劉志猛，趙燕麗

　?。ㄉ綎|工商學(xué)院 山東省高校智能信息處理重點(diǎn)實(shí)驗(yàn)室，山東 煙臺(tái) 264005）

　　摘要：無(wú)線傳感器網(wǎng)絡(luò)中的節(jié)點(diǎn)常常被部署在非安全的環(huán)境中，因而容易遭受假冒等安全威脅。為保護(hù)可信節(jié)點(diǎn)之間數(shù)據(jù)通信安全，基于計(jì)算性DiffieHellman假設(shè)，提出一種節(jié)點(diǎn)認(rèn)證與密鑰交換協(xié)議。推薦方案不僅能實(shí)現(xiàn)對(duì)參與節(jié)點(diǎn)真實(shí)身份的鑒別，而且生成一個(gè)參與方共享的秘密密鑰，為參與方之間的數(shù)據(jù)交換建立一個(gè)安全的通信信道。并證明了推薦方案能實(shí)現(xiàn)CK模型下認(rèn)證和密鑰協(xié)商的協(xié)議的安全目標(biāo)。此外，對(duì)安全屬性的分析表明該協(xié)議具備前向安全、已知會(huì)話密鑰安全、抗密鑰泄漏假冒及未知密鑰共享攻擊的能力。

　　關(guān)鍵詞：無(wú)線傳感器網(wǎng)絡(luò)；節(jié)點(diǎn)認(rèn)證；CK模型；計(jì)算性DH假設(shè)

　　中圖分類號(hào)：TN918文獻(xiàn)標(biāo)識(shí)碼：ADOI： 10.19358/j.issn.1674-7720.2017.09.002

　　引用格式：劉志猛，趙燕麗.基于CK模型的安全節(jié)點(diǎn)認(rèn)證密鑰交換協(xié)議［J］.微型機(jī)與應(yīng)用，2017,36（9）：5-7.

0引言

　　無(wú)線傳感器網(wǎng)絡(luò)往往部署在敵對(duì)環(huán)境中，因而可能要面對(duì)各種各樣的惡意攻擊。為保證任意兩個(gè)節(jié)點(diǎn)之間交互信息的安全，往往引入認(rèn)證的密鑰交換協(xié)議（Authenticated Key Exchange，AKE）實(shí)現(xiàn)節(jié)點(diǎn)之間的認(rèn)證，并協(xié)商出一個(gè)共享的秘密密鑰，繼而建立節(jié)點(diǎn)之間的安全通信信道。設(shè)計(jì)和分析安全的AKE協(xié)議是一項(xiàng)非常困難的工作。自從Bellare and Rogaway第一次提出密鑰交換協(xié)議的形式化方法［1］以來(lái)，眾多的AKE協(xié)議分析模型［27］被提出，其中最為著名也應(yīng)用最為廣泛的當(dāng)屬CK模型［5］。本文中，基于CDH假設(shè)，提出一種CK安全的適于節(jié)點(diǎn)認(rèn)證的AKE協(xié)議，分析表明該協(xié)議具有抵抗KCI攻擊的屬性。

1CK安全模型

　　在CK模型中，一個(gè)AKE實(shí)驗(yàn)包括n個(gè)主體和一個(gè)經(jīng)公共網(wǎng)絡(luò)相連的敵手M。每個(gè)主體都可以被接收到的網(wǎng)絡(luò)信息或者是其他子程序發(fā)來(lái)的行為請(qǐng)求激活。AKE協(xié)議的一次執(zhí)行成為一次AKE會(huì)話。而敵手則具有選擇執(zhí)行會(huì)話的主體的能力以及安排會(huì)話執(zhí)行順序的能力。

　　CK模型通過(guò)以下兩步設(shè)計(jì)安全的認(rèn)證密鑰交換協(xié)議：首先設(shè)計(jì)在認(rèn)證鏈路模型中安全的密鑰交換協(xié)議π；其次，利用CK模型提供的認(rèn)證器將π轉(zhuǎn)換成非認(rèn)證鏈路模型下具有同等安全性的協(xié)議π′。

