摘要：本文對(duì)無(wú)可信第三方的身份認(rèn)證協(xié)議進(jìn)行了研究，著重對(duì)ISO/IEC 11770-2密鑰建立機(jī)制6進(jìn)行深入的安全性分析，發(fā)現(xiàn)其存在三個(gè)方面的缺陷，并提出了相應(yīng)的改進(jìn)方案。對(duì)改進(jìn)后協(xié)議的安全性分析表明，協(xié)議的安全性能得到較大的提高。

引言

　　隨著互聯(lián)網(wǎng)的快速發(fā)展和普及，信息安全問(wèn)題逐漸受到關(guān)注。身份認(rèn)證是用戶在使用系統(tǒng)服務(wù)時(shí)或者會(huì)話雙方在信息交互前，彼此確認(rèn)對(duì)方身份是否真實(shí)、合法的唯一過(guò)程，是保障信息安全的第一道關(guān)卡^[1]。

　　無(wú)可信第三方的身份認(rèn)證協(xié)議，僅需在通信雙方之間交換消息便可進(jìn)行實(shí)體認(rèn)證，具有方便、簡(jiǎn)潔等優(yōu)點(diǎn)^[2]，ISO/IEC 11770-2密鑰建立協(xié)議^[3]便是其中的典型。ISO/IEC 11770-2密鑰建立協(xié)議共提出了12個(gè)密鑰建立機(jī)制，其中第7至12個(gè)機(jī)制是有第三方參與的，現(xiàn)有的一些分析與改進(jìn)大多是針對(duì)有第三方的密鑰建立的機(jī)制^[4]。機(jī)制1至6則是無(wú)可信第三方參與的，這方面的研究相對(duì)較少，前期的相關(guān)研究^[5]通過(guò)安全協(xié)議的形式分析驗(yàn)證ISO/IEC 11770-2密鑰建立機(jī)制6能夠達(dá)到預(yù)期的認(rèn)證目標(biāo)，并提升了協(xié)議的不可否認(rèn)性。本文在此基礎(chǔ)上，進(jìn)一步對(duì)協(xié)議的安全性進(jìn)行了全面的分析，發(fā)現(xiàn)其存在三個(gè)方面的缺陷，并提出了相應(yīng)的改進(jìn)方案。

1 ISO/IEC11770-2密鑰建立機(jī)制6協(xié)議簡(jiǎn)介

　　在ISO/IEC11770-2密鑰建立機(jī)制6協(xié)議中，有A、B兩個(gè)主體，長(zhǎng)期共享密鑰K_ab，用隨機(jī)數(shù)N_a和N_b來(lái)保證消息的新鮮性。A、B分別提供密鑰材料F_ab和F_ba，通過(guò)密鑰派生函數(shù)f生成最終的會(huì)話密鑰K=f(F_ab，F(xiàn)_ba)，具體過(guò)程如圖1所示。

　　1、B向A發(fā)送隨機(jī)數(shù)N_b，請(qǐng)求通信;

　　2、A收到請(qǐng)求后，用共享密鑰K_ab將新隨機(jī)數(shù)N_a、收到的隨機(jī)數(shù)N_b、身份標(biāo)識(shí)符B以及密鑰材料F_ab等加密后發(fā)送給和B;

　　3、B收到消息并解密，核實(shí)身份標(biāo)識(shí)符B，通過(guò)隨機(jī)數(shù)N_a和N_b檢驗(yàn)消息的新鮮性，隨后使用共享密鑰K_ab將隨機(jī)數(shù)N_a、Nb和密鑰材料Fba加密后發(fā)送給A。

　　經(jīng)過(guò)以上三個(gè)步驟，協(xié)議完成了A、B之間的相互身份確認(rèn)，并且生成新的會(huì)話密鑰K=f(F_ab，F(xiàn)_ba)，用以建立新的會(huì)話。

