第4期譚示崇等：高效的匿名的基于口令的認證密鑰協商協議19高效的匿名的基于口令的認證密鑰協商協議譚示崇，龐遼軍，蘇萬力，王育民(西安電子科技大學 計算機網絡與信息安全教育部重點實驗室，陜西 西安 710071)摘 要：基于口令的密鑰協商協議可以為網絡上僅共享一個口令的通信雙方建立會話密鑰。提出了一個基于口令的認證密鑰協商協議，并且對所提出的協議安全性進行了分析，分析結果表明該協議在計算性Diffie-Hellman假設下，可以抵抗字典攻擊。該協議能夠為用戶提供隱私保護并且實現非關聯性，而且，該密鑰協商協議能夠抵抗拒絕服務攻擊。關鍵詞：密鑰協商；匿名性；拒絕服務攻擊；字典攻擊中圖分類號：TN918.1 文獻標識碼：A 文章編號：1000-436X(2009)04-0017-04Efficient anonymous password-based authenticated key exchange schemeTAN Shi-chong, PANG Liao-jun, SU Wan-li, WANG Yu-min(Ministry of Edu. Key Lab. of Computer Network and Information Security,Xidian Univ., Xian 710071, China)Abstract: Password-based key exchange schemes was designed to provide entities communicating over a public network, and only sharing a (short) password with a session key (e.g., the key was used for data confidentiality and/or integrity). There has been much interest in password-authenticated key exchange protocol which remains secure even when users choose passwords from a small space of possible passwords, such as a dictionary of English words. A password-based authenticated key exchange scheme was proposed. The analysis shows that the scheme is secure against dictionary attack under the computational Diffie-Hellman intractability assumption, and preserves user privacy and achieves unlinkability. Furthermore, since denial-of-service (DoS) attacks have become a common threat,DoS-resistantance is a design consideration and the scheme is proved to be secure against denial-of-service attacks.Key words: key exchange; anonymity; denial-of-service attack; dictionary attack1 引言收稿日期：2008-06-21；修回日期：2009-02-13基金項目：國家高技術研究發展計劃（“863”計劃）基金資助項目（2007AA01Z435）;國家自然科學基金資助項目（60772136，60473027）；高等學校學科創新引智計劃基金資助項目（B08038）Foundation Items: The National High Technology Research and Development Program of China(863 Program) (2007AA01Z435); The National Natural Science Foundation of China (60772136,60473027); The 111 Project(B08038)近年來，基于口令的認證密鑰協商協議的設計和分析得到了越來越多的關注。在認證和密鑰協商協議中利用口令是很自然的，因為這些口令易于記憶。在實際應用中，基于口令的方案適合在許多環境中實現，特別是在一些缺乏設備來安全地存儲隨機的長期密鑰環境中。但是，因為口令空間很小，這些口令很容易受到字典攻擊或口令猜測攻擊。1992年，Bellovin和Merritt提出了第一個基于口令的認證密鑰交換協議1，即EKE協議；接著，提出了一個改進的協議2。此后，許多研究人員對基于口令的密鑰協商協議做了大量的研究，并取得了不少成果39。其中，在2000年，Bellare和Boyko分別提出了口令認證密鑰協商協議的形式化模型4,5，并且在隨機預言機模型下證明了協議的安全性。Katz等6于2001年在標準模型下討論了口令認證密鑰協商協議的設計和安全性分析。在密碼學的許多應用場合，需要考慮用戶的匿名性，保護用戶的隱私。匿名性對于密鑰協商協議也是很重要的。在已有的匿名密鑰協商協議1012中，文獻10要求遠程服務器存儲用戶的口令列表，并且該方案需要進行很多指數運算，效率比較低；文獻11,12不能抗拒絕服務攻擊。本文利用客戶端模糊 (client puzzle)9,13提出了一個匿名的基于口令的認證密鑰協商協議，該方案同時可以抵抗拒絕服務攻擊。在本文的方案中，如果某個用戶與遠程服務器進行密鑰協商，則遠程服務器只能確信該用戶屬于一組用戶，而無法確定該用戶的身份，充分地保護了用戶的隱私。在本文的協議中，在用戶被識別為一個合法的客戶端之后，遠程服務器才進行指數運算以及狀態的存儲，防止惡意的客戶端發起拒絕服務攻擊來耗盡服務器的計算資源和存儲資源。2 預備知識2.1 計算性Diffie-Hellman假設在階為素數p的有限循環群G中，g是群G的生成元，一個攻擊者是指運行時間為t的概率性圖靈機，對所有的隨機值x和y滿足如果G中不存在攻擊者，那么就稱在G中計算性Diffie-Hellman問題是困難的。計算性Diffie-Hellman假設是說對于所有的多項式時間t和任意的不可忽略，不存在攻擊者。2.2 雜湊函數一個雜湊函數H是安全的，如果該雜湊函數滿足如下條件。1) 給定x，計算是容易的，同時，給定y，計算是困難的。2) 給定x，找到滿足，在計算上是不可行的。3) 找到一對x和滿足和，在計算上是不可行的。3 匿名的密鑰協商協議假設為一個有限循環群，g是群G的生成元，G的階為l bit的素數p。h,，i=0,1，都是雜湊函數。本文設計匿名的基于口令的密鑰協商協議運行分為2個階段。3.1 初始化階段令表示一組用戶，是用戶的口令。S為遠程服務器，v是遠程服務器S的主密鑰。