基于口令的认证密钥协商协议的安全分析与改进
2010年3月Journal on Communications March 2010 第31卷第3期通信学报V ol.31No.3基于口令的认证密钥协商协议的安全分析与改进
舒剑1,2,许春香1
(1. 电子科技大学计算机科学与工程学院,四川成都 611731;2. 江西财经大学电子商务系,江西南昌 330013)
摘 要:对基于口令的标准模型下可证明安全的认证密钥协商协议进行安全分析,指出该协议易受反射攻击。同时给出了一个改进方案,该方案不仅弥补了原方案的缺陷,而且改善了协议的性能。最后,基于DDH假设,在标准模型下证明了协议的安全性。结果表明,改进后的协议还具有完美前向安全特性。
关键词:基于口令;反射攻击;标准模型;可证安全
中图分类号:TN918.1 文献标识码:A 文章编号:1000-436X(2010)03-0051-06
Analysis and improvement of a password-based
authenticated key exchange protocol
SHU Jian1,2, XU Chun-xiang1
(1. School of Computer Science and Engineering, University of Electronic Science and Technology of China, Chengdu 611731, China;
2. Department of Electronic Commercial, University of Jiangxi Financial Economics, Nanchan 330013, China)
Abstract: The security of a recently proposed password-based authenticated key exchange protocol was analyzed. Al-though it was provably secure in the standard model, it was vulnerable to reflection attacks. A modify scheme was pro-posed, which eliminated the defect of original scheme and improved the efficiency of the protocol. The security of the proposed scheme had been proven in the standard model under DDH assumption. The results show that it provides per-fect forward secrecy.
Key words: password-based; reflection attacks; standard model; provably secure
1引言
认证密钥协商协议是让用户在开放网络通过交互,建立一个共享的会话密钥,从而实现开放网络中的安全通信。较早的认证密钥协商协议是通信双方借助持有的高熵秘密(如数字签名的私钥)生成会话密钥,然后使用会话密钥进行加密或认证。但是这些高熵秘密不便于保存和记忆,有时还需要可信第三方的参与。让用户共享一个低熵的口令而生成高熵的会话密钥在实际环境中有广泛的应用,但这方面的研究相对较少。由于口令具有长度短的特性,攻击者可能在离线状态下进行穷举字典攻击。
Bellovin和Merritt[1]首先提出能抵抗字典攻击的基于口令的两方密钥协商协议,随后许多相关工作[2~9]对如何利用口令生成会话密钥进行了研究。文献[1~9]都是在随机预言模型下证明协议的安全性。随机预言模型自从1993年被Bellare和Rogaway[10]提出以来,在密码学的可证安全领域得到广泛的应用。然而,随机预言模型下的安全并不代表真实世界的安全,因为它依赖现实世界无法实现的随机预言假设。另一方面,不需要随机预言假设的证明(即在标准模型下的证明)就能够清楚地说明,除非其
收稿日期:2009-04-17;修回日期:2010-01-15
基金项目:国家高技术研究发展计划(“863”计划)基金资助项目(2009AA012415)
Foundation Item: The National High Technology Research and Development Program of China (863 Program) (2009AA012415)
·52· 通 信 学 报 第31卷
所基于的底层数学难题被破解,否则一个可证安全的方案不可能被攻破。因此,在标准模型下设计基于口令的认证协议更具有实际意义。
基于Cramer-Shoup [11]提出的CCA2(chosen ci-phertext attack-2)安全的公钥加密体制,Katz, Ostovsky 和Yung [12]首先提出了一种标准模型下可证安全的基于口令认证密钥协商协议。Gennaro 和Lindell [13]给出了KOY 协议的抽象框架。他们的协议计算复杂度很高,并且协议只能实现单向认证。为降低计算复杂度和实现双向认证,Jiang 和Gong [14]提出了一种改进的标准模型下基于口令认证密钥协商协议。
通过引入伪随机函数集和通信双方均使用ElGamal 加密方案,殷胤等[15]提出了高效的基于口令认证密钥协商协议,该协议极大降低了计算复杂度。但是,协议对发起方(客户)要进行2次认证,并且要求服务器方拥有私钥,因而该协议不适合只共享相同口令的双方进行密钥协商。另外,由于通信双方均使用ElGamal 加密方案并且协议设计不合理,笔者发现该协议不能抵抗反射攻击或变型的反射攻击。
本文提出一种新的基于口令认证密钥协商协议。协议的发起方和响应方均使用ElGamal 加密方案。与文献[15]协议相比,计算机复杂度相当并且不需要响应方拥有私钥。新协议实现了双向认证,并在标准模型下基于DDH 假设给出了安全性证明。
2 背景知识
2.1 DDH(decisional Diffie-Hellman)假设
设大素数,p q 满足(1)q p ?, 且q G 是乘法群*p Z 的一个阶为q 的子群,g 是群q G 的一个生成元,称群q G 满足DDH 假设,如果对于任意,q x y Z ∈,给定,x y g g ,任何概率多项式时间算法D 都不能区分(,,,)x y xy g g g g 和(,,,)x y g g g r , r 是一个随机数,即
ddh ,()|pr[(,,,)1]pr[(,,
x y xy x g G Adv D D g g g g D g g ==?,)1]|()y g r n ε=<。其中()ε?是一个可忽略函
数;ddh ddh
,,max (())g G D g G Adv Adv D =表示对所有攻击者D ,
ddh ,()g G Adv D 可能取得的最大值。
2.2 伪随机函数集
一个函数集{}n n N F F ∈=是伪随机的,如果对于每个概率多项式算法M 和所有足够大的n ,满足()|pr[(1)1]pr[(1)1]|()n n F H F n n Adv M M M n ε==?=<。
其中:{}n n N H H ∈=是一个均匀分布的函数集; ()ε?是一个可忽略的函数; max {()}F F M Adv Adv M =表示对所有多项式算法M , ()F Adv M 可能取得的最大值。
2.3 形式化安全模型
本节简要回顾Bellare 等在文献[5]中定义的基于口令密钥协商协议的形式化安全模型。模型包括一个协议参与者集合U ,每个参与者被模拟为一组预言机。参与者拥有一个共同的口令,预言机,n I J ∏指参与者I 与J 的第n 个实例。模型中还包括一个主动攻击者(用A 表示),它被定义为一个概率多项式时间图灵机。模型将攻击者的能力抽象为对若干个预言机的查询,并且这些查询可以是无序和自适应的。
定义1 会话标识符(SID):预言机,n I J ∏发送和接收的所有消息的串联。
定义2 搭档预言机(PID):若2个预言机在同意(accept)状态时有相同的会话标识符SID, 则称2个预言机互为搭档。
Execute 查询:这种查询模拟被动攻击。攻击
者A通过查询execute(,,,n s
I J J I ∏∏)获得搭档预言机
,n I J ∏和,s J I ∏执行过程中的所有交互信息。
Send 查询:这种查询模拟主动攻击。攻击者A向预言机,n I J ∏发送伪造消息,若预言机收到的消息为空(null),表示攻击者让预言机发起一个新的会话。查询返回消息为接收到假冒消息后,预言机按照协议规则的回复。
Reveal 查询:这种查询模拟预言机,n I J ∏的会话密钥泄漏,返回值为i sk 。如果预言机还不是“已接受”(accepted),则返回一个符号⊥表示终止。执行了reveal 查询的实例状态是打开的(opened)。
Corrupt 查询:这种查询模拟前向安全性。要求被询问的预言机返回它拥有的长期私钥(口令)。回答过corrupt 查询的预言机的状态称为“已腐化”(corrupted)。
Test 查询:这种查询描述协议的语义安全性。它只能运行一次,并且只能对一个“新鲜”的预言机进行。当攻击者A 进行Test 查询时,协议随机选择一个比特{0,1}b ∈,如果0b =,则返回i sk ,否则,返回一个随机数r ,攻击者根据返回值以及利用其他查询获得的信息,猜测b 的值为'b 。
第3期 舒剑等:基于口令的认证密钥协商协议的安全分析与改进 ·53·
如果在Test 查询中,攻击者成功猜对b 的值,则称攻击者成功。定义攻击者A 的成功概率为pr[]S 。
pr[]pr[']S b b ==,pake
,2pr[]1g G Adv S =?
