對(duì)一種無線Web服務(wù)密鑰協(xié)商協(xié)議的改進(jìn)

楊霄彩

廣州大學(xué)華軟軟件學(xué)院 廣東 510990

0 引言

隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展，電子商務(wù)的移動(dòng)模式被爭(zhēng)相引入各行業(yè)，Web服務(wù)在新的平臺(tái)上獲得一個(gè)更廣闊的發(fā)展空間；另一方面，與傳統(tǒng)網(wǎng)絡(luò)不同，無線鏈路的開放性以及客戶端設(shè)備計(jì)算能力弱、低存儲(chǔ)、帶寬窄等特點(diǎn)制約了Web服務(wù)的廣泛應(yīng)用和創(chuàng)新，因此，極大的商務(wù)應(yīng)用潛力對(duì)無線網(wǎng)絡(luò)中Web服務(wù)的安全與效率提出了更高的要求。

Web服務(wù)的安全問題主要在于確定用戶的身份以及確保數(shù)據(jù)的機(jī)密性和完整性。目前，SSL(Secure Socket Layer)和TLS(Transport Layer Security)被用來提供傳輸層的Web服務(wù)安全；網(wǎng)絡(luò)層的IPSec對(duì)于Web服務(wù)安全來說，也是一個(gè)很重要的標(biāo)準(zhǔn)；因?yàn)闊o法信任中間節(jié)點(diǎn)對(duì)消息的獲得和處理，IBM和Microsoft等公司在Web服務(wù)安全白皮書里給出了一整套安全規(guī)范，其中，基于應(yīng)用層的 WS-Security(Web服務(wù)安全)網(wǎng)絡(luò)傳輸協(xié)議是這些規(guī)范的核心，其基本原理是將所有安全信息保存在消息的SOAP部分中，嵌入身份驗(yàn)證、消息加密及消息數(shù)字簽名等安全機(jī)制，為Web服務(wù)安全性提供了端到端的解決方案。

而要高效地實(shí)現(xiàn)Web服務(wù)的安全機(jī)制，最重要的就是讓服務(wù)請(qǐng)求方和服務(wù)提供方能夠共享會(huì)話密鑰(對(duì)稱密鑰)。在無線網(wǎng)絡(luò)的安全機(jī)制中，密鑰的安全性是所有安全的基礎(chǔ)。因此，兩個(gè)或多個(gè)實(shí)體協(xié)商建立會(huì)話密鑰成為無線網(wǎng)絡(luò)安全研究的熱點(diǎn)。

最初，Bellovin和Merritt首先提出能抵抗字典攻擊的基于口令密鑰協(xié)商協(xié)議；Bellare等提出了基于口令密鑰協(xié)商的一種理論模型；Katz等提出標(biāo)準(zhǔn)模型下可證安全的基于口令認(rèn)證密鑰協(xié)商協(xié)議。

近幾年，研究者從不同角度提出各類基于口令的密鑰協(xié)商改進(jìn)方案。在文獻(xiàn)[8]等的基礎(chǔ)上，張學(xué)英與楊晉吉在文獻(xiàn)[10]中提出了一種無線環(huán)境下的Web服務(wù)身份認(rèn)證密鑰協(xié)商協(xié)議(以下簡(jiǎn)稱Z-Y協(xié)議)，并證明了協(xié)議具有口令私密性、通信雙方認(rèn)證性和私鑰的秘密性。本文將證明此協(xié)議雖提高了效率但因無法抵御中間人攻擊和重放攻擊而存在嚴(yán)重的安全問題，并指出導(dǎo)致這種安全缺陷的原因。本文在此協(xié)議基礎(chǔ)上，仍以Web服務(wù)中預(yù)存口令為前提提出一種改進(jìn)的密鑰協(xié)商協(xié)議方案，并證明此方案與原協(xié)議具有相同的效率以及更高的安全性。

1 Z-Y協(xié)議

Z-Y協(xié)議由用戶和服務(wù)器兩個(gè)實(shí)體經(jīng)過三輪會(huì)話組成，即會(huì)話實(shí)體用戶(A)和服務(wù)器(B)之間傳遞三次信息流：

