0 概述

认证密钥协商(Authentication Key Agreement, AKA)机制允许隐式认证的两个或多个参与方能够在公开网络下协商出一个只有他们自己知道的共享会话密钥, 以确保后续会话消息的机密性、认证性和完整性。基于身份的AKA(ID-AKA)协议^[1]由于不存在基于PKI的AKA协议中严重的证书管理问题, 因此受到研究者广泛的关注。

自使用双线性对运算的ID-AKA协议^[2]被提出以来, 大量类似协议相继出现^[3-5]。由文献[3, 6]可知, 在同样安全等级下, 一个双线性对的操作代价是一个椭圆曲线点乘操作代价的3倍~20倍。在移动互联网中, 对于传感器节点等资源受限的节点而言, 基于双线性对运算的协议执行效率较低, 而不使用双线性对运算的ID-AKA协议能更好地适应资源受限的设备。

文献[7]构建了一种适用于AKA协议的形式化安全模型——BR(Bellare-Rogaway)模型, 此后, mBR模型、CK (Canetti-Krawczyk)模型^[8]和eCK模型^[9]等相继被提出。上述安全模型都试图捕捉尽可能多的安全属性^[4], 其中, eCK安全模型捕捉的安全属性最多, CK模型捕捉的安全性属性次之, mBR模型捕捉的安全属性最少。在现有不使用双线性对的ID-AKA协议中, 文献[10]协议在CK模型下进行安全性证明, 文献[11-13]协议基于mBR模型, 文献[14-15]协议基于CK模型, 只有文献[16-19]协议基于eCK模型, 其中:文献[17]提出一种需要6个椭圆曲线点乘运算的不使用双线性对的ID-AKA协议; 文献[18]提出一种需要5个椭圆曲线点乘运算的协议; 文献[19]提出一种只需要4个点乘运算的协议WML-17, 协议效率较高。

本文指出WML-17协议在eCK模型下存在不安全性, 进而提出一个eCK安全且不使用双线性对的ID-AKA协议。针对WML-17协议不能抵抗临时私钥泄露攻击的问题, 分析形式化下敌手的攻击方式, 指出文献[19]安全性证明中的缺陷。在此基础上, 提出一个增强性方案, 并证明其在GDH困难问题假设下能够达到eCK安全。

1 预备知识 1.1 复杂性假设

令G表示素数q阶循环加法群, 并令P为G的一个生成元。G上的Diffie-Hellman假设^[17]描述如下:

1) 计算性Diffie-Hellman(CDH)假设:对于未知的a, b∈$\mathbb{Z}$_q^*, 给定P、aP、bP, 在多项式时间算法内计算abP是无法实现的。

2) 判定性Diffie-Hellman(DDH)假设:对于未知的a, b, c∈$\mathbb{Z}$_q^*, 给定P、aP、bP、cP, 在多项式时间算法内无法判定c≡ab mod q是否成立。

3) 间隙性Diffie-Hellman(GDH)假设:对于未知的a, b∈$\mathbb{Z}$_q^*, 给定P、aP、bP, 在多项式时间算法内借助DDH预言机计算abP是无法实现的。

1.2 eCK安全模型

适合ID-AKA协议的eCK安全模型, 事实上是原始eCK安全模型^[9]从PKI环境下到基于身份密码学环境下的转换。

1) 协议参与者:协议参与者被模拟为一组参与方, 其中每一个参与者被模拟为概率多项式时间(Probability Polynomial Time, PPT)图灵机。任意两方可以参与协议的一次执行。每一个参与方至多执行多项式次会话。令Π_{i, j}^m表示ID_i拥有的与意定同伴ID_j的第m次会话。如果ID_i能够计算Π_{i, j}^m的会话密钥SK_{i, j}^m, 则称Π_{i, j}^m被接受。

2) 攻击者模型:敌手$\mathcal{A}$同样被模拟为一个PPT图灵机, 其控制整个通信链路, 可以根据自己意愿随意地窃听、拦截、暂停、重放、修改和插入消息。敌手$\mathcal{A}$可以执行以下询问:

(1) EphemeralKeyReveal(Π_{i, j}^m):敌手访问会话Π_{i, j}^m的临时私钥。

(2) SessionKeyReveal(Π_{i, j}^m):敌手获取已接受会话Π_{i, j}^m的会话密钥。

(3) StaticKeyReveal(ID_i):返回参与方ID_i的长期私钥给敌手$\mathcal{A}$。

(4) KGCStaticKeyReveal:敌手得到KGC的主私钥。

(5) Send(Π_{i, j}^m, M):敌手代表参与方ID_j给会话Π_{i, j}^m发送消息M(M可以为空消息λ), 并且得到参与方ID_i的回答。空消息λ意味着ID_i为会话发起者。如果消息非空, 需要进一步判断ID_i是否是会话发起者。如果ID_i为会话发起者, 仅做出决定(接受或者拒绝); 否则, 返回消息M′并做出决定(接受或者拒绝)。

(6) Test(Π_{i, j}^m):Test询问要求Π_{i, j}^m是新鲜的(下文将给出新鲜性的定义), 且只允许敌手执行一次。收到此询问后, 一次公平硬币b∈{0, 1}会被执行。如果b=0, 敌手会得到一个会话密钥; 否则, 敌手会得到一个随机串(其和会话密钥密钥同样本空间)。

3) 游戏:游戏分为2个阶段:阶段1和阶段2。在阶段1, 敌手$\mathcal{A}$可以询问任意多项式数量界的除Test外的其他5个查询。阶段1结束, 敌手开始阶段2。在阶段2, 敌手$\mathcal{A}$选择测试会话Π_{i, j}^m来执行唯一的Test(Π_{i, j}^m)查询, 其中Π_{i, j}^m必须拥有新鲜性。阶段2结束后敌手依旧可以执行除Test外的其他5个查询, 但要保持Π_{i, j}^m的新鲜性。一旦敌手给出b的猜测b′, 游戏结束。

4) 分析:当b′=b和Π_{i, j}^m依然是新鲜的, 敌手$\mathcal{A}$赢得上述游戏。敌手优势被定义为Adv_{$\mathcal{A}$}(k)=|2Pr[$\mathcal{A}$成功]－1|。

定义1(匹配会话) 设会话Π_{i, j}^m和Π_{j, i}ⁿ已经接受, 如果参与方ID_i计算Π_{i, j}^m的会话密钥的消息集{ID_i, ID_j, M_i, M_j}和参与方ID_j计算Π_{j, i}ⁿ的会话密钥的消息集{ID_j, ID_i, M_j, M_i}是相同的, 则称Π_{i, j}^m和Π_{j, i}ⁿ为匹配会话。

