洪 璇, 王鵬飛

(上海師范大學 信息與機電工程學院, 上海 201400)

隨著社會科技手段的快速進步, 社會步入了通信發(fā)展時代, 秘密通話在大家的生活中尤為重要.身份驗證和密鑰協(xié)商協(xié)議作為通信安全的重要領域, 可以確保用戶在不安全的信道上進行安全的信息驗證和傳輸.它不僅是加密通信的重要組成部分, 而且還允許兩個或更多使用者通過敵手控制的非加密通信安全通話,并產(chǎn)生出公共會話密鑰以實現(xiàn)開放網(wǎng)絡中的通信安全性.然而對應的, 我們依然無法忽視惡意攻擊者的各種手段, 因此眾多學者在認證密鑰協(xié)商協(xié)議上進行探討與改進, 為密鑰協(xié)商協(xié)議的研究發(fā)展做出重大貢獻[1].

文獻[2]針對臨時秘鑰泄露問題, 設計出解決此問題的eCK方案模型, 并給出一套針對此攻擊的Naxos方案.但是, eCK模型僅思考了協(xié)議將被哪些攻擊手段攻擊, 而沒有思考協(xié)議的強前向安全性.顧兆軍等人則是考慮了協(xié)議的前向安全性, 并將雙線性對方法引入到協(xié)議中形成新的方案, 使得協(xié)議安全強度更高[3].文獻[4]在基于困難問題的DDA協(xié)議下設計了新的可信匿名方案協(xié)議, 使得通信雙反實現(xiàn)可匿名并且安全通信.曹陽等人在文獻[5]中為了使得SIP協(xié)議的安全性進一步提升, 同樣是基于橢圓曲線離散對數(shù)等困難操作下設計了新的AKA協(xié)議.黃朝陽更是于文獻[6]中更加具體的將困難問題函數(shù)結(jié)合到公鑰密碼協(xié)議的認證過程里, 提升運算復雜程度來增加可靠性.曾繼強等則是為了更高效地解決群組秘鑰的生成, 基于三叉樹方案提出了新的協(xié)議, 高效可靠地解決了群組會話通信問題[7].趙廣強等人為了抵抗DDOS手段與薛峰等人協(xié)議方案中某一階段存在的問題, 設計出基于雙線性對計算的新方法, 使得協(xié)議更加安全可靠[8].

本文研究了匿名兩方AKA協(xié)議, 發(fā)現(xiàn)其不能防御離線字典攻擊, 于是將抗離線字典攻擊安全屬性引入設計的AKA協(xié)議同時, 還將橢圓曲線運算、雙線性配對操作、D-H困難操作等與注冊和認證方案過程結(jié)合,再將智能卡與口令的協(xié)議方案相結(jié)合, 可以有效使得協(xié)議運行的安全性顯著提升, 并將加密的密碼存在服務器的身份驗證表中, 同時在認證過程進行調(diào)整, 使得方案可以實現(xiàn)雙方互相認證.最后進行了安全性證明,在安全與輕量化計算過程方面更有優(yōu)勢.

1 背景知識

1.1 橢圓曲線間隙假設(ECCDH假設)

令Q是在有限域Fq上的橢圓曲線,q是基于秘密參數(shù)k的大素數(shù), 在Q中一個階為大素數(shù)x中 選取一個點p,并且通過p生成一個循環(huán)加法群G.其中G?Fq, 由此可以:

定義1.ECCDH假設(Elliptic Curve Computational Diffie-Hellman, ECCDH).假如有秘密參數(shù)k并且k足夠大, 給定任何概率多項式時間算法A解決問題的優(yōu)勢函數(shù)為:

則稱循環(huán)加法群G滿足ECCDH假設, 其中, 等式左邊表示算法A解決橢圓曲線問題的優(yōu)勢, ε (·)是可以忽略的函數(shù),.