定义pake
,g G Adv 为所有攻击者A 可能取到的
pake ,()g G Adv A 的最大值,则称协议是安全的,如果pake ,(/)g G s Adv O q N ε<+。其中:s q 表示Send 查询的
次数;N 表示所有口令的总数;ε是一个可忽略函数;(/)s O q N 保证每次Send 查询,攻击者A最多排除常数个可能的口令。
定义3 新鲜预言机:预言机,n I J ∏在同意状态下是未打开的,其搭档预言机也未打开,并且其搭档预言机没有被腐化,则预言机,n I J ∏是新鲜的。
3 殷胤等人的协议及其攻击
本节对殷胤等[15]提出的高效的基于口令认证密钥协商协议进行分析。协议描述如图1所示。其中,p q 是大素数且满足|(1)q p ?;q G 是乘法群
*P Z 的阶为q 的子群;,g h 是q G 的2个生成元;u 是
服务器拥有的私钥;
F 是一个伪随机函数集;f 是从口令空间到P Z 的映射;pw 是客户和服务器共
享的口令。
公共信息:,,,,,p q g h F f
客户 服务器 ,u h g u =
P x Z ← x A g = ()
x
f pw B h g
= ||client A B ()/u f pw B A g =验证
,P y r Z ← r C g = ()rx f pw y D g g +=
xy g σ=
|||s server C D ak (2)s ak F σ=
()/f pw y x g D C += ()()/y f pw y f pw g g g +=
xy g σ=
(2)s ak F σ=验证 (1)sk F σ=
(3)c ak F σ= |c client ak (3)c ak F σ=验证
(1)sk F σ=
图1 标准模型下可证安全的EKE 协议 协议双方均使用ElGamal 加密机制。由于ElGamal 加密机制具有抵抗CPA(chosen plaintext attack)特性,被动攻击无法获得任何有效信息。
假设攻击者伪装成服务器。由于客户发送的信息()()x f pw ux f pw B h g g g ==和服务器发送的信息()rx f pw y D g g +=相似,攻击者可伪装成服务器实施变
形的反射攻击。攻击过程如下。
攻击者截取客户发送的有效信息|x A g B == ()ux f pw g g ,它随机选择一个数P r Z ∈,发送信息
()|u r ux f pw r C h g D B g g g +===?=。客户按协议规则
求出xr g σ=。由于攻击者知道x A g =和P r Z ∈,也能算出xr g σ=。
在上面的攻击中,攻击者发动有效攻击时消息
C 必须为u h g =。即使对协议作一定的修改,使客户对消息C 进行验证,如果C h =,则终止协议。攻击者仍可以利用消息的自规约特性,伪装成服务器实施有效攻击。攻击过程如下。
攻击者截取客户发送的有效信息|x A g B == ()ux f pw g g ,它随机选择2个数,P r v Z ∈,发送信息
|v u v v r C h g g D B A g +=?==??()u v x g +=()f pw r g +。客
户按协议规则求出xr g σ=。由于攻击者知道x A g =和P r Z ∈,也能算出xr g σ=,同样发生有效攻击。
4 新的基于口令认证密钥协商协议
本节提出一种新的标准模型下基于口令认证
密钥协商协议,协议描述如图2所示。,p q 是大素
数且满足|(1)q p ?;q G 是乘法群*
P Z 的阶为q 的子
群;,g h 是q G 的2个生成元;F 是一个伪随机函数集;pw 是客户和服务器共享的口令。
公共信息:,,,,p q g h F
客户 服务器
x ←q Z
x A g =
x pw B h g = ||client A B /pw C B g =
12,λλ←
q Z
12
D g h λλ=
1
2
()()A C λλσ= (3)r F σ=
|||server D E T r E g =
x D σ= r T h C = (3)r F σ= r E g =验证 r x T h h =验证
(2)sk F σ= (1)c ak F σ=验证(1)c ak F σ= |c client ak (2)sk F σ=
图2 标准模型下可证安全的基于口令认证密钥协商协议
协议发起方和响应方均采用ElGamal 加密机制。新协议与文献[15]协议相比,计算复杂度相当并且不需要对协议的发起方进行2次认证。由于协议响应方不需要保存私钥,该协议也适用于共享相同口令的2个客户进行密钥协商。
·54· 通 信 学 报 第31卷
5 协议的安全性证明
证明方法是把协议执行看作仿真器与攻击者之间的游戏。仿真器选择2个大素数,p q 且满足|(1)q p ?,然后选择,q q g G u Z ←←和一个伪随机函数F 并计算u h g =。随后公布公钥参数,,,,p q g h F 并像实际协议一样给通信实体分配口令。
本文设计一系列的实验(01,,ΓΓ"),在所有的实验中,预言机按协议的描述回答攻击者的查询。
实验0Γ模拟的是攻击者攻击实际协议,
以后的实验中逐步修改预言机的回答方式,使攻击者在2个相
邻实验中成功概率的差值可以忽略。pr[]i S 表示攻击者在实验ιΓ中成功的概率。
定理1 Γ是图2描述的协议;N 表示所有可能的口令;F 是(){0,1}{0,1}l n n →(lb n q =)的伪随机函数集;,p q 是大素数且满足|(1)q p ?;q G 是乘法
群*
P Z 的阶为q 的子群;,g h 是q G 的生成元;e s r
,,q q q 分别表示攻击者进行Execute 查询、Send 查询、Reveal 查询的次数。则,
pake ddh ,s e s ,e s 4/4()2()F A g G Adv q N q q Adv q q Adv Γ+++++≤
e r s r 2min(,)2min(,)F F
q q Adv q q Adv +
实验0Γ:这是实际协议攻击实验。事件0S 表示攻击者成功猜出Test 查询中预言机所使用的比特b ,则可以得到:
pake ,02pr[]1A Adv S Γ=?
