陳泗盛, 藍(lán)紅秀, 孫樹亮

(福建師范大學(xué)福清分校電子與信息工程學(xué)院, 福建 福清 350300)

?

無線網(wǎng)絡(luò)認(rèn)證密鑰交換協(xié)議L-MAKEP的改進(jìn)

陳泗盛, 藍(lán)紅秀, 孫樹亮

(福建師范大學(xué)福清分校電子與信息工程學(xué)院, 福建 福清 350300)

L-MAKEP協(xié)議是一種適用于非對等的無線網(wǎng)絡(luò)的高效的密鑰交換協(xié)議，該協(xié)議具有執(zhí)行簡單且計(jì)算復(fù)雜度低的優(yōu)點(diǎn)。分析對比三種攻擊方法，表明協(xié)議不能抵抗偽造和欺騙攻擊，并指出安全問題在于其中的異或運(yùn)算和公鑰身份信息性驗(yàn)證的缺失。因此，在Yang-Chen方案的基礎(chǔ)上采用身份密碼系統(tǒng)，以身份信息作為用戶的公鑰，并在等式驗(yàn)證公式中引入公鑰身份信息，從而實(shí)現(xiàn)雙方的身份信息驗(yàn)證。同時(shí)增加了哈希確認(rèn)來對弱客戶端進(jìn)行確認(rèn)。協(xié)議的分析表明，改進(jìn)協(xié)議能夠正確執(zhí)行，同時(shí)其安全性得到提高。

無線網(wǎng)絡(luò)認(rèn)證；密鑰交換協(xié)議；L-MAKEP協(xié)議;協(xié)議改進(jìn)

引 言

無線網(wǎng)絡(luò)是利用無線電射頻或紅外線等無線傳輸媒體與技術(shù)構(gòu)成的通信網(wǎng)絡(luò)系統(tǒng)。無線網(wǎng)絡(luò)是無線設(shè)備之間以及無線設(shè)備與有線網(wǎng)絡(luò)之間的一種網(wǎng)絡(luò)結(jié)構(gòu)。隨著無線網(wǎng)絡(luò)技術(shù)及其應(yīng)用的迅速發(fā)展，網(wǎng)絡(luò)安全問題成為制約其發(fā)展的一個(gè)主要因素。

無線設(shè)備在存儲能力、計(jì)算能力、帶寬和電源供電等方面具有一定的有限性。因此，無法將在有線網(wǎng)絡(luò)的安全策略照搬到無線網(wǎng)絡(luò)中，這就要求設(shè)計(jì)一些滿足無線網(wǎng)絡(luò)應(yīng)用環(huán)境的安全機(jī)制[1-2]。

無線網(wǎng)絡(luò)的安全數(shù)據(jù)發(fā)送協(xié)議和無線網(wǎng)絡(luò)的密鑰管理技術(shù)，是當(dāng)前無線網(wǎng)絡(luò)研究的一個(gè)熱點(diǎn)。學(xué)者從不同的角度來研究無線網(wǎng)絡(luò)中的身份認(rèn)證密鑰交換問題，如匿名性[3]、應(yīng)用環(huán)境[4]等。L-MAKEP(Linear-MAKEP)協(xié)議[5]是針對非對稱式無線網(wǎng)絡(luò)設(shè)計(jì)的密鑰交換協(xié)議，協(xié)議的一方可以是計(jì)算能力較低的一般節(jié)點(diǎn)，另一方要求具有較高的計(jì)算能力。該協(xié)議由于具有執(zhí)行簡單且計(jì)算復(fù)雜低的特點(diǎn)而受到很多的跟進(jìn)研究，例如文獻(xiàn)[6-9]從不通的角度對方案進(jìn)行安全性分析，指出協(xié)議的安全問題，并給出相應(yīng)的攻擊方法，文獻(xiàn)[10-12]將該協(xié)議延伸到IPTV和無線射頻卡的用戶認(rèn)證中。本文在安全性方面，對比Shim方案[6]、Yang-Chen方案[7]、Liu-Chen方案[8]，進(jìn)一步分析其安全問題，并在此基礎(chǔ)上提出一個(gè)能夠抵抗這三類攻擊的改進(jìn)方案，并對該方案進(jìn)行安全性分析。

