易 通,李學(xué)寶，陳宏朝

(1.廣西師范大學(xué)計(jì)算機(jī)科學(xué)與信息工程學(xué)院,廣西 桂林 541004;2.包頭師范學(xué)院信息科學(xué)與技術(shù)學(xué)院,內(nèi)蒙古 包頭 014030)

1 引言

兩方密鑰交換協(xié)議[1]能夠使通信雙方以臨時(shí)協(xié)商的方式得到一把會(huì)話密鑰，但是由于它并不適合于有大量通信用戶的系統(tǒng)，一個(gè)可信的第三方服務(wù)器隨即被加入到協(xié)議中，通信雙方在服務(wù)器的幫助下生成臨時(shí)會(huì)話密鑰以達(dá)到安全通信的目的，這就是三方密鑰交換協(xié)議[2，3]。近幾年，一系列的三方密鑰交換協(xié)議陸續(xù)被提出，2007年，Lu R X等人[4]提出了一個(gè)簡(jiǎn)單高效的三方密鑰交換協(xié)議，但隨后Chung H R等人[5]指出該協(xié)議容易受到假冒攻擊和中間人攻擊，Kim H S等人[6]也指出該協(xié)議容易受到不可察覺的在線字典攻擊，并都提出了相應(yīng)的改進(jìn)協(xié)議。然而這兩個(gè)改進(jìn)協(xié)議仍被Hu Xue-xian等人[7]發(fā)現(xiàn)是不安全的，因?yàn)樗鼈兌紵o法抵御不可察覺在線字典攻擊。2008年，Liu X M等人[8]提出了一個(gè)基于驗(yàn)證元的三方密鑰交換協(xié)議，但不能抵抗內(nèi)部人攻擊﹑服務(wù)器密鑰泄露攻擊和重放攻擊等安全威脅。2010年，Wen Tang等人[9]和Lv Chao等人[10]分別提出了兩個(gè)高效的基于口令的三方密鑰交換協(xié)議。但是，Lv Chao等人的協(xié)議計(jì)算量過大，協(xié)議需要多達(dá)6輪才能執(zhí)行一遍，且該協(xié)議無法抵御離線字典攻擊。同年，Zhang Zi-jian等人[11]也提出了一個(gè)基于驗(yàn)證元的3PAKE協(xié)議，在該協(xié)議中，通信雙方先分別與服務(wù)器協(xié)商好一把臨時(shí)密鑰，再用各自的臨時(shí)密鑰在服務(wù)器的幫助下最終生成會(huì)話密鑰。但是，該協(xié)議無法抵御服務(wù)器密鑰泄露攻擊，且計(jì)算開銷也過大。2012年，我們提出了一個(gè)基于雙驗(yàn)證元的三方密鑰交換協(xié)議[12],該協(xié)議具有較高的效率，僅需兩輪就能生成四把會(huì)話密鑰。但是，通過后面的研究卻發(fā)現(xiàn)，該協(xié)議不能抵御服務(wù)器密鑰泄露攻擊、不可測(cè)的字典攻擊，且缺少了前向安全性。本文在該協(xié)議的基礎(chǔ)上進(jìn)行了改進(jìn)，在效率沒有降低多少的前提下，引入雙線性對(duì)的性質(zhì)，大大增強(qiáng)了協(xié)議的安全性能，并通過安全性分析證明了該協(xié)議能夠抵御包括服務(wù)器密鑰泄露攻擊在內(nèi)的各種已知攻擊。

2 文獻(xiàn)[12]協(xié)議的描述與安全性分析

我們之前提出過一個(gè)高效的基于雙驗(yàn)證元的三方密鑰交換協(xié)議，下面先對(duì)這個(gè)協(xié)議進(jìn)行簡(jiǎn)要的回顧。

2.1 文獻(xiàn)[12]協(xié)議描述

首先介紹該協(xié)議所用到的參數(shù)：H1、H2、H3分別為哈希函數(shù)，P是q階循環(huán)加群G的生成元，F(xiàn)是偽隨機(jī)函數(shù)集，A、B分別為內(nèi)部用戶，S是服務(wù)器。A、B分別都有兩個(gè)獨(dú)立的口令：PWA1、PWA2和PWB1、PWB2，令XA1=H1(A,S,PWA1),XA2=H1(A,S,PWA2),XB1=H1(B,S,PWB1),XB2=H1(B,S,PWB2)。A、B的驗(yàn)證元分別為：YA1=XA1P,YA2=XA2P和YB1=XB1P,YB2=XB2P。其中，{PWA1,PWA2，XA1，XA2}和{PWB1，PWB2，XB1，XB2}分別為用戶A、B所獨(dú)有，{YA1，YA2}和{YB1，YB2}則分別為A和S，B和S所共有。假設(shè)A要和B建立會(huì)話密鑰，過程如下：

