基于概率多项式时间进程的安全协议分析

密码学报 I S S N 2095-7025 C N 10-1195/T NJournal of Cryptologic Research^ 2021, 8(2): 282-293◎《密码学报》编辑部版权所有.E-mail:jcr@ http://w w Tel/F a x:+86-10-82789618概率型2选1不经意传输协议的方案设计*张艳硕'赵瀚森\陈H1，杨亚涛31.北京电子科技学院密码科学与技术系，北京1000702.密码科学技术国家重点实验室，北京1008783.北京电子科技学院电子与通信工程系，北京100070通信作者：张艳硕，E~mail: zhang_***************摘要：目前的2选1不经意传输协议可以分为两类：一类是接收方有50%的概率可以获取自己想得到的消息，另一类是接收方有100%的概率可以获取自己想得到的消息.考虑到复杂网络情形，以固定概率获取所需信息的接收方受到限制.本文分别在E v e n、Bellare和N a o r的2选1不经意传输协议的基础上，对接收方成功恢复所需的秘密信息的概率进行了一般化处理，使得接收方可以以一般的概率来成功恢复自己想得到的秘密信息，并分析了协议的安全性及正确性.由于概率可以根据需求进行设置，因此可以在应用方面更加灵活.关键词：不经意传输；协议；2选1;概率型；安全中图分类号：T P309.7 文献标识码：A D O I: 10.13868/ki.jcr.000437中文引用格式：张艳硕，赵瀚森，陈辉焱，杨亚涛.概率型2选1不经意传输协议的方案设计1J1.密码学报，2021, 8(2): 282-293. [DOI：10.13868/ki.jcr.000437]英文引用格式：ZHANG Y S, ZHAO H S, CHEN H Y, YANG Y T. On scheme design of probabilistic 1out of 2 oblivious transfer protocol[J]. Journal of Cryptologic Research, 2021, 8(2): 282-293. [DOI: 10.13868/ki.jcr.000437]O n S ch em e D esig n o f P rob ab ilistic 1 ou t o f 2 O b liviou s TransferP ro to co lZ H A N G Y a n-S h u o1’2，Z H A O H a n-S e n1,C H E N Hui-Y a n1,Y A N G Y a-T a o31. Department of Cryptology Science and Technology, Beijing Electronic Science & Technology Institute, Beijing 100070, China2. State Key Laboratory of Cryptology, Beijing 100878, China3. Department of Electronic and Communication Engineering, Beijing Electronic Science Technology Institute, Beijing 100070, ChinaCorresponding author: ZHANG Yan-Shuo, E-mail: **********************基金项目：国家重点研发计划（2017Y FB0801803);国家自然科学基金面上项目（61772047);中央高校基本科研业务费 (3282〇19〇2);密码科学技术国家重点实验室开放课题（M M KFKT；201804); “十三五”国家密码发展基金（MMJJ20170110) Foundation: Key Research and Development Program of China (2017YFB0801803); General Program of National N atural Science Foundation of China (61772047); Fundamental Research Funds for the Central Universities (328201902); Open Fund of State Key Laboratory of Cryptology (MMKFKT201804); National Cryptography Development Fund of T hirteenth Five-Year Plan (MMJJ20170110)收稿日期：2020-05-21 定稿日期：2020-07-27张艳碩等：概率型2选1不经意传输协议的方案设计283A b stra ct:At present,l-out-of-2 oblivious transfer protocols can be divided into two categories:one is that the receiver has a50%probability of getting the message he wants,another is that the receiver has a 100% probability to get the message he wants.Considering complex networks,the receiver who can only obtain the required information with a fixed probability will be limited.In this paper,on the basis of Even,Bellare and Naor’s l-out-of-2oblivious transfer,we generalize the probability of the receiver's successful recovery of the secret information needed,so that the receiver can recover the secret information he wants with a general probability.The security and correctness of the protocols are analyzed.Because the probability of the protocols can be set according to the needs,the protocols have more flexible applications.Key w ords:oblivious transfer;protocol;l-out-of-2; probabilistic;securityi引言不经意传输协议（oblivious transfer,O T)是密码学的一个基本协议，是一种可保护隐私的双方通信协议，通信双方可以以一种模糊化的方式传送消息.他使得服务的接收方以不经意的方式得到服务发送方输入的某些消息，这样就可以在保证接收者在不知道发送者隐私的前提下，保护接受者的隐私不被发送者所知道.因此不经意传输协议也经常作为一种基本的密码模块来实现许多密码协议的构造，如安全多方计算、零知识证明和电子合同等.不经意传输协议最初是由R a b i n M在1981年提出的，在R a b i n的方案中实现了 1选1不经意传输协议，接收方有50%的概率可以成功获取秘密信息，从此不经意传输协议逐渐成为密码学的一个重要组成部分，随着学者们的不断深入研宄，不经意传输协议也在不断的发展和完善，逐渐应用到我们生活的各个领域，如安全多方计算、电子交易、公平拍卖协议等.目前，不经意传输协议主要分为以下四个研宄方向:经典1选1不经意传输协议M、2选1不经意传输协议W、…选i不经意传输协议W和…选不经意传输协议[51.其中，2选1不经意传输协议是由E v e n W在1985年最先提出的，并随之涌现出许多基于该协议的研宄设计，如Bellare W提出的非交互式2选1不经意传输协议、N a o r M基于Bellare的协议所提出的改进方案和H u a n g基于E D D H(extended decisional Diffe-H e l l m a n)假设而设计出的2选1不经意传输协议等等，均是对2选1不经意传输协议的很好的应用扩展.我们对经典的E v e n方案…U Bellare方案和N a o r方案间研究后发现，这三个典型的2选1不经意传输协议可以根据接收方成功获取所需秘密信息的概率分为两类：一类是接收方有50%的概率可以获取自己所需的秘密信息，如E v e n方案和Bellare方案；另一类是接收方有100%的概率可以获取自己所需的秘密信息，如N a o r方案.因此，本文分别对E v e n Bellare W和N a o r的2选1不经意传输协议进行了一般化推广，提出了三个接收方可以以一般概率接受信息的概率型2选1不经意传输协议，针对三个基本方案中接收方获取信息的概率进行了一般化改进，使得接收方可以以一定的概率获取信息，且经过分析，本文所提出的三个概率型2选1不经意传输协议方案是安全、可行的.原来的E v e n方案、Bellare方案和N a o r方案中接收方获取所需信息的概率是固定的，而在我们所提出的三个概率型2选1不经意传输协议方案中，概率可以根据实际需要灵活调整，可以说，我们用一种可变换概率的方式将三个—在复杂网经典方案在概率上实现了统一的P =f的形式，而这种形式也就可以实现我们统一的目的—络中根据实际需要进行概率的灵活变化和调整，更好得适应目前复杂网络环境中不经意传输协议的信息传输需求.2不经意传输协议不经意传输协议经过多年的研究发展，逐渐成为密码学的一个重要组件.目前不经意传输协议的研究主要分为四类：经典1选1不经意传输协议i21、2选1不经意传输协议M、n选1不经意传输协议W和n选fc不经意传输协议这四类不经意传输协议在后续的研究中均有很大的进展.284JowrnaZ 〇/CVyp<oZogic i?esearc/i 密码学报 Vol.8，No.2,A pr.2021经典1选1不经意传输协议在1981年由R abin121第一次提出，在R a b i n的方案中，接收方有50%的概率可以成功获取发送方所持有的唯一的秘密信息，且发送方并不知道接收方到底是否得到了秘密信息，此方案是基于二次剩余计算的.在2009年，郑天翔等人[31将R a b i n方案中的二次剩余替换成三次剩余，对R a b i n方案进行了改进.2选1不经意传输协议首先由E v e n W在1985年提出，是结合电子商务通信时代的背景所构建的一种通信协议，这种方案是由发送方向接收方秘密传送两个秘密消息，而接收方只能接收其中一个秘密消息，且发送方也不知道接收方所接收的是哪一个秘密消息，这样就保证了双方的隐私性.1987年，Goldreich等人用2选1不经意传输协议构造了一种安全多方计算方案；2008年，P a r a k h [111基于Diffie-Hellman 方案，为实现不经意传输的传统方法提供了一种有用的替代方案；1989年，C M p e a u等人1121用2选1不经意传输协议实现了对未察觉电路的评估和比特的公平交换；1995年，Stadler等人I13)基于2选1不经意传输协议构造了一种公平的盲签名方案；1999年，N a o r等人1141用2选1不经意传输协议构造了一个用于公平安全拍卖的体系结构；2000年，C a c h i n等人1151基于2选1不经意传输协议实现了一轮的安全多方计算；2010年，J a i n等人[161对P a r a k h的2选1不经意传输协议进行推广.在J a i n所提出的协议中，相关各方不经意地生成Diffie-H e l l m a n密钥，然后将它们用于秘密的不经意传输；2015年，K u m a r 等人1171提出了一种非自适应的，并且是完全可模拟的2选1不经意传输协议方案；2017年，P l e s c h等人[181提出了一种更为简化的2选1不经意传输协议.n选1不经意传输协议在1986年由Brassard141第一次提出，通过调用n次2选1的不经意传输协议来实现.接着，在1987年，Brassard141进一步改进了 n选1的方案，仅需调用log2n次2选1不经意传输协议，大大提高了协议的效率.2000年，G e r t n e r等人提出了一种分布式ri选1不经意传输协议；2004年，Tzeng等人基于判定性Diffie Heilman困难性假设，设计出了一个新的不经意传输协议;接着在2005年，赵春明等人1211在Tzeng等人的方案的基础上加以改进，提出了增强的n选1不经意传输协议；2006年，叶君耀等人1221提出了一个基于门限思想并且可复用的n选1不经意传输协议，在效率方面优于以往的N ao r协议和Tzeng协议；2007年，朱健东等人f231在N ao r协议的基础上，基于现有公钥体制同态性设计出了一个在计算上更简单的不经意传输协议的构造方法；2007年，Camenisch等人1241基于一些基础的密码学原件设计出了不经意传输协议方案；2008年，张京良等人p5l对N aor协议进行改进并应用到群签名中；2019年，M i等人1261提出了一种基于N T R U密码原语的更适合在异构和分布式环境中部署的后量子轻量级n选1不经意传输协议.n选A:不经意传输协议首次提出是在1989年由Bellare所构建的一类提出非交互式n选A:不经意传输，第一次实现了接收方可以一次选择接收多个秘密信息.1999年，N a o r W在2选1不经意传输协议的基础上，提出了一个只针对某种特殊情况可以使用的n选fc不经意传输协议，到了 2001年，N a o r 又接着W提出了具有普适性的ri选A;不经意传输协议，成为以后不经意传输协议研究的基础之一；2009年，C h a n g等人提出一种基于C R T的鲁棒《选fc的不经意传输协议；2014年，L o u等人在椭圆曲线密码体制的基础上，提出了一种新的用于私人信息检索的n选fc不经意传输协议，该协议更适合于智能卡或移动设备；2018年，L a i等人1291提出了一个以最小通讯成本的n选fc不经意传输方案；2019年，D o t t l i n g等人I#提出了一种构造恶意安全的两轮不经意转移的新方法，在可计算Diffie-Hellman (computational Diffie-H e l l m a n,C D H)假设或学习等价噪声（Learning Parity with Noise,L P N)假设下给出了基本O T的简单构造，得到了恶意两轮O T的第一个构造；2020年，G o y a l等人[31】给出了三轮不经意传输协议的第一个构造-在普通模型中-基于多项式时间假设，实现接收者的统计隐私和发送者对抗恶意对手的计算隐私.3经典2选1不经意传输协议的对比研究3.1 2选1不经意传输协议2选1不经意传输协议是一种能保护通信双方隐私的通信协议，信息的持有者将自己所拥有的两个秘密信息加密后发送给接收方，接收方只能成功恢复其中一个消息，而信息持有者并不知道接收方恢复的是哪一个秘密消息.张艳硕等：概率型2选1不经意传输协议的方案设计285本节所列举了三个典型的2选1不经意传输协议，分别是1985年E v e n丨6丨首次提出的2选1不经 意传输协议、1990年Bellare [71提出的非交互式2选1不经意传输协议和2001年N a o r间针对Bellare 方案提出的改进2选1不经意传输协议方案，而这三个方案也是后续2选1不经意传输协议的基础，后 续各位学者所提出的各个新的方案及各个领域的应用，有相当一部分与这三个方案密切相关，是对这三个 方案中的某一个的改进扩展，因此我们也将基于这三个基础方案进行概率的一般化扩展，提出三个概率型 2选1不经意传输协议方案.3.2 E v e n的2选1不经意传输协议本节将对E v e n间的2选1不经意传输协议方案进行简单描述，方案如下：(1) 设和分别为A l i c e的公钥加解密函数.A l i c e从自己的公钥系统的消息空间中随机选择勿而.A l i c e将加密函数和z0,发送给B o b.(2) B o b随机选择r e {0,1}，并从A l i c e的公钥系统的消息空间中随机选择f c.计算9 =私㈨®将g发送给Alice.(3) 对于 i =0,1，Alice 计算 f c; =ArQ—4).Alice 随机选择 s € {0,1}.将（M〇+fc:，Mi发送给Bob.⑷最终B o b可以成功得到3.3 B e lla r e的2选1不经意传输协议本节将对Bellare I7]的2选1不经意传输协议方案进行简单描述，方案如下：初始化：选择一个素数p,且定义g为■^的生成元，从Z纟中选择C1(其中C =汰x并公开.B o b随机选择i e {0,1},再随机选择灼€ {0,1, —，p-2},接着计算爲=0和魚-i =C x (广广1,得到B o b自己的公钥03,，/^和私钥（i,).传输阶段：(1) Alice随机选择如，e {0,1，…，p-2}，计算a〇 =g110和如=分yi.A lice接着计算7〇 = /^。

基于同态加密的密文策略属性加密方案谭跃生; 鲁黎明; 王静宇【期刊名称】《《计算机工程与应用》》【年(卷),期】2019(055)019【总页数】7页(P115-120,127)【关键词】同态加密; 访问控制; 密文策略; 属性加密【作者】谭跃生; 鲁黎明; 王静宇【作者单位】内蒙古科技大学信息工程学院内蒙古包头 014010【正文语种】中文【中图分类】TP3091 引言属性加密方案（Attribute-Based Encryption，ABE），作为一种独特的加密方案，在保护用户数据的安全性的同时，还能够实现细粒度的访问控制。

自2005 年由Sahai 和Waters 提出基于属性加密的概念[1]以来，作为最适合用作云上数据的访问控制而被广泛研究。

Goyal[2]等提出了基于密文策略和密钥策略的两种属性加密方案，Bethencourt[3]等人首次提出了一种支持任意单调访问结构的CP-ABE方案。

为了实现更好的细粒度的访问控制，提出了更多的新的优化方案[4-6]，有效地提高了访问控制的细粒度及性能和安全性。

但大多数CP-ABE 方案均使用单可信授权机构来管理分发用户密钥，使其具备单独解密密文的能力，这是密钥托管的固有缺陷。

文献[7-8]的方案在保证密钥生成机构的功能完整性的基础上将其拆分为两个部分，双方通过一定协议各自生成不同的子密钥，子秘钥通过简单计算就能生成完整的用户私钥，有效地消除了单密钥生成机构的安全问题，但分别都采用了多方安全计算的基础计算协议，分别带来了复杂度为2n+2 及2n 的通信负担。

Han[9]等人将密钥生成中心拆分成多个分布式半可信KACs 来解决密钥托管问题。

用户的私钥通过每个KAC交互生成，随着用户的属性个数增加，每个KAC之间交互的通信次数大大增加，系统性能大大降低，用户方的计算开销也大大增加。

Zhang[10]等人提出一种新的CP-ABE 方案，由密钥生成中心KGC 和云服务器CSP 交互生成用户私钥，为了实现消除密钥托管，添加了两个私有参数R0 和R′0，生成两个独立的子密钥，这两个子密钥不能通过有效计算生成一个完整的用户私钥，不同于传统的CP-ABE密钥形式，该方案达到了消除密钥托管的目的，但也同样产生了适用的局限性。

计算模型下的SSHV2协议认证性自动化分析牛乐园;杨伊彤;王德军;孟博【摘要】安全内壳(SSH)协议可以实现本地主机与远程节点的网络文件传输、远程登录、远程命令执行及其他应用程序的安全执行,其在保障网络安全方面发挥着重要作用.针对第二代安全内壳(SSHV2)协议的安全性进行研究,介绍SSHV2协议体系结构,解析出认证消息的消息结构,基于计算模型应用概率多项式进程演算,即Blanchet 演算,对SSHV2安全协议进行形式化建模,并应用安全协议自动化分析工具CryptoVefif分析其认证性,结果表明,在计算模型下SSHV2安全协议具有认证性.【期刊名称】《计算机工程》【年(卷),期】2015(041)010【总页数】7页(P148-154)【关键词】第二代安全内壳协议;安全协议;计算模型;认证性;CryptoVerif工具;自动化分析【作者】牛乐园;杨伊彤;王德军;孟博【作者单位】中南民族大学计算机科学学院,武汉430074;中南民族大学计算机科学学院,武汉430074;中南民族大学计算机科学学院,武汉430074;中南民族大学计算机科学学院,武汉430074【正文语种】中文【中图分类】TP915.04远程登录所使用的安全内壳（Secure Shell，SSH）［1］协议可以保证在不可信网络中的安全远程登录，目前有很多网络服务都支持该协议。

SSH协议中敏感数据都是经过加密来传输，可以预防中间人窃取信道中传输的私密信息。

Tatum Ylonen在1995年发布SSH协议作为第1个版本规范SSHV 1，2006年提出SSH的第2个版本规范SSHV2。

SSHV1数据流程中的加密算法主要是数据加密标准（Data Encryption Standard，DES）、三重数据加密标准（Triple DES，3DES）等对称加密算法，非对称加密算法用来实现数据流程中加密算法的密钥交换。

在后续使用中发现SSHV1使用保证数据完整性的循环冗余校验码（Cyclic Redundancy Check，CRC）存在漏洞，因此发布第2版本SSHV2，它用数字签名算法（Digital Signature Algorithm，DSA）和Diffie-Hellman（DH）算法代替RSA算法完成传输协议中的密钥交换，用Hash消息验证码（Hash-based Message Authentication Code，HMAC）来保证数据完整。

