第36卷第23期計算機工程2010年12月Vol, 36 No. 23Computer EngineeringDecember 2010●安全技術(shù).文章編號:1000- -3428(2010)23- -0116- -03文獻標(biāo)識碼:A中團分類號:TP309SAKI方案的分析及改進李楠'，谷山，蘇錦海'(1. 解放軍信息工程大學(xué)電子技術(shù)學(xué)院，鄭州450004;2.河南省信息咨詢設(shè)計研究有限公司,鄭州450003)摘要:SAK1方案可以有效解決基于身份的 密碼體制中用戶如何向私鑰產(chǎn)生中心證明自己的身份并安全得到其產(chǎn)生的用戶私鑰這2個問題，但其存在安全缺陷。針對上述情況,提出改進的方案。對比分析結(jié)果證明,改進的方案在保留SAKI方案簡單、高效等優(yōu)點的同時，可以抵抗口令的字典攻擊、偷取認(rèn)證攻擊.中間人攻擊和私鑰申請報文究整性攻擊。關(guān)鍵詞:基于身份; SAKI方案;雙線性對;超奇異橢圓曲線Analysis and Improvement of Separable and AnonymousIdentity-based Private Key Issuing SchemeLI Nan'，GU Shan'，SU Jirhai'(1. Institute of Electronic Technology, PLA Information Engineering University, Zhengzhou 450004, China;2. Henan Province Information Consultation Designing Research Co.，Ltd. ，Zhengzhou 450003, China)[Abstract]Separable and Anonymous identity-based Key Issuing(SAKI) scheme can solve the problems that how to authenticate the user'sidentity and distribute the user's private key in identity based cryptography, but it has secure flaws. This paper investigates the secure flaws ofSAKI scheme and proposes an improved scheme. Cormparison analysis result shows that the improved scheme keeps simplicity and high efciencyof SAKI, and can resist keyword dictionary attack, stolen verifier attack, man-in middle attack and privacy key integrality attack.[Key words) identityt based; Separable and Anonymous identity-based Key Issuing(SAKI) scheme; bilinear pairing; supersingular lliptice curve1概述LRA注冊一次性口令與身份信息,LRA建立到PKG的安全在基于身份的密碼(Identity Based Cryptography, IBC)信道用于傳輸用戶注冊信息。用戶通過公開信道向PKG提體制中,用戶公鑰由用戶身份直接生成，用戶私鑰由PKG托交私鑰申請報文,使用盲簽名技術(shù)保護用戶身份信息PKG管產(chǎn)生。其目的是簡化公鑰基礎(chǔ)設(shè)施( Public Key使用雙線性映射驗證用戶口令,實現(xiàn)用戶私鑰安全分發(fā)。Infrastructure,PKI)的密鑰管理以及取消公鑰證書的使SAKI方案結(jié)合口令認(rèn)證和盲簽名技術(shù),只有擁有口令的用用”。盡管IBC中用戶公鑰實現(xiàn)了零認(rèn)證特性,但是用戶私戶才能解簽出真正的私鑰。與其他密鑰分發(fā)方案相比，SAKI鑰在分發(fā)過程中存在安全隱患[2]。方案不需要復(fù)雜的系統(tǒng)設(shè)施,驗證過程只需要簡單的雙線性現(xiàn)有解決IBC體制中私鑰分發(fā)問題的方案以SAKI運算和將字符串映射到群的雜湊算法,較為簡單高效。