基于無雙線性對的無證書隱式認(rèn)證的Kerberos協(xié)議改進(jìn)

劉倩，張愉，范安東

（成都理工大學(xué)a.管理科學(xué)學(xué)院；b.旅游與城鄉(xiāng)規(guī)劃學(xué)院，成都610059）

基于無雙線性對的無證書隱式認(rèn)證的Kerberos協(xié)議改進(jìn)

劉倩a，張愉b，范安東a

（成都理工大學(xué)a.管理科學(xué)學(xué)院；b.旅游與城鄉(xiāng)規(guī)劃學(xué)院，成都610059）

針對Kerberos認(rèn)證協(xié)議存在的密鑰托管，口令攻擊和重放攻擊等缺陷，將隱式認(rèn)證與無證書密鑰協(xié)商協(xié)議結(jié)合，提出了一種無雙線性對的無證書隱式認(rèn)證的Kerberos改進(jìn)協(xié)議，避免了Kerberos協(xié)議中第三方對信息的無舉證竊聽，有效克服了中間人攻擊。新協(xié)議在增強(qiáng)模型下是可證明安全的，并且僅需9次橢圓曲線上的點(diǎn)乘運(yùn)算和2次哈希運(yùn)算，具有較高的計(jì)算效率。

無證書公鑰密碼體制；隱式認(rèn)證；Kerberos協(xié)議

引言

在傳統(tǒng)的基于公鑰基礎(chǔ)設(shè)施的公鑰密碼體制（PKC）下，為了驗(yàn)證公鑰的真實(shí)性，需要一個(gè)可信的證書中心頒發(fā)證書將用戶的身份信息和公鑰進(jìn)行綁定［1］，不可避免存在證書的存儲和傳輸?shù)葐栴}。為了解決傳統(tǒng)的PKC中存在的缺陷，Shamir［2］率先提出了基于身份的公鑰密碼體制（ID-PKC），這種體制使用能夠唯一標(biāo)識用戶身份的信息作為用戶的公鑰，因此可以解決傳統(tǒng)的PKC存在使用證書的問題，然而ID-PKC卻存在著嚴(yán)重的私鑰托管問題。為了消除傳統(tǒng)的PKC和ID-PKC存在的缺陷，解決使用證書和私鑰托管的問題，2003年Al-Riyami和Paterson［3］提出了無證書的公鑰密碼體制（CL-PKC）。與ID-PKC類似，CL-PKC也需要一個(gè)可信的密鑰生成中心（KGC），但在CL-PKC中，用戶的私鑰是由用戶隨機(jī)選擇的秘密值和KGC產(chǎn)生的部分私鑰組成，公鑰則是由用戶自己的秘密值、身份信息和系統(tǒng)參數(shù)進(jìn)行一定的運(yùn)算產(chǎn)生的。因此，KGC不知道用戶的秘密值，就無法得知任何用戶的私鑰，從而有效地解決了ID-PKC存在的私鑰托管問題［4］。

傳統(tǒng)Kerberos認(rèn)證協(xié)議是基于對稱加密體制的，容易遭受口令攻擊和重放攻擊。為此，很多改進(jìn)算法應(yīng)運(yùn)而生，包括基于公鑰證書［5］、基于ElGamal算法［6］、基于混合體制［7］、基于Weil對［S］和基于Diffe-Hellman密鑰協(xié)商［9］、基于視覺密碼［10］的改進(jìn)方案，這些方案雖然解決了Kerberos協(xié)議存在的口令攻擊和重放攻擊等問題，但是大都采用了顯示認(rèn)證方式，容易暴露過多的信息給攻擊者，還存在密鑰托管和中間人攻擊等問題。文獻(xiàn)［11］結(jié)合無證書公鑰密碼學(xué)提出一個(gè)基于CL-PKC密鑰協(xié)商的改進(jìn)方案，較好地解決了上述問題。但該協(xié)議在密鑰協(xié)商過程中使用了2次對數(shù)運(yùn)算、2次點(diǎn)乘運(yùn)算和1次指數(shù)運(yùn)算，使得計(jì)算量大大增加。本文在文獻(xiàn)［11］基礎(chǔ)上，提出一個(gè)基于無雙線性對的無證書隱式認(rèn)證改進(jìn)的Kerberos協(xié)議，改進(jìn)方案中的密鑰協(xié)商不再使用對數(shù)運(yùn)算，僅需9次點(diǎn)乘運(yùn)算和2次哈希運(yùn)算，運(yùn)算效率較高。

