一种在移动客户机-服务器环境下基于配对的高效远程用户认证和密钥协商协议探讨.doc

一种在移动客户机-服务器环境下基于配对的高效远程用户认证和密钥协商协议 摘要 随着移动设备在性能和服务方面的持续评估，安全问题急剧增长。为了提供移动客户服务器环境下安全的通信，很多来自于配对的用户认证协议已经被提出。2009年，Goriparthi等人为客户-服务器环境提出了一种新的用户身份认证方案。　2010年,吴等人证明Goriparthi 等人的协议并不能在客户端和服务器之间提供相互认证和密钥协议。为了提高安全性，吴等人提出了一种改进协议并且证明该协议可以在随机的oracle模型中保证安全。基于吴等人的成果，Yoon等人提出了另外一种方案来提高性能。然而他们的方案仅仅是减少了一个作用在客户端和服务器端的哈希函数。在这篇论文中我们提出一种新的用户认证和密钥协商协议，用于移动客户-服务器环境下的双线性配对。性能分析表明我们的协议比吴等人的协议和Yoon等人的协议有更好的性能。我们的协议更加适合移动客户-服务器环境。安全性分析也证明我们提出的协议可以抵挡先前的攻击。 引言 随着移动网络的快速发展，手持设备（如pda和移动电话）在很多移动应用被广泛和流行使用，例如网上购物、网上银行和付费电视。因此基于不安全通信通道的安全远程用户身份验证的安全性成为确保公平交易的一个非常重要的事情。从而移动客户-服务器环境的远程用户认证和密钥协商协议已经被广泛研究。 　一般来说，远程客户端身份验证通常由传统的公开密匙加密实现[1,2]。但是由于移动设备的计算能力和电池容量有限，传统的模运算计算所需要的公共密钥密文是不适用于移动设备的。为了解决这个问题，椭圆曲线密码体制(ECC)(3、4)因为它较小的尺寸，较快的计算速度等显著的优点被采用。因此，基于ECC的身份验证协议比其他密码体制更适合移动设备。然而，像其他公开密钥加密算法一样，ECC也需要一个公钥设备（PKI）来维护用户的公钥证书。随着用户数量的增加，KPI需要很大的存储空间来存放用户的公钥和证书。此外，在这些协议中需要额外的计算量来核查其他证书。为了解决上述问题，Shamir[5]提出基于ID的公钥密码系统。与传统的公钥认证系统相比，基于ID的公钥系统可以简化证书管理。然而系统的缺点在于用户的私钥必须由密钥生成中心（KGC）产生。因为Shamir的安全系统是基于整数因子分解问题的，并不具有实用性。幸运的是Boneh和Franklin[6]在2001年从Weil配对定义的椭圆曲线中提出了一种实用的基于ID的加密协议。自那时起，双线性远程客户端身份认证协议被广泛的研究。 2006年Das等人[7]提出了一种双线性的带有智能卡的远程客户端认证协议。然而，他们的协议遭受到了伪造攻击[8]。后来，两个基于Das等人协议的改进协议[9,10]被提出。之后，Fang和Huang提出的一种改进协议克服了之前提到的伪造攻击。然而，Giri和Srivastava[10]证明了Fang等人提出的改进协议在对抗另外一种伪造攻击（或者说离线攻击）时依旧是不安全的。Giri等人的改进是在智能卡上使用公钥加密算法。在2008年，Tseng[11]等人为带有智能卡的无线客户提出了一种安全可被证明的，高效的双线性客户机身份认证协议。2009年，Goriparthi等人[12]在Das等人的远程用户认证协议基础上也提出了另外一种高效的协议。然而这些协议[7、9、10、12]不提供客户端和服务器之间的双向认证和密钥协议。为了提高安全性，Wu和Tseng[13]提出了一种改良协议并且证明他们的协议在随机的oracle模型中是安全的。 基于Wu等人的成果，Yoon和Yoo[14]为移动客户-服务器环境提出了另外一种用户认证和密钥协商协议来提高性能。然而他们的方案仅仅是减少了一个作用在客户端和服务器端的哈希函数。在这篇论文中我们提出一种新的用户认证和密钥协商协议，用于移动客户-服务器环境下的双线性配对。性能分析表明我们的协议比吴等人的协议和Yoon等人的协议有更好的性能。我们的协议更加适合移动客户-服务器环境。安全性分析也证明我们提出的协议可以抵挡先前的攻击。 本文其余部分组合架构如下。第2部分描述了一些预备知识。在第三部分中我们提出了我们高效的双向认证和密钥协商协议。该协议的安全性分析在第四部分提出。第五部分，阐述了性能分析和一些实验结果。最终结论在第六部分给出。 　　　 预备知识 G1是椭圆曲线上的q阶加法循环群，G2是有限域上的q阶乘法循环群，双线性配对可表示为，具有如下一些性质： 双线性 其中 非退化性 可计算性 对所有的,存在有效的多项式时间算法计算。 Weil和Tate配对结合了超奇异椭圆曲线或者交换种类可以被修改来创建这样的可容许的配对。接下里的问题是假定在多项的时间里是难以解决的。 定义一：（