無(wú)線通信安全作業(yè)

基于身份的認(rèn)證密鑰協(xié)商協(xié)議目錄概述技術(shù)背景密鑰協(xié)商協(xié)議安全屬性雙線性對(duì)BDDH假設(shè)Smart協(xié)議ID-BJM模型王等人的協(xié)議基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCD-1方案及其安全性分析基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCD-2方案及其安全性分析基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCX方案及其安全性分析安全增強(qiáng)的身份基認(rèn)證密鑰協(xié)商協(xié)議及這種新方案的安全性分析結(jié)束語(yǔ)1.概述無(wú)線通信中的安全問(wèn)題受到越來(lái)越多的重視，加解密的應(yīng)用也越來(lái)越廣泛。隨之帶來(lái)的密鑰安全問(wèn)題顯得尤為重要。密鑰協(xié)商協(xié)議作為產(chǎn)生密鑰的一種方式，必須能夠提供保證信息的安全性。同時(shí)為了協(xié)議更適合在實(shí)際中應(yīng)用，協(xié)議的計(jì)算開銷應(yīng)盡可能的小。在通信過(guò)程中使用認(rèn)證密鑰協(xié)商協(xié)議可以使2個(gè)通過(guò)不安全信道通信的用戶協(xié)商達(dá)成一個(gè)共享的會(huì)話密鑰,還能讓這2個(gè)用戶彼此認(rèn)證對(duì)方的身份。協(xié)商得到的會(huì)話密鑰可以為后續(xù)的通信會(huì)話提供保密、認(rèn)證或者完整性等安全服務(wù)。2.技術(shù)背景密鑰協(xié)商協(xié)議安全屬性（1）已知會(huì)話密鑰安全性。已知舊的會(huì)話密鑰不會(huì)影響其他會(huì)話密鑰的安全性。（2）前向安全性和完美前向安全性。如果一方或多方參與實(shí)體的長(zhǎng)期私鑰泄露，攻擊者不能有效計(jì)算舊的會(huì)話密鑰，稱之為部分前向安全性；如果所有參與實(shí)體的長(zhǎng)期私鑰泄露，攻擊者仍然不能有效計(jì)算舊的會(huì)話密鑰，稱之為完美前向安全性。（3）PKG前向安全性。在基于身份的密鑰協(xié)商協(xié)議中，攻擊者即使獲得私鑰產(chǎn)生中心PKG的主密鑰，仍然無(wú)法計(jì)算參與實(shí)體的會(huì)話密鑰。2.技術(shù)背景（4）抗密鑰泄露偽裝。一個(gè)參與實(shí)體A的長(zhǎng)期密鑰泄露將使得攻擊者可以偽裝A，但不應(yīng)導(dǎo)致攻擊者可以偽裝成其他實(shí)體與A進(jìn)行成功的密鑰協(xié)商。（5）無(wú)密鑰控制（密鑰完整性）。參與實(shí)體的任何一方或者第三方都不能在協(xié)議執(zhí)行結(jié)束時(shí)使得會(huì)話密鑰成為其預(yù)先選定的值。