項順伯，趙晶英，柯文德

（1.廣東石油化工學院 計算機與電子信息學院，廣東 茂名525000；2.廣東石油化工學院 機電工程學院，廣東 茂名525000）

兩方口令認證密鑰交換協(xié)議是服務(wù)器以用戶的口令或口令驗證值為認證信息去證實用戶的身份，從而在兩者間建立一個安全的會話密鑰.兩方口令認證密鑰交換協(xié)議存在諸多針對口令的攻擊，如服務(wù)器泄漏偽裝攻擊、字典攻擊等.因此，設(shè)計一個安全的口令認證密鑰交換協(xié)議是研究的難題.以口令驗證值為內(nèi)容的口令認證密鑰交換協(xié)議是近年來的研究熱點.閾下信道的概念是由Simmons首次提出的［1］，它是指在基于公鑰密碼機制的數(shù)字簽名、認證等密碼體制中建立起的一種隱秘信道，除發(fā)送者和指定的接收者外，任何人都不知道傳輸?shù)拿艽a數(shù)據(jù)內(nèi)容中是否存在閾下信息［2］.自從閾下信道提出后，學者對其進行了相關(guān)的研究.楊建萍等［3］基于閾下信道問題提出一種口令認證方案.Lee等［4］提出一種兩方口令認證密鑰交換協(xié)議PAKA－X，該協(xié)議基于口令驗證值問題，能抵御服務(wù)器泄漏偽裝攻擊.Kwon［5］提出一種一輪的基于驗證值的口令認證密鑰交換協(xié)議，并在理想哈希模型下證明了協(xié)議的安全性，該協(xié)議適用于傳輸層安全（TLS）的協(xié)議.粟栗等［6］提出一種改進的簽密方案，利用該方案設(shè)計了一個門限閾下信道方案.譚示崇等［7］提出一種改進的PAKA－X協(xié)議，但改進的協(xié)議實現(xiàn)過程復(fù)雜，計算量大.李文敏等［8］提出一種基于驗證值的三方口令認證密鑰交換協(xié)議.Pointcheval等［9］綜述了口令認證密鑰交換協(xié)議的通用構(gòu)造方法.Fujioka等［10］提出口令認證密鑰交換協(xié)議的GC協(xié)議的通用結(jié)構(gòu)，在CK＋模型下證明其安全性.HUANG等［11］提出了應(yīng)用于ad hoc網(wǎng)絡(luò)的帶有匿名門限閾下信道的多簽名方案.張應(yīng)輝等［12］研究了EDL簽名中的閾下信道封閉協(xié)議問題.張興愛等［13］研究了廣播多重簽名方案中閾下信道的封閉協(xié)議問題.本文基于閾下信道問題，以用戶的口令明文作為閾下信息，提出一種基于閾下信道的兩方口令認證密鑰交換協(xié)議.

1 基于閾下信道的兩方口令認證密鑰交換協(xié)議

基于閾下信道的兩方口令認證密鑰交換協(xié)議，簡稱PAKE.協(xié)議中，用戶U和服務(wù)器S組成一個系統(tǒng)，其交互流程圖，如圖1所示.協(xié)議由以下3個方面組成［3，5，9－10］.

1.1 系統(tǒng)建立

系統(tǒng)選擇大素數(shù)p，q，滿足q｜p－1，g是Zq＊的生成元，其階為q；系統(tǒng)選擇1個無碰撞的單向哈希函數(shù)H∶（0，1）＊－（0，1）1，公開參數(shù)p，q，g，H，l.用戶U選擇xU∈RZp＊作為其私鑰，計算公鑰yU＝gxUmodp，用戶U的身份標識符為IDU，U公開參數(shù)yU和IDU.

身份標識符為IDS的服務(wù)器S選擇私鑰xS∈RZ＊p，其公鑰yS＝gxSmodp，S公開參數(shù)yS和IDS.pw為用戶U的口令明文，U計算口令pw的驗證值v＝gH（IDU‖IDS‖pw），并通過秘密信道把v傳給服務(wù)器S保存.

