一個(gè)基于SIP安全的三因子密鑰認(rèn)證協(xié)議

沈桂芳

(山東淄博第十七中學(xué)，山東 淄博 255012)

?

一個(gè)基于SIP安全的三因子密鑰認(rèn)證協(xié)議

沈桂芳

(山東淄博第十七中學(xué)，山東 淄博 255012)

Yoon和Yoo運(yùn)用橢圓曲線密碼提出了一個(gè)新的基于會(huì)話發(fā)起協(xié)議(SIP)的三因子密鑰認(rèn)證方案并聲稱能夠抵抗多種攻擊.然而,作者研究發(fā)現(xiàn)Yoon和Yoo的方案不能抵擋偽造攻擊和中間人攻擊.為了改進(jìn)以上缺陷，提出了一個(gè)安全、有效的三因子遠(yuǎn)程認(rèn)證新方案并進(jìn)行了安全性分析,分析表明新方案可以抵擋以上攻擊并實(shí)現(xiàn)了用戶匿名性.

生物特征；指令牌；認(rèn)證；口令；SIP

三因子協(xié)議是現(xiàn)代密碼學(xué)的重要研究?jī)?nèi)容,對(duì)它的研究有著重要的理論和現(xiàn)實(shí)意義,文獻(xiàn)[1-3]對(duì)這一問(wèn)題進(jìn)行了討論.隨著IP電話(VoIP)的廣泛使用，會(huì)話發(fā)起協(xié)議(SIP)引起了越來(lái)越多人的關(guān)注.2009年，Wu等人[4]為SIP提出了一個(gè)新的密鑰認(rèn)證協(xié)議，該方案解決了Yang等[5]方案里存在的問(wèn)題.不幸的是，Yoon等[6]指出Wu等人的方案不能抵擋口令猜測(cè)攻擊、拒絕服務(wù)攻擊、竊取驗(yàn)證表攻擊，并提出了一個(gè)應(yīng)用于IP網(wǎng)絡(luò)電話的安全且高效的基于橢圓曲線密碼的SIP認(rèn)證協(xié)議.2010年，Liao等[7]提出了新的運(yùn)用自證明公鑰的SIP認(rèn)證協(xié)議，該方案不僅可以解決相關(guān)方案的安全性問(wèn)題，而且相比其它的公鑰密碼體制減少了很多的計(jì)算量.2010年，Yoon和Yoo[8]提出了一個(gè)應(yīng)用于SIP的基于橢圓曲線密碼三因子密鑰認(rèn)證協(xié)議,引用三因子(口令，指令牌，生物特征)認(rèn)證技術(shù)使得協(xié)議更加安全,并聲稱他們的方案不僅可以抵擋已知的安全性攻擊，而且比之前相關(guān)的方案更加高效.但是本文指出Yoon和Yoo的方案[8]不能抵抗偽造攻擊和中間人攻擊.此外，他們的方案不能提供用戶匿名性，丟失指令牌可廢除功能.在沒(méi)有阻力干預(yù)的情況下，用戶的生物信息也容易泄露[9-10].

1　Yoon和Yoo方案的回顧

Yoon和Yoo[8]在2010年提出了基于橢圓曲線的應(yīng)用于SIP的三因子密鑰認(rèn)證協(xié)議.該方案由三個(gè)階段組成：注冊(cè)階段、認(rèn)證階段、口令和生物特征更新階段.

1.1注冊(cè)階段

新用戶如果要成為SIP會(huì)員，首先要向SIP服務(wù)器進(jìn)行注冊(cè).用戶U和SIP服務(wù)器需執(zhí)行下面的步驟來(lái)完成注冊(cè).

第1步：用戶U自己選取身份ID和口令PW，并將自己的生物特征B輸入傳感器.用戶通過(guò)一個(gè)安全的信道將信息{ID,H(ID‖PW‖B),B}發(fā)送給SIP服務(wù)器S.

第2步：收到U的消息之后，S計(jì)算s=H(ID‖k)和v=s⊕H(ID‖PW‖B).這里的k是S的主密鑰.S將信息{v,B,H(·),d(·)，τ}存在指令牌里并通過(guò)一個(gè)安全的信道把它發(fā)送給U.這里的d(·)和τ分別是用于生物識(shí)別驗(yàn)證的對(duì)稱參數(shù)函數(shù)和預(yù)定閾值.