实验1Γ:在实验1Γ中,当攻击者进行Execute 查询时,用随机数r 替代消息B 。基于DDH 假设,
运用混合证明(hybrid arguments)技巧,可得:
ddh
10e ,|pr[]pr[]|g G S S q Adv ?≤
实验2Γ:2Γ与1Γ的区别在于攻击者进行
Execute 查询时, ,c ak r 替换为不同的随机数。
注意,在1Γ中,消息|A B 不再是pw
g
的ElGamal
加密。不失一般性,消息可为|x x pc A g B h g == ()pc pw ≠。
服务器计算2()pc pw x D g λ?=12()()A C λλσ= 12()()x x pc pw g h g λλ?=。由于2λ的随机性和独立性,σ在q G 中也是随机均匀的。利用伪随机函数集定义,
运用混合证明技巧,可得:
21e |pr[]pr[]|F S S q Adv ?≤
实验3Γ:在实验3Γ中,攻击者进行Execute 查询时,用随机数r 替代sk 。
与实验2Γ中的分析类似,得出σ是随机均匀
的。如果攻击者不进行Reveal 查询,则在3Γ和2Γ中获得的信息是相同的。在2Γ中,攻击者得到sk 就等价于对伪随机函数集n F 进行了一次查询;而在3Γ中,攻击者得到r 就等价于对均匀分布函数集n H 进行了一次查询。根据伪随机函数集的定义,没有算法可以有效区分伪随机函数集和均匀分布函数集,所以,
32e r |pr[]pr[]|min(,)F S S q q Adv ?≤
实验4Γ:4Γ与3Γ的区别是,当攻击者进行
Execute 查询时,C 替换为随机数,即T 替换为随机数。运用混合证明技巧,可得:
ddh
43e ,|pr[]pr[]|g G S S q Adv ?≤
实验5Γ:下面开始考虑Send 查询。当攻击者
进行Send(|||server D E T )查询时,仿真器按如下方式验证:仿真器验证//pw u B g T E =(因为仿真器知道u 的值)。如果验证通过,则判定攻击者成功,否则终止协议。攻击者除非猜对了口令的值,才能通过验证。
54s |pr[]pr[]|/S S q N ?≤
实验6Γ:6Γ与5Γ的区别是当攻击者进行
Send(,null ?)查询时,用随机数r 替代消息B 。 为了使攻击者的视角保持一致性,需要处理其他的预言机查询。Send(||client A B )和Send
(|c client ak )查询保持不变。
由于此时消息|A B 不存在让协议正常执行的x ,Send(|||server D E T )查询修改如下。
1) 如果查询消息是预言机产生的,
仿真器不进行验证,用Send(||client A B )查询中的σ计算(1)c ak F σ=,然后输出c ak 并计算(2)sk F σ=。当B 为随机数时,如果消息|A B 是pw g 的ElGamal 加密(极小概率),2个匹配预言机计算的σ值是相等的。仿真器的仿真实验是完美的。
2) 如果查询消息是攻击者产生的,
仿真器按实验5Γ给出响应。如果攻击者有一定的优势获得会话密钥,则可以利用混合证明技巧,直接归约为解决DDH 问题。
ddh
65s ,|pr[]pr[]|g G S S q Adv ?≤
实验7Γ:当攻击者进行Send(||client A B )查询时,如果u pw B A g =(仿真器知道u ),则判定攻击者成功,并终止协议。
第3期 舒剑等:基于口令的认证密钥协商协议的安全分析与改进 ·55·
由于攻击者之前通过Execute 查询和Send 查询得到的消息|A B 不是pw g 的ElGamal 加密(B 是随
机数)。攻击者成功是因为猜对了口令的值,可得:
76s |pr[]pr[]|/S S q N ?≤
实验8Γ:8Γ与7Γ的区别是,当攻击者进行Send(||client A B )查询时,σ替换为随机数r 。
在8Γ中,说明攻击者没有在Send(||client A B )查询时成功(否则攻击者已经在7Γ中成功,协议已终止)。这时,消息|A B 不是pw g 的ElGamal 加密。与实验2Γ的分析类似,σ是随机均匀分布的。则,
87pr[]pr[]S S =
实验9Γ:9Γ与8Γ的区别在于攻击者进行Send 查询时,,c ak r 替换为不同的随机数。
由于消息|A B 不是pw g 的ElGamal 加密,σ是随机均匀分布的。利用伪随机函数的定义,运用混合证明技巧,可得:
98s |pr[]pr[]|F S S q Adv ?≤
实验10Γ: 攻击者进行Send 查询时, sk 替换为随机数。
与实验9Γ中的分析类似,得出σ是随机均匀的。如果攻击者不进行Reveal 查询,则在10Γ和9Γ中获得的信息是相同的。所以,
109s r |pr[]pr[]|min(,)F S S q q Adv ?≤
实验11Γ: 11Γ与10Γ的区别在于攻击者进行
Send(||client A B )查询时,消息T 替换为随机数。基于DDH 假设,运用混合证明技巧,可得:
ddh
1110s ,|pr[]pr[]|g G S S q Adv ?≤
在11Γ中,由于攻击者无法获得关于pw 的任何
信息(与pw 相关的信息,B T 替换为随机数后,攻击者感觉不到任何变化),从而无法获得σ的任何信息,说明在Test 查询中,攻击者无法区分sk 和随机数。
11pr[]1/2S =
综合以上实验中的结果, 可以得出定理1。 定理1表明,攻击者成功的概率依赖于它每次进行Send 查询时对口令的猜测,而与Execute 查询和Reveal 查询无关。如果攻击者某个时刻通过Corrupt 查询获得了长期私钥(双方共享的口令),它通过以前被动窃听的会话信息得到许多三元对
(,,x x g h D ),攻击者无法计算x D ,其困难等价于CDH 问题。攻击者无法获得σ的任何信息,说明协议具备完美前向安全。
6 协议的性能分析
本节给出新协议与其他标准模型下的协议比
较(见表1),新协议能抵御主动攻击,且计算复杂度较小(新协议直接计算pw g , 而不是()f pw g , 由于pw 较短,可以忽略以pw 为指数的运算)。在通信效率方面,3种协议都要进行3轮通信而实现显式双向认证,并且新协议与其他2种协议占用的带宽相同。
表1
新协议与其他协议的比较
协议 文献[14]
文献[15]
新协议
通信轮数 3 3 3 生成元 2 2 2 指数运算 18 11 11 拥有私钥 无 有 无 抵御攻击
主动攻击
被动攻击
主动攻击
7 结束语
本文基于ElGamal 加密机制和伪随机函数集,在标准模型下设计了可证安全的基于口令密钥协商协议。与其他标准模型下基于口令的认证协议相比,新协议的通信效率与其他协议相当,并具有较小的计算复杂度。新协议实现了显式双向认证,并基于DDH 假设,给出了协议的“紧规约”证明,从而真正证明了协议的安全性。 参考文献:
[1] BELLOVIN S, MERRITT M .Encrypted key exchange: password-based
protocol secure against dictionary attacks[A]. Proceedings of the 1992 Conference IEEE Computer Society Symp on Research in Security and Privacy[C]. Oakland: IEEE Computer Society, 1992. 72-84.
[2] BELLOVIN S, MERRITT M .Augmented encrypted key exchange: a
password-based protocol secure against dictionary attacks and pass-word file compromise[A]. Proceedings of the 1st ACM Conference on Computer and Communication Security[C]. New York, 1993.244-250. [3] JABLON D P . Extended password key exchange protocols immune to
dictionary attacks[A]. Proceedings of the WETICE’97 Workshop on Enter-prise Security[C]. Cambridge: IEEE Computer Society, 1997. 248-255. [4] WU T D. The secure remote password protocol[A]. Proceedings of the
Network and Distributed System Security Symp NDSS 1998[C]. San
·56·
通 信 学 报 第31卷
舒剑(1972-),男,江西南昌人,电子科技大学博士生,主要研究方向为密码学与信息安全。
许春香(1965-),女,湖南宁乡人,博士,电子科技大学教授、博士生导师,主要研究方向为密码学与信息安全。
Diego, Internet Society, 1998.232-245.
[5] BELLARE M, POINTCHEV AL D, ROGAWAY P .Authenticated key
exchange secure against dictionary attacks[A]. Proceedings of the Ad-vance Eurocrypt 2000[C]. Berlin: Springer-Verlag, 2000.139-155. [6] ABDALLA M, CHEV ASSUT O, POINTCHEV AL D. One-time veri-fier-based encrypted key exchange[A]. Proceedings of Public Key Cryptography-PKC 2005[C]. Berlin: Springer-Verlag, 2005.47-64. [7] ABDALLA M, POINTCHEV AL D. Simple password-based encrypted
key exchange protocols[A]. Proceedings of CT-RSA 2005[C]. Berlin: Springer-Verlag, 2005.191-208.
[8] FENG D G , XU J. A new client-to-client password-authenticated key
agreement protocol[A]. Proceedings of IWCC 2009[C]. Berlin: Springer-Verlag, 2009.63-76.
[9] HUANG H F. A simple three-party password-based key exchange
protocol[J]. Int J Commun Syst, 2009, 22(4): 857-862.
[10] BELLARE M, ROGAWAY P. Random oracles are practical: a para-digm for designing efficient protocols[A]. Proceedings of the First ACM Conference on Computer and Communication Security[C]. New York, 1993.62-73.
[11] CRAMER R, SHOUP V . A practical public key cryptosystem provably
secure against adaptive chosen ciphertext attack[A]. Proceedings of the Advance in Cryptology-CRYPTO 1998[C]. Berlin: Springer-Ver-lag, 1998. 13-25.
