会话密钥协商协议研究进展

胡志言 杜学绘 曹利峰

(解放军信息工程大学 河南 郑州 450001) (数学工程与先进计算国家重点实验室 河南 郑州 450001)

0 引 言

信息技术的高速发展给人们带来极大的便利，同时也给信息安全保护带来巨大挑战。如何在不可信的网络中进行安全的信息交换成为热点问题，而密钥协商协议是解决此类问题的有效方法之一[1]。会话密钥协商协议[2]是指两个或者多个用户在不可信的有线或者无线网络中进行通信。它首先协商出一致的会话密钥，然后用此密钥对通信内容进行加密，避免信息被篡改或者伪造，从而达到安全传递信息的目的。近年来，会话密钥协商协议因其在无线网络安全通信、视频会议、文件共享等方面的广泛应用，取得了快速的发展。

本文首先对会话密钥协商协议需要满足的安全属性、可证明安全理论及协议分类进行介绍，然后对双方会话密钥协商协议与群组密钥协商协议的研究进展进行重点阐述，在性能、安全性等方面进行对比分析，最后指出会话密钥协商协议的发展方向。

1 预备知识

1.1 安全属性

当密钥会话协商协议运行时，攻击者有许多方法可以尝试破坏该协议，因此设计者必须考虑好协议能够抵抗的攻击类型。为了能够设计一个安全的协议，必须对协议需要满足的安全属性[3-6,9,12-14]进行定义。

已知会话密钥安全性KSK(Known session key security)：协议运行产生的会话密钥必须是唯一并且相互独立的。如果敌手获得协议的一个会话密钥，但不能导致该协议的其他会话密钥的泄露，称该协议具有已知会话密钥安全性。

前向安全性FS(Forward secrecy)：如果协议参与者一方或者多方的长期私有密钥的泄露不会导致他们之前已经建立的会话密钥的泄露，则称该协议具有前向安全性。如果通信参与的一方的长期私有密钥的泄露不会导致以前建立的会话密钥的泄露则称该协议达到基本的前向安全性(BFS)要求；如果协议所有参与者的长期密钥都泄露却仍然保持该性质，则称协议达到了完全的前向安全性(PFS)要求。若系统的主密钥泄露后仍能保持该性质则称该协议达到主密钥前向安全性(MFS)要求。

抵抗密钥泄露伪装攻击KCI(Key compromise impersonation resilience)：如果敌手获得协议参与一方的私有密钥，则敌手可以伪装成该参与方与其他参与者运行协议进行通信，但是不能使敌手伪装成其他参与者与该参与者成功完成协议。

未知密钥共享安全性UKS(Unknown key share)：协议的一方参与者A认为自己与参与者B建立会话密钥，但实际上参与者A与参与者C建立了会话密钥。如果协议能够禁止上述情况的发生，则称该协议具有未知密钥共享安全性。

会话密钥托管SKE(Session key escrow)：通信服务器(第三方)通过监听协议参与者在协议运行过程中的通信过程，根据已有消息以及通信过程获得的消息可以恢复出该次协议运行产生的会话密钥。若协议具有防止密钥托管属性，也称达到主密钥前向安全性。

密钥控制安全性KC(Key control security): 密钥值的确定应该由协议的所有参与方共同确定，协议的参与一方不能使会话密钥的值为一个预先设定好的值。

密钥值偏移攻击KOA(Key off-set attack)：攻击者拦截并篡改通信参与者之间交互的信息，使通信参与者最终计算出的密钥值是错误的。如果协议可以避免这种情况的发生，则称该协议能够抵抗密钥值偏移攻击。

抵抗中间人攻击MITM(Man-in-the-middle attack resilience)：中间人攻击是指攻击者与通信的参与方分别建立独立的联系，并交换其所收到的数据，使通信的参与者认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。如果协议能够抵抗该攻击，则其具有抵抗中间人攻击安全性。

1.2 可证明安全理论

可证明安全是指使用“归约”方法，采用数学中反证法的思想。首先确立密码协议或者签名算法的安全性目标，即已知会话密钥安全性、前向安全性等安全属性；然后定义一个安全模型，规范一个敌手的攻击目标以及它具有的攻击能力；最后，如果敌手能够成功破解该密码体制，则存在一个算法可以在多项式时间内解决一个基础密码算法或者公认的数学困难问题。人们普遍认为此基础密码算法和数学困难问题是难以破解的，因此产生矛盾，从而反证得出密码协议或者签名算法是安全的。目前可证明安全主要有在随机预言模型下可证安全和在标准模型可证安全两种证明方案。

随机预言机模型[7]RO(Random oracle)就是在证明某种协议或者签名算法的安全性时，利用随机预言机的均匀性、确定性和有效性三个性质来证明安全性。在证明密钥协商协议安全性中该模型被广泛应用[8-9]，但Canetti等[10]认为在随机预言机模型下证明安全的系统在实际情况下并不一定安全。因此在标准模型下证明安全的方案[3-6,11-12]应运而生。当把随机预言机模型变换成现实环境，不使用Hash函数的随机预言机的形式来证明方案的安全性，仅仅依靠证明过程中所使用的数学困难性问题，例如双线性对问题、离散对数问题等。这样的证明过程称作在标准模型下可证安全。

