt;q（1-1/g），其中m≥2、g≥2，則用戶和Cybertwin共享的會話密鑰滿足正確性。

引理1［11］在OKCN系統中，對于任意的x，y，t，l∈，其中t≥1、l≥0。如果|x-y|q≤l，存在θ∈、δ∈［-l，l］，使x=y+θt+δ。

證明因為σ2=AX1X2+E2X2和σ1=AX1X2+X1E2，其中X1、X2、E1、E2從最小噪聲分布χβ中選取，故σ1≈σ2≈AX1X2，差值可忽略不計，定義為|σ1-σ2|q≤d。由引理1可知，存在θ∈并且δ∈［-d，d］，下文中σ1、σ2、σA代表該多項式某一維度下的系數值參與運算，既得σ2=σ1+θq+δ。從算法1第4行σA=（ασ1+e） mod q′和第6行V′=σA mod β可知，存在θ′∈使得

ασ1+e+θ′q′=σA=SK1β+V′（1）

由對α和β的定義可知

α/β=m/q（2）

將式（1）和（2）代入Rec（）算法可知

SK′2=ασ2/β-（V+1/2）/g mod m=

α（θq+σ1+δ）/β-（V+1/2）/g mod m=

m（θ-θ′）+SK′1β+V′-eβ+αδβ-V+1/2g mod m=

SK′1+V′1β-V+1/2g+mr-eβ+αδβ mod m

可以發現

|V′/β-（V+1/2）/g|=|V′g-β（V+1/2）|/βg≤1/2 g

因此：V′β-V+1/2g-eβ+αδβ≤12g+αβ（d+1/2）

由假設條件（2d+1）mlt;q（1-1/g），可知（1/2 g+α/β（d+1/2））lt;1/2，取整得SK′2=SK′1。因此，用戶user和Cybertwin分別通過格上抗碰撞哈希函數計算得到兩個相同會話密鑰SK1=SK2，定理1得證。

3安全性分析

3.1安全性證明

本節將區分用戶端操作（user action，UA）和Cybertwin端操作（Cybertwin action，CA），目的是證明敵手

無法獲得相關新實例中會話密鑰的任何信息。敵手可以執行：

a）UA0查詢表示對πiU發起send查詢，將第一個協議消息發送給某個Cybertwin；

b）CA1查詢表示對之前未使用的πjC發起send查詢；

c）UA1查詢表示對πiU發起send查詢，得到最后一個協議消息。

針對敵手

對用戶端實例、Cybertwin實例以及達成合作的雙方實例執行的主動攻擊，定義以下事件：

guess_user（U，i，C，bi）。敵手

發起hRIDi（Y1，seed，T1）和hCj（Y2，v，T2）查詢。輸入BIOi，對INiU發起UA0詢問，輸出〈M1，Y1，seed，T1〉。輸入〈M2，Y2，V，T2〉，對πiU發起UA1查詢和h1（bi）查詢，關聯值為M1、M2。

guess_user_Cj（U，i，C，bi）。

發起hCj（Y2，v，T2）查詢，通過輸入BIOi和〈M2，Y2，V，T2〉，對πiU發起UA1詢問，關聯值為M2。

guess_user_X1（U，i，C，X1）。

輸入BIOi和〈M2，Y2，V，T2〉，對πiU發起UA1查詢。如果πiU和πjC互相配對，對σ2=X1Y2發起查詢，關聯值為SK1。

guess_cybertwin（C，j，U，bi）。

發起hRIDi（Y1，seed，T1）查詢之前，對πjC發起CA1查詢和h1（bi）查詢，輸入〈M1，Y1，seed，T1〉，輸出〈M2，Y2，V，T2〉，關聯值為M1。

guess_cybertwin_X2（C，j，U，X2）。

輸入〈M1，Y1，seed，T1〉，對πiU發起UA1查詢。如果πiU和πjC互相配對，則對σ2=X2Y1發起查詢，關聯值為SK2。

guess_user_cybertwin（C，j，U，j，bi）。在UA1查詢之后，如果πiU和πjC互相配對，則發生guess_user（U，i，C，bi）和guess_cybertwin（C，j，U，bi）事件。

