沈桂芳

(山东淄博第十七中学，山东 淄博 255012)



一个基于SIP安全的三因子密钥认证协议

沈桂芳

(山东淄博第十七中学，山东 淄博 255012)

Yoon和Yoo运用椭圆曲线密码提出了一个新的基于会话发起协议(SIP)的三因子密钥认证方案并声称能够抵抗多种攻击.然而,作者研究发现Yoon和Yoo的方案不能抵挡伪造攻击和中间人攻击.为了改进以上缺陷，提出了一个安全、有效的三因子远程认证新方案并进行了安全性分析,分析表明新方案可以抵挡以上攻击并实现了用户匿名性.

生物特征；指令牌；认证；口令；SIP

三因子协议是现代密码学的重要研究内容,对它的研究有着重要的理论和现实意义,文献[1-3]对这一问题进行了讨论.随着IP电话(VoIP)的广泛使用，会话发起协议(SIP)引起了越来越多人的关注.2009年，Wu等人[4]为SIP提出了一个新的密钥认证协议，该方案解决了Yang等[5]方案里存在的问题.不幸的是，Yoon等[6]指出Wu等人的方案不能抵挡口令猜测攻击、拒绝服务攻击、窃取验证表攻击，并提出了一个应用于IP网络电话的安全且高效的基于椭圆曲线密码的SIP认证协议.2010年，Liao等[7]提出了新的运用自证明公钥的SIP认证协议，该方案不仅可以解决相关方案的安全性问题，而且相比其它的公钥密码体制减少了很多的计算量.2010年，Yoon和Yoo[8]提出了一个应用于SIP的基于椭圆曲线密码三因子密钥认证协议,引用三因子(口令，指令牌，生物特征)认证技术使得协议更加安全,并声称他们的方案不仅可以抵挡已知的安全性攻击，而且比之前相关的方案更加高效.但是本文指出Yoon和Yoo的方案[8]不能抵抗伪造攻击和中间人攻击.此外，他们的方案不能提供用户匿名性，丢失指令牌可废除功能.在没有阻力干预的情况下，用户的生物信息也容易泄露[9-10].

1　Yoon和Yoo方案的回顾

Yoon和Yoo[8]在2010年提出了基于椭圆曲线的应用于SIP的三因子密钥认证协议.该方案由三个阶段组成：注册阶段、认证阶段、口令和生物特征更新阶段.

1.1注册阶段

新用户如果要成为SIP会员，首先要向SIP服务器进行注册.用户U和SIP服务器需执行下面的步骤来完成注册.

第1步：用户U自己选取身份ID和口令PW，并将自己的生物特征B输入传感器.用户通过一个安全的信道将信息{ID,H(ID‖PW‖B),B}发送给SIP服务器S.

第2步：收到U的消息之后，S计算s=H(ID‖k)和v=s⊕H(ID‖PW‖B).这里的k是S的主密钥.S将信息{v,B,H(·),d(·)，τ}存在指令牌里并通过一个安全的信道把它发送给U.这里的d(·)和τ分别是用于生物识别验证的对称参数函数和预定阈值.

1.2密钥协议认证阶段

当用户U想登陆SIP服务器和S进行安全的会话时，需要完成以下步骤：

第3步：从S收到消息(nonce,realm,B,AuthS)之后，指令表首先计算会话密钥SK=aB=abP并验证AuthS?=H(nonce‖realm‖ID‖Ax‖Bx‖SKx).若等式成立，意味着S是一个合法的SIP服务器.不然，指令表终止会话.用户指令表继续计算AuthS=H(nonce+1‖realm‖ID‖Ax‖Bx‖SKx)并将计算结果发送给S.

第4步：S验证H(nonce+1‖realm‖ID‖Ax‖Bx‖SKx)是否等于收到的AuthS.如果相等，S接受U的认证请求.

最后，U和S达成一致的会话密钥SK=abP用于之后进行的信息交互.

