三因子匿名認(rèn)證與密鑰協(xié)商協(xié)議

張 平，賈亦巧，王杰昌，石念峰

（1.河南科技大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院，河南洛陽(yáng) 471023；2.鄭州大學(xué)體育學(xué)院計(jì)算機(jī)教研室，鄭州 450044；3.東部戰(zhàn)區(qū)總醫(yī)院，南京 210002）

0 引言

作為信息安全的一個(gè)重要研究領(lǐng)域，認(rèn)證與密鑰協(xié)商（Authenticated Key Agreement，AKA）協(xié)議可使通信方之間建立共享會(huì)話密鑰，并以此實(shí)現(xiàn)開(kāi)放網(wǎng)絡(luò)中的安全通信［1］。隨著移動(dòng)通信與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，現(xiàn)如今AKA 協(xié)議已被廣泛應(yīng)用于許多實(shí)際場(chǎng)景，如電子政務(wù)、社交通信以及金融交易等。但由于通信信道中仍存在各類非法攻擊，因此，如何確?？蛻襞c服務(wù)提供方之間進(jìn)行可靠的雙向認(rèn)證并建立安全會(huì)話已成為亟須解決的問(wèn)題。

Lamport［2］于1981 年最先設(shè)計(jì)了一種基于口令的遠(yuǎn)程客戶身份認(rèn)證協(xié)議，該協(xié)議具有較強(qiáng)的實(shí)用性，但存在被盜校驗(yàn)值攻擊。因而，一些研究者提出了基于口令的能抵御此類攻擊的認(rèn)證協(xié)議［3-4］，這些協(xié)議雖然便于管理，但存在熵值較小、易遭受字典攻擊［5］等安全弊端。為解決單一口令所造成的安全性問(wèn)題，研究者們又設(shè)計(jì)了各種基于口令和智能卡的雙因子認(rèn)證協(xié)議［6-10］，這些協(xié)議提升了認(rèn)證過(guò)程的安全性，但因口令易被遺忘、泄露，智能卡易被遺失、竊取，僅將口令與智能卡相結(jié)合的認(rèn)證方式仍存在一定安全風(fēng)險(xiǎn)。

隨著將穩(wěn)定的、關(guān)聯(lián)度大且便于提取的生物特征作為認(rèn)證要素的生物認(rèn)證技術(shù)的蓬勃發(fā)展［8，11-15］，關(guān)于結(jié)合了生物特征、口令以及智能卡的三因子遠(yuǎn)程認(rèn)證協(xié)議的研究越來(lái)越多，應(yīng)用也更為廣泛。

2014年，Chuang 等［16］提出了一種僅利用hash 函數(shù)的匿名的三因子認(rèn)證協(xié)議，但被Mishra 等［17］指出存在無(wú)法抵抗智能卡丟失攻擊和假冒攻擊等安全問(wèn)題，且匿名性不夠完善；2016年，王瑞兵等［18］提出了一種新的匿名認(rèn)證協(xié)議，并聲稱能夠抵抗各種攻擊；2017 年，劉鑫玥等［14］指出文獻(xiàn)［18］中的協(xié)議不能抵御惡意服務(wù)器攻擊、平行會(huì)話攻擊和重放攻擊，提出了一個(gè)更安全的協(xié)議，但卻失去了匿名性；此外，Chaudhry 等［19］提出了將橢圓曲線與生物特征相結(jié)合，并在效率上作出一定改進(jìn)的協(xié)議。但夏鵬真等［20］指出文獻(xiàn)［19］中的協(xié)議存在無(wú)法抵抗假冒攻擊等問(wèn)題，同時(shí)提出了優(yōu)化方案；2018 年，殷秋實(shí)等［21］分析了文獻(xiàn)［20］中的協(xié)議所存在的安全性問(wèn)題，并在其基礎(chǔ)上提出了一個(gè)更高效的協(xié)議，但無(wú)法避免口令猜測(cè)攻擊；2019 年，杜浩瑞等［22］基于RSA（Rivest-Shamir-Adleman）算法設(shè)計(jì)了改進(jìn)的三因子認(rèn)證協(xié)議。