guess_exec（U，i，C，j，bi）。敵手

發起hRIDi（Y1，seed，T1）和hCj（Y2，v，T2）查詢前，先執行execute（U，i，C，j）查詢和h1（bi）查詢。

corruptbi。發起corrupt查詢前，guess_cybertwin（C，j，U，bi）事件或guess_user_Cj（U，i，C，bi）事件已經發生。

testbi（U，i，C，j，bi）。對特征值bi發起test查詢，驗證敵手獲得正確特征值的優勢。

定理2已知P表示本文協議，定義n和q為正整數，生物特征值大小為N。在概率多項式時間內，敵手

最多執行qse、qex、qre、qco、qro次send、execute、reveal、corrupt、randomoracle查詢。最終在t′=O（t+（qro+qse+qex）texp），t″=O （t+（q2ro+qse+qex）texp）時間內敵手攻破協議P的優勢為

AdvakeP（

）≤O（（qse+qex）（qro+qse+qex））qn+O（qro）qn+

O（qse）qκ+AdvDRLWERq（t′，qro）+2AdvISISRq（t′，qro）+4AdvRLWERq（t″，q2ro）+qsel

證明假設qse+qex和qro均大于等于1，定義協議Pi，i∈{0，1，…，7}，其中P0=P。故

AdvakeP0（

）≤AdvakeP1（A）+ε1≤…≤AdvakeP7（A）+ε7

計算協議P中主動攻擊成功的概率，敵手優勢為

AdvakeP（

）≤ε1+ε2+…+ε7

協議P0：P0=P。

協議P1：與P0的不同之處在于，當誠信方生成的Y1、Y2和之前協議生成的值相同，則協議P1暫停，敵手失敗。對任意敵手滿足

AdvakeP0（A）≤AdvakeP1（）+O（（qse+qex）（qro+qse+qex））qn

證明當前Y1、Y2值和之前協議生成值相同的概率為qro+qse+qex/qn。定義事件E為通過send、excute查詢生成的值Y1、Y2和之前通過send、excute查詢生成值相同的情況。如果事件E沒有發生，則qse+qex值唯一，故事件E發生的概率為O（qse+qex）（qro+qse+qex）qn。

協議P2：與P1的不同之處在于，協議P2通過以下方式回答敵手A發起的send、excute查詢，且后續的隨機預言機查詢結果與這些send、excute查詢結果相符。

通過execute（U，i，C，j），得到Y1=AX1+E1，Y2=AX2+E2。其中X1，E1，X2，E2←$χ；v←${0，1，…，g-1}n；M1，M2←${0，1}n。

對πiU和發起UA0查詢，得到Y1=AXm+Em。其中Xm，Em←$χ，M1←${0，1}n。

對πjC發起CA1查詢，得到M′1←${0，1}n，Y2=AXm+Em。其中Xm，Em←$χ，SK←${0，1}κ，v←${0，1，…，g-1}n。如果此查詢導致事件guess_cybertwin_bi（C，j，U，bi）發生或者πiU和πjC成功配對，則終止查詢。

對πiU發起UA1查詢，如果此查詢導致事件guess_user_Cj（U，i，C，bi）發生，M′2為M2=hCj（Y2，V，T2）的關聯值。如果πiU和πjC配對，M2=M′2；否則，πiU終止。

如果h1（bi）查詢導致事件guess_cybertwin（C，j，U，bi）和guess_user_Cj（U，i，C，bi）發生，輸出此事件關聯值，否則輸出隨機值{0，1}κ。

證明在協議P2中，可能會出現以下情況：

a）未配對的用戶端實例πiU在沒有發生guess_user_Cj（U，i，C，bi）事件的情況下終止，此時的概率最多為qse/qκ。

b）未配對的Cybertwin端實例πjC在沒有發生guess_cybertwin（C，j，U，bi）事件的情況下終止，此時的概率最多為qse/qκ。

c）對于hRIDi（）和hCj（）查詢，已知RID′i=h1（bi）和C′j=Vi⊕RID′，此時敵手并未進行h1（）查詢，則此事件發生的概率最大為qro/qn。

