徐 平，张方舟，张晓宇，马西保

（东北石油大学计算机与信息技术学院，黑龙江大庆 163318）

基于移动网络的端到端密钥协商协议

徐 平，张方舟，张晓宇，马西保

（东北石油大学计算机与信息技术学院，黑龙江大庆 163318）

虽然3G网络的安全机制扩展到核心网络，但是并没有实现端到端安全.基于自生成证书公钥密码体制，设计一种端到端密钥协商协议，只需要一个消息交换就可以建立安全的三方会话密钥.安全性分析结果表明：基于移动网络的端到端密钥协商协议能够解决密钥管理及第三方无举证窃听，与其他密钥协商协议相比，具有较好的安全性，为端到端加密在移动通信系统中的大规模应用提供基础.

密钥协商协议；公共移动网络；端到端；自生成证书；3G网络；安全机制

DOI 10.3969／j.issn.2095－4107.2012.04.014

0 引言

随着计算机和通信等信息技术的发展，以3G为代表的移动通信系统网络取得广泛应用.基于移动网络的应用也取得成果，如移动办公、移动政务和电子商务等，人们在享受移动网络带来的快速便捷生活时，也面临重大的安全威胁问题.基于移动网络的应用也存在与有线网络类似的威胁问题，如信息窃听、信息截取、信息破坏和信息篡改等.与2G网络的安全机制相比，3G网络提出3G网络安全体系结构和安全措施，需要研究认证算法、密钥协商协议、加密算法到完整性算法等，以保障移动网络的安全.由于移动网络具有空中接口开放性的特点，很难满足人们对移动网络高安全性的要求.

密钥协商作为移动网络信息安全的重要研究方向，是在以3G为代表的移动通信系统中两个或者多个参与主体在一个不安全和公开的信道上进行联合协商，从而建立一个参与主体者之间共享的会话密钥，以实现通信主体间的安全通信.安全的密钥协商协议是建立在复杂的高层协议基础上.

自Diffie W等［1］在1976年提出密钥协商概念以来，密钥协商协议得到较为深入的研究.在Diffie－Hellman协议中，由于通信双方没有对身份进行认证，因此很容易受到中间人的攻击.Al－Riyami S S等［2］提出无证书公钥的概念以及基于数字证书的可认证三方密钥协商协议，它既没有密钥托管问题，也不需要证书，但Shim K［3］认为该协议不能抵抗已知会话攻击和密钥泄露攻击.笔者以无证书公钥密钥学［4］为基础，根据MandttK［5］的两方密钥协商协议，基于移动网络的应用层，研究基于移动网络的端到端的密钥协商协议，保障端到端安全；基于自生成证书公钥密码体制，设计一种端到端密钥协商协议.

1 密钥协商技术

1.1 数学基础

1.1.1 离散对数

定义q为一个大素数，G1是阶为q的加法循环群.G1中的元素R和Q满足Q＝nR（n∈Z＊q）的整数，求n［6］.

1.1.2 椭圆曲线双线性映射

定义q是一个大素数，G1是阶为q的加法群，G2是阶为q的乘法群.双线性映射［6］e：G1×G1→G2满足关系：

（1）双线性.对任意的P，Q，R∈G1，满足：e（P＋Q，R）＝e（P，R）·e（Q，R），e（P，R＋Q）＝e（P，R）·e（P，Q），所以e（nP，Q）＝e（P，nQ）＝e（P，Q）n.

（2）非退化性.对任意的P，Q∈G1，存在e（P，Q）≠1.

（3）可计算性.对任意的P，Q∈G1，存在一个有效算法计算e（P，Q）.

1.1.3 假设

（1）计算性DH问题（CDHP）［7］.定义P是G1的生成元，G1是阶为q的加法循环群.a，b∈Z＊q，a，b未知，若aP，bP∈G1，则计算（ab）P是困难的.

（2）双线性DH问题（BDHP）［7］.定义P为G1的生成元.若aP，bP，cP∈G1，其中a，b，c∈Z＊q，则计算e（P，P）abc是困难的.

1.2 安全性质

文献［6，8］给出密钥协商的安全性质：

（1）已知密钥安全性.两个用户每次协商的会话密钥应是独一无二的，并且它的安全性不会受到泄漏的影响.

（2）抗密钥泄漏伪装攻击.攻击者得到某个用户A的私钥后，不能使攻击者冒充为其他用户和用户A进行通信.

