高效的匿名的基于口令的認(rèn)證密鑰協(xié)商協(xié)議.doc

第4期譚示崇等：高效的匿名的基于口令的認(rèn)證密鑰協(xié)商協(xié)議19高效的匿名的基于口令的認(rèn)證密鑰協(xié)商協(xié)議譚示崇，龐遼軍，蘇萬力，王育民(西安電子科技大學(xué) 計算機(jī)網(wǎng)絡(luò)與信息安全教育部重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071)摘 要：基于口令的密鑰協(xié)商協(xié)議可以為網(wǎng)絡(luò)上僅共享一個口令的通信雙方建立會話密鑰。提出了一個基于口令的認(rèn)證密鑰協(xié)商協(xié)議，并且對所提出的協(xié)議安全性進(jìn)行了分析，分析結(jié)果表明該協(xié)議在計算性Diffie-Hellman假設(shè)下，可以抵抗字典攻擊。該協(xié)議能夠?yàn)橛脩籼峁╇[私保護(hù)并且實(shí)現(xiàn)非關(guān)聯(lián)性，而且，該密鑰協(xié)商協(xié)議能夠抵抗拒絕服務(wù)攻擊。關(guān)鍵詞：密鑰協(xié)商；匿名性；拒絕服務(wù)攻擊；字典攻擊中圖分類號：TN918.1 文獻(xiàn)標(biāo)識碼：A 文章編號：1000-436X(2009)04-0017-04Efficient anonymous password-based authenticated key exchange schemeTAN Shi-chong, PANG Liao-jun, SU Wan-li, WANG Yu-min(Ministry of Edu. Key Lab. of Computer Network and Information Security,Xidian Univ., Xian 710071, China)Abstract: Password-based key exchange schemes was designed to provide entities communicating over a public network, and only sharing a (short) password with a session key (e.g., the key was used for data confidentiality and/or integrity). There has been much interest in password-authenticated key exchange protocol which remains secure even when users choose passwords from a small space of possible passwords, such as a dictionary of English words. A password-based authenticated key exchange scheme was proposed. The analysis shows that the scheme is secure against dictionary attack under the computational Diffie-Hellman intractability assumption, and preserves user privacy and achieves unlinkability. Furthermore, since denial-of-service (DoS) attacks have become a common threat,DoS-resistantance is a design consideration and the scheme is proved to be secure against denial-of-service attacks.Key words: key exchange; anonymity; denial-of-service attack; dictionary attack1 引言收稿日期：2008-06-21；修回日期：2009-02-13基金項(xiàng)目：國家高技術(shù)研究發(fā)展計劃（“863”計劃）基金資助項(xiàng)目（2007AA01Z435）;國家自然科學(xué)基金資助項(xiàng)目（60772136，60473027）；高等學(xué)校學(xué)科創(chuàng)新引智計劃基金資助項(xiàng)目（B08038）Foundation Items: The National High Technology Research and Development Program of China(863 Program) (2007AA01Z435); The National Natural Science Foundation of China (60772136,60473027); The 111 Project(B08038)近年來，基于口令的認(rèn)證密鑰協(xié)商協(xié)議的設(shè)計和分析得到了越來越多的關(guān)注。在認(rèn)證和密鑰協(xié)商協(xié)議中利用口令是很自然的，因?yàn)檫@些口令易于記憶。在實(shí)際應(yīng)用中，基于口令的方案適合在許多環(huán)境中實(shí)現(xiàn)，特別是在一些缺乏設(shè)備來安全地存儲隨機(jī)的長期密鑰環(huán)境中。但是，因?yàn)榭诹羁臻g很小，這些口令很容易受到字典攻擊或口令猜測攻擊。1992年，Bellovin和Merritt提出了第一個基于口令的認(rèn)證密鑰交換協(xié)議1，即EKE協(xié)議；接著，提出了一個改進(jìn)的協(xié)議2。