有效的基于混沌映射的三方認證密鑰協(xié)商協(xié)議

李雄，吳凡，廖俊國，劉玉珍

（1. 湖南科技大學計算機科學與工程學院，湖南 湘潭411201；2. 廈門工學院計算機科學與工程系，福建 廈門361021）

有效的基于混沌映射的三方認證密鑰協(xié)商協(xié)議

李雄1，吳凡2，廖俊國1，劉玉珍1

（1. 湖南科技大學計算機科學與工程學院，湖南 湘潭411201；2. 廈門工學院計算機科學與工程系，福建 廈門361021）

由于良好的密碼特性，混沌映射被用于設計密鑰協(xié)商協(xié)議。在多數(shù)基于混沌映射的口令三方密鑰協(xié)商協(xié)議中，服務器需存儲用戶口令表，使這些協(xié)議容易遭受口令相關的攻擊，且一旦口令表泄露，將帶來巨大的安全隱患。針對這些安全問題，提出了一個新的基于混沌映射口令三方認證密鑰協(xié)商協(xié)議，服務器無需維護用戶口令表，避免了口令相關的攻擊。同其他相關協(xié)議相比，所提協(xié)議在增強安全性的同時，大大提高了協(xié)議的執(zhí)行效率。

混沌映射；密鑰協(xié)商；認證；口令

1　引言

隨著計算機網(wǎng)絡的快速發(fā)展和廣泛應用，其安全問題日益凸顯，如何保護網(wǎng)絡會話的安全性變得尤為重要。密鑰協(xié)商協(xié)議可以使2個或多個實體通過公開信道建立共享的會話密鑰，能有效解決對稱密碼方案在應用中的密鑰分發(fā)問題，是信息安全領域的重要基礎研究問題。在早期的密鑰協(xié)商協(xié)議［1，2］中，服務器和用戶通過共享長期口令進行密鑰協(xié)商。因此，攻擊者可能從服務器處竊取口令表或通過字典攻擊獲取用戶的口令。在最近的密鑰協(xié)商協(xié)議設計中，研究者們極力避免此類問題，并提出了多個兩方（服務器—用戶）口令密鑰協(xié)商協(xié)議［3～8］。在這些方案中，用戶可以自由選擇所持有的口令。而且，為了增強安全性和提供更好的服務，其中一些協(xié)議［3，5，7，8］提供了用戶自由選擇和更換口令以及保護用戶匿名等特性。

上述兩方口令密鑰協(xié)商協(xié)議非常適用于“客戶—服務器”結構，而不太適用于“客戶—客戶”結構。在大規(guī)模點對點網(wǎng)絡環(huán)境中，用戶所需持有的口令數(shù)量與通信實體的數(shù)量成比例增加。為克服該問題，多個三方口令密鑰協(xié)商協(xié)議［9～20］被提出，在這類協(xié)議中，通信雙方在可信或半可信第三方的協(xié)助下生成共享的會話密鑰。

