摘 要：移動邊緣計(jì)算的快速發(fā)展推動了對新型安全技術(shù)的研究。認(rèn)證密鑰協(xié)商協(xié)議作為保障安全通信的重要方法之一，得到了廣泛的關(guān)注，但現(xiàn)有的面向移動邊緣計(jì)算的認(rèn)證密鑰協(xié)商協(xié)議并不能很好地同時(shí)滿足移動邊緣計(jì)算的安全性和性能需求。針對這一問題，提出了移動邊緣計(jì)算場景下的認(rèn)證密鑰協(xié)商協(xié)議。首先，協(xié)議方案根據(jù)移動用戶和邊緣計(jì)算服務(wù)器的身份構(gòu)建身份認(rèn)證的憑證，雙方通過該憑證完成相互認(rèn)證并構(gòu)建會話密鑰，保證了通信安全；其次，通過形式化分析和非形式化分析證明了方案具有良好的安全性能；最后，由于所提方案避免使用包括雙線性對在內(nèi)的計(jì)算開銷較大的密碼學(xué)運(yùn)算，在計(jì)算和通信開銷方面的表現(xiàn)也較優(yōu)。

內(nèi)容目錄：

1 預(yù)備知識
1.1 ElGamal 數(shù)字簽名
1.2 困難問題假設(shè)
1.3 安全模型
2 面向 MEC 的認(rèn)證密鑰協(xié)商協(xié)議
2.1 系統(tǒng)初始化
2.2 注冊階段
3 安全性分析
3.1 形式化分析
3.2非形式化分析
4 性能評估
4.1 通信開銷分析
4.2 計(jì)算開銷分析
5 結(jié)  語    

物聯(lián)網(wǎng)和 5G 技術(shù)的迅猛發(fā)展使得接入互聯(lián)網(wǎng)的終端設(shè)備數(shù)量快速增長，這些海量終端設(shè)備的網(wǎng)絡(luò)服務(wù)需求也隨之增長。在為終端設(shè)備提供服務(wù)的過程中，經(jīng)常需要將設(shè)備中的數(shù)據(jù)傳輸?shù)皆粕?，再由云?jì)算中心進(jìn)行處理，以提供相應(yīng)的服務(wù)。在數(shù)據(jù)傳輸?shù)倪^程中，涉及用戶隱私的敏感數(shù)據(jù)易出現(xiàn)數(shù)據(jù)泄露的問題，同時(shí)數(shù)據(jù)上云處理的方式并不能很好地滿足對響應(yīng)時(shí)長要求較高的設(shè)備服務(wù)需求。

移動邊緣計(jì)算（Mobile Edge Computing，MEC）在某種程度上解決了上述問題，它將傳統(tǒng)的計(jì)算密集型任務(wù)遷移到位于網(wǎng)絡(luò)邊緣的服務(wù)器上，降低了服務(wù)的響應(yīng)時(shí)延，大大降低了移動業(yè)務(wù)交付的服務(wù)時(shí)間。在圖 1 所示的架構(gòu)中，移動設(shè)備不僅是數(shù)據(jù)消費(fèi)者，而且是數(shù)據(jù)生產(chǎn)者，且邊緣計(jì)算服務(wù)器有足夠的能力對數(shù)據(jù)進(jìn)行本地處理，并不需要直接將數(shù)據(jù)傳輸至云計(jì)算中心，在一定程度上可以降低敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。然而，在將數(shù)據(jù)外包給 MEC服務(wù)器的過程中，身份認(rèn)證是一個(gè)重要的安全問題。首先，相較于傳統(tǒng)的云計(jì)算，MEC 中的邊緣節(jié)點(diǎn)和終端設(shè)備更靠近用戶側(cè)，因而更易遭受惡意攻擊，并且由于終端設(shè)備大多資源受限，計(jì)算和存儲能力不支持進(jìn)行大規(guī)模的密碼學(xué)操作，這對 MEC 中的身份認(rèn)證提出了更高的要求；其次，隨著計(jì)算資源遷移至邊緣計(jì)算服務(wù)器，MEC 對數(shù)據(jù)處理的實(shí)時(shí)性需求也有所提高，這就要求方案在保證數(shù)據(jù)安全的同時(shí)不影響數(shù)據(jù)處理的效率。因此，需要設(shè)計(jì)一種保障移動設(shè)備和邊緣服務(wù)器之間，安全高效通信的認(rèn)證密鑰協(xié)商協(xié)議。

