張曉敏

陜西省行政學(xué)院 陜西 710068

0 前言

伴隨著自組織網(wǎng)絡(luò)、移動網(wǎng)絡(luò)和普適計算等現(xiàn)代通信環(huán)境的快速發(fā)展，在跨域的環(huán)境下構(gòu)造安全的端到端信道成為必然?？缬蛘J證密鑰協(xié)商協(xié)議主要是解決此類問題的，為處于不同域中的用戶建立安全信道?？诹钜蚱淙菀子洃?，易于選取，節(jié)省存儲空間，適合實際應(yīng)用等特點成為最簡單的認證方法?？缬虻亩说蕉说目诹钫J證密鑰協(xié)商協(xié)議(C2C-PAKA)的主要目的是使分布在不同域中持有不同口令的兩個客戶端可以在各自服務(wù)器的協(xié)助下實現(xiàn)相互認證并協(xié)商出共同的會話密鑰。

2002 年，Byun等人提出了第一個跨域的端到端的認證密鑰協(xié)商協(xié)議。然而，文獻[2]指出該協(xié)議不能抵抗字典攻擊。隨后，對此協(xié)議的其它類型的攻擊或效率改進以及協(xié)議的變形在文獻[3-6]中被相繼提出。但是，這些協(xié)議的變形都僅提供了啟發(fā)式的安全分析。在文獻[7]中，Byun等人首次提出了跨域的端到端的口令認證密鑰協(xié)商協(xié)議的形式化證明方法并給出了一個具有安全性證明的協(xié)議。其后，王等人指出如果服務(wù)器之間共享的密鑰泄露，文獻[7]中的協(xié)議易遭受口令泄露模仿攻擊和中間人攻擊。在文獻[9]中，Phan等人展示了如何對文獻[7]的協(xié)議進行在線不可測字典攻擊。此外，文獻[10]指出Byun等人的安全模型中的缺點并在改進后的模型中證明了一個新的跨域的端到端認證的密鑰協(xié)商協(xié)議的安全性。然而，文獻[10]存在使用計算負載高的公鑰加密、協(xié)議的輪數(shù)沒有達到最優(yōu)并且改進的安全模型刻畫的安全性質(zhì)較少等問題。

以上的方案中用戶從對應(yīng)服務(wù)器獲得認證所需信息，而后直接通信以建立會話密鑰，這種方式稱為直接通信架構(gòu)。此外，用戶還可以采用間接通信架構(gòu)，通過相應(yīng)的服務(wù)器來建立會話密鑰，這樣就減少了用戶交互輪數(shù)。在文獻[11]中，Ota等人采用了間接通信架構(gòu)提出可普遍組合的C2C-PAKA方案，但需要的輪數(shù)較多。文獻[12-13]提出了采用間接通信架構(gòu)的跨域認證方案。但是在這兩種方案中，用戶和服務(wù)器之間共享的秘密信息僅有口令，因此，方案難以抵御密鑰泄露模仿攻擊和不可測在線字典攻擊等復(fù)雜攻擊。吳等人采用公鑰加密技術(shù)提出了一種認證方案，可以抵御不可測在線字典攻擊、未知密鑰共享攻擊和密鑰泄露模仿攻擊等，并且輪效率較高。Yoneyama等人引入服務(wù)器的公私鑰對抵抗此類攻擊。 但是，這兩個方案采用模冪運算或?qū)\算等復(fù)雜運算，通信代價和計算代價都偏高，不易于實現(xiàn)。

本文中，我們基于橢圓曲線上的離散對數(shù)問題，在直接通信架構(gòu)下給出一個跨域的口令認證的密鑰協(xié)商協(xié)議。該協(xié)議中，誠實的服務(wù)器是不能獲取任何關(guān)于會話密鑰的值。域內(nèi)服務(wù)器通過口令實現(xiàn)和用戶的相互認證，不同域的服務(wù)器之間通過公私鑰對實現(xiàn)對對方的認證，而用戶之間借助于各自域中的服務(wù)器的協(xié)助實現(xiàn)相互認證。與同類協(xié)議比較，該協(xié)議具有較小的通信負擔(dān)和計算負擔(dān)，更易于實現(xiàn)。此外，協(xié)議還能夠抵抗字典攻擊、口令泄露模仿攻擊和未知會話密鑰共享攻擊等通用攻擊類型，同時能夠?qū)崿F(xiàn)前向安全、無密鑰控制和已知會話密鑰安全等安全屬性。