1 L-MAKEP認(rèn)證密鑰交換協(xié)議

圖1 L-MAKEP認(rèn)證密鑰交換協(xié)議

具體在第i輪的協(xié)議中，A和B協(xié)商認(rèn)證密鑰的過程如下：

(1)用戶A向用B發(fā)送證書。證書信息如下：

(2)用戶B首先驗(yàn)證證書的有效性。如驗(yàn)證通過，則選取一個(gè)隨機(jī)數(shù)rB∈zp-1，將其發(fā)送給A。

(3)A收到隨機(jī)數(shù)rB后，選取另外一個(gè)隨機(jī)數(shù)rA，并計(jì)算：

(1)

將(x,y)發(fā)送給B。

(4)B收到消息(x,y)后，驗(yàn)證等式(2)是否成立。

(2)

如果等式成立，B解密x=EPKB(rA)獲取rA并計(jì)算σ=rA⊕y，用σ加密消息x獲得密文Eσ(x)，并將其發(fā)送給A。

(5)A收到消息后，用自己先前計(jì)算的σ解密密文Eσ(x)，如果獲取的明文和自己發(fā)送的消息x一致，則其確認(rèn)B已經(jīng)獲取正確的會話密鑰σ。

協(xié)議執(zhí)行完畢后，A和B都相信它們和另一方面協(xié)商出了一個(gè)共享密鑰σ。顯然在密鑰協(xié)商的過程中，A和B之間也進(jìn)行了相互的身份認(rèn)證。

2 L-MAKEP方案的安全分析

2.1 Shim的攻擊方法

Shim[6]針對L-MAKEP提出了一種中間人攻擊方案，即攻擊者E實(shí)現(xiàn)讓用戶B相消息來源于E，同時(shí)A確信自己是與B進(jìn)行通信(圖2)。具體的攻擊方法如下：

圖2 Shim攻擊方法

(5)E將收到的rB轉(zhuǎn)發(fā)給A。

(6)A接收隨機(jī)數(shù)rB，選取另一個(gè)隨機(jī)數(shù)rA，計(jì)算：

(3)

發(fā)送(x,y)給B。

(7)E截取消息(x,y)，將消息替換成(x,y′)，其中y′=yc，并發(fā)送給B；

(8)當(dāng)B收到消息(x,y′)，驗(yàn)證等式

(4)

(9)A收到消息Eσ(x)后解密密文，判斷明文是否與之前發(fā)送的x一致，從而確定共享會話密鑰σ的正確性。

Shim認(rèn)為協(xié)議執(zhí)行結(jié)束后，A相信自己和B共享了會話密鑰σ，但是B認(rèn)為自己和E共享了會話密鑰σ。其實(shí)，認(rèn)真分析Shim攻擊方法不難發(fā)現(xiàn)，步驟(8)中用戶B計(jì)算的會話密鑰σ=rA⊕y′和A計(jì)算的會話密鑰σ=rA⊕y是不一致的，因此在步驟(9)中用戶A收到密文Eσ(x)后解密出來的明文驗(yàn)證是不能通過的。所以，Shim攻擊不能達(dá)到預(yù)期的效果。

2.2 Yang-Chen的攻擊方法

Yang-Chen[7]的攻擊方法是基于這樣的定理結(jié)論： 對任意的第i輪線性MAKEP協(xié)議存在多對的(x,rB,y)滿足式(2)。定理的證明可以參閱文獻(xiàn)[7]。

假設(shè)攻擊E者監(jiān)聽了A和B的交換過程并記錄了交換信息，則E可以通過以下方法向B發(fā)起認(rèn)證和密鑰協(xié)商：

(3)E接收到rB′后，選取x′,y′，滿足x⊕rB=x′⊕rB′，y=y′，并發(fā)送(x′,y′)給B。

(4)B收到消息(x′,y′)后，因?yàn)榈仁?2)能通過驗(yàn)證，所以其相信E是合法的用戶。

Yang-Chen同時(shí)也給出針對上述攻擊方法的改進(jìn)方法：

(1)在式(1)中y的計(jì)算用以下式子替代：

y≡a2i-1rB+a2ix(modp-1)

(5)

(2) 式(2)的驗(yàn)證等式改為：

(6)