第44卷第4期2021年4月Vol.44Ao.4Apr.2021计算机学报CHINESE JOURNAL OF COMPUTERS基于多比特全同态加密的安全多方计算唐春明胡业周（广州大学数学与信息科学学院广州510006）摘要本文中，我们首先证明了李增鹏等人提出的多比特多密钥全同态加密方案（MFHE）满足密钥同态性质，利用此性质，可以通过门限解密得到最终解密结果•使用该方案，我们设计了一个在CRS模型下和半恶意攻击者模型下安全的三轮多方计算协议（MPR.该安全多方计算协议的安全性是基于容错学习问题（LWE）的两个变种问题Ferr-LWR和Some-are-errorless.LWR,而且，通过非交互的零知识证明，我们可以把半恶意攻击者模型下安全的三轮多方计算协议转变为在恶意模型下安全的三轮多方计算协议使关键词全同态加密；多密钥多比特；门限解密；LWE及其变种问题;安全多方计算中图法分类号TP309DOI号年.01897/SE O.1016.2020.00836Secure Multi-Party Computation Based on Multi-Bit FullyHomomorphic EncryptionTANG Chun-Ming HU Ye-Zhou(School of M-a.Lherna.Lics and InformaLion Sciences,Guangzhou UniuersiLy,Guangzhou510006)Abstrac-N this paper,we study securr multi-party computatiog based or multi-bit fully homomorphic encryptiog.N the previoue work,s lot ol researcO hae bees dons or the secure multi-parts computing protocol baseO on single-bit full homomorphie encryptiog.Although this protocol can bc naturallp extendeO to multi-bit version,it neeOs to bc encrypted repeatedly, whicU great—reducee eXiciencp.On ths othee hand,we know tha-in ths full homomorphie encryption schernes based on ring-LWS sucU ee EGV,multi-bite ca_n be encrypted simultaneouslpbp usinp the Chiness remaindee theorem,namelp SIMD operatioc.However,t those schemee,the dimension of ciphertext expants too fast,se the evaluated kep is needet to perform re-lineanzationto reduce the dimension ot ciphertext.Therefore,we choose GSW full homomorphir encryptiot scheme se ths basie to build o secure multi-partp computation protocol.M2017,Li ed dual LWE S o convert GSW full homomorphie encryption into multi-bit version,which cou IO encrypt-bite st ths same time.Based on this scheme,we construe-o three-round secure multZ partp cornputQticu.We firs-prove tha-the multi it multi kep fully homomorphie rncryption scheme(MFHS)satisfiee ths key homomorphie property,because in ths publie key generation phase,ea_ch party usee e common random matrip.With this property,ths final decryption resuitcan i obtained by threshold decryption,na_mby each participan-can use its own private kep to decrypt the evaluated ciphertext.M combination with the partial decryption ot all parties,the plaintext datt co i inp this scheme,we design o three-round secure multi-partp收稿日期：2020-01-M;在线发布日期：2020-05-11.本课题得到国家自然科学基金项目广1772年卷满十三五”家密码发展基金项目(MDJJ20170117S.广东省重大基础研究培育项目(广15A1601年)、密码科学技术国家重点实验室开放课题项目(MMKFKT201913)X州市教育局协同创新重大项目(1年161年05)、广州大学全日制研究生“基础创新”项目M—GDJCM28)资助.唐春明，博士，教授，博士生导师，主要研究领域为密码学及其应用.Wmail：ctan—.w.胡业周，硕士研究生，主要研究方向为全同态加密与安全多方计算.4期唐春明等：基于多比特全同态加密的安全多方计算837computation protocol(MPC)in the CRS model and semi-malicious adversary model.The number of rounVs of three is optimal,because nt the ciphertext generatiou stage,eacO participant neeVs th leash onr rounV to mcrypt the private messaer using the public key of all to br calculateC re thr joint public kep.Thm,in the seconV round,eacO party publishes the ciphertext thah encrypts its owe private date to calculate evaluateC ciphertext,anV in the(st round,all partiee publist thCs owe partial decryption to reconstruct the fid messare.We compare it with the misting secure multi-partp computation protocol baseC ou GSW full homomorphic encryption scheme,becausc wc can encrypt multipls bitt a_t ths sams time,so the eCiciencp is ths highest.The securitp of ths secure multi-partp computing protocol is baseV on the variante of the Learning with Errore Problec(LWE)calleV Ferr-LWE anV Vome-are-errorless.LWE problem,ths cUfficultp it ths same as solvinr ths LWE problem.Wc can usc ideat ve reat models to provs this,aamelp usinr r simulatoe to simulats ths input of ths honmt ply,rd finallp p seriee of hybrid gaem arc defined to provs that ths idS rd ths reC arc computatiop indistinguishable,whicU it hold whm therr is only onr honmt party,U so wc cad provs ths securitp againse those who corrupt ths arbitrary numbee of partiee usinr only pseudorandom functione.Od ths other ha_nd,ba_sed on non-interactivs zem knowledge proof,we cad transform the Three-round secure multipartp computatiop protocol undee the semi-malicioue adversarp modee O w the Three-rotrnd secure multipartp computation protocol undee the malicioue modeLKeywords fully homomorphic encryption；multi bit multi kep；threshold decryption；LWE a_rW its variants;secure multi-partp computation1引言随着大数据行业的兴起与云计算的发展，数据的隐私保护越来越受到人们的关心，其中安全多方计算和全同态加密在数据的隐私保护中发挥着重要的作用.安全多方计算最先由姚期智在1982年解决“百万富翁”问题时提出巴通常来说,安全多方计算协议是指在狀个不同的参与方方9狆年…狆”｝之间，协同计算某一个函数M，狔，…，_y”）=/（m,狓，…狓），计算完毕后，每个参与者P,仅仅知道自己的输入心和输出”，但对于其他人的输入和输出得不到任何信息.全同态加密的概念最先由RivesS〕在1978年提出，旨在不解密的情况下，对密文进行运算,其结果和直接在明文上进行操作相同全卩decMMnc（M99,EncMi〕年，…，EncM个）））=/（（9 ,犿2,……个.目前，对多比特的全同态加密以及单比特的安全多方计算做了大量的研究，但如何构造一个基于多比特GSW全同态加密方案的安全多方计算协议，而不是采用逐比特加密，仍然是个未解决问题.本文利用文献［3冲多比特全同态加密方案以及其密钥同态的性质，构造了一个基于多比特全同态加密方案的安全多方计算协议，并与近些年同类的方案做横向对比，发现其性能是最优的.本文第2节综述相关工作；第7节给出一些与本文相关的定义及定理并简要叙述文献3提出的多比特全同态加密方案和该方案的正确性及安全性;第4节证明该方案的密钥同态性;第5节利用该方案构造一个多比特的安全多方计算协议，证明其安全性并分析其性能;第6节总结全文.2相关工作1987年，GoldreicU等人提出一个安全多方计算协议，该协议可以计算任意函数，并在下一年给出了安全多方计算的安全性定义3.目前常用安全多方计算协议的构造方法有如下几类：基于混淆电路的安全多方计算协议；基于不经意传输的安全多方计算协议3.基于可验证秘密共享的安全多方计算协议3;基于混合匹配的安全多方计算协议3;基于HE的安全多方计算协议39.全同态加密的发展较为缓慢，直到2008年，才由Gentry提出了第一个基于理想格的全同态加838计算机学报2021年密方案随后，众多的全同态加密方案也应运而生.可以将其发展阶段分成三个阶段，第一阶段是基于Gentry所提的全同态加密方案，代表的方案有SV22、SS28、LMSV10等.第二阶段是Brakerski和Vaikuntanathan利用LWE和ring-LWE的假设实现了FHE.其代表方案有BGV年年、Bra年年、SV年年等.第三阶段是基于LWE假设，利用近似特征向量构造的FEE方案，其代表的方案有GSW（1年）、CM（1年）、MW（（）等.对于多密钥的FEE是由LOPEZ-AltAc Tromere、Vaikuntanhanv提出，他们利用改进的NTRU方案构造了一个MFHZ方案，但该方案的复杂度太高，且复杂度随着用户的增长呈现出指数增长年.在CM（15）和MW（1年中，提出了一个多密钥的全同态加密方案和一个在CRS模型中的1轮MPC协议.将一个密文矩阵通过扩展（Expand）操作众生一个新的密文，并将密钥级联成组合密钥，用组合密钥解密扩展后的密文可以得到正确的解密结构.但是该方案的密文矩阵体积过大，且在Expand操作中，需要利用联合操作产生一个掩盖信息.在BHEE）中，提出了一个在平凡模型中基于多密钥全同态加密的MPC协议，且抵抗半恶意的敌手只需三轮通信，若想抵抗恶意敌手，只需增加一轮即可5.这些全同态加密方案都是单比特加密的方案第门限解密即每一方利用自己的私钥解密密文产生各自的部分解密，然后每一方结合其他人的部分解密可恢复出明文.上述提到的几种全同态加密方案都可以使用门限解密得到最终的结果.3多比特全同态加密（MFHE^）方案3・1记号对于自然数狀Z,且］代表{1,提…，提.对于一个自然数狓Z众众」代表最接近狓但小于北的整数•小写粗斜体字母代表向量众写粗斜体字母代表矩阵.对IA兀代示矩阵和向量的水平连接，（M提，M"）表示两个向量的水平连接需•表示两个向量的内积•对于向量兀=（M,需，…，…），…二1需范数指的是II兀II严狓狆代co范数指的是II= ex（Mi丨，I|，…，I|）表范数指的是II=^\l\，仏范数指的是II£I丨1对于一1-1V个矩阵A,犪代表的是矩阵A的第2列向量小A||表示矩阵A中仏范数最大列向量，即I=ex-|—3・2定义与定理定义1.算法BhDecomp~1指输入一个n^mXq维向量兀=Ml,o2…，I I5-1，…，I ,5，…，I,第-1）输狇一］q—1出一个p维向量（M21,第…，n狓,第）.其中J-2J-2I,，…，I,—i，…，x”,i，…，—1不必是{0,5}.定理I1.对于任意的p〉"「log—存在一个固定的矩阵G Z—q,和一个确定性的“原像”函数G^M）,满足如下的情形：对于任意的〉,输入矩阵M^Z—P\逆函数G lM）输出一个0,1}矩阵，即G1：M）e{0,l}pXp,使得G G-}M）=m.定义2.—个基于整数上的分布O矩犖，我们称该分布是B-有界的，如果：Er狓三B［=mg/（M,其中,negl（M是一个可忽略函数.定理21.对于服从H有界分布的一系列随}犖机变量狓m犖）表则机变量狓m2狓同样也服-—5从该H有界分布.定理3〔2.对于Z"中的向量x以及c Dz〉…,当|“T・e I的值被看作成［0，…——1里的一个整数，则满足：|X1"•e H I®'•/log x+||I4〉/2,其中，D z〉”是高斯分布，/•是高斯参数.定义3.对于在有限域Q上的两个分布X与Y,X与V之间的统计距离指的是A（M,Y）操12|XM）—YM中.如果MM,只）的值是可忽略厶）z n__stair的,则写作X~Y.定理40、.对2ZZ,n Z犖,q—N,〉＞n logg+ 2A.A Z犣”是一个均匀随机矩阵，是0,1}〉，以及y犚么有：△（（M,只T•是，（M,n）—21定义4（Learning with Errors）.对于一个秘密向量sZZZ,在犣〉上的LWE分布人…指的是均匀选取a Z Z「。

