基于TePA的并行密鑰隔離機制研究*

林 凡，張振華,，成 杰，張廣馳，崔 苗，張秋鎮(zhèn)

（1.廣州杰賽科技股份有限公司 創(chuàng)新創(chuàng)業(yè)中心（技術中心），廣東 廣州 510310；2.廣東工業(yè)大學 信息工程學院，廣東 廣州 510006）

0 引 言

1976年，Diffie等人[1]首先提出公鑰加密算法機制。目前，最常用的RSA加密機制由Ron Rivest等人[2]提出。在公鑰加密算法機制中，通信兩端擁有一對公鑰和私鑰，公鑰用于發(fā)送端對明文進行加密，相匹配的私鑰用于接收端對接收所得的密文進行解密。因此，該機制中必須確保密鑰的真實性和有效性。1984年，Shamir[3]首先提出了基于身份的加密（IBE）機制，針對公鑰認證問題，用戶可以直接將設備的身份信息作為公鑰，系統中的密鑰生成中心（KGC）根據用戶身份和系統密鑰值通過哈希函數的計算生成用戶的私鑰。

此后，大批基于非對稱秘鑰算法的物聯網系統被建立起來[4-10]。2006年，Hanaoka等人[11]提出了并行密鑰隔離（PKIE）機制，使用兩個彼此獨立的協助器交替更新用戶私鑰；2017年，何粒波等人[6]提出無證書并行密鑰隔離加密機制，將PKIE機制和CL-PKE機制相結合，形成了新機制CL-PKIE。

其中，文獻[4]提出的三元對等鑒別（TePA）機制在物聯網系統上得以應用。該項鑒別機制在通信實體A與實體B之外引入了可信第三方，并使用可信第三方分別鑒別實體A與實體B的身份信息。在實體A與實體B互不信任且在不泄露身份信息的情況下，該鑒別機制有效解決了實體之間的對等鑒別。實際應用中，TePA架構得到了大量應用。該架構的智能設備中使用預分配認證密鑰或通過密鑰生成中心更新認證密鑰。前者使用固定密鑰，降低了系統的安全性；后者則存在明顯的系統私鑰泄露問題。同時，密鑰托管問題成為最大的挑戰(zhàn)。

因此，本文在TePA機制里加入并行密鑰隔離機制，以解決物聯網系統中的密鑰托管問題。盡管攻擊者能夠竊聽密鑰生成中心生成的部分私鑰，但部分私鑰并不是竊聽通信過程中的密文信息，此時結合TePA的架構機制，可以更好地解決物聯網系統的安全性問題。

1 TePA架構的身份校驗機制

本文將TePA架構應用于物聯網系統，通過在物聯網系統上的傳感設備節(jié)點部分與網絡服務管理平臺部分加入對等身份校驗功能，同時引入認證服務器對傳感設備節(jié)點和網絡服務管理平臺進行身份信息鑒別，從而建立三者初次建立連接時必須進行多次握手的對等身份校驗。

TePA架構體系中，身份校驗流程如圖1所示。每次身份校驗由NSP發(fā)起，向REQ發(fā)送挑戰(zhàn)認證請求。REQ將加密后的校驗信息經過NSP發(fā)送到AS。在中轉REQ的校驗信息時，NSP也將自身的加密校驗信息一并發(fā)送至AS。AS將前兩者的校驗信息進行解密并進行身份校驗，最終將REQ的校驗結果使用NSP的公鑰進行加密發(fā)送至NSP，并將NSP校驗結果使用的REQ的公鑰進行加密發(fā)送至REQ。其中，校驗結果信息的報文中也攜帶AS的身份校驗信息，從而實現了REQ、NSP和AS的對等鑒別。本文主要將CL-PKIE引入TePA架構，提出了新型基于并行密鑰隔離的TePA架構。在通信和身份鑒別過程中，物聯網系統能夠實現安全密鑰更新，并有效防止內部節(jié)點攻擊等。

圖1 TePA架構的身份校驗協議流程

2 基于TePA的并行密鑰隔離安全模型

基于TePA的并行密鑰隔離方案主要是在系統初次建立時完成REQ、NSP以及AS的密鑰協商。整個協商過程包括系統初始化和生成密鑰兩個階段。系統初始化階段，系統網絡的各個節(jié)點設定安全參數K，并生成系統密鑰參數。密鑰生成階段，基于并行密鑰隔離機制的密鑰生成過程，AS通過協助器生成協助器密鑰、主密鑰等部分私鑰，通過TePA的協議信息進行參數傳輸。NSP與REQ則分別根據接收的部分私鑰與自身節(jié)點上的部分私鑰生成完整私鑰，進一步生成公鑰，并向系統網絡進行廣播。