[12] KATZ J, OSTROVSKY R, YUNG M. Efficient password- authentica-tion key exchange using human-memorable passwords[A]. Proceed-ings of the Advances in Cryptology-EUROCRYPT 2001[C]. Berlin: Springer-Verlag, 2001.475-494.
[13] GENNARO R, LINDELL Y . A framework for password-based authen-ticated key exchange[A]. Proceedings of the Advances in Cryptol-ogy-EUROCRYPT 2003[C]. Berlin: Springer-Verlag, 2003.524-543. [14] JIANG S Q, GONG G . Password based key exchange with mutual
authentication[A]. Proceedings of Cryptography-SAC 2004[C]. Berlin: Springer-Verlag, 2004.267-279.
[15] 殷胤, 李宝. 标准模型下可证安全的加密密钥协商协议[J]. 软件学
报, 2007, 18(2): 422-429.
YIN Y , LI B. Provable secure encrypted key exchange protocol under standard model[J]. Journal of Software, 2007, 18(2): 422-429.
作者简介:
一种实现双向认证动态口令身份认证措施
一种实现双向认证的动态口令身份认证方案 来源:网店装修 https://www.wendangku.net/doc/f69047415.html, 摘要本文在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”问题的不足。 关键词双向身份认证、动态口令、同步重调,动态身份认证系统 身份认证技术是信息安全理论与技术的一个重要方面,它是网络安全的第一道防线,用于限制非法用户访问受限的网络资源,是一切安全机制的基础。这也就使之成为黑客攻击的主要目标。因此使用一个强健有效的身份认证系统对于网络安全有着非同寻常的意义。 就国内外身份认证技术的发展情况来看,最传统的身份认证方式是帐号——口令方式;新兴的身份认证方式包括:生物特征识别法、动态口令<又称一次性口令)认证法等。本文中主要展开对动态口令认证法的讨论和研究。 1 背景知识介绍 1.1 PKI体系 PKI PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证机构(CA>、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口 1.密码协议(cryptographic protocol)是使用密码学完成某项特定的任务并满足安全需求的协议,又称安全协议(security protocol).密码学的用途是解决种种难题。当我们考虑现实世界中的应用时,常常遇到以下安全需求:机密性、完整性、认证性、匿名性、公平性等,密码学解决的各种难题围绕这些安全需求. 2.Dolev和Yao攻击者模型.认为攻击者具有如下能力: (1) 可以窃听所有经过网络的消息; (2) 可以阻止和截获所有经过网络的消息; (3) 可以存储所获得或自身创造的消息; (4) 可以根据存储的消息伪造消息,并发送该消息; (5) 可以作为合法的主体参与协议的运行 3.攻击手法. 窃听攻击者获取协议运行中所传输的消息 篡改攻击者更改协议运行中所传输的消息的内容 重放攻击者记录已经获取的消息并在随后的协议运行中发送给相同的或不同的接收者 预重放重放的一种 反射攻击者将消息发回给消息的发送者 拒绝服务攻击者阻止合法用户完成协议 类型攻击攻击者将协议运行中某一类消息域替换成其它的消息域 密码分析攻击者利用在协议运行中所获取的消息进行分析以获取有用的信息 证书操纵攻击者选择或更改证书信息来攻击协议的运行 4.秘密分割 (1)Trent产生一随机比特串R。 (2)Trent用R异或M得到S:M ⊕ R = S (3)Trent把R给Alice,将S给Bob。 (4)重构消息:Alice和Bob将他们的消息异或就可得到此消息R ⊕ S = M. 如何在多个人中分割一消息? 秘密分割的缺点是什么? 5.(t, n) Secret Sharing .目标是把秘密K 分成 n 份 s1, . . . sn,使得: 在秘密共享方案中,最常见的就是门限方案。门限方案是实现门限访问 结构的秘密共享方案,在一个( t,n )门限方案中,t为门限值,秘密SK 被拆分为n个份额的共享秘密,利用任意t ( 2 ≤t ≤n )个或更多个共享份 额就可以恢复秘密 SK,而用任何t– 1或更少的共享份额是不能得到关于 秘密SK的任何有用信息的。 6.Shamir’s Secret Sharing 7.阈下信道: Alice和Bob建立一个阈下信道,即完全在Walter视野内的建立的一个秘密通信信道。通过交换完全无害的签名的消息,他们可以来回传送秘密信息,并骗过Walter,即使Walter正在监视所有的通信。 8. 比特承诺 :Required properties of bit commitment (From Alice to Bob) Binding property: Alice can’t change her mind; Hiding property: Bob can’t open the box, unless Alice unlocks it. 9.不经意传输 The X3DH Key Agreement Protocol X3DH密钥协商协议 原作者:Moxie Marlinspike 原编辑:Trevor Perrin 中文版翻译:pior 原文版本:Revision 1, 2016-11-04 中文译本:V0.1, 2020-04-27 目录 1 简介 (3) 2 预备知识 (3) 2.1 X3DH参数 (3) 2.2 密码符号 (3) 2.3 角色 (4) 2.4 密钥 (4) 3 X3DH协议 (5) 3.1 概述 (5) 3.2 发布密钥 (5) 3.3 发送初始消息 (6) 3.4 接收初始消息 (8) 4 安全要素 (8) 4.1 身份认证 (8) 4.2 协议重放 (9) 4.3 重放与密钥重用 (9) 4.4 可否认性 (9) 4.5 签名 (10) 4.6 密钥泄露 (10) 4.7 服务器信任 (11) 4.8 身份绑定 (11) 5 知识产权 (11) 6 致谢 (11) 7 参考 (12) 1简介 本文描述了“X3DH”(也称为“扩展的三重Diffie-Hellman”)密钥协商协议。X3DH协议基于公私钥认证,在通信两方之间建立共享密钥。X3DH协议提供了转发保密性和加密可否认性。X3DH协议是为异步通信而设计的,若“Bob”离线,用户“Alice”也可使用“Bob”已向服务器发布的一些信息向其发送加密数据,并为将来的通信建立共享密钥。 2预备知识 2.1X3DH参数 使用X3DH协议的应用程序必须确定几个参数,见表1: 表 1 X3DH参数表 名称定义 椭圆曲线类型 25519 or X448 散列函数 一个256位或512位的散列函数(例如:SHA-256、SHA-512) 信息 标识应用程序的ASCII字符串 例如,应用程序可以选择椭圆曲线X25519、散列函数SHA-512和信息“MyProtocol”,应用程序还必须定义一个编码函数encode(PK),以便将 X25519或X448的公钥PK编码为字符串。建议的编码函数由一些表示椭圆曲线类型的单字节常量组成,然后是u坐标的小尾数编码[1]。 2.2密码符号 本文在描述X3DH协议时,将使用以下符号: ●X||Y,表示字符串X和Y的连接。 ●DH(PK1,PK2),表示由椭圆曲线Diffie-Hellman函数输出的密钥,参 数PK1和PK2表示两个不同密钥对的公钥。椭圆曲线Diffie-Hellman 函数可选X25519或X448函数,具体取决于椭圆曲线参数。 ●Sig(PK,M),表示用公钥PK对应的私钥对消息M进行签名,如XEdDSA 数字签名机制,可用公钥PK进行签名验证。XEdDSA的签名和验证功能 新一代动态密钥协商协议IKEv2的研究与分析 周耀鹏1,2,李志华1 (1.江南大学信息工程学院,2.无锡科技职业学院,江苏无锡 214122) 摘要: IKE协议作为IPSec体系中动态密钥协商机制,极大地增强了IPSec体系的安全性。而IEKv2作为IKE的替代者,对原有的IKE协议进行了诸多方面的改进。本文首先简单介绍了IKE协议,然后重点分析了IKEv2具体协商过程,最后阐述了IKEv2的发展趋势。 