基于身份的密钥协商协议使用对称平衡不完全块设计外文翻译资料

英语原文共 10 页，剩余内容已隐藏，支付完成后下载完整资料

基于身份的密钥协商协议使用对称平衡不完全块设计

Jian Shen, Sangman Moh, and Ilyong Chung

摘要：密钥协商协议是密码学中的一个基本协议，其中两个或多个参与者同意使用相同的会话密钥以便于在他们之间安全的通信。在这种情况下，参与者们可以互相安全地发送和接收信息。没有会话密钥许可的敌手将不能解密消息。在本文中，我们提供了一个新颖的基于身份的使用对称不平衡完全块多用户认证密钥协商协议。我们的论文是建立在椭圆曲线密码机制上，利用了一种称作Weil配对的双线性映射。提出的协议可以提供基于身份的认证服务，抵抗不同的密钥攻击。而且，我们的协议是高效的而且仅需要两轮产生一个会话密钥。值得注意的是产生密钥的通信成本仅为O(n),而且计算成本仅为O(nm²),其中n为参与者的数量，m为有限域的扩展程度。另外，为了抵抗恶意参与者不同密钥攻击，我们的协议可以进一步扩展，提供容错属性。

关键词：密钥协商协议，对称平衡不完全区组设计SBIBD，Weil配对

1. 说明

随着网络和密码学的技术发展，会话密钥协议已经在多种应用领域上进行研究，例如电话会议，董事会会议，科学讨论等等。会话密钥协议有两种不同的类型。第一种是会话密钥分发协议，在此协议中有一个中央控制器选择会话密钥，并将此密钥分发给参与者。这种类型的密钥协议在文献[1]-[8]中已经被提出。第二种是会话密钥协商协议，所有的参与者在没有任何中央控制器的情况下共同为一个公共密钥做贡献。后一种协议适用于分布式环境而且有很好的灵活性。有关密钥协商的协议涵盖在文献[9]-[18]中。

密钥协商协议是密码学中的一个基本协议，其中两个或多个参与者同意使用相同的会话密钥以便于在他们之间安全的通信。在这种情况下，参与者们可以互相安全地发送和接收信息。没有会话密钥许可的敌手将不能解密消息。

第一个现代的密钥协商协议是Diffie-Hellman协议[11]，但是因为它没有尝试认证通信双方，所以会受到中间人的攻击。另外，它仅仅适用于两个参与者。后来，认证密钥协商协议被Law等人提出。在[14]中，认证的解决方法是将密钥协商协议与数字签名相结合。在密钥协商协议上一个突破是由Joux在[12]中提出的三方密钥协商协议。Joux的协议使用Weil配对在三个用户之间生成一个公共会话密钥，但是它仍然没有认证服务。为了在一个组里生成一个公共密钥，Barua等人在[10]中将Joux的协议扩展到多人密钥协商协议。容错会话密钥协商协议在[16]和[18]中被提出。特别地，在[18]中，Yi提出一个使用Weil配对基于身份的容错性密钥协商协议。但是，[18]需要一个被称为会话桥的中央控制器，它需要更多的计算能力，这就导致缺少灵活性。

这本文中，我们提出一个新型基于身份的可认证多方使用对称平衡不完全块设计的密钥协商协议（SBIBD）。我们的论文是建立在椭圆曲线密码机制上，利用了一种称作Weil配对的双线性映射。提出的协议可以提供基于身份的认证服务，抵抗不同的密钥攻击。而且，我们的协议是高效的而且仅需要两轮产生一个会话密钥。值得注意的是产生密钥的通信成本仅为O(n)，而且计算成本仅为O(nm²)，与Yi的需要一轮计算会话密钥相比，Yi的协议通信成本为O(n²)，计算成本为O(n²m²)。在这里，n为参与者的数量，m为有限域的扩展程度。我们的协议是建立在一个使用SBIBD 的分散模式，它使公共会话密钥的计算对每一个用户都更有效和便利。与集中模式相比，我们认为分散模式在密钥协商协议里更有前景。所呈现的协议可以抵抗被动攻击和主动攻击。我们协议对抗被动敌手的安全性可以被证明。另一方面，我们的协议可以提供一些好的安全特性抵抗主动敌手，例如隐式密钥认证，已知会话密钥攻击抵抗，极好的前向安全，密钥泄露伪装性，信息丢失和无密钥控制。另外，为了抵抗恶意参与者不同密钥攻击，我们的协议可以进一步扩展，提供容错属性，这将在第七部分解释。

