浅谈无可信第三方的身份认证协议

定轧制带来了很大困扰。
误信号，1880 程序中轧制力变化率方式采用的是程序在 4 个扫描周期
事后从 ODG（ 在线数据采集系统） 分析，咬钢信号的不准确直接导 内轧制力差值的平均值大于一个门槛值（ 2） ，即认为机架咬钢。 计算公
致了活套设备的异常动作（ 提前或滞后抬起） 。 文章主要从咬钢信号的 式如下：
c.由（ 1） 、（ 2） 和随机数验证规则 R2：
{B|≡# （ Na，Nb，B，Fab） ，B|≡A|~（ Na，Nb，B，Fab） }/{B|≡A|≡（ Na，Nb，
B，Fab） }，
可得：B|≡A|≡（ Na，Nb，B，Fab）
（ 3）
即：B 相信 A 相信消息{Na，Nb，B，Fab}的真实性。
N-2：倒数第 3 个扫描周期采集的轧制力
反应 2# 活套起大套，前几块通过手动干预轧机速度，勉强将活套角度
N-3：倒数第 4 个扫描周期采集的轧制力
拉回，但轧制到第 3 块时 2# 活套起套严重，废钢。 咬钢信号的产生应该
每个扫描周期：5m（s 咬钢信号产生点在高速的 STC 模块中）
是轧制力达到一定门槛值所产生的， 但从 ODG 曲线看，F3 轧制力反馈
现象，造成带钢批量轧破。 后通过观察 ODG 曲线发现，活套 抬起的时刻点与咬钢信号产生的时刻点完全吻合， 但问题
表 1 咬钢信号产生方式门槛值
就出在各机架轧制力反馈信号所产生的时刻点比咬钢信号
产生时刻点提前很多，且越到后机架越明显，两个信号之间


相差的时刻点越远，与表 1 中的情况刚好相反。 由此可以看
引言 随着移动互联网的飞速发展，各种互联网服务给人们带来了便 利，其安全问题也成为一个社会关注的焦点。 身份认证是确保网络 应用安全的第一道关卡， 已成为当前信息安全领域的研究热点之 一。 根据协议中可信第三方的参与情况，可以将身份认证协议分为 有可信第三方的和无可信第三方的两大类[1]。 在 有可信第三方的身 份认证协议中，协议的交互需要借助可信的第三方来认证用户的身 份，通常需要用户在第三方处进行相关的信息注册，可信第三方与 每个用户都分别有共享的秘密信息。 在无可信第三方的身份认证协 议中，双方进行身份认证不需要可信第三方的参与，仅通过交换消 息便可进行实体认证，协议执行中用于加密消息的密钥需要保存在 双方本地。 如果使用对称加密体制，需要各用户之间存在共享的密 钥。 文章着重研究的无服务器密钥建立协议，是一种非常典型的无 可信第三方身份认证协议，协议双方不利用服务器而直接完成双向 认证并成功交换密钥。 ISO/IEC 11770-2 密钥建立协议[2]是其中的典 型，一共定义了 13 种密钥建立机制，前 6 种密钥建立机制不需要可 信第三方的参与。 文章重点对其第 6 种密钥建立机制进行深入的分 析， 运用 BAN 逻辑对其进行严谨的形式化分析， 发现其存在 的 缺 陷，并提出相应的改进方案。 1 ISO/IEC 11770-2 密钥建立机制 6 ISO/IEC 11770-2 密钥建立机制 6 使用对称加密体制， 涉及两 个主体 A 和 B，均拥有长期共享的密钥 Kab，通过引入随机 数 来保 持 信息的新鲜性，具体过程如图 1 所示。
Nb
{Na,Nb,B,Fab}Kab
A
B
{Na,Nb,B,Fba}Kab
图 1 ISO/IEC 11770-2 密钥建立机制 6 （ 1） B→A：Nb B 向 A 发出通信请求，发送随机数 Nb。 （ 2） A→B：{Na，Nb，B，Fab}Kab A 收到来自 B 的请 求 后 ， 用 与 B 长 期 共 享 的 密 钥 Kab 加 密 消 息{Na，Nb，B，Fab}发 送 给 B，其 中 随 机 数 Na、 Nb 用以标识该会话信息的新鲜性 ，B 为身份区分标识符， 密钥材料 Fab 用来后继生成会话密钥 K。 （ 3） B→A：{Nb，Na，Fba}Kab B 将收到的消息解密，通过核对随机数 Nb 和 身 份 标 识 B 确 认 这 是 与 A 之 间 的 会 话 ， 然 后 用 密 钥 Kab 将 { Nb，Na，Fba}加密后发送给 A，其中密钥材料 Fba 用来生成会话密钥 K。 通过上述 3 个步骤，会话双方 A 和 B 能够确认对方身份，并生 成新的会话密钥 K=F（ Fab，Fba） ，A 和 B 能借助 K 建立新的安全会话。