　　定義1CK模型將兩個(gè)會(huì)話（Ni,Nj,s,initiator）和（Nj,Ni,s,responder）稱為匹配會(huì)話。

　　1.1敵手能力

　　在CK模型中，敵手被模型化為一個(gè)具有概率多項(xiàng)式時(shí)間的圖靈機(jī)。認(rèn)證鏈路模型中的AM敵手，僅能夠忠實(shí)地傳遞主體之間交換的消息，而不能任意添加或改變消息的內(nèi)容。而非認(rèn)證鏈路模型中的UM敵手，除了完全控制了主體之間的通信鏈路和協(xié)議事件的調(diào)度以外，還能夠通過(guò)發(fā)起一系列的查詢獲取參與主體及相關(guān)會(huì)話的秘密信息。

　　利用SessionState Reveal查詢敵手M獲得未完成的會(huì)話s的全部?jī)?nèi)部狀態(tài)信息。

　　利用SessionKey Reveal查詢獲得已完成的會(huì)話s的會(huì)話密鑰。

　　利用corrupt party查詢完全控制s的擁有者，從而獲得其包括長(zhǎng)期私鑰的全部?jī)?nèi)部狀態(tài)信息。

　　利用Testsession查詢，獲得已完成、未過(guò)期并且尚未暴露的會(huì)話s的真實(shí)會(huì)話密鑰或者一個(gè)滿足密鑰分布的隨機(jī)數(shù)。

　　定義2當(dāng)且僅當(dāng)會(huì)話s與其匹配會(huì)話都未被SessionState Reveal查詢、SessionKey Reveal查詢以及corrupt party查詢時(shí)，s及其匹配會(huì)話稱為未暴露的會(huì)話。

　　1.2CK模型中安全密鑰交換協(xié)議

　　定義3對(duì)所有PPT敵手M，CK安全的密鑰交換協(xié)議滿足以下性質(zhì)：

　?。?）協(xié)議是未過(guò)期未暴露的，并且參與主體不是被腐化（corrupted）主體；

　?。?）參與主體完成匹配會(huì)話計(jì)算出相同的會(huì)話密鑰；

　?。?）PPT敵手M攻擊協(xié)議π的優(yōu)勢(shì)函數(shù)滿足：

　　AdvAKEM,π(k)=|SuccAKEM,π(k)·0.5|≤ε(k)（1）

2節(jié)點(diǎn)認(rèn)證的密鑰交換協(xié)議

　　2.1計(jì)算性DiffieHellman假設(shè)

　　令k表示安全參數(shù)，p、q為素?cái)?shù)，其中q長(zhǎng)度為k位，且q|(p－1)，假設(shè)G∈Z*p是階為q的循環(huán)群，且g是G的生成元，則對(duì)任何PPT時(shí)間算法A滿足：

　　AdvCDH(A)=Pr［A(p,g,ga,gb)=gab］≤ε(k)（2）

　　其中a,b∈Z*q，且ε(k)是可忽略的，則稱由生成元g構(gòu)成的群G是滿足CDH假設(shè)的。

　　2.2推薦協(xié)議

　　假設(shè)相鄰節(jié)點(diǎn)A和B的密鑰對(duì)為(a,PKA=ga)；節(jié)點(diǎn)B私鑰和公鑰對(duì)為(b,gb)。則雙方分別執(zhí)行匹配會(huì)話協(xié)商一個(gè)共享的會(huì)話密鑰，繼而為后續(xù)的數(shù)據(jù)通信建立安全的通信信道。如圖1所示。