1 預(yù)備知識

1.1 CDH假設(shè)

設(shè)G是階為q的橢圓曲線循環(huán)群，P是G的生成元，對于任意的a，b∈Z*q，給定P，aP，bP∈G，任意概率多項(xiàng)式時(shí)間算法A能成功計(jì)算abP的優(yōu)勢：AdvCDH（A）=Pr［A（aP，bP）=abP|a，b∈Z*q］是可以忽略的。

1.2 安全模型

本文采用文獻(xiàn)［12］中定義的無證書認(rèn)證密鑰協(xié)商協(xié)議安全模型。

（1）A1是一個(gè)外部的攻擊者，A1可以替換任意用戶的公鑰，但是無法獲得系統(tǒng)的主密鑰以及用戶的部分私鑰。

（2）A11是一個(gè)內(nèi)部攻擊者，A11相當(dāng)于惡意的KGC攻擊，無法替換任意用戶的公鑰，但是可以獲得系統(tǒng)的主密鑰以及用戶的部分私鑰。

無證書認(rèn)證密鑰協(xié)商協(xié)議被模擬為挑戰(zhàn)者C與攻擊者Adv之間的游戲，具體過程如下：

（1）初始化：挑戰(zhàn)者C運(yùn)行系統(tǒng)參數(shù)生成算法，輸入一個(gè)安全參數(shù)k，輸出系統(tǒng)主密鑰msk和系統(tǒng)參數(shù)params。

如果Adv是A1敵手，那么C將params發(fā)送給Adv，并對msk保密。如果Adv是A11敵手，那么C將（msk，params）發(fā)送給Adv。

（2）查詢：Adv可以自適應(yīng)性地進(jìn)行以下查詢：Create（ID），Public-Key（ID），Partial-Private-Key（ID），Corrupt（ID），Public-Key-Replacement（ID， P），和。C模擬密鑰協(xié)商方案中的相應(yīng)算法分別做出回答。

（3）測試查詢：Adv選擇一個(gè)新鮮的預(yù)言機(jī)∏si，j請求Test查詢。

Test查詢結(jié)束后，Adv可以進(jìn)行除了Corrupt（ID）和查詢（或者與匹配的Reveal（查詢）外的其他查詢。最后，Adv輸出對Test查詢中b的猜測b，，如果b，=b，則Adv贏得游戲。Adv贏得游戲的優(yōu)勢定義為：

1.3 安全性定義

（2）對于任何攻擊者Adv∈｛A1，A∏｝，AdvantageAdv（k）是可忽略的。

如果無證書兩方認(rèn)證密鑰協(xié)商協(xié)議滿足上述要求，則被認(rèn)為是安全的。

2 基于無雙線性對的無證書隱式認(rèn)證的Kerberos改進(jìn)協(xié)議

2.1 無對運(yùn)算的無證書隱式認(rèn)證與密鑰協(xié)商協(xié)議

該協(xié)議可分為系統(tǒng)建立、用戶注冊以及密鑰協(xié)商3個(gè)階段。

系統(tǒng)建立：輸入一個(gè)安全參數(shù)k，輸出素?cái)?shù)階為q的橢圓曲線循環(huán)群G和大素?cái)?shù)p，且滿足q|p-1。P是G的生成元，KGC隨機(jī)選取s∈Z*q作為系統(tǒng)主密鑰，記P0=sP，選擇兩個(gè)安全的哈希函數(shù)：H1：｛0，1｝*×G→Z*q，H2：｛0，1｝*2×G9→｛0，1｝k。設(shè)置系統(tǒng)參數(shù)：params=｛p，q，P，P0，H1，H2｝。

用戶注冊：身份為IDi的用戶隨機(jī)選擇一個(gè)作為長期私有秘密，計(jì)算對應(yīng)的公鑰Xi=xiP。KGC檢驗(yàn)用戶的身份IDi，隨機(jī)選擇ri∈Z*q，計(jì)算Ri=riP，di=ri+sH1（IDi，Ri，Xi），通過秘密信道將di發(fā)送給IDi，作為其部分私鑰。用戶IDi的長期私鑰為Si=（xi，di），長期公鑰為Pi=（Xi，Ri）。

