一個基于SIP安全的三因子密鑰認證協(xié)議

沈桂芳

(山東淄博第十七中學，山東 淄博 255012)

?

一個基于SIP安全的三因子密鑰認證協(xié)議

沈桂芳

(山東淄博第十七中學，山東 淄博 255012)

Yoon和Yoo運用橢圓曲線密碼提出了一個新的基于會話發(fā)起協(xié)議(SIP)的三因子密鑰認證方案并聲稱能夠抵抗多種攻擊.然而,作者研究發(fā)現(xiàn)Yoon和Yoo的方案不能抵擋偽造攻擊和中間人攻擊.為了改進以上缺陷，提出了一個安全、有效的三因子遠程認證新方案并進行了安全性分析,分析表明新方案可以抵擋以上攻擊并實現(xiàn)了用戶匿名性.

生物特征；指令牌；認證；口令；SIP

三因子協(xié)議是現(xiàn)代密碼學的重要研究內(nèi)容,對它的研究有著重要的理論和現(xiàn)實意義,文獻[1-3]對這一問題進行了討論.隨著IP電話(VoIP)的廣泛使用，會話發(fā)起協(xié)議(SIP)引起了越來越多人的關注.2009年，Wu等人[4]為SIP提出了一個新的密鑰認證協(xié)議，該方案解決了Yang等[5]方案里存在的問題.不幸的是，Yoon等[6]指出Wu等人的方案不能抵擋口令猜測攻擊、拒絕服務攻擊、竊取驗證表攻擊，并提出了一個應用于IP網(wǎng)絡電話的安全且高效的基于橢圓曲線密碼的SIP認證協(xié)議.2010年，Liao等[7]提出了新的運用自證明公鑰的SIP認證協(xié)議，該方案不僅可以解決相關方案的安全性問題，而且相比其它的公鑰密碼體制減少了很多的計算量.2010年，Yoon和Yoo[8]提出了一個應用于SIP的基于橢圓曲線密碼三因子密鑰認證協(xié)議,引用三因子(口令，指令牌，生物特征)認證技術(shù)使得協(xié)議更加安全,并聲稱他們的方案不僅可以抵擋已知的安全性攻擊，而且比之前相關的方案更加高效.但是本文指出Yoon和Yoo的方案[8]不能抵抗偽造攻擊和中間人攻擊.此外，他們的方案不能提供用戶匿名性，丟失指令牌可廢除功能.在沒有阻力干預的情況下，用戶的生物信息也容易泄露[9-10].

1　Yoon和Yoo方案的回顧

Yoon和Yoo[8]在2010年提出了基于橢圓曲線的應用于SIP的三因子密鑰認證協(xié)議.該方案由三個階段組成：注冊階段、認證階段、口令和生物特征更新階段.

1.1注冊階段

新用戶如果要成為SIP會員，首先要向SIP服務器進行注冊.用戶U和SIP服務器需執(zhí)行下面的步驟來完成注冊.

第1步：用戶U自己選取身份ID和口令PW，并將自己的生物特征B輸入傳感器.用戶通過一個安全的信道將信息{ID,H(ID‖PW‖B),B}發(fā)送給SIP服務器S.

第2步：收到U的消息之后，S計算s=H(ID‖k)和v=s⊕H(ID‖PW‖B).這里的k是S的主密鑰.S將信息{v,B,H(·),d(·)，τ}存在指令牌里并通過一個安全的信道把它發(fā)送給U.這里的d(·)和τ分別是用于生物識別驗證的對稱參數(shù)函數(shù)和預定閾值.

1.2密鑰協(xié)議認證階段

當用戶U想登陸SIP服務器和S進行安全的會話時，需要完成以下步驟：

第3步：從S收到消息(nonce,realm,B,AuthS)之后，指令表首先計算會話密鑰SK=aB=abP并驗證AuthS?=H(nonce‖realm‖ID‖Ax‖Bx‖SKx).若等式成立，意味著S是一個合法的SIP服務器.不然，指令表終止會話.用戶指令表繼續(xù)計算AuthS=H(nonce+1‖realm‖ID‖Ax‖Bx‖SKx)并將計算結(jié)果發(fā)送給S.

第4步：S驗證H(nonce+1‖realm‖ID‖Ax‖Bx‖SKx)是否等于收到的AuthS.如果相等，S接受U的認證請求.

