項順伯，趙晶英，柯文德

（1.廣東石油化工學院 計算機與電子信息學院，廣東 茂名525000；2.廣東石油化工學院 機電工程學院，廣東 茂名525000）

兩方口令認證密鑰交換協(xié)議是服務器以用戶的口令或口令驗證值為認證信息去證實用戶的身份，從而在兩者間建立一個安全的會話密鑰.兩方口令認證密鑰交換協(xié)議存在諸多針對口令的攻擊，如服務器泄漏偽裝攻擊、字典攻擊等.因此，設計一個安全的口令認證密鑰交換協(xié)議是研究的難題.以口令驗證值為內容的口令認證密鑰交換協(xié)議是近年來的研究熱點.閾下信道的概念是由Simmons首次提出的［1］，它是指在基于公鑰密碼機制的數(shù)字簽名、認證等密碼體制中建立起的一種隱秘信道，除發(fā)送者和指定的接收者外，任何人都不知道傳輸?shù)拿艽a數(shù)據(jù)內容中是否存在閾下信息［2］.自從閾下信道提出后，學者對其進行了相關的研究.楊建萍等［3］基于閾下信道問題提出一種口令認證方案.Lee等［4］提出一種兩方口令認證密鑰交換協(xié)議PAKA－X，該協(xié)議基于口令驗證值問題，能抵御服務器泄漏偽裝攻擊.Kwon［5］提出一種一輪的基于驗證值的口令認證密鑰交換協(xié)議，并在理想哈希模型下證明了協(xié)議的安全性，該協(xié)議適用于傳輸層安全（TLS）的協(xié)議.粟栗等［6］提出一種改進的簽密方案，利用該方案設計了一個門限閾下信道方案.譚示崇等［7］提出一種改進的PAKA－X協(xié)議，但改進的協(xié)議實現(xiàn)過程復雜，計算量大.李文敏等［8］提出一種基于驗證值的三方口令認證密鑰交換協(xié)議.Pointcheval等［9］綜述了口令認證密鑰交換協(xié)議的通用構造方法.Fujioka等［10］提出口令認證密鑰交換協(xié)議的GC協(xié)議的通用結構，在CK＋模型下證明其安全性.HUANG等［11］提出了應用于ad hoc網絡的帶有匿名門限閾下信道的多簽名方案.張應輝等［12］研究了EDL簽名中的閾下信道封閉協(xié)議問題.張興愛等［13］研究了廣播多重簽名方案中閾下信道的封閉協(xié)議問題.本文基于閾下信道問題，以用戶的口令明文作為閾下信息，提出一種基于閾下信道的兩方口令認證密鑰交換協(xié)議.

1 基于閾下信道的兩方口令認證密鑰交換協(xié)議

基于閾下信道的兩方口令認證密鑰交換協(xié)議，簡稱PAKE.協(xié)議中，用戶U和服務器S組成一個系統(tǒng)，其交互流程圖，如圖1所示.協(xié)議由以下3個方面組成［3，5，9－10］.

1.1 系統(tǒng)建立

系統(tǒng)選擇大素數(shù)p，q，滿足q｜p－1，g是Zq＊的生成元，其階為q；系統(tǒng)選擇1個無碰撞的單向哈希函數(shù)H∶（0，1）＊－（0，1）1，公開參數(shù)p，q，g，H，l.用戶U選擇xU∈RZp＊作為其私鑰，計算公鑰yU＝gxUmodp，用戶U的身份標識符為IDU，U公開參數(shù)yU和IDU.

身份標識符為IDS的服務器S選擇私鑰xS∈RZ＊p，其公鑰yS＝gxSmodp，S公開參數(shù)yS和IDS.pw為用戶U的口令明文，U計算口令pw的驗證值v＝gH（IDU‖IDS‖pw），并通過秘密信道把v傳給服務器S保存.

圖1 PAKE的交互流程圖Fig.1 Interactive flow chart of PAKE

1.2 含有閾下信息簽名的產生

用戶U選擇a∈RZ＊q，計算c＝gamodp和t＝y(tǒng)aSmodp，計算r＝pw·g－tmodp，s＝a－xU·rmodp，則含有閾下信息的簽名為（c，r，s），用戶U向服務器S發(fā)送信息（c，r，s，IDU，IDS）.

服務器S收到用戶U的簽名消息后進行閾下信息的恢復，服務器通過其私鑰xS計算t′＝cxSmodp，再計算用戶的口令明文rpw＝r·gt′modp即可恢復出閾下信息.

1.3 會話密鑰的建立

服務器S通過恢復出的pw計算v′＝gH（IDU‖IDS‖pw），比較v和v′，若v≠v′，終止協(xié)議的執(zhí)行；否則實現(xiàn)對用戶身份的驗證.在證實用戶的身份后，服務器S選擇b∈RZ＊q，計算d＝gbmodp，e＝gabmodp，v″＝H（IDU‖IDS‖v‖d），S向用戶U發(fā)送消息（d，v″，IDU，IDS），并計算與用戶U的會話密鑰KSU＝H（IDU‖IDS‖v‖e）.