1.3 分 类

会话密钥协商协议根据参与会话的成员数量可以分为双方会话密钥协商协议与群组会话密钥协商协议。双方会话密钥协商协议完成两方参与者的会话密钥计算，又根据其是否运用双线性对分为基于离散对数的协议与基于双线性对的协议；群组会话密钥协商协议完成群组成员(成员数量至少为2)的会话密钥协商，进一步可以分为对称群组密钥协商协议与非对称群组密钥协商协议，群组成员在对称协议中协商出一致的会话密钥，而非对称协议协商出加密密钥与解密密钥。下面详细介绍上述分类协议的研究进展。

2 双方会话密钥协商协议

双方会话密钥协商协议，要求通信双方在公开网络中传递信息，协商出会话密钥。一般基于双线性对的密钥协商协议交互轮数和信息量较小，具有较高的效率和很好的安全性，并且不需要建立和维护代价高昂的公钥基础设施，易于实现和应用；而不基于双线性对的协议计算量小，在资源受限的网络中尤其是计算资源受限的网络中比较适用，但安全性相对而言较弱。

2.1 基于离散对数的密钥协商协议

Diffie-Hellman协议[13]是最早的一轮双方密钥协商协议，该协议的安全性直接作为密码学中的标准假设性问题，即CDH(Computational Diffie-Hellman)问题和DDH(Decisional Diffie-Hellman)问题。但是该协议只能抵抗被动攻击，并不能有效地抵抗主动攻击，一旦攻击者具有篡改双方的交换信息的能力，则没有相应的认证机制来避免或者检测到该情况，协议设计过于简单。为了避免中间人攻击这一漏洞，近年来，许多研究者根据DH协议设计了认证密钥协商协议来保证除了合法参与者外其他人无法获取本次密钥协商相关信息。2010年，Cao等[9]利用基于身份思想[14]提出一种不使用双线性映射的认证密钥协商协议，在密钥提取阶段，通信双方会相互验证长期私钥的有效性，进而互相验证双方的身份以防攻击者的主动攻击。在cNR-mBR游戏(Computational No Reveal-modified Bellare-Rogaway game)模型下基于CDH假设证明协议的安全性，能够抵抗密钥泄露伪装攻击，达到完美前向安全性和主密钥前向安全性。并且该协议只需要一轮的信息交换，计算量较少。但该模型是一种简化的mBR(Modified Bellare-Rogaway model)模型[7]，并不能进行Reveal查询，因此安全性较弱。Islam等[15]指出Cao等提出的协议既不能抵挡密钥偏移攻击，可能产生错误的会话密钥；也不能够抵挡已知特定会话暂时信息攻击。针对缺点改进了Cao等的协议，采用消息认证码MAC来抵抗密钥值偏移攻击；加入新的参数，利用CDH问题来抵抗已知特定会话暂时消息攻击。同时，该协议与Cao等的协议相比计算量更少，但是Islam协议需要会话参与双方进行信息交互，并且Islam等并没有形式化的对协议进行安全性证明。

2012年，Xie等[8]提出一种只需要一轮就可以协商出会话密钥的基于身份的协议，该协议的设计基于Galindo等[16]提出的一种签名机制，采用签名认证和自验证双重认证来保证身份和信息的有效性。文献[16]在RO模型下基于离散对数假设证明了签名机制的安全性，这是在一种RO模型-CK模型[17](Canetti-Krawczyk model)下基于CDH假设证明了安全性，实现完美前向安全，但是该协议不能够抵抗暂时密钥泄露攻击，在eCK模型下是不安全的。

2014年，Ghoreishi等[18]设计了三个基于身份的密钥协商协议，三种协议都只需要一轮信息的交换，因此与Cao等的协议[9]相比，运算量相对较少。文中分析了协议满足的安全属性，例如已知会话密钥安全、未知密钥共享安全性以及前向安全性等，但只是定性分析，并没有在RO模型下或者标准模型下证明协议的安全性。后来，Ghoreishi等[19]再次设计了一种基于身份的密钥协商协议，并重点分析协议的性能优势，但并没有考虑到用户认证的问题，因此也就没有检测消息被篡改的能力和辨认主动攻击者的能力。

不基于双线性映射实现的密钥协商协议近来取得一定的发展，通过对身份信息进行签名、验证参与者私钥的有效性等手段来保证身份的合法性，不使用双线性映射实现的协议计算量相对使用双线性映射较小，但在安全性方面差强人意，敌手易于攻破协议，安全属性得不到有效保证。