圖 1 MEC 架構(gòu)

由于移動邊緣計(jì)算中網(wǎng)絡(luò)環(huán)境復(fù)雜，通信過面臨多種潛在的安全威脅，認(rèn)證密鑰協(xié)商協(xié)議的應(yīng)用與移動邊緣計(jì)算的安全性防護(hù)息息相關(guān)。近年來，學(xué)者們提出了多種面向移動邊緣計(jì)算的認(rèn)證方案與密鑰協(xié)商方案。2016 年，Irshad 等人為移動邊緣計(jì)算環(huán)境下的多服務(wù)器場景設(shè)計(jì)了一個(gè)身份認(rèn)證方案，Xiong 等人 發(fā)現(xiàn)文獻(xiàn) [1] 中缺少用戶注冊和撤銷功能，同時(shí)他們提出了一種改進(jìn)的基于橢圓曲線的認(rèn)證方案。Tsai 和 Lo 等人 使用雙線性對和動態(tài)隨機(jī)數(shù)為分布式移動計(jì)算環(huán)境設(shè)計(jì)了一種高效的認(rèn)證方案，并指出該方案能夠提供用戶匿名性和不可追蹤性，但 Jiang 等人 指出該方案因易遭到服務(wù)商仿冒攻擊而沒有實(shí)現(xiàn)雙向認(rèn)證，此外，他們還指出該方案存在諸如生物密鑰誤用、無用戶撤銷機(jī)制在內(nèi)的一系列安全缺陷，并給出了相應(yīng)的建議以規(guī)避在協(xié)議設(shè)計(jì)中出現(xiàn)類似的問題。2020 年，Jia等人基于邊 - 端架構(gòu)設(shè)計(jì)了一個(gè)基于身份的移動邊緣計(jì)算匿名身份認(rèn)證方案，該方案提供了隱私保護(hù)功能，但 Rakeei 等人指出 Jia 等人的方案并不能抵抗用戶仿冒攻擊和臨時(shí)秘密信息泄露攻擊，隨后他們提出了一個(gè)具有雙向認(rèn)證等諸多安全屬性在內(nèi)的改進(jìn)方案。然而由于使用了雙線性對，他們的方案和 Jia 等人 的方案一樣，并不適用于部分性能受限的物聯(lián)網(wǎng)終端設(shè)備。作為構(gòu)建保密通信的方向之一，密鑰協(xié)商協(xié)議常常與認(rèn)證協(xié)議相伴相生，也得到了深入的研究。Li 等人[8]在指出 Jia 等人的方案不能提供前向安全性和用戶匿名性后，考慮到 MEC 的實(shí)時(shí)性和輕量化要求，為輕量化設(shè)備設(shè)計(jì)了一個(gè)匿名的基于身份的密鑰協(xié)商方案，并指出該方案能夠提供完美的前向安全性等安全屬性。然而，在經(jīng)過仔細(xì)的分析后，Shamshad 等人 發(fā)現(xiàn)該方案并不能抵抗 MEC 服務(wù)器仿冒攻擊和用戶仿冒攻擊。在這之后，Xu 等人 為移動邊緣計(jì)算設(shè)計(jì)了一個(gè)不需要可信第三方參與的輕量化認(rèn)證密鑰協(xié)商方案，并在隨機(jī)諭言機(jī)模型下證明了其安全性，但經(jīng)過筆者分析，他們的方案并沒有實(shí)現(xiàn)用戶的匿名性，同樣也存在文獻(xiàn) [7] 中提到的雙線性對問題。