2.3 Liu-Chen的攻擊方法

文獻(xiàn)[8]中提出了一種類似于Yang-Chen的攻擊方法，這里稱之為Liu-Chen攻擊法，它也是針對協(xié)議的異或運(yùn)算提出了偽造方案。Yang-Chen的攻擊方法中只說明了存在x′,y′滿足x⊕rB=x′⊕rB′，具體的x′,y′如何選取沒有給出方法，Liu-Chen方案給出了具體的x′,y′的構(gòu)造方法。該攻擊方法是基于以下結(jié)論：

(1) 如果a,b是兩個(gè)奇數(shù)，則有：

a⊕b=(-a)⊕(-b)

(2) 如果a,b是偶數(shù)，且4|a,b，同時(shí)8?a,b，則有：

a⊕b=(-a)⊕(-b)

假設(shè)攻擊E者監(jiān)聽了A和B的交換過程并記錄了交換信息，則E可以通過圖3所示的方法向B發(fā)起認(rèn)證和密鑰協(xié)商。

圖3 Liu-Chen攻擊方法

(x′,y′)：x⊕rB=x′⊕rB′，y′=y

(7)

并將(x′,y′)發(fā)送給B。

(4)B收到消息(x′,y′)后，能正確驗(yàn)證式(2)，所以其相信E是合法的用戶。

3 L-MAKEP認(rèn)證密鑰交換協(xié)議的改進(jìn)

分析可知：一方面，雖然Shim攻擊并不能達(dá)到預(yù)期的目的，但是從其攻擊方法分析中不難發(fā)現(xiàn)，由于在執(zhí)行過程中缺少對A的公鑰的驗(yàn)證，而且在發(fā)送消息過程中沒有體現(xiàn)身份信息，因此協(xié)議對這類中間人攻擊和重放攻擊是存在安全風(fēng)險(xiǎn)的，這一點(diǎn)在文獻(xiàn)[9]中也有提到；另一方面，Yang-Chen 和Liu-Chen的攻擊都是針對協(xié)議中的異或運(yùn)算的特點(diǎn)提出的，雖然Yang-Chen針對這類攻擊提出了改進(jìn)的方法，但是其并沒有解決中間人攻擊與重放攻擊這一類安全問題。本文在Yang-Chen提出的改進(jìn)方法的基礎(chǔ)上，對前述安全問題進(jìn)行進(jìn)一步解決。

3.1 改進(jìn)的L-MAKEP密鑰交換協(xié)議

為了解決身份欺騙問題，在Yang-Chen方案的基礎(chǔ)上采用基于身份的密碼算法。用戶的公鑰是用戶的身份信息ID，如A的公鑰是IDA，由可信中心TA為用戶計(jì)算私鑰，如公鑰IDA對應(yīng)的私鑰是sA。獲取公鑰對應(yīng)的私鑰后，在協(xié)議中產(chǎn)生的公鑰序列就不需要從證書中心獲取證書序列了，用戶自己可以用自己的私鑰計(jì)算出其他用戶可以利用公共參數(shù)驗(yàn)證的公鑰序列。具體的方案如圖4所示。

圖4 改進(jìn)L-MAKEP密鑰交換協(xié)議

3.1.1 用戶注冊

可信中心TA選擇兩個(gè)大素?cái)?shù)p,q，計(jì)算n=pq，TA再選取算法參數(shù)e,d，滿足ed≡1(mod φ(n))，以及與p,q都互素的數(shù)g，并保證g有較高的階，且其階為t。TA公開n,e,g,t，其他參數(shù)保密。

任何用戶在使用密鑰協(xié)商之前需要向TA注冊，從而獲得身份的私鑰。注冊過程如下：

(1)用戶A將自己的身份信息IDA發(fā)送給TA，這里IDA是模n下的一個(gè)整數(shù)。

(2)TA計(jì)算A的私鑰sA≡(IDA)-d(mod n)，并通過安全信道發(fā)送給用戶A。

用戶A公開自己的公鑰IDA，保密自己的私鑰sA。

3.1.2 協(xié)議的執(zhí)行

用戶A隨機(jī)選取長度為偶數(shù)的整數(shù)序列(a1,a2,…,a2m)，其中1≤ai≤n-1,i=1,2,…,2m，作為私鑰序列。并計(jì)算私鑰序列對應(yīng)的公鑰序列(sAga1,sAga2,…,sAga2m)。