2.2 基于双线性对的密钥协商协议

2002年，Smart等[20]利用Boneh等[21]提出的第一个使用双线性对的基于身份的加密方案的思想，首次提出基于双线性对的身份基密钥协商协议，利用双线性对的三种性质经过一轮信息的交换过程传递一个参数实现协商出一个一致的会话密钥，每个参与方运行协议的过程中只需要两个椭圆曲线上的乘法运算和两个双线性对运算，计算量相对而言较大。在此基础上又提出了协议的改进形式，加入MAC用两轮交互来互相认证对方的合法身份。并且定性分析了协议满足的安全性，但没有形式化证明。Shim等[22]指出Smart等提出的协议满足的前向安全性是基本的前向安全，没有满足完美前向安全性。并提出了一种在CDH假设条件下满足完美前向安全性的协议，不但只需要一次双线性对的运算，更能够满足Smart协议的所有安全属性。但是该协议的KGC(Key Generation Center)能够根据获得的消息恢复出会话密钥，具有会话密钥托管属性。Mccullagh等[23]提出一种认证会话密钥协商协议，该协议有两种模式：会话密钥托管和无会话密钥托管。会话密钥托管模式下的协议满足多种安全属性，但不能够抵抗密钥值偏移攻击。无会话密钥托管模式是通过在双线性对中加入群的另一个生成元，将会话密钥的恢复归约成求解CDH问题。最后协议在BIDH(Bilinear Inverse Diffie-Hellman)问题假设下证明协议的安全性。

随机预言机模型下可证安全并不能代表实际情况依然安全，因此在2007年，王圣宝等[4]首次提出一种在标准模型下可证安全的基于身份的认证密钥协商协议，设计思路来自Gentry的身份基加密方案[24]，可以在密钥托管模式和无托管模式下工作。密钥托管模式下，该协议能够满足主密钥前向安全性；无密钥托管模式的实现基于CDH问题。两种模式下都满足无密钥控制安全性且提供双向隐式密钥认证，通过增加一轮信息交互可以实现双向显式密钥确认。最后，协议基于一个被称为“短式增强型双线性Diffie-Hellman 指数”q-ABDHE(the truncated Augmented Bilinear Diffie-Hellman Exponent assumption)的计算复杂性假设下证明安全性。然而，Liu等[25]提出王圣宝等的非密钥托管协议不能够抵抗恶意的PKG(Private key generator)攻击，而且其安全模型不能模拟会话临时秘密泄露攻击。同时王圣宝等的协议基于q-ABDHE这个非常强的困难假设问题。Liu等[25]设计了一个基于Waters[26]的认证密钥协商协议，并根据王圣宝等的协议中提供的方法满足了无密钥托管这一安全属性。但是该协议效率低下，而且在协议的证明过程中，设计者在攻击者的第2阶段攻击过程中只是对攻击者发起挑战的随机预言机参与的一种会话进行Reveal查询，并没有将对其他会话进行Reveal 查询的情况考虑进去。直接意义上来理解，在攻击者选择要挑战的会话后需要在自适应阶段对该会话的参与一方进行更多的询问以便获得更多的信息来发现模拟的世界和现实世界的不同，因此在证明安全的过程中必须对这类情况进行考虑。高志刚等[5]提出一个效率较Liu协议更高的协议，并且安全性较高，可在一个更弱的安全性假设DBDH(decisional bilinear Diffie-Hellman)下以标准模型证明协议的安全性。2015年，陈明[12]指出高志刚等设计的协议证明安全中所采取的安全模型不能够模拟会话临时秘密泄露攻击，提出一种新的在标准模型下可证安全的密钥协商协议。他的主要贡献有两个。第一，去掉eID-eCK模型中的随机预言机，建立具有eID-eCK安全的标准安全模型，通过定义安全陷门函数去掉随机语言机，依靠形式化定义敌手的攻击能力实现完备模拟eID-eCK安全模型的安全属性。并且扩充新鲜预言机的定义来丰富展现敌手的攻击能力。第二，提出一种会话密钥可托管的基于身份的认证协议，能够抵抗用户长期私钥泄漏攻击和会话临时秘密泄漏攻击等安全属性，具有强安全性。协议的安全性被规约为多项式时间敌手求解DBDH难题和DBHI(Decisional bilinear Diffie-Hellman inversion)难题。陈明的基于身份的协议存在密钥托管问题，因此基于无证书的协议应运而生。2017年，李娜等[27]提出一种无证书的认证密钥协商协议，解决了密钥托管和复杂证书管理难题，但需要两轮协商完成。

基于双线性映射实现的认证密钥协商协议，在协议的工作过程中，身份信息包含在协议传递的参数中，只有合法用户才可以实现对方身份的认证，实现前向安全、抵抗密钥泄露伪装攻击等安全属性。虽然基于双线性映射实现认证安全性较高，但双线性映射相对于点乘、标量乘法、哈希等运算计算量大，在应用中需要考虑实际网络情况来保证资源的有效合理利用。

