可口令認證的兩方密鑰交換協議之安全性改進

項順伯，趙晶英，陳英俊

可口令認證的兩方密鑰交換協議之安全性改進

項順伯，趙晶英，陳英俊

對于口令認證的密鑰交換協議的安全性要求，分析Izabachène等提出的口令認證的兩方密鑰交換協議存在服務器泄漏偽裝攻擊，在該協議的基礎上，利用服務器不直接存儲客戶端的口令明文而存儲口令的驗證值，提出一種新的可口令認證的兩方密鑰交換協議，并對協議進行了安全性的分析。分析表明，所提出的新協議具有兩方密鑰交換協議的安全屬性有所改進。

口令認證；密鑰交換協議；基于身份加密；雙線性對；會話密鑰

0 引言

口令認證的密鑰交換協議是指協議的參與方共享一個或幾個低熵的口令來建立一個會話密鑰，從而實現不安全信道上的安全通信。1992年，Bellovin和Merritt首次提出以Diffie-Hellman密鑰交換協議為基礎的口令認證的兩方密鑰交換協議，該協議實現了兩方的互認證與會話密鑰的建立，能夠抵御在線口令字典攻擊[1]。隨后，大量的口令認證的兩方[2-7]、三方、群組及跨域的密鑰交換協議被提出?？诹钫J證的兩方密鑰交換協議中的兩方指兩個平等的用戶或者客戶端/服務器，采用的口令為某一方或客戶端的口令明文或者口令的驗證值。口令成為攻擊者的對象，因此，口令認證的兩方密鑰交換協議除能抵抗一般密鑰交換協議中的攻擊外，還要能抵抗字典攻擊和服務器泄漏偽裝攻擊，在設計一個口令認證的兩方密鑰交換協議時，其安全屬性尤為重要。文獻[3]利用DH協議提出一種兩方的口令認證密鑰交換協議，并對協議進行了安全性和效率兩個方面的分析。文獻[4]利用服務器端存儲用戶的口令明文提出一種兩方的口令認證密鑰交換協議。文獻[5]提出一個計算復雜度低、協議簡單，只需一個生成元的口令認證的密鑰交換協議，并在標準模型下證明協議的安全性。文獻[6]分析文獻[5]指出，一個外部攻擊者可成功地對用戶的口令實施離線字典攻擊，但沒提出對文獻[5]協議的改進。自從基于身份加密算法提出以來，其應用的相關文獻不是很多。文獻[7]提出一種基于身份加密算法的可口令認證的兩方密鑰交換協議，對協議的具體設計與安全性都沒有闡述，而且該協議存在安全性缺陷。本文在文獻[7]協議的基礎上提出一個新的可口令認證的兩方密鑰交換協議，簡稱新協議，并對該協議進行了分析。

1 基礎知識

是困難的。

定義3 基于身份加密算法，簡稱IBE算法，是由下述4個算法組成：

1)參數生成(Setup)。選擇安全參量K，獲得系統參數params和主密鑰MK。系統參數包括明文空間M的描述和密文空間C的描述。系統參數公開，只有PKG知道MK。

2)密鑰抽取(Extract)。輸入params、MK和任意ID∈ {0,1}?，獲得相應的解密私鑰d，其中ID是任意一種序列并作為公鑰使用。Extract算法由給定的公鑰析取出私鑰。

3)加密(Encrypt)。輸入params、ID和m∈M，獲得密文c∈C.

4)解密(Decrypt)。輸入params、c∈C和私鑰d，獲得m∈M.

2 口令認證的兩方密鑰交換協議

2.1 可口令認證的兩方密鑰交換協議的分析

文獻[7]的口令認證的兩方密鑰交換協議不能抵抗服務器泄漏偽裝攻擊，當服務器泄漏或遭受攻擊時，攻擊者獲得pw后，選擇隨機數ω并截獲客戶端的身份C之后，就能偽裝成客戶端登錄服務器，則計算出的會話密鑰同客戶端與服務器間的會話密鑰相同。

2.2 新的口令認證的兩方密鑰交換協議的設計與實現

2)抵抗字典攻擊。字典攻擊可分為離線字典攻擊和在線字典攻擊，在線字典攻擊又分為可測在線字典攻擊和不可測在線字典攻擊。(1)新協議能抵抗離線字典攻擊，傳輸的信息僅密文c與Cauth含有口令pw信息，如果攻擊者想通過截獲的信息來獲得pw，就面臨DLP問題，因為無法由gr(w+t)。計算出t=H(C||S||pw)，進而計算出pw；(2)新協議可抵抗可測的在線字典攻擊，因為客戶端通過計算出的K′與服務端發送的K是否相等來驗證服務器是否存儲口令的驗證值v，一旦驗證失敗，就認為服務器變成了在線字典攻擊的對象。同樣，服務器通過對客戶端身份的認證來確定客戶端是否成為在線字典攻擊的對象。(3)攻擊者對口令pw的猜測能被客戶端或服務器檢測到，因此，攻擊者不能進行不可測的在線字典攻擊[2]。

