基于三因素的匿名可認(rèn)證密鑰協(xié)商方案研究

李書哲++張?jiān)苿?/p>

【 摘 要 】 論文以會(huì)話初始化協(xié)議（SIP）通信的安全問題為背景，提出了新的基于三因素的匿名可認(rèn)證密鑰協(xié)商協(xié)議。該協(xié)議采用安全性較高的橢圓曲線密碼算法，在保護(hù)用戶身份信息的前提下，能在用戶與服務(wù)器相互認(rèn)證的過程中協(xié)商出共享會(huì)話密鑰，實(shí)驗(yàn)結(jié)果表明本文提出的認(rèn)證協(xié)議具有較高的安全性和執(zhí)行效率，滿足VoIP語音通信的認(rèn)證需求。

【 關(guān)鍵詞 】 VoIP；SIP；匿名認(rèn)證；密鑰協(xié)商

【 中圖分類號(hào) 】 TP309

【 文獻(xiàn)標(biāo)識(shí)碼 】 A

Research on A New Three Factors

Anonymous Authenticated Key Agreement Protocol Using Smart Card

Li Shu-zhe 1 Zhang Yun-sheng 2

（1.Hubei Wuchang Experimental High School HubeiWuhan 430072；

2.China University of Geosciences HubeiWuhan 430074）

【 Abstract 】 In this paper， to the SIP communication security issues， a new three factors anonymous authenticated key agreement protocol using smart card was proposed. The proposed scheme adopts elliptic curve cryptographic algorithms with high security， session key can be negotiated in the process of mutual authentication between user and server. The experimental results show that the proposed authentication protocol has high security and efficiency， and can meet the requirements of VoIP voice communication.

【 Keywords 】 voip；sip；anonymous authentication；key agreement

1 引言

VoIP（Voice over Internet Protocol）是一種將語音技術(shù)集成于IP協(xié)議之中的全新的通訊方式，VoIP技術(shù)將待傳輸?shù)穆曇粜盘?hào)進(jìn)行壓縮編碼，最后以分組數(shù)據(jù)包的形式通過互聯(lián)網(wǎng)實(shí)現(xiàn)語音傳輸[3]。

從2005年開始，國(guó)內(nèi)外有就許多學(xué)者對(duì)VoIP通信的認(rèn)證協(xié)議進(jìn)行了研究。Yang等人[4]提出了基于DH密鑰交換的認(rèn)證機(jī)制，然而該協(xié)議很快被證明無法抵抗離線口令猜測(cè)攻擊。2009年，Wu等人[5]提出了基于橢圓曲線加密算法的認(rèn)證方案，并通過Canetti-Krawczyk安全模型[6]證明了其安全性，然而該協(xié)議存在共享密鑰的分配問題，導(dǎo)致該協(xié)議難以在VoIP系統(tǒng)中實(shí)現(xiàn)。2010年，Yoon和Yoo等人[7]指出Wu等人的認(rèn)證協(xié)議無法抵抗離線口令猜測(cè)攻擊、Denning-Sacco攻擊和驗(yàn)證列表盜竊攻擊，并基于橢圓曲線加密算法提出了新的認(rèn)證協(xié)議。2012年，Xie等人[8]證明了Yoon等人提出的協(xié)議同樣無法抵抗離線口令猜測(cè)攻擊和驗(yàn)證列表盜竊攻擊，并基于橢圓曲線加密算法提出了改進(jìn)的協(xié)議來解決這些安全問題。2013年，Arshad和Ikram等人[9]提出Xie等人的協(xié)議不僅同樣無法抵抗上述兩種攻擊，而且還無法提供良好的已知密鑰安全性和前向安全性。

盡管諸多學(xué)者對(duì)基于VoIP的密鑰協(xié)商協(xié)議進(jìn)行了不斷的研究[10-14]，我們發(fā)現(xiàn)上述研究存在一定局限性：未考慮用戶隱私保護(hù)問題。在認(rèn)證過程中，用戶的真實(shí)身份采用明文傳輸，因此敵手可以通過竊聽等方式獲取用戶的真實(shí)身份，從而實(shí)施有針對(duì)性的攻擊。針對(duì)以上問題，本文提出一種基于三因素的匿名可認(rèn)證密鑰協(xié)商方案來彌補(bǔ)上述研究的局限性，并對(duì)提出協(xié)議的安全性和性能進(jìn)行了分析。