最后，U和S達成一致的會話密鑰SK=abP用于之后進行的信息交互.

1.3口令和生物特征更新階段

在這一階段，用戶可以在不需要和S交互的情況下安全地更新口令和生物特征.如果用戶U想要更新舊口令和生物特征，需要在指令牌中打開變更口令和生物特征的申請軟件.

第1步：U輸入身份ID，原始口令PW并向傳感器重新輸入生物特征Bnew.

第2步：指令牌通過驗證d(Bnew,B)≤τ來檢查新生物特征的合法性.如果滿足條件，表明用戶通過生物識別認證，則用戶可以向指令牌輸入新的口令.如果生物特征不合法，則指令牌終止用戶的請求.

第3步: 在用戶向指令牌里輸入新的口令PWnew之后，指令牌計算vnew=v⊕H(ID‖PW‖B)⊕H(ID‖PWnew‖Bnew)并將指令牌里原先存儲的v，B替換成vnew，Bnew.指令牌成功更新生物信息和相關參量.

2　Yoon和Yoo方案的安全性分析

這里給出兩個合理的假設：(1) 攻擊者A能夠控制用戶U和SIP服務器S之間進行會話的信道.換句話說，攻擊者可以插入、更改、刪除或者攔截任何公共信道上傳輸?shù)南?(2) 一旦合法用戶的指令牌被攻擊者A通過某些手段(撿到或偷竊)獲取，里面存儲的私密信息就會被提取出來[9-11].

2.1偽造攻擊

假定U的指令牌被攻擊者A竊取并獲取存儲的信息{v,B,H(·)，d(·)，τ}.A可以利用這些信息猜測口令PW*并計算H(ID‖PW*‖B),s*=v⊕H(ID‖PW*‖B).A可以攔截公共信道上傳輸?shù)男畔ID,A,Mac}.A驗證Mac?=H(s*‖A)=H(v⊕H(ID‖PW*‖B)‖A).如果相等，表明A猜出了U的口令，進而可以偽造出U的合法請求消息欺騙S.

第1步：A選取隨機數(shù)α′計算A′=α′P,Mac′=H(s‖A′) ，再將消息{ID,A′,Mac′}發(fā)送給S.

第2步：因為ID是有效的，S計算s=H(ID‖Κ),Mac′*=H(s‖A′).因為Mac′*=Mac′,所以S接受A的請求.

因此，該方案不能抵擋偽造攻擊.

2.2中間人攻擊

顯然根據(jù)上面假設的討論A可以偽裝成合法的用戶U欺騙SIP服務器S達成最終的會話密鑰.所以A可以通過在U和S之間建立平行會話執(zhí)行中間人攻擊.因此該方案不能實現(xiàn)相互認證.

3　新改進方案的提出

新改進方案的協(xié)議也包含注冊階段、密鑰協(xié)議認證階段、口令和生物特征更新階段，此外還增加了一個額外的功能階段：撤銷階段.

3.1注冊階段

S選取兩個大素數(shù)p，q使得p=2q+1.Ep(a,b)是定義在有限域Zp上的橢圓曲線.P是橢圓曲線Ep(a,b)模q的生成元，且q要足夠大，這就使得在多項式時間算法內(nèi)循環(huán)子群G1上的離散對數(shù)問題是難解的.S計算Q=k·Pmodp，k是S的主密鑰.{P,p,Ep(a,b)}是公共參數(shù).

第1步：U傳感器輸入生物特征B,連同ID和A=H(PW‖b)在安全的信道上一起發(fā)送給S，其中b是U選取的隨機數(shù).

第2步：S計算s=H(n‖k)，v=s⊕H(ID‖A‖B),m=H(ID⊕z)⊕H(ID‖B) ，n是S給U選取的隨機數(shù)，z是S給所有用戶選取的隨機數(shù)并只有S自己私密存儲.S將{v,m,H(·)，Hs(·)，d(·)，τ,p,Ep(a,b),P,Q}存進指令牌并將其通過安全的信道發(fā)送給U.Hs(·)是一個定義在{0,1}*×{0,1}*→{0,1}n上的含有私密代碼i的秘密哈希函數(shù).d(·)是對稱參數(shù)函數(shù)，τ是一個用于生物特征識別的預定閾值[12-15].

