阮 鷗，王子豪，張明武

(湖北工業(yè)大學 計算機學院，武漢 430068)

互聯(lián)互通時代，口令認證密鑰交換 (PAKE) 協(xié)議是使用最廣泛的安全技術手段，通信各方通過一個易于記憶的口令可以建立一個可靠安全的會話密鑰，后期通過會話密鑰對通信數據加密進而保證數據機密性. 由于口令非常方便用戶使用而且也不需要特殊設備，所以PAKE協(xié)議應用廣泛，成為網絡空間安全研究的熱點問題. 在Bellovin等人[1]首次提出PAKE協(xié)議后，有大量研究跟進，解決PAKE協(xié)議的效率問題及形式化證明[2-4]，提出多方情況[5-8]、組情況[9,10]的解決方案，設計抗泄露方案[11-13].

傳統(tǒng)PAKE協(xié)議中，用戶需要發(fā)送身份及口令信息到服務器，服務器據此確定用戶身份進而協(xié)商會話密鑰. 近年來，由于云計算等新應用的興起，人們十分關心其在網絡中的隱私性，期望各類應用及協(xié)議提供更高的安全服務——保護用戶隱私[14-18]. 同樣地，PAKE協(xié)議也需要提供隱私保護服務，例如云服務中，用戶希望服務器不能確定其真實身份，而服務器希望能通過某種途徑確定用戶合法性. 為滿足這種需求，Viet等學者[19]提出了匿名口令認證密鑰交換協(xié)議 (APAKE) ，用戶能通過口令與服務器建立共享會話密鑰，卻不會暴露其真實身份信息. 之后，Shin等學者[20]指出Viet等的方案不能抵抗離線口令攻擊，進而提出了一種陷門APAKE協(xié)議；接著，Yang等學者[21]指出Shin等的陷門APAKE協(xié)議既不能抵抗離線口令攻擊也不能抵抗冒充身份攻擊，然后給出了一種解決這兩個問題的新方案. 最近，Hu等學者[22]設計了標準安全模型下的APAKE協(xié)議. 然而，上述APAKE協(xié)議效率都比較差，特別是服務器端的計算開銷很大. 本文基于橢圓曲線CDH假設提出了一種高效的APAKE協(xié)議，并給出了形式化的安全證明. 該協(xié)議既能抵抗身份冒充攻擊及離線口令猜測攻擊，也提供雙向認證. 同時，協(xié)議效率得到很大提高，客戶端及服務器端計算開銷得到大幅降低.

1 安全模型

1.1 APAKE系統(tǒng)模型

APAKE協(xié)議典型系統(tǒng)模型如圖1所示，用戶U與服務器S通過交互協(xié)商一個共享的安全會話密鑰k，而敵手A不能獲知k的任何信息，同時服務器S無法獲知用戶U的具體身份信息.

系統(tǒng)模型符號：

協(xié)議參與方. 協(xié)議參與方包括一組用戶G={U1,…,Un}及可信服務器集合S. 我們假設G是固定的；可信服務器僅有一個，它是誠實而好奇的，即S嚴格按照協(xié)議規(guī)程執(zhí)行，但會收集分析信息以期獲取額外信息.

敵手A.A控制網絡信息通道，并能訪問任意諭言機.

會話. 用戶與服務器的一次APAKE協(xié)議執(zhí)行實例.

圖1 APAKE系統(tǒng)模型Fig.1 The system model of APAKE

1.2 敵手能力模型

我們通過定義以下訪問來量化敵手能力：

·Send(Pi，m). 通過此請求訪問，敵手A完成一次主動攻擊，它發(fā)送消息m給會話i中參與方Pi(可能是用戶也可能是服務器) ，Pi根據協(xié)議規(guī)程計算下一條信息并返回給A. 敵手A可以通過Send(S，“start”)初始化啟動一次會話流程.

·Reveal(Ui). 收到此訪問請求后，Ui發(fā)送會話i的會話密鑰給敵手A.

·Execute(Ui，S). 這個訪問用于建模離線口令猜測攻擊. 通過此訪問，敵手將得到Ui與S一次誠實會話的執(zhí)行腳本.

·HO(m) . 這是一個哈希諭言機訪問，如果m未被訪問過，HO產生一個隨機數r返回給A，并將(m，r)記入哈希表；否則在哈希表尋找(m，r′)然后返回r′給A.

