ECC的无配对ID-2PAKA协议的安全性与适用性

Journal of King Saud University沙特国王大学沙特国王大学学报www.ksu.edu.sawww.sciencedirect.com一种基于身份的两方认证密钥协商协议SK Ha fizul Islama，*，G.P.比斯瓦斯湾aBirla Institute of Technology and Science，Pilani，Rajasthan 333031，India，计算机科学与信息系统系b印度贾坎德邦Dhanbad 826004印度矿业学院计算机科学与工程系接收日期2014年9月2日;修订日期2014年12月26日;接受日期2015年1月13日2015年11月6日在线发布摘要近年来，人们提出了许多基于身份的两方认证密钥协商（ID-2 PAKA）协议，但由于存在双线性对和映射到点函数，这些协议都不能提供足够的安全性，而且计算量也相对较高。此外，它们需要许多通信回合来建立会话密钥，并且因此导致增加的通信延迟，这使得它们不适合于实际应用。因此，本文的目的是提出一个基于ECC的无配对ID-2 PAKA协议，消除了以前的协议的安全缺陷该协议帮助两个用户通过一个开放的网络在他们之间建立一个公共的会话密钥利用BAN逻辑对协议进行了形式化安全性分析，并与其它协议进行了比较，证明了该协议是形式安全的，适合于安全高效的对等通信。©2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。 这是CC BY-NC-ND许可下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍移动网络的灵活性和移动性帮助移动用户利用他们的个人设备（即，膝上型计算机、移动电话）。毛皮-*通讯作者。联系电话：+91 8233348791，+91 8797369160。电子邮件地址：hafi786@gmail.com，hafizul.ism@gmail.comhafizul@pilani.bits-pilani.ac.in，www.example.com（S.H.伊斯兰教）。沙特国王大学负责同行审查因此，移动网络的快速发展和部署以及手持移动设备的便携性吸引移动用户通过移动网络彼此通信。然而，在移动网络中通信用户的安全和隐私保护仍然是两个重要的问题，这是在将移动网络用于各种目的之前必须实现的。最近，认证密钥协商协议变得流行，在许多无线移动应用中，例如IP多媒体子系统（Song等人，2011）、认证协议（Wang等人，2010; Islam和Biswas，2011; Lee等人， 2011）、无线移动自组织网络（Liaw等人，2005年），移动http://dx.doi.org/10.1016/j.jksuci.2015.01.0041319-1578© 2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier关键词椭圆曲线密码体制;基于身份的密码体制;双线性对;会话密钥;BAN逻辑64S.H.伊斯兰教，G.P.比斯瓦斯知识产权注册（Sadhukhan等人，一般来说，可以找到两种类型的认证密钥协商协议：认证组密钥协商协议 （ Znaidi 和 Minier ， 2011; Park和 Jin ， 2010; Kim 和Kim，2011; Islam和Biswas，2012）和双方认证密钥协商 （ 2 PAKA ） 协 议 （ Smart， 2002; Chen 和 Kudla ，2002;Shim，2003; Sun和Hsieh，2003; Ryu等人，2004;Boyd 和 Choo ， 2005; Wang 等 人 ， 2009 ， 2008;McCullagh和Barreto，2005; Xie，2004; Li等人，2005;Choie等人，2005;Zhu等人，2007; Cao等人，2008，2010; Islam and Biswas ， 2012; Hoülbl et al. ， 2012年）。认证组密钥协商协议允许用户（多于两个）在他们之间提出一个共同的秘密会话密钥，而在2PAKA协议中，在两个通信用户之间建立一个共同的会话。在这两种情况下，用户可以在任何敌对网络上安全地交换由会话密钥加密的消息。