總之，現(xiàn)有的面向移動邊緣計(jì)算的認(rèn)證密鑰協(xié)商協(xié)議要么沒有考慮移動邊緣計(jì)算架構(gòu)的特點(diǎn)，要么存在安全性不足的題，迫切需要研究滿足移動邊緣計(jì)算的安全性要求的認(rèn)證密鑰協(xié)商協(xié)議。本文基于移動用戶和邊緣服務(wù)器的身份信息，結(jié)合 MEC 的架構(gòu)特點(diǎn)提出了一個(gè)面向移動邊緣計(jì)算的認(rèn)證密鑰協(xié)商協(xié)議（Identity-Based Mobile EdgeComputing Authentication and Key Agreement,ID MECAKA）。ID-MECAKA 在認(rèn)證的過程中對可信第三方進(jìn)行了離線處理，從而避免了可信第三方遭腐化帶來的安全隱患；在密鑰協(xié)商的過程中，隱藏了終端設(shè)備用戶的身份信息，從而為移動用戶提供了匿名性保護(hù)。此外，由于沒有采用計(jì)算復(fù)雜的雙線性配對技術(shù)，該方案更適用于資源受限的移動邊緣計(jì)算場景。

1 預(yù)備知識

本節(jié)主要介紹文章中需要用到的相關(guān)概念和基礎(chǔ)知識，主要包括 ElGamal 簽名和困難問題假設(shè)。

1.1 ElGamal 數(shù)字簽名

ElGamal 數(shù)字簽名算法最早由 Elgamal 于 1985 年提出，經(jīng)過多年的發(fā)展，到現(xiàn)在仍然是應(yīng)用最為廣泛的簽名方案之一，也常用于基于身份的密碼協(xié)議中。該方案的安全性依賴于有限域上的離散對數(shù)問題。ElGamal 數(shù)字簽名算法的流程具體如下文所述。

（1）在簽名和驗(yàn)簽之前需先由可信中心選擇安全的大素?cái)?shù) p 和的一個(gè)生成元 g，并公布 p和 g 作為系統(tǒng)參數(shù)。

（2）消息發(fā)送方選擇一個(gè)隨機(jī)數(shù)作為自己的私鑰，計(jì)算對應(yīng)的公鑰當(dāng)消息發(fā)送方需要對消息 m 進(jìn)行簽名時(shí)，需要先選擇一個(gè)隨機(jī)數(shù)計(jì)算和其對消息 m 的簽名即為 (m,r,s)。

（3） 消 息 接 收 方 收 到 (m,r,s) 后， 通 過 驗(yàn) 證對消息 m 的合法性進(jìn)行認(rèn)證。

1.2　困難問題假設(shè)

本文提出的 ID-MECAKA 協(xié)議的安全性建立在相關(guān)數(shù)學(xué)困難問題的基礎(chǔ)上，下面簡要對數(shù)學(xué)困難問題進(jìn)行介紹。

定義 1：橢圓曲線上的離散對數(shù)問題（Elliptic Curve Discrete Logarithm Problem, ECDLP）。設(shè) G 為定義在橢圓曲線上的有限循環(huán)群，給定元素P,Q∈G，在多項(xiàng)式時(shí)間內(nèi)求解使得 Q=x×P 成立是困難的。

定 義 2：橢 圓 曲 線 上 的 Diffie-Hellman 問 題（Elliptic Curve Diffie-Hellman Problem，ECDHP）。設(shè) G 為 定 義 在 橢 圓 曲 線 上 的 循 環(huán) 群， 給 定 元 素上的未知元素），在多項(xiàng)式時(shí)間內(nèi)計(jì)算出 abP ∈ G 是困難的。

1.3　安全模型

本小節(jié)參考文獻(xiàn) [6] 對 ID-MECAKA 進(jìn)行建模，并給出相應(yīng)的安全性定義。

敵手 A 是一個(gè)主動性攻擊者，即概率多項(xiàng)式時(shí)間的 A 擁有控制所有用戶間網(wǎng)絡(luò)通信的能力，可以對消息進(jìn)行竊聽、刪除、修改、延遲發(fā)送等操作，對網(wǎng)絡(luò)通信具有完全的控制能力。敵手 A 通過給諭言機(jī)提交不同的質(zhì)詢并獲得響應(yīng)，進(jìn)而獲取有用的信息，具體質(zhì)詢?nèi)缦挛乃觥?/span>

（1）H(m)：當(dāng) A 向哈希諭言機(jī)發(fā)起消息 m 的當(dāng)前質(zhì)詢，諭言機(jī)首先判斷 m 是否已經(jīng)被詢問過，如果已經(jīng)被詢問過，返回與之前相同的值，否則選擇隨機(jī)數(shù) r，并將其作為返回值。