混沌系統(tǒng)具有偽隨機性、遍歷特性，且輸出對初始條件非常敏感，當前軌跡的微小變化和擾動就會導致后續(xù)狀態(tài)的顯著不同。混沌系統(tǒng)的這些特性正好滿足設計密碼系統(tǒng)所需的混淆和擴散原則，并被人們廣泛應用于設計密碼系統(tǒng)，如對稱密碼算法、散列函數(shù)等。最近，研究者們將混沌系統(tǒng)引入密鑰協(xié)商協(xié)議研究中，設計了多個基于切比雪夫混沌映射（chebyshev chaotic map）的三方密鑰協(xié)商協(xié)議［9～11，14，16，18，19］。2010年，Wang等［14］基于混沌映射提出一個三方密鑰協(xié)商協(xié)議，但該協(xié)議被Yoon等［18］指出是不安全的。2013年，Lee等［10］和Xie等［16］分別提出基于混沌映射的密鑰協(xié)商協(xié)議。在上述協(xié)議中，用戶需要與服務器共享長期私鑰以完成相互認證和密鑰協(xié)商。特別在文獻［14，16，18］中，用戶的身份通過明文方式傳輸，增加了模仿攻擊的風險。2012年，Lai等［9］基于混沌映射提出一個新的三方密鑰協(xié)商協(xié)議，在該方案中，用戶可以自由選擇所持有的口令并能保護用戶的匿名性。但Zhao等［19］指出Lai等協(xié)議［9］不能抵抗內(nèi)部攻擊和離線口令猜測攻擊，在此基礎上他們提出一個新的方案并聲稱是安全的。經(jīng)過分析，本文發(fā)現(xiàn)Zhao等［19］的協(xié)議不能真正達成用戶和服務器的相互認證。此外，在該方案中，服務器使用2個密鑰，在增加不安全因素的同時降低了協(xié)議效率。在上述基于混沌映射的口令三方密鑰協(xié)商協(xié)議中，服務器需存儲用戶口令表，使這些協(xié)議容易遭受內(nèi)部攻擊等口令相關的攻擊，且一旦口令表泄露，將帶來巨大的安全隱患。針對這些安全問題，本文提出一個新的基于混沌映射口令三方認證密鑰協(xié)商協(xié)議，服務器無需維護口令表進行密鑰協(xié)商。通過分析和比較，本文協(xié)議在增強安全性的同時，提高了協(xié)議執(zhí)行效率。

2　預備知識

2.1切比雪夫混沌映射及困難問題

定義1切比雪夫多項式。

設n是一個整數(shù)，x是區(qū)間［-1， 1］的一個變量。切比雪夫多項式 Tn（x）：［-1， 1］→［-1， 1］定義為Tn（x）= cos（narccos（x））。

根據(jù)定義 1，切比雪夫多項式滿足迭代關系Tn（x）=2xTn-1（x）-Tn-2（x），n≥2，其中，T0（x）= 1，T1（x）= x。

定義2切比雪夫多項式的混沌特性。

當n＞1時，n維切比雪夫多項式映射Tn（x）：［-1， 1］→［-1， 1］是一個具有不變測度為的混沌映射。

定義3切比雪夫多項式的半群特性。

其中，r和s是2個正整數(shù)，x∈［-1， 1］。

2008年，Zhang［21］進一步擴展了定義3，證明了定義在區(qū)間（-∞， +∞）上的切比雪夫多項式仍具有半群特性，即對Tn（x）= （2xTn-1（x）-Tn-2（x））mod p，這里n ≥ 2，x∈（-∞， +∞），p是一個大素數(shù)，有Tr（Ts（x））=Trs（x）=Tsr（x）=Ts（Tr（x））mod p。

定義4離散對數(shù)問題（DLP， the discrete logarithm problem）。

給定2個元素x和y，找到一個整數(shù)r，使Tr（x）=y。

定義5Diffie-Hellman問題（DHP， the diffie-hellman problem）。

給定3個元素x、Tr（x）和Ts（x），計算Trs（x）。

現(xiàn)在一般認為這2個問題是難解的，即不存在多項式時間算法以不可忽略的概率解決上述 2個問題，這也為基于這2個難題設計安全協(xié)議提供了可能性。

2.2安全假設

假設1敵手能竊聽、攔截或篡改公開信道中所有的通信消息，且當用戶的智能卡丟失時，敵手能通過能量分析等方法［22，23］獲取用戶智能卡中存儲的數(shù)據(jù)。

假設2服務器S的主密鑰x、散列函數(shù)及對稱加解密算法是安全的，即敵手沒有多項式時間算法解決這些問題。

假設3用戶的身份標識和口令分別取自 2個不同的有限集合，敵手能在多項式時間內(nèi)猜測其中之一。但根據(jù)文獻［24， 25］，敵手在多項式時間內(nèi)同時猜測出身份標識及對應的口令是困難的。

