橫向聯(lián)邦學(xué)習(xí)環(huán)境基于身份認(rèn)證及密鑰協(xié)商協(xié)議

任杰，黎妹紅，*，杜曄，尹李綸謹(jǐn)

(1.北京交通大學(xué)智能交通數(shù)據(jù)安全與隱私保護(hù)技術(shù)北京市重點實驗室，北京 100044；2.北京交通大學(xué)計算機(jī)與信息技術(shù)學(xué)院，北京 100044)

人工智能的高速發(fā)展離不開大數(shù)據(jù)的支持，但是絕大多數(shù)企業(yè)數(shù)據(jù)質(zhì)量低，尤其是對數(shù)據(jù)隱私保護(hù)的要求低，無法支撐構(gòu)建精準(zhǔn)的模型。為了解決“數(shù)據(jù)孤島”的情況，聯(lián)邦學(xué)習(xí)應(yīng)運(yùn)而生[1]。目前已有許多橫向聯(lián)邦學(xué)習(xí)的商業(yè)落地應(yīng)用案例，但仍處于初級階段，尤其是數(shù)據(jù)安全方面仍存在許多技術(shù)挑戰(zhàn)，而認(rèn)證及會話密鑰協(xié)商是保證通信實體之間安全傳輸、可靠通信的關(guān)鍵技術(shù)和基本的安全保障。

隨著用戶量的增大，基于對稱密碼體制和基于公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）的密碼體制認(rèn)證和密鑰協(xié)商協(xié)議中存在密鑰管理和維護(hù)的問題。1985 年Shamir[2]提出基于身份的密碼體制，將用戶身份與公鑰綁定，省去證書的參與，大大降低了PKI 存儲和管理上的消耗。因此，越來越多的基于身份的認(rèn)證及密鑰協(xié)商協(xié)議被相繼提出。Boneh 和Franklin[3]利用雙線性對的理論設(shè)計基于身份的認(rèn)證密鑰協(xié)商協(xié)議。隨后Jegadeesan 等[4]及Bakhtiari-chehel cheshmeh 和Hosseinzadeh[5]提 出 適用于分布式云計算環(huán)境下的移動設(shè)備的認(rèn)證及密鑰協(xié)商協(xié)議，具有雙向認(rèn)證、用戶的不可追蹤和不可否認(rèn)等特性。但是Wu 等[6]證明文獻(xiàn)[5]提出的協(xié)議很容易受到中間人攻擊和偽造攻擊，因此，文獻(xiàn)[6]改進(jìn)了該協(xié)議，提供了具有更高安全性和有效性的協(xié)議。

由于雙線性對的計算開銷較大，且找出滿足雙線性對的群很困難，因此，一些研究提出了基于非雙線性對進(jìn)行密鑰協(xié)商[7-17]。Zhu 等[7]和Cao 等[8]提出非雙線性對基于身份的兩方認(rèn)證密鑰協(xié)商協(xié)議（ID-2PAKA），該協(xié)議中采用3 次信息交換實現(xiàn)密鑰協(xié)商。隨后，Cao 等[9]又在此基礎(chǔ)上做了改進(jìn)，通過2 輪信息交換完成密鑰協(xié)商，降低了計算開銷和通信輪數(shù)。但是Islam 和Biswas[10]分析了文獻(xiàn)[9]提出的協(xié)議，發(fā)現(xiàn)該協(xié)議易受到已知會話特定臨時信息攻擊（known session-specifictemporary information attack，KSTIA）和密鑰偏移攻擊（key of f-set attack，KOA），因此，文獻(xiàn)[10]彌補(bǔ)了文獻(xiàn)[9]的安全缺陷，可以對其他參與方的會話密鑰做哈希檢查，避免在信息交互的過程中出現(xiàn)篡改和假冒攻擊。但是該協(xié)議中缺少前向安全性。針對此問題，Daniel 等[11]針對文獻(xiàn)[10]的協(xié)議做出了改進(jìn)，并證明在擴(kuò)展的CK（extended Canetti-Kraw czyk，eCK）模型[12]下是安全的。但是結(jié)合橫向聯(lián)邦學(xué)習(xí)環(huán)境，該協(xié)議只有在計算會話密鑰后才能認(rèn)證雙方的身份。若協(xié)商階段存在中間人攻擊，則此次的會話密鑰計算無效，給雙方帶來不必要的計算開銷和通信開銷。因此，本文結(jié)合橫向聯(lián)邦學(xué)習(xí)環(huán)境，提出了基于身份的橢圓曲線無證書的輕量級認(rèn)證及會話密鑰協(xié)商協(xié)議，在保證安全性的同時，權(quán)衡計算開銷和通信開銷，在實際的應(yīng)用場景下具有更好的平衡性。