① 第1個(gè)信息流：A→B。A輸入自己的口令p，通過單向函數(shù)h()，將用戶的標(biāo)識(shí)IA和口令p進(jìn)行哈希計(jì)算從而得到π，即π=h(p，IA)。同時(shí)A選擇一個(gè)隨機(jī)數(shù)，計(jì)算m=gx，然后將π和m這兩個(gè)值發(fā)送給B。

② 第2個(gè)信息流：B→A。服務(wù)器端首先從數(shù)據(jù)庫(kù)中查找用戶注冊(cè)時(shí)的口令 p～，并計(jì)算 π～=h(p～，IA)，判斷 π～是否與所接收到的π相等，若相等，則計(jì)算：

B 先選擇一個(gè)隨機(jī)數(shù) y，計(jì)算 μ=gy，σ=(m)y，K1=H1(IA, IB,m, μ, σ, π)，將 K1和 μ 發(fā)送給 A。

若不相等，B則放棄此次會(huì)話。

③ 第3個(gè)信息流：A→B。用戶A利用所接收到的μ，計(jì)算 σ=(μ)x，計(jì)算 H1(IA, IB, m, μ, σ, π)，并判斷其值與所接收到的K1是否相等，若相等，則表明A認(rèn)證了B，說明B是合法的服務(wù)端，從而 A 開始計(jì)算 K2=H2(IA, IB, m, μ, σ, π)，并將K2發(fā)送給B。

若不相等，A則放棄此次會(huì)話。

④ B 利用 H2函數(shù)進(jìn)行計(jì)算 H2(IA, IB, m, μ, σ, π)，判斷其值與所接收到的K2是否相等，若不相等，則放棄此次會(huì)話；若相等，則表示B對(duì)A進(jìn)行了驗(yàn)證，說明A是合法的用戶。

⑤ 最后，A 和 B 都計(jì)算 K= H3(IA, IB, m, μ, σ, π)，協(xié)商得出此次會(huì)話的密鑰，從而進(jìn)行之后的信息通信或商業(yè)事務(wù)處理。

2 Z-Y協(xié)議安全問題分析

Z-Y證明其密鑰協(xié)商協(xié)議具有口令的私密性、通信雙方的認(rèn)證性和會(huì)話密鑰的私密性等安全屬性，并沒有提出其協(xié)議可以抵抗中間人攻擊和重放攻擊。

2.1 在Z-Y協(xié)議下實(shí)施中間人攻擊

中間人攻擊(Man-in-the-middle, MITM)需要達(dá)成以下條件：攻擊程式負(fù)責(zé)在兩受害者中間“轉(zhuǎn)送”流量，并可以控制整個(gè)流量。本章以攻擊者已成功控制一臺(tái)虛擬放置于網(wǎng)絡(luò)連接中兩臺(tái)通信計(jì)算機(jī)之間的計(jì)算機(jī)為前提，證明Z-Y協(xié)議存在安全缺陷，使攻擊者通過“會(huì)話劫持”可掌握兩受害實(shí)體進(jìn)行通信的會(huì)話密鑰，從而獲得雙方所有通信內(nèi)容。

一般性地，將實(shí)施中間人攻擊者設(shè)為M。A、B的協(xié)商過程受到M攻擊的情況描述如下：

① 第1個(gè)信息流：A→B。A將π和m這兩個(gè)值發(fā)送給B被M截獲，M用自己的隨機(jī)數(shù)x'替換x，重新計(jì)算m'=gx'，將A的π和修改后的m'發(fā)送給B。

② 第2個(gè)信息流：B→A。B判斷π～與所接收到的π相等，分別計(jì)算 μ=gy，σ=(m')y，K1=H1(IA, IB, m', μ, σ, π)，將K1和μ發(fā)送給A被M截獲，M用自己的隨機(jī)數(shù)y'替換y，重新計(jì)算μ'=gy'；并用m計(jì)算σ'=(m)y'；因?yàn)镮A、IB為實(shí)體標(biāo)識(shí)因此 M 可輕易獲得，從而可計(jì)算 K'1=H1(IA, IB, m, μ', σ', π)，然后將μ'與K'1發(fā)送給A。

③ 第3個(gè)信息流：A→B。用戶A通過判斷σ'、K'1認(rèn)證了 B，再計(jì)算 K2=H2(IA, IB, m, μ', σ', π)，將 K2發(fā)送給 B 時(shí)被M 截獲，M 用 x'重新計(jì)算 σ=(μ)x'，K'2=H2(IA, IB, m', μ, σ, π)，將K'2發(fā)送給B。

