劉志猛，趙燕麗

　?。ㄉ綎|工商學(xué)院 山東省高校智能信息處理重點(diǎn)實驗室，山東 煙臺 264005）

　　摘要：無線傳感器網(wǎng)絡(luò)中的節(jié)點(diǎn)常常被部署在非安全的環(huán)境中，因而容易遭受假冒等安全威脅。為保護(hù)可信節(jié)點(diǎn)之間數(shù)據(jù)通信安全，基于計算性DiffieHellman假設(shè)，提出一種節(jié)點(diǎn)認(rèn)證與密鑰交換協(xié)議。推薦方案不僅能實現(xiàn)對參與節(jié)點(diǎn)真實身份的鑒別，而且生成一個參與方共享的秘密密鑰，為參與方之間的數(shù)據(jù)交換建立一個安全的通信信道。并證明了推薦方案能實現(xiàn)CK模型下認(rèn)證和密鑰協(xié)商的協(xié)議的安全目標(biāo)。此外，對安全屬性的分析表明該協(xié)議具備前向安全、已知會話密鑰安全、抗密鑰泄漏假冒及未知密鑰共享攻擊的能力。

　　關(guān)鍵詞：無線傳感器網(wǎng)絡(luò)；節(jié)點(diǎn)認(rèn)證；CK模型；計算性DH假設(shè)

　　中圖分類號：TN918文獻(xiàn)標(biāo)識碼：ADOI： 10.19358/j.issn.1674-7720.2017.09.002

　　引用格式：劉志猛，趙燕麗.基于CK模型的安全節(jié)點(diǎn)認(rèn)證密鑰交換協(xié)議［J］.微型機(jī)與應(yīng)用，2017,36（9）：5-7.

0引言

　　無線傳感器網(wǎng)絡(luò)往往部署在敵對環(huán)境中，因而可能要面對各種各樣的惡意攻擊。為保證任意兩個節(jié)點(diǎn)之間交互信息的安全，往往引入認(rèn)證的密鑰交換協(xié)議（Authenticated Key Exchange，AKE）實現(xiàn)節(jié)點(diǎn)之間的認(rèn)證，并協(xié)商出一個共享的秘密密鑰，繼而建立節(jié)點(diǎn)之間的安全通信信道。設(shè)計和分析安全的AKE協(xié)議是一項非常困難的工作。自從Bellare and Rogaway第一次提出密鑰交換協(xié)議的形式化方法［1］以來，眾多的AKE協(xié)議分析模型［27］被提出，其中最為著名也應(yīng)用最為廣泛的當(dāng)屬CK模型［5］。本文中，基于CDH假設(shè)，提出一種CK安全的適于節(jié)點(diǎn)認(rèn)證的AKE協(xié)議，分析表明該協(xié)議具有抵抗KCI攻擊的屬性。

1CK安全模型

　　在CK模型中，一個AKE實驗包括n個主體和一個經(jīng)公共網(wǎng)絡(luò)相連的敵手M。每個主體都可以被接收到的網(wǎng)絡(luò)信息或者是其他子程序發(fā)來的行為請求激活。AKE協(xié)議的一次執(zhí)行成為一次AKE會話。而敵手則具有選擇執(zhí)行會話的主體的能力以及安排會話執(zhí)行順序的能力。

　　CK模型通過以下兩步設(shè)計安全的認(rèn)證密鑰交換協(xié)議：首先設(shè)計在認(rèn)證鏈路模型中安全的密鑰交換協(xié)議π；其次，利用CK模型提供的認(rèn)證器將π轉(zhuǎn)換成非認(rèn)證鏈路模型下具有同等安全性的協(xié)議π′。

　　定義1CK模型將兩個會話（Ni,Nj,s,initiator）和（Nj,Ni,s,responder）稱為匹配會話。

　　1.1敵手能力

　　在CK模型中，敵手被模型化為一個具有概率多項式時間的圖靈機(jī)。認(rèn)證鏈路模型中的AM敵手，僅能夠忠實地傳遞主體之間交換的消息，而不能任意添加或改變消息的內(nèi)容。而非認(rèn)證鏈路模型中的UM敵手，除了完全控制了主體之間的通信鏈路和協(xié)議事件的調(diào)度以外，還能夠通過發(fā)起一系列的查詢獲取參與主體及相關(guān)會話的秘密信息。