3 群密钥协商协议

群组密钥协商协议能够使参与会话的用户在一个安全的信道中进行通信，保证交互信息的机密性、真实性认证和完整性。群组密钥协商协议可以分为对称群组密钥协商协议和非对称群组密钥协商协议。对称群组密钥协商协议就是组内的用户通过协商，计算出一个相同的会话密钥来进行消息的加解密；而非对称群组密钥协商协议采用公钥密码体制，参与者协商出一个加密密钥，各自拥有的解密密钥可以对消息进行解密。对称群组会话密钥协商协议只允许组内成员间广播信息，非对称协议允许构建广播加密系统，群组成员协商出公钥，保留各自的私钥，这样任何知道协商出的公钥的用户都可以发送消息。

3.1 对称群组密钥协商协议

2002年，Zhang[28]等在双方密钥协商协议的基础上，扩展出一种三方会话密钥协商协议，该协议利用基于身份的密码技术，使用双线性对的性质，构造一轮可认证的协议，每个会话参与者会通过双线性对的运算来验证其他两方的合法性，最终会得到8个会话密钥。该协议在BDH问题假设下可以实现多种安全属性等。但是该协议的计算负载过重，不适宜在计算资源有限环境下使用，并且此协议是三方会话密钥协商协议，难以扩展成包含n个(n>3)参与者的群组会话密钥协商协议。此后，Shi等[29]提出一种可以使n(n>3)方参与的基于身份的会话密钥协商协议。每个参与者根据会话参与者数量，分别计算相应参数传给群组内其他用户，因此计算量随着参与者的增多线性增长。但协议改进ID-PKI模型，KGC有两个系统主私钥，且利用KGC来产生系统参数和用户的长期密钥对，该密钥对在最终的会话密钥中发挥作用的只是群G1的生成元P，利用该模型只需要一轮协商就能达到认证的目标，并且摆脱签名机制复杂的计算等限制，最终在DL(Discrete Logarithm)问题假设下达到已知会话密钥安全性、基本前向安全性、无密钥控制等安全性。2007年，HE和HAN[30]指出Shi等[29]提出协议存在安全漏洞，攻击者可以伪装成合法用户，但实际上合法用户并未参与其中，其他用户也未检测到合法用户未参与，并且不能抵抗会话密钥值偏移攻击。在Shi协议的基础上，HE和HAN扩展每个参与者传递的消息为三元组，新加入的两个参数的作用是使每个参与者通过两个双线性对的运算来确认其他用户的合法性。新的协议在保证满足Shi协议安全性的基础上，能够抵抗内部攻击如伪装攻击等，但在内部攻击者的攻击下不能够提供双向认证。

上述协议虽然参与者交互次数较少，但没有在随机预言模型或者标准模型下证明协议的安全性。Yao等[31]提出一种三轮可认证的基于身份的群组密钥协商协议。第一轮是参与者合法身份的认证，防止攻击者伪装；第二轮是密钥协商的过程；第三轮是密钥确认的过程，防止攻击者伪造和篡改中间消息。并且协议在随机预言机模型下证明协议的安全性。但该协议也存在安全漏洞，Yuan等[32]指出Yao协议只能抵抗被动攻击，但不能抵抗主动攻击，如内部攻击者可以伪造中间参数而不能够被发现。同时，Yao协议需要三轮才能协商出最终的会话密钥，交互轮数多，通信负载过大。Zhou等[33]首先设计一种只需要一轮就可协商出会话密钥的群组协议，基于身份密码学和双线性对实现协商出一个会话密钥，然后在此一轮协议的基础上，扩展出一个二轮密钥协商协议，在通信开销方面更高效。并且，两种协议都在DBDH困难假设下用随机预言机模拟其可证明安全性。2015年，Teng等[34]提出一种能够实现双向认证抵抗主动攻击的基于身份的群组密钥协商协议。该协议利用Zhao等[35]提出的EGBG模型，将短暂密钥泄露攻击考虑在内，但并没有引入NAXOS trick来抵抗短暂密钥泄露攻击，基于BDH和CDH假设在随机预言模型下证明协议满足多种安全属性。协议的正确性通过交互过程传递的参数的对称性来保证。而且，该协议没有使用签名算法来实现双向验证，性能较利用签名算法的协议更为高效。2016年，陈勇等[36]利用零知识证明将可否认性引入到群密钥协商协议中，可以在隐私保护等场合广泛应用。

随着研究的深入，静态协议满足不了实际需求，因此Teng等[37]设计提出一种基于身份的动态群组密钥协商协议，创新性地将矩阵论的知识运用在会话密钥的建立过程中，成员可以动态地加入或者离开群组，会话密钥随着成员变化而动态变化，且之后建立的会话密钥对离开的用户保密，之前建立的会话密钥对新加入的用户保密。在协议建立算法和加入算法中，只需要一轮信息交互，会话密钥的更新在成员离开群组时不需要额外的信息交换，达到更高效实用的效果。最后，协议在随机预言模型下基于DBDH可证安全。但该协议的动态性导致交互的信息量较多，计算和通信开销较大。Wu等[38]提出一种采用非交互式确认计算技术实现的两轮可撤销的会话密钥协商协议，在协议的创建过程中，每个用户的私钥包括一个固定的初始私钥和一个可更新密钥，PKG定期发送更新的私钥给用户，用户可以自己利用它更新自己的私钥。当需要撤销时或者监测到恶意用户时，PKG停止发送更新密钥给该用户。该协议基于CDH和DBDH假设在随机预言模型下证明了安全性，可以实现主动监测到恶意用户，达到前向安全性和无密钥控制等安全属性。然而其并非真正意义上的动态协议，密钥更新定期进行。