关键词:IP安全(IPSec);Internet动态密钥交换(IKE);IKE第二版本(IKEv2);动态密钥协商 中图分类号:TP393.08 文献标识码:A Research and Analysis about the New Generation Dynamic Key Negotiation Protocol IKEv2 Zhou Yao-peng,Li Zhi-hua (1.Jiangnan University,School of Information Technology,2.Wuxi Professional College of Science and Technology,Jiangsu,Wuxi 214028,China) Abstract: As the dynamic key negotiation mechanism in the IPSec system,IKE improves the safety of the IPSec system greatly.Being a substitute,IKEv2 makes IKE be improved in many aspects.This paper introduces the IKE protocol in brief, and emphatically analyzes the concrete negotiation process of IKEv2,finally elaborates the IKEv2 trend of development. Key words:IP Security(IPSec);Internet Key Exchange(IKE);version 2 of Internet Key Exchange(IKEv2);dynamic key negotiation 引言 目前网络安全的重要性日益突出,IKE协议作为IPSec体系的组成部分,极大地增强了网络通讯的安全性。但是IKE协议具有很多缺陷,为此新的IKEv2协议在IKE的基础之上进行了大量的改进,从而进一步增强IPSec体系的安全性,为上层网络的安全性提供了保障。 1 IKE简介 IKE协议属于整个IPSec体系结构中的动态密钥协商部分,它是多种动态密钥交换机制之一,也是目前事实上的工业标准。IKE协议主要用于进行虚拟专用网VPN的认证与SA会话密钥的协商。它可以动态地建立安全关联,为通信双方提供IPSec安全通信所需的相关信息,例如加密算法、会话密钥、通信双方身份认证等。 IKE机制协商的目的是产生一个通过验证的密钥和提供双方同意的安全服务,即最终提供IPSec 安全关联(IPSec SA),使进行通讯的IPSec VPN之间能够建立安全的数据通讯隧道。IKE主要通过两个阶段的协商过程来建立IPSec安全关联(IPSec SA)。第一阶段建立ISAKMP SA,第二阶段利用第一阶段得到的ISAKMP SA进一步协商从而建立IPSec SA。 IKE是一种混合型协议,其复杂性一直受到业界广泛的批评。另外,IKE还存在很多问题。 36卷 第7期 ol.36 No.7 2010年4月 A 对一个口令认证协议的可攻击性分析及改进 柯芳芳,唐西林,章启恒 (华南理工大学理学院数学系,广州 510640) 摘 要:Rhee H S 等人(Computer Standards & Interfaces, 2009, No.1)提出的协议使用移动设备代替智能卡记忆数据降低风险和成本,但该协议仍存在一些不足。针对该问题,基于Chan-Cheng 攻击案例,指出该协议难以抵抗假冒攻击和离线口令猜测攻击,为克服这些缺陷,给出一种改进方案,通过实验证明了该方案可以有效抵抗上述2种攻击,并能保证其口令的秘密性及身份认证的安全性。 关键词:口令认证;智能卡;假冒攻击;离线口令猜测攻击 Attack Analysis and Improvement of Password Authentication Protocol KE Fang-fang, TANG Xi-lin, ZHANG Qi-heng (Department of Mathematics, School of Science, South China University of Technology, Guangzhou 510640) 【Abstract 】Thel protocol proposed by Rhee H S et al(Computer Standards & Interfaces, 2009, No.1) uses mobile equipment to replace smart card to reduce risk and cost, but it exists some demerits. Aiming at this problem, based on Chan-Cheng attack case, it points out that the protocol can not resist impersonation attack and off-line password guessing attack. In order to overcome these drawbacks, it gives the improved scheme. Experimental results show this scheme is strongly resistant to both of these attacks, which keeps the password secret and authenticating ID. 【Key word 】password authentication; smart card; impersonation attack; off-line password guessing attack 计 算 机 工 程 Computer Engineering 第V pril 2010 术· 文章编号:1000—3428(2010)07—0142—02 文献标识码:A 中图分类号:N945 ·安全技1 概述 口令认证协议是远程用户登录系统中必不可少的一个方面。早在20世纪80年代,动态口令认证协议被广泛应用于各种远程登录系统中。口令认证协议发展至今,远程用户登录系统一般分为3个阶段:(1)注册阶段。用户提供身份证明和口令给服务器进行注册,成为合法用户。(2)登录阶段。用户输入口令,提交登录请求和登录信息。(3)验证阶段。服务器验证用户合法性,验证通过后并向用户提交双向认证信息。随着口令认证协议的发展,对于口令认证协议的发展,相应的口令认证协议的攻击也发展起来。对于口令认证协议的攻击有几种:离线口令猜测攻击,假冒攻击,窃取凭证攻击,拒绝服务器攻击,重放攻击等。在传统的口令认证方案中,服务器储存相应的二元对(,)i i ID PW ,用户登录是输入口令与其匹配即可。但这种储存用户口令的方法容易遭受窃取凭证的攻击。此后的诸多协议中,虽然将二元对改为验证因子列表保存,这仍然难以抵抗诸多攻击方法且保存用户口令数据的问题认未解决。在ElGamal 签名认证方案[1]和基于身份认证签名方案[2]的基础上,文献[3]提出一个智能卡口令认证方案,它具有以下意义:(1)用户可以随意修改密码;(2)远程认证系统不再储存口令相关的验证因子列表;(3)运用时间戳方案,系统可以抵抗重放攻击。为减少风险和降低成本,许多协议多使用智能卡保存一些数据,以此不再增加服务器的存储负担。现存的口令认证协议基本上是与智能卡结合使用,可惜智能卡成本较高且限制申请对象。文献[4]协议是在现有智能卡口令认证协议的基础上进行改进,使其协议能配合移动设备使用,降低成本。移动设备虽然成本较低,但不具备良好的防篡改性。文献[4]协议指出了Fan-chan-zhang 协议难以抵抗假冒攻击以及khan-zhang 协议不能抵抗假冒攻击和离线口令猜测攻击,并以安全的移动设备代替智能卡从而降低 成本。而本文则认为文献[4]协议仍然存在一些不足,依然难以抵抗假冒攻击和离线口令猜测攻击。 2 文献[4]协议 本文用到的符号如下:U 表示用户;S 表示服务器;i i ID 表示用户身份证明;i PW 表示用户口令;p 为一个大素数; ()H ?, ()h ?为函数;Hash s x 为服务器密钥;e 为服务器公钥;为阶为G p 的群。 2.1 注册阶段 注册阶段的步骤为:(1)通过安全信道提交i U i ID 和i PW 给服务器。(2)接收到S S i ID 和i PW 后,S 产生一个随机数并计算:,其中,,, i r 12(,)i i i Y Y Y =i r G ∈1()mod i s r x i i Y I i D H PW p =?2i Y =mod i r i ID p 。(3)通过安全信道将写入用户的移动设备保存。 S ((),(),,)i H h p Y ??i U 2.2 登录阶段 如果用户要登录服务器,将移动设备插入终端,输入他的身份i ID 和口令i PW 。移动设备执行以下操作:(1)选取随机数,a b G ∈。(2)计算1 mod () i i i Y Y p H PW ′= 及12()a i C Y == ()mod i r a i ID p od 。