3　新的基于混沌映射的三方密鑰協(xié)商協(xié)議

本節(jié)將提出一個新的基于混沌映射的三方口令密鑰協(xié)商協(xié)議。本協(xié)議包含3個階段：初始化階段、認證與密鑰協(xié)商階段以及口令變更階段。表1給出了本文使用到的符號及其說明。

表1　符號及說明

3.1初始化階段

S選擇一個隨機數(shù)s∈（-∞， +∞）、一個系統(tǒng)主密鑰x和一個大素數(shù)p。當用戶希望加入系統(tǒng)時，需要向服務器S注冊。注冊過程以用戶A為例說明，具體如下。

1）A?S：（IDA， HPWA）

用戶A自由選擇身份標識IDA和口令PWA，并產(chǎn)生一個隨機數(shù)bA。A計算HPWA= h（PWA||bA），并將注冊請求（IDA， HPWA）通過安全信道發(fā)送給服務器S。

2）S?A：智能卡

當收到用戶A的注冊請求消息（IDA，HPWA），S產(chǎn)生一個隨機數(shù) aA，計算 DA1=h（IDA||aA）⊕h（x）⊕HPWA和DA2=h（IDA||aA）⊕h（x||aA），并將DA1、DA2、aA和s 存儲在智能卡中。最后，S將智能卡通過安全方式發(fā)送給用戶A，如通過面對面的方式。

3）A?智能卡：（DA3， DA4）

A計算 DA3=h（IDA||PWA||bA）和 DA4=h（IDA⊕PWA）⊕bA，并將DA3和DA4存儲在智能卡中。

3.2認證與密鑰協(xié)商階段

當用戶A和B需要進行安全通信時，可以在服務器的協(xié)助下進行相互認證并協(xié)商一個共享的密鑰。本階段執(zhí)行步驟如下，流程如圖 1所示。

1）A→B：m1

A將智能卡插入終端，輸入身份標識IDA和口令 PWA，智能卡計算 bA'=DA4⊕h（IDA⊕PWA）并檢查如果不相等，智能卡終止會話；否則，智能卡產(chǎn)生一個隨機數(shù)rA，計算

HPWA= h（PWA||bA'），

CA1= DA1⊕HPWA⊕rA，

CA2= DA2⊕rA，

CA3= TrA（s），

CA4= h（CA1||CA2||CA3||aA）。

A將會話請求m1= ｛CA1， CA3， CA4， aA｝發(fā)送給B。

2）B→S：（m1， m2）

跟A相似，B插入智能卡，輸入身份標識IDB和口令PWB，智能卡計算bB'=DB4⊕h（IDB⊕PWB）并檢查。如果它們不相等，智能卡終止會話；否則，B產(chǎn)生一個隨機數(shù)rB，計算

HPWB= h（PWB||bB'），

CB1= DB1⊕HPWB⊕rB，

CB2= DB2⊕rB，

CB3= TrB（s），

CB4= h（CB1||CB2||CB3||aB）。

最后，B將（m1， m2= ｛CB1， CB3， CB4， aB｝）發(fā)送給服務器S。

圖1　認證與密鑰協(xié)商階段流程

3）S→B：（m3， m4）

當收到消息（m1， m2），S計算CA2'=h（x||aA）⊕CA1⊕h（x）和CB2' =h（x||aB）⊕CB1⊕h（x）。然后，檢查和如果兩者中任意一個不成立，服務器S拒絕會話。否則，S產(chǎn)生2個隨機數(shù)aA'和aB'，計算

CA5= h（x||aA）⊕h（x||aA'），

CA6= aA'⊕h（x||aA'），

CA7= h（CA2'||CA5||CA6||aA'），

CB5= h（x||aB）⊕h（x||aB'），

CB6= aB'⊕h（x||aB'），

CB7= h（CB2'||CB5||CB6||aB'）。

S將認證消息m3= ｛CA5， CA6， CA7｝和m4= ｛CB5， CB6， CB7｝發(fā)送給B。

4）B→A：（m3， CB3， CB9）

當收到S發(fā)送的消息（m3， m4）后，B計算CB8= DB2⊕h（IDB||aB）和 aB''=CB8⊕CB6⊕CB5，并檢查如果它們不相等，B終止會話。否則，B計算

skBA= TrB（CA3），

CB9= h（CA3||CB3||skBA），

DB1' =CB1⊕h（IDB||aB）⊕h（IDB||aB''），

DB2' =CB8⊕CB5⊕h（IDB||aB''）。

B將 DB1，DB2和 aB分別替換為 DB1'，DB2' 和aB''，將skBA作為與A共享的會話密鑰。最后，B將消息（m3， CB3， CB9）發(fā)送給A。

