項(xiàng)順伯，趙晶英，柯文德

（1.廣東石油化工學(xué)院 計(jì)算機(jī)與電子信息學(xué)院，廣東 茂名525000；2.廣東石油化工學(xué)院 機(jī)電工程學(xué)院，廣東 茂名525000）

兩方口令認(rèn)證密鑰交換協(xié)議是服務(wù)器以用戶的口令或口令驗(yàn)證值為認(rèn)證信息去證實(shí)用戶的身份，從而在兩者間建立一個(gè)安全的會(huì)話密鑰.兩方口令認(rèn)證密鑰交換協(xié)議存在諸多針對(duì)口令的攻擊，如服務(wù)器泄漏偽裝攻擊、字典攻擊等.因此，設(shè)計(jì)一個(gè)安全的口令認(rèn)證密鑰交換協(xié)議是研究的難題.以口令驗(yàn)證值為內(nèi)容的口令認(rèn)證密鑰交換協(xié)議是近年來(lái)的研究熱點(diǎn).閾下信道的概念是由Simmons首次提出的［1］，它是指在基于公鑰密碼機(jī)制的數(shù)字簽名、認(rèn)證等密碼體制中建立起的一種隱秘信道，除發(fā)送者和指定的接收者外，任何人都不知道傳輸?shù)拿艽a數(shù)據(jù)內(nèi)容中是否存在閾下信息［2］.自從閾下信道提出后，學(xué)者對(duì)其進(jìn)行了相關(guān)的研究.楊建萍等［3］基于閾下信道問(wèn)題提出一種口令認(rèn)證方案.Lee等［4］提出一種兩方口令認(rèn)證密鑰交換協(xié)議PAKA－X，該協(xié)議基于口令驗(yàn)證值問(wèn)題，能抵御服務(wù)器泄漏偽裝攻擊.Kwon［5］提出一種一輪的基于驗(yàn)證值的口令認(rèn)證密鑰交換協(xié)議，并在理想哈希模型下證明了協(xié)議的安全性，該協(xié)議適用于傳輸層安全（TLS）的協(xié)議.粟栗等［6］提出一種改進(jìn)的簽密方案，利用該方案設(shè)計(jì)了一個(gè)門(mén)限閾下信道方案.譚示崇等［7］提出一種改進(jìn)的PAKA－X協(xié)議，但改進(jìn)的協(xié)議實(shí)現(xiàn)過(guò)程復(fù)雜，計(jì)算量大.李文敏等［8］提出一種基于驗(yàn)證值的三方口令認(rèn)證密鑰交換協(xié)議.Pointcheval等［9］綜述了口令認(rèn)證密鑰交換協(xié)議的通用構(gòu)造方法.Fujioka等［10］提出口令認(rèn)證密鑰交換協(xié)議的GC協(xié)議的通用結(jié)構(gòu)，在CK＋模型下證明其安全性.HUANG等［11］提出了應(yīng)用于ad hoc網(wǎng)絡(luò)的帶有匿名門(mén)限閾下信道的多簽名方案.張應(yīng)輝等［12］研究了EDL簽名中的閾下信道封閉協(xié)議問(wèn)題.張興愛(ài)等［13］研究了廣播多重簽名方案中閾下信道的封閉協(xié)議問(wèn)題.本文基于閾下信道問(wèn)題，以用戶的口令明文作為閾下信息，提出一種基于閾下信道的兩方口令認(rèn)證密鑰交換協(xié)議.

1 基于閾下信道的兩方口令認(rèn)證密鑰交換協(xié)議

基于閾下信道的兩方口令認(rèn)證密鑰交換協(xié)議，簡(jiǎn)稱(chēng)PAKE.協(xié)議中，用戶U和服務(wù)器S組成一個(gè)系統(tǒng)，其交互流程圖，如圖1所示.協(xié)議由以下3個(gè)方面組成［3，5，9－10］.

1.1 系統(tǒng)建立

系統(tǒng)選擇大素?cái)?shù)p，q，滿足q｜p－1，g是Zq＊的生成元，其階為q；系統(tǒng)選擇1個(gè)無(wú)碰撞的單向哈希函數(shù)H∶（0，1）＊－（0，1）1，公開(kāi)參數(shù)p，q，g，H，l.用戶U選擇xU∈RZp＊作為其私鑰，計(jì)算公鑰yU＝gxUmodp，用戶U的身份標(biāo)識(shí)符為IDU，U公開(kāi)參數(shù)yU和IDU.

