完美前向安全的匿名会议密钥分配协议

丰继林，高焕芝，高方平

(防灾科技学院 灾害信息工程系，北京，101601)

摘  要：为了克服当前大多数匿名会议密钥建立协议都只能提供部分前向安全性，不能提供完美前向安全性的缺点，利用基于身份的密码体制和双线性配对，提出一个匿名会议分配协议，在单向哈希函数(OWH)和Diffie-Hellman (BDH)假设的保护下，该协议能够抵抗被动攻击、假冒攻击和共谋攻击。同时，通过让私钥生成器(PKG)为所有的参与者分配1个随机数。研究结果表明，该协议能够提供完美前向安全性，即使所有参与者(包括会议主席)的私钥受到了威胁，之前由会议主席使用这些私钥建立并且分配的会议密钥也不会受到威胁。

关键词：会议密钥分配；完美前向安全；匿名性；身份

中图分类号：TP309       文献标识码：A         文章编号：1672-7207(2008)05-1064-04

Anonymous conference key distribution scheme with

 perfect forward security

FENG Ji-lin, GAO Huan-zhi, GAO Fang-ping

(Department of Information Technology, Institute of Disaster Prevention Science and Technology, Beijing 101601, China)

Abstract: Based on the fact that most anonymous conference key distribution (CKD) systems cannot provide forward security, which is a very important property, even though some CKD systems provide the property, they can only provide partial forward security, but not perfect forward security, an identity-based CKD scheme with user anonymity was proposed. Under the one-way hash (OWH) and bilinear Diffie-Hellman (BDH) cryptographic assumptions, the proposed scheme is secure against passive attacks, impersonation attacks and conspiracy attacks. Moreover it can distribute a random number to the participants through the private key generator (PKG). The results show that this scheme provides perfect forward security, that is, even if the private keys of all the participants (including the chairman) are compromised, the conference key contributed by the chairman in the past will not be compromised.

Key words: conference key distribution (CKD); perfect forward security; user anonymity; identity

近几年来，网络会议在科技化时代应用广泛，并且发展迅猛，它与即时通信席卷整个多媒体会议市场。此类模式能提高工作效率，降低工作成本，并且操作简单。

会议密钥分配协议用于向所有的网络会议参与者分配1个会议密钥，会议参与者在得到该密钥后，就可以通过公开的网络建立安全通信。然而，非会议参与者不能得到关于该密钥的任何信息，也不能获得会议参与者之间的通信信息。

在网络选举或者其他网络会议中，为了保证会议参与者不会受到其他参与者的影响而做出公正的决定，参与者的身份应该是保密的。匿名会议密钥分配协议的主要特征是：除了会议主席知道其他参与者的身份信息之外，其他参与者对彼此都是匿名的，而且非参与者也不知道参与者的身份信息。从1997年开始，许多研究者^[1-6]对匿名会议密钥进行了研究，然而，大多数匿名会议都不能提供前向安全性, 即使有的匿名会议密钥分配协议提供了前向安全性，也只能保证会议主席的部分前向安全性，不能保证所有会议成员的完美前向安全性。1999年，Tseng等^[7]提出2个匿名的会议密钥分配协议，其中第2个协议满足会议主席的前向安全性要求，也就是说，当会议主席的私钥泄露时，以前由该会议主席分配的会议密钥不会泄露。然而，Yang等^[8]指出Tseng等提出的第2个协议不能够抵抗共谋攻击。2007年，Cai等^[2]提出一个部分前向安全的会议密钥分配协议，也就是会议主席私钥的泄露不会导致以前由该会议主席分配的会议密钥的泄露，但是，除了会议主席之外的任何一个参与者的私钥泄露都能够导致会议密钥泄露。在此，本文作者提出一个使用双线性配对的匿名会议密钥分配协议，该协议简单高效，并且能够提供完美前向安全性，也就是说，不但会议主席的私钥泄露不能导致会议密钥泄露，而且所有参与者的私钥泄露都不会导致会议密钥泄露。同时，在BDH假设和OWH假设的保护下，该协议还能够抵抗假扮攻击和共谋攻击。