　　利用SessionState Reveal查詢敵手M獲得未完成的會話s的全部內(nèi)部狀態(tài)信息。

　　利用SessionKey Reveal查詢獲得已完成的會話s的會話密鑰。

　　利用corrupt party查詢完全控制s的擁有者，從而獲得其包括長期私鑰的全部內(nèi)部狀態(tài)信息。

　　利用Testsession查詢，獲得已完成、未過期并且尚未暴露的會話s的真實會話密鑰或者一個滿足密鑰分布的隨機(jī)數(shù)。

　　定義2當(dāng)且僅當(dāng)會話s與其匹配會話都未被SessionState Reveal查詢、SessionKey Reveal查詢以及corrupt party查詢時，s及其匹配會話稱為未暴露的會話。

　　1.2CK模型中安全密鑰交換協(xié)議

　　定義3對所有PPT敵手M，CK安全的密鑰交換協(xié)議滿足以下性質(zhì)：

　?。?）協(xié)議是未過期未暴露的，并且參與主體不是被腐化（corrupted）主體；

　?。?）參與主體完成匹配會話計算出相同的會話密鑰；

　?。?）PPT敵手M攻擊協(xié)議π的優(yōu)勢函數(shù)滿足：

　　AdvAKEM,π(k)=|SuccAKEM,π(k)·0.5|≤ε(k)（1）

2節(jié)點(diǎn)認(rèn)證的密鑰交換協(xié)議

　　2.1計算性DiffieHellman假設(shè)

　　令k表示安全參數(shù)，p、q為素數(shù)，其中q長度為k位，且q|(p－1)，假設(shè)G∈Z*p是階為q的循環(huán)群，且g是G的生成元，則對任何PPT時間算法A滿足：

　　AdvCDH(A)=Pr［A(p,g,ga,gb)=gab］≤ε(k)（2）

　　其中a,b∈Z*q，且ε(k)是可忽略的，則稱由生成元g構(gòu)成的群G是滿足CDH假設(shè)的。

　　2.2推薦協(xié)議

　　假設(shè)相鄰節(jié)點(diǎn)A和B的密鑰對為(a,PKA=ga)；節(jié)點(diǎn)B私鑰和公鑰對為(b,gb)。則雙方分別執(zhí)行匹配會話協(xié)商一個共享的會話密鑰，繼而為后續(xù)的數(shù)據(jù)通信建立安全的通信信道。如圖1所示。

　　2.3推薦協(xié)議的安全證明

　　引理1如果CDH假設(shè)成立，則推薦的認(rèn)證密鑰交換協(xié)議π是CK安全的。

　　具體證明過程如下：

　?。?）根據(jù)協(xié)議描述，正確執(zhí)行協(xié)議π的參與節(jié)點(diǎn)完成協(xié)議的執(zhí)行后計算并輸出相同的會話密鑰g(a′b′)。會話標(biāo)識s與雙方選擇的隨機(jī)數(shù)綁定一起，保證了s的會話密鑰的新鮮性。

　?。?）以下證明推薦協(xié)議π同時滿足定義3的性質(zhì)（2）。假設(shè)在CK模型中存在一個認(rèn)證模型中的敵手M，能以不可忽略的優(yōu)勢正確地猜測出測試會話查詢的返回值。除了M以外，構(gòu)造一個解決器D，它能以不可忽略的概率δ(k)區(qū)分出真實的會話密鑰和符合會話密鑰分布的隨機(jī)數(shù)。將D的輸入記為(p,g,(ta)*,(tb)*,t*)，以0.5的概率分別從D0和D1中選取，其中：

　　D0={〈G,g,ta,tb,ta－1b－1〉:a′,b′∈RZq}（3）

　　D1={〈G,g,ta,tb,tr〉:a′,b′,r∈RZq}（4）

　　令m表示M發(fā)起的全部會話數(shù)。首先M選中的第r次會話正好是測試會話時，M發(fā)起會話測試查詢繼而接收響應(yīng)t*。如果D的輸入來自D0，則響應(yīng)是真實的會話密鑰ga′b′；如果來自D1，則響應(yīng)是隨機(jī)數(shù)。由于輸入來自D0或D1的概率分別是0.5，則D提供的測試會話查詢響應(yīng)的概率分布與攻擊者成功猜測出測試會話會話密鑰的概率相同，因此M正確猜測測試值是真正的會話密鑰還是隨機(jī)數(shù)的概率等于0.5+δ(k)，即區(qū)分器D正確區(qū)分輸入來自D0還是D1的概率是0.5+δ(k)。其次，M選中的第r次會話不是測試會話時，則D總是在終止后輸出一個隨機(jī)位，則M猜中的概率等于0.5。由于兩種情況下，測試會話與M選中會話相同和不同的概率分別是1/m和1－1/m，因此M猜中的概率響應(yīng)也就是M獲勝的概率等于(0.5+ε)×(1/m)+0.5(1－1/m)，說明解決器D能以不可忽略的優(yōu)勢區(qū)分D0和D1，這與不存在有效算法能解決CDH假設(shè)相矛盾。因此，在CDH假設(shè)下推薦協(xié)議π是CK模型安全的。