本文的其余部分做如下安排：在下一部分中，简单总计一些数学知识。协议的模型在第三节简要介绍。基于身份的采用SBIBD密钥协商协议在第四部分详细介绍。安全分析和性能分析分别在第五节和第六节给出。另外关于容错的讨论在第七节中展示。最后本文的贡献在第八节中给出。

1. 前言
2. Weil 配对

令p是一个素数，对于一些素数q，p=6q-1，一个由Wwierstrass方程y²=x³ 1定义的超频椭圆曲线E超过F_p。有理点群E(F_p)={(x,y)F_pF_p:(x,y)E}组成一个阶数为p 1的循环群。而且，因为对于一些素数q有p 1=6q，来自于E(F_p)的一个q阶循环子群称为G₁。让为G₁的生成元，G₂是的包含所有元素的q阶子群。

定义1：我们假设离散对数问题（DLP）在G₁和G₂中是难解的。ecirc;是两个群G₁和G₂的一个双线性映射.修改的Weil配对是一个映射

ecirc;：G₁G₁G₂，

其具有以下属性：

1. 双线性：对于任意的G₁且a,bZ，我们就有ecirc;(a,b)=ecirc;()^ab。
2. 非退化：如果是G₁的生成元，那么ecirc;()是G₂的生成元。
3. 可计算：给G₁，有一个高效的方法计算ecirc;()。
4. 对于任意G₁，

ecirc;(，)=ecirc;(，)ecirc;(，)，

ecirc;(，)=ecirc;(，)ecirc;(，)。

1. 无交换：对于任意G₁，

ecirc;()ecirc;()。

Weil配对的更多细节在[19]，[20]和[21]中有提及。

1. 块设计

在组合数学中，块设计是一种特殊的超图或集合系统[22]，它在实验设计，有限几何，软件测试，密码学和代数几何中都有应用。平衡不完全块设计（SBIBD）在下面给出定义。

定义2：给出一个有限集合X={}，是X元素的数量。让是块的数量，k是X子集中元素的数量，r和是参数。X的平衡不完全块设计（SBIBD）是b个含k个元素的X的子集的集（k个元素的子集表示为B₁，B₂hellip;B_b），使得满足以下条件：

1. 每个元素恰好在b个块中出现r次。
2. 两个元素在b个块中同时出现的次数为。
3. k。
4. bv（根据Fisher不等式）。相等的情况被称为对称设计

因为BIBD的特征为五个参数b,v,r,k,，所以它又被称为（b,v,t,k,）设计。明显的是五个参数不是独立的。换句话说，存在一个BIBD，对参数取任意值是不可能的。但是，某个（b,v,r,k,）设计没有足够的已知条件。我们给出一些参数之间的联系，这些参数对存在的（b,v,t,k,）设计是必须的条件。根据[23]中证明的定理，两个在BIBD中联系这些参数基本的方程是：bk=vr和。

代替一系列含k个元素的子集，BIBD可以被描述为关系矩阵，是一个含若干0和1的（bv）矩阵。矩阵的行和列分别对应块和元素。如果B_i块包含元素x_j则矩阵的第i行第j列为1，其余元素为0。

即在b=v（且r=k）的情况下，块的数量与元素的数量是相同的，平衡不完全块设计被称为对称平衡不完全块设计（SBIBD）。因此，SBIBD也可以称为（v,k,）设计。