對任意敵手

滿足

AdvakeP1（

）≤AdvakeP2（

）+O（qro）qn+O（qse）qκ

協議P3：與P2不同之處在于，協議P3使用隨機數應答h1（bi）查詢，且無須檢查與excute查詢結果的一致性，guess_exec（U，i，C，j，bi）事件不發生。

對任意敵手

滿足

AdvakeP2（

）≤AdvakeP3（

）+AdvDRLWERq（t′，qro）+2AdvISISRq（t′，qro）

證明如果guess_exec（U，i，C，j，bi）事件沒有發生，那么P3和P2不可區分。定義事件E為guess_exec（U，i，C，j，bi）發生的情況，發生概率為ε。則AdvakeP2（

）≤AdvakeP3（

）+2ε。

構造算法Euclid Math OneDAp

，敵手

通過算法Euclid Math OneDAp

去解決ISIS問題。算法Euclid Math OneDAp

通過以下查詢為敵手

仿真協議P3：

通過execute（U，i，C，j）查詢，得到seed←${0，1}256，Y1=AX1+E1，Y2=AX2+E2。其中X1，E1，X2，E2←$χ，v←${0，1，…，g-1}n，M1，M2←${0，1}n。

當敵手A完成上述查詢，Y′1和Y′2由execute查詢所得，通過仿真計算M″1=hRID″i（Y1，seed，T1），并將M″1添加至認證元M1的關聯值列表。

在仿真中M″1值為hRID′i（Y1，seed，T1），而不是hRIDi（Y1，seed，T1）。如果事件E發生或ISIS問題以不可忽略的優勢被解決，將正確的M′1添加至關聯值列表，協議P3和P2可以被區分。在t′=O（t+（qro+qse+qex）texp）時間內，如果算法Euclid Math OneDAp

以ε的優勢生成大小為qro的關聯值列表，則AdvISISRq（Euclid Math OneDAp

）≤AdvISISRq（t′，qro）。

協議P4：與P3不同之處在于，corrupt查詢前已成功猜測出正確的特征值bi，并得到用戶身份RIDi，此時協議終止，敵手失敗。

對πiU發起UA1查詢，如果corrupt查詢前事件guess_user_Cj（U，i，C，bi）已發生，則協議終止，敵手成功。

在hRIDi（）和hCj（）查詢下，如果corrupt查詢前事件guess_cybertwin（C，j，U，bi）已發生，則協議終止，敵手成功。

顯然以上查詢能夠提高敵手

的優勢，即

AdvakeP3（

）≤AdvakeP4（

）

協議P5：與P4不同之處在于，如果用戶端和Cybertwin端分別發生guess_user_X1（U，i，C，X1）和guess_cybertwin_X2（C，j，U，X2）事件，則協議終止，敵手失敗。假設事件guess_user_X1（U，i，C，X1）和guess_cybertwin_X2（C，j，U，X2）發生，測試事件correctbi，則

AdvakeP4（

）≤AdvakeP5（

）+4AdvRLWERq（t″，q2ro）

證明令事件E表示guess_user_X1（U，i，C，X1）和guess_cybertwin_X2（C，j，U，X2）同時發生的情況，E發生概率為ε，則AdvakeP5（

）≤AdvakeP6（

）+2ε。構造算法Euclid Math OneDAp

，敵手

通過算法解決RLWE問題。算法通過以下查詢仿真協議P5：

發起h1（）查詢，得到身份信息RID′i，由等式C′j=R⊕RID′i獲得Cybertwin身份C′j。

對πiU發起CA1查詢，輸入由execute查詢得到的消息〈M1，seed，Y1，T1〉，其中Y1∈Rq、seed←${0，1}256和M1←${0，1}n。返回值Y2=AXff+Eff，Xff，Eff←$χ。

不測試事件correctbi，未配對的用戶端和Cybertwin端實例在收到UA1或CA1查詢后協議停止。哈希函數hRIDi和hCj返回隨機值。

敵手

完成上述查詢，對于hRIDi（Y1，seed，T1）和hRID′i（Y1，seed，T1）以及hCj（Y2，v，T2）和hC′j（Y2，v，T2），查詢都有一個對πiU的CA1查詢，輸入為〈M1，seed，Y1，T1〉，輸出為〈M2，Y2，v，T2〉，其中h1（bi）查詢返回RIDi，h1（b′i）查詢返回RID′i。如果實例πiU和πjC成功配對，guess_user_X1（U，i，C，X1）和guess_cybertwin_X2（C，j，U，X2）事件發生，X′1，X′2←$χ模擬器可以由此計算σ2=X′1AXff+X′1Eff，在SK2的可能值列表中添加SK′2=REC（X′1AXff+X′1Eff，v）。

