可口令認(rèn)證的兩方密鑰交換協(xié)議之安全性改進(jìn)

項(xiàng)順伯，趙晶英，陳英俊

可口令認(rèn)證的兩方密鑰交換協(xié)議之安全性改進(jìn)

項(xiàng)順伯，趙晶英，陳英俊

對(duì)于口令認(rèn)證的密鑰交換協(xié)議的安全性要求，分析Izabachène等提出的口令認(rèn)證的兩方密鑰交換協(xié)議存在服務(wù)器泄漏偽裝攻擊，在該協(xié)議的基礎(chǔ)上，利用服務(wù)器不直接存儲(chǔ)客戶端的口令明文而存儲(chǔ)口令的驗(yàn)證值，提出一種新的可口令認(rèn)證的兩方密鑰交換協(xié)議，并對(duì)協(xié)議進(jìn)行了安全性的分析。分析表明，所提出的新協(xié)議具有兩方密鑰交換協(xié)議的安全屬性有所改進(jìn)。

口令認(rèn)證；密鑰交換協(xié)議；基于身份加密；雙線性對(duì)；會(huì)話密鑰

0 引言

口令認(rèn)證的密鑰交換協(xié)議是指協(xié)議的參與方共享一個(gè)或幾個(gè)低熵的口令來(lái)建立一個(gè)會(huì)話密鑰，從而實(shí)現(xiàn)不安全信道上的安全通信。1992年，Bellovin和Merritt首次提出以Diffie-Hellman密鑰交換協(xié)議為基礎(chǔ)的口令認(rèn)證的兩方密鑰交換協(xié)議，該協(xié)議實(shí)現(xiàn)了兩方的互認(rèn)證與會(huì)話密鑰的建立，能夠抵御在線口令字典攻擊[1]。隨后，大量的口令認(rèn)證的兩方[2-7]、三方、群組及跨域的密鑰交換協(xié)議被提出?？诹钫J(rèn)證的兩方密鑰交換協(xié)議中的兩方指兩個(gè)平等的用戶或者客戶端/服務(wù)器，采用的口令為某一方或客戶端的口令明文或者口令的驗(yàn)證值?？诹畛蔀楣粽叩膶?duì)象，因此，口令認(rèn)證的兩方密鑰交換協(xié)議除能抵抗一般密鑰交換協(xié)議中的攻擊外，還要能抵抗字典攻擊和服務(wù)器泄漏偽裝攻擊，在設(shè)計(jì)一個(gè)口令認(rèn)證的兩方密鑰交換協(xié)議時(shí)，其安全屬性尤為重要。文獻(xiàn)[3]利用DH協(xié)議提出一種兩方的口令認(rèn)證密鑰交換協(xié)議，并對(duì)協(xié)議進(jìn)行了安全性和效率兩個(gè)方面的分析。文獻(xiàn)[4]利用服務(wù)器端存儲(chǔ)用戶的口令明文提出一種兩方的口令認(rèn)證密鑰交換協(xié)議。文獻(xiàn)[5]提出一個(gè)計(jì)算復(fù)雜度低、協(xié)議簡(jiǎn)單，只需一個(gè)生成元的口令認(rèn)證的密鑰交換協(xié)議，并在標(biāo)準(zhǔn)模型下證明協(xié)議的安全性。文獻(xiàn)[6]分析文獻(xiàn)[5]指出，一個(gè)外部攻擊者可成功地對(duì)用戶的口令實(shí)施離線字典攻擊，但沒(méi)提出對(duì)文獻(xiàn)[5]協(xié)議的改進(jìn)。自從基于身份加密算法提出以來(lái)，其應(yīng)用的相關(guān)文獻(xiàn)不是很多。文獻(xiàn)[7]提出一種基于身份加密算法的可口令認(rèn)證的兩方密鑰交換協(xié)議，對(duì)協(xié)議的具體設(shè)計(jì)與安全性都沒(méi)有闡述，而且該協(xié)議存在安全性缺陷。本文在文獻(xiàn)[7]協(xié)議的基礎(chǔ)上提出一個(gè)新的可口令認(rèn)證的兩方密鑰交換協(xié)議，簡(jiǎn)稱(chēng)新協(xié)議，并對(duì)該協(xié)議進(jìn)行了分析。