圖1 PAKE的交互流程圖Fig.1 Interactive flow chart of PAKE

1.2 含有閾下信息簽名的產(chǎn)生

用戶U選擇a∈RZ＊q，計算c＝gamodp和t＝y(tǒng)aSmodp，計算r＝pw·g－tmodp，s＝a－xU·rmodp，則含有閾下信息的簽名為（c，r，s），用戶U向服務(wù)器S發(fā)送信息（c，r，s，IDU，IDS）.

服務(wù)器S收到用戶U的簽名消息后進行閾下信息的恢復(fù)，服務(wù)器通過其私鑰xS計算t′＝cxSmodp，再計算用戶的口令明文rpw＝r·gt′modp即可恢復(fù)出閾下信息.

1.3 會話密鑰的建立

服務(wù)器S通過恢復(fù)出的pw計算v′＝gH（IDU‖IDS‖pw），比較v和v′，若v≠v′，終止協(xié)議的執(zhí)行；否則實現(xiàn)對用戶身份的驗證.在證實用戶的身份后，服務(wù)器S選擇b∈RZ＊q，計算d＝gbmodp，e＝gabmodp，v″＝H（IDU‖IDS‖v‖d），S向用戶U發(fā)送消息（d，v″，IDU，IDS），并計算與用戶U的會話密鑰KSU＝H（IDU‖IDS‖v‖e）.

用戶U收到消息后，首先計算v?＝H（IDU‖IDS‖v‖d），如果v″≠v?，終止協(xié)議的執(zhí)行；否則，計算f＝gbamodp，并將計算出的KSU＝H（IDU‖IDS‖v‖f）作為其與服務(wù)器的會話密鑰.明顯，e＝gbamodp＝f，所以，用戶和服務(wù)器計算出的會話密鑰是一致的.

2 協(xié)議安全性分析

2.1 含有閾下信息簽名的安全性分析

2.1.1 含有閾下信息簽名的不可偽造性 因為只有合法用戶才擁有自己的口令明文，攻擊者沒有用戶的口令明文，無法偽造有效的簽名.假設(shè)攻擊者隨機選擇一個口令pw′，與用戶的口令pw相比，pw′≠pw，攻擊者選擇a∈RZ＊q，計算c′＝gamodp，t＝y(tǒng)aSmodp，r′＝pw′·g－tmodp，接著計算s′＝k－xU·r′modp，則含有閾下信息的偽造簽名為（c′，r′，s′）.

服務(wù)器S收到含有閾下信息的簽名消息后計算t′＝c′sS，然后計算出閾下信息，用戶的口令pw′＝r′·g－t′modp，接著服務(wù)器S計算v′＝H（IDU‖IDS‖pw′）.通過比較發(fā)現(xiàn)v≠v′，證實用戶的身份失敗，從而終止協(xié)議的執(zhí)行.因此，攻擊者無法針對合法用戶偽造出有效的簽名.

2.1.2 含有閾下信息簽名的公開可驗證性 PAKE中，任何人都可以通過獲得的公開信息去計算c＝gs·yrUmodp，以實現(xiàn)簽名有效性的驗證.因為gs·yrUmodp＝gk－xUr·gxUrmodp＝gamodp＝c，所以協(xié)議中閾下信息的簽名具有公開可驗證性.

2.2 前向安全性

PAKE中，前向安全性是指在某次會話過程中，即使攻擊者知道了用戶的口令明文pw，也無法計算該次會話之前的會話密鑰.因為每次會話中，服務(wù)器和用戶分別選擇的隨機數(shù)a和b都不完全相同，又因為離散對數(shù)困難問題，攻擊者無法從c＝gamodp和d＝gbmodp中分別計算出a和b，于是攻擊者無法計算出e＝gabmodp和f＝gbamodp，從而攻擊者無法計算出最終的會話密鑰KUS.所以，文中的PAKE是前向安全的.