1.2 安全模型

協(xié)議參與者和初始化.我們在系統(tǒng)中設置了3種類型的實體: 使用者U,敵手A和服務器S,Set Authentication和密鑰協(xié)議P,P和操作協(xié)議稱為協(xié)議P.服務器跟使用者之間可以有很多實例.我們用表示用U的第i次協(xié)議實例,S的第j次實例用來標識.假如敵手A能夠操控所有通信環(huán)境.他想要使U的認證階段失敗, 或是竊得S跟用戶U的協(xié)商密鑰, 這里使用敵手查詢P的例子來反映敵手的能力.具體來說, 敵手可以如下查詢協(xié)議實例:

Corrupt (U, password): 這里對密碼遺失攻擊進行模擬,A可以使用此查詢來得到U的密碼.

Corrupt (U, smartcard): 這里對智能卡遺失攻擊進行模擬,A可以使用此查詢來得到智能卡里存放的秘密消息.

定義2.假如A執(zhí)行Test查詢后得到的b′=b, 那么敵手取勝, 并設定A取勝的優(yōu)勢如下:

如果:

則稱協(xié)議P為語義安全.其中,qsend表示敵手進行send詢問的次數(shù),表示口令空間的大小.

2 匿名PAKA協(xié)議安全性分析

Sun等人提出了基于SmartCard和密碼的匿名PAKA協(xié)議, 該方案由于使智能卡的計算與存儲成本大大降低, 因此在基于智能卡的AKA協(xié)議中被廣泛應用, 該方案還指出其在智能卡遺失時攻擊是沒有威脅的[9].然而, 實驗驗證表明該方法在SmartCard遺失后沒有辦法防御離線字典的攻擊, 也容易發(fā)生密碼泄露和偽裝.本文模擬敵手使用口令猜測攻擊進行攻擊驗證:

如果敵手A已經(jīng)得到U的SmartCard, 此時A便能夠掌握卡中全部秘密消息{IM,GB}, 接著A便能夠使用一種能夠避開服務器檢測的攻擊手段來展開離線的密碼猜測進攻.

S驗證U的身份后選擇

A: 敵手A截獲信息 {GS,MS}, 在密碼空間里隨機選取一個U的潛在密碼PW′.

如果敵手A驗證正確, 說明他選的PW′即為用戶的PW, 否則將其在原空間中刪去并再次選取潛在密碼開始驗證, 這個過程持續(xù)到驗證?=Ms為止.A完全可以脫機運行此操作, 所以可以避免服務器的檢測與查驗, 這樣A就能得到U的密碼.

3 改進工作

3.1 針對基于口令的AKA協(xié)議改進

為了提升協(xié)議的安全屬性, 本文進行設計, 將橢圓曲線運算、單向散列函數(shù)、D-H困難操作等結(jié)合到協(xié)議的注冊與認證過程, 并添加密碼加密后存放到服務器的身份驗證表中.協(xié)議分為兩個部分: 注冊階段和認證階段.

在注冊階段做出如下改進設計: 先由S選擇一個大素數(shù)p(p＞3)和常數(shù)a與b使得 4a3+27b2≠0modp,定義在上的橢圓曲線E:y2=x3+ax+b由一個無窮遠點O和一個基于同余式y(tǒng)2=x3+ax+bmodp的解集構(gòu)成, 設p是E上階為素數(shù)q(q＞2k)的基點, 使得在群G= 〈P〉上的離散對數(shù)問題是難解的.服務器選擇私鑰, 公鑰US=ds·p, 選擇適當?shù)膯蜗蛏⒘泻瘮?shù)H(·):使協(xié)議的運算過程是難解的, 增加了協(xié)議的可靠性, 執(zhí)行過程如圖1.

圖1 基于口令的新方案的注冊階段

在認證階段做出如下改進設計: 用戶A輸入IDA、PWA, 選取隨機數(shù),利用隨機數(shù)計算WA=rA·PWA·用kx作為對稱加密算法的密鑰, 對 (IDA,YA)加密, 得到M1=Ekx(IDA,YA),然后將信息 (IDA,WA,M1)發(fā)送給S.接收到使秘密信息之后,S使用私鑰ds計算私鑰ds計算接著用解密信息M1,得到服務器先檢查等式是否相等, 即如果等式不相等,S將終止會話.反之服務器S選擇一個隨機數(shù)rs∈, 計算M2=+WS、M3=H(WS).其中WS=rsUs, 并將{M2+M3}發(fā)送給用戶A.