定义2(新鲜性) 假定Π_{i, j}^m是已接受的会话。如果满足下列情况, 则Π_{i, j}^m是新鲜的:

1) Π_{i, j}^m及其匹配会话Π_{j, i}ⁿ(存在的话)的会话密钥不能被敌手获取。

2) 当Π_{i, j}^m持有匹配会话时, 参与方ID_i的长期私钥以及在Π_{i, j}^m中的临时私钥不能同时被敌手获取, 参与方ID_j的长期私钥以及在匹配会话Π_{j, i}ⁿ中的临时私钥不能同时被敌手获取。

3) 当Π_{j, i}ⁿ没有匹配会话时, 参与方ID_i的长期私钥以及在Π_{i, j}^m中的临时私钥不能同时被敌手获取, 参与方ID_j的长期私钥不能被敌手得到。

定义3(eCK安全性) 如果一个ID-AKA协议满足如下条件, 则称其是安全的:

1) 在良性敌手面前, 持有匹配会话的会话总是与其匹配会话持有相同的会话密钥。

2) 没有一个PPT敌手能够以不容忽视的优势赢取游戏。

2 WML-17协议及安全性分析 2.1 协议描述

WML-17协议^[19]由以下3个阶段构成:

1) 系统建立。给定安全参数k, 信任机构KGC首先构造(E/F_p, G, q, P), 其中, p为一个k位的大素数, E/F_p为有限域F_p上的一条椭圆曲线, G为E/F_p上的一个生成元P生成的素数阶q循环加法群。首先, KGC从群$\mathbb{Z}$_q^*中选取一个随机元素s为主私钥, 设置主公钥为P_sys=sP, 然后选择2个Hash函数H₁:{0, 1}^*×G→$\mathbb{Z}$_q^*和H₂:{0, 1}^*×{0, 1}^*×G⁴→{0, 1}^k。最后, KGC秘密地保存主私钥, 公开(E/F_p, G, q, P, P_sys, H₁, H₂)。

2) 用户公钥和私钥生成。假定用户A的身份为ID_A。KGC从群$\mathbb{Z}$_q^*中选取一个随机元素r_A, 计算R_A=r_AP、h_A=H₁(ID_A, R_A)与d_A=r_A+h_As, 设置A的私钥为d_A, 并将d_A以安全的模式传输给用户A。此外, KGC公开ID_A与R_A。用户A计算公钥P_A=R_A+h_AP_sys, 且在d_AP=P_A的相等下判定d_A是有效的。

3) 认证密钥协商。假定持有唯一身份ID_A的用户A和持有唯一身份ID_B的用户B执行此阶段, A为发起方, 协商过程如下:

(1) A从群$\mathbb{Z}$_q^*中选取一个随机元素e_A作为其临时私钥, 计算其临时公钥E_A=e_AP, 然后发送{R_A, E_A}给B。

(2) B收到E_A后, 从群$\mathbb{Z}$_q^*中选取一个随机元素e_B作为其临时私钥, 计算其临时公钥E_B=e_BP, 然后发送{R_B, E_B}给A。

(3) 此时A持有E_B、R_B与ID_B, A计算P_B=R_B+H₁(ID_B, R_B)P_sys, K_AB¹=d_AE_B+(d_A+e_A)P_B, K_AB²=e_AE_B, 以及共享的会话密钥SK_AB=H₂(ID_A, ID_B, E_A, E_B, K_AB¹, K_AB²)。

(4) 此时B拥有E_A、R_A与ID_A, B计算P_A=R_A+H₁(ID_A, R_A)P_sys, K_BA¹=d_BE_A+(d_B+e_B)P_A, K_BA²=e_BE_A, 以及共享的会话密钥SK_BA=H₂(ID_A, ID_B, E_A, E_B, K_BA¹, K_BA²)。

2.2 非形式化下敌手的攻击

假定参与方为A和B, A是发起者, A持有ID_A、R_A、d_A, 用户B持有ID_B、d_B、R_B。假冒B的攻击者$\mathcal{A}$(B)实施的临时私钥泄露攻击过程如下:

1) 用户A从群$\mathbb{Z}$_q^*中选取一个随机元素e_A, 计算E_A=e_AP, 发送{R_A, E_A}给$\mathcal{A}$(B)。

2) $\mathcal{A}$(B)收到E_A后, 随机选取e′_B∈$\mathbb{Z}$_q^*, 计算P_B=R_B+H₁(ID_B, R_B)P_sys, E′_B=e′_BP－P_B, 发送{R_B, E′_B}给A。

3) 用户A按照协议规定进行会话密钥计算, 即SK_AB=H₂(ID_A, ID_B, E_A, E′_B, K_AB¹, K_AB²), 其中, K_AB¹=d_AE′_B+(d_A+e_A)P_B, K_AB²=e_AE′_B, P_B=R_B+H₁(ID_B, R_B)P_sys。

攻击者$\mathcal{A}$(B)首先获取A选取的临时私钥e_A, 然后计算P_A=R_A+H₁(ID_A, R_A)P_sys, P_B=R_B+H₁(ID_B, R_B)P_sys, K_BA¹=e_AP_B+e′_BP_A, K_BA²=e_AE′_B, 以及会话密钥SK_BA=H₂(ID_A, ID_B, E_A, E′_B, K_BA¹, K_BA²)。

分析:因为K_AB¹=d_AE′_B+(d_A+e_A)P_B=d_A(e′_BP－P_B)+d_AP_B+e_AP_B= d_Ae′_BP+e_AP_B=e′_BP_A+e_AP_B=K_BA¹, K_AB²=e_AE′_B=K_BA², 所以SK_AB=SK_BA, 这意味着敌手$\mathcal{A}$(B)和A持有的会话密钥相同。因此, WML-17协议不能满足临时私钥泄露攻击抵抗性。

2.3 形式化下敌手的攻击

本节将指出WML-17协议不具备eCK安全性, 即证明存在一个攻击者$\mathcal{A}$总能赢得其和模拟器C$\mathcal{H}$间的游戏。假定攻击者$\mathcal{A}$想要攻击目标会话Π_{A, B}^ℓ, 其中用户A持有ID_A, 用户B持有ID_B。游戏描述如下:

1) 游戏初始化:模拟器C$\mathcal{H}$生成系统主密钥s和系统参数(E/F_p, G, q, P, P_sys, H₁, H₂), 然后发送系统参数给攻击者$\mathcal{A}$。模拟器C$\mathcal{H}$利用s为用户A产生R_A、d_A, 为用户B产生R_B、d_B。此处, H₁和H₂是一般的哈希函数。

2) 游戏的第一阶段:

(1) $\mathcal{A}$执行Send(Π_{A, B}^ℓ, ⊥)查询后。收到Send查询后, 模拟器C$\mathcal{H}$从群$\mathbb{Z}$_q^*中选取一个随机元素e_A, 计算E_A=e_AP, 回复{R_A, E_A}给$\mathcal{A}$。

(2) $\mathcal{A}$执行Send(Π_{B, A}^m, ⊥)查询后。收到Send查询后, 模拟器C$\mathcal{H}$从群$\mathbb{Z}$_q^*中选取一个随机元素e_B, 计算E_B=e_BP, 回复{R_B, E_B}给$\mathcal{A}$。

(3) 获取R_B后, 攻击者$\mathcal{A}$随机选择e′_B∈$\mathbb{Z}$_q^*, 计算P_B=R_B+H₁(ID_B, R_B)P_sys, E′_B=e′_BP－P_B。然后$\mathcal{A}$执行Send(Π_{A, B}^ℓ, {R_B, E′_B})查询。收到此Send查询后, C$\mathcal{H}$将该会话的状态设定为已接受。

(4) 攻击者$\mathcal{A}$查询EphemeralKeyReveal(Π_{A, B}^ℓ), 然后获得参与方A的临时密钥e_A。

3) 游戏的第二阶段:由新鲜性定义可知会话Π_{A, B}^ℓ是新鲜的。敌手$\mathcal{A}$执行Test(Π_{A, B}^ℓ)。收到Test询问, C$\mathcal{H}$公平地抛一次硬币b∈{0, 1}, 如果b=0, C$\mathcal{H}$返回其按照协议具体计算的值SK_{A, B}^ℓ, 如果b=1, 返回随机值sk′∈{0, 1}^k。此处SK_{A, B}^ℓ=H₂(ID_A, ID_B, E_A, E′_B, K_AB¹, K_AB²), 其中, K_AB¹=d_AE′_B+(d_A+e_A)P_B, K_AB²=e_AE′_B, P_B=R_B+H₁(ID_B, R_B)P_sys。

4) 游戏结束:攻击者$\mathcal{A}$先计算P_A=R_A+H₁(ID_A, R_A)P_sys, P_B=R_B+H₁(ID_B, R_B)P_sys, K_BA¹=e_AP_B+e′_BP_A, K_BA²=e_AE′_B, 以及SK_BA=H₂(ID_A, ID_B, E_A, E′_B, K_BA¹, K_BA²)。然后根据$SK_{\text{A, B}}^{\ell }\overset{?}{\mathop{=}}\, A{{K}_{\text{BA}}}$的结果来给定b的结果。如果SK_{A, B}^ℓ=SK_BA, 攻击者$\mathcal{A}$猜测b=0;否则, 猜测b=1。

分析:因为SK_{A, B}^ℓ=SK_BA(其证明过程类似于等式SK_AB=SK_BA的证明), 所以攻击者$\mathcal{A}$总是正确地猜测b的值, 即Pr[$\mathcal{A}$成功]=1, 由此可知, Adv_{$\mathcal{A}$}(k)=|2Pr[$\mathcal{A}$成功]－1|=1。因此, WML-17协议不具备eCK安全性。

2.4 安全缺陷

2.2节与2.3节的分析展示了WML-17协议的安全缺陷, 这使得此WML-17协议的安全证明变得无效。通过仔细观察, 笔者发现WML-17协议的安全证明中存在不严格的分析。具体来说, 文献[19]中对第3类情况“攻击者$\mathcal{A}$只掌握双方临时私钥”的分析是不恰当的。在“攻击者$\mathcal{A}$只掌握双方临时私钥”的情况下, 需要考虑测试会话Π_{A, B}^ℓ的匹配会话是否存在。如果Π_{A, B}^ℓ无匹配会话, 则B的临时密钥e_B是由攻击者$\mathcal{A}$选择的, 模拟器是无法获知e_B的; 如果Π_{A, B}^ℓ有匹配会话, 则B的临时密钥e_B是由模拟器C$\mathcal{H}$选择的, 此时攻击者$\mathcal{A}$可以通过执行EphemeralKeyReveal询问获取临时密钥e_B。在Π_{A, B}^ℓ没有匹配会话的情况下, 即在模拟器C$\mathcal{H}$无法获取e_B的情况下, C$\mathcal{H}$无法由K_AB¹=e_B(aP)+e_A(bP)+CDH(aP, bP, abP)推导出CDH(aP, bP, abP)的。因此, 模拟器C$\mathcal{H}$不能解决GDH问题, 进而归约失败。

3 增强性方案

为弥补WML-17协议中的安全缺陷, 本文提出一个增强性方案。该方案的系统建立和用户公私钥阶段与WML-17协议基本一致。增强性方案的认证密钥协商阶段描述如下:

假定持有唯一身份ID_A的用户A和持有唯一身份ID_B的用户B执行此阶段, A为发起方, 其协商过程如下:

1) A从群$\mathbb{Z}$_q^*中选取一个随机元素e_A作为其临时私钥, 计算其临时公钥E_A=e_AP, 发送{R_A, E_A}给B。

2) B从群$\mathbb{Z}$_q^*中选取一个随机元素e_B作为其临时私钥, 计算其临时公钥E_B=e_BP, 发送{R_B, E_B}给A。

3) 收到{R_B, E_B}后, A计算P_B=R_B+H₁(ID_B, R_B)P_sys, K_AB¹=(d_A+2e_A)(P_B+2E_B), K_AB²=(d_A+e_A)(P_B+E_B), 以及共享的会话密钥SK_AB=H₂(ID_A, ID_B, E_A, E_B, K_AB¹, K_AB²)。

4) 收到{R_A, E_A}后, B计算P_A=R_A+H₁(ID_A, R_A)P_sys, K_BA¹=(d_B+2e_B)(P_A+2E_A), K_BA²=(d_B+e_B)(P_A+E_A), 以及共享的会话密钥SK_BA=H₂(ID_A, ID_B, E_A, E_B, K_BA¹, K_BA²)。