（2）Extract(ID)：當(dāng) A 向諭言機(jī)發(fā)起當(dāng)前質(zhì)詢，諭言機(jī)返回身份標(biāo)識符 ID 所對應(yīng)的長期私鑰。

（3）該查詢表示對協(xié)議 P 進(jìn)行初始化。

（4）該查詢模擬主動攻擊。當(dāng) A 攔截一條消息且偽造消息 Msg 后，向諭言機(jī)發(fā)起當(dāng)前質(zhì)詢，諭言機(jī)根據(jù)協(xié)議返回相應(yīng)的響應(yīng)消息。

（5）該查詢模擬被動攻擊。通過這個(gè)查詢，敵手 A 可以獲得協(xié)議運(yùn)行過程中實(shí)例和實(shí)例之間的通信記錄。

（6）此查詢模擬 A獲取實(shí)例持有的會話密鑰。如果實(shí)例已生成會話密鑰 sk，且和其伙伴未被執(zhí)行 Test 查詢，則向 A 輸出 sk，否則向 A 輸出⊥。

（7）此查詢用于評估 P 的會話密鑰語義安全性。對于實(shí)例如果該實(shí)例在會話結(jié)束后沒有生成會話密鑰，那么返回?zé)o定義的符號⊥；否則將執(zhí)行擲幣操作以生成隨機(jī)比特 b。如果拋幣結(jié)果是 1，則預(yù)言機(jī)返回實(shí)例的真實(shí)會話密鑰；如果拋幣結(jié)果是 0，那么返回一個(gè)與會話密鑰長度相同的隨機(jī)字符串。因此，在執(zhí)行 Test查詢之后，A 需要猜測自己獲得的結(jié)果是否為真實(shí)的會話密鑰。這個(gè)查詢只對“新鮮的”會話執(zhí)行一次，對“非新鮮的”會話無效。

定義 3：新鮮性（freshness）。設(shè)是由兩個(gè)誠實(shí)的用戶運(yùn)行且已經(jīng)完成的會話。如果以下條件都成立，則稱是新鮮的。

（1）敵手未對進(jìn)行 Extract(ID) 查詢。

（2）敵手未對進(jìn)行 Reveal() 查詢。

定義 4：AKA 安全性。設(shè) Succ(A) 表示敵手 A對一些新接受的實(shí)例進(jìn)行查詢，并將其作為猜測位與 Test() 查詢所選擇的位 b 相對照。敵手破壞協(xié)議 P 的語義安全優(yōu)勢表現(xiàn)為：

如果對于任何敵手 A，其優(yōu)勢可以忽略不計(jì)，則 ID-MECAKA 實(shí)現(xiàn) AKA 安全。

2 面向 MEC 的認(rèn)證密鑰協(xié)商協(xié)議

ID-MECAKA 協(xié)議包括系統(tǒng)初始化階段、注冊階段、認(rèn)證密鑰協(xié)商階段，參與實(shí)體包括移動用戶、MEC 服務(wù)器及注冊中心（Register Center，RC），如圖 2 所示。在系統(tǒng)初始化階段，注冊中心 RC 生成并發(fā)布系統(tǒng)參數(shù)；在注冊階段，移動用戶和 MEC服務(wù)器向注冊中心發(fā)起注冊請求，RC 分別完成對移動用戶和 MEC 服務(wù)器的身份注冊并返回對應(yīng)的認(rèn)證憑證；在認(rèn)證密鑰協(xié)商階段，移動用戶向 MEC服務(wù)器發(fā)起認(rèn)證密鑰協(xié)商請求，MEC 服務(wù)器收到相關(guān)消息后對移動用戶的身份合法性進(jìn)行認(rèn)證、生成密鑰協(xié)商信息，并響應(yīng)用戶的請求。移動用戶收到響應(yīng)消息后對 MEC 服務(wù)器的身份進(jìn)行認(rèn)證，并基于 MEC 服務(wù)器發(fā)送的密鑰協(xié)商信息生成與 MEC 服務(wù)器一致的會話密鑰。