1. 模型

我们的协议建立在分散模式基础上。系统中的消息分发是以组播的形式。在本协议中含有密钥产生器，一些可靠会话用户和敌手。注意到这里没有中央管理器例如会话桥或者会话管理者去接收来自用户的消息，去处理这些消息或者将处理结果广播给用户。协议中的用户是一个概率多项式时间图灵机，敌手也是如此。用户之间不存在专用通道。有两种攻击方式：被动敌手和主动敌手。被动敌手是试图通过多播窃听得到关于会话密钥的信息的人，而主动敌手是试图假冒用户或者破坏会话的人。

我们协议的安全性是基于椭圆曲线的离散对数问题（DLP）[24]和称为双线性Diffie-Hellman假设（BDH）的计算Diffie-Hellman假设的变体[19]。在（G₁，G₂，ecirc;）中双线性Diffie-Hellman问题被定义如下：对于一些a,b,c给（），计算W=ecirc;()^abcG₂,其中是G₁的生成元。如果有Pr[（）=ecirc;()^abc]，其中概率是基于a,b,c,的随机选择且随机比特的，称算法在解决BDH问题（G₁，G₂，ecirc;）上有优势。BDH假设表明，没有多项式时间算法至少有优势解决BDH问题（G₁，G₂，ecirc;）。

1. 基于身份的密钥协商协议采用SBIBD
2. 初始部分

为了通过安全渠道向参与者发出私钥，密钥生成中心（KGC）被作为可信的第三方。在我们的协议中，每个用户向KGC注册并获取私钥。之后，每个成员都可以处理密钥协商去计算公共会话密钥。首先，被信任的KGC选择两个素数阶群G₁，G₂和一个定义1中修改后的Weil对映射ecirc;。接下来，KGC选择两个单项散列函数

H₁：{0,1}^*，

H₂：{0,1}^*

其中H₁是从它的任意长度到G₁中非零点的映射，H₂是它的长度到非零整数的映射。最后，KGC选择一个随机整数s作为它的私钥，计算它的公钥=s，发布{p，q，G₁，G₂，，ecirc;，，H₁，H₂}，但s是保密的。

每个用户U_i的ID_i{0,1}^*。KGC计算U_i的公钥=H₁（ID_i），则U_i的私钥为=s,通过安全信道发给U_i。

此外，为了支持认证，KGC选择p^*, q^*,计算n= q^*p^*, q^*和p^*都是素数。之后，对于每个用户选择一个相对大的整数e_i,e_i是相对于（p^*-1）（q^*-1）的素数，d_i由e_id_i=1mod（p^*-1）（q^*-1）决定。KGC分发（e_i，n）给所有的用户。用户i计算=,其中= H₂（ID_i），使（d_i，）保密。

B．密钥协商部分

公共会话密钥由SBIBD计算，块的数量与元素的数量相同。我们选择（7,3,1）设计。取一个有限集X={1,2,3,4,5,6,7}，则。因此，一个（77）的关系矩阵设计为图1。矩阵的行和列分别指代块和元素。若果块i中包含元素j则中第i行第j列元素l_ij为1，否则为0。

为了产生公共会话密钥，每个都收到采用（7,3,1）设计结构的关系矩阵选择的用户的保密消息。为了计算公共会话密钥，我们的协议需要两轮。

第一轮：每个用户U_i选择一个随机数r_i作为每次会话的密钥，然后计算=ecirc;（，e_ir_iS_i）。同时，为了达到基于身份认证的目的，U_i需要计算=X_i。注意X_i=，=H₂（，t_i），其中Y_i=H₂（ID_i），t_i是时间戳。在我们的协议中，如果l_ij=1且ji，jB_i-{i}，则用户i收到来自用户j的信息D_j。让D_j={Y_j,,,}。被用来生成会话密钥，而{Y_j,,}被用来认证，这部分将在下面介绍。我们现在一用户U₁的视角描述密钥协商过程。U₁从U₂和U₄收到D₂={Y₂,,,}，D<sub

剩余内容已隐藏，支付完成后下载完整资料</sub

资料编号：[25398]，资料为PDF文档或Word文档，PDF文档可免费转换为Word