增强性方案的正确性验证如下:因为G为加法循环群且d_AP=P_A、d_BP=P_B、E_B=e_BP、E_A=e_AP, 所以K_AB²=(d_A+2e_A)(P_B+2E_B)=d_AP_B+2d_AE_B+2e_AP_B+4e_AE_B=d_Ad_BP+2d_Ae_BP+2e_Ad_BP+4e_Ae_BP=d_BP_A+2d_BE_A+2e_BP_A+4e_BE_A=d_B(P_A+2E_A)+2e_B(P_A+2E_A)=K_BA¹, 同理可得K_AB²=K_BA², 因此, SK_{A, B}¹=SK_BA。

4 安全性证明

定理1  在GDH假设以及函数H₁和H₂被视为随机预言机的情况下, 增强性方案满足第1.2节概述的eCK安全性。

证明  如果定义3展示的2个条件成立, 则协议满足eCK安全性。第1个条件由第3节展示的正确性得以保证。下面采取反证法论证第2个条件成立, 即假设一个敌手$\mathcal{A}$以不容忽视的机率成功攻破协议, 则能够利用$\mathcal{A}$构造一个能够以不容忽视的机率求解GDH问题的模拟器C$\mathcal{H}$。

假定k为安全参数, 攻击协议的PPT敌手$\mathcal{A}$以不容忽视的优势Adv_{$\mathcal{A}$}(k)赢得游戏。假定游戏中, 每一方至多从事n_s(k)个会话, $\mathcal{A}$涉及至多n_p(k)个不同的诚实参与方以及执行至多n₀次H₂查询。由于H₂被视为随机预言机, 发起Test询问(成功概率为1/2)后, $\mathcal{A}$只能通过猜测攻击(直接猜出正确的会话密钥)、密钥复制攻击(敌手建立一个会话, 它和目标会话非匹配, 但会话密钥却相同)以及伪造攻击(某一时刻, 敌手自己计算K_{a, b}¹和K_{a, b}², 然后执行H₂(ID_a, ID_b, E_a, E_b, K_{a, b}¹, K_{a, b}²))赢得游戏(即能够成功区分随机串和目标会话的会话密钥)。

对于猜测攻击而言, 因为会话密钥是H₂的输出, $\mathcal{A}$直接猜出正确会话密钥的机率为O(1/2^k)。显然, 概率是可忽略不计的。对于密钥复制攻击而言, 其概率为O(n_s(k)²/2^k), 可忽略不计。

目前只剩下伪造攻击, 伪造攻击采取归约的方式进行分析。如果敌手$\mathcal{A}$以不容忽视的机率通过伪造攻击攻破协议, 则可以利用敌手$\mathcal{A}$来构造以不容忽视的优势解决GDH问题的模拟器C$\mathcal{H}$。在这里, C$\mathcal{H}$和$\mathcal{A}$一起执行安全模型中描述的游戏, C$\mathcal{H}$回答$\mathcal{A}$的所有询问, 令Adv_{C$\mathcal{H}$}^GDH(k)为C$\mathcal{H}$解决GDH的优势。给定GDH问题实例(U=uP, V=vP), 其中u, v∈$\mathbb{Z}$_q^*, P∈G, C$\mathcal{H}$的任务是在DDH的帮助下计算CDH(U, V)=uvP。当游戏开始时, C$\mathcal{H}$以1/n_p(k)²n_s(k)的概率猜测敌手$\mathcal{A}$选取的测试会话为Π_{a, b}ⁿ, 其中a, b∈[1, n_p(k)]且a=b, n∈[1, n_s(k)]。接下来, 模拟器C$\mathcal{H}$需要猜测敌手的策略选择。根据定义2, 需要考虑测试会话Π_{a, b}ⁿ有无匹配会话。如果测试会话Π_{a, b}ⁿ拥有匹配会话Π_{b, a}^l, 则敌手$\mathcal{A}$是被动敌手, 敌手只能被动转发两参与方之间的消息, 进一步说明Π_{a, b}ⁿ和Π_{b, a}^l的消息以及临时私钥是由模拟器C$\mathcal{H}$产生的。无匹配会话意味着敌手$\mathcal{A}$是主动敌手, 即ID_a的消息以及临时私钥是由模拟器C$\mathcal{H}$产生的, 而ID_b的消息以及临时私钥则是由敌手产生的。基于上述分析和新鲜性定义, 模拟器C$\mathcal{H}$必须从如下4种情况中猜测敌手的策略选择, 其中, ID_a的临时私钥指ID_a持有的目标会话Π_{a, b}ⁿ的临时私钥, ID_b的临时私钥指ID_b持有的匹配会话Π_{b, a}^l的临时私钥。

1) 策略S1:被动敌手$\mathcal{A}$不知道ID_a的长期私钥和ID_b的临时私钥。

2) 策略S2:被动敌手$\mathcal{A}$不知道ID_a和ID_b的临时私钥。

3) 策略S3:主动或被动敌手$\mathcal{A}$不知道ID_a的临时私钥和ID_b的长期私钥。

4) 策略S4:主动或被动敌手$\mathcal{A}$不知道ID_a和ID_b的长期私钥。

如果$\mathcal{A}$以不容忽视的机率通过“伪造攻击”攻破协议, 则必有一个策略下其概率不容忽视。

4.1 策略S1分析

在策略S1下对敌手$\mathcal{A}$和模拟器C$\mathcal{H}$间的游戏进行分析, 具体如下:

1) 建立阶段:C$\mathcal{H}$建立KGC的公钥和所有参与方的长期私钥。C$\mathcal{H}$维护列表Λ_Setup, 条目形如(ID_i, (d_i, R_i), P_i)且值初始为空。

(1) C$\mathcal{H}$选取一随机值P_sys∈G作为KGC的公钥。

(2) 对于参与方ID_a而言, C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取一个随机元素h_a, 计算R_a=U－h_aP_sys, 同时令H₁(ID_a, R_a)=h_a, d_a=⊥, 设置d_a为ID_a的长期私钥。因此, 参与方ID_a的长期公钥可以计算为P_a=R_a+H₁(ID_a, R_a)P_sys=R_a+h_aP_sys=U。

(3) 对于其他参与方IDv_i(i≠a), C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取2个随机元素h_i、d_i, 计算R_i=d_iP－h_iP_sys, 同时令H₁(ID_i, R_i)=h_i, 并设置d_i为ID_i的长期私钥。因此, P_i=R_i+h_iP_sys=d_iP。

