三因子匿名認證與密鑰協(xié)商協(xié)議

張 平，賈亦巧，王杰昌，石念峰

（1.河南科技大學數(shù)學與統(tǒng)計學院，河南洛陽 471023；2.鄭州大學體育學院計算機教研室，鄭州 450044；3.東部戰(zhàn)區(qū)總醫(yī)院，南京 210002）

0 引言

作為信息安全的一個重要研究領(lǐng)域，認證與密鑰協(xié)商（Authenticated Key Agreement，AKA）協(xié)議可使通信方之間建立共享會話密鑰，并以此實現(xiàn)開放網(wǎng)絡(luò)中的安全通信［1］。隨著移動通信與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，現(xiàn)如今AKA 協(xié)議已被廣泛應(yīng)用于許多實際場景，如電子政務(wù)、社交通信以及金融交易等。但由于通信信道中仍存在各類非法攻擊，因此，如何確?？蛻襞c服務(wù)提供方之間進行可靠的雙向認證并建立安全會話已成為亟須解決的問題。

Lamport［2］于1981 年最先設(shè)計了一種基于口令的遠程客戶身份認證協(xié)議，該協(xié)議具有較強的實用性，但存在被盜校驗值攻擊。因而，一些研究者提出了基于口令的能抵御此類攻擊的認證協(xié)議［3-4］，這些協(xié)議雖然便于管理，但存在熵值較小、易遭受字典攻擊［5］等安全弊端。為解決單一口令所造成的安全性問題，研究者們又設(shè)計了各種基于口令和智能卡的雙因子認證協(xié)議［6-10］，這些協(xié)議提升了認證過程的安全性，但因口令易被遺忘、泄露，智能卡易被遺失、竊取，僅將口令與智能卡相結(jié)合的認證方式仍存在一定安全風險。

隨著將穩(wěn)定的、關(guān)聯(lián)度大且便于提取的生物特征作為認證要素的生物認證技術(shù)的蓬勃發(fā)展［8，11-15］，關(guān)于結(jié)合了生物特征、口令以及智能卡的三因子遠程認證協(xié)議的研究越來越多，應(yīng)用也更為廣泛。

2014年，Chuang 等［16］提出了一種僅利用hash 函數(shù)的匿名的三因子認證協(xié)議，但被Mishra 等［17］指出存在無法抵抗智能卡丟失攻擊和假冒攻擊等安全問題，且匿名性不夠完善；2016年，王瑞兵等［18］提出了一種新的匿名認證協(xié)議，并聲稱能夠抵抗各種攻擊；2017 年，劉鑫玥等［14］指出文獻［18］中的協(xié)議不能抵御惡意服務(wù)器攻擊、平行會話攻擊和重放攻擊，提出了一個更安全的協(xié)議，但卻失去了匿名性；此外，Chaudhry 等［19］提出了將橢圓曲線與生物特征相結(jié)合，并在效率上作出一定改進的協(xié)議。但夏鵬真等［20］指出文獻［19］中的協(xié)議存在無法抵抗假冒攻擊等問題，同時提出了優(yōu)化方案；2018 年，殷秋實等［21］分析了文獻［20］中的協(xié)議所存在的安全性問題，并在其基礎(chǔ)上提出了一個更高效的協(xié)議，但無法避免口令猜測攻擊；2019 年，杜浩瑞等［22］基于RSA（Rivest-Shamir-Adleman）算法設(shè)計了改進的三因子認證協(xié)議。

鑒于上述協(xié)議存在的潛在攻擊與安全漏洞，本文嘗試設(shè)計一種新的三因子匿名認證與密鑰協(xié)商協(xié)議，便于進行雙方認證，并增加口令與生物特征更新階段以及智能卡更新分配階段。通過合理地利用橢圓曲線上的計算性Diffie-Hellman（Computational Diffie-Hellman，CDH）假設(shè)［8］，在隨機預(yù)言機模型下證明了所提協(xié)議具有前向安全性、抗重放攻擊、抗已知密鑰攻擊、抗口令猜測攻擊、抵抗內(nèi)部攻擊、抗生物特征丟失攻擊、抗智能卡丟失攻擊、抗中間人攻擊、抗平行會話攻擊等安全性質(zhì)。最后，對協(xié)議進行了安全性和計算效率分析，相較于部分現(xiàn)有協(xié)議，所提協(xié)議具有良好的安全屬性以及較高的通信效率與實用性，且滿足客戶匿名性、客戶口令自由更新等屬性。

1 背景知識

1.1 橢圓曲線上的CDH假設(shè)