3.2 非对称群组密钥协商协议

非对称群组密钥协商协议的概念是Wu等[39]在2009年提出的。该协议能够解决传统的群组密钥协商协议不能够用于广播系统、密文大小随着参与者数量线性增长、密钥确认需要增加额外的轮数等、不需要可信第三方来分发私钥缺陷。协议中首先构造了一种基于签名的可聚集广播机制，在随机预言模型下基于CDH和DBDH问题下证明该机制的安全性；然后基于该机制构造一个一轮非对称群组密钥协商协议，将每个用户的公钥聚集起来形成群组的加密密钥，将对同一个用户的多个不同签名聚合起来形成解密密钥；最后在标准模型下基于判定性n-BDHE(decision Bilinear Diffie-Hellman Exponentiation)假设下证明协议的安全性。但该协议不能够抵抗主动攻击和短暂密钥泄露攻击。随后，Zhang等[40]提出一种基于身份的非对称认证群组密钥协商协议。首先提出了一种批量多签名机制，基于乘法群的双线性映射，对多个用户进行批验签，但对不同的消息的签名没有进行一次验证而是进行多次验证。然后，在签名算法的基础上实现协商协议，只需一轮即可完成协商过程，基于随机预言模型在k-BDHE假设下可证安全。

上述协议虽然在性能和安全性上做的较为全面，但只是静态的协议，设计时没有考虑用户动态的增加和减少的情况。因此Zhang等[41]针对前期提出的协议设计一种认证非对称群组密钥协商协议，通过系统建立、认证、密钥建立、加密密钥派生、解密密钥派生、加密和解密七个过程对协议的具体过程进行阐述，协商只需要一轮，不需要所有参与的用户同时在线，定性分析了协议满足的安全属性，对不同阶段进行仿真实验证明性能良好。最后，对基本协议进行扩展，协议不但可以用来进行广播加密，用户也可以动态的加入或退出协议，还可以选择消息的接受者，实现真正意义上的动态密钥协商协议。此后，Wei等[42]根据Zhang协议，提出一种CL-AAGKA(certificateless authenticated asymmetric group key agreement)，通过将无证书公钥加密机制引入AAGKA，突破了基于IBC机制实现的AAGKA协议的密钥托管限制；通过系统建立、基本私钥提取、设置秘密值、设置密钥、设置公钥、加入、离开、布告板初始化、群组公钥派生、群组私钥派生、加密和解密十二个多项式时间算法构建协议；引入信任等级概念，实现信任等级第三级的基于PKI的AAGKA协议而没有复杂的证书管理压力；通过布告板的使用来实现用户动态的加入与离开；缺点是没有在RO模型或标准模型下形式化敌手模型并证明协议的安全性。

在保密性需求较高的环境中，不但需要考虑动态性，也需要保证用户身份的隐私性。张等[43]提出一种一轮密钥协商协议，适用于大型跨时区的分布式协同计算环境、多域间的群组密钥协商；该协议采用可认证技术，抵抗主动攻击；而且实现匿名密钥协商，采用盲密钥注册方案，每个域都有自己的认证中心，各成员用自己的身份在各自的域认证机构进行盲注册，认证中心也有自己的公私钥对，实现对用户的认证；并支持动态群组密钥更新，采用单个群组成员更换密钥因子实现群组密钥的动态更新，以便群组成员的退出及新成员的加入。陈等[44]基于无证书密码体制提出一种较张等的协议性能更优越的群密钥协商协议，不但支持群成员动态变化，也实现了对用户身份的保密。

4 比 较

4.1 双方会话密钥协商协议对比

表1将双方会话密钥协商协议在计算开销和交互轮数方面进行比较，表2在安全属性、安全模型以及基于的数学困难问题方面进行比较，相关符号如表3所示。基于离散对数的协议因未使用双线性对，计算开销较小，但满足的安全属性较少，且大多未形式化证明协议的安全性，整体安全性较差，例如DH协议，仅需要两次幂运算，但并不能实现完美前向安全性等安全属性。又如在Ghoreishi等[18]提出的协议中，虽然只运用了少量的乘法运算，但并没有实现未知密钥共享、抵抗密钥值偏移攻击等安全性，因为其协商过程缺少认证，其计算量自然就降低。攻击者可以篡改其参数值，那么安全属性就得不到保障。在基于双线性对的协议虽然计算开销较大，但在安全性方面做得较好，大都运用可证明安全理论证明协议的安全性(文献[4-5,12,23,25])，实现多数安全属性，例如王等[4]提出的第二种协议，虽然需要双线性对运算和多次乘法和幂运算，但其在标准模型下证明协议满足多种安全性，例如其无会话密钥托管性是利用双线性对的性质以及CDH困难问题来逆向证明实现的；又如高志刚等[5]提出的两种协议，从表中可以看到其需要对运算、乘法及幂运算，但也满足多种安全属性，在协议安全模型中，攻击者具有获取用户私钥、获取会话密钥和篡改协议的传输消息等多种能力，在该安全模型下证明协议的安全性后就可以知道协议满足已知会话密钥安全性、未知密钥共享安全性和抵抗密钥泄露伪装攻击等，同时协议采用消息认证码算法增加了密钥确认过程，相应地也增加了协议的运算量。