1 準(zhǔn)備工作

1.1 相關(guān)困難問題及假設(shè)

本文的認(rèn)證及會話密鑰協(xié)商協(xié)議的安全性和證明條件依賴于以下問題：

1)橢圓曲線離散對數(shù)問題（elliptic curve discrete logarithm prob l em，ECDLP）。設(shè)Pe和Q是橢圓曲線E上的2 個解點，n為任意正整數(shù)，且1 ＆lt;n＆lt;|E|，其中|E|為橢圓曲線E的階數(shù)。對于給定的Pe和n，計算nPe=Q是 容易的。但若已知Pe和Q兩 點，計算出n是極其困難的。

2) 計 算 性 假 設(shè)（computat ional diffie-hellman，CDH）。對于一個q階 環(huán)群G， 其中，q為素數(shù)，P為群G的生成元，取任意整數(shù)a,b∈，其中，為乘法群，在給定P,aP,bP情況下無法在多項式時間內(nèi)計算出abP。

3)決 定 性 假 設(shè)（dec is ion diffie-hellman，DDH)。對于一個q階 環(huán)群G， 取任意整數(shù)a,b,c∈，在給定P，aP,bP,cP的 情況下，判斷是否有CDH(aP,bP)=cP即cP=abP，是無法在多項式時間內(nèi)完成的。

1.2 Forking 引理

給定一個安全參數(shù)為k的簽名機(jī)制(Kgen,sign,verf)，其中，Kgen 為密鑰生成算法，sign 為簽名算法，verf 為驗證算法。假設(shè)A為概率多項式時間內(nèi)的圖靈機(jī)，其輸入為公共數(shù)據(jù)，并用qh＆gt;0 表 示A訪問隨機(jī)預(yù)言機(jī)H的次數(shù)。假設(shè)在時間T內(nèi)，A以概率ε ≥7qh/2k得到的有效簽名 (m,r,h,s)，其中，m為消息內(nèi)容，r為承諾內(nèi)容，h為關(guān)于m和r的哈希值，s為關(guān)于h和r的答案，則通過重放攻擊，可以在有效時間T′≤16QT/ε內(nèi) ，以概率 ε′≥1/9獲得2 個消息內(nèi)容與承諾內(nèi)容相同的有效簽名(m,r,h,s)和(m,r,h′,s′)， 且滿足h′≠h， 其中，h′、s′為通過重放攻擊后計算不同于h與s的哈希值和解密值。

1.3 eCK 安全模型

eCK 模型主要是針對兩方認(rèn)證及密鑰協(xié)商協(xié)議的一種安全性較強(qiáng)的形式化分析模型，雖然證明過程較為復(fù)雜，但是其安全性優(yōu)勢明顯。在eCK 模型中每個參與者或攻擊者都被模擬成一個具備概率多項式時間的預(yù)言機(jī)，其以多項式次數(shù)執(zhí)行協(xié)議，預(yù)言機(jī)表 示用戶i與 服務(wù)器sj 的第t次密鑰協(xié)商。攻擊者可以控制各方交換通信，還可以利用多種方式在eCK 模型下被允許進(jìn)行監(jiān)聽、篡改、重放等基本的攻擊方式。在該模型下攻擊者A可以請求以下查詢。