第3步：S以(H(ID⊕z),n)的形式存有一個注冊表.在撤銷階段和密鑰協(xié)議認證階段，S可以通過注冊表的H(ID⊕z)檢索出n.

第4步：在收到指令牌后，U將b,B′=B⊕H(ID⊕PW)存進指令牌里.

3.2密鑰協(xié)議認證階段

第1步：打開指令牌的登陸申請軟件后，U輸入ID，PW并向傳感器導入生物特征B*.指令牌計算B=B′⊕H(ID⊕PW)并驗證d(B,B*)?<τ.如果成立，生物特征通過指令牌的驗證.否則指令牌終止會話.

最后S和U達成了一次會話密鑰SK=Hs(R4+s·P+H(ID⊕z)·P)用于接下來的會話.

3.3口令和生物特征更改階段

如果用戶想要更新口令PWnew和生物特征Bnew， 就需要調(diào)用這一階段來執(zhí)行.假設用戶想選取新口令Bnew和生物特征PWnew來替換原有的口令和生物特征.需要執(zhí)行以下幾步：

第1步：借用密鑰協(xié)議認證階段的第1步來完成.

第2步：如果U被認證通過，指令表允許U輸入新口令PWnew和生物特征Bnew. 接下來指令表計算

Anew=H(PWnew‖b)

vnew=v⊕H(ID‖A‖B)⊕

H(ID‖Anew‖Bnew)

B′new=Bnew⊕H(ID⊕PWnew)

mnew=m⊕H(ID‖B)⊕H(ID‖Bnew)

第3步：指令牌將v,B′,m更新為vnew,B′new,mnew.

3.4撤銷階段

如果指令牌丟失(被竊取)，U會向S請求撤銷該指令牌.在新的方案中，U應該在一個安全的信道上向S發(fā)送ID，然后S計算H(ID⊕z)并檢驗算得的值是否存在注冊表中.如果存在，S從注冊表里移除登記的(H(ID⊕z),n).如果U想要向S重新注冊成一合法用戶，只需再一次執(zhí)行注冊階段.

4　安全性分析

本文提出的新認證方案的安全性是基于安全的哈希函數(shù)、橢圓曲線上的離散對數(shù)問題以及橢圓曲線上的Diffie-Hellman密鑰交互協(xié)議問題.在此，假設指令牌里的私密信息可被提取.

4.1重放攻擊和平行會話攻擊

由于在密鑰協(xié)議的認證階段，新方案使用了隨機數(shù)，因此可以抵擋重放攻擊.盡管攻擊者A重放了消息{C,R1,R2}，但是不知道隨機數(shù)a的值也就無法計算出會話密鑰SK=Hs(R4+s·P+H(ID⊕z)·P).另一方面，提出的方案還能夠抵擋平行會話攻擊，即A通過重放之前從另一個會話被其攔截的消息進而偽裝成一合法用戶.由于協(xié)議里使用了新鮮的隨機數(shù)，這就保證了每次的認證消息都是不同的.從其他會話攔截到的消息再經(jīng)過攻擊者發(fā)送也會被認為是無效的.所以新方案可以抵擋重放攻擊和平行會話攻擊.

4.2偽裝服務器攻擊

新方案中，由于不知道S的主密鑰k，與U相對應的n，以及需要解決離散對數(shù)問題而檢索出來的a，惡意的攻擊者并不能計算回復消息R3=eP,R5=Hs(s·a·e·P)，會話密鑰SK=Hs(R4+s·P+H(ID⊕z)·P.因此新方案能抵擋偽裝服務器攻擊.

4.3偽裝用戶攻擊

因為R1和R2被安全的單向加密哈希函數(shù)和一些密鑰所保護，如果攻擊者不能偽造有效的R1和R2，任何關于合法用戶認證消息的這些參數(shù)的修改都會被服務器S察覺出來.既然攻擊者無法獲得與用戶U相對應的ID,PW,B和n的值，他(她)就不能偽造有效的R1和R2.所以新方案能抵抗偽裝用戶攻擊.