1  预备知识

1.1  双线性配对

设定(G₁, +)和(G₂, ?)为2个q阶循环群。双线性配对：满足如下属性^[9-10]：

a. 双线性。对于任意和，存在，? 和。

b. 非退化性。存在，使得不等于的单位元。

c. 可计算性：对于任意，存在一个高效的算法计算。

利用椭圆曲线上的Weil配对和Tate配对可以构造满足以上条件的双线性配对。

1.2  基于身份密码体制

基于身份的公钥密钥体制允许把用户的公共信息如姓名、地址、电子信箱等作为用户的公钥，而不是用1个任意字符串做为其公钥。用户的私钥由1个私钥生成器(PKG)的可信第3方(PKG)生成并且通过安全信道发送给用户^[11-12]。

由双线性配对实现的基于身份的密码体制可以按下面步骤完成：

a. 选取G₁为一个q阶循环加法群，其生成元为P，G_­2是一个q阶循环乘法群。双线性配对为。定义一个单向哈希函数H: {0, 1}^* →G₁。

b. PKG选择1个随机数并设置P_pub=sP。PKG公布系统参数{G₁, G₂, , q, P, P_pub, H}，并且将s作为主密钥保存起来。

c. 用户提交他的身份信息ID给PKG并向PKG验证自己的身份。PKG计算用户的私钥为D_ID=sQ_ID=sH(ID)，并且通过安全信道将其传递给该用户。

1.3  前向安全性

前向安全性包括数字鉴名协议中的前向安全性、会议密钥协商协议中的前向安全性和会议密钥分配协议中的前向安全性。

数字签名协议中的前向安全性^[13]是指将时间分成多个时间段(周期)，在每个时间段私钥都有改变，而公钥则一直保持不变。即使某个时间段(周期)的私钥被泄漏，攻击者仍无法求解出前面时间段的私钥，从而也就无法伪造前面时间段的签名。

会议密钥协商协议中的前向安全性^[14]是指如果1个或者多个参与者的长期私钥泄露而不会导致之前建立的会议密钥泄露，便说该协议是满足部分前向安全性的，如果所有参与者的长期私钥泄露而不会导致会议密钥泄露，便说该协议是满足完美前向安全性的。

会议密钥分配协议中的前向安全性是指如果1个或者多个参与者(包括会议主席)的私钥泄露而不会导致会议密钥泄露，便说该协议满足部分前向安全性，如果所有参与者(包括会议主席)的私钥泄露都不会导致会议密钥泄露，便说该协议满足完美前向安全性。

2  匿名会议密钥分配协议

本协议由3个阶段组成：系统初始化阶段，会议密钥分配阶段和会议密钥恢复阶段。

2.1  系统初始化

首先，PKG生成并且公布{G₁, G₂, , q, P, P_pub, H}，将s保密。假定U={U₁, U₂, …, U_n}是会议参与者集合，U₀是会议主席。对于每个参与者U_i(i=0, …, n)来说，其身份信息为，PKG通过安全信道把U_i的私钥d_ID发送给U_i。除此之外，PKG选择1个随机数并且把r通过安全信道和一起发送给U_i。