1.3口令和生物特征更新阶段

在这一阶段，用户可以在不需要和S交互的情况下安全地更新口令和生物特征.如果用户U想要更新旧口令和生物特征，需要在指令牌中打开变更口令和生物特征的申请软件.

第1步：U输入身份ID，原始口令PW并向传感器重新输入生物特征Bnew.

第2步：指令牌通过验证d(Bnew,B)≤τ来检查新生物特征的合法性.如果满足条件，表明用户通过生物识别认证，则用户可以向指令牌输入新的口令.如果生物特征不合法，则指令牌终止用户的请求.

第3步: 在用户向指令牌里输入新的口令PWnew之后，指令牌计算vnew=v⊕H(ID‖PW‖B)⊕H(ID‖PWnew‖Bnew)并将指令牌里原先存储的v，B替换成vnew，Bnew.指令牌成功更新生物信息和相关参量.

2　Yoon和Yoo方案的安全性分析

这里给出两个合理的假设：(1) 攻击者A能够控制用户U和SIP服务器S之间进行会话的信道.换句话说，攻击者可以插入、更改、删除或者拦截任何公共信道上传输的消息.(2) 一旦合法用户的指令牌被攻击者A通过某些手段(捡到或偷窃)获取，里面存储的私密信息就会被提取出来[9-11].

2.1伪造攻击

假定U的指令牌被攻击者A窃取并获取存储的信息{v,B,H(·)，d(·)，τ}.A可以利用这些信息猜测口令PW*并计算H(ID‖PW*‖B),s*=v⊕H(ID‖PW*‖B).A可以拦截公共信道上传输的信息{ID,A,Mac}.A验证Mac?=H(s*‖A)=H(v⊕H(ID‖PW*‖B)‖A).如果相等，表明A猜出了U的口令，进而可以伪造出U的合法请求消息欺骗S.

第1步：A选取随机数α′计算A′=α′P,Mac′=H(s‖A′) ，再将消息{ID,A′,Mac′}发送给S.

第2步：因为ID是有效的，S计算s=H(ID‖Κ),Mac′*=H(s‖A′).因为Mac′*=Mac′,所以S接受A的请求.

因此，该方案不能抵挡伪造攻击.

2.2中间人攻击

显然根据上面假设的讨论A可以伪装成合法的用户U欺骗SIP服务器S达成最终的会话密钥.所以A可以通过在U和S之间建立平行会话执行中间人攻击.因此该方案不能实现相互认证.

3　新改进方案的提出

新改进方案的协议也包含注册阶段、密钥协议认证阶段、口令和生物特征更新阶段，此外还增加了一个额外的功能阶段：撤销阶段.

3.1注册阶段

S选取两个大素数p，q使得p=2q+1.Ep(a,b)是定义在有限域Zp上的椭圆曲线.P是椭圆曲线Ep(a,b)模q的生成元，且q要足够大，这就使得在多项式时间算法内循环子群G1上的离散对数问题是难解的.S计算Q=k·Pmodp，k是S的主密钥.{P,p,Ep(a,b)}是公共参数.

第1步：U传感器输入生物特征B,连同ID和A=H(PW‖b)在安全的信道上一起发送给S，其中b是U选取的随机数.

第2步：S计算s=H(n‖k)，v=s⊕H(ID‖A‖B),m=H(ID⊕z)⊕H(ID‖B) ，n是S给U选取的随机数，z是S给所有用户选取的随机数并只有S自己私密存储.S将{v,m,H(·)，Hs(·)，d(·)，τ,p,Ep(a,b),P,Q}存进指令牌并将其通过安全的信道发送给U.Hs(·)是一个定义在{0,1}*×{0,1}*→{0,1}n上的含有私密代码i的秘密哈希函数.d(·)是对称参数函数，τ是一个用于生物特征识别的预定阈值[12-15].

第3步：S以(H(ID⊕z),n)的形式存有一个注册表.在撤销阶段和密钥协议认证阶段，S可以通过注册表的H(ID⊕z)检索出n.