　　2.3推薦協(xié)議的安全證明

　　引理1如果CDH假設(shè)成立，則推薦的認(rèn)證密鑰交換協(xié)議π是CK安全的。

　　具體證明過(guò)程如下：

　　（1）根據(jù)協(xié)議描述，正確執(zhí)行協(xié)議π的參與節(jié)點(diǎn)完成協(xié)議的執(zhí)行后計(jì)算并輸出相同的會(huì)話密鑰g(a′b′)。會(huì)話標(biāo)識(shí)s與雙方選擇的隨機(jī)數(shù)綁定一起，保證了s的會(huì)話密鑰的新鮮性。

　　（2）以下證明推薦協(xié)議π同時(shí)滿足定義3的性質(zhì)（2）。假設(shè)在CK模型中存在一個(gè)認(rèn)證模型中的敵手M，能以不可忽略的優(yōu)勢(shì)正確地猜測(cè)出測(cè)試會(huì)話查詢的返回值。除了M以外，構(gòu)造一個(gè)解決器D，它能以不可忽略的概率δ(k)區(qū)分出真實(shí)的會(huì)話密鑰和符合會(huì)話密鑰分布的隨機(jī)數(shù)。將D的輸入記為(p,g,(ta)*,(tb)*,t*)，以0.5的概率分別從D0和D1中選取，其中：

　　D0={〈G,g,ta,tb,ta－1b－1〉:a′,b′∈RZq}（3）

　　D1={〈G,g,ta,tb,tr〉:a′,b′,r∈RZq}（4）

　　令m表示M發(fā)起的全部會(huì)話數(shù)。首先M選中的第r次會(huì)話正好是測(cè)試會(huì)話時(shí)，M發(fā)起會(huì)話測(cè)試查詢繼而接收響應(yīng)t*。如果D的輸入來(lái)自D0，則響應(yīng)是真實(shí)的會(huì)話密鑰ga′b′；如果來(lái)自D1，則響應(yīng)是隨機(jī)數(shù)。由于輸入來(lái)自D0或D1的概率分別是0.5，則D提供的測(cè)試會(huì)話查詢響應(yīng)的概率分布與攻擊者成功猜測(cè)出測(cè)試會(huì)話會(huì)話密鑰的概率相同，因此M正確猜測(cè)測(cè)試值是真正的會(huì)話密鑰還是隨機(jī)數(shù)的概率等于0.5+δ(k)，即區(qū)分器D正確區(qū)分輸入來(lái)自D0還是D1的概率是0.5+δ(k)。其次，M選中的第r次會(huì)話不是測(cè)試會(huì)話時(shí)，則D總是在終止后輸出一個(gè)隨機(jī)位，則M猜中的概率等于0.5。由于兩種情況下，測(cè)試會(huì)話與M選中會(huì)話相同和不同的概率分別是1/m和1－1/m，因此M猜中的概率響應(yīng)也就是M獲勝的概率等于(0.5+ε)×(1/m)+0.5(1－1/m)，說(shuō)明解決器D能以不可忽略的優(yōu)勢(shì)區(qū)分D0和D1，這與不存在有效算法能解決CDH假設(shè)相矛盾。因此，在CDH假設(shè)下推薦協(xié)議π是CK模型安全的。

3非認(rèn)證模型中的安全協(xié)議

　　選取基于簽名技術(shù)的MT認(rèn)證器λSIG模擬推薦協(xié)議π，構(gòu)造出非認(rèn)證模型中具有相同會(huì)話密鑰安全的協(xié)議π′。

　　引理2假設(shè)認(rèn)證器所選用的簽名算法能抵抗選擇消息攻擊，則協(xié)議λSIG(π)在非認(rèn)證鏈路模型中模擬了推薦協(xié)議π［2 3］。

　　非認(rèn)證鏈路模型中CK安全的節(jié)點(diǎn)認(rèn)證密鑰交換協(xié)議如圖2所示。協(xié)議執(zhí)行過(guò)程如下：

　　（1）對(duì)于輸入(NA,NB,s)，發(fā)起方A選擇隨機(jī)數(shù)ra∈RZq，計(jì)算a′=H(a,ra)、tA=(PKB)a′,并將消息(NA,tA,s)發(fā)送給B。