由于一輪兩方隱式認(rèn)證密鑰協(xié)商協(xié)議的特殊性，協(xié)議交互的響應(yīng)方總是在收到協(xié)議發(fā)起方的交互消息之后產(chǎn)生響應(yīng)消息的，因而響應(yīng)方天生具備比發(fā)起方更多的主動(dòng)性，這種不公平性導(dǎo)致不可能實(shí)現(xiàn)真正意義上的無(wú)密鑰控制。但是最終會(huì)話密鑰的生成一定是雙方共同貢獻(xiàn)產(chǎn)生的。對(duì)于攻擊者而言，同樣不能控制協(xié)商的會(huì)話密鑰，通常我們將對(duì)應(yīng)于攻擊者的密鑰控制歸結(jié)到會(huì)話密鑰完整性的要求。2.技術(shù)背景（6）抗未知密鑰共享。一個(gè)參與實(shí)體A不應(yīng)被強(qiáng)迫與一個(gè)實(shí)體C實(shí)現(xiàn)共享會(huì)話密鑰，而實(shí)際上參與實(shí)體A卻認(rèn)為他是在和一個(gè)參與實(shí)體B完成的密鑰協(xié)商。（7）消息獨(dú)立性。兩方或多方參與會(huì)話密鑰協(xié)商的實(shí)體交互的消息應(yīng)是獨(dú)立產(chǎn)生并交互的，不受其他方的制約和強(qiáng)迫。顯然在單輪兩方密鑰協(xié)商協(xié)議中消息之間是獨(dú)立的，但是在帶有密鑰確認(rèn)的多輪密鑰協(xié)商協(xié)議中不能保證獨(dú)立性，用于密鑰確認(rèn)的消息一定與對(duì)方發(fā)送的消息相關(guān)聯(lián)。該安全屬性不適用于帶有密鑰確認(rèn)的密鑰協(xié)商協(xié)議。（8）已知會(huì)話相關(guān)臨時(shí)秘密信息安全性。當(dāng)參與實(shí)體在一次會(huì)話密鑰協(xié)商過(guò)程中使用的臨時(shí)秘密信息（短期密鑰）泄露后（但長(zhǎng)期私鑰未泄露），不應(yīng)當(dāng)影響到會(huì)話密鑰的安全性。雙線性對(duì)設(shè)G1、G2分別是階為素?cái)?shù)p的加群和乘群,P為G1的一個(gè)生成元。雙線性對(duì) :G1×G1G2為具有如下性質(zhì)的映射:（1）雙線性對(duì)所有的P,Q,R∈G1,a,b∈Z*q,存在(P+Q,R)=(P,R)(Q,R),(P,Q+R)=(P,Q)(P,R),(aP,bR)=(P,Q)ab。(2)非退化性(P,Q)≠1,1是G2的單位元。(3)可計(jì)算性對(duì)所有的P,Q∈G1,存在有效算法可以計(jì)算(P,Q)。BDDH假設(shè)設(shè)P,aPe,(P,P)bc,abcP,rP∈G1,其中,a,b,c,r∈Z*q。在多項(xiàng)式時(shí)間內(nèi)無(wú)法證明(P,aP,(P,P)bc,abcP)=(P,aP,(P,P)bc,rP)。Smart協(xié)議Smart運(yùn)用了雙線性對(duì)的知識(shí)提出了一個(gè)基于身份的認(rèn)證密鑰協(xié)商協(xié)議——Smart協(xié)議。在Smart協(xié)議中，用戶A選擇一個(gè)一次性密鑰a∈Ζ*q，計(jì)算TA=aP，并發(fā)送TA