1.2密鑰協(xié)議認(rèn)證階段

當(dāng)用戶U想登陸SIP服務(wù)器和S進(jìn)行安全的會(huì)話時(shí)，需要完成以下步驟：

第3步：從S收到消息(nonce,realm,B,AuthS)之后，指令表首先計(jì)算會(huì)話密鑰SK=aB=abP并驗(yàn)證AuthS?=H(nonce‖realm‖ID‖Ax‖Bx‖SKx).若等式成立，意味著S是一個(gè)合法的SIP服務(wù)器.不然，指令表終止會(huì)話.用戶指令表繼續(xù)計(jì)算AuthS=H(nonce+1‖realm‖ID‖Ax‖Bx‖SKx)并將計(jì)算結(jié)果發(fā)送給S.

第4步：S驗(yàn)證H(nonce+1‖realm‖ID‖Ax‖Bx‖SKx)是否等于收到的AuthS.如果相等，S接受U的認(rèn)證請(qǐng)求.

最后，U和S達(dá)成一致的會(huì)話密鑰SK=abP用于之后進(jìn)行的信息交互.

1.3口令和生物特征更新階段

在這一階段，用戶可以在不需要和S交互的情況下安全地更新口令和生物特征.如果用戶U想要更新舊口令和生物特征，需要在指令牌中打開(kāi)變更口令和生物特征的申請(qǐng)軟件.

第1步：U輸入身份ID，原始口令PW并向傳感器重新輸入生物特征Bnew.

第2步：指令牌通過(guò)驗(yàn)證d(Bnew,B)≤τ來(lái)檢查新生物特征的合法性.如果滿足條件，表明用戶通過(guò)生物識(shí)別認(rèn)證，則用戶可以向指令牌輸入新的口令.如果生物特征不合法，則指令牌終止用戶的請(qǐng)求.

第3步: 在用戶向指令牌里輸入新的口令PWnew之后，指令牌計(jì)算vnew=v⊕H(ID‖PW‖B)⊕H(ID‖PWnew‖Bnew)并將指令牌里原先存儲(chǔ)的v，B替換成vnew，Bnew.指令牌成功更新生物信息和相關(guān)參量.

2　Yoon和Yoo方案的安全性分析

這里給出兩個(gè)合理的假設(shè)：(1) 攻擊者A能夠控制用戶U和SIP服務(wù)器S之間進(jìn)行會(huì)話的信道.換句話說(shuō)，攻擊者可以插入、更改、刪除或者攔截任何公共信道上傳輸?shù)南?(2) 一旦合法用戶的指令牌被攻擊者A通過(guò)某些手段(撿到或偷竊)獲取，里面存儲(chǔ)的私密信息就會(huì)被提取出來(lái)[9-11].

2.1偽造攻擊

假定U的指令牌被攻擊者A竊取并獲取存儲(chǔ)的信息{v,B,H(·)，d(·)，τ}.A可以利用這些信息猜測(cè)口令PW*并計(jì)算H(ID‖PW*‖B),s*=v⊕H(ID‖PW*‖B).A可以攔截公共信道上傳輸?shù)男畔ID,A,Mac}.A驗(yàn)證Mac?=H(s*‖A)=H(v⊕H(ID‖PW*‖B)‖A).如果相等，表明A猜出了U的口令，進(jìn)而可以偽造出U的合法請(qǐng)求消息欺騙S.

第1步：A選取隨機(jī)數(shù)α′計(jì)算A′=α′P,Mac′=H(s‖A′) ，再將消息{ID,A′,Mac′}發(fā)送給S.

第2步：因?yàn)镮D是有效的，S計(jì)算s=H(ID‖Κ),Mac′*=H(s‖A′).因?yàn)镸ac′*=Mac′,所以S接受A的請(qǐng)求.

因此，該方案不能抵擋偽造攻擊.

2.2中間人攻擊

顯然根據(jù)上面假設(shè)的討論A可以偽裝成合法的用戶U欺騙SIP服務(wù)器S達(dá)成最終的會(huì)話密鑰.所以A可以通過(guò)在U和S之間建立平行會(huì)話執(zhí)行中間人攻擊.因此該方案不能實(shí)現(xiàn)相互認(rèn)證.

