李書哲++張云勝

【 摘 要 】 論文以會話初始化協(xié)議（SIP）通信的安全問題為背景，提出了新的基于三因素的匿名可認證密鑰協(xié)商協(xié)議。該協(xié)議采用安全性較高的橢圓曲線密碼算法，在保護用戶身份信息的前提下，能在用戶與服務(wù)器相互認證的過程中協(xié)商出共享會話密鑰，實驗結(jié)果表明本文提出的認證協(xié)議具有較高的安全性和執(zhí)行效率，滿足VoIP語音通信的認證需求。

【 關(guān)鍵詞 】 VoIP；SIP；匿名認證；密鑰協(xié)商

【 中圖分類號 】 TP309

【 文獻標(biāo)識碼 】 A

Research on A New Three Factors

Anonymous Authenticated Key Agreement Protocol Using Smart Card

Li Shu-zhe 1 Zhang Yun-sheng 2

（1.Hubei Wuchang Experimental High School HubeiWuhan 430072；

2.China University of Geosciences HubeiWuhan 430074）

【 Abstract 】 In this paper， to the SIP communication security issues， a new three factors anonymous authenticated key agreement protocol using smart card was proposed. The proposed scheme adopts elliptic curve cryptographic algorithms with high security， session key can be negotiated in the process of mutual authentication between user and server. The experimental results show that the proposed authentication protocol has high security and efficiency， and can meet the requirements of VoIP voice communication.

【 Keywords 】 voip；sip；anonymous authentication；key agreement

1 引言

VoIP（Voice over Internet Protocol）是一種將語音技術(shù)集成于IP協(xié)議之中的全新的通訊方式，VoIP技術(shù)將待傳輸?shù)穆曇粜盘栠M行壓縮編碼，最后以分組數(shù)據(jù)包的形式通過互聯(lián)網(wǎng)實現(xiàn)語音傳輸[3]。

從2005年開始，國內(nèi)外有就許多學(xué)者對VoIP通信的認證協(xié)議進行了研究。Yang等人[4]提出了基于DH密鑰交換的認證機制，然而該協(xié)議很快被證明無法抵抗離線口令猜測攻擊。2009年，Wu等人[5]提出了基于橢圓曲線加密算法的認證方案，并通過Canetti-Krawczyk安全模型[6]證明了其安全性，然而該協(xié)議存在共享密鑰的分配問題，導(dǎo)致該協(xié)議難以在VoIP系統(tǒng)中實現(xiàn)。2010年，Yoon和Yoo等人[7]指出Wu等人的認證協(xié)議無法抵抗離線口令猜測攻擊、Denning-Sacco攻擊和驗證列表盜竊攻擊，并基于橢圓曲線加密算法提出了新的認證協(xié)議。2012年，Xie等人[8]證明了Yoon等人提出的協(xié)議同樣無法抵抗離線口令猜測攻擊和驗證列表盜竊攻擊，并基于橢圓曲線加密算法提出了改進的協(xié)議來解決這些安全問題。2013年，Arshad和Ikram等人[9]提出Xie等人的協(xié)議不僅同樣無法抵抗上述兩種攻擊，而且還無法提供良好的已知密鑰安全性和前向安全性。

盡管諸多學(xué)者對基于VoIP的密鑰協(xié)商協(xié)議進行了不斷的研究[10-14]，我們發(fā)現(xiàn)上述研究存在一定局限性：未考慮用戶隱私保護問題。在認證過程中，用戶的真實身份采用明文傳輸，因此敵手可以通過竊聽等方式獲取用戶的真實身份，從而實施有針對性的攻擊。針對以上問題，本文提出一種基于三因素的匿名可認證密鑰協(xié)商方案來彌補上述研究的局限性，并對提出協(xié)議的安全性和性能進行了分析。

2 基于三因素的匿名可認證密鑰協(xié)商方案

在SIP的可認證密鑰協(xié)商協(xié)議中，Tu等人提出的協(xié)議存在服務(wù)器欺騙攻擊和中間人攻擊等安全威脅，存在較大的安全隱患。本文在提出基于橢圓曲線加密體制，采用生物特征，智能卡和口令三因素實現(xiàn)相互認證和密鑰協(xié)商，并在認證過程中保證用戶的匿名性。本協(xié)議由三個模塊組成：初始化模塊，注冊模塊和登錄認證模塊。

2.1 初始化模塊

設(shè)系統(tǒng)參數(shù)為（p，a，b，P，n），其中p是一個大素數(shù)，a和b是有限域FP中的元素，確定了一條橢圓曲線E：y2=x3+ax+b（a，b∈FP）。SIP服務(wù)器選擇基點P∈E（FP），其階為n，服務(wù)器S首先隨機選取一個主密鑰s和三個哈希函數(shù)h（·）：{0，1}*→{0，1}k，h1（·）：G×{0，1}*→{0，1}k和h2（·）：G×{0，1}*×{0，1}*×{0，1}*→{0，1}k。然后，服務(wù)器計算公鑰Ppub=sP，最后將EP（a，b），Ppub，h（·），h1（·）和h2（·）公開，將s作為密鑰保管。