在文献中，基于密码的认 证 密 钥 交 换 协 议 （ Sui 等 人 ， 2005; Lu 等 人 ，2007;Chang和Chang，2008; Lo等人，2010; Pu，2010;Youn等人，2011; Guo等人，2008，2012），其允许两个通信用户在任何开放网络上生成会话密钥。然而，这些协议的高计算成本和大量通信回合（其中在通信之前在一对用户之间或与可信服务器共享秘密或密码）使得它们不适合于低功率移动设备的环境因此，本文致力于利用椭圆曲线密码（ECC）技术设计一个安全的、无配对的ID-2 PAKA协议。1985; Koblitz，1987和基于身份的密码系统（IBC）Shamir等人，1981适合低功耗移动设备。1.1. 相关工作在文 献中， 已经提 出了几 种基 于双线 性配对 的ID-2PAKA协议以及用于将随机字符串转换为椭圆曲线组上的点的映射到点散列函数和ECC，现在讨论其中的一些。Smart（2002）在基于身份的加密方案（Boneh andFranklin，2001）的基础上提出了一种ID-2 PAKA协议，但 它 没 有 提 供 会 话 密 钥 的 完 美 前 向 保 密 性 （ PFS ）（Chen and Kudla，2002; Shim，2003）。Shim（2003）提出了一个基于Weil配对的ID-2 PAKA协议，并声称它消 除 了 Smart （ 2002 ） 的 安 全 缺 陷 。 Sun 和 Hsieh（2003））证明了Shim的协议对于中间人攻击（MIMA）是不安全的。基于双线性对，Ryu等人（2004）提出了ID-2 PAKA协议，该协议对密钥泄露冒充（K-CI）攻击具有脆弱性（Boyd和Choo，2005）。在2009年，Wang等人（2009）独立地证明了Ryu的协议对于反射攻击（RA）是不安全的，然后提出了一个改进的协议，并声称已知的攻击是受保护的。Xie（2004）指出McCullagh和Barreto（2005）提出的ID-2 PAKA协议在K-CI攻击下是不安全的，并提出了一种改进的协议。然而，Li et al. （2005）分析了Xie的协议在K-CI攻击下仍然是不安全的。在2008年，Wang等人（2008）提出了一种对Chen和Kudla协议的改进协议。2005年，Choie等人（2005）提出了一些有效的基于配对的ID-2 PAKA协议，并声称这些协议是其被设计为以最小的通信开销提供所需的安全属性。2005年，Sui等人提出了一种基于ECC的基于口令的认证密钥协商协议，该协议提供了PKG（private keygenerator）的完美前向安全性，并被纳入3GPP2（thirdgeneration partnership project）规范，以提高无线通信中认证密钥分发协议的安全性。然而，Lu et al. Sui等人（2007）指出该协议容易受到离线密码猜测攻击，并对Sui等人（2005）提出的协议进行了改进。不幸的是，Chang和Chang（2008）证明了Lu et al.的协议对于密码猜测攻击是不安全的，然后提出了一个修改的协议来消除Lu等人（2007）的安全缺陷。然而，Lo等人（2010年）证明，Chang等人的协议缺乏提供相互认证属性。Lo等人还提出了一种改进的基于密码的认证密钥协商协议，并声称该协议可以抵抗各种攻击。2010年，（Pu，2010）独立证明了Lu的协议无法抵抗离线密码猜测攻击。最近，Youn等人（2011）发现了Guo等人的一些安全漏洞。s方案（Guo等人，2008年），并提出了一个有效的协议。在2012年，Guo等人（2012）提出了另一种用于无线通信的高效且可证明安全的基于密码的认证密钥协商协议。1.2. 动机目前提出的大多数2PAKA协议都可以使用双线性对和映射到点（MTP）函数等两种代价高昂的操作来实现。此外，这些协议中的一些需要多个通信回合来建立可靠的密钥，这又导致高通信延迟。 为了降低计算成本，Zhuet al. （2007）和Cao et al. （2008）独立提出了两个无配对的ID-2 PAKA协议，但这些协议需要三轮通信。2010年，Cao等人（2010）提出了另一个具有最小计算代价的两轮无配对ID-2 PAKA协议。不幸的是，（伊斯兰教和比斯瓦斯，2012年）表明，曹等'。