高效的基于口令多服务器认证方案

高效的基于口令多服务器认证方案摘要：随着计算机网络的快速发展，传统的单服务器认证方案存在明显的不足。如果一个远程用户想要从不同的服务器获得网络服务，则必须分别向这些服务器提交注册信息。为解决这个问题，研究者提出了多服务器认证方案。然而，大部分多服务器认证方案不能抵抗某些密码攻击或者计算复杂度太高。本文提出一种高效、安全的多服务器认证与密钥协商协议。由于智能卡和读卡器使得实现这类方案的成本较高，新方案没有使用智能卡。与相关的多服务器认证方案相比，新方案同时具有高效性和安全性，因而更适合在实际环境中应用。关键词：认证；单服务器；多服务器；密钥协商；密码攻击0引言随着因特网的快速发展，对网络服务的需求也相应增长。传统的单服务器架构很难满足这些需求，需要多个服务器在不同的位置提供这样的服务。多服务器认证方案可以使远程用户在注册中心完成一次注册后，可以从多个服务器中获得不同的服务。它克服了单服务器认证方案[1-5]需要远程用户在每个应用服务器进行注册的缺点，因而在实际环境中得到广泛的应用。多服务器认证方案可以分为两类：基于口令的单因素认证方案以及基于口令和智能卡的双因素认证方案。在多服务器双因素认证方案[6-10]中，远程用户使用智能卡存储用以认证的秘密参数，从而增加认证方案的安全性。Juang[6]基于哈希函数和对称密码体制设计一种多服务器认证方案。Tsai[7]基于单向哈希函数设计一种多服务器认证方案，因而提高了方案的效率。Tsaur等[8]利用自我认证的时戳技术设计一种多服务器认证方案，从而消除了多服务器时钟同步的难题。Wang和Ma[9]首先提出一种“冗余密钥保护”技术，并基于该技术提出一种安全的多服务器认证方案。Lee等[10]基于混沌映射提出了一种高效多服务器认证方案。但以上协议要求每次登陆时，远程用户必须使用智能卡以及读卡器，这降低了实现方案的便利性并提高了实现方案的成本。在多服务器单因素认证方案[11-13]中，方案的实现不需要增加额外的设备，远程用户只需记住登陆口令。然而，该类方案在具有便利特性的同时，增加了安全隐患。在该类方案中，远程用户和认证中心(RegistrationCenterRC)共享一个低熵的口令，因而方案必须能抵抗口令猜测攻击。口令猜测攻击分为三类：可检测的在线口令猜测攻击，不可检测的在线口令猜测攻击和离线口令猜测攻击。可检测的在线口令猜测攻击是无法阻止的，但攻击者失败的猜测可能被服务器检测并记录下来。对远程用户提交的请求，服务器不加以认证就发送响应消息就会发生不可检测的在线口令猜测攻击。离线口令猜测攻击是指攻击者获得认证消息后，采用离线的方式猜测用户的口令。2008年，Lee等人[11]提出一种不使用智能卡的基于口令多服务器认证方案，其安全性依赖于离散对数问题。Yep和Lo[12]指出文献[11]中的方案不能抵抗不可检测的在线口令猜测攻击、服务器欺骗攻击和伪装攻击，并提出一种改进方案。在文献[11]和文献[12]的认证方案中，RC没有对远程用户进行认证。所以，一个恶意的服务器可以通过实施不可检测的在线口令猜测攻击获得用户的口令。Tsai等[13]指出文献[12]中的方案不能抵抗离线口令猜测攻击，并且提出一种安全的基于口令多服务器认证方案，但方案的计算复杂度和通信复杂度较高。基于椭圆曲线密码体制，本文设计一种多服务器环境下基于口令的认证方案。新方案不仅可以抵抗各类攻击，而且不需要增加额外的设备。与同类方案相比较，新方案同时具有高效性和安全性，因而适合在实际环境中应用。1背景知识1.1离散对数(DL)问题G是循环群，它的生成元是P，阶为q。