圖 2　系統(tǒng)模型

2.1　系統(tǒng)初始化

協(xié)議方案在開始執(zhí)行之前，需要由 RC 完成系統(tǒng)的初始化。

（1）給定安全參數(shù) λ，RC 生成橢圓曲線上的循環(huán)加法群 G，生成元為 P。

（2）選取隨機(jī)數(shù)作為系統(tǒng)主密鑰，計(jì)算對應(yīng)的公鑰

（3）選取兩個(gè)抗碰撞哈希函數(shù)

（4）公開系統(tǒng)安全參數(shù)：

2.2　注冊階段

在注冊階段，MEC 服務(wù)器和移動用戶分別向RC 發(fā)起注冊請求，注冊結(jié)束之后，雙方獲得各自的公私鑰對。注冊階段分為 MEC 服務(wù)器注冊和移動用戶注冊。

2.2.1 MEC 服務(wù)器注冊

MEC 服務(wù)器注冊過程分為兩步，如圖 3 所示。

圖 3 MEC 服務(wù)器注冊過程

（1）MEC 服務(wù)器將身份標(biāo)識發(fā)送給 RC。RC 收到注冊請求之后，首先檢查是否已經(jīng)包含在存儲列表的數(shù)據(jù)項(xiàng)中：若包含，則返回注冊失敗響應(yīng)，否則隨機(jī)選取計(jì)算 和然后把 IDS 加入存儲列表中，并將返回給 MEC 服務(wù)器。

（2）MEC 服務(wù)器收到后計(jì)算和并通過判斷兩者是否相等對公私鑰對的正確性進(jìn)行確認(rèn)，確認(rèn)通過后保存

2.2.2　移動用戶注冊

如圖 4 所示，移動用戶注冊過程分為三步：

圖 4　用戶注冊過程

（1）移動用戶首先選取隨機(jī)數(shù)

計(jì)算并 把發(fā) 給 RC 請求注冊。

（2）RC 收 到 注 冊 請 求 后， 首 先 檢 測 存 儲列表中是否包含數(shù)若 包 含， 則 返回注冊失敗請求；否則隨機(jī)選取計(jì)算和將添加進(jìn)存儲列表后把公私鑰對返回給

（3）收到后通過計(jì)算與是否相等來驗(yàn)證公私鑰對的正確性，并將其與一并存儲在移動設(shè)備中。

2.2.3　認(rèn)證密鑰協(xié)商階段

注冊成功后，移動用戶向 MEC 服務(wù)器發(fā)起認(rèn)證密鑰協(xié)商請求，MEC 服務(wù)器接收到請求后做出響應(yīng)，返回認(rèn)證密鑰協(xié)商響應(yīng)消息。在此過程中，移動用戶和 MEC 服務(wù)器分別對對方的身份合法性進(jìn)行認(rèn)證并協(xié)商一致的會話密鑰。認(rèn)證密鑰協(xié)商過程如圖 5 所示，具體描述如下。

圖 5　認(rèn)證和密鑰協(xié)商過程

（1） 移 動 用 戶 Ui 首先隨機(jī)選取臨時(shí)私鑰和隨機(jī)數(shù)計(jì)算 X=x×P 和 K=k×P，以 及和之后計(jì)算并把認(rèn)證密鑰協(xié)商請求消息發(fā)送給 MEC 服務(wù)器。

（2）MEC 服 務(wù) 器 接 收 到后，計(jì)算和之 后 MEC 通 過 驗(yàn) 證來實(shí)現(xiàn)對移動用戶的認(rèn)證。若不相等，則認(rèn)證不通過，終止會話；若相等，則移動用戶通過 MEC 的認(rèn)證。隨后 MEC服務(wù)器隨機(jī)選取臨時(shí)私鑰計(jì)算 Y=y×P，然 后，MEC 服 務(wù) 器 計(jì) 算和會話密鑰并將響應(yīng)消息返回給移動用戶

（3）接收到響應(yīng)消息后，計(jì)算并驗(yàn)證是否與相等。若不相等，則終止會話；若相等，接著計(jì)算和會話密鑰

３ 安全性分析

3.1　形式化分析

定理 1：設(shè)攻擊者 A 破壞用戶對服務(wù)器認(rèn)證的概率為ε ，敵手對 Send 和 Extract 諭言機(jī)至多分別進(jìn)行次詢問。則挑戰(zhàn)者解決 ECDL 問題的優(yōu)勢為：