得到信息M2后, 用戶A計算=M2-RA, 并檢查H()=M3是否相等, 如果不相等則終止通話, 若相等,A將M4=H′(RA,)發(fā)送給S.

S接收來自使用者的消息后, 第一步檢查H()=M4是否相等, 假如不相等,S否定A的會話請求, 假如等式相等,S將通過使用者的會話請求.此時得到SK=rs·WA=rA·PWA·rS·dS·P, 然后認證完成.

3.2 針對基于智能卡的AKA協(xié)議改進

同樣的, 針對智能卡丟失后不能防御敵手的離線密碼猜測這一問題, 我們將身份認證和會話密鑰相結(jié)合的雙向認證方案改進到基于智能卡的協(xié)議方案中,給協(xié)議增加了抗離線字典攻擊安全屬性.協(xié)議分為兩個部分: 注冊階段和認證階段.

在注冊階段做出如下改進: 用戶選擇自己的標識IDi, 口令PWi并計算h(PWi), 使用可信通道發(fā)給S.

服務器計算h(IDi,x), 用h(PWi), 對h(IDi,x)加密,用私鑰x對IDi加密, 結(jié)果分別為Eh(PWi)[h(IDi,x)]、Ex(ID2)計算Ai=h(h(ID)⊕h(PWi))modn.然后將信息寫入智能卡.

最后S把SC通過可信通道交給用戶, 如圖2.

圖2 基于智能卡的新方案的注冊階段

在認證階段做出如下改進:服務器S收到信息{C1,Ex(IDi)}后, 首先用私鑰x解密Ex(IDi)得到用戶身份IDi并判斷它的有效性, 如果有效則繼續(xù)下面的操作.選擇一個隨機數(shù)xB, 計算,B1=h(IDs‖K‖0).將{B1,C2}發(fā)送給SC(智能卡),SC接收S的信息 {B1,C2}之后, 計算K′=,=h(IDS‖K′‖0).驗證=B1, 若不成立, 那么對S的驗證失敗, 并結(jié)束通話, 否則計算B2=h(IDs‖K′‖0); 并把B2發(fā)給服務器, 服務器收到B2后, 計算=h(IDS‖K‖0),并驗證=B2, 若不成立, 則結(jié)束通話, 否則對用戶的信息驗證便為通過并協(xié)商公共通信私鑰為SK=h(IDs‖IDi‖k‖2)=h(IDs‖IDi‖h′‖2).認證完成.

4 基于智能卡和口令結(jié)合的AKA協(xié)議方案

在上面的協(xié)議基礎上, 我們將智能卡與上面設計的匿名口令AKA協(xié)議注冊過程相結(jié)合并在認證過程進行改進, 使得方案的安全可靠性進一步提升.協(xié)議包括兩個階段: 用戶注冊階段和用戶認證階段.

4.1 注冊階段

由SC先選擇一個大素數(shù)p(p＞3)和常數(shù)a與b使得4a3+27b2≠0modp, 定義在上的橢圓曲線E:y2=x3+ax+b由一個無窮遠點O和一個基于同余式y(tǒng)2=x3+ax+bmodp的解集構(gòu)成, 設p是E上階為素數(shù)q(q＞2k)的基點, 使得在群G= 〈P〉上的離散對數(shù)問題是難解的.

用戶A選擇PWA當做密碼口令.SC選取隨機數(shù)b∈{0,1}1024使得PWA的熵值提升.并將秘密信息發(fā)送給S,S選擇私鑰ds∈, 公鑰US=ds·p, 選擇適當?shù)膯蜗蛏⒘泻瘮?shù)H(·):{0,1}*→.

S: 利用私鑰ds計算WA=h(ds,IDA)⊕(PWA,b), 將{IDA,WA}存入SC內(nèi)發(fā)送給A.

A將隨機數(shù)b和大素數(shù)p發(fā)送到SC.此時,SC中的信息為{IDA,b,p,WA}.

4.2 認證階段

當A想要訪問S,A和S之間開始相互認證.