密鑰協(xié)商：假設(shè)用戶A和用戶B可以按照以下步驟進(jìn)行協(xié)商得到最終的會話密鑰：

（1）用戶A和B分別隨機(jī)選擇a，b∈Z*q，計(jì)算臨時(shí)密鑰TA=aP，TB=bP。

（2）用戶A將（IDA，RA，TA）發(fā)送給B，用戶B將（IDB，RB，TB）發(fā)送給A。

（3）用戶A計(jì)算hB=H1（IDB，RB，XB），PB=RB+ hBP0，KA1=aPB+dATB，KA2=aXB+xATB，KA3=dAPB，KA4=xAXB，KA5=aTB，會話密鑰KA=H2（IDA，IDB，XA，XB，TA，TB，KA1，KA2，KA3，KA4，KA5）。用戶B計(jì)算hA= H1（IDA，RA，XA），PA=RA+hAP0，KB1=bPA+dBTA，KB2=bXA+xBTA，KB3=dBPA，KB4=xBXA，KB5=bTA，會話密鑰KB=H2（IDA，IDB，XA，XB，TA，TB，KB1，KB2，KB3，KB4，KB5）。

2.2 改進(jìn)的Kerberos認(rèn)證協(xié)議

改進(jìn)的Kerberos協(xié)議中，KDC與無證書公鑰體系密鑰中KGC都是可信第三方組件，具有很大的相似性，KDC集成了KGC的功能。改進(jìn)的Kerberos協(xié)議認(rèn)證過程如圖1所示，客戶端C要訪問應(yīng)用服務(wù)器S，首先，KDC生成系統(tǒng)的主密鑰s∈Z*q，計(jì)算系統(tǒng)公鑰P0= sP；其次，KDC分別為客戶端C和應(yīng)用服務(wù)器S生成部分私鑰dC和dS；最后，C和S分別隨機(jī)選擇各自的秘密值c，s，計(jì)算各自的公私鑰對PC/SC，PS/SS。其中，IDi為用戶i的身份信息；Pi為用戶i的公鑰；Si為用戶i的私鑰；EKPi為用用戶i的公鑰加密；Ticketx，y為x訪問y的授權(quán)票據(jù)；Authenticatorx，y為x訪問y的認(rèn)證碼；ri是為防止重放攻擊而設(shè)的隨機(jī)數(shù)。

圖1改進(jìn)的Kerberos認(rèn)證過程

（1）C→AS：C向本地AS申請?jiān)L問本地的TGS服務(wù)器的授權(quán)票據(jù)：IDC，IDTGS，Sign（IDC），M，r1。

客戶端C隨機(jī)選取r1∈Z*q，計(jì)算TC=r1P，h1= H1（IDAS，RAS，XAS），h=H2（TC，IDC，r1），s=r1/（xC+ dC+h），生成簽名Sign（IDC）=（h，s），C=r1（XAS+ RAS+h1P0），M=H3（C）⊕r1。C向AS發(fā)送訪問本地的TGS服務(wù)器請求信息，包括IDC，IDTGS，Sign（IDC），M，r1。

（2）AS→C：AS驗(yàn)證數(shù)字簽名Sign（IDC）來確認(rèn)用戶的合法身份，然后返回訪問TGS的授權(quán)票據(jù)：PTGS，AddTGS，TicketC，TGS。

通過（1）和（2）這兩個(gè)過程，C與AS完成了雙向身份認(rèn)證，并且C從AS處獲得了訪問TGS的票據(jù)。

（3）C→TGS：C向TGS申請?jiān)L問應(yīng)用服務(wù)器S的票據(jù)授權(quán)票據(jù)：IDC，IDTGS，TicketC，TGS，AuthenticatorC，TGS，r2。

客戶端C向TGS提交授權(quán)票據(jù)TicketC，TGS，以及訪問TGS的認(rèn)證單AuthenticatorC，TGS=EKPTGS（IDC，IDS）。

（4）TGS→C：TGS返回給C訪問應(yīng)用服務(wù)器S的票據(jù)授權(quán)票據(jù)以及公鑰PS：TicketC，S，PS。

TGS向C發(fā)送票據(jù)授權(quán)票據(jù)TicketC，S=EKPS（IDC，AddC，IDS，PC，Lifetimes2）

通過（3）和（4）兩個(gè)過程，C從TGS處成功獲得訪得應(yīng)用服務(wù)器S的票據(jù)授權(quán)票據(jù)。從Kerberos的消息流程來看，發(fā)起通信的主體要與相關(guān)的TGS進(jìn)行通信，目的是確認(rèn)用戶身份的合法性以及消息的新鮮性。通過（1）～（4）的身份認(rèn)證，C獲得授權(quán)與遠(yuǎn)程應(yīng)用服務(wù)器S通信，依據(jù)本文提出的密鑰協(xié)商協(xié)議，C與S進(jìn)行密鑰協(xié)商建立安全通信信道。

