基于身份加密体制的无线网络认证授权模型
2012-12-09张淏湜
赵 庆,王 斌,张淏湜
(扬州大学 信息工程学院,江苏 扬州225127)
传统的公钥基础设施(public key infrastructure,PKI)认证体系是利用可信第三方通过颁发证书的形式绑定网络中用户身份及其公钥,在通信过程中验证证书的有效性即可判定用户身份的真实性[1],而在无线网络环境下传送证书须消耗较大的带宽,导致身份认证过程的网络访问延迟,因此许多专家学者作了大量研究.MILLER[2]提出椭圆曲线在密码学中的使用,主要通过使用更小的密钥提供相当或更高等级的安全.高志刚等[3]通过椭圆曲线定义了群之间的双线性映射.SHAMIR[4]提出的基于身份的密码学体制(identity-based encryption,IBE)是由密钥生成中心将用户公开的身份标志(如用户姓名、身份证号等)生成私钥,从而提高密钥的管理水平.JOUX[5]利用Weil配对技术提出了仅需一轮通信且基于身份的三方密钥共享协议.文献[6-8]采用椭圆曲线上Pairing的基于身份的加密算法,不再利用数字证书将用户身份与公钥绑定,故简化了认证过程.MOON 等[9]提出了一种利用AAA(authenticatian,authorization,accounting)体系结构的基于身份的票据方案,然而用户在漫游服务器认证时可能会被还原出真实身份.文献[10]提出了更为严谨的漫游认证方案,但该方案由于须接入智能卡而不具通用性.本文利用文献[11]提出的无证书公钥密码体制,提出一种基于文献[10]漫游认证方案的无线网络安全身份票据方案,并进行了安全性分析.
1 基于身份的票据方案
1.1 系统参数设置
给定加法群(G1,+)和乘法群(G2,·),素数阶为q,其位长一般是160bit,且求解离散对数是困难的.双线性映射e:G1×G1→G2,P 为G1的生成元.设在G1上的CDH(computational diffiehellman)假设成立.CDH 假设:G=〈P〉是阶为q的循环群,输入x·P,y·P∈G1(x,y∈Z*q,且其值未知),则计算(xy)·P 是困难的.
定义1①A→B:m,表示A 向B发送信息m;②x∈RS,表示在群S 中等概率的选取随机数x;③Ex(m),表示将消息m 用密钥x 加密;④signx(m),表示将消息m 用密钥x 签名.
1)参数建立.对安全参数k,给出EG=(e(·),G1,G2,q,P),随机选取s∈Z*q为系统私钥并计算系统公钥PS=s·P.选取无碰撞散列函数H:(0,1)*→Z*q;H1:{0,1}*×G1→{0,1}i,i是输出数据的长度;H2,H3:{0,1}*→G1.公开参数为EG,PS,H,H1,H2,H3.
2)用户私钥提取.用户C 选取xC∈RZ*q并计算YC=xC·P 作为自己的公钥公开.密钥生成中心PKG 由系统私钥s和用户C公开身份IDC∈{0,1}*及YC,计算QIDC=H2(IDC‖YC)及用户部分私钥DIDC=s·QIDC,并储存用户的公钥,再将DIDC通过安全信道发送给用户C.确定用户C 的公开身份为IDC,公钥为YC,私钥为(DIDC,xC).
3)用户认证及密钥交换.用户C 选取r∈RZ*q,t∈RZ*q,计算U=r·QIDC,J1=t·P,kS=H3(r·DIDC),C→S:(EkS(IDC‖J1),U).
本地服务器S计算US=s·U=s·(r·QIDC)=(r·DIDC),导出对称密钥kS,解密出IDC,J1,然后选取α∈RZ*q,计算J2=α·P,J=α·(t·P);S→C:J2.
用户C计算与本地服务器S 共享的会话密钥skSC=H((t·J2)‖r·s·QIDC‖IDC‖IDS),C→S:EskSC(IDC‖IDS‖t·J2),本地服务器S解密后若(t·J2)与J 相等,则表明验证通过,即可防止冒充攻击.
1.2 用户票据请求
1)用户C选取β∈RZ*q,计算H(TC),TC为用户当前时间戳.C→S:(EskSC(TC‖IDC‖IDS,β·P,service),(IDC,TC)).