A→Smart Card:{PWA,IDA}

Smart Card:VA=WA⊕h(PWA,b,p)=(ds,IDA,p)

Smart Card: 選隨機數(shù)y∈,Y=gy,

Smart Card→S: {IDA,Y,K}//臨時密鑰為用戶所選取的秘密值y

S: 驗證IDA是否正確, 若正確執(zhí)行下一步

S: 利用私鑰ds計算=h(ds,IDA,p)

S驗證K=是否成立, 若成立, 則繼續(xù)

S:z∈,Z=gz

S:Auths=H2(Kx,Yz,IDA,Z)//S認證信息

S→A:{IDS,Z,Auths}

A: 驗證A的秘密信息, 若通過, 則繼續(xù)

Smart Card: 計算A與S會話密鑰sk=H2(Xk,Zy,IDA,IDs,X,Y,K,Z)

Smart Card:AuthA=H2(Xk,Zy,IDs,Y)

Smart Card→S:{AuthA}

S: 驗證Auths=H2(Kx,Yz,IDA,Z)

S: 驗證AuthA=H2(Xk,Zy,IDs,Y)

S:sk=H2(kx,Yz,IDA,IDs,X,Y,K,Z)//所有認證通過, 計算出會話密鑰如上sk, 認證完畢.

5 安全證明

定理1.在1.2節(jié)的模型下, 令Q是在有限域Fq上的橢圓曲線,q是基于秘密參數(shù)k的大素數(shù),p為Q中大素數(shù)x的一個點并且生成循環(huán)加法群G.敵手使用的Execute 查詢, R eveal 查詢, S end 查詢以及 O racle查詢的次數(shù)分別用qexcute,qreveal,qsend,qoracle來標識, 假設G在ECCDH假設條件下滿足條件, 那么該協(xié)議語義是安全的.如下:

如果他驗證密碼一直不成功, 但是卻執(zhí)行了一個滿足條件需求的新查詢, 此時他沒有一條和正確密碼有關的消息, 他選定的秘密信息Y,K也被唯一的確定下來, 則此時的成功率為.綜上可得:

本次實例里, 敵手無法獲得任何和密碼相關的信息, 那么在執(zhí)行Test時, 他可以正確預測模型硬幣的概率是,B(b=0,b=1).因此包含所有實例事件結(jié)果的綜合概率即為:

由此, 可以得出定理1正確, 協(xié)議可證明安全.

6 性能分析

由于安全性能的提升往往伴隨著算法復雜度的提升, 這就意味著可能會犧牲小部分效率, 因此, 我們將本文所提方案與傳統(tǒng)協(xié)議和最新的協(xié)議進行比較和性能分析.

我們以文獻[9]作為傳統(tǒng)協(xié)議的代表, 再以文獻[3]作為最近的改進協(xié)議作為代表與本文方案進行對比,完成一次哈希運算的效時為Eh, 完成一次乘法運算與次方運算為Ep, 假設在相同等級系統(tǒng)中運行交換, 那么數(shù)據(jù)交換次數(shù)越多, 用時越長, 我們使用Ec來表示.并且已知橢圓曲線運算的效率約比雙線性運算節(jié)約近二十倍.我們將運行效率結(jié)果通過表格展示.

由表1和表2可以看出, 本文方案在運行效率上明顯略優(yōu)于文獻[3]和文獻[9], 相比較而言文獻[3]的數(shù)據(jù)交換次數(shù)略多, 并且從安全性上, 本文方案強度顯然是高于文獻[3]和文獻[9].實際中, 我們將口令與智能卡相結(jié)合, 增加安全強度的同時, 用戶的使用體驗也會更加方便, 因此, 總體上我們的方案具有一定優(yōu)勢.

表1 效率對比

表2 性能對比

7 結(jié)束語

本文設計了一種基于口令的AKA協(xié)議方案.并利用單向hash函數(shù)和橢圓曲線上的D-H問題來保證系統(tǒng)的安全與可靠.針對基于SmartCard的AKA方案容易因為SmartCard被盜并無法防御離線密碼猜測手段.給出了一個將通信密鑰和身份驗證相結(jié)合的雙向認證方案, 最后對協(xié)議進行了安全性證明.該方案能防范多種攻擊, 并且效率運行高、實際計算量較小、實際實用性強.下一步將致力于在保證安全可用的基礎下提出效率更高的認證方法.