同理，可推导出安全目标 G1：A|≡Fba。
* 基金项目：海南省自然科学基金（20156250， 614231）
- 57 -
科技创新与应用 2016 年第 10 期
科技创新
1880 精轧机咬钢信号的研究与优化
谢 捷 周兴泽 （ 宝山钢铁股份有限公司热轧厂，上海 201941）
摘 要：在热连轧机组中，精轧机咬钢信号的成功建立对于带钢头部的顺利穿带以及整块带钢的稳定轧制都起着至关重要的作 用。 咬钢信号的准确性还关系到活套、导板、机架间冷却水等的动作时序，一旦出错精轧机架内的整个轧制过程将被打乱，造成废 钢及设备损坏等严重后果。 随着产品规格的不断拓展，对于如何产生和判断咬钢信号也提出了更高的要求。 因此，文章从 L1 控制 角度出发，对咬钢信号的产生方式进行研究，并分析了前期由于咬钢误信号而导致的精轧机架间废钢原因，提出了改进方案，实 施后现场实际效果良好。 关键词：咬钢信号；稳定穿带；绝对值咬钢信号；变化率咬钢信号
表 1 是各个机架使用的咬钢信号产生方式门槛值。
信号的产生的时刻点比 F3 咬钢信号产生的时刻点足足晚了 150ms，由
按照一般的常理思考， 在实际的轧钢过程中无论选择绝对值信号
此可以看出该咬钢信号是一个假信号。 又因为 2# 活套的抬起时刻点是 产生方式还是选择变化率信号产生方式应该都有很高的可靠性， 可以
Q 相信消息（ X，Y） ，则 P 相信 Q 相信 X。
（ 4） 管辖规则 R4：（ P|≡Q|=>X，P|≡Q|≡X）（/ P|≡X） ，如果 P 相信
Q 对 X 具有管辖权，而且 P 相信 Q 相信 X，那么 P 就相信 X。
（ 5） 新鲜性规则 R5：{P|≡#（ X） }/{P|≡#（ X，Y） }，表 示若 P 相 信消
息 X 是新鲜的，则 P 相信消息（ X，Y） 也是新鲜的。
2.2 协议的形式化分析
（ 1） 协议的形式化描述
主体 A 和 B 之间主要通过以下三步完成认证：
1.B→A：Nb；2.A→B：{Na，Nb，B，Fab}Kab；3.B→A：{Nb，Na，Fba}Kab （ 2） 初始假设
A、B 相信彼此间的共享密钥 Kab：P1：A|≡A B；P2：B|≡A B； A、B 相 信 各 自 发 送 随 机 数 的 新 鲜 性 ：P3：A|≡# （ Na） ；P4：B|≡# （ Nb） ； A、B 相信彼此对密钥材料具有控制权：P5：A|≡B|=>Fba；P6：B|≡ A|=>Fab。
d.由（ 3） 和信仰规则 R3：
{B|≡A|≡（ Na，Nb，B，Fab） }（/ B|≡A|≡Fab） ，
可 得 ：B|≡A|≡Fab
（ 4）
即：B 相信 A 相信密钥材料 Fab。
e.由（ 4） 、初始假设 P6 和管辖规则 R4：
（ B|≡A|=>Fab，B|≡A|≡Fab）（/ R|≡P） ，可 得 ：B|≡Fab，表 示 B 信 任 收到的密钥材料 Fab，安全目标 G2 得证。
可得：B|≡A|~（ Na，Nb，B，Fab）
（ 1）
即：B 相信 A 曾发送过消息{Na，Nb，B，Fab}。
b.根据初始假设 P4 与消息新鲜性规则 R5：
{B|≡#（ Nb） }/{B|≡#（ Na，Nb，B，Fab） }，
可得：B|≡#（ Na，Nb，B，Fab）
（ 2）
即：B 相信消息{Na，Nb，B，Fab}的新鲜性。
（ 3） 协议的安全目标
A、B 相信对方传来的密钥材料 Fba 和 Fab：G1来自百度文库A|≡Fba；G2：B|≡Fab （ 4） 形式化分析过程
a.当 B△{Na，Nb，B，Fab}Kab 时，根 据初始假设 P2 和消 息含 义 规则 R1：
（ B|≡A B，B△{Na，Nb，B，Fab}Kab） /{B|≡A|~（ Na，Nb，B，Fab） }，
