《(参考)基于阈下信道的两方口令认证密钥交换协议.doc》由会员分享,可在线阅读,更多相关《(参考)基于阈下信道的两方口令认证密钥交换协议.doc(10页珍藏版)》请在三一文库上搜索。
1、基于阈下信道的两方口令认证密钥交换协议项顺伯1,赵晶英2 ,柯文德1(1.广东石油化工学院 计算机与电子信息学院 525000;2. 广东石油化工学院 机电工程学院 525000)摘要:提出一种基于阈下信道的两方口令认证密钥交换协议。协议中,服务器存储用户口令的验证值以抵御服务器泄漏伪装攻击,用户的口令明文采用阈下信道生成签名信息传送给服务器,服务器计算出用户的口令明文以恢复出阈下信息,再计算口令验证值以实现对用户身份的认证,从而建立起会话密钥。通过对所提协议的安全性和效率两个方面的分析,结果表明,所提出的协议是安全可行的,也是有效的。关键词:阈下信道;口令认证密钥交换协议;口令验证值;会话密
2、钥中图分类号:TP309Two-party password-authenticated key exchange protocol based on the subliminal channelShunbo Xiang1, Jingying Zhao2 ,Wende Ke1(1.College of Computer and Electronic Information, Guangdong University of Petrochemical Technology, Maoming 525000, China;2.College of MechanicalElectrical Engin
3、eering,Guangdong University of Petrochemical Technology,Maoming 525000,China)Abstract:A two-party password-authenticated key exchange protocol based on the subliminal channel was proposed. In the proposed protocol, the server stores the users password verifier to withstand the servers compromise and
4、 guise attacks, the users password cleartext is made to a signature message with the subliminal channel to transmit to the server, the server computes the users password cleartext to renew the subliminal message, then the server calculates the password verifier to authenticate the users identity, so
5、 a session key is made between the server and the user. The security and the efficiency of the proposed protocol were analyzed, it shows in the analysis that the proposed protocol is secure and effective.Keywords: subliminal channel; password-authenticated key exchange protocol; password verifier; s
6、ession key1 引言两方口令认证密钥交换协议是服务器以用户的口令或口令验证值为认证信息去证实用户的身份,从而两者间建立一个安全的会话密钥。两方口令认证密钥交换协议存在诸多针对口令的攻击,如服务器泄漏伪装攻击、字典攻击等,因此,设计一个安全的口令认证密钥交换协议是研究的难题,学者提出了多种方式,以口令验证值为内容的口令认证密钥交换协议是近年来的研究热点内容。阈下信道的概念是由Simmons首次提出的1,它是指在基于公钥密码机制的数字签名、认证等密码体制中建立起的一种隐秘信道,除发送者和指定的接收者外,任何人都不知道传输的密码数据内容中是否存在阈下信息2。自从阈下信道提出后,学者对其进行了
7、相关的研究。文献3基于阈下信道问题提出一种口令认证方案,方案中,口令明文作为阈下信息在信道中传输,避免了攻击者对口令的攻击,但由于服务器存储的是口令明文,一旦服务器泄漏口令,攻击者可伪装成合法用户登录服务器,因而方案并不安全。文献4提出一种两方口令认证密钥交换协议PAKA-X,该协议是基于口令验证值问题的,作者声称该协议能抵御服务器泄漏伪装攻击。文献5提出一种一轮的基于验证值的口令认证密钥交换协议,并在理想哈希模型下证明了协议的安全性,该协议适用于传输层安全(TLS)的协议。文献6提出一种改进的签密方案,并利用该方案设计了一个门限阈下信道方案,并证明了方案的安全性。文献7分析文献5的PAKA-