給用戶B。同樣，用戶B選擇一個(gè)一次性密鑰b∈Ζ*q，計(jì)算TB=bP，并發(fā)送TB

給用戶A。然后，用戶A計(jì)算KAB

=

(SA,TB)(aQB,Ps)，用戶B計(jì)算KBA

=(SB,TA)(aQA,Ps)。這樣，兩個(gè)用戶就得到了一個(gè)相同的密鑰：K=KAB=KBA

=(bQA+aQB，Ps)。

該協(xié)議提供了已知密鑰安全性、部分前向保密性、未知密鑰共享安全性、密鑰泄漏安全性和密鑰控制安全性。ID-BJM模型1993年Bellare和Rogaway提出基于隨機(jī)預(yù)言機(jī)的安全模型。在該模型中，散列函數(shù)被模擬為隨機(jī)預(yù)言機(jī)，隨機(jī)預(yù)言機(jī)模型在很多方案的安全性證明中起到了關(guān)鍵作用。但是，近年來(lái)人們逐漸認(rèn)識(shí)到某些在隨機(jī)預(yù)言機(jī)模型下可證明安全的方案在實(shí)際應(yīng)用中并不安全，因?yàn)樯⒘泻瘮?shù)不能真正模擬隨機(jī)預(yù)言機(jī)。因此，在不借助隨機(jī)預(yù)言機(jī)的標(biāo)準(zhǔn)模型下可證明安全的方案更具有實(shí)際意義。ID-BJM模型Chen等人的協(xié)議首次在隨機(jī)預(yù)言機(jī)模型下證明其安全性，但他們的協(xié)議也不滿足完善前向安全性和PKG前向安全性。ID-BJM模型下安全的認(rèn)證密鑰協(xié)商協(xié)議的安全性定義包含了已知密鑰安全性、未知密鑰共享安全性、抗被動(dòng)攻擊和主動(dòng)攻擊、抗密鑰泄露偽裝性和無(wú)密鑰控制性等基本的安全屬性。該模型包括了一個(gè)協(xié)議參與者集合U和一個(gè)主動(dòng)攻擊者E。每個(gè)參與者被模擬為一組預(yù)言機(jī)(Oracle)，預(yù)言機(jī)指協(xié)議的參與者I與J之間會(huì)話的第n個(gè)實(shí)例。攻擊者被定義為一個(gè)概率多項(xiàng)式時(shí)間圖靈機(jī)，并能訪問(wèn)模型中所有的預(yù)言機(jī)。對(duì)于良性(benign)的攻擊者,它只是誠(chéng)實(shí)地傳遞預(yù)言機(jī)之間的信息。ID-BJM模型定義1會(huì)話標(biāo)識(shí)符SID：預(yù)言機(jī)發(fā)送和接收的所有消息的串聯(lián)。定義2搭檔預(yù)言機(jī)PID：若2個(gè)預(yù)言機(jī)和在同意(accept)狀態(tài)時(shí)有相同的會(huì)話標(biāo)識(shí)符SID，則稱和互為搭檔預(yù)言機(jī),I和J互為搭檔。通過(guò)定義挑戰(zhàn)者C與敵手E之間的游戲來(lái)定義密鑰協(xié)商協(xié)議的安全性。挑戰(zhàn)者C可以模擬所有的預(yù)言機(jī)，密鑰生成中心PKG和隨機(jī)預(yù)言機(jī)，產(chǎn)生主密鑰和所有的系統(tǒng)參數(shù)，并為參與者I產(chǎn)生私鑰SI

。攻擊者E允許進(jìn)行下列預(yù)言機(jī)查詢(Oraclequery)。ID-BJM模型1)Send(I,J,n,M)查詢：E可以向預(yù)言機(jī)發(fā)送消息M，該預(yù)言機(jī)按照協(xié)議規(guī)范應(yīng)答一個(gè)響應(yīng)消息m，預(yù)言機(jī)將每個(gè)收到和發(fā)出的消息都記入它的運(yùn)行腳步記錄中。若預(yù)言機(jī)收到的第一條消息M≠φ,那么該預(yù)言機(jī)作為發(fā)起者(initiator)發(fā)起一次會(huì)話；否則,它擔(dān)任響應(yīng)者(responder)的角色。Reveal()查詢：收到此查詢的預(yù)言機(jī),返回它協(xié)商得到的會(huì)話密鑰。如果該預(yù)言機(jī)的狀態(tài)還不是“已接受”(accpted),那么它返回一個(gè)符號(hào)⊥表示終止。執(zhí)行了Reveal查詢的預(yù)言機(jī)狀態(tài)是打開的(opened)。Corrupt(I)查詢：此查詢要求被詢問(wèn)的協(xié)議參與者I返回它擁有的長(zhǎng)期私鑰SI。相應(yīng)地,回答過(guò)Corrupt查詢的實(shí)體的狀態(tài)被稱為“已腐化”(corrupted)。Corrupt(PKG)查詢：此查詢要求返回系統(tǒng)主密鑰。Test()查詢：在游戲的某個(gè)時(shí)刻,E可以向一個(gè)“新鮮”的預(yù)言機(jī)發(fā)出Test查詢，E將收到該預(yù)言機(jī)所擁有的會(huì)話密鑰或者一個(gè)隨機(jī)值。該預(yù)言機(jī)通過(guò)投擲一枚公平硬幣b∈{0,1}來(lái)回答此查詢：若投幣結(jié)果為0,那么它返回自己協(xié)商獲得的會(huì)話密鑰；否則，它返回會(huì)話密鑰空間{0,1}k