此模擬與協議P5不可區分，除非發生事件guess_user_X1（U，i，C，X1），guess_cybertwin_X2（C，j，U，X2）或Correctbi，或者敵手

發起了corrupt查詢。如果corrupt和Correctbi發生，則guess_user_X1（U，i，C，X1）和guess_cybertwin_X2（C，j，U，X2）事件將不會發生。如果guess_user_X1（U，i，C，X1）和guess_cybertwin_X2（C，j，U，X2）事件發生，則以qro/qn的概率優勢將正確的（X1，X2）添加至列表，算法創建一個大小為q2ro的列表的優勢為ε/2，運行時間為t″=O（t+（q2ro+qse+qex）texp）。由于X′1、X′2、Xff、Eff均是從高斯分布中選取，滿足均勻隨機性，通過Y′1、Y′2、A求解X′1、X′2的困難性等價于解決RLWE問題的困難性，在概率多項式時間內敵手的優勢可忽略不計，故對于任意敵手

滿足

AdvRLWERq（）≤AdvRLWERq（t″，q2ro）

協議P6：與P5不同之處在于，存在對敵手不可用的一個內部生物特征預言機，在協議初始化階段生成所有生物特征。此預言機保存所有生物特征，接收敵手testbi（U，bi）形式的詢問。如果bi=b′i則返回1，否則返回0。為測試是否發生correctbi事件，每當首個guess_user_Cj（U，i，C，bi）事件或guess_cybertwin（C，j，U，bi）事件發生，都要執行testbi（U，bi）查詢以驗證敵手獲得bi的能力。故對于任意敵手

滿足

AdvakeP5（

）≤AdvakeP

）+qsel

證明協議P6和P5完全無法區分。因為對生物特征預言機的corrupt查詢在最多qse次的查詢后進行，并且特征值的大小為l，Pr［corruptbi］≤qse/l。如果沒有發生correctbi事件，那么對新實例πiU發起test查詢并猜測該test查詢輸出的b值，是敵手

成功的唯一方法。由于會話密鑰SK1（SK2）相互獨立，猜測成功概率為1/2。故

Pr［SuccakeP6（

）］≤Pr（corruptbi）+Pr（SuccakeP7（

）|corruptbi）×

Pr（corruptbi）≤Pr（corruptbi）+12（1-Pr（corruptbi））≤12+qse2l

敵手

的優勢為

AdvakeP6（

）=2Pr（SuccakeP6（A））-1≤qsel

綜上所述，定理2得證。

3.2安全特性分析

本節介紹在基于Cybertwin的網絡架構下所提協議滿足的安全要求［20，21］。

a）相互認證。本文協議只允許合法用戶user能夠錄入生物特征BIOi并計算RIDi，從而獲得認證元M1。Cybertwin檢查M1正確性來驗證通信方是否為合法用戶。同樣，合法的Cybertwin利用身份Cj計算認證元M2，用戶user通過身份RIDi恢復Cj=R⊕RIDi。用戶檢查認證元M2正確性，驗證通信方是否為合法Cybertwin。

b）用戶匿名性。用戶匿名性指只有合法的Cybertwin才能獲得用戶的真實身份。在本文協議中，用戶的身份信息RIDi由基于ISIS問題的抗碰撞哈希函數計算為M1后，通過公共信道傳遞給Cybertwin。

由于格上抗碰撞哈希函數hRIDi（）輸入項Y1，seed，T1具有隨機性。假設哈希函數hRIDi（）存在不同輸入項a，b←{0，1}n，哈希函數產生碰撞意味著等式Aa1-Ab1≡0 mod q成立，其中a1-b1≠0且a1-b1∞≤1。因此產生哈希碰撞的可能性等價于求解齊次方程短整數解（SIS問題）的可能性，又因SIS困難問題可歸約到格上SIVP困難問題［22］，故hRIDi能夠抵抗哈希碰撞攻擊（哈希函數hCj和hRIDi+Cj同理）。因此敵手