5）當收到B發(fā)送的消息（m3， CB3， CB9），A計算CA8=DA2⊕h（IDA||aA），aA'' =CA8⊕CA6⊕CA5，并檢查如果等式不成立，A終止會話；否則，A計算skAB= TrA（CB3），CA9= h（CA3||CB3||skAB），并檢查如果等式不成立，A終止會話；否則A計算DA1' =CA1⊕h（IDA||aA）⊕ h（IDA||aA''）， DA2'=CA8⊕ CA5⊕h（IDA||aA''）。最后，A將DA1，DA2和aA分別替換為DA1'，DA2'和aA''，skAB作為與B共享的會話密鑰保障后續(xù)的安全通信。

3.3口令變更階段

當用戶需要變更口令時，A將智能卡插入讀卡器，輸入身份標識 IDA口令 PWA。智能卡計算bA'=DA4⊕h（IDA⊕PWA），檢查 DA3？=h（IDA|| PWA||bA'）。如果不相等，智能卡拒絕請求；否則，A輸入一個新的口令PWAnew，智能卡產(chǎn)生一個新的隨機數(shù)bAnew，計算

HPWA= h（PWA||bA'），

HPWAnew= h（PWAnew||bAnew），

DA1new= DA1⊕HPWAnew⊕HPWA，

DA3new= h（IDA||PWAnew||bAnew），

DA4new= h（IDA⊕PWAnew）⊕bAnew。

最后，A將 DA1，DA3和 DA4分別替換為DA1new、DA3new和DA4new。

4　安全性分析

本節(jié)分析本文所提方案的安全性，安全性分析表明，本文方案能夠抵抗多種常見的攻擊。

4.1內(nèi)部攻擊

在身份認證方案和基于口令的密鑰協(xié)商協(xié)議中，由于在注冊或初始化階段用戶將身份標識和口令以明文方式發(fā)送給服務器，一旦服務器內(nèi)部人員獲得用戶的身份標識和口令，這類方案容易遭受內(nèi)部攻擊。在本文方案的初始化階段，用戶A發(fā)送（IDA，HPWA）給服務器S請求注冊，這里IDA是用戶 A 選擇的身份標識，HPWA= h（PWA||bA），PWA是用戶選擇的口令，bA是用戶選擇的隨機數(shù)。這里可以看出，用戶的真實口令通過隨機數(shù)bA被散列函數(shù)所保護，特權內(nèi)部攻擊者無法獲得用戶的真實口令，因此，本文方案可以抵抗內(nèi)部攻擊。而在其他相關協(xié)議［10，11，16］的注冊階段，用戶直接通過與服務器共享明文口令或直接傳輸共享的密鑰va，使這些方案容易遭受內(nèi)部攻擊。

4.2離線口令猜測攻擊

以A為例分析離線口令猜測攻擊。根據(jù)第2.2節(jié)的安全性假設，攻擊者可以從公開信道獲取與A相關的消息｛CA1，CA3，CA4，aA｝和｛CA5，CA6，CA7｝。此外，還假設攻擊者獲得用戶 A的智能卡并通過能量分析等方法［22，23］獲得了智能卡中的數(shù)據(jù)｛DA1，DA2，DA3，DA4，aA，s｝。根據(jù)假設3，攻擊者無法同時猜測出用戶的身份標識和口令信息，所以攻擊者無法從 DA3和 DA4獲得IDA、PWA和bA。當攻擊者從CA1、CA3、DA1、CA5、CA6、CA7猜測口令時，攻擊者必須獲得S的主密鑰x。所以，本文協(xié)議能夠抵抗離線口令猜測攻擊。