身份標(biāo)識(shí)符為IDS的服務(wù)器S選擇私鑰xS∈RZ＊p，其公鑰yS＝gxSmodp，S公開(kāi)參數(shù)yS和IDS.pw為用戶U的口令明文，U計(jì)算口令pw的驗(yàn)證值v＝gH（IDU‖IDS‖pw），并通過(guò)秘密信道把v傳給服務(wù)器S保存.

圖1 PAKE的交互流程圖Fig.1 Interactive flow chart of PAKE

1.2 含有閾下信息簽名的產(chǎn)生

用戶U選擇a∈RZ＊q，計(jì)算c＝gamodp和t＝y(tǒng)aSmodp，計(jì)算r＝pw·g－tmodp，s＝a－xU·rmodp，則含有閾下信息的簽名為（c，r，s），用戶U向服務(wù)器S發(fā)送信息（c，r，s，IDU，IDS）.

服務(wù)器S收到用戶U的簽名消息后進(jìn)行閾下信息的恢復(fù)，服務(wù)器通過(guò)其私鑰xS計(jì)算t′＝cxSmodp，再計(jì)算用戶的口令明文rpw＝r·gt′modp即可恢復(fù)出閾下信息.

1.3 會(huì)話密鑰的建立

服務(wù)器S通過(guò)恢復(fù)出的pw計(jì)算v′＝gH（IDU‖IDS‖pw），比較v和v′，若v≠v′，終止協(xié)議的執(zhí)行；否則實(shí)現(xiàn)對(duì)用戶身份的驗(yàn)證.在證實(shí)用戶的身份后，服務(wù)器S選擇b∈RZ＊q，計(jì)算d＝gbmodp，e＝gabmodp，v″＝H（IDU‖IDS‖v‖d），S向用戶U發(fā)送消息（d，v″，IDU，IDS），并計(jì)算與用戶U的會(huì)話密鑰KSU＝H（IDU‖IDS‖v‖e）.

用戶U收到消息后，首先計(jì)算v?＝H（IDU‖IDS‖v‖d），如果v″≠v?，終止協(xié)議的執(zhí)行；否則，計(jì)算f＝gbamodp，并將計(jì)算出的KSU＝H（IDU‖IDS‖v‖f）作為其與服務(wù)器的會(huì)話密鑰.明顯，e＝gbamodp＝f，所以，用戶和服務(wù)器計(jì)算出的會(huì)話密鑰是一致的.

2 協(xié)議安全性分析

2.1 含有閾下信息簽名的安全性分析

2.1.1 含有閾下信息簽名的不可偽造性 因?yàn)橹挥泻戏ㄓ脩舨艙碛凶约旱目诹蠲魑?，攻擊者沒(méi)有用戶的口令明文，無(wú)法偽造有效的簽名.假設(shè)攻擊者隨機(jī)選擇一個(gè)口令pw′，與用戶的口令pw相比，pw′≠pw，攻擊者選擇a∈RZ＊q，計(jì)算c′＝gamodp，t＝y(tǒng)aSmodp，r′＝pw′·g－tmodp，接著計(jì)算s′＝k－xU·r′modp，則含有閾下信息的偽造簽名為（c′，r′，s′）.

服務(wù)器S收到含有閾下信息的簽名消息后計(jì)算t′＝c′sS，然后計(jì)算出閾下信息，用戶的口令pw′＝r′·g－t′modp，接著服務(wù)器S計(jì)算v′＝H（IDU‖IDS‖pw′）.通過(guò)比較發(fā)現(xiàn)v≠v′，證實(shí)用戶的身份失敗，從而終止協(xié)議的執(zhí)行.因此，攻擊者無(wú)法針對(duì)合法用戶偽造出有效的簽名.

2.1.2 含有閾下信息簽名的公開(kāi)可驗(yàn)證性 PAKE中，任何人都可以通過(guò)獲得的公開(kāi)信息去計(jì)算c＝gs·yrUmodp，以實(shí)現(xiàn)簽名有效性的驗(yàn)證.因?yàn)間s·yrUmodp＝gk－xUr·gxUrmodp＝gamodp＝c，所以協(xié)議中閾下信息的簽名具有公開(kāi)可驗(yàn)證性.

2.2 前向安全性

PAKE中，前向安全性是指在某次會(huì)話過(guò)程中，即使攻擊者知道了用戶的口令明文pw，也無(wú)法計(jì)算該次會(huì)話之前的會(huì)話密鑰.因?yàn)槊看螘?huì)話中，服務(wù)器和用戶分別選擇的隨機(jī)數(shù)a和b都不完全相同，又因?yàn)殡x散對(duì)數(shù)困難問(wèn)題，攻擊者無(wú)法從c＝gamodp和d＝gbmodp中分別計(jì)算出a和b，于是攻擊者無(wú)法計(jì)算出e＝gabmodp和f＝gbamodp，從而攻擊者無(wú)法計(jì)算出最終的會(huì)話密鑰KUS.所以，文中的PAKE是前向安全的.