通過竊聽攻擊獲得M1，破解用戶身份信息RIDi的困難性等價于解決ISIS問題的困難性，故敵手的優勢可忽略不計。

c）用戶不可追蹤性。不可追蹤性指用戶不同認證會話相互獨立，攻擊者無法區分兩個認證會話中用戶是否相同。協議執行過程中，用戶user的生物特征信息RIDi保持不變，Y1和seed滿足隨機性。由RIDi、Y1、seed和T1計算獲得的M1滿足隨機不可區分性，敵手無法從兩個認證會話中判斷用戶是否相同。M1的計算基于ISIS困難問題，即使敵手

得到M1、Y1、seed和T1，仍無法在概率多項式時間內破解用戶身份信息RIDi。

d）抗生物特征猜測攻擊。敵手

通過非法手段獲得用戶的生物特征，并攻破所提協議安全性的行為。假設敵手

得到合法用戶丟失/被盜的移動設備，并從中獲取所有存儲數據。由于模糊提取器的安全特性以及生物特征難以被復制、偽造的優勢，即使敵手

得到τi和REP（），在沒有生物特征BIOi情況下仍無法恢復出特征值bi。

e）抗假冒攻擊。敵手

生成合法消息假冒用戶或Cybertwin通過身份認證的行為。本協議中

想要假冒合法用戶或Cybertwin，必須向對方發送有效的認證元M1和M2。由于本協議可抵抗生物特征猜測攻擊，敵手

無法生成有效的用戶身份RIDi=h1（bi），進而無法獲得Cybertwin身份Cj=R⊕RIDi。因此，敵手

生成有效認證元M1=hRIDi（Y1，seed，T1）和M2=hCj（Y2，V，T2）是困難的，故本協議能夠有效抵抗假冒攻擊。

f）抗臨時秘密值泄露攻擊。在隨機數、隨機向量或隨機多項式等臨時秘密值發生泄露時，攻擊者能夠得到會話密鑰。本協議執行過程中，用戶user和Cybertwin在每次會話都生成新的會話密鑰SK1=hRIDi+Cj（Y1，Y2，SK′1）和SK2=hRIDi+Cj（Y1，Y2，SK′2）。其中，SK1和SK2的計算取決于user和Cybertwin選取的臨時秘密值X1和X2以及用戶的生物特征BIOi和Cybertwin身份信息Cj。即使敵手

獲得X1和X2，在沒有BIOi和Cj的情況下，仍無法計算會話密鑰SK1和SK2。因此，本協議能夠抵抗臨時秘密值泄露攻擊。

g）抗已知密鑰攻擊。即使敵手

獲得早期會話中的消息和會話密鑰，仍然無法生成當前會話密鑰。假設敵手在協議早期會話中獲得了消息〈M1，Y1，seed，T1〉、〈M2，Y2，V，T2〉和會話密鑰SK1=hRIDi+Cj（Y1，Y2，SK′1）、SK2=hRIDi+Cj（Y1，Y2，SK′2）。由于Y1、Y2、SK′1和SK′2均滿足隨機不可區分性，故會話密鑰SK1、SK2同樣是隨機不可區分的。因此，敵手

無法通過獲得早期會話中的消息和會話密鑰恢復當前會話密鑰。

h）抗未知密鑰共享攻擊。假設用戶user和Cybertwin在同一會話中生成會話密鑰SK1=hRIDi+Cj（Y1，Y2，SK′1）和SK2=hRIDi+Cj（Y1，Y2，SK′2）。在本協議中，通信雙方生成會話密鑰前，需驗證M1=M′1和M2=M′2是否正確，以判斷通信雙方身份的合法性。由上文可知，協議能夠抵抗假冒攻擊，敵手計算M′1和M′2的優勢可忽略不計。因此，通信雙方能夠實現相互認證，并確定有且僅有對方共享當前的會話密鑰。

i）完美前向安全。假設敵手

以非法手段獲得用戶user的生物特征BIOi和Cybertwin的身份Cj并攻破了協議認證過程，但A仍然無法計算會話密鑰。因為用戶和Cybertwin選取的參數X1和X2滿足離散高斯分布，敵手