1 預(yù)備知識

p是有限域Fp的元素個數(shù)，其中p是大素數(shù)(長度大于160，或p=2m，m為正整數(shù)) 。定義Fp上的橢圓曲線E：y2=x3+ax+b ，當(dāng)p＞3；或y2+xy=x3+ax2+b，當(dāng)p=2。P是E（Fp）中階為q的一個基點，q為大素數(shù)。

1.1 橢圓曲線上離散對數(shù)問題(DLP)

G是由點P生成的循環(huán)加群，給定Q，找到正整數(shù)n，使得Q=nP。

1.2 橢圓曲線Diffie-Hellman 密鑰交換協(xié)議(ECDH)

A選擇隨機數(shù)a∈Fq并計算PA=aP發(fā)送給B；B選擇隨機數(shù)b∈Fq并計算PB=bP發(fā)送給A。A和B分別計算aPB，bPA從而得到共同的會話密鑰K=（ab）P。

2 協(xié)議描述

2.1 公開參數(shù)

P是q階循環(huán)加群G的生成元， H：｛0,1｝*→｛0,1｝l是哈希函數(shù)；A,B是用戶，pwA，pwB是用戶相應(yīng)的口令；VA和VB分別是用戶A和B分別與對應(yīng)的服務(wù)器SA和SB共享的信息。此外，服務(wù)器SA和SB分別持有公私鑰對(PrSA,PKSA)和(PrSB,PKSB)。

2.2 初始化過程

本部分中，我們將給出一個安全高效的C2C-PAKA協(xié)議NC2C-PAKA。該協(xié)議中有四個參與方，分別為A，SA，B和SB，其中A和B分別處于SA和SB的域中。

初始化階段：客戶端A、B和相應(yīng)的服務(wù)器共享利用算法gpw獲取的口令pw，SA和SB分別存儲A、B的驗證元：VA=H（IDSA,IDA,pwA）P ，VB=H（IDSB,IDB,pwB）P 。此外，初始化階段還定義了一系列的密碼學(xué)函數(shù)和參數(shù)，例如Hash函數(shù)等。

算法gpw口令生成算法：從口令字典中隨機選取口令pw給客戶端。

算法?注冊算法：客戶端將其口令pw與其服務(wù)器共享，服務(wù)器同時將其選取的公開參數(shù)發(fā)送給客戶端。

協(xié)議描述 NC2C-PAKA協(xié)議的具體描述見下文，協(xié)議運行的一個實例如圖1所示。

(1) A選取隨機值rA∈Zq*，計算TA=rAPKSA+H(IDA,pwA)P 和RA=rAP。隨后，A利用TA加密消息｛IDA,IDB,IDSA,IDSB,RA｝，然后將加密結(jié)果和RA一起發(fā)送給SA。

(2) 收到消息后，SA先利用RA計算TA′=PrSARA+VA，然后用TA′解密收到的消息，將解密后的消息和接收到的消息進行對比。如果各項數(shù)值不一致，則協(xié)議終止。如果驗證成功，SA選取sA∈Zq*，計算，然后利用KAB加密消息｛IDA,IDB,IDSA,IDSB,R*A｝ ，并將加密結(jié)果發(fā)送至SB。

(3) 與此同時，B和SB同樣執(zhí)行步驟(1)(2)中相應(yīng)的操作。

(4) SA收到加密消息｛IDB,IDA,IDSB,IDSA,RB*｝后，用KAB解密消息，對比各參與方的身份信息。如果驗證沒有通過，協(xié)議中止。否則，SA計算，然后將消息發(fā)送給A。

