基于切比雪夫多项式的三因子认证密钥协商协议

2021-05-12宋岱松陈彦如朱林全李扬邢镔

现代计算机 2021年7期

宋岱松，陈彦如，朱林全，李扬，邢镔,4

（1.四川大学计算机学院，成都610065；2.重庆工业大数据创新中心有限公司，重庆400707；3.西南通信研究所保密通信重点实验室，成都610041；4.工业大数据应用技术国家工程实验室，北京100043）

0 引言

随着5G 网络的迅猛发展，物联网技术得到了广泛的实际应用，如智能家居、智能电网、远程精准医疗等应用，方便了人们的日常生活，但由于网络的开放性，物联网设备间传输的敏感数据容易被不法分子窃取、篡改，因此设备间需要有合适的认证密钥协商来鉴别合法设备和保障数据传输的安全。

由于物联网设备往往是计算能力较弱、存储空间受限的传感器节点，基于RSA 的认证密钥协商协议并不适用，基于切比雪夫多项式的轻量级认证密钥协商协议成为首选。近年来，国内外许多学者提出了一系列的协议，2014 年Yang 等人[1]提出智能卡的三方认证密钥协议，随后被Park[2]证明其协议不能抵抗离线密码猜测攻击和内部特权攻击。2015 年Li 等人[3]提出基于切比雪夫混沌的三方认证方案，但不满足用户匿名性以及无法抵抗已知特定会话的临时信息攻击。2016 年Amin 等人[4]在移动网络中提出用户强匿名性的互认证和密钥协商方案，但其方案不具备完美前向安全性和消息完整性。2017 年Jiang 等人[5]提出无线传感器网络的三因素的轻量级认证和密钥协商协议，但其方案不具备完美前向安全性、抗模仿攻击和消息完整性。2018 年Irshad 等人[6]提出一种匿名增强的三方认证密钥协商方案，但其方案不能抵抗中间人攻击、抗重放攻击、用户匿名性和消息完整性。2019 年，Ying 等人[7]提出应用于5G 多服务器环境的远程认证密钥协商模式，其模式不具备互认证性、抗重放攻击和抗模仿攻击。

本文提出基于切比雪夫多项式的三因子认证密钥协商协议，文中详细介绍协议各阶段的执行过程，最后对协议进行安全性分析论证，并与已有部分协议进行安全性比较。

1 切比雪夫多项式理论基础

切比雪夫多项式也叫切比雪夫混沌映射，源起于多倍角的余弦函数和正弦函数的展开式，是与棣美弗定理有关，以递归式定义的多项式序列，是计算数学中的一类特殊函数。

1.1 切比雪夫多项式的基本原理[8]

1.2 切比雪夫多项式的相关定义

切比雪夫离散对数问题（Chebyshev Discrete Logarithm Problem，CDLP）：若已知T（nx）、x 的值求n 的值，在计算上是不可行的难题。

切比雪夫Diffe-Hellman 问题（Chebyshev Diffe-Hellman Problem，CDHP）：若已知T（nx）、Tm（x）、x 的值，求解Tnm（x）是在计算上是不可行的难题。

2 TFA-ECP协议

本文结合常见的物联网节点间通信模型，提出基于切比雪夫多项式的认证密钥协商协议（TFA-ECP 协议），其主要应用于资源受限的节点间和安全注册中心之间相互认证和临时会话密钥协商。TFA-ECP 协议分为三个阶段，注册中心初始化阶段、安全注册阶段和安全认证协商阶段。

为方便描述TFA-ECP 协议，用SRC 代表安全注册中心，Alice 和Bob 分别代表参与认证和密钥协商的两个物联网节点设备，协议所使用的部分符号含义如表1 所示。

表1 TFA-ECP 协议部分符号含义

2.1 注册中心初始化阶段

在注册中心初始化阶段，SRC 首先选取大素数p、本机标识IDs、随机数x ∈(-∞,∞)作为扩展切比雪夫多项式的参数，接着选择随机数s 作为SRC 的全局私钥，通过Ts( x )mod p 计算得到SRC 的全局公钥PK，然后选择哈希函数H（.）和对称加密算法E（k.）/D（k.），最后SRC 存储本机标识IDs到数据库，通过公开信道将信息{x,p,PK,E（k.）/D（k.）,H（.）}下发给网络中的其他节点。

2.2 安全注册阶段

在安全注册阶段，网络中各节点已经接收到SRC下发的信息，其注册执行过程如图1 所示。Alice 选取身份标识IDa和随机数a ∈(-∞,∞)，ska∈(-∞,∞)，其中ska作为Alice 的设备私钥，计算Ras=Tska( x )mod p 、Ra=Ta(x)mod p 、MIDa=Ta(IDa)mod p 和 kas=Ta(PK)mod p，产生时间戳Tas，利用kas将MIDa、Tas和Ras经加密后得到加密信息Mas，随后使用哈希函数计算摘要信息Signas=H( Mas||Ra)，最后Alice 将信息{Mas，Ra，Signas}发送给SRC。同样地，Bob 的注册过程和Alice 完全相同，将信息{Mbs,Rb,Signbs}发送给SRC。