2 ISO/IEC11770-2密鑰建立機(jī)制6協(xié)議的缺陷分析及改進(jìn)方案

2.1 協(xié)議的缺陷分析

　　缺陷1. 無(wú)法抵抗并行會(huì)話攻擊

　　若攻擊者同時(shí)發(fā)起兩個(gè)會(huì)話，一個(gè)是冒充B對(duì)A發(fā)起，一個(gè)是冒充A對(duì)B發(fā)起，將A回應(yīng)的消息作為協(xié)議的第三條語(yǔ)句發(fā)送給B，或?qū)回應(yīng)的消息作為協(xié)議的第三條語(yǔ)句發(fā)送給A，均可使A、B認(rèn)為自己和對(duì)方完成了會(huì)話。這種攻擊分別使會(huì)話一方失效(并沒(méi)有參加)，而另一方則認(rèn)為對(duì)方正常參加，協(xié)議達(dá)不到預(yù)期的認(rèn)證目標(biāo)。

　　缺陷2. 無(wú)法抵抗重放攻擊

　　協(xié)議中使用的隨機(jī)數(shù)沒(méi)有及時(shí)更新，如果攻擊者截獲協(xié)議的第二條語(yǔ)句，并直接回送給A，則A會(huì)誤以為已經(jīng)完成了會(huì)話，協(xié)議將無(wú)法達(dá)到預(yù)期的目標(biāo)。

　　缺陷3. 無(wú)法防止惡意否認(rèn)

　　正如文獻(xiàn)[3]中所述，在ISO/IEC11770-2密鑰建立機(jī)制6協(xié)議中，會(huì)話雙方處于不完全對(duì)等的地位，A能夠確認(rèn)B收到密鑰信息，反之則不確定。如果A惡意否認(rèn)，則B將無(wú)能為力。

2.2 協(xié)議的改進(jìn)方案

　　針對(duì)上述缺點(diǎn)，通過(guò)更新隨機(jī)數(shù)和添加協(xié)議語(yǔ)句等方式對(duì)原協(xié)議進(jìn)行改進(jìn)，具體如圖2所示。

　　1、B向A發(fā)送隨機(jī)數(shù)Nb，請(qǐng)求通信;

　　2、A收到請(qǐng)求后，用共享密鑰K_ab將新隨機(jī)數(shù)Na、收到的隨機(jī)數(shù)N_b、身份標(biāo)識(shí)符B以及密鑰材料F_ab等加密后發(fā)送給和B;

　　3、B收到消息并解密，核實(shí)身份標(biāo)識(shí)符B，通過(guò)隨機(jī)數(shù)N_a和N_b檢驗(yàn)消息的新鮮性，生成新的隨機(jī)數(shù)N’b并用共享密鑰Kab將隨機(jī)數(shù)Na、N_’b和密鑰材料F_ba加密后發(fā)送給和A;

　　4、A收到消息并解密，通過(guò)隨機(jī)數(shù)N^’_b和N_a檢查消息的新鮮性，生成新的會(huì)話密鑰，并用此新密鑰加密更新后的隨機(jī)數(shù)N^’_b，發(fā)送給B。

　　至此，協(xié)議雙方完成了身份認(rèn)證，且均可以確認(rèn)對(duì)方能夠生成新的會(huì)話密鑰，可以使用新的會(huì)話密鑰進(jìn)行后繼對(duì)話。

3 改進(jìn)后協(xié)議的安全性分析

　　在對(duì)改進(jìn)后的協(xié)議進(jìn)行安全性分析時(shí)，依據(jù)如下基本假設(shè)^[6]：攻擊者都可以竊聽(tīng)并操作公共信道上的信息;用戶所采用的密碼是可記憶的，其信息熵不高。本文從以下幾個(gè)方面對(duì)改進(jìn)方案進(jìn)行安全性分析：

　　(1)抗重放攻擊

　　在改進(jìn)后的協(xié)議中，B對(duì)隨機(jī)數(shù)進(jìn)行了更新，將原協(xié)議第三條語(yǔ)句中的Nb改為N^’_b，保證消息的新鮮性，使得攻擊者即使截獲了協(xié)議的第二條語(yǔ)句也無(wú)法進(jìn)行有效的攻擊。對(duì)隨機(jī)數(shù)的更新使改進(jìn)后的協(xié)議能夠抵抗重放攻擊。

　　(2)抗假冒攻擊

　　在協(xié)議的執(zhí)行過(guò)程中，重要信息均使用只有會(huì)話雙方知道的對(duì)稱密鑰加密傳輸，攻擊者雖然能夠截獲密文，但沒(méi)有密鑰，無(wú)法解密，即無(wú)法獲得重要信息，比如密鑰材料F_ab和F_ba，也就無(wú)法獲得新的會(huì)話密鑰。協(xié)議通過(guò)使用對(duì)稱密碼體制的方式，能夠有效地抵抗假冒攻擊。

