基于身份标识加密的身份认证方案

黄仁季，吴晓平，李洪成

（海军工程大学信息安全系，湖北 武汉 430033）

基于身份标识加密的身份认证方案

黄仁季，吴晓平，李洪成

（海军工程大学信息安全系，湖北 武汉 430033）

在大规模通信节点的网络中，网络节点数量大、设备种类多，传统的PKI密码体系存在证书管理困难与资源浪费的问题。设计了基于身份标识加密的节点双向认证方案。利用基于身份的密码加密对通信节点进行双向的身份认证，解决了PKI体系中的数字证书管理问题；采用密钥分割的方法解决了基于身份密码体制所存在的密钥托管问题。同时，在认证协议中引入随机因子、时间戳、散列运算等防范各种网络攻击。最后，对加密算法的安全性和效率以及认证协议的安全性进行了分析，证明了认证方案是安全可靠的。

节点身份认证；基于身份的密码体制；密钥托管；加密

1　引言

身份认证又称为实体认证，是网络接入控制的中心环节。网络节点身份认证是指网络中的一方根据某种协议规范确认另一方身份并允许其做与身份对应的相关操作的过程。它为网络提供了安全准入机制，是网络安全的第一道屏障［1］。

网络节点身份认证协议主要分为基于对称密码体制的认证协议、基于非对称密码体制的认证协议以及基于单向散列函数的认证协议等。传统的基于对称密码的认证方案，即预共享密钥配置方案［2］，包括矩阵密钥预分配方案［3］与基于多项式的密钥预分配方案等［4］。由于2个节点之间需要预共享密钥，在大规模通信节点网络中所需的共享密钥数量较大，管理困难。传统的非对称密码一般采用PKI实现，需要数字证书绑定节点的身份与公钥，需要密管中心对数字证书进行管理，而PKI证书管理复杂，需要建造复杂的CA，证书发布、吊销、验证和保存需要占用较多的资源。为简化公钥证书的管理，1984年，Shamir引入了基于身份的密码学（IBC， identity based cryptograph）。在IBC中，公钥是代表用户身份的任意字符串，比如用户的名字、E-mail地址、手机号码等；存在一个可信任的机构——私钥生成器（PKG， private key generator）根据用户的身份生成相应的私钥：由于公钥直接从身份信息中提取，证书和公钥目录是不必要的，因此，简化了公钥的管理，并由此带来了不需要密钥信道的非交互式通信以及不需要证书校验，节约了计算和通信成本［5］。然而，基于身份加密体制因为可信任机构产生并分发用户私钥，存在密钥托管的问题，另一方面，基于身份的加密算法基于双线性对的运算，提高了运算的复杂度，目前的加密算法还存在不够高效的问题［6］。

在大规模通信网络中，通信设备之间相互通信之前首先要进行节点身份认证，确保通信双方的安全可靠。网络上通信设备数量大、种类多、通信实时性要求高，因此，通信节点之间的认证协议需要具有通用性与高效性，目前的许多认证方案不能满足其要求［7］。针对大量通信设备之间通信情况下数字证书管理困难以及两节点之间需要进行双向认证的问题，本文设计了基于身份标识加密的网络通信节点双向认证方案。

2　相关理论

2.1双线性Diffie-Hellman（BDH， bilinear diffie-hellman）问题

1）双线性映射和双线性群

①双线性：

则说G是双线性群，如G中的群运算是有效可计算的，而且存在有效可计算的和可容许双线性映射

2）双线性Diffie-Hellman假设

判定性BDH问题定义：输入（P， aP， bP， cP，abcP）和（P， aP， bP， cP， µP），其中，a， b， c， µ， P均为随机的，输出YES。如果（P， aP， bP， cP， abcP）和（P， aP， bP， cP， µP）是多项式时间可区分的，算算法 A解决判定性 BDH问题的优势ε为如果不存在t时间的攻击者至少以优势ε解决判定性BDH问题，则判定性（t，ε）-BDH假设成立。

3）BDH问题安全性结论［8］

①如果双线性映射e是有效可计算的，则G中判定性 Diffie-Hellman（DDH， decisional diffie-hellman）问题是容易的。

②计算性 BDH问题能以多项式时间归约为G或GT中的判定性 Diffie-Hellman（CDH， computational diffie-hellman）问题。

③对于P∈GT*定义一个G到GT的同构映射如果的逆映射存在，则计算性BDH问题是容易的；如果的逆映射存在，DDH问题在中是容易的；从G到的双线性映射e是一个单向函数。