（3）完美的前向安全性.在会话密钥协商中，通信方会话密钥的安全性不会受到之后长期私钥泄漏的影响.

（4）抗未知密钥共享.当一个会话密钥是A用户与B用户经共同协商生成时，其中任一用户都不会错误地认为此密钥是由另一用户共享而来的.

（5）无密钥控制性.当用户参与密钥协商生成会话密钥时，无论是谁都不能任意设置会话密钥的值，即便是预先设定值也不行.

（6）抗临时密钥泄漏攻击.在某次密钥协商过程中，攻击者获得临时私钥，但它无法计算出本次的会话密钥.

1.3 公钥密码体制

Diffie W和Hellman M提出的公钥密码体制是密码体制里重要研究成果［8］.为解决中间人攻击和重放攻击，提出基于身份的公钥密码体制IBC［7－9］（Identify－based Cryptography），基于身份的公钥密码体制中的公钥部分不是由密钥生成中心KGC产生，而是通信方的的属性串（可以唯一确定通信方身份的标识），如家庭住址和电子邮箱等信息.通信方进行通信时，只要知道对方的属性串就可以进行通信，弱化密钥生成中心的功能.在基于身份的公钥密码体制中，KGC知道所有通信方的私钥，KGC可以冒充某通信方与其他通信用户进行通信，造成密钥托管问题.

为了解决密钥托管问题，人们在基于身份的密码体制基础上进行改进，提出无证书的公钥加密体制CL－PKC［4－6，10］（Certificateless Public Key Cryptography）.这种公钥密码体制中通信方的私钥并不是完全由密钥生成中心KGC生成，而是由通信方与KGC共同生成.

基于无证书的公钥密钥体制会发生拒绝解密DoD（Denial of Decryption）攻击［11］，也可以说是拒绝服务DoS（Denial of Service）攻击，从而影响通信方之间正常的信息传输.基于无证书的公钥密码体制有对手I（AdersaryⅠ）和对手Ⅱ（AdersaryⅡ）假设［4－5］.对手Ⅰ（AdersaryⅠ）不知道KGC的主密钥（master key），但是它可以替换所有用户的公钥（public key）.当用户A与用户B进行通信时，攻击者替换用户A的公钥，造成B无法解密A传递过来的信息，使得用户B无法得到正确的通信消息，造成DoD攻击.另外，在基于无证书的公钥密钥体制中，还存在身份确认缺陷［11］.用户A需要确认B的身份，他们之间才能正确进行通信，在基于无证书的公钥体制中，由于没有用户的公钥证书，而且用户的公钥是由用户自己生成的，因此没有可信的第三方对用户的身份进行认证.如果用户A无法对B的身份进行确认时，则无法进行正常通信.

2 基于自生成证书的端到端协议

结合无证书的公钥体制和传统的公钥密码体制的的特点，人们提出基于自生成证书的公钥密码体制［11－13］.自生成证书的公钥密码系统既保留无证的书公钥密码体制的优点，又具有传统的公钥密码体制证书的特性，能够克服拒绝解密DoD（Denial of Decryption）攻击，增强对通信方的身份确认.

2.1 密码体制

传统的公钥密码体制中的证书是由第三方认证机构CA（Certificate Authority）管理的，由于传统公钥密码体制证书的实施过于复杂，应用推广受到限制.人们又提出基于身份的密码体制（IBC）［7－9］和无证书的公钥密码体制（CL－PKC）［4，6，10］.

自生成证书公钥密码体制借鉴无证书公钥密码体制的特点，通信方与密钥生成中心KGC共同生成用户的私钥；同时借鉴传统公钥密码体制的特点，在生成用户公钥时，还要生成公钥证书.对传统的公钥体制的证书管理进行改进，用户将自己的公钥证书储存在可信第三方，并对自己生成的证书进行维护.密钥生成中心KGC与用户共同协商，生成用户自己的私钥，KGC不能知道用户的秘密参数，所以KGC并不知道用户真正的私钥.这种证书管理的方法克服了传统的公钥密码体制中证书由认证机构集中管理的弱点.