8、X后,指出该协议并不安全,并提出一种改进的PAKA-X协议,但改进的协议的实现过程复杂,计算量大。文献8提出一种基于验证值的三方口令认证密钥交换协议,并证明了协议的安全性。文献9综述了口令认证密钥交换协议的通用构造方法。文献10提出口令认证密钥交换协议的一个称为GC协议的通用结构,在CK+模型下证明了协议的安全性。本文基于阈下信道问题,以用户的口令明文作为阈下信息,提出一种基于阈下信道的两方口令认证密钥交换协议。2基于阈下信道的两方口令认证密钥交换协议本文提出的基于阈下信道的两方口令认证密钥交换协议,简称,协议中,用户U和服务器 基金项目:国家自然科学基金项目(61272382);广东省自然科
9、学基金项目(S2012010009963);茂名市科技计划项目资助项顺伯,硕士,讲师,研究方向为计算机网络与密码协议。柯文德,博士,教授。赵晶英,硕士,讲师。S组成一个系统,协议的交互流程图如图1所示,协议由以下三个方面组成359-10: 1)系统建立。系统选择大素数,满足,是的生成元,其阶为;系统选择一个无碰撞的单向哈希函数,公开参数,;用户U选择作为其私钥,计算公钥,用户U的身份标识符为,U公开参数和;身份标识符为的服务器S选择私钥,其公钥,S公开参数和;为用户U的口令明文,U计算口令的验证值,并通过秘密信道把传给服务器S保存。2)含有阈下信息签名的产生。用户U选择,计算和 ,计算,再计算
10、,则含有阈下信息的签名为,用户U向服务器S发送信息;服务器S收到用户U的签名消息后进行阈下信息的恢复,服务器通过其私钥计算,再计算用户的口令明文即可恢复出阈下信息。3)会话密钥的建立。服务器S通过恢复出的计算,比较和,如果,终止协议的执行,否则就实现对用户身份的验证;在证实用户的身份后,服务器S选择,计算,S向用户U发送消息,并计算与用户U的会话密钥=;用户U收到消息后,首先计算,如果,终止协议的执行,否则,计算,并计算出=作为其与服务器的会话密钥。明显,=,所以,用户和服务器计算出的会话密钥是一致的。 图1 的交互图 3 协议安全性分析1)含有阈下信息签名的安全性分析(1)含有阈下信息签名的
11、不可伪造性。因为只有合法用户才拥有自己的口令明文,攻击者没有用户的口令明文,无法伪造有效的签名。假设攻击者随机选择一个口令,与用户的口令相比,攻击者选择,计算,接着计算,则含有阈下信息的伪造签名为,服务器S收到含有阈下信息的签名消息后计算,然后计算出阈下信息即用户的口令,接着服务器S计算,通过比较发现,证实用户的身份失败,从而终止协议的执行,因此,攻击者无法针对合法用户伪造出有效的签名。(2)含有阈下信息签名的公开可验证性。本文的中,任何人都可以通过获得的公开信息去计算,以实现签名有效性的验证,因为=,所以本文协议中阈下信息的签名是具有公开可验证性的。2)前向安全性。本文的中,前向安全性是指在
12、某次会话过程中,即使攻击者知道了用户的口令明文,也无法计算该次会话之前的会话密钥。因为每次会话中,服务器和用户分别选择的随机数和都不完全相同,又因为离散对数困难问题,攻击者无法从和中分别计算出和,于是攻击者无法计算出和,从而攻击者无法计算出最终的会话密钥,所以,本文的是前向安全的。3)抵御字典攻击。字典攻击是指攻击者针对用户的口令发起的攻击,通过猜测和分析去获得用户的口令明文,字典攻击可分为在线字典攻击和离线字典攻击两种。在线字典攻击是指攻击者随机选择一个口令,通过截获的公开信息伪装成合法用户与服务器会话,通过多次试探,从而猜测出用户的口令。离线字典攻击是指攻击者通过分析截获的公开会话信息,从
13、中分析计算出用户的口令明文。(1)能抵御在线字典攻击。假设攻击者随机一个口令,通过截获用户的公开信息,伪造出另一组含有阈下信息的签名,其中,服务器收到该签名信息后,通过计算恢复出阈下信息即用户口令明文,接着,服务器计算用户口令验证值,通过比较发现,服务器认为用户身份信息不安全,从而终止协议的执行,于是,攻击者的在线字典攻击无法成功,事实上,如果攻击者尝试该类攻击,就陷入了签名的伪造性,前文已经分析过,本文中签名是不可伪造的,所以,本文的是能抵御在线字典攻击的8。(2)能抵御离线字典攻击。本文的中,攻击者无法实施离线字典攻击,因为,用户和服务器会话的过程中,仅和含有用户的口令明文,由于是阈下信息