表示消息認證碼算法，sk是MAC的對稱密鑰。遠程服務器S隨機選取MAC的對稱密鑰sk，sk可以用于多個會話。是遠程服務器S選擇的一次性隨機數，表示系統的當前時間，date的精度可以由所需抗DoS攻擊的級別來確定。列表List保存的是已經使用過的和date的值。是一個雜湊函數，其中 。在初始化階段，用戶群分別在遠程服務器S進行注冊，注冊結束后，S為每個用戶產生一個字符串，并且通過適當的方式安全地發送給用戶。3.2 密鑰協商假設用戶要與遠程服務器S進行匿名的密鑰協商，則它們執行如下的過程。1) 用戶將用戶群的身份發送給遠程服務器S。S接收到該消息以后，隨機選取，S將保存在一個列表List中，計算，然后遠程服務器S將S、Ns和cookie發送給用戶。2) 用戶搜索，使得成立。然后，用戶隨機選擇，計算，。接著，用戶將C、X、s、nc、NS、cookie發送給遠程服務器S。3) 遠程服務器檢查下列條件是否成立：date是否恰當？ 如果這些條件都成立，則遠程服務器S繼續進行如下計算：選擇，計算， ，會話密鑰。最后，遠程服務器S將、發送給用戶。4) 用戶從中選取與自己對應的，計算，驗證 ，如果相等，則用戶確信與遠程服務器S成功地協商了一個會話密鑰，并且。4 安全性分析本文提出的密鑰協商協議在雙方都誠實地執行協議的情況下，可以協商一個具有良好的密碼學性質的會話密鑰。該協議所進行的運算主要是求雜湊函數值和異或運算，因此，協議的效率比較高。此外，該協議還具有如下的性質。1) 實現了用戶的匿名性和非關聯性在3.2節的第2)步，用戶計算了 ，因為是從中隨機選取的，x是從Zp中隨機選取的，因此根據X和，遠程服務器無法得到與用戶身份有關的任何信息，它只能知道該用戶是用戶群中的一員。同時，因為不同用戶以很大的概率選擇不同的x和ri，得到不同的X和，因此遠程服務器無法將它與不同用戶的協商過程聯系起來。從而，本文的協議實現了用戶的匿名性和非關聯性。2) 能抗DoS攻擊為了使得所設計的方案能夠抵抗DoS攻擊，一個可行的方法就是先讓客戶端向服務器證明它能夠解決一個給定的難題(puzzle)13，之后，服務器才進行運算量很大的計算以及狀態的存儲，從而防止客戶端利用DoS攻擊來耗盡服務器的計算資源和存儲資源。在本文的方案中，服務器計算一個，并發送給客戶端。中時間date的精度取決于所需的抗DoS攻擊的級別。在收到cookie以后，客戶端試圖找到，使得成立，因為雜湊函數f看作一個隨機預言機，所以客戶端解決這個難題的唯一方法就是嘗試所有長度為k2的字符串，并且向這個隨機預言機進行詢問。客戶端找到滿足要求的nc，就是對自己計算努力的一個證明。隨后，服務器就可以驗證是否發起了DoS攻擊，因為服務器鎖定了cookie并且不允許相同的cookie出現2次。從這里可以看出，本文的協議能夠抵抗DoS攻擊。3) 能抗字典攻擊在協議的運行過程中，攻擊者所能獲得的用戶和遠程服務器之間的消息包括：， ， ，。顯然，在計算性Diffie-Hellman假設和安全的雜湊函數下，攻擊者根據這些消息無法驗證他所猜測的口令，因此，本文提出的協議還能抵抗字典攻擊。5 結束語在密碼協議的設計中，保護用戶的身份信息對于很多應用場合都是一個需要考慮的重要方面。本文構造了一個基于口令的認證密鑰協商協議，該協議實現了用戶的匿名性和非關聯性，而且還能抵抗DoS攻擊和字典攻擊等，本文還實現了用戶的匿名性。如何同時有效地實現遠程服務器的匿名性，是一個值得進一步研究的問題。參考文獻：1BELLOVIN S, MERRITT M. Encrypted key exchange: password-based protocols secure against dictionary attacksA. Proceedings of the 1992 IEEE Symposium on Research in Security and PrivacyC. Oakland, IEEE Computer Society, 1992. 72-84.2BELLOVIN S, MERRITT M. Augumented encrypted key exchange:a password-based protocol secure against dictionary attacks and password file compromiseA.Proceedings of CCS93C. New York, USA, 1993.244-250.3JABLON D. Strong password-only authenticated key exchangeJ. ACM Computer Communication Review,1996,26(5):5-20.4BELLARE M, POINTCHEVAL D, ROGAWAY P. Authenticated key exchange secure against dictionary attacksA. EUROCRYPT2000C. Bruges, Belgium, 2000.139-155.5BOYKO V, MACKENZIE P, PATEL S. Provably-secure password anthentiation and key exchange using Diffie-HellmanA. EUROCRYPT2000C. Bruges,Belgium, 2000.156-171.6KATZ J, OSTROVSKY R, YUNG M. Efficient password- authenticated key exchange using human-memorable passwordsA. EUROCRYPT 2001C. Berlin, 2001.475-494.7RAIMONDO M, GENNARO R. Provably secure threshold password-authenticated key exchangeA. EUROCRYPT 2003C. New York, 2003.507-523.8GENNARO R, LINDELL Y. A framework for password-based authenticated key exchangeA. EUROCRYPT2003C. New York, 2003. 524-543.9BRESSON E, CHEVASSUT O, POINTCHEVAL D. New security results on encrypted key exchangeA. PKC2004C. Singapore, 2004. 145-158.10VIET D Q, YAMAMURA A, TANAKA H. Anonymous password-based authenticated key exchangeA. INDOCRYPT 2005C. Berlin, 2005.244-257.11CHAI Z C, CAO Z F, LU R X. Efficient password-ba