鑒于上述協(xié)議存在的潛在攻擊與安全漏洞，本文嘗試設(shè)計(jì)一種新的三因子匿名認(rèn)證與密鑰協(xié)商協(xié)議，便于進(jìn)行雙方認(rèn)證，并增加口令與生物特征更新階段以及智能卡更新分配階段。通過(guò)合理地利用橢圓曲線上的計(jì)算性Diffie-Hellman（Computational Diffie-Hellman，CDH）假設(shè)［8］，在隨機(jī)預(yù)言機(jī)模型下證明了所提協(xié)議具有前向安全性、抗重放攻擊、抗已知密鑰攻擊、抗口令猜測(cè)攻擊、抵抗內(nèi)部攻擊、抗生物特征丟失攻擊、抗智能卡丟失攻擊、抗中間人攻擊、抗平行會(huì)話攻擊等安全性質(zhì)。最后，對(duì)協(xié)議進(jìn)行了安全性和計(jì)算效率分析，相較于部分現(xiàn)有協(xié)議，所提協(xié)議具有良好的安全屬性以及較高的通信效率與實(shí)用性，且滿足客戶匿名性、客戶口令自由更新等屬性。

1 背景知識(shí)

1.1 橢圓曲線上的CDH假設(shè)

對(duì)于以橢圓曲線E上的點(diǎn)P為生成元所構(gòu)成的q階循環(huán)群G，以及任意未知 的a，b∈（q為一大素?cái)?shù)），已知P，aP，bP∈G，任意多項(xiàng)式時(shí)間內(nèi)的敵手均無(wú)法以不可忽略的概率計(jì)算出abP。

1.2 安全模型

本文基于隨機(jī)預(yù)言機(jī)模型，結(jié)合智能卡與生物特征進(jìn)行了安全性的形式化分析，模型包含合法客戶C、服務(wù)提供方S與可控制通信信道的敵手A。每個(gè)合法客戶都擁有其唯一的智能卡、口令與生物特征。敵手通過(guò)對(duì)客戶與服務(wù)提供方之間的協(xié)議會(huì)話實(shí)例進(jìn)行查詢，進(jìn)而試圖獲取會(huì)話密鑰，具體模型如下：

1.3 符號(hào)說(shuō)明

本文主要使用的符號(hào)的含義如表1所示。

表1 主要符號(hào)說(shuō)明Tab.1 Description of main symbols

2 匿名認(rèn)證與密鑰協(xié)商協(xié)議

匿名認(rèn)證與密鑰協(xié)商協(xié)議（協(xié)議Q）包括初始化、注冊(cè)、認(rèn)證協(xié)商、口令與生物特征更新以及智能卡更新分配這5 個(gè)階段，其中所涉及的部分符號(hào)含義見(jiàn)表1。

2.1 初始化階段

S定義q階循環(huán)群G和一個(gè)安全且抗碰撞的單向hash 函數(shù)H：{0，1}?→{0，1}l，隨機(jī)選取私鑰s∈，并計(jì)算公鑰P0=sP。

2.2 注冊(cè)階段

注冊(cè)階段的流程如圖1所示，具體步驟如下：

圖1 注冊(cè)階段Fig.1 Registration phase

2.3 認(rèn)證協(xié)商階段

認(rèn)證協(xié)商階段的流程如圖2所示，具體步驟如下：

圖2 認(rèn)證協(xié)商階段Fig.2 Authentication and agreement phase

2.4 口令與生物特征更新階段

在口令和生物特征更新階段，合法客戶可以在不與服務(wù)提供方通信的情況下改變其口令和生物特征。具體步驟如下：

2.5 智能卡的更新分配階段

本文協(xié)議中，合法客戶C有權(quán)在智能卡中增添認(rèn)證所需信息。

客戶C收到智能卡后再次秘密保存新的隨機(jī)數(shù)rˉ于智能卡中，至此，智能卡完成一次更新分配。

3 協(xié)議分析

3.1 協(xié)議的安全性證明

定理1若H：{0，1}?→{0，1}l為隨機(jī)預(yù)言機(jī)，在橢圓曲線上的CDH 假設(shè)成立的條件下，本文所提協(xié)議Q 滿足安全模型中的AKA 安全定義。進(jìn)一步說(shuō)，假設(shè)客戶C的口令空間大小為|N|，敵手A在概率多項(xiàng)式時(shí)間t內(nèi)最多進(jìn)行qE次Execute查詢、qSend次Send查詢、qH次H(·)查詢、qj次會(huì)話，則有：

證明 模擬器T用于模擬運(yùn)行協(xié)議Q 并回答敵手A的詢問(wèn)，協(xié)議的安全性證明通過(guò)T與A之間的一系列游戲完成［1］。定義從G0到G3的4 個(gè)游戲，并以Succi表示A成功區(qū)分Gi中Test 查詢所返回的數(shù)是隨機(jī)數(shù)或真實(shí)的會(huì)話密鑰這一事件，下面進(jìn)行具體證明。