證 明：在 初 始 化 階 段， 系 統(tǒng) 選 擇 隨 機(jī) 數(shù)計(jì)算 Q=s×P ∈ G，并發(fā)送給挑戰(zhàn)者不知道 s。隨后生成作為系統(tǒng)參數(shù)，并設(shè)置維護(hù) 4 個(gè)哈希列表：用于存儲隨機(jī)諭言機(jī)的輸出，用于存儲用戶信息，用于存儲通過 Extract 詢問獲得的私鑰，用于存儲交互的消息。A 選擇為目標(biāo)移動用戶。設(shè)A 分別對 Send 和 Extract 諭言機(jī)至多分別進(jìn)行和次詢問，詢問的結(jié)果如下：

根據(jù)假設(shè)，A 可以成功地偽裝成目標(biāo)用戶并生成有效的登錄請求消息。因此，A 發(fā)起對于用戶的查 詢 時(shí)， 將 會 通 過 驗(yàn)證。通過重復(fù)這個(gè)過程，可以獲得另一個(gè)有效的消息滿足如下等式：

式 中：

根據(jù)式（2）和式（3），可得：

進(jìn)一步可得：

式 中：為查 詢 的 響 應(yīng)。因 此，能夠輸出相當(dāng)于其可以解決 ECDL問題。

下面，本文給出的優(yōu)勢。首先考慮協(xié)議終止的 3 種情形。

（1）當(dāng)敵手 A 發(fā)起質(zhì)詢時(shí)，存在哈希碰撞，該碰撞的概率為

（2） 當(dāng) 敵 手 A 發(fā) 起質(zhì) 詢 時(shí)，這種情況發(fā)生的概率為

（3）當(dāng)敵手 A 發(fā)起質(zhì)詢時(shí)，發(fā)生的概率為

本文使用定義游戲不會被終止的情形，定義對于用戶對登錄請求消息的成功偽造，定義對身份的成功假冒，其中可以得到如下概率：

根據(jù)式（6）、式（7）和式（8），可以得到解決 ECDL 問題的優(yōu)勢

根據(jù)上述可知，C1 解決 ECDL 問題的優(yōu)勢為：

定理 2：假設(shè)攻擊者 A 打破服務(wù)器到用戶的認(rèn)

證的概率為敵手對 Send，Extract 和 H(m) 諭言機(jī)至多分別進(jìn)行次詢問。類似可證，則挑戰(zhàn)者解決 ECDL 問題的優(yōu)勢為：

定理 3：假設(shè)存在一個(gè)攻擊者 A 可以猜測正確的 b=b'，且概率ε 為不可忽略的，則存在挑戰(zhàn)者以不可忽略的優(yōu)勢解決 ECDH 問題。

證明：定義代表敵手 A 在 Test 詢問中獲得正確的會話密鑰的事件，分別表示和被成功詢問的事件，代表敵手 A 可以破壞用戶到服務(wù)器的認(rèn)證（服務(wù)器對用戶的認(rèn)證）的事件，代表敵手 A 可以破壞服務(wù)器到用戶的認(rèn)證（用戶對服務(wù)器的認(rèn)證）的事件。

根據(jù)定理 3 假設(shè)可知，可以通過如下計(jì)算得到：

進(jìn)一步：

由于和表示相同的事件，可以得到以不可忽略的優(yōu)勢解決 ECDH 問題的優(yōu)勢為：

表示敵手 A 可以偽裝成用戶并獲取正確的根據(jù)前面的描述，為 ECDH 問題的解。由定理 1 可知，是可忽略的，因此如果ε 是不可忽略的，則也是不可忽略的，證畢。

