一種改進的三方認證密鑰協(xié)商協(xié)議

唐祚波，繆祥華

(昆明理工大學(xué)信息工程與自動化學(xué)院，昆明 650500)

1 概述

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)中的安全問題越來越突出，通過認證密鑰協(xié)商協(xié)議來確認網(wǎng)絡(luò)運營商和用戶的身份，并協(xié)商出用于通信加密的會話密鑰，已成為一個至關(guān)重要的問題。在目前開放式網(wǎng)絡(luò)中，認證密鑰協(xié)商協(xié)議能夠使通信雙方相互認證，并協(xié)商出一個只有本人知道的秘密會話密鑰[1]。

文獻[2]提出了一個基于橢圓曲線的三方認證密鑰交換協(xié)議，該協(xié)議主要是通過應(yīng)用橢圓曲線技術(shù)提高協(xié)議的效率，但是存在安全性問題。文獻[3]發(fā)現(xiàn)該協(xié)議不能抵抗假冒攻擊和并行攻擊，提出了一個改進協(xié)議(記為Tan-協(xié)議)。同時，文獻[4]還提出了一個基于橢圓曲線的三方認證密鑰協(xié)商協(xié)議的改進協(xié)議(記為Tan-改進協(xié)議)，此協(xié)議可以抵抗假冒攻擊。文獻[5]分析了Tan-協(xié)議，發(fā)現(xiàn)此協(xié)議不能抵抗假冒攻擊和中間人攻擊。近年認證密鑰協(xié)商協(xié)議的假冒攻擊和中間人攻擊受到高度關(guān)注，出現(xiàn)了很多的改進協(xié)議，文獻[6]提出了一種強安全性的基于口令的三方認證密鑰協(xié)商協(xié)議(記為Zhao-協(xié)議)，可以抵抗上述攻擊，但不能抵抗延時重放攻擊，容易受到口令猜測攻擊，而且協(xié)議中存在大量求冪運算，效率很低。

本文針對三方認證密鑰協(xié)商協(xié)議容易遭受假冒攻擊和中間人攻擊問題，提出一種改進的基于身份[7-8]三方認證密鑰協(xié)商協(xié)議。

2 數(shù)學(xué)基礎(chǔ)

2.1 CDH 問題

對于隨機給定的＜P,aP,bP＞，其中，P,aP,bP 屬于群G1的點；a,b 屬于具有q 階的點群Z*q，計算abP 的值。

2.2 CDH 假設(shè)

3 改進的認證密鑰協(xié)商協(xié)議

Tan-協(xié)議[3]受中間人攻擊的原因是任何用戶U 可以與S共享秘密密鑰KU=urUS=usrUP=sRU，S 不能檢查U 是否知道臨時密鑰rU和長期私鑰u。為了解決此問題，在計算KU的過程中，使用了基于身份的公私鑰對、單向哈希函，來建立S 和U 之間認證關(guān)系。改進后的協(xié)議可以認證用戶，能抵抗假冒攻擊和中間人攻擊。

在新協(xié)議中，參與協(xié)議的實體有3 個，分別是發(fā)起者A、響應(yīng)者B、可信服務(wù)器S。新協(xié)議分為3 個階段：初始化階段，用戶密鑰提取階段和認證密鑰協(xié)商階段。

3.1 初始化階段

在有限域Fq 上的橢圓曲線Eq(a,b): y2≡x3+ax+b(mod q)是用一個由P 點生產(chǎn)的大群，階為n。服務(wù)器S 選擇一對安全的對稱加解密算法Ek()、Dk()，選擇4 個哈希函數(shù)，分別為H1()、H2()、H3()、H()，并公布給用戶。

3.2 用戶密鑰提取階段

可信服務(wù)器S 隨機選擇s∈Z*q作為主密鑰，計算公鑰Qi=H1(IDi)和相應(yīng)的私鑰Si=sQi，通過秘密通道把Si傳遞給用戶Ui，公布Qi，每一個用戶Ui都可獲得公鑰Qi和相應(yīng)的私鑰Si，S 安全保存s。

3.3 認證密鑰協(xié)商階段

在服務(wù)器S 的幫助下，用戶A 和用戶B 相互認證，并產(chǎn)生一個會話密鑰。該階段細分為3 輪：

第1 輪：

第2 輪：在B 收到來自A 的請求后，進行如下認證：

Request 表示一個請求，請求B 與A 共享一個會話密鑰。Response 表示一個響應(yīng)，響應(yīng)與A 協(xié)議。

第3 輪：S 收到來自A 的消息(WA,RA,CAS,tA,IDA)和來自B 的消息(WB,RB,CBS,tB,IDB)：

4 安全性證明與分析

4.1 形式化證明

定理 在標準模型下，如果CDH 假設(shè)成立，那么新協(xié)議是安全的認證密鑰協(xié)商協(xié)議。

輸入 (Ra,Rb)=(aP,bP)，其中，a,b∈RZ*q；P 是階為q 的群G1的生成元

算法E 模仿回答攻擊者F 的所有詢問。因為E 在初始化階段不知道主密鑰s，則隨機選擇x 作為主密鑰。

H1()詢問：當(dāng)F 用IDi詢問H1()時，如果(*,IDi,Qi)已在H1鏈中，E 返回Qi，否則，E 隨機選擇ri∈Z*q，計算Qi=riP，E 返回Qi，然后增加(ri,IDi,Qi)到H1鏈。

