基于驗證元的三方口令認證密鑰交換協議

楊曉燕 侯孟波 魏曉超

(山東大學計算機科學與技術學院 濟南 250101) (xyyang@sdu.edu.cn)

?

基于驗證元的三方口令認證密鑰交換協議

楊曉燕 侯孟波 魏曉超

(山東大學計算機科學與技術學院 濟南 250101) (xyyang@sdu.edu.cn)

三方口令認證密鑰交換協議使2個分別與可信服務器共享不同口令的用戶建立起秘密的會話密鑰.這類協議的優點是用戶只需要記憶一個口令就可以與其他注冊用戶進行通信，因而三方口令認證密鑰交換協議更適用于大規模的端到端通信.現有的大多數三方口令認證密鑰交換協議均基于隨機諭言模型來實現，只有少數協議不依賴服務器擁有公鑰，而且在標準模型下是可證明安全的.另外多數協議中的口令以明文的形式存儲在服務器上，服務器信息泄露將對用戶和服務器的數據安全帶來極大的危害.在標準模型下，使用平滑投影Hash函數設計了一個基于驗證元的三方口令認證密鑰交換協議，并證明了協議的安全性.此協議滿足抵抗服務器泄露、不可檢測的在線字典攻擊和密鑰私密性等安全屬性.

認證密鑰交換；驗證元；平滑投影Hash函數；三方口令認證密鑰交換；標準模型

認證密鑰交換(authenticated key exchange, AKE)是一類重要的密碼學原語，它使在不安全的開放網絡上通信的2個參與方建立秘密的會話密鑰，為雙方后續的通信建立安全信道.在認證密鑰交換協議中，為防止敵手冒充通信的一方與另一方進行交互，參與方之間需要預先共享秘密信息.AKE根據認證手段的不同分為基于證書的AKE、基于身份的AKE[1]、基于口令AKE和基于多因子的AKE等.使用口令作為認證手段既不需要部署公鑰基礎設施，也不需要智能卡等硬件設備存儲高強度的對稱密鑰，而且口令具有容易記憶、使用便捷的特點，因此口令是目前網絡應用中最常用的認證方式.基于口令的認證密鑰交換(password-based authenticated key exchange, PAKE)[2]最早由Bellovin和Merritt于1992年提出，PAKE協議使共享低熵口令的2個通信方生成一個密碼學強度的會話密鑰.兩方PAKE協議的研究目前得到了廣泛的研究[3-8].

兩方PAKE協議適用于“用戶-服務器”的場景.如果在大規模端到端的應用中使用兩方PAKE協議，則每一個用戶都需要與另一個通信方共享一個單獨的口令，用戶需要記憶的口令將與通信方的數量成線性關系.大量的口令將超出用戶的記憶能力，密鑰管理將變得非常困難.為實現大規模端到端通信，Steiner等人提出了三方PAKE協議[9]，即2個用戶分別與可信的服務器共享口令，雙方在服務器的幫助下建立共同的會話密鑰.

現有的大多數三方PAKE協議[10-13]均基于隨機諭言模型來實現，只有少數協議[14]僅以口令作為認證方式，而且在標準模型下是可證明安全的.另外在大多數三方PAKE協議中，口令以明文的形式存儲在服務器上，一旦服務器信息泄露，敵手獲得用戶口令后偽裝成合法用戶與服務器通信，對用戶和服務器的數據安全帶來極大的危害.

為減少服務器泄露帶來的危害，Bellovin和Merritt[15]提出了基于驗證元的口令認證密鑰交換(verifier-based password authenticated key exchange, VPAKE)協議.在這類協議中，服務器不存儲明文口令，而只存儲與口令相關的驗證元，用來驗證擁有正確口令的用戶身份.如果服務器信息泄露，敵手獲得了驗證元，需要通過離線字典攻擊才能恢復用戶的口令.

三方PAKE協議不可避免地要受到敵手對口令的字典攻擊.字典攻擊分為在線字典攻擊、離線字典攻擊和三方PAKE協議特有的不可檢測的在線字典攻擊[11].不可檢測的在線字典攻擊是指敵手試圖在線驗證猜測的口令，而失敗的嘗試不會被服務器檢測到. 只有提供顯式的服務器對用戶的認證，協議才能抵抗不可抗拒的在線字典攻擊.安全的三方PAKE協議必須抵抗離線字典攻擊和不可檢測的在線字典攻擊，而在線字典攻擊是敵手能發起的最好的攻擊方式.