(4) 对于任意参与方ID_i(i∈[1, n_p(k)]), C$\mathcal{H}$给敌手$\mathcal{A}$传输(ID_i, R_i), 并分别在列表Λ_Setup和Λ_H1中插入条目(ID_i, (d_i, R_i), P_i)和(ID_i, R_i, h_i)。

2) 游戏第一阶段:C$\mathcal{H}$维护4个列表Λ_H1、Λ_H2、Λ_Send和Λ_Reveal, 分别用于处理随机预言机H₁、H₂、Send和SessionKeyReveal询问。对于如下询问, $\mathcal{A}$可以无次序地询问多项式界次数, C$\mathcal{H}$回答$\mathcal{A}$的询问如下:

(1) H₁(ID_i, R_i):如果Λ_H1中有与(ID_i, R_i, h_i)相匹配的条目存在, C$\mathcal{H}$响应h_i给$\mathcal{A}$。否则, C$\mathcal{H}$从群$\mathbb{Z}$_q^*中选取一个随机元素h_i, 在列表Λ_H1中插入条目(ID_i, R_i, h_i), 并回复h_i给$\mathcal{A}$。

(2) StaticKeyReveal(ID_i):如果ID_i是ID_a, C$\mathcal{H}$中止; 否则, C$\mathcal{H}$返回ID_i的长期私钥d_i给$\mathcal{A}$。

(3) KGCStaticKeyReveal:C$\mathcal{H}$退出游戏。

(4) EphemeralKeyReveal(Π_{i, j}^m):如果Π_{i, j}^m是匹配会话Π_{b, a}^l, C$\mathcal{H}$退出游戏; 否则, C$\mathcal{H}$返回临时私钥r_{i, j}^m作为应答。

(5) Send(Π_{i, j}^m, M):C$\mathcal{H}$维护的列表Λ_Send中的条目形如(Π_{i, j}^m, tran_{i, j}^m, r_{i, j}^m)且值初始为空, 其中, tran_{i, j}^m是到现在Π_{i, j}^m传输和得到的一切消息集, r_{i, j}^m是ID_i所拥有的会话Π_{i, j}^m的临时私钥。

如果M是tran_{i, j}^m中第2个消息, C$\mathcal{H}$设置该会话为已接受; 否则, 若Π_{i, j}^m=Π_{b, a}^l, C$\mathcal{H}$令r_{i, j}^m=⊥, 在列表Λ_Setup中获取R_b, 给$\mathcal{A}$回应{R_b, E_b=V=vP}, 并修改Λ_Send中Π_{i, j}^m的条目; 否则, C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取一个随机元素r_{i, j}^m, 在列表Λ_Setup中获取R_i, 给$\mathcal{A}$回应{R_i, r_{i, j}^mP}, 并修改Λ_Setup中Π_{i, j}^m的条目。

(6) SessionKeyReveal(Π_{i, j}^m):C$\mathcal{H}$维护的列表Λ_Reveal中的条目形如(Π_{i, j}^m, ID_ini^m, ID_resp^m, E_ini^m, E_resp^m, SK_{i, j}^m)且值初始为空, 其中下标ini代表发起者, 下标resp代表响应者。

如果Π_{i, j}^m尚未接受, C$\mathcal{H}$返回⊥; 否则, 若Π_{i, j}^m是测试会话Π_{a, b}ⁿ或者匹配会话Π_{b, a}^l, C$\mathcal{H}$结束游戏; 否则, 若Π_{i, j}^m的会话密钥SK_{i, j}^m已存在, C$\mathcal{H}$返回SK_{i, j}^m; 否则, 从列表Λ_Send中获取{R_i, E_i}和{R_j, E_j}, 执行H₁(ID_i, R_i)查询获取结果h_i, 执行H₁(ID_j, R_j)查询获取结果h_j, 计算P_i=R_i+h_iP_sys和P_j=R_j+h_jP_sys, 然后以(ID_i, ID_j, E_i, E_j)(ID_i为发起者)或者(ID_j, ID_i, E_j, E_i)(ID_j为发起者)为索引, 查看列表Λ_H2中是否有匹配项使得DDH(P_i+2E_i, P_j+2E_j, K_{i, j}¹)=1和DDH(P_i+E_i, P_j+E_j, K_{i, j}²)=1。如果存在, 则从列表Λ_H2中获取h_K并设置其为SK_{i, j}^m; 否则均匀选取随机串SK_{i, j}^m∈{0, 1}^k。最后C$\mathcal{H}$返回SK_{i, j}^m, 并在列表Λ_Reveal中插入条目(Π_{i, j}^m, ID_ini^m, ID_resp^m, E_ini^m, E_resp^m, SK_{i, j}^m)。

(7) H₂(ID_i, ID_j, E_i, E_j, K_{i, j}¹, K_{i, j}²):C$\mathcal{H}$维护的列表Λ_H2的条目形如(ID_i, ID_j, E_i, E_j, K_{i, j}¹, K_{i, j}², h_K)。

如果列表Λ_H2中存在匹配条目(ID_i, ID_j, E_i, E_j, K_{i, j}¹, K_{i, j}²), C$\mathcal{H}$返回h_K; 否则, 以(*, ID_i, ID_j, E_i, E_j, *)为索引在Λ_Reveal中查找。如果匹配条目存在, 验证DDH(P_i+2E_i, P_j+2E_j, K_{i, j}¹)=1和DDH(P_i+E_i, P_j+E_j, K_{i, j}²)=1是否成立, 其中, P_i=R_i+h_iP_sys, P_j=R_j+h_jP_sys, h_i=H₁(ID_i, R_i)。如果2个等式均成立, 从Λ_Reveal中获取相应的SK_{i, j}^m并令其为h_K; 否则(没有匹配条目, 或起码有一个等式不成立), 均匀选取随机串h_K∈{0, 1}^k。最终C$\mathcal{H}$返回h_K, 并更新列表Λ_H2。

3) 游戏第二阶段:$\mathcal{A}$仅能查询一次下列询问。

Test(Π_{i, j}^m):若Π_{i, j}^m非目标会话Π_{a, b}ⁿ, C$\mathcal{H}$退出游戏; 否则, C$\mathcal{H}$从{0, 1}^k中均匀选取随机串ξ, 并返回ξ给$\mathcal{A}$。