4.3模仿攻擊

若攻擊者希望模仿用戶A，則其必須能夠計算有效的會話請求消息m1= ｛CA1，CA3，CA4，aA｝。但從第4.2節(jié)的分析可知，攻擊者無法獲得用戶的身份標識IDA、口令PWA和隨機數(shù)bA，所以在未知IDA、PWA和bA的情況下，攻擊者無法計算正確的消息CA1和CA4。

同理，在未知IDB、PWB和bB的情況下，攻擊者無法偽造用戶B的會話請求消息m2= ｛CB1，CB3，CB4，aB｝。此外，為了模仿用戶B產(chǎn)生響應信息 CB9，攻擊者必須能計算 skBA=TrB（CA3），進而攻擊者需要從CB3獲得隨機數(shù)rB，而這將面臨基于混沌映射的離散對數(shù)問題。

綜上，攻擊者無法有效進行模仿攻擊。

4.4服務器偽裝攻擊

為了有效模仿服務器 S，攻擊者必須分別為A和B計算有效的消息m3= ｛CA5，CA6，CA7｝和m4= ｛CB5，CB6，CB7｝。但在未知S主密鑰x的情況下，攻擊者無法計算h（x||aA），h（x||aA'），h（x||aB）和h（x||aB'）。所以，本文協(xié)議能夠避免服務器偽裝攻擊。

4.5重放攻擊

重放攻擊是身份認證和口令密鑰協(xié)商協(xié)議中一種常見的安全威脅，在這種攻擊中，攻擊者通過重放用戶以前發(fā)送過的消息達到身份認證和密鑰協(xié)商的目的。在本文方案的每次會話中，用戶A和B分別產(chǎn)生隨機數(shù)rA和rB以保證會話的新鮮性。當攻擊者重放用戶A和B以前發(fā)送過的消息m1和m2時，為了最終生成會話密鑰，攻擊者必須計算出隨機數(shù)rA或rB，而這將面臨解基于混沌映射的 Diffie-Hellman問題。因此，隨機數(shù)機制使每次會話的消息與其他會話的消息都不相同，而一次會話的隨機數(shù)只對當次會話有效，有效地避免了重放攻擊。

4.6用戶匿名

用戶匿名在電子商務、移動計算等領域具有重要應用，可以保護用戶的購物習慣及用戶的移動軌跡等信息。在本文方案中，用戶A和用戶B的真實身份標識IDA和IDB沒有包含在公開信道上傳輸?shù)耐ㄐ畔⒅小Ｈ鐚τ脩?A來說，數(shù)據(jù)CA1= h（IDA||aA）⊕h（x）⊕rA包含用戶的身份標識IDA和隨機數(shù)rA。但由于無法獲得x和rA，攻擊者無法獲得用戶A的真實身份標識IDA。因此，本文協(xié)議能保護用戶匿名。

4.7相互認證

4.8自由選擇和變更口令

在基于口令的身份認證和密鑰協(xié)商協(xié)議中，用戶自由選擇和變更口令增強了用戶的友好性和易用性，是一種理想的功能特性。在文獻［10， 12］等協(xié)議中，用戶必須與服務器S共享長期私鑰進行密鑰協(xié)商；而在文獻［9］的協(xié)議中，由于用戶的個人信息經(jīng)過服務器的密鑰加密后存儲在智能卡中，無法實現(xiàn)自由變更口令。本文協(xié)議允許用戶自由選擇方便自己記憶和使用的口令來進行密鑰協(xié)商，在降低安全風險的同時增強了用戶易用性。此外，本文協(xié)議允許用戶在客戶端直接變更口令，而無需遠程服務器的協(xié)助，在增強用戶易用性的同時減輕了通信代價。