上的一個(gè)隨機(jī)值。這里，k表示會(huì)話密鑰的比特長(zhǎng)度。ID-BJM模型在游戲的第2階段,E可以繼續(xù)針對(duì)預(yù)言機(jī)進(jìn)行Send,Reveal和Corrupt查詢。E所受到的限制為：它不能對(duì)它所選被測(cè)試的預(yù)言機(jī)及其搭檔預(yù)言機(jī)(若搭檔預(yù)言機(jī)存在的話)進(jìn)行Reveal查詢。另外,E也不能對(duì)被測(cè)試參與者的意定伙伴進(jìn)行Corrupt查詢。輸出：最后，E輸出一個(gè)對(duì)b的判斷(記為b‘)。若b’=b,那么稱E贏得了此游戲。文中定義E獲勝的優(yōu)勢(shì)概率為AdvE(l)=2Pr[b‘=b]?1（l為安全參數(shù)）。定義3新鮮預(yù)言機(jī)：預(yù)言機(jī)在同意(accept)狀態(tài)(因此得到一個(gè)會(huì)話密鑰)是未打開的,其搭檔預(yù)言機(jī)也未打開,搭檔J沒(méi)有被腐化,則預(yù)言機(jī)是新鮮的(fresh)。定義4ID-BJM模型下安全的認(rèn)證密鑰協(xié)商協(xié)議,若協(xié)議滿足下列性質(zhì)：1)只存在良性攻擊者的情況下，預(yù)言機(jī)與其搭檔預(yù)言機(jī)在接受狀態(tài)時(shí)得到相同的會(huì)話密鑰SK，且均勻分布在密鑰空間{0,1}k