此后，許多研究人員對基于口令的密鑰協(xié)商協(xié)議做了大量的研究，并取得了不少成果39。其中，在2000年，Bellare和Boyko分別提出了口令認(rèn)證密鑰協(xié)商協(xié)議的形式化模型4,5，并且在隨機(jī)預(yù)言機(jī)模型下證明了協(xié)議的安全性。Katz等6于2001年在標(biāo)準(zhǔn)模型下討論了口令認(rèn)證密鑰協(xié)商協(xié)議的設(shè)計和安全性分析。在密碼學(xué)的許多應(yīng)用場合，需要考慮用戶的匿名性，保護(hù)用戶的隱私。匿名性對于密鑰協(xié)商協(xié)議也是很重要的。在已有的匿名密鑰協(xié)商協(xié)議1012中，文獻(xiàn)10要求遠(yuǎn)程服務(wù)器存儲用戶的口令列表，并且該方案需要進(jìn)行很多指數(shù)運(yùn)算，效率比較低；文獻(xiàn)11,12不能抗拒絕服務(wù)攻擊。本文利用客戶端模糊 (client puzzle)9,13提出了一個匿名的基于口令的認(rèn)證密鑰協(xié)商協(xié)議，該方案同時可以抵抗拒絕服務(wù)攻擊。在本文的方案中，如果某個用戶與遠(yuǎn)程服務(wù)器進(jìn)行密鑰協(xié)商，則遠(yuǎn)程服務(wù)器只能確信該用戶屬于一組用戶，而無法確定該用戶的身份，充分地保護(hù)了用戶的隱私。在本文的協(xié)議中，在用戶被識別為一個合法的客戶端之后，遠(yuǎn)程服務(wù)器才進(jìn)行指數(shù)運(yùn)算以及狀態(tài)的存儲，防止惡意的客戶端發(fā)起拒絕服務(wù)攻擊來耗盡服務(wù)器的計算資源和存儲資源。2 預(yù)備知識2.1 計算性Diffie-Hellman假設(shè)在階為素數(shù)p的有限循環(huán)群G中，g是群G的生成元，一個攻擊者是指運(yùn)行時間為t的概率性圖靈機(jī)，對所有的隨機(jī)值x和y滿足如果G中不存在攻擊者，那么就稱在G中計算性Diffie-Hellman問題是困難的。計算性Diffie-Hellman假設(shè)是說對于所有的多項(xiàng)式時間t和任意的不可忽略，不存在攻擊者。2.2 雜湊函數(shù)一個雜湊函數(shù)H是安全的，如果該雜湊函數(shù)滿足如下條件。1) 給定x，計算是容易的，同時，給定y，計算是困難的。2) 給定x，找到滿足，在計算上是不可行的。3) 找到一對x和滿足和，在計算上是不可行的。3 匿名的密鑰協(xié)商協(xié)議假設(shè)為一個有限循環(huán)群，g是群G的生成元，G的階為l bit的素數(shù)p。h,，i=0,1，都是雜湊函數(shù)。本文設(shè)計匿名的基于口令的密鑰協(xié)商協(xié)議運(yùn)行分為2個階段。3.1 初始化階段令表示一組用戶，是用戶的口令。S為遠(yuǎn)程服務(wù)器，v是遠(yuǎn)程服務(wù)器S的主密鑰。表示消息認(rèn)證碼算法，sk是MAC的對稱密鑰。遠(yuǎn)程服務(wù)器S隨機(jī)選取MAC的對稱密鑰sk，sk可以用于多個會話。是遠(yuǎn)程服務(wù)器S選擇的一次性隨機(jī)數(shù)，表示系統(tǒng)的當(dāng)前時間，date的精度可以由所需抗DoS攻擊的級別來確定。列表List保存的是已經(jīng)使用過的和date的值。是一個雜湊函數(shù)，其中 。在初始化階段，用戶群分別在遠(yuǎn)程服務(wù)器S進(jìn)行注冊，注冊結(jié)束后，S為每個用戶產(chǎn)生一個字符串，并且通過適當(dāng)?shù)姆绞桨踩匕l(fā)送給用戶。3.2 密鑰協(xié)商假設(shè)用戶要與遠(yuǎn)程服務(wù)器S進(jìn)行匿名的密鑰協(xié)商，則它們執(zhí)行如下的過程。1) 用戶將用戶群的身份發(fā)送給遠(yuǎn)程服務(wù)器S。S接收到該消息以后，隨機(jī)選取，S將保存在一個列表List中，計算，然后遠(yuǎn)程服務(wù)器S將S、Ns和cookie發(fā)送給用戶。2) 用戶搜索，使得成立。然后，用戶隨機(jī)選擇，計算，。接著，用戶將C、X、s、nc、NS、cookie發(fā)送給遠(yuǎn)程服務(wù)器S。3) 遠(yuǎn)程服務(wù)器檢查下列條件是否成立：date是否恰當(dāng)？ 如果這些條件都成立，則遠(yuǎn)程服務(wù)器S繼續(xù)進(jìn)行如下計算：選擇，計算， ，會話密鑰。最后，遠(yuǎn)程服務(wù)器S將、發(fā)送給用戶。4) 用戶從中選取與自己對應(yīng)的，計算，驗(yàn)證 ，如果相等，則用戶確信與遠(yuǎn)程服務(wù)器S成功地協(xié)商了一個會話密鑰，并且。4 安全性分析本文提出的密鑰協(xié)商協(xié)議在雙方都誠實(shí)地執(zhí)行協(xié)議的情況下，可以協(xié)商一個具有良好的密碼學(xué)性質(zhì)的會話密鑰。該協(xié)議所進(jìn)行的運(yùn)算主要是求雜湊函數(shù)值和異或運(yùn)算，因此，協(xié)議的效率比較高。此外，該協(xié)議還具有如下的性質(zhì)。1) 實(shí)現(xiàn)了用戶的匿名性和非關(guān)聯(lián)性在3.2節(jié)的第2)步，用戶計算了 ，因?yàn)槭菑闹须S機(jī)選取的，x是從Zp中隨機(jī)選取的，因此根據(jù)X和，遠(yuǎn)程服務(wù)器無法得到與用戶身份有關(guān)的任何信息，它只能知道該用戶是用戶群中的一員。同時，因?yàn)椴煌脩粢院艽蟮母怕蔬x擇不同的x和ri，得到不同的X和，因此遠(yuǎn)程服務(wù)器無法將它與不同用戶的協(xié)商過程聯(lián)系起來。