4.9前向安全

前向安全是指即使系統(tǒng)主密鑰和用戶的口令或長期私鑰被攻擊者獲得，攻擊者也無法獲得用戶密鑰泄露之前的協(xié)商得到的會話密鑰。在本文協(xié)議中，假設攻擊者獲得了S的主密鑰x以及用戶A和B的口令，攻擊者可以從公開信道的通信消息中獲得TrA（s）和TrB（s），顯然攻擊者無法計算用戶A和用戶B的會話密鑰skAB= TrA（TrB（s））= TrArB（s）=TrB（TrA（s））= skBA，因為要獲得rA或rB，攻擊者將面臨解基于混沌映射的離散對數(shù)問題，而直接從TrA（s）和TrB（s）計算TrArB（s）將面臨解基于混沌映射的 Diffie-Hellman問題。因此，本文協(xié)議能確保會話密鑰的前向安全性。

4.10已知密鑰安全

已知密鑰安全是指即使攻擊者獲得當前會話以前的會話密鑰，也不影響當前會話的安全。在本文方案中，在每次成功的會話后，用戶A和用戶B共享一個會話密鑰TrArB（s），這里的rA和rB是此次會話中分別由用戶A和用戶B產(chǎn)生的隨機數(shù)。由于每一次會話用戶A和用戶B都產(chǎn)生新的隨機數(shù)rA和rB，且rA和rB只對當次會話有效，所以，獲得當前會話之前的會話密鑰無助于攻擊者獲得當前會話的會話密鑰。因此，本文協(xié)議能確保已知密鑰安全。

5　同相關方案的比較

本節(jié)從安全性和效率出發(fā)，給出了本文方案同其他相關基于混沌映射的三方密鑰協(xié)商協(xié)議［9～11，16，19］的比較。

安全性比較如表2所示，√表示具有某種安全特性，×表示不具有某種安全特性，N/A 表示未提及或不適用。從表2可以看出，其他相關方案或多或少存在一定的安全缺陷，而本文方案則能抵抗大部分已知攻擊。

表2　安全性比較

接下來進行效率比較，為計算各種安全算法的時間消耗量，給出如下說明。

1）本文使用 MIRACL C/C++函數(shù)庫完成各種安全算法的實驗分析，采用配置為 CPU Intel（R）Core 2 T6570，2.1 GHz，4 G內(nèi)存，32 bit Windows7 操作系統(tǒng)的筆記本進行實驗，實驗程序由Visual C++ 2008編寫。

2）為獲得切比雪夫混沌多項式的實驗結果，本文使用文獻［26］中的方法，該方法采用從左至右的方法處理n階切比雪夫多項式的每一比特數(shù)據(jù)，n為1 024 bit。等式Tn（s）= 2sTn-1（s）-Tn-2（s）mod p可以由如下矩陣表示。

3）使用 AES模擬對稱加密/解密算法的運算量。

4）使用SHA-1模擬散列函數(shù)的運算量。

各種密碼算法執(zhí)行一次運算的時間消耗量如表3所示。

表3　密碼算法時間消耗

本文方案同其他相關方案的性能比較如表 4所示。表4列出了每個方案4個方面的運算量，即用戶A、用戶B、服務器S的時間消耗量和總的時間消耗量。在本文協(xié)議中，用戶A、用戶B、服務器 S及總的運算量分別為 2TC+8TH、2TC+8TH、8TH和 4TC+24TH，而文獻［9，10，16，19］中的協(xié)議，用戶和服務器需要分別執(zhí)行3次和 2次切比雪夫多項式運算。文獻［11］的協(xié)議中，用戶和服務器分別需要執(zhí)行 2次切比雪夫多項式運算。從表4可以明顯看出，本文協(xié)議執(zhí)行一次協(xié)議總的時間消耗量為562.999 2 ms，具有最高的執(zhí)行效率。特別在服務器端，本文方案所需運算量最小，顯然這有利于大規(guī)模并發(fā)網(wǎng)絡中的數(shù)據(jù)處理。此外，同其他相關方案相比，由于本文方案具有更高的安全特性，因此，本文方案更適用于現(xiàn)實應用中。