H2()詢問：當(dāng)F 用(Si,ri)去詢問H2()時，如果(Si,ri,wi)已在H2鏈中，E 返回wi，否則，E 隨機選擇wi∈Z*q，E 返回wi，然后增加(Si,ri,wi)到H2鏈。

H3()詢問：當(dāng)F 用(Ri,Wi,Si,ti,IDA,IDB)去詢問H3()時，E 首先查詢H3鏈，如Ki已在H3鏈，E 返回Ki，否則E 隨機選擇Ki，E 返回Ki，然后增加(Ri,Wi,Si,ti,IDA,IDB,Ki)到H2鏈。當(dāng)F 用(Ki,tS,Rj,Wj,IDA,IDB,IDS)詢問H3()，E 首先查詢H3鏈，如Vi已在H3鏈，E 返回Vi，否則E 隨機選擇Vi，E 返回Vi，增加(Ki,tS,Rj,Wj,IDA,IDB,IDS,Vi)到H3鏈。

H()詢問：當(dāng)F 用(Zi,Zj,sid)去詢問H()時，E 首先查詢H 鏈，如果(Zi,Zj,sid,SK)已在H 鏈中，則E 返回SK，否則，E 隨機選擇SK，E 返回SK，然后增加(Zi,Zj,sid,SK)到H 鏈。

Execution 查詢：這種查詢模仿被動攻擊。當(dāng)A 與B 進行協(xié)議時，F(xiàn) 進行Execution 查詢，返回(WA,RA,CAS,tA,IDA)和(WB,RB,CBS,tB,IDB)給F，還可以返回(WB,RB,VA,tS,IDS)和(WA,RA,VB,tS,IDS)給F。

Send 查詢：這種查詢模仿主動攻擊。E 回答對用戶前階段的Send 查詢：E 任意選擇rA∈Z*q，計算RA=rARa,SA=rAxP,wA=H2(SA,rA),WA=wAP,tA=timestamp(),KA=H3(RA,WA,SA,tA,IDA,IDB),CAS=EkA(RA,WA,tA)，E 返回(WA,RA,CAS,tA,IDA)給F。類似地，E 返回(WB,RB,CBS,tB,IDB)給F。E 回答對服務(wù)器的Send 查詢：verify(tA,tB)，依次計算：SA=xQA=xrAP，SB=xQB=xrBP，K′A=H3(RA,WA,SA,tA,IDA,IDB)，K′B=H3(RB,WB,SB,tB,IDA,IDB)，(R′A,W′A,t′A)=DkA＇(CAS)，(R′B,W′B,t′B)=DkB＇(CBS)。因為R′A=RA,R′B=RB，W′A=WA,W′B=WB通過認證，E 返回(WB,RB,VA,tS,IDS)和(WA,RA,VB,tS,IDS)給F。E 回答對用戶后階段的Send 查詢，E 計算出(Z1,Z2)和SK，并返回F。

4.2 中間人攻擊

假設(shè)攻擊者X 假冒A 與B 通信。X 隨機選擇rX∈RZ*q，并計算 RX=rXP,wX=H2(SX,rX),WX=wXP,tX=timestamp(),KX=H3(RX,WX,SX,tX,IDA,IDB),CXS=EkX(RX,WX,tX)。然后，X發(fā)送(IDA,Request)給B，發(fā)送(WX,RX,CXS,tX,IDA)給S。B 收到來自X 的(IDA,Request)，運行協(xié)議，發(fā)送(IDB,Response)至X，發(fā)送(WB,RB,CBS,tB,IDB)至S。S 收到信息后，首先驗證(tX,tB)是否有效。接著，計算SA=sQA，K＇A=H3(RX,WX,SA,tX,IDA,IDB)，(R′X,W′X,t′X)=DkA′(CXS)。然后，判斷R′X?=RX,W′X?=WX，顯然2 個不相等，協(xié)議停止。原因是攻擊者X 不知道A 的私鑰SA，服務(wù)器S 計算出的K′X與攻擊者X 用來加密信息(RX,WX,tX)的KX不同，從而解密出的(RX′,W′X)與加密前不同。因此，新協(xié)議具有認證功能，可以抵抗發(fā)起者假冒攻擊。類似地，新協(xié)議也可以抵抗響應(yīng)者假冒攻擊，原因是F 不知道響應(yīng)者的私鑰。由于新協(xié)議可以抵抗發(fā)起者和響應(yīng)者假冒攻擊，從而可以抵抗中間人攻擊。