3　新改進(jìn)方案的提出

新改進(jìn)方案的協(xié)議也包含注冊(cè)階段、密鑰協(xié)議認(rèn)證階段、口令和生物特征更新階段，此外還增加了一個(gè)額外的功能階段：撤銷階段.

3.1注冊(cè)階段

S選取兩個(gè)大素?cái)?shù)p，q使得p=2q+1.Ep(a,b)是定義在有限域Zp上的橢圓曲線.P是橢圓曲線Ep(a,b)模q的生成元，且q要足夠大，這就使得在多項(xiàng)式時(shí)間算法內(nèi)循環(huán)子群G1上的離散對(duì)數(shù)問(wèn)題是難解的.S計(jì)算Q=k·Pmodp，k是S的主密鑰.{P,p,Ep(a,b)}是公共參數(shù).

第1步：U傳感器輸入生物特征B,連同ID和A=H(PW‖b)在安全的信道上一起發(fā)送給S，其中b是U選取的隨機(jī)數(shù).

第2步：S計(jì)算s=H(n‖k)，v=s⊕H(ID‖A‖B),m=H(ID⊕z)⊕H(ID‖B) ，n是S給U選取的隨機(jī)數(shù)，z是S給所有用戶選取的隨機(jī)數(shù)并只有S自己私密存儲(chǔ).S將{v,m,H(·)，Hs(·)，d(·)，τ,p,Ep(a,b),P,Q}存進(jìn)指令牌并將其通過(guò)安全的信道發(fā)送給U.Hs(·)是一個(gè)定義在{0,1}*×{0,1}*→{0,1}n上的含有私密代碼i的秘密哈希函數(shù).d(·)是對(duì)稱參數(shù)函數(shù)，τ是一個(gè)用于生物特征識(shí)別的預(yù)定閾值[12-15].

第3步：S以(H(ID⊕z),n)的形式存有一個(gè)注冊(cè)表.在撤銷階段和密鑰協(xié)議認(rèn)證階段，S可以通過(guò)注冊(cè)表的H(ID⊕z)檢索出n.

第4步：在收到指令牌后，U將b,B′=B⊕H(ID⊕PW)存進(jìn)指令牌里.

3.2密鑰協(xié)議認(rèn)證階段

第1步：打開(kāi)指令牌的登陸申請(qǐng)軟件后，U輸入ID，PW并向傳感器導(dǎo)入生物特征B*.指令牌計(jì)算B=B′⊕H(ID⊕PW)并驗(yàn)證d(B,B*)?<τ.如果成立，生物特征通過(guò)指令牌的驗(yàn)證.否則指令牌終止會(huì)話.

最后S和U達(dá)成了一次會(huì)話密鑰SK=Hs(R4+s·P+H(ID⊕z)·P)用于接下來(lái)的會(huì)話.

3.3口令和生物特征更改階段

如果用戶想要更新口令PWnew和生物特征Bnew， 就需要調(diào)用這一階段來(lái)執(zhí)行.假設(shè)用戶想選取新口令Bnew和生物特征PWnew來(lái)替換原有的口令和生物特征.需要執(zhí)行以下幾步：

第1步：借用密鑰協(xié)議認(rèn)證階段的第1步來(lái)完成.

第2步：如果U被認(rèn)證通過(guò)，指令表允許U輸入新口令PWnew和生物特征Bnew. 接下來(lái)指令表計(jì)算

Anew=H(PWnew‖b)

vnew=v⊕H(ID‖A‖B)⊕

H(ID‖Anew‖Bnew)

B′new=Bnew⊕H(ID⊕PWnew)

mnew=m⊕H(ID‖B)⊕H(ID‖Bnew)

第3步：指令牌將v,B′,m更新為vnew,B′new,mnew.

3.4撤銷階段

如果指令牌丟失(被竊取)，U會(huì)向S請(qǐng)求撤銷該指令牌.在新的方案中，U應(yīng)該在一個(gè)安全的信道上向S發(fā)送ID，然后S計(jì)算H(ID⊕z)并檢驗(yàn)算得的值是否存在注冊(cè)表中.如果存在，S從注冊(cè)表里移除登記的(H(ID⊕z),n).如果U想要向S重新注冊(cè)成一合法用戶，只需再一次執(zhí)行注冊(cè)階段.