第4步：在收到指令牌后，U将b,B′=B⊕H(ID⊕PW)存进指令牌里.

3.2密钥协议认证阶段

第1步：打开指令牌的登陆申请软件后，U输入ID，PW并向传感器导入生物特征B*.指令牌计算B=B′⊕H(ID⊕PW)并验证d(B,B*)?<τ.如果成立，生物特征通过指令牌的验证.否则指令牌终止会话.

最后S和U达成了一次会话密钥SK=Hs(R4+s·P+H(ID⊕z)·P)用于接下来的会话.

3.3口令和生物特征更改阶段

如果用户想要更新口令PWnew和生物特征Bnew， 就需要调用这一阶段来执行.假设用户想选取新口令Bnew和生物特征PWnew来替换原有的口令和生物特征.需要执行以下几步：

第1步：借用密钥协议认证阶段的第1步来完成.

第2步：如果U被认证通过，指令表允许U输入新口令PWnew和生物特征Bnew. 接下来指令表计算

Anew=H(PWnew‖b)

vnew=v⊕H(ID‖A‖B)⊕

H(ID‖Anew‖Bnew)

B′new=Bnew⊕H(ID⊕PWnew)

mnew=m⊕H(ID‖B)⊕H(ID‖Bnew)

第3步：指令牌将v,B′,m更新为vnew,B′new,mnew.

3.4撤销阶段

如果指令牌丢失(被窃取)，U会向S请求撤销该指令牌.在新的方案中，U应该在一个安全的信道上向S发送ID，然后S计算H(ID⊕z)并检验算得的值是否存在注册表中.如果存在，S从注册表里移除登记的(H(ID⊕z),n).如果U想要向S重新注册成一合法用户，只需再一次执行注册阶段.

4　安全性分析

本文提出的新认证方案的安全性是基于安全的哈希函数、椭圆曲线上的离散对数问题以及椭圆曲线上的Diffie-Hellman密钥交互协议问题.在此，假设指令牌里的私密信息可被提取.

4.1重放攻击和平行会话攻击

由于在密钥协议的认证阶段，新方案使用了随机数，因此可以抵挡重放攻击.尽管攻击者A重放了消息{C,R1,R2}，但是不知道随机数a的值也就无法计算出会话密钥SK=Hs(R4+s·P+H(ID⊕z)·P).另一方面，提出的方案还能够抵挡平行会话攻击，即A通过重放之前从另一个会话被其拦截的消息进而伪装成一合法用户.由于协议里使用了新鲜的随机数，这就保证了每次的认证消息都是不同的.从其他会话拦截到的消息再经过攻击者发送也会被认为是无效的.所以新方案可以抵挡重放攻击和平行会话攻击.

4.2伪装服务器攻击

新方案中，由于不知道S的主密钥k，与U相对应的n，以及需要解决离散对数问题而检索出来的a，恶意的攻击者并不能计算回复消息R3=eP,R5=Hs(s·a·e·P)，会话密钥SK=Hs(R4+s·P+H(ID⊕z)·P.因此新方案能抵挡伪装服务器攻击.

4.3伪装用户攻击

因为R1和R2被安全的单向加密哈希函数和一些密钥所保护，如果攻击者不能伪造有效的R1和R2，任何关于合法用户认证消息的这些参数的修改都会被服务器S察觉出来.既然攻击者无法获得与用户U相对应的ID,PW,B和n的值，他(她)就不能伪造有效的R1和R2.所以新方案能抵抗伪装用户攻击.

4.4窃取指令牌攻击

如果攻击者A窃取了用户的指令牌并提取出了里面的私密数据{v,B′,m,b,Hs(·),d(·),τ,p,Ep(a,b),P,Q}，因为不知道U的私密信息ID,PW,B以及与U相对应的n的值和S的主密钥k，攻击者并不能计算出{C,R1,R2}.因此攻击者不能伪造有效的登陆请求消息，从而不能实行这一攻击.