2.2  会议密钥分配

在会议密钥分配阶段，U₀执行以下步骤把会议密钥分配给其他会议参与者：

a. 从系统中获得时间戳T。

b. 计算和，其中i=(1, …, n)；“||”代表连接操作；单向哈希函数。

c. 随机选择一个会议密钥，创建一个通过n个点的度数为n的多项式P(x)= ，其中。

    d. 计算哈希函数值：。

    e. 将信息广播给所有的会议参与者。

2.3  会议密钥恢复

在会议密钥恢复阶段，每个会议参与者在接收到消息之后执行如下步骤恢复会议密钥：

a. 检查T的合法性，若T过期，则结束会议密钥恢复阶段。

b. 计算。

c. 计算：

 。

d. 通过验证等式是否成立来检查CK是否正确。

3  安全性分析

3.1  正确性

定理1  若所有会议参与者都遵守本协议，则他们能够得到共同的会议密钥CK并且能够确认CK的正确性。

证明  在获得消息M之后，对于每个会议参与者U_i(i=1, …, n)，都有

从而有 。而且，U_i可以通过检查等式是否成立来验证所得会议密钥CK是否正确。

3.2  抗被动攻击性

定理2  所有会议参与者的身份信息不但对于非会议参与者是保密的，而且对于其他会议参与者也是保密的。

证明  对于每个会议参与者U_i(i=1, …, n)，他可能会通过寻找方程P(x)=CKmodq的解来获得其他参与者的身份信息ID_j(1≤j≤n, i≠j)。然而，从h_j中获得ID_j是基于BDH假设和OWH假设的。因此，本协议能够保证会议参与者的身份不但对非会议参与者，而且对其他会议参与者也都是保密的。

定理3  偷听者不能从偷听到的信息中获得会议密钥CK。

证明  通过消息M，偷听者可以得到度数为n的多项式P(x)=x_n+c_n-1x^n-1+…+c₁x+c₀modq。偷听者若想得到会议密钥CK，必须获得下列信息之一：

a. 私钥和随机数r；

b. 随机数r，会议主席的私钥和U_i的身份信息；

c. 随机数r，PKG的主密钥s和U_i的身份信息。然而，U_i是匿名的，从截获到的信息中计算得到这些参数等价于BDH难题。因此，偷听者不能从截获到的信息中得到CK的值。

3.3  抗假冒攻击性和抗共谋攻击性

定理4(抗假冒攻击性)  攻击者不能通过重放截获的信息或者伪造信息来假冒会议主席召开会议。

证明  为了保证会议参与者能够在会议密钥恢复阶段验证时间戳T的合法性，攻击者应该设定1个新的T。然后，参与者计算，利用解出CK，通过验证等式H(CK||ID₀||T)=V是否成立来验证CK是否正确。然而，攻击者在不知道的情况下并不能伪造出一个合法的CK。因此，攻击者不能通过重放截获的信息或者伪造信息来假冒会议主席召开会议。

定理5(抗共谋攻击性)  共谋参与者不能通过成功重放截获的信息或者伪造信息来以会议主席的名义发起会议。

证明  定理4已经说明，在不知道的情况下是不能伪造出合法的CK的。共谋参与者能够在会议密钥恢复阶段之后获得1个共同的会议密钥，但是由于他们不知道，所以，也不能从获得的信息中得到，因此，共谋攻击者不能通过成功重放截获的信息或者伪造信息来以会议主席的名义发起会议。

定理6  共谋攻击者不能成功地揭示其他会议参与者的身份信息。

证明  在揭示其他会议参与者身份信息方面，共谋攻击者获得的信息并不比1个会议参与者获得的信息多，因此，根据定理2，共谋参与者不能成功地揭示其他参与者的身份信息。

3.4  前向安全性

定理7  不管有多少个会议参与者(包括主席)的私钥泄漏，都不会导致会议密钥泄漏。

证明  若攻击者获得了1个会议参与者(可能是会议主席)的私钥，为了获得会议密钥，他必须还要获得随机数r。同样，如果攻击者获得了多个会议参与者(可能包括会议主席)的私钥，为了获得会议密钥，他仍然还需要获得随机数r。即使攻击者获得了所有会议参与者(包括会议主席)的私钥，为了获得会议密钥，他还需获得随机数r。而从中获得r等价于离散对数难题(Discrete logarithm problem, DLP)^[15]，也就是说，随机数r 保证了本协议的完美前向安全性，不管有多少个会议参与者的私钥泄漏，都不会导致会议密钥泄漏。