第54卷 第5期2023年9月太原理工大学学报J O U R N A L O F T A I Y U A N U N I V E R S I T Y O F T E C HN O L O G YV o l .54N o .5S e p.2023 引文格式:张萌楠,马垚,陈永乐,等.面向L i p po l d 安全模型的无证书两方认证密钥协商协议[J ].太原理工大学学报,2023,54(5):773-781.Z HA N G M e n g n a n ,MA Y a o ,C H E N Y o n g l e ,e t a l .A c e r t i f i c a t e l e s s t w o -p a r t y a u t h e n t i c a t e d k e y a gr e e m e n t p r o -t o c o l u n d e r t h e l i p p o l d s e c u r i t y m o d e l [J ].J o u r n a l o f T a i y u a n U n i v e r s i t y o f T e c h n o l o g y,2023,54(5):773-781.收稿日期:2022-02-24;修回日期:2022-04-12基金项目:山西省自然科学基金资助项目(201903D 121121,201701D 111002) 第一作者:张萌楠(1996-),硕士研究生,(E -m a i l )188********@163.c o m通信作者:马垚(1974-),讲师,博士,主要从事物联网安全方面的研究,(E -m a i l )m a y a o @t yu t .e d u .c n 面向L i p po l d 安全模型的无证书两方认证密钥协商协议张萌楠,马 垚,陈永乐,于 丹(太原理工大学信息与计算机学院,山西晋中030600)摘 要:ʌ目的ɔ通过分析L i p po l d 安全模型中的会话部分密钥泄露伪装攻击(P -K C I ),发现现有无证书密钥协商协议存在安全缺陷,无法抵挡会话部分密钥泄露伪装攻击㊂ʌ方法ɔ总结了L i p-po l d 安全模型中会话部分密钥泄露伪装攻击的8种不同密钥组合泄露攻击,利用这些攻击,分析了现有无证书密钥协商协议的安全缺陷㊂ʌ结果ɔ提出了一种可以完全抵挡P -K C I 攻击的高效无证书两方认证密钥协商协议,并扩展了e C K (e x t e n d e d e x t e n d e d -C a n e t t i -K r a w c z yk )模型,证明了本协议的安全性㊂ʌ结论ɔ与现有的同类协议相比,本文协议安全性有较大提高且计算损耗降低了28.4%.关键词:无证书;无配对;认证密钥协商;会话部分密钥泄露伪装攻击(P -K C I );L i p p o l d 安全模型;e C K 模型中图分类号:T P 309 文献标识码:AD O I :10.16355/j .t yu t .1007-9432.2023.05.003 文章编号:1007-9432(2023)05-0773-09A C e r t i f i c a t e l e s s T w o -p a r t y A u t h e n t i c a t e d K e y A gr e e m e n t P r o t o c o l u n d e r t h e L i p p o l d S e c u r i t y Mo d e l Z H A N G M e n g n a n ,M A Y a o ,C H E N Y o n gl e ,Y U D a n (C o l l e g e o f I n f o r m a t i o n a n d C o m p u t e r ,T a i y u a n U n i v e r s i t y o f T e c h n o l o g y ,J i n z h o n g 030600,C h i n a )A b s t r a c t :ʌP u r po s e s ɔB y a n a l y z i n g t h e s e s s i o n p a r t i a l k e y d i s c l o s u r e c a m o u f l a g e a t t a c k (P -K C I )i n L i p p o l d s e c u r i t y m o d e l ,i t i s f o u n d t h a t t h e e x i s t i n g c e r t i f i c a t e l e s s k e y a gr e e m e n t p r o t o -c o l s h a v e s e c u r i t y d e f e c t s t h a t t h e y c a n t r e s i s t t h e P -K C I a t t a c k .ʌM e t h o d s ɔI n t h i s p a p e r ,e i gh t d i f f e r e n t k e y c o m b i n a t i o n d i s c l o s u r e a t t a c k s o f s e s s i o n p a r t i a l k e y d i s c l o s u r e c a m o u f l a ge a t t a c k i n L i p p o l d s e c u r i t y m o d e l a r e s u mm a r i z e d .B e s i d e s ,t h e s e c u r i t y d ef e c t s o f e x i s t i ng ce r t if i c a t e l e s s k e y ag r e e m e n t p r o t o c o l s a r e a n a l y z e d b y u s i n g th e s e a t t a c k s .ʌFi n d i n gs ɔA s e c u r e a n d e f f i c i e n t p a i r i n g -f r e e C T -A K A p r o t o c o l t h a t c a n p e r f e c t l y r e s i s t P -K C I a t t a c k i s p r o p o s e d ,a n d i t s s e c u r i t yi s a n a l y z e d i n a n e x t e n d e d e x t e n d e d -C a n e t t i -K r a w c z y k (e C K )m o d e l .ʌC o n c l u s i o n s ɔC o m pa r e d w i t h o t h e r e x i s t i n g s i m i l a r p r o t o c o l s ,t h e p r o po s e d p r o t o c o l i s m o r e s e c u r e ,a n d t h e c a l c u l a t e d l o s s i s r e d u c e d b y 28.4%.Copyright ©博看网. All Rights Reserved.K e y w o r d s:c e r t i f i c a t e-l e s s;p a i r i n g-f r e e;a u t h e n t i c a t e d k e y a g r e e m e n t;s e s s i o n p a r t i a l k e yc o m p r o m i s e i m p e r s o n a t i o n a t t a c k(P-K C I);L i p p o ld se c u r i t y m o d e l;e x t e n d e d-C a n e t t i-K r a w c z y k m o d e l(e C K)无证书公钥机制[1](C L-P K C)于2003年被提出,它采用密钥生成中心(K G C)和用户共同决定公私密钥信息,从而避免传统基于身份(I B C)和基于证书(P K I)的认证机制验证过程繁琐㊁身份信息不可更改和单点故障等问题㊂一开始的无证书公钥机制采用配对的椭圆曲线双线性对运算,但该运算的高开销限制了该方法的应用范围,现有研究趋向于采用无配对运算来完成安全协议设计㊂同时文献[2-4]分别提出了e C K㊁L i p p o l d和m B R安全模型,提供了更加明确的形式化证明过程,其中L i p p o l d 安全模型提出了一种会话部分密钥泄露伪装攻击(P-K C I),描述了不同密钥泄露组合下的攻击方式,如临时密钥泄露和长期密钥泄露等㊂文献[5]补充了e C K安全模型,详细解释了公钥替换攻击㊁完美前向安全(w P F S)等概念㊂此后许多文献[6-9]设计了轻量级无证书密钥协议,并在这些安全模型下进行了严格的形式化证明㊂文献[10]分析现有的伪装攻击,提出了一个密钥泄露组合,指出文献[9]在这种攻击下是不安全的㊂文献[11]提出一种应用于智能电网系统的认证密钥协商协议,并证明其安全性,但不能抵挡敌手的公钥替换攻击㊂文献[12]提出一种无配对的两方认证协议,但该协议无法抵挡恶意中间人攻击㊂文献[13]考虑了E C C加法特性和K G C的参与,提出了一种安全轻量级的无证书密钥协商协议;但其并不能躲避P-K C I攻击中的会话双方部分长期秘密值泄露情况㊂文献[14]分析了无证书认证密钥协商的安全缺陷,根据E C C加法特性攻击的原理,提出一种轻量级消息纠缠的协议,但在L i p p o l d安全模型中仍然是不安全的㊂文献[15]构造敌手攻击模型,证明了协议的安全性,但是该协议没有考虑到P-K C I中的双方部分长期秘密值泄露,而且协议的预处理较为复杂的情况㊂文献[11]和[13-15]都没有考虑到P-K C I中的所有密钥泄露组合㊂文献[16]提出了一种部分密钥泄露伪装攻击模型,文献[17]针对这一模型采用椭圆曲线双线性对配对运算提高安全性,可以抵挡该攻击㊂文献[18]针对无证书协议的多个攻击,提出一种安全协议,并在L i p p o l d安全模型中证明其安全性,但是该协议并没有考虑到泄露和伪造两种攻击对协议安全性的损害程度不同,因此不能抵挡P-K C I中部分长期密钥泄露和临时密钥替换的情况㊂文献[17]和[19]采用椭圆曲线双线性对配对运算避免恶意攻击,但是计算耗损较高㊂为此,本文分析了L i p p o l d[3]安全模型中P-K C I 攻击描述,将其分类为8种泄露组合攻击,并利用这些攻击,分析出文献[11]和[18]存在一定的安全缺陷;随后提出了新的安全策略,可以完全避免P-K C I 所有的泄露情况,设计出高效安全的可以完全抵挡P-K C I的两方认证密钥协商协议;最后,扩展了e C K安全模型,补充了针对这些泄露组合的形式化证明,基于C D H(C o m p u t a t i o n a l D i f f i e-H e l l m a n)困难问题假设给出了针对该模型的严格安全性证明,并且较文献[11]㊁[13]㊁[15]和[17-19]降低了计算量㊂1预备知识1.1困难性假设本文的安全性证明使用到以下难题假设,设G 是阶为q的循环群且其生成元为P:C o m p u t a t i o n a lD i f f i e-H e l l m a n(C D H)问题,给定(a P,b P,P),求a b P.其中(a,b)ɪZ*q.算法A 在概率多项式时间内成功解决C D H问题的概率定义如下:A d v(C D H)(A)=P r[A(P,a P,b P)=a b P|a,bɪZ*q].其中,概率来源于算法A的随机选择及a,b在Z*q上的随机选择㊂在C D H假设,对于任意的多项式时间算法A 概率A d v(C D H)(A)是可忽略的㊂1.2安全模型根据文献[16]和[18],本文结合L i p p o l d安全模型的会话部分密钥泄露伪装攻击(P-K C I)定义和e C K安全模型,扩展了e C K模型的定义㊂A I敌手的会话部分密钥泄露伪装攻击(P-K C I)和密钥重装攻击(K R A-R)描述如下:敌手A I.此类敌手不知道系统的主私钥内容,但可以利用合法用户的公钥或者泄露获得的部分私钥信息,以及伪造的用户私钥与临时私钥信息完成对密钥协商协议安全性的攻击,即具有替换合法用户公钥的能力㊂477太原理工大学学报第54卷Copyright©博看网. All Rights Reserved.完全泄露㊂协议会话包含双方的临时秘密㊁用户部分私钥和秘密值三种秘密信息,如果三种秘密信息全部泄露,则称该会话完全泄露㊂会话部分密钥泄露伪装(P-K C I)攻击㊂假设A 和B的会话中部分秘密泄露给敌手后,该敌手能够利用泄露的密钥信息和伪造的密钥信息参与到A 与B的通信中㊂但如果安全协议可以抵挡该攻击,则除非会话中的所有密钥完全泄露,攻击者才会推算出最终会话密钥㊂密钥重装攻击(K R A-R).攻击者通过对整个协议中部分信息进行重发,利用协议实现的软件漏洞:在重新安装密钥时将一些变量,如 数据包号 和 随机数 被重置,获得重置值的加密信息,利用已知明文攻击,计算协议生成的密钥㊂e C K安全模型包括三种角色:参与者㊁敌手和挑战者㊂参与者㊂参与者为概率多项式时间图灵机,可以同时执行多项式次数的协议,完成参与者信息生成㊂一个安全模型包括一个参与者集合U.其中参与者A和B实现的第s次会话为ᵑs A,B.敌手㊂敌手M为一个主动攻击者,它被模拟为一个概率多项式时间图灵机,在e C K模型中,敌手允许实现不同询问操作㊂挑战者㊂挑战者C负责生成公共信息和参与者部分密钥相关信息,并收集所有参与者的秘密和公开信息,完成协议的运行㊂模型㊂定义一个挑战者C和敌手M之间的游戏规则㊂敌手M允许通过s e n d㊁r e v e a l和t e s t等询问请求,这些询问请求是无序和自适应的,在相应的攻击游戏结束后输出对会话密钥的一个猜测㊂如果敌手以不可忽略的概率成功完成猜测,那么可以证明该协议不安全㊂在本文中,询问请求包括:1)s e n d询问㊂向挑战者C询问公共信息和参与者公开信息,其中包括秘密值㊁部分密钥㊁临时会话秘密对应的公开信息㊂2)r e v e a l询问㊂向挑战者C询问参与者秘密值㊁部分密钥和临时会话秘密㊂在经过询问后,敌手随机选取新鲜的会话ᵑs A,B,并对其执行t e s t(ᵑs A,B)请求,获得该请求的相应输出消息㊂新鲜会话:会话未完全泄露且未被r e v e a l问询,同时:若匹配会话存在,则要求匹配会话也未完全泄露;若匹配会话不存在,则要求会话对等方的部分私钥及秘密值未同时泄露㊂若用户的公钥被替换,则在会话中认为该用户的秘密值被泄露㊂t e s t(ᵑs A,B):当ᵑs A,B是新鲜会话时,挑战者根据敌手发送的部分会话信息,验证该会话是否完整并且未被r e v e a l询问㊂模拟各以1/2的概率返回该会话的会话密钥或一个随机的会话密钥㊂t e s t 只能被问询一次㊂2两个协议的安全分析文献[11]和文献[18]将会话中多个公钥信息之间的哈希值作为乘法系数,保证多个公钥之间信息纠缠,避免恶意攻击者实现E C C加法配凑操作,抵消部分未知秘密值,但由于方案中的部分缺陷,都无法完全抵挡P-K C I中的所有密钥泄露组合攻击㊂具体分析如下㊂2.1文献[11]的安全性分析通过构造公钥替换攻击来攻击文献[11]的方案,证明文献[11]中的方案不能抵挡P-K C I中秘密值泄露的情况:如果敌手A I替换A l i c e的公钥T'A=-(R A+ H1(I D A,R A)P p u b),然后按照下述过程伪装A l i c e 和B o b协商密钥:1)A I选取随机数aɪZ*q,计算M A=a P,发送(R A,M B)给B o b.2)B o b收到消息后,选取随机数bɪZ*q,计算M B=b P,发送(R B,M B)给A I.随后敌手A I和B o b分别计算会话密钥㊂B o b计算过程为:h B1=H1(I D A,R A),l B2=H2(I D A,I D B,T'A,T B,R A,R B,M A,M B), K B3=(l B2b+t B+d B)(l B2M A+T'A+R A+h B1P p u b) =(l B2b+t B+d B)l B2a P,K B A=H3(I D A I D B T'A T B R A R B M A M B K B3).敌手计算可得:h A1=H1(I D B,R B),l A2=H2(I D A,I D B,T'A,T B,R A,R B,M A,M B), K A3=l A2a(l A2M B+T B+R B+h A1P p u b)=(l A2b+t B+d B)l A2a P=(l B2b+t B+d B)l B2a P,K A B=H3(I D A I D B T'A T B R A R B M A M B K A3).由于K B A=K A B,文献[11]的方案无法抵挡敌577第5期张萌楠,等:面向L i p p o l d安全模型的无证书两方认证密钥协商协议Copyright©博看网. All Rights Reserved.手A I的P-K C I攻击㊂公钥替换攻击利用E C C加法消元特性,设定T'A+R A+h B1P p u b=0,将未知的用户部分私钥信息消元,完成攻击㊂2.2文献[18]的安全性分析通过构造P-K C I攻击来攻击文献[18]的方案,证明文献[18]中的方案不能抵挡P-K C I中用户部分私钥和临时秘密泄露组合的情况:如果敌手A I具有A l i c e的部分私钥s A,由于部分私钥s A与用户私钥x A没有信息纠缠,因此可以随机选择nɪZ*p,替换A l i c e的公钥X'A=n(R a+ H1(I D A,R A)P p u b),然后按照下述过程伪装A l i c e 和B o b协商密钥:1)A I随机选择e AɪZ*q,计算E A=e A n(R A+h A P p u b),发送(I D A,I D B,R A,E A)给B o b.2)B o b随机选择e BɪZ*q,计算E B=e B P,发送(I D A,I D B,R B,E B)给A I.随后敌手A I和B o b 分别计算会话密钥㊂B o b计算过程为:Z B1=(s B+e B)(S P A+X'A)+x B E A=(n+1)s A(s B+e B)P+(x B e A n s A)P,Z B2=(x B+s B)(E A+X'A)+e B S P A=n(e A+1)s A(x B+s B)P+(e B s A)P,Z B3=(x B+e B)(E A+S P A)+s B X A=(n e A+1)s A(x B+e B)P+(s B n s A)P,K B A=H2(I D A I D B E A E B X'AX B Z B1 Z B2 Z B3).敌手计算可得:Z A1=(n+1)s A(s B+e B)P+(x B e A n s A)P, Z A2=n(e A+1)s A(x B+s B)P+(e B s A)P, Z A3=(n e A+1)s A(x B+e B)P+(s B n s A)P,K B A=H2(I D A I D B E A E B X'AX B Z A1 Z A2 Z A3).由于K B A=K A B,文献[18]的方案无法抵挡敌手A I的P-K C I攻击㊂该攻击在已知用户部分私钥的前提下,利用该信息构造新的公钥,利用新的公钥组合完成攻击㊂3新协议设计本节通过分析第3节两个协议的安全性,发现这两个协议都无法完全抵挡双方会话部分密钥泄露伪装攻击(P-K C I)中的所有密钥泄露组合情况,因此提出新的安全策略,设计出可以完全抵挡P-K C I 攻击的安全无证书双方密钥协商协议㊂具体细节如下所述㊂3.1设计思想设x u㊁y u㊁m u分别是用户U的秘密值㊁部分私钥㊁会话临时秘密㊂X u㊁Y u㊁M u分别是对应的公开信息㊂以用户A与用户B的密钥交换为例:协议中私钥值<x u,y u>的设计需要有一定的纠缠㊂如果x u㊁y u各自独立生成,没有量值联系,那么攻击者可以无障碍替代任意一个信息,如文献[18]利用用户部分私钥替换秘密值,攻击协议安全㊂因此由密钥生成中心K G C生成的y u必须包含主私钥s和由用户私钥x u生成的公开信息X u这两种信息㊂即:y I Di=r I D i+s H1(I D i,X I D i,Y I D i).协议需要保证认证密钥交换的安全属性㊂安全属性包括认证性(身份信息验证)㊁抗秘密泄露伪装(避免E C C加法消元)㊁前向安全性(实现一次一密)等㊂通过分析现有协议,会话临时秘密与其他长期密钥独立生成,没有量值联系,需要在协议中增加哈希值,这样攻击者替换了任意一个公钥信息后,哈希值必然发生变化;将这些哈希值作为对应秘密信息的系数加入计算,敌手无法通过加法配凑的方法,对未知的秘密进行消元操作,从而进行安全攻击㊂因此A的会话密钥计算必须包括:x u与H(X u,Y u, M u)的相乘,y u与H(Y u,M u)的相乘,m u与H (X u,M u)的相乘㊂即:K i j=[(H1(M i,X i)m i+H1(M i,X i,Y i)x i+ H1(M i,Y i)y i)(H1(M j,X j)m j+H1(M j,X j, Y j)x j+H1(M j,Y j)y j)]P.其中,K i j为协商的最终会话密钥信息㊂3.2系统建立群G是阶为大素数q(q<2k,k为安全参数)的循环群且其生成元为P;选择抗碰撞的单向哈希函数H1:{0,1}LˑGˑ ˑGңZ*q,其中L值为用户身份标识的长度或零;K G C随机选择主密钥sɪZ*q,计算系统公钥P p u b=s P,并公开系统该参数P a r a m s=<q,P,G,P p u b,H1>,并秘密保存s.3.3用户密钥生成用户I D i随机选择秘密值x I D iɪZ*q,计算公开参数X I D i=x I D i P;并发送身份标识I D i和公开参数X I Di给K G C.给定用户的身份标识I D i及公开参数X I D i, K G C随机选择秘密数r I D iɪZ*q,并计算Y I D i=677太原理工大学学报第54卷Copyright©博看网. All Rights Reserved.[r I D i ]P 和y I D i =r I D i +s H 1(I D i ,X I D i ,Y I D i),并通过安全信道将Y I D i 和y I D i返回给用户I D i ;用户I D i 通过验证等式[y I D i ]P =Y i +P p u b H 1(I D i ,X I D i,Y I D i )是否成立,判断Y I D i 和y I D i的有效性;若上述等式成立,则I D i 的公私钥为:P K I D A=<[x a ]P ,[r a ]P >,S K I D A =<x a ,r a +s H 1(I D A ,X I D A ,Y I D A)>.3.4 身份认证及密钥协商用户A l i c e (身份标识为I D A )与B o b (身份标识为I D B )间的密钥协商过程可以分为消息交互㊁信息验证及会话密钥计算三个部分,具体内容如图1所示,详细描述如下:1)A l i c e 随机选择秘密数a ɪZ *q ,借助自己的I D 信息,计算M A =[a ]P .将(I D A ,I D B ,M A ,X A ,Y A )发送给B o b .这些随机信息a ㊁M A 可以预先计算出来保存在本地㊂2)B o b 随机选择秘密数b ɪZ *q ,借助自己的I D 信息,计算M B =[b ]P .将(I D A ,I D B ,M B ,X B ,Y B )发送给A l i c e ㊂这些随机信息b ㊁M B 可以预先计算出来保存在本地㊂3)A l i c e 接收信息,计算S B =Y B +H 1(I D B ,X B ,Y B )P p u b ,K A =[H 1(M A ,X A )a +H 1(M A ,X A ,Y A )x A +H 1(M A ,Y A )y A ](H 1(M B ,X B )M B +H 1(M B ,X B ,Y B )X B +H 1(M B ,Y B )S B ).4)B o b 接收信息,计算S A =Y A +H 1(I D A ,X A ,Y A )P p u b ,K B =[H 1(M B ,X B )b +H 1(M B ,X B ,Y B )x B +H 1(M B ,Y B )y B ](H 1(M A ,X A )M A +H 1(M A ,X A ,Y A )X A +H 1(M A ,Y A )S A ).5)A l i c e 与B o b 建立相同会话密钥:K =[(H 1(M A ,X A )a +H 1(M A ,X A ,Y A )x A +H 1(M A ,Y A )y A )(H 1(M B ,X B )b +H 1(M B ,X B ,Y B )x B +H 1(M B ,Y B )y B )]P .A l i c eB o b随机选择a ɪZ *q(I D A ,I D B ,M A ,X A ,Y A )ң随机选择b ɪZ *qM A =[a ]P(I D A ,I D B ,M B ,X B ,Y B)ңM B =[b ]P 计算S B =Y B +H 1(I D B ,X B ,Y B)P p u bK A =[H 1(M A ,X A )a +H 1(M A ,X A ,Y A )x A +H 1(M A ,Y A )y A ](H 1(M B ,X B )M B )+H 1(M B ,X B ,Y B )X B +H 1(M B ,Y B )S B )计算S A =Y A +H 1(I D A ,X A ,Y A)P p u bK B =[H 1(M B ,X B )b +H 1(M B ,X B ,Y B )x B +H 1(M B ,Y B )y B ](H 1(M A ,X A )M A )+H 1(M A ,X A ,Y A )X A +H 1(M A ,Y A )S A)图1 本文无证书密钥协商协议F i g .1 P r o p o s e d c e r t i f i c a t e l e s s k e y a gr e e m e n t p r o t o c o l 4 正确性和安全性分析4.1 正确性分析4.1.1 密钥的合法性验证y I D i P =(r I D i +s H 1(I D i ,X I D i ,Y I D i))P =Y i +P p u b H 1(I D i ,X I D i ,Y I D i).4.1.2 协商密钥的一致性B o b 计算的共享秘密为:K B =[H 1(M B ,X B )b +H 1(M B ,X B ,Y B )x B +H 1(M B ,Y B )y B ](H 1(M A ,X A )M A +H 1(M A ,X A ,Y A )X A +H 1(M A ,Y A )S A )=[H 1(M A ,X A )a +H 1(M A ,X A ,Y A )x A +H 1(M A ,Y A )y A )(H 1(M B ,X B )b +H 1(M B ,X B ,Y B )x B +H 1(M B ,Y B )y B )]P .A l i c e 计算的共享秘密为:K A =[H 1(M A ,X A )a +H 1(M A ,X A ,Y A )x A +H 1(M A ,Y A )y A ](H 1(M B ,X B )M B +H 1(M B ,X B ,Y B )X B +H 1(M B ,Y B )S B )=[H 1(M A ,X A )a +H 1(M A ,X A ,Y A )x A +H 1(M A ,Y A )y A )(H 1(M B ,X B )b +H 1(M B ,X B ,Y B )x B +H 1(M B ,Y B )y B )]P .因此K B =K A .4.2 安全性证明本文在文献[16]和[18]的安全模型的基础上增加了会话密钥泄露伪装攻击(P -K C I )测试,并在该模型中完成安全证明㊂引理1 若T 未终止,则A I 无法区分攻击是真实攻击还是模拟攻击㊂根据本文协议定义,秘密值a ,b 是随机选择,从而K 在{0,1}l空间上是均匀分布的㊂因此敌手不具有区分攻击是真实攻击还是模拟攻击的能力㊂引理2 若A I 敌手在部分密钥泄露后以不可忽略的优势A d v C(M )成功伪装攻击本文密钥协商协议,则C 至少能以不可忽略的优势A d v C(M )2m p (p -1)2m p (p -1)m p (p -1)解决C D H 困难问题,其中该安全模型参与者集合中有p 个参与者,每两个参与者有m 次会话,M 为攻击算法㊂证明:C 首先生成系统主密钥,并生成公共信息和参与者公私钥信息㊂我们通过分类M 在模型中可以获得的秘密信息来完成安全证明㊂设M 选取(R o l e ,I D i ,I D j,X *i ,X *j ,M *i ,M *j )为测试会话,其中会话拥有者为777 第5期 张萌楠,等:面向L i p p o l d 安全模型的无证书两方认证密钥协商协议Copyright ©博看网. All Rights Reserved.i,X*i㊁X*j是会话中使用的参与者公钥,M*i㊁M*j 是会话中使用的临时公钥信息,R o l e标识参与者是会话初始方还是应答方㊂设x*i㊁x*j㊁y*i㊁y*j㊁m*i㊁m*j为i㊁j相应的秘密信息,K为测试会话的会话主秘密㊂将L i p p o l d模型中P-K C I攻击中的所有密钥泄露情况分类为8种密钥泄露情况,具体分类如下:类型1:x*i,x*j泄露,其他秘密可通过恶意构造公钥信息完成泄露㊂类型2:y*i,y*j泄露,其他秘密可通过恶意构造公钥信息完成泄露㊂类型3:m*i,m*j泄露,其他秘密可通过恶意构造公钥信息完成泄露㊂类型4:x*i,y*j泄露,其他秘密可通过恶意构造公钥信息完成泄露㊂类型5:x*i,m*j泄露,其他秘密可通过恶意构造公钥信息完成泄露㊂类型6:y*i,m*j泄露,其他秘密可通过恶意构造公钥信息完成泄露㊂类型7:x*i,m*i泄露,其他秘密可通过恶意构造公钥信息完成泄露㊂类型8:y*i,m*i泄露,其他秘密可通过恶意构造公钥信息完成泄露㊂为模拟协议的运行,C需要维护4个表h l i s t, S l i s t,C l i s t,K C I l i s t.其中表h l i s t用于存储M与挑战者C的交互,表S l i s t用于存储s e n d0的内容,表C l i s t用于存储所有会话主秘密完整的会话及其会话密钥,表K C I l i s t用于存储会话中秘密泄露的情况㊂由于所有类型的规约都是一致的,所以我们给出类型2的安全性证明,其他7种类型的证明类似㊂类型2:C从p个参与者中随机抽取两个用户i㊁j,并猜测它们的第k次会话(R o l e,I D i,I D j,X*i, X*j,M*i,M*j)作为挑战会话,每两个用户i㊁j可以完成m次会话㊂不失一般性,假设i作为测试会话的初始方㊂在类型2下,M可以向C发送关于y*i㊁y*j的r e v e a l询问㊂s e n d0(I D u,I D v)询问:此询问下I D u作为初始方㊂如果(I D u,I D v)=(I D i,I D j),且该会话是i㊁j 的第k次会话,即测试会话,则C在表S l i s t上存入(I D i,I D j,ʅ,M*i(=a P))并返回X*i㊁M*i给M;否则,随机选取aɪZ*q,计算M u=a P并返回给M,然后C在表S l i s t中存入(I D u,I D v,a,M u).s e n d1(I D u,I D v,X v,M v)询问:此询问下I D u 作为应答方㊂C检查表C l i s t㊁K C I l i s t中是否已存在相关会话,存在则返回ʅ,否则C随机选择bɪZ*q,计算M u=b P并返回给M,然后C在表S l i s t 中存入(I D u,I D v,b,M u),然后分为多个情况来继续模拟:1)情况1:(I D u,I D v)ʂ(I D i,I D j):该询问不包含测试会话的参与方i㊁j.因为C有用户U㊁V的所有秘密信息,因此可计算出K.如果表h l i s t中已存在记录(I D u,I D v,X u,M u,X v,M v,K),则不进行操作;否则将(I D u,I D v,X u,M u,X v,M v,K)存到h l i s t中㊂2)情况2:(I D u,I D v)=(I D i,I D j).C利用获取的(I D v,X v,M v)和存储的i㊁j的公开信息和秘密信息,计算出K,并将(I D i,I D j,X i,M i,X*j,M*j, K)存到h l i s t中㊂H1(I D u,I D v,X v,M v)询问㊂C查询h l i s t表中(I D u,I D v,X v,M v)的会话信息(I D u,I D v,X u,M u, X v,M v,K)和I D u㊁I D v的公钥信息(I D u,Y u,I D v, Y v),计算h1=<H1(M u,X u),H1(M u,X u,Y u), H1(M u,Y u),H1(M v,X v),H1(M v,X v,Y v),H1 (M u,Y v)>,返回h1给M.r e v e a l询问:部分私钥㊁秘密值㊁会话临时秘密泄露正常模拟㊂M向C询问(I D u,I D v)会话的相关秘密信息时,C首先查询K C I l i s t查看该会话的秘密泄露情况,如果秘密泄露数达到2个,则返回ʅ㊂否则查询询问对象的秘密信息,返回给M.t e s t(ᵑs u,v):如果M选择的测试会话不是(I D u,I D v)ʂ(I D i,I D j)㊁h l i s t记录有(I D u,I D v,X u, T u,M u,X v,T v,M v,ʅ)或者记录中的K与M发送的K'不相等,则返回ʅ;否则返回K给攻击者㊂概率分析:在模拟过程中,由于M随机选择攻击类型,因此M以1/8的概率选择攻击类型;对于每一种攻击类型,成功(未返回ʅ)需要通过s e n d0询问未终止E1㊁s e n d1询问未终止E2㊁r e v e a l询问未终止E3和t e s t询问未终止E4.该模拟规定攻击者M可以成功通过该模型,则有:P r[E1]=m p(p-1)-1m p(p-1);P r[E2]=1+m p(p-1)2m p(p-1);P r[E3]=2-m p(p-1)A m p(p-1)2m p(p-1)m p(p-1)2m p(p-1)=2eθ/24m p(p-1)m p(p-1)m p(p-1);P r[E4]=1m p(p-1).877太原理工大学学报第54卷Copyright©博看网. All Rights Reserved.当M 以不可忽略的优势A d v C (M )成功攻击本文密钥协商协议时,则挑战者C 输出C D H 困难问题有效解的优势为:A d vC DH(M )=ðPr [E 1ɘE 2ɘE 3ɘE 4ɘC w i n s ]=(m p (p -1))2-12(m p (p -1))32e θ/24m p (p -1)m p (p -1)m p (p -1)A d v C (M )ʈA d v C(M )2m p (p -1)2m p (p -1)m p (p -1).其中θɪ(0,1).因此如果M 在模拟模型中没有终止,同时以不可忽略的优势ε成功攻击本文协议,那么M 输出A d v C DH(M )困难问题解的优势至少为A d v C (M )2m p (p -1)2m p (p -1)m p (p -1).由于C D H 问题是困难的,因此M 在游戏中获胜的优势A d v C(M )是可忽略的,证明该协议是安全的㊂引理3 本文协议满足前向安全性(w P F S ).由于本文协议包括三种密钥信息:秘密值㊁部分私钥㊁会话临时秘密㊂其中秘密值与部分私钥属于长期密钥,在密钥没有被敌手获得或者使用期限未超时的情况下,不会更新㊂而会话临时密钥在每一次会话中都会更新,更新概率平均分布在整个整数集合中,因此敌手无法区分随机数和会话密钥,该协议可以满足前向安全㊂引理4 本文协议可以抵挡密钥重装攻击(K R A -R ).本文协议不接收协议中部分信息的重试㊂本文密钥协商协议完成后,会话双方会各自得到该会话的共同密钥,同时通过函数H :{0,1}mңZ ,将会话密钥转化为一个整数n o n c e ,作为本次会话的首次序数㊂一旦会话中一方接收到不一致的序数,则表示该会话失败,需要重新协商会话密钥㊂5 效率和性能分析5.1 形式化分析本小节将从计算开销㊁公私钥长度㊁消息长度和消息交互次数等方面综合分析无证书密钥协商协议的计算和通信效率,其中计算效率以参与者执行一次密钥协商的运算量来衡量,通信效率以消息交互次数和消息长度衡量㊂M M 表示群上的点乘运算;E E 表示双线性对的配对运算;|Z *q |表示素数群Z *q 中元素的长度;|G |表示椭圆曲线群G 中元素的长度;I n s e c 表示协议不能抵挡该攻击项;S e c 表示协议可以抵挡该攻击项㊂表1 无证书密钥协商协议性能与安全分析T a b l e 1 P e r f o r m a n c e a n d s e c u r i t y a n a l y s i s o f c e r t i f i c a t e l e s s k e y a gr e e m e n t p r o t o c o l s 协议计算开销密钥长度私钥公钥交互次数消息长度安全性P -K C I w P F S K R A -R 文献[11]4E M 2|Z *q |2|G |22|G |I n s e c S e c S e c文献[13]5E M 2|Z *q |2|G |24|Z *q |+2|G |I n s e c S e c I n s e c 文献[15]5E M2|Z *q |2|G |22|G |I n s e c S e c S e c 文献[17]4E E +E M 2|Z *q |+|G |2|G |22|G |S e cS e c I n s e c 文献[18]5E M 2|Z *q |2|G |22|G |I n s e c S e c S e c 文献[19]5E E +22E M4|Z *q |4|G |28|G |S e c S e c S e c 本文协议3E M 2|Z *q |2|G |22|G |S e c S e cS e c 根据表1,协议[11]㊁[13]㊁[15]㊁[18]不能完全抵挡P -K C I 攻击,协议[13]㊁[17]不能抵挡K R A -R 攻击㊂同时协议[17,19]需要比本文协议更多的运算量,协议[11,15,18]在密钥长度和消息长度中和本文协议保持最短标准㊂本文协议的预计算㊂在实际运行中,用户u 可以预先计算㊁存储和更新随机信息m u ㊁M u .在密钥协商中只需要选择其中一组信息即可㊂同时S u =Y u +H 1(I D u ,X u ,Y u )P p u b 可以在通信前预先计算㊂本文协议的效率优化:在密钥协商过程中,用户需要先分别计算E C C 乘法系数,进行3次点乘运算,通过加法运算得到最终结果㊂相比于其他文献,运算量较低㊂由表1的对比可知,与其他协议相比,本文协议在安全和计算效率上达到更好的平衡㊂5.2 实验性能比较本文利用现有的椭圆曲线运算库,采用p yt h o n 语言,实现了本文协议和表1中的协议[11,13,15,18],并给出了这些协议的计算性能㊂其中实验环境配置为:1)C P U 为I n t e l -i 5(2.4G H Z );2)内存为12G BD D R 31600MH z ;3)操作系统为W i n d o w s 10,64位㊂实验使用s e c p256k 1椭圆曲线,其中|Z *q |为64位,|G |为128位㊂椭圆曲线运算包括加和数乘运算㊂哈希算法采用s m 3密钥杂凑算法㊂共进行了977 第5期 张萌楠,等:面向L i p po l d 安全模型的无证书两方认证密钥协商协议Copyright ©博看网. All Rights Reserved.10次实验㊂具体结果如图2所示㊂通过图2可知,在协议[11]㊁[13]㊁[15]㊁[18]中,文献[11]的计算时间较优,平均计算时间为0.88s .本文协议的平均计算时间为0.63s .与文献[11]相比,本文协议的计算时间降低了28.4%,计算性能更优㊂文献［11］文献［18］文献［13］本文协议文献［15］1.61.51.41.31.21.11.00.90.80.70.6计算开销/ s12345678910实验序号图2 不同协议计算时间对比F i g .2 C o m pa r i s o n o f c a l c u l a t i o n t i m e o f d i f f e r e n t p r o t o c o l s 6 结束语本文总结了L i p po l d 安全模型下的P -K C I 中8种密钥泄露组合,利用其中的泄露组合完成对两个安全协议的攻击,随后研究出一种满足协议认证安全性㊁可以完全抵挡P -K C I 攻击的纠缠策略,并根据该思路设计出面向L i p p o l d 安全模型的无证书两方认证密钥协商协议,可以完全抵挡L i p p o l d 安全模型中会话部分密钥泄露伪装攻击(P -K C I )中所有密钥泄露组合情况㊂并在扩展的e C K 安全模型下,将本文协议的安全性归约到C D H 困难问题求解㊂通过实验验证,该协议计算量降低了28.4%.因此该协议在效率和安全性平衡需求较高的实际场景中有较好的应用价值,如智慧城市和智慧工厂等需要完成大量硬件简单终端之间频繁通信的场景㊂在考虑到未来物联网场景中可能出现不同运营商之间的跨域访问的情况下,如何进行高效安全的跨域协商将成为未来研究的重点㊂参考文献:[1] A L -R I Y AM I S S ,P A T E R S O N K G.C e r t i f i c a t e l e s s p u b l i c k e y c r y p t o g r a p h y [C ]ʊA d v a n c e s i n C r y p t o l o g y-A S I A C R Y P T 2003.S p r i n g e r B e r l i n H e i d e l b e r g,2003:452-473.[2] S WA N S O N C ,J A O D .A s t u d y o f t w o -p a r t y c e r t i f i c a t e l e s s a u t h e n t i c a t e d k e y -a g r e e m e n t p r o t o c o l s [C ]ʊP r o g r e s s i n C r y pt o l o -g y -I N D O C R Y P T 2009.S p r i n g e r B e r l i n H e i d e l b e r g,2009:57-71.[3] L I P P O L D G ,B O Y D C ,N I E T O J G.S t r o n g l y s e c u r e c e r t i f i c a t e l e s s k e y a g r e e m e n t [C ]ʊP a i r i n g -b a s e d C r y p t o g r a p h y -P a i r i n g2009.S p r i n g e r B e r l i n H e i d e l b e r g,2009:206-230.[4] Z HA N G L ,Z H A N G F T ,WU Q H ,e t a l .S i m u l a t a b l e c e r t i f i c a t e l e s s t w o -p a r t y a u t h e n t i c a t e d k e y a gr e e m e n t p r o t o c o l [J ].I n -f o r m a t i o n S c i e n c e s ,2010,180(6):1020-1030.[5] Y A N G G M ,T A N C H.S t r o n g l y s e c u r e c e r t i f i c a t e l e s s k e y e x c h a n g e w i t h o u t p a i r i n g [C ]ʊP r o c e e d i n g s o f t h e 6t h A C M S ym -p o s i u m o n I n f o r m a t i o n ,C o m p u t e r a n d C o mm u n i c a t i o n s S e c u r i t y (A S I A C C S '11).A C M ,2011:71-79.[6] S U N H Y ,W E N Q Y ,Z H A N G H ,e t a l .A n o v e l p a i r i n g -f r e e c e r t i f i c a t e l e s s a u t h e n t i c a t e d k e y a gr e e m e n t p r o t o c o l w i t h p r o v -a b l e s e c u r i t y [J ].F r o n t i e r s o f C o m pu t e r S c i e n c e ,2013,7(4):544-557.[7] S U N H Y ,W E N Q Y ,L I W M.A s t r o n g l y s e c u r e p a i r i n g -f r e e c e r t i f i c a t e l e s s a u t h e n t i c a t e d k e y a gr e e m e n t p r o t o c o l u n d e r t h e C D H a s s u m p t i o n [J ].S c i e n c e C h i n a I n f o r m a t i o n S c i e n c e s ,2016,59(3):103-118.[8] WU T ,J I N G X J .T w o -p a r t y c e r t i f i c a t e l e s s a u t h e n t i c a t e d k e y a g r e e m e n t p r o t o c o l w i t h e n h a n c e d s e c u r i t y[J ].T h e J o u r n a l o f C h i n a U n i v e r s i t i e s o f P o s t s a n d T e l e c o mm u n i c a t i o n s ,2019,26(1):12-20.[9] K I M Y J ,K I M Y M ,C H O E Y J ,e t a l .A n e f f i c i e n t b i l i n e a r p a i r i n g -f r e e c e r t i f i c a t e l e s s t w o -p a r t y a u t h e n t i c a t e d k e y a gr e e m e n t p r o t o c o l i n t h e e C K m o d e l [J ].J o u r n a l o f T h e o r e t i c a l P h y s i c s a n d C r y p t o g r a p h y ,2013,3:1-10.[10] B A L A S ,S H A R MA G ,V E R MA A K.I m p e r s o n a t i o n a t t a c k o n c e r t i f i c a t e l e s s k e y a g r e e m e n t pr o t o c o l [J ].I n t e r n a t i o n a l J o u r -n a l o f A d H o c &U b i q u i t o u s C o m p u t i n g I ja h u c ,2018,27(2):108-120.[11] D E N G L Z ,G A O R H.C e r t i f i c a t e l e s s t w o -p a r t y a u t h e n t i c a t e d k e y a gr e e m e n t s c h e m e f o r s m a r t g r i d [J ].I n f o r m a t i o n S c i -e n c e s ,2021,543:143-156.[12] G E N G M M ,Z HA N G F T.P r o v a b l y s e c u r e c e r t i f i c a t e l e s s t w o -p a r t y a u t h e n t i c a t e d k e y a g r e e m e n t p r o t o c o l w i t h o u t p a i r i n g[C ]ʊI n t e r n a t i o n a l C o n f e r e n c e o n C o m p u t a t i o n a l I n t e l l i g e n c e &S e c u r i t y.I E E E ,2010,2:208-212.[13] 周彦伟,杨波,张文政.一种改进的无证书两方认证密钥协商协议[J ].计算机学报,2017,40(5):1181-1191.Z H O U Y W ,Y A N G B ,Z H A N G W Z .A n i m p r o v e d t w o -p a r t y a u t h e n t i c a t e d c e r t i f i c a t e l e s s k e y a gr e e m e n t p r o t o c o l [J ].C h i -n e s e J o u r n a l o f C o m pu t e r s ,2017,40(5):1181-1191.[14] 曾润智,王立斌.一种高效的无证书认证密钥交换协议[J ].密码学报,2020,7(4):421-429.087太原理工大学学报 第54卷Copyright ©博看网. All Rights Reserved.Z E N G R Z,WA N G L B.A n e f f i c i e n t c e r t i f i c a t e l e s s a u t h e n t i c a t e d k e y e x c h a n g e p r o t o c o l[J].J o u r n a l o f C r y p t o l o g i c R e-s e a r c h,2020,7(4):421-429.[15]许盛伟,任雄鹏,陈诚,等.可证安全的无证书两方认证密钥协商协议[J].密码学报,2020,7(6):886-898.X U S W,R E N X P,C H E N C,e t a l.P r o v a b l y s e c u r e c e r t i f i c a t e l e s s t w o p a r t y a u t h e n t i c a t e d k e y a g r e e m e n t p r o t o c o l[J].J o u r-n a l o f C r y p t o l o g i c R e s e a r c h,2020,7(6):886-898.[16]赵建杰,谷大武.e C K模型下可证明安全的双方认证密钥协商协议[J].计算机学报,2011,34(1):47-54.Z H A O J J,G U D W.P r o v a b l y s e c u r e t w o-p a r t y a u t h e n t i c a t e d k e y e x c h a n g e p r o t o c o l i n e C K m o d e l[J].C h i n e s e J o u r n a l o fC o m p u t e r s,2011,34(1):47-54.[17] K A R A T I A,I S L AM S H,K A R U P P I A H M.P r o v a b l y s e c u r e a n d l i g h t w e i g h t c e r t i f i c a t e l e s s s i g n a t u r e s c h e m e f o r I I o T e n v i-r o n m e n t s[J].I E E E T r a n s a c t i o n s o n I n d u s t r i a l I n f o r m a t i c s,2018,14(8):3701-3711.[18] S H A N C,HU K W,X U E J F,e t a l.A s e c u r e p a i r i n g-f r e e c e r t i f i c a t e-l e s s a u t h e n t i c a t e d k e y a g r e e m e n t p r o t o c o l[J].L e c t u r eN o t e s i n R e a l-T i m e I n t e l l i g e n t S y s t e m s(R T I S2016),2018,613:205-216.[19] H S I E H T C,T S E N G Y M,HU A N G S S.A l e a k a g e-r e s i l i e n t c e r t i f i c a t e l e s s a u t h e n t i c a t e d k e y e x c h a n g e p r o t o c o l w i t h s t a n-d i n g s i d e-c h a n ne l a t t a c k s[J].I n I E E E A c c e s s,2020,8:121795-121810.(编辑:杨鹏)187第5期张萌楠,等:面向L i p p o l d安全模型的无证书两方认证密钥协商协议Copyright©博看网. All Rights Reserved.。