当SRC 接收到Alice（或Bob）发送过来的注册信息时，首先重新计算Signa`s=H( Mas||Ra)，判断Signa`s和Signas的值是否相等，若不等则拒绝该注册请求，若相等，则计算kas=Ts( Ra)mod p，使用kas解密密文Mas得到MIDa、Tas和Ras。接着，SRC 生成时间戳Ta`s，然后，判断是否满足 |Ta`s-Tas|≤ΔT ，若不满足，则拒绝该注册请求，若满足，选取随机数 ma∈(-∞,∞) ，计算wa=H( ma||MIDa||(Ts(Ras)mod p) )，WTa=Twa( PK )mod p ，Vsa=H( ma||WTa||IDs)，重新生成时间戳Tsa，使用ksa将Tsa、ma和IDs加密得到Msa，计算MIDa、Vsa和Msa的摘要信息Signsa。最后，SRC 将＜MIDa,ksa,WTa,ma＞存放到数据库，并通过公开信道将信息{Msa,Vsa,Signsa}发送给Alice。相似地，收到Bob 的注册信息时，SRC 也会将＜MIDb,ksb,WTb,mb＞存放到数据库，并通过公开信道将信息{Msb,Vsb,Signsb}发送给Bob。

Alice 收到SRC 返回的消息后，首先重新计算摘要信息Sign`sa=H( Msa||Vsa||MIDa)，判断Sign`sa和Signsa的值是否相等，若不相等，则丢弃并重新进行注册，若相同，则利用kas 对Msa解密得到ma、Tsa和IDs，Alice 生成时间戳Ts`

a，判断 |Ts`a-Tsa|≤ΔT 是否满足，若不满足，则丢弃并重新进行注册，若满足，计算wa`=H( ma||MIDa||(Tska(PK)mod p)) ，进而计算WTa`=Tw`a(PK) mod p，计算摘要信息Vs`a=H( ma||WTa`||IDs)，判断Vs`a和Vsa是否相等，若不相等，则丢弃并重新进行注册，若满足，则将＜IDs,MIDa,ma,WTa,kas＞存放到本地数据库。相同地，Bob 收到SRC 返回的消息后，经过相同计算验证过程，将＜IDs,MIDb,mb,WTb,kbs＞存放到本地数据库。

图1 TFA-ECP协议安全注册阶段过程示意图

2.3 安全认证协商阶段

在安全认证协商阶段，假定Alice 将向Bob 发送信息，需要通过SRC 完成身份认证和临时会话密钥协商，其认证协商执行过程如图2 所示。Alice 首先选择随机数g ∈(-∞,∞) ，计算skasb=H( g||IDs||ma||WTa)，was=Tskasb( x )mod p，etas=Tskasb( PK )mod p 生成时间戳Tasb，然后从本地数据库中获取kas，并利用其对was和Tasb加密得到Masb，计算摘要信息Vasb=H(etas||WTa||IDs|| MIDa) ，Signasb=H( Masb||Vasb)，最后将信息{Masb,Vasb,Signasb}发送给SRC，同时Bob 也开启认证协商阶段，相似地将计算加密后的信息{Mbsa,Vbsa,Signbsa}发送给SRC。

图2 TFA-ECP协议安全认证协商过程示意图

一旦SRC 收到Alice（或Bob）发送来的消息时，首先计算Signa`

sb=H( Masb||Vasb)，Signb`sa=H( Mbsa||Vbsa)，判断Sign`asb和Signasb，Signb`sa和Signbsa是否相等，若两者任一不相等，则拒绝该认证协商请求，若两者都相等，则分别从数据库中获取＜MIDa,ksa,WTa,ma＞和＜MIDb,ksb,WTb,mb＞，分别利用ksa和ksb对Masb，Mbsa解密得到was、Tasb、wbs和Tbsa，，判断 |Ta`sb-Tasb|≤ΔT 和 |Tb`sa-Tbsa|≤ΔT是否满足，若不满足条件，则拒绝该认证协商请求，若满足条件，则计算Fa=Ts( wa)mod p 和Fb=Ts( wb)mod p ，Va`sb=H( Fa||WTa||IDs||MIDa)和Vb`sa=H(Fb||WTb||IDs||MIDb)，判断Va`sb和Vasb，Vb`sa和Vbsa是否相等，若两者任一不相等，则拒绝该认证协商请求，若两者都相等，则 SRC 选择随机数 r ∈(-∞,∞) 并计算token=H(W Ta||WTb||r )。然后，SRC 产生时间戳Ts，计算摘要信息HSK=H( Fa||Fb||token||Ts)，Ga=H(W Ta||HSK )，Gb=H(W Tb||HSK )。利用ksa对Fb、token、Ga和Ts加密得到Msab，并计算摘要信息Vsab=H(token||WTa|| Fb|| Ts||Fa||Ga) ，Signsab=H( Msab||Vsab)，利用ksb对Fa、token、Gb和 Ts加密得到 Msba，并计算摘要信息Vsba=H( t oken||WTb||Fa|| Ts||Fb||Gb)，Signsba=H( Msba||Vsba)。最后，SRC 将消息{Msab,Vsab,Signsab}和消息{Msba,Vsba,Signsba}分别发送给Alice 和Bob。