表1 双方会话密钥协商协议性能比较

表2 双方会话密钥协商协议安全属性比较

续表2

表3 相关符号定义

4.2 群组密钥协商协议对比

表4、表5将群组会话密钥协商协议在计算性能和安全方面进行对比。对比发现，群组密钥协商协议计算开销较大时，一般其满足的安全属性也较多，并形式化证明安全性，以计算代价换取协议的高安全性。例如张等[43]提出的协议，双线性对和乘法的运算量与群成员的数量成正比，运算量随着群成员数量增加而线性增长，计算开销极大。但协议的安全性确实得到了保障，每个群成员需要利用双线性对的性质验证成员的身份信息以及密钥的一致性，同时盲密钥注册方案保证了成员身份的匿名性，这些都相应增加了计算成本。又如Wu等[38]提出的群密钥交换协议，双线性对、乘法、加法、幂运算数量都与群成员数量线性相关，计算开销大，但其每收到一轮信息，均会进行相应的验证工作以达到主动监测恶意攻击者的目的，因此其计算开销必然增加。当协议的对运算、求幂运算等运算次数较少时，实现的安全属性也相应较少，以牺牲协议的安全换取较高的效率。例如Shi[29]等提出的基于身份的一轮群密钥协商协议，当用户的长期私钥泄露时，攻击者可以根据多个群成员的私钥计算出会话密钥，且一旦攻击者篡改消息，用户没有相应的验证机制来检测篡改消息，同时协议没有克服基于身份的协议的固有的会话密钥托管的缺陷，从而可以看出设计简单的协议是以安全性为代价换来的计算开销的降低。

表4 群组会话密钥协商协议性能比较

表5 群组会话密钥协商协议安全属性比较

5 结 语

会话密钥协商协议近年来取得迅速发展，在双方会话密钥协商协议的研究中，基于双线性对的密钥协商协议因其在安全性方面取得的良好性质，适用于保密通信等安全需求较高，但对效率性能的要求较为普通的环境中；不使用双线性对的会话密钥协商协议，因其简单实用的设计，在效率性能方面具有突出的表现，在对实时性要求较高而对安全性的需求不高的环境中较为适用。在群组会话密钥协商协议中，对称群组密钥协商协议与非对称群组密钥协商协议因为使用的技术手段不同，各自的效率性能与安全性也都不尽相同，在不同的环境中需要根据实际的情况进行选择应用，对称群密钥协商协议允许组内成员安全地通信，可以应用于视频会议、网络电话、文件共享等，非对称群组密钥协商协议不但能够提供组内加密通信，而且能够提供广播功能，只有合法用户才可以解密，能够在分布式环境、云环境系统中提供广播式加密服务。

在协议的设计过程中，不但需要其充足的复杂度来抵抗攻击，而且要有足够的实用性经济性来真正实现应用，因此需要在设计协议之初就考虑协议需要满足的一些设计原则和目标。

(1) 明确协议需要满足的安全属性。在最开始设计协议时，应当根据协议的设计目的明确协议需要满足的安全属性，虽然满足尽可能多的安全属性是我们设计协议的重要追求，但也需要满足相关性能方面的要求，符合实际环境。

(2) 降低计算复杂度。在构造协议时，要尽可能地降低计算的复杂度，减少复杂的密码运算的数量，节约计算资源，这样既可以在计算能力充足的环境下使用，又可以在资源受限的环境中部署，增加协议的适用性。

(3) 降低通信复杂度。设计协议时，通信参与者互相传递的信息需要尽可能简单，数量要少，这样攻击者获取的信息量就少，降低了会话密钥被破解的风险，同时也降低了通信开销，节省资源。

(4) 减少安全假设数量。在设计协议前，设计者往往需要对协议使用环境进行安全评估，做出适量的安全假设。例如第三方的参与是否为可信的，通信参与者是否可信等，安全假设的数量越多，那么协议的安全性越差，因此需要减少安全假设的数量，提高协议的安全性。