從上述證明可知，ID-MECAKA 協(xié)議實(shí)現(xiàn)了本文在 1.3 節(jié)定義的新鮮性和 AKA 安全。

3.2　非形式化分析

下面將通過對 ID-EMECAKA 協(xié)議進(jìn)行非形式化分析，證明協(xié)議具有的安全屬性，以及能抵抗的已知攻擊。

（1）用戶匿名性。在認(rèn)證密鑰協(xié)商階段，用戶 使用經(jīng)過隨機(jī)化的身份標(biāo)識 PIDU 與 MEC 服務(wù)器完成身份認(rèn)證，MEC 服務(wù)器無法根據(jù)已知信息推斷出其真實(shí)身份標(biāo)識。即除注冊中心能夠根據(jù)存儲列表檢索隨機(jī)化身份對應(yīng)的身份標(biāo)識外，其他人無法得知用戶的真實(shí)身份。因此，IDMECAKA 實(shí)現(xiàn)了用戶匿名性，可以提供用戶身份隱私保護(hù)。

（2）不可追蹤性。在每次通信時(shí)，移動用戶發(fā)送給 MEC 服務(wù)器，其中 K 為用戶為每次會話選取的臨時(shí)公鑰，在每次會話中均不一樣；的計(jì)算均有隨機(jī)數(shù)的參與，使得用戶每次發(fā)送的消息均動態(tài)變化，A 無法根據(jù)公開信道上傳輸?shù)南⒆粉櫟接脩?。同理，由于有隨機(jī)數(shù)參與計(jì)算，MEC 服務(wù)器發(fā)送給用戶的消息也是動態(tài)變化的，A 同樣無法根據(jù)公開信道上傳輸?shù)牟煌⒆粉櫟酵粋€(gè) MEC 服務(wù)器，保證了不可追蹤性。

（3） 前 向 安 全 性：根 據(jù) 圖 5 所 示 的 協(xié) 議描 述， 某 一 會 話 協(xié) 商 出 的 會 話 密 鑰 為當(dāng)移動用戶和 MEC 服務(wù)器的私鑰泄露后，A 可以根據(jù)公開信道上傳輸?shù)南?img alt="" height="24" src="https://static.racent.com/image/20240719/uUQENj1721371990." width="75" />和進(jìn)行相關(guān)的計(jì)算。但由于通信參與者各自擁有的臨時(shí)密鑰 x,y 未泄露，且在每次會話中動態(tài)變化。A 若想計(jì)算相應(yīng)的需解決 ECDH 問題，這在計(jì)算上是不可能的，從而保證了協(xié)議的完美前向安全性。

（4） 抗重放攻擊。公開信道上傳輸?shù)南?img alt="" height="29" src="https://static.racent.com/image/20240719/xyffl01721371990." width="130" />的計(jì)算中均有隨機(jī)數(shù)直接或者間接參與，接收方在收到發(fā)送方的消息后會對根據(jù)隨機(jī)數(shù)對消息的新鮮性進(jìn)行驗(yàn)證，從而檢測出重放的消息。

（5）抗假冒攻擊。要想達(dá)到假冒移動用戶的 目 的，A 必須生成一個(gè)有效的認(rèn)證請求消息但敵手無法獲取合法用戶的長期私鑰，即使其修改了臨時(shí)密鑰，也無法構(gòu)造正確的認(rèn)證請求消息通過 MEC 服務(wù)器的認(rèn)證。同理，A 也無法生成一個(gè)有效的認(rèn)證響應(yīng)消息通過用戶的身份認(rèn)證，以達(dá)到假冒 MEC 服務(wù)器的目的。故 IDMECAKA 協(xié)議可以抵抗假冒攻擊。

（6）抗已知密鑰攻擊。在會話密鑰生成的關(guān)鍵步驟和中，使用了隨機(jī)數(shù)，使得每次會話建立的會話密鑰互不相同且彼此之間沒有相關(guān)關(guān)系。即使敵手獲得某次會話的會話密鑰，也無法計(jì)算出其他會話使用的隨機(jī)數(shù)，繼而無法計(jì)算出其他會話密鑰，因而不會影響其他會話密鑰的安全性。因此，IDMECAKA 協(xié)議可以抵抗已知密鑰攻擊。

（7）無密鑰控制。2.3 節(jié)所述的 ID-MECAKA協(xié)議的會話密鑰是通過計(jì)算得到的。會話密鑰的計(jì)算均使用了發(fā)送方和接收方選擇的隨機(jī)數(shù)，任何一方都無法使用自己預(yù)先選擇的隨機(jī)數(shù)控制會話密鑰的生成。