由已知信息求解X1和X2的困難性等價于解決RLWE問題的困難性。因此，敵手難以計算σ1=X2Y1、σ2=X1Y2、（SK′1，V）←Con（σ1，params）和SK′2←Rec（σ2，V，params），即獲得會話密鑰SK1=hRIDi+Cj（Y1，Y2，SK′）和SK2=hRIDi+Cj（Y1，Y2，SK2）的優勢可以忽略不計。

4效率分析

本章將從計算開銷和通信開銷兩個角度對所提協議和文獻［12，13］協議進行性能分析。

4.1計算開銷

定義以下符號為協議執行過程中各項運算的執行時間：

a）TGe，即從離散高斯分布χβ中采樣所需的平均時間；

b）Tpmul，即Euclid Math TwoRAp

q中一次分量乘法運算和加法運算的平均時間；

c）Tpma，即Euclid Math TwoRAp

q中一次分量乘法運算的平均時間；

d）TH，即執行一次SHA-512函數運算的平均時間；

e）Tcon，即執行對稱密鑰共識Con（）算法的平均運行時間；

f）Trec，即執行對稱密鑰共識Rec（）算法的平均運行時間；

g）Tmat，即Euclid Math TwoRAp

q中一次m×n矩陣乘法運算的平均時間。

Euclid Math TwoRAp

q中的模2運算相當于“與”運算，此運行時間可忽略。

基于文獻［10］協議的實驗設置，使用LatticeCrypto函數庫進行仿真實驗。假設用戶user和Cybertwin使用戴爾計算機執行本協議，設備配置如下：a）操作系統為Windows 10專業版；b）CPU為3.4 GHz Intel CoreTM i7-6700處理器；c）運行內存RAM為8 GB。在此環境中各項運算執行100 000次的平均時間如表1所示。

在本協議執行過程中，用戶首先利用生物特征登錄應用程序。用戶端生成會話密鑰需要選取三個隨機樣本，執行五次分量乘法（包括四次抗碰撞哈希函數）、一次分量乘法運算和加法運算以及一次密鑰共識Rec（）算法。因此，用戶端計算開銷為3TGe+5Tpmul+Tpma+Trec=829.362 ns。Cybertwin接收到用戶認證消息后，生成最終會話密鑰需要選取三個隨機樣本，使用四次分量乘法（包括三次抗碰撞哈希函數）、一次分量乘法和加法運算以及一次密鑰共識Con（）算法，故Cybertwin端計算開銷為3TGe+4Tpmul+Tpma+Tcon=1 527.672 ns。

文獻［12］協議中用戶生成會話密鑰需選取三個隨機樣本，執行一次哈希運算、五次矩陣乘法運算以及一次密鑰共識Rec（）算法。因此文獻［12］協議用戶計算開銷為7TGe+5Tmat+Th+Trec=3.16×105 ns。服務器生成會話密鑰需選取兩個隨機樣本，執行四次矩陣乘法運算以及一次密鑰共識Con（）算法，故服務器端計算開銷為2TGe+4Tmat+Tcon=2.53×105 ns。

文獻［13］協議中用戶生成會話密鑰需選取三個隨機樣本，執行四次SHA-512哈希運算、一次分量乘法運算、一次分量乘法運算和加法運算以及一次密鑰共識Rec（）算法。因此，文獻［13］協議用戶端計算開銷為3TGe+4Th+Tpma+Tpmul+Trec=884.521 ns。服務器生成會話密鑰需選取三個隨機樣本，執行三次SHA-512哈希運算、兩次分量乘法運算和加法運算以及一次密鑰共識Con（）算法，故服務器端計算開銷為3TGe+3Th+2Tpma+Tcon=1 571.263 ns。

本文協議基于RLWE困難問題，主要采用n次多項式之間的運算，且多項式運算的計算開銷等價于n階向量之間的計算開銷。文獻［12］基于LWE困難問題，主要采用m×n的矩陣運算。在參數相同的情況下，矩陣運算的平均運行時間是多項式運算平均運行時間的m倍。與文獻［13］協議相比，本文協議簡化了協議執行過程，計算效率更高。因此本文協議相較于文獻［12，13］協議擁有更小的計算開銷，結果如表2所示。