s方案（Cao等人， 2010）容易受到已知的会话特定临时攻击（KSTIA）和密钥偏移攻击（KOA）/密钥复制攻击（KRA）。从这些讨论中，可以得出结论，由于以下原因，先前的协议不适合于资源受限（电池功率、处理、存储器或计算）的环境：（1）大多数现有的认证密钥协商协议具有高计算成本和通信轮数，并且它们都不能提供足够的安全性，（2）在一些基于口令的认证密钥协商协议中，如果组中的两个用户预先共享口令（秘密），则他们可以实现相互认证和会话密钥协商，这不适合于大规模对等通信网络，因为每个用户需要保持对应于所有组成员的大量秘密，以及（3）在其他基于口令的认证密钥协商协议中，每个用户与可信服务器预先共享秘密，并且经由服务器与其他用户通信，对于该服务器将执行多个通信回合。我们知道一种基于身份的无配对两方认证密钥协商协议6532---¼þ¼●¼P nO●联系我们通信等待时间和能量消耗随着通信循环的数量而增加，因此在参与用户的发送-响应阶段中涉及更多的早期协议缺乏安全性和计算性也促使我们研究和开发一种新的安全的2PAKA协议，可以很容易地用于低功耗移动设备。1.3. 我们的贡献本文提出了一种改进的无配对ID-2 PAKA协议，该协议使用ECC和IBC，用于不安全信道中的两方通信，具有最小的通信轮数。该协议具有安全、用户友好、适用于移动网络等特点：(1) 消除公钥证书：ID-2 PAKA协议基于基于身份的密码体制，具有不需要任何证书来认证公钥的特性。因此，我们的协议不需要任何公钥证书来认证用户(2) 无双线性配对和MTP散列函数的实现：在文献中，许 多 无 配 对 的 ID-2 PAKA 原 型 （ Cao 等 人 ，2008，2010; Debiao等人，2011年，设计。双线性对的相对计算成本大约是椭圆曲线标量点乘（ECPM）的两到三倍，并且MTP散列函数的计算 成 本 大 于 ECPM （ Cao 等 人 ， 2010;Islam andBiswas，2012）。此外，双线性对的实现需要具有大阶的非奇异椭圆曲线群和通常作为概率算法实现的MTP散列函数（Zhu等人，2007; Cao等人， 2008年）。与Cao et al.（2008，2010）给出的协议类似，该协议不需要双线性对和MTP函数，易于实现。(3) 形式安全性：在文献中，大多数2PAKA协议都非正式地声称它们的安全性，这可能不被认为是完全安全的。然而，我们分析了我们的协议形式化的基础上的BAN逻辑模型，这保证了安全性的建议，在本文中声称的协议。它还提供ID-2 PAKA协议的所有其他安全属性（Blake-Wilson等人， 1997年）。1.4. 文件概要本文的其余部分组织如下。在第2节中，我们描述了一些在整个论文中使用的参数第3节描述了所提出的协议，第4节给出了使用BAN逻辑模型的安全性分析。在第5节中给出了我们的协议与相关协议在安全性、计算和通信成本方面的比较。最后，本文在第6节中以一些评论结束。2. 预赛在这一部分中，我们讨论了椭圆曲线密码学的理论基础、基于身份的密码体制以及一些计算问题。2.1. 椭圆曲线密码Miller等人（1985）和Koblitz（1987）首先提出了椭圆曲线密码体制（ECC），并认为使用任何多项式时间有界算法计算基于ECC的离散对数问题在计算上是不确定的。此外，160位大小的基于ECC的密钥提供与使用1024位基于RSA的密钥获得的安全级别相同的安全级别。此外，椭圆曲线群中的基本运算，如点乘、加法等，比乘法群中执行的模幂运算快得多。因此，基于ECC的协议在（1）安全性、（2）计算、（3）存储和（4）通信带宽方面是有效的。设Ep∈a;b∈是素域Fp上的椭圆曲线点的集合，由以下非奇异椭圆曲线方程定义：y2modp1/4x3axbmodpwithx;y;a;b2Fp和4a27bmodp可 加循 环 椭 圆曲 线 群 定义 为 Gp<$f<$x;y<$ ：x;y2Fp 和<$x;y<$2Ep<$a;b<$g[fOg，其中点O称为“无穷远点“或"零点“。下面给出关于椭圆曲线群性质的简要加点。设P;Q是曲线（1）上的两点，则P Q R，其中连接P和Q的直线与曲线（1）在R处相交，它相对于x轴的反射是点R。减分法。如果Q P，则PQPPO即，连接P和P的直线在点O处与曲线（1）相交。双倍积分。点加倍是将曲线（1）上的一个点P加到其自身上，以获得同一曲线上的另一个点Q。设2 P在P点的切线曲线（1）在Q处;它相对于x轴的反射是点Q。