分析:如果$\mathcal{A}$选定策略S1、目标会话Π_{a, b}ⁿ及其匹配会话Π_{b, a}^l, 则C$\mathcal{H}$不会退出游戏。如果$\mathcal{A}$通过伪造攻击赢得游戏, 则其必定查询了H₂(ID_a, ID_b, E_a, V, K_{a, b}¹, K_{a, b}²)或H₂(ID_b, ID_a, V, E_a, K_{a, b}¹, K_{a, b}²), 其中E_a和V分别是C$\mathcal{H}$选取的ID_a和ID_b的临时公钥, K_{a, b}¹=(DLOG(U)+2r_{a, b}ⁿ)(P_b+2V), K_{a, b}²=(DLOG(U)+r_{a, b}ⁿ)(P_b+V)。为解决GDH问题, C$\mathcal{H}$从Λ_H2中获取条目, 然后利用自己知道的r_{a, b}ⁿ, 输出GDH(U, V)=K_{a, b}¹－K_{a, b}²－r_{a, b}ⁿ(P_b+3V)。

C$\mathcal{H}$解决GDH问题的优势为:

$ \mathop{Adv}_{C\mathcal{H}}^{\text{GDH}}\left( k \right)\ge \frac{Ad{{v}_{\mathcal{A}}}\left( k \right)}{4{{n}_{0}}\mathop{n}_{p}^{2}(k)\mathop{n}_{s}^{2}(k)} $

因此, 如果Adv_{$\mathcal{A}$}(k)是不容忽视的, 则C$\mathcal{H}$的优势是不容忽视的, 这与GDH假设矛盾。

4.2 策略S2分析

对策略S2的分析如下:

1) 建立阶段:C$\mathcal{H}$建立KGC的公私钥和所有参与方的长期私钥。C$\mathcal{H}$维护初始空列表Λ_Setup, 条目形如(ID_i, (d_i, R_i), P_i)。

(1) C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取一个随机元素s作为KCG的主私钥。因此, 此事件可以模拟主私钥前向安全性。

(2) 对于任意参与方ID_i(i∈[1, n_p(k)]), C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取2个随机元素h_i、d_i, 计算R_i=d_iP－h_iP_sys, 同时令H₁(ID_i, R_i)=h_i, 并设置d_i为ID_i的长期私钥。因此, P_i=R_i+h_iP_sys=d_iP。

(3) 对于任意参与方ID_i(i∈[1, n_p(k)]), C$\mathcal{H}$给敌手$\mathcal{A}$传输(ID_i, R_i), 并分别在列表Λ_Setup和Λ_H1中插入条目(ID_i, (d_i, R_i), P_i)和(ID_i, R_i, h_i)。

2) 游戏第一阶段:C$\mathcal{H}$维护4个初始空列表Λ_H1、Λ_H2、Λ_Send和Λ_Reveal, 分别用于处理随机预言机H₁、H₂、Send和SessionKeyReveal询问。对于如下询问, $\mathcal{A}$可以无次序的询问多项式界次数。C$\mathcal{H}$回答$\mathcal{A}$的询问如下:

(1) H₁(ID_i, R_i)、H₂(ID_i, ID_j, R_i, R_j, E_i, E_j, K_{i, j}¹, K_{i, j}²)和SessionKeyReveal(Π_{i, j}^m):这3个询问的回答同S1。

(2) StaticKeyReveal(ID_i):C$\mathcal{H}$返回ID_i的长期私钥d_i给$\mathcal{A}$。

(3) KGCStaticKeyReveal:C$\mathcal{H}$返回s给$\mathcal{A}$。

(4) EphemeralKeyReveal(Π_{i, j}^m):若Π_{i, j}^m=Π_{a, b}ⁿ或Π_{i, j}^m=Π_{b, a}^l, C$\mathcal{H}$退出游戏; 否则, C$\mathcal{H}$返回临时私钥r_{i, j}^m给敌手$\mathcal{A}$。

(5) Send(Π_{i, j}^m, M):C$\mathcal{H}$维护的列表Λ_Send中的条目形如(Π_{i, j}^m, tran_{i, j}^m, r_{i, j}^m), 其中tran_{i, j}^m是目前Π_{i, j}^m传输和得到的一切消息集, r_{i, j}^m是ID_i所拥有的会话Π_{i, j}^m的临时私钥。

如果M是tran_{i, j}^m中第2个消息, C$\mathcal{H}$设置该会话为已接受; 否则, 若Π_{i, j}^m=Π_{a, b}ⁿ, C$\mathcal{H}$令r_{i, j}^m=⊥, 在列表Λ_Setup中获取R_a, 给$\mathcal{A}$回应{R_a, E_a=U}, 并修改Λ_Send中Π_{i, j}^m的条目; 否则, 若Π_{i, j}^m=Π_{b, a}^l, C$\mathcal{H}$令r_{i, j}^m=⊥, 在列表Λ_Setup中获取R_b, 给$\mathcal{A}$回应{R_b, E_b=V=vP}, 并修改Λ_Send中Π_{i, j}^m的条目; 否则, C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取一个随机元素r_{i, j}^m, 在列表Λ_Setup中获取R_i, 给$\mathcal{A}$回应{R_i, r_{i, j}^mP}, 并修改Λ_Send中Π_{i, j}^m的条目。

3) 游戏第二阶段:$\mathcal{A}$仅能查询一次Test(Π_{i, j}^m)。此询问的回答同S1。

分析:如果$\mathcal{A}$选定策略S2、目标会话Π_{a, b}ⁿ及其匹配会话Π_{b, a}^l, 则C$\mathcal{H}$不会退出游戏。如果$\mathcal{A}$通过伪造攻击赢得游戏, 则其必定查询了H₂(ID_a, ID_b, U, V, K_{a, b}¹, K_{a, b}²)或H₂(ID_b, ID_a, V, U, K_{a, b}¹, K_{a, b}²), 其中U和V分别是C$\mathcal{H}$选取的ID_a和ID_b的临时公钥, K_{a, b}¹=(d_a+2DLOG(U))(P_b+2V), K_{a, b}²=(d_a+DLOG(U))(P_b+V)。为解决GDH问题, C$\mathcal{H}$从列表Λ_H2中获取条目, 然后利用自己知道的d_a, 输出$ GDH\left(U, V \right)=\frac{1}{2}K_{a, b}^{1}-K_{a, b}^{2}+{{d}_{a}}{{P}_{b}} $。

C$\mathcal{H}$解决GDH问题的优势为:

$ Adv_{C\mathcal{H}}^{\text{GDH}}\left( k \right)\ge \frac{Ad{{v}_{\mathcal{A}}}\left( k \right)}{4{{n}_{0}}n_{p}^{2}\left( k \right)n_{s}^{2}(k)} $