基于逻辑程序的安全协议验证
李梦君;李舟军;陈火旺
【期刊名称】《计算机学报》
【年(卷),期】2004(027)010
【摘要】安全协议本质上是分布式并发程序,可以自然地描述为多个子进程的并发合成系统.将安全协议对应的并发合成系统抽象为逻辑程序进行消解,能够对安全协议无穷多个会话的交叠运行进行验证.该文提出了安全协议逻辑程序中逻辑规则的一个分类方法,基于该分类方法提出了安全协议逻辑程序不动点的迭代计算方法.逻辑规则的分类优化了安全协议逻辑程序不动点的迭代计算和安全性质验证过程中的计算.由于安全协议逻辑程序不动点迭代计算过程不一定终止,文中提出了每进行
k≥1步安全协议逻辑程序不动点迭代计算验证一次安全性质的验证策略.
【总页数】8页(P1361-1368)
【作者】李梦君;李舟军;陈火旺
【作者单位】国防科学技术大学计算机学院,长沙,410073;国防科学技术大学计算机学院,长沙,410073;国防科学技术大学计算机学院,长沙,410073
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于计算模型的安全协议验证软件Crypto Verif研究 [J], 李林
2.基于计算语义的安全协议验证逻辑 [J], 唐朝京;鲁智勇;冯超
3.基于约束求解的安全协议验证 [J], 曹龙;王思;李强;方娟
4.基于计算模型的安全协议验证软件CryptoVerif研究 [J], 李林
5.一种基于Isabelle/HOL的安全通信协议验证方法 [J], 夏锐;钱振江;刘苇
因版权原因，仅展示原文概要，查看原文内容请购买。

