潘 恒，鄭秋生

（1.河南省計算機信息系統(tǒng)安全評估工程實驗室，河南 鄭州450007；2.中原工學(xué)院 計算機學(xué)院，河南 鄭州450007）

0 引 言

多服務(wù)器架構(gòu) （multi－server architecture）能夠為用戶提供眾多網(wǎng)絡(luò)服務(wù)。傳統(tǒng)認(rèn)證機制要求用戶在多個服務(wù)器重復(fù)注冊并記住不同的身份與口令，既給用戶造成不便，也使安全基礎(chǔ)設(shè)施維護(hù)成本高昂。因此，設(shè)計一種安全的遠(yuǎn)程用戶認(rèn)證與密鑰協(xié)商協(xié)議是多服務(wù)器架構(gòu)安全運行需解決的基礎(chǔ)問題之一?，F(xiàn)有多服務(wù)器架構(gòu)下用戶遠(yuǎn)程認(rèn)證機制主要包括兩大類：基于哈希的認(rèn)證機制以及基于公鑰密碼體制的認(rèn)證機制。早期的基于哈希認(rèn)證機制多使用用戶靜態(tài)標(biāo)識，易被追蹤［1］。Liao等［2］提出的使用動態(tài)標(biāo)識的認(rèn)證機制，已經(jīng)成為主流［3－6］；Das等提出了基于公鑰密碼體制的一種遠(yuǎn)程用戶認(rèn)證機制，該機制的核心是雙線性對，同時在用戶端使用了智能卡。然而，該機制不支持雙向認(rèn)證和密鑰協(xié)商功能；之后，基于雙線性對的用戶遠(yuǎn)程認(rèn)證機制不斷被提出［7－9］，在安全性和實現(xiàn)效率方面均有改進(jìn)；Liao等［10］指出Tseng等［9］提出的基于雙線性對的用戶遠(yuǎn)程認(rèn)證協(xié)議也未實現(xiàn)互認(rèn)證與密鑰協(xié)商，易遭內(nèi)部攻擊、口令猜測攻擊和重放攻擊。然后，基于自認(rèn)證公鑰機制，Liao等提出了一種基于雙線性對的用戶遠(yuǎn)程認(rèn)證方案。然而，該方案不支持用戶強匿名性，同時雙線性對操作也大大增加了計算開銷。

針對上述現(xiàn)狀，本文引入擴(kuò)展切比雪夫混沌映射機制，提出一種基于智能卡的認(rèn)證密鑰協(xié)商協(xié)議。新協(xié)議具有現(xiàn)有認(rèn)證密鑰協(xié)商協(xié)議的優(yōu)點，同時實現(xiàn)了用戶強匿名性。性能分析結(jié)果表明，與現(xiàn)有同類協(xié)議相比，該協(xié)議計算開銷較小，更適用于多服務(wù)器架構(gòu)環(huán)境。

1 背景知識

混沌系統(tǒng)具有遍歷性、敏感性和混合性等基本特性，同密碼學(xué)中混亂與擴(kuò)散聯(lián)系緊密，已經(jīng)被人們用來設(shè)計各種密碼體制［11］。本節(jié)將介紹擴(kuò)展的切比雪夫 （Chebyshev）混沌映射及其特性。

定義1 n 為整數(shù)，變量x 取值區(qū)間為 ［－1，1］，定義切比雪夫多項式Tn（x）：［－1，1］→ ［－1，1］為

由定義1可知，Tn（x）的迭代關(guān)系為

定義1給出的切比雪夫多項式Tn（x）具有兩個重要特性，即半群特性和混沌特性。

（1）半群特性

（2）混沌特性

當(dāng)n大于1時，Tn（x）：［－1，1］→ ［－1，1］為混沌映射，且具有不變測度

Zhang等［12］證明了當(dāng)x∈ （－∞，＋∞）時，Tn（x）仍滿足半群特性

這里的P 為大素數(shù)，不難證明Tr（Ts（x））≡Tsr（x）≡Ts（Tr（x））mod P。

本文設(shè)計的遠(yuǎn)程用戶認(rèn)證密鑰協(xié)商協(xié)議就是基于擴(kuò)展Tn（x）的［12］。其安全性建立在擴(kuò)展Tn（x）上的離散對數(shù)問題和計算Diffie－Hellman問題都是多項式時間難解的。

定義2 擴(kuò)展Tn（x）上的離散對數(shù)問題 （discrete logarithm problem，DLP）。

給定兩個元素x 和y，找到整數(shù)s，使得Ts（x）≡y。

定義3 擴(kuò) 展Tn（x）上 的 計 算Diffie－Hellman 問 題（computational Diffie－Hellman problem，CDHP）