4.4竊取指令牌攻擊

如果攻擊者A竊取了用戶的指令牌并提取出了里面的私密數(shù)據(jù){v,B′,m,b,Hs(·),d(·),τ,p,Ep(a,b),P,Q}，因為不知道U的私密信息ID,PW,B以及與U相對應的n的值和S的主密鑰k，攻擊者并不能計算出{C,R1,R2}.因此攻擊者不能偽造有效的登陸請求消息，從而不能實行這一攻擊.

4.5離線口令猜測攻擊

假如A竊取U的指令牌并提取存儲在指令牌里所有的私密信息{v,B′,m,b,H(·)，Hs(·),d(·)，τ,p,Ep(a,b),P,Q}.根據(jù)

v=s⊕H(ID‖A‖B)

B′=B⊕H(ID⊕PW)

m=H(ID⊕z)⊕H(ID‖B)

在不知道私密信息s和生物特征B的條件下，用戶的身份和口令不會被猜測出來.其次，除非A知道了s的值，否則A也不能使用R1=Hs(C·P+s·P)·P+a·P,R2=Hs(C·a·Q)來進行猜測.

此外，在新方案中，用戶的登陸請求消息{C,R1,R2}被很好地保護起來而且也沒涉及用戶的口令，這一設計就消除了口令和傳輸消息之間的聯(lián)系.在離線模型下，A不能用之前的合法請求消息來檢測猜測的口令是否正確.因此新方案可以抵抗離線口令猜測攻擊.

4.6用戶生物特征攻擊

在新方案里，采用B′=B⊕H(ID⊕PW)取代了生物特征模板.當U想要與S進行會話時，指令牌使用身份ID和口令PW來檢索出B.就像上面所分析的那樣，即使U的指令牌被A竊取(找到)，因為不能正確的猜測出身份和口令，A不能獲得秘密參數(shù)B的值.新方案允許用戶根據(jù)不同的需要而產(chǎn)生不同的生物特征，同時也可以向不同的服務器注冊不同的生物特征信息.此外，生物特征在被收集的時候易于錯亂，這種天然的特征在每次使用的時候也不可能恰好相同.因此每個注冊用戶的生物特征在不同的S上也是不同的.即使A竊取(找到)了同一用戶的兩個指令牌，他(她)所計算的(B1′⊕B2′)/2也明顯和向S注冊時候所用到的B是不同的.所以這一設計原則就防止了攻擊生物特征的可能.

4.7相互認證和用戶匿名性

本文提出的應用于SIP的新方案提供了相互認證和實現(xiàn)用戶匿名性來保護用戶的隱私.在新方案中，使用橢圓曲線上的Diffie-Hellman密鑰交換協(xié)議來提供相互認證，密鑰被新鮮的會話密鑰SK認證.該顯示密鑰認證被隱式密鑰認證和擁有認證密鑰所獲取.在3.2第4步和第5步，U和S都是驗證收到消息的正確性來進行相互認證.此外A不能從攔截的消息{C,R1,R2}中獲取用戶的身份ID.新方案還使用C=H(ID⊕v)來實現(xiàn)用戶匿名性.

5　性能分析

本文通過比較作者提出的新方案和一些相關的應用于SIP方案(Wu[4]，Yoon和Yoo[6]，Yoon和Yoo[8], Tang[9])的安全特征，驗證本文改進的方案具有更好的安全性.表1列出了在SIP認證里重要標準的對比結(jié)果.各標準含義如下：F1：方案在客戶端和SIP服務器之間應能實現(xiàn)安全的相互認證和協(xié)議會話密鑰；F2：不需要安全敏感的驗證表；F3：足夠安全抵擋各種攻擊；F4：口令可被客戶端自由選取和變更；F5：不需要時間同步且能避免時間延遲問題；F6：生物特征數(shù)據(jù)要被安全的保護；F7：方案能實現(xiàn)匿名性.

表1各方案重要標準的相關比較

方案F1F2F3F4F5F6F7Tang等人[9]YesYesYesYesNoNoNoYoon和Yoo[6]YesYesNoNoYesNoNoYoon和Yoo[8]YesNoYesYesNoNoYesWu等人[4]YesNoNoYesYesNoNo新方案YesYesYesYesYesYesYes

6　結(jié)束語

通過對Yoon和Yoo的應用于SIP的基于橢圓曲線三因子密鑰認證方案的分析，發(fā)現(xiàn)該方案不能抵擋拒絕服務攻擊、偽造攻擊、中間人攻擊.此外Yoon和Yoo的方案在丟失指令牌后不能實現(xiàn)用戶匿名性，在沒有干預假定的情況下，生物特征模板很容易被竊取，表明該方案不能實現(xiàn)SIP三因子認證方案的相互認證.本文提出了一個安全、有效的三因子遠程認證新方案，并對新方案進行了系統(tǒng)的安全性分析.分析表明，該新方案可抵抗各種不同攻擊.

