A New Two-Party Identity-Based Authenticated Key Agreement

A New Two-Party Identity-Based Authenticated Key Agreement

Noel McCullagh1 and Paulo S. L. M. Barreto

摘要:我们提出了一种新的基于身份的两方密钥协议，它比以前提出的方案效率更高。它的灵感来自于Sakai和Kasahara提出的一种新的基于身份的密钥对推导算法。我们展示了如何在托管和无托管模式下使用此密钥协议。我们还描述了属于不同密钥生成中心（KGC）的用户达成一致共享密钥的条件。我们概述了现有的两方密钥协议，并在计算成本和存储需求方面与现有协议进行了比较。

关键词：密钥协商协议，基于身份的密码体制，双线性映射 , Tate对

1 介绍

    本文提出了一种新的基于两方身份的双线性映射密钥协商协议。基于身份的密码系统背后的基本思想是，用户最终可以选择任意的字符串作为他们的公钥，例如电子邮件地址或其他在线的标识符。这消除了密钥管理相关的大量开销。在传统的PKI设置中，密钥协商协议依赖于各方获取彼此的证书、提取彼此的公钥、检查证书链(可能涉及许多签名验证)并最终生成共享密钥。基于身份的加密技术大大简化了这一过程。这个想法在1984年由Shamir[20]首先提出，在2001年由Cocks[9]、Boneh和Franklin[4]提出，在2003年由Sakai和Kasahara[17]进一步简化，目前是一个非常活跃的研究领域(查看[10]以了解更多)。

    基于双线性映射的密钥协商协议有很多，但绝大多数都被攻破了。基于配对的密码学的最初应用之一是Joux[13]的三方密钥协议。尽管这个密钥协议不能对用户进行身份认证，因此容易受到中间人攻击，但它是基于配对加密技术发展的重要一步。这个最初的方案不是基于身份的。从那时起，许多双线性映射的密钥协议被提出，Scott[18]、Smart[25]、Chen和Kudla[6]提出的两方密钥协商协议，都没有被攻破。所有这些方案都要求密钥协议的所有参与方都是同一密钥生成中心(KGC)的客户。Nalla在[14]中提出的一种基于三方身份的密钥协议，Nalla和Reddy在[15]中也提出了一种方案，但都被攻破了[7,22]。Shim提出了两个密钥协议[24,23]，但是这两个方案都被Sun和Hsieh[26]攻破了。Al-Riyami和Patterson提出的另一个经过认证的三方密钥协议被Shim[21]攻破。

    大多数基于身份的密钥协商协议都具有密钥托管的特性:颁发私钥的受信任机构可以恢复协商的会话密钥。这个特性可以是可接受的，也可以是不可接受的，或者是需要的，这取决于具体的情况。例如，在保密性和审计跟踪是法律要求的情况下，如在卫生保健行业的保密通信中，托管是必不可少的。还有其他一些例子，比如个人通信，在这些例子中，关闭托管是更好的选择。

    Smart以及Chen和Kudla提出的两方密钥协议是默认的托管方案。Chen和Kudla[6]建议的一项删除托管的修改也可以应用到Smart的方案中。但是，这种修改会产生额外的计算开销。Scott的方案不允许托管，而且似乎也没有明显的方法来引入这个特性——除非协议的一方向第三方发送一份协商好的密钥副本。

    Chen和Kudla还提出了一个改进建议，允许由两个不同的生成公钥的密钥生成中心下属双方进行通信，我们说这些通信方是不同域的成员。大多数密钥协议要求双方来自同一域。例如，这可能意味着来自同一公司的两名员工将能够生成共享密钥，但是来自两个不同公司的员工将不能生成这样的共享密钥。我们提出了一种协议，在不进行配对预计算的情况下，它的效率是[6]中所建议的方案的两倍。

    我们认为域之间的密钥协议是该方案的一个重要特性，因为从商业角度看，基于身份的密码技术(IBC)似乎特别适合于加密的电话和加密的VoIP。要使加密的VoIP在全球范围内工作，网络之间必须具有兼容性，因此不同网络之间的密钥协议非常重要。

    我们在本文中做出了如下贡献：

    -一个有效的基于身份的认证密钥协商协议，可以在托管或无托管模式下实例化，而不需要额外的计算步骤。

    -一个有效的密钥协议，让用户的私钥由不同的密钥生成中心生成，从而在不增加额外开销的情况下建立共享密钥，前提是使用标准化的曲线参数。

    本文结构如下：第2节介绍基本的数学概念。第3节描述了我们提议的与托管的认证密钥协议，第4节介绍了我们提议的无托管方案。在第5节中，我们提出了一个针对不同密钥生成域成员的密钥协商协议。我们在第6节讨论效率问题，在第7节讨论安全问题。最后，我们在第8节中得出结论。