給定3個元素x、Tr（x）和Ts（x），計算Trs（x）。

2 新協(xié)議描述

新的用戶遠(yuǎn)程認(rèn)證密鑰協(xié)商協(xié)議包含3 種參與角色：一個注冊中心RC、提供網(wǎng)絡(luò)服務(wù)的多個服務(wù)器Sj以及一組遠(yuǎn)程用戶Ui。由于RC 負(fù)責(zé)協(xié)助服務(wù)器Sj認(rèn)證遠(yuǎn)程用戶Ui的身份，所以被認(rèn)為是可信的。新協(xié)議被劃分為3個階段：系統(tǒng)初始化階段、用戶注冊階段、認(rèn)證和會話密鑰協(xié)商階段。表1給出了新協(xié)議所使用的符號釋義。

表1 新協(xié)議使用的符號

2.1 系統(tǒng)初始化階段

在該階段，注冊中心RC 為實現(xiàn)對多個服務(wù)器Sj的監(jiān)控，將為每個服務(wù)器Sj生成一個秘密密鑰。具體過程如下：RC 首先隨機選擇數(shù)sr作為自身主密鑰，然后計算ωj＝H（sr｜｜IDSj），并且經(jīng)過安全通道分發(fā)給服務(wù)器Sj。此外，注冊中心RC 選擇滿足擴(kuò)展切比雪夫混沌映射的隨機數(shù)x 和 大 素 數(shù)P 。

2.2 用戶注冊階段

在這一階段，所有遠(yuǎn)程用戶Ui必須向RC 注冊，才能夠獲得服務(wù)器Sj提供的服務(wù)。具體過程如下：

（1）遠(yuǎn)程用戶Ui首先選擇自身標(biāo)識IDUi、口令PWUi以及隨機數(shù)NUi，然后經(jīng)過安全通道將 （IDUi，PWUi⊕NUi）作為注冊請求消息提交給RC。

（2）如果RC 接受Ui為合法用戶，那么RC 首先計算Vij＝H（IDUi｜｜ωj｜｜Tij）和μij ＝Vij⊕PWUi⊕NUi，然后計算擴(kuò)展切比雪夫混沌映射Tωj（x），最后將 （IDUi，μij，Tij，H（·），x，P，Tωj（x））存儲到Ui的智能卡中，并將該智能卡經(jīng)過安全通道發(fā)送給Ui。

（3）合法用戶Ui從收到的智能卡中讀出μij ，然后計算μ′ij＝μij ⊕NUi，將智能卡中μij 替換為μ′ij。

2.3 認(rèn)證和會話密鑰協(xié)商階段

在這一階段，合法用戶Ui和服務(wù)器Sj將進(jìn)行相互認(rèn)證，同時為后繼的保密通訊協(xié)商得到一個會話密鑰。具體過程如下：

（1）用戶Ui將自身智能卡插入讀卡器，提示輸入口令PW′Ui，若PW′Ui≠PWUi，則退出會話。

（2）智能卡首先生成一個隨機數(shù)r，使用擴(kuò)展切比雪夫 混 沌 映 射 計 算 N1＝ Tr（x）mod P，N2＝Tr（Tωj（x））mod P；然 后 計 算Vij＝μij ⊕PWUi，N3＝EN2（IDUi｜｜Vij｜｜Tij）。

（3）用戶Ui將消息M1＝｛N1，N3｝發(fā)送給服務(wù)器Sj。

（4）收 到 M1后，服 務(wù) 器Sj首 先 計 算N′2＝Tωj（N1）mod P 和D′N2（N3），得到（IDUiVijTij），檢查Tij是否超出時限，若是，則退出會話；然后計算V′ij＝H（IDiωjTij），若V′ij≠Vij，則退出會話；然后Sj生成一隨機數(shù)s，計算N4＝Ts（x）mod P，SK ＝Ts（N1）mod P 以及N5＝E′N2（IDUiSjN4）；最后將消息M2＝｛N5｝發(fā)送給用戶Ui。

（5）收到M2后，用戶Ui首先計算DN2（N5），得到（IDUiSjN4）；然后計算SK′＝Tr（N4）mod P 以及N6＝H（N4SK′）；最后將消息M3＝｛N6｝發(fā)送給服務(wù)器Sj。