三方PAKE協議還應滿足針對服務器的密鑰私密性[10]，即2個用戶實例共享的會話密鑰只能由這2個實例獲得，任何第三方包括可信的服務器都不能得知這個密鑰.這意味著即使2個用戶的會話密鑰的建立需要服務器的幫助，但是會話密鑰對服務器仍然保持私密性.

1 相關工作及主要貢獻

1.1 相關工作

基于口令的認證密鑰交換[2]最早由Bellovin和Merritt于1992年提出，第1個PAKE的安全模型由Bellare等人[3]提出.Abdalla等人[10]在此基礎上提出了三方PAKE協議的安全模型，并基于兩方PAKE協議構造了通用的三方PAKE協議.

Wang等人[11]指出Abdalla等人[10]提出的三方PAKE協議不能抵抗不可檢測的在線字典攻擊，并對此協議進行了改進.吳樹華等人[12]基于Gap Diffie-Hellman困難問題假設提出了前向安全的三方PAKE協議，該協議在隨機諭言模型下是可證安全的.Lee等人[13]提出在隨機諭言模型下可證安全高效的2個三方PAKE協議，分別提供了隱式服務器認證和顯示服務器認證.

Kwon等人[16]提出了第1個在標準模型下可證安全的三方PAKE協議，并且基于Hash Diffie-Hellman 假設證明了協議的安全性.Yang等人[17]基于ElGamal加密方案和偽隨機函數構造了在標準模型下可證安全的三方PAKE協議.文獻[16-17]的協議都假設服務器擁有公鑰，公鑰證書的分發、存儲和驗證查詢等操作增加了服務器的維護開銷，同時用戶需要存儲服務器的公鑰證書，失去了僅使用口令作為認證方式的便捷性.Nam等人[14]提出了僅以口令作為認證方式的在標準模型下可證安全的三方PAKE協議.

Bellovin和Merritt提出基于增強的加密密鑰交換協議[15]，服務器只存儲單向加密的口令文件.Benhamouda等人[18]定義了口令Hash(password hashing)的概念并提出了2種具有代數結構的口令Hash方案，并構造了單輪和2輪的基于驗證元的口令認證密鑰交換協議.Kiefer等人[19]首次提出了零知識口令政策檢查協議，即用戶自己選擇口令并在服務器上遠程注冊驗證信息，不需要實際發送口令，并通過零知識證明來確保用戶選取的口令符合服務器的口令政策.文獻[19]提出了一種新的用于ASCII口令的口令Hash方案.

1.2 本文貢獻

針對已有三方口令認證密鑰交換協議存在的不足，本文利用Cramer和Shoup[20]提出的平滑投影Hash函數(smooth projective Hash functions, SPHFs)構造了基于驗證元的三方口令認證密鑰交換協議(verifier-based three-party password authenticated key exchange protocol, 3VPAKE).該協議在標準模型下是可證安全的，而且協議僅以口令作為認證方式，不依賴服務器擁有公鑰.在3VPAKE協議中，服務器只存儲用戶口令的驗證元，可以有效地抵抗服務器泄露.驗證元由文獻[19]提出的口令Hash方案生成.本文是第1個在標準模型下可證安全的基于驗證元的三方口令認證密鑰交換協議.

3VPAKE協議的設計基于目前最高效的單輪兩方PAKE協議[8]，即用戶A和用戶B分別發送投影密鑰和密文給對方，并使用平滑投影Hash函數生成相同的會話密鑰.在3VPAKE協議中，用戶A和用戶B不共享口令，所以服務器需要對用戶A的口令生成的密文和用戶B的口令生成的密文進行重新加密.用戶A加密自己的口令并將生成的密文發送給服務器，服務器將密文中用戶A的口令替換為用戶B的口令，隨后將新生成的密文發回A.用戶B進行類似操作.

為抵抗不可檢測的在線字典攻擊，協議使用消息認證碼(message authentication code, MAC)函數來使服務器對用戶的身份進行認證，即服務器可以區分惡意的用戶和誠實的用戶.