2 基于三因素的匿名可認(rèn)證密鑰協(xié)商方案

在SIP的可認(rèn)證密鑰協(xié)商協(xié)議中，Tu等人提出的協(xié)議存在服務(wù)器欺騙攻擊和中間人攻擊等安全威脅，存在較大的安全隱患。本文在提出基于橢圓曲線加密體制，采用生物特征，智能卡和口令三因素實(shí)現(xiàn)相互認(rèn)證和密鑰協(xié)商，并在認(rèn)證過程中保證用戶的匿名性。本協(xié)議由三個(gè)模塊組成：初始化模塊，注冊(cè)模塊和登錄認(rèn)證模塊。

2.1 初始化模塊

設(shè)系統(tǒng)參數(shù)為（p，a，b，P，n），其中p是一個(gè)大素?cái)?shù)，a和b是有限域FP中的元素，確定了一條橢圓曲線E：y2=x3+ax+b（a，b∈FP）。SIP服務(wù)器選擇基點(diǎn)P∈E（FP），其階為n，服務(wù)器S首先隨機(jī)選取一個(gè)主密鑰s和三個(gè)哈希函數(shù)h（·）：{0，1}*→{0，1}k，h1（·）：G×{0，1}*→{0，1}k和h2（·）：G×{0，1}*×{0，1}*×{0，1}*→{0，1}k。然后，服務(wù)器計(jì)算公鑰Ppub=sP，最后將EP（a，b），Ppub，h（·），h1（·）和h2（·）公開，將s作為密鑰保管。

2.2 注冊(cè)模塊

在VoIP系統(tǒng)中，當(dāng)一個(gè)新用戶Ui準(zhǔn)備向服務(wù)器S進(jìn)行注冊(cè)時(shí)，執(zhí)行如下操作。

Ui首先選取自己的用戶名IDi，登錄口令PWi，錄入并提取指紋特征Bi，選擇一個(gè)隨機(jī)數(shù)r∈Z■■，計(jì)算Ki，Mi和Ni，隨后將注冊(cè)請(qǐng)求信息REG（IDi ，Ki ）通過安全方式傳送給服務(wù)器S。

Ki =h（PWi ？茌IDi ）

Mi = r ？茌Ki

Ni = r ？茌Bi

服務(wù)器S接收到注冊(cè)請(qǐng)求消息REG（IDi ，Ki ）后，首先在數(shù)據(jù)庫(kù)中查找用戶Ui申請(qǐng)的用戶名IDi是否已經(jīng)被使用，如果該用戶名已被其他用戶注冊(cè)，服務(wù)器S則要求用戶Ui選取新的用戶名并重新發(fā)送注冊(cè)請(qǐng)求，若該用戶名可用，服務(wù)器則用主密鑰s計(jì)算Vi和Wi，并將消息{Wi}存儲(chǔ)在智能卡SCi中，然后通過安全的方式遞交給用戶Ui。

Vi =h（ IDi ？茌 s）

Wi =Vi ？茌Ki =h（ IDi ？茌 s）？茌h（PWi ？茌IDi ）

用戶Ui接收到服務(wù)器S發(fā)放的智能卡SCi（Wi）后，將Mi和Ni存入智能卡SCi中，至此注冊(cè)過程結(jié)束，智能卡SCi中存儲(chǔ)的消息為{Wi，Mi，Ni}。

2.3 登錄認(rèn)證模塊

合法用戶Ui首先在讀卡器中插入智能卡SCi，輸入用戶名IDi和口令PWi，并錄入提取指紋特征信息Bi'■。智能卡SCi會(huì)根據(jù)用戶輸入的身份信息進(jìn)行驗(yàn)證，如果驗(yàn)證通過則會(huì)創(chuàng)建認(rèn)證請(qǐng)求消息。當(dāng)用戶Ui通過服務(wù)器S的認(rèn)證后，服務(wù)器將會(huì)返回一條消息作為用戶Ui對(duì)服務(wù)器的認(rèn)證憑據(jù)，同時(shí)雙方認(rèn)證過程中協(xié)商出共享的會(huì)話密鑰。

