马 俊

（陕西工业职业技术学院 基础部， 陕西 咸阳 712000）

一种多方可认证密钥协商方案的分析与改进

马 俊

（陕西工业职业技术学院 基础部， 陕西 咸阳 712000）

在无证书公钥密码体制下对一种多方可认证密钥协商方案进行了分析，指出该方案无法抵抗合法用户的扮演攻击和口令偶尔泄露导致的危机。分析了该方案存在漏洞的原因，并在此基础上给出一个改进的密钥协商方案。新方案引入密钥种子和口令进化机制解决了上述问题，同时消除了冗余消息，降低了用户占用的带宽。分析表明新方案的安全性更强。

无证书密码体制；双线性对；密钥协商；密钥种子；口令进化

密钥协商[1]是是密码学和信息安全领域非常重要的研究内容之一，其目的是为了公共信道上的通信安全。公钥密码体制主要有两种：传统公钥证书密码体制和基于身份公钥密码体制。由于传统公钥证书密码体制中的证书管理非常复杂，为了简化证书管理，Shamir[2]于1984年首次给出了基于身份的公钥密码体制，用户的公钥不再需要颁发证书认证，而是由用户的身份产生。基于身份的公钥密码体制虽然解决了复杂的证书管理问题，但由于用户的私钥是由私钥生成中心PKG给出，因而产生了密钥托管的问题。无证书公钥密码体制是近年来密码学领域兴起的优于传统公钥证书和身份密码体制的一种新的公钥密码体制，于2003年被Al-Riyami等人首次提出。该体制和基于身份的公钥密码体制同样不需要公钥证书，而且克服了上述密钥托管问题。在无证书公钥密码体制中，用户的私钥由两部分构成，一部分来此私钥生成中心PKG ，另一部分由用户给出，公钥是由用户所给的秘密值、系统参数及身份产生，由于PKG不知道用户的完全私钥，从而无证书公钥密码体制克服了上述密钥托管问题。

无证书公钥密码体制是现今密码学和信息安全领域的研究热点。在该体制下，研究可认证密钥协商协议的学者相应较少，公开出现的几个方案也都遭到了不同的攻击[3]。M-T方案和Wang方案无法抵抗密钥泄露伪装攻击，Swanson[4]方案不满足已知会话临时信息安全性。对Ma[5]方案进行分析，进一步发现该方案不能抵抗合法用户的扮演攻击和口令偶尔泄露导致的危机，分析了该方案不安全的具体原因并在此基础上给出一种改进的密钥协商方案。

1 相关基础知识

定义1 双线性映射

3）可计算性：对任意 P，Q∈G1，存在算法可计算 e（P，Q）。

定义2 计算Diffie-Hellman问题

定义3 双线性Diffie-Hellman问题

2 Ma方案简介与安全性分析

2.1 Ma方案简介

2.2 Ma方案的安全性分析

经过认真分析，Ma方案存在下面的安全缺陷：

2）若攻击者偶然得到口令 PW，则协议的密钥协商过程中就会出现假冒合法用户的攻击者。

2.3 Ma方案的改进与分析

为了弥补Ma方案的以上两个缺陷，在保证已有安全性的基础上给出一个新的改进方案。

2.3.1 改进的新方案

协商第一次会话密钥时， n个用户{U1，U2…，Un}首先先要初始化密钥种子r1=H（PW0），PW1=fr1（PW0）；n个用户{U1，U2…，Un}第k（k≠1）次协商会话密钥时，事先要计算密钥种子rk=g（rK-1），PWk=frk（PWk-1），用后删掉rk-1和PWk-1。

不失一般性， n个用户{U1，U2…，Un}协商第k次会话密钥。

1）广播的消息计算

Ui（1≤i≤n）任意选取 yi∈Zq，计算Zi=（yi- xi）P，υi= H1（Zi，Pi），Mi=（xi/υi）rkSi广播（Zi，υi，Mi）给其他用户。