則在第i輪的協(xié)議中A和B協(xié)商認(rèn)證密鑰的過程如下：

(2)B選取一個(gè)隨機(jī)數(shù)1≤rB≤n-1，將其發(fā)送給A。

(3)A收到隨機(jī)數(shù)rB后，選取另外一個(gè)隨機(jī)數(shù)1≤rA≤n-1，并計(jì)算：

x=EIDB(rA)

y≡ea2i-1rB+exa2i(mod t)

(8)

σ=rA⊕y

將(x,y)發(fā)送給B。

(4)B收到消息(x,y)后，驗(yàn)證等式

如果等式成立，B解密x=EPKB(rA)獲取rA并計(jì)算σ=rA⊕y，用σ加密消息x獲得密文Eσ(x)，并將其發(fā)送給A。

(5)A收到消息后，用自己先前計(jì)算的σ解密密文Eσ(x)，如果獲取的明文和自己發(fā)送的消息x一致，則其確認(rèn)B已經(jīng)獲取正確的會話密鑰σ。A回復(fù)消息h(σ)給B。

(6)B收到確認(rèn)消息h(σ)后，可以確認(rèn)已經(jīng)獲取正確的會話密鑰。

3.2 改進(jìn)協(xié)議的分析

3.2.1 正確性分析

證明 因?yàn)?，sA≡(IDA)-d(mod n)，y≡ea2i-1rB+exa2i(mod t)所以，

(sAga2i-1)erB(IDA)rB(sAga2i)ex

=(sAga2i-1)erB(IDA)rB(sAga2i)ex

≡(IDA)-xgea2i-1rB+ea2ixx

≡(IDA)-xgy(mod n)

3.2.2 安全性分析

(1)在改進(jìn)方案中，已經(jīng)取消了異或的運(yùn)算，其中y≡ea2i-1rB+exa2i(mod t)，所以針對異或運(yùn)算的Yang-Chen和Liu-Chen攻擊已經(jīng)無效。

3.2.3 性能分析

改進(jìn)的認(rèn)證方案與L-MAKEP兩個(gè)協(xié)議在執(zhí)行方式上主要存在三方面不同。

(1)用戶A的公鑰證書獲取。原方案是對每組公鑰(ga2i-1,ga2i)都從中心獲取證書，改進(jìn)方案公鑰證書是由用戶的私鑰計(jì)算得到。在這方面，原方案有通信消耗，而改進(jìn)方案不需要進(jìn)行通信但有計(jì)算消耗。

(2)用戶A計(jì)算(x,y)。L-MAKEP協(xié)議和改進(jìn)協(xié)議都包含一個(gè)加密運(yùn)算、一個(gè)模下的乘法運(yùn)算和一個(gè)異或運(yùn)算。不同的是，在模下的乘法運(yùn)算中，改進(jìn)協(xié)議用數(shù)乘運(yùn)算代替了異或運(yùn)算，這一計(jì)算量的增加相對于模下的指數(shù)運(yùn)算是不明顯的。

(3)用戶B的等式驗(yàn)證。改進(jìn)方案驗(yàn)證等式：

較L-MAKEP方案的等式

多了身份方面的計(jì)算。

綜上，改進(jìn)協(xié)議整體計(jì)算量的增加主要體現(xiàn)在用戶B驗(yàn)證等式。但是協(xié)議適用的不對等無效網(wǎng)絡(luò)，即用戶B比用戶A具有更多的計(jì)算資源，因此可以認(rèn)為改進(jìn)方案是有效的。

4 結(jié)束語

密鑰交換協(xié)議是無線網(wǎng)絡(luò)安全中的一個(gè)重要的研究問題，是無線網(wǎng)絡(luò)中密鑰管理技術(shù)的一個(gè)重要組成部分。本文對比分析了Shim攻擊、Yang-Chen攻擊和Liu-Chen攻擊，指出L-MAKEP不能抵抗中間人攻擊的弱點(diǎn)。在Yang-Chen的改進(jìn)方法的基礎(chǔ)上引進(jìn)了用戶雙方的身份信息，并以此作為公鑰，應(yīng)用身份密碼算法實(shí)現(xiàn)身份認(rèn)證，并通過最后的共享密鑰的確認(rèn)來對弱客戶端進(jìn)行認(rèn)證。最后，對改進(jìn)的協(xié)議進(jìn)行了正確性、安全性和性能的分析，通過分析表明改進(jìn)協(xié)議具有合理性和有效性。

[1] 馮登國.安全協(xié)議-理論與實(shí)踐[M].北京:清華大學(xué)出版社,2011:273-316.