2）StaticKeyReveal(U)查詢。攻擊者A可以通過該查詢獲得參與方U的長期私鑰。

5）Establishedparty(U)查詢。攻擊者A可以利用此查詢獲得參與方的長期私鑰。因此，若攻擊者有發(fā)起該請求，則參與方是誠實的。

攻擊者A會根據(jù)所有發(fā)起的查詢請求，猜測bit的值為bit'，若bit'=bit，則攻擊者A在本次游戲中獲勝，定義獲勝的優(yōu)勢(A)如下：

式中：Pr 為概率。

定義 1匹配會話。若某會話 Πi,sj發(fā)起的消息被傳輸?shù)?Πsj,i， Πsj,i的 應(yīng)答消息被傳回到 Πi,sj，則兩會話互為匹配會話。

定義 2新鮮會話。如果預(yù)言機(jī)計算后得到了一個會話密鑰SK，并滿足以下條件：

定義 3安全的會話密鑰協(xié)商協(xié)議。若認(rèn)證及密鑰協(xié)商協(xié)議滿足以下條件：

1）2 個相互匹配的隨機(jī)預(yù)言機(jī)計算出相同的會話密鑰；

2）對于任意攻擊者A,(A)成功的概率是可忽略的。

此時該密鑰協(xié)商協(xié)議在eCK 模型下是安全的。

1.4 攻擊者模型

在實際訓(xùn)練環(huán)境下，會遭到各種類型的攻擊和安全威脅。本文在方案設(shè)計中，是基于橫向聯(lián)邦學(xué)習(xí)環(huán)境，主要考慮以下幾個方面的安全威脅。

1）竊聽攻擊。在橫向聯(lián)邦學(xué)習(xí)環(huán)境中，用戶更多利用無線通信傳遞消息，信道處于開放的狀態(tài)，因此，攻擊者可以監(jiān)聽通信信道傳輸?shù)男畔ⅲM(jìn)而實現(xiàn)竊聽攻擊。

2）攻擊者可以對監(jiān)聽的信息進(jìn)行攔截、重構(gòu)和重放，實現(xiàn)篡改攻擊、偽造攻擊、重放攻擊等。

3）密鑰生成中心（k ey gene r a t i on center，KGC）的半誠實性。在密鑰生成中心會產(chǎn)生內(nèi)部攻擊，惡意的參與方會盜取用戶的密鑰信息并利用在后續(xù)的密鑰協(xié)商中。

2 認(rèn)證及會話密鑰協(xié)商協(xié)議描述

結(jié)合橫向聯(lián)邦學(xué)習(xí)環(huán)境中要求參與方在協(xié)議中的控制權(quán)，本文提出單服務(wù)器環(huán)境下基于身份的無證書輕量級認(rèn)證及密鑰協(xié)商協(xié)議。在本文方案中，首先，KGC 生成公開系統(tǒng)參數(shù)集合，參與訓(xùn)練的用戶和服務(wù)器在KGC 完成注冊，并計算各自的臨時密鑰和長期密鑰。之后，參與方可對服務(wù)器發(fā)起認(rèn)證協(xié)商請求。本節(jié)詳細(xì)闡述了本文方案中的初始化模塊、注冊模塊、認(rèn)證及密鑰協(xié)商模塊。

2.1 初始化模塊

在該系統(tǒng)中，KGC 定義循環(huán)加群G，G的素數(shù)階q。KGC 為循環(huán)加群選擇生成元P，并選擇隨機(jī)值x∈，x為系統(tǒng)主私鑰，計算系統(tǒng)公鑰Ppub=xP。KGC 還需要定義4 個哈希函數(shù)H1,H2,H3,HMAC，其式分別為

式中：l為最終會話密鑰的長度。

完成式(2)～式(5)的計算后，KGC 會將x保密存儲，并公開系統(tǒng)參數(shù)集合{G,q,P,Ppub,H1,H2,H3,HMAC}。

2.2 注冊模塊

當(dāng)存在參與方申請參與聯(lián)邦學(xué)習(xí)模型訓(xùn)練時，需要參與方在KGC 注冊，其注冊詳細(xì)流程如圖1 所示。注冊過程描述如下。