4.5离线口令猜测攻击

假如A窃取U的指令牌并提取存储在指令牌里所有的私密信息{v,B′,m,b,H(·)，Hs(·),d(·)，τ,p,Ep(a,b),P,Q}.根据

v=s⊕H(ID‖A‖B)

B′=B⊕H(ID⊕PW)

m=H(ID⊕z)⊕H(ID‖B)

在不知道私密信息s和生物特征B的条件下，用户的身份和口令不会被猜测出来.其次，除非A知道了s的值，否则A也不能使用R1=Hs(C·P+s·P)·P+a·P,R2=Hs(C·a·Q)来进行猜测.

此外，在新方案中，用户的登陆请求消息{C,R1,R2}被很好地保护起来而且也没涉及用户的口令，这一设计就消除了口令和传输消息之间的联系.在离线模型下，A不能用之前的合法请求消息来检测猜测的口令是否正确.因此新方案可以抵抗离线口令猜测攻击.

4.6用户生物特征攻击

在新方案里，采用B′=B⊕H(ID⊕PW)取代了生物特征模板.当U想要与S进行会话时，指令牌使用身份ID和口令PW来检索出B.就像上面所分析的那样，即使U的指令牌被A窃取(找到)，因为不能正确的猜测出身份和口令，A不能获得秘密参数B的值.新方案允许用户根据不同的需要而产生不同的生物特征，同时也可以向不同的服务器注册不同的生物特征信息.此外，生物特征在被收集的时候易于错乱，这种天然的特征在每次使用的时候也不可能恰好相同.因此每个注册用户的生物特征在不同的S上也是不同的.即使A窃取(找到)了同一用户的两个指令牌，他(她)所计算的(B1′⊕B2′)/2也明显和向S注册时候所用到的B是不同的.所以这一设计原则就防止了攻击生物特征的可能.

4.7相互认证和用户匿名性

本文提出的应用于SIP的新方案提供了相互认证和实现用户匿名性来保护用户的隐私.在新方案中，使用椭圆曲线上的Diffie-Hellman密钥交换协议来提供相互认证，密钥被新鲜的会话密钥SK认证.该显示密钥认证被隐式密钥认证和拥有认证密钥所获取.在3.2第4步和第5步，U和S都是验证收到消息的正确性来进行相互认证.此外A不能从拦截的消息{C,R1,R2}中获取用户的身份ID.新方案还使用C=H(ID⊕v)来实现用户匿名性.

5　性能分析

本文通过比较作者提出的新方案和一些相关的应用于SIP方案(Wu[4]，Yoon和Yoo[6]，Yoon和Yoo[8], Tang[9])的安全特征，验证本文改进的方案具有更好的安全性.表1列出了在SIP认证里重要标准的对比结果.各标准含义如下：F1：方案在客户端和SIP服务器之间应能实现安全的相互认证和协议会话密钥；F2：不需要安全敏感的验证表；F3：足够安全抵挡各种攻击；F4：口令可被客户端自由选取和变更；F5：不需要时间同步且能避免时间延迟问题；F6：生物特征数据要被安全的保护；F7：方案能实现匿名性.

表1各方案重要标准的相关比较

方案F1F2F3F4F5F6F7Tang等人[9]YesYesYesYesNoNoNoYoon和Yoo[6]YesYesNoNoYesNoNoYoon和Yoo[8]YesNoYesYesNoNoYesWu等人[4]YesNoNoYesYesNoNo新方案YesYesYesYesYesYesYes

6　结束语

通过对Yoon和Yoo的应用于SIP的基于椭圆曲线三因子密钥认证方案的分析，发现该方案不能抵挡拒绝服务攻击、伪造攻击、中间人攻击.此外Yoon和Yoo的方案在丢失指令牌后不能实现用户匿名性，在没有干预假定的情况下，生物特征模板很容易被窃取，表明该方案不能实现SIP三因子认证方案的相互认证.本文提出了一个安全、有效的三因子远程认证新方案，并对新方案进行了系统的安全性分析.分析表明，该新方案可抵抗各种不同攻击.