2.1 系統初始化

AS中預先設定一個安全參數k∈Z+，并進一步實現初始化。

（1）根據安全參數生成兩個k位的素數p和q，其中q|p-1，并設定Z*p的生成元P。

（2）隨機獲取x∈Z*p，進一步得到Ppub=x·P。

（3）系統各個節(jié)點統一選擇加密算法中哈希函數 H1、H2、H3和 H4：

其中l(wèi)0,l1∈N。

（4）令master-key，help-key都為x。

AS公開密鑰參數：

（5）由于在并行密鑰隔離機制中密鑰生成中心（KGC）與協調器隔離，本系統將協調器設置在各個網絡節(jié)點。協助器密鑰生成通過params、系統當前的時間周期i∈{1,2,…,n-1}、自身設定的網絡節(jié)點信息IDAS和校驗過程獲取的節(jié)點信息IDREQ進行運算：

①計算 φ=x(H2(ID,i)-H2(ID,i-1))；

②令HKID,i=φ，并返回HKID,i。

2.2 密鑰生成階段

一旦完成系統初始化，系統將進入密鑰生成階段，具體架構如圖2所示。其中，NREQ表示隨機實數，PKREQ表示REQ的公鑰，IREQ為REQ的身份校驗信息，IREQ包括節(jié)點身份信息和信息的數字簽名。

圖2 系統身份校驗機構

（a）AS將當前密鑰參數params、PKAS發(fā)送至NSP。NSP根據自身的身份信息IDNSP、密鑰參數params，通過給定的秘密值生成算法輸出秘密值xNSP∈Zq，并等待新的REQ加入。

（b）當新的REQ加入系統網絡，NSP進行挑戰(zhàn)詢問REQ的身份信息，NSP向REQ發(fā)送挑戰(zhàn)詢問分組{params,PKAS}。

REQ接收到該請求分組后進行如下操作：

①REQ識別分組的密鑰參數params，并通過秘密值生成算法計算秘密值xREQ∈Zq；

②REQ根據自身身份信息IDREQ、密鑰參數params，通過初始密鑰生成算法計算初始私鑰。該算法隨機選擇s∈Zp，計算部分公鑰PID=s·P，并進行如下運算：

③REQ根據params和秘密值xREQ，通過公鑰生成算法計算U=xREQ·P，然后輸出公鑰PKREQ=(Ω,U)。

（c）REQ構建接入請求分組{NREQ,PKREQ,IREQ}，并使用PKAS對身份校驗信息進行加密，運算如下：

②隨機選擇σ∈{0,1}l1，計算r=H3(M,σ)，其中M為校驗信息明文。

③計算c1=r·P,c2=H4(k1,k2)⊕(M||σ)和k1=r·P,k2=r·ΓIDAS

④輸出身份校驗信息的密文C=(i,c1,c2)，其中M為身份校驗信息的明文。

（d）NSP接收到來自AS的密鑰參數{params,PKAS}后，通過秘密值生成算法計算秘密值xNSP∈Zq，通過公鑰生成算法和初始密鑰生成算法計算NSP的公鑰私鑰，進一步使用PKNSP對{NNSP,PKNSP,INSP}進行加密。NSP將接入請求分組與自身的身份信息合并，構建校驗申請分組{NREQ,NNSP,PKREQ,PKNSP,IREQ,INSP}，將校驗申請分組發(fā)送至AS。

（e）AS接收到校驗申請分組后進行密文C=(i,c1,c2)解密，解密算法操作如下：

①計算 M||σ=H4(xAS·c1,i·c1)⊕ c2。

②獲得M、σ后進行校驗等式H3(M,σ)·P=c1是否成立，若成立，則完成校驗返回明文M；否則，判斷密鑰無法配對，并結束校驗。

先根據明文M={PKREQ,PKNSP,IREQ,INSP}識別并鑒別NSP和REQ的身份信息，同時記錄其對應的公鑰。一旦完成對NSP和REQ的身份鑒別，AS計算當前HKIDAS,i值，并通過私鑰更新算法進行私鑰更新，運算如下：

同時更新私鑰為SAS,i。

然后，構建校驗申請響應：

并根據響應的發(fā)送目標使用相應公鑰進行加密。其中，RES為AS對目標節(jié)點的身份校驗結果，隨機數NX=N。最后，AS進行將響應報文發(fā)送到NSP，刪除 SAS,i-1和 HKIDAS,i。