1）游戲G0。真實(shí)的游戲，由語(yǔ)義安全的定義可知：

2）游戲G1。T模擬運(yùn)行協(xié)議，維護(hù)初始為空的列表LH用來(lái)保存對(duì)預(yù)言機(jī)的詢問(wèn)以及回答。易知，在隨機(jī)預(yù)言機(jī)模型下G1與G0不可區(qū)分，即有：

3）游戲G2。T仍如游戲G1中一樣模擬運(yùn)行協(xié)議，只是排除hash 函數(shù)之間的碰撞以及不同協(xié)議實(shí)例之間選取相同參數(shù)運(yùn)行協(xié)議所發(fā)生的碰撞。利用生日悖論進(jìn)行約束，可得：

4）游戲G3。假設(shè)服務(wù)提供方S不可攻陷，即私鑰s僅S可知，則依據(jù)本文協(xié)議，客戶C的口令也僅自己可知，依據(jù)抗碰撞的單向hash 函數(shù)的性質(zhì)，即便CPWC在認(rèn)證協(xié)商過(guò)程中被敵手截獲，A仍難以獲得PWC。因此，A只能在客戶生物特征信息未知或已知的情況下嘗試獲取會(huì)話密鑰。

情況1 客戶生物特征信息未知。在此情況下，T依照安全模型模擬協(xié)議運(yùn)行并回答敵手A的相關(guān)查詢。具體過(guò)程如下：

1）T進(jìn)行初始化，從qj個(gè)會(huì)話中任選一個(gè)作為測(cè)試會(huì)話，并嵌入CDH 二元組(xP，yP)到測(cè)試會(huì)話中，以xP和yP代替測(cè)試會(huì)話中的公鑰P0和共享秘密R1。若A能以不可忽略的優(yōu)勢(shì)正確猜測(cè)出測(cè)試會(huì)話所返回的b′，則T可利用A求出xyP來(lái)破解橢圓曲線上的CDH問(wèn)題。

2）對(duì)于非測(cè)試會(huì)話，無(wú)論A進(jìn)行何種查詢，T均可正確地模擬協(xié)議運(yùn)行。

①當(dāng)A選擇會(huì)話進(jìn)行Execute()或Send(，M1)查詢時(shí)，因S的私鑰未知，故無(wú)法直接計(jì)算共享秘密R以及臨時(shí)密鑰V進(jìn)行回答。此時(shí)，T先檢查是否存在(U，?，H(U‖?))∈LH。若存在，則令H(U‖?)作為V的值，依照協(xié)議運(yùn)行并返回M2給A；若不存在，T選取隨機(jī)數(shù)h∈，再令h=H(U‖⊥)作為V的值模擬協(xié)議運(yùn)行，并存儲(chǔ)該H(·)查詢及其應(yīng)答h于LH。

②若A冒充S對(duì)C的協(xié)議實(shí)例進(jìn)行Execute(ΠnS)或Send(，M2)查詢，則T可采取同樣方式進(jìn)行回答，從而可得V并正確模擬協(xié)議運(yùn)行。

③當(dāng)A進(jìn)行Reveal查詢時(shí)，若協(xié)議已獲得會(huì)話密鑰SK，T直接返回相應(yīng)的值；若協(xié)議未獲得會(huì)話密鑰SK，T返回⊥。

3）對(duì)于測(cè)試會(huì)話，當(dāng)A選擇測(cè)試會(huì)話進(jìn)行Test查詢時(shí)，T仍可按協(xié)議運(yùn)行得出實(shí)例，只是在回答C的Test 查詢時(shí)，返回隨機(jī)數(shù)作為會(huì)話密鑰。此時(shí)，若A能確定返回的值是真實(shí)的會(huì)話密鑰或隨機(jī)數(shù)，則其必已獲得真實(shí)的會(huì)話密鑰SK=H(CIDC‖IDS‖abP‖V)，即A進(jìn)行了相應(yīng)的H(·)查詢，則T便可查看hash 列表LH得到對(duì)應(yīng)的V=H(U‖xyP)，從而可以再次查詢獲得xyP，也就解決了橢圓曲線上的CDH問(wèn)題。

設(shè)A正好選擇T選擇的會(huì)話作為測(cè)試會(huì)話，并以相應(yīng)會(huì)話作為測(cè)試會(huì)話的匹配會(huì)話，則此概率為。因此，在情況1中A破解協(xié)議Q的AKA安全性質(zhì)的概率可被限定為：