(3)计算()m i i M H Y T ID p ′=⊕⊕, 22()a i C Y =? mod M p , ,其中,T 为 当前时间戳。(4)发送到服务器,同 32()()mod i r b b i i C Y ID ==p 2123(,,,,,)i i C ID Y C C C T =S 基金项目:国家自然科学基金资助项目(10571061) 作者简介:柯芳芳(1984-),女,硕士研究生,主研方向:密码学; 唐西林,教授;章启恒,硕士研究生 收稿日期:2009-10-10 E-mail :285797713@https://www.wendangku.net/doc/f69047415.html, —142 — 一种实现双向认证动态口令身份认证方案 摘要在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”咨询题的别脚。关键词双向身份认证、动态口令、同步重调,动态身份认证系统,别可否认基于动态口令的身份认证系统给络安全带来了福音。它的优点,如动态性、一次性、随机性、多重安全性等,从全然上有效修补了传统身份认证系统存在的一些安全隐患。比如,能够有效防止重放攻击、窃听、推测攻击等。但就目前的研究成果、使用事情来看,它同样也存在这别脚,以及技术上的难关。现有的基于动态口令的身份认证系统都只能实现单向认证,即服务器对客户端的认证,如此就别能幸免服务器端的攻击。随着络应用的多样性进展,越来越多的络应用要求可以实现双向认证以确保双发的利益,如电子商务、金融业务等,所以实现双向认证就成为了身份认证的一具必定趋势。关于同步认证技术来说,保证服务器端和客户端的高度同步是必需的。此时怎么保持服务器和众多客户端同步就成了一具技术难关。基于同步认证技术的动态身份认证系统都存在“微小漂浮”咨询题,也即“失步”。目前的解决方法往往是以牺牲口令的随机度来弥补那个缺陷。这无疑给系统带来了很大的安全隐患。固然异步认证技术别存在“极小”咨询题,但是它进行认证的过程比较繁琐,占用通讯时刻太长,效率比较低。针对上面提到的动态口令认证系统的别脚和缺陷设计了一具新方案。该方案采纳双向认证通信协议实现了双向认证,并设计了一种失步重调机制。2.2改进方案2.2.1双向认证通信协议在那个协议中使用了直接信任模型,即客户端和服务器端经过注册时期而建立直接信任关系。(直接信任是最简单的信任形式。两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。)协议中包括两个时期:注册时期、登陆时期。1)注册时期注册时期是为了让Client和Server建立初始信任关系。整个注册过程经过安全信道进行。注册时期中Client和Server交换各自的id和公钥。服务器端将加密后存储。客户端将加密后存储在令牌中。Client将和本次的动态密码用自己的私钥加密,再和,此次产生的随机数R一并用Server的公钥加密后发送给Server。发送完毕后,客户端会将R备份,并启动计时器,若超过一定时刻T后仍无收到Server的应答数据包则丢弃该随机数R;或在T范围之内收到Server应答数据包进行验证后丢弃该随机数R。,,,一种实现双向认证动态口令身份认证方案飞雪 PPP安全认证协议 一、安全认证介绍 1、PPP的NCP可以承载多种协议的三层数据包。 2、PPP使用LCP控制多种链路的参数(建立、认证、压缩、回拨) 二、PPP的认证类型 1、PPP的pap认证是通过二次握手建立认证(明文不加密) 2、PPP的chap挑战握手认证协议,通过三次握手建立认证(密文采用MD5加密) 3、PPP的双向验证,采用的是chap的主验证风格 4、PPP的加固验证,采用的是两种(pap,chap)验证同时使用 三、加密算法介绍 1、MD5加密类型:第五版的爆文条目。 采用的两种算法:①Hash算法②摘要算法 2、MD5特点: ①不可逆:通过MD5(摘要算法)计算出来数据后,不能在恢复。 ②雪崩效应:一样的文件如果数据发生损坏,第二次用MD5计算,出来的结果不一样。 ③冲突避免:任意两个文件都用MD5计算,计算的数(hash)值,绝不一样。 ④不管你的数据大小,只要用MD5算出来的,它都是128Bit(16字节) 四、PPP的验证命令(只能在串口上使用): 1、pap认证(不加密) ①username (名字) password (密码) :主验证方上配置用户名和密码 ②int s1/0 :进入串口 ③encapsulation ppp :封装PPP协议 ④ppp authentication pap :配置验证类型为pap ⑤int s1/1 :进入串口(被验证方) ⑥encapsulation ppp :封装PPP协议 ⑦ppp pap sent-username (名字) password (密码) :被验证方发送用户名、密码被验证方向主验证方发送用户名和密码必须是,主验证上配置的用户名和密码。 2、chap认证(MD5加密) ①username (名字) password (密码) :主验证方上配置用户名和密码 ②int s1/0 :进入串口 ③encapsulation ppp :封装PPP协议 ④ppp authentication chap :配置验证类型为chap ⑤int s1/0 :进入串口(被验证方) ⑥encapsulation PPP :封装PPP协议 ⑦ppp chap hostname (名字) :被验证方发送用户名 ⑧ppp chap password (密码) :被验证方发送密码 被验证方向主验证方发送用户名和密码必须是,主验证上配置的用户名和密码。 动态口令身份认证专利技术分析 动态口令能弥补静态口令技术的大部分安全缺陷,广泛应用于身份认证技术中。文章基于CPRSABS和DWPI数据库,对基于动态口令的身份认证技术相关专利进行了梳理和分析,对涉及动态口令技术的研发有较大帮助。 关鍵词:动态口令(OTP);身份认证;技术演进;专利 Abstract:The one-time password (OTP)can make up for most of the security defects of static password technology,and is widely used in identity authentication technology. Based on the databases of CPRSABS and DWPI,this paper sorts out and analyzes the patents of identity authentication technology based on dynamic password,which is helpful to the research and development of OTP technology. Keywords:one-time password (OTP);identity authentication;technology evolution;patent 1 概述 本文以基于动态口令身份认证的专利申请作为分析对象,重点分析全球范围内关于动态口令身份认证专利的四个主要技术分支,研究动态口令身份验证技术的技术发展趋势。 2 技术发展概述 随着网络交易的猛增所带来的安全问题日益突出,动态口令身份认证技术开始受到越来越多人的青睐;美国的RSA公司最早开始本领域的专利申请,2001-2008年动态口令身份认证专利申请量增长显著,2009年其申请量达到一个小高峰,2009年至今整体呈现稳步上升的趋势。本文通过分析专利申请的趋势来梳理动态口令技术的技术发展脉络;总的来说,动态口令身份认证技术专利主要集中在以下几个方面:动态口令的产生、口令的下发、口令表现形式以及动态口令与其他认证方法结合的多重认证技术。 2.1 动态口令的产生 动态口令身份机制需要基于一种密码算法,将用户的身份和某种变动因子作为密码算法的输入参数,输出的结果即为动态口令,不同的变动因子构成了不同的动态口令产生技术。 90年代基于动态口令的身份验证技术开始萌芽,美国RSA公司成功研制了基于时间同步的动态口令认证系统RSA SecureID,RSA于1984年抢先进行了专利布局,申请了基于时间同步的动态口令相关专利(US4720860B),其提供一个用户身份唯一标识码以及动态变量,通过预定的算法生成一个不可预测的码,该 信息安全 ? Information Security 200 ?电子技术与软件工程 Electronic Technology & Software Engineering ●基金项目:2017年怀化职业技术学院科学研究项目“基于PKC 的无证书群认证密钥协商协议研究”(KY201708)。 【关键词】密钥协商 认证密钥协商协议 安全 近年来,科学技术的发展推动了互联网技术的发展,一些新型技术,如大数据、云计算等先进技术成为当代信息技术发展的主流方向。随着网络的进一步开放,以及网络功能的强大,信息安全的重要性日益凸显。能否处理好信息的收集、加工和加密等方面的安全性,是衡量一个国家科技实力的重要指标,也是国家战略力量的重要组成部分。