认证远程访问

22一种一种一种一种适合远程访问场景的适合远程访问场景的适合远程访问场景的适合远程访问场景的认证和密钥交换方案认证和密钥交换方案认证和密钥交换方案认证和密钥交换方案叶润国叶润国叶润国叶润国1,2,3虞淑瑶虞淑瑶虞淑瑶虞淑瑶1,2,3冯彦君冯彦君冯彦君冯彦君1,2,3吴吴吴吴宇宇宇宇1,2,3(1.
中国科学院网络信息中心北京1000802.
中国科学院计算所北京1000803.
中国科学院研究生院北京100039)摘摘摘摘要要要要提出了一种基于基本ECMQV协议的非对称式认证和密钥交换方案AEAS可实现对客户端的口令认证和对服务端的公钥认证AEAS中的客户端口令认证具有零知识安全属性允许用户使用弱口令并能抵御各种字典攻击和重放攻击与同类非对称认证和密钥交换方案相比AEAS具有最少的公钥计算开销AEAS协议能集成到现有WTLS协议框架中从而实现一种高安全性和低计算开销的WTLS扩展它完全可满足无线终端在企业远程访问场景下的高安全性要求关键词关键词关键词关键词网络安全密钥交换方案ECMQVWTLSAnEfficientAsymmetricAuthenticationandKeyExchangeSchemeYERunguo1,2,3,YUShuyao1,2,3,FENGYanjun1,2,3,WUYu1,2,3(1.
ComputerNetworkInformationCenter,CAS,Beijing100080;2.
InstituteofComputingTechnology,CAS,Beijing100080;3.
GraduateSchooloftheChineseAcademyofSciences,Beijing100039)AbstractAnECMQV-basedasymmetricauthenticationschemeisproposed,whichenablesclientauthenticationwithmemorablepasswordsandserverauthenticationwithconventionalcertificates;theclientpasswordauthenticationpossesseszero-knowledge-proofsecurityproperty,whichallowsusingweakpasswords;implicitauthenticationisusedtovalidateserver-sideentity,whichgreatlycutsdownclientcomputationoverhead.
AEAScanbeintegratedintocurrentWTLSframework,resultinginaWTLSextensionwithhighersecurityandlowercomputationoverhead,whichmetswirelessterminals'high-securityrequirementsunderenterpriseremoteaccessscenario.
KeywordsNetworksecurity;Keyexchangescheme;ECMQV;WTLS计计计计算算算算机机机机工工工工程程程程ComputerEngineering第第第第32卷卷卷卷第第第第6期期期期Vol.
3262006年年年年3月月月月March2006博士论文博士论文博士论文博士论文文章编号文章编号文章编号文章编号10003428(2006)06002203文献标识码文献标识码文献标识码文献标识码A中图分类号中图分类号中图分类号中图分类号TP393.