循环群G p上的标量点乘被定义为kP <$P<$P<$··<$P<$k乘以<$。点的顺序。的点如果最小整数n>0，则有顺序更多关于椭圆曲线和它的群属性可以在Hankerson等人的文章中找到。（2004年）。2.2. 基于身份密码体制传统的基于PKI的密码系统需要证书来认证用户的公钥。然而，基于公钥基础设施的系统遭受的问题的管理公钥和证书的大型组织。这些困难可以通过Shamir等人（1981）提出的基于身份的密码学（IBC）来克服。在IBC中，一个公开的字符串，如电子邮件地址，物理IP地址等，被用作●●66S.H.伊斯兰教，G.P.比斯瓦斯2GpXðÞ0pp1pp2公钥和一个可信的第三方，称为私钥生成器（PKG），通过绑定他/她的主私钥和用户的身份来创建用户的私钥。用户使用IBC的主要优点包括：（1）消除了公钥证书，（2）在通信之前不需要交换公钥，（3）公钥可以与基于PKI的密码体制相比，IBC具有公钥的轻量级、使用灵活、管理方便等优点，因而更适合于实际应用。注意，（Shamir et al.，1981）没有提出一个真正的基于身份的加密/解密方案，然而，（Boneh和Franklin，2001）首先提出了一个实用的基于身份的 加密方案， 该 方 案使用双线性对，椭圆曲线群协议包括三种算法，如Setup、Extract和密钥协议，每个协议描述如下：3.1. 设置阶段该算法以一个安全参数kZ_k作为输入，返回系统给定k，PKG执行以下操作：(a) 对 一 个 k 位 素 数 p 进 行 化 简 ， 并 确 定 元 组fFp;E=Fp;Gp;P，其中点P是Gp的生成元.(b) 解算主密钥x2RZ ωp并计算系统公钥Ppub¼xP。(c) 支持三个单向和安全的哈希函数H：f0;1gω×G-！Zω，H：G3-！Zω和H：f0;1gω×2.3. 计算问题定义1.椭圆曲线离散对数问题（ECDLP）：给定两个随机元素P;Q2G p，对于任何多项式时间算法，计算上很难找到整数a2RZωp，使得Q¼aP。定义2. 计算Diffie-Hellman问题（CDHP）：给定一个随机实例n P ; aP ; bP <$2Gp，对于任意的a ; b2 RZ ω p，用任何多项式时间算法计算abP是不可行的.3. 提出的无配对ID-2 PAKA协议本节提出了一个无配对的ID-2 PAKA协议，在不增加通信轮数的情况下，消除了现有协议的安全缺陷。拟定方案中使用的符号列表见表1。该协议由三个实体组成，即一个可信私钥生成器（PKG）和两个用户A和B，分别作为发起者和响应者的f0;1gω×G6-！f0;1gk.(d) 发布X¼fFp;E=Fp;Gp;p;P;Ppu b;H0;H1;H2g作为系统的参数，并保持主密钥秘密。3.2. 萃取相该算法将PKG的主私钥、用户的身份和系统的参数作为输入，然后返回用户的基于身份的长期私钥，如下所述。对于具有标识符IDA的用户A，PKG执行以下操作：(a) 计算rA2RZωp，计算RA¼rAP和hA¼H0A; R A.(b) 计算dArAhA xmodp。PKG经由安全且机密的信道向用户A发送dA;RA。A的对应公钥被计算为PA <$RA<$H0IDA;RA<$Ppub，并且可以通过检查等 式 PA <$RA<$H0IDA;RA<$Ppub<$DA;PA<$D 来 验 证 私 钥 / 公 钥 对 A; PA<$D。以来表1符号PKGIDipEp（a，b）PHi（）dAPAdBPBabSBSK在拟议的无配对ID-2 PAKA协议中使用的符号及其含义列表。描述私钥产生中心用户i的身份，ie{A，B}。大素数素域Fp上的椭圆曲线点集n阶椭圆曲线群的基点单向安全散列函数，i=0，1，2A的私钥，其中dA=（rA+hAx）modp，rAeZp*，RA=rAP，hA=H0（IDA，RA）A的公钥，其中PA = RA + hA Ppub = dA PB的私钥，其中dB=（rB+hB x）modp，rBeZp*，RB=rB P，hB=H0（IDB，RB）B的公钥，其中PB = RB + hB Ppub = dB P由用户A选择的随机数，其中TA =（a+ dA）2P由用户B选择的随机数，其中TB =（b + dB）2P二-1（TA，RA）的签署，由A计算为SAADAH1TA;RAH二-1（TB，RB）的签署，由B计算为SBbdBdBH1TB;RBd会话密钥，其中SK<$H2AB一BA2AB一BBKAadATBadAbdBPbdBTAKB22ID;ID;T;T;K22 HID;ID;T;T一种基于身份的无配对两方认证密钥协商协议67j22ðþÞ¼JJj）、图1拟议协议的密钥协商阶段PA¼RAH0IDA;RAPpub1/4AP1/4RAA AH0AIDA;RA AA BXP¼ðrAþhAxÞP¼dA P3.3. 