高效的匿名的基于口令的認(rèn)證密鑰協(xié)商協(xié)議.doc

第4期譚示崇等：高效的匿名的基于口令的認(rèn)證密鑰協(xié)商協(xié)議19高效的匿名的基于口令的認(rèn)證密鑰協(xié)商協(xié)議譚示崇，龐遼軍，蘇萬力，王育民(西安電子科技大學(xué) 計(jì)算機(jī)網(wǎng)絡(luò)與信息安全教育部重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071)摘 要：基于口令的密鑰協(xié)商協(xié)議可以為網(wǎng)絡(luò)上僅共享一個(gè)口令的通信雙方建立會(huì)話密鑰。提出了一個(gè)基于口令的認(rèn)證密鑰協(xié)商協(xié)議，并且對(duì)所提出的協(xié)議安全性進(jìn)行了分析，分析結(jié)果表明該協(xié)議在計(jì)算性Diffie-Hellman假設(shè)下，可以抵抗字典攻擊。該協(xié)議能夠?yàn)橛脩籼峁╇[私保護(hù)并且實(shí)現(xiàn)非關(guān)聯(lián)性，而且，該密鑰協(xié)商協(xié)議能夠抵抗拒絕服務(wù)攻擊。關(guān)鍵詞：密鑰協(xié)商；匿名性；拒絕服務(wù)攻擊；字典攻擊中圖分類號(hào)：TN918.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1000-436X(2009)04-0017-04Efficient anonymous password-based authenticated key exchange schemeTAN Shi-chong, PANG Liao-jun, SU Wan-li, WANG Yu-min(Ministry of Edu. Key Lab. of Computer Network and Information Security,Xidian Univ., Xian 710071, China)Abstract: Password-based key exchange schemes was designed to provide entities communicating over a public network, and only sharing a (short) password with a session key (e.g., the key was used for data confidentiality and/or integrity). There has been much interest in password-authenticated key exchange protocol which remains secure even when users choose passwords from a small space of possible passwords, such as a dictionary of English words. A password-based authenticated key exchange scheme was proposed. The analysis shows that the scheme is secure against dictionary attack under the computational Diffie-Hellman intractability assumption, and preserves user privacy and achieves unlinkability. Furthermore, since denial-of-service (DoS) attacks have become a common threat,DoS-resistantance is a design consideration and the scheme is proved to be secure against denial-of-service attacks.Key words: key exchange; anonymity; denial-of-service attack; dictionary attack1 引言收稿日期：2008-06-21；修回日期：2009-02-13基金項(xiàng)目：國(guó)家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（2007AA01Z435）;國(guó)家自然科學(xué)基金資助項(xiàng)目（60772136，60473027）；高等學(xué)校學(xué)科創(chuàng)新引智計(jì)劃基金資助項(xiàng)目（B08038）Foundation