情況2 客戶生物特征已知。在此情況下，A對(duì)C進(jìn)行了Biometric Reveal(IDC，BC)查詢，獲得了生物特征信息BC。

a）若A從口令空間中選取PWC′作為C的真實(shí)口令在線與S進(jìn)行交互。此時(shí)，若A正確地猜測(cè)出IDC與PWC并通過(guò)查詢偽裝成客戶C進(jìn)行認(rèn)證，則可計(jì)算出真實(shí)的會(huì)話密鑰并破解協(xié)議Q的AKA安全性質(zhì)，其概率可被限定為：

b）若A通過(guò)H(·)查詢與Smartcard Reveal()IDC，smart card查詢分別獲得W與智能卡信息MC、r，并通過(guò)驗(yàn)證正確猜測(cè)出IDC與PWC，則A必定可以計(jì)算出V，從而T可以通過(guò)查詢獲得xyP，進(jìn)而解決橢圓曲線上的CDH 問(wèn)題。此時(shí)，A破解協(xié)議Q的AKA安全性質(zhì)的概率被限定為：

由上述分析可得，除非破解CDH 問(wèn)題，否則游戲G3與G2不可區(qū)分。因此：

此外，對(duì)于所有消息均隨機(jī)的協(xié)議，敵手沒(méi)有通過(guò)信息交互便成功猜測(cè)出測(cè)試會(huì)話所返回的數(shù)是真實(shí)會(huì)話密鑰還是隨機(jī)數(shù)的概率為：

因此，綜合式（2）、（3）、（7）、（8），A破解協(xié)議Q 的AKA 安全性質(zhì)的概率為：

因橢圓曲線上的CDH 假設(shè)成立，即有AdvCDH(t′)可忽略。故由安全模型中的定義3可知，本文所提協(xié)議是語(yǔ)義安全的。證畢。

下面，本文對(duì)服務(wù)提供方S可被攻陷的情況進(jìn)行安全性分析：

1）S被攻陷后，A將獲得其長(zhǎng)期私鑰s。由會(huì)話密鑰SK=H(CIDC‖IDS‖abP‖V)的構(gòu)成可知，此時(shí)A能計(jì)算出V，但不能計(jì)算出每次會(huì)話都更新的密鑰協(xié)商值abP，故A仍需解決橢圓曲線上的CDH 問(wèn)題。由此可得，A無(wú)法獲得已結(jié)束的會(huì)話密鑰，從而說(shuō)明已結(jié)束的會(huì)話仍是安全的，協(xié)議具有前向安全性。

2）由抗碰撞的單向hash 函數(shù)的性質(zhì)可知，即使S被攻陷，A也難以獲得PWC，即保證了客戶口令安全。

3.2 協(xié)議的性能分析

從計(jì)算消耗和安全性兩方面對(duì)所提協(xié)議性能進(jìn)行分析：

1）計(jì)算消耗方面。

主要針對(duì)認(rèn)證密鑰協(xié)商階段同文獻(xiàn)［8，21-22］中的三因子認(rèn)證與密鑰協(xié)商協(xié)議進(jìn)行比較，為了使對(duì)比結(jié)果更準(zhǔn)確，首先定義了一些符號(hào)及其單次計(jì)算時(shí)間，具體如表2 所示，此時(shí)間數(shù)據(jù)來(lái)自文獻(xiàn)［25］。

由表3 可知，本文協(xié)議與文獻(xiàn)［8］中的協(xié)議相比，未使用MAC（Message Authentication Codes）算 法（MAC：{0，1}l×{0，1}?→{0，1}l上的函數(shù)，即輸入密鑰k∈{0，1}l與任意長(zhǎng)的待認(rèn)證的消息m∈{0，1}?，輸出t=MACk(m)），服務(wù)提供方也減少了一次hash函數(shù)的運(yùn)算，故計(jì)算量相對(duì)較低；結(jié)合表2的單次計(jì)算時(shí)間可知，本文協(xié)議的計(jì)算耗時(shí)和文獻(xiàn)［21］協(xié)議相近，比文獻(xiàn)［22］協(xié)議少。此外，考慮信息交互次數(shù)，即通信開(kāi)銷方面，本文協(xié)議也具有一定優(yōu)勢(shì)。

表2 符號(hào)定義及其單次計(jì)算時(shí)間Tab.2 Symbol definition and its single calculation time

忽略不計(jì)輕量級(jí)⊕、‖運(yùn)算，則對(duì)比結(jié)果如表3所示。

表3 不同協(xié)議計(jì)算性能對(duì)比Tab.3 Computational performance comparison of different protocols