(5) 同時，SB將會收到加密消息｛IDA,IDB,IDSA,IDSB,R*A｝，用KAB解密消息，對比各參與方的身份信息。如果驗證沒有

通過，協(xié)議終止。否則，SB計算，然后將消息發(fā)送給B。

(6) A收到SA的消息后，利用接收到的計算并驗證α′=?α。如果驗證失敗，則協(xié)議終止。否則，A按如下方式計算最終的會話密鑰：

(7) B執(zhí)行和A在第五步中類似的操作，通過驗證收到的消息β來驗證的合法性。如果驗證通過，則按如下方式計算和A的共同會話密鑰：

正確性：如下所述，誠實執(zhí)行協(xié)議后，各用戶能夠計算獲得相同的會話密鑰。

圖1 NC2C-PAKA協(xié)議運行實例

3 效率和安全性分析

3.1 效率分析

我們分析協(xié)議的通信、計算和輪復(fù)雜度以及存儲開銷和實現(xiàn)成本。我們的協(xié)議中，用戶A和服務(wù)器SA與用戶B和服務(wù)器SB各自之間的交互是同步進行的。此外，服務(wù)器SA和SB之間的信息傳遞也是并行的。因此，我們減少了通信步驟，降低了通信代價。與同類協(xié)議比較，我們的協(xié)議避免了消耗較高的模冪運算和對運算。具體比較結(jié)果如表1所示。為了比較計算復(fù)雜度，我們使用了下列符號表示消耗的時間以及采用如下對比關(guān)系： TS表示一次對稱加密所需時間；TPa表示一次對運算所需時間；TMul表示一次點乘運算所需時間；TExp表示一次模冪運算所需時間，并且1TExp?240TMul；TEC Mul表示一次橢圓曲線上的點乘運算所需的時間，1TECMul?29TMul；由于哈希運算所需時間較少，在此我們將其忽略。

表1 效率比較

3.2 安全性分析

(1) 抵抗字典攻擊。首先，在離線字典攻擊中，攻擊者利用其截獲的信息驗證猜測的口令是否正確。該協(xié)議中，以用戶A為例，協(xié)議中傳遞的信息與口令相關(guān)的僅有以TA′作為部分輸入的和以TA加密的消息｛IDA,IDB,IDSA,IDSB,RA｝。攻擊者在各輪中通信中截獲這些信息，由于TA′=PrSARA+VA和TA=rAPKSA+H(IDA,pwA)P，這里，PrSA是服務(wù)器SA的私鑰，rA是用戶選取的隨機數(shù)，公開信道上傳遞是其橢圓曲線上的離散對數(shù)形式RA。因此，敵手沒有足夠的信息來驗證其猜測的口令是否正確。離線字典攻擊可以避免。其次，本協(xié)議可以抵抗在線字典攻擊，因為服務(wù)器A在解密消息后需要驗證被加密的信息是否和自己掌握的信息一致，以此來確定用戶是否真正知道口令。一旦驗證失敗，服務(wù)器就會意識到是誰的口令已經(jīng)作為在線字典攻擊的目標(biāo)了。如果失敗的次數(shù)超過預(yù)定的門限值，服務(wù)器A就會通知該用戶停止使用該口令并啟用新的口令。

(2) 抵抗口令泄露模仿攻擊。口令泄露模仿攻擊是指如果一個用戶的口令泄露，敵手可以偽裝成其它用戶來和該用戶進行交互協(xié)商會話密鑰，以達到其攻擊目的。本協(xié)議中，假設(shè)用戶A(B)的口令泄露，敵手可以利用該口令計算口令信息VA=H（IDSA,IDA,pwA）P 或 (VB=H（IDSB,IDB,pwB）P )，但敵手仍然無法獲取服務(wù)器SA(SB)的私鑰信息PrSA(PrSB)。因此，敵手仍然不能計算有效的驗證信息α(β)，也就是說，敵手不能成功偽裝為服務(wù)器與用戶進行交互。我們的協(xié)議能夠抵抗口令泄露模仿攻擊。

(3) 抵抗未知會話密鑰共享攻擊。未知會話密鑰共享攻擊是指敵手致使用戶A認為自己與用戶B共享了一個會話密鑰，實際上這個會話密鑰是用戶A和敵手共享的。產(chǎn)生此類攻擊的根本原因是協(xié)議執(zhí)行時用戶身份信息被替換，同時其它參與方?jīng)]有發(fā)現(xiàn)。我們的協(xié)議中， 協(xié)議所有參與方的身份信息均和協(xié)議運行的其它信息一起經(jīng)過只有通信雙方才能產(chǎn)生的密鑰加密傳遞的，接收方可以驗證發(fā)送方的消息是否被篡改。因此，我們的協(xié)議從根本上避免了此類問題的發(fā)生，協(xié)議能夠抵抗未知會話密鑰共享攻擊。