對于以橢圓曲線E上的點P為生成元所構(gòu)成的q階循環(huán)群G，以及任意未知 的a，b∈（q為一大素數(shù)），已知P，aP，bP∈G，任意多項式時間內(nèi)的敵手均無法以不可忽略的概率計算出abP。

1.2 安全模型

本文基于隨機預(yù)言機模型，結(jié)合智能卡與生物特征進行了安全性的形式化分析，模型包含合法客戶C、服務(wù)提供方S與可控制通信信道的敵手A。每個合法客戶都擁有其唯一的智能卡、口令與生物特征。敵手通過對客戶與服務(wù)提供方之間的協(xié)議會話實例進行查詢，進而試圖獲取會話密鑰，具體模型如下：

1.3 符號說明

本文主要使用的符號的含義如表1所示。

表1 主要符號說明Tab.1 Description of main symbols

2 匿名認證與密鑰協(xié)商協(xié)議

匿名認證與密鑰協(xié)商協(xié)議（協(xié)議Q）包括初始化、注冊、認證協(xié)商、口令與生物特征更新以及智能卡更新分配這5 個階段，其中所涉及的部分符號含義見表1。

2.1 初始化階段

S定義q階循環(huán)群G和一個安全且抗碰撞的單向hash 函數(shù)H：{0，1}?→{0，1}l，隨機選取私鑰s∈，并計算公鑰P0=sP。

2.2 注冊階段

注冊階段的流程如圖1所示，具體步驟如下：

圖1 注冊階段Fig.1 Registration phase

2.3 認證協(xié)商階段

認證協(xié)商階段的流程如圖2所示，具體步驟如下：

圖2 認證協(xié)商階段Fig.2 Authentication and agreement phase

2.4 口令與生物特征更新階段

在口令和生物特征更新階段，合法客戶可以在不與服務(wù)提供方通信的情況下改變其口令和生物特征。具體步驟如下：

2.5 智能卡的更新分配階段

本文協(xié)議中，合法客戶C有權(quán)在智能卡中增添認證所需信息。

客戶C收到智能卡后再次秘密保存新的隨機數(shù)rˉ于智能卡中，至此，智能卡完成一次更新分配。

3 協(xié)議分析

3.1 協(xié)議的安全性證明

定理1若H：{0，1}?→{0，1}l為隨機預(yù)言機，在橢圓曲線上的CDH 假設(shè)成立的條件下，本文所提協(xié)議Q 滿足安全模型中的AKA 安全定義。進一步說，假設(shè)客戶C的口令空間大小為|N|，敵手A在概率多項式時間t內(nèi)最多進行qE次Execute查詢、qSend次Send查詢、qH次H(·)查詢、qj次會話，則有：

證明 模擬器T用于模擬運行協(xié)議Q 并回答敵手A的詢問，協(xié)議的安全性證明通過T與A之間的一系列游戲完成［1］。定義從G0到G3的4 個游戲，并以Succi表示A成功區(qū)分Gi中Test 查詢所返回的數(shù)是隨機數(shù)或真實的會話密鑰這一事件，下面進行具體證明。

1）游戲G0。真實的游戲，由語義安全的定義可知：

2）游戲G1。T模擬運行協(xié)議，維護初始為空的列表LH用來保存對預(yù)言機的詢問以及回答。易知，在隨機預(yù)言機模型下G1與G0不可區(qū)分，即有：

3）游戲G2。T仍如游戲G1中一樣模擬運行協(xié)議，只是排除hash 函數(shù)之間的碰撞以及不同協(xié)議實例之間選取相同參數(shù)運行協(xié)議所發(fā)生的碰撞。利用生日悖論進行約束，可得：

4）游戲G3。假設(shè)服務(wù)提供方S不可攻陷，即私鑰s僅S可知，則依據(jù)本文協(xié)議，客戶C的口令也僅自己可知，依據(jù)抗碰撞的單向hash 函數(shù)的性質(zhì)，即便CPWC在認證協(xié)商過程中被敵手截獲，A仍難以獲得PWC。因此，A只能在客戶生物特征信息未知或已知的情況下嘗試獲取會話密鑰。

情況1 客戶生物特征信息未知。在此情況下，T依照安全模型模擬協(xié)議運行并回答敵手A的相關(guān)查詢。具體過程如下：

1）T進行初始化，從qj個會話中任選一個作為測試會話，并嵌入CDH 二元組(xP，yP)到測試會話中，以xP和yP代替測試會話中的公鑰P0和共享秘密R1。若A能以不可忽略的優(yōu)勢正確猜測出測試會話所返回的b′，則T可利用A求出xyP來破解橢圓曲線上的CDH問題。