圖1 注冊模塊Fig.1 Registration module

1)用戶i給KGC 發(fā)送身份標(biāo)識 IDi，KGC 給用戶i隨 機(jī)選擇ri∈并 計算Ri=riP，si=(ri+xH1(IDi,Ri)) ，因此，KGC 為用戶生成部分私鑰 (si,Ri)，并由安全信道發(fā)送給用戶i。

2)當(dāng)用戶i收到KGC 傳來的部分私鑰(si,Ri)，首先驗證其準(zhǔn)確性，用戶需要計算siP=Ri+H1(IDi,Ri)Ppub。若等式成立，則證明用戶i收到的為KGC 發(fā)送的部分私鑰組。

3)用戶私鑰生成。用戶私鑰由3 部分組成，長期私鑰、臨時私鑰和部分私鑰。因此，用戶i隨機(jī)選取一個隨機(jī)數(shù)di∈和ti，di和ti分別為長期私鑰和臨時私鑰。計算公鑰Pi=diP。因此，用戶i的私鑰組為 {di,ti,(si,Ri)} ， 公鑰為Pi， 其中Pi可以放在公共目錄中，供其他密鑰協(xié)商方使用。

服務(wù)器sj 注冊過程同用戶i。

2.3 認(rèn)證及會話密鑰協(xié)商模塊

注冊完成后，用戶和服務(wù)器進(jìn)行雙向身份認(rèn)證和會話密鑰協(xié)商，其協(xié)商流程如圖2 所示，協(xié)商過程描述如下：

圖2 認(rèn)證及密鑰協(xié)商模塊Fig.2 Authentication and key agreement module

1)用戶i首先計算Ti=tiP,利用私鑰組{di,ti,si}計算Qi， 其式為Qi=ti(si+di)?1modq，其中mod 為模型運(yùn)算。隨后參與方選擇一個新鮮隨機(jī)數(shù)nonce，利用H2， 計算Hi=H2(IDi,Ti,nonce)。當(dāng)完成Hi的計算后，用戶i將 消息 (IDi,Ri,Qi,Hi,nonce)發(fā)送給服務(wù)器sj。

2)當(dāng)服務(wù)器sj 收到來自用戶i的認(rèn)證請求后，首先，檢查收到的新鮮隨機(jī)值nonce，若該值在本次通信中具有新鮮性，服務(wù)器sj 即可將其作為后續(xù)會話密鑰協(xié)商及模型訓(xùn)練的參數(shù)，保證訓(xùn)練的安全性和訓(xùn)練參與方身份的有效性。然后，服務(wù)器計算=Qi(Pi+Ri+Hi(IDi,Ri)Ppub)，利用計算=H2(IDi,,nonce)是否等于用戶i傳送過來的Hi，若相等則證明服務(wù)器進(jìn)入密鑰協(xié)商階段。

服務(wù)器利用私鑰等參數(shù)，計算Wi=Ri+H1(IDi,Ri)Ppub、接下來計算會話密鑰參數(shù)，即會話密鑰K2sj,i) HMAC=，服務(wù)器對SK 計算哈希值，生成完成第2 步中的計算后，服務(wù)IDsj,Tsj,Hsj,RsjHMAC器將消息 發(fā)送給用戶i。3) 當(dāng)用戶收到來自服務(wù)器的消息后，首先，計算Hsj其結(jié)果是否等于 ，若相Tsj等，則可以判斷 的正確性及身份的合法性。然后用戶計算會話密鑰參數(shù)和，其中：

3 安全性分析與證明

定理 1假設(shè)CDH 是困難問題，哈希函數(shù)H1、H2、H3是隨機(jī)預(yù)言機(jī)，則提出的模型在eCK 模型下是安全的[11]。

證明在1.3 節(jié)提出的認(rèn)證及密鑰協(xié)商協(xié)議的正確性要求相匹配的會話要返回相同的會話密鑰，因此，根據(jù)協(xié)議安全性要求，只需要證明攻擊者無法在概率多項式的時間內(nèi)有不可忽略的概率贏得游戲來證明協(xié)議的安全性。