第３２卷第１期北京电子科技学院学报２０２４年３月Ｖｏｌ．３２Ｎｏ．１ＪｏｕｒｎａｌｏｆＢｅｉｊｉｎｇＥｌｅｃｔｒｏｎｉｃＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙＩｎｓｔｉｔｕｔｅＭａｒ．２０２４格上两方一轮身份认证协议王㊀雄㊀吕晓晗㊀王文博北京电子科技学院网络空间安全系，北京㊀１０００７０摘㊀要：在量子技术对传统密码冲击下，格上的口令认证密钥交换ＰＡＫＥ协议研究成为关注的热点㊂但是，当前格上ＰＡＫＥ协议大多通过两轮或三轮完成，且存在传输负载过重现象㊂而目前格上一轮协议多适用于一对一通信且不具有身份认证功能㊂针对以上问题提出的基于密钥共识的格上一轮身份认证协议，通过结合格上公钥加密㊁ＡＳＰＨ函数和密钥共识，实现了高效㊁安全的一轮通信中的身份认证与密钥协商㊂这一解决方案有望改善传统ＰＡＫＥ协议的问题，对于应对量子技术对密码学的挑战提供了一种思路㊂关键词：密钥共识；格密码；ＡＳＰＨ（ＡｐｐｒｏｘｉｍａｔｅＳｍｏｏｔｈＰｒｏｊｅｃｔｉｖｅＨａｓｈ）；身份认证中图分类号：ＴＰ３０９㊀㊀㊀文献标识码：Ａ文章编号：１６７２－４６４Ｘ（２０２４）１－０１－１１∗㊀基金项目：中央高校基本科研业务费资金资助（３２８２０２３０５２）∗∗㊀作者简介：王雄（１９７７－），男，河北保定人，副教授，硕士，主要研究方向为密码协议㊁密码系统㊂吕晓晗（１９９９－），女（通信作者），山东滨州人，硕士研究生，主要研究方向为密码协议㊁格密码（ｌｖｘｉａｏｈａｎ８２５２＠１６３．ｃｏｍ）㊂王文博（１９９９－），男，甘肃天水人，硕士研究生，主要研究方向为身份认证协议㊁漏洞挖掘㊂０㊀引言㊀㊀Ｂｅｌｌｏｖｉｎ等［１］１９９２年提出第一个口令认证密钥交换ＰＡＫＥ（Ｐａｓｓｗｏｒｄ⁃ＡｕｔｈｅｎｔｉｃａｔｅｄＫｅｙＥｘ⁃ｃｈａｎｇｅ）协议㊂由于ＰＡＫＥ中使用的口令简短易记，使得协议在很多领域中得以应用，并成为研究的热点㊂随后，大量文献基于对称密码体制㊁公钥密码体制提出了两方㊁三方的ＰＡＫＥ协议，并给出了随机预言机模型和标准模型下的安全证明，比如文献［２－５］㊂随着量子计算的发展，大量的密码技术遭遇前所未有的困难㊂基于格难题的ＰＡＫＥ协议以其并行运算㊁计算速度快和抗已知量子攻击等特点，成为后量子时代密码领域的研究新热点㊂Ｋａｔｚ等［６］构建了第一个基于格上困难问题的ＰＡＫＥ方案㊂该方案使用平滑投射哈希函数和容错学习问题，并且基于ＧＬ（Ｇｅｎｎａｒｏ⁃Ｌｉｎｄｅｌｌ）框架㊂然而，该方案中的投射密钥生成依赖于密文，协议的效率仍然较低㊂后续格上ＰＡＫＥ协议的设计方向主要基于不同的构造方案（例如通过引入ＡＳＰＨ函数㊁利用效率更高的困难问题㊁引入密钥共识算法等）提高认证效率㊂２０１１年，Ｄｉｎｇ等［７］构造了一个格上三轮两方ＰＡＫＥ协议，使格上ＰＡＫＥ协议的效率得到了一定的提高㊂２０１７年，Ｚｈａｎｇ等［８］对ＡＳＰＨ函数做出改进，利用底层ＰＫＥ（Ｐａｓｓｗｏｒｄ⁃ｂａｓｅｄｋｅｙｅｘ⁃ｃｈａｎｇｅ）及其关联的非自适应ＡＳＰＨ函数，搭建了两轮ＰＡＫＥ框架㊂同年，Ｇａｏ等［９］结合ＳＲＰ北京电子科技学院学报２０２４年（ＳｅｃｕｒｅＲｅｍｏｔｅＰａｓｓｗｏｒｄ）协议底层困难问题与判定ＲＬＷＥ（ＲｉｎｇＬｅａｒｎｉｎｇｗｉｔｈＥｒｒｏｒｓＰｒｏｂｌｅｍ）的优点，提出一个新的基于ＲＬＷＥ的ＳＲＰ协议㊂２０１７年，Ｊｉｎ等［１０］通过引入和形式化密钥共识及其非对称变异ＡＫＣ（ＡｄａｐｔｉｖｅＫ⁃ＣｕｒｖａｔｕｒｅＦｕｎｃ⁃ｔｉｏｎ）函数的构建工具，抽象了基于ＬＷＥ（Ｌｅａｒｎ⁃ｉｎｇｗｉｔｈＥｒｒｏｒｓＰｒｏｂｌｅｍ）和ＲＬＷＥ的密钥交换协议中的一些密钥成分，设计了ＫＣ（ｋｅｙｃｏｎｓｅｎ⁃ｓｕｓ）和ＡＫＣ（ａｓｙｍｍｅｔｒｉｃｋｅｙｃｏｎｓｅｎｓｕｓ）方案㊂２０１９年，Ｋａｒｂａｓｉ等［１１］对ＳＰＨ（ＳｍｏｏｔｈＰｒｏｊｅｃｔｉｖｅＨａｓｈ）函数进行改进，首次构造出基于ＲＬＷＥ问题的ＳＰＨＦ㊂２０２１年，李子臣等［１２］基于ＲＬＷＥ难题，利用了Ｐｅｉｋｅｒｔ错误协调机制，在客户端／服务器模式下构造出ＰＡＫＥ协议㊂２０２２年，尹安琪等［１３］根据Ｇｅｎｔｒｙ等的方案［１４］和Ｋａｔｚ等的方案［１５］设计了一种基于格的两轮ＰＡＫＥ协议，并分析了协议的安全性㊂同年，Ｌｉ等［１６］基于Ｐｅｉｋｅｒｔ方案［１７］提出一个具有自适应光滑性的基于格的ＳＰＨ函数，获得了具有严格安全分析的格上一轮ＰＡＫＥ协议㊂Ｚｈａｏ等［１８］也提出了一种基于密钥共识的格密码认证密钥交换协议㊂通过研究可以发现，上述协议或者具有两轮以上的交互（例如［６］㊁［７］㊁［１２］），或者不具有身份认证功能（例如［１８］㊁［８］）㊂当然，基于密钥共识机制设计出的格上身份认证协议可以有效减少通信轮数，但目前存在的格上一轮协议绝大多只能用于一对一的通信，并且不提供身份认证功能㊂为解决上述问题，本文提出一种新的基于密钥共识的格上一轮身份认证协议，提高通信效率的同时实现身份认证功能，并基于随机预言机模型证明了协议的安全性㊂１㊀相关知识１ １㊀格的相关知识定义１格㊂给定线性空间ｍˑｎ上ｍ个线性无关向量Ｂ＝（ｂ１， ，ｂｍ），这些向量的整系数线性组合表示为格Λ⊂Ｒｎ，即Λ＝Ｌ（Ｂ）＝ðｍｉ＝１ｘｉｂｉ，ｘｉɪ㊂在格密码中，明文和密文通常表示为向量㊂加密过程涉及将明文与格基和误差向量结合，然后进行一些数学运算，如模运算，以生成密文㊂解密过程涉及逆向操作，从密文恢复到原始明文㊂基于格的结构目前是后量子密码学的重要候选者，计算格问题无法有效解决的假设下，许多基于格的结构被认为是安全的㊂定义２㊀ＬＷＥ［１９］㊂ＬＷＥ分布是一种离散概率分布，通常用于描述一个随机过程，其中一些线性关系受到小的随机误差的干扰㊂在ＬＷＥ分布中，有一组向量（称为秘密向量ｓ）和一个包含噪声的线性组合，即对秘密向量的线性组合添加了一些随机误差㊂表示为：Ａｓ，α＝（ａ，ｂ＝ａｔｓ＋ｅｍｏｄｑ）ɪｎｑˑｑ（ｎ，ｑɪ，α＞０，ｓɪｎｑ）㊂其中，αѳｒｎｑ为随机均匀选取的向量，ｅѳｒＤ，αｑ为容错向量㊂ＬＷＥ难题是一个密码学难题，涉及到从ＬＷＥ分布的样本中恢复出秘密向量㊂具体来说，给定一组ＬＷＥ分布的样本（线性组合和噪声）ＬＷＥ难题的目标是找到生成这些样本的秘密向量㊂ＬＷＥ难题的安全性基于随机性和误差的引入，使得从样本中恢复秘密信息变得非常困难㊂ＬＷＥ难题在构建抗量子计算的加密算法研究中起到了关键作用，因此基于ＬＷＥ难题构建抗量子攻击的身份认证协议是一个可行的思路㊂１ ２㊀基于格的公钥加密体制基于ＬＷＥ问题的公钥密码体制表示为ＰＫε＝（ＫｅｙＧｅｎ，Ｅｎｃ，Ｄｅｃ），Ｐ表示明文的集合㊂该体制满足ＣＣＡ安全，具体如下所示：令ｎ１，ｎ２ɪ，ｑ为素数，ｎ＝ｎ１＋ｎ２＋１，ｍ＝Ｏ（ｎｌｏｇｑ）ɪ，α，βɪ㊂生成体制公私钥对的算法为（ｐｋ，ｓｋ）ѳＫｅｙＧｅｎ（１ｋ）：将与安全性相关的参数（ｐｋ，ｓｋ）作为算法的输入，得到（Ａ０，Ｒ０）ѳＴｒａｐＧｅｎ（１ｎ，１ｍ，ｑ）㊁（Ａ１，Ｒ１）ѳＴｒａｐＧｅｎ（１ｎ，１ｍ，ｑ）㊁ｃｒｓѳ㊃２㊃第３２卷格上两方一轮身份认证协议㊀ＣＲＳＧｅｎ（１ｋ），最终得到体制公钥和体制私钥的组合（ｐｋ，ｓｋ）＝（（Ａ０，Ａ１，ｃｒｓ），Ｒ０）㊂加密算法为ｃѳＥｎｃ（ｐｋ，ｌａｂｅｌ，ｐｗ）：输入公钥ｐｋ＝（Ａ０，Ａ１，ｃｒｓ）㊁明文ｐｗɪＰ㊁ｌａｂｅｌɪ｛０，１｝∗㊁随机数ｒ，随机选取ｓ０，ｓ１ѳｒｎｑ，ｅ０，ｅ１ѳｒＤｍ，αｑ，输出密文ｃ＝（ｕ，ｖ）㊁ｕ＝ｆ（ｐｋ，ｐｗ，ｒ）㊁ｖ＝ｇ（ｐｋ，ｌａｂｅｌ，ｐｗ，ｒ）㊂解密算法为Ｄｅｃ：输入私钥ｓｋ＝Ｒ０㊁ｌａｂｅｌ和密文ｃ＝（ｕ，ｖ），输出相应的明文ｐｗ或ʅ，记为ｐｗѳＤｅｃ（ｓｋ，ｌａｂｅｌ，（ｕ，ｖ））㊂正确性：对于任意公私钥对（ｐｋ，ｓｋ），密文ｃ＝（ｕ，ｖ）的第一部分ｕ在任何ｖᶄ和ｌａｂｅｌᶄɪ｛０，１｝∗的意义上修正明文ｐｗ，在安全参数ｋ和ｓｋ㊁ｒ的随机选择中Ｄｅｃ（ｓｋ，ｌａｂｅｌᶄ，（ｕ，ｖᶄ））∉｛ʅ，ｐｗ｝的概率是可以忽略的㊂１ ３㊀近似平滑投射哈希函数实现ＣＣＡ安全的公钥加密体制的平滑投射函数最早由Ｃｒａｍｅｒ等［２０］提出，本文使用的ＡＳ⁃ＰＨ函数参考文献［６］㊁［８］㊂给定ＣＣＡ安全公钥加密方案ＰＫε＝（ＫｅｙＧｅｎ，Ｅｎｃ，Ｄｅｃ）和有效可识别的ＰＡＫＥ密码字典消息空间Ｄ，假设该加密方案定义了密文的有效性，可以由ｐｋ单独有效地确定，所有诚实生成的密文都是有效的，并且假设不存在解密错误㊂假设给定一个有效密文ｃ，可以将ｃ＝（ｕ，ｖ）分解为（ｆ，ｇ）的输出㊂密钥对（ｐｋ，ｓｋ）由密钥生成算法ＫｅｙＧｅｎ（１ｋ）产生，Ｃｐｋ表示关于公钥ｐｋ的有效密文空间，Ｐ是明文空间㊂定义Ｘ＝｛（ｌａｂｅｌ，ｃ，ｐｗ）｜（ｌａｂｅｌ，ｃ）ɪＣｐｋ；ｐｗɪＰＬ＝｛（ｌａｂｅｌ，ｃ，ｐｗ）ɪＸ｜ｌａｂｅｌɪ｛０，１｝∗；ｃ＝Ｅｎｃ（ｐｋ，ｌａｂｅｌ，ｐｗ）｝Ｌ－＝｛（ｌａｂｅｌ，ｃ，ｐｗ）ɪＸ｜ｌａｂｅｌɪ｛０，１｝∗；ｐｗ＝Ｄｅｃ（ｓｋ，ｌａｂｅｌ，ｃ）｝一个公钥ｐｋ的公钥加密体制对应的ε－ａｐｐｒｏｘｉｍａｔｅＳＰＨ函数记为（Ｋ，ｌ，｛Ｈｈｋ：Ｘң｛０，１｝ｌ｝ｈｋɪＫ，ＨＰ，Ｐｒｏｊ：ＫңＨＰ㊂哈希密文的集合为Ｋ，Ｘ是函数的定义域，｛０，１｝ｌ为函数值域㊂近似平滑投射哈希函数由以下算法组成㊂对哈希密钥进行采样ｈｋѳｒＫ，ｈｋ是元组，其中每个元素都服从离散高斯分布；对于ｈｋɪＫ，ｘ＝（ｌａｂｅｌ，（ｕ，ｖ），ｐｗ）ɪＸ，计算Ｈｈｋ（ｘ）＝Ｈｈｋ（ｕ，ｐｗ）；计算投射密钥ｈｐ＝Ｐｒｏｊ（ｈｋ），其中ｈｋɪＫ㊂对于任意ｈｋѳｒＫ㊁ｘ＝（ｌａｂｅｌ，（ｕ，ｖ），ｐｗ）ɪＬ㊁随机数ｒ，计算ｕ＝ｆ（ｐｋ，ｐｗ，ｒ）㊁ｖ＝ｇ（ｐｋ，ｌａｂｅｌ，ｐｗ，ｒ），有一个有效的近似算法为Ｈａｓｈ（ｈｐ，ｘ，ｒ）＝Ｈａｓｈ（ｈｐ，（ｕ，ｐｗ），ｒ）㊂正确性：对ｘ＝（ｌａｂｅｌ，（ｕ，ｖ），ｐｗ）ɪＬ以及投射密钥ｈｐ＝Ｐｒｏｊ（ｈｋ），满足Ｐｒ［Ｈａｍ（Ｈｈｋ（ｕ，ｐｗ），Ｈａｓｈ（ｈｐ，（ｕ，ｐｗ），ｒ））ȡε］＝ｎｅｇｌ（ｋ）㊂平滑性：对任意的函数ｈ：ＨＰңＸ＼Ｌ－㊁ｈｋѳｒＫ㊁ｈｐ＝Ｐｒｏｊ（ｈｋ）㊁ｘ＝ｈ（ｈｐ）㊁ρѳｒ｛０，１｝ｌ，两个分布（ｈｐ，Ｈｈｋ（ｘ））和（ｈｐ，ρ）是不可区分的㊂１ ４㊀密钥共识定义４密钥共识（Ｋｅｙｃｏｎｓｅｎｓｕｓ［１０］）㊂一个密钥共识算法ＫＣ＝（ｐａｒａｍｓ，Ｃｏｎ，Ｒｅｃ），其中的参数定义如下：ｐａｒａｍｓ＝（ｑ，ｍ，ｇ，ｄ，ａｕｘ）表示系统参数，ｑ，ｍ，ｇ，ｄ均为正整数，且满足ｍ，ｇ是２的幂，ｑ＝ｍ㊃ｇ，２ｍｄ＜ｑ，ａｕｘ表示通常由ｑ，ｍ，ｇ，ｄ确定的辅助值，可以设置为一个特殊的符号Φ指示为空㊂（ｋ１，ｖ）ѳＣｏｎ（σ１，ｐａｒａｍｓ）：输入为（σ１ɪｑ，ｐａｒａｍｓ），概率多项式时间调节算法的输出为（ｋ１，ν），其中ｋ１ɪｍ是共享密钥，ｖɪｇ是在后续过程中将公开传输到另一个通信方的提示信号，以便双方达成共识㊂ｋ２ѳＲｅｃ（σ２，ｖ，ｐａｒａｍｓ）：输入为（σ２ɪｑ，ｖ，ｐａｒａｍｓ），确定性多项式时间和解密算法Ｒｅｃ输出ｋ２ɪｍ㊂正确性：如果ｋ１＝ｋ２且任意σ１，σ２ɪｑ满足｜σ１－σ２｜ｑɤｄ，密钥共识算法满足正确性㊂安全性：如果ｋ１和ｖ相互独立，且ｋ１均匀分布在ｍ，σ１ɪｑ时，密钥共识算法满足安全性㊂㊃３㊃北京电子科技学院学报２０２４年２㊀安全模型㊀㊀本文在文献［２１］的基础上给出安全性分析模型㊂协议的参与者包含用户Ｍ和信任的服务器Ｖ用户持有的能在服务器证明身份信息的口令记为ｗ（ｗɪＤ，独立均匀选取），服务器拥有该口令对应的ｗᶄ，ｗᶄ与ｗᶄ相等㊂ΠｉＭ表示用户Ｍ中的第ｉ个实例，ΠｊＶ表示服务器Ｖ中的第ｊ个实例㊂敌手Ａ是一种概率多项式时间（Ｐｒｏｂａｂｉ⁃ｌｉｓｔｉｃＰｏｌｙｎｏｍｉａｌ⁃Ｔｉｍｅ，ＰＰＴ）算法，可以完全控制这些设备之间的所有通信信道㊂Ａ可以拦截和读取所有消息，删除或修改任何所需的消息，以及注入它自己的消息㊂还允许Ａ获得一个实例的会话密钥，以便模拟会话密钥可能发生的泄漏㊂敌手Ａ与每个实例进行交互的方式如下所示㊂ｅｘｅｃｕｔｅ（Ｍ，ｉ，Ｖ，ｊ）㊂此查询用于模拟对手的被动攻击能力㊂如果ΠｉＭ和ΠｊＶ没有被激活，该提示查询模型将激活ΠｉＭ和ΠｊＶ来运行协议，然后将协议执行记录发送给对手㊂ｓｅｎｄ（Ｍ，ｉ，ｍｓｇ）㊂它用于模拟对手对证明者实例ΠｉＭ的主动攻击㊂敌手拦截并修改发送给实例ΠｉＭ的消息ｍｓｇ，将用户实例ΠｉＭ对消息的回应返回给Ａ㊂ｓｅｎｄ（Ｖ，ｊ，ｍｓｇ）㊂该询问模拟敌手的主动攻击，敌手拦截发送给服务器ΠｊＶ的消息并进行修改，再把该服务器相应的的回复返回到Ａ㊂ｒｅｖｅａｌ（Ｍ，ｉ）㊂此查询模拟已知的密钥攻击或会话密钥丢失㊂它允许对手获得用户实例ΠｉＭ的有效会话密钥㊂ｔｅｓｔ（Ｍ，ｉ）㊂该查询用于描述协议会话密钥的语义安全性，而对手只能访问一次查询㊂选择一个随机比特ｂѳｒ｛０，１｝，如果ｂ＝１，则返回用户实例ΠｉＭ的会话密钥ｓｋｉＭ；否则返回均匀选取的随机值㊂新鲜性㊀如果对手Ａ没有向实例ΠｉＭ请求ｒｅｖｅａｌ（Ｍ，ｉ），那么实例ΠｉＭ就是新鲜的㊂在查询模型中，只要当验证者接受会话密钥时，查询操作ｔｅｓｔ（Ｍ，ｉ）中的实例ΠｉＭ保证是新鲜的，对手就可以在多项式时间内进行任何顺序查询㊂安全性㊀设口令字典空间为Ｄ，Ｑ（ｋ）为攻击者以在线方式测试口令次数的边界值，其中ｋ表示与安全参数无关的常数㊂如果对于所有字典Ｄ和所有的ＰＰＴ对手Ａ最多进行Ｑ（ｋ）次在线攻击，满足ａｄｖΠ，Ａ（ｋ）ɤＱ（ｋ）｜Ｄ｜＋ｎｅｇｌ（ｋ），那么该ＰＡＫＥ协议是安全的㊂３㊀基于密钥共识的格上一轮身份认证协议３ １㊀方案构造基于密钥共识的格上一轮身份认证协议使用ＡＳＰＨ函数进行设计，利用可拆分公钥密码体制［６，８］和密钥共识算法［１０］实现安全性和高效性㊂协议中的符号说明如表１所示㊂表１㊀协议中的符号说明Ｔａｂ．１㊀Ｅｘｐｌａｎａｔｉｏｎｏｆｓｙｍｂｏｌｓｉｎｔｈｅａｇｒｅｅｍｅｎｔ符号说明符号说明ｒ１，ｒ２用户和服务器的随机值ｌａｂｅｌ标签ｈｋＨａｓｈ密钥ｆ，ｇ函数ＫＨａｓｈ密钥空间ｓｋ１，ｓｋ２用户，服务器的会话密钥ｈｐ投射密钥用户和服务器共享口令ｗɪＤ，其中，Ｄ为系统中口令的集合㊂协议的具体流程如下：（１）初始化阶段公钥加密体制的公钥ｐｋ由可信第三方生成，对应的私钥任何用户不能知悉㊂用户上传身份标识与口令ｗ到服务器，服务器按照身份标识与口令的对应关系保存所有用户身份标识以及口令㊂（２）身份认证及密钥协商阶段用户与服务器实现身份认证及密钥协商的㊃４㊃第３２卷格上两方一轮身份认证协议㊀流程如图１㊂图１㊀基于密钥共识的格上一轮身份认证协议Ｆｉｇ．