2.2基于身份加密的安全模型

在选定一个身份攻击挑战下，如果在多项式时间内敌手没有一个不可忽略的优势赢得如下游戏挑战，基于身份标识的加密（IBE， identity-based encryption）系统具有选择密文安全性［8］。

系统建立：挑战者运行系统建立过程算法，将params发送给敌手。

阶段1 敌手自适应地发出查询i次，每次可能为：1） 密钥生成查询，挑战者在 IDi上运行KeyGen算法，并将产生的私钥发给敌手；2） 解密查询，挑战者在身份IDi上运行KeyGen算法，利用生成的私钥解密c1，并将结果发给敌手。

挑战阶段：敌手提交2个明文m1、m2和一个身份ID。ID必须在阶段1的密钥生成查询中没有出现过。挑战者选择一个随机比特b，令

将c发送给敌手作为其挑战密文。

阶段2 除敌手不可以请求ID的私钥和解密查询（ID，C）外，同阶段1。

猜测阶段：敌手提交一个猜测的b’，如果与b相等，则敌手成功，称敌手在上述挑战过程中为一个IND-ID-CCA（选择密文安全性）敌手。

3　基于身份标识加密的节点双向认证方案

3.1 加密算法的构造

基于Waters IBE方案［8］，利用密钥产生中心（KGC， key generate center）的分割，设计加密算法解决密钥托管问题。密钥分割方案如图1所示。

图1 密钥托管问题解决方案

2） Extract（ msk， v）

通信节点收到每个KGC发送来的私钥dv i后，合成自己真正的私钥其中，

加解密一致性检验为

所以

3.2基于身份加密的节点双向认证协议

认证协议在第3.1节加密算法的保护下完成节点认证，整体认证方案如图2所示。

图2　节点安全认证实施过程

假设两通信设备节点A、B之间建立通信进行认证，使用3.1节中的加密算法E，具体步骤如下。

1）B向A发送指令，进行认证请求。即B向A发送信息Request||IDB||time，其中，Request为建立认证请求，IDB为B的身份信息，time为时间戳。

2）A接收到B的认证请求后向B发送认证回复并对自己的身份进行认证。A向 B发送信息E（Reply||IDA||N1||time||HASH，IDB）， 其中，Reply为对请求的回复，IDA为A的身份标识，N1为由A产生的随机数，time为时间戳，HASH为对上述信息的散列值以进行完整性校验，返回信息使用B的身份信息进行加密。

3）B接收到A的返回信息，利用自己的身份和自己的私钥对消息解密，得到A的身份标识，对随机数N1按照双方事先约定的变换f进行变换返回给 B，具体消息内容为 E（f（N1）||N2||time|| HASH， IDA），其中，f（N1）为对随机数N1的变换用以对方进行验证，N2为由B生成的随机数，time为时间戳，整个消息散列运算附后并由A的身份信息IDA进行加密。

4）A收到B的信息，利用自己的身份IDA以及自己的私钥进行解密，得到 f（N1），并用自己刚才生成的N1计算f（N1）检查是否一致，如果一致则通过了对B的身份认证，承认B的合法身份，同时对收到的N2进行f变换，用以B对自己的认证具体消息内容为 E（confirm||f（N2）||time||HASH， IDB），其中，confirm为认证通过确认，time为时间戳，对消息散列运算连在后面并用IDB进行加密。

5）B收到A的认证确认信息后，利用自己的身份和私钥进行解密，用生成的N2计算f（N2）与收到的f（N2）比较是否一致，通过对A的身份认证，向A发送确认信息以及通信内容E（confirm||m ||time|| HASH， IDA），其中，confirm为对A的身份认证结果，time为时间戳， HASH为整个消息散列值，消息与其散列值通过A的身份进行加密。

6）A与B完成双向身份认证，建立正常通信。

4　安全性及效率分析

4.1加密算法的安全性对比分析

对于用户私钥 d，要取得或生成私钥须计算出主私钥g2α，g2为公开参数，但α为秘密参数，所以，计算α可表示为：已知g和g1gα，求解α，即离散对数问题，具有计算复杂性。

选择明文安全（IND-ID-CPA），即密文不会向任何计算能力为多项式界的攻击者泄露有关明文的任何有用信息。如果对任何 t时间的IND-ID-CPA攻击者A，做至多次私钥提取查询，有则 IBE方案是

