CN1599316A

CN1599316A - 一种非对称认证方案及远程接入安全协议

Info

Publication number: CN1599316A
Application number: CN 200410074486
Authority: CN
Inventors: 叶润国
Original assignee: Individual
Current assignee: Individual
Priority date: 2004-09-17
Filing date: 2004-09-17
Publication date: 2005-03-23

Abstract

一种基于椭圆曲线密码的非对称认证和密钥交换方案，实现了对客户端的零知识口令认证和对服务端基于证书的传统公钥认证；本方案并不采用显式的公钥签名认证方法，省去了通信两端的签名和验证操作，具有非常高的性能；用户仅凭传统口令就可认证登录系统，无需用户数字证书，因而，极大地减少了方案部署代价。将该非对称认证和密钥交换方案集成到WTLS协议框架中，实现了一种高安全性和低计算开销的远程接入安全协议；采用Cookie技术解决了WTLS握手过程中的可能存在的拒绝服务攻击；使用AES－CM流密码算法改善了该远程接入安全协议的安全性和性能。该远程接入安全协议与WTLS规范兼容，可在各种轻量级无线终端上实现，能满足未来无线终端在远程访问环境下的高安全性要求。

Description

一种非对称认证方案及远程接入安全协议

一.技术领域

本发明属于计算机安全和密码技术领域。一种基于椭圆曲线密码的非对称认证和密钥交换方案，它对客户端采用零知识口令认证，而对服务端采用传统公钥认证；一种使用非对称认证和密钥交换方案的远程接入安全协议，适用于各种轻量级无线终端远程接入场合。

二.背景技术

可将目前常见的认证方案分成两类：基于口令的认证方案和基于公钥的认证方案。口令认证是人们所熟知的一种传统认证形式，多用来实现对客户端用户的认证；口令认证方案优点是只要求用户记忆口令，因而部署和使用都比较方便，缺点是传统口令认证方案都不安全，容易遭受各种网络窃听、重放攻击和离线字典攻击。公钥认证是一种新型的基于公钥签名的认证形式，多用来实现对服务端的认证；公钥认证方案优点是比传统口令认证方案更安全，缺点是需要维护公私钥，部署和使用都不方便，对终端的计算能力要求较高。

现在常用的公开密钥算法都基于RSA公开密钥体制，它基于大数分解数学难题。RSA公开密钥体制的致命缺点是：随着大数因子分解能力的提升，该体制所采用的数学运算位数成指数增长，公钥计算开销也成指数增长。能够替代RSA的是椭圆曲线密码体制(ECC)，它基于椭圆曲线离散对数难题，目前没有有效的攻击方法。ECC优点是：在同等安全性条件下，ECC只需要比RSA少得多的运算位数，因而，其计算效率和存储效率都比RSA高很多。

现有多种基于公钥的认证和密钥交换方案和安全协议(比如IPSec和TLS等)，它们采用对称认证形式，需要为客户端颁发证书并解决客户端私钥的存储问题，否则将带来安全问题；可以采用智能卡设备来存储用户私钥，但这导致部署和使用上的不便；从用户角度来看，基于公钥的客户端认证方式没有传统基于口令的认证方式方便。

现存在另一类基于公钥的新型认证和密钥交换方案(比如SPEKE、SRP等)，它无需为客户端颁发证书，允许用户直接使用口令来认证自己，并能够防止各种针对口令的重放攻击和字典攻击；由于通信双方无需使用显式签名来认证自己，因而，可以明显减少通信两端的公钥计算开销；但是，这类认证和密钥交换方案并不能提供真正意义上的双向认证功能，因为它们无法识别服务端的真正身份。

一种理想的适合轻量级无线终端的远程接入安全协议应该满足如下要求：1)能为通信两端提供双向的认证功能，并为认证后的数据交换提供安全保障；2)在不降低认证安全性的情况下尽量简化认证方案的部署以及方便用户的使用；3)尽量减少通信两端的公钥计算开销。

三.发明简要

本发明基于一种高效的对称认证和密钥交换方案ECMQV协议，通过对ECMQV协议进行改进，实现了一种非对称认证和密钥交换方案，实现了对客户端的零知识口令认证和对服务端基于证书的公钥认证；本方案无需为用户颁发数字证书，用户仅凭传统口令就可以安全地登录系统，并可防止针对口令的各种重放攻击、字典攻击和服务端口令认证库泄密后的直接假冒攻击；本方案并不采用显式签名方式来认证通信两端，因而，减少了两端的公钥计算开销，具有非常高的性能。