2 数学预备知识

    一个椭圆曲线E(Fqk)是m在域Fqk上满足方程y^2 = x^3 + Ax + B的解(x, y)的集合,加上一个额外的在无穷远处的点,表示为O。E上存在一个阿贝尔群定律，从P1和P2的坐标出发，给出了计算点P3 = P1 + P2坐标的显式公式。点的标量乘法定义为点自身的n的重复相加，例如3P1 = P1 + P1 + P1。O是单位元。

    椭圆曲线E(Fqk)的点的个数称为曲线在域Fqk上的阶数。对任意的r>0,如果rP = O，那么点P的阶是r。E上的r-torsion集合为集合E[r] = {P ∈ E | rP = O}。点的阶数总是能够整除曲线的阶数。在扩张域中的一个点上有一个操作，该操作将该点缩减为基域中的一个点;这称为跟踪映射，并表示为Tr( P )。其中一个循环子组称为跟踪零子群，T = {P ∈ E | Tr( P ) = O}。如果椭圆曲线上的一个子群G的阶数r整除q^k-1，则k的最小值称为G的嵌入度。我们假设k> 1。我们设G0是定义在Fq上的r阶群，G1是跟踪零群，同样是r阶群。Weil和Tate对的运算结果等于一个单位元的r次根。这是一个r阶的群，我们叫它G2[12]。

    改进的在超奇异椭圆曲线上的Tate配对[5]表示为t̂(P, Q)，它是t (P, Ψ( P ))，满足G0 × G1 → G2是Tate配对，并且Ψ满足G0 → G1是一个可有效计算的映射[12]。例如，一个双线性映射的的形式为t̂:G0 × G0 → G2，其中G0和G2为r阶群。

    利用配对t̂(P, P)和t̂(P, Q)的差异来实现具有不同属性的协议的可能性由其他的作者提出(11, 18)。我们在托管系统中使用改进的Tate对，在无托管系统中使用Tate对。

3 一种有托管的认证密钥协商协议

    与所有其他基于身份的密码系统一样，我们假设存在一个可信密钥生成中心(KGC)，它负责创建和安全分发用户的私钥。该协议算法可以使用改进的Tate对来实现。

建立:KGC向BDH(bilinear D-H)的参数生成器Bmt输入一个安全参数k，返回两个群G0和G2,它们的素数阶均为r，一个合适的双线性映射t̂:G0 × G0 → G2(可以实现为改进的Tate配对)，生成元P满足<P> = G0,和一个随机预言模型 H: {0,1}* → Z*r。KGC随机产生一个主秘密s ∈ R Z*r,并计算出主公钥sP。参数和主公钥通过一个安全的可认证的信道分发给系统中的用户。我们假设用户数量是k的多项式。

提取：KGC检查用户是否对特定的在线身份标识符拥有所有权。如果拥有，KGC将生成他们的私钥并将私钥传给他们。让爱丽丝的网络身份标识符通过随机预言模型H映射到a ∈ Z*r .爱丽丝的公钥为(a + s) P,它可以计算为aP + sP。KGC计算爱丽丝的私钥Apri = (a + s) ^ (-1) P。虽然可能有人会说，这个密钥对的派生不如Boneh-Franklin IBE[4]中那么优雅，因为公钥不再仅仅依赖于用户的身份，除了Scott和Ryu等人[16]之外，大多数密钥协议都是如此，也使用的密钥协商阶段KGC的主秘密。

密钥协商:假设Alice和Bob拥有由相同的KGC颁发的私钥(分别为Apri和Bpri)。Alice和Bob分别生成一个唯一的随机数xa, xb ∈ RZ*r。

Alice                                                         Bob AKA = xa(bP + sP)               ↔             BKA = xb(aP + sP) keya = t̂(BKA, Apri)^xa                 keyb = t̂(AKA, Bpri)^xb     这个方案是恒成立的，因为： keya = t̂(BKA, Apri)^xa =t̂(P, P)^xaxb = t̂(AKA, Bpri)^xb = keyb.

    托管属性源于KGC通过计算恢复共享会话密钥的能力:

xaP = (s + b)^(-1)AKA, xbP = (s + a)^(-1)BKA, key = t̂(xaP, xbP).