4　安全性分析

本文提出的新認(rèn)證方案的安全性是基于安全的哈希函數(shù)、橢圓曲線上的離散對(duì)數(shù)問(wèn)題以及橢圓曲線上的Diffie-Hellman密鑰交互協(xié)議問(wèn)題.在此，假設(shè)指令牌里的私密信息可被提取.

4.1重放攻擊和平行會(huì)話攻擊

由于在密鑰協(xié)議的認(rèn)證階段，新方案使用了隨機(jī)數(shù)，因此可以抵擋重放攻擊.盡管攻擊者A重放了消息{C,R1,R2}，但是不知道隨機(jī)數(shù)a的值也就無(wú)法計(jì)算出會(huì)話密鑰SK=Hs(R4+s·P+H(ID⊕z)·P).另一方面，提出的方案還能夠抵擋平行會(huì)話攻擊，即A通過(guò)重放之前從另一個(gè)會(huì)話被其攔截的消息進(jìn)而偽裝成一合法用戶.由于協(xié)議里使用了新鮮的隨機(jī)數(shù)，這就保證了每次的認(rèn)證消息都是不同的.從其他會(huì)話攔截到的消息再經(jīng)過(guò)攻擊者發(fā)送也會(huì)被認(rèn)為是無(wú)效的.所以新方案可以抵擋重放攻擊和平行會(huì)話攻擊.

4.2偽裝服務(wù)器攻擊

新方案中，由于不知道S的主密鑰k，與U相對(duì)應(yīng)的n，以及需要解決離散對(duì)數(shù)問(wèn)題而檢索出來(lái)的a，惡意的攻擊者并不能計(jì)算回復(fù)消息R3=eP,R5=Hs(s·a·e·P)，會(huì)話密鑰SK=Hs(R4+s·P+H(ID⊕z)·P.因此新方案能抵擋偽裝服務(wù)器攻擊.

4.3偽裝用戶攻擊

因?yàn)镽1和R2被安全的單向加密哈希函數(shù)和一些密鑰所保護(hù)，如果攻擊者不能偽造有效的R1和R2，任何關(guān)于合法用戶認(rèn)證消息的這些參數(shù)的修改都會(huì)被服務(wù)器S察覺(jué)出來(lái).既然攻擊者無(wú)法獲得與用戶U相對(duì)應(yīng)的ID,PW,B和n的值，他(她)就不能偽造有效的R1和R2.所以新方案能抵抗偽裝用戶攻擊.

4.4竊取指令牌攻擊

如果攻擊者A竊取了用戶的指令牌并提取出了里面的私密數(shù)據(jù){v,B′,m,b,Hs(·),d(·),τ,p,Ep(a,b),P,Q}，因?yàn)椴恢繳的私密信息ID,PW,B以及與U相對(duì)應(yīng)的n的值和S的主密鑰k，攻擊者并不能計(jì)算出{C,R1,R2}.因此攻擊者不能偽造有效的登陸請(qǐng)求消息，從而不能實(shí)行這一攻擊.

4.5離線口令猜測(cè)攻擊

假如A竊取U的指令牌并提取存儲(chǔ)在指令牌里所有的私密信息{v,B′,m,b,H(·)，Hs(·),d(·)，τ,p,Ep(a,b),P,Q}.根據(jù)

v=s⊕H(ID‖A‖B)

B′=B⊕H(ID⊕PW)

m=H(ID⊕z)⊕H(ID‖B)

在不知道私密信息s和生物特征B的條件下，用戶的身份和口令不會(huì)被猜測(cè)出來(lái).其次，除非A知道了s的值，否則A也不能使用R1=Hs(C·P+s·P)·P+a·P,R2=Hs(C·a·Q)來(lái)進(jìn)行猜測(cè).

此外，在新方案中，用戶的登陸請(qǐng)求消息{C,R1,R2}被很好地保護(hù)起來(lái)而且也沒(méi)涉及用戶的口令，這一設(shè)計(jì)就消除了口令和傳輸消息之間的聯(lián)系.在離線模型下，A不能用之前的合法請(qǐng)求消息來(lái)檢測(cè)猜測(cè)的口令是否正確.因此新方案可以抵抗離線口令猜測(cè)攻擊.

