一種高效的無證書認證密鑰交換協議*

曾潤智, 王立斌

華南師范大學 計算機學院, 廣州510631

1 引言

無證書公鑰密碼學(Certificateless Public Key Cryptography, CL-PKC) 是基于身份公鑰密碼學(Identity-based Public Key Cryptography, ID-PKC) 的一個變種, 最初由Al-Riyami 與Paterson 提出[1]以解決ID-PKC 的密鑰托管問題. 在傳統ID-PKC 中, 用戶身份信息(如電子郵箱) 可直接作為用戶公鑰, 因此無需證書與公鑰綁定, 使得ID-PKC 免去與證書相關的復雜操作; 而用私鑰鑰完全由可信第三方密鑰生成中心(Key Generation Center, KGC) 負責生成, 這導致密鑰托管問題. CL-PKC 通過增加用戶自主生成的本地私密信息來弱化對KGC 的依賴. 在CL-PKC 中, KGC 依然存在并持有系統主密鑰,其負責為用戶生成部分私鑰; 用戶在本地生成一個秘密值, 然后根據部分私鑰和秘密值組成長期私鑰并生成長期公鑰. CL-PKC 用戶在私鑰生成中有一定的自主性, 因此在一定程度上解決ID-PKC 的密鑰托管問題.

無證書認證密鑰交換(Certificateless Authencated Key Exchange, CL-AKE) 是在無證書體制下的認證密鑰交換, 其主要解決如何在無證書環境下雙方進行帶認證密鑰協商的問題, 是重要的無證書密碼構件之一. 由于CL-PKC 不存在證書, 惡意攻擊者可進行公鑰替換以偽裝合法用戶; 另外, CL-PKC 假設KGC 不完全可信, 其可能會使用系統主密鑰竊取用戶的某些私密信息. 因此相較于傳統的認證密鑰交換協議, CL-AKE 協議設計需要考慮的攻擊更多, 協議的運算也更復雜. 本文重點關注高效、安全CL-AKE協議的設計.

1.1 相關工作

第一種CL-AKE 協議由Al-Riyami 等人提出[1], 該協議的安全性未在嚴格定義的安全模型下證明.為嚴格定義CL-AKE 協議的安全性, Swason 提出了e2CK 模型[2], 該模型基于eCK 模型[3]. Lippold等人增強了e2CK 模型……