14、,攻击者无计可施,又由于哈希函数的特性,攻击者无法选择,使得=,因此,能抵御离线字典攻击。 4)抵御服务器泄漏伪装攻击。该攻击是指服务器遭受攻击或恶意泄漏后,用户的口令验证值泄漏给攻击者,攻击者然后伪装成合法用户去登录服务器。本文的协议中,假设服务器存储的用户口令验证值泄漏给攻击者,由于哈希函数的特性,攻击者无法获得正确的口令明文,如果攻击者伪装成合法用户去登录服务器,必然随机选择一个口令,然后伪造一个含有阈下信息的签名,前文已经分析过,中的签名不可伪造,于是攻击者的伪装是不成功的,所以说,本文的能抵御服务器泄漏伪装攻击的。4 协议运行效率分析本文所提出的中,协议的主要计算体现在指数运算、点乘
15、运算和哈希运算等上,用户签名的产生需要3次指数运算,2次点乘运算,服务器恢复阈下信息需要2次指数运算和1次点乘运算,省去了签名验证的大量运算。建立会话密钥时,服务器只需2次指数运算和3次哈希函数的运算,用户仅需1次点乘运算和2次哈希运算。文献5的协议用了9次指数运算、3次哈希运算、3次点乘运算、3次除运算,与本文的相比,计算量稍大一些。文献7改进的协议中,指数运算有9次,哈希运算有10次,尽管没有使用点乘运算,但用了4次异或运算。与文献7的协议相比,本文协议计算量小,因而效率更高。5 结束语本文设计一个基于阈下信道问题的两方口令认证的密钥交换协议,协议利用服务器存储用户口令的验证值,用户发送含
16、有口令阈下信息的签名给服务器,服务器验证签名并通过恢复出的阈下信息实现对用户身份的认证。通过分析,本文的协议避免了一些针对口令认证密钥交换协议的攻击,如服务器泄漏伪装攻击、字典攻击等,同时,与其他协议比较,本文的协议所需计算量小,因而效率更好。本文的协议可以用于现有的用户端/服务器(U/S)的环境中,从而实现服务器对用户的身份认证以及认证后的交互过程。参考文献1SIMMONS G J. The prisoners problem and the subliminal channelA. Proceedings of CRYPTO83C. New York, 1983:51-67.2SIMMON
17、S G J. The history of subliminal channelsJ. IEEE Journal on Selected Areas in Communication, 1998, 16(4): 452-462.3杨建萍, 周贤伟, 杨军.基于阈下信道技术的身份认证机制研究J. 微电子学与计算机, 2004, 21(12):195-197.4LEE S W, KIM W H, KIM H S, et al. Efficient password-based authenticated key agreement protocolC/ICCSA04. Perugia: Sprin
18、ger-Verlag, 2004: 617626.5J.O. Kwon, K. Sakurai, D.H. Lee. One-Round Protocol for Two-Party Verifier-Based Password-Authenticated Key ExchangeC/CMS 2006. LNCS 4237, 2006:87-96. 6粟栗, 崔国华, 李俊等. 基于签密的分布式安全门限阈下信道方案J. 小型微型计算机统, 2007, 28(12): 2153-2157.7谭示崇, 张宁, 王育民. 新的口令认证密钥协商协议J.电子科技大学学报, 2008, 37(1):17
19、-19.8李文敏, 温巧燕, 张华. 基于验证元的三方口令认证密钥交换协议J.通信学报, 2008, 29(10):150-152.9D. Pointcheval. Password-based authenticated key exchangeC. In PKC 2012. Springer-Verlag, 2012:390-397.10Fujioka A, Suzuki K, Xagawa K, et al. Strongly secure authenticated key exchange from factoring, codes, and latticesC. Proceedin
20、gs of 15th (2012) IACR International Conference on Practice and Theory of Public-Key Cryptography (PKC), Germany, May 21-23, 2012: 467-484.论文标题基于阈下信道的两方口令认证密钥交换协议作者姓名项顺伯性别男出生日期1979-12-4联系电话15915298327电子邮件职 称学 历作者单位广东石油化工学院 Guangdong University of Petrochemical Technology基金项目国家自然科学基金项目(61272382);广东省自然科学基金项目(S2012010009963);茂名市科技计划项目 (注:文档可能无法思考全面,请浏览后下载,供参考。可复制、编制,期待你的好评与关注)