2)由本地服务器S 验证TC是否在合法间隔内,验证通过后选取λ∈RZ*q,计算J3=λ·P,VSC=λ·(β·P)以及用户C的匿名身份IDCanom=EskSC(H(TC)⊕IDC),同时将其真实身份与匿名身份存储于服务器中.令IDall=(IDCanom‖IDC‖IDS),S→C:EskSC(J3‖IDall).
3)用户C收到信息后解密得到J3,得出β·J3=β·(λ·P),然后计算与服务提供商SP之间的会话密钥skSP=H(β·(λ·P)‖IDall‖service),C→S:EskSP(β·J3).
4)本地服务器S收到信息解密后若β·J3与VSC相等,则令g=(IDCanom,IDS,lifetime,service),本地服务器S形成签名ω=signyS(g),yS为S的签名密钥,同时生成用户C 的票据ticket=[g,ω],S→C:EskSC(ticket).
1.3 服务请求
1)用户C经本地服务器S认证后,C→SP:(EskSP(ticket,TSP),IDCanom,service),TSP为服务提供商SP当前的时间戳.
2)服务提供商SP收到用户C的服务请求后,SP→S:EPS(IDCanom,request),request表示服务提供商SP向本地服务器S获取与用户C之间会话密钥的请求.
3)本地服务器S收到服务提供商SP的请求后,通过查询数据库获取用户C 的真实身份,S→SP:EKSP(IDCanom,kSP,service),KSP是服务提供商SP的公钥.
4)服务提供商SP解密获得用户C 的身份和会话密钥skSP,然后解密用户C 已发送过来的信息,验证票据中本地服务器S的签名以及TSP是否有效,验证通过则证明用户C 为合法用户,随即向其发送服务请求响应.
1.4 漫游认证和票据分发
当用户C从本地移动到其他地区并使用该地区服务时,须在漫游服务器F上重新进行认证,可参照在本地服务器S的票据请求,利用与漫游服务器F共享的密钥和自己的匿名身份,在漫游服务器F上获取临时票据.
1)用户C首先选取η∈RZ*q,计算l1=η·P,C→F:m1={EskSC(IDC,l1),IDCanom,TC}.
2)漫游服务器F 验证TC是否合法,验证通过则选取μ∈RZ*q,计算l2=μ·P,令j=(EskSC(IDC,l1),TC,IDCanom,l2,TF),F→S:m2={j,CertF,signyF(H1(j))},TF为漫游服务器F选取的时间戳,CertF,yF分别为漫游服务器F的证书和签名密钥.
3)本地服务器S收到消息后,若CertF和时间戳TF有效,则用漫游服务器F的公钥检验消息的签名是否合法,验证合法则还原出用户C的真实身份IDC,并与EskSC(IDC,l1)中解密出的IDC比较是否一致.验证通过后,本地服务器S选取δ∈RZ*q,计算l3=δ·P,lSF=δ·l2,lSC=δ·l1.令n=(H1(IDC),EskSC(IDC,l1,lSF),lSC,l2,TS),计算签名信息θ=signyS(n),S→F:m3={n,CertS,θ}.
4)漫游服务器F 收到消息后验证证书和签名是否合法,利用lSC计算VCF=μ·lSC=μ·(δ·(η·P)),得到与用户C的会话密钥skCF=H1(H1(IDC)‖IDF‖VCF).F→C:m4={EskSC(lSF),l1,CertF,IDCanom,TC,signyF(H1(EskSC(lSF),l1,IDCanom,TC))}.
5)用户C收到消息后验证证书和签名的合法性,然后利用skSC解密获得lSF,计算VCF=η·lSF=η·δ·(μ·P),从而得到与漫游服务器F之间的会话密钥skCF.
1.5 票据更新
当用户C移动到新地区时,票据可能会过期或者被破坏,故须进行更新.
1)用户C 首先选取ψ∈RZ*q,计算L1=ψ·P,同时选取新的时间戳T′C,C→F:m5={EskCF(T′C,L1,ticket),IDCanom,requestrenew}.
2)漫游服务器F解密信息后,F→S:m6={signyF(EskCF(T′C,L1,ticket),IDCanom)}.