Items: The National High Technology Research and Development Program of China(863 Program) (2007AA01Z435); The National Natural Science Foundation of China (60772136,60473027); The 111 Project(B08038)近年來，基于口令的認(rèn)證密鑰協(xié)商協(xié)議的設(shè)計(jì)和分析得到了越來越多的關(guān)注。在認(rèn)證和密鑰協(xié)商協(xié)議中利用口令是很自然的，因?yàn)檫@些口令易于記憶。在實(shí)際應(yīng)用中，基于口令的方案適合在許多環(huán)境中實(shí)現(xiàn)，特別是在一些缺乏設(shè)備來安全地存儲(chǔ)隨機(jī)的長(zhǎng)期密鑰環(huán)境中。但是，因?yàn)榭诹羁臻g很小，這些口令很容易受到字典攻擊或口令猜測(cè)攻擊。1992年，Bellovin和Merritt提出了第一個(gè)基于口令的認(rèn)證密鑰交換協(xié)議1，即EKE協(xié)議；接著，提出了一個(gè)改進(jìn)的協(xié)議2。此后，許多研究人員對(duì)基于口令的密鑰協(xié)商協(xié)議做了大量的研究，并取得了不少成果39。其中，在2000年，Bellare和Boyko分別提出了口令認(rèn)證密鑰協(xié)商協(xié)議的形式化模型4,5，并且在隨機(jī)預(yù)言機(jī)模型下證明了協(xié)議的安全性。Katz等6于2001年在標(biāo)準(zhǔn)模型下討論了口令認(rèn)證密鑰協(xié)商協(xié)議的設(shè)計(jì)和安全性分析。在密碼學(xué)的許多應(yīng)用場(chǎng)合，需要考慮用戶的匿名性，保護(hù)用戶的隱私。匿名性對(duì)于密鑰協(xié)商協(xié)議也是很重要的。在已有的匿名密鑰協(xié)商協(xié)議1012中，文獻(xiàn)10要求遠(yuǎn)程服務(wù)器存儲(chǔ)用戶的口令列表，并且該方案需要進(jìn)行很多指數(shù)運(yùn)算，效率比較低；文獻(xiàn)11,12不能抗拒絕服務(wù)攻擊。本文利用客戶端模糊 (client puzzle)9,13提出了一個(gè)匿名的基于口令的認(rèn)證密鑰協(xié)商協(xié)議，該方案同時(shí)可以抵抗拒絕服務(wù)攻擊。在本文的方案中，如果某個(gè)用戶與遠(yuǎn)程服務(wù)器進(jìn)行密鑰協(xié)商，則遠(yuǎn)程服務(wù)器只能確信該用戶屬于一組用戶，而無法確定該用戶的身份，充分地保護(hù)了用戶的隱私。在本文的協(xié)議中，在用戶被識(shí)別為一個(gè)合法的客戶端之后，遠(yuǎn)程服務(wù)器才進(jìn)行指數(shù)運(yùn)算以及狀態(tài)的存儲(chǔ)，防止惡意的客戶端發(fā)起拒絕服務(wù)攻擊來耗盡服務(wù)器的計(jì)算資源和存儲(chǔ)資源。2 預(yù)備知識(shí)2.1 計(jì)算性Diffie-Hellman假設(shè)在階為素?cái)?shù)p的有限循環(huán)群G中，g是群G的生成元，一個(gè)攻擊者是指運(yùn)行時(shí)間為t的概率性圖靈機(jī)，對(duì)所有的隨機(jī)值x和y滿足如果G中不存在攻擊者，那么就稱在G中計(jì)算性Diffie-Hellman問題是困難的。計(jì)算性Diffie-Hellman假設(shè)是說對(duì)于所有的多項(xiàng)式時(shí)間t和任意的不可忽略，不存在攻擊者。2.2 雜湊函數(shù)一個(gè)雜湊函數(shù)H是安全的，如果該雜湊函數(shù)滿足如下條件。1) 給定x，計(jì)算是容易的，同時(shí)，給定y，計(jì)算是困難的。2) 給定x，找到滿足，在計(jì)算上是不可行的。3) 找到一對(duì)x和滿足和，在計(jì)算上是不可行的。3 匿名的密鑰協(xié)商協(xié)議假設(shè)為一個(gè)有限循環(huán)群，g是群G的生成元，G的階為l bit的素?cái)?shù)p。h,，i=0,1，都是雜湊函數(shù)。本文設(shè)計(jì)匿名的基于口令的密鑰協(xié)商協(xié)議運(yùn)行分為2個(gè)階段。