[1]Khan M K, Kumari S. An improved biometrics-based remote user authentication scheme with user anonymity[J].Journal of Biomedicine and Biotechnology, 2013 (10)：1 010-1 014.

[2]Lin H, Wen F T, Du C X. An improved anonymous multi-server authenticated key agreement scheme using smart cards and biometrics[J].Wireless Personal Communications,2015,84(4):2 351-2 362.

[3]Wen F T, Susilo W, Yang G M. Analysis and improvement on a biometric-based remote user authentication scheme using smart cards[J]. Wireless Personal Communications,2015,80(4);1 747-1 760.

[4]Wu L，Zhang Y，Wang F．A new provably secure authentication and key agreement protocol for SIP using ECC[J]．Computer Standards and Interfaces, 2009，31(2)：286- 291.

[5]Yang C C，Wang R C，Liu W T．Secure authentication scheme for session initiation protocol[J]. Computer & Security，2005，24 (5)：381-386．

[6]Yoon E J，Yoo K Y，Kim C，et al．A secure and efficient SIP authentication scheme for converged VoIP networks [J]. Computer Communications ，2010，33 (14)：1 674-1 681．

[7]Liao Y P，Wang S S. A new secure password authenticated key agreement scheme for SIP using self-certified public keys on elliptic curves[J]．Computer Communications,2010，33(3)：372-380．

[8]Yoon E J，Yoo K Y. A three-factor authentic-cated key agreement scheme for SIP on elliptic curves[C]// Yang X. Proceedings of the 2010 Fourth International Conference on Network and System Security. Los Alamitos: IEEE Computer Society,2010:334-339.

[9]Tang H B，Liu X S．Cryptanalysis and improvement of TAKA(SIP) protocol[J]. Journal of Computer Applications，2012，32(2)：468-471．

[10]Kocher P，Jaffe J，Jun B．Differential power analysis[C]// Michael W．19th Annual International Cryptology Conference. Berlin: Springer, 1999:388-397.

[11]Messerges T S, Dabbish E A, Sloan R H. Examining smart-card security under the threat of power analysis attacks [J]. IEEE Transactions on Computers，2002，5(51)：541- 552.

[12]Lumini A，Nanni L. An improved Biohashing for human authentication[J]. Pattern Recognition，2007，40 (3)：1 057-1 065.

[13]Tulyakov S, Farooq F, Mansukhani P,et al. Symmetric hash functions for secure fingerprint biometric systems[J]. Pattern Recognition Letters，2007，28 (16)：2 427-2 436.

[14]Inuma M，Otsuka A，Imai H. Theoretical framework for constructing matching algorithms in biometric authentication systems[C]//Tistarelli M,Nixon M S．The 3rd IAPR/IEEE Intentional Conference on Biometrics. Berlin: Springer,2009: 806-815.

[15]Ziauddin S，Dailey M N．Robust iris verification for key management[J].Pattern Recognition Letters，2010，31(9)：926-935.

(编辑：郝秀清)

A robust three-factor authentication key agreement scheme for SIP

SHEN Gui-fang

(Shandong Zibo No.17 Middle School of Science, Zibo 255012, China)

YoonandYooproposedanewthree-factorauthenticationkeyagreementschemeforSIPbyusingellipticcurvecryptosystem(ECC).Theyclaimedthattheirschemeissecureagainstmanyattacks.However,theauthorfoundsthattheirschemecannotwithstandimpersonationattackandman-in-the-middleattack.InordertoremedytheabovedefectsinYoonandYoo′sscheme,weproposedasecureandeffectivethree-factorauthenticationschemeandanalyzedthesecurity.Wefoundthattheimprovedschemecanresisttheaboveattacksandachieveuseranonymity.

biometrics；token；authentication；password；SIP

2016-01-23

沈桂芳，女，zyf@sdut.edu.cn

1672-6197(2016)06-0074-05

TP309.7

A