·Test(Ui) . 此訪問測試敵手A是否獲取會話密鑰. 收到此訪問后，Ui隨機選取一個比特b，如果b= 0返回實際會話密鑰給A，否則返回隨機密鑰給A. 注意：整個執(zhí)行過程中，此訪問最多只能執(zhí)行一次.

1.3 安全定義

定義1.1 [新鮮性] 當會話密鑰ski已產生但Reveal(Ui)未被訪問時，我們稱Ui是新鮮的.

定義1.2 [APAKE安全] 當滿足如下3個屬性時，我們稱APAKE協(xié)議是安全的：

· 正確性： 會話結束后，用戶與服務器產出相同的會話密鑰sk.

·PAKE安全性： 考察下面的游戲執(zhí)行過程，敵手A任意訪問諭言機Send(Pi，m)，Execute(Ui，S)，HO(m)，Reveal(Ui)，最后Test訪問新鮮的Ui，Ui隨機選取一個比特b，如果b= 0返回實際會話密鑰給A，否則返回隨機密鑰給A. 敵手A輸出猜測的比特b′并終止執(zhí)行. 敵手A成功攻擊上述游戲的優(yōu)勢定義為：

若對于任意多項式時間內的敵手A，下式均成立，則稱協(xié)議具有PAKE安全性，

其中ε(·)是可忽略函數，N是口令字典容量大小，qs是Send訪問的次數.

注：對于PAKE協(xié)議，在線口令猜測攻擊是無法避免的，其成功的概率為qs/N. 但我們可以采用一些有效機制來限制在線口令猜測攻擊，比如口令輸入嘗試失敗一定次數后自動終止協(xié)議執(zhí)行.

·用戶匿名性：用戶匿名性指外部敵手或者可信服務器都不能區(qū)分某次會話的具體用戶，在這里，可信服務器是一個誠實而好奇的服務器，它會嚴格按協(xié)議規(guī)程產生協(xié)議信息，但會試圖分析協(xié)議執(zhí)行腳本去確定用戶實際身份.

Pi表示用戶Ui與可信服務器會話的執(zhí)行腳本. 對于任何兩個合法用戶Ui和Uj，如果Pi和Pj計算不可區(qū)分，則稱協(xié)議P滿足用戶匿名性.

2 一種高效的APAKE協(xié)議

新協(xié)議基于橢圓曲線CDH假設設計，其中用到的符號總結于表1.

表1 符號表Tab.1 The symbol Table

Step4 用戶Ui計算kU=a·ηS，驗證σS=H(S‖TU‖kU)是否成立，成立則計算會話密鑰skUS=H(U1,…，Un‖S‖kU) . 同時，服務器S計算會話密鑰skSU=H(U1,…,Un‖S‖kS).

2.1 APAKE協(xié)議

新協(xié)議如圖2所示包含4步.

圖2 APAKE協(xié)議Fig.2 The APAKE protocol

2.2 安全性證明

我們將基于隨機諭言機模型來證明新協(xié)議安全性，包括正確性、PAKE安全性及匿名性三個部分.

(1) 正確性.

協(xié)議結束后，用戶Ui和服務器S協(xié)商后的會議密鑰分別為：skUS=H(U1,…,Un‖S‖kU)及skSU=H(U1,…,Un‖S‖kS). 由于：

kS=b·η′=b(ηU-TS)=b(ηU-r·US)=

b(ηU-r·ri·hi·Q)=b(ηU-ri·Si)=

b(ηU-TU)=b·a·Q=a·b·Q=a·ηS=kU,

所以，skUS=skSU.

(2)PAKE安全性.

定理1 新協(xié)議中，假設A為安全游戲中的多項式時間敵手，它執(zhí)行了qs次Send訪問，qe次Execute訪問及qh次HO訪問，則有：

其中εCDH為破解CDH假設的概率.

構造CDH敵手ACDH，它破解CDH假設的概率為εCDH.ACDH以(r1·Q，r2·Q))為輸入，選擇用戶口令集pwj(1≤j≤n).ACDH把A作為其子程序訪問，對A的諭言機訪問做如下回答：

> 若A的訪問為Send(S，(US,ηU,σU))，ACDH計算TS=r·US,η′=ηU-TS,ηS=r2·Q，驗證σU=H(TS‖US)是否成立，成立則選擇隨機數σS，發(fā)送{ηS,σS} 給A.

> 若A的訪問為Send(U，ηS,σS)，ACDH輸出隨機會話密鑰skSU.