用戶U收到消息后，首先計算v?＝H（IDU‖IDS‖v‖d），如果v″≠v?，終止協(xié)議的執(zhí)行；否則，計算f＝gbamodp，并將計算出的KSU＝H（IDU‖IDS‖v‖f）作為其與服務器的會話密鑰.明顯，e＝gbamodp＝f，所以，用戶和服務器計算出的會話密鑰是一致的.

2 協(xié)議安全性分析

2.1 含有閾下信息簽名的安全性分析

2.1.1 含有閾下信息簽名的不可偽造性 因為只有合法用戶才擁有自己的口令明文，攻擊者沒有用戶的口令明文，無法偽造有效的簽名.假設攻擊者隨機選擇一個口令pw′，與用戶的口令pw相比，pw′≠pw，攻擊者選擇a∈RZ＊q，計算c′＝gamodp，t＝y(tǒng)aSmodp，r′＝pw′·g－tmodp，接著計算s′＝k－xU·r′modp，則含有閾下信息的偽造簽名為（c′，r′，s′）.

服務器S收到含有閾下信息的簽名消息后計算t′＝c′sS，然后計算出閾下信息，用戶的口令pw′＝r′·g－t′modp，接著服務器S計算v′＝H（IDU‖IDS‖pw′）.通過比較發(fā)現(xiàn)v≠v′，證實用戶的身份失敗，從而終止協(xié)議的執(zhí)行.因此，攻擊者無法針對合法用戶偽造出有效的簽名.

2.1.2 含有閾下信息簽名的公開可驗證性 PAKE中，任何人都可以通過獲得的公開信息去計算c＝gs·yrUmodp，以實現(xiàn)簽名有效性的驗證.因為gs·yrUmodp＝gk－xUr·gxUrmodp＝gamodp＝c，所以協(xié)議中閾下信息的簽名具有公開可驗證性.

2.2 前向安全性

PAKE中，前向安全性是指在某次會話過程中，即使攻擊者知道了用戶的口令明文pw，也無法計算該次會話之前的會話密鑰.因為每次會話中，服務器和用戶分別選擇的隨機數(shù)a和b都不完全相同，又因為離散對數(shù)困難問題，攻擊者無法從c＝gamodp和d＝gbmodp中分別計算出a和b，于是攻擊者無法計算出e＝gabmodp和f＝gbamodp，從而攻擊者無法計算出最終的會話密鑰KUS.所以，文中的PAKE是前向安全的.

2.3 抵御字典攻擊

字典攻擊是指攻擊者針對用戶的口令發(fā)起的攻擊，通過猜測和分析去獲得用戶的口令明文，字典攻擊可分為在線字典攻擊和離線字典攻擊兩種.在線字典攻擊是指攻擊者隨機選擇一個口令，通過截獲的公開信息偽裝成合法用戶與服務器會話，通過多次試探，從而猜測出用戶的口令.離線字典攻擊是指攻擊者通過分析截獲的公開會話信息，從中分析計算出用戶的口令明文.

2.3.1 抵御在線字典攻擊 假設攻擊者隨機1個口令pw′≠pw，通過截獲用戶的公開信息（c，r，s，IDU，IDS），偽造出另一組含有閾下信息的簽名（c，r′，s′，IDU，IDS）.其中：r′＝pw′·g－tmodp；s′＝kxU·r′modp.服務器收到該簽名信息后，通過計算恢復出閾下信息，即用戶口令明文pw′.接著，服務器計算用戶口令驗證值v′＝H（IDU‖IDS‖pw′），通過比較發(fā)現(xiàn)v′≠v，服務器認為用戶身份信息不安全，從而終止協(xié)議的執(zhí)行，攻擊者的在線字典攻擊無法成功.事實上，如果攻擊者嘗試該類攻擊，就陷入了簽名的偽造性.前文已經分析過，文中PAKE簽名是不可偽造的，所以，文中的PAKE是能抵御在線字典攻擊的［8］.

2.3.2 抵御離線字典攻擊 文中的PAKE中，攻擊者無法實施離線字典攻擊，因為用戶和服務器會話過程中，僅r＝pw·g－tmodp和v″＝H（IDU‖IDS‖pw‖d）含有用戶的口令明文.由于r是閾下信息，攻擊者無計可施，又因哈希函數(shù)的特性，攻擊者無法選擇pw′，使得v″＝H（IDU‖IDS‖pw‖d）＝H（IDU‖IDS‖pw′‖d）.因此，PAKE能抵御離線字典攻擊.