4.6用戶生物特征攻擊

在新方案里，采用B′=B⊕H(ID⊕PW)取代了生物特征模板.當(dāng)U想要與S進(jìn)行會(huì)話時(shí)，指令牌使用身份ID和口令PW來(lái)檢索出B.就像上面所分析的那樣，即使U的指令牌被A竊取(找到)，因?yàn)椴荒苷_的猜測(cè)出身份和口令，A不能獲得秘密參數(shù)B的值.新方案允許用戶根據(jù)不同的需要而產(chǎn)生不同的生物特征，同時(shí)也可以向不同的服務(wù)器注冊(cè)不同的生物特征信息.此外，生物特征在被收集的時(shí)候易于錯(cuò)亂，這種天然的特征在每次使用的時(shí)候也不可能恰好相同.因此每個(gè)注冊(cè)用戶的生物特征在不同的S上也是不同的.即使A竊取(找到)了同一用戶的兩個(gè)指令牌，他(她)所計(jì)算的(B1′⊕B2′)/2也明顯和向S注冊(cè)時(shí)候所用到的B是不同的.所以這一設(shè)計(jì)原則就防止了攻擊生物特征的可能.

4.7相互認(rèn)證和用戶匿名性

本文提出的應(yīng)用于SIP的新方案提供了相互認(rèn)證和實(shí)現(xiàn)用戶匿名性來(lái)保護(hù)用戶的隱私.在新方案中，使用橢圓曲線上的Diffie-Hellman密鑰交換協(xié)議來(lái)提供相互認(rèn)證，密鑰被新鮮的會(huì)話密鑰SK認(rèn)證.該顯示密鑰認(rèn)證被隱式密鑰認(rèn)證和擁有認(rèn)證密鑰所獲取.在3.2第4步和第5步，U和S都是驗(yàn)證收到消息的正確性來(lái)進(jìn)行相互認(rèn)證.此外A不能從攔截的消息{C,R1,R2}中獲取用戶的身份ID.新方案還使用C=H(ID⊕v)來(lái)實(shí)現(xiàn)用戶匿名性.

5　性能分析

本文通過(guò)比較作者提出的新方案和一些相關(guān)的應(yīng)用于SIP方案(Wu[4]，Yoon和Yoo[6]，Yoon和Yoo[8], Tang[9])的安全特征，驗(yàn)證本文改進(jìn)的方案具有更好的安全性.表1列出了在SIP認(rèn)證里重要標(biāo)準(zhǔn)的對(duì)比結(jié)果.各標(biāo)準(zhǔn)含義如下：F1：方案在客戶端和SIP服務(wù)器之間應(yīng)能實(shí)現(xiàn)安全的相互認(rèn)證和協(xié)議會(huì)話密鑰；F2：不需要安全敏感的驗(yàn)證表；F3：足夠安全抵擋各種攻擊；F4：口令可被客戶端自由選取和變更；F5：不需要時(shí)間同步且能避免時(shí)間延遲問(wèn)題；F6：生物特征數(shù)據(jù)要被安全的保護(hù)；F7：方案能實(shí)現(xiàn)匿名性.

表1各方案重要標(biāo)準(zhǔn)的相關(guān)比較

方案F1F2F3F4F5F6F7Tang等人[9]YesYesYesYesNoNoNoYoon和Yoo[6]YesYesNoNoYesNoNoYoon和Yoo[8]YesNoYesYesNoNoYesWu等人[4]YesNoNoYesYesNoNo新方案YesYesYesYesYesYesYes

6　結(jié)束語(yǔ)

通過(guò)對(duì)Yoon和Yoo的應(yīng)用于SIP的基于橢圓曲線三因子密鑰認(rèn)證方案的分析，發(fā)現(xiàn)該方案不能抵擋拒絕服務(wù)攻擊、偽造攻擊、中間人攻擊.此外Yoon和Yoo的方案在丟失指令牌后不能實(shí)現(xiàn)用戶匿名性，在沒(méi)有干預(yù)假定的情況下，生物特征模板很容易被竊取，表明該方案不能實(shí)現(xiàn)SIP三因子認(rèn)證方案的相互認(rèn)證.本文提出了一個(gè)安全、有效的三因子遠(yuǎn)程認(rèn)證新方案，并對(duì)新方案進(jìn)行了系統(tǒng)的安全性分析.分析表明，該新方案可抵抗各種不同攻擊.