    我们的方案是角色对称的，每一方执行相同的操作，因此产生相同的计算成本。

4 一种无托管的认证密钥协商协议

    没有托管的密钥协商协议与第3节给出的算法略有不同。同样的是，有三个算法:建立、提取和密钥协商。这个密钥协商协议可以使用传统的Tate对来实现，而不是使用托管方案中改进的Tate对来实现。

建立：KGC向BDH参数生成器Bt输入一个安全参数K，返回三个群G0, G1和G2, G0和G2阶数为r,一个合适的双线性映射t: G0 × G1 → G2(可以实现为Tate配对),两个生成元P和Q满足<P> = G0，<Q> = G1,和一个随机预言模型H: {0,1} → Z*r。重要的是,Ψ§和Q之间的离散对数是未知的。可以通过获得P和Q作为输出的随机预言模型H0:{0,1} → G0和H1:{0,1} → G1对常量字符串cs0和cs1进行公开计算(cs0和cs1可能是同一个字符串)。KGC随机生成一个主秘密s ∈ Z*r,并计算出主密钥sP。使用P和Q推导的参数、主公钥和常数字符串通过一个安全的已认证的通道分发给系统中的用户。我们假设用户数量是K的多项式。

提取：KGC检查用户是否对特定的在线身份标识符拥有所有权。如果他们拥有，KGC将生成他们的私钥并将私钥传给他们。让Alice的网络身份标识符通过随机预言模型H映射到a ∈ Z*r。Alice的公钥是Apub = (a + s)P，可以计算为aP + sP。Alice的私钥生成为Apri = (a+s)^(-1)Q。Alice可以检查KGC在构造私钥时是否使用了正确的Q，方法如下:

P ← H0(cs0) Q ← H1(cs1) 验证t(Apub, Apri) = t(P, Q)?

密钥协商：假设Alice和Bob拥有由相同的KGC颁发的私钥(分别为Apri和Bpri)。Alice和Bob分别生成一个唯一的随机数xa, xb ∈ Z*r。

Alice                                                         Bob AKA = xa(bP + sP)               ↔             BKA = xb(aP + sP) keya = t̂(BKA, Apri)^xa                 keyb = t̂(AKA, Bpri)^xb     这个方案是恒成立的，因为： keya = t̂(BKA, Apri)^xa =t̂(P, Q)^xaxb = t̂(AKA, Bpri)^xb = keyb.

    我们可以注意到，尽管KGC有能力在协议中生成两个用户的私钥，但是它不能从任何特定协议的运行获取共享会话密钥。在本例中，KGC可以轻松地计算t(P, Q)^xa和t(P, Q)^xb，但是从这些值计算密钥涉及到解决群G2的CDHP问题(Computational Diffie-Hellman Problem)[29]。

5 不同域成员之间的密钥协商协议

    现在我们来看看不同域的成员之间的密钥协商协议。这个想法最初是在[6]中提出的。我们提出了一种不需要预计算的方案，其计算效率是原方案的两倍。同样，此协议可以在托管或无托管模式中实例化。

    要使不同群的成员之间能够实现密钥协商，所需要的只是无托管系统中的点P、Q，或托管系统中的点P，以及曲线的描述相同(标准化)。椭圆曲线，合适的群生成元和其他加密工具在非IBE应用中已经标准化，例如在NIST FIPS中的标准。因此，假定标准易配对曲线的可用性也是合理的。

    一旦这些群的生成元点和曲线达成一致，每个KGC就可以生成它们自己的随机主秘密。

    Alice的私钥由带有主秘密s1的KGC1生成。Bob的私钥由带有主秘密s2的KGC2生成。Alice的公钥是(a + s1)P，她的私钥是Apri = (a + s1)^(-1)P。同样，Bob的公钥是(b + s2)P，他的私钥是Bpri = (b + s2)^(-1)P。注意，现在Alice必须获取s2P (Bob的KGC的主公钥)，反之亦然;与任何IBC方案一样，主公钥必须以经过身份验证的方式获得。

    Alice和Bob现在执行认证密钥协商协议:

Alice                                                         Bob AKA = xa(bP + s2P)               ↔             BKA = xb(aP + s1P) keya = t̂(BKA, Apri)^xa                 keyb = t̂(AKA, Bpri)^xb

    这个方案是恒成立的，因为：

keya = t̂(BKA, Apri)^xa =t̂(P, P)^xaxb = t̂(AKA, Bpri)^xb = keyb.