关键协议阶段步骤1.用户A选择2RZωp并执行以下操作：(1) 计算TAadA2P和SAadA2dAH1TA;RA-1：(2) 发送者IDA;TA;RA;SA通过公开渠道发送到B。步骤2.在接收到消息“ID A;T A;R A;S A”时，B选择b2RZωp，并执行以下操作：(1) 计算T B¼b d B2P和S B¼b d B2d B HT B; R B-1。(2) 通过开放通道向A发送CNOIDB;TB;RB;SB。步骤3. 现在，A和B执行以下操作：(1) A计算P B<$RBH0IDB;RBP pub并检查SBPBH1TB;RBPTB是否成立。 如果它成立，A计算出KA <$A <$A <$2TB，会话密钥为SK<$H2<$IDA;IDB;TA;TB;KA <$。(2) 类似地，B计算P ATA。Ifit保持，B计算K B¼bd BT A和会话4. 基于BAN逻辑模型的协议形式化分析1990年，Burrows et al. （1990）提出了BAN 逻辑模型，定义了一些简单、可靠、功能强大的工具，基于这些工具可以对密码协议进行比任何非形式化方法更严格的分析。在本节中，我们使用BAN逻辑模型分析和证明了我们的协议的正确性我们首先描述了BAN逻辑模型，然后使用BAN逻辑对所提出的协议进行了安全性分析。4.1. BAN逻辑模型本节描述了BAN逻辑模型中使用的基本语法、语义和推理规则（Burrows等人，1990;Yang和Li，2006）。在该模型中，P和Q表示委托人，其中PP和PQ表示公钥，dP和dQ表示相应的密钥。4.1.1. 基本符号和描述我们简要描述了BAN逻辑模型的一些基本符号和语义，如下所示。（N1）P X：P相信X，这意味着如果X为真，则P(N2)P/X：P看到X。也就是说，有人发送一条包含X的消息给P，P读取并重复X。（N3）Pj' X：P曾经说过X。也就是说，在某个时候，P发送了一个密钥为SK<$H2IDA;IDB;TA;TB;KB。● 协议的正确性：A和B将部分会话密钥计算为K A1/2BT A K B，因此，A和B成功地在它们之间建立了公共且安全的会话密钥SK。所提出的协议的密钥协商阶段在图中给出。1.一、消息包括X，不知道该消息是很久以前发送的还是在协议的当前运行期间发送的，但是知道P当时相信X（N4）P' X：P最近说X。这意味着，PX在当前方案运行中。（N5）PX：P对照X.也就是说，P拥有对语句X的授权，并且应该信任它。168S.H.伊斯兰教，G.P.比斯瓦斯ð ÞPP$QQ（N6）#X：配方X是新鲜的。也就是说，X在当前协议运行之前的任何时间都没有在消息中发送。4.1.3.综合规律在BAN逻辑模型中，推理规则和基本假设有助于实现密码学原型的预期目标（N7）PP-我知道这意味着P是P的公钥，cols. Buttyan等人（1998）还导出了一组合成规则对应的秘密密钥dP将永远不会被除了P或他所信任的实体之外的其他人发现。(N8)fXgK：这表示公式X在密钥K下加密。K(N9)：P和Q可以使用对称密钥K用于安全通信，并且它将永远不会被除了P或Q之外的其他人发现，或者被他们中的任何一个信任的实体发现。（N10）P：如果P为真，那么Q也为真。4.1.2. 推理规则在下文中，我们描述了Burrows等人（1990），Yang和Li（2006）中定义的BAN逻辑模型的一组推理规则。(P1)信息意义规则：这一规则与信息的解释有关，有助于解释信息的来源。如果P相信PQ是Q可以用来在系统中建立加密协议并证明协议的可靠性我们已经列出了一些这样的合成规则如下所示。记作R#S是指由公式R导出公式S。S1S44.2. 拟议议定书在这一部分中，我们基于BAN逻辑模型形式化地证明了所提出的协议的正确性和可靠性，在会话结束时，两个用户确保它们在它们之间建立新的会话密钥。4.2.1. 