(Separable and Anonymous identity based Key Issuing) 方2.2 安全缺陷案[]為代表。SAKI 方案是基于口令預(yù)共享的密鑰分發(fā)方在SAKI方案中,由于用戶與LRA之間采取離線方式通案,僅需要單個PKG與用戶交互，應(yīng)用較為靈活。SAKI方信ILRA與PKG之間建立安全信道,因此假想攻擊只存在于案雖然能夠?qū)崿F(xiàn)用戶私鑰分發(fā)目的,但是口令的引人相應(yīng)帶用戶 與PKG之間的公開信道。經(jīng)分析,SAKI 方案存在以下來了字典攻擊問題和偷取認(rèn)證攻擊問題([1],存在安全缺陷。安全缺陷:本文針對SAKI方案存在的安全缺陷提出改進方案,該(1)字典攻擊方案不僅保留了SAKI方案簡單高效的優(yōu)點，而且安全性得字典攻擊是指用戶在任何在線或可利用單詞列表中發(fā)現(xiàn)到提高,性能明顯優(yōu)于其他改進方案(-1。的口令會被敵手通過嘗試相同列表中所有的單詞而發(fā)現(xiàn)的一種攻擊。SAKI方案雖然采用- -次性口令(即該口令在用戶2 SAKI方案得到分發(fā)私鑰后即被銷毀,并且用戶私鑰申請報文使用盲因2.1 基本方案SAKI方案是--種使用雙線性映射運算的可分離匿名的子擴中國煤化蘭知用戶身份的前提下基于身份密鑰分發(fā)方案,它借鑒PKI的方法,將用戶驗證注冊與私鑰申請分發(fā)功能分離，引人本地注冊機構(gòu)(Local作者簡JYHC N M H G:研方向:計算機安全，通Register Authority, LRA) 負(fù)責(zé)用戶身份驗證與注冊工作，信學(xué);谷山,學(xué)士;蘇錦海,教授PKG負(fù)責(zé)用戶私鑰生成與在線分發(fā)。用戶以離線方式向收稿日期: 2010-04-28 E-mil: LINAN6637@gmaiL. com-116一這種改動并沒有效果,存在字典攻擊隱患。其原因在于攻擊2)用戶以離線方式向LRA注冊身份信息(Q,T).者完全可以在公開信道上截獲用戶的私鑰申請報文,然后通3)LRA通過安全信道將用戶注冊信息遞交給PKG。過反復(fù)重發(fā)選取口令字典內(nèi)的口令進行攻擊。4)PKG保存用戶注冊信息,作為用戶申請私鑰的憑證。假設(shè)攻擊者M準(zhǔn)備對SAKI方案進行字典攻擊,其首先(3)私鑰分發(fā)獲取系統(tǒng)參數(shù)與用戶身份信息，然后選取一個通用的口令字1)用戶在申請私鑰時,首先選取模q的有限域內(nèi)的隨機典D,在截獲用戶私鑰申請報文后,M攻擊如下:數(shù)L,計算參數(shù)Q =rQ、T=rIT,然后將私鑰申請報文(Q,1)計算8=2(Q ,T)=e(Q,T).T >通過公開信道發(fā)送給PKG.2)任意選取口令字典D內(nèi)的隨機數(shù)prud .2)PKG接收到私鑰申請報文后，通過雙線性映射的方法3)若e(Q,H(rud))=8,則輸出此隨機數(shù)作為口令;否判斷等式e(Q',T")=&(Q, T)是否成立,若等式成立，則用戶則,重新選取隨機數(shù)。身份通過認(rèn)證。由此可以看出，盲因子的存在并沒有增加口令字典攻擊3)用戶身份通過PKG認(rèn)證后, PKG計算用戶盲簽名私難度,系統(tǒng)安全性僅僅依賴于口令本身的強度。攻擊者在攻鑰S':S'=sQ ,并發(fā)送給用戶。破口令后,就可以冒充用戶。4)用戶同樣采用雙線性映射的方法對S進行認(rèn)證。(2)偷取認(rèn)證攻擊5)盲簽名私鑰通過認(rèn)證后,用戶通過脫盲計算得到用戶在SAKI方案中,用戶存儲在PKG數(shù)據(jù)庫中的數(shù)據(jù)為身私鑰。脫盲計算為:dp=r-'S'.份與口令的明文形式。若PKG的數(shù)據(jù)庫遭到偷竊,則偷竊者至此,完成了用戶私鑰的安全分發(fā)。完全可以冒充被竊取的用戶而不被PKG所知,此類攻擊稱為3.2方案安全性分析偷取認(rèn)證攻擊。與SAKI方案相比,SAKI改進方案修改了用戶注冊信息綜_上可知,SAKI方案無法抵抗口令的字典攻擊和偷取的表達(dá)形式并將用戶口令替換成用戶選取的隨機數(shù)，而兩方認(rèn)證攻擊,存在安全缺陷。案所采用的結(jié)構(gòu)模型是相同的。此處的隨機數(shù)包括敵手不可2.3現(xiàn)有的修改方案 .預(yù)測的偽隨機數(shù),這不同于傳統(tǒng)統(tǒng)計意義上的隨機。