给定A∈G*，计算r，使得rP=A。1.2计算Diffie-Hellman(CDH)问题G是循环群，它的生成元是P，阶为q。给定aP,bP∈G*(ab∈Z*q)，计算abP。2多服务器环境下的认证方案多服务器环境中有三个主要成员：远程用户Ui，服务器组S={S1,S2,…,Sn}和注册中心RC。协议初始化阶段，RC首先选择一个生成元是P的加法循环群G，群的阶为q，并选择一个随机数x∈Z*q作为主密钥。然后，计算wi=H(Si‖x)(H:{0,1}*→G)并通过安全通道将wi发送给服务器Si。协议包括两个阶段：注册阶段，登陆和认证阶段。注册阶段:Ui首先要通过RC注册成为一个合法用户才能获得服务器S={S1,S2,…,Sn}的服务，注册过程如下。(1)Ui首先选择自己的身份IDi和一口令pwi，然后在安全信道中将消息(IDi,pwi)发送给注册中心RC。(2)RC计算Ri＝H(pwi)○+H(IDi‖x)，然后将(IDi,Ri)保存在列表L中。登录和认证阶段:登录和认证过程如图1所示。1)用户Ui要登陆服务器Sj，Ui首先选择一个随机数a∈Z*p，并输入口令pwi，计算aP○+H(pwi)，然后将消息M1=(IDi,aP○+H(pwi)传送给RC。2)RC收到消息M1，依据IDi在列表L中检索，并得到Ri，计算Vi=Ri○+H(IDi‖x)=H(pwi)，Wi=aP○+H(pwi)○+Vi=aP。3)RC选择一个随机数，计算()ibPHpw，iN=ibW=abP，然后计算ijK=1(,,,)ijjHIDST，iZ=ijKiN。并且将消息2M=(()ibPHpw,iZ,1T)发送给iU。4)iU收到消息(()ibPHpw,iZ,1T)，计算()ibPHpw()iHpw=bP，a(bP)=abP，iZabP=ijK。然后选择一个随机数，计算xP，发送消息3M=(iID,12(,,,,)KijijEIDSxPTT,1T,2T)给服务器jS。5)服务器jS收到消息3M，使用与RC共享的对称密钥i计算'K=1(,,,)ijjHIDST，并且用'K解密消息12(,,,,)KijijEIDSxPTT得到12(,,,,)ijIDSxPTT。并检验12(,,,,)ijIDSxPTT中各项是否正确，如果不正确，则退出协议。否则，jS选择一个随机数，计算yP，()yxP=xyP。最后将消息4M=('()KEyP,(,,)ijHIDSxyP)发送给用户iU，并计算本次会话密钥SK=(,,)ijHxyPIDS。6)用户iU消息4M后，使用ijK解密'()KEyP得到yP，计算()xyP=xyP。计算(,,)ijHIDSxyP，并验证和4M中的第二项值是否相等。如果不相等，则退出协议。否则计算(,,)jiHSIDxyP，将消息5M=((,,)jiHSIDxyP)发送给服务器jS，并计算本次会话密钥'SK=(,,)ijHxyPIDS。7)服务器jS收到消息5M后，计算(,,)jiHSIDxyP，并验证与5M中的消息是否相等。如果相等，则接受本次会话。在多服务器环境中，远程用户必须在认证中心的帮助下才能访问服务器的资源。在新方案中，远程用户首先利用与认证中心共享的低熵口令进行认证，并且生成一个临时的会话密钥。认证中心用临时的会话密钥保护远程用户和服务器的认证密钥，并传送给远程用户。远程用户解密消息后得到认证密钥，服务器则独立计算认证密钥，远程用户与服务器利用认证密钥实现双向认证，并生成一个会话密钥，用以保护随后的通信。新方案中，认证中心只与远程用户进行交互，并没有和服务器进行交互，从而避免了认证中心成为瓶颈，提高了方案的效率。