2）安全性方面。

首先，說(shuō)明認(rèn)證與密鑰協(xié)商協(xié)議在安全性方面所應(yīng)具備的一些安全屬性（雙向認(rèn)證、安全的密鑰協(xié)商、抗中間人攻擊、抗重放攻擊、抗已知密鑰攻擊、抗平行會(huì)話攻擊、抗智能卡丟失攻擊、抗生物特征丟失攻擊、抗口令猜測(cè)攻擊、前向安全性）已包含在本文所提出的安全模型當(dāng)中，也即：在該模型下證明滿足安全性定義的協(xié)議具有上述安全屬性［26］。

其次，由于客戶可以申請(qǐng)對(duì)智能卡進(jìn)行更新分配，故協(xié)議Q可以抵抗內(nèi)部攻擊；由對(duì)服務(wù)提供方S被攻陷的情況的安全性分析可知，協(xié)議Q可抵御惡意服務(wù)器攻擊，同時(shí)保證了口令安全；由口令與生物特征更新階段的設(shè)定可知，協(xié)議Q具有口令自由更新的屬性。

此外，由于公開(kāi)信道上交互的信息均以隨機(jī)化匿名信息CIDC代替客戶的明文信息IDC，故由抗碰撞的單向hash 函數(shù)的性質(zhì)可知，即使A獲得了智能卡信息也無(wú)法求得IDC。在C與S的認(rèn)證過(guò)程中，S需利用私鑰s，通過(guò)一系列計(jì)算，才能從數(shù)據(jù)庫(kù)中檢索出對(duì)應(yīng)客戶，進(jìn)而找到IDC，這有效地保護(hù)了客戶的匿名性與隱私性。

通過(guò)證明分析可得，相應(yīng)的對(duì)比結(jié)果如表4所示。

表4 不同協(xié)議安全性能對(duì)比Tab.4 Safety performance comparison of different protocols

文獻(xiàn)［8］協(xié)議未設(shè)置口令更新修改階段，故不具有口令自由更新的屬性，且協(xié)議中客戶的身份標(biāo)識(shí)IDU是在公共信道中明文傳輸?shù)?，因此可被敵手截獲傳輸中的消息并得知客戶身份，無(wú)法保證匿名性；由文獻(xiàn)［27］可知，文獻(xiàn)［21］協(xié)議無(wú)法避免口令猜測(cè)攻擊；文獻(xiàn)［22］協(xié)議中客戶也可對(duì)智能卡信息進(jìn)行修改，但未設(shè)置智能卡丟失后的更新階段，因而敵手可以竊取智能卡，并篡改認(rèn)證所需的隨機(jī)數(shù)信息，在這樣的修改下，口令更改階段也自然無(wú)法與前面的登錄認(rèn)證階段相對(duì)應(yīng)，根本無(wú)法按照設(shè)定步驟執(zhí)行，故口令無(wú)法得到自由更新。因而，相比之下，本文協(xié)議擁有更強(qiáng)的安全性，在功能性方面也更加實(shí)用。

綜合上述分析可得，本文協(xié)議相較對(duì)比協(xié)議不僅在安全性能方面有所提升，也在計(jì)算性能方面具有一定優(yōu)勢(shì)。

4 結(jié)語(yǔ)

通過(guò)對(duì)三因子認(rèn)證與密鑰協(xié)商的相關(guān)研究工作進(jìn)行分析，為解決常見(jiàn)的安全問(wèn)題，結(jié)合智能卡與口令、生物認(rèn)證技術(shù)等方法，本文設(shè)計(jì)了一種三因子匿名認(rèn)證與密鑰協(xié)商協(xié)議，并在隨機(jī)預(yù)言機(jī)模型下基于橢圓曲線上的CDH 假設(shè)對(duì)協(xié)議的安全性進(jìn)行了證明。綜合性能分析表明，本文協(xié)議不僅具有較高的計(jì)算效率與通信效率，還提升了認(rèn)證協(xié)商過(guò)程的安全性，在信息管理等領(lǐng)域具有應(yīng)用可靠性。

此外，由于傳統(tǒng)的時(shí)間戳技術(shù)在界定時(shí)限方面受較多因素影響，故方案的局限性在于可能要求應(yīng)用設(shè)備具有較強(qiáng)的處理能力。如何在滿足基本安全特性的前提下進(jìn)一步降低協(xié)議的空間和時(shí)間復(fù)雜度，并考慮將所提協(xié)議應(yīng)用到更多環(huán)境，例如物聯(lián)網(wǎng)、云計(jì)算等是進(jìn)一步仍待研究的問(wèn)題。