　　(3)抗并行會(huì)話攻擊

　　在改進(jìn)后的協(xié)議中，第三條語(yǔ)句中的隨機(jī)數(shù)已經(jīng)更新，即使攻擊者同時(shí)發(fā)起兩個(gè)會(huì)話，也無(wú)法將收到的回應(yīng)作為協(xié)議的第3條語(yǔ)句進(jìn)行轉(zhuǎn)發(fā)，因?yàn)楣粽邿o(wú)法對(duì)加密信息中的隨機(jī)數(shù)進(jìn)行更新，無(wú)法進(jìn)行有效的并行會(huì)話攻擊。

　　(4)防止惡意否認(rèn)

　　改進(jìn)后的協(xié)議在最后增加了一條語(yǔ)句，A用生成的新的會(huì)話密鑰將更新后的隨機(jī)數(shù)N^’_b發(fā)送給B，使得B也可以確認(rèn)A已經(jīng)成功生成了新的會(huì)話密鑰。如果出現(xiàn)A惡意否認(rèn)的情況，則最后這條語(yǔ)句就是B的證據(jù)。這一改動(dòng)彌補(bǔ)了在原協(xié)議的執(zhí)行過(guò)程中，會(huì)話雙方地位不對(duì)等的缺陷，能夠有效地預(yù)防協(xié)議任何一方的惡意否認(rèn)，協(xié)議的安全性進(jìn)一步增強(qiáng)。

4 結(jié)束語(yǔ)

　　本文主要對(duì)無(wú)可信第三方的身份認(rèn)證協(xié)議進(jìn)行研究，著重研究了ISO/IEC11770-2密鑰建立機(jī)制6，發(fā)現(xiàn)其存在三個(gè)方面的缺陷，提出了相應(yīng)的改進(jìn)方案，并對(duì)其進(jìn)行了安全性分析。分析結(jié)果表明，改進(jìn)后的協(xié)議安全性能得到較大的提高。

　　無(wú)可信第三方的身份認(rèn)證協(xié)議通常計(jì)算量較小、簡(jiǎn)潔易實(shí)現(xiàn)，但往往需要會(huì)話雙方擁有長(zhǎng)期共享的對(duì)稱密鑰，使得其適用范圍受到較大的限制，難以大規(guī)模地應(yīng)用。且會(huì)話雙方長(zhǎng)期共享的對(duì)稱密鑰也需要定時(shí)更新，如何安全、高效地進(jìn)行對(duì)稱密鑰更新也是一個(gè)研究問(wèn)題。如何讓無(wú)可信第三方身份認(rèn)證協(xié)議的應(yīng)用擺脫條件限制、適應(yīng)多種安全環(huán)境將成為今后的研究方向。

參考文獻(xiàn):

　　[1]馮登國(guó). 安全協(xié)議—理論與實(shí)踐[M]. 北京:清華大學(xué)出版社.2011.

　　[2]衛(wèi)劍釩,陳鐘. 安全協(xié)議分析與設(shè)計(jì)[M]. 北京:人民郵電出版社,2010.

　　[3]ISO. Information Technology-Security Techniques-Key Management-Part 2: Mechanisms Using Symmetric Techniques ISO/IE 1170-2, 1996. International Standard.

　　[4]Cheng Z, Comley R. Attacks on An ISO/IEC 11770-2 Key Establishment Protocol. International Journal of Network Security, 2006, 3(2): 238-243.

　　[5]丁潔,林志陽(yáng),沈荻帆.淺談無(wú)可信第三方的身份認(rèn)證協(xié)議[J].科技創(chuàng)新與應(yīng)用,2016,57-58.

　　[6]Wang D, Ma C G, Gu D L, et al. Cryptanalysis of two dynamic ID-Based remote user authentication schemes for multi-server architecture [J]. Lecture Notes in Computer Science, 2012:462-475.

本文來(lái)源于中國(guó)科技期刊《電子產(chǎn)品世界》2016年第8期第30頁(yè)，歡迎您寫論文時(shí)引用，并注明出處。