3.1 初始化階段令表示一組用戶，是用戶的口令。S為遠(yuǎn)程服務(wù)器，v是遠(yuǎn)程服務(wù)器S的主密鑰。表示消息認(rèn)證碼算法，sk是MAC的對(duì)稱密鑰。遠(yuǎn)程服務(wù)器S隨機(jī)選取MAC的對(duì)稱密鑰sk，sk可以用于多個(gè)會(huì)話。是遠(yuǎn)程服務(wù)器S選擇的一次性隨機(jī)數(shù)，表示系統(tǒng)的當(dāng)前時(shí)間，date的精度可以由所需抗DoS攻擊的級(jí)別來確定。列表List保存的是已經(jīng)使用過的和date的值。是一個(gè)雜湊函數(shù)，其中 。在初始化階段，用戶群分別在遠(yuǎn)程服務(wù)器S進(jìn)行注冊(cè)，注冊(cè)結(jié)束后，S為每個(gè)用戶產(chǎn)生一個(gè)字符串，并且通過適當(dāng)?shù)姆绞桨踩匕l(fā)送給用戶。3.2 密鑰協(xié)商假設(shè)用戶要與遠(yuǎn)程服務(wù)器S進(jìn)行匿名的密鑰協(xié)商，則它們執(zhí)行如下的過程。1) 用戶將用戶群的身份發(fā)送給遠(yuǎn)程服務(wù)器S。S接收到該消息以后，隨機(jī)選取，S將保存在一個(gè)列表List中，計(jì)算，然后遠(yuǎn)程服務(wù)器S將S、Ns和cookie發(fā)送給用戶。2) 用戶搜索，使得成立。然后，用戶隨機(jī)選擇，計(jì)算，。接著，用戶將C、X、s、nc、NS、cookie發(fā)送給遠(yuǎn)程服務(wù)器S。3) 遠(yuǎn)程服務(wù)器檢查下列條件是否成立：date是否恰當(dāng)？ 如果這些條件都成立，則遠(yuǎn)程服務(wù)器S繼續(xù)進(jìn)行如下計(jì)算：選擇，計(jì)算， ，會(huì)話密鑰。最后，遠(yuǎn)程服務(wù)器S將、發(fā)送給用戶。4) 用戶從中選取與自己對(duì)應(yīng)的，計(jì)算，驗(yàn)證 ，如果相等，則用戶確信與遠(yuǎn)程服務(wù)器S成功地協(xié)商了一個(gè)會(huì)話密鑰，并且。4 安全性分析本文提出的密鑰協(xié)商協(xié)議在雙方都誠(chéng)實(shí)地執(zhí)行協(xié)議的情況下，可以協(xié)商一個(gè)具有良好的密碼學(xué)性質(zhì)的會(huì)話密鑰。該協(xié)議所進(jìn)行的運(yùn)算主要是求雜湊函數(shù)值和異或運(yùn)算，因此，協(xié)議的效率比較高。此外，該協(xié)議還具有如下的性質(zhì)。1) 實(shí)現(xiàn)了用戶的匿名性和非關(guān)聯(lián)性在3.2節(jié)的第2)步，用戶計(jì)算了 ，因?yàn)槭菑闹须S機(jī)選取的，x是從Zp中隨機(jī)選取的，因此根據(jù)X和，遠(yuǎn)程服務(wù)器無法得到與用戶身份有關(guān)的任何信息，它只能知道該用戶是用戶群中的一員。同時(shí)，因?yàn)椴煌脩粢院艽蟮母怕蔬x擇不同的x和ri，得到不同的X和，因此遠(yuǎn)程服務(wù)器無法將它與不同用戶的協(xié)商過程聯(lián)系起來。從而，本文的協(xié)議實(shí)現(xiàn)了用戶的匿名性和非關(guān)聯(lián)性。2) 能抗DoS攻擊為了使得所設(shè)計(jì)的方案能夠抵抗DoS攻擊，一個(gè)可行的方法就是先讓客戶端向服務(wù)器證明它能夠解決一個(gè)給定的難題(puzzle)13，之后，服務(wù)器才進(jìn)行運(yùn)算量很大的計(jì)算以及狀態(tài)的存儲(chǔ)，從而防止客戶端利用DoS攻擊來耗盡服務(wù)器的計(jì)算資源和存儲(chǔ)資源。在本文的方案中，服務(wù)器計(jì)算一個(gè)，并發(fā)送給客戶端。中時(shí)間date的精度取決于所需的抗DoS攻擊的級(jí)別。在收到cookie以后，客戶端試圖找到，使得成立，因?yàn)殡s湊函數(shù)f看作一個(gè)隨機(jī)預(yù)言機(jī)，所以客戶端解決這個(gè)難題的唯一方法就是嘗試所有長(zhǎng)度為k2的字符串，并且向這個(gè)隨機(jī)預(yù)言機(jī)進(jìn)行詢問?？蛻舳苏业綕M足要求的nc，就是對(duì)自己計(jì)算努力的一個(gè)證明。隨后，服務(wù)器就可以驗(yàn)證是否發(fā)起了DoS攻擊，因?yàn)榉?wù)器鎖定了cookie并且不允許相同的cookie出現(xiàn)2次。從這里可以看出，本文的協(xié)議能夠抵抗DoS攻擊。