１㊀Ｏｎｅｒｏｕｎｄｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｐｒｏｔｏｃｏｌｂａｓｅｄｏｎｋｅｙｃｏｎｓｅｎｓｕｓｏｎｌａｔｔｉｃｅ（１）用户Ｍ：选择随机值ｒ１㊁散列密钥ｈｋ１，计算ｈｐ１＝Ｐｒｏｊ（ｈｋ１）；令ｌａｂｅｌ１＝ＩＤＭ｜｜ＩＤＶ｜｜ｈｐ１，计算（ｕ１，ｖ１）＝Ｅｎｃ（ｐｋ，ｌａｂｅｌ１，ｗ，ｒ１），其中ｕ１＝ｆ（ｐｋ，ｗ，ｒ１），ｖ１＝ｇ（ｐｋ，ｌａｂｅｌ１，ｗ，ｒ１）；令ｃ１＝（ｕ１，ｖ１），将身份标识以及发送给服务器Ｖ㊂（２）服务器Ｖ：接收到用户消息后，首先对ｃ１的有效性进行验证，如果无效就选择终止此次会话；若验证有效，随机选择ｒ２，散列密钥ｈｋ２，计算ｈｐ２＝Ｐｒｏｊ（ｈｋ２）㊁ｕ２＝ｆ（ｐｋ，ｗᶄ，ｒ２）；计算σ１＝Ｈａｓｈ（ｈｐ１，（ｕ２，ｗᶄ），ｒ２）⊕Ｈｈｋ２（ｕ１，ｗᶄ），ｎ＝σ１ｍｏｄｇ，会话密钥ｓｋ１＝⌊σ１ｇ」；令ｌａｂｅｌ２＝ＩＤＭ｜｜ＩＤＶ｜｜ｈｐ１｜｜ｈｐ２，ｖ２＝ｇ（ｐｋ，ｌａｂｅｌ２，ｗᶄ，ｒ２）；令ｃ２＝（ｕ２，ｖ２），将ｈｐ２㊁ｃ２以及ｎ发送给用户Ｍ㊂（３）用户Ｍ：接收到服务器Ｖ的消息后，首先对ｃ２的有效性进行验证，如果无效就选择终止此次会话；若验证有效，计算σ２＝Ｈｈｋ１（ｕ２，ｗ）⊕Ｈａｓｈ（ｈｐ２，（ｕ１，ｗ），ｒ１），并计算会话密钥ｓｋ２＝⌊（σ２－ｎ）／ｇ⌉ｍｏｄｍ㊂接下来，证明协议的正确性㊂根据ＡＳＰＨ的近似正确性可知：Ｐｒ［Ｈａｍ（Ｈｈｋ（ｕ，ｐｗ），Ｈａｓｈ（ｈｐ，（ｕ，ｐｗ），ｒ））ȡε］＝ｎｅｇｌ（ｋ）㊂因此σ１和σ２的汉明距离至多为２ε㊂现引入一个新的函数｜㊃｜ｔ：对任意正整数ｔȡ１，｜ｘ｜ｔ＝ｍｉｎ｛ｘｍｏｄｔ，ｔ－ｘｍｏｄｔ｝㊂我们使用｜σ１－σ２｜ｑ来度量两个元素之间的距离，由于σ１和σ２的汉明距离至多为２ε，与ｑ相比相对较小，所以｜σ１－σ２｜ｑɤｄ㊂根据｜㊃｜ｔ的定义可以知道：对任意ｘ，ｙ，ｔ，ｌɪ，ｔȡ１，ｌȡ０，如果｜ｘ－ｙ｜ｔɤ１，那么存在θɪ以及δɪ［－１，１］使得ｘ＝ｙ＋θｔ＋δ㊂因为｜σ１－σ２｜ｑɤｄ，所以存在θɪ和δɪ［－１，１］使得σ２＝σ１＋θｑ＋δ㊂因此ｓｋ２＝⌊（σ１－ｎ＋θｑ＋δ）／ｇ⌉ｍｏｄｍ＝（ｓｋ１＋θｍ＋⌊δ／ｇ⌉）ｍｏｄｍ⌊⌉意为取最接近的整数，因为２ｍｄ＜ｑ，所以｜θｇ｜ɤｄｇ＜１２，所以δ／ｇ最接近零可忽略，因此ｓｋ２＝ｓｋ１ｍｏｄｍ＝ｓｋ１㊂３ ２㊀安全性证明本节给出了格上基于密钥共识的一轮身份认证密钥交换协议的安全性证明㊂定理１如果ＰＫε＝（ＫｅｙＧｅｎ，Ｅｎｃ，Ｄｅｃ）是一种基于ＬＷＥ难题ＣＣＡ安全的公钥加密方案和？－ＡＳＰＨ函数簇，并且使用密钥共识ＫＣ＝（ｐａｒａｍｓ，Ｃｏｎ，Ｒｅｃ）来协商会话密钥㊂那么本文协议是一个安全的ＰＡＫＥ协议㊂要证明定理１，选择通过一系列游戏从游戏０到游戏７来建立㊂游戏０代表一个真实且安全的游戏，而游戏７代表一个随机选择会话密钥的均匀分布游戏，其安全性是通过增加对手的优势来建立的㊂我们通过逐步转变游戏规则来证明定理１㊂ａｄｖＡ，ｉ（ｋ）表示在游戏Ｇｉ中敌手的优势㊂从游戏０到７，敌手的优势差最多为Ｑ（ｋ）｜Ｄ｜＋ｎｅｇｌ（ｋ）㊂游戏０：本实验在一个安全模型中模拟了游㊃５㊃北京电子科技学院学报２０２４年戏的真实攻击㊂游戏１：相比较于游戏０，本实验修改了每个ｅｘｅｃｕｔｅ询问的回答中σ２的的计算方法，将其修改为用ｈｋ来直接进行计算，例如，σ２＝Ｈｈｋ１（ｕ２，ｗ） Ｈｈｋ２（ｕ１，ｗ）㊂基于格ＰＡＫＥ协议的ε－ＡＳＰＨ函数簇为：１）哈希函数簇Ｈ＝｛Ｈｈｋ｝ｈｋɪＨＫ，其中，定义域为Ｘ，值域为｛０，１｝ｌ，ＨＫ为Ｈａｓｈ密钥空间；２）密钥投射函数Ｐｒｏｊ：ＨＫңＨＰ，其中，ＨＰ为投射密钥空间㊂由于模拟器知道ｈｋ，引理１可以通过ＡＳＰＨ的近似正确性推导出来㊂因此存在｜ａｄｖＡ，１（ｋ）－ａｄｖＡ，０（ｋ）｜ɤｎｅｇｌ（ｋ）㊂游戏２：继续将ｅｘｅｃｕｔｅ做修改，将密文ｃ１替换为加密虚拟口令（不属于字典集Ｄ的口令被称为虚拟口令）得到的密文㊂游戏１和游戏２的唯一区别是在加密结果上的替换，如果敌手Ａ能够明显优于随机猜测地区分这两个游戏，那么存在算法Ｂ可以在底层格上的公钥加密中打破ＣＣＡ安全性㊂算法Ｂ随机均匀地选择一个挑战公钥ｐｋ，并在游戏１中与敌手Ａ交互㊂如果对手Ａ要求算法Ｂ进行一个ｅｘｅｃｕｔｅ询问，那么Ｂ首先随机选择ｈｋ１ѳｒＫ，计算ｈｐ１＝Ｐｒｏｊ（ｈｋ１）㊂然后向挑战者发送（ｗ，０）和ｌａｂｅｌ１＝ＩＤＭ｜｜ＩＤＶ｜｜ｈｐ１以获得一个挑战密文ｃ∗１㊂最后，算法Ｂ将使用密文ｃ∗１作为ｅｘｅｃｕｔｅ查询的答案，并将对手Ａ的输出视为自己的猜测㊂如果ｃ∗１是真实密码ｗ的加密密文，算法Ｂ将完全模拟对手Ａ的攻击环境，否则，算法Ｂ将在游戏２中模拟对手Ａ的攻击环境㊂因此，如果对手Ａ不能以明显优势区分游戏１和游戏２，那么算法Ｂ就不能以同样的优势破坏ＣＣＡ的安全性㊂由于公钥加密体制满足ＣＣＡ安全，所以｜ａｄｖＡ，２（ｋ）－ａｄｖＡ，１（ｋ）｜ɤｎｅｇｌ（ｋ）㊂游戏３：继续将ｅｘｅｃｕｔｅ做修改，强制σ２与σ１为直接选取的随机数，而其他计算保持不变㊂在每次ｅｘｅｃｕｔｅ询问中，两个密文ｃ１和ｃ２都是加密不属于字典集的随机数得到的值，其中，σ１和σ２的值在统计上接近于均匀分布，因此可以忽略所产生的优势差异㊂根据ＡＳＰＨ函数的定义及性质，有｜ａｄｖＡ，３（ｋ）－ａｄｖＡ，２（ｋ）｜ɤｎｅｇｌ（ｋ）㊂在从游戏１到游戏３的过程中，敌手Ａ修改了ｅｘｅｃｕｔｅ查询的模拟方式，并且在这些修改后的查询中没有获得有关用户密码的任何信息㊂接下来将开始考虑以下ｓｅｎｄ询问㊂ｓｅｎｄ０（Ｍ，ｉ，Ｖ，ｊ）㊂激活证明者和验证者实例获取协议执行记录㊂ｓｅｎｄ１（Ｖ，ｊ，ｍｓｇ１）㊂敌手给服务器发送一轮消息ｍｓｇ１＝（ＩＤＭ，ｃ１，ｈｐ１）得到服务器返回的下一轮消息㊂ｓｅｎｄ２（Ｍ，ｉ，ｍｓｇ２）敌手向用户实例ᵑｉＭ发送下一轮消息ｍｓｇ２＝（ｈｐ２，ｃ２，ｎ）㊂如果服务器实例ΠｊＶ接收到有效的消息ｍｓｇ１，就向敌手返回相应的消息ｍｓｇ２㊂模拟器Ｃ将记录与密钥生成阶段生成的公钥ｐｋ对应的私钥ｓｋ㊂游戏４：对于ｓｅｎｄ１（Ｖ，ｊ，ｍｓｇ１）询问，令ｌａｂｅｌᶄ１＝ＩＤＭᶄ｜｜ＩＤＶᶄ｜｜ｈｐ１，如果ｃᶄ１不是有效的密文，则模拟器Ｃ拒绝该消息㊂否则，模拟器Ｃ利用私钥ｓｋ计算ｗᶄ＝Ｄｅｃｓｋ（ｃᶄ１），若ｗᶄ＝ｗ，则认为敌手Ａ成功并结束游戏㊂假设ｃᶄ１是一个有效的密文，因为游戏４中的模拟器Ｃ知道ｐｋ对应的私钥ｓｋ，所以，解密ｃᶄ１可以得到ｗᶄ㊂显然这种令ｗᶄ＝ｗ的修改可以增加敌手的优势㊂至于ｗᶄʂｗ这种情况，有（ｌａｂｅｌᶄ１，ｃᶄ１，ｗ）∉Ｌ－㊂根据ＡＳＰＨ的平滑性，ｗᶄʂｗ的优势在统计距离上可以忽略㊂根据近似平滑散列函数的定义和密钥共识的正确性，有ａｄｖＡ，３（ｋ）ɤａｄｖＡ，４（ｋ）＋ｎｅｇｌ（ｋ）㊂游戏５：对于ｓｅｎｄ２（Ｍ，ｉ，ｍｓｇ２），令ｍｓｇ２＝（ＩＤＭ，ｃ１，ｈｐ１）是ｓｅｎｄ０（Ｍ，ｉ，Ｖ，ｊ）询问输出的消㊃６㊃第３２卷格上两方一轮身份认证协议㊀息㊂如果ｍｓｇ２ᶄ是之前ｓｅｎｄ１（Ｖ，ｊ，ｍｓｇ１）询问的输出，模拟器直接使用相应的ｈｋ１计算σ２，强制用户实例与服务器实例拥有相同的σ，由于σ对敌手是隐藏的，所以此修改不改变敌手的优势㊂令ｌａｂｅｌᶄ２＝ＩＤＭ｜｜ＩＤＶ｜｜ｈｐᶄ１｜｜ｈｐᶄ２；如果检验ｃᶄ２不是有效的密文，模拟器Ｃ拒绝询问；否则，模拟器Ｃ用私钥ｓｋ解密ｃᶄ２得到ｗᶄ㊂若ｗᶄ＝ｗ，模拟器Ｃ认为敌手成功并停止模拟，这个修改增加了敌手的优势㊂根据近似平滑散列函数的定义和密钥共识的正确性，有ａｄｖＡ，４（ｋ）ɤａｄｖＡ，５（ｋ）＋ｎｅｇｌ（ｋ）㊂游戏６：对ｓｅｎｄ０（Ｍ，ｉ，Ｖ，ｊ）询问进行修改，如果用户触发了ｓｅｎｄ０操作，那么将对虚拟口令进行加密，并生成密文ｃ１㊂在游戏５和游戏６之间唯一的区别是，密文是对不属于字典集Ｄ的口令加密获取的值㊂如果敌手Ａ可以在概率多项式时间内明显优于随机猜测地区分这两个游戏，并将其能力转换为算法Ｂ，那么算法Ｂ可以以相同的优势破坏公钥密码体制的ＣＣＡ安全性㊂随机均匀选择一个挑战公钥ｐｋ，算法Ｂ使用ｐｋ作为协议的ＣＲＳ，模拟游戏５中敌手Ａ的攻击环境㊂当算法Ｂ回答敌手的ｓｅｎｄ０询问时，首先随机选择ｈｋ１ѳｒＫ，计算ｈｐ１＝Ｐｒｏｊ（ｈｋ１）㊂然后算法Ｂ向挑战者发送（ｗ，０）和ｌａｂｅｌ１＝ＩＤＭ｜｜ＩＤＶ｜｜ｈｐ１，获得一个挑战密文ｃ∗１㊂最后算法Ｂ将（ＩＤＭ｜｜ＩＤＶ｜｜ｈｐ１）发送给敌手Ａ㊂当算法Ｂ必须解密有效密文对（ｌａｂｅｌᶄ１，ｃᶄ１）＝（ｌａｂｅｌ１，ｃ∗１）时，提交（ｌａｂｅｌᶄ，ｃᶄ１）给自己的ＣＣＡ安全挑战者㊂算法Ｂ取一个比特值ｂɪ｛０，１｝作为敌手Ａ的输出，将其作为它自己的猜测㊂如果密文ｃ∗１是对真实密码ｗ的加密，而算法Ｂ模拟了敌手Ａ在游戏５中的攻击环境，那么如果敌手Ａ能够在概率多项式时间内明显优于随机猜测地区分游戏６和游戏５，那么算法Ｂ可以以相同的优势破坏公钥密码体制的ＣＣＡ安全性㊂而公钥加密体制确保ＣＣＡ安全，所以｜ａｄｖＡ，６（ｋ）－ａｄｖＡ，５（ｋ）｜ɤｎｅｇｌ（ｋ）㊂游戏７：ｓｅｎｄ１（Ｖ，ｊ，ｍｓｇᶄ１＝（ＩＤＭᶄ，ｃᶄ１，ｈｐᶄ１））询问被修改，如果ｍｓｇᶄ１是之前ｓｅｎｄ０询问的输出，模拟器Ｃ用相应的散列密钥（ｈｋ１，ｈｋ２）计算σ１；否则，模拟器Ｃ执行方式完全类似于游戏６㊂如果ｍｓｇᶄ１是之前ｓｅｎｄ０询问的输出，那么模拟器Ｃ可以知道相应的散列密钥（ｈｋ１，ｈｋ２），ｃᶄ１是对虚拟口令的加密㊂因此可知，该修改的统计距离可以忽略不计㊂所以，根据近似平滑散列函数的定义和密钥共识的正确性，有｜ａｄｖＡ，７（ｋ）－ａｄｖＡ，６（ｋ）｜ɤｎｅｇｌ（ｋ）㊂在给定场景中，事件ε表示敌手Ａ提交了一个密文，然后成功解密该密文以获得真实密码ｗ㊂如果事件ε没有发生，那么可以忽略敌手Ａ在安全参数ｋ上的任何优势㊂在游戏７中，所有查询输出的密文都是虚拟口令的加密结果，因此敌手Ａ无法通过查询获得有关真实密码的任何相关信息㊂因为Ｑ（ｋ）次在线攻击是敌手Ａ的极限，且一次攻击的概率成功为Ｐｒ［ｗᶄ＝ｗ］ɤ１｜Ｄ｜，所以事件ε发生的概率最大为Ｑ（ｋ）｜Ｄ｜，经过计算可得知，ａｄｖＡ，７（ｋ）ɤＱ（ｋ）｜Ｄ｜＋ｎｅｇｌ（ｋ）㊂综合游戏１ 游戏７可以得到ａｄｖＡ，０（ｋ）ɤＱ（ｋ）｜Ｄ｜＋ｎｅｇｌ（ｋ）㊂所以定理１的说法正确㊂４㊀性能比较㊀㊀本节从安全性和效率两个方面，对本文协议和已有的格上两方身份认证协议进行比较，具体如表２㊁表３所示㊂其中，Ｅｘｐ表示模幂运算，Ｅｎｃ／Ｄｅｃ表示公钥加密／解密运算，ＡＳＰＨ／ＳＰＨ表示近似平滑投射哈希运算，Ｈａｓｈ表示哈希运算㊂同时，为了能够更加直观的对协议的性能进行比较，本文统一分别假设ｌ㊁ｋ㊁ｎ㊁ｍ㊁ｌｏｇｑ的值㊃７㊃北京电子科技学院学报２０２４年为１２８ｂｉｔ㊁１２８ｂｉｔ㊁２５６ｂｉｔ㊁６４００ｂｉｔ与１２㊂表２㊀通信与计算开销比较Ｔａｂ．２㊀Ｃｏｍｐａｒｉｓｏｎｏｆｃｏｍｍｕｎｉｃａｔｉｏｎａｎｄｃｏｍｐｕｔｉｎｇｃｏｓｔｓ协议难题假设双向认证通信复杂度通信开销／ｂｉｔ计算开销［１８］ＬＷＥ否Ｏ（（ｍ＋ｎｋ）ｌｏｇｑ）４７００１６３Ｅｘｐ＋１Ｅｎｃ＋２Ｈａｓｈ［８］ＬＷＥ否Ｏ（２（４ｍ－２ｎ＋ｋｎ）ｌｏｇｑ＋ｋ）１００１６００２Ｅｎｃ＋４ＡＳＰＨ＋２Ｈａｓｈ［６］ＬＷＥ是Ｏ（（３ｍｎ＋２ｋｎ）ｌｏｇｑ＋ｋ）５９７６９９８４２Ｅｘｐ＋２Ｅｎｃ＋２ＡＳＰＨ＋５Ｈａｓｈ［１３］ＧＰＶ是Ｏ（（（ｍｎ＋１）＋ｋ（ｎ＋１））ｌｏｇｑ）２００５５５５２２Ｅｘｐ＋２Ｅｎｃ＋２ＳＰＨ＋４Ｈａｓｈ本协议ＬＷＥ是Ｏ（（ｍｎ＋ｎｌ）ｌｏｇｑ＋ｌ）２００５４１４４２Ｅｘｐ＋２Ｅｎｃ＋２ＡＳＰＨ＋２Ｈａｓｈ㊀㊀本文使用ＬＷＥ问题进行协议的设计，多项式时间内量子算法无法解决，因而能够抵抗量子攻击㊂协议［１８］㊁［８］只是完成通信密钥的协商，缺少对通信双方的身份认证，协议［６］㊁［１３］与本文协议提供通信双方相互认证的功能，进一步提升了协议的安全性㊂在通信开销方面，支持双向认证的协议需要更多的通信数据㊂但是，相对于协议［６］和［１３］，本文协议的通信开销进一步降低，提高了通信效率㊂在计算开销方面，本文协议相对于协议［１８］减少了指数运算次数但是增加了加密与哈希运算次数，与［８］相比增加了指数运算次数，但是哈希运算次数得到了减少㊂虽然指数运算成本比哈希运算的成本消耗要高，但是总体来看还是增加了计算开销，这也是提供双向认证的必要开销㊂从表２也可以看到，本文通过利用密钥共识算法，比同为双向认证的协议［６］㊁［１３］减少了哈希运算次数，缩短了计算所需的时间㊂综合来看，在保证安全性的前提下，本文协议降低了计算开销，提高了计算效率㊂表３㊀存储开销对比Ｔａｂ．３㊀Ｓｔｏｒａｇｅｏｖｅｒｈｅａｄｃｏｍｐａｒｉｓｏｎ协议存储复杂度存储开销客户端服务器客户端服务器［１８］Ｏ（（ｍｌ＋ｍ＋ｎ＋ｋ＋ｋｍ）ｌｏｇｑ＋ｍ）Ｏ（（２（ｍ＋ｎ）ｋ＋ｋ）ｌｏｇｑ＋２ｍ）１９７４８６０８２０４６１５６８［８］Ｏ（（２ｍｎ＋ｋ（ｍ＋２ｎ１）＋８ｍ－３ｎ１＋２ｎ２＋１）ｌｏｇｑ＋５ｋ）Ｏ（（２ｍｎ＋ｋ（ｍ＋２ｎ１）＋８ｍ－３ｎ１＋２ｎ２＋１）ｌｏｇｑ＋５ｋ）５０１５７１８４５０１５７１８４［６］Ｏ（（ｍｎ（３ｋ＋２ｎ＋６）＋ｎ（２ｋ＋１））ｌｏｇｑ＋５ｋ）Ｏ（（ｍｎ（３ｋ＋２ｎ＋６）＋ｎ（２ｋ＋１））ｌｏｇｑ＋５ｋ）177****2768177****2768［１３］Ｏ（（ｍｎ＋２ｍ＋２ｎ＋１）＋（ｍ＋ｎ＋１）ｋ）ｌｏｇｑ＋３ｋ）Ｏ（（ｍｎ（２ｋ＋２ｎ＋４）＋３ｎ＋１＋（ｎ＋１）ｋｌｏｇｑ＋３ｋ）３００４６０９２151****1964本协议Ｏ（（３ｍｌ＋ｍｎ＋ｍ）ｌｏｇｑ＋ｌ）Ｏ（（４ｍｌ＋ｍｎ＋ｍ＋１）ｌｏｇｑ＋ｌ）４９２２８９２８５９０５９３４０㊀㊀在存储开销方面，各个协议表现不一㊂在客户端方面，本文协议优于协议［８］和［６］，在服务器方面，本文协议又优于协议［６］和［１３］㊂从两端综合来看，支持双向认证的协议在存储方面要高于不支持双向认证的协议㊂可以看到，虽然本文协议在指标上比不支持认证的协议［８］略差，却大幅优于同为双向认证协议的协议［１３］㊂虽然在客户端与服务器两端都具有很低的存储开销，但是协议［１８］不支持双向身份认证，而本文协议在指标方面比协议［１８］略低，但是双向身份认证的优势无疑增强了本文协议的使用场景和推广前景㊂综合以上分析结果表明，本文协议不仅具有双向认证的安全性，还有效的降低了通信和计算成本㊂因此，本文协议更具适用性与推广性㊂㊃８㊃第３２卷格上两方一轮身份认证协议㊀５㊀结束语㊀㊀本文设计的协议利用多项式时间内量子算法无法解决的ＬＷＥ问题进行构造，能够抗量子攻击㊂基于可拆分公钥密码体制和密钥共识算法，利用ＡＳＰＨ函数，在能够实现双向身份认证功能从而保证安全性的前提下，降低了通信开销㊁计算开销和存储开销，提高了通信效率㊂未来将考虑设计在本文使用的框架下的３ＰＡＫＥ方案，使其适用于大规模用户相互通信场景㊂参考文献［１］㊀ＢｅｌｌｏｖｉｎＳＭ，ＭｅｒｒｉｔｔＭ．