高效的匿名的基于口令的认证密钥协商协议.doc

第4期谭示崇等：高效的匿名的基于口令的认证密钥协商协议19高效的匿名的基于口令的认证密钥协商协议谭示崇，庞辽军，苏万力，王育民(西安电子科技大学 计算机网络与信息安全教育部重点实验室，陕西 西安 710071)摘 要：基于口令的密钥协商协议可以为网络上仅共享一个口令的通信双方建立会话密钥。提出了一个基于口令的认证密钥协商协议，并且对所提出的协议安全性进行了分析，分析结果表明该协议在计算性Diffie-Hellman假设下，可以抵抗字典攻击。该协议能够为用户提供隐私保护并且实现非关联性，而且，该密钥协商协议能够抵抗拒绝服务攻击。关键词：密钥协商；匿名性；拒绝服务攻击；字典攻击中图分类号：TN918.1 文献标识码：A 文章编号：1000-436X(2009)04-0017-04Efficient anonymous password-based authenticated key exchange schemeTAN Shi-chong, PANG Liao-jun, SU Wan-li, WANG Yu-min(Ministry of Edu. Key Lab. of Computer Network and Information Security,Xidian Univ., Xian 710071, China)Abstract: Password-based key exchange schemes was designed to provide entities communicating over a public network, and only sharing a (short) password with a session key (e.g., the key was used for data confidentiality and/or integrity). There has been much interest in password-authenticated key exchange protocol which remains secure even when users choose passwords from a small space of possible passwords, such as a dictionary of English words. A password-based authenticated key exchange scheme was proposed. The analysis shows that the scheme is secure against dictionary attack under the computational Diffie-Hellman intractability assumption, and preserves user privacy and achieves unlinkability. Furthermore, since denial-of-service (DoS) attacks have become a common threat,DoS-resistantance is a design consideration and the scheme is proved to be secure against denial-of-service attacks.Key words: key exchange; anonymity; denial-of-service attack; dictionary attack1 引言收稿日期：2008-06-21；修回日期：2009-02-13基金项目：国家高技术研究发展计划（“863”计划）基金资助项目（2007AA01Z435）;国家自然科学基金资助项目（60772136，60473027）；高等学校学科创新引智计划基金资助项目（B08038）Foundation Items: The National High Technology Research and Development Program of China(863 Program) (2007AA01Z435); The National Natural Science Foundation of China (60772136,60473027); The 111 Project(B08038)近年来，基于口令的认证密钥协商协议的设计和分析得到了越来越多的关注。在认证和密钥协商协议中利用口令是很自然的，因为这些口令易于记忆。在实际应用中，基于口令的方案适合在许多环境中实现，特别是在一些缺乏设备来安全地存储随机的长期密钥环境中。但是，因为口令空间很小，这些口令很容易受到字典攻击或口令猜测攻击。1992年，Bellovin和Merritt提出了第一个基于口令的认证密钥交换协议1，即EKE协议；接着，提出了一个改进的协议2。此后，许多研究人员对基于口令的密钥协商协议做了大量的研究，并取得了不少成果39。其中，在2000年，Bellare和Boyko分别提出了口令认证密钥协商协议的形式化模型4,5，并且在随机预言机模型下证明了协议的安全性。Katz等6于2001年在标准模型下讨论了口令认证密钥协商协议的设计和安全性分析。在密码学的许多应用场合，需要考虑用户的匿名性，保护用户的隐私。匿名性对于密钥协商协议也是很重要的。在已有的匿名密钥协商协议1012中，文献10要求远程服务器存储用户的口令列表，并且该方案需要进行很多指数运算，效率比较低；文献11,12不能抗拒绝服务攻击。本文利用客户端模糊 (client puzzle)9,13提出了一个匿名的基于口令的认证密钥协商协议，该方案同时可以抵抗拒绝服务攻击。在本文的方案中，如果某个用户与远程服务器进行密钥协商，则远程服务器只能确信该用户属于一组用户，而无法确定该用户的身份，充分地保护了用户的隐私。在本文的协议中，在用户被识别为一个合法的客户端之后，远程服务器才进行指数运算以及状态的存储，防止恶意的客户端发起拒绝服务攻击来耗尽服务器的计算资源和存储资源。2 预备知识2.1 计算性Diffie-Hellman假设在阶为素数p的有限循环群G中，g是群G的生成元，一个攻击者是指运行时间为t的概率性图灵机，对所有的随机值x和y满足如果G中不存在攻击者，那么就称在G中计算性Diffie-Hellman问题是困难的。计算性Diffie-Hellman假设是说对于所有的多项式时间t和任意的不可忽略，不存在攻击者。2.2 杂凑函数一个杂凑函数H是安全的，如果该杂凑函数满足如下条件。1) 给定x，计算是容易的，同时，给定y，计算是困难的。2) 给定x，找到满足，在计算上是不可行的。3) 找到一对x和满足和，在计算上是不可行的。3 匿名的密钥协商协议假设为一个有限循环群，g是群G的生成元，G的阶为l bit的素数p。h,，i=0,1，都是杂凑函数。本文设计匿名的基于口令的密钥协商协议运行分为2个阶段。3.1 初始化阶段令表示一组用户，是用户的口令。