08现有多种实现远程接入安全的网络协议包括IPSec和SSL/TLS等都采用对称认证形式因而需要为客户端颁发证书并需要解决客户端私钥的安全存储问题一些认证系统采用智能卡硬件设备来存储用户私钥但这种方式存在部署和使用上的不便从用户角度来看基于公钥的客户端认证方式远没有传统口令认证方式方便因此一些远程接入系统常采用非对称式认证方案即对服务端采用证书认证方式而对客户端采用口令认证方式比如在传统基于Web的SSL-VPN方案[1]首先通过SSL握手实现对服务端基于证书的单向认证然后通过传统口令认证过程(比如CHAP或OTP方案)实现对客户端的口令认证但由于该双向认证由两个独立的单向认证过程实现因此传统SSL-VPN方案存在中间人攻击现有一类新型的基于公钥的口令认证方案[2](比如SPEKESRP等)它无需为客户端颁发证书允许用户直接使用口令来认证自己并能防止各种针对口令的重放攻击和字典攻击但是这类口令认证方案并不能提供严格的服务端身份认证功能通过将该类口令认证方案嵌入到SSL/TLS协议框架中可实现一种比传统SSL-VPN方案更安全的非对称认证方案但这种基于公钥签名算法的服务端显式认证方法将增加客户端的签名验证开销1基本基本基本基本ECMQV协议介绍协议介绍协议介绍协议介绍ECMQV[3,4]是本文的AEAS协议基础与传统密钥交换方案采用显式公钥签名认证方式不同ECMQV采用隐式认证方式因而减少了通信两端计算开销基本ECMQV协议要求通信双方分别拥有一对静态公私钥并要求双方预先知道对方公钥(也可在通信过程中通过交换证书获得)在ECMQV执行过程中双方还需要分别生成一对临时的公私钥假设所有公钥运算操作都基于同一椭圆曲线参数{p,a,b,G,n,h}[3]分别用(,)wAWAA和(,)wBWBB表示A和B拥有的静态公私钥对,(,)rARAA和(,)rBRBB表示A和B临时生成的公私钥对图1说明了基本的ECMQV交换过程图图图图1基本的基本的基本的基本的ECMQV认证和密钥交换过程认证和密钥交换过程认证和密钥交换过程认证和密钥交换过程首先A生成一个随机数rA1≤rA≤n-1计算RA=rA.
G并将RA以及经过认证的静态公钥WA发送给B之后B生成一个随机数rB1≤rB≤n-1计算RB=rB.
G并将RB以及经过认证的静态公钥WB发送给AA检查公钥WB和RB有效性通过式(1)式(2)计算共享密钥KsA=(rA+ф(RA).
wA)modn(1)K=h.
sA(RB+ф(RB).
WB)(2)式(1)(2)中h和n均为椭圆曲线参数ф(R)为一函数基金项目基金项目基金项目基金项目国家863计划基金资助项目(2001AA1120402001AA112136)作者简介作者简介作者简介作者简介叶润国(1976)男博士生主研方向下一代计算机网络计算机安全虞淑瑶冯彦君吴宇博士生收稿日期收稿日期收稿日期收稿日期2005-03-13E-mailyerunguo@cnic.
cnWA,RA(wA,WA)A(wB,WB)BsA=(rA+ф(RA)wA)modnK=h.
sA(RB+ф(RB).
WB)sB=(rB+ф(RB)wB)modnK=h.
sB(RA+ф(RA).
WA)WB,RB(rA,RA)A(rB,RB)B生成临时公私钥对生成临时公私钥对23其值为椭圆曲线上点R的x坐标值后半部分其比特位数正好为n的一半因而式(2)中标量乘ф(RB).
WB的计算开销只是正常标量乘一半B检查公钥WA和RA有效性通过式(3)式(4)计算共享密钥KsB=(rB+ф(RB).
wB)modn(3)K=h.
sB(RA+ф(RA).
WA)(4)式(2)和式(4)中计算得到的K即为A和B的共享密钥它为椭圆曲线上一个点至此基本的ECMQV过程结束由于基本ECMQV过程采用隐式认证方式因此通信两端还需要选择一种合适的方案来确认该共享密钥K的一致性从而间接地实现对参与密钥交换双方的认证2一种基于一种基于一种基于一种基于ECMQV非对称认证方案非对称认证方案非对称认证方案非对称认证方案本文对基本ECMQV协议进行改进提出了一种新的非对称认证方案(AsymmetricECMQV-basedAuthenticationScheme,AEAS)实现了对客户端的传统口令认证和对服务端证书认证方式其中客户端口令认证具有零知识安全属性它允许用户使用弱口令并能够防止针对口令的各种字典攻击重放攻击和服务端口令认证库泄密后的直接假冒攻击由于它只要求用户记忆口令而无需为用户颁发证书因此减少了部署代价下面先介绍AEAS协议然后对其设计原理和安全性进行分析2.
1非对称认证协议非对称认证协议非对称认证协议非对称认证协议AEAS介绍介绍介绍介绍AEAS认证协议与基本ECMQV协议类似不同的是客户端静态公私钥对(,)wAWAA由用户标识ID和口令PW导出其导出公式如下wA=f(ID,PW)(5)WA=wA.