（6）收 到 M3后，服 務(wù) 器Sj首 先 計 算N7＝H（N4SK），若N7≠N6，則退出會話；否則，密鑰協(xié)商過程完成。

在第 （4）和第 （5）步中，服務(wù)器Sj和合法用戶Ui分別計算得到了會話密鑰SK 和SK′。根據(jù)第2節(jié)給出的擴(kuò)展切比雪夫混沌映射具備的半群特性，SK 和SK′是相等的。

3 性能分析

本節(jié)將對新協(xié)議的安全性和計算開銷進(jìn)行深入分析。

3.1 安全性分析

（1）新協(xié)議可實現(xiàn)雙向認(rèn)證功能：新協(xié)議以擴(kuò)展的切比雪夫多項式為基礎(chǔ)得到共享對稱密鑰，并用該共享對稱密鑰對后繼消息進(jìn)行加密傳輸。當(dāng)收到密文消息后，收方只有掌握正確的共享對稱密鑰才能恢復(fù)出正確的消息明文，成功認(rèn)證對方身份。這里的密文同時實現(xiàn)了保密性和認(rèn)證性。而攻擊者無法通過公開信道獲取雙方私鑰，所以無法計算出正確的共享對稱密鑰并通過對方認(rèn)證。

（2）新協(xié)議可實現(xiàn)完美前向安全性：完美前向安全特性是指通信雙方部分或全部長期私鑰即使在某個時刻被泄露，也不會破壞雙方在此時刻前所生成會話密鑰的安全。新協(xié)議假設(shè)攻擊者已經(jīng)知曉合法用戶Ui的口令PWUi以及服務(wù)器Sj的私鑰ωj，并可截獲包括Tr（x）mod P 和Ts（x）mod P 在內(nèi)的所有消息。攻擊者要想由這兩個參數(shù)計算出共享會話密鑰Trs（x）mod P，相當(dāng)于要解決定義3描述的擴(kuò)展Tn（x）上計算Diffie－Hellman問題。由該問題的難解性可知，新協(xié)議可實現(xiàn)完美前向安全性。

（3）新協(xié)議可抵御特權(quán)用戶攻擊：在多服務(wù)器架構(gòu)下，用戶可通過訪問不同服務(wù)器享受不同服務(wù)。由于絕大多數(shù)用戶習(xí)慣于使用同一口令進(jìn)行訪問，這就可能導(dǎo)致該口令被泄露給某一服務(wù)器的特權(quán)用戶 （根用戶）并且被其非法使用。為抵御該安全威脅，新協(xié)議要求用戶Ui在注冊時向注冊中心RC 發(fā)送消息PWUi⊕NUi，即利用隨機數(shù)NUi隱藏其口令PWUi。這一措施使得任意服務(wù)器上的特權(quán)用戶（根用戶）只能知曉隨機數(shù)PWUi⊕NUi，但無法推導(dǎo)得到PWUi，所以無法發(fā)起特權(quán)用戶攻擊。

（4）新協(xié)議可抵御重放攻擊：攻擊者可截獲用戶Ui與服務(wù)器Sj之間的消息M1、M2和M3，并在Ui與Sj再次協(xié)商認(rèn)證密鑰時重放消息M1。為抵御重放攻擊，新協(xié)議要求服務(wù)器Sj在每次協(xié)商密鑰時均使用不同的臨時私鑰s，即使消息M2被攻擊者截獲，也無法生成正確的消息M3，從而導(dǎo)致服務(wù)器Sj退出當(dāng)前會話。同樣，即使攻擊者截獲并重放消息M2，也會因為不知曉用戶Ui的新鮮隨機數(shù)r，無法通過用戶端驗證，從而導(dǎo)致用戶Ui退出當(dāng)前會話。類似的，攻擊者重放M3也無法通過服務(wù)器Sj驗證，使得服務(wù)器Sj退出當(dāng)前會話。

（5）新協(xié)議可抵御離線口令猜測攻擊：設(shè)攻擊者已知曉合法用戶Ui智能卡中信息 （μij，Tij，x，Tωj（x）），并截獲消息M1，則攻擊者可以通過下列步驟發(fā)起離線口令猜測攻擊：①猜測合法用戶Ui的口令為PW′Ui；②計算Vij＝μij⊕PW′Ui；③檢查Vij是否等于與消息M1中分量T3的V′ij，若相等，則猜測口令正確。否則，返回執(zhí)行步驟（1）。