自生成证书公钥体制的特点［13］：

（1）自生成证书只有用户本人才知道他的私钥，其他人不可能得到此私钥的任何信息；

（2）自生成证书的过程需要密钥生成中心KGC的协助，使用户证书的公信力得到保障；

（3）为避免在公钥密码体制中传统集中式管理所带来的弊端，用户可以管理自己的证书；

（4）自生成证书公钥体制适用于任意基于离散对数的公钥加密及数字签名研究.

2.2 公钥系统

自生成证书公钥体制系统［14－19］由4个模块组成：

（1）生成用户部分私钥模块.用户和KGC（密钥生成中心）进行交互，参与生成用户的部分私钥.

（2）生成／更新用户最终公钥私钥模块.用户利用部分私钥更新完整的公私钥对或生成相应的公钥证书.

（3）验证用户证书模块.通过系统参数和用户公钥证书验证用户公钥证书的正确性.

（4）生成系统参数模块.建立系统所需要的系统参数.

自生成证书公钥体制借鉴无证书的公钥密码体制的特点生成系统的参数；用户在生成公钥时，由用户生成公钥证书.自生成证书公钥系统的初始化实现步骤：

（1）系统参数初始化.设G1是椭圆曲线上阶为q的循环加法群，G2是阶为q的循环乘法群，P为群G1的生成元，定义2个单向哈希函数H1：｛0，1｝＊→G1、H2：｛0，1｝n×G2→Z＊q和一个双线性映射e：G1×G1→G2，密钥生成中心KGC随机选择Smaster∈Z＊q作为该系统的主密钥，求解系统公钥Psp＝SmasterP，系统公开参数Sparams＝｛G1，G2，H1，H2，e，q，P，Psp｝.

（2）部分私钥提取.KGC（用户密钥生成中心）获得A用户提供的唯一身份信息IEA，对它进行认证后输入到系统，同时输入主密钥Smaster以及参数Sparams，求得A用户的部分密钥EA和QA，并把它们经安全信道分别发送给A用户.其中，QA＝H1（IEA），DA＝SmasterQA，EA的真实性可以通过等式e（EA，P）＝e（QA，Psp）的验证实现.

（3）秘密值的选取.由A用户完成秘密值的选取，xA∈G1即为长期秘密值.

（4）私钥生成.A用户将秘密值xA、部分密钥EA以及参数Sparams作为输入，得到输出SA作为私钥，其中，SA＝xASmasterQA＝xAEA.

（5）公钥生成.将A用户的秘密值xA以及系统参数Sparams作为输入，得到输出PA作为公钥.其中PA＝＜XA，YA＞，XA＝xAP，YA＝xAPsp＝xASparamsP.生成用户公钥后，还要生成相应的公钥证书CertA，并对生成的公钥证书进行验证.

自生成证书公钥系统由用户生成公钥证书并自行管理，同时保留无证书公钥体制的优点（无密钥托管问题），摒弃传统公钥体制复杂的证书管理.

2.3 密钥协商

有关无证书公钥密码体制密钥协商研究较多，有基于双DH的无证书公钥体制的密钥协商［4］，也有数字签名的无证书公钥体制密钥协商过程［5］，还有对现有协议的安全改进［6，11］.在无证书公钥密码体制的密钥协商的基础上，结合自生成证书公钥体制的特点，在无证书密钥协商中附加消息认证码MAC（Message Authentication Code）；结合证书的特点，提出一种基于自生成证书的可认证端到端密钥协商.

根据2.2，设有2个不同的密钥生成中心KGC1与KGC2，A用户属于KGC1，B用户属于KGC2，2个用户希望通过密钥协商得到1个共享密钥以便进行安全通信.所有KGC采用相同公开参数｛G1，G2，H1，H2，e，q｝，2个密钥中心各自生成的主密钥s1与s2属于Z＊q，密钥中心的公钥分别是P1＝s1P，P2＝s2P，其中：P为双方认可循环加法群G1的生成元.用户A将身份信息IEA提交到密钥生成中心KGC1，KGC1将部分密钥EA＝s1QA＝s1H1（IEA）通过安全信道返回；同理，用户B将IEB提交到密钥生成中心KGC2，KGC2将部分私钥EB＝s2QB＝s2H1（IEB）.用户A和用户B分别生成密钥生成中心不知道的秘密值xA与xB∈Z＊q，它们各自对应部分密钥为EA与EB，所生成的私钥为SA＝＜EA，xA＞、SB＝＜EB，xB＞.用户A公钥为PA＝xAP，临时密钥S′A＝xAQA＋EA＝QA（xA＋s1）；同理，用户B的公钥S′B＝xBQB＋EB＝QB（xB＋s2）.