2 相關知識

2.1 加密方案

帶標簽的Cramer-Shoup加密方案由文獻[21]提出，該方案是IND-CCA2安全的，由3個算法構成：

2) Enc(pk,m;r)加密消息為m，取隨機數r∈p，密文C=(u1,u2,e,v)，其中(,u1,u2,e)；

3) Dec(sk,c)首先計算ξ=Hk(,u1,u2,e)，檢查是否成立.如果等式成立，計算M=e并輸出M，否則輸出⊥.

2.2 平滑投影Hash函數

平滑投影Hash函數由Cramer和Shoup[20]最先提出.本文使用文獻[8]中的定義，X代表函數的域，L代表一種語言且L?X，存在證據w證明詞C在L中.

1) HashKG(L).產生語言L的Hash密鑰hk.

2) ProjKG(hk,L,C).計算投影密鑰hp,hp的計算可能依賴詞C.

3) Hash(hk,L,C).對任一C∈X，由Hash密鑰hk輸出其Hash值.

4) ProjHash(hp,L,C,w).對任一C∈X，由投影密鑰hp和證據w輸出其Hash值.

如果對所有的擁有證據w的C∈L，有Hash(hk,L,C)=ProjHash(hp,L,C,w)，則SPHF是正確的.如果對所有的C?L，Hash值h與G中的隨機元素不可區分，則SPHF具有平滑性.

本文使用文獻[8]提出的具有自適應平滑性的KVSPHF，投影密鑰hp的產生不依賴于C，即在已知hp后選擇C，平滑性依然成立.

2.3 口令Hash方案

口令Hash方案是用來計算口令驗證值的一個單向過程，輸入為用戶的口令和鹽值，輸出為存儲在服務器上的用來驗證用戶身份的驗證值.本文使用文獻[19]提出的口令Hash方案PH=(PSetup,PPHSalt,PPreHash,PHSalt,PHash),基于ASCII的口令pw映射為整數π.PH由5個算法構成：

1) PSetup(λ).生成口令Hash參數param=(p,g,h,λ),g,h是循環群G的2個獨立的生成元，G的階為長度為λ的素數p.

2) PPHSalt(param).生成預Hash鹽值sP∈R.

3) PPreHash(param,π,sP).輸出預Hash值P=gsPπ.

4) PHSalt(param).生成Hash鹽值sH∈R.

5) PHash(param,P,sP,sH).輸出Hash值H=(H1,H2)=(gsP,PhsH).

口令Hash方案的安全性由底層的循環群G和Pedersen承諾的安全性來保證.這些安全屬性保證敵手只有進行暴力破解才能從用戶口令的Hash值恢復用戶的口令或口令的預Hash值.

3 安全模型

本文在文獻[10]提出的三方PAKE協議的安全模型的基礎上增加了對前向安全和抵抗服務器泄露攻擊定義.

1) 參與方.三方PAKE協議中的參與方包含2個非空的集合：用戶集合U和服務器集合S.用戶集合U由2個不相交的集合組成：誠實用戶集合C和惡意用戶集合E.

2) 長期秘密.每一個用戶U∈U持有口令pwU，口令pwU映射為整數πU.服務器S持有所有用戶的由口令Hash方案生成的Hash值和鹽值.假設口令由用戶選取，并且口令的最小熵為β.

3) 協議執行.假設概率多項式時間敵手A完全控制通信信道.A可能插入一個消息并修改它，創建一個信息或是重發、轉發一個已有的消息.A可創建用戶C和服務器S的多個實例參與協議的并發執行.用戶U的第i個實例用Ui表示，服務器S的第j個實例用Sj表示.敵手通過查詢諭言機與協議的參與方進行交互：

②SendClient(Ui,m).對敵手向用戶發起的主動攻擊進行建模.敵手將消息m發送給用戶實例Ui，輸出是Ui處理消息m產生的回應.

③SendServer(Sj,m).對敵手向服務器發起的主動攻擊進行建模，敵手將消息m發送給用戶實例Sj，輸出是Sj處理消息m產生的回應.

⑤Corrupt(S).對敵手腐化服務器進行建模，查詢的輸出是所有用戶的驗證值H和sH.