G(6)式(5)中函数f的作用是将标识ID和口令PW映射到一个满足椭圆曲线安全要求的私钥wA1≤wA≤n且wA与n具有同样的比特位数(这里n为椭圆曲线域参数中基点G的阶)由于该静态公钥WA同时也是用户口令验证因子因此它需要在用户注册时秘密保存在服务端而不允许泄密给第三方图图图图2AEAS协议的认证过程协议的认证过程协议的认证过程协议的认证过程图2描述了AEAS协议的认证过程这里假设客户端为Alice服务端为Bob由Alice口令PW导出的静态公私钥对为(,)wAWAABob已经保存了Alice的口令验证信息Alice和Bob生成的临时公私钥对分别为(,)rARAA和(,)rBRBB(1)Alice发送ID给服务端Bob(2)Bob根据ID查找其口令验证库得到Alice的口令验证因子WA生成一对临时的公私钥(,)rBRBB计算QB=3WA+RB发送其经过认证的静态公钥WB和QB(3)Alice根据用户口令PW和式(5)(6)生成(,)wAWAA生成一对临时的公私钥(,)rARAA计算RB=QB–3WA根据式(1)式(2)计算ECMQV共享密钥K计算M1=HMAC(K,RA,RB)发送RA和M1(4)Bob根据式(3)式(4)计算共享密钥K使用K验证M1正确性计算M2=HMAC(K,M1,RB,RA)最后发送M2(5)Alice根据ECMQV共享密钥K验证M2正确性至此AEAS协议认证过程结束2.
2QB的计算问题的计算问题的计算问题的计算问题在AEAS协议中服务端Bob传送的临时公钥是QB=3WA+RB而不是RB其目的是防止攻击者冒充服务器发起主动字典攻击如果服务端只传送RB而不是QB则攻击者可能冒充服务器来欺骗客户端登录发起主动字典攻击攻击过程如下(1)Alice发送ID给攻击者Eve(2)Eve生成一对临时的公私钥(,)rBRBB发送其静态公钥WB和临时公钥RB(3)Alice根据用户口令PW和式(5)(6)生成(,)wAWAA生成一对临时的公私钥(,)rARAA根据式(1)式(2)计算ECMQV共享密钥K计算M1=HMAC(K,RA,RB)发送RA和M1(4)Eve给Alice发送一个错误消息从而中止认证过程此时Eve获取了足够的信息用于执行离线字典攻击它可以按如下步骤执行口令猜测过程从口令字典中获取一个候选口令PW'根据式(5)式(6)得到WA'根据式(3)式(4)计算ECMQV共享密钥K'使用K'验证Alice发送的M1消息正确性如果验证成功则找到了Alice的正确口令由于攻击者并不知道用户的正确口令验证因子WA因此可以在临时公钥RB中加入WA的影响以防止上述主动字典攻击这里需要设计一个函数QB=F(WA,RB)设计这个函数F时必须谨慎要防止由此带来的另一种攻击口令分离攻击(PasswordPartitionAttack)即必须防止攻击者从QB中得到一些有用的暗示信息从而将不符合要求的口令从字典中分离出来从而使口令字典变小在AEAS协议中本文选择了椭圆曲线中的加操作来实现函数F即QB=k.
WA+RB因为椭圆曲线上点的加操作和标量乘操作得到的仍然是一个椭圆曲线点所以它能够防止口令分离攻击QB中引入整数系数k的目的是要破坏函数F的对称性从而避免攻击者在一次假冒服务器攻击过程中同时猜测两个口令[5]k可为变量也可为一个常数考虑到计算开销问题k还应该是一个小整数由于这里假设所选择的椭圆曲线域参数为{p,a,b,G,n,h}(其中p为安全素数)与文献[5]类似这里作者选择k=32.