用戶Ui在讀卡設(shè)備中插入智能卡SCi，輸入用戶名IDi和口令PWi，并錄入提取指紋特征信息Bi'■。智能卡SCi首先根據(jù)用戶的輸入計(jì)算Ni'■：

r=Mi ？茌Ki =Mi ？茌h（PWi ？茌IDi ）

Ni' = r ？茌Bi'■

智能卡將計(jì)算得到的Ni'與智能卡中存儲(chǔ)的Ni進(jìn)行對(duì)比得到？駐（Ni，Ni'），如果該值不在規(guī)定的閾值范圍內(nèi)，則拒絕該用戶的登錄請(qǐng)求；若？駐（Ni，Ni'）的值在規(guī)定的閾值范圍內(nèi)，智能卡SCi將接受該用戶的登錄請(qǐng)求，并選取兩個(gè)隨機(jī)數(shù)m1，m2∈Z■■，計(jì)算Qi，Vi，Ri和Si，并將認(rèn)證請(qǐng)求消息REQUEST（Ri，Qi，Si，m2）通過公開信道發(fā)送給服務(wù)器S：

Qi =m1 P

Vi = Wi ？茌Ki

Ri = IDi ？茌h（（m1 Ppub ）X || m2 || （m1 Ppub ）Y）

Si = h（IDi || Vi || h（（m1 Ppub ）X || m2 || （m1 Ppub ）Y））

服務(wù)器S接收到用戶端發(fā)送的認(rèn)證請(qǐng)求消息REQUEST（Ri，Qi，Si，m2），首先提取用戶身份信息IDi，并在數(shù)據(jù)庫(kù)中檢查提取的用戶名IDi是否有效，若該用戶名無效，服務(wù)器S直接終止該次會(huì)話，若該用戶名有效，服務(wù)器則繼續(xù)計(jì)算Vi和Si：

IDi =Ri ？茌h（（sQ1 ）X || m2 || （sQ1 ）Y）

Vi = h（IDi ？茌s）

Si ■ h（IDi || Vi || h（（sQ1 ）X || m2 || （sQ1 ）Y））

服務(wù)器S通過判斷上述等式是否成立，來驗(yàn)證用戶Ui的身份，若上述等式不成立，服務(wù)器S認(rèn)為該用戶不是合法用戶，并結(jié)束該會(huì)話；若等式成立，則對(duì)用戶Ui的身份驗(yàn)證通過，服務(wù)器S繼續(xù)選取隨機(jī)數(shù)n1，n2∈Z■■，計(jì)算會(huì)話密鑰SK和認(rèn)證消息AuthS，并將挑戰(zhàn)消息CHALLENGE（realm，Ci，n2，AuthS ）通過公開的信道傳送給用戶Ui：

Ci =n1P

Hi =n1Qi

SK=h1 （ Hi || IDi ）

AuthS =h2 （ Hi || SK || Vi || n2 ）

用戶Ui接受到服務(wù)器S的挑戰(zhàn)消息CHALLENGE（realm，Ci，n2，AuthS ），計(jì)算Hi和SK，并驗(yàn)證AuthS：

Hi =m1Ci

SK=h1 （ Hi || IDi ）

AuthS ■h2 （ Hi || SK || Vi || n2 ）

用戶Ui通過判斷上述等式是否成立，來驗(yàn)證服務(wù)器S的身份，若上述等式不成立，用戶Ui認(rèn)為S不是合法的服務(wù)器，并終止該次會(huì)話；若等式成立，則用戶Ui對(duì)服務(wù)器S的身份驗(yàn)證通過，并繼續(xù)計(jì)算認(rèn)證消息AuthS ，將應(yīng)答消息RESPONSE（realm，Authu ）通過公開信道傳送給服務(wù)器S。

Authu =h2 （ Hi || SK || Vi || n2 +1）

服務(wù)器S接收到用戶Ui的應(yīng)答消息RESPONSE（realm，Authu ）后，對(duì)Authu進(jìn)行驗(yàn)證，若驗(yàn)證通過，服務(wù)器S將把SK設(shè)為與用戶Ui的共享密鑰Authu ■h2 （ Hi || SK || Vi || n2 +1）。

3 安全性分析

本協(xié)議對(duì)Tu等人和Irshad等人提出的SIP可認(rèn)證密鑰協(xié)商協(xié)議進(jìn)行了改進(jìn)，在保證用戶和服務(wù)器高效通信的同時(shí)，增強(qiáng)了協(xié)議的安全性。