⑥Corrupt(U).對敵手腐化用戶進行建模，查詢的輸出是用戶U的口令pwU和U的所有實例的狀態.

5) 新鮮性.如果一個實例的會話密鑰沒有輕易地被敵手獲得，則稱這個實例是新鮮的.具體來說，實例Ui是新鮮的，如果滿足3個條件：①Ui已經接受并且產生了一個有效的會話密鑰；②Ui和Ui的伙伴沒有被詢問過Reveal查詢；③敵手在執行Test查詢之前沒有執行過Corrupt(U)查詢而且敵手沒有執行過SendClient(Ui,m)查詢.

6) 語義安全.考慮在敵手A存在情況下的三方PAKE協議∏的執行，敵手可以執行多次Execute，SendClient，SendServer，Reveal，Corrupt查詢，但是對誠實用戶的新鮮實例只能執行一次Test查詢，并輸出位b′.如果b′=b(b為在Test查詢中選擇的位值)，則稱敵手A獲勝.敵手A正確猜到b的事件用Succ表示.A攻擊協議∏的優勢表示為AdvA,∏(k)=2Pr[Succ]-1.

如果敵手獲勝的優勢AdvA,∏(k)≤O(qs2β)+negl(k)，則稱3VPAKE協議∏是語義安全的.qs為Send查詢的次數，β為口令分布的最小熵.

如果敵手獲勝的優勢AdvA,∏(k)≤negl(k)，則稱3VPAKE協議∏對服務器具有密鑰私密性.

Fig. 1 Verifier-based three-party password authenticated key exchange protocol.圖1 基于驗證元的三方口令認證密鑰交換協議

4 基于驗證元的三方口令認證密鑰交換協議

4.1 協議描述

本文提出了一個基于驗證元的三方口令認證密鑰交換協議，并在標準模型下證明了協議的安全性.

假設A和B是想要建立會話密鑰的2個用戶，S是可信的服務器.A和B擁有口令pwA和pwB，S擁有A和B口令的驗證值(H1A,H2A,sHA)和(H1B,H2B,sHB).

3VPAKE協議使用帶標簽的CCA安全加密方 案，口令Hash方案PH=(PSetup,PPHSalt,PPreHash,PHSalt,Phash)和安全的消息認證碼函數MAC.全局參數包括KG(1k)產生的加密方案的公鑰pk=(p,g1,g2,h,c,d,Hk)和口令Hash方案的參數param=(p,g1,h,λ).

本文使用定義在語言L上的具有自適應平滑性的平滑投影Hash函數.L的定義如下：

L={(,c)|?π,?r:c=Enc

3VPAKE協議的描述如圖1所示.假設用戶A是發起方，A發送啟動協議的請求給服務器并等待服務器的響應.協議包含4輪消息：

1) 服務器S收到A的請求后，選擇2個隨機值

sA,sB∈Rp，計算，分別發送和給A和B.

2)A收到服務器的消息后，選擇隨機值rA∈Rp，運行HashKG(L)生成hk=(η1,η2,θ,μ,ν)∈R，計算，用wAS作為MAC函數密鑰計算σAS=MACwAS(A‖B‖S‖，最后計算發送給服務器S.類似地，B收到服務器的消息后，選擇隨機值rB∈Rp，運行HashKG(L)生成，計算，然后計算為MAC函數密鑰計算σBS=MACwBS(A‖B‖S‖，最后計算發送給服務器S.

最后為密鑰計算.A收到B發來的消息后，計算′=(A,B,hp′),ξ′=Hk(收到A發來的消息后，計算=(A,B,hp),ξ=Hk(,.

根據平滑投影Hash函數的平滑性得到skA=skB，協議正確性滿足.

4.2 安全性證明

定理1. 如果(KG,Enc,Dec)是CCA安全的帶標簽的加密方案，(HashKG,ProjKG,Hash,ProjHash)是平滑投影Hash函數，MAC是安全的消息認證碼函數，則圖1的協議是安全的3VPAKE協議.

證明. ∏代表圖1所示的協議，A代表攻擊協議∏的概率多項式時間敵手.假設模擬器控制敵手訪問的所有諭言機，而且模擬器知道所有的解密密鑰.構造一個游戲序列，真實的攻擊游戲對應G0.AdvGi(k)代表A在游戲Gi中的優勢.