Ｅｎｃｒｙｐｔｅｄｋｅｙｅｘ⁃ｃｈａｎｇｅ：Ｐａｓｓｗｏｒｄ⁃ｂａｓｅｄｐｒｏｔｏｃｏｌｓｓｅｃｕｒｅａ⁃ｇａｉｎｓｔｄｉｃｔｉｏｎａｒｙａｔｔａｃｋｓ［Ｃ］／／ＩＥＥＥＣｏｍｐｕｔ⁃ｅｒＳｏｃｉｅｔｙＳｙｍｐｏｓｉｕｍｏｎＲｅｓｅａｒｃｈｉｎＳｅｃｕｒｉｔｙａｎｄＰｒｉｖａｃｙ，Ｏａｋｌａｎｄ：ＩＥＥＥＰｒｅｓｓ，１９９２：７２－８４．［２］㊀ＫａｔｚＪ，ＯｓｔｒｏｖｓｋｙＲ，ＹｕｎｇＭ．Ｅｆｆｉｃｉｅｎｔａｎｄｓｅｃｕｒｅａｕｔｈｅｎｔｉｃａｔｅｄｋｅｙｅｘｃｈａｎｇｅｕｓｉｎｇｗｅａｋｐａｓｓｗｏｒｄｓ［Ｊ］．ＪｏｕｒｎａｌｏｆｔｈｅＡＣＭ（ＪＡＣＭ），２００９，５７（１）：１－３９．［３］㊀ＧｅｎｎａｒｏＲ，ＬｉｎｄｅｌｌＹ．Ａｆｒａｍｅｗｏｒｋｆｏｒｐａｓｓ⁃ｗｏｒｄ⁃ｂａｓｅｄａｕｔｈｅｎｔｉｃａｔｅｄｋｅｙｅｘｃｈａｎｇｅ［Ｃ］／／ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎｔｈｅＴｈｅｏｒｙａｎｄＡｐｐｌｉｃａｔｉｏｎｓｏｆＣｒｙｐｔｏｇｒａｐｈｉｃＴｅｃｈｎｉｑｕｅｓ．Ｂｅｒｌｉｎ，Ｈｅｉｄｅｌｂｅｒｇ：ＳｐｒｉｎｇｅｒＢｅｒｌｉｎＨｅｉｄｅｌ⁃ｂｅｒｇ，２００３：５２４－５４３．［４］㊀ＡｂｄａｌｌａＭ，ＢｅｎｈａｍｏｕｄａＦ，ＰｏｉｎｔｃｈｅｖａｌＤ．Ｄｉｓｊｕｎｃｔｉｏｎｓｆｏｒｈａｓｈｐｒｏｏｆｓｙｓｔｅｍｓ：Ｎｅｗｃｏｎ⁃ｓｔｒｕｃｔｉｏｎｓａｎｄａｐｐｌｉｃａｔｉｏｎｓ［Ｃ］／／ＡｄｖａｎｃｅｓｉｎＣｒｙｐｔｏｌｏｇｙ⁃ＥＵＲＯＣＲＹＰＴ２０１５：３４ｔｈＡｎｎｕａｌＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎｔｈｅＴｈｅｏｒｙａｎｄＡｐｐｌｉｃａｔｉｏｎｓｏｆＣｒｙｐｔｏｇｒａｐｈｉｃＴｅｃｈｎｉｑｕｅｓ．Ｓｏ⁃ｆｉａ，Ｂｕｌｇａｒｉａ：ＳｐｒｉｎｇｅｒＢｅｒｌｉｎＨｅｉｄｅｌｂｅｒｇ，２０１５：６９－１００．［５］㊀魏福山，马建峰，李光松等．标准模型下高效的三方口令认证密钥交换协议［Ｊ］．软件学报，２０１６，２７（０９）：２３８９－２３９９．（ＷｅｉＦｕｓ⁃ｈａｎ，ＭａＪｉａｎｆｅｎｇ，ＬｉＧｕａｎｇｓｏｎｇ，ｅｔａｌ．Ｅｆｆｉ⁃ｃｉｅｎｔＴｒｉｐａｒｔｉｔｅＰａｓｓｗｏｒｄＡｕｔｈｅｎｔｉｃａｔｉｏｎＫｅｙＥｘｃｈａｎｇｅＰｒｏｔｏｃｏｌｕｎｄｅｒｔｈｅＳｔａｎｄａｒｄＭｏｄｅｌ［Ｊ］．ＪｏｕｒｎａｌｏｆＳｏｆｔｗａｒｅ，２０１６，２７（０９）：２３８９－２３９９．）．［６］㊀ＫＡＴＺＪ，ＶＡＩＫＵＮＴＡＮＡＴＨＡＮＶ．Ｓｍｏｏｔｈｐｒｏｊｅｃｔｉｖｅｈａｓｈｉｎｇａｎｄｐａｓｓｗｏｒｄ⁃ｂａｓｅｄａｕｔｈｅｎ⁃ｔｉｃａｔｅｄｋｅｙｅｘｃｈａｎｇｅｆｒｏｍｌａｔｔｉｃｅｓ［Ｃ］／／２００９ＡｄｖａｎｃｅｓｉｎＣｒｙｐｔｏｌｏｇｙ．Ｂｅｒｌｉｎ：Ｓｐｒｉｎｇｅｒ，２００９：６３６－６５２．［７］㊀ＤｉｎｇＹ，ＦａｎＬ．Ｅｆｆｉｃｉｅｎｔｐａｓｓｗｏｒｄ⁃ｂａｓｅｄａｕ⁃ｔｈｅｎｔｉｃａｔｅｄｋｅｙｅｘｃｈａｎｇｅｆｒｏｍｌａｔｔｉｃｅｓ［Ｃ］／／２０１１ＳｅｖｅｎｔｈＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎＣｏｍｐｕｔａｔｉｏｎａｌＩｎｔｅｌｌｉｇｅｎｃｅａｎｄＳｅｃｕｒｉｔｙ．Ｓａｎ⁃ｙａ，Ｃｈｉｎａ：ＩＥＥＥ，２０１１：９３４－９３８．［８］㊀ＺｈａｎｇＪ，ＹｕＹ．Ｔｗｏ⁃ｒｏｕｎｄＰＡＫＥｆｒｏｍａｐ⁃ｐｒｏｘｉｍａｔｅＳＰＨａｎｄｉｎｓｔａｎｔｉａｔｉｏｎｓｆｒｏｍｌａｔｔｉｃｅｓ［Ｃ］／／ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎｔｈｅＴｈｅｏｒｙａｎｄＡｐｐｌｉｃａｔｉｏｎｏｆＣｒｙｐｔｏｌｏｇｙａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ．Ｓｐｒｉｎｇｅｒ：Ｃｈａｍ，２０１７：３７－６７．［９］㊀ＧａｏＸ，ＤｉｎｇＪ，ＬｉｕＪ，ｅｔａｌ．Ｐｏｓｔ⁃ｑｕａｎｔｕｍｓｅｃｕｒｅｒｅｍｏｔｅｐａｓｓｗｏｒｄｐｒｏｔｏｃｏｌｆｒｏｍＲＬＷＥｐｒｏｂｌｅｍ［Ｃ］／／ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎＩｎ⁃ｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙａｎｄＣｒｙｐｔｏｌｏｇｙ．Ｓｐｒｉｎｇｅｒ：Ｃｈａｍ，２０１７：９９－１１６．［１０］㊀ＪｉｎＺ，ＺｈａｏＹ．Ｏｐｔｉｍａｌｋｅｙｃｏｎｓｅｎｓｕｓｉｎｐｒｅｓｅｎｃｅｏｆｎｏｉｓｅ［Ｊ］．（２０１６－１１－１８）［２０１７－１０－０６］．㊀ｈｔｔｐｓ：／／ｄｏｉ．ｏｒｇ／１０ ４８５５０／ａｒＸ⁃ｉｖ．１６１１ ０６１５０．［１１］㊀ＫａｒｂａｓｉＡＨ，ＡｔａｎｉＲＥ，ＡｔａｎｉＳＥ．ＡＮｅｗＲｉｎｇ⁃ＢａｓｅｄＳＰＨＦａｎｄＰＡＫＥＰｒｏｔｏｃｏｌｏｎＩｄｅ⁃ａｌＬａｔｔｉｃｅｓ［Ｊ］．ＩＳｅＣｕｒｅ，２０１９，１１（１）：７５－８６．［１２］㊀李子臣，谢婷，张卷美．基于ＲＬＷＥ问题的后量子口令认证密钥交换协议［Ｊ］．电子学报，２０２１，４９（０２）：２６０－２６７．（ＬｉＺｉｃｈｅｎ，ＸｉｅＴｉｎｇ，ＺｈａｎｇＪｕａｎｍｅｉ．Ｐｏｓｔｑｕａｎｔｕｍ㊃９㊃北京电子科技学院学报２０２４年ｐａｓｓｗｏｒｄａｕｔｈｅｎｔｉｃａｔｉｏｎｋｅｙｅｘｃｈａｎｇｅｐｒｏｔｏｃｏｌｂａｓｅｄｏｎＲＬＷＥｐｒｏｂｌｅｍ［Ｊ］．ＪｏｕｒｎａｌｏｆＥ⁃ｌｅｃｔｒｏｎｉｃｓ，２０２１，４９（０２）：２６０－２６７．）．［１３］㊀尹安琪，曲彤洲，郭渊博等．格上基于密文标准语言的可证明安全两轮口令认证密钥交换协议［Ｊ］．电子学报，２０２２，５０（０５）：１１４０－１１４９．（ＹｉｎＡｎｑｉ，ＱｕＴｏｎｇｚｈｏｕ，ＧｕｏＹｕａｎｂｏ，ｅｔａｌ．Ａｐｒｏｖａｂｌｅｓｅｃｕｒｅｔｗｏｒｏｕｎｄｐａｓｓｗｏｒｄａｕｔｈｅｎｔｉｃａｔｉｏｎｋｅｙｅｘｃｈａｎｇｅｐｒｏｔｏｃｏｌｂａｓｅｄｏｎｃｉｐｈｅｒｔｅｘｔｓｔａｎｄａｒｄｌａｎｇｕａｇｅｏｎｇｒｉｄ［Ｊ］．ＪｏｕｒｎａｌｏｆＥｌｅｃｔｒｏｎｉｃｓ，２０２２，５０（０５）：１１４０－１１４９．）．［１４］㊀ＧｅｎｔｒｙＣ，ＰｅｉｋｅｒｔＣ，ＶａｉｋｕｎｔａｎａｔｈａｎＶ．Ｔｒａｐｄｏｏｒｓｆｏｒｈａｒｄｌａｔｔｉｃｅｓａｎｄｎｅｗｃｒｙｐｔｏ⁃ｇｒａｐｈｉｃｃｏｎｓｔｒｕｃｔｉｏｎｓ［Ｃ］／／ＰｒｏｃｅｅｄｉｎｇｓｏｆｔｈｅｆｏｒｔｉｅｔｈａｎｎｕａｌＡＣＭｓｙｍｐｏｓｉｕｍｏｎＴｈｅｏｒｙｏｆｃｏｍｐｕｔｉｎｇ．ＮｅｗＹｏｒｋ：ＡｓｓｏｃｉａｔｉｏｎｆｏｒＣｏｍ⁃ｐｕｔｉｎｇＭａｃｈｉｎｅｒｙ．２００８：１９７－２０６．［１５］㊀ＫａｔｚＪ，ＶａｉｋｕｎｔａｎａｔｈａｎＶ．Ｓｍｏｏｔｈｐｒｏｊｅｃｔｉｖｅｈａｓｈｉｎｇａｎｄｐａｓｓｗｏｒｄ⁃ｂａｓｅｄａｕｔｈｅｎｔｉｃａｔｅｄｋｅｙｅｘｃｈａｎｇｅｆｒｏｍｌａｔｔｉｃｅｓ［Ｃ］／／ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎｔｈｅＴｈｅｏｒｙａｎｄＡｐｐｌｉｃａｔｉｏｎｏｆＣｒｙｐｔｏｌｏｇｙａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ．Ｂｅｒｌｉｎ，Ｈｅｉｄｅｌｂｅｒｇ：ＳｐｒｉｎｇｅｒＢｅｒｌｉｎＨｅｉｄｅｌｂｅｒｇ，２００９：６３６－６５２．［１６］㊀ＬｉＺ，ＷａｎｇＤ．Ａｃｈｉｅｖｉｎｇｏｎｅ⁃ｒｏｕｎｄｐａｓｓ⁃ｗｏｒｄ⁃ｂａｓｅｄａｕｔｈｅｎｔｉｃａｔｅｄｋｅｙｅｘｃｈａｎｇｅｏｖｅｒｌａｔｔｉｃｅｓ［Ｊ］．ＩＥＥＥｔｒａｎｓａｃｔｉｏｎｓｏｎｓｅｒｖｉｃｅｓｃｏｍｐｕｔｉｎｇ，２０１９，１５（１）：３０８－３２１．［１７］㊀ＭｉｃｃｉａｎｃｉｏＤ，ＰｅｉｋｅｒｔＣ．Ｔｒａｐｄｏｏｒｓｆｏｒｌａｔ⁃ｔｉｃｅｓ：Ｓｉｍｐｌｅｒ，ｔｉｇｈｔｅｒ，ｆａｓｔｅｒ，ｓｍａｌｌｅｒ［Ｃ］／／ＡｎｎｕａｌＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎｔｈｅＴｈｅｏｒｙａｎｄＡｐｐｌｉｃａｔｉｏｎｓｏｆＣｒｙｐｔｏｇｒａｐｈｉｃＴｅｃｈ⁃ｎｉｑｕｅｓ．Ｂｅｒｌｉｎ，Ｈｅｉｄｅｌｂｅｒｇ：ＳｐｒｉｎｇｅｒＢｅｒｌｉｎＨｅｉｄｅｌｂｅｒｇ，２０１２：７００－７１８．［１８］㊀ＺｈａｏＺ，ＭａＳ，ＱｉｎＰ．Ｐａｓｓｗｏｒｄａｕｔｈｅｎｔｉｃａ⁃ｔｉｏｎｋｅｙｅｘｃｈａｎｇｅｂａｓｅｄｏｎｋｅｙｃｏｎｓｅｎｓｕｓｆｏｒＩｏＴｓｅｃｕｒｉｔｙ［Ｊ］．ＣｌｕｓｔｅｒＣｏｍｐｕｔｉｎｇ，２０２３，２６（１）：１－１２．［１９］㊀ＲｅｇｅｖＯ．Ｏｎｌａｔｔｉｃｅｓ，ｌｅａｒｎｉｎｇｗｉｔｈｅｒｒｏｒｓ，ｒａｎｄｏｍｌｉｎｅａｒｃｏｄｅｓ，ａｎｄｃｒｙｐｔｏｇｒａｐｈｙ［Ｊ］．ＪｏｕｒｎａｌｏｆｔｈｅＡＣＭ（ＪＡＣＭ），２００９，５６（６）：１－４０．［２０］㊀ＣＲＡＭＥＲＲ，ＳＨＯＵＰＶ．Ｕｎｉｖｅｒｓａｌｈａｓｈｐｒｏｏｆｓａｎｄａｐａｒａｄｉｇｍｆｏｒａｄａｐｔｉｖｅｃｈｏｓｅｎｃｉ⁃ｐｈｅｒｔｅｘｔｓｅｃｕｒｅｐｕｂｌｉｃ⁃ｋｅｙｅｎｃｒｙｐｔｉｏｎ［Ｃ］／／ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎｔｈｅＴｈｅｏｒｙａｎｄＡｐｐｌｉｃａｔｉｏｎｓｏｆＣｒｙｐｔｏｇｒａｐｈｉｃＴｅｃｈｎｉｑｕｅｓ：ＡｄｖａｎｃｅｓｉｎＣｒｙｐｔｏｌｏｇｙ．Ｂｅｒｌｉｎ：Ｓｐｒｉｎｇｅｒ，２００２：４５－６４．［２１］㊀ＢｅｎｈａｍｏｕｄａＦ，ＰｏｉｎｔｃｈｅｖａｌＤ．Ｖｅｒｉｆｉｅｒ⁃ｂａｓｅｄｐａｓｓｗｏｒｄ⁃ａｕｔｈｅｎｔｉｃａｔｅｄｋｅｙｅｘｃｈａｎｇｅ：Ｎｅｗｍｏｄｅｌｓａｎｄｃｏｎｓｔｒｕｃｔｉｏｎｓ［Ｊ］．ＣｒｙｐｔｏｌｏｇｙｅＰｒｉｎｔＡｒｃｈｉｖｅ，２０１３．（２０１３－１２－１６）［２０１４－１０－１４］．ｈｔｔｐｓ：／／ｉａ．ｃｒ／２０１３／８３３．ＡＴｗｏＰａｒｔｙＯｎｅＲｏｕｎｄＩｄｅｎｔｉｔｙＡｕｔｈｅｎｔｉｃａｔｉｏｎＰｒｏｔｏｃｏｌｏｖｅｒＬａｔｔｉｃｅＷＡＮＧＸｉｏｎｇ㊀ＬＶＸｉａｏｈａｎ㊀ＷＡＮＧＷｅｎｂｏＣｙｂｅｒｓｐａｃｅＳｅｃｕｒｉｔｙＤｅｐａｒｔｍｅｎｔ，ＢｅｉｊｉｎｇＥｌｅｃｔｒｏｎｉｃＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙＩｎｓｔｉｔｕｔｅ，Ｂｅｉｊｉｎｇ１０００７０，Ｐ．Ｒ．ＣｈｉｎａＡｂｓｔｒａｃｔ：Ｉｎｔｈｅｆａｃｅｏｆｑｕａｎｔｕｍｔｅｃｈｎｏｌｏｇｙᶄｓｉｍｐａｃｔｏｎｔｒａｄｉｔｉｏｎａｌｃｒｙｐｔｏｇｒａｐｈｙ，ｒｅｓｅａｒｃｈｏｎｌａｔｔｉｃｅ⁃ｂａｓｅｄＰａｓｓｗｏｒｄ⁃ＡｕｔｈｅｎｔｉｃａｔｅｄＫｅｙＥｘｃｈａｎｇｅ（ＰＡＫＥ）ｐｒｏｔｏｃｏｌｓｈａｓｇａｉｎｅｄｓｉｇｎｉｆｉｃａｎｔａｔｔｅｎｔｉｏｎ．Ｈｏｗ⁃ｅｖｅｒ，ｃｕｒｒｅｎｔｌａｔｔｉｃｅ⁃ｂａｓｅｄＰＡＫＥｐｒｏｔｏｃｏｌｓｏｆｔｅｎｒｅｑｕｉｒｅｔｗｏｏｒｔｈｒｅｅｒｏｕｎｄｓ，ｌｅａｄｉｎｇｔｏｈｅａｖｙｔｒａｎｓｍｉｓ⁃㊃０１㊃㊃１１㊃第３２卷格上两方一轮身份认证协议㊀ｓｉｏｎｌｏａｄｓ．Ａｄｄｉｔｉｏｎａｌｌｙ，ｅｘｉｓｔｉｎｇｏｎｅ⁃ｒｏｕｎｄｌａｔｔｉｃｅ⁃ｂａｓｅｄｐｒｏｔｏｃｏｌｓａｒｅｍａｉｎｌｙｓｕｉｔｅｄｆｏｒｏｎｅ⁃ｏｎ⁃ｏｎｅｃｏｍｍｕｎｉｃａｔｉｏｎａｎｄｌａｃｋｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎ．Ｔｏａｄｄｒｅｓｓｔｈｅｓｅｉｓｓｕｅｓ，ａｎｏｖｅｌｌａｔｔｉｃｅ⁃ｂａｓｅｄｏｎｅ⁃ｒｏｕｎｄｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎｐｒｏｔｏｃｏｌｂａｓｅｄｏｎｋｅｙｃｏｎｓｅｎｓｕｓｈａｓｂｅｅｎｐｒｏｐｏｓｅｄ．Ｔｈｉｓｉｎｎｏｖａｔｉｖｅｓｏｌｕ⁃ｔｉｏｎｃｏｍｂｉｎｅｓｌａｔｔｉｃｅ⁃ｂａｓｅｄｐｕｂｌｉｃｋｅｙｅｎｃｒｙｐｔｉｏｎ，ＡＳＰＨｆｕｎｃｔｉｏｎｓ，ａｎｄｋｅｙｃｏｎｓｅｎｓｕｓｔｏａｃｈｉｅｖｅｅｆｆｉ⁃ｃｉｅｎｔａｎｄｓｅｃｕｒｅｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎａｎｄｋｅｙｎｅｇｏｔｉａｔｉｏｎｗｉｔｈｉｎａｓｉｎｇｌｅｃｏｍｍｕｎｉｃａｔｉｏｎｒｏｕｎｄ．Ｔｈｉｓｂｒｅａｋｔｈｒｏｕｇｈｈａｓｔｈｅｐｏｔｅｎｔｉａｌｔｏａｄｄｒｅｓｓｔｈｅｃｈａｌｌｅｎｇｅｓｐｏｓｅｄｂｙｑｕａｎｔｕｍｔｅｃｈｎｏｌｏｇｙｔｏｃｒｙｐｔｏｇｒａｐｈｙａｎｄｅｘｔｅｎｄｉｔｓａｐｐｌｉｃａｂｉｌｉｔｙｔｏｍａｎｙ⁃ｔｏ⁃ｍａｎｙｃｏｍｍｕｎｉｃａｔｉｏｎｓｃｅｎａｒｉｏｓ．Ｋｅｙｗｏｒｄｓ：ｋｅｙｃｏｎｓｅｎｓｕｓ；ｌａｔｔｉｃｅｃｉｐｈｅｒ；ＡＳＰＨ；Ｉｄｅｎｔｉｔｙａｕｔｈｅｎｔｉｃａｔｉｏｎ（责任编辑：夏㊀超）。

