一个基于门限思想的身份认证协议.doc

一个基于门限思想的身份认证协议摘要 本文提出了一个基于门限思想的身份认证协议。该协议适用于开放式网络环境中有多个服务提供者和用户请求服务需要保密的情况，同时，它还能实现会话密钥交换功能。与Lee-chang协议1相比，我们提出的这个协议降低了通信量和计算量，并且能克服Lee-chang协议存在的两个安全缺陷。关键词 身份认证；密钥交换；开放式网络环境；门限思想 A user identification scheme based on threshold ideaAbstract In this paper, we present a user identification scheme based on threshold idea. This scheme is valuable especially when it applied to some applications in which the identity of user should be protected when he requests a service and there are many service providers in the distributed computer network. Compared with the Lee-chang scheme, our scheme not only reduces computational complexities and communication cost, but also eliminate the two security leaks of the Lee-chang scheme.Keywords user identification; key exchange; distributed computer network; threshold idea1引言开放式的计算机网络给人们带来了种种便利，例如共享信息资源，共享计算资源等等。但是，开放式的网络环境同样也带了一些问题，比如哪些用户能够访问某些保密信息，这些用户最高访问权限又是多少等等。要解决这些问题，我们就必须建立一些有效的体制。而在所有体制中，身份认证体制是保护系统免遭恶意攻击者破坏的第一道屏障。所以如何设计有效的身份认证协议受到了广泛的关注。由许多学者设计了自己的协议，例如Harn协议2、Purdy协议2和Schnorr协议3等等。但是这些协议仅仅适用于单服务的网络环境，即该网络中只有一个服务提供者。假如网络中有多个服务提供者，那么用户必须存放大量秘密信息，以便对不同的服务提供者完成身份认证。这在实际应用中是一个很严重的缺陷。在2000年，Lee和chang 提出了一个身份认证协议解决了上述问题。他们的协议有下列特点（1）用户可以做到在请求服务时，除了该服务的提供者不向其他系统成员（包括用户和服务提供者）泄露自己的身份。（2）每个用户只需保存少量秘密信息。（3）服务提供者不需要为每个用户都保存一个秘密信息。（4）具有密钥交换能力，协议执行完毕能生成一个新的会话密钥。尽管如此，Lee-chang协议仍然存在着两个安全缺陷。本文将提出一个基于门限思想的身份认证协议，它不仅具备Lee-chang协议的四个特点，而且能克服Lee-chang协议的安全缺陷。在通信量和计算量方面，它也优于Lee-chang协议。2Lee-chang协议Lee-chang协议由两个阶段组成，即密钥生成阶段和用户认证阶段。协议中还存在一个密钥管理中心，我们将它表示为KMC。KMC的作用是在密钥生成阶段向各系统成员（包括用户和服务提供者）发放秘密信息。我们用P来表示服务提供者，用U来表示用户。密钥生成阶段：KMC选择两个大素数和，并计算，再选择和一个hash函数，然后再选择和使得。选完之后，将参数作为公开参数，将，作为秘密参数由KMC保存。最后将所有系统成员统一编号，将秘密信息发送给第号成员（或）,是第号成员的身份标识。用户认证阶段：假设现在是用户向服务提供者请求服务。协议步骤如下：（1）向发送一个服务请求。（2）选择一个随机数，并计算。（3）将发送给。（4）选择两个随机数和，并计算。（其中为时间戳，防止重放攻击）（5）向发送()。（6）验证等式是否对某个确实存在的用户身份成立。如果成立，将确认用户身份，并同意提供服务。（7）计算，计算，即为新的会话密钥。Lee-chang协议存在的安全缺陷：第一个缺陷是Lee-chang协议仅仅提供了单向的认证，即用户需要提供认证，而服务提供者不需要提供认证。这样一来，用户不知道他在和谁通信，如果通信过程中需要交换一些机密的信息，就带来了安全隐患。