4  结  论

a. 利用双线性配对提出了一个新的匿名会议密钥分配协议。在BDH假设和OWH假设的保护下，该协议能够抵抗假冒攻击和共谋攻击。

b. 在协议中，PKG给所有的会议参与者都分配了1个随机数 r，从而保证了协议的完美前向安全性。也就是说，即使所有会议参与者的私钥泄露，之前由会议主席使用这些私钥建立并且分配的会议密钥也不会泄露。

c. 本协议简单、安全、高效，具有很强的实用性。

参考文献：

[1] Wu T C. Conference key distribution system with user anonymity based on algebraic approach[C]//IEE Proceedings on Computer Digital Technology. Washington D C: IEEE Computer Society, 1997: 145-148.

[2] CAI Yong-quan, WANG Ya-li. Identity-based conference key distribution protocol with user anonymity[J]. The Chinese Journal of Electronics, 2007, 16(1): 179-181.

[3] YANG Chou-chen, CHANG Ting-yi, HWANG Min-shiang. A new anonymous conference key distribution system based on the elliptic curve discrete logarithm problem[J]. Computer Standards and Interfaces, 2003, 25(2): 141-145.

[4] Lin C H, Lin C Y, Lee W. Comments on the Yang-Chang-Hwang anonymous conference key distribution system[J]. Computer Standards and Interfaces, 2004, 26(3): 171-174.

[5] Tang Q, Mitchell C J. Comments on two anonymous conference key distribution systems[J]. Computer Standards and Interfaces, 2005, 27(4): 397-400.

[6] Kim W H, Ryu E K, Im J Y, et al. New conference key agreement protocol with user anonymity[J]. Computer Standards and Interfaces, 2005, 27(2): 185-190.

[7] Tseng Y M, Jan J K. Anonymous conference key distribution systems based on discrete logarithm problem[J]. Computer Communications, 1999, 22(8): 749-754.

[8] YANG Chou-chen, CHANG Ting-yi, HWANG Min-shiang. Comment on Tseng-Jan anonymous conference key distribution system without using a one-way hash function[R]. Taipei: Department of Information Management, Chaoyang University of Technology, 2002.

[9] Tseng Y M. An improved conference-key agreement protocol with forward secrecy[J]. International Journal of Informatica, 2005, 16(2): 275-284.

[10] YANG Zong-kai, XIE Hai-tao, CHENG Wen-qing, et al. An identity-based fault-tolerant conference key distribution scheme. Parallel and distributed computing[C]//Proceedings of the Seventh International Conference on Parallel and Distributed Computing, Applications and Technologies. Washington D C: IEEE Computer Society, 2006: 389-392.

[11] Mao J, YANG Bo. Anonymous and dynamic conference-key distribution system[C]//IEEE International Symposium on Personal, Indoor and Mobile Radio Communications Proceedings. Washington D C: IEEE Computer Society, 2003: 2784-2788.

[12] LI Shi-qun, CHEN Ke-fei, LI Xiang-xue, et al. Identity based conference key distribution scheme from pairings[C]//ICCNMC 2005. Berlin: Springer-Verlag, 2005: 845-852.

[13] JING Ning, CHENG Zhong. A forward-secure (t, n) threshold signature scheme based on the elliptic curve cryptography[J]. Computer Engineer and Science, 2007, 29(2): 29-31.

[14] Oh J B, Yoon E J, Yoo K Y. An efficient ID-based authenticated key agreement protocol with pairings[C]//ISPA 2007. Berlin: Springer-Verlag, 2007: 446-456.

[15] Xun Y. Identity-based fault-tolerant conference key agreement[J]. IEEE Transactions on Dependable and Secure Computing, 2004, 1(3): 170-178.

收稿日期：2008-06-02；修回日期：2008-07-28

通信作者：高焕芝(1976-)，女，河北唐山人，讲师，从事计算机网络及安全、信息系统研究；电话：15011489714；E-mail: gaohuanzhi@fzxy.edu.cn