2）身份认证

Ui（1≤i≤n）接收到其他用户的消息（Zi，υi，Mi）后，验证等式

是否成立，如果等式成立，通过认证，否则停止这次协议。

3）密钥份额计算

通过认证后， 用户Ui（1≤i≤n）计算αi= e（（yi- xi）Zi-1，diZi+1）⊕PWk，广播αi给其他用户。

4）会话密钥计算

用户i（1≤i≤n）计算最终的会话密钥

其中

2.3.2 新方案的安全性分析

所以用户Ui-1，Ui+1不能假冒用户Ui进行新的密钥协商，新方案可抵此类扮演攻击。

2）Ma方案中PW偶然泄露导致的攻击在新方案中也得到了解决，原因是引入口令进化机制。hash函数f ：G2→ G2，PWk=fr1（PWk-1）保证了每次协商中的口令是新鲜的，即使攻击者使用其他手段获得前面某一次协商中的口令，由于其并不清楚口令进化的次数，所以攻击者不能得到此次协商的口令，也就不能进行因PW偶然泄露导致的攻击。

3）新方案满足Ma方案已有的安全特性，具有强安全性。

新方案中用户Ui（1≤i≤n）广播（Zi，υi，Mi）给其他用户，不再广播Pi，消除了冗余消息，减少了对带宽的占用，并且最终的会话密钥中增加了di，其他消息并未减少，因此新方案满足Ma方案已有的安全特性，具有强安全性。

3 结束语

在无证书公钥密码体制下对一种多方可认证密钥协商方案 进行了分析，指出该协商方案存在安全隐患。参与协商的合法用户可用保存的信息假冒其他用户进行另外的密钥协商。进一步指出该协商方案不能抵抗合法用户的扮演攻击和口令PW偶然泄露导致的危机。基于此，给出一种改进的协商方案，解决了上述问题。新方案的安全性更好，而且消除了冗余消息，有效降低了用户对带宽的占用。

[1] Diffie W，Hellman M.New directions in cryptography[J].IEEE Transactions on Information Theory，1976，22（6）：644-654.

[2]Shamir A.Identity-Based cryptosystems and signature schemes[C]//PP LNCS196：Advance in Cryptography-Crypto'84.Berlin：Springer-Verlag，1984 ：47-3.

[3] Al-Riyami S，Paterson K.Certificateless public key cryptography[C]//Lecture Notes in Computer Science，vol 2894.[S.l.]Springer-Verlag，2003：452-473.

[4] Swanson C M.Security in key agreement：Two -party certificatelesss chemes[D].Waterloo：University of Waterloo，2008.

[5] Swanson C M.Security in key agreement：Two -party certificateless schemes[D].Waterloo：University of Waterloo，2008.

[6]马俊.一种新的无证书可认证多方密钥协商协议[J].信息技术，2013，37（7）：98-100.

Ma Jun.A new method based on authenticated key agreement protocols[J]. Information Technology，2013，37（7）：98-100.

[7]王晓峰，张璟，王尚平，等.基于口令认证的移动Ad Hoc网密钥协商方案[J].软件学报，2006，17（8）：1811- 1817.

WANG Xiao-Feng， ZHANG Jing， WANG Shang-Ping，et al.A key agreement scheme for mobile Ad Hoc networks based on password authentication[J].Journal of Software， 2006， 17（8）：1811-1817.

[8] DU Xin-jun，WANG Ying，GE Jian-hua，et al.An Improved ID-based suthenticated key sgreement Group key kgree ment scheme[EB/OL].[2007-01-05].http：//eprint.iacr.org/2003/247.

Analysis and improvement of the multi-party authenticated key agreement protocol

MA Jun
（Department of Basic Courses， Shaanxi Polytechnic Institute， Xianyang 712000， China）

The paper analyses a multi-party authenticated key agreement based on certificateless public key cryptography system， the protocol is a danger for the legal users， which may be vulnerable to impersonation attack and reveal the password occasionally.This paper scientifically explains the reasons why the protocol is unsafe and that puts forward an improved scheme.Thereby the key seed and password evolution scheme is introduced， which can eliminate the redundant message and reduce the occupied bandwidth for the users.The analysis of security shows that the new scheme is more secure.

certificateless cryptography；bilinear pairing；key agreement；key seed；password evolution

TN918.1

A

1674-6236（2014）14-0052-03

2013-11-03 稿件编号：201311025

陕西工业职业技术学院科研项目（ZK12-25）

马 俊（1976 —），男，陕西渭南人，硕士，讲师。研究方向：密码理论和网络信息安全。