2.2 注冊模塊

在VoIP系統(tǒng)中，當(dāng)一個新用戶Ui準(zhǔn)備向服務(wù)器S進行注冊時，執(zhí)行如下操作。

Ui首先選取自己的用戶名IDi，登錄口令PWi，錄入并提取指紋特征Bi，選擇一個隨機數(shù)r∈Z■■，計算Ki，Mi和Ni，隨后將注冊請求信息REG（IDi ，Ki ）通過安全方式傳送給服務(wù)器S。

Ki =h（PWi ？茌IDi ）

Mi = r ？茌Ki

Ni = r ？茌Bi

服務(wù)器S接收到注冊請求消息REG（IDi ，Ki ）后，首先在數(shù)據(jù)庫中查找用戶Ui申請的用戶名IDi是否已經(jīng)被使用，如果該用戶名已被其他用戶注冊，服務(wù)器S則要求用戶Ui選取新的用戶名并重新發(fā)送注冊請求，若該用戶名可用，服務(wù)器則用主密鑰s計算Vi和Wi，并將消息{Wi}存儲在智能卡SCi中，然后通過安全的方式遞交給用戶Ui。

Vi =h（ IDi ？茌 s）

Wi =Vi ？茌Ki =h（ IDi ？茌 s）？茌h（PWi ？茌IDi ）

用戶Ui接收到服務(wù)器S發(fā)放的智能卡SCi（Wi）后，將Mi和Ni存入智能卡SCi中，至此注冊過程結(jié)束，智能卡SCi中存儲的消息為{Wi，Mi，Ni}。

2.3 登錄認證模塊

合法用戶Ui首先在讀卡器中插入智能卡SCi，輸入用戶名IDi和口令PWi，并錄入提取指紋特征信息Bi'■。智能卡SCi會根據(jù)用戶輸入的身份信息進行驗證，如果驗證通過則會創(chuàng)建認證請求消息。當(dāng)用戶Ui通過服務(wù)器S的認證后，服務(wù)器將會返回一條消息作為用戶Ui對服務(wù)器的認證憑據(jù)，同時雙方認證過程中協(xié)商出共享的會話密鑰。

用戶Ui在讀卡設(shè)備中插入智能卡SCi，輸入用戶名IDi和口令PWi，并錄入提取指紋特征信息Bi'■。智能卡SCi首先根據(jù)用戶的輸入計算Ni'■：

r=Mi ？茌Ki =Mi ？茌h（PWi ？茌IDi ）

Ni' = r ？茌Bi'■

智能卡將計算得到的Ni'與智能卡中存儲的Ni進行對比得到？駐（Ni，Ni'），如果該值不在規(guī)定的閾值范圍內(nèi)，則拒絕該用戶的登錄請求；若？駐（Ni，Ni'）的值在規(guī)定的閾值范圍內(nèi)，智能卡SCi將接受該用戶的登錄請求，并選取兩個隨機數(shù)m1，m2∈Z■■，計算Qi，Vi，Ri和Si，并將認證請求消息REQUEST（Ri，Qi，Si，m2）通過公開信道發(fā)送給服務(wù)器S：

Qi =m1 P

Vi = Wi ？茌Ki

Ri = IDi ？茌h（（m1 Ppub ）X || m2 || （m1 Ppub ）Y）

Si = h（IDi || Vi || h（（m1 Ppub ）X || m2 || （m1 Ppub ）Y））

服務(wù)器S接收到用戶端發(fā)送的認證請求消息REQUEST（Ri，Qi，Si，m2），首先提取用戶身份信息IDi，并在數(shù)據(jù)庫中檢查提取的用戶名IDi是否有效，若該用戶名無效，服務(wù)器S直接終止該次會話，若該用戶名有效，服務(wù)器則繼續(xù)計算Vi和Si：

IDi =Ri ？茌h（（sQ1 ）X || m2 || （sQ1 ）Y）

Vi = h（IDi ？茌s）

Si ■ h（IDi || Vi || h（（sQ1 ）X || m2 || （sQ1 ）Y））

服務(wù)器S通過判斷上述等式是否成立，來驗證用戶Ui的身份，若上述等式不成立，服務(wù)器S認為該用戶不是合法用戶，并結(jié)束該會話；若等式成立，則對用戶Ui的身份驗證通過，服務(wù)器S繼續(xù)選取隨機數(shù)n1，n2∈Z■■，計算會話密鑰SK和認證消息AuthS，并將挑戰(zhàn)消息CHALLENGE（realm，Ci，n2，AuthS ）通過公開的信道傳送給用戶Ui：