Alice（或Bob）收到SRC 响应的消息时，首先重新计算摘要信息Sign`sab=H( Msba||Vsba)，若Sign`sab和Signsab不相等，则中止认证协商过程，若相等，则使用kas对Msab解密得到Fb、token、Ga、Ts。然后，判断 |Ts`-Ts|≤ΔT 是否满足条件，若不满足条件，则立即终止该认证协商阶段，若满足该条件，则计算临时会话密钥SSKab=H( Fb||etasb||token )，计算摘要信息La=H(WTa||HSK) 。接着，计算Vs`ab=H( token||Fb|| Ts||etasb||La)，判断Vs`ab和Vsab是否相等，若不相等，则中止该认证协商阶段，若相等，则Alice 将SSKab作为本次通信的临时会话密钥。相似地，Bob 经过相同的计算验证步骤，最终将SSKba作为本次通信的临时会话密钥。

3 TFA-ECP协议安全性分析

本节将对本文所提出的TFA-ECP 协议进行安全性分析，详细论证所提出的协议能够满足的安全属性。

3.1 安全属性定义

用户匿名性（User Anonymity）：在协议执行过程中，敌手无法获得的节点设备真实的ID 标识。

完美前向安全性（Perfect Forward Security）：敌手即使获得当前节点的长期密钥，也无法通过长期密钥计算出之前协商出临时会话密钥。

消息完整性（Message Integrity）：发送节点在公开信道发送消息，敌手通过监听公开信道，截获消息并篡改消息后再转发给接收节点，接收节点收到消息后能够鉴别消息是否被恶意篡改。

抗重放攻击（Replay Attacks Resistance）：敌手不能通过多次发送历史消息给目的节点。

抗模仿攻击（Impersonation Attacks Resistance）：敌手如果不能获得注册中心下发给节点的长期密钥，就不能模仿节点和其他节点进行认证协商。

互认证性（Mutual Authentication）：节点之间通过注册中心能够相互认证，且认证过程无法被敌手伪造。

3.2 TFA-ECP协议安全属性分析

（1）用户匿名性

概言之，苏佩斯科学理论观的形成不仅有其深厚的理论思想背景，亦有其现实的理论发展需求。一方面，逻辑经验主义者关于科学理论的“公认观点”为其科学理论观的建构提供了先在的问题框架与思想缘起；另一方面，对“公认观点”的批判性重审又在一定意义上促生了其对科学理论重新加以解读的理论需求，而集合论的发展及其理论优势恰恰为苏佩斯实现对科学理论观的重建提供了恰当的逻辑理路与方法论平台。可以说，对科学理论“集合论模型”的构建正是苏佩斯科学理论观的一个重要的理论诉求。

在TFA_ECP 协议的任何阶段，由于节点的身份信息都经过加密传输或者使用临时身份ID，加密后的身份信息只有合法的节点或者注册中心正确计算密钥后才能获得，临时身份ID 每次会话都会不同，敌手无法根据截获信息获得节点真实身份，故满足用户匿名性。

（2）完美前向安全性

在认证协商阶段，协商产生的临时会话密钥跟通信双方节点和注册中心产生的随机数有关，因此敌手获得当前的临时会话密钥也无法计算得出之前会话的密钥，故满足完美前向安全性。

（3）消息完整性

任意节点收到消息后，会通过哈希散列算法计算摘要值，验证消息是否被敌手篡改，并且解密后的消息，再次进行摘要计算，验证消息和签名是否同时被敌手篡改，故满足消息完整性。

（4）抗重放攻击

任意节点鉴定消息未被篡改后使用密钥解密得到时间戳Tn，节点可以根据时间戳判定消息的新鲜性，故可以抗重放攻击。

敌手在不知道Alice 长期密钥WTa的情况下模仿Alice，只能随机生成伪长期密钥WTx用于此次认证协商，在SRC 对Vasb进行验证时，Va`

sb=H(Fa||WTa||IDs||MIDa) ，会发现Vasb`和Vasb值不相等，故具备抗模仿攻击。

（6）互认证性

SRC 在接收到Alice 的消息后，通过验证Vasb值来认证Alice 或者Bob 的身份，当Alice 收到SRC 响应的消息后，结合计算出来的SSKab和Vsab的值来对Bob 和SRC 的身份进行认证，同理，Bob 也可完成对Alice 和SRC 的身份认证，故满足互认证性。