此外对一个国家,一个民族来讲,还具有重要的政治意义和战略意义。在此形势下为了有效保护信息,要采用密码学的相关知识,发挥出密码学在保护信息完整性、保密性、可用性、可控性和不可否认性等方面的作用。密钥协商作为密码学的一个重要分支,也成为当前信息安全领域的一个非常重要的研究方向。 1 密钥协商协议 Dif?e 和Hellman[1]经过多年的研究,在1976年首次公开了他们的研究成果。其研究成果为给出了密钥协商的具体协议内容,由此开创了公钥密码学这一新概念,推动了密码学的发展。从密匙的协议内容上来看,密匙协商的适用范围为开放性的网络,在开放性网络中,通过两个或多个的参与者,在不为人知的网络信道中进行协商,然后根据各参与者的要求,以协商出一个能够适用于参与之间在未来进行安全通信的会话密钥。在构建出会话密钥以后,会根据密匙协商的协议,将其作为更高级别密钥协商协议的基本模块。 与密钥协商协议相比,认证密钥协商协议的安全性更高,主要原因在于其具备的认证机制,这样不仅允许参与者建立起共享会话密钥,还能够在构建了会话密匙以后,通过认证机制对于参与者的身份进行认证,在认证通过 试论密钥协商协议及其安全性 文/邓飞 以后才能够允许参与者使用会话密匙进行保密 通信。此外认证密匙协商协议的发展对于增强通信网络中的安全性具有重要的意义。得益于认证密匙协议良好的兼容性,认证密匙协议能够发挥出基础的作用,在结合了数字签名、数据加密技术以后,能够形成安全性更高的密码算法,满足数据安全、密钥管理、保密通信等方面的安全通信需要。 2 密钥协商协议的种类和作用 根据构成密匙协商协议的底层协议不同, 密匙协商协议可以从公钥证书、身份、口令三个方面进行区分。首先基于公钥证书的密钥协商协议是指在公开网络中,每一个网络的参与者都可以获得由CA 签发的认证证书,这是每个参与者的独一无二的身份标识。然后当网络中的两个或者多个参与者试图构建通信时,他们则可以根据自己所掌握的长期公钥,在经过认证机制的证书认证以后,会验证长期公匙的真实性。在验证通过以后,参与者们会进行会话密匙的短期交换,在短期交换中所获得的密匙为短期的公钥,然后和参与者所获得的长期公钥共同组成会话密钥,以此保证了网络通信中的信息安全。为了更好的解决长期密匙和短期密匙的构成问题,通常可以在经过CA 认证以后,还可以使用公钥基础设施(简称PKI)进行解决。PKI 是针对公钥密码的不足而改进的一种优化技术。传统的密匙认证,如基于目录的公钥认证框架X.509证书,该类证书认证要求较高,所以无论是建立还是维护都需要耗费大量的时间。鉴于基于公钥证书的密钥协商协议繁多的数字证书和较长的认证过程,Shamir[2] 对PKI 中的并?缓解进行了删减优化,根据用户所认证过的密匙而自动为用户生成私钥,其所提出的这种密匙协商协议则为基于身份的密匙协商协议。基于身份的密匙协商协议是建立在用户的身份信息基础之上,如用户的身份证号码、IP 地址、电子邮件地址等。这些独一无二的信息在经过私钥生成器(简称PKG)以后,会根据个人信息而产生数字签名,然后自动生成生成私钥。为了更好的解决基于身份的密匙协商协议的安全问题,Cocks 和Boneh 和Franklin 基于二次剩余问题,提出利用PKG 代替Cocks 的方案。虽然基于PKG 而自动生成的用户私钥,大大加快了密匙生成的 速度,便利了通信传输,但是这种方式也存在着较为严重的安全隐患。一旦遭到网络攻击或是PKG 计算过程中发生食物,都会导致用户的私钥发生泄漏问题。在推动基于身份的密匙协商协议发展的同时,又产生了密钥托管问题。 为了解决密钥托管问题,Girault 提出了用用户自行决定私钥的概念,即在基于公钥证书的密钥协商协议和基于身份的密匙协商协议基础之上,综合利用两种密匙协商协议的优点,先行经过CA 认证的数字证书,然后公钥由系统自动生成,私钥则由用户根据自己的信息自行选择。这种新提出的解决方案,可以有效规避基于公钥证书的密钥协商协议和基于身份的密匙协商协议中所产生的问题,推动了密匙协商协议的进一步发展。 3 结束语 密匙协商协议的发展较快,市场上存在着种类较多的密匙协商协议。因而在对密匙协商协议进行概括时,具有一定的难度,无法将其完全概括出来。且网络环境较为复杂,密匙协商协议的安全性也会随着网络攻击的变化而变化,不可一一归纳。随着密匙协商协议的日渐成熟,关于密匙协商协议的研究成为热门的研究方向。在新的研究成果的推动之下,密匙协商协议的理论得到了丰富。但也要看到,密匙协商协议的研究中依然存在着不足。如当前的安全模型都没有考虑物理攻击等等问题。还需要继续不断深化研究,才能够使密匙协商协议真正的发展起来。 参考文献 [1]魏振宇,芦翔,史庭俊.基于PKI 体 系的跨域密钥协商协议[J].计算机科学,2017,44(01):155-158. [2]郭瑞.高效的可证明安全无证书公钥密码 体制及其应用[D].北京邮电大学,2014. 作者简介 邓飞(1978-),男,湖南省怀化市人。副教授,网络工程师。研究方向为Web 网络与信息安全。 作者单位 怀化职业技术学院信息与艺术设计系 湖南省怀化市 418000 分析和攻击私有协议中的密码学安全漏洞 私有协议中的密码学安全漏洞什么是协议 网络通信协议,为进行数据交换而建立的规则、标准或约定的集合它规定了通信时信息必须采用的格式和这些格式的意义 应用层: 0x00 0x26 0xe5 0x90 0x83 0xe4 0xba 0x86 … 0xbc 0x9f 标志位:采用何种压缩算法,字符编码方式,长度,… 网络层: 源端口,目的端口,… 传输层: 源IP,目的IP,… 网络接口层: MAC地址, … 私有协议中的密码学安全漏洞我们关心的协议 与相应实体通信并完成特定功能的应用层协议。 HTTP、FTP、SMTP、… 也可以是更加应用相关的协议,例如 手机APP与发送推送信息的服务器间的通信协议 即时消息应用间及其与服务器的通信协议 网络摄像头与中心服务器的通信协议 …… 私有协议中的密码学安全漏洞私有协议 Proprietary protocol 非标准协议 微信、QQ;自定义格式的数据交换 可能缺少公开的、详细的协议规范文档 协议逆向 抓包分析 二进制反汇编反编译 私有协议中的密码学安全漏洞 协议的关注点 对于网络摄像头 每帧画面是如何编码的,画面质量与清晰度的协商调整,… 每帧画面传输前是否有协商某些安全机制,传输的画面是否可能被截获或修改 对于即时消息 消息的某几个字节对应系统内部维护的序列号 消息能否冒充、伪造 一种基于动态口令的身份认证系统研究 傅德胜1,陈 昕2 (南京信息工程大学 计算机与软件学院, 江苏 南京 210044) 摘 要:身份认证在信息安全中起着非常重要的作用,建立安全的身份认证机制成为终端安全的关键之一。作为一种新型的认证模式,动态口令比传统的静态口令更加安全、可靠。本文阐述了动态口令的原理及现有动态口令方案的缺点,设计了一种新型的身份认证系统,并对其有效性进行了分析。 关键词:动态口令;身份认证;安全性 中图法分类号:TP309文献标识码: A A Study of Authentication System based on Dynamic Password FU De-sheng1, CHEN Xin2 (Department of Computer & software, Nanjing University of Information Science & Technology, Nanjing Jiangsu 210044, China) Abstract: Identity authentication plays a very important role in the system security, establishing a secure authentication mechanism becomes one of the keys in the terminal security. As a new mode of authentication,dynamic password is more secure and reliable than traditional static password. This paper describes the principle of dynamic password and disadvantages of the existing dynamic protocols,designs a new type of authentication system and analyzes the effectiveness of it. Key words: dynamic password; identity authentication; security 0 引言 身份认证是系统安全中最重要的问题,只有在进行安全可靠的身份认证的基础上,各种安全产品才能最有效地发挥安全防护作用;也只有完成了身份认证,网络系统才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。 目前大部分网络系统所使用的访问控制方法是传统的静态口令认证技术,通过用户名和口令的匹配来确认用户的合法性。