上。2)游戲結(jié)束后,敵手E成功的優(yōu)勢(shì)AdvE

(l)是可忽略的。稱該協(xié)議為ID-BJM模型下安全的認(rèn)證密鑰協(xié)商協(xié)議。3.王等人的協(xié)議王圣寶等人給出的一個(gè)會(huì)話密鑰托管模型下的基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCD-1方案和一個(gè)無(wú)會(huì)話密鑰托管模型下的基于身份的認(rèn)證密鑰協(xié)商協(xié)議WCD-2方案。WCD-1方案直接利用Gentry公鑰加密方案構(gòu)造，該方案巧妙地利用了公鑰加密方案中為保證明文加解密安全而采用的隨機(jī)盲化方法以達(dá)成在加密方和解密方安全傳遞秘密，該方法正好可以利用來(lái)實(shí)現(xiàn)密鑰協(xié)商，而不需要真正的加解密手段實(shí)現(xiàn)密鑰協(xié)商，因而有較高的計(jì)算效率。WCD-2方案對(duì)WCD-1方案進(jìn)行了改進(jìn)，改進(jìn)方法試圖引入PKG不可計(jì)算部分，以達(dá)到無(wú)會(huì)話密鑰托管的目的。WCD-1方案及安全屬性分析（1）系統(tǒng)建立階段：PKG隨機(jī)選取兩個(gè)生成元g，h∈G1和α∈Zp，計(jì)算g1=gα。系統(tǒng)公開參數(shù)為（g，g1，h），系統(tǒng)主密鑰為α，H2為會(huì)話密鑰抽取函數(shù)。（2）私鑰生成階段：對(duì)給定身份ID∈Zp，隨機(jī)選擇hID∈Zp，計(jì)算身份的私鑰dID=<rID，hID>，其中hID=（hg-rID）1/α-ID。對(duì)每一個(gè)身份ID選擇固定的rID。（3）密鑰協(xié)商階段：假設(shè)IDA與IDB進(jìn)行會(huì)話密鑰協(xié)商。令gA=g1g-IDA，gB=g1g-IDB和tT=e（g,g）。協(xié)議過(guò)程如下：IDA隨機(jī)選擇x∈Zp，計(jì)算TA1=gxB，TA2=txT，將TA=TA1‖TA2發(fā)送給IDB；IDB隨機(jī)選擇y∈Zp，計(jì)算TB1=gyA,，TB2=tyT，將TB=TB1‖TB2發(fā)送給IDA；IDA計(jì)算共享秘密：KAB=e（TB1，hA）·（TB2)rA·e（g，h）x；IDB計(jì)算共享秘密：KBA=e（TA1，hB）·（TA2)rB·e（g，h）y；由以上等式容易看出KAB=KBA=e（g，h）x+y，從而IDA與IDB可以計(jì)算出相同的會(huì)話密鑰：sk=H2（IDA‖IDB‖TA‖TB‖e（g，h）x+y）WCD-1方案及安全屬性分析顯然方案最終會(huì)話密鑰只關(guān)聯(lián)于臨時(shí)秘密x和y的選取。只掌握長(zhǎng)期密鑰的情況下可以很容易計(jì)算最終的會(huì)話密鑰，而不具備完美前向安全性，只具有部分前向安全性；只掌握臨時(shí)秘密的情況下同樣可以很容易計(jì)算出共享會(huì)話密鑰，因而不具備已知會(huì)話相關(guān)臨時(shí)秘密信息安全性；由于PKG掌握系統(tǒng)主密鑰，容易計(jì)算得到實(shí)體的長(zhǎng)期私鑰，進(jìn)而可以容易地計(jì)算實(shí)體的會(huì)話密鑰，從而不具有PKG前向安全性，只能用于會(huì)話密鑰托管環(huán)境中。WCD-2方案及安全屬性分析（1）系統(tǒng)建立階段：PKG隨機(jī)選取三個(gè)生成元g，h，t∈G1和α∈Zp，計(jì)算g1=gα。系統(tǒng)公開參數(shù)為（g，g1，h，t），系統(tǒng)主密鑰為α，H2為會(huì)話密鑰抽取函數(shù)。（2）私鑰生成階段：對(duì)給定身份ID∈Zp，隨機(jī)選擇rID∈Zp，計(jì)算身份的私鑰dID=<rID，hID>，其中hID=（ht-rID）1/α-ID。對(duì)每一個(gè)身份ID選擇固定的。（3）密鑰協(xié)商階段：假設(shè)IDA與IDB進(jìn)行會(huì)話密鑰協(xié)商。令gA=g1g-IDA，gB=g1g-IDB和tT=e（g，t）。協(xié)議交互過(guò)程如下：IDA隨機(jī)選擇x∈Zp，計(jì)算TA1=gxB，TA2=txT，將TA=TA1‖TA2發(fā)送給IDB；IDB隨機(jī)選擇y∈Zp，計(jì)算TB1=gyA,，TB2=tyT，將TB=TB1‖TB2發(fā)送給IDA；IDA計(jì)算共享秘密：KAB1=e（TB1，hA）·（TB）rA·e（g，h）x，KAB2=TxB2IDB計(jì)算共享秘密：KBA1=e（TA1，hB）·（TA2）rB·e（g，h）y，KBA2=TyA2從以上公式容易看出KAB1=KBA1=e（g，h）x+y與KAB2=KBA2=e（g，t)xy，從而IDA與IDB可以計(jì)算出相同的會(huì)話密鑰：sk=H2（IDA‖IDB‖TA‖TB‖e（g，h）x+y‖e（g，t）xy）WCD-2方案密鑰協(xié)商階段圖ABXyKAB1=e（TB1，hA）·（TB2)rA·e（g，h）x