攻击者可以冒充某个服务提供者和用户进行通信，在执行完协议后，这个攻击者完全可以获得本次会话密钥，从而能够解密用户随后发来的一些机密信息。第二个缺陷是攻击者在获取了某个会话密钥后，可以获知这个请求服务用户是谁。理由是从验证等式和计算会话密钥等式，我们可以得出，通过这个等式和公开信息()，攻击者可以计算出，并判断出该用户是谁。3基于门限思想的身份认证协议我们提出的这个协议同样分为两个阶段，即密钥生成阶段和用户认证阶段。协议中同样存在一个密钥管理中心KMC，它的作用也是在密钥生成阶段向系统各成员分发秘密信息。我们用P来表示服务提供者，用U来表示用户，用来表示服务提供者的标识，用来表示用户标识。密钥生成阶段：(1) KMC选择两个大素数和，并计算，再选择和一个hash函数，然后再选择和使得，参数作为公开参数，作为秘密参数由KMC保存。(2) KMC对所有用户编号（假设有m个用户），再计算，其中是第号用户的身份标识。(3) KMC先选择2个随机数，再对所有服务提供者编号（假设有n个服务提供者），然后对每一个服务提供者在上构造一个m+1次的多项式。例如对号服务提供者，构造多项式。（这样设计使得并且，）(4) KMC在上选择2个数，再对n个多项式分别计算。（）(5) KMC在上计算，再计算。（）(6) KMC将()秘密发送给第号用户（），将秘密发送给第号服务提供者（）。 用户认证阶段： 假设现在是用户向服务提供者请求服务。协议步骤如下：（1）向发送一个服务请求。（2）选择一个随机数，并计算（3）将发送给。（4）计算；再选择一个随机数，计算；再计算。（5）向发送()。（6）验证等式，是否对某个确实存在的用户身份成立。如果成立，将确认用户身份，并同意提供服务。（7）计算；计算，即为新的会话密钥。协议的安全性分析：攻击者在获取了会话密钥之后，不可能推出请求服务的用户的身份。因为验证身份的等式，攻击者必须首先确定。但是，会话密钥，攻击者在知道、和的情况下，不可能计算出。这是由因子分解问题的困难性保证的。攻击者也不可能冒充某个服务提供者和某个用户执行协议，从而得出会话密钥。这是因为攻击者不知道的秘密信息，而，且，所以攻击者必须伪造出一对（）满足等式，他才能和最后生成会话密钥。但是由于攻击者不知道，也就是说等式中还有一个未知量，所以攻击者无法伪造出满足等式的（）。攻击者不可能伪造出身份验证信息()。因为（）必须满足等式，其中是用户的秘密信息，也就是说等式中还有一个未知量，所以攻击者不可能找出满足等式的()。攻击者无法获取用户秘密信息。这是因为或者，攻击者在只知道，不知道的情况下，不可能计算出。这是由因子分解问题的困难性保证的。4两个协议的性能比较 本节将在通信量和计算量两方面对Lee-Chang协议和我们的协议作一个比较。由于密钥生成阶段只在初始化时执行一次，所以我们只评估用户认证阶段的性能。主要评价参数如下： ：执行一次模指数运算所需的时间。：的比特长度。Lee-Chang协议我们的协议通信量的计算量的计算量 表1 Lee-Chang协议和我们的协议之间的性能比较由表1可知我们的协议在通信量和计算量两方面都优于Lee-Chang协议。5结论 本文首先分析了Lee-Chang协议的安全缺陷，随后提出了一个基于门限思想的身份认证协议。这个协议适用于开放网络环境下用户请求服务需要保密的情况，并且它能实现会话密钥交换功能。这个协议克服了Lee-Chang协议的两个安全缺陷，并且在性能上也优于Lee-Chang协议。参考文献：1 Lee WB, Chang CC. User identification and key distribution maintaining anonymity for distributed computer network. Comput Syst Sci Eng 2000; 15(4): 211-4.2 Harn L, Huang D, Laih CS. Password authentication using public key cryptography. Comput Math Appl 1989; 18(12): 1001-17.3 Purdy GB. A high security login procedure. Commun ACM 1974; 17(8): 442-5.4 Schnorr CP. Efficient identification and signature for smart cards. Advances in cryptology-CRYPTO89, Berlin: Springer-verlag; 1989, p. 239-52.