根据 F3 咬钢信号的产生时刻点所同步动作的，因此活套设备的动作提 任意选择。 但事实上并非如此，主要原因有以下几点：
前发生，导致活套起大套。
（ 1） 当轧制来料很薄的带钢时，后机架有预埋轧制力，此时机架的
1.2.2 咬钢信号滞后产生
上辊和下辊已经接触产生好几百吨的力， 这个力甚至已经超过了咬钢
2013 年 8 月 30 日下午 14 点 15 分， 操作工反应活套有滞后抬起 信号门槛值，此时，当带钢真正咬钢时，门槛值信号就不能产生。 因此，
表 1 BAN 逻辑的基本语义
2 ISO/IEC 11770-2 密钥建立机制 6 的形式化分析
2.1 BAN 逻辑简介
目前广泛使用的安全协议形式化分析方法是基于知识和信念
的形式逻辑分析法[3]，其中最有影响力的是 BAN 逻辑[4]。 BAN 逻辑是
一种基于信念的模态逻辑， 其目标是认证参与协议的主体的身份，
科技创新
2016 年第 10 期 科技创新与应用
浅谈无可信第三方的身份认证协议 *
丁 洁 林志阳 沈荻帆 （ 海南大学 信息科学技术学院，海南 海口 570228）
摘 要：以 ISO/IEC 11770-2 密钥建立机制为例，对无可信第三方的身份认证协议进行研究，进行严格的形式化分析和安全性能 分析，发现其在不可否认性方面存在一定的缺陷，并提出了改进的方案，进一步增强了协议的安全性能。 关键词：无可信第三方；身份认证；形式化分析
（ 2） 随机 数验 证 规则 R2：{P|≡#（ X） ，P|≡Q|~X}（/ P|≡Q|≡X） ，表
示若 P 相信消息 X 是新鲜的，且 P 相信 Q 曾发送过 X，那么 P 就相
信 Q 是相信 X 的。
（ 3） 信仰规则 R3：{P|≡Q|≡（ X，Y） }（/ P|≡Q|≡X） ，表示若 P 相信
产生原理出发，找到异常原因，同时提出改进方案，杜绝类似事故的再 次发生。
[N
；
(
N
；
3)]；
3
； [( 10
N
；1)
；
(N
；
2)]
/
0.005
；
门
槛
值
（ 2）
1.2 曲线分析
N：最近一个扫描周期采集的轧制力
1.2.1 咬钢信号提前产生
N-1：倒数第 2 个扫描周期采集的轧制力
2010 年 8 月 25 日 15 点 03 分，在轧制试验产品磁轭钢时，操作工
分析协议能否达到预定的目标，其基本语句及其含义如表 1 所示。
BAN 逻辑的主要推理规则如下：
（ 1） 消 息 含 义 规 则 R1：（ P|≡Q P， P△{X}K）（/ P|≡Q|~X） ，表
示若 P 相信 K 为 P、Q 间的共享密钥，且 P 收到过信息{X}K ，那么 P
就相信 Q 曾发送过信息 X。
1 问题点提出
2.1 产生条件
1.1 背景描述
1880 热轧精轧机采用“ 轧制力绝对值或变化率方式”产生咬钢信
1880 热轧投产至今已接近四年，由于该产线是一条致力于轧制精 号。
品硅钢及高强钢的热轧产线，因此带钢之间的特性差异区别很大，这就
轧制力绝对值方式：轧制力大于一个门槛值（ 1） 即认为机架咬钢。
给精轧机架间的咬钢信号判断方式带来很大困扰。 开工初期就发生过 计算公式如下：
在硅钢轧制时由于咬钢信号门槛值设定太高导致信号没有产生而造成
N>门槛值
（ 1）
的废钢事件。 近期，随着产品规格及品种的不断拓展，又相继发生精轧
轧制力变化率方式：通常情况下，变化率方式是指程序在 2 个扫描
机咬钢信号产生时刻不准确导致的废钢或异常事件， 给整条轧线的稳 周期的轧制力差值大于一个值，即认为机架咬钢。 考虑到轧制力波动的






出，咬钢信号产生的时刻点又是一个假信号。 2 咬钢信号原理分析



至 此 ，ISO/IEC 11770-2 密 钥 建 立 机 制 6 的 形 式 化 分 析 结 果 表 明，认证主体 A 和 B 可以实现相互之间的双向认证，可以通过密钥 派 生函 数 得到 新 的会 话 密 钥 K=F（ Fab，Fba） ，并 能 借 此 建 立 新 的 安 全 会话，达到预期的目标。