　?。?）收到消息后，響應(yīng)方B選擇隨機(jī)數(shù)rb∈RZq后計(jì)算b′=H(b,rb)、tB=(PKA)b′，繼而向A發(fā)送消息(NB,tb,s)及簽名SIGB(NB,s,tA,tB,NA)。計(jì)算會(huì)話密鑰KB=(tA)b′b－1=gH(a,ra)H(b,rb)，并擦除rb。

　　（3）A驗(yàn)證收到的消息和簽名，并檢驗(yàn)簽名中包含信息的正確性。如果驗(yàn)證通過(guò)，則A向B發(fā)送消息及簽名NA,s,SIGA(NA,s,tB,tA,NB)，擦除ra。輸出會(huì)話密鑰KA=(tB)a′a－1=gH(a,ra)H(b,rb)。

　?。?）B收到NA,s,SIGA(NA,s,tB,tA,NB)后，驗(yàn)證簽名是否有效、簽名內(nèi)的消息是否正確。如果通過(guò)驗(yàn)證，則輸出會(huì)話密鑰KB。

　　若CDH假設(shè)成立，選用簽名算法能抵抗選擇消息攻擊且散列函數(shù)是抗強(qiáng)碰撞的，由引理1、2可知協(xié)議π′在非認(rèn)證鏈路模型下是CK安全的。

4結(jié)論

　　為保護(hù)相鄰節(jié)點(diǎn)之間交換信息的安全性，本文在CDH假設(shè)基礎(chǔ)上，提出一種節(jié)點(diǎn)認(rèn)證和密鑰交換協(xié)議，既實(shí)現(xiàn)了對(duì)節(jié)點(diǎn)真實(shí)身份的認(rèn)證，又為雙方交換數(shù)據(jù)建立一個(gè)安全的通信信道。此外，分析表明推薦協(xié)議既能實(shí)現(xiàn)在CK模型下的安全目標(biāo)，還能為參與雙方以及建立的會(huì)話密鑰提供抗KCI、完美前向安全等安全屬性。與類似協(xié)議

　　相比，由于推薦協(xié)議需要計(jì)算的模冪指數(shù)、Hash運(yùn)算量相對(duì)較少，故而能較好地適應(yīng)資源相對(duì)受限的無(wú)線傳感器節(jié)點(diǎn)環(huán)境中的應(yīng)用。

參考文獻(xiàn)

　?。?］ BELLARE M,RAN C.Entity authentication and key distribution［C］.International Cryptology Conference,1993:232-249.

　　［2］ BELLARE M,RAN C,KRAWCZYK H.A modular approach to the design and analysis of authentication and key exchange protocols［C］.Thirtieth ACM Symposium on the Theory of Computing,1998, 20(301):419-428.

　?。?］ BELLARE M,ROGAWAY P.Provably secure session key distributionthe three party case［C］.Proceedings of the 27th Annual ACM Symposium on Theory of Computing,1995:5766.

　?。?］ KRAWCZYK H.HMQV:a highperformance secure diffiehellman protocol［C］.Protocol Advances in CryptologyCrypto’05 Lncs,2005,3621:546-566.

　?。?］ RAN C,KRAWCZYK H.Analysis of keyexchange protocols and their use for building secure channels［C］.Lecture Notes in Computer Science,2001,2045:453-474.

　?。?］ LAMACCHIA B,LAUTER K,MITYAGIN A.Stronger security of authenticated key exchange［C］.International Conference on Provable Security,2007:1-16.

　?。?］ CREMERS C.Examining indistinguishabilitybased security models for key exchange protocols:the case of{CK,CKHMQV,and eCK}［C］.Proceedings of the 6th ACM Symposium on Information,Computer and Communications Security,2011:8091.