协商过程见图1.A用户与B用户的会话密钥经过协商而来，实现步骤：

（1）A用户选择秘密随机数a∈Z＊q，同理，B用户选择随机数b∈Z＊q，求解TA＝aQA、TB＝bQB.

（2）当A用户要使用B用户的公钥证书时，A用户要向公钥证书撤销列表服务器查询B的公钥证书是否在撤销列表中，假如存在，则用户A不能使用B的公钥证书.若撤销列表中不存在用户B的公钥证书，用户A才能使用B的公钥证书.A将＜IEA，TA，PA＞发送给B，同时B将＜IEB，TB，PB＞发送给A.用符号表示：A把参数传递给B：A→B：IEA，TA＝aQA，PA；B把参数传递给A：B→A：IEB，TB＝bQB，PB.

（3）消息确认，A将MACKA（IEA，TA，PA）发送给B，B将MACKB（IEB，TB，PB）发送给A，双方分别验证消息的完整性，如果MACKA（IEB，TB，PB）与MACKB（IEB，TB，PB）相同，MACKA（IEA，TA，PA）与MACKB（IEA，TA，PA）也相同，说明密钥协商成功，可以生成会话密钥；若验证结果不匹配，则需要重新密钥协商.

（4）S′A，S′B是A和B生成的短期密钥，A、B分别计算KA和KB.

A计算KA：KA＝e（S′A，P）a·e（TB，PB＋P2）；B计算KB：KB＝e（S′B，P）b·e（TA，PA＋P1）.

（5）生成会话密钥，若A和B得到KA＝KB，通过计算可以得到密钥［16］：

A用户与B用户需要对KAB进行哈希处理，得到双方协商的会话密钥KS：KS＝H2（KAB｜｜abP｜｜xAxBP），保证攻击者不能从会话密钥中获得任何信息.

图1 密钥协商过程

3 安全性能分析

3.1 密钥协商协议

（1）密钥安全性.通信方每次进行密钥协商时，双方用户选取的秘密随机数参与密钥协商，从而每次都会产生1个唯一的会话密钥，每个用户认为此密钥是相对安全的，因为只有协议的参与者才知道此密钥.

（2）抵抗中间人攻击.通信双方用临时的密钥生成会话密钥，攻击者即使获得用户的秘密私钥，也无法得到他的短期密钥，因为离散对数的存在使用户私钥无法通过计算而得到.同时，通信双方交换消息认证码MAC，可以有效抵抗中间人攻击.

（3）前向安全性.即使其中任一方泄漏私钥，也不会影响泄漏之前的会话密钥.

（4）密钥不可控性.在会话密钥协商过程中，密钥生成参数是由参与者本身所产生且带有随机性，具有较好的不可控性.

（5）抗未知密钥共享.通信方经过协商的某次会话密钥只有通信方知道，在每次密钥协商时，都要验证通信方的证书确保用户的身份；同时在密钥协商过程中交换消息认证码MAC，确保通信方中的某一方不能和第三方共享这次会话密钥.

3.2 端到端密钥协商

基于自生成证书公钥体制的端到端密钥协商较好地满足安全准则，与原有协议相比，具有特点：

（1）在用户和服务器通信的过程中，由于引入安全的无证书密钥协商协议，通信双方经过共同协商计算获得会话密钥，从而避免第三方对信息的无举证窃听.

（2）使用无证书公钥加密技术，以便密钥的管理与分配，从而有效解决原有认证中心巨大的密钥库带来的弊端.

4 结束语

针对无证书公钥体制的拒绝解密DoD攻击和无法确认通信方身份缺陷，在自生成证书的公钥体制基础上，研究新公钥体制下的密钥协商，提出基于自生成证书公钥体制的可认证端到端密钥协商，安全性较强，适用于移动网络带宽差、移动终端计算能力弱的移动网络应用环境，可以满足基于移动网络端到端通信的应用安全性.在端对端密钥协商的基础上，可以对群组密钥协商协议进行分析，研究在移动网络应用环境中实现群组密钥协商的可行性.

［1］ Diffie W，Hellman M.New directions in Cryptography［J］.IEEE Trans on Information Theory，1976，22（6）：644－654.