6 效率

    Smart的协议[25]要求每一方执行2点标量乘法和2次配对运算。这些配对中的一个可以部分预先计算，将成本降低到每组1点标量乘法、1个配对计算和1个配对求幂，而每个接收者的额外存储成本为1个配对。我们的新方案在不增加额外存储空间的情况下达到了同样的效率。

    Chen-Kudla认证密钥协议[6]需要2个椭圆曲线点标量乘法、1个点加法和1个对运算。

    Scott的关键协议[18]使用配对作为SPEKE生成元，在使用预计算时只需要两次配对求幂。同样，它限制所有用户使用同一KGC生成的私钥。

    这里提出的方案需要1次点标量乘法、1次对指数和1次对计算。我们注意到配对指数运算比点标量乘法快。

    我们还注意到，从标识生成公钥的方法——即通过将标识映射到整数编码并执行标量乘法——比Boneh-Franklin密钥对生成技术更快。他们的技术包括将标识符映射到坐标，求解曲线方程，然后乘以一个大的辅助因子来生成一个r阶点。在我们的系统中，公钥总是r阶点。

    在Smart协议中，接收方的公钥被显式或隐式地使用(如果预先计算了对)来完成协议。在我们的方案中，可以存储形如 uP + sP的公钥来节省一个标量乘法，这样做的优点是需要比配对值小得多的存储空间，即1/k的分数，其中k是曲线E(Fq)的嵌入度。

    我们将公钥生成排除在下面的复杂性分析之外，因为对于我们的系统来说，公钥生成只稍微快一点——并且可以在所有IBE系统中预先计算。我们还省略了E(Fqk)乘法、点加法和哈希法，因为与其他基本运算相比，它们的计算速度更快。

    关键词：p = 配对运算，e = E(Fqk)(配对)取幂，m = 标量乘法，n = 接收者，s =每对求值的存储空间，rac =需要额外的计算(两点乘法)。

	Proposed	Smart	Chen-Kudla	Scott
No Precomp	1p+1e+1m	2p+1m	1p+2m	1p+2e
Precomp	1p+1e+1m	1p+1e+1m+ns	1p+1e+1m+ns	2e
Escrow	Yes / No	Yes / No (rac)	Yes / No (rac)	No
Between Domains	Yes	No	No	No