因此, 如果Adv_{$\mathcal{A}$}(k)是不容忽视的, 则C$\mathcal{H}$的优势是不容忽视的, 这与GDH假设矛盾。

4.3 策略S3分析

在策略S3下, 敌手可能是主动敌手, 因此, ID_b的消息以及临时私钥可能是敌手产生的。

1) 建立阶段:C$\mathcal{H}$建立KGC的公钥和所有参与方的长期私钥, C$\mathcal{H}$维护列表Λ_Setup, 条目形如(ID_i, (d_i, R_i), P_i)。

(1) C$\mathcal{H}$选取一随机值P_sys∈G作为KGC的公钥。

(2) 对于参与方ID_b来说, C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取一个随机元素h_b, 计算R_b=V－h_bP_sys, 同时令H₁(ID_b, R_b)=h_b, d_b=⊥, 设置d_b为ID_b的长期私钥。因此, 参与方ID_b的长期公钥可以计算为P_b=R_b+H₁(ID_b, R_b)P_sys=R_b+h_bP_sys=V。

(3) 对于其他参与方ID_i(i≠b), C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取2个随机元素h_i、d_i, 计算R_i=d_iP－h_iP_sys, 同时令H₁(ID_i, R_i)=h_i, 并设置d_i为ID_i的长期私钥。因此, P_i=R_i+h_iP_sys=d_iP。

(4) 对于任意参与方ID_i(i∈[1, n_p(k)]), C$\mathcal{H}$给敌手$\mathcal{A}$传输(ID_i, R_i), 并分别在列表Λ_Setup和Λ_H1中插入条目(ID_i, (d_i, R_i), P_i)和(ID_i, R_i, h_i)。

2) 游戏第一阶段:C$\mathcal{H}$维护4个列表Λ_H1、Λ_H2、Λ_Send和Λ_Reveal, 分别用于处理随机预言机H₁、H₂、Send和SessionKeyReveal询问。对于如下询问, A可以无次序的询问多项式界次数。C$\mathcal{H}$回答$\mathcal{A}$的询问如下:

(1) H₁(ID_i, R_i)、KGCStaticKeyReveal和H₂(ID_i, ID_j, R_i, R_j, E_i, E_j, K_{i, j}¹, K_{i, j}²):这3个询问的回答如同S1。

(2) StaticKeyReveal(ID_i):如果ID_i是ID_b, C$\mathcal{H}$中止; 否则, C$\mathcal{H}$返回ID_i的长期私钥d_i给$\mathcal{A}$。

(3) EphemeralKeyReveal(Π_{i, j}^m):如果Π_{i, j}^m是测试会话Π_{a, b}ⁿ, C$\mathcal{H}$退出游戏; 否则, C$\mathcal{H}$返回临时私钥r_{i, j}^m作为应答。

(4) Send(Π_{i, j}^m, M):C$\mathcal{H}$维护的列表Λ_Send中的条目形如(Π_{i, j}^m, tran_{i, j}^m, r_{i, j}^m), 其中, tran_{i, j}^m是Π_{i, j}^m传输和得到的一切消息集, r_{i, j}^m是ID_i所拥有的会话Π_{i, j}^m的临时私钥。

如果M是tran_{i, j}^m中第2个消息, C$\mathcal{H}$设置该会话为已接受; 否则, 如果Π_{i, j}^m=Π_{a, b}ⁿ, C$\mathcal{H}$令r_{i, j}^m=⊥, 在列表Λ_Setup中获取R_a, 给$\mathcal{A}$回应{R_a, E_a=U}, 并修改Λ_Send中Π_{i, j}^m的条目; 否则, C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取一个随机元素r_{i, j}^m, 在列表Λ_Setup中获取R_i, 给$\mathcal{A}$回应{R_i, r_{i, j}^mP}, 并修改Λ_Send中Π_{i, j}^m的条目。

(5) SessionKeyReveal(Π_{i, j}^m):此询问和S1的基本一致, 不同之处在于S1中匹配会话是必定存在, S3中匹配会话是有可能存在。

3) 游戏第二阶段:A仅能查询一次Test(Π_{i, j}^m)。此询问的回答同S1。

分析:如果$\mathcal{A}$选定策略S3、目标会话Π_{a, b}ⁿ及其匹配会话Π_{b, a}^l(如有), 则C$\mathcal{H}$不会退出游戏。如果$\mathcal{A}$通过伪造攻击赢得游戏, 则其必定查询了H₂(ID_a, ID_b, U, E_b, K_{a, b}¹, K_{a, b}²)或H₂(ID_b, ID_a, E_b, U, K_{a, b}¹, K_{a, b}²), 其中, U是C$\mathcal{H}$返回的临时公钥, E_b是C$\mathcal{H}$选定的(有匹配会话)或者敌手选取的(无匹配会话), K_{a, b}¹=(d_a+2DLOG(U))(V+2E_b), K_{a, b}²=(d_a+DLOG(U))(V+E_b)。为解决GDH问题, C$\mathcal{H}$从列表Λ_H2中获取条目, 然后利用自己知道的d_a, 输出$GDH(U, V)=2K_{a, b}^{2}-\frac{\text{1}}{\text{2}}K_{a, b}^{1}-\frac{{{d}_{a}}}{2}(3V+2{{E}_{b}})$。

C$\mathcal{H}$解决GDH问题的优势为:

$ Adv_{C\mathcal{H}}^{\text{GDH}}\left( k \right)\ge \frac{Ad{{v}_{\mathcal{A}}}\left( k \right)}{4n_{0}^{2}n_{p}^{2}\left( k \right)n_{s}^{2}(k)} $

因此, 如果Adv_{$\mathcal{A}$}(k)是不容忽视的, 则C$\mathcal{H}$的优势是不容忽视的, 这与GDH假设矛盾。

4.4 策略S4分析

对策略S4的分析如下:

1) 建立阶段:C$\mathcal{H}$建立KGC的公钥和所有参与方的长期私钥。C$\mathcal{H}$维护列表Λ_Setup, 条目形如(ID_i, (d_i, R_i), P_i)。

(1) C$\mathcal{H}$选取一随机值P_sys∈G作为KGC的公钥。

(2) 对于参与方ID_a而言, C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取一个随机元素h_a, 计算R_a=U－h_aP_sys, 同时令H₁(ID_a, R_a)=h_a, d_a=⊥, 设置d_a为ID_a的长期私钥。因此, 参与方ID_a的长期公钥可以计算为P_a=R_a+H₁(ID_a, R_a)P_sys=R_a+h_aP_sys=U。