[1]Khan M K, Kumari S. An improved biometrics-based remote user authentication scheme with user anonymity[J].Journal of Biomedicine and Biotechnology, 2013 (10)：1 010-1 014.

[2]Lin H, Wen F T, Du C X. An improved anonymous multi-server authenticated key agreement scheme using smart cards and biometrics[J].Wireless Personal Communications,2015,84(4):2 351-2 362.

[3]Wen F T, Susilo W, Yang G M. Analysis and improvement on a biometric-based remote user authentication scheme using smart cards[J]. Wireless Personal Communications,2015,80(4);1 747-1 760.

[4]Wu L，Zhang Y，Wang F．A new provably secure authentication and key agreement protocol for SIP using ECC[J]．Computer Standards and Interfaces, 2009，31(2)：286- 291.

[5]Yang C C，Wang R C，Liu W T．Secure authentication scheme for session initiation protocol[J]. Computer & Security，2005，24 (5)：381-386．

[6]Yoon E J，Yoo K Y，Kim C，et al．A secure and efficient SIP authentication scheme for converged VoIP networks [J]. Computer Communications ，2010，33 (14)：1 674-1 681．

[7]Liao Y P，Wang S S. A new secure password authenticated key agreement scheme for SIP using self-certified public keys on elliptic curves[J]．Computer Communications,2010，33(3)：372-380．

[8]Yoon E J，Yoo K Y. A three-factor authentic-cated key agreement scheme for SIP on elliptic curves[C]// Yang X. Proceedings of the 2010 Fourth International Conference on Network and System Security. Los Alamitos: IEEE Computer Society,2010:334-339.

[9]Tang H B，Liu X S．Cryptanalysis and improvement of TAKA(SIP) protocol[J]. Journal of Computer Applications，2012，32(2)：468-471．

[10]Kocher P，Jaffe J，Jun B．Differential power analysis[C]// Michael W．19th Annual International Cryptology Conference. Berlin: Springer, 1999:388-397.

[11]Messerges T S, Dabbish E A, Sloan R H. Examining smart-card security under the threat of power analysis attacks [J]. IEEE Transactions on Computers，2002，5(51)：541- 552.

[12]Lumini A，Nanni L. An improved Biohashing for human authentication[J]. Pattern Recognition，2007，40 (3)：1 057-1 065.

[13]Tulyakov S, Farooq F, Mansukhani P,et al. Symmetric hash functions for secure fingerprint biometric systems[J]. Pattern Recognition Letters，2007，28 (16)：2 427-2 436.

[14]Inuma M，Otsuka A，Imai H. Theoretical framework for constructing matching algorithms in biometric authentication systems[C]//Tistarelli M,Nixon M S．The 3rd IAPR/IEEE Intentional Conference on Biometrics. Berlin: Springer,2009: 806-815.

[15]Ziauddin S，Dailey M N．Robust iris verification for key management[J].Pattern Recognition Letters，2010，31(9)：926-935.

(編輯：郝秀清)

A robust three-factor authentication key agreement scheme for SIP

SHEN Gui-fang

(Shandong Zibo No.17 Middle School of Science, Zibo 255012, China)

YoonandYooproposedanewthree-factorauthenticationkeyagreementschemeforSIPbyusingellipticcurvecryptosystem(ECC).Theyclaimedthattheirschemeissecureagainstmanyattacks.However,theauthorfoundsthattheirschemecannotwithstandimpersonationattackandman-in-the-middleattack.InordertoremedytheabovedefectsinYoonandYoo′sscheme,weproposedasecureandeffectivethree-factorauthenticationschemeandanalyzedthesecurity.Wefoundthattheimprovedschemecanresisttheaboveattacksandachieveuseranonymity.

biometrics；token；authentication；password；SIP

2016-01-23

沈桂芳，女，zyf@sdut.edu.cn

1672-6197(2016)06-0074-05

TP309.7

A