1 基礎(chǔ)知識(shí)

是困難的。

定義3 基于身份加密算法，簡(jiǎn)稱(chēng)IBE算法，是由下述4個(gè)算法組成：

1)參數(shù)生成(Setup)。選擇安全參量K，獲得系統(tǒng)參數(shù)params和主密鑰MK。系統(tǒng)參數(shù)包括明文空間M的描述和密文空間C的描述。系統(tǒng)參數(shù)公開(kāi)，只有PKG知道MK。

2)密鑰抽取(Extract)。輸入params、MK和任意ID∈ {0,1}?，獲得相應(yīng)的解密私鑰d，其中ID是任意一種序列并作為公鑰使用。Extract算法由給定的公鑰析取出私鑰。

3)加密(Encrypt)。輸入params、ID和m∈M，獲得密文c∈C.

4)解密(Decrypt)。輸入params、c∈C和私鑰d，獲得m∈M.

2 口令認(rèn)證的兩方密鑰交換協(xié)議

2.1 可口令認(rèn)證的兩方密鑰交換協(xié)議的分析

文獻(xiàn)[7]的口令認(rèn)證的兩方密鑰交換協(xié)議不能抵抗服務(wù)器泄漏偽裝攻擊，當(dāng)服務(wù)器泄漏或遭受攻擊時(shí)，攻擊者獲得pw后，選擇隨機(jī)數(shù)ω并截獲客戶端的身份C之后，就能偽裝成客戶端登錄服務(wù)器，則計(jì)算出的會(huì)話密鑰同客戶端與服務(wù)器間的會(huì)話密鑰相同。

2.2 新的口令認(rèn)證的兩方密鑰交換協(xié)議的設(shè)計(jì)與實(shí)現(xiàn)

2)抵抗字典攻擊。字典攻擊可分為離線字典攻擊和在線字典攻擊，在線字典攻擊又分為可測(cè)在線字典攻擊和不可測(cè)在線字典攻擊。(1)新協(xié)議能抵抗離線字典攻擊，傳輸?shù)男畔H密文c與Cauth含有口令pw信息，如果攻擊者想通過(guò)截獲的信息來(lái)獲得pw，就面臨DLP問(wèn)題，因?yàn)闊o(wú)法由gr(w+t)。計(jì)算出t=H(C||S||pw)，進(jìn)而計(jì)算出pw；(2)新協(xié)議可抵抗可測(cè)的在線字典攻擊，因?yàn)榭蛻舳送ㄟ^(guò)計(jì)算出的K′與服務(wù)端發(fā)送的K是否相等來(lái)驗(yàn)證服務(wù)器是否存儲(chǔ)口令的驗(yàn)證值v，一旦驗(yàn)證失敗，就認(rèn)為服務(wù)器變成了在線字典攻擊的對(duì)象。同樣，服務(wù)器通過(guò)對(duì)客戶端身份的認(rèn)證來(lái)確定客戶端是否成為在線字典攻擊的對(duì)象。(3)攻擊者對(duì)口令pw的猜測(cè)能被客戶端或服務(wù)器檢測(cè)到，因此，攻擊者不能進(jìn)行不可測(cè)的在線字典攻擊[2]。

3)密鑰機(jī)密性。密鑰機(jī)密性是指攻擊者不能獲得客戶端/服務(wù)器共享會(huì)話密鑰中的任何有用信息。新協(xié)議能提供密鑰機(jī)密性，攻擊者要想計(jì)算出客戶端/服務(wù)器的會(huì)話密鑰，必須先計(jì)算出c，由于r和ω是隨機(jī)選取的，又因?yàn)镈LP問(wèn)題，敵手無(wú)法計(jì)算出r或ω，從而無(wú)法計(jì)算出c。

4)前向安全性。這里的前向安全性是指即使攻擊者獲得一個(gè)或多個(gè)用戶的口令，也不能影響之前由該口令建立的會(huì)話密鑰的安全，即會(huì)話密鑰與口令之間具有獨(dú)立性。假設(shè)攻擊者擁有了客戶端的口令pw，要想計(jì)算出會(huì)話密鑰SK，必須先計(jì)算出c，然而這是DLP困難問(wèn)題，因此，新協(xié)議提供前向安全性。