（f）NSP識別并解密校驗申請響應中對REQ的校驗結果信息{NNSP,RESREQ,IAS-NSP}，根據RESREQ判定REQ的身份信息。若不安全，則判定當前REQ校驗失敗；反之，則構建{NREQ,RESNSP,NSPREQ,IAS-REQ,INSP-REQ}接入請求響應并向REQ發(fā)送。

（g）REQ識別并解密校驗申請響應中對NSP的校驗結果信息{NREQ,RESNSP,NSPREQ,IAS-REQ,INSP-REQ}，根據RESNSP判定NSP的身份信息。若安全，則判定系統各個節(jié)點為安全的；反之，則判定校驗失敗。

3 協議邏輯證明

本節(jié)根據擴展GYN邏輯[12]對提出的身份認證協議進行分析證明，證明中數學符號說明如表1所示，其中R表示REQ，NS表示NSP，A表示AS。

表1 協議交互過程的GNY邏輯表示

其中，*X表示X不是由此首發(fā)的；?表示被告之；～表示被傳輸過；#X表示X是新鮮的；)(Xφ表示X是可識別的；|≡表示相信；(X,Y)表示X、Y的合取式；XP*?表示P接收到X且相信X是新鮮的。P |≡#X表示P相信X是新鮮的，協議執(zhí)行過程中P是第一次見到X；P|～X表示P曾經發(fā)送給X，X可以是消息本身，也可以是對某個消息重新計算得到的結果；表示告知規(guī)則，即如果某一個公式告知了P，那么說明P是被告知了該公式的全部組成部分；表示識別規(guī)則，如果P相信X可識別可認證，則包含X的組合消息以及所有關于X的計算函數F(X)，P相信都可識別可認證；表示新鮮規(guī)則，如果P相信X是新鮮的，則包含X的組合消息以及所有關于X的計算的函數F(X)值，P相信都是新鮮的。

本文方案協議最終實現NSP與REQ的身份對等校驗。因此，協議的目標可表示為：

初始條件為：

（1）由 N S | ≡?params 和識別規(guī)則，得：

因NS?*(NRPKRR)，根據告知規(guī)則，可得：

又因 N S|≡# NR，根據新鮮性，可得：

結合：

可得：

（2）因A | ≡?(NRIRNNSINS)，由識別規(guī)則，得：

因上述證明，得A | ≡#(NNSNR)。

由新鮮規(guī)則，有：

由：

可證：

（3）由上述證明，得：

由初始條件：

結合新鮮規(guī)則和識別規(guī)則，可得：

又因為：

可證：

4 協議分析

4.1 安全性分析

本節(jié)從以下幾方面對本文方案進行安全性分析。

假冒攻擊。在本方案的認證過程中，各個分組中包含隨機數NX。假設攻擊者獲取系統中上一次的認證信息并進行假冒攻擊，由于無法獲取當前認證過程中的隨機數，當NSP向AS發(fā)送校驗申請分組{NREQ,NNSP,PKREQ,PKNSP,IREQ,INSP}時，AS首先檢驗分組信息中是否存在隨機數NXold=NX。是，則過濾該分組信息。若攻擊者更改上次認證信息中的隨機數，則AS進一步比較分組中的數字簽名I=H(N||PK||I)。若不等，AS則判定該認證信息XXD已被非法篡改。同理，REQ與NSP根據隨機數以及數字簽名有效抵抗攻擊者的假冒攻擊。

重放攻擊。假設攻擊者竊取認證過程中的分組信息，并對本系統進行重放攻擊。由于每次分組信息都攜帶一個當前認證過程產生的隨機數NX，引入隨機數機制保證分組信息的新鮮性，且結合過濾機制，通過比較當前隨機數NX與以往認證過程中的隨機數NXold，可有效識別攻擊者對系統實施的重放攻擊。

安全密鑰更新。本方案通過引入并優(yōu)化并行密鑰隔離算法，在系統初始化時根據系統初始值生成初始私鑰SREQ,0。系統進行密鑰更新時，協調器產生協助器密鑰HKID,i，并通過密鑰更新算法由前一時刻的種子私鑰和協助器密鑰計算下一時刻的私鑰SAS,i。不依賴密鑰生成中心的條件下，各個節(jié)點實現安全的自主密鑰更新。

防止內部攻擊。假設攻擊者竊取到某一節(jié)點的私鑰，盡管在該密鑰更新周期內攻擊者能竊聽到該節(jié)點的通信數據，但下一更新周期，節(jié)點根據自身的協調器生成的協助器密鑰HKID,i進行私鑰更新，攻擊者無法獲取相應的協助器密鑰，將無法實現私鑰更新。另外，假設密鑰生成中心被攻擊者入侵并獲取各個節(jié)點的初始數據。由于系統引入了安全密鑰更新體制，一定時間后可實現私鑰的更新，而密鑰生成中心無法獲取系統節(jié)點的私鑰，本系統將能夠有效抵御攻擊者的內部攻擊。