我國的地震區(qū)劃工作自1954年就已開展，至今已歷時五版，隨著地震觀測技術(shù)的發(fā)展與概率設(shè)計概念的引入，地震區(qū)劃的依據(jù)也逐漸由基本烈度即100 a以內(nèi)，一般場地條件下該地區(qū)可能遭受的最大烈度向概率標(biāo)定后的基本烈度，即50 a期限內(nèi)，一般場地條件下，可能遭遇超越概率為10%的烈度值，與國際大的發(fā)展方向相接軌。

3.1 隨機(jī)預(yù)言機(jī)安全模型

會話密鑰SK 的計算需要利用元組(IDi,IDsj,Ti,Tsj,,)， 發(fā)起H3請 求，挑 戰(zhàn) 者C會 維 護(hù)3 個獨立列表來模擬H1、H2、H3，挑戰(zhàn)者C會將每一條輸入輸出記錄在列表中。如果攻擊者A發(fā)起了哈希請求，并在列表中可以找到相匹配的某個參與方的值，則挑戰(zhàn)者C會將匹配的值輸出給攻擊者A，否則挑戰(zhàn)者C會隨機(jī)生成一個值輸出，并將其記錄在列表中。

H1預(yù) 言機(jī)。挑戰(zhàn)者C為H1預(yù)言機(jī)初始化一個空列表，在列表中每一個實體組成是(IDi,Ri,H1)∈{0,1}len(IDi)×G×，len(·)為計算消息bit 長度的函數(shù)，當(dāng)挑戰(zhàn)者C計算參與方的部分私鑰后，將該元組插入列表中。在游戲過程中，若攻擊者發(fā)起H1請求，挑戰(zhàn)者C會在列表中查找是否有匹配的信息，將查找元組輸出給攻擊者A，否則挑戰(zhàn)者C隨機(jī)選擇一個隨機(jī)數(shù)Nrad(Nrad∈)，返回給攻擊者A，同時將該值記錄在中。

H2預(yù) 言機(jī)。挑戰(zhàn)者C為H2預(yù)言機(jī)初始化一個空列表，在列表中每一個實體組成是(IDi,Ti,nonce,H2)∈{0,1}len(IDi)×{0,1}len(Ti)×{0,1}len(noncei)×。在游戲過程中，攻擊者如果發(fā)起了H2請求，挑戰(zhàn)者C會在列表中查找是否有匹配的信息，如果有則直接將查找元組輸出給攻擊者A，否則挑戰(zhàn)者C要隨機(jī)選擇一個隨機(jī)數(shù)Nrad(Nrad∈)，返回給攻擊者A，同時將該值記錄在中。

H3預(yù) 言機(jī)。挑戰(zhàn)者C為H3預(yù)言機(jī)初始化一個空列表，在列表中每一個實體組成是(IDi,IDsj,挑 戰(zhàn)者C需要確保SessionSecretReveal 請求與H3預(yù)言機(jī)一致，才能成功模擬H3預(yù)言機(jī)。但是在某些情況下，挑戰(zhàn)者C可能無法得到所有元素以計算有效的會話密鑰存儲在中，因此，挑戰(zhàn)者C會維護(hù)另一張表llist， 其中列表元素組成為( IDi,IDsj,Ti,Tsj,SK′)。當(dāng)有SessionSecretReveal 請求時，會首先檢查llist，若列表中存在匹配的元素，則返回對應(yīng)的 SK′給攻擊者A，并將其添加到。否則檢查，并利用DDH oracle 模型檢查共享密鑰的正確性，正確則返回SK，并添加在llist中，否則挑戰(zhàn)者C生成隨機(jī)數(shù)Nrad,Nrad∈{0,1}l， 并記錄在llist列表中。