3)本地服务器S首先验证漫游服务器签名的合法性,验证通过则利用存储在服务器中的真实身份与匿名身份对应,对IDCanom解密出用户C 的真实身份IDC,然后用之前与用户C 共享的会话密钥skS解密出T′C,L1,ticket,选取ξ∈RZ*q,计算L2=ξ·P,Lch=ξ·L1=ξ·ψ·P,生成用户新的匿名身份ID′Canom=EskSC(H(T′C)⊕IDC),以及用户C 与服务提供商SP 之间新的会话密钥sk′CF=H(Lch‖ID′Canom‖IDC‖IDS‖sk),计算ωnew=signyS(ID′Canom,IDS,lifetime),ticket′=[ID′Canom,IDS,lifetime,ωnew].S→F:m7={Lch,L2,ticket,IDS,signyS(Lch,L2,ticket,IDS)}.
4)漫游服务器F对m 中的签名进行验证,验证通过后F→C:m8={m7,signyF(m7)}.
5)用户C验证漫游服务器F的签名是否正确,验证通过后则获取Lch,L2.计算并检验ψ·L2是否与Lch相等,相等则说明票据合法,同时计算出与服务提供商SP 之间的会话密钥sk′CF=H(Lch‖ID′Canom‖IDC‖IDS).
2 安全性分析
命题1用户C与服务提供商SP之间的会话密钥kSP、用户C与漫游服务器F之间共享的会话密钥skCF的值具有保密性.
证明 用户C与服务提供商SP之间的会话密钥kSP的生成依赖于β和λ,β,λ分别由用户C 和本地服务器S选取并保密,由于引入加密函数以及CDH 假设,攻击者无法通过用户C 与本地服务器S之间传递的消息逆向推导出β和λ 的值,所以kSP的值具有保密性.用户C与漫游服务器F之间共享的会话密钥skCF保密性原理相同.
命题2用户C的真实身份只有本地服务器S可以还原.
证明 用户C的真实身份IDC利用用户C与本地服务器S之间共享的会话密钥skS加密,充分保证了用户C真实身份的安全性.
命题3时间戳的使用防止攻击者使用重放攻击.
证明 在用户票据请求、服务请求、漫游认证以及票据更新中,由于传递的信息中包含时间戳,用户和服务器都可以通过对时间戳的合理计算来核实时间,从而有效防止了重放攻击.
[1] LEE Y,LEE J,SONG J S.Design and implementation of wireless PKI technology suitable for mobile phone in mobile-commerce[J].Comput Commun,2007,30(4):893-903.
[2] MILLER V S.Use of elliptic curves in cryptography[C]//Advances in Cryptology CRYPTO′85Proceedings of LNCS218.New York,USA:Springer-Verlag,1986:417-426.
[3] 高志刚,冯登国.高效的标准模型下基于身份认证密钥协商协议[J].软件学报,2011,22(5):1031-1040.
[4] SHAMIR A.Identity-based cryptosystems and signature schemes[C]//Proceedings of CRYPTO 84on Advances in Cryptology Lecture Notes in Computer Science.New York,USA:Springer-Verlag,1985,196:47-53.
[5] JOUX A.A one round protocol for tripartite diffie-hellman[C]//Proceedings of the 4th International Symposium on Algorithmic Number Theory.London,UK:Springer-Verlag,2000:385-394.
[6] BONEH D,FRANKLIN M.Identity-based encryption from the weil pairing[C]//Proceedings of CRYPTO(LNCS).[S.l.]:Spinger-Verlag,2001,2139:213-229.
[7] WATERS B.Efficient identity-based encryption without random oracles[C]//Proceedings of 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques.Denmark:Springer-Verlag,2005:114-127.
[8] GENTRY C.Practical identity-based encryption without random oracles[C]//Proceedings of 25th Annual International Conference on the Theory and Applications of Cryptographic Techniques.Berlin:Springer-Verlag,2006,4004:445-464.
[9] MOON J S,LEE I Y.An AAA scheme using ID-based ticket with anonymity in future mobile communication[J].Comput Commun,2011,34(3):295-304.
[10] HE Daojing,MA Maode,ZHANG Yan,et al.A strong user authentication scheme with smart cards for wireless communications[J].Comput Commun,2011,34(3):367-374.
[11] 廖大见,唐元生.一种无证书强代理签名方案的设计[J].扬州大学学报:自然科学版,2011,14(3):66-69.