Ci =n1P

Hi =n1Qi

SK=h1 （ Hi || IDi ）

AuthS =h2 （ Hi || SK || Vi || n2 ）

用戶Ui接受到服務(wù)器S的挑戰(zhàn)消息CHALLENGE（realm，Ci，n2，AuthS ），計算Hi和SK，并驗證AuthS：

Hi =m1Ci

SK=h1 （ Hi || IDi ）

AuthS ■h2 （ Hi || SK || Vi || n2 ）

用戶Ui通過判斷上述等式是否成立，來驗證服務(wù)器S的身份，若上述等式不成立，用戶Ui認為S不是合法的服務(wù)器，并終止該次會話；若等式成立，則用戶Ui對服務(wù)器S的身份驗證通過，并繼續(xù)計算認證消息AuthS ，將應(yīng)答消息RESPONSE（realm，Authu ）通過公開信道傳送給服務(wù)器S。

Authu =h2 （ Hi || SK || Vi || n2 +1）

服務(wù)器S接收到用戶Ui的應(yīng)答消息RESPONSE（realm，Authu ）后，對Authu進行驗證，若驗證通過，服務(wù)器S將把SK設(shè)為與用戶Ui的共享密鑰Authu ■h2 （ Hi || SK || Vi || n2 +1）。

3 安全性分析

本協(xié)議對Tu等人和Irshad等人提出的SIP可認證密鑰協(xié)商協(xié)議進行了改進，在保證用戶和服務(wù)器高效通信的同時，增強了協(xié)議的安全性。

3.1 匿名性（User anonymity）

認證階段，用戶Ui在公開信道向服務(wù)器S發(fā)送登錄請求消息REQUEST（Ri， Qi， Si， m2），其中，Qi =m1 P，Ppub =sP，Ri = IDi ？茌h（（m1 Ppub ）X || m2 || （m1 Ppub ）Y），攻擊者必須通過計算IDi = Ri ？茌h（（m1 Ppub ）X || m2 || （m1 Ppub ）Y）來獲取用戶的身份信息IDi 。然而當(dāng)攻擊者想要通過Qi =m1 P和Ppub =sP來獲m1 Ppub時將面臨解決橢圓曲線離散對數(shù)問題。因此，攻擊者無法通過捕獲的消息REQUEST（Ri， Qi， Si， m2）獲得用戶的身份信息，因此，本協(xié)議能實現(xiàn)用戶匿名。

3.2 雙向認證（Mutual authentication）

在本協(xié)議中，服務(wù)器接收到用戶Ui發(fā)送的消息REQUEST（Ri， Qi， Si， m2 ）后，首先提取用戶身份信息IDi，并使用身份信息IDi，服務(wù)器主密鑰s，加密信息Vi來計算Si。顯然，攻擊者無法偽造所有信息來獲得Si的值。之后用戶Ui需要判斷AuthS ■h2 （ Hi || SK || Vi || n2 ），以此來對服務(wù)器S進行認證，其中SK為用戶和服務(wù)器協(xié)商出的共享密鑰，Vi是用戶的加密信息，這些消息也都是攻擊者無法獲取的，同樣Authu也是無法被偽造的。因此，本協(xié)議實現(xiàn)了用戶與服務(wù)器間的相互認證。

4 性能分析

本文提出的改進協(xié)議中，用戶與服務(wù)器各模塊的執(zhí)行時間具體分析。

注冊模塊：用戶端Ui需要執(zhí)行一次哈希運算得到h（PWi ？茌IDi ），服務(wù)器端S需要執(zhí)行一次哈希運算得到h（IDi ？茌s ）。

登錄認證模塊：用戶Ui計算得到h（PWi ？茌IDi ），m1P，Ri 和Si，需要執(zhí)行四次哈希運算和兩次橢圓曲線標(biāo)量乘法運算，除此之外，為了計算得到m1Ci ，h1 （ Hi || IDi ），h2 （ Hi || SK || Vi || n2 ）和Authu ，需要執(zhí)行三次哈希運算和一次橢圓曲線標(biāo)量乘法運算。服務(wù)器S為了計算IDi ，Vi ，h（IDi || Vi || h（（sQ1 ）X || m2 || （sQ1 ）Y））， n1P ，n1Qi ，h1 （Hi || IDi ）和AuthS ，需要執(zhí)行六次哈希運算和三次橢圓曲線標(biāo)量乘法運算，除此之外，服務(wù)器為了計算Authu ，還需要執(zhí)行一次哈希運算操作。