> 若A的訪問為Reveal或Test，此時它企圖獲取由(r1·Q，r2·Q)構造的會話密鑰，ACDH終止執(zhí)行并輸出“⊥”；當A停止執(zhí)行后，ACDH訪問哈希表，尋找是否存在形如HO(U1,…，Un‖S‖*)結構的HO訪問，如果存在，ACDH隨機選擇一個并輸出“*”；否則ACDH終止執(zhí)行并輸出“⊥”.

由于單向哈希函數H被看作隨機諭言機，如果A知道會話密鑰sk，則A必然訪問了哈希表記錄的HO(U1,…，Un‖S‖r1·r2·Q). 這種情況，ACDH破解了CDH 假設.

設λ為ACDH從哈希表正確選擇HO(U1,…，Un‖S‖r1·r2·Q)的概率，則有：λ≥1/qh.

設φ為ACDH正確猜測到A成功破解APAKE協(xié)議安全性的時刻，則有：φ≥1/qs.

根據上述分析，ACDH成功破解CDH假設的概率εCDH為：

所以有：

破解口令情況下攻破新APAKE協(xié)議安全性的事件可分為兩種情況：在線口令猜測攻擊及離線口令猜測攻擊.

Case 1：在線口令猜測攻擊

Case 2：離線口令猜測攻擊

根據分析1)及2)，有：

(3) 匿名性.

對于任何兩個合法用戶Ui和Uj，其執(zhí)行腳本分別為：

Pi={(Sk(1≤k≤n)),(UiS,ηUi,σUi),(ηSi,σSi)},

Pj={(Sk(1≤k≤n)),(UjS,ηUj,σUj),(ηSj,σSj)},

其中，

a)Pi:UiS=ri·H1(i‖pwi)Q,TUi=ri·Si,ηUi=aiQ+TUi,σUi=H(TUi‖UiS),ηSi=bi·Q,σSi=H(S‖riSi‖aibiQ)，ri，ai，bi為隨機數；

b)Pj:UiS=rj·H1(j‖pwj)Q,TUj=rj·Sj,ηUj=ajQ+TUj,σUj=H(TUj‖UjS),ηSj=bj·Q,σSj=H(S‖rjSj‖ajbjQ)，rj，aj，bj為隨機數；

因為ri,ai,bi及rj,aj,bj為隨機數, 所以Pi與Pj計算不可區(qū)分. 既新協(xié)議滿足用戶匿名性.

3 協(xié)議分析

安全性及效率分析結果見表2，其中Exp代表模冪運算，n代表客戶端用戶數量. 根據表2可知，協(xié)議[19]不能抵抗身份冒充攻擊及離線口令猜測攻擊，且效率較低；協(xié)議[21]不提供雙向認證，并且其安全性基于復雜的SCDH及DIADH假設；協(xié)議[22]計算復雜度高，效率較差. 我們新提出的協(xié)議具有如下優(yōu)勢：(1) 能抵抗身份冒充攻擊及離線口令猜測攻擊，(2) 提供雙向認證，(3) 新協(xié)議效率得到很大提高，客戶端及服務器端計算開銷都有很大降低.

表2 APAKE協(xié)議安全性及效率比較Tab. 2 The comparison of security and efficiency of network protocol

4 結語

網絡新應用如云環(huán)境中用戶特別關注其隱私安全性，基于此問題，提出了一種高效的APAKE協(xié)議，并在隨機諭言機模型下給出了形式化的安全證明. 通過與現有方案對比分析表明，新協(xié)議既能抵抗身份冒充攻擊及離線口令猜測攻擊，又提供雙向認證; 協(xié)議效率得到很大提高. APAKE協(xié)議作為一種保護用戶隱私的認證密鑰交換協(xié)議，其在網絡新應用中的研究剛剛開始，下一步工作包括除了在滿足安全性及隱私性基礎上進一步提高協(xié)議效率外，還可以基于標準安全模型構造高效的APAKE協(xié)議.

參 考 文 獻

[1] Bellovin S M，Merritt M，Bellovin S M. Encrypted Key Exchange: Password-Based Protocols Secure Against Dictionary Attacks[C]// IEEE. IEEE Symposium on Security and Privacy. Washington: USA,IEEE, 1992:72 - 84.

[2] Ran C, Dachman-Soled D, Vaikuntanathan V, et al. Efficient Password Authenticated key Exchange via Oblivious Transfer[C]// Marc F. PKC2012. Berlin:German, Springer, 2012:449-466.