2.2 對(duì)文獻(xiàn)[12]的攻擊方法

(1)服務(wù)器密鑰泄露攻擊。

(2)不可預(yù)測(cè)的字典攻擊。

(3)缺少前向安全性。

若敵手E得到了用戶B的兩個(gè)口令PWB1、PWB2，他可以通過以前截獲S發(fā)給B的消息{VSB1,VSB2,ZSB,A}來恢復(fù)以前通信所用的四把會(huì)話密鑰KB1=H1(B,S,PWB1)VSB1,KB2=H1(B,S,PWB1)VSB2,KB3=H1(B,S,PWB2)VSB1,KB4=H1(B,S,PWB2)VSB2。因此，只要有一個(gè)用戶的口令遭到了泄露，之前的通信內(nèi)容無法確保是安全的，該協(xié)議缺少了前向安全性。

3 本文協(xié)議

為了克服之前協(xié)議的安全隱患，本文引入雙線性對(duì)性質(zhì)，在執(zhí)行輪數(shù)仍為兩輪、計(jì)算開銷并未增加多少的前提下，大大提高了該協(xié)議的安全性，尤其是很好地解決了如何防御服務(wù)器密鑰泄露攻擊的問題。通過安全性分析證明，該協(xié)議能夠抵御其他各種已知的攻擊。下面先簡(jiǎn)要介紹本文協(xié)議所用到的各個(gè)參數(shù)：

A、B：合法用戶。

S：可信的第三方服務(wù)器。

H1、H2、H3：三個(gè)單向散列函數(shù)。

G:q階有限循環(huán)群。

G1:q階的有限循環(huán)加群。

G2:有限循環(huán)乘群。

Q、P:Q是G的生成元，P是G1的生成元。

PWA1、PWA2:用戶A的口令，令XA1=H1(A,S,PWA1),XA2=H1(A,S,PWA2)，PWA1、PWA2、XA1、XA2均為用戶A所獨(dú)有。

PWB1、PWB2:用戶B的口令，令XB1=H1(B,S,PWB1),XB2=H1(B,S,PWB2)、PWB1、PWB2、XB1、XB2均為用戶B所獨(dú)有。

YA1、YA2:為用戶A的兩個(gè)驗(yàn)證元，YA1=XA1P,YA2=XA2P，為A和S所共有。

YB1、YB2:為用戶B的兩個(gè)驗(yàn)證元，YB1=XB1P,YB2=XB2P，為B和S所共有。

s:服務(wù)器S的私鑰。

WS、WA、WB:三個(gè)公開參數(shù)，其中WS=sP,WA=PWA1P,WB=PWB1P。

Step2、Step2～代表這兩個(gè)步驟并無先后關(guān)系，假設(shè)A要和B進(jìn)行會(huì)話，具體步驟如圖1所示。

A、B收到各自的消息后，開始計(jì)算會(huì)話密鑰：

4 安全性分析

有同類型協(xié)議相比，該協(xié)議能夠更好地防御服務(wù)器密鑰泄露攻擊。

(2)在線字典攻擊。若敵手E要猜測(cè)用戶A(會(huì)話發(fā)起者)的口令，無法通過第二輪里S對(duì)A身份的驗(yàn)證，當(dāng)驗(yàn)證失敗次數(shù)達(dá)到一個(gè)預(yù)設(shè)值后，S就會(huì)知道哪個(gè)用戶的口令正被作為口令猜測(cè)攻擊的目標(biāo)，可以采取相應(yīng)措施；若E本身就是一個(gè)合法用戶，想要猜測(cè)用戶B(會(huì)話響應(yīng)者)的口令，因?yàn)樵诘仁終A i=KB i(i=1,2,3,4)中，存在兩個(gè)未知數(shù)b和PWB i(i=1,2,3,4),所以不可預(yù)測(cè)的口令攻擊失敗。同樣道理，可預(yù)測(cè)的在線字典攻擊也是不可行的。