KBA1=e（TA1，hB）·（TA2）rB·e（g，h)yKAB2=TxB2

KBA2=TyA2skA=H(A|B|TA|TB|KAB1|KAB2）skB=H(A|B|TA|TB|KBA1|KBA2）

TA=TA1|TA2TB=TB1|TB2對(duì)WCD-2協(xié)議的安全性分析對(duì)密鑰泄漏模仿攻擊的擴(kuò)展定義定義1(密鑰泄漏模仿攻擊,KeyCompromiseImpersonation,KCI)密鑰泄漏模仿攻擊是一種已知密鑰的攻擊,即當(dāng)A的長(zhǎng)期私鑰泄漏之后,攻擊者可以向A冒充B。定義2(主私鑰泄漏模仿攻擊,MaserKeyCompromiseImpersonation,MKCI)若實(shí)體的私鑰不完全依賴于KGC的主私鑰,則當(dāng)KGC的主私鑰泄漏之后(實(shí)體私鑰未泄漏),攻擊者可以向一個(gè)實(shí)體(如A)冒充另一個(gè)實(shí)體(如B)。定義3(增強(qiáng)的私鑰泄漏模仿攻擊,StrengthenKeyCompromiseImpersonation,SKCI)若實(shí)體的私鑰不完全依賴于KGC的主私鑰,則當(dāng)KGC的主私鑰和實(shí)體A的長(zhǎng)期私鑰泄漏之后,攻擊者可以向A冒充B。易知,一個(gè)協(xié)議若可抵抗增強(qiáng)的私鑰泄漏模仿攻擊,則一定能抵抗私鑰泄漏模仿攻擊和主私鑰泄漏模仿攻擊。主私鑰泄漏模仿攻擊首先分析協(xié)議不能抵抗主私鑰泄漏模仿攻擊。假設(shè)一個(gè)攻擊者C獲得了主私鑰(但產(chǎn)生用戶長(zhǎng)期私鑰所需的隨機(jī)數(shù)未泄漏),則C試圖向A模仿B如下:（1）A隨機(jī)選取一個(gè)臨時(shí)私鑰xZp并計(jì)算相應(yīng)的臨時(shí)公鑰與之后發(fā)送TA=TA1|TA給B。(2)C攔截消息TA并隨機(jī)選取一個(gè)臨時(shí)私鑰zZp,計(jì)算相應(yīng)的臨時(shí)公鑰及。之后,C發(fā)送TC=TC1|TC2給A。收到TC后,A計(jì)算共享秘密(thesharedsecret)如下KAB1=e（TC1，hA）·（TC2）rA·e（g，h）x=e（g，h）x+zKAB2=Txc2=e（g，t）xz(3)由于C知道,由,首先計(jì)算。C進(jìn)一步計(jì)算共享秘密如下:

一次協(xié)議運(yùn)行結(jié)束后,C成功地模仿B與A協(xié)商獲得了一個(gè)會(huì)話密鑰sk=H(A|B|TA|TC|KCA1|KCA2)

主私鑰泄漏模仿攻擊圖AC(B)

XC攔截,C選擇

zKAB1=e（TC1，hA）·（TC2）rA·e（g，h)x

KAB2=TxC2skA=H(A|B|TA|TB|KAB1|KAB2）

skC=H(A|B|TA|TC|KCA1|KCA2）TA=TA1|TA2TB=TB1|TB2增強(qiáng)的私鑰泄漏模仿攻擊假設(shè)一個(gè)攻擊者C獲得了用戶A的長(zhǎng)期私鑰<,>及KGC的主私鑰(但產(chǎn)生用戶長(zhǎng)期私鑰所需的隨機(jī)數(shù)未泄漏),則C試圖向A模仿B。攻擊如下:（1）A隨機(jī)選取一個(gè)臨時(shí)私鑰xZp，并計(jì)算相應(yīng)的臨時(shí)公鑰及。之后發(fā)送TA=TA1|TA2給B。（2）C攔截消息TA并隨機(jī)選取一個(gè)臨時(shí)私鑰為zZp,計(jì)算相應(yīng)的臨時(shí)公鑰及。之后,C發(fā)送TC=TC1|TC2給A。（3）收到后，A計(jì)算共享秘密(thesharedsecret)如下:=====（4）由于C知道,由,C首先計(jì)算。利用A的私鑰<,>，C進(jìn)一步計(jì)算共享秘密如下:====一次協(xié)議運(yùn)行結(jié)束后,C成功地模仿B與A協(xié)商獲得了一個(gè)最終的會(huì)話密鑰sk,由下圖所示增強(qiáng)的私鑰泄漏模仿攻擊圖AC(B)