4 性能評估

本節(jié)將 ID-MECAKA 協(xié)議與現(xiàn)有的面向移動邊緣計(jì)算的認(rèn)證密鑰協(xié)商方案進(jìn)行通信開銷和計(jì)算開銷對比，證明提出方案的綜合性能具有較大的優(yōu)勢。

4.1　通信開銷分析

為了方便進(jìn)行比較，令 |ID|，|H|，|G|，|Zp|，|T| 分別表示身份標(biāo)識、哈希值、橢圓曲線群 G 上元素和素?cái)?shù)的長度及時(shí)間戳的長度，并分別設(shè)置為256、256、160、1 024 和 32 bit。表 1 給出了本文所提方案與現(xiàn)有方案的通信開銷對比。從表中數(shù)據(jù)中可以看出，與近年來其他人的方案相比，本文提出的方案在通信長度和通信輪數(shù)上均具有明顯的通信優(yōu)勢。

表 1  通信開銷對比

4.2　計(jì)算開銷分析

根據(jù) He 等人 的研究，MEC 服務(wù)器和移動用戶執(zhí)行各密碼學(xué)運(yùn)算的時(shí)間如表 2 所示。

表 2  各密碼學(xué)運(yùn)算時(shí)間對比

由于協(xié)議的初始化階段和注冊階段在整個(gè)協(xié)議執(zhí)行過程中只執(zhí)行一次，認(rèn)證密鑰協(xié)商階段的運(yùn)行效率是影響協(xié)議執(zhí)行效率的主要因素，因此本文只比較各方案在認(rèn)證密鑰協(xié)商階段的計(jì)算開銷對比，對比結(jié)果如表 3 所示。

表 3  計(jì)算開銷對比 /ms

從表中可以看出，與其他現(xiàn)有的方案相比，本文提出的方案在 MEC 服務(wù)器端的計(jì)算開銷具有一定的優(yōu)勢。綜合考慮通信開銷和計(jì)算開銷，ID MECAKA 更加適合移動用戶資源受限的移動邊緣計(jì)算環(huán)境。

5 結(jié) 語

針對移動邊緣計(jì)算環(huán)境下部分移動用戶存在的終端設(shè)備計(jì)算和存儲資源受限、用戶身份隱私易泄露等問題，提出了移動邊緣計(jì)算場景下的基于身份的認(rèn)證密鑰協(xié)商協(xié)議。方案利用隨機(jī)化身份標(biāo)識實(shí)現(xiàn)了用戶的身份隱私保護(hù)；在密鑰協(xié)商的過程中對可信第三方進(jìn)行了離線處理，從而避免了可信中心遭到腐化而帶來的安全隱患；同時(shí)，在認(rèn)證密鑰協(xié)商過程中避免了使用計(jì)算開銷較大的雙線性對操作，減少了通信和計(jì)算開銷成本。通過非形式化分析，本文方案在安全性方面不僅能夠提供完美前行安全性、用戶匿名性等，而且能抵抗仿冒攻擊、重放攻擊、中間人攻擊等已知攻擊。本文提出的協(xié)議在性能方面也具有較優(yōu)的表現(xiàn)。但該方案并未能很好地滿足移動邊緣計(jì)算的跨域認(rèn)證密鑰協(xié)商需求，這也是未來的工作中重點(diǎn)研究的對象之一。

引用格式：葉文慧 , 王金花 , 張文政 , 等 . 移動邊緣計(jì)算場景下基于身份的安全認(rèn)證密鑰協(xié)商協(xié)議 [J]. 通信技術(shù) ,2024,57(4):400-408.
作者簡介 >>>
葉文慧，男，碩士研究生，主要研究方向?yàn)槊艽a協(xié)議；
王金花，女，碩士，助理工程師，主要研究方向?yàn)槊艽a協(xié)議；
張文政，男，碩士，正高級工程師，主要研究方向?yàn)槊艽a學(xué)、信息安全；
周  宇，男，博士，正高級工程師，主要研究方向?yàn)槊艽a學(xué)、密碼協(xié)議；
劉妍妍，女，博士，工程師，主要研究方向?yàn)槊艽a協(xié)議。
選自《通信技術(shù)》2024年第4期（為便于排版，已省去原文參考文獻(xiàn)）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識和信息。