（5）C→S：IDC，TicketC，S，TC

客戶端C隨機(jī)選取c∈Z*q，計(jì)算TC=cP，將TC發(fā)送給應(yīng)用服務(wù)器S。

（6）S→C：IDS，TS

應(yīng)用服務(wù)器S隨機(jī)選取s∈Z*q，計(jì)算TS=sP，將TS發(fā)送給客戶端C?？蛻舳薈計(jì)算：hS=H1（IDS，RS，XS），PS=RS+hSP0，KC1=cPS+dCTS，KC2=cXS+ xCTS，KC3=dCPS，KC4=xCXS，KC5=cTS，會話密鑰KC=H2（IDC，IDS，XC，XS，TC，TS，KC1，KC2，KC3，KC4，KC5），應(yīng)用服務(wù)器S計(jì)算hC=H1（IDC，RC，XC），PC=RC+ hCP0，KS1=sPC+dSTC，KS2=sXC+xSTC，KS3=dSPC，KS4=xSXC，KS5=sTC，會話密鑰K=H2（IDC，IDS，XC，XS，TC，TS，KS1，KS2，KS3，KS4，KS5），最終協(xié)商出共同的會話密鑰K=H2（IDC，IDS，XC，XS，TC，TS，KS1=KC1，KS2= KC2，KS3=KC3，KS4=KC4，KS5=KC5）。

3 改進(jìn)協(xié)議的分析

3.1 協(xié)議的正確性分析

正確性驗(yàn)證：

由此可知KA=KB，用戶A和用戶B可以通過此協(xié)議協(xié)商出相同的會話密鑰。

3.2 協(xié)議的安全性分析

3.2.1 密鑰協(xié)商協(xié)議的安全性

SK，且SK在｛0，1｝k上均勻分布。

引理2如果CDH假設(shè)成立，在強(qiáng)安全模型下，第一類敵手A1不能以不可忽略的優(yōu)勢攻破本文提出的無證書密鑰協(xié)商協(xié)議。

引理3如果CDH假設(shè)成立，在強(qiáng)安全模型下，第二類敵手A11不能以不可忽略的優(yōu)勢攻破本文提出的無證書密鑰協(xié)商協(xié)議。

引理1、2、3的證明可參考文獻(xiàn)［14］中的證明過程。因此，由上述三個(gè)引理可知：如果CDH假設(shè)成立，該無證書隱式認(rèn)證密鑰協(xié)商協(xié)議在強(qiáng)安全模型下是安全的。

3.2.2 改進(jìn)的Kerberos協(xié)議的安全性

首先，在CL-PKC中，用戶的私鑰是由用戶隨機(jī)選擇的秘密值和KGC產(chǎn)生的部分私鑰組成，公鑰則是由用戶自己的秘密值、身份信息和系統(tǒng)參數(shù)進(jìn)行一定的運(yùn)算產(chǎn)生的。因此，KGC不知道用戶的秘密值，就無法得知任何用戶的私鑰，從而有效地解決了ID-PKC存在的私鑰托管問題。另外，利用隨機(jī)數(shù)ri代替原協(xié)議中的時(shí)間戳，有效避免了時(shí)間同步問題，防止重放攻擊。

其次，利用公鑰加密票據(jù)來代替弱口令加密授權(quán)票據(jù)。在客戶端與認(rèn)證服務(wù)器之間使用無證書簽密技術(shù)進(jìn)行實(shí)體身份驗(yàn)證，增強(qiáng)了安全性。

最后，改進(jìn)協(xié)議將無證書的隱式認(rèn)證與密鑰協(xié)商技術(shù)相結(jié)合，使得通信雙方通過協(xié)商獲得會話密鑰，避免了第三方對信息的無舉證竊聽，有效克服了中間人攻擊。

3.3 協(xié)議的效率分析

本文從運(yùn)算量和安全性兩個(gè)方面，將改進(jìn)的新方案與原有方案進(jìn)行比較，比較結(jié)果見表1。在計(jì)算量方面，主要考慮雙線性對運(yùn)算、指數(shù)運(yùn)算、點(diǎn)乘運(yùn)算和Hash運(yùn)算，其中雙線性對運(yùn)算的計(jì)算量最大，指數(shù)運(yùn)算次之，而改進(jìn)方案不需要這兩種運(yùn)算，僅需9次點(diǎn)乘運(yùn)算和2次哈希運(yùn)算，計(jì)算量大大降低了。

表1改進(jìn)方案與原有方案的比較

4 結(jié)束語

本文利用無雙線性對的無證書隱式認(rèn)證對原有的Kerberos協(xié)議進(jìn)行了改進(jìn)，有效地解決了密鑰托管、中間人攻擊以及惡意KDC的無舉證竊聽，改進(jìn)協(xié)議在增強(qiáng)模型下是可證明安全的。與其他方案相比，改進(jìn)協(xié)議只需要9次橢圓曲線上的點(diǎn)成運(yùn)算，執(zhí)行效率比較高。

［1]Adams C，Lloyd S.Understanding public_key infrastruc_ ture_concepts，standards，and deployment considerations［M].Indiana，USA:Sams，1999.