图1协议登陆和认证阶段3协议的安全性分析本节对新方案的安全性进行分析，指出方案可以抵抗各种类型的攻击。(1)协议能抵抗重放攻击重放攻击是指重放远程用户发送给服务器的消息从而再次获得服务。在新认证方案中，用户发送给服务器的消息中含有时戳。攻击者重放消息无法通过服务器的认证，因而新方案可以抵抗重放攻击。(2)协议能抵抗服务器欺骗攻击假设攻击者伪装成一个合法的服务器jS来欺骗远程用户iU。在收到iU发送的消息3M后，由于攻击者不拥有和RC共享的对称密钥j，则无法生成密钥ijK，从而无法解密消息12(,,,,)KijijEIDSxPTT。因此，攻击者无法生成包含认证信息的4M，则无法通过远程用户iU的认证。(3)协议能抵抗离线口令猜测攻击在新方案中，远程用户iU与RC的通信中使用了口令，而iU与服务器jS的通信中并没有使用口令。因此，攻击者要发动离线口令猜测攻击要监听iU与RC的通信。假设攻击者获得消息1M和2M，攻击者得到()iaPHpw和()ibPHpw，攻击者通过以下方式发动离线猜测攻击。1)攻击者猜测iU的口令为'pw；2)计算()iaPHpw'pw，()ibPHpw'pw；攻击者猜测是错误的，它得不到任何消息。即使猜测是正确的，攻击者也只能得到aP和bP。要计算出abP，必须解决CDHP。(4)协议能抵抗不可检测口令猜测攻击不可检测口令猜测攻击通常在用户提交登陆请求，而RC对提交信息不进行验证时发生。新方案中，只有远程用户和RC相互通信，服务器并没有向RC提交信息。RC并没有对远程用户提交的消息进行认证，就将应答消息2M发送给远程用户。假设攻击者伪装成合法用户iU，猜测口令为pw，并生成消息1M发送给RC。RC发送应答消息2M。由于消息2M中不具有认证信息，攻击者无法判断猜测口令pw是否正确。要判断猜测口令pw是否正确，攻击者要通过与服务器jS的通信才能做出判断。如果攻击者通过了jS的认证，则所猜测的口令是正确的，否则，猜测的口令是错误的。这样，就将不可检测口令猜测攻击转化为在线口令猜测攻击。(5)协议具备完美的前向安全特性完美的前向安全特性是指通信实体部分或者全部长期私钥泄露后，以前生成的会话密钥的安全性应该不受影响。新协议中，假设攻击者获得iU的口令ipw、jS长期私钥的j以及RC的长期私钥x，则攻击者可以通过监听的消息得到计算会话密钥的两个元素和。然而，要计算会话密钥必须计算，攻击者面临椭圆曲线CDHP。xPyPxyP4方案的性能分析本节讨论新协议的性能。在表1中，给出了新方案与其它方案的性能比较。为方便描述，以下给出了符号定义：TC：运行椭圆曲线点乘运算的时间。TE：运行对称加密或者解密算法的时间。TH：运行单向哈希函数的时间。5结语基于椭圆曲线密码体制，本文设计了一种多服务器环境下的认证方案。新方案中远程用户只需记住登陆口令并且不需要添加额外的设备，因而适合在实际环境中应用。安全性分析说明，新方案可以抵抗各类攻击。性能分析说明与安全级别相同的协议相比较，新方案的计算复杂度与通信复杂度更低。因此，新协议同时具有安全性和高效性。三种运算中，TC运算的计算复杂度最高。和以上三种运算相比，异或运算的计算复杂度较低，因而在性能比较中省略了异或运算的计算复杂度。另外，假设循环群中的元素，随机数和哈希函数的输出都是128比特。三种方案中，YL方案的计算复杂度最低，但方案不能抵抗不可检测的在线口令猜测攻击和离线口令猜测攻击。与安全的TLW方案相比，新方案的计算复杂度更低。与其它两个方案相比，新方案实现认证所占用的带宽较少，因而适合在资源受限的实际环境中使用。并且，三个方案中，新方案只需要五轮通信即可完成，因而新协议同时具有安全性和高效性。