S为远程服务器，v是远程服务器S的主密钥。表示消息认证码算法，sk是MAC的对称密钥。远程服务器S随机选取MAC的对称密钥sk，sk可以用于多个会话。是远程服务器S选择的一次性随机数，表示系统的当前时间，date的精度可以由所需抗DoS攻击的级别来确定。列表List保存的是已经使用过的和date的值。是一个杂凑函数，其中 。在初始化阶段，用户群分别在远程服务器S进行注册，注册结束后，S为每个用户产生一个字符串，并且通过适当的方式安全地发送给用户。3.2 密钥协商假设用户要与远程服务器S进行匿名的密钥协商，则它们执行如下的过程。1) 用户将用户群的身份发送给远程服务器S。S接收到该消息以后，随机选取，S将保存在一个列表List中，计算，然后远程服务器S将S、Ns和cookie发送给用户。2) 用户搜索，使得成立。然后，用户随机选择，计算，。接着，用户将C、X、s、nc、NS、cookie发送给远程服务器S。3) 远程服务器检查下列条件是否成立：date是否恰当？ 如果这些条件都成立，则远程服务器S继续进行如下计算：选择，计算， ，会话密钥。最后，远程服务器S将、发送给用户。4) 用户从中选取与自己对应的，计算，验证 ，如果相等，则用户确信与远程服务器S成功地协商了一个会话密钥，并且。4 安全性分析本文提出的密钥协商协议在双方都诚实地执行协议的情况下，可以协商一个具有良好的密码学性质的会话密钥。该协议所进行的运算主要是求杂凑函数值和异或运算，因此，协议的效率比较高。此外，该协议还具有如下的性质。1) 实现了用户的匿名性和非关联性在3.2节的第2)步，用户计算了 ，因为是从中随机选取的，x是从Zp中随机选取的，因此根据X和，远程服务器无法得到与用户身份有关的任何信息，它只能知道该用户是用户群中的一员。同时，因为不同用户以很大的概率选择不同的x和ri，得到不同的X和，因此远程服务器无法将它与不同用户的协商过程联系起来。从而，本文的协议实现了用户的匿名性和非关联性。2) 能抗DoS攻击为了使得所设计的方案能够抵抗DoS攻击，一个可行的方法就是先让客户端向服务器证明它能够解决一个给定的难题(puzzle)13，之后，服务器才进行运算量很大的计算以及状态的存储，从而防止客户端利用DoS攻击来耗尽服务器的计算资源和存储资源。在本文的方案中，服务器计算一个，并发送给客户端。中时间date的精度取决于所需的抗DoS攻击的级别。在收到cookie以后，客户端试图找到，使得成立，因为杂凑函数f看作一个随机预言机，所以客户端解决这个难题的唯一方法就是尝试所有长度为k2的字符串，并且向这个随机预言机进行询问。客户端找到满足要求的nc，就是对自己计算努力的一个证明。随后，服务器就可以验证是否发起了DoS攻击，因为服务器锁定了cookie并且不允许相同的cookie出现2次。从这里可以看出，本文的协议能够抵抗DoS攻击。3) 能抗字典攻击在协议的运行过程中，攻击者所能获得的用户和远程服务器之间的消息包括：， ， ，。显然，在计算性Diffie-Hellman假设和安全的杂凑函数下，攻击者根据这些消息无法验证他所猜测的口令，因此，本文提出的协议还能抵抗字典攻击。5 结束语在密码协议的设计中，保护用户的身份信息对于很多应用场合都是一个需要考虑的重要方面。本文构造了一个基于口令的认证密钥协商协议，该协议实现了用户的匿名性和非关联性，而且还能抵抗DoS攻击和字典攻击等，本文还实现了用户的匿名性。如何同时有效地实现远程服务器的匿名性，是一个值得进一步研究的问题。参考文献：1BELLOVIN S, MERRITT M. Encrypted key exchange: password-based protocols secure against dictionary attacksA. Proceedings of the 1992 IEEE Symposium on Research in Security and PrivacyC. Oakland, IEEE Computer Society, 1992. 72-84.2BELLOVIN S, MERRITT M. Augumented encrypted key exchange:a password-based protocol secure against dictionary attacks and password file compromiseA.Proceedings of CCS93C. New York, USA, 1993.244-250.3JABLON D. Strong password-only authenticated key exchangeJ. ACM Computer Communication Review,1996,26(5):5-20.4BELLARE M, POINTCHEVAL D, ROGAWAY P. Authenticated key exchange secure against dictionary attacksA. EUROCRYPT2000C. Bruges, Belgium, 2000.139-155.5BOYKO V, MACKENZIE P, PATEL S. Provably-secure password anthentiation and key exchange using Diffie-HellmanA. EUROCRYPT2000C. Bruges,Belgium, 2000.156-171.6KATZ J, OSTROVSKY R, YUNG M. Efficient password- authenticated key exchange using human-memorable passwordsA. EUROCRYPT 2001C. Berlin, 2001.475-494.7RAIMONDO M, GENNARO R. Provably secure threshold password-authenticated key exchangeA. EUROCRYPT 2003C. New York, 2003.507-523.8GENNARO R, LINDELL Y. A framework for password-based authenticated key exchangeA. EUROCRYPT2003C. New York, 2003. 524-543.9BRESSON E, CHEVASSUT O, POINTCHEVAL D. New security results on encrypted key exchangeA. PKC2004C. Singapore, 2004. 145-158.10VIET D Q, YAMAMURA A, TANAKA H. Anonymous password-based authenticated key exchangeA. INDOCRYPT 2005C. Berlin, 2005.244-257.11CHAI Z C, CAO Z F, LU R X. Efficient password-ba