(3)離線字典攻擊。若敵手E想從傳遞的消息VAS、ZAS、ZSB中猜測(cè)出合法用戶的口令或驗(yàn)證元，但這些參數(shù)中都包含有兩個(gè)或兩個(gè)以上的未知數(shù)，因此本協(xié)議能夠很好地抵御離線字典攻擊。

(4)完善的前向安全性。如果敵手E得到了A(會(huì)話發(fā)起者)的口令和驗(yàn)證元：PWA1、PWA2、YA1、YA2，A每次計(jì)算會(huì)話密鑰時(shí)都會(huì)重新取一個(gè)隨機(jī)數(shù)a，因此E無法從A這里恢復(fù)之前的會(huì)話密鑰；如果敵手E得到了B(會(huì)話響應(yīng)者)的口令和驗(yàn)證元：PWB1、PWB2、YB1、YB2，B每次生成會(huì)話密鑰也會(huì)重新取隨機(jī)數(shù)b,E要得到b就必須解決離散對(duì)數(shù)問題，因此也無法從B這里獲悉之前的通信內(nèi)容，所以該協(xié)議具有完美的前向安全性。

ASBRound 1VAS=aQ+YA1+YA2ZAS=H2(VAS,A,B,YA1,YA2){VAS,ZAS,A,B,t}→{aP,A,t}→Round2ZAS=?H2VAS,A,B,YA1,YA2 VBA1=bYB1QVAB1=(VAS-YA1-YA2)YA1VBA2=bYB2QVAB2=(VAS- YA1-YA2)YA2SKSB=tYB1ESB=e(WB,sH3(A,B))ZSB=H2(VAB1,VAB2,YB1,YB2,SKSB,ESB) {VAB1,VAB2, ZSB}→EBA= e(aP,PWB1H3(A,B))ZBA=H2(VBA1, VBA2,EBA)←{VBA1, VBA2, ZBA}EAB=e(WB,aH3(A,B))EBS=eWS,PWB1H3A,B ZBA=?H2(VBA1,VBA2,EAB)ZSB=?H2VAB1,VAB2,YB1,YB2,tYB1,EBS KA1=aXA1VBA1KB1=bXB1VAB1KA2=aXA2VBA1KB2=bXB1 VAB2

(5)未知密鑰共享和內(nèi)部人攻擊。如果敵手E通過腐化等方式得到了用戶C的口令和驗(yàn)證元PWC1、PWC2、YC1、YC2，或者E本身就是合法用戶，若想假冒A(會(huì)話發(fā)起者)與B進(jìn)行通信，無法通過第二輪里服務(wù)器S對(duì)A身份的驗(yàn)證；若想假冒B(會(huì)話響應(yīng)者)與用戶A通信，由于不知道B的口令PWB1,因此無法通過第二輪里A對(duì)B身份的驗(yàn)證。因此，該協(xié)議能夠防御未知密鑰共享和內(nèi)部人攻擊。

(6)重放攻擊。因?yàn)橛行迈r標(biāo)識(shí)符t，因此E若給A、B、S中的任何一方重放以前的舊消息，則無法通過A、B、S各自的驗(yàn)證，因此重放攻擊不可行。

(7)已知密鑰安全。因?yàn)槊看螀f(xié)商會(huì)話密鑰時(shí)，通信雙方都會(huì)各取一個(gè)隨機(jī)數(shù)參與到會(huì)話密鑰的計(jì)算中，因此即使敵手得到了一次通信的會(huì)話密鑰，也無助于他破解其他通信的會(huì)話密鑰，每一次的會(huì)話密鑰之間具有獨(dú)立性，因此該協(xié)議具有已知密鑰安全性。

(8)無密鑰控制。在本協(xié)議中，最終生成的會(huì)話密鑰都是A、B各自取的隨機(jī)數(shù)共同構(gòu)造而成，通信雙方中的任何一方都不能強(qiáng)迫會(huì)話密鑰選擇一個(gè)預(yù)先定義的值，通信雙方對(duì)會(huì)話密鑰的產(chǎn)生都有貢獻(xiàn)，因此單方面不能控制密鑰的生成。