5) 游戲G5.繼續修改Execute查詢的回答：替換σAS,σBS,λAS,λBS為G中隨機均勻選取的元素.由于MAC是安全的消息認證碼，得到|AdvG5(k)-AdvG4(k)|≤negl(k).

6) 游戲G6.繼續修改Execute查詢的回答：替換CAS，CBS為假口令0的加密密文.A和B的共同的會話密碼為sk=skA=skB=Hash(hk,L,CBS)×Hash(hk′,L,CAS)，由于加密方案是CCA安全的，G6與G5是不可區分的，得到|AdvG6(k)-AdvG5(k)|≤negl(k).

7) 游戲G7.繼續修改Execute查詢的回答：替換共同的會話密碼為G中的隨機值，由于CAS，CBS不在語言L中，由SPHF的平滑性得到|AdvG7(k)-AdvG6(k)|≤negl(k).

8) 游戲G8.繼續修改Execute查詢的回答：替換共同的會話密碼為G中的隨機值，由于CAS，CBS不在語言L中，由SPHF的平滑性得到|AdvG8(k)-AdvG7(k)|≤negl(k).

游戲G1～G8表明敵手不能從被動攻擊中獲得任何信息.下面考慮Send查詢，如果消息是之前的Send查詢輸出的，則稱它是一個之前使用過的消息，否則稱它為敵手偽造的消息.

考慮以上3種情況,情況①中Ⅰ的變化只增加了A的優勢;情況①中Ⅱ的變化是不可區分的;情況②中的變化沒有改變A的優勢.

考慮以上3種情況,情況①中Ⅰ的變化只增加了A的優勢;情況①中Ⅱ的變化是不可區分的;情況②的變化沒有改變A的優勢.

考慮以上3種情況，情況①中Ⅰ的變化只增加了A的優勢；情況①中Ⅱ的變化是不可區分的；情況②中的變化沒有改變A的優勢.

14) 游戲G14.修改SendClient(A,eAS‖λAS)查詢的回答，如果用戶A被腐化，誠實地回答查詢，否則將出現3種情況：

① 如果eAS是敵手偽造的，解密eAS得到H2Bh-sHB.

② 如果eAS是之前模擬器發出的，則不能通過用戶A的驗證.

考慮以上3種情況,情況①中Ⅰ的變化只增加了A的優勢;情況①中Ⅱ和情況②中的變化是不可區分的.

對修改SendClient(B,eAS‖λBS)查詢的回答查詢的回答與上述類似.

16) 游戲G16.修改SendClient(A,hp′‖CBS)查詢的回答.如果用戶A被腐化，誠實地回答查詢，否則將出現3種情況：

① 如果CBS是敵手偽造的，解密CBS得到H2Ah-sHA.

② 如果CBS是之前模擬器發出的，模擬器知道CBS對應的hk′，使用hk′計算會話密鑰sk，而不使用CBS產生使用的隨機數.

考慮以上3種情況,情況①中Ⅰ的變化只增加了A的優勢;由平滑投影Hash函數的平滑性得到情況①中Ⅱ的變化是不可區分的;情況②中的變化沒有改變A的優勢.

對SendClient(B,hp‖CAS)查詢的回答與上述類似.

17) 游戲G17.繼續修改SendClient(A,hp′‖CBS)查詢的回答.如果CBS是敵手偽造的：

② 否則，在G中隨機均勻的選擇sk作為會話密鑰.

由文獻[7]中的技術引理和CBS是CCA安全的密文，得到變化是不可區分的

對SendClient(B,hp‖CAS)查詢的回答與上述類似.

在游戲G17中，敵手A的視圖獨立于用戶的口令，AdvG17(k)≤qs2β成立.由游戲G1～G17可得到敵手獲勝的優勢AdvG0(k)≤qs2β+negl(k).

證畢.

定理2. 如果(KG, Enc, Dec)是CCA安全的帶標簽的加密方案，(HashKG,ProjKG,Hash,ProjHash)是平滑投影Hash函數，MAC是安全的消息認證碼，則圖1的3VPAKE協議提供針對服務器的密鑰私密性.

證畢.