[1]Khan M K, Kumari S. An improved biometrics-based remote user authentication scheme with user anonymity[J].Journal of Biomedicine and Biotechnology, 2013 (10)：1 010-1 014.

[2]Lin H, Wen F T, Du C X. An improved anonymous multi-server authenticated key agreement scheme using smart cards and biometrics[J].Wireless Personal Communications,2015,84(4):2 351-2 362.

[3]Wen F T, Susilo W, Yang G M. Analysis and improvement on a biometric-based remote user authentication scheme using smart cards[J]. Wireless Personal Communications,2015,80(4);1 747-1 760.

[4]Wu L，Zhang Y，Wang F．A new provably secure authentication and key agreement protocol for SIP using ECC[J]．Computer Standards and Interfaces, 2009，31(2)：286- 291.

[5]Yang C C，Wang R C，Liu W T．Secure authentication scheme for session initiation protocol[J]. Computer & Security，2005，24 (5)：381-386．

[6]Yoon E J，Yoo K Y，Kim C，et al．A secure and efficient SIP authentication scheme for converged VoIP networks [J]. Computer Communications ，2010，33 (14)：1 674-1 681．

[7]Liao Y P，Wang S S. A new secure password authenticated key agreement scheme for SIP using self-certified public keys on elliptic curves[J]．Computer Communications,2010，33(3)：372-380．

[8]Yoon E J，Yoo K Y. A three-factor authentic-cated key agreement scheme for SIP on elliptic curves[C]// Yang X. Proceedings of the 2010 Fourth International Conference on Network and System Security. Los Alamitos: IEEE Computer Society,2010:334-339.

[9]Tang H B，Liu X S．Cryptanalysis and improvement of TAKA(SIP) protocol[J]. Journal of Computer Applications，2012，32(2)：468-471．

[10]Kocher P，Jaffe J，Jun B．Differential power analysis[C]// Michael W．19th Annual International Cryptology Conference. Berlin: Springer, 1999:388-397.

[11]Messerges T S, Dabbish E A, Sloan R H. Examining smart-card security under the threat of power analysis attacks [J]. IEEE Transactions on Computers，2002，5(51)：541- 552.

[12]Lumini A，Nanni L. An improved Biohashing for human authentication[J]. Pattern Recognition，2007，40 (3)：1 057-1 065.

[13]Tulyakov S, Farooq F, Mansukhani P,et al. Symmetric hash functions for secure fingerprint biometric systems[J]. Pattern Recognition Letters，2007，28 (16)：2 427-2 436.

[14]Inuma M，Otsuka A，Imai H. Theoretical framework for constructing matching algorithms in biometric authentication systems[C]//Tistarelli M,Nixon M S．The 3rd IAPR/IEEE Intentional Conference on Biometrics. Berlin: Springer,2009: 806-815.

[15]Ziauddin S，Dailey M N．Robust iris verification for key management[J].Pattern Recognition Letters，2010，31(9)：926-935.

(編輯：郝秀清)

A robust three-factor authentication key agreement scheme for SIP

SHEN Gui-fang

(Shandong Zibo No.17 Middle School of Science, Zibo 255012, China)

YoonandYooproposedanewthree-factorauthenticationkeyagreementschemeforSIPbyusingellipticcurvecryptosystem(ECC).Theyclaimedthattheirschemeissecureagainstmanyattacks.However,theauthorfoundsthattheirschemecannotwithstandimpersonationattackandman-in-the-middleattack.InordertoremedytheabovedefectsinYoonandYoo′sscheme,weproposedasecureandeffectivethree-factorauthenticationschemeandanalyzedthesecurity.Wefoundthattheimprovedschemecanresisttheaboveattacksandachieveuseranonymity.

biometrics；token；authentication；password；SIP

2016-01-23

沈桂芳，女，zyf@sdut.edu.cn

1672-6197(2016)06-0074-05

TP309.7

A