初始假设为了分析所提出的协议，我们首先列出以下关于协议初始状态的假设：接收消息fXgdQ 加密在Q的私有关键字dQ;然后P可以得出结论，Q曾经说过，1000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000PB我...B A4BPA一种基于身份的无配对两方认证密钥协商协议69j ÷ j ÷jjSKSKPB我... BSageX，即，PQPj！Q;P/fXgdQ。Pj Qj你看，这是两个人！AA5Aj#TAPA三个三 个！AA6Bj #TB(P2)随机数验证规则：如果P相信X是新鲜的，Q在协议的当前状态期间说过X，则P相信Q相信X，即，A7A8Pj#X;PjQj'X。P Q X(P3)管辖权规则：如果P认为Q有管辖权A10A1 4B jB j）RA而P相信Q相信X，则P相信X，即， Pj<$Qj）X;Pj<$Qj <$X。P X(P4)看到规则：如果P看到消息（X，Y），那么它也看到消息的一部分（即，X和Y），前提是P/X;P/Y4.2.2. 理想化形式现在，我们根据BAN逻辑模型将所提出的协议转换为理想化形式，如下所示：你好！B：TA;RA;fTA;RAgdAI2B-！A：TB;RB;fTB;RBgdB他知道，也就是说，P/NX; YX。4.2.3. 有待实现的(P5)相信规则：委托人P可以相信一个集合，当且仅当P相信每个状态-我们的协议主要关注的是在个别地，即，PjX;PjY和PjX;YPj X; Y。PjX用户A和B，使得他们可以共享共同的和新鲜的每个会话中的密钥。因此，我们必须达到以下目标-(P6)新鲜规则：如果P认为公式的一部分X是新鲜的，那么它认为整个公式（X，Y）也必须是新鲜的，即Pj <$#<$X<$。But（X，Y）为了验证亲的安全要求，降低目标设定的协议：SK SKG1P#X;Y$$新鲜告诉我们任何关于SK SK的X或Y。（P7）会话密钥规则：如果P相信会话密钥SK是新的，P相信Q相信X，那么P相信P Q，G24.2.4. 方案验证Pj#SK;P jQjX-在本节中，我们分析了协议是，PjP$Q，其中X是主要部分BAN逻辑模型。具体步骤如下：其中SK是从。70S.H.伊斯兰教，G.P.比斯瓦斯SKSK从（1）我们可以得到：(V1)AjTA;RA（V2）B/TA;RA（V3）B/fTA;RAgdA从（I2）中，我们得到：(V4)BjTB;RB（V5）A/TB;RB（V6）A/fTB;RBgdB根据（V3）和（A2），应用消息意义规则（P1），我们得到（V7）BjAj根据初始假设（A5）、（A7）并通过新鲜度规则（P6），我们得到(V8)Aj#TA;RA根据（V7）和（V8），我们可以说，（V9）Bj<$Aj'从（V9）和使用合成规则（S4），我们得到(V10)Bj#TA;RA从（V7）、（V10）并通过随机数验证规则（P2），我们得到(V11)Bj AjTA;RA应用信念规则（P5），我们从（V11）得到：(V12)BjAjTA(V13)BjAjRA应 用管 辖 权规 则 （P3） ，从 （ V12） 和初 始 假设（A12），我们得到(V14)BjTA在 应 用 管 辖 权 规 则 （ P3 ） 时 ， 从 （ A14 ） 和（V13），我们得到(V15)BjRA现在，B计算PA和KB，最后计算会话密钥SK。根据KB和（V10），应用新鲜度规则（P6），我们得到(V16)Bj#KB同样从（V16），我们得到(V17)Bj#SK根据（V11）和（V17），在应用会话密钥规则（P7）时，我们得到（V18）BjA$B由于协议的对称性，A认为B必然会得出与A相同的信念。（V19）BjAjA$B根据（V6）和初始假设（A1），应用消息含义规则（P1），我们得到(V20)AjBj根据初始假设（A4）、（A8）并通过新鲜度规则（P6），我们得到(V21)Bj#TB;RB从（V20）和（V21），我们有，(V22)AjBj从（V22）和合成规则（S4），我们得到(V23)Aj#TB;RB从（V20）、（V23）并通过随机数验证规则（P2），我们得到(V24)Aj BjTB;RB根据（V24），应用置信规则（P5），我们得到(V25)AjBjTB(V26)AjBjRB从（A11），（V25）和通过管辖规则（P3），我们得到(V27)AjTB从（A13），（V26）和通过管辖权规则（P3），我们得到一种基于身份的无配对两方认证密钥协商协议71ðÞ一SK2SKðÞ$ðÞ一一1一一(V28)AjRB用户A计算PB和KA;以及最终会话密钥SK：根据KA和（V23）并使用新鲜度规则（P6），我们得到(V29)Aj#KA从（V29），我们得到(V30)Aj#SK根 据 （ V24 ） 、 （ V30 ） 并 使 用 会 话 密 钥 规 则（P7），我们得到因此，已知会话特定的临时信息攻击在我们的协议是不可行的。