SAKI方案的分析及改进

第36卷第23期计算机工程2010年12月Vol, 36 No. 23Computer EngineeringDecember 2010●安全技术.文章编号:1000- -3428(2010)23- -0116- -03文献标识码:A中團分类号:TP309SAKI方案的分析及改进李楠'，谷山，苏锦海'(1. 解放军信息工程大学电子技术学院，郑州450004;2.河南省信息咨询设计研究有限公司,郑州450003)摘要:SAK1方案可以有效解决基于身份的 密码体制中用户如何向私钥产生中心证明自己的身份并安全得到其产生的用户私钥这2个问题，但其存在安全缺陷。针对上述情况,提出改进的方案。对比分析结果证明,改进的方案在保留SAKI方案简单、高效等优点的同时，可以抵抗口令的字典攻击、偷取认证攻击.中间人攻击和私钥申请报文究整性攻击。关键词:基于身份; SAKI方案;双线性对;超奇异椭圆曲线Analysis and Improvement of Separable and AnonymousIdentity-based Private Key Issuing SchemeLI Nan'，GU Shan'，SU Jirhai'(1. Institute of Electronic Technology, PLA Information Engineering University, Zhengzhou 450004, China;2. Henan Province Information Consultation Designing Research Co.，Ltd. ，Zhengzhou 450003, China)[Abstract]Separable and Anonymous identity-based Key Issuing(SAKI) scheme can solve the problems that how to authenticate the user'sidentity and distribute the user's private key in identity based cryptography, but it has secure flaws. This paper investigates the secure flaws ofSAKI scheme and proposes an improved scheme. Cormparison analysis result shows that the improved scheme keeps simplicity and high efciencyof SAKI, and can resist keyword dictionary attack, stolen verifier attack, man-in middle attack and privacy key integrality attack.[Key words) identityt based; Separable and Anonymous identity-based Key Issuing(SAKI) scheme; bilinear pairing; supersingular lliptice curve1概述LRA注册一次性口令与身份信息,LRA建立到PKG的安全在基于身份的密码(Identity Based Cryptography, IBC)信道用于传输用户注册信息。用户通过公开信道向PKG提体制中,用户公钥由用户身份直接生成，用户私钥由PKG托交私钥申请报文,使用盲签名技术保护用户身份信息PKG管产生。其目的是简化公钥基础设施( Public Key使用双线性映射验证用户口令,实现用户私钥安全分发。Infrastructure,PKI)的密钥管理以及取消公钥证书的使SAKI方案结合口令认证和盲签名技术,只有拥有口令的用用”。尽管IBC中用户公钥实现了零认证特性,但是用户私户才能解签出真正的私钥。与其他密钥分发方案相比，SAKI钥在分发过程中存在安全隐患[2]。方案不需要复杂的系统设施,验证过程只需要简单的双线性现有解决IBC体制中私钥分发问题的方案以SAKI运算和将字符串映射到群的杂凑算法,较为简单高效。(Separable and Anonymous identity based Key Issuing) 方2.2 安全缺陷案[]为代表。SAKI 方案是基于口令预共享的密钥分发方在SAKI方案中,由于用户与LRA之间采取离线方式通案,仅需要单个PKG与用户交互，应用较为灵活。SAKI方信ILRA与PKG之间建立安全信道,因此假想攻击只存在于案虽然能够实现用户私钥分发目的,但是口令的引人相应带用户 与PKG之间的公开信道。经分析,SAKI 方案存在以下来了字典攻击问题和偷取认证攻击问题([1],存在安全缺陷。安全缺陷:本文针对SAKI方案存在的安全缺陷提出改进方案,该(1)字典攻击方案不仅保留了SAKI方案简单高效的优点，而且安全性得字典攻击是指用户在任何在线或可利用单词列表中发现到提高,性能明显优于其他改进方案(-1。的口令会被敌手通过尝试相同列表中所有的单词而发现的一种攻击。SAKI方案虽然采用- -次性口令(即该口令在用户2 SAKI方案得到分发私钥后即被销毁,并且用户私钥申请报文使用盲因2.1 基本方案SAKI方案是--种使用双线性映射运算的可分离匿名的子扩中国煤化兰知用户身份的前提下基于身份密钥分发方案,它借鉴PKI的方法,将用户验证注册与私钥申请分发功能分离，引人本地注册机构(Local作者简JYHC N M H G:研方向:计算机安全，通Register Authority, LRA) 负责用户身份验证与注册工作，信学;谷山,学士;苏锦海,教授PKG负责用户私钥生成与在线分发。