在協(xié)議目前針對SAKI方案安全缺陷提出的修改方案有很多，描述中,“選擇隨機數(shù)”通常只“從特定樣本空間中選取一個均本文選取有代表性的2個方案:文獻[4]提出的修改方案,暫‘勻分布的數(shù)”或“從均勻分布中選取”。經(jīng)分析,SAKI改進方名為SAKI-I;文獻[5]提出的方案,暫名為SAKIHI.案不僅能夠抵抗中間人攻擊與私鑰申請報文完整性攻擊,還SAKI-I方案使用2個哈希函數(shù)對口令進行雜湊運算,提(1)SAK1-I方案能抵抗字典攻擊與偷取認(rèn)證攻擊,彌補了SAKI方案的安全缺陷。高口令熵，抵抗字典攻擊的威脅。用戶存儲在PKG數(shù)據(jù)庫中假設(shè)攻擊者M準(zhǔn)備攻擊SAKI改進方案,在M獲取系統(tǒng)的數(shù)據(jù)為身份與口令信息的哈希形式，進而抵抗偷取認(rèn)證攻公開參數(shù)、用戶私鑰申請報文以及PKG返回信息后,M有如擊。但是引人新的哈希函數(shù)勢必增加協(xié)議的計算量與存儲下4種攻擊方式:量,因此.性能并不是很高。(1)中間人攻擊(2)SAKIFII方案1)更改用戶私鑰申請報文攻擊SAKI-II方案引入多個隨機參數(shù)提高口令熵，抵抗字典①M選取模q的有限域內(nèi)的隨機數(shù)a*、b* ,計算并發(fā)送給PKG,其中,Q* =a*Q';T*=b*T.與用戶選取的多個隨機參數(shù)的盲簽名形式。分析表明，由于PKG在計算用戶盲簽名私鑰前需要對用戶身份進SAKI-II方案雖然可以彌補SAKI方案存在的安全缺陷,但是行認(rèn)證，因此隨機參數(shù)必須滿足互逆關(guān)系。此時,用戶盲簽名多個參數(shù)的引人增加了系統(tǒng)的計算開銷與存儲開銷,方案的私鑰為Sm'=sa*Q.性能并不高。②用戶接收到盲簽名私鑰后,采用雙線性映射的方法可3 SAKI改進方案以發(fā)現(xiàn)遭受攻擊。此時攻擊不成功。本文提出的SAKI改進方案依然沿用SAKI方案的結(jié)構(gòu)2)更改盲簽名私鑰攻擊模型,通過引人隨機參數(shù)、修改用戶注冊信息與私鑰申請報文若M更改育簽名私鑰,則用戶接收到盲簽名私鑰后,同格式的方法,解決了SAKI方案存在的安全問題。樣可采用雙線性映射的方法發(fā)現(xiàn)遭受攻擊。此時攻擊不3.1 方案描述成功。SAKI改進方案由以下3個階段組成:3)更改用戶私鑰報文和盲簽名私鑰攻擊(1)系統(tǒng)初始化①攻擊者M采用與更改用戶私鑰申請報文攻擊相同的PKG運行BDH參數(shù)生成器輸出系統(tǒng)主密鑰s和系統(tǒng)參方法選取隨機數(shù)，并計算發(fā)送給PKG, .數(shù)I:I= {q,G ,Gr,e,P,H,Ppb} ,其中,q是由安全參數(shù)決定②隨機參數(shù)滿足互逆關(guān)系時,篡改后的私鑰申請報文可的素數(shù);G是滿足雙線性映射性質(zhì)的超奇異橢圓曲線上q階以通過PKG認(rèn)證,M得到盲簽名私鑰。加法循環(huán)群;Gr是有限域上的q階乘法子群;非退化雙線性送給中國煤化工簽名私鑰并將結(jié)果發(fā)映射e:G XGi→G;P是G1的生成元;Ppb=sP;H是一個由任意0.1字符到G群內(nèi)元素的強雜湊函數(shù)。片CN M H G月,采用雙線性映射的(2)用戶注冊方法計算如下:1)用戶從模q的有限域內(nèi)選取隨機數(shù)t,根據(jù)系統(tǒng)參數(shù)計e(S'm,P)=e(Q' ,Pa)"*"°算T和Q,其中,Q= H(ID);T= IP;ID為用戶身份信息。當(dāng)a*與c*滿足互逆關(guān)系時,用戶可以得到自己正確的私鑰;當(dāng)不滿足互逆關(guān)系時,用戶拒絕盲簽名私鑰。此時攻擊數(shù)乘運算;M2為群Gr上乘法運算?？梢钥闯?本文提出的不成功。SAKI改進方案在保證方案安全性的同時,不需要群Gn上點綜_上可知,SAKI改進方案能抵抗中間人攻擊。加運算與群Gr上乘法運算,群G上數(shù)乘運算哈希運算和(2)私鑰申請報文完整性攻擊雙線性運算都明顯少于其他同類修改方案,而且存儲量只需假設(shè)攻擊者M準(zhǔn)備攻擊SAKI改進方案，在獲取系統(tǒng)參要2個G內(nèi)的點。數(shù)后,M截獲用戶發(fā)送給PKG的私鑰申請報文,篡改報文并表1 4種方案的性能比較發(fā)送給PKG.整個過程如下:1)攻擊者M截獲