4.3 其他攻擊

5 效率比較

許多三方認證協(xié)議[2-3]不能提供認證功能，Peter Nose在文獻[5]中分析了8 個協(xié)議，其中5 個不能提供認證功能，容易受假冒攻擊。發(fā)現(xiàn)協(xié)議的缺陷后，出現(xiàn)了不少的改進協(xié)議，其中有Tan-改進協(xié)議[4]和Zhao-協(xié)議[6]，這2 個協(xié)議與本文改進協(xié)議都具有認證功能，可以抵抗假冒攻擊，表1給出3 個協(xié)議的效率比較[9]。

表1 協(xié)議的效率比較

評價效率的2 個主要方面是計算量和通信量。計算量是每個參與者在一次協(xié)議運行的所有運算量的總和，主要計算花費是數(shù)乘運算、數(shù)加運算、橢圓曲線上的點乘運算、哈希運算、加解密操作、求冪運算、雙線性配對運算。通信量是每個參與者在一次協(xié)議運行的所有輪傳輸信息量的總和。為了簡單期間，計算量用其在一次協(xié)議運行中的操作符個數(shù)來表示，通信量用一次協(xié)議運行所傳輸?shù)脑貍€數(shù)來表示。設(shè)計或改進協(xié)議時，是考慮兩者都盡可能少。

運算符計算量比較大的是求冪運算，配對運算和加解密操作，其中一次配對運算量約等于3 次點乘運算量[10]，易知一次哈希運算的計算量比一次加解密少，從而可以得出本文改進協(xié)議比Tan-改進協(xié)議總計算量少。新協(xié)議與Zhao-協(xié)議的最大區(qū)別是，Zhao-協(xié)議有22 次求冪運算，新協(xié)議卻用10 次點乘運算代替，而一次求冪運算量大于一次點乘，所以新協(xié)議比Zhao-協(xié)議的計算量少很多。在通信量方面，新協(xié)議處于適中。然而，對于協(xié)議效率的影響，通信量比計算量要少，而且現(xiàn)今網(wǎng)絡(luò)完全滿足協(xié)議通信要求。因此，效率高低主要在于計算量，新協(xié)議計算量大大減少，效率得到了很大的提高。

6 結(jié)束語

本文提出一種改進的三方認證密鑰協(xié)商協(xié)議，解決了Tan-協(xié)議遭受中間人攻擊及其改進協(xié)議的低效率問題。該協(xié)議是基于身份的密碼學(xué)、橢圓曲線密碼學(xué)和單向哈希函數(shù)技術(shù)綜合應(yīng)用的結(jié)果，發(fā)揮了其各自的優(yōu)點。本文對改進協(xié)議進行了安全性證明與分析，結(jié)果表明新協(xié)議是安全的，可以抵抗假冒攻擊和中間人攻擊。另外，對新協(xié)議進行了效率分析，與目前的其他類似協(xié)議相比，改進協(xié)議具有更高的效率。如何進一步減少協(xié)議中的通信量是今后需要研究的問題。

[1]邱衛(wèi)東,黃 征,李祥學(xué),等. 密碼協(xié)議基礎(chǔ)[M]. 北京:高等教育出版社,2009.

[2]Yang Jen-Ho,Chang Chin-Chen. An Efficient Three-party Authenticated Key Exchange Protocol Using Elliptic Curve Cryptography for Mobile-commerce Environments[J]. The Journal of Systems and Software,2009,82(1): 1497-1502.

[3]Tan Zuowen. An Enhanced Three-party Authentication Key Exchange Protocol for Mobile Commerce Environments[J].Journal of Communications,2010,5(5): 436-443.

[4]Tan Zuowen. An Improvement on A Three-party Authentication Key Exchange Protocol Using Elliptic Curve Cryptography[J]. Journal of Convergence Information Technology,2010,5(4): 120-129.

[5]Nose P. Security Weaknesses of Authenticated Key Agreement Protocols[J]. Information Processing Letters,2011,111(1): 687-696.

[6]Zhao Jianjie,Gu Dawu. Provably Secure Three-party Passwordbased Authenticated Key Exchange Protocol[J]. Information Sciences,2012,184(1): 310-323.

[7]Tan Zuowen. Efficient Identity-based Authenticated Multiple Key Exchange Protocol[J]. Computers and Electrical Engineering,2011,37(1): 191-198.

[8]Ni Liang,Chen Gongliang,Li Jianhua,et al. Strongly Secure Identity-based Authenticated Key Agreement Protocols[J].Computers and Electrical Engineering,2011,37(1): 205-217.

[9]丁 輝,殷新春. 一種新的基于身份的認證密鑰協(xié)商協(xié)議[J]. 計算機工程,2010,36(23): 127-129.

[10] H?lbl M,Welzer T,Brumen B. An Improved Two-party Identity-based Authenticated Key Agreement Protocol Using Pairings[J]. Journal of Computer and System Sciences,2012,78(1): 142-150.