4.3.2. 密钥偏移攻击（KOA）/密钥复制攻击（KRA）该协议能够抵抗密钥偏移攻击。在我们的协议中，用户A通过向用户B发送消息IDA;TA;RA;SA来启动会话密钥协商阶段。假设攻击者E捕获消息ID A;TA;RA;SA并将其修改为IDA;TωA;RA;S A，然后将其转发给B。 让我们考虑对于任意常数r的TωA<$rTA。请注意，E在不知道A的私钥dA的情况下永远无法伪造签名SA，以补偿更改并伪造消息。另一方面 ， 用 户 B 在 接收到用 户 IDA;TωA;RA;SA 时 ， 利 用 等 式 SAPAH1<$TωA;RA P H1<$TωA检查消息的有效性，SAPAH1Tω;RAPAdA2dAH1TA;RA-1PA（V31）AjA B由于协议的对称性，A认为B必然会得出与A相同的信念。（V32）AjBjA$B因此，我们已经达到了所提出的协议的期望目标（G1）、（G2）、（G3）和（G4），对应于如上所示的等式（V17）、（V18）、（V31）和（V32），并且可以得出结论，A和B使用本文所提出的协议成功地在它们之间生成了新的、4.3. 协议对不同攻击的安全性分析除了通过BAN逻辑模型进行形式化安全分析之外，所提出的协议还提供了其他安全属性和抵抗所有可能的攻击的弹性，例如已知会话特定临时信息攻击、密钥复制/密钥偏移攻击、已知密钥攻击、密钥泄露冒充攻击、完美前向安全性、PKG前向安全性等，如Boyd和Choo（2005）、Blake-Wilson等人（2005）中所讨论的。（1997），Menezes et al.（1997年）。注意，所提出的协议对这些攻击的安全性取决于在椭圆曲线群中求解ECDLP和CDHP的不可行性4.3.1. 已知会话特定临时信息攻击（KSTIA）已知的会话特定的临时信息攻击指出，所生成的会话密钥的保密性应该即使是短暂的秘密，如上所述，A和B计算会话密钥SK，其安全性完全取决于部分会话密钥KA_SK_KB_SK。现在，即使暴露了短暂的会话秘密a;b;b，那么只有当他/她知道d A和d B时，局外人才能生成会话密钥SK。然而，由于ECDLP的困难，从公钥A ; B; c计算d A和d B是不可能的。¼ ðaþdÞðdþHðT;RÞÞ-ðdAþH1ðTωA;RAÞÞP½）H1TA;RA-由于验证失败，因此密钥协商会话被B终止。因此，密钥偏移攻击/密钥复制攻击是不可能的，在我们提出的协议。4.3.3. 密钥新鲜度/无密钥控制（NKC）Menezes等人（1997）定义了会话密钥新鲜性的属性，该属性指出，通信实体都不能预先确定随后建立的会话密钥。在2005年，（Phan，2005）分析说，Harn等人'，s Diffie-Hellman-DSA密钥交换协议（Harn等人，2004）不提供会话密钥新鲜度。为了实现这一特性，Phan建议，生成的部分会话密钥KA应该根据由两个参与者A独立选择的短暂秘密a;b来计算和B.在我们的协议中，A和B以与Phan（2005）建议的相同方式产生会话密钥，并且任何参与者都不能强迫另一个会话密钥是预先选择的值，或者会话密钥位于包含少量元素的集合中。由于会话密钥SK分别取决于A和B 的贡献，因此部分会话密钥KA只能由参与者合作计算，并且任何单个实体都不能控制会话密钥的结果或强制执行另一个。因此，在我们的协议中保留了会话密钥新鲜度/无密钥控制的属性。4.3.4. 已知密钥攻击（K-KA）假设任何先前会话的会话密钥SK被泄露给对手E，然而，在所提出的协议中，不能从暴露的会话密钥获得任何未来会话密钥。在我们提出的协议中，一个唯一的和新鲜的会话密钥计算在每个会话中使用的私钥DA和DB，和短暂的秘密a;b，这在每个会话中不同。由于E由于ECDLP的困难而不能从ECDLP中导出短暂的秘密a;b;A;b;b（也不能从PA和PB中导出私有密钥d A和d B），因此，一个会话密钥的公开不允许E获得任何秘密知识，任何其他未来的会话密钥可以从该秘密知识中获得。