(3) 对于参与方ID_b而言, C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取一个随机元素h_b, 计算R_b=V－h_bP_sys, 同时令H₁(ID_b, R_b)=h_b, d_b=⊥, 设置d_b为ID_b的长期私钥。因此, 参与方ID_b的长期公钥可以计算为P_b=R_b+H₁(ID_b, R_b)P_sys=R_b+h_bP_sys=V。

(4) 对于其他参与方ID_i(i≠a, i≠b), C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取2个随机元素h_i、d_i, 计算R_i=d_iP－h_iP_sys, 同时令H₁(ID_i, R_i)=h_i, 并设置d_i为ID_i的长期私钥。因此, P_i=R_i+h_iP_sys=d_iP。

(5) 对于任意参与方ID_i(i∈[1, n_p(k)]), C$\mathcal{H}$给敌手$\mathcal{A}$传输(ID_i, R_i), 并分别在列表Λ_Setup和Λ_H1中插入条目(ID_i, (d_i, R_i), P_i)和(ID_i, R_i, h_i)。

2) 游戏第一阶段:C$\mathcal{H}$维护4个列表Λ_H1、Λ_H2、Λ_Send和Λ_Reveal, 分别用于处理随机预言机H₁、H₂、Send和SessionKeyReveal询问。对于如下询问, $\mathcal{A}$可以无次序地询问多项式界次数。C$\mathcal{H}$回答$\mathcal{A}$的询问如下:

(1) SessionKeyReveal(Π_{i, j}^m)、KGCStaticKeyReveal、H₁(ID_i, R_i)、H₂(ID_i, ID_j, R_i, R_j, E_i, E_j, K_{i, j}¹, K_{i, j}²):这4个询问的回答同S3。

(2) StaticKeyReveal(ID_i):如果ID_i=ID_a或ID_i=ID_b, C$\mathcal{H}$结束游戏; 否则, C$\mathcal{H}$返回ID_i的长期私钥d_i给$\mathcal{A}$。

(3) EphemeralKeyReveal(Π_{i, j}^m):C$\mathcal{H}$返回临时私钥r_{i, j}^m给敌手$\mathcal{A}$。

(4) Send(Π_{i, j}^m, M):C$\mathcal{H}$维护的列表Λ_Send中的条目形如(Π_{i, j}^m, tran_{i, j}^m, r_{i, j}^m), 其中, tran_{i, j}^m是Π_{i, j}^m传输和得到的所有消息集, r_{i, j}^m是ID_i所拥有的会话Π_{i, j}^m的临时私钥。

如果M是tran_{i, j}^m中第2个消息, C$\mathcal{H}$设置该会话为已接受; 否则, C$\mathcal{H}$从$\mathbb{Z}$_q^*中选取一个随机元素r_{i, j}^m, 在列表Λ_Setup中获取R_i, 给$\mathcal{A}$回应{R_i, r_{i, j}^mP}, 并修改Λ_Send中Π_{i, j}^m的条目。

3) 游戏第二阶段:$\mathcal{A}$仅能查询一次Test(Π_{i, j}^m)。此询问的回答同S1。

分析:如果$\mathcal{A}$选择定策略S4、目标会话Π_{a, b}ⁿ及其匹配会话Π_{b, a}^l(有的话), 则C$\mathcal{H}$不会退出游戏。如果$\mathcal{A}$通过伪造攻击赢得游戏, 则其必定查询了H₂(ID_a, ID_b, E_a, E_b, K_{a, b}¹, K_{a, b}²)或H₂(ID_b, ID_a, E_b, E_a, K_{a, b}¹, K_{a, b}²), 其中E_a=r_{a, b}ⁿP是C$\mathcal{H}$返回的临时公钥, E_b是C$\mathcal{H}$选定的(有匹配会话)或者敌手选取的(无匹配会话), K_{a, b}¹=(DLOG(U)+2r_{a, b}ⁿ)(V+2E_b), K_{a, b}²=(DLOG(U)+r_{a, b}ⁿ)(V+E_b)。为解决GDH问题, C$\mathcal{H}$从Λ_H2中获取条目, 然后利用自己知道的r_{a, b}ⁿ, 输出GDH(U, V)=2K_{a, b}²－K_{a, b}¹+2r_{a, b}ⁿE_b。

C$\mathcal{H}$解决GDH问题的优势为:

$ Adv_{C\mathcal{H}}^{\text{GDH}}\left( k \right)\ge \frac{Ad{{v}_{\mathcal{A}}}\left( k \right)}{4n_{0}^{2}n_{p}^{2}\left( k \right)n_{s}^{2}(k)} $

因此, 如果Adv_{$\mathcal{A}$}(k)是不容忽视的, 则C$\mathcal{H}$的优势是不容忽视的, 这与GDH假设矛盾。

5 协议比较

对本文改进协议和其他无双线性对的ID-AKA协议在效率和安全性方面进行比较。由于无双线性对的协议往往基于点乘、Hash运算、点加、点减等运算, 因此本文只考虑时间复杂度相对比较大的点乘运算。令T_EM表示执行一次点乘运算所耗费的时间。为评估方案的安全性, 此处考虑协议采取的安全模型以及是否满足eCK安全性, 比较结果如表 1所示。

由表 1可知:与FG-10协议^[14]和Li-13协议^[13]相比, 本文改进协议效率相同但拥有较强的安全性; 与CKD-10协议^[12]、XW-12协议^[15]、WML-17协议^[19]相比, 本文改进协议的安全性强且效率高; 与SWZ-16协议^[16-17]和NCLH-16协议^[18]相比, 本文改进协议与其具有同样的安全性, 但效率最高。

综上, 与现有无双线性对的ID-AKA协议相比, 本文改进协议具有最优的安全性, 并达到了最优的轮效率和计算效率, 因此其更适合应用于移动互联网等实际应用场景。

6 结束语

本文分析文献[19]中无双线性对运算的ID-AKA协议, 证明该协议无法满足eCK安全性, 同时给出非形式化和形式化下敌手的攻击方式, 指出其安全证明中的缺陷。在此基础上, 提出一个增强性方案, 并证明该方案具有eCK安全性。分析结果表明, 本文协议在单轮的情况下仅需要4个点乘运算完成密钥协商阶段, 计算效率较高, 适合用于移动互联网等实际应用场景。由于无双线性对运算的ID-AKA协议在seCK模型^[20]下不安全, 因此下一步将对此进行改进, 设计一个seCK安全的ID-AKA协议。