4.2通信開銷

定義Euclid Math TwoRAp

q中元素大小為4 096位，身份標志長度為100位，seed長度為256位，V長度為64位，時間戳長度為32位，文獻［13］協議中SHA3-256哈希函數輸出的哈希值為256位。本協議計算會話密鑰過程中，用戶user發送消息［M1，Y1，seed，T1］，Cybertwin響應消息［M2，Y2，V，T2］，故通信開銷為（4 096×2+256+32）+（4 096×2+64+32）=16 768 bit。同樣，文獻［12］協議中用戶的服務器分別向對方發送消息［c1，c2，y］和［hp，v］，故通信開銷為4×4 096+64=16 448 bit。文獻［13］協議中用戶和服務器分別向對方發送消息〈C，m，seed〉、〈k′〉和〈yS，v，k〉，通信開銷為（100+4 096+256）+256+（4 096+64+256）=9 124 bit。協議通信開銷比較結果如表2所示。

相較于文獻［12］協議，本文協議有近似相等的通信開銷。相較于文獻［13］協議，本文協議利用格上抗碰撞哈希函數代替SHA3-256哈希函數，通信開銷稍高。但協議提供哈希函數抵抗量子攻擊的能力，敵手在概率多項式時間內無法從認證元M1和M2中破解通信方身份信息，保證用戶匿名性和不可追蹤性，此外本協議相較于文獻［13］協議減少了通信輪數。因此協議整體性能有所提高，具有較強的實用性。

5結束語

本文在基于Cybertwin的網絡架構下提出新的格上生物特征認證密鑰交換協議，保證用戶和Cybertwin之間相互認證和信道安全。該協議使用生物特征實現Cybertwin服務下的用戶實名制登錄和強身份認證需求，通過引入通信方身份信息構造格上抗碰撞哈希函數，保證用戶匿名性和不可追蹤性?；赗LWE問題設計新的和解機制計算安全會話密鑰，改善協議的計算效率和空間效率。協議在BPR模型下滿足語義安全，能夠抵抗量子攻擊、生物特征猜測攻擊、臨時秘密值泄露攻擊等主動攻擊和被動攻擊。相較于同類協議，本協議減少了計算開銷，使通信輪數優化至兩輪，滿足Cybertwin服務下的應用與安全需求。

參考文獻：

［1］Abdelwahab S，Hamdaoui B，Guizani M，et al.Enabling smart cloud services through remote sensing：an Internet of everything enabler［J］.IEEE Internet of Things，2014，1（3）：276-288.

［2］Mondal A，Bhattacharjee S，Chakraborty S.Viscous：an end to end protocol for ubiquitous communication over Internet of Everything［C］//Proc of the 42nd Local Computer Networks.Piscataway，NJ：IEEE Press，2017：312-320.

［3］Yu Quan，Jing Ren，Fu Yinjin，et al.Cybertwin：an origin of next ge-neration network architecture［J］.IEEE Wireless Communications，2019，26（6）：111-117.

［4］Nikravan M，Reza A.A multi-factor user authentication and key agreement protocol based on bilinear pairing for the Internet of Things［J］.Wireless Personal Communications，2020，111（8）：463-494.

［5］Shor P W.Algorithm for quantum computation：discrete logarithms and factoring［C］//Proc of the 35th Annual Symposium on Foundations of Computer Science.Piscataway，NJ：IEEE Press，1994：124-134.

［6］Ajtai M，Dwork C.A public-key cryptosystem with worst-case/average-case equivalence［C］//Proc of the 29th Annual ACM Symposium on Theory of Computing.New York：ACM Press，1997：284-293.

［7］Regev O.On lattices，learning with errors，random linear codes，and cryptography［J］.Journal of the ACM，2009，56（6）：1-40.

［8］Ding Jintai，Lin Xiaodong.A simple provably secure key exchange scheme based on the learning with errors problem［EB/OL］.（2012-12-09）［2021-09-15］.https：//eprint.iacr.org/2012/688.pdf.

［9］Ding Jintai，Alsayigh S，Lancrenon J，et al.Provably secure password authenticated key exchange based on RLWE for the post-quantum world［C］//Proc of Cryptographers Track at the RSA Conference.Berlin：Springer，2017：183-204.