（论文剩下的部分是提出方案的安全性证明，暂略）

参考文献

1. S. S. Al-Riyami and K. G. Paterson. Tripartite authenticated key agreement protocols from pairings. In IMA Conference on Cryptography and Coding, volume
   2898 of Lecture Notes in Computer Science, pages 332–359. Springer-Verlag, 2003.
2. M. Bellare and P. Rogaway. Entity authentication and key distribution. In Advances in Cryptology – Crypto’93, volume 773 of Lecture Notes in Computer Science, pages 232–249. Springer-Verlag, 1994.
3. S. Blake-Wilson, D. Johnson, and A. Menezes. Key agreement protocols and their
   security analysis. In IMA International Conference on Cryptography and Coding,
   volume 1355 of Lecture Notes in Computer Science, pages 30–45. Springer-Verlag,1997.
4. D. Boneh and M. Franklin. Identity-based encryption from the weil pairing. In
   Advances in Cryptology – Crypto’2001, volume 2139 of Lecture Notes in Computer
   Science, pages 213–229. Springer-Verlag, 2001.
5. L. Chen and K. Harrison. Multiple trusted authorities in identifier based cryptography from pairings on elliptic curves. Trusted Systems Laboratory, HP, 2003.
   http://www.hpl.hp.com/techreports/2003/HPL-2003-48.pdf.
6. L. Chen and C. Kudla. Identity based authenticated key agreement from pairings.
   Cryptology ePrint Archive, Report 2002/184, 2002. http://eprint.iacr.org/
   2002/184.
7. Z. Chen. Security analysis on Nalla-Reddy’s ID-based tripartite authenticated key
   agreement protocols. Cryptology ePrint Archive, Report 2003/103, 2003. http:
   //eprint.iacr.org/2003/103.
8. Michael Cheng. University of Middlesex, London, UK. Personal Communication,2004.
9. C. Cocks. An identity based encryption scheme based on quadratic residues. In
   VIII IMA International Conference on Cryptography and Coding, volume 2260 of
   Lecture Notes in Computer Science, pages 360–363. Springer-Verlag, 2001. "http:
   //www.cesg.gov.uk/site/ast/idpkc/media/ciren.pdf.
10. R. Dutta, R. Barua, and P. Sarkar. Pairing-based cryptography : A survey. Cryptology ePrint Archive, Report 2004/064, 2004. http://eprint.iacr.org/2004/064.
11. S. Galbraith. Personal communication, 2004.
12. S. Galbraith and V. Rotger. Easy decision-die-hellman groups. Cryptology ePrint
    Archive, Report 2004/070, 2004. http://eprint.iacr.org/2004/070.
13. A. Joux. A one round protocol for tripartite Die-Hellman. In Proceedings of Algorithmic Number Theory Symposium, volume 1838 of Lecture Notes in Computer
    Science, pages 385–394. Springer-Verlag, 2000.
14. D. Nalla. ID-based tripartite key agreement with signatures. Cryptology ePrint
    Archive, Report 2003/144, 2003. http://eprint.iacr.org/2003/144.
15. D. Nalla and K. C. Reddy. ID-based tripartite authenticated key agreement
    protocols from pairings. Cryptology ePrint Archive, Report 2003/004, 2003.
    http://eprint.iacr.org/2003/004.
    13
16. Eun-Kyung Ryu, Eun-Yoon, and Kee-Young Yoo. An ecient ID-based autenticated key agreement protocol from pairings. In NETWORKING 2004, volume 3042
    of Lecture Notes in Computer Science, pages 1458–1463. Springer-Verlag, 2004.
17. R. Sakai and M. Kasahara. ID based cryptosystems with pairing on elliptic
    curve. In 2003 Symposium on Cryptography and Information Security – SCIS’2003,
    Hamamatsu, Japan, 2003. http://eprint.iacr.org/2003/054.
18. M. Scott. Authenticated ID-based key exchange and remote log-in with insecure
    token and PIN number. Cryptology ePrint Archive, Report 2002/164, 2002. http:
    //eprint.iacr.org/2002/164/.
19. M. Scott and P. S. L. M. Barreto. Compressed pairings. In Advances in Cryptology –
    Crypto’2004, volume 3152 of Lecture Notes in Computer Science. Springer-Verlag, 2004. to appear.
20. A. Shamir. Identity based cryptosystems and signature schemes. In Advances in
    Cryptology – Crypto’84, volume 0196 of Lecture Notes in Computer Science, pages
    47–53. Springer-Verlag, 1984.
21. K. Shim. Cryptanalysis of Al-Riyami-Paterson’s authenticated three party key
    agreement protocols. Cryptology ePrint Archive, Report 2003/122, 2003. http:
    //eprint.iacr.org/2003/122.
22. K. Shim. Cryptanalysis of ID-based tripartite authenticated key agreement protocols. Cryptology ePrint Archive, Report 2003/115, 2003. http://eprint.iacr.
    org/2003/115.
23. K. Shim. Ecient ID-based authenticated key agreement protocol based on Weil
    pairing. Electronics Letters, 39(8):653–654, 2003.
24. K. Shim. Ecient one round tripartite authenticated key agreement protocol from
    Weil pairing, 2003.
25. N. P. Smart. An identity based authenticated key agreement protocol based on
    the Weil pairing. Electronics Letters, 38:630–632, 2002.
26. H.-M. Sun and B.-T. Hsieh. Security analysis of Shim’s authenticated key agreement protocols from pairings. Cryptology ePrint Archive, Report 2003/113, 2003.
    http://eprint.iacr.org/2003/113.
27. E. Verheul. Evidence that XTR is more secure than supersingular elliptic curve
    cryptosystems. In Advances in Cryptology – Eurocrypt’2001, volume 2045 of Lecture Notes in Computer Science, pages 195–210. Springer-Verlag, 2001.
28. G. Xie. Cryptanalysis of Noel McCullagh and Paulo S.L.M. Barreto’s two party
    identity based key agreement. Cryptology ePrint Archive, Report 2004/308, 2004.
    http://eprint.iacr.org/2004/308.
29. Y. Yacobi. A note on the bilinear Die-Hellman assumption. Cryptology ePrint
    Archive, Report 2002/113, 2002. http://eprint.iacr.org/2002/113.
30. F. Zhang, R. Safavi-Naini, and W. Susilo. An ecient signature scheme from bilinear pairings and its applications. In International Workshop on Practice and
    Theory in Public Key Cryptography – PKC’2004, Lecture Notes in Computer Science, pages 277–290. Springer-Verlag, 2004.