2）對于非測試會話，無論A進行何種查詢，T均可正確地模擬協(xié)議運行。

①當A選擇會話進行Execute()或Send(，M1)查詢時，因S的私鑰未知，故無法直接計算共享秘密R以及臨時密鑰V進行回答。此時，T先檢查是否存在(U，?，H(U‖?))∈LH。若存在，則令H(U‖?)作為V的值，依照協(xié)議運行并返回M2給A；若不存在，T選取隨機數(shù)h∈，再令h=H(U‖⊥)作為V的值模擬協(xié)議運行，并存儲該H(·)查詢及其應(yīng)答h于LH。

②若A冒充S對C的協(xié)議實例進行Execute(ΠnS)或Send(，M2)查詢，則T可采取同樣方式進行回答，從而可得V并正確模擬協(xié)議運行。

③當A進行Reveal查詢時，若協(xié)議已獲得會話密鑰SK，T直接返回相應(yīng)的值；若協(xié)議未獲得會話密鑰SK，T返回⊥。

3）對于測試會話，當A選擇測試會話進行Test查詢時，T仍可按協(xié)議運行得出實例，只是在回答C的Test 查詢時，返回隨機數(shù)作為會話密鑰。此時，若A能確定返回的值是真實的會話密鑰或隨機數(shù)，則其必已獲得真實的會話密鑰SK=H(CIDC‖IDS‖abP‖V)，即A進行了相應(yīng)的H(·)查詢，則T便可查看hash 列表LH得到對應(yīng)的V=H(U‖xyP)，從而可以再次查詢獲得xyP，也就解決了橢圓曲線上的CDH問題。

設(shè)A正好選擇T選擇的會話作為測試會話，并以相應(yīng)會話作為測試會話的匹配會話，則此概率為。因此，在情況1中A破解協(xié)議Q的AKA安全性質(zhì)的概率可被限定為：

情況2 客戶生物特征已知。在此情況下，A對C進行了Biometric Reveal(IDC，BC)查詢，獲得了生物特征信息BC。

a）若A從口令空間中選取PWC′作為C的真實口令在線與S進行交互。此時，若A正確地猜測出IDC與PWC并通過查詢偽裝成客戶C進行認證，則可計算出真實的會話密鑰并破解協(xié)議Q的AKA安全性質(zhì)，其概率可被限定為：

b）若A通過H(·)查詢與Smartcard Reveal()IDC，smart card查詢分別獲得W與智能卡信息MC、r，并通過驗證正確猜測出IDC與PWC，則A必定可以計算出V，從而T可以通過查詢獲得xyP，進而解決橢圓曲線上的CDH 問題。此時，A破解協(xié)議Q的AKA安全性質(zhì)的概率被限定為：

由上述分析可得，除非破解CDH 問題，否則游戲G3與G2不可區(qū)分。因此：

此外，對于所有消息均隨機的協(xié)議，敵手沒有通過信息交互便成功猜測出測試會話所返回的數(shù)是真實會話密鑰還是隨機數(shù)的概率為：

因此，綜合式（2）、（3）、（7）、（8），A破解協(xié)議Q 的AKA 安全性質(zhì)的概率為：

因橢圓曲線上的CDH 假設(shè)成立，即有AdvCDH(t′)可忽略。故由安全模型中的定義3可知，本文所提協(xié)議是語義安全的。證畢。

下面，本文對服務(wù)提供方S可被攻陷的情況進行安全性分析：

1）S被攻陷后，A將獲得其長期私鑰s。由會話密鑰SK=H(CIDC‖IDS‖abP‖V)的構(gòu)成可知，此時A能計算出V，但不能計算出每次會話都更新的密鑰協(xié)商值abP，故A仍需解決橢圓曲線上的CDH 問題。由此可得，A無法獲得已結(jié)束的會話密鑰，從而說明已結(jié)束的會話仍是安全的，協(xié)議具有前向安全性。

2）由抗碰撞的單向hash 函數(shù)的性質(zhì)可知，即使S被攻陷，A也難以獲得PWC，即保證了客戶口令安全。

3.2 協(xié)議的性能分析

從計算消耗和安全性兩方面對所提協(xié)議性能進行分析：

1）計算消耗方面。

主要針對認證密鑰協(xié)商階段同文獻［8，21-22］中的三因子認證與密鑰協(xié)商協(xié)議進行比較，為了使對比結(jié)果更準確，首先定義了一些符號及其單次計算時間，具體如表2 所示，此時間數(shù)據(jù)來自文獻［25］。