3)密鑰機密性。密鑰機密性是指攻擊者不能獲得客戶端/服務器共享會話密鑰中的任何有用信息。新協議能提供密鑰機密性，攻擊者要想計算出客戶端/服務器的會話密鑰，必須先計算出c，由于r和ω是隨機選取的，又因為DLP問題，敵手無法計算出r或ω，從而無法計算出c。

4)前向安全性。這里的前向安全性是指即使攻擊者獲得一個或多個用戶的口令，也不能影響之前由該口令建立的會話密鑰的安全，即會話密鑰與口令之間具有獨立性。假設攻擊者擁有了客戶端的口令pw，要想計算出會話密鑰SK，必須先計算出c，然而這是DLP困難問題，因此，新協議提供前向安全性。

5)抵抗服務器泄露偽裝攻擊。服務器存儲的口令驗證值失竊后，無法防止攻擊者偽裝成服務器，我們希望使攻擊者無法偽裝成真實客戶端。新協議能夠抵抗服務器泄露偽裝成客戶端的攻擊，攻擊者通過竊取的口令驗證值 無法計算出口令 ，因為這是 困難問題。

4 結論

本文提出一個口令認證的兩方密鑰交換協議，該協議可實現兩方雙向認證，能抵抗字典攻擊和服務器泄漏攻擊，具有密鑰機密性和前向安全性等安全性要求。

[1] Bellovin S M,Merritt M. Encrypted Key Exchange: Password-Based Protocols Secure against Dictionary Attacks[C], IEEE Computer Society Symposium on Research in Security and Privacy, Oakland, CA, USA, 1992:72-84.

[2] Bellare M, Pointcheval D, Rogaway P. Authenticated Key Exchange Secure against Dictionary Attacks[C], Advances in Cryptology-EUROCRYPT'00, Brugge, Belgium, 2000:139-155.

[3] Boyko V, Mackenzie P, Patel S. Provably Secure Password-Authenticated Key Exchange Using Diffie-Hellman[C], Advances in Cryptology-EUROCRYPT'00, Bruges,Belgium, 2000:156-171.

[4] Jonathan K, Rafail O, Moti Y. Efficient Password-Authenticated Key Exchange Using Human-Memorable Passwords[C], Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques: Advances in Cryptology, Innsbruck, Austria, 2001:475-494.

[5] 舒劍,許春香.標準模型下高效的基于口令認證密鑰協商協議[J].電子與信電學報,2009,31(11):2716-2719.

[6] 胡學先,劉文芬, 張振峰. 對兩個口令認證密鑰交換協議的安全性分析[J]. 計算機工程與應用. 2010, 46(18):18-20.

[7] Malika Izabachène, David Pointcheval. New Anonymity Notions for Identity-Based Encryption[C]. SCN, 2008, LNCS, 5229, 375-391,Sringer-Verlag, 2009.

Efficient Password-Authenticated Two Party Key Exchange Protocol

Xiang Shunbo1, Zhao Jingying2, Chen Yingjun2
(1.College of Computer and Electronic Information, Guangdong University of Petrochemical Technology, Maoming 525000, China; 2.College of Mechanical＆Electrical Engineering, Guangdong University of Petrochemical Technology, Maoming 525000, China)

For the requirements of password-authenticated key exchange protocol, using the relevant content of ID-based encryption algorithm, bilinear pairing and hash function, a password-authenticated two party key exchange protocol was proposed and it was analyzed from the aspect of security. It is showed in the analysis that the protocol has the security requirements of the two party key exchange protocol.

Password-Authenticated; Key Exchange Protocol; ID-Based Encryption; Bilinear Pairing; Session Key

TP311

A

1007-757X(2014)06-0007-03

2014.04.11)

廣東省自然科學基金資助項目(8152500002000003)；茂名市科技計劃項目資助

項順伯(1979-)，男，漢，安徽樅陽人，廣東石油化工學院 計算機與電子信息學院，講師，碩士，研究方向：計算機網絡與密碼協議，茂名，525000

趙晶英(1981-)，男，白族，貴州黔西縣人，廣東石油化工學院機電工程學院，講師，碩士，研究方向：系統優化及仿真，茂名，525000

陳英俊(1979-)，男，廣東高州人，廣東石油化工學院機電工程學院，講師，碩士，研究方向：機械設計及機電一體化，茂名，525000