本方案的加密过程基于Waters体制，所以，如果判定性 BDH假设成立，则-IND-ID-CPA是安全的［8］：其中，是私钥提取查询的最大次数。

在Waters的IBE体制下，其安全性不依赖随机预言机，是标准模型下的IBE方案。如表1所示，与BasicIdent体制和FullIdent体制［9］等基于随机预言的IBE方案相比，具有更高的安全性。与原始的Waters方案相比，本方案解决了密钥托管问题，降低了由于 KGC受到攻击或破坏而给整个网络带来的威胁。

表1　加密算法安全性对比

如表2所示，与BasicIdent体制和FullIdent体制相比［10］，加密方案在系统建立阶段成本较高，多出一个数量级；但是在密钥提取阶段和加密阶段具有相似的时间成本，只需要20 ms左右；在解密阶段，计算成本比 BasicIdent体制和FullIdent体制多出10 ms，为30 ms。基于以上分析，本方案的加解密过程在保证安全性的前提下效率没有明显下降，只在系统建立过程中较为耗时，但在实际应用中系统建立对时间成本要求不高，本方案仍具有较好的效率。

表2　加密算法性能对比

4.3节点双向认证协议的安全性对比分析

认证协议主要通过双方的随机数N1和N2以及对双方身份加密后信息的正确解密进行节点之间的身份认证，4.1节证明了加密算法的安全性，在加密算法安全时，节点之间的认证具有有效性。同时，本协议还具有以下抵御攻击的能力。

1）重放攻击［11，12］：方案通过设置挑战随机数和时间戳来防止重放攻击，每次认证过程由双方产生随机数进行身份确认，每条消息均附有时间戳，使每一次在信道中传输的消息都不相同，攻击者不能通过截获历史消息进行重放实现非法认证。

2）拒绝服务攻击：攻击者为了破坏网络的服务，可以选择对认证服务器或者认证者发动拒绝服务攻击，耗费网络资源。如果发生对认证者的拒绝服务攻击，认证者在收到申请者发送的消息时，首先会检查消息中认证者的随机数与自己之前发送的是否一致，若不一致，则丢弃该分组，这在一定程度上可以抵抗对认证节点的拒绝服务攻击。

3）双向身份认证：双向身份认证可以有效防范中间人攻击。认证过程通过对双方产生的随机数的识别与利用双方身份标识进行加密的技术结合，实现相互间身份的认证，可防范会话劫持。

4）消息完整性鉴别：通过对消息内容进行散列运算生成校验码，对消息内容的完整性进行鉴别，可以有效鉴别消息是否受到破坏、篡改或失真。对散列值利用基于身份密码进行加密，保护完整性校验信息的安全性，提高可靠度。

5）完善的加密机制：认证过程消息由基于身份的加密机制进行加密保护，有效保护了传输信息的安全性，防止受到劫获与窃听。同时，基于节点身份的加密与解密过程也具有对节点身份的认证作用，与认证内容相互补充。

如表 3所示，与现在网络上广泛使用的Kerberos、SSL等认证协议相比［13］，方案中的认证协议采用了基于身份的密码体制，不需要用数字证书绑定节点的身份与公钥，节省了证书的生产、存储、使用成本；在大规模的网络中不需要建立复杂的CA认证体系，节约了系统的构建成本，减少了系统的复杂度。与单纯的基于身份密码体制的认证相比，方案中加入了随机因子、认证码等因素，提高了认证的安全可靠性。

表3　认证协议对比

5　结束语

本文对Waters的基于身份加密算法进行了改进，解决了基于身份密码的密钥托管问题，并利用改进的IBE算法设计了网络通信设备节点的双向认证方案。认证方案以加密为基础实现节点的身份认证，实现了通信设备节点间的双向认证，利用随机因子与散列值防范各种网络攻击。与传统节点认证方案相比，本文方案免去了数字证书的管理，直接以节点身份作为公钥，节约了管理成本，提高了使用效率。同时，本文方案将 IBE

体制融合入认证协议中，从算法和协议两方面保证了认证的安全性，与其他基于身份的密码相比，

在保证安全性的同时最大限度地保证认证的效率与通信流量的控制。在下一步工作中，还需要进一步改进加密方案，提高解密的效率；对认证协议优化，不断提高方案的运行效率。

［1］黎妹红， 韩磊. 身份认证技术及应用［M］. 北京： 北京邮电大学出版社， 2012. LI M H， HAN L. Identity authentication technology and application［M］. Beijing： Beijing University of Posts and Telecommunications Press， 2012.

［2］ESCHENAUER L， GLIGOR V. A key-management scheme for distributed sensor networks［C］//The 9th ACM Conference on Computer and Communications Security. c2002： 41-47.