[3] Goyal V. Positive Results for Concurrently Secure Computation in the Plain Model[C]// Tim R. FOCS 2012. New Jersey:USA, IEEE, 2012:41-50.

[4] Ruan O，Kumar N，He D，et al. Efficient Provably Secure Password-based Explicit Authenticated Key Agreement[J]. Pervasive & Mobile Computing, 2015, 24(12):50-60.

[5] Yi X，Rao F Y，Tari Z，et al. ID2S Password-Authenticated Key Exchange Protocols[J]. IEEE Transactions on Computers，2016，65(12):3687-3701.

[6] Islam S H. Design and Analysis of a Three Party Password-based Authenticated Key Exchange Protocol using Extended Chaotic Maps[J]. Information Sciences，2015，312(C):104-130.

[7] Amin R，Biswas G P. Cryptanalysis and Design of a Three-Party Authenticated Key Exchange Protocol Using Smart Card [J]. Arabian Journal for Science & Engineering，2015，40(11):3135-3149.

[8] Lu C F. Multi-party Password-Authenticated Key Exchange Scheme with Privacy Preservation for Mobile Environment[J]. Ksii Transactions on Internet & Information Systems，2015，9(12): 5135-5149.

[9] Nam J，Paik J，Kim J，et al. Server-aided Password-authenticated Key Exchange: from 3-party to Group[C]// Smith M J. International Conference on Human Interface and the Management of Information 2011. Orlando:USA, Springer，2011: 339-348.

[10] Guo C，Zhang Z J，Zhu L H，et al. Scalable Protocol for Cross-domain Group Password-based Authenticated Key Exchange [J]. Frontiers of Computer Science，2014，9(1): 157 -169.

[11] Chen R，Mu Y，Yang G，et al. Strongly Leakage-Resilient Authenticated Key Exchange [J]. Des Codes Cryptography, 2017, 85(1): 145-173.

[12] Ruan O, Chen J, Zhang M W, Provably Leakage-Resilient Password-Based Authenticated Key Exchange in the Standard Model[J]. IEEE Access, 2017, 5(1): 26832-26841.

[13] Ruan O, Wang QP, Wang ZH, Provably leakage-resilient three-party password-based authenticated key exchange[J]. Journal of Ambient Intelligence and Humanized Computing, 2017, DOI: 10.1007/s12652-017-0628-8 .

[14] He D B，Zeadally S，Kumar N，et al. Anonymous authentication for wireless body area networks with provable security[J]. IEEE Systems Journal，2017，11(4): 2590-2601.

[15] Wang D，He D，Wang P，et al. Anonymous Two-factor Authentication in Distributed Systems: Certain Goals are Beyond Attainment [J]. IEEE Transactions on Dependable and Secure Computing，2015，12(4): 428-442.

[16] Xia Z，Wang X，Zhang L，et al. A privacy-Preserving and Copydeterrence Content-based Image Retrieval Scheme in Cloud Computing [J]. IEEE Transactions on Information Forensics and Security，2016，11(11): 2594-2608.

[17] Xia Z，Wang X，Sun X，et al. A Secure and Dynamic Multi-keyword Ranked Search Scheme over Encrypted Cloud Data [J]. IEEE Transactions on Parallel and Distributed Systems，2016，27(2): 340-352.

[18] Fu Z，Ren K，Shu J，et al. Enabling Personalized Search over Encrypted Outsourced Data with Efficiency Improvement [J]. IEEE Transactions on Parallel and Distributed Systems，2016，27(9): 2546-2559.

[19] Viet DQ，Yamamura A，Tanaka H. Anonymous Password-Based Authenticated Key Exchange[C]// Subhamoy M. INDOCRYPT 2005. Bangalore: Springer, 2005: 244-257.

[20] Shin S，Kobara K，Imai H. A Secure Threshold Anonymous Password-authenticated Key Exchange Protocol[C]// Atsuko M. IWSEC 2007. Nara: Springer, 2007: 444-458.

[21] Yang J，Zhang Z. A New Anonymous Password-based Authenticated Key Exchange Protocol[C]// Dipanwita R C. INDOCRYPT 2008. Kharagpur: Springer，2008: 200-212.

[22] Hu X，Zhang J，Zhang Z，et al. Anonymous Password Authenticated Key Exchange Protocol in the Standard Model [J]. Wireless Personal Communications，2017 (4): 1-24.