［2］ Al－Riyamiss S S，Paterson K G.Tripartite authenticated key agreementprotocols from pairings［M］.［S.l］：Springer－Verlag.

［3］ Shim K.Efficientone－round tripartite authenticated key agreementprotocol form the Weil pairing［J］.Electronics Letters，2003（39）：208－209.

［4］ Al－Riyami S S，Paterson K G.Certificateless public key cryptography［R］.Advances in Cryptology－Asiacrypt’03，Lecture Notes in Computer Science，2003，2894：452－473.

［5］ MandttK.Certificateless authenticated two－party key agreementprotocols［D］.Oppland：GjvikUniversity College，2006.

［6］ 朱志馨，董晓蕾.高效安全的无证书密钥协商方案［J］.计算机应用研究，2009，26（12）：4787－4789.

［7］ 邵琳，李晖.一种移动环境下的基于身份的端到端认证和密钥协商协议［J］.计算机应用研究，2008，25（8）：2457－2459.

［8］ 陈家琪，冯俊，郝妍.基于无证书密码学的可认证三方密钥协商协议［J］.计算机应用研究，2010，27（5）：1904.

［9］ Dan Boneh，MattFranklin.Identity－based encryption from the Weil pairing［J］.Advance－s in Cryptology－CRYPTO 2001，2001，2139：213－229.

［10］ SmartN P.An identity based authenticated key agreementprotocol based on the Wei lPairing［J］.Electronics Letters，2002，38（13）：630－632.

［11］ 冯新泉，黎忠文.P2P中基于无证书的认证及密钥协商协议［J］.计算机技术与发展，2009，19（2）：165－168.

［12］ Junzuo Lai，Weidong Kou.Self－Generated－Certificate public key encryption withoutpai ring［R］.Public Key Cryptography－PKC 2007.

［13］ Liu J K，Au M H.Self－Generated－Certicate public key cryptosystem［DB／OL］.CryptologyePrintArchive，Report2006／194，2006.http：／／eprint.iacr.org／2006，194.

［14］ 郭宝安，赖俊祚.自产生证书的公钥密码系统［J］.计算机工程，2009，35（11）：16－19.

［15］ 吴晓宇，李玉贤，韩佳霖等.3G终端数据机密性服务设计［J］.大庆石油学院学报，2011，35（2）：95.

［16］ 舒剑.认证密钥协商协议的设计与分析［D］.成都：电子科技大学博士论文，2010.

［17］ Blake－Wilson S，Johnson D，Menezes A.Key agreementprotocols and their security analysis［C］／／Proc of the 6th M A International Conference on Cryptography and Coding［S I］.SpringerVerlag，2008.

［18］ 肖自碧，杨波.发展安全的公钥密码系统的新方法研究［J］.计算机应用研究，2007，24（10）：5－8.

［19］ 秦波，伍前红.密钥协商协议进展［J］.计算机科学，2008，35（92）：9－12.

End－to－end key agreementbased on mobile network／2012，36（4）：74－78

XU Ping，ZHANG Fang－zhou，ZHANG Xiao－yu，MA Xi－bao
（College of Computer and Information Technology，NortheastPetroleum University，Daqing，Heilongjiang163318，China）

Although the security mechanism＇s extension of 3Gnetwork has reached the core network，itdoesn＇trealize the security of end to end.Therefore the research of security which is based on mobile network application is an urgentand importanttask，and the confidentiality of end to end is the key to it.This article is aboutdesigning an end to end key agreementprotocol based on the system of self－generated certificate and public key password.This protocol builds a security tripartite session key only need one round message exchange，which can strongly overcome the key escrow and offer perfectforward secrecy.Security analysis resultshows thatthis article＇s design of key agreementalgorithm can solve key managementproblem and the interception which can notbe proved.Compared with existing key agreementprotocol，the newly proposed key agreementprotocol has better security.Thus，this mechanism lays a foundation for extensive practical application of end－to－end encryption in mobile communication.

key agreementprotocol；public mobile network；end－to－end；self－generated certificate；3G network；security mechanism

book=4,ebook=138

TP309

A

2095－4107（2012）04－0074－05

2012－05－18；编辑：任志平

黑龙江省教育厅科学技术研究项目（12511013）

徐 平（1965－），博士，教授，主要从事计算机网络和教育技术方面的研究.