将该非对称认证和密钥交换方案集成到WTLS协议框架中，实现了一种高安全性和低计算开销的远程接入协议，非常适合于各种轻量级无线终端的远程接入场合；设计了一种Cookie技术解决了WTLS握手过程中可能存在的各种拒绝服务攻击(DoS)；通过使用AES-CM流密码算法改善该远程接入协议的安全性和性能。

四.发明内容

首先介绍非对称认证和密钥交换方案(Asymmetric Authentication Key Exchange Scheme，缩写为A2KES)；然后，介绍专为无线终端设计的基于WTLS协议框架的远程接入安全协议(WTLS-based Remote Access Protocol，缩写为WRAP)。

4.1非对称认证和密钥交换方案-A2KES

A2KES基于基本的ECMQV协议(基本ECMQV协议见附图1)，它实现了对客户端基于零知识的口令认证和对服务端基于证书的公钥认证。该方案要求：1)用户在登录前必须先向服务端注册；2)服务端必须拥有一对静态公私钥，其公钥必须经过第三方认证；3)所涉及的所有公钥操作都基于同样的椭圆曲线域参数{p，a，b， G，n，h}。下面分别介绍A2KES的用户注册过程(见附图2)和用户认证和密钥交换过程(见附图3)。为叙述方便，这里假设客户端用户标识为Alice，服务端标识为Bob。

4.1.1 A2KES的用户注册过程

1)首先，Alice通过一个认证的信道传送其标识ID到服务端Bob；

2)Bob向Alice传送经过认证的椭圆曲线域参数{p，a，b，G，n，h}；

3)Alice根据标识ID和口令PW计算口令认证因子WA，然后，通过一个加密的信道将<ID，WA>传送给Bob；

wA＝f(ID，PW) ①

WA＝wA.G ②

公式①中的函数f的作用是将标识ID和口令PW映射到一个满足椭圆曲线安全要求的私钥wA，1≤wA≤n，且wA与n具有同样的比特位数。

4)Bob将该<ID，WA>记录安全地保存在其口令验证库中。

4.1.2 A2KES的用户认证和密钥交换过程

假设用户Alice的登录口令为PW，服务端的静态公私钥对为B^(wB，WB)，Alice和Bob生成的临时公私钥对分别为A^(rA，RA)和B^(rB，RB)。(登录认证过程见附图3)

1)Alice发送ID给服务端Bob。

2)Bob根据ID查找其口令验证库得到Alice的口令验证因子WA；生成一对临时的公私钥B^(rB，RB)；计算QB＝3WA+RB；发送静态公钥WB以及临时公钥QB。

3)Alice根据用户口令PW和公式①②生成A^(wA，WA)；生成一对临时的公私钥A^(rA，RA)；计算RB＝QB-3WA；根据公式③④计算ECMQV共享密钥K；计算M1＝HMAC(K，RA，RB)；发送临时公钥RA和M1。

s_A＝(rA+φ(RA).wA)MODn ③

K＝h.s_A.(RB+φ(RB).WB) ④

公式③④中φ为一函数，它将一椭圆曲线点R(Rx，Ry)转换为一整数I，定义为：先将Rx转换成一整数x′；计算

4)Bob根据公式⑤⑥计算ECMQV共享密钥K；使用K验证M1正确性，如果失败，则终止协议执行，否则；计算M2＝HMAC(K，M1，RB，RA)；最后发送M2。

s_B＝(rB+φ(RB).wB)MODn ⑤

K＝h.s_B.(RA+φ(RA).WA) ⑥

5)Alice根据共享密钥K验证M2正确性，如果成功，说明服务端通过了客户端的认证。双方可以根据需要生成相应的会话密钥，以保护进一步的数据交换。

4.1.3 A2KES安全性

A2KES方案基于基本ECMQV协议，因此它具有基本ECMQV协议的所有安全属性；同时本方案采用了显式方式来确认共享密钥K的一致性，因而，它能够抵制一种称为unknown-share-key的攻击。

在本方案中，用户口令PW只用来导出客户端静态公私钥对A^(wA，WA)，PW和A^(wA，WA)都无需在网络上传输，因此，本方案能够防止口令窃听。此外，由于每次用户口令认证过程都是一次全新的ECMQV密钥交换过程，因此，它能够防止重放攻击。

本方案能够防止针对用户口令的被动字典攻击，这是因为：在本方案中，客户端发送的临时公钥RA与用户口令没有关系；服务端发送的QB中虽然包含了用户口令验证因子WA，但是它还包含了一个随机产生的公钥RB；本方案还能够抵制口令分离攻击。