3.2 安全游戲模型設(shè)計

如果驗證成功，則返回H3中的值SK 作為答案，因此，攻擊者可以獲得此次會話協(xié)商的密鑰。

假設(shè) AdvA(λ)代表給定條件下，攻擊者贏得游戲的優(yōu)勢， λ為安全參數(shù)， n s(λ)為攻擊者可以發(fā)起的最多會話次數(shù)，n e(λ)為攻擊者可以查詢的最多參與者的數(shù)量， n as(λ)為攻擊者可激活的最多會話次數(shù)，nq(λ)為 攻擊者可激活的與預(yù)言機(jī)H3不同的哈希請求。由于H3是隨機(jī)預(yù)言機(jī)模型，攻擊者A可以有2 種方法，從測試會話中區(qū)分隨機(jī)字符串。

1）密鑰重放攻擊。攻擊者A強(qiáng)制不匹配的會話計算與測試會話相同的會話密鑰，攻擊者A可以通過查詢不匹配會話的密鑰獲取測試會話的會話密鑰。在安全游戲中，根據(jù)假設(shè)前提，H3是隨機(jī)預(yù)言機(jī)，猜測輸出的會話密鑰的概率是O(1/2l)，該值是可忽略的。由于2 次會話是不相匹配的會話，參與方是不同的，退一步講，當(dāng)攻擊者選中的會話是重放密鑰的協(xié)商雙方，但是由于不同的會話其使用的臨時密鑰是不同的，因此，攻擊者想要通過密鑰重放攻擊猜測出本次會話密鑰等同于找到H3碰撞。而每一個攻擊者最多可以請求nas(λ)次會話，因此發(fā)生碰撞的概率為O(nas/2l)，該值是可忽略的，因此通過情景1，攻擊者是無法贏得游戲的。

由于協(xié)議雙方協(xié)商的機(jī)制，需要存在與測試會話相匹配的會話，基于該要求，提出以下2 個情景。

情景1。所有的誠實參與者均沒有與測試會話相匹配的會話。

情景2。存在與測試會話相匹配的會話，而且該會話由某個參與者所有。

3.3 安全性證明

3.3.1 情 景1 分析

攻擊者A需要在測試會話中計算出協(xié)商的會話密鑰，當(dāng)攻擊者A發(fā)起測試會話的請求時，實際上并不存在與之匹配的會話，因此，這種情景下攻擊者并不知道參與方 I Di、IDsj的 臨時私鑰和長期私鑰。假設(shè)挑戰(zhàn)者C隨機(jī)選擇一個用戶i，在該情境下，挑戰(zhàn)者C并不知道用戶i的部分私鑰及長期密鑰，攻擊者A模擬服務(wù)器 IDsj， 但是并不知道服務(wù)器sj 的部分私鑰。因此，初始化階段，挑戰(zhàn)者C會模擬KGC 為每一個協(xié)議參與方生成部分私鑰組(s,R)。挑戰(zhàn)者C會首先選擇系統(tǒng)主公鑰X并選擇隨機(jī)數(shù)，計算Ri=siP?hiX，對于每一個參與者，挑戰(zhàn)者C都會發(fā)送部分密鑰組 (si,Ri)給攻擊者A，并將元組 {si,Ri,hi}添 加到中，令hi=H1(IDi,Ri)，挑戰(zhàn)者C會給攻擊者提供用戶i的臨時私鑰Y，以及長期公鑰Z。如果挑戰(zhàn)者C選擇了作為測試會話，則該游戲模擬不會失敗。攻擊者A會模擬服務(wù)器IDsj按照協(xié)議的要求計算相應(yīng)的應(yīng)答元組中的元素，在測試會話中，用戶 IDi從攻擊者A處收到消息(IDsj,Tsj,Hsj,Rsj,HMAC)， 其 中Rsj是 由 攻 擊 者A隨機(jī)生成，對于 IDsj來說是不正確的，挑戰(zhàn)者C設(shè)置H1(IDi,Ri)=∈。如果攻擊者A以不可忽略的優(yōu)勢贏得游戲，則需要利用元組(IDi,IDsj,Y,Tsj,,)發(fā)起對H3請求，其中：