定理3. 如果(KG,Enc,Dec)是CCA安全的帶標簽的加密方案，(HashKG,ProjKG,Hash,ProjHash)是平滑投影Hash函數，MAC是安全的消息認證碼，則圖1的協議提供服務器對用戶的認證.

由定理1中的部分證明，得到定理3.

5 方案性能比較

本文的協議方案與文獻[10，12，14，17]在計算代價和安全性方面進行了比較，如表1所示. 在計算代價方面，主要考慮計算代價較高的模冪運算，忽略其余的運算.

Table1 Performance Comparison with Ref[10，12，14，17]

文獻[10,12]方案的安全性基于隨機諭言模型，方案的計算代價較小，但這2個方案都不能抵抗不可檢測的在線字典攻擊;文獻[14,17]滿足抵抗不可檢測的在線字典攻擊，前向安全和針對服務器的密鑰私密性等安全屬性，但都不能抵抗服務器泄露攻擊.文獻[14]的通訊輪數為6輪，通信代價較高.文獻[17]要求服務器擁有公鑰證書，增加服務器維護開銷.本文的協議的通信輪數為4輪，滿足抵抗不可檢測的在線字典攻擊，前向安全，針對服務器的密鑰私密性和抵抗服務器泄露攻擊的安全屬性，但協議的計算效率較低.

6 結 論

本文利用平滑投影Hash函數[20]構造了基于驗證元的三方口令認證密鑰交換協議.該協議在標準模型下是可證安全的，而且協議不依賴于服務器擁有公鑰. 3VAPKE協議達到了抵抗服務器泄露攻擊，抵抗不可檢測的在線字典攻擊和針對服務器的密鑰私密性等安全屬性.目前協議的計算效率較低，下一步的工作是進一步提高協議的計算效率.

[1]Gao Haiying. Provable secure ID-based authenticated key agreement protocol[J]. Journal of Computer Research and Development, 2012, 49(8): 1685-1689 (in Chinese)(高海英. 可證明安全的基于身份的認證密鑰協商協議[J]. 計算機研究與發展, 2012, 49(8): 1685-1689)

[2]Bellovin S M, Merritt M. Encrypted key exchange: Password-based protocols secure against dictionary attacks[C]//Proc of the Research in Security and Privacy. Piscataway, NJ: IEEE, 1992: 72-84

[3]Bellare M, Pointcheval D, Rogaway P. Authenticated key exchange secure against dictionary attacks[G]//LNCS 1807: Advances in Cryptology (EUROCRYPT 2000). Berlin: Springer, 2000: 139-155

[4]Boyko V, MacKenzie P, Patel S. Provably secure password-authenticated key exchange using Diffie-Hellman[G] //LNCS 1807: Advances in Cryptology (EUROCRYPT 2000). Berlin: Springer, 2000: 156-171

[5]Katz J, Ostrovsky R, Yung M. Efficient password-authenticated key exchange using human-memorable passwords[G]//LNCS 2045: Advances in Cryptology (EUROCRYPT 2001). Berlin: Springer, 2001: 475-494

[6]Gennaro R, Lindell Y. A framework for password-based authenticated key exchange[G] //LNCS 2656: Advances in Cryptology (EUROCRYPT 2003). Berlin: Springer, 2003: 524-543

[7]Katz J, Vaikuntanathan V. Round-optimal password-based authenticated key exchange[J]. Journal of Cryptology, 2013, 26(4): 714-743

[8]Benhamouda F, Blazy O, Chevalier C, et al. New techniques for SPHFs and efficient one-round PAKE protocols[G]//LNCS 8042: Advances in Cryptology (CRYPTO 2013) . Berlin: Springer, 2013: 449-475

[9]Steiner M, Tsudik G, Waidner M. Refinement and extension of encrypted key exchange[J]. ACM SIGOPS Operating Systems Review, 1995, 29(3): 22-30

[10]Abdalla M, Fouque P A, Pointcheval D. Password-based authenticated key exchange in the three-party setting[G]//LNCS 3386: Public Key Cryptography (PKC 2005). Berlin: Springer, 2005: 65-84

[11]Wang Weijia, Hu Lei. Efficient and provably secure generic construction of three-party password-based authenticated key exchange protocols[G] //LNCS 4329: Progress in Cryptology (INDOCRYPT 2006). Berlin: Springer, 2006: 118-132