XC攔截，C選擇z

====skA=H(A|B|TA|TB|KAB1|KAB2）

skC=H(A|B|TA|TC|KCA1|KCA2）TA=TA1|TA2TC=TC1|TC2對(duì)WCD-2協(xié)議的安全性分析由上述分析,我們發(fā)現(xiàn)該協(xié)議不能抵抗主私鑰泄漏模仿攻擊和增強(qiáng)的私鑰泄漏模仿攻擊。通過(guò)對(duì)協(xié)議及安全模型的分析,我們從兩個(gè)不同的角度給出導(dǎo)致已經(jīng)證明安全的協(xié)議存在攻擊的原因。當(dāng)收到corrupt詢問(wèn)時(shí),被詢問(wèn)的協(xié)議參與者返回自己的長(zhǎng)期私鑰,但不能返回KGC的主私鑰,因此無(wú)法反映KGC主私鑰泄漏的情況。也就是說(shuō),該模型不允許泄漏KGC的主私鑰。這是不太現(xiàn)實(shí)的。因?yàn)樵贗BC中,KGC是一個(gè)可信的私鑰生成器,它利用一個(gè)固定的主私鑰為域內(nèi)所有用戶產(chǎn)生并分發(fā)私鑰。惡意攻擊者可能通過(guò)一些非常手段獲得主私鑰,如果用戶的私鑰不僅僅依賴于KGC的主私鑰,則我們希望主私鑰的泄漏不影響協(xié)議的安全性質(zhì)。其次,從協(xié)議本身來(lái)看,由協(xié)議的消息流可以看出,兩個(gè)參與者之間缺少相互的實(shí)體認(rèn)證,因此攻擊者攔截得到A的消息后,可以冒充B產(chǎn)生消息并發(fā)送給A而不被A所察覺(jué)。參與者繼續(xù)執(zhí)行協(xié)議,最終生成一個(gè)會(huì)話秘密,而攻擊者也可以利用自己已有的知識(shí)產(chǎn)生一個(gè)完全相同的會(huì)話秘密,從而最終與A建立一個(gè)共享的會(huì)話密鑰。WCX方案及安全屬性分析汪等針對(duì)無(wú)密鑰托管的認(rèn)證密鑰協(xié)商協(xié)議的要求提出了一個(gè)改進(jìn)的無(wú)會(huì)話密鑰托管的認(rèn)證密鑰協(xié)商協(xié)議WCX方案（1）系統(tǒng)建立階段：與WCD-1協(xié)議基本相同。其中H為會(huì)話密鑰抽取函數(shù)。（2）實(shí)體密鑰對(duì)生成階段：與WCD-1協(xié)議相同，令gT=e（g，g）。（3）密鑰協(xié)商階段：IDA隨機(jī)選擇x∈Zp，計(jì)算TA1=gxb，TA2=gxT，TA3=gx將TA=TA1‖TA2‖TA3發(fā)送給IDB；IDB隨機(jī)選擇y∈Zp，計(jì)算TB1=gyA，TB2=gyT，TB3=gy,將TB=TB1‖TB2‖TB3發(fā)送給IDA；IDA計(jì)算共享秘密：KAB1=e（TB1，hA）·TB2rA·e（g，h)x，KAB2=TxB3IDB計(jì)算共享秘密：KBA1=e（TA1，hB）·TA2rB·e（g，h)y和KBA2=TyA3IDA計(jì)算會(huì)話密鑰：skAB=H（IDA‖IDB‖TA‖TB‖KAB1‖KAB2）IDB計(jì)算會(huì)話密鑰：skBA=H（IDA‖IDB‖TA‖TB‖KBA1‖KBA2）顯然KAB1=KBA1=e（g，h）x+y

，KAB2=KBA2=gxy因此IDA與IDB計(jì)算出相同的會(huì)話密鑰為：sk=H（IDA‖IDB‖TA‖TB‖e（g，h）x+y‖gxy）該協(xié)議滿足完美前向安全性和PKG前向安全性。4.安全增強(qiáng)的身份基認(rèn)證密鑰協(xié)商協(xié)議為了提供更多的安全屬性，提高方案的安全性，本章構(gòu)造了一個(gè)安全增強(qiáng)的認(rèn)證密鑰協(xié)商方案。改進(jìn)后的新方案幾乎滿足全部已知的安全屬性，特別是滿足完美前向安全性、PKG前向安全性以及已知會(huì)話相關(guān)臨時(shí)秘密信息安全屬性。與此時(shí)，新方案保持了良好的計(jì)算效率。新方案描述如下：