［2]Shamir A.Identity_based cryptosystem and signature scheme［C]//Blakley G R，Chaum D.Proceeding of Advances in Cryptology_Crypto'84，California，August，19_22，1984:47_53.

［3]A l_Riyami S S，Paterson K G.Certificateless public key cryptography［C]//Advances in Cryptology_ASIACRYPT′03.Berlin:Springer_Verlag，2003:452_473.

［4]Zhang F T，Sun Y X，Zhang L，et al.Research on certifi_ cateless public key cryptography［J].Journal of Software，2011，22(6):1316_1332.

［5]田俊鋒，畢志明，張晶.一種基于公鑰的新型Ker_ beros域間認(rèn)證方案［J].微電子學(xué)與計(jì)算機(jī)，2008，25 (9):161_164.

［6]王娟.一種基于無證書公鑰密碼學(xué)思想的Kerberos認(rèn)證方案的改進(jìn)［J].池州學(xué)院學(xué)報(bào)，2011，25(3):16_ 18.

［7]Estan C，Savage S，Varghese G.Automatically inferring pattern of resource consumption in network traffic［C]// Proceedings of SIGCOMM′03.Karlsruhe，Germany: ACM Press，2003:137_148.

［8]李繼勇.基于Weil對改進(jìn)的Kerberos協(xié)議設(shè)計(jì)［J].計(jì)算機(jī)應(yīng)用，2008，28(2):422_423.

［9]湯衛(wèi)東，李為民.利用Diffie_Hellman算法改進(jìn)Ker_ beros協(xié)議［J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，28(2):343_ 345.

［10]胡志剛，曾巧平.基于視覺密碼的Kerberos改進(jìn)協(xié)議［J].計(jì)算機(jī)工程，2009，35(18):159_160.

［11]陳家琪，馮俊，郝妍.無證書密鑰協(xié)商協(xié)議對跨域Kerberos的改進(jìn)［J].計(jì)算機(jī)工程，2010，36(20):150_ 152.

［12]Zhang L，Zhang F T，Wu Q H，et al.Simulatable certifi_ cateless two_party authenticated key agreement proto_ col［J].Information Sciences，2010，180(2):1020_1030.

［13]Chen L Q，Cheng Z H，Smart N P.Identity_based key agreement protocols from pairing［J].International Jour_ nal of Information Security，2007，6(4):213_241.

［14]張延紅，陳明.標(biāo)準(zhǔn)模型下強(qiáng)安全的無證書認(rèn)證密鑰協(xié)商協(xié)議［J].四川大學(xué)學(xué)報(bào):工程科學(xué)版，2013，45(1):125_132.

Improved Kerberos Protocol Based on Certificateless Implicit Authentication without Bilinear Pairing

LIU Qiana，ZHANG Yub，F(xiàn)AN Andonga
（a.College of Management Science；b.College of Tourism and Rural and Urban Planning，Chengdu University of Technology，Chengdu 610059，China）

In order to solve the Problems of the key escrow，Password_based attack and rePlay attack in Kerberos authen_ tication Protocol，combining imPlicit authentication and certificateless key agreement Protocol，an imProved Kerberos Protocol based on certificateless imPlicitauthentication withoutbilinear Pairing is ProPosed.In the imProved Protocol，the third Party's intercePtion without solid evidence can be avoided，and the attacks ofman_in_the_middle can also be overcome efficiently. The new Protocol is Proved to be secure in the imProved model，and requires only nine times PointmultiPlication on the elliP_ tic curve and two times hash oPeration，so the imProved scheme has better comPutational efficiency.

certificateless Public key cryPtograPhy；imPlicit authentication；Kerberos Protocol

TP309

A

1673_1549(2014)02_0059_05

10.11863/j.suse.2014.02.13

2013_11_20

四川省應(yīng)用基礎(chǔ)計(jì)劃項(xiàng)目（2012JY0033）

劉倩（19SS_），女，陜西西安人，碩士生，主要從事密碼學(xué)、信息安全方面的研究，（E_mail）S0676S7S3@qq.com