明确设计原则和目标是首要步骤，之后再设计协议，虽然现有的协议在不断地进步发展，但设计新协议时在效率性能、安全性分析、应用与新技术等方向仍然有待更深入研究。

(1) 协议效率性能方面：在设计协议时必须考虑计算开销、通信开销和安全性，在保证安全性的同时，实现高效快速与符合实际需求是会话密钥协商协议必须考虑的问题。分析并改进现有的方案、结合不同密码体制下高效的协议，对设计满足实际需求的高效、安全协议具有重要促进作用，现有的协议在效率性能方面仍然有提升的空间，如何实现更多的安全属性同时降低计算与通信开销是现在会话密钥协商协议主要的研究方向之一。

(2) 协议安全分析方面：通过建立各种会话密钥协商协议在现代密码学意义上安全的概念，运用可证明安全理论，设计更加高效、更加安全的协议，特别是在标准模型下证明协议的安全性是另一个主要的研究方向，虽然现有的协议或者在随机预言机模型下或者在标准模型下可证安全，但设计更加安全高效且可证安全的协议仍然十分重要。

(3) 协议应用领域方面：会话密钥协商协议特点突出，已经在分布式系统、云计算等许多方向广泛应用。对会话密钥协商协议的新应用领域的不断创新和探索是一个值得关注与研究的重要方向。

(4) 新技术结合方面：随着新技术新方向的不断出现，将会话密钥协商协议与新的技术结合以实现新的更高目标。例如将会话密钥协商协议与区块链技术结合以实现去中心化，到达不需要可信第三方参与的目标。

参考文献

[1] Sun H M, He B Z, Chen C M, et al. A provable authenticated group key agreement protocol for mobile environment[J]. Information Sciences, 2015, 321:224-237.

[2] Luo M, Zhang Y, Khan M K, et al. An efficient chaos-based 2-party key agreement protocol with provable security: Two-party Key Agreement Protocol[J]. International Journal of Communication Systems, 2017, 30(14):e3288.

[3] Xu D, Zhang S, Chen J, et al. A provably secure anonymous mutual authentication scheme with key agreement for SIP using ECC[J]. Peer-to-Peer Networking and Applications, 2017(1):1-11.

[4] 王圣宝, 曹珍富, 董晓蕾. 标准模型下可证安全的身份基认证密钥协商协议[J]. 计算机学报, 2007, 30(10):1842-1852.

[5] 高志刚, 冯登国. 高效的标准模型下基于身份认证密钥协商协议[J]. 软件学报, 2011, 22(5):1031-1040.

[6] Hölbl M, Welzer T, Brumen B. An improved two-party identity-based authenticated key agreement protocol using pairings[J]. Journal of Computer & System Sciences, 2012, 78(1):142-150.

[7] Bellare M, Rogaway P. Random oracles are practical[C]// The 1st ACM Conference on Computer and Communication Security. New York: ACM Press, 1993:62-73.

[8] Xie M, Wang L. One-round identity-based key exchange with Perfect Forward Security[J]. Information Processing Letters, 2012, 112(14-15):587-591.

[9] Cao X, Kou W, Du X. A pairing-free identity-based authenticated key agreement protocol with minimal message exchanges[J]. Information Sciences, 2010, 180(15):2895-2903.

[10] Canetti R, Goldreich O, Halevi S. The random oracle methodology, revisited (preliminary version)[J]. Journal of the Acm, 2000, 51(4):557-594.

[11] 高海英. 可证明安全的基于身份的认证密钥协商协议[J]. 计算机研究与发展, 2012, 49(8):1685-1689.

[12] 陈明. 标准模型下可托管的基于身份认证密钥协商[J]. 电子学报, 2015, 43(10):1954-1962.

[13] Diffie W, Hellman M E. New directions in cryptography[J]. IEEE Transactions on Information Theory, 1976, 22 (6):644-654.

[14] Shamir A. Identity-based cryptosystems and signature schemes[C]// Proceedings of the C RYPTO′84, Lecture Notes in Computer Science 196. Berlin: Springer-Verlag, 1984:47-53.

[15] Islam S H, Biswas G P. An improved pairing-free identity-based authenticated key agreement protocol based on ECC[J]. Procedia Engineering, 2012, 30(4):499-507.

[16] Galindo D, Garcia F D. A Schnorr-Like Lightweight Identity-Based Signature Scheme[C]// Progress in Cryptology-AFRICACRYPT 2009, Second International Conference on Cryptology in Africa, Gammarth, Tunisia, June 21-25, 2009. Proceedings. 2009:135-148.

[17] Ran C, Krawczyk H. Analysis of Key-Exchange Protocols and Their Use for Building Secure Channels[J]. Lecture Notes in Computer Science, 2001, 2045:453-474.

[18] Ghoreishi S M, Abd Razak S, Isnin I F, et al. New secure identity-based and certificateless authenticated Key Agreement protocols without pairings[C]// Biometrics and Security Technologies (ISBAST), 2014 International Symposium on. IEEE, 2015:188-192.

[19] Ghoreishi S M, Isnin I F, Abd Razak S, et al. Secure and authenticated key agreement protocol with minimal complexity of operations in the context of identity-based cryptosystems[C]// International Conference on Computer, Communications, and Control Technology. IEEE, 2015.