3AEAS协议安全性分析协议安全性分析协议安全性分析协议安全性分析AEAS协议目的是要实现一种非对称认证方案即对客户端采用口令认证方式而对服务端采用证书认证方式下面对AEAS协议作一个非正式的安全性分析在AEAS协议中用户口令PW只用来导出客户端静态公私钥对(,)wAWAA并且PW和(,)wAWAA都无需在网络上传输因此AEAS协议能够防止针对用户口令的网络窃听此外由于每次用户口令认证过程都是一次全新的ECMQV密钥交换过程因此它能够防止针对用户口令的重放攻击AEAS协议能够防止针对用户口令的被动字典攻击这是因为在AEAS协议中客户端发送的临时公钥RA与用户口令没有任何关系服务端发送的QB中虽然包含了用户口AliceBobB(wB,WB)根据ID查找WA生成临时公私钥对B(rB,RB)计算QB=3WA+RBIDWB,QB根据口令PW生成A(wA,WA)生成临时公私钥对A(rA,RA)计算RB=QB-3WA计算共享密钥KM1=H(K,RA,RB)RA,M1计算共享密钥K验证M1M2=H(K,M1,RB,RA)M2验证M2口令PW24令认证因子WA但是QB中还包含了一个随机产生的公钥RB因此AEAS协议能够防止攻击者通过QB离线猜测用户口令由2.
2小节可知QB还能够抵制口令分离攻击从2.
2小节分析可知AEAS协议能够防止攻击者假冒服务器发起主动字典攻击同时它还能够防止攻击者假冒客户端发起的主动字典攻击这是因为在该AEAS协议认证过程中对ECMQV共享密钥K的确认过程首先由用户端发起(客户端首先发送M1值)攻击者在不知道用户口令的情况下无法构造正确的M1消息此外AEAS协议还能够防止在用户口令认证库(即用户静态公钥WA)泄密情况下的直接假冒攻击(1)在只知晓用户静态公钥WA情况下攻击者无法假冒用户A登录系统因为它无法计算出正确的ECMQV共享密钥K(2)在只知晓用户静态公钥WA而不知晓服务器静态私钥wB情况下攻击者无法假冒服务器来欺骗客户端的登录攻击者唯一可能发起的攻击是采用野蛮攻击法由用户静态公钥WA来猜测用户口令PW这种攻击是其它口令认证协议(包括B-SPEKE和SRP协议等)都无法防止的可以通过增加攻击难度来抵制这种攻击比如要求用户选择信息熵比较高的口令3各方案性能比较各方案性能比较各方案性能比较各方案性能比较下面从用户角度对3种非对称认证方案即AEAS传统SSL-VPN以及[6]中的SRP-TLS做一个性能上的比较这里做如下假设(1)3种方案都建立在相同的公开密码体制上这里选择椭圆曲线公钥体制(2)忽略与公钥计算无关的其它计算开销这里只计算每个方案的标量乘个数(3)假设对服务端证书的验证只需执行一个ECDSA签名验证操作表1比较了各认证方案总的标量乘数以及允许预先计算情况下的在线标量乘数(1)传统SSL-VPN执行了一个ECDHE-ECDSA认证交换方案(这里只认证服务端)目的在于提供与SRP-TLS和AEAS方案尽可能接近的安全性比如前向密钥保密功能(PerfectForwardSecrecy)(2)这里可以预先离线计算的标量乘操作包括对服务端证书的有效性验证临时公私钥对的产生等表表表表13种非对称认证方案的标量乘数种非对称认证方案的标量乘数种非对称认证方案的标量乘数种非对称认证方案的标量乘数比较比较比较比较评估项目传统SSL-VPN1SRP-TLS方案AEAS方案总的标量乘数675.
5在线标量乘数2342.