6　結束語

針對最近提出的基于混沌映射的三方密鑰協(xié)商協(xié)議存在的安全性問題，本文提出了一個有效

表4　性能比較

的基于混沌映射的三方口令密鑰協(xié)商協(xié)議。同其他相關協(xié)議相比，本文協(xié)議具有用戶匿名、用戶自由選擇和變更口令等用戶友好特性，同時本文方案彌補了相關協(xié)議的安全性缺陷，具有更高的安全性。此外，同其他協(xié)議相比，本文協(xié)議具有更高的計算效率。因此，本文協(xié)議更加適用于大規(guī)模網(wǎng)絡環(huán)境下的安全通信。

［1］KATZ J， OSTROVSKY R， YUNG M. Efficient password-authenticated key exchange using human-memorable passwords［J］. Lecture Notes in Computer Science， 2001（4）：475-494.

［2］RAIMONDO M D， GENNARO R. Provably secure threshold password-authenticated key exchange［J］. Journal of Computer and System Sciences， 2006， 72（9）： 507-523.

［3］GUO C， CHANG C C. Chaotic maps-based password-authenticated key agreement using smart cards［J］. Communications in Nonlinear Science and Numerical Simulation， 2013， 18（6）： 1433-1440.

［4］LEE C C， CHEN C L， WU C Y， et al. An extended chaotic maps-based key agreement protocol with user anonymity［J］. Nonlinear Dynamics， 2012， 69（1/2）： 79-87.

［5］LI C T， LEE C C， WENG C Y. An extended chaotic maps based user authentication and privacy preserving scheme against DoS attacks in pervasive and ubiquitous computing environments［J］. Nonlinear Dynamics， 2013， 74（4）：1133-1143.

［6］LI X， ZHANG Y. A simple and robust anonymous two-factor authenticated key exchange protocol［J］. Security and Communication Networks， 2013， 6（6）： 711-722.

［7］TAN Z. A chaotic maps-based authenticated key agreement protocol with strong anonymity［J］. Nonlinear Dynamics， 2013，72（1/2）：311-320.

［8］WU F， XU L L. Security analysis and improvement of a privacy authentication scheme for telecare medical information systems［J］. Journal of Medical Systems， 2012， 37（4）： 1-9.

［9］LAI H， XIAO J， LI L， et al. Applying semigroup property of enhanced chebyshev polynomials to anonymous authentication protocol［J］. Mathematical Problems in Engineering， 2012（6）： 589-597. ［10］LEE C C， LI C T， HSU C W. A three-party password-based authenticated key exchange protocol with user anonymity using extended chaotic maps［J］. Nonlinear Dynamics， 2013， 73（1/2）：125-132.

［11］LIN H Y. Chaotic map-based three-party authenticated key agreement［J］. Security and Communication Networks， 2014， 7（12）：2469-2474.

［12］LV C， MA M， LI H， et al. An novel three-party authenticated key exchange protocol using one-time key［J］. Journal of Network and Computer Applications， 2013， 36（1）： 498-503.

［13］TSAI H C， CHANG C C. Provably secure three party encrypted key exchange scheme with explicit authentication［J］. Information Sciences， 2013， 238（7）：242-249.

［14］WANG X， ZHAO J. An improved key agreement protocol based on chaos［J］. Communications in Nonlinear Science and Numerical Simulation， 2010， 15（12）： 4052-4057.

［15］WU S， CHEN K， PU Q， et al. Cryptanalysis and enhancements of efficient three-party password-based key exchange scheme［J］. International Journal of Communication Systems， 2013， 26（5）：674-686.

［16］XIE Q， ZHAO J， YU X. Chaotic maps-based three-party password-authenticated key agreement scheme［J］. Nonlinear Dynamics，2013， 74（4）： 1021-1027.

［17］YANG J H， CAO T J. Provably secure three-party password authenticated key exchange protocol in the standard model［J］. Journal of Systems and Software， 2012， 85（2）： 340-350.