用户以离线方式向收稿日期: 2010-04-28 E-mil: LINAN6637@gmaiL. com-116一这种改动并没有效果,存在字典攻击隐患。其原因在于攻击2)用户以离线方式向LRA注册身份信息(Q,T).者完全可以在公开信道上截获用户的私钥申请报文,然后通3)LRA通过安全信道将用户注册信息递交给PKG。过反复重发选取口令字典内的口令进行攻击。4)PKG保存用户注册信息,作为用户申请私钥的凭证。假设攻击者M准备对SAKI方案进行字典攻击,其首先(3)私钥分发获取系统参数与用户身份信息，然后选取一个通用的口令字1)用户在申请私钥时,首先选取模q的有限域内的随机典D,在截获用户私钥申请报文后,M攻击如下:数L,计算参数Q =rQ、T=rIT,然后将私钥申请报文(Q,1)计算8=2(Q ,T)=e(Q,T).T >通过公开信道发送给PKG.2)任意选取口令字典D内的随机数prud .2)PKG接收到私钥申请报文后，通过双线性映射的方法3)若e(Q,H(rud))=8,则输出此随机数作为口令;否判断等式e(Q',T")=&(Q, T)是否成立,若等式成立，则用户则,重新选取随机数。身份通过认证。由此可以看出，盲因子的存在并没有增加口令字典攻击3)用户身份通过PKG认证后, PKG计算用户盲签名私难度,系统安全性仅仅依赖于口令本身的强度。攻击者在攻钥S':S'=sQ ,并发送给用户。破口令后,就可以冒充用户。4)用户同样采用双线性映射的方法对S进行认证。(2)偷取认证攻击5)盲签名私钥通过认证后,用户通过脱盲计算得到用户在SAKI方案中,用户存储在PKG数据库中的数据为身私钥。脱盲计算为:dp=r-'S'.份与口令的明文形式。若PKG的数据库遭到偷窃,则偷窃者至此,完成了用户私钥的安全分发。完全可以冒充被窃取的用户而不被PKG所知,此类攻击称为3.2方案安全性分析偷取认证攻击。与SAKI方案相比,SAKI改进方案修改了用户注册信息综_上可知,SAKI方案无法抵抗口令的字典攻击和偷取的表达形式并将用户口令替换成用户选取的随机数，而两方认证攻击,存在安全缺陷。案所采用的结构模型是相同的。此处的随机数包括敌手不可2.3现有的修改方案 .预测的伪随机数,这不同于传统统计意义上的随机。在协议目前针对SAKI方案安全缺陷提出的修改方案有很多，描述中,“选择随机数”通常只“从特定样本空间中选取一个均本文选取有代表性的2个方案:文献[4]提出的修改方案,暂‘匀分布的数”或“从均匀分布中选取”。经分析,SAKI改进方名为SAKI-I;文献[5]提出的方案,暂名为SAKIHI.案不仅能够抵抗中间人攻击与私钥申请报文完整性攻击,还SAKI-I方案使用2个哈希函数对口令进行杂凑运算,提(1)SAK1-I方案能抵抗字典攻击与偷取认证攻击,弥补了SAKI方案的安全缺陷。高口令熵，抵抗字典攻击的威胁。用户存储在PKG数据库中假设攻击者M准备攻击SAKI改进方案,在M获取系统的数据为身份与口令信息的哈希形式，进而抵抗偷取认证攻公开参数、用户私钥申请报文以及PKG返回信息后,M有如击。但是引人新的哈希函数势必增加协议的计算量与存储下4种攻击方式:量,因此.性能并不是很高。(1)中间人攻击(2)SAKIFII方案1)更改用户私钥申请报文攻击SAKI-II方案引入多个随机参数提高口令熵，抵抗字典①M选取模q的有限域内的随机数a*、b* ,计算并发送给PKG,其中,Q* =a*Q';T*=b*T.与用户选取的多个随机参数的盲签名形式。分析表明，由于PKG在计算用户盲签名私钥前需要对用户身份进SAKI-II方案虽然可以弥补SAKI方案存在的安全缺陷,但是行认证，因此随机参数必须满足互逆关系。此时,用户盲签名多个参数的引人增加了系统的计算开销与存储开销,方案的私钥为Sm'=sa*Q.性能并不高。②用户接收到盲签名私钥后,采用双线性映射的方法可3 SAKI改进方案以发现遭受攻击。此时攻击不成功。本文提出的SAKI改进方案依然沿用SAKI方案的结构2)更改盲签名私钥攻击模型,通过引人随机参数、修改用户注册信息与私钥申请报文若M更改育签名私钥,则用户接收到盲签名私钥后,同格式的方法,解决了SAKI方案存在的安全问题。样可采用双线性映射的方法发现遭受攻击。此时攻击不3.1 方案描述成功。SAKI改进方案由以下3个阶段组成:3)更改用户私钥报文和盲签名私钥攻击(1)系统初始化①攻击者M采用与更改用户私钥申请报文攻击相同的PKG运行BDH参数生成器输出系统主密钥s和系统参方法选取随机数，并计算发送给PKG, .数I:I= {q,G ,Gr,e,P,H,Ppb} ,其中,q是由安全参数决定②随机参数满足互逆关系时,篡改后的私钥申请报文可的素数;G是满足双线性映射性质的超奇异椭圆曲线上q阶以通过PKG认证,M得到盲签名私钥。加法循环群;Gr是有限域上的q阶乘法子群;非退化双线性送给中国煤化工签名私钥并将结果发映射e:G XGi→G;P是G1的生成元;Ppb=sP;H是一个由任意0.1字符到G群内元素的强杂凑函数。片CN M H G月,采用双线性映射的(2)用户注册方法计算如下:1)用户从模q的有限域内选取随机数t,根据系统参数计e(S'm,P)=e(Q' ,Pa)"*"°算T和Q,其中,Q= H(ID);T= IP;ID为用户身份信息。当a*与c*满足互逆关系时,用户可以得到自己正确的私钥;当不满足互逆关系时,用户拒绝盲签名私钥。此时攻击数乘运算;M2为群Gr上乘法运算。可以看出,本文提出的不成功。SAKI改进方案在保证方案安全性的同时,不需要群Gn上点综_上可知,SAKI改进方案能抵抗中间人攻击。加运算与群Gr上乘法运算,群G上数乘运算哈希运算和(2)私钥申请报文完整性攻击双线性运算都明显少于其他同类修改方案,而且存储量只需假设攻击者M准备攻击SAKI改进方案，在获取系统参要2个G内的点。数后,M截获用户发送给PKG的私钥申请报文,篡改报文并表1 4种方案的性能比较发送给PKG.整个过程如下:1)攻击者M截获