式中：D為解密。

因此基于式(10)～式(12)的計算，挑戰(zhàn)者C僅能獲取部分私鑰si， 臨時密鑰ti=Y和長期密鑰di=Z，tsj和dsj及 計 算 部 分私 鑰 的rs j是 由 攻 擊 者A選擇的。攻擊者A要獲取臨時密鑰和長期密鑰，需要發(fā)起LongKeyReveal 和EphemeralKeyReveal 請求。因此，為了解決CDH 問題，挑戰(zhàn)者C會檢查攻擊者A是否利用元組( IDi,IDsj,Y,Tsj,,)發(fā) 起H3預(yù)言機(jī)的請求，其中要求：

因為攻擊者采用假冒攻擊的方式請求本次測試會話，因此挑戰(zhàn)者C利用Forking 定理，采用與攻擊者A相同的輸入進(jìn)行接下來的游戲分析。

挑戰(zhàn)者C重新設(shè)置H1(IDi,Ri)=，其中要求，且攻擊者還會利用元組(IDi,IDsj,Y,Tsj,,) 發(fā) 起對H3預(yù)言機(jī)的請求，以實現(xiàn)概率多項式時間內(nèi)贏得游戲，其中：

因此，當(dāng)挑戰(zhàn)者C檢查到攻擊者A發(fā)起了H3預(yù)言機(jī)的請求時，會檢查請求元組中是否滿足條件：

并計算困難問題如下：

因此，基于Forking 引理，挑戰(zhàn)者C與攻擊者A的優(yōu)勢關(guān)系如下:

式中： δ為有效簽名的概率。在情景1 中，挑戰(zhàn)者C隨機(jī)選擇測試會話的匹配會話來模擬該協(xié)議中，基于eCK 模型下的分析，由于CDH 問題求解的困難性，所以攻擊者在該情境下贏得游戲的概率是可忽略的。

3.3.2 情 景2 分析

接下來挑戰(zhàn)者C會隨機(jī)選擇2 個協(xié)議參與方i和sj 并選擇2 個其參與過的會話，利用eCK 模型中定義的匹配會話要求，驗證選擇的2 個會話是否匹配，而且每個參與方最多只能選擇 ns(λ)次。因此，初始化結(jié)束后，攻擊者已經(jīng)知道參與者的部分私鑰。由于在測試會話中不能對同一參與者發(fā)起LongKeyReveal 和EphemeralKeyReveal 請求，因此假設(shè)攻擊者A模擬sj，在會話密鑰協(xié)商中的長期私鑰是由參與方自行生成，長期公鑰在初始化階段完成計算，并存儲在公共目錄中。在此假設(shè)攻擊者A已知sj 和i的長期公鑰，因此，攻擊者在計算會話密鑰中需要已知參與雙方針對當(dāng)前會話的臨時私鑰，結(jié)合該情景，攻擊者主要面臨如下問題：當(dāng)測試會話存 在與之相匹配的會話，但是攻擊者并不知道本次協(xié)商使用的臨時私鑰ti和tsj。

對于該問題，攻擊者A發(fā)起EphemeralKeyReveal請求，獲取參與方i和sj 的臨時密鑰。挑戰(zhàn)者C在回答攻擊者A的請求時會設(shè)置i臨時密鑰X，sj 臨時密鑰Y，假如攻擊者A選中了測試會話，則該模擬可能不會失敗。攻擊者A若以不可忽略的概率贏得游戲，需要利用元組發(fā)起對H3預(yù)言機(jī)的請求，其中

為了解決CDH 問題，挑戰(zhàn)者C會檢查攻擊者A是否發(fā)起H3預(yù)言機(jī)的請求，要求

若滿足條件，則挑戰(zhàn)者C計算如下CDH 問題：

攻擊者A若在該問題成功進(jìn)行偽造攻擊，則挑戰(zhàn)者C一定能解決上述的CDH 問題，因此，挑戰(zhàn)者C與攻擊者A的優(yōu)勢關(guān)系如下：