［18］YOON E J， JEON I S. An efficient and secure diffie-hellman key agreement protocol based on chebyshev chaotic map［J］. Communications in Nonlinear Science and Numerical Simulation， 2011，16（6）： 2383-2389.

［19］ZHAO F， GONG P， LI S， et al. Cryptanalysis and improvement of a three-party key agreement protocol using enhanced chebyshev polynomials［J］. Nonlinear Dynamics， 2013， 74（1/2）： 419-427.

［20］ZHAO J J， GU D W. Provably secure three-party password based authenticated key exchange protocol［J］. Information Sciences， 2012，184（1）： 310-323.

［21］ZHANG L. Cryptanalysis of the public key encryption based on multiple chaotic systems［J］. Chaos Solitons & Fractals， 2008， 37（3）：669-674.

［22］MANGARD S， OSWALD E， STANDAERT F X. One for all-all for one： unifying standard differential power analysis attacks［J］. IET Information Security， 2011， 5（2）： 100-110.

［23］MESSERGES T S， DABBISH E A， SLOAN RH. Examining smart-card security under the threat of power analysis attacks［J］. IEEE Transactions on Computers， 2002， 51（5）： 541-552.

［24］KUMARI S， KHAN M K. Cryptanalysis and improvement of ‘a(chǎn) robust smart-card-based remote user password authentication scheme'［J］. International Journal of Communication Systems， 2014，27（12）： 3939-3955.

［25］WANG D， MA C G， WANG P， et al. Robust smart card based password authentication scheme against smart card security breach［R］. Cryptology ePrint Archive， 2012.

［26］KOCAREV L， LIAN S G. Chaos-based cryptography： theory，algorithms and applications［M］. Berlin：Springer， 2011.

吳凡（1981-），男，山東濟寧人，廈門理工學院講師，主要研究方向為信息安全和網(wǎng)絡協(xié)議。

廖俊國（1972-），男，湖南衡陽人，博士，湖南科技大學教授、碩士生導師，主要研究方向為網(wǎng)絡與信息安全。

Efficient three-party authenticated key agreement protocol based on chaotic map

LI Xiong1， WU Fan2， LIAO Jun-guo1， LIU Yu-zhen1

（1. School of Computer Science and Engineering， Hunan University of Science and Technology， Xiangtan 411201， China；2. Department of Computer Science and Engineering， Xiamen Institute of Technology， Xiamen 361021， China）

Chaotic map has been used in the design of key agreement protocol due to its excellent properties. In most of password three-party authenticated key agreement protocol based on chaotic map， the server needs to store a sensitive password table. It makes these protocols vulnerable to some password related attacks. Besides， it would be dangerous if the password table was leaked. To resolve the aforementioned problems， a new password three-party authenticated key agreement protocol based on chaotic maps was proposed. The server didn't need to maintain a password table， so the proposed scheme was free from password related attack. Compared with other related protocols， the proposed protocol not only enhances the security， but also improves the efficiency greatly.

chaotic maps， key agreement， authentication， password

TP 309

A

10.11959/j.issn.2096-109x.2016.00060

2016-05-14；

2016-06-03。通信作者：李雄，lixiongzhq@163.com

國家自然科學基金資助項目（No.61300220）；湖南省教育廳一般基金資助項目（No.15C0545）；福建省高校杰出青年科研人才培育基金資助項目；福建省中青年教師教育科研基金資助項目（No. JA14369）

Foundation Items： The National Natural Science Foundation of China（No.61300220）， Scientific Research Foundation of Hunan Provincial Education Department （No.15C0545）， University Distinguished Young Research Talent Training Program of Fujian Province， The Education Scientific Research Project for Young Teachers of Fujian （No. JA14369）

李雄（1984-），男，土家族，湖南張家界人，博士，湖南科技大學副教授、碩士生導師，主要研究方向為信息安全和密碼學。

劉玉珍（1979-），男，山東單縣人，博士，湖南科技大學講師，主要研究方向為密碼學、智能計算。