(9)中間人攻擊。如果敵手E模仿A與S對(duì)話，由于不知道A的驗(yàn)證元，所以無法通過S在第二輪里的驗(yàn)證；如果敵手E模仿服務(wù)器S與B對(duì)話，由于不知道服務(wù)器S的私鑰和B的驗(yàn)證元，因此無法通過B在第二輪里的驗(yàn)證；如果敵手E模仿B與A進(jìn)行通話，由于不知道B的口令PWB1,所以無法通過A在第二輪里的驗(yàn)證。故本文協(xié)議能夠抵御中間人攻擊。

5 效率分析

Table 1 Comparison of efficiency among protocols表1 各協(xié)議的效率比較

由效率分析可知，本文協(xié)議的計(jì)算效率遠(yuǎn)高于文獻(xiàn)[8]協(xié)議的效率，雖然比之前提出的協(xié)議(文獻(xiàn)[12]協(xié)議)消耗稍高，但是與之相比，安全性能得到了很大的增強(qiáng)。

6 結(jié)束語

本文在之前提出的一個(gè)三方密鑰交換協(xié)議的基礎(chǔ)上提出了一個(gè)新的基于驗(yàn)證元的三方密鑰交換協(xié)議，與之前的協(xié)議相比，本文協(xié)議具有更強(qiáng)的安全性，通過安全性分析證明其能夠抵御各種已知攻擊。本文協(xié)議運(yùn)行一次就能生成四把不同的會(huì)話密鑰，尤其適用于通信雙方頻繁通信的網(wǎng)絡(luò)環(huán)境，且與現(xiàn)有大多數(shù)同類協(xié)議相比，具有很高的效率。

[1] Bellovin S M,Merritt M.Encrypted key exchange:Password-based protocols secure against dictionary attacks[C]∥Proc of the 1992 IEEE Symposium on Research in Security and Privacy,1992:72-84.

[2] Abdalla M,Chevassut O,Fouque P A,et al.A simple threshold authenticated key exchange from short secrets[C]∥Proc of Asiacrypt’05, 2005:566-584.

[3] Kwon J O, Jeong I R, Sakurai K, et al. Efficient verifier-based password-authenticated key exchange in the three-party setting[J]. Computer Standards and Interfaces, 2007,29(5):513-520.

[4] Lu R X, Cao Z F . Simple three-party key exchange protocol[J]. Computer Security, 2007,26(1):94-97.

[5] Chung H R, Ku W C. Three weaknesses in a simple three-party key exchange protocol [J]. Information Science, 2008,178(1):220-229.

[6] Kim H S, Choi J Y. Enhanced password-based simple three-party key exchange protocol[J] . Computer Electrical Engineering, 2009,35(1):107-114.

[7] Hu Xue-xian, Liu Wen-fen. Cryptanalysis of two three-party password-based authentication key exchange protocols[J]. Journal of Information Engineering University,2010,11(1):104-128.(in Chinese)

[8] Liu X M， Zhou F C， Chang G R. Improved key exchange protocol for three-party based on verifier authentication[J].Journal of Southeast University(English Edition)， 2008， 24(3)： 322-324.

[9] Wen Tang.A simple three party password based key exchange protocol[C]∥Proc of International Conference on Mechanical and Electrical Technology (ICMET’10), 2010:730-732.

[10] Lv Chao,Ma Mao-de,Li Hui, et al. An efficient three-party authenticated key exchange protocol with one-time key[C]∥Proc of INFOCOM IEEE Conference on Computer Communications Workshops, 2010:1-5.

[11] Zhang Zi-jian, Zhang Qi-jian. Verifier-based password authenticated key exchange protocol via elliptic curve[C]∥Proc of International Conference on Information Theory and Information Security (ICITIS’10),2010:407-410.

[12] Yi Tong, Chen Hong-chao, Wu Dai-lin. Two password-authenticated key exchange protocol for three:Safety analysis and improvement[J]. Computer Engineering and Design,2012,33(12):4482-4486.(in Chinese)

附中文參考文獻(xiàn)：

[7] 胡學(xué)先，劉文芬.對(duì)兩個(gè)三方口令認(rèn)證密鑰交換協(xié)議的分析[J].信息工程大學(xué)學(xué)報(bào)，2010,11(1):104-128.

[12] 易通，陳宏朝，吳戴林.兩個(gè)三方密鑰交換協(xié)議的安全性分析與改進(jìn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2012,33(12):4482-4486.