從而，本文的協(xié)議實(shí)現(xiàn)了用戶的匿名性和非關(guān)聯(lián)性。2) 能抗DoS攻擊為了使得所設(shè)計的方案能夠抵抗DoS攻擊，一個可行的方法就是先讓客戶端向服務(wù)器證明它能夠解決一個給定的難題(puzzle)13，之后，服務(wù)器才進(jìn)行運(yùn)算量很大的計算以及狀態(tài)的存儲，從而防止客戶端利用DoS攻擊來耗盡服務(wù)器的計算資源和存儲資源。在本文的方案中，服務(wù)器計算一個，并發(fā)送給客戶端。中時間date的精度取決于所需的抗DoS攻擊的級別。在收到cookie以后，客戶端試圖找到，使得成立，因?yàn)殡s湊函數(shù)f看作一個隨機(jī)預(yù)言機(jī)，所以客戶端解決這個難題的唯一方法就是嘗試所有長度為k2的字符串，并且向這個隨機(jī)預(yù)言機(jī)進(jìn)行詢問?？蛻舳苏业綕M足要求的nc，就是對自己計算努力的一個證明。隨后，服務(wù)器就可以驗(yàn)證是否發(fā)起了DoS攻擊，因?yàn)榉?wù)器鎖定了cookie并且不允許相同的cookie出現(xiàn)2次。從這里可以看出，本文的協(xié)議能夠抵抗DoS攻擊。3) 能抗字典攻擊在協(xié)議的運(yùn)行過程中，攻擊者所能獲得的用戶和遠(yuǎn)程服務(wù)器之間的消息包括：， ， ，。顯然，在計算性Diffie-Hellman假設(shè)和安全的雜湊函數(shù)下，攻擊者根據(jù)這些消息無法驗(yàn)證他所猜測的口令，因此，本文提出的協(xié)議還能抵抗字典攻擊。5 結(jié)束語在密碼協(xié)議的設(shè)計中，保護(hù)用戶的身份信息對于很多應(yīng)用場合都是一個需要考慮的重要方面。本文構(gòu)造了一個基于口令的認(rèn)證密鑰協(xié)商協(xié)議，該協(xié)議實(shí)現(xiàn)了用戶的匿名性和非關(guān)聯(lián)性，而且還能抵抗DoS攻擊和字典攻擊等，本文還實(shí)現(xiàn)了用戶的匿名性。如何同時有效地實(shí)現(xiàn)遠(yuǎn)程服務(wù)器的匿名性，是一個值得進(jìn)一步研究的問題。參考文獻(xiàn)：1BELLOVIN S, MERRITT M. Encrypted key exchange: password-based protocols secure against dictionary attacksA. Proceedings of the 1992 IEEE Symposium on Research in Security and PrivacyC. Oakland, IEEE Computer Society, 1992. 72-84.2BELLOVIN S, MERRITT M. Augumented encrypted key exchange:a password-based protocol secure against dictionary attacks and password file compromiseA.Proceedings of CCS93C. New York, USA, 1993.244-250.3JABLON D. Strong password-only authenticated key exchangeJ. ACM Computer Communication Review,1996,26(5):5-20.4BELLARE M, POINTCHEVAL D, ROGAWAY P. Authenticated key exchange secure against dictionary attacksA. EUROCRYPT2000C. Bruges, Belgium, 2000.139-155.5BOYKO V, MACKENZIE P, PATEL S. Provably-secure password anthentiation and key exchange using Diffie-HellmanA. EUROCRYPT2000C. Bruges,Belgium, 2000.156-171.6KATZ J, OSTROVSKY R, YUNG M. Efficient password- authenticated key exchange using human-memorable passwordsA. EUROCRYPT 2001C. Berlin, 2001.475-494.7RAIMONDO M, GENNARO R. Provably secure threshold password-authenticated key exchangeA. EUROCRYPT 2003C. New York, 2003.507-523.8GENNARO R, LINDELL Y. A framework for password-based authenticated key exchangeA. EUROCRYPT2003C. New York, 2003. 524-543.9BRESSON E, CHEVASSUT O, POINTCHEVAL D. New security results on encrypted key exchangeA. PKC2004C. Singapore, 2004. 145-158.10VIET D Q, YAMAMURA A, TANAKA H. Anonymous password-based authenticated key exchangeA. INDOCRYPT 2005C. Berlin, 2005.244-257.11CHAI Z C, CAO Z F, LU R X. Efficient password-ba