[12]Wu Shuhua, Zhu Yuefei. Three-party password-based authenticated key exchange with forward-security[J]. Chinese Journal of Computers, 2007, 30(10): 1833-1841 (in Chinese)(吳樹華, 祝躍飛. 一個前向安全的基于口令認證的三方密鑰交換協議[J]. 計算機學報, 2007, 30(10): 1833-1841)

[13]Lee T F, Hwang T. Simple password-based three-party authenticated key exchange without server public keys[J]. Information Sciences, 2010, 180(9): 1702-1714

[14]Nam J, Choo K-K R, Kim J, et al. Password-only authenticated three-party key exchange with provable security in the standard model[J/OL]. The Scientific World Journal, 2014 [2016-06-01]. https://www.hindawi.com/journals/tswj/2014/825072/

[15]Bellovin S M, Merritt M. Augmented encrypted key exchange: A password-based protocol secure against dictionary attacks and password file compromise[C]//Proc of the 1st ACM Conf on Computer and Communications Security. New York: ACM, 1993: 244-250

[16]Kwon J O, Jeong I R, Lee D H. Light-weight key exchange with different passwords in the standard model[J]. Journal of Universal Computer Science, 2009, 15(5): 1042-1064

[17]Yang Junhan, Cao Tianjie. Provably secure three-party password authenticated key exchange protocol in the standard model[J]. Journal of Systems and Software, 2012, 85(2): 340-350

[18]Benhamouda F, Pointcheval D. Verifier-based password-authenticated key exchange: New models and constructions: IACR Cryptology ePrint Archive[OL]. (2014-04-14) [2016-09-13]. http://eprint.iacr.org/2013/833

[19]Kiefer F, Manulis M. Zero-knowledge password policy checks and verifier-based PAKE[G]//LNCS 8713: Computer Security (ESORICS 2014). Berlin: Springer, 2014: 295-312

[20]Cramer R, Shoup V. Universal Hash proofs and a paradigm for adaptive chosen ciphertext secure public-key encryption[G]//LNCS 2332: Advances in Cryptology (EUROCRYPT 2002). Berlin: Springer, 2002: 45-64[21]Cramer R, Shoup V. A practical public key cryptosystem provably secure against adaptive chosen ciphertext attack[G]//LNCS 1462: Advances in Cryptology (CRYPTO’98). Berlin: Springer, 1998: 13-25

Yang Xiaoyan, born in 1980. PhD candidate. Her main research interests include key exchange protocols and authentication protocols.

Hou Mengbo, born in 1974. PhD and associate professor. His main research interests include information security and key exchange protocols.

Wei Xiaochao, born in 1990. PhD candidate. His main research interests include secure multi-party computing and searchable encryption.

Verifier-Based Three-Party Password Authenticated Key Exchange Protocol

Yang Xiaoyan, Hou Mengbo, and Wei Xiaochao

(SchoolofComputerScienceandTechnology,ShandongUniversity,Jinan250101)

Three-party password authenticated key exchange (3PAKE) protocols enable two parties to establish a common session key where each party only shares one password with a trusted server. In the situation of large-scale peer-to-peer communication, a user in two-party PAKE protocols has to remembernpasswords if the user hasncommunication parties. The main advantage of 3PAKE protocols is that each user needs only to store a single password when he wants to communicate any party in the peer-to-peer circumstance. However, the security of the existing 3PAKE protocols is generally provided in the random oracle model, and in these protocols, passwords are stored in cleartext on the server. Only a few of protocols are proven secure in the standard model and do not require a server’s public key. We generally assumed that servers are secure. But once the password file in the server is compromised, the damage will be huge. In this paper, we propose a verifier-based three-party password authenticated key exchange protocol constructed by smooth projective Hash functions(SPHFs). The protocol is proven secure in the standard model. Our protocol satisfies the secure properties such as resilient to server corruption, undetectable on-line dictionary attack and key privacy.

authenticated key exchange (AKE); verifier; smooth projective Hash functions (SPHFs); three-party password authenticated key exchange (3PAKE); standard model

2016-06-16；

2016-08-16

國家自然科學基金項目(61572294)

TP309

This work was supported by the National Natural Science Foundation of China (61572294).