3非認(rèn)證模型中的安全協(xié)議

　　選取基于簽名技術(shù)的MT認(rèn)證器λSIG模擬推薦協(xié)議π，構(gòu)造出非認(rèn)證模型中具有相同會話密鑰安全的協(xié)議π′。

　　引理2假設(shè)認(rèn)證器所選用的簽名算法能抵抗選擇消息攻擊，則協(xié)議λSIG(π)在非認(rèn)證鏈路模型中模擬了推薦協(xié)議π［2 3］。

　　非認(rèn)證鏈路模型中CK安全的節(jié)點(diǎn)認(rèn)證密鑰交換協(xié)議如圖2所示。協(xié)議執(zhí)行過程如下：

　?。?）對于輸入(NA,NB,s)，發(fā)起方A選擇隨機(jī)數(shù)ra∈RZq，計算a′=H(a,ra)、tA=(PKB)a′,并將消息(NA,tA,s)發(fā)送給B。

　　（2）收到消息后，響應(yīng)方B選擇隨機(jī)數(shù)rb∈RZq后計算b′=H(b,rb)、tB=(PKA)b′，繼而向A發(fā)送消息(NB,tb,s)及簽名SIGB(NB,s,tA,tB,NA)。計算會話密鑰KB=(tA)b′b－1=gH(a,ra)H(b,rb)，并擦除rb。

　?。?）A驗證收到的消息和簽名，并檢驗簽名中包含信息的正確性。如果驗證通過，則A向B發(fā)送消息及簽名NA,s,SIGA(NA,s,tB,tA,NB)，擦除ra。輸出會話密鑰KA=(tB)a′a－1=gH(a,ra)H(b,rb)。

　　（4）B收到NA,s,SIGA(NA,s,tB,tA,NB)后，驗證簽名是否有效、簽名內(nèi)的消息是否正確。如果通過驗證，則輸出會話密鑰KB。

　　若CDH假設(shè)成立，選用簽名算法能抵抗選擇消息攻擊且散列函數(shù)是抗強(qiáng)碰撞的，由引理1、2可知協(xié)議π′在非認(rèn)證鏈路模型下是CK安全的。

4結(jié)論

　　為保護(hù)相鄰節(jié)點(diǎn)之間交換信息的安全性，本文在CDH假設(shè)基礎(chǔ)上，提出一種節(jié)點(diǎn)認(rèn)證和密鑰交換協(xié)議，既實現(xiàn)了對節(jié)點(diǎn)真實身份的認(rèn)證，又為雙方交換數(shù)據(jù)建立一個安全的通信信道。此外，分析表明推薦協(xié)議既能實現(xiàn)在CK模型下的安全目標(biāo)，還能為參與雙方以及建立的會話密鑰提供抗KCI、完美前向安全等安全屬性。與類似協(xié)議

　　相比，由于推薦協(xié)議需要計算的模冪指數(shù)、Hash運(yùn)算量相對較少，故而能較好地適應(yīng)資源相對受限的無線傳感器節(jié)點(diǎn)環(huán)境中的應(yīng)用。

參考文獻(xiàn)

　　［1］ BELLARE M,RAN C.Entity authentication and key distribution［C］.International Cryptology Conference,1993:232-249.

　?。?］ BELLARE M,RAN C,KRAWCZYK H.A modular approach to the design and analysis of authentication and key exchange protocols［C］.Thirtieth ACM Symposium on the Theory of Computing,1998, 20(301):419-428.

　?。?］ BELLARE M,ROGAWAY P.Provably secure session key distributionthe three party case［C］.Proceedings of the 27th Annual ACM Symposium on Theory of Computing,1995:5766.

　?。?］ KRAWCZYK H.HMQV:a highperformance secure diffiehellman protocol［C］.Protocol Advances in CryptologyCrypto’05 Lncs,2005,3621:546-566.

　?。?］ RAN C,KRAWCZYK H.Analysis of keyexchange protocols and their use for building secure channels［C］.Lecture Notes in Computer Science,2001,2045:453-474.

　?。?］ LAMACCHIA B,LAUTER K,MITYAGIN A.Stronger security of authenticated key exchange［C］.International Conference on Provable Security,2007:1-16.

　?。?］ CREMERS C.Examining indistinguishabilitybased security models for key exchange protocols:the case of{CK,CKHMQV,and eCK}［C］.Proceedings of the 6th ACM Symposium on Information,Computer and Communications Security,2011:8091.