2.4 抵御服務器泄漏偽裝攻擊

抵御服務器泄漏偽裝攻擊是指服務器遭受攻擊或惡意泄漏后，用戶的口令驗證值泄漏給攻擊者，攻擊者偽裝成合法用戶去登錄服務器.PAKE協(xié)議中，假設服務器存儲的用戶口令驗證值v＝H（IDU‖IDS‖pw）泄漏給攻擊者，由于哈希函數(shù)的特性，攻擊者無法獲得正確的口令明文，如果攻擊者偽裝成合法用戶去登錄服務器，必然隨機選擇一個口令pw′≠pw，然后偽造一個含有閾下信息的簽名（c′，r′，s′）.前文已經分析過，PAKE中的簽名不可偽造，于是攻擊者的偽裝是不成功的.因此，文中的PAKE能抵御服務器泄漏偽裝攻擊.

3 協(xié)議運行效率分析

所提出的PAKE中，協(xié)議的主要計算體現(xiàn)在指數(shù)運算、點乘運算和哈希運算等上.用戶簽名的產生需要3次指數(shù)運算，2次點乘運算，服務器恢復閾下信息需要2次指數(shù)運算和1次點乘運算，省去了簽名驗證的大量運算.建立會話密鑰時，服務器只需2次指數(shù)運算和3次哈希函數(shù)的運算，用戶僅需1次點乘運算和2次哈希運算.

文獻［5］的協(xié)議用了9次指數(shù)運算，3次哈希運算，3次點乘運算，3次除運算，與文中的PAKE相比，計算量稍大一些.文獻［7］改進的協(xié)議中，指數(shù)運算有9次，哈希運算有10次，盡管沒有使用點乘運算，但用了4次異或運算.與文獻［7］的協(xié)議相比，文中協(xié)議計算量小，因而效率更高.

4 結束語

設計一個基于閾下信道問題的兩方口令認證的密鑰交換協(xié)議.協(xié)議利用服務器存儲用戶口令的驗證值，用戶發(fā)送含有口令閾下信息的簽名給服務器，服務器驗證簽名并通過恢復出的閾下信息實現(xiàn)對用戶身份的認證.通過分析可知：文中的協(xié)議避免了一些針對口令認證密鑰交換協(xié)議的攻擊，如服務器泄漏偽裝攻擊、字典攻擊等；同時，與其他協(xié)議比較，文中的協(xié)議所需計算量小，效率更好.文中的協(xié)議可以用于現(xiàn)有的用戶端／服務器（U／S）的環(huán)境中，從而實現(xiàn)服務器對用戶的身份認證及認證后的交互過程.

［1］SIMMONS G J.The prisoner′s problem and the subliminal channel［C］∥Proceedings IEEE Workshop Communica－tions Security CRYPTO.New York：［s.n.］，1983：51－67.

［2］SIMMONS G J.The history of subliminal channels［J］.IEEE Journal on Selected Areas in Communication，1998，16（4）：452－462.

［3］楊建萍，周賢偉，楊軍.基于閾下信道技術的身份認證機制研究［J］.微電子學與計算機，2004，21（12）：195－197.

［4］LEE S W，KIM W H，KIM H S，et al.Efficient password－based authenticated key agreement protocol［C］∥International Conference on Computer Science and Applications.Perugia：Springer－Verlag，2004：617－626.

［5］KWON J O，SAKURAI K，LEE D H.One－round protocol for two－party verifier－based password－authenticated key exchange［C］∥Communications and Multimedia Security.Heraklion：［s.n.］，2006：87－96.

［6］粟栗，崔國華，李俊，等.基于簽密的分布式安全門限閾下信道方案［J］.小型微型計算機系統(tǒng)，2007，28（12）：2153－2157.

［7］譚示崇，張寧，王育民.新的口令認證密鑰協(xié)商協(xié)議［J］.電子科技大學學報，2008，37（1）：17－19.

［8］李文敏，溫巧燕，張華.基于驗證元的三方口令認證密鑰交換協(xié)議［J］.通信學報，2008，29（10）：150－152.

［9］POINTCHEVAL D.Password－based authenticated key exchange［C］∥Proceedings of 15th IACR International Conference on Practice and Theory of Public－Key Cryptography.Darmstadt：Springer－Verlag，2012：390－397.

［10］FUJIOKA A，SUZUKI K，XAGAWA K，et al.Strongly secure authenticated key exchange from factoring，codes，and lattices［C］∥Proceedings of 15th IACR International Conference on Practice and Theory of Public－Key Cryptography.Darmstadt：Springer－Verlag，2012：467－484.

［11］HUANG Zhen－jie，CHEN Dan，WANG Yu－min.Multi－signature with anonymous threshold subliminal channel for ad－h(huán)oc environments［C］∥19th International Conference on Advanced Information Networking and Applications.Tamshui：IEEE Press，2005：67－71.

［12］張應輝，馬華，王保倉.EDL簽名中可證明安全的閾下信道封閉協(xié)議［J］.計算機科學，2010，37（9）：72－74.

［13］張興愛，張應輝，史來婧.廣播多重簽名方案中閾下信道的封閉協(xié)議［J］.計算機工程，2011，37（22）：102－104.