④ B判斷K'2通過，接受A是合法用戶。

⑤ 最后，M與A達(dá)成共同會(huì)話密鑰KAM= H3(IA, IB, m, μ',σ', π)，M 與 B 達(dá)成共同會(huì)話密鑰 KBM= H3(IA, IB, m', μ, σ, π)，從而作為中間人可獲得A與B之間所有用會(huì)話密鑰加密的內(nèi)容，而A與B無法得知。

攻擊過程可由圖1清楚看出。

圖1 在Z-Y協(xié)議下實(shí)施中間人攻擊

從上述分析可以得出，采用Z-Y協(xié)議產(chǎn)生會(huì)話密鑰無法抵抗中間人的惡意攻擊，協(xié)議存在一定的安全缺陷。主要原因是協(xié)議過程傳輸?shù)挠脩鬉口令與密鑰生成選取參數(shù)形式一致，攻擊者獲得明文后，無需破解直接使用，導(dǎo)致最終生成的會(huì)話密鑰被攻擊者掌握。

2.2 在Z-Y協(xié)議下實(shí)施重放攻擊

Z-Y協(xié)議是基于挑戰(zhàn)/應(yīng)答方式的協(xié)議。當(dāng)攻擊者以用戶身份用監(jiān)聽獲得的一次參數(shù)π連同用自己隨機(jī)數(shù)x'計(jì)算的m'發(fā)起新一輪協(xié)商欺騙服務(wù)方時(shí)，服務(wù)器端以新的μ應(yīng)答，而后攻擊者獲得最后驗(yàn)證所需的所有參數(shù)(IA, IB, m', μ, σ, π)，其中σ=(μ)x'。因此，服務(wù)器端無法發(fā)覺是重放攻擊，接受攻擊者為合法用戶。導(dǎo)致這一安全缺陷的主要原因是Z-Y協(xié)議密鑰協(xié)商全過程沒有鑒別重放攻擊的機(jī)制。

3 改進(jìn)方案

① 第1個(gè)信息流：A→B。

A選擇隨機(jī)數(shù)x，計(jì)算：

m=gx

π=h(p，m，IA)

將m和π發(fā)送給B。

② 第2個(gè)信息流：B→A。

B根據(jù)用戶標(biāo)識(shí)從數(shù)據(jù)庫(kù)中查找用戶注冊(cè)時(shí)的口令p～，計(jì)算：

π～=h(p～，m，IA)

判斷π～是否與所接收到的π相等，若不相等，B則放棄此次會(huì)話；若相等，則選擇一個(gè)隨機(jī)數(shù)y，計(jì)算：

μ=gy

σ=(m)y

K1=H1(IA, IB, m, μ, σ, p)

將μ和K1發(fā)送給A。

③ 第3個(gè)信息流：A→B。

A計(jì)算：

σ=(μ)x

K1～=H1(IA, IB, m, μ, σ, p)

判斷K1～與所接收到的K1是否相等，若不相等，A則放棄此次會(huì)話；若相等，則表明A認(rèn)證了B，說明B是合法的服務(wù)端，從而A計(jì)算：

K2=H2(IA, IB, m, μ, σ, p)

將K2發(fā)送給B。

④ B計(jì)算：

K2～=H2(IA, IB, m, μ, σ, p)，判斷其值與所接收到的 K2是否相等，若不相等，則放棄此次會(huì)話；若相等，則表示B對(duì)A進(jìn)行了驗(yàn)證，說明A是合法的用戶。

⑤ 最后，A和B均計(jì)算K= H3(IA, IB, m, μ, σ, p)，作為此次會(huì)話的密鑰。

4 改進(jìn)方案的安全性分析

改進(jìn)方案在具有與Z-Y協(xié)議相同安全屬性的同時(shí)，可以有效抵抗中間人攻擊和重放攻擊。

4.1 抗中間人攻擊的安全特性

① 第1個(gè)信息流：A→B。A將m和π發(fā)送給B被M截獲，M 用自己的隨機(jī)數(shù) x'替換 x，重新計(jì)算 m'=gx'，但因?yàn)镸無法得知A的口令p，所以不能重構(gòu)π，為了避免暴露自己，將沒有修改的m和π發(fā)送給B。