[20] Smart N P. Identity-based authenticated key agreement protocol based on Weil pairing[J]. Electronics Letters, 2002, 38(13):630-632.

[21] Boneh D, Franklin M K. Identity-Based Encryption from the Weil Pairing[C]// International Cryptology Conference on Advances in Cryptology. Springer-Verlag, 2001:213-229.

[22] Shim K. Efficient ID-based authenticated key agreement protocol based on Weil pairing[J]. Electronics Letters, 2003, 39(8):653-654.

[23] Mccullagh N, Barreto P S L M. A new two-party identity-based authenticated key agreement[C]// International Conference on Topics in Cryptology. Springer-Verlag, 2005:262-274.

[24] Gentry C. Practical identity-based encryption without random oracles[J]. Lecture Notes in Computer Science, 2006, 4004:445-464.

[25] Liu Z H, Ma H. New two-party identity-based authenticated key agreement protocol without random oracles[C]//Proceedings of the 4th International Conference on Information Security and Cryptology.Beijing:Science Press,2009.78-91.

[26] Chen L, Cheng Z, Smart N P. Identity-based key agreement protocols from pairings[J]. International Journal of Information Security, 2003, 20(4):219-233.

[27] 李娜, 董云卫, 车天伟,等. 可认证无证书密钥协商协议研究与改进[J]. 武汉大学学报(工学版), 2017, 50(1):146-149.

[28] Zhang F, Liu S, Kim K. ID-based one round authenticated tripartite key agreement protocol with pairings[DB]. 2002, oai:CiteSeerX.psu:10.1.1.79.2509.

[29] Shi Y, Chen G, Li J. ID-based one round authenticated group key agreement protocol with bilinear pairings[C]// International Conference on Information Technology: Coding and Computing. 2005,1:757-761.

[30] He Y Z, Han Z. An Efficient authenticated group key agreement protocol[C]//Proc of the 41st Annual IEEE Int Carnahan Conf on Security Technology. Piscataway, NJ: IEEE,2007:250-254.

[31] Yao G, Wang H, Jiang Q. An authenticated 3-round identity-based group key agreement protocol[C]// International Conference on Availability. IEEE Computer Society, 2008:538-543.

[32] Yuan W, Hu L, Li H, et al. Analysis of an Authenticated 3-Round Identity-Based Group Key Agreement Protocol[M]// Computer, Informatics, Cybernetics and Applications. Springer Netherlands, 2012:889-896.

[33] Zhou L, Susilo W, Mu Y. Efficient ID-Based authenticated group key agreement from bilinear pairings[C]// Mobile Ad-hoc and Sensor Networks, Second International Conference, MSN 2006, Hong Kong, China, December 13-15, 2006, Proceedings. 2006:521-532.

[34] Teng J K, Wu C K, Tang C M, et al. A strongly secure identity-based authenticated group key exchange protocol[J]. Science China Information Sciences, 2015, 58(9):1-12.

[35] Zhao J J, Gu D W, Gorantla M C. Stronger security model of group key agreement[C]// Proceedings of 6th ACM Symposium on Information, Computer and Communications Security, Hongkong, 2011:435-440.

[36] 陈勇, 何明星, 曾晟珂,等. 两轮次的可否认的群密钥协商协议[J]. 密码学报, 2016, 3(2):137-146.

[37] Teng J K, Wu C K, Tang C M. An ID-based authenticated dynamic group key agreement with optimal round[J]. Science China Information Sciences, 2012, 55(11):2542-2554.

[38] Wu T Y, Tsai T T, Tseng Y M. A provably secure revocable ID-based authenticated group key exchange protocol with identifying malicious participants[J]. Informatica, 2014, 2014(3):29-42.

[39] Wu Q, Mu Y, Susilo W, et al. Asymmetric group key agreement[C]// Advances in Cryptology - EUROCRYPT 2009, International Conference on the Theory and Applications of Cryptographic Techniques, Cologne, Germany, April 26-30, 2009. Proceedings. 2009:153-170.

[40] Zhang L, Wu Q, Qin B, et al. Identity-Based authenticated asymmetric group key agreement protocol[J]. Journal of Computer Research & Development, 2014, 6196(19):510-519.

[41] Zhang L, Wu Q, Qin B, et al. Asymmetric group key agreement protocol for open networks and its application to broadcast encryption[J]. Computer Networks, 2011, 55(15):3246-3255.

[41] Wei G, Yang X, Shao J. Efficient certificateless authenticated asymmetric group key agreement protocol[J]. Ksii Transactions on Internet & Information Systems, 2012, 6(12):3352-3365.

[43] 张启坤, 王锐芳, 谭毓安. 基于身份的可认证非对称群组密钥协商协议[J]. 计算机研究与发展, 2014, 51(8):1727-1738.

[44] 陈若昕, 陈杰, 张跃宇,等. 无证书非对称群密钥协商协议[J]. 密码学报, 2016, 3(4):382-398.