本方案能够防止攻击者假冒服务器发起的主动字典攻击，这是因为服务端传送的临时公钥QB中包含了客户端口令验证因子WA，攻击者在不知道客户端正确口令验证因子情况下无法根据用户M1消息(是对共享密钥K的确认)来发起字典攻击；同时，本方案还能防止攻击者假冒客户端发起的主动字典攻击，这是因为对ECMQV共享密钥K的确认过程首先由用户端发起(客户端首先发送M1)，攻击者在不知道用户口令的情况下无法构造正确的M1消息。

此外，本方案还能够防止在用户口令认证库(即用户静态公钥WA)泄密情况下的直接假冒攻击：1)在只获知用户静态公钥WA情况下，攻击者无法假冒用户A登录系统，因为它无法计算出正确的ECMQV共享密钥K；2)在只获知用户静态公钥WA而不知道服务端静态私钥wB情况下，攻击者无法假冒服务器来欺骗客户端的登录。攻击者唯一可能发起的攻击是采用野蛮攻击法由用户静态公钥WA来猜测用户口令PW(这种攻击同样存在于B-SPEKE和SRP认证方案中)，抵制办法是增加攻击难度，比如，要求用户选择信息墒比较高的口令。

4.2一种轻型远程接入安全协议-WRAP

通过将A2KES集成到WTLS协议框架中，实现了一种高安全性和低计算开销的远程接入安全协议WRAP。附图4说明了WRAP的WTLS握手过程。这里假设客户端口令验证因子WA(同时也是客户端静态公钥)已经秘密保存在服务端，服务端拥有一对静态公私钥B^(wB，WB)。

4.2.1 WRAP的完整WTLS握手过程

1)客户端发送ClientHello消息，该消息包含了客户端提议的A2KES方案以及标识ID；

2)(可选)服务端向客户端发送一个HelloCookieRequest消息，该消息中包含了服务端生成的Cookie(用于防止拒绝服务攻击，见下面分析)；

3)(可选)客户端重新发送ClientHello消息，该消息中除了包含客户端提议的A2KES方案和用户标识ID外，还包含了从服务端接收到的Cookie；

4)如果服务端同意使用A2KES方案，它将发送包含A2KES方案的ServerHello消息；服务端通过ServerCertificate消息发送其经过第三方认证的静态公钥WB；服务端根据ID查找用户口令验证库，得到用户静态公钥WA；生成临时的公私钥对B^(rB，RB)；计算临时公钥QB＝3WA+RB；最后，通过ServerKeyExchange消息发送临时公钥QB；服务端发送ServerHelloDone消息，表示Hello过程结束，等待来自客户端的响应；

5)客户端根据用户口令PW和公式①②计算静态公私钥对A^(wA，WA)；计算服务端的临时公钥RB＝QB-3WA；然后，生成一对临时的公私钥A^(rA，RA)，并通过ClientKeyExchange消息发送该临时公钥RA；根据公式③④计算ECMQV共享密钥K(K为椭圆曲线上的点)，将K转换成一个二进制串R，R即为本次WTLS握手的PremasterKey；根据传统WTLS会话密钥推导公式计算出相应的会话密钥；

6)客户端发送ChangeCpherSpec和Finished消息来确认其生成的共享密钥K的正确性。

7)服务端根据公式⑤⑥计算ECMQV共享密钥K，将K转换成一个二进制串R，R即为本次WTLS握手的PremasterKey；根据传统WTLS会话密钥推导公式计算出相应的会话密钥；解密客户端Finished消息并验证其MAC值，如果无效，则向客户端发送MAC解码错误，并终止协议执行，否则；服务端发送ChangeCipherSpec和Finished消息，向客户端确认其生成的共享密钥K正确性。

8)客户端解密服务端Finished消息并验证其MAC值，如果验证通过，则握手成功。

4.2.2防范针对WRAP的拒绝服务攻击

当WRAP运行在数据报协议之上时，它可能遭受两种拒绝服务攻击：1)攻击者通过发送ClientHello消息来消耗服务端计算资源和存储资源；2)通过伪造源IP欺骗服务端向无辜节点发起反射放大拒绝服务攻击。为了抵制这两种拒绝服务攻击，我们在WRAP协议中采用了Cookie技术，其工作原理(见附图4)如下：当服务端接收到客户端ClientHello消息后并不急于处理该消息，而是向客户端发送一个包含服务端生成的Cookie的HelloCookieRequest消息，并等待客户端的响应；客户端必须再次发送ClientHello消息，并回送这个Cookie；服务端通过检查这个Cookie来验证客户端IP的真实性。

