SAKI方案的分析及改進(jìn)

第36卷第23期計算機工程2010年12月Vol, 36 No. 23Computer EngineeringDecember 2010●安全技術(shù).文章編號:1000- -3428(2010)23- -0116- -03文獻標識碼:A中團分類(lèi)號:TP309SAKI方案的分析及改進(jìn)李楠'，谷山，蘇錦海'(1. 解放軍信息工程大學(xué)電子技術(shù)學(xué)院，鄭州450004;2.河南省信息咨詢(xún)設計研究有限公司,鄭州450003)摘要:SAK1方案可以有效解決基于身份的 密碼體制中用戶(hù)如何向私鑰產(chǎn)生中心證明自己的身份并安全得到其產(chǎn)生的用戶(hù)私鑰這2個(gè)問(wèn)題，但其存在安全缺陷。針對上述情況,提出改進(jìn)的方案。對比分析結果證明,改進(jìn)的方案在保留SAKI方案簡(jiǎn)單、高效等優(yōu)點(diǎn)的同時(shí)，可以抵抗口令的字典攻擊、偷取認證攻擊.中間人攻擊和私鑰申請報文究整性攻擊。關(guān)鍵詞:基于身份; SAKI方案;雙線(xiàn)性對;超奇異橢圓曲線(xiàn)Analysis and Improvement of Separable and AnonymousIdentity-based Private Key Issuing SchemeLI Nan'，GU Shan'，SU Jirhai'(1. Institute of Electronic Technology, PLA Information Engineering University, Zhengzhou 450004, China;2. Henan Province Information Consultation Designing Research Co.，Ltd. ，Zhengzhou 450003, China)[Abstract]Separable and Anonymous identity-based Key Issuing(SAKI) scheme can solve the problems that how to authenticate the user'sidentity and distribute the user's private key in identity based cryptography, but it has secure flaws. This paper investigates the secure flaws ofSAKI scheme and proposes an improved scheme. Cormparison analysis result shows that the improved scheme keeps simplicity and high efciencyof SAKI, and can resist keyword dictionary attack, stolen verifier attack, man-in middle attack and privacy key integrality attack.[Key words) identityt based; Separable and Anonymous identity-based Key Issuing(SAKI) scheme; bilinear pairing; supersingular lliptice curve1概述LRA注冊一次性口令與身份信息,LRA建立到PKG的安全在基于身份的密碼(Identity Based Cryptography, IBC)信道用于傳輸用戶(hù)注冊信息。用戶(hù)通過(guò)公開(kāi)信道向PKG提體制中,用戶(hù)公鑰由用戶(hù)身份直接生成，用戶(hù)私鑰由PKG托交私鑰申請報文,使用盲簽名技術(shù)保護用戶(hù)身份信息PKG管產(chǎn)生。其目的是簡(jiǎn)化公鑰基礎設施( Public Key使用雙線(xiàn)性映射驗證用戶(hù)口令,實(shí)現用戶(hù)私鑰安全分發(fā)。Infrastructure,PKI)的密鑰管理以及取消公鑰證書(shū)的使SAKI方案結合口令認證和盲簽名技術(shù),只有擁有口令的用用”。盡管IBC中用戶(hù)公鑰實(shí)現了零認證特性,但是用戶(hù)私戶(hù)才能解簽出真正的私鑰。與其他密鑰分發(fā)方案相比，SAKI鑰在分發(fā)過(guò)程中存在安全隱患[2]。方案不需要復雜的系統設施,驗證過(guò)程只需要簡(jiǎn)單的雙線(xiàn)性現有解決IBC體制中私鑰分發(fā)問(wèn)題的方案以SAKI運算和將字符串映射到群的雜湊算法,較為簡(jiǎn)單高效。