綜合3.2 節(jié)中的安全問題及證明過程得出的挑戰(zhàn)者C與攻擊者A的關(guān)系，當(dāng) AdvΠ(A)是不可忽略的值時， A dvΠ(C)也是不可忽略的，攻擊者若以不可忽略的概率贏得模擬游戲，則需要挑戰(zhàn)者C解決CDH 問題，由于CDH 困難問題，因此，提出的該會話密鑰協(xié)商協(xié)議在eCK 模型下是安全的。

4 性能分析

為了更好的評價所提協(xié)議的安全性和有效性，本節(jié)將分析Daniel 等[13]提出的方案、Xie 等[14]提出的方案、Islam 和Biawas[10]提出的方案、郭松輝等[15]提出的方案與本節(jié)提出的基于身份認(rèn)證及會話密鑰協(xié)商方案進(jìn)行比較。表1 中對比分析了已有的4個協(xié)議及本節(jié)所提協(xié)議的安全屬性，5 組協(xié)議中均滿足已知會話密鑰安全和前向安全性，但是Xie 等[14]和Islam 和Biawas[10]提出的方案中無法滿足雙向認(rèn)證及臨時密鑰泄露攻擊，Daniel 等[13]提出的方案可以對抗臨時密鑰攻擊，但是無法進(jìn)行雙向認(rèn)證，郭松輝等[15]提出的方案中會話密鑰協(xié)商前需要進(jìn)行雙向認(rèn)證后再進(jìn)行計算會話密鑰，但是存在臨時密鑰泄露的危險。

表1 相關(guān)協(xié)議安全屬性對比Tab le 1 Security properties com parison am ong related protocols

本文所提協(xié)議中除了滿足eCK 模型下基本的安全屬性，還滿足用戶和服務(wù)器的雙向認(rèn)證后再進(jìn)行會話密鑰的計算，而且在計算過程中基于CDH困難問題混淆臨時密鑰。因此，結(jié)合橫向聯(lián)邦學(xué)習(xí)環(huán)境及現(xiàn)有的認(rèn)證及密鑰協(xié)商協(xié)議，所提方案優(yōu)于其他4 個方案。

為了評估計算開銷，本節(jié)定義TM為 標(biāo)量乘操作的計算時間，TA為 點加運(yùn)算[13]。分析協(xié)議計算性能比較如表2 所示。

表2 性能分析Table 2 Performance analysis

表2 的協(xié)議中均采用了無證書基于身份的認(rèn)證及密鑰協(xié)商協(xié)議，消除了雙線性對運(yùn)算，完成認(rèn)證及密鑰協(xié)商只需要2 輪通信，在通信開銷上并沒有頻繁的信息交互，但是在計算效率上，雖然本文所提協(xié)議相對文獻(xiàn)[14]提出的協(xié)議計算時間大于2TM，但是從安全性方面，本文所提協(xié)議安全性更高，因此，綜合安全性和計算開銷，所提方案更適合計算能力較低的終端設(shè)備作為用戶完成與中央服務(wù)器的聚合，更具備經(jīng)濟(jì)價值。

5 結(jié) 論

1）本文結(jié)合橫向聯(lián)邦學(xué)習(xí)訓(xùn)練環(huán)境及現(xiàn)有的認(rèn)證及會話密鑰協(xié)商協(xié)議，提出無證書的基于身份的輕量級認(rèn)證及密鑰協(xié)商協(xié)議。

2）所提協(xié)議中在雙方完成雙向認(rèn)證后再進(jìn)行會話密鑰協(xié)商，避免因為攻擊問題產(chǎn)生不必要的計算開銷。

3）在安全性分析方面，除了傳統(tǒng)的正確性分析和基本的安全屬性分析，還引入eCK 模型，通過模擬攻擊者可能采用的攻擊手段進(jìn)行模擬游戲，證明所提協(xié)議的安全性能。

4）在計算性能和通信開銷方面可以有效地控制成本，因此所提協(xié)議在實際應(yīng)用場景中有較高的價值。