② 第2個(gè)信息流：B→A。M獲得B發(fā)出的μ和K1，可以偽造μ和σ，但因p未知無法構(gòu)造K1。

③ 第3個(gè)信息流：A→B。M因參數(shù)σ和p均未知無法構(gòu)造K2，A認(rèn)證B為合法服務(wù)端。

④ B驗(yàn)證A是合法的用戶。

⑤ 最后，A和B都計(jì)算K建立共同的會(huì)話密鑰，M因無法獲得生成密鑰所需的全部參數(shù)而無法獲得A和B的會(huì)話密鑰。

4.2 抗重放攻擊的安全特性

攻擊者監(jiān)聽獲得一次參數(shù)(m，π)，因m與π綁定，因此無法修改直接發(fā)送給服務(wù)器，服務(wù)器計(jì)算μ、σ和K1，并將(μ，K1)發(fā)給攻擊者，在指數(shù)運(yùn)算足夠安全的前提下，攻擊者不能破譯m獲得x也就無法計(jì)算σ，不能生成正確的K2供服務(wù)器端驗(yàn)證，重放攻擊不成功。

5 改進(jìn)方案的性能分析

改進(jìn)方案與Z-Y協(xié)議同樣采用3次會(huì)話，用戶A和服務(wù)器B分別進(jìn)行2次指數(shù)運(yùn)算，為進(jìn)行驗(yàn)證和生成密鑰各進(jìn)行4次哈希計(jì)算，沒有采用運(yùn)算代價(jià)較大的ECC等加密解密運(yùn)算。

6 結(jié)束語

Web服務(wù)作為一種炙手可熱的技術(shù)，在無線網(wǎng)絡(luò)環(huán)境中的應(yīng)用前景可觀。本文借鑒前人對(duì)密鑰協(xié)商協(xié)議的研究，指出Z-Y所提出的無線環(huán)境下Web服務(wù)身份認(rèn)證密鑰協(xié)商協(xié)議的安全缺陷，提出了一種改進(jìn)方案，并證明改進(jìn)方案不僅具有原協(xié)議較高的效率和基本安全屬性，而且能夠有效地抵抗中間人攻擊和重放攻擊，彌補(bǔ)了原協(xié)議安全性能的不足。

[1] CHAN H W, IGOR D V, PERR I A, et a1. On the distribution and revocation of cryptographic keys in sensor networks [J].IEEE Transactions on Dependable and Secure Computing.2005.

[2] Bellovin S and Merritt M. Encrypted key exchange： passwordbased protocol secure against dictionary attacks[C].Proceedings of the 1992 Conference IEEE computer society symp.on Research in security and privacy, Oakland.USA.1992.

[3] Bellare M, Pointcheval D, and Rogaway P. Authenticated key exchange secure against dictionary attacks[C]. Proceedings of EUROCRYPT 2000, Bruges, Belgium.LNCS 1807.

[4] Katz J,Ostrovsky R,and Yung M. Efficient passwordauthentication key exchange using humanmemorable passwords[C].Proceedings of EUROCRYPT 2001, Innsbruck, Austria.LNCS 2005.

[5] 李莉,薛銳,張煥國(guó)等.基于口令認(rèn)證的密鑰交換協(xié)議的安全性分析[J].電子學(xué)報(bào).2005.

[6] 殷胤,李寶.標(biāo)準(zhǔn)模型下可證安全的加密密鑰協(xié)商協(xié)議[J].軟件學(xué)報(bào).2007.

[7] Feng Deng guo and Chen Wei dong. Modular approach to the design and analysis of password-based security protocols[J].Science in China Series F.2007.

[8] 師鳴若,姜中華.一種無線認(rèn)證密鑰協(xié)商協(xié)議[J].計(jì)算機(jī)工程.2009.

[9] 王鶯潔,羅為,徐曉飛.基于身份認(rèn)證的無線安全密鑰交換[J].通信技術(shù).2009.

[10] 張學(xué)英,楊晉吉.無線環(huán)境下的 Web服務(wù)身份認(rèn)證密鑰協(xié)商協(xié)議[J].計(jì)算機(jī)應(yīng)用.2011.