3) 能抗字典攻擊在協(xié)議的運(yùn)行過程中，攻擊者所能獲得的用戶和遠(yuǎn)程服務(wù)器之間的消息包括：， ， ，。顯然，在計(jì)算性Diffie-Hellman假設(shè)和安全的雜湊函數(shù)下，攻擊者根據(jù)這些消息無法驗(yàn)證他所猜測(cè)的口令，因此，本文提出的協(xié)議還能抵抗字典攻擊。5 結(jié)束語在密碼協(xié)議的設(shè)計(jì)中，保護(hù)用戶的身份信息對(duì)于很多應(yīng)用場(chǎng)合都是一個(gè)需要考慮的重要方面。本文構(gòu)造了一個(gè)基于口令的認(rèn)證密鑰協(xié)商協(xié)議，該協(xié)議實(shí)現(xiàn)了用戶的匿名性和非關(guān)聯(lián)性，而且還能抵抗DoS攻擊和字典攻擊等，本文還實(shí)現(xiàn)了用戶的匿名性。如何同時(shí)有效地實(shí)現(xiàn)遠(yuǎn)程服務(wù)器的匿名性，是一個(gè)值得進(jìn)一步研究的問題。參考文獻(xiàn)：1BELLOVIN S, MERRITT M. Encrypted key exchange: password-based protocols secure against dictionary attacksA. Proceedings of the 1992 IEEE Symposium on Research in Security and PrivacyC. Oakland, IEEE Computer Society, 1992. 72-84.2BELLOVIN S, MERRITT M. Augumented encrypted key exchange:a password-based protocol secure against dictionary attacks and password file compromiseA.Proceedings of CCS93C. New York, USA, 1993.244-250.3JABLON D. Strong password-only authenticated key exchangeJ. ACM Computer Communication Review,1996,26(5):5-20.4BELLARE M, POINTCHEVAL D, ROGAWAY P. Authenticated key exchange secure against dictionary attacksA. EUROCRYPT2000C. Bruges, Belgium, 2000.139-155.5BOYKO V, MACKENZIE P, PATEL S. Provably-secure password anthentiation and key exchange using Diffie-HellmanA. EUROCRYPT2000C. Bruges,Belgium, 2000.156-171.6KATZ J, OSTROVSKY R, YUNG M. Efficient password- authenticated key exchange using human-memorable passwordsA. EUROCRYPT 2001C. Berlin, 2001.475-494.7RAIMONDO M, GENNARO R. Provably secure threshold password-authenticated key exchangeA. EUROCRYPT 2003C. New York, 2003.507-523.8GENNARO R, LINDELL Y. A framework for password-based authenticated key exchangeA. EUROCRYPT2003C. New York, 2003. 524-543.9BRESSON E, CHEVASSUT O, POINTCHEVAL D. New security results on encrypted key exchangeA. PKC2004C. Singapore, 2004. 145-158.10VIET D Q, YAMAMURA A, TANAKA H. Anonymous password-based authenticated key exchangeA. INDOCRYPT 2005C. Berlin, 2005.244-257.11CHAI Z C, CAO Z F, LU R X. Efficient password-ba