2.3 抵御字典攻擊

字典攻擊是指攻擊者針對用戶的口令發(fā)起的攻擊，通過猜測和分析去獲得用戶的口令明文，字典攻擊可分為在線字典攻擊和離線字典攻擊兩種.在線字典攻擊是指攻擊者隨機選擇一個口令，通過截獲的公開信息偽裝成合法用戶與服務(wù)器會話，通過多次試探，從而猜測出用戶的口令.離線字典攻擊是指攻擊者通過分析截獲的公開會話信息，從中分析計算出用戶的口令明文.

2.3.1 抵御在線字典攻擊 假設(shè)攻擊者隨機1個口令pw′≠pw，通過截獲用戶的公開信息（c，r，s，IDU，IDS），偽造出另一組含有閾下信息的簽名（c，r′，s′，IDU，IDS）.其中：r′＝pw′·g－tmodp；s′＝kxU·r′modp.服務(wù)器收到該簽名信息后，通過計算恢復(fù)出閾下信息，即用戶口令明文pw′.接著，服務(wù)器計算用戶口令驗證值v′＝H（IDU‖IDS‖pw′），通過比較發(fā)現(xiàn)v′≠v，服務(wù)器認為用戶身份信息不安全，從而終止協(xié)議的執(zhí)行，攻擊者的在線字典攻擊無法成功.事實上，如果攻擊者嘗試該類攻擊，就陷入了簽名的偽造性.前文已經(jīng)分析過，文中PAKE簽名是不可偽造的，所以，文中的PAKE是能抵御在線字典攻擊的［8］.

2.3.2 抵御離線字典攻擊 文中的PAKE中，攻擊者無法實施離線字典攻擊，因為用戶和服務(wù)器會話過程中，僅r＝pw·g－tmodp和v″＝H（IDU‖IDS‖pw‖d）含有用戶的口令明文.由于r是閾下信息，攻擊者無計可施，又因哈希函數(shù)的特性，攻擊者無法選擇pw′，使得v″＝H（IDU‖IDS‖pw‖d）＝H（IDU‖IDS‖pw′‖d）.因此，PAKE能抵御離線字典攻擊.

2.4 抵御服務(wù)器泄漏偽裝攻擊

抵御服務(wù)器泄漏偽裝攻擊是指服務(wù)器遭受攻擊或惡意泄漏后，用戶的口令驗證值泄漏給攻擊者，攻擊者偽裝成合法用戶去登錄服務(wù)器.PAKE協(xié)議中，假設(shè)服務(wù)器存儲的用戶口令驗證值v＝H（IDU‖IDS‖pw）泄漏給攻擊者，由于哈希函數(shù)的特性，攻擊者無法獲得正確的口令明文，如果攻擊者偽裝成合法用戶去登錄服務(wù)器，必然隨機選擇一個口令pw′≠pw，然后偽造一個含有閾下信息的簽名（c′，r′，s′）.前文已經(jīng)分析過，PAKE中的簽名不可偽造，于是攻擊者的偽裝是不成功的.因此，文中的PAKE能抵御服務(wù)器泄漏偽裝攻擊.

3 協(xié)議運行效率分析

所提出的PAKE中，協(xié)議的主要計算體現(xiàn)在指數(shù)運算、點乘運算和哈希運算等上.用戶簽名的產(chǎn)生需要3次指數(shù)運算，2次點乘運算，服務(wù)器恢復(fù)閾下信息需要2次指數(shù)運算和1次點乘運算，省去了簽名驗證的大量運算.建立會話密鑰時，服務(wù)器只需2次指數(shù)運算和3次哈希函數(shù)的運算，用戶僅需1次點乘運算和2次哈希運算.