偽造攻擊。假設攻擊者對本系統進行偽造攻擊，攻擊者需要獲取新的隨機數NX和公鑰PKX，構造新的分組數據替換原節(jié)點的認證信息，并進一步通過認證。本方案的認證過程中，隨機數NX是隨機產生的，而分組信息中包含各個節(jié)點的校驗信息IX。由于節(jié)點使用的私鑰不斷更新，攻擊者無法獲取對應的IX，導致攻擊者無法獲取正確的校驗信息通過身份認證。因此，本方案有效抵抗了偽造攻擊。

雙向認證。雙向認證為本方案中REQ、NSP、AS三元之間的兩兩認證。AS接收到來自NSP的分組信息{NREQ,NNSP,PKREQ,PKNSP,IREQ,INSP}，首先檢測NREQ與NREQold。若NREQ=NREQold，則過濾REQ相應的認證信息；否則，進行對REQ的身份認證。比較分組信息中的數字簽名，判斷是否存在I=H(N||PK||I)=I。若相等，進一步判斷REQXXIDSig

的身份信息IREQID是否合法。若檢測存在AS記錄信息FIREQ=F(IREQ)，則判定REQ為合法。REQ接收到AS認證后的響應分組信息{NESNSP,NSPREQ,IAS-REQ,INSP-REQ}，首先比較 N。若 N與NREQ不等，則過濾當前認證信息；相等，則校驗數字簽名IAS-REQ與INSP-REQ的合法性，最終檢測并接收AS對NSP和NSP對REQ的認證合法性。同理，NSP能夠對等識別出AS對REQ的身份合法性。

表2中給出了改進協議與現有的物聯網系統認證安全性對比?？梢?，改進協議具有更好的安全性能。

表2 引用協議的安全性比較

4.2 性能分析

4.2.1 計算開銷

將目前基于物聯網系統的TePA機制與文中方案進行比較，主要從信息加密、數字簽名以及簽名校驗方面的消耗給予討論。僅當傳感器節(jié)點新加入系統網絡時，新節(jié)點需要進行公鑰、秘密值與初始密鑰的生成，此時增加了系統的計算開銷。相比現有基于TePA系統的密鑰機制，本方案的計算開銷與TePA安全方案[4]幾乎一樣。同時，通過加入PKIE機制，本方案提供了更強的安全性。而身份校驗過程中傳感器節(jié)點的計算消耗比較如表3所示。

表3 傳感器節(jié)點在校驗機制過程中的計算開銷

在計算成本的定義中，設定p、q都是1 024位的素數，密鑰長度160Bit，簽名算法使用橢圓曲線簽名算法，將符號Th定義為哈希運算時間，TPA表示點乘運算時間，TE作為Zp和Zq中的冪運算時間，P為雙線性對運算。定義ECC機制下密鑰為160Bit的加密運算時間為2TECC[12]。其中，由于本文方案與龍昭華等人的方案都基于橢圓曲線的離散對數困難問題，于是有TECC=3TE，則ECC加密運算時間簽名驗證時間為6TE，解密運算時間和簽名生成時間為3TE。計算開銷中，哈希運算復雜度遠小于循環(huán)群的冪運算，因此本文方案中哈希運算和群上的加法、點乘運算被忽略不計。

4.2.2 儲存消耗

新的傳感器節(jié)點加入到系統網絡時，只需預存儲身份ID。身份校驗階段，該節(jié)點所需保存的信息有：（1）身份校驗參數{NREQ,NNSP,DREQ,DNSP}；（2）秘密值、自身的公鑰和當前時間周期的私鑰、NSP和AS的公鑰。身份校驗階段結束后，該節(jié)點僅將當前時間周期的私鑰存儲下來。所以，本校驗機制中，傳感器節(jié)點僅在身份校驗階段增加了一定的存儲消耗，在校驗結束后只需保存當前周期的私鑰。

5 結 語

為了解決在實際不安全的通信環(huán)境中的私鑰泄漏問題，本文給出了基于并行密鑰隔離機制的TePA協議，提高了TePA協議系統抵御密鑰泄漏的能力，結合并行密鑰隔離機制與TePA協議機制，增強了身份校驗協議的安全性。本文給出基于CL-PKIE的TePA系統的安全模型，并給出系該安全模型相應的具體方案，最后在安全性能、系統開銷方面進行方案分析，證明了本方案的可認證性和機密性，在提高安全性能的同時，保證了合理的系統開銷。