［3］DU W， DENG J， HAN Y S， et al. A pairwise key pre-distribution scheme for wireless sensor networks ［J］. ACM Transaction on Information and System Security， 2005， 8（2）： 228-258.

［4］LIU D， NING P. Establishing pairwise keys in distributed sensor networks［C］//The 10th ACM Conference on Computer and Communications Security. c2003： 52-61.

［5］杨浩淼， 邱乐德. 基于身份的公钥密码体制的研究［M］. 成都：电子科技大学出版社， 2012. YANG H M， QIU L D. Research on identity-based public key cryptosystem ［M］. Chengdu： University of Electronic Science and Technology Press， 2012.

［6］邓伦治， 王祥斌， 瞿云云. 高效的基于身份的签密方案［J］. 计算机工程与科学， 2014， 36（3）： 441-445. DENG L Z， WANG X B， QU Y Y. High-efficient signcryption scheme based on identity［J］. Computer Engineering & Science， 2014， 36（3）：441-445.

［7］马陵勇， 卓泽朋， 廉玉忠.新的无证书签密方案［J］. 吉林师范大学学报， 2014， 3： 93-95. MA L Y， ZHUO Z P， LIAN Y Z. New certificateless signcryption scheme［J］. Journal of Jilin Normal University， 2014， 3：93-95

［8］胡亮， 赵阔， 袁巍， 等. 基于身份的密码学［M］. 北京： 高等教育出版社， 2011. HU L， ZHAO K， YUAN W， et al. The cryptography based on identity［M］. Beijing： Higher Education Press， 2011.

［9］BONEC D， FRANKLIN M. Identity-based encryption from the weil pairing［J］. Siam Journal on Computing， 2003， 32（3）： 213-229.

［10］李发根， 吴威峰. 基于配对的密码学［M］. 北京： 科学出版社，2014. LI F G， WU W F. Based on the matching of cryptography ［M］. Beijing：Science Press， 2014.

［11］张丽， 郝身刚， 岳贤锋.基于双线性映射的匿名跨域认证方案［J］.河南师范大学学报，2013， 41（1）： 155-158. ZHANG L， HAO S G， QIU X F. An anonymous autentication for multi-domain based on the bilinear map［J］. Journal of Henan Normal University， 2013， 41（1）：155-158.

［12］刘团奇， 张浩军， 赵志鹏. 一种云环境下基于身份的统一身份认证方案研究［J］. 中原工学院学报， 2015： 26（4）： 55-58. LIU T Q， ZHANG H J， ZHAO Z P. A unified identity authentication scheme research in cloud with ID-based［J］. Journal of Zhongyuan Institute of Technology， 2015， 26 （4）： 55-58.

［13］叶清. 网络安全原理［M］. 武汉： 武汉大学出版社， 2014. YE Q. Network security principle［M］. Wuhan： Wuhan University Press， 2014.

Identity authentication scheme based on identity-based encryption

HUANG Ren-ji， WU Xiao-ping， LI Hong-cheng

（Department of Information Security， Naval University of Engineering， Wuhan 430033， China）

In large-scale communication nodes network， there are a large number of network nodes and so many types of equipment. So there are problems of certificate management difficulties and resource waste in the traditional PKI cryptosystem. A mutual node authentication scheme based on identity-based encryption， which solved the problem of the digital certificate management in the PKI system by the identity-based encryption and the key escrow problem in identity based cryptograph by splitting the key as well， was designed. At the same time， the introduction of random factor， timestamp and hash algorithm in the authentication protocol prevented various network attacks. Finally， the security and efficiency of the encryption algorithm and the security of the authentication protocol were analyzed， which proved the security and reliability of the authentication scheme.

node identity authentication， identity based cryptograph， key escrow， encryption

TP309.7

A

10.11959/j.issn.2096-109x.2016.00047

2016-04-07；

2016-05-06。通信作者：黄仁季，wuyingjituan@163.com

国家自然科学基金资助项目（No.61100042）；湖北省自然科学基金资助项目（No.2015CFC867）；国家社会科学基金军事学资助项目（No.15GJ003-201）

Foundation Items： The National Natural Science Foundation of China （No.61100042）， The Natural Science Foundation of Hubei Province （No.2015CFC867）， The National Social Science Found Project in Military Science （No.15GJ003-201）

黄仁季（1994-），男，山东青岛人，海军工程大学硕士生，主要研究方向为信息网络安全。

吴晓平（1961-），男，山西新绛人，博士，海军工程大学教授、博士生导师，主要研究方向为信息安全、密码学。

李洪成（1991-），男，河南商丘人，海军工程大学博士生，主要研究方向为信息安全、数据挖掘。