文獻［5］的協(xié)議用了9次指數(shù)運算，3次哈希運算，3次點乘運算，3次除運算，與文中的PAKE相比，計算量稍大一些.文獻［7］改進的協(xié)議中，指數(shù)運算有9次，哈希運算有10次，盡管沒有使用點乘運算，但用了4次異或運算.與文獻［7］的協(xié)議相比，文中協(xié)議計算量小，因而效率更高.

4 結(jié)束語

設(shè)計一個基于閾下信道問題的兩方口令認證的密鑰交換協(xié)議.協(xié)議利用服務(wù)器存儲用戶口令的驗證值，用戶發(fā)送含有口令閾下信息的簽名給服務(wù)器，服務(wù)器驗證簽名并通過恢復(fù)出的閾下信息實現(xiàn)對用戶身份的認證.通過分析可知：文中的協(xié)議避免了一些針對口令認證密鑰交換協(xié)議的攻擊，如服務(wù)器泄漏偽裝攻擊、字典攻擊等；同時，與其他協(xié)議比較，文中的協(xié)議所需計算量小，效率更好.文中的協(xié)議可以用于現(xiàn)有的用戶端／服務(wù)器（U／S）的環(huán)境中，從而實現(xiàn)服務(wù)器對用戶的身份認證及認證后的交互過程.

［1］SIMMONS G J.The prisoner′s problem and the subliminal channel［C］∥Proceedings IEEE Workshop Communica－tions Security CRYPTO.New York：［s.n.］，1983：51－67.

［2］SIMMONS G J.The history of subliminal channels［J］.IEEE Journal on Selected Areas in Communication，1998，16（4）：452－462.

［3］楊建萍，周賢偉，楊軍.基于閾下信道技術(shù)的身份認證機制研究［J］.微電子學與計算機，2004，21（12）：195－197.

［4］LEE S W，KIM W H，KIM H S，et al.Efficient password－based authenticated key agreement protocol［C］∥International Conference on Computer Science and Applications.Perugia：Springer－Verlag，2004：617－626.

［5］KWON J O，SAKURAI K，LEE D H.One－round protocol for two－party verifier－based password－authenticated key exchange［C］∥Communications and Multimedia Security.Heraklion：［s.n.］，2006：87－96.

［6］粟栗，崔國華，李俊，等.基于簽密的分布式安全門限閾下信道方案［J］.小型微型計算機系統(tǒng)，2007，28（12）：2153－2157.

［7］譚示崇，張寧，王育民.新的口令認證密鑰協(xié)商協(xié)議［J］.電子科技大學學報，2008，37（1）：17－19.

［8］李文敏，溫巧燕，張華.基于驗證元的三方口令認證密鑰交換協(xié)議［J］.通信學報，2008，29（10）：150－152.

［9］POINTCHEVAL D.Password－based authenticated key exchange［C］∥Proceedings of 15th IACR International Conference on Practice and Theory of Public－Key Cryptography.Darmstadt：Springer－Verlag，2012：390－397.

［10］FUJIOKA A，SUZUKI K，XAGAWA K，et al.Strongly secure authenticated key exchange from factoring，codes，and lattices［C］∥Proceedings of 15th IACR International Conference on Practice and Theory of Public－Key Cryptography.Darmstadt：Springer－Verlag，2012：467－484.

［11］HUANG Zhen－jie，CHEN Dan，WANG Yu－min.Multi－signature with anonymous threshold subliminal channel for ad－h(huán)oc environments［C］∥19th International Conference on Advanced Information Networking and Applications.Tamshui：IEEE Press，2005：67－71.

［12］張應(yīng)輝，馬華，王保倉.EDL簽名中可證明安全的閾下信道封閉協(xié)議［J］.計算機科學，2010，37（9）：72－74.

［13］張興愛，張應(yīng)輝，史來婧.廣播多重簽名方案中閾下信道的封閉協(xié)議［J］.計算機工程，2011，37（22）：102－104.