3.1 匿名性（User anonymity）

認(rèn)證階段，用戶Ui在公開信道向服務(wù)器S發(fā)送登錄請(qǐng)求消息REQUEST（Ri， Qi， Si， m2），其中，Qi =m1 P，Ppub =sP，Ri = IDi ？茌h（（m1 Ppub ）X || m2 || （m1 Ppub ）Y），攻擊者必須通過計(jì)算IDi = Ri ？茌h（（m1 Ppub ）X || m2 || （m1 Ppub ）Y）來獲取用戶的身份信息IDi 。然而當(dāng)攻擊者想要通過Qi =m1 P和Ppub =sP來獲m1 Ppub時(shí)將面臨解決橢圓曲線離散對(duì)數(shù)問題。因此，攻擊者無法通過捕獲的消息REQUEST（Ri， Qi， Si， m2）獲得用戶的身份信息，因此，本協(xié)議能實(shí)現(xiàn)用戶匿名。

3.2 雙向認(rèn)證（Mutual authentication）

在本協(xié)議中，服務(wù)器接收到用戶Ui發(fā)送的消息REQUEST（Ri， Qi， Si， m2 ）后，首先提取用戶身份信息IDi，并使用身份信息IDi，服務(wù)器主密鑰s，加密信息Vi來計(jì)算Si。顯然，攻擊者無法偽造所有信息來獲得Si的值。之后用戶Ui需要判斷AuthS ■h2 （ Hi || SK || Vi || n2 ），以此來對(duì)服務(wù)器S進(jìn)行認(rèn)證，其中SK為用戶和服務(wù)器協(xié)商出的共享密鑰，Vi是用戶的加密信息，這些消息也都是攻擊者無法獲取的，同樣Authu也是無法被偽造的。因此，本協(xié)議實(shí)現(xiàn)了用戶與服務(wù)器間的相互認(rèn)證。

4 性能分析

本文提出的改進(jìn)協(xié)議中，用戶與服務(wù)器各模塊的執(zhí)行時(shí)間具體分析。

注冊(cè)模塊：用戶端Ui需要執(zhí)行一次哈希運(yùn)算得到h（PWi ？茌IDi ），服務(wù)器端S需要執(zhí)行一次哈希運(yùn)算得到h（IDi ？茌s ）。

登錄認(rèn)證模塊：用戶Ui計(jì)算得到h（PWi ？茌IDi ），m1P，Ri 和Si，需要執(zhí)行四次哈希運(yùn)算和兩次橢圓曲線標(biāo)量乘法運(yùn)算，除此之外，為了計(jì)算得到m1Ci ，h1 （ Hi || IDi ），h2 （ Hi || SK || Vi || n2 ）和Authu ，需要執(zhí)行三次哈希運(yùn)算和一次橢圓曲線標(biāo)量乘法運(yùn)算。服務(wù)器S為了計(jì)算IDi ，Vi ，h（IDi || Vi || h（（sQ1 ）X || m2 || （sQ1 ）Y））， n1P ，n1Qi ，h1 （Hi || IDi ）和AuthS ，需要執(zhí)行六次哈希運(yùn)算和三次橢圓曲線標(biāo)量乘法運(yùn)算，除此之外，服務(wù)器為了計(jì)算Authu ，還需要執(zhí)行一次哈希運(yùn)算操作。

三種認(rèn)證方案的執(zhí)行時(shí)間對(duì)比如表1所示，通過分析可以發(fā)現(xiàn)，本文提出的認(rèn)證方案在注冊(cè)階段的執(zhí)行時(shí)間優(yōu)于Irshad等人和Tu等人的協(xié)議。在認(rèn)證模塊，三類認(rèn)證方案的執(zhí)行時(shí)間相近，主要開銷均為橢圓曲線的標(biāo)量乘法運(yùn)算。因此，總的來說，本文提出的協(xié)議在總的執(zhí)行時(shí)間上要優(yōu)于Irshad等人和Tu等人提出的協(xié)議。

綜合以上分析，在協(xié)議的執(zhí)行時(shí)間方面，本文提出協(xié)議的執(zhí)行時(shí)間為13.393ms，要明顯優(yōu)于Irshad等人協(xié)議的17.866ms和Tu等人協(xié)議的15.634ms。因此，本文提出協(xié)議的性能要優(yōu)于Irshad等人和Tu等人的協(xié)議，具有較高的實(shí)際應(yīng)用價(jià)值。