攻擊者無法知曉消息M1中分量T1使用的臨時私鑰r，也無法知曉Tωj（x）使用的服務(wù)器Sj私鑰ωj。因此，攻擊者只有先解決定義3描述的擴(kuò)展Tn（x）上計算Diffie－Hellman問題，才能夠計算得到T2。由該問題的難解性可知，攻擊者無法有效驗證其猜測口令，新協(xié)議可抵御離線口令猜測攻擊。類似的，攻擊者也無法通過監(jiān)聽消息M2發(fā)起離線口令猜測攻擊。

（6）新協(xié)議可實現(xiàn)用戶強匿名性：在多服務(wù)器架構(gòu)下，認(rèn)證密鑰協(xié)商協(xié)議除滿足單服務(wù)器要求的匿名性之外，還應(yīng)確保未參與某次會話的其它服務(wù)器無法獲得該次會話通信雙方的標(biāo)識信息，即可實現(xiàn)用戶強匿名性。

設(shè)攻擊者可控制用戶和服務(wù)器之間的公開信道，并嘗試獲取用戶或服務(wù)器的標(biāo)識信息，進(jìn)而收集通信雙方的消息密文。在本文提出的新協(xié)議中，用戶Ui向服務(wù)器Sj分別發(fā)送消息M1＝｛x，N1，N3｝以及M3＝T6。在消息M1中，用戶標(biāo)識被隱 藏在分量N3中 （N3＝EN2（IDUi｜｜Vij｜｜Tij））。因此，若攻擊者要獲取用戶Ui的標(biāo)識，就必須解密T3，這意味著必須計算得到密鑰N2。然而，攻擊者不知道服務(wù)器Sj的私鑰ωj。在這種情況下，攻擊者要計算得到密鑰N2，相當(dāng)于解決第二節(jié)定義2給出的擴(kuò)展Tn（x）上的離散對數(shù)問題。由該問題的難解性可知，攻擊者是無法做到的。在新協(xié)議的每次會話中，用戶都將隨機選擇一個隨機數(shù)r，因此M1消息中分量N1，N3也都是隨機的，即攻擊者無法追蹤用戶標(biāo)識與多個消息M1之間的聯(lián)系。此外，新協(xié)議中的消息M3未包含任何標(biāo)識信息。當(dāng)收到消息M1后，服務(wù)器Sj向用戶Ui發(fā)送消息M2＝｛N5｝，用戶和服務(wù)器的標(biāo)識被隱藏在N5中（EN′2（IDUi｜｜Sj｜｜N4））。因此，若攻擊者要獲取用戶和服務(wù)器的標(biāo)識，就必須解密N5，這意味著必須計算得到密鑰N′2。然而，攻擊者不知道服務(wù)器Sj的私鑰ωj。在這種情況下，攻擊者要計算得到密鑰N′2，相當(dāng)于解決定義2描述的擴(kuò)展Tn（x）上的離散對數(shù)問題。由該問題的難解性可知，攻擊者無法完成上述計算。綜上，攻擊者無法根據(jù)消息密文獲知用戶Ui或服務(wù)器Sj的任何標(biāo)識信息。因此，新協(xié)議可實現(xiàn)用戶強匿名性。

3.2 協(xié)議計算開銷分析

本節(jié)首先給出對應(yīng)關(guān)鍵步驟的計算時間符號：

TC：計算切比雪夫多項式的時間；

TS：計算對稱加／解密算法的時間；

TH：計算抗碰撞單向哈希函數(shù)的時間。

這里，由于異或運算 （⊕）的計算復(fù)雜度較低，因而在分析時未包含這部分計算開銷。

表2給出了新協(xié)議與現(xiàn)有同類協(xié)議的計算開銷比較。不難看出，Tsai等所提協(xié)議 （下面簡稱Tsai協(xié)議）［13］僅使用單向哈希函數(shù)實現(xiàn)認(rèn)證功能，計算開銷最低。然而，該協(xié)議在認(rèn)證階段需要注冊中心RC，協(xié)議靈活性較差。此外，該協(xié)議不能抵御特權(quán)用戶攻擊與重放攻擊。Tsaur等［14］所提出的協(xié)議 （下面簡稱為Tsaur協(xié)議）僅使用了對稱密碼體制，相對于基于擴(kuò)展切比雪夫混沌映射的新協(xié)議而言，協(xié)議計算開銷較低，但是協(xié)議卻無法抵御特權(quán)用戶攻擊，未實現(xiàn)用戶強匿名性。Lee等［15］所提協(xié)議 （下面簡稱為Lee協(xié)議）也使用了混沌映射密碼體制，其計算開銷和本文所提新協(xié)議相當(dāng)，并且這兩個協(xié)議都能夠抵御已知各種安全攻擊行為。但是，Lee協(xié)議只能實現(xiàn)用戶弱匿名特性，本文所提新協(xié)議則實現(xiàn)了用戶強匿名特性。綜上，新協(xié)議在未增加協(xié)議計算開銷的條件下有效提高了認(rèn)證密鑰協(xié)商協(xié)議的安全性能，具有更強的實用性。