但是,随着网络技术的进一步发展,以静态口令为基础的认证方式面临着很多的安全问题,渐渐无法满足用户的需求。动态口令的概念就是在这样的情况下产生的,它采用了基于同步或者异步方式而产生的一次性口令来代替传统的静态口令,从而避免了口令泄密带来的安全隐患。目前,基于动态口令的身份认证系统已应用在电子商务,电子政务,银行,证券等诸多领域。 1 传统的身份认证方式 传统的身份认证方式就是用户名口令核对法:系统为每一个合法用户建立一个ID/PW 对,当用户登录系统时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名,口令与系统内已有的合法用户的ID/PW是否匹配,来验证用户的身份。 这种静态口令认证方式存在很多问题,最常见的是网络数据流窃听、截取/重放、暴力破解、窥探等攻击方式。静态口令的不安全因素是信息系统普遍存在的隐患。基于口令认证的身份鉴别的安全性成为信息安全中迫切需要解决的一个问题,动态口令认证方式应运而1傅德胜,男(1950--),教授,主要研究领域:信息安全 2陈昕,女(1984--),在读硕士研究生,主要研究领域:信息安全 2010年3月Journal on Communications March 2010 第31卷第3期通信学报V ol.31No.3基于口令的认证密钥协商协议的安全分析与改进 舒剑1,2,许春香1 (1. 电子科技大学计算机科学与工程学院,四川成都 611731;2. 江西财经大学电子商务系,江西南昌 330013) 摘 要:对基于口令的标准模型下可证明安全的认证密钥协商协议进行安全分析,指出该协议易受反射攻击。同时给出了一个改进方案,该方案不仅弥补了原方案的缺陷,而且改善了协议的性能。最后,基于DDH假设,在标准模型下证明了协议的安全性。结果表明,改进后的协议还具有完美前向安全特性。 关键词:基于口令;反射攻击;标准模型;可证安全 中图分类号:TN918.1 文献标识码:A 文章编号:1000-436X(2010)03-0051-06 Analysis and improvement of a password-based authenticated key exchange protocol SHU Jian1,2, XU Chun-xiang1 (1. School of Computer Science and Engineering, University of Electronic Science and Technology of China, Chengdu 611731, China; 2. Department of Electronic Commercial, University of Jiangxi Financial Economics, Nanchan 330013, China) Abstract: The security of a recently proposed password-based authenticated key exchange protocol was analyzed. Al-though it was provably secure in the standard model, it was vulnerable to reflection attacks. A modify scheme was pro-posed, which eliminated the defect of original scheme and improved the efficiency of the protocol. The security of the proposed scheme had been proven in the standard model under DDH assumption. The results show that it provides per-fect forward secrecy. Key words: password-based; reflection attacks; standard model; provably secure 1引言 认证密钥协商协议是让用户在开放网络通过交互,建立一个共享的会话密钥,从而实现开放网络中的安全通信。较早的认证密钥协商协议是通信双方借助持有的高熵秘密(如数字签名的私钥)生成会话密钥,然后使用会话密钥进行加密或认证。但是这些高熵秘密不便于保存和记忆,有时还需要可信第三方的参与。让用户共享一个低熵的口令而生成高熵的会话密钥在实际环境中有广泛的应用,但这方面的研究相对较少。由于口令具有长度短的特性,攻击者可能在离线状态下进行穷举字典攻击。 Bellovin和Merritt[1]首先提出能抵抗字典攻击的基于口令的两方密钥协商协议,随后许多相关工作[2~9]对如何利用口令生成会话密钥进行了研究。文献[1~9]都是在随机预言模型下证明协议的安全性。随机预言模型自从1993年被Bellare和Rogaway[10]提出以来,在密码学的可证安全领域得到广泛的应用。然而,随机预言模型下的安全并不代表真实世界的安全,因为它依赖现实世界无法实现的随机预言假设。另一方面,不需要随机预言假设的证明(即在标准模型下的证明)就能够清楚地说明,除非其 收稿日期:2009-04-17;修回日期:2010-01-15 基金项目:国家高技术研究发展计划(“863”计划)基金资助项目(2009AA012415) Foundation Item: The National High Technology Research and Development Program of China (863 Program) (2009AA012415) PKI身份认证和动态口令身份认证技术比较 ?本文将就网络环境下的PKI认证技术和动态口令认证技术从实现原理、算法安全性、密钥安全性、通信安全性、系统风险性和可实施度六个方面进行技术比较。 1. 身份认证系统概述 对于身份认证而言,其目的就是鉴别网上实体的现实身份,即:网上虚拟实体所代表的现实对象。 举例: Authen(我的账号)网上实体 XXX(姓名隐含) 现实实体 ?现实中能够凭借看到、听到、闻到、接触到、感觉到现实实体的特征来判定对象的真实性。但是在网上如何判定虚拟实体的真实性呢?目前采用各种密码算法的身份认证技术,从表现形式而言有:传统静态口令认证技术、特征认证(如指纹、虹膜)技术、基于单钥的智能卡身份认证技术、基于双钥的智能卡身份认证技术、生物识别身份认证技术、动态口令身份认证技术等。 本文仅对基于双钥的PKI身份认证技术和动态口令身份认证技术进行探讨。 2. 两种身份认证技术实现原理 2.1 PKI身份认证技术实现原理 采用PKI技术的身份认证系统其基本认证模型为: 2.2 动态口令身份认证技术实现原理 动态口令认证技术有至少两个因子,一个是常量,即电子令牌瞬间触电的种子值;另一个是变量,即时间值。 采用动态口令技术的基本认证模型为: 3. 算法安全性分析 对于采用上述PKI基本模型的认证技术而言,其算法安全性目前可以说是安全的,但是某些PKI身份认证系统在认证流程中采用了简单的签名技术;其认证模型为: 随着2004年8月17日美国加州圣巴巴拉召开的国际密码学会议(Crypto’2004)上,山东大学王小云教授所作的破译MD5、HAVAL-128、MD4和RIPEMD算法的报告,宣告采用该种算法的身份认证技术已不再安全。 根据王小云教授的密码分析成果,现有的数字签名技术已不再可靠;因此现有的某些采用签名技术的身份认证系统实际上已经不能保证网络实体的唯一性。对于采用PKI基本模型的认证技术而言,Authentication需要强劲的运算能力,特别是网内用户数量较多且并发量较高的网络环境。 采用动态口令技术的身份认证系统在国内市场可见,其安全性依赖于算法的严格保密。 4. 密钥安全性分析 采用PKI认证技术基本模型的系统而言,其私钥的安全保管可谓是系统整体安全的重中之重。为防止私钥文件的复制,目前多采用两种私钥载体保存私钥。一种是将私钥固化在IC芯片中,另一种是将私钥写入U-KEY外形的闪存中。 对于固化有私钥的IC芯片,其本身是个微系统,复制难度较大。 存储私钥的U-KEY介质目前分为两类,一种是带微系统的U-KEY,计算过程在U-KEY内完成,只输出结果;另一种是不带微系统的U-KEY,计算过程在计算机内存中完成。后者(不带微系统的U-KEY)可能在计算机内存中被复制或影响计算过程。 采用动态口令技术的身份认证系统,用户持有的动态令牌,其本身物理封装,内含一块电池;设计为断电后芯片数据销毁工艺。Authentication端为软件,运行在计算机内存中;对于其计算过程能否被复制的问题,如上所述。安全协议
X3DH密钥协商协议官方手册(中文版)
动态密钥协商协议IKEv2研究与分析
对一个口令认证协议的可攻击性分析及改进
一种实现双向认证动态口令身份认证方案
PPP安全认证协议
动态口令身份认证专利技术分析
试论密钥协商协议及其安全性
如何分析和攻击私有协议中的密码学安全漏洞
基于动态口令的身份认证机制及其安全性分析
基于口令的认证密钥协商协议的安全分析与改进
PKI身份认证和动态口令身份认证技术比较