5)抵抗服務(wù)器泄露偽裝攻擊。服務(wù)器存儲(chǔ)的口令驗(yàn)證值失竊后，無(wú)法防止攻擊者偽裝成服務(wù)器，我們希望使攻擊者無(wú)法偽裝成真實(shí)客戶端。新協(xié)議能夠抵抗服務(wù)器泄露偽裝成客戶端的攻擊，攻擊者通過(guò)竊取的口令驗(yàn)證值 無(wú)法計(jì)算出口令 ，因?yàn)檫@是 困難問(wèn)題。

4 結(jié)論

本文提出一個(gè)口令認(rèn)證的兩方密鑰交換協(xié)議，該協(xié)議可實(shí)現(xiàn)兩方雙向認(rèn)證，能抵抗字典攻擊和服務(wù)器泄漏攻擊，具有密鑰機(jī)密性和前向安全性等安全性要求。

[1] Bellovin S M,Merritt M. Encrypted Key Exchange: Password-Based Protocols Secure against Dictionary Attacks[C], IEEE Computer Society Symposium on Research in Security and Privacy, Oakland, CA, USA, 1992:72-84.

[2] Bellare M, Pointcheval D, Rogaway P. Authenticated Key Exchange Secure against Dictionary Attacks[C], Advances in Cryptology-EUROCRYPT'00, Brugge, Belgium, 2000:139-155.

[3] Boyko V, Mackenzie P, Patel S. Provably Secure Password-Authenticated Key Exchange Using Diffie-Hellman[C], Advances in Cryptology-EUROCRYPT'00, Bruges,Belgium, 2000:156-171.

[4] Jonathan K, Rafail O, Moti Y. Efficient Password-Authenticated Key Exchange Using Human-Memorable Passwords[C], Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques: Advances in Cryptology, Innsbruck, Austria, 2001:475-494.

[5] 舒劍,許春香.標(biāo)準(zhǔn)模型下高效的基于口令認(rèn)證密鑰協(xié)商協(xié)議[J].電子與信電學(xué)報(bào),2009,31(11):2716-2719.

[6] 胡學(xué)先,劉文芬, 張振峰. 對(duì)兩個(gè)口令認(rèn)證密鑰交換協(xié)議的安全性分析[J]. 計(jì)算機(jī)工程與應(yīng)用. 2010, 46(18):18-20.

[7] Malika Izabachène, David Pointcheval. New Anonymity Notions for Identity-Based Encryption[C]. SCN, 2008, LNCS, 5229, 375-391,Sringer-Verlag, 2009.

Efficient Password-Authenticated Two Party Key Exchange Protocol

Xiang Shunbo1, Zhao Jingying2, Chen Yingjun2
(1.College of Computer and Electronic Information, Guangdong University of Petrochemical Technology, Maoming 525000, China; 2.College of Mechanical＆Electrical Engineering, Guangdong University of Petrochemical Technology, Maoming 525000, China)

For the requirements of password-authenticated key exchange protocol, using the relevant content of ID-based encryption algorithm, bilinear pairing and hash function, a password-authenticated two party key exchange protocol was proposed and it was analyzed from the aspect of security. It is showed in the analysis that the protocol has the security requirements of the two party key exchange protocol.

Password-Authenticated; Key Exchange Protocol; ID-Based Encryption; Bilinear Pairing; Session Key

TP311

A

1007-757X(2014)06-0007-03

2014.04.11)

廣東省自然科學(xué)基金資助項(xiàng)目(8152500002000003)；茂名市科技計(jì)劃項(xiàng)目資助

項(xiàng)順伯(1979-)，男，漢，安徽樅陽(yáng)人，廣東石油化工學(xué)院 計(jì)算機(jī)與電子信息學(xué)院，講師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)與密碼協(xié)議，茂名，525000

趙晶英(1981-)，男，白族，貴州黔西縣人，廣東石油化工學(xué)院機(jī)電工程學(xué)院，講師，碩士，研究方向：系統(tǒng)優(yōu)化及仿真，茂名，525000

陳英俊(1979-)，男，廣東高州人，廣東石油化工學(xué)院機(jī)電工程學(xué)院，講師，碩士，研究方向：機(jī)械設(shè)計(jì)及機(jī)電一體化，茂名，525000