有理区间的安全多方计算与应用窦家维;王文丽;刘旭红;李顺东【摘要】本文研究了有理数与有理区间的位置关系以及两个有理区间位置关系的安全多方计算.它们已广泛应用于数据库匹配、定位搜索等领域,是保密科学计算的一个重要分支.但目前已有文献在解决有理数与有理区间的位置关系时提出的协议效率较低,且两个有理区间位置关系问题的研究较为有限.针对这些问题,本文首先用多项式表示区间,将有理数与有理区间位置关系问题转化为整数向量的内积符号判定问题,设计了新的有理数与有理区间的保密计算协议.其次,以有理数与有理区间协议作为基础模块,设计了两个有理区间位置关系的保密计算协议.最后,理论分析及实验结果均表明本文方案是安全高效的,并给出了本文协议在有理数域上的百万富翁问题及计算几何问题的应用.【期刊名称】《电子学报》【年(卷),期】2018(046)009【总页数】6页(P2057-2062)【关键词】密码学;安全多方计算;有理数;有理区间;数据库匹配;定位搜索;百万富翁问题;计算几何【作者】窦家维;王文丽;刘旭红;李顺东【作者单位】陕西师范大学数学与信息科学学院,陕西西安710119;陕西师范大学数学与信息科学学院,陕西西安710119;陕西师范大学数学与信息科学学院,陕西西安710119;陕西师范大学计算机科学学院,陕西西安710119【正文语种】中文【中图分类】TP3091 引言安全多方计算是指在互不信任的网络空间中,参与者在不泄露私有数据的情况下合作完成某项计算.该问题首先是Yao[1]提出的,Goldreich,Cramer等人[2,3]对其进行了深入研究,广泛的应用前景使其成为国际密码学界的一个研究热点.保密的科学计算是安全多方计算的一个重要研究领域,主要涉及保密信息比较[1,4],向量保密计算[5],保密排序[6],集合计算问题[7]等,为研究更复杂的问题提供基础模块.有理区间的安全多方计算属于保密的科学计算,包括:(1)有理数与有理区间位置关系的保密计算.(2)两个有理区间位置关系的保密计算.有理区间的保密计算问题首先由Nishid等人[8]提出.郭等人[9]基于计算几何理论将所输入的有理数或区间端点作为坐标系中过原点的直线斜率,将区间保密计算问题转化为直线之间的位置关系判定问题提出了有理数与有理区间保密计算的解决方案.以上文献虽然均给出了有理数与有理区间的解决方案,但协议的执行效率并不理想,且对于两个有理区间位置关系问题并未提及.本文研究的目的,是不但应用新方法解决有理数和有理区间的位置关系问题,提高协议的效率.其次要进一步提出两个有理区间位置关系的保密判定协议,填补该问题的空白,推进有理区间安全多方计算问题的发展.2 预备知识2.1 计算模型及安全性定义[3]半诚实模型简单地说,半诚实参与者将会严格执行协议,但他们可能会保留计算的中间结果试图推导出其他参与者的输入.如果参与者是半诚实的,称这样的模型为半诚实模型.本文假设所有的参与者均为半诚实参与者.一些记号假设Alice拥有x,Bob拥有y,他们要在保证x,y隐私性的前提下,合作计算函数f(x,y)=(f1(x,y),f2(x,y)).合作计算的目的是Alice和Bob分别得到函数f的两个分量f1(x,y)和f2(x,y).设π表示计算f的协议,Alice在执行协议π的过程中所得到的信息序列记为其中r1表示Alice独立的硬币抛掷结果;表示Alice收到的第i个信息.执行协议π后,Alice得到的输出记作f1(x,y).Bob得到的信息序列可类似定义.半诚实模型下协议的安全性对于计算函数f的协议π,如果存在概率多项式时间算法S1与S2使得(1)(2)则称π保密地计算了函数f,其中表示计算上不可区分.要证明一个多方计算协议是安全的,就需要构造出使式(1)和(2)成立的模拟器S1,S2,如此证明安全性的方法称为模拟范例.2.2 Paillier加密方案Paillier加密系统是一种具有加法同态性的公钥加密系统,并且是语义安全的.描述如下[10]:密钥生成给定一个安全参数k,选择两个素数p,q,记N=p×q,λ=1cm(p-1,q-1),随机选择一个使得gcd(L(gλmodN2),N)=1,定义L(x)=(x-1)/N.公钥为(g,N),私钥为λ,加密及解密算法分别记为E和D.加密加密明文m(m<N),选择随机数r<N,密文为:c=E(m)=gmrNmodN2.解密对于密文c<N2,解密得到明文为:同态性质 Paillier加密算法具有加法同态性:=gm1+m2(r1r2)NmodN2=E(m1+m2).注解1 在Paillier加密算法中N=p×q,其中p,q为大素数,假设整数m满足|m|∈[0,N/2),记R=D(E(m)).由群论的知识可知,若R∈(0,N/2),则m∈(0,N/2);若R∈(N/2,N)或R=0,则m∈(-N/2,0].因此可由解密结果R的所属范围来判定数据m的正负.由于N=p×q,而p,q为素数,N/2不能是整数,因此R和|m|不可能取值N/2.3 有理数与有理区间的位置关系保密计算协议对于有理数x可表示为x=x1/x2的形式,规定x2为正整数,x1为整数,且gcd(x1,x2)=1.若x和y均为有理数,则称区间[x,y]为有理区间.3.1 问题描述及计算原理问题描述假设Alice有有理数a=a1/a2,Bob有有理区间I=[c,d]=[c1/c2,d1/d2],他们希望保密判断有理数a与区间[c,d]的位置关系,而不泄露其他信息.计算原理对于有理数a及有理区间[c,d],a∈[c,d]⟺(a-c)(a-d)≤0.因此如果将区间[c,d]用多项式g(y)=(y-c)(y-d)表示,通过保密判定函数值g(a)的正负即可解决该问题.为此,计算其中因为A>0,所以只需判断的正负.若sa≤0,则a∈[c,d];否则,a∉[c,d].具体协议如下.3.2 协议设计为叙述方便,定义函数P(a,I):如果a∈I,记P(a,I)=1;否则,记P(a,I)=0.协议1 有理数与有理区间位置关系判定协议----------------------------------------------------------输入：Alice输入有理数a,Bob输入有理区间[c,d].输出：Alice输出P(a,[c,d]).准备：Alice运行Paillier加密系统生成公私钥,并公布公钥(g,N).1.Alice加密得到将其发送给Bob.2.Bob选择随机数0<r<N,计算将Za发送给Alice.3.Alice解密Za,得到za.4.若za∈(0,N/2),Alice输出P(a,[c,d])=0;否则,Alice输出P(a,[c,d])=1.3.3 正确性分析在协议1中,Bob计算Alice解密Za得到za.在Paillier加密算法中,假定N充分大,满足|sa|∈[0,N/2).由注解1可知,Alice由za所属范围可判定sa的正负,即函数值g(a)的正负.因此协议1是正确的.3.4 安全性分析下面用模拟范例严格证明协议1的安全性,即构造模拟器S1,S2,使式(1)和(2)成立. 首先构造模拟器S1,接收到输入(a,f1(a,[c,d])=P(a,[c,d])后,S1按如下方式运行:①S1任意选择使得P(a,[c′,d′])=P(a,[c,d])成立.②S1选择随机数r′,计算及③S1解密得到在协议执行过程中,在模拟过程中产生的信息序列为由于r是Bob选择的随机数,对Alice来说:进一步由于P(a,[c′,d′])=P(a,[c,d]),因此模拟器S2可类似构造,并有下式成立证毕.注解2 若Alice拥有的数a及Bob的区间端点c,d均为整数,对于这种特殊情形,协议1在解决整数与整数区间的位置关系时可适当简化.4 两个有理区间位置关系保密计算协议4.1 问题描述及计算原理问题描述假设Alice有有理区间[a,b]=[a1/a2,b1/b2],Bob有有理区间[c,d]=[c1/c2,d1/d2],他们想知道两个区间的位置关系,而不泄露其他信息.本部分主要考虑无端点重合的情形,一般情形下的判定问题可类似考虑,详见注解3.两个有理区间的位置关系可分为相离、相交及包含三大类,如图1～3所示.为了保密,在相离(相交)情形下要求不能具体获知是图1(图2)(a)与(b)哪种相离(相交)情形.即在保密计算中,仅需判断四种位置关系:(1)相离;(2)相交;(3)[a,b]⊂[c,d],如图3(a);(4)[c,d]⊂[a,b],如图3(b).计算原理 Bob将区间[c,d]用多项式g(y)=(y-c)(y-d)表示,双方首先合作(混合)判定函数值g(a),g(b)的正负:若g(a),g(b)异号,两个区间相交.若g(a),g(b)同负,则[a,b]⊂[c,d].若g(a),g(b)同正时,两个区间相离或[c,d]⊂[a,b].为区分最后两种情形,需进一步计算:Alice将区间[a,b]用多项式h(x)=(x-a)(x-b)表示,Bob任选有理数e=e1/e2∈[c,d],双方合作判定函数值h(e)的正负:若h(e)为负,则[c,d]⊂[a,b];否则,两个区间相离.具体协议如下.4.2 协议设计为叙述方便,定义函数F(I1,I2):若I1与I2相离,记F(I1,I2)=-1;若I1与I2相交,记F(I1,I2)=0;若I1⊂I2,记F(I1,I2)=1;若I2⊂I1,记F(I1,I2)=2.协议2 两个有理区间位置关系判定协议----------------------------------------------------------输入：Alice输入有理区间[a,b],Bob输入有理区间[c,d].输出：F([a,b],[c,d]).准备：Alice和Bob分别运行Paillier加密系统生成加密方案的公私钥,并公布公钥(gA,NA)及(gB,NB);将其加密及解密算法分别记为EA,DA和EB,DB.1.Alice用公钥EA加密得到将其发送给Bob.2.Bob选择随机数0<ra,rb<NA,计算其中A1=c2d2,A2=-c2d1-c1d2,A3=c1d1.3.Bob产生随机置换φ,将φ作用于Za,Zb,得到Zφ(a),Zφ(b),并发送给Alice.4.Alice用私钥DA解密Zφ(a),Zφ(b),得到zφ(a),zφ(b).5.若zφ(a)∈(0,NA/2),zφ(b)∈(NA/2,NA)(或zφ(b)∈(0,NA/2),zφ(a)∈(NA/2,NA)),Alice 输出F([a,b],[c,d])=0.若zφ(a),zφ(b)∈(NA/2,NA),Alice输出F([a,b],[c,d])=1.若zφ(a),zφ(b)∈(0,NA/2),继续执行协议.6.Bob任选有理数e=e1/e2∈[c,d],用公钥EB加密得并发送给Alice.7.Alice选择随机数0<re<NB,计算其中B1=a2b2,B2=-a2b1-a1b2,B3=a1b1.将Ze发送给Bob.8.Bob用私钥DB解密Ze,得到ze.若ze∈(NB/2,NB),Bob输出F([a,b],[c,d])=2.若ze∈(0,NB/2),Bob输出F([a,b],[c,d])=-1.4.3 协议的正确性与安全性协议的正确性由计算原理容易证得,下面主要讨论其安全性.为方便描述,我们将协议2分为两部分,第一部分为第1～5步,第二部分为第6～8步.(1)首先我们证明通过执行协议2,只能获知四类区间位置关系中的某一类,不会泄露额外信息.由于Bob在第3步给Alice发送数据之前进行了随机置换,这样Alice用私钥解密,得到zφ(a),zφ(b),但不知道具体的对应关系.若此时终止协议,仅能获知位置关系为图3(a)的类型或图2的类型,但无法区分是图2(a)与(b)哪种情形.若继续执行第二部分,得到ze.此时仅能获知位置关系为图3(b)的类型或图1的类型,但无法区分是图1(a)与(b)哪种情形.(2)其次,需证明协议2中两方数据都是安全的.下面将用模拟范例严格证明协议的安全性,即构造模拟器S1,S2,使式(1)和(2)成立.首先构造模拟器S1,对于输入([a,b],f1([a,b],[c,d])=F([a,b],[c,d])),S1按如下方式运行:①S1任意选择使得F([a,b],[c′,d′])=F([a,b],[c,d]).②S1选择随机数sa,sb<NA,计算其中③S1产生随机置换φ′,将φ′作用于得到解密得到若此时终止协议,在协议执行过程中,=([a,b],Zφ(a),Zφ(b),F([a,b],[c,d])),S1在模拟过程中产生的信息序列为S1([a,b],F([a,b],[c,d]))由于ra,rb为Bob选择的随机数,对Alice来说,进一步由于F([a,b],[c′,d′])=F([a,b],[c,d]),所以{S1([a,b],f1([a,b],[c,d])}a,b,c,d(3)模拟器S2可用类似的方法构造,并有下式成立{S2([c,d],f2([a,b],[c,d]))}a,b,c,d(4)若继续执行第二部分,后续模拟过程如下:④S1运行Paillier加密系统,将相应的加密及解密算法分别记为并且S1任选有理数应用加密得到⑤S1计算⑥S1用解密Ze′得到ze′.在整个协议执行过程中,S1在模拟过程中产生的信息序列为由于EB是Bob的公钥,Alice没有私钥解密,对Alice来说:结合第一部分的讨论,可知在此情形下式(3)依然成立.模拟器S2可类似构造,并且式(4)也依然成立,因此协议2是安全的.证毕.注解3 协议2仅考虑了两个区间端点无重合情形下的位置关系,对于区间端点有重合的情形可类似考虑.在实际保密计算中我们应设法避免端点重合情形发生(若有端点重合情形,可能会猜出是哪个端点重合,影响安全性).某一方(或两方)可通过对区间的端点数值分别加上一个不影响实际判定结果的随机有理数(如取自区间(0,1)),如此处理后,再发生区间端点重合的情形认为是一个小概率事件,可忽略不计.在协议1中,可用类似的方法避免有理数和区间端点重合的问题.5 效率分析目前关于有理数与有理区间的位置关系的研究较少,本节将本文协议1与文[9]中效率较高的协议3相比较,并对协议2的复杂性进行分析.由于协议均基于Paillier加密方案,1次加密或解密都需要2次模指数运算.为方便分析,只考虑协议中最费时的模指数运算,其他花费忽略不计.计算复杂性与通信复杂性在协议1中,Alice需3次加密和1次解密运算,Bob计算Za需4次模指数运算,因此协议1共需12次模指数运算,2轮通信.在文[9]的协议3中,两方共需4次加密和1次解密运算,1次密文运算,在密文运算中需3次模指数,因此共需13次模指数运算,2轮通信.但该协议调用了百万富翁协议,会额外增加计算与通信复杂性.各协议的性能分析详见表1.表1 协议1与文献[9]协议3的性能分析计算复杂性通信复杂性适用正有理数适用负有理数文献[9]协议3132是否本文协议1122是是为验证协议的效率,我们采用了Java编程语言在MyEclipse上对文献[9]协议3,本文协议1进行编程实现.并对实验结果随机抽取1000组数据求平均值,详见表2.计算机的配置如下:Windows 7 旗舰版,Intel(R)Core(TM)******************,安装内存4.00GB,32位操作系统.本文所做模拟实验均在此环境下进行.表2 协议1与文献[9]协议3的实验结果比较Alice运算耗时(ms)Bob运算耗时(ms)总运算耗时(ms)文献[9]协议315.52516.85332.375本文协议114.45011.32425.774通过以上分析,协议1只需相对较少的模指数运算及通信复杂性就可解决问题,理论分析和实验结果都表明协议1是高效的.对于协议2,若仅执行协议的第一部分,Alice需6次加密和2次解密运算,Bob需2次密文运算,1次密文运算需4次模指数,因此共需24次模指数运算,2轮通信.若继续执行第二部分,Alice还需1次密文运算,Bob还需3次加密和1次解密运算.因此协议2共需36次模指数运算,4轮通信.我们同样采用Java语言在MyEclipse 上对协议2的两种情形进行编程实现,并对实验结果随机抽取1000组数据求平均值.结果见表3.表3中第二行括号外(内)的数据为执行协议第一部分(执行整个协议)所需的时空开销.分析可知,协议2仅需较少的模指数运算及通信复杂性就可解决两个有理区间位置关系判定问题,理论分析与实验结果表明协议2是高效的.表3 协议2的性能分析计算复杂性通信复杂性Alice运算耗时(ms)Bob运算耗时(ms)总运算耗时(ms)本文协议224(36)2(4)30.273(46.904)18.417(27.642)48.690(74.546)6 区间保密计算协议的推广应用6.1 两个有理数大小比较问题有理数大小比较问题可描述为:Alice有有理数a,Bob有有理数c,他们想保密判定a,c的大小.解决方案的主要思想如下:(1)Alice与Bob商定有理数v,满足v>>a,v>>c.(2)Bob选择随机有理数d>v,考虑区间[c,d],将区间[c,d]用多项式g(y)=(y-c)(y-d)表示.因此,有理数a与c的大小比较问题即可转化为判定g(a)的正负问题.调用协议1即可解决.6.2 直线与圆的相交问题该问题可描述为:Alice有直线l:Ax+By+C=0,Bob有圆⊙o:x2+y2=r2,他们想保密判定直线与圆是否相交.如图4.由几何知识可知,直线与圆相交当且仅当调用协议1进行判断.6.3 有理点与矩形的位置关系问题该问题可描述为:Alice有点P(x0,y0),Bob有矩形Q:[x1,x2]×[y1,y2],其中xi,yi(i=0,1,2)均为有理数,他们想保密判断点P是否属于矩形Q(如图5).由图5可知,P∈Q⟺(x0∈[x1,x2])∧(y0∈[y1,y2]).可调用协议1进行判断.6.4 两个矩形的位置关系问题记I1=[x1,x2],J1=[y1,y2],I2=[x3,x4],J2=[y3,y4],其中xi,yi(i=1,2,3,4)均为有理数.矩形位置关系问题可描述为:Alice有矩形A1=I1×J1,Bob有矩形A2=I2×J2,他们想保密判断两个矩形的位置关系是相离、包含或相交的哪种情形.经过分析有下述结论成立:(1)若I2⊂I1与J2⊂J1同时成立,则A2⊂A1.若I1⊂I2和J1⊂J2同时成立,则A1⊂A2.(2)若I1与I2相交且J1与J2相交或包含,或者J1与J2相交且I1与I2相交或包含,则两个矩形相交.(3)若I1与I2及J1与J2两组区间位置关系中至少有一组是相离的,则两个矩形相离.由以上分析可知,该问题可调用协议2得到解决.7 结论本文研究了有理数与有理区间的位置关系和两个有理区间位置关系的保密判定问题,提出了相应的解决方案,本文的解决方案都假设参与者是半诚实的,所构造协议在半诚实模型下是安全的,因此进一步的研究工作拟探索恶意模型下的解决方案.参考文献【相关文献】[1] Yao A C.Protocols for secure computations[A].Proceedings of the 23th IEEE Symposium on Foundations of Computer Science[C].Chicago,USA:IEEE Computer Society Press,1982.160-164.[2] Cramer R,Damgard I B,Nielsen JB.Secure MultipartyComputation[M].London,UK:Cambridge University Press,2015.[3] Goldreich O.The Fundamental of Cryptography:BasicApplications[M].London,UK:Cambridge University Press,2004.[4] 李顺东,王道顺.基于同态加密的高效多方保密计算[J].电子学报,2013,41(4):798-803.Li Shun-dong,Wang Dao-shun.Efficient secure multiparty computation based on homomorphic encryption[J].Acta Electronica Sinica,2013,41(4):798-803.(in Chinese) [5] 李顺东,左祥建,杨晓莉,等.安全向量优势协议及其应用[J].电子学报,2017,45(5):1117-1123.Li Shun-dong,Zuo Xiang-jian,Yang Xiao-li,et al.Secure vector dominance protocol and its applications[J].Acta Electronica Sinica,2017,45(5):1117-1123.(in Chinese)[6] Tang Chun-ming,Shi Gui-hua,Yao Zheng-an.Secure multi-party computation protocol for sequencing problem[J].Science China Information Sciences,2011,54(8):1654-1662. [7] Zhou Su-fang,Li Shun-dong,Dou Jia-wei,et al.Efficient secure multiparty subset computation[J].Security & Communication Networks,2017,2017(3):1-11.[8] Nishide T,Ohta K.Multiparty Computation for Interval,Equality and Comparison Without Bit-Decomposition Protocol[M].Berlin:Springer Berlin Heidelberg,2007.343-360.[9] 郭奕旻,周素芳,窦家维,等.高效的区间保密计算及应用[J].计算机学报,2017,40(07):1664-1679. Guo Yi-min,Zhou Su-fang,Dou Jia-wei,et al.Efficient privacy-preserving interval computation and its applications[J],Chinese Journal of Computers,2017,40(07):1664-1679.( in Chinese)[10] Paillier P.Public-key cryptosystems based on composite degree residuosity classes[A].G.Goos.Lecture Notes in Computer Science 1592[C].NY:Springer,1999.223-238.。