(Separable and Anonymous identity based Key Issuing) 方2.2 安全缺陷案[]為代表。SAKI 方案是基于口令預共享的密鑰分發(fā)方在SAKI方案中,由于用戶(hù)與LRA之間采取離線(xiàn)方式通案,僅需要單個(gè)PKG與用戶(hù)交互，應用較為靈活。SAKI方信ILRA與PKG之間建立安全信道,因此假想攻擊只存在于案雖然能夠實(shí)現用戶(hù)私鑰分發(fā)目的,但是口令的引人相應帶用戶(hù) 與PKG之間的公開(kāi)信道。經(jīng)分析,SAKI 方案存在以下來(lái)了字典攻擊問(wèn)題和偷取認證攻擊問(wèn)題([1],存在安全缺陷。安全缺陷:本文針對SAKI方案存在的安全缺陷提出改進(jìn)方案,該(1)字典攻擊方案不僅保留了SAKI方案簡(jiǎn)單高效的優(yōu)點(diǎn)，而且安全性得字典攻擊是指用戶(hù)在任何在線(xiàn)或可利用單詞列表中發(fā)現到提高,性能明顯優(yōu)于其他改進(jìn)方案(-1。的口令會(huì )被敵手通過(guò)嘗試相同列表中所有的單詞而發(fā)現的一種攻擊。SAKI方案雖然采用- -次性口令(即該口令在用戶(hù)2 SAKI方案得到分發(fā)私鑰后即被銷(xiāo)毀,并且用戶(hù)私鑰申請報文使用盲因2.1 基本方案SAKI方案是--種使用雙線(xiàn)性映射運算的可分離匿名的子擴中國煤化蘭知用戶(hù)身份的前提下基于身份密鑰分發(fā)方案,它借鑒PKI的方法,將用戶(hù)驗證注冊與私鑰申請分發(fā)功能分離，引人本地注冊機構(Local作者簡(jiǎn)JYHC N M H G:研方向:計算機安全，通Register Authority, LRA) 負責用戶(hù)身份驗證與注冊工作，信學(xué);谷山,學(xué)士;蘇錦海,教授PKG負責用戶(hù)私鑰生成與在線(xiàn)分發(fā)。用戶(hù)以離線(xiàn)方式向收稿日期: 2010-04-28 E-mil: LINAN6637@gmaiL. com-116一這種改動(dòng)并沒(méi)有效果,存在字典攻擊隱患。其原因在于攻擊2)用戶(hù)以離線(xiàn)方式向LRA注冊身份信息(Q,T).者完全可以在公開(kāi)信道上截獲用戶(hù)的私鑰申請報文,然后通3)LRA通過(guò)安全信道將用戶(hù)注冊信息遞交給PKG。過(guò)反復重發(fā)選取口令字典內的口令進(jìn)行攻擊。4)PKG保存用戶(hù)注冊信息,作為用戶(hù)申請私鑰的憑證。假設攻擊者M(jìn)準備對SAKI方案進(jìn)行字典攻擊,其首先(3)私鑰分發(fā)獲取系統參數與用戶(hù)身份信息，然后選取一個(gè)通用的口令字1)用戶(hù)在申請私鑰時(shí),首先選取模q的有限域內的隨機典D,在截獲用戶(hù)私鑰申請報文后,M攻擊如下:數L,計算參數Q =rQ、T=rIT,然后將私鑰申請報文(Q,1)計算8=2(Q ,T)=e(Q,T).T >通過(guò)公開(kāi)信道發(fā)送給PKG.2)任意選取口令字典D內的隨機數prud .2)PKG接收到私鑰申請報文后，通過(guò)雙線(xiàn)性映射的方法3)若e(Q,H(rud))=8,則輸出此隨機數作為口令;否判斷等式e(Q',T")=&(Q, T)是否成立,若等式成立，則用戶(hù)則,重新選取隨機數。身份通過(guò)認證。由此可以看出，盲因子的存在并沒(méi)有增加口令字典攻擊3)用戶(hù)身份通過(guò)PKG認證后, PKG計算用戶(hù)盲簽名私難度,系統安全性?xún)H僅依賴(lài)于口令本身的強度。攻擊者在攻鑰S':S'=sQ ,并發(fā)送給用戶(hù)。破口令后,就可以冒充用戶(hù)。4)用戶(hù)同樣采用雙線(xiàn)性映射的方法對S進(jìn)行認證。(2)偷取認證攻擊5)盲簽名私鑰通過(guò)認證后,用戶(hù)通過(guò)脫盲計算得到用戶(hù)在SAKI方案中,用戶(hù)存儲在PKG數據庫中的數據為身私鑰。脫盲計算為:dp=r-'S'.份與口令的明文形式。若PKG的數據庫遭到偷竊,則偷竊者至此,完成了用戶(hù)私鑰的安全分發(fā)。完全可以冒充被竊取的用戶(hù)而不被PKG所知,此類(lèi)攻擊稱(chēng)為3.2方案安全性分析偷取認證攻擊。與SAKI方案相比,SAKI改進(jìn)方案修改了用戶(hù)注冊信息綜_上可知,SAKI方案無(wú)法抵抗口令的字典攻擊和偷取的表達形式并將用戶(hù)口令替換成用戶(hù)選取的隨機數，而兩方認證攻擊,存在安全缺陷。案所采用的結構模型是相同的。