(4) 前向安全性。由于最終的會話密鑰是由隨機數(shù)構(gòu)成的，而隨機數(shù)是由各參與方隨機選取的，在協(xié)議交互過程中，傳遞的信息是隨機數(shù)所對應(yīng)的離散對數(shù)形式。由于離散對數(shù)問題的困難性，攻擊者即使獲得用戶與服務(wù)器的長期密鑰，仍然無法獲得隨機數(shù)，因此不能計算出會話密鑰。所以協(xié)議提供前向安全性。

(5) 無密鑰控制。協(xié)議使用Diffie-Hellman密鑰交換協(xié)議的思想?yún)f(xié)商會話密鑰，此外rA是由用戶A隨機選取的，sA是由服務(wù)器SA隨機選取的，rB是由用戶B隨機選取的，sB是由服務(wù)器SB隨機選取的。因此，任何一方不能單獨控制會話密鑰的選擇，達到了協(xié)議無密鑰控制的目的。

(6) 已知會話密鑰安全。攻擊者攻破一次通信的會話密鑰，無助于攻破另一次通信的會話密鑰。這是因為通信雙方最終得到的會話密鑰是由隨機數(shù)構(gòu)成，由于兩次通信使用的是不同的隨機數(shù)，這種隨機數(shù)的不相關(guān)性使得攻擊者即使攻破了一個會話密鑰也無法利用該信息攻破另一次通信的會話密鑰，以此實現(xiàn)已知密鑰安全。

[1] Byun J.,Jeong I.,Lee D.,et al.Springer Berlin/Heidelberg.2002.

[2] Chen L. A weakness of the password-authenticated key agreement between clients with different passwords scheme.ISO/IEC JTC 1/SC27 N3716.

[3] Kim J.,Kim S.,Kwak J. et al.Springer Berlin/Heidelberg.2004.

[4] Byun J.W.,Jeong I.R., Lee D.H.,et al.assword-Authenticated Key Exchange between Clients with Different Passwords.In Proceedings of Proceedings of the 4th International Conference on Information and Communications Security.2002.

[5] Phan R.,Goi B.M.Springer Berlin/Heidelberg.2005.

[6] Wang S.,Wang J.,Xu M.Springer Berlin/Heide lberg. 2004.

[7] Byun J.W.,Lee D.H.,Lim J.I.EC2C-PAKA：An efficient client-to-client password-authenticated key agreement[J].Information Science.2007.

[8] J. Wang, Y.Z.Cryptanalysis of a client-to-client password--authenticated key agreement protocol.2008.

[9] Phan R., Goi B.M.Springer Berlin/Heidelberg.2006.

[10] Feng D.G.,Xu J.Springer Berlin/Heidelberg.2009.

[11] Ota,.,Yoneyama,K.,Kiyomoto,S.,Tanak,T.,Ohta,K.Universal ly Compos-able Client-to-Client General Authenticated Key Exchange[J]. IPSJ Journal.2007.

[12] Yin,Y.,Bao, L.Secure Cross-Realm C2C-PAKE Protocol.In：Batten,L.M.,Safavi-Naini,R.(eds.) ACISP 2006.LNCS,4058,Springer,Heidelberg (2006).

[13] Wang,F.,Zhang,Y.A New Security Model for Cross-Realm C2C-PAKE Protocol.In： Cryptology ePrint Archive：2007/342(2007).

[14] Wu, S.,Zhu, Y.Password-Authenticated Key Exchange between Clients in a Cross-Realm Setting.In： Cao,J.,Li,M.,Wu,M.-Y.,Chen, J.(eds.) NPC 2008. LNCS,vol.5245, pp. 94-104.Springer, Heidelberg (2008).

[15] Kazuki Yoneyama, Haruki Ota, Kazuo Ohta. Secure cross-realm client-to-client password-based authenticated key exchange against undetectable on-line dictionary attacks.Proceedings of the 17th international conference on Applied algebra, algebraic algorithms and error-correcting codes,Bangalore, India, 257-266, Springer-Verlag(2007).