[2] 朱建明,馬建峰.無線局域網(wǎng)安全:方法與技術(shù)[M].北京:機(jī)械工業(yè)出版,2005:2-15.

[3] LEE C C,LI C T,HSU C W.A three-party password-based authenticated key exchange protocol with user anonymity using extended chaotic maps[J].Nonlinear Dynamics,2013,73(1):125-132.

[4] DAVID D B,RAJAPPA M,KARUPUSWAMY T,et al.Secure mutual authentication and Key-Agreement protocol for IP Multimedia Server-Client[J].Journal of Computational & Theoretical Nanoscience,2014,20(11):1856-1863.

[5] WONG D S,CHAN A H.Mutual authentication and key exchange for low power wireless communications[C]//Proceeding of Military Communications Conference,2001.MILCOM 2001.Communications for Network-Centric Operations:Creating the Information Force,IEEE,Boston,USA,October 28-31,2001(1):39-43.

[6] SHIM K.Cryptanalysis of mutual authentication and key exchange for low power wireless communications[J].IEEE Communications Letters,2003,7(5):248-250.

[7] YANG F Y,CHEN R C.On the security of mutual authentication and key exchange for low power wireless communications[J].Chien-Kuo Journal,2003,22:611-615.

[8] LIU C L,CHEN S S,SUN S L.Security analysis of mutual authentication and key exchange for low power wireless communications[J].Energy Procedia,2012,17:644-649.

[9] SIAW L N,CHRIS M.Comments on mutual authentication and key exchange protocols for low power wireless communications[J].IEEE communications letters,2004,8(4):262-263.

[10] LEE C C,LI C T,CHEN C T,et al.A new key exchange protocol with anonymity between STB and Smart Card in IPTV Broadcasting[C]//Proceeding of 7th International Conference on Wireless communications,Networking and Mobile Computing,IEEE,Wuhan,China,September 23-25,2011:1-4.

[11] JUN E A,RHEE H S,JIM J G,et al.Fingerprint-based access control using smart cards in IPTV[J].Multimedia Tools and Applications,2014,73(2):647-661.

[12] LEE C C,CHEN C T, LI C T,et al.A practical RFID authentication mechanism for digital television[J].Telecommunication Systems,2014,57(3):239-246.

Improvement of Linear Mutual Authentication and Key Exchange Protocol for Wireless Network

CHENSisheng,LANHongxiu,SUNShuliang

(School of Electronic and Information Engineering, Fuqing Branch of Fujian Normal University, Fuqing 350300, China)

L-MAKEP Protocol is an efficient key exchange protocol that is suitable for the equivalence wireless network, which has the advantages of simple implementation and low computational complexity. Analysis and comparison of three kinds of attacks indicates that the protocol doesn’t overcome the forgery and spoofing attacks, and it is pointed out that security problem is to lack of XOR operation and doesn’t verifying the public key. The refore, an improved Key Exchange Protocol which cancels the XOR operation and applies the identity information based on the Yang-Chen program was put forward. At the same time it increase the hash to confirm the weak client to confirm. The analysis of the protocol indicated that the improved protocol can be executed correctly and more security.

identity authentication; wireless network; key exchange protocol; linear-MAKEP; improved protocol

2015-12-01

福建省教育廳科技項(xiàng)目(JB14132);福建師范大學(xué)福清分?？蒲袆?chuàng)新基金項(xiàng)目(KY2014022)

陳泗盛(1981-),男,福建泉州人,講師,碩士,主要從事網(wǎng)絡(luò)與信息安全方面的研究,(E-mail)chssh1982@sohu.com;

孫樹亮(1982-),男,安徽蚌埠人,副教授,博士,主要從事信息隱藏方面的研究,(E-mail)thussl_07@126.com

1673-1549(2016)01-0033-06

10.11863/j.suse.2016.01.08

TP393

A