此處的隨機數包括敵手不可2.3現有的修改方案 .預測的偽隨機數,這不同于傳統統計意義上的隨機。在協(xié)議目前針對SAKI方案安全缺陷提出的修改方案有很多，描述中,“選擇隨機數”通常只“從特定樣本空間中選取一個(gè)均本文選取有代表性的2個(gè)方案:文獻[4]提出的修改方案,暫‘勻分布的數”或“從均勻分布中選取”。經(jīng)分析,SAKI改進(jìn)方名為SAKI-I;文獻[5]提出的方案,暫名為SAKIHI.案不僅能夠抵抗中間人攻擊與私鑰申請報文完整性攻擊,還SAKI-I方案使用2個(gè)哈希函數對口令進(jìn)行雜湊運算,提(1)SAK1-I方案能抵抗字典攻擊與偷取認證攻擊,彌補了SAKI方案的安全缺陷。高口令熵，抵抗字典攻擊的威脅。用戶(hù)存儲在PKG數據庫中假設攻擊者M(jìn)準備攻擊SAKI改進(jìn)方案,在M獲取系統的數據為身份與口令信息的哈希形式，進(jìn)而抵抗偷取認證攻公開(kāi)參數、用戶(hù)私鑰申請報文以及PKG返回信息后,M有如擊。但是引人新的哈希函數勢必增加協(xié)議的計算量與存儲下4種攻擊方式:量,因此.性能并不是很高。(1)中間人攻擊(2)SAKIFII方案1)更改用戶(hù)私鑰申請報文攻擊SAKI-II方案引入多個(gè)隨機參數提高口令熵，抵抗字典①M選取模q的有限域內的隨機數a*、b* ,計算并發(fā)送給PKG,其中,Q* =a*Q';T*=b*T.與用戶(hù)選取的多個(gè)隨機參數的盲簽名形式。分析表明，由于PKG在計算用戶(hù)盲簽名私鑰前需要對用戶(hù)身份進(jìn)SAKI-II方案雖然可以彌補SAKI方案存在的安全缺陷,但是行認證，因此隨機參數必須滿(mǎn)足互逆關(guān)系。此時(shí),用戶(hù)盲簽名多個(gè)參數的引人增加了系統的計算開(kāi)銷(xiāo)與存儲開(kāi)銷(xiāo),方案的私鑰為Sm'=sa*Q.性能并不高。②用戶(hù)接收到盲簽名私鑰后,采用雙線(xiàn)性映射的方法可3 SAKI改進(jìn)方案以發(fā)現遭受攻擊。此時(shí)攻擊不成功。本文提出的SAKI改進(jìn)方案依然沿用SAKI方案的結構2)更改盲簽名私鑰攻擊模型,通過(guò)引人隨機參數、修改用戶(hù)注冊信息與私鑰申請報文若M更改育簽名私鑰,則用戶(hù)接收到盲簽名私鑰后,同格式的方法,解決了SAKI方案存在的安全問(wèn)題。樣可采用雙線(xiàn)性映射的方法發(fā)現遭受攻擊。此時(shí)攻擊不3.1 方案描述成功。SAKI改進(jìn)方案由以下3個(gè)階段組成:3)更改用戶(hù)私鑰報文和盲簽名私鑰攻擊(1)系統初始化①攻擊者M(jìn)采用與更改用戶(hù)私鑰申請報文攻擊相同的PKG運行BDH參數生成器輸出系統主密鑰s和系統參方法選取隨機數，并計算發(fā)送給PKG, .數I:I= {q,G ,Gr,e,P,H,Ppb} ,其中,q是由安全參數決定②隨機參數滿(mǎn)足互逆關(guān)系時(shí),篡改后的私鑰申請報文可的素數;G是滿(mǎn)足雙線(xiàn)性映射性質(zhì)的超奇異橢圓曲線(xiàn)上q階以通過(guò)PKG認證,M得到盲簽名私鑰。加法循環(huán)群;Gr是有限域上的q階乘法子群;非退化雙線(xiàn)性送給中國煤化工簽名私鑰并將結果發(fā)映射e:G XGi→G;P是G1的生成元;Ppb=sP;H是一個(gè)由任意0.1字符到G群內元素的強雜湊函數。片CN M H G月,采用雙線(xiàn)性映射的(2)用戶(hù)注冊方法計算如下:1)用戶(hù)從模q的有限域內選取隨機數t,根據系統參數計e(S'm,P)=e(Q' ,Pa)"*"°算T和Q,其中,Q= H(ID);T= IP;ID為用戶(hù)身份信息。當a*與c*滿(mǎn)足互逆關(guān)系時(shí),用戶(hù)可以得到自己正確的私鑰;當不滿(mǎn)足互逆關(guān)系時(shí),用戶(hù)拒絕盲簽名私鑰。此時(shí)攻擊數乘運算;M2為群Gr上乘法運算?？梢钥闯?本文提出的不成功。SAKI改進(jìn)方案在保證方案安全性的同時(shí),不需要群Gn上點(diǎn)綜_上可知,SAKI改進(jìn)方案能抵抗中間人攻擊。加運算與群Gr上乘法運算,群G上數乘運算哈希運算和(2)私鑰申請報文完整性攻擊雙線(xiàn)性運算都明顯少于其他同類(lèi)修改方案,而且存儲量只需假設攻擊者M(jìn)準備攻擊SAKI改進(jìn)方案，在獲取系統參要2個(gè)G內的點(diǎn)。數后,M截獲用戶(hù)發(fā)送給PKG的私鑰申請報文,篡改報文并表1 4種方案的性能比較發(fā)送給PKG.整個(gè)過(guò)程如下:1)攻擊者M(jìn)截獲