三種認證方案的執(zhí)行時間對比如表1所示，通過分析可以發(fā)現(xiàn)，本文提出的認證方案在注冊階段的執(zhí)行時間優(yōu)于Irshad等人和Tu等人的協(xié)議。在認證模塊，三類認證方案的執(zhí)行時間相近，主要開銷均為橢圓曲線的標(biāo)量乘法運算。因此，總的來說，本文提出的協(xié)議在總的執(zhí)行時間上要優(yōu)于Irshad等人和Tu等人提出的協(xié)議。

綜合以上分析，在協(xié)議的執(zhí)行時間方面，本文提出協(xié)議的執(zhí)行時間為13.393ms，要明顯優(yōu)于Irshad等人協(xié)議的17.866ms和Tu等人協(xié)議的15.634ms。因此，本文提出協(xié)議的性能要優(yōu)于Irshad等人和Tu等人的協(xié)議，具有較高的實際應(yīng)用價值。

5 結(jié)束語

本文提出了一種新的基于三因素的匿名可認證密鑰協(xié)商協(xié)議，該協(xié)議能在保護用戶身份信息的前提下高效的完成密鑰協(xié)商和相互認證，為SIP的認證過程提供了安全保障。最后將本文提出的認證協(xié)議和現(xiàn)有的相關(guān)協(xié)議做了性能對比分析，分析表明在保證協(xié)議抵抗諸多風(fēng)險的同時，提出協(xié)議具有較高的執(zhí)行效率，這些特點都有利于保證SIP認證協(xié)議的通用性和實用性。

參考文獻

[1] 廖蓉暉，王娟，彭凱.DH密鑰體制在VoIP通信中的應(yīng)用[J].通信技術(shù)，2015，48（3）：367-370.

[2] 侯賓，葉德信，呂玉琴，等.基于身份的VoIP媒體流安全方案與實現(xiàn)[J].計算機系統(tǒng)應(yīng)用，2006，15（2）：26-28.

[3] 胡萍，黃永峰.VoIP的創(chuàng)新應(yīng)用及其發(fā)展趨勢[J].科學(xué)管理研究，2009，27（5）：117-120.

[4] Yang C C， Wang R C， Liu W T. Secure authentication scheme for session initiation protocol[J]. Computers & Security， 2005， 24（5）： 381-386.

[5] Wu L， Zhang Y， Wang F. A new provably secure authentication and key agreement protocol for SIP using ECC[J]. Computer Standards & Interfaces，2009，31（2）： 286-291.

[6] Ran C，Krawczyk H.Analysis of Key-Exchange Protocols and Their Use for Building Secure Channels[J]. Lecture Notes in Computer Science，2001，2045：453-474.

[7] Yoon E J，Yoo K Y， Kim C， et al. A secure and efficient SIP authentication scheme for converged VoIP networks[J]. Computer Communications，2010，33（14）： 1674-1681.

[8] Xie Q. A new authenticated key agreement for session initiation protocol[J]. International Journal of Communication Systems， 2012， 25（1）： 47-54.

[9] Arshad R， Ikram N. Elliptic curve cryptography based mutual authentication scheme for session initiation protocol[J]. Multimedia tools and applications，2013，66（2）： 165-178.

[10] Durlanik A， Sogukinar I. SIP Authentication Scheme using ECDH [C]. World Enformatika Sociieety Transaction on Engineering Compuing and Technology 8，2005：350-353.

[11] Huang H F， Wei W C. A new efficient authentication scheme for session initiation protocol[J]. computing，2006，1（2）.

[12] Jo H，Lee Y，Kim M， et al. Off-line password-guessing attack to Yang's and Huang's authentication schemes for session initiation protocol[C]//INC， IMS and IDC，2009. NCM'09. Fifth International Joint Conference on. IEEE， 2009： 618-621.

[13] Ring J W，Cho K K R，F(xiàn)oo E，et al. A new authentication mechanism and key agreement protocol for SIP using identity-based cryptography[J]. 2006.

[18] Wang F，Zhang Y.A new provably secure authentication and key agreement mechanism for SIP using certificateless public-key cryptography[J]. Computer Communications，2008，31（10）： 2142-2149.

基金項目：

本文獲得國家自然科學(xué)基金（No.41571403）以及中國博士后科學(xué)基金特別資助項目（No.2012T50681）的資助。

作者簡介：

李書哲（1999-），男，漢族，湖北武漢人，湖北省武昌實驗中學(xué)，高中生；主要研究方向和關(guān)注領(lǐng)域：計算數(shù)學(xué)、網(wǎng)絡(luò)空間安全、密碼算法。

張云勝（1991-），男，漢族，湖北武漢人，中國地質(zhì)大學(xué)（武漢）計算機學(xué)院，碩士研究生；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)空間安全、密碼算法。