表2 新協(xié)議與同類協(xié)議的計算開銷比較

4 結(jié)束語

基于混沌系統(tǒng)的密碼系統(tǒng)因其具有的良好特性受到了越來越多的關(guān)注和越來越廣泛的營養(yǎng)。本文基于擴(kuò)展的切比雪夫混沌映射及其特性提出了一種面向多服務(wù)器架構(gòu)的認(rèn)證密鑰協(xié)商協(xié)議。該協(xié)議使用基于擴(kuò)展切比雪夫多項式的密碼體制生成遠(yuǎn)程用戶與服務(wù)器之間的共享對稱密鑰，通信雙方利用該共享對稱密鑰實現(xiàn)會話消息的保密性以及認(rèn)證性。同時，該協(xié)議基于切比雪夫多項式的半群特性得到通信雙方的會話密鑰。安全性分析結(jié)果表明，本文提出的新協(xié)議不僅具有現(xiàn)有同類協(xié)議抵御多種攻擊行為的優(yōu)點，而且在未增加計算開銷的條件下實現(xiàn)了用戶強匿名性，實用性更強，更適用于多服務(wù)器架構(gòu)環(huán)境。

［1］Tsai JL.Efficient multi－server authentication scheme based on one－way hash function without verification table ［J］.Computers and Security，2008，27 （3－4）：115－121.

［2］Liao YP，Wang SS.A secure dynamic ID based remote user authentication scheme for multi－server environment［J］.Computer Standards and Interfaces，2009，31 （1）：24－29.

［3］Hsiang HC，Shih WK.Improvement of the secure dynamic ID based remote user authentication scheme for multi－server envi－ronment［J］.Computer Standards and Interfaces，2009，31（6）：1118－1123.

［4］Lee CC，Lin TH，Chang RX.A secure dynamic ID based remote user authentication scheme for multi－server environment using smart cards ［J］.Expert Systems with Applications，2011，38 （11）：13863－13870.

［5］Li X，Xiong YP，Ma J，et al.An efficient and security dynamic identity based authentication protocol for multi－server architecture using smart cards［J］.Journal of Network and Computer Applications，2012，35 （2）：763－769.

［6］Sood SK，Sarje AK，Singh K.A secure dynamic identity based authentication protocol for multi－server architecture［J］.Journal of Network and Computer Applications，2011，34 （2）：609－618.

［7］Goriparthi T，Das ML，Saxena A.An improved bilinear pairing based remote user authentication scheme ［J］.Computer Standards and Interfaces，2009，31 （1）：181－185.

［8］Juang WS，Nien WK.Efficient password authenticated key agreement using bilinear pairings ［J］. Mathematical and Computer Modelling，2008，47 （11－12）：1238－1245.

［9］Tseng YM，Wu TY，Wu JD.A pairing－based user authentication scheme for wireless clients with smart cards ［J］.Informatics，2008，19 （2）：285－302.

［10］Liao YP，Hsiao CM.A novel multi－server remote user authentication scheme using selfcertified public keys for mobile clients［J］.Future Generation Computer Systems，2013，29（3）：886－900.

［11］SHU Jian.An authenticated key agreement protocol based on extended chaotic maps ［J］.Acta Phys Sin，2014，63 （5）：1－5 （in Chinese）.［舒劍.基于擴(kuò)展混沌映射的認(rèn)證密鑰協(xié)商協(xié)議 ［J］.物理學(xué)報，2014，63 （5）：1－5.］

［12］Zhang L.Cryptanalysis of the public key encryption based on multiple chaotic systems ［J］.Chaos，Solitons ＆ Fractals，2008，37 （3）：669－674.

［13］Tsai JL.Efficient multi－server authentication scheme based on one－way hash function without verification table ［J］.Computers ＆Security，2008，27 （3）：115－121.

［14］Tsaur WJ，Li JH，Lee WB.An efficient and secure multiserver authentication scheme with key agreement［J］.Journal of Systems and Software，2012，85 （4）876－882.

［15］Lee CC，Lou DC，Li CT.An extended chaotic－maps－based protocol with key agreement for multi－server environments［J］.Nonlinear Dynamics，2013，71 （11）：206－218.