5 結(jié)束語

本文提出了一種新的基于三因素的匿名可認(rèn)證密鑰協(xié)商協(xié)議，該協(xié)議能在保護(hù)用戶身份信息的前提下高效的完成密鑰協(xié)商和相互認(rèn)證，為SIP的認(rèn)證過程提供了安全保障。最后將本文提出的認(rèn)證協(xié)議和現(xiàn)有的相關(guān)協(xié)議做了性能對(duì)比分析，分析表明在保證協(xié)議抵抗諸多風(fēng)險(xiǎn)的同時(shí)，提出協(xié)議具有較高的執(zhí)行效率，這些特點(diǎn)都有利于保證SIP認(rèn)證協(xié)議的通用性和實(shí)用性。

參考文獻(xiàn)

[1] 廖蓉暉，王娟，彭凱.DH密鑰體制在VoIP通信中的應(yīng)用[J].通信技術(shù)，2015，48（3）：367-370.

[2] 侯賓，葉德信，呂玉琴，等.基于身份的VoIP媒體流安全方案與實(shí)現(xiàn)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2006，15（2）：26-28.

[3] 胡萍，黃永峰.VoIP的創(chuàng)新應(yīng)用及其發(fā)展趨勢(shì)[J].科學(xué)管理研究，2009，27（5）：117-120.

[4] Yang C C， Wang R C， Liu W T. Secure authentication scheme for session initiation protocol[J]. Computers & Security， 2005， 24（5）： 381-386.

[5] Wu L， Zhang Y， Wang F. A new provably secure authentication and key agreement protocol for SIP using ECC[J]. Computer Standards & Interfaces，2009，31（2）： 286-291.

[6] Ran C，Krawczyk H.Analysis of Key-Exchange Protocols and Their Use for Building Secure Channels[J]. Lecture Notes in Computer Science，2001，2045：453-474.

[7] Yoon E J，Yoo K Y， Kim C， et al. A secure and efficient SIP authentication scheme for converged VoIP networks[J]. Computer Communications，2010，33（14）： 1674-1681.

[8] Xie Q. A new authenticated key agreement for session initiation protocol[J]. International Journal of Communication Systems， 2012， 25（1）： 47-54.

[9] Arshad R， Ikram N. Elliptic curve cryptography based mutual authentication scheme for session initiation protocol[J]. Multimedia tools and applications，2013，66（2）： 165-178.

[10] Durlanik A， Sogukinar I. SIP Authentication Scheme using ECDH [C]. World Enformatika Sociieety Transaction on Engineering Compuing and Technology 8，2005：350-353.

[11] Huang H F， Wei W C. A new efficient authentication scheme for session initiation protocol[J]. computing，2006，1（2）.

[12] Jo H，Lee Y，Kim M， et al. Off-line password-guessing attack to Yang's and Huang's authentication schemes for session initiation protocol[C]//INC， IMS and IDC，2009. NCM'09. Fifth International Joint Conference on. IEEE， 2009： 618-621.

[13] Ring J W，Cho K K R，F(xiàn)oo E，et al. A new authentication mechanism and key agreement protocol for SIP using identity-based cryptography[J]. 2006.

[18] Wang F，Zhang Y.A new provably secure authentication and key agreement mechanism for SIP using certificateless public-key cryptography[J]. Computer Communications，2008，31（10）： 2142-2149.

基金項(xiàng)目：

本文獲得國(guó)家自然科學(xué)基金（No.41571403）以及中國(guó)博士后科學(xué)基金特別資助項(xiàng)目（No.2012T50681）的資助。

作者簡(jiǎn)介：

李書哲（1999-），男，漢族，湖北武漢人，湖北省武昌實(shí)驗(yàn)中學(xué)，高中生；主要研究方向和關(guān)注領(lǐng)域：計(jì)算數(shù)學(xué)、網(wǎng)絡(luò)空間安全、密碼算法。

張?jiān)苿伲?991-），男，漢族，湖北武漢人，中國(guó)地質(zhì)大學(xué)（武漢）計(jì)算機(jī)學(xué)院，碩士研究生；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)空間安全、密碼算法。