（1）系統(tǒng)建立階段：PKG隨機(jī)選取兩個(gè)生成元g，h∈G1和α∈Zp，計(jì)算g1=gα。系統(tǒng)公開參數(shù)（g，g1，h），系統(tǒng)主密鑰為α，H為會(huì)話密鑰抽取函數(shù)H：{0，1}*→{0，1}k，k為會(huì)話密鑰長(zhǎng)度。（2）密鑰生成階段：對(duì)給定身份ID∈Zp，隨機(jī)選擇rID∈Zp，計(jì)算身份的私鑰dID=<rID，hID>，其中hID=（hg-rID）1/（α-ID）。對(duì)每一個(gè)身份ID選擇固定的rID。（3）密鑰協(xié)商階段：假設(shè)IDA與IDB進(jìn)行會(huì)話密鑰協(xié)商。令gA=g1g-IDA，gB=g1g-IDB和gT=e（g，g）。協(xié)議過(guò)程如下：安全增強(qiáng)的身份基認(rèn)證密鑰協(xié)商協(xié)議協(xié)議過(guò)程如下：IDA隨機(jī)選擇x∈Zp，并計(jì)算TA1=gxB，TA2=gxT，TA3=grAT,將TA=TA1‖TA2‖TA3發(fā)送給IDB；IDB隨機(jī)選擇y∈Zp，并計(jì)算TB1=gyA，TB2=gyT，TB3=grBT,將TB=TB1‖TB2‖TB3發(fā)送給IDA；IDA計(jì)算共享秘密如下：KAB1=e（TB1，hA）·TB2rA·e（g，h）x，KAB2=（TB2·TB3)（x+rA）IDB計(jì)算共享秘密如下：KBA1=e（TA1，hB）·TA2rB·e（g，h）y，KBA2=（TA2·TA3）(y+rB）IDA計(jì)算會(huì)話密鑰為：skAB=H（IDA‖IDB‖TA‖TB‖KAB1‖KAB2）IDB計(jì)算會(huì)話密鑰為：skBA=H（IDA‖IDB‖TA‖TB‖KBA1‖KBA2）容易看出,KAB1=KBA1=e（g，h）x+y,KAB2=KBA2=gT（x+rA)（y+rB）=gTxy·gTxrB·gTyrA·gTrArB因此IDA與IDB計(jì)算出共享會(huì)話密鑰為：sk=H（IDA‖IDB‖TA‖TB‖e（g，h）x+y‖gTxy+xrB+yrA+rArB）安全增強(qiáng)的身份基認(rèn)證密鑰協(xié)商協(xié)議該協(xié)議滿足完美前向安全性和PKG前向安全性。即使敵手獲得IDA和IDB的私鑰，以及系統(tǒng)主密鑰α，只能計(jì)算出第一個(gè)共享秘密KAB1=KBA1=e（g，h）x+y。若要得到第二個(gè)共享秘密，必須由gx和gy計(jì)算出gxy。該方案通過(guò)增加交互消息TA3=gx和TB3=gy，使得在會(huì)話密鑰生成中增加PKG不可計(jì)算因素，從而達(dá)到PKG前向安全屬性。當(dāng)然這勢(shì)必會(huì)影響協(xié)議執(zhí)行的效率。同時(shí)注意到，改進(jìn)協(xié)議中（g，h）x+y和gxy兩個(gè)因素仍然是在已知會(huì)話相關(guān)臨時(shí)秘密信息下可計(jì)算的，因而該方案仍然不滿足已知會(huì)話相關(guān)臨時(shí)秘密信息安全屬性。新方案安全性（1）已知會(huì)話密鑰安全性。該方案中已知舊的會(huì)話密鑰不會(huì)影響新的會(huì)話密鑰安全性。每一次協(xié)議的執(zhí)行，臨時(shí)秘密x和y都是分別由參與實(shí)體A和B獨(dú)立隨機(jī)選取的。多個(gè)會(huì)話密鑰值之間具有無(wú)關(guān)性。（2）前向安全性和完美前向安全性。如果A或者B以及A和B的長(zhǎng)期密鑰dID=<rID，hID>泄露，將不會(huì)影響舊的會(huì)話密鑰安全性。雖然這將導(dǎo)致攻擊者可以根據(jù)歷史交互消息和長(zhǎng)期密鑰計(jì)算KAB1=KBA1=e（g，h）x+y,,,,,,但是由于(,)和（，），計(jì)算和，進(jìn)而計(jì)算KAB2=KBA2=...,需要解決CDH困難問(wèn)題。通過(guò)（，）計(jì)算同樣需要解決CDH困