5从表1中可以看出3种非对称认证方案中无论从总的标量乘数还是在线执行的标量乘数来看AEAS方案都拥有最少的标量乘计算开销4结论结论结论结论本文提出了一种基于基本ECMQV协议的非对称认证方案AEAS它实现了对客户端的口令认证和对服务端的公钥认证方式AEAS协议允许用户使用弱口令并能够防止针对用户口令的各种重放攻击字典攻击和服务端口令认证库泄密后的直接冒充攻击由于服务端采用隐式方式来认证自己因此省去了客户端的签名验证操作具有比其它非对称认证方案更好的性能AEAS协议能集成到现有WTLS框架中实现了一种高安全性和低计算开销的WTLS扩展完全可满足无线终端在企业远程访问场景下的高安全性要求参考文献参考文献参考文献参考文献1GilmoreC,KormannD,RubinAD.
SecureRemoteAccesstoanInternalWebServer[C].
Proc.
ISOCSymposiumonNetworkandDistributedSystemSecurity,1999.
2IEEEP1363.
2.
StandardSpecificationsforPublic-keyCryptography:Password-basedTechniques[Z].
IEEE,http://grouper.
ieee.
org/groups/1363/,2002.
3Certicom,Corp.
SEC1:EllipticCurveCryptographyVersion1.
0[EB/OL].
http://www.
secg.
org/collateral/sec1.
pdf,2000.
4LawL,MenezesA,QuM,etal.
AnEfficentProtocolforAuthenticatedKeyAgreement[R].
TechnicalReportCORR98-05,Dept.
ofC&O,UniversityofWaterloo,Canada,1998.
5WuT.
SRP-6:ImprovementsandRefinementstotheSecureRemotePasswordProtocol[EB/OL].
http://srp.
stanford.
edu/srp6.
ps,2002.
6TaylorD,WuT,PerrinT.
UsingSRPforTLSAuthentication[R].
IETFDraft(WorkinProgress),2004.
(上接第21页)(3)MDS2MDS2基于LDAP的数据模型其信息表达能力及灵活性远不如基于XML的描述性数据模型而且LDAP的数据模型不具备动态特征在科学数据网格服务发现框架中网格服务完成GRIS的功能将网格服务及其封装的底层资源的元数据信息写入GSIDD类似MDS2中内容提供者将资源信息写入GRISGSDIS对应于MDS2中的GIISGSDIS在其内部的数据库中管理和缓存GSLink和网格服务信息而GIIS在内存中管理和维护网格资源信息GSDIS支持关键词查询而GIIS和GRIS支持LDAP查询这种方式的缺点是要求用户学习LDAP查询语言并且熟悉相关信息的数据模式在信息管理和维护方面GRIS静态地配置缓存信息的生命期这种方法可能导致缓存信息与原始信息的不一致本文采用的方法能够以多种灵活的方式实现一致性要求6结论结论结论结论本文描述科学数据网格环境下集成服务的设计和初步实现根据地理局部性和逻辑相关性虚拟组织中有一个或多个网格服务发现集成服务每个网格服务发现集成服务都是一个自治的数据库系统同时在存储的网格服务信息上支持基于关键词查询的服务发现检索通过软状态机制实现网格服务信息的一致性管理和维护设计了网格服务信息分发协议实现了强一致性缓存策略服务端无效和服务端更新机制以及弱一致性缓存策略一种扩展的生命期机制称为二阶生命期通过这些机制实现缓存网格服务信息的可靠性和一致性下一步的工作是随着科学数据网格系统的建设进一步完善网格服务发现集成服务的功能参考文献参考文献参考文献参考文献1FosterI,KesselmanC,NickJ,etal.
ThePhysiologyoftheGrid:AnOpenGridServicesArchitectureforDistributedSystemIntegration[Z].
http://www.
globus.
erg/research/paper/ogsa.
pdf,2002.
2WangJ.
ASurveyofWebCachingSchemesfortheInternet[J].
ACMComputerCommunicationReviews,1999,29(5).
3ArlittM.
FriedrichR,JinT.
PerformanceEvaluationofWebProxyCacheReplacementPolicies[C].
Proc.
10thInt.
Conf.
onModelingTechniquesandToolsforComputerPerformanceEvaluation,PalmadeMallorca,Spain,1998:193-206.