由表3 可知，本文協(xié)議與文獻［8］中的協(xié)議相比，未使用MAC（Message Authentication Codes）算 法（MAC：{0，1}l×{0，1}?→{0，1}l上的函數(shù)，即輸入密鑰k∈{0，1}l與任意長的待認證的消息m∈{0，1}?，輸出t=MACk(m)），服務(wù)提供方也減少了一次hash函數(shù)的運算，故計算量相對較低；結(jié)合表2的單次計算時間可知，本文協(xié)議的計算耗時和文獻［21］協(xié)議相近，比文獻［22］協(xié)議少。此外，考慮信息交互次數(shù)，即通信開銷方面，本文協(xié)議也具有一定優(yōu)勢。

表2 符號定義及其單次計算時間Tab.2 Symbol definition and its single calculation time

忽略不計輕量級⊕、‖運算，則對比結(jié)果如表3所示。

表3 不同協(xié)議計算性能對比Tab.3 Computational performance comparison of different protocols

2）安全性方面。

首先，說明認證與密鑰協(xié)商協(xié)議在安全性方面所應(yīng)具備的一些安全屬性（雙向認證、安全的密鑰協(xié)商、抗中間人攻擊、抗重放攻擊、抗已知密鑰攻擊、抗平行會話攻擊、抗智能卡丟失攻擊、抗生物特征丟失攻擊、抗口令猜測攻擊、前向安全性）已包含在本文所提出的安全模型當中，也即：在該模型下證明滿足安全性定義的協(xié)議具有上述安全屬性［26］。

其次，由于客戶可以申請對智能卡進行更新分配，故協(xié)議Q可以抵抗內(nèi)部攻擊；由對服務(wù)提供方S被攻陷的情況的安全性分析可知，協(xié)議Q可抵御惡意服務(wù)器攻擊，同時保證了口令安全；由口令與生物特征更新階段的設(shè)定可知，協(xié)議Q具有口令自由更新的屬性。

此外，由于公開信道上交互的信息均以隨機化匿名信息CIDC代替客戶的明文信息IDC，故由抗碰撞的單向hash 函數(shù)的性質(zhì)可知，即使A獲得了智能卡信息也無法求得IDC。在C與S的認證過程中，S需利用私鑰s，通過一系列計算，才能從數(shù)據(jù)庫中檢索出對應(yīng)客戶，進而找到IDC，這有效地保護了客戶的匿名性與隱私性。

通過證明分析可得，相應(yīng)的對比結(jié)果如表4所示。

表4 不同協(xié)議安全性能對比Tab.4 Safety performance comparison of different protocols

文獻［8］協(xié)議未設(shè)置口令更新修改階段，故不具有口令自由更新的屬性，且協(xié)議中客戶的身份標識IDU是在公共信道中明文傳輸?shù)模虼丝杀粩呈纸孬@傳輸中的消息并得知客戶身份，無法保證匿名性；由文獻［27］可知，文獻［21］協(xié)議無法避免口令猜測攻擊；文獻［22］協(xié)議中客戶也可對智能卡信息進行修改，但未設(shè)置智能卡丟失后的更新階段，因而敵手可以竊取智能卡，并篡改認證所需的隨機數(shù)信息，在這樣的修改下，口令更改階段也自然無法與前面的登錄認證階段相對應(yīng)，根本無法按照設(shè)定步驟執(zhí)行，故口令無法得到自由更新。因而，相比之下，本文協(xié)議擁有更強的安全性，在功能性方面也更加實用。

綜合上述分析可得，本文協(xié)議相較對比協(xié)議不僅在安全性能方面有所提升，也在計算性能方面具有一定優(yōu)勢。

4 結(jié)語

通過對三因子認證與密鑰協(xié)商的相關(guān)研究工作進行分析，為解決常見的安全問題，結(jié)合智能卡與口令、生物認證技術(shù)等方法，本文設(shè)計了一種三因子匿名認證與密鑰協(xié)商協(xié)議，并在隨機預(yù)言機模型下基于橢圓曲線上的CDH 假設(shè)對協(xié)議的安全性進行了證明。綜合性能分析表明，本文協(xié)議不僅具有較高的計算效率與通信效率，還提升了認證協(xié)商過程的安全性，在信息管理等領(lǐng)域具有應(yīng)用可靠性。

此外，由于傳統(tǒng)的時間戳技術(shù)在界定時限方面受較多因素影響，故方案的局限性在于可能要求應(yīng)用設(shè)備具有較強的處理能力。如何在滿足基本安全特性的前提下進一步降低協(xié)議的空間和時間復(fù)雜度，并考慮將所提協(xié)議應(yīng)用到更多環(huán)境，例如物聯(lián)網(wǎng)、云計算等是進一步仍待研究的問題。