［10］Islam S H.Provably secure two-party authenticated key agreement protocol for post-quantum environments［J］.Journal of Information Security and Applications，2020，2020（52）：article ID 102468.

［11］Jin Zhengzhong，Zhao Yunlei.Optimal key consensus in presence of noise［EB/OL］.（2017-10-31）［2021-09-15］.https：//eprint.iacr.org/2017/1058.Pdf.

［12］Zhao Zongqu，Ma Shaoti，Wang Yongjun，et al.Two-factor （biometric and password） authentication key exchange on lattice based on key consensus［J］.The Journal of China Universities of Posts and Telecommunications，2020，27（6）：42-53.

［13］Yang Yingshan，Gu Xiaozhuo，Wang Bin，et al.Efficient password-authenticated key exchange from RLWE based on asymmetric key consensus［C］//Proc of International Conference on Information Security and Cryptology.Berlin：Springer，2020：31-49.

［14］Tian Yangguang，Li Yingjiu，Deng R H，et al.A new framework for privacy-preserving biometric-based remote user authentication［J］.Journal of Computer Security，2020，28（4）：1-30.

［15］Wan Tao，Liu Xiaochang，Liao Weichuan，et al.Cryptanalysis and improvement of a biometric-based authentication scheme for multi-server architecture［J］.International Journal of Network Security，2020，22（3）：492-503.

［16］趙宗渠，黃鸝娟，湯永利.基于RLWE的生物特征認證密鑰交換協議［J］.計算機應用研究，2020，37（11）：3437-3440.（Zhao Zongqu，Huang Lijuan，Tang Yongli.Biometric authenticated key exchange protocol based on RLWE［J］.Application Research of Computers，2020，37（11）：3437-3440.）

［17］楊婷，張光華，劉玲，等.物聯網認證協議綜述［J］.密碼學報，2020，7（1）：87-101.（Yang Ting，Zhang Guanghua，Liu Ling，et al.A survey on authentication protocols for Internet of Things［J］.Journal of Cryptologic Research，2020，7（1）：87-101.）

［18］Dodis Y，Ostrovsky R，Reyzin L，et al.Fuzzy extractors：how to gene-rate strong keys from biometrics and other noisy data［J］.SIAM Journal on Computing，2008，38（1）：97-139.

［19］Cheon J H，Jeong J，Kim D，et al.A reusable fuzzy extractor with practical storage size：modifying Canetti et al.′s construction［C］//Proc of Australasian Conference on Information Security and Privacy.Berlin：Springer，2018：28-44.

［20］Jia Xiaoying，He Debiao，Kumar N，et al.A provably secure and efficient identity-based anonymous authentication scheme for mobile edge computing［J］.IEEE Systems Journal，2020，14（1）：560-571.

［21］Rakeei M A，Moazami F.An efficient and provably secure authenticated key agreement scheme for mobile edge computing［EB/OL］.（2020-12-15）［2021-09-15］.https：//eprint.iacr.org/2020/1566.pdf.

［22］Micciancio D，Regev O.Worst-case to average-case reductions based on Gaussian measures［J］.SIAM Journal on Computing，2007，37（1）：267-302.

收稿日期：2021-09-18；修回日期：2021-11-16基金項目：河南省高?？萍紕撔聢F隊支持計劃資助項目（20IRTSTHN013）；陜西省信息通信網絡及安全重點實驗室開放課題（ICNS202006）；河南省網絡密碼技術重點實驗室開放課題（LNCT2019-A04）

作者簡介：湯永利（1972-），男，河南孟州人，教授，碩導，博士，主要研究方向為信息安全、密碼學；殷明輝（1997-），男，河南鶴壁人，碩士研究生，主要研究方向為信息安全、密碼學；趙宗渠（1974-），男（通信作者），河南沁陽人，講師，博士，主要研究方向為密碼學、網絡安全、惡意代碼分析（zhaozong_qu@hpu.edu.cn）；郭小杰（1995-），女，河南焦作人，碩士研究生，主要研究方向為信息安全、密碼學；鄧大智（1983-），男，湖北荊門人，碩士研究生，主要研究方向為計算機網絡與安全．