172S.H.伊斯兰教，G.P.比斯瓦斯ðÞðÞ生成的.因此，所提出的协议是已知密钥攻击保护。4.3.5. 完美前向安全（PFS）和PKG前向安全（PKG-FS）对这种攻击的保护意味着用户私钥的公开如果A和B的私有密钥被泄露，则对手E不能恢复任何过去的会话密钥。已 知 E 能 够 计 算 会 话 密 钥 SK ， 当 且 仅 当如 果 已 知KAKB。然而，现在如果A和B的私钥dA和dB被公开，则E不能获得KA，因为他/她不知道K A。部分会话密钥KA不能由E计算，因为由于通过求解ECDLP从TA;TB导出它们是不可行的，所以KA;B同样从该讨论中，任何人都可以看到PKG的秘密密钥是否被公开，因此所有参与者的秘密密钥都被泄露，然而，当前或过去的会话密钥仍然是安全的和有效的。因此，我们的协议保持了完美的前向安全性和PKG前向安全性。4.3.6. 密钥泄露冒充攻击假设A的秘密密钥d A暴露给对手E，然后对手E试图向A冒充B以获得当前会话密钥。然而，E不能冒充B，因为没有B的私钥的签名SB不能被生成。因此，K-CI攻击是保护在所提出的协议。4.3.7. 反射攻击（RA）和未知密钥共享攻击（UKA）在所提出的协议中，注意，会话密钥SK不仅使用KA_A_K_B_K_B_K_因此，根据Wang et al. （2009），我们的协议提供了对未知密钥共享攻击和反射攻击的弹性。5. 拟议协议与当前协议的比较在本节中，我们将所提出的协议与其他现有协议进行了 比 较 （ Smart ， 2002; Shim ， 2003; Ryu 等 人 ，2004;Wang 等 人 ， 2009; McCullagh 和 Barreto ， 2005;Xie，2004;Zhu等人，2007; Cao等人，2008，2010; Sui等人，2005; Lu等人，2007; Chang和Chang，2008）。5.1. 安全比较在第1.1节中，我们提供了一项文献调查，显示在最近发表的方案中，其中两项（Cao et al.，2008年，2010年）是最有效的通信和计算成本。然而，该论文（Islam和Biswas，2012年）表明，这两个协议对KSTIA和KOA攻击是不可靠的。Blake-Wilson等人（1997）、Zhao和Gu（2012）中描述的KSTIA指出，即使会话的临时秘密被暴露（秘密信息的丢失/临时密钥的泄漏），会话密钥也不应当被泄露Blake-Wilson等人（1997）研究了KOA攻击，并指出任何认证密钥表3符号TBPTPX不同操作的运行时间（ms）。描述和运行时间执行双线性配对的时间，TBP<$20.01 ms执行基于配对的求幂运算的时间TEMTPX≤6.38 ms执行椭圆曲线标量点的时间乘法，TEM≤0.83 ms在会话密钥形成中不包含不对称性的协商协议容易受到这种攻击。 在这种攻击中，主动攻击者可以拦截、修改和删除实体（用户）之间交换的消息，并可以迫使他们接受相同的会话密钥，而这实际上不是实体想要商定的会话密钥。根据上述讨论，假设Smart（ 2002 ） ， Chen 和 Kudla （ 2002 ） ， Ryu 等 人（2004），Wang等人（2009），McCullagh和Barreto（2005），Xie（2004），Cao等人（2008，2010）以及 McCullagh 和Barreto ， 2005; Zhu等 人 ， 2007;Cao等人，2008年，2010年是不安全的KOA和KSTIA攻击。表2给出了对包括我们的协议在内的各种密钥协商协议的安全性分析的总结，结果表明，我们提出的协议比其他协议更有效5.2. 效率比较在本节中，我们提供了我们和其他现有的协议在通信轮，带宽需求和计算成本方面的比较。根据Cao等人的实验结果，（2010），运行时间（毫秒）在表3中给 出 ， 其 中 硬 件 平 台 是 具 有 512 兆 字 节 存 储 器 和Windows XP操作系统的PIV 3GHZ处理器。为了评估我们的协议与其他协议的通信成本的效率，我们遵循了Cao等人中讨论的概念。（2010），其中指出，为了实现可比的安全性，表2与其他协议的安全性比较。协议针对攻击的弱点02 TheDog（2002）03 TheDog（2003）Ryu等人04 The Famous（2004）Wang等人KOA，K-CI，McCull