2.3 抵御字典攻擊

字典攻擊是指攻擊者針對(duì)用戶的口令發(fā)起的攻擊，通過(guò)猜測(cè)和分析去獲得用戶的口令明文，字典攻擊可分為在線字典攻擊和離線字典攻擊兩種.在線字典攻擊是指攻擊者隨機(jī)選擇一個(gè)口令，通過(guò)截獲的公開(kāi)信息偽裝成合法用戶與服務(wù)器會(huì)話，通過(guò)多次試探，從而猜測(cè)出用戶的口令.離線字典攻擊是指攻擊者通過(guò)分析截獲的公開(kāi)會(huì)話信息，從中分析計(jì)算出用戶的口令明文.

2.3.1 抵御在線字典攻擊 假設(shè)攻擊者隨機(jī)1個(gè)口令pw′≠pw，通過(guò)截獲用戶的公開(kāi)信息（c，r，s，IDU，IDS），偽造出另一組含有閾下信息的簽名（c，r′，s′，IDU，IDS）.其中：r′＝pw′·g－tmodp；s′＝kxU·r′modp.服務(wù)器收到該簽名信息后，通過(guò)計(jì)算恢復(fù)出閾下信息，即用戶口令明文pw′.接著，服務(wù)器計(jì)算用戶口令驗(yàn)證值v′＝H（IDU‖IDS‖pw′），通過(guò)比較發(fā)現(xiàn)v′≠v，服務(wù)器認(rèn)為用戶身份信息不安全，從而終止協(xié)議的執(zhí)行，攻擊者的在線字典攻擊無(wú)法成功.事實(shí)上，如果攻擊者嘗試該類(lèi)攻擊，就陷入了簽名的偽造性.前文已經(jīng)分析過(guò)，文中PAKE簽名是不可偽造的，所以，文中的PAKE是能抵御在線字典攻擊的［8］.

2.3.2 抵御離線字典攻擊 文中的PAKE中，攻擊者無(wú)法實(shí)施離線字典攻擊，因?yàn)橛脩艉头?wù)器會(huì)話過(guò)程中，僅r＝pw·g－tmodp和v″＝H（IDU‖IDS‖pw‖d）含有用戶的口令明文.由于r是閾下信息，攻擊者無(wú)計(jì)可施，又因哈希函數(shù)的特性，攻擊者無(wú)法選擇pw′，使得v″＝H（IDU‖IDS‖pw‖d）＝H（IDU‖IDS‖pw′‖d）.因此，PAKE能抵御離線字典攻擊.

2.4 抵御服務(wù)器泄漏偽裝攻擊

抵御服務(wù)器泄漏偽裝攻擊是指服務(wù)器遭受攻擊或惡意泄漏后，用戶的口令驗(yàn)證值泄漏給攻擊者，攻擊者偽裝成合法用戶去登錄服務(wù)器.PAKE協(xié)議中，假設(shè)服務(wù)器存儲(chǔ)的用戶口令驗(yàn)證值v＝H（IDU‖IDS‖pw）泄漏給攻擊者，由于哈希函數(shù)的特性，攻擊者無(wú)法獲得正確的口令明文，如果攻擊者偽裝成合法用戶去登錄服務(wù)器，必然隨機(jī)選擇一個(gè)口令pw′≠pw，然后偽造一個(gè)含有閾下信息的簽名（c′，r′，s′）.前文已經(jīng)分析過(guò)，PAKE中的簽名不可偽造，于是攻擊者的偽裝是不成功的.因此，文中的PAKE能抵御服務(wù)器泄漏偽裝攻擊.

3 協(xié)議運(yùn)行效率分析

所提出的PAKE中，協(xié)議的主要計(jì)算體現(xiàn)在指數(shù)運(yùn)算、點(diǎn)乘運(yùn)算和哈希運(yùn)算等上.用戶簽名的產(chǎn)生需要3次指數(shù)運(yùn)算，2次點(diǎn)乘運(yùn)算，服務(wù)器恢復(fù)閾下信息需要2次指數(shù)運(yùn)算和1次點(diǎn)乘運(yùn)算，省去了簽名驗(yàn)證的大量運(yùn)算.建立會(huì)話密鑰時(shí)，服務(wù)器只需2次指數(shù)運(yùn)算和3次哈希函數(shù)的運(yùn)算，用戶僅需1次點(diǎn)乘運(yùn)算和2次哈希運(yùn)算.