对于简化的WTLS握手过程，同样存在这种拒绝服务攻击，可以采用上述的Cookie方法来抵制DoS攻击；但是，为了减少简化的WTLS握手过程的消息交换次数，我们设计了一种新的Cookie，该Cookie由客户端产生，计算公式为Cookie＝HMAC(PMK，SID，Counter，SIP，DIP)，其中SID和PMK分别为欲恢复的WTLS会话标识和相关的PremasterKey，Counter为一计数器，初始值为1，最大值为该WTLS会话允许恢复的最大次数，每恢复一次WTLS会话Counter加1，SIP和DIP分别为源和目的IP地址；服务端接收到ClientHello消息后，根据其WTLS会话缓存数据验证该Cookie；由于PremasterKey是秘密的，因此攻击者无法伪造该Cookie。

4.2.3为WRAP协议引入AES-CM流密码算法

WRAP基于WTLS协议，可运行在数据报协议之上。由于数据报协议存在数据报丢失、重复和乱序问题，因此，如果在WRAP协议中采用CBC模式的块加密算法，则需要采用显式IV方法。但是，现有WTLS规范采用线性IV计算方法，使得WTLS可能遭受已知明文攻击；并且，块密码算法在加密时需要使用填充字节，因而浪费了宝贵的无线带宽资源。通过将高效的流密码算法AES-CM引入到WRAP协议中解决了上述问题。

我们为AES-CM流密码算法定义的CounterBlock结构由三个域组成：Nounce、IV和Counter，其中Nounce长度为96比特位，它由WTLS中的PremasterKey导出，对外界保密；IV长度为16比特位，是该WTLS数据报的序列号；Counter长度为16比特位，它从1开始，最大可以取值到65535。

该AES-CM流密码算法能够显著提高WRAP协议性能，并能够克服传统WTLS协议中的可预测IV所带来的安全问题；并且，AES-CM算法的加解密过程非常相似，因而，非常易于实现。

五.附图说明

附图1基本ECMQV的认证和密钥交换过程

附图2非对称认证方案A2KES的用户注册过程

附图3非对称认证方案A2KES的用户认证过程

附图4WRAP协议的完整WTLS握手过程

附图5一种使用WRAP的典型企业网远程接入系统

Claims

1.一种非对称认证和密钥交换方案，它实现对客户端的零知识口令认证，和对服务端基于证书的传统公钥认证方式。其特征在于它基于椭圆曲线公钥体制，只需要为服务端颁发公钥证书，而客户端仅使用口令即可认证自己。

2.如上述权利要求1所述之方案，客户端在使用前需要向服务端注册，服务端需要保存客户端口令验证因子，该口令验证因子为一个由客户端口令导出的椭圆曲线静态公钥。

3.如上述权利要求1所述之方案，它同时是一种基于椭圆曲线密码的密钥交换方案，参与密钥交换的两端在计算该次协商的共享密钥K时所使用的公式与基本ECMQV协议非常相似。

4.如上述权利要求3所述之密钥交换方案，服务端传送其临时生成的公钥时引入了客户端口令验证因子的影响。

5.一种远程接入安全协议，它可实现对客户端的零知识口令认证，和对服务端基于证书的传统公钥认证方式。其特征在于：它基于椭圆曲线公钥体制，需要为服务端颁发公钥证书，但服务端并不采用显式的公钥签名来认证自己；客户端仅使用口令即可认证自己，并允许用户使用弱口令。

6.如上述权利要求5所述之安全协议，它与WTLS规范兼容，采用了与WTLS握手协议类似的消息交换格式。

7.如上述权利要求6所述之安全协议，它实现了一种基于椭圆曲线密码的密钥交换方案，参与密钥交换的WTLS两端在计算其预共享密钥PremasterKey时使用的公式与基本ECMQV协议中的共享密钥K计算公式非常类似，并通过WTLS握手协议中的Finished消息来确认该共享密钥K。

8.如上述权利要求6所述之安全协议，它引入AES-CM流密码算法，采用秘密数Nounce和WTLS数据报序列号作为其CounterBlock一部分。

9.如上述权利要求6所述之安全协议，它在ClientHello消息中引入了Cookie技术来抵制基于数据报传输协议的WTLS握手过程中的拒绝服务攻击，这里的Cookie生成技术包括服务端基于一秘密密钥生成的Cookie，以及客户端根据其欲恢复的WTLS会话信息生成的Cookie。