文獻(xiàn)［5］的協(xié)議用了9次指數(shù)運(yùn)算，3次哈希運(yùn)算，3次點(diǎn)乘運(yùn)算，3次除運(yùn)算，與文中的PAKE相比，計(jì)算量稍大一些.文獻(xiàn)［7］改進(jìn)的協(xié)議中，指數(shù)運(yùn)算有9次，哈希運(yùn)算有10次，盡管沒(méi)有使用點(diǎn)乘運(yùn)算，但用了4次異或運(yùn)算.與文獻(xiàn)［7］的協(xié)議相比，文中協(xié)議計(jì)算量小，因而效率更高.

4 結(jié)束語(yǔ)

設(shè)計(jì)一個(gè)基于閾下信道問(wèn)題的兩方口令認(rèn)證的密鑰交換協(xié)議.協(xié)議利用服務(wù)器存儲(chǔ)用戶口令的驗(yàn)證值，用戶發(fā)送含有口令閾下信息的簽名給服務(wù)器，服務(wù)器驗(yàn)證簽名并通過(guò)恢復(fù)出的閾下信息實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證.通過(guò)分析可知：文中的協(xié)議避免了一些針對(duì)口令認(rèn)證密鑰交換協(xié)議的攻擊，如服務(wù)器泄漏偽裝攻擊、字典攻擊等；同時(shí)，與其他協(xié)議比較，文中的協(xié)議所需計(jì)算量小，效率更好.文中的協(xié)議可以用于現(xiàn)有的用戶端／服務(wù)器（U／S）的環(huán)境中，從而實(shí)現(xiàn)服務(wù)器對(duì)用戶的身份認(rèn)證及認(rèn)證后的交互過(guò)程.

［1］SIMMONS G J.The prisoner′s problem and the subliminal channel［C］∥Proceedings IEEE Workshop Communica－tions Security CRYPTO.New York：［s.n.］，1983：51－67.

［2］SIMMONS G J.The history of subliminal channels［J］.IEEE Journal on Selected Areas in Communication，1998，16（4）：452－462.

［3］楊建萍，周賢偉，楊軍.基于閾下信道技術(shù)的身份認(rèn)證機(jī)制研究［J］.微電子學(xué)與計(jì)算機(jī)，2004，21（12）：195－197.

［4］LEE S W，KIM W H，KIM H S，et al.Efficient password－based authenticated key agreement protocol［C］∥International Conference on Computer Science and Applications.Perugia：Springer－Verlag，2004：617－626.

［5］KWON J O，SAKURAI K，LEE D H.One－round protocol for two－party verifier－based password－authenticated key exchange［C］∥Communications and Multimedia Security.Heraklion：［s.n.］，2006：87－96.

［6］粟栗，崔國(guó)華，李俊，等.基于簽密的分布式安全門(mén)限閾下信道方案［J］.小型微型計(jì)算機(jī)系統(tǒng)，2007，28（12）：2153－2157.

［7］譚示崇，張寧，王育民.新的口令認(rèn)證密鑰協(xié)商協(xié)議［J］.電子科技大學(xué)學(xué)報(bào)，2008，37（1）：17－19.

［8］李文敏，溫巧燕，張華.基于驗(yàn)證元的三方口令認(rèn)證密鑰交換協(xié)議［J］.通信學(xué)報(bào)，2008，29（10）：150－152.

［9］POINTCHEVAL D.Password－based authenticated key exchange［C］∥Proceedings of 15th IACR International Conference on Practice and Theory of Public－Key Cryptography.Darmstadt：Springer－Verlag，2012：390－397.

［10］FUJIOKA A，SUZUKI K，XAGAWA K，et al.Strongly secure authenticated key exchange from factoring，codes，and lattices［C］∥Proceedings of 15th IACR International Conference on Practice and Theory of Public－Key Cryptography.Darmstadt：Springer－Verlag，2012：467－484.

［11］HUANG Zhen－jie，CHEN Dan，WANG Yu－min.Multi－signature with anonymous threshold subliminal channel for ad－h(huán)oc environments［C］∥19th International Conference on Advanced Information Networking and Applications.Tamshui：IEEE Press，2005：67－71.

［12］張應(yīng)輝，馬華，王保倉(cāng).EDL簽名中可證明安全的閾下信道封閉協(xié)議［J］.計(jì)算機(jī)科學(xué)，2010，37（9）：72－74.

［13］張興愛(ài)，張應(yīng)輝，史來(lái)婧.廣播多重簽名方案中閾下信道的封閉協(xié)議［J］.計(jì)算機(jī)工程，2011，37（22）：102－104.