Verifier-based 身份認證通訊協定之安全證明技術之研究
9
0
0
全文
(2) 行政院國家科學委員會補助專題研究計畫成果 報告 ※※※※※※※※※※※※※※※※※※※※※※※ ※※※ ※ ※. Verifier-based 身份認證通訊協定. ※ ※. 之安全證明技術之研究. ※ ※ ※ ※※※※※※※※※※※※※※※※※※※※※※※ ※※ 計畫類別:þ個別型計畫. □整合型計畫. 計畫編號:NSC 91-2213-E-006-085- 執行期間:. 91 年. 8月1日 至. 計畫主持人:黃宗立教授. 2. 92 年 7 月 31 日.
(3) 本成果報告包括以下應繳交之附件: □赴國外出差或研習心得報告一份 □赴大陸地區出差或研習心得報告一份 □出席國際學術會議心得報告及發表之論文各一份 □國際合作研究計畫國外研究報告書一份. 執行單位:成功大學資訊系. 中. 華. 民. 國. 年. 92. 3. 9. 月. 22. 日.
(4) Verifier-based 身份認證通訊協定之安全證明 技術之研究 計畫編號:NSC 91-2213-E-006-085執行期限:91 年 8 月 1 日至 92 年 7 月 31 日 主持人:黃宗立教授. 一、中文摘要. 成功大學資訊系. 定。 我們同時也更進一步地使用所改良後 的證明系統來證明我們之前所設計協定的. 近年來,使用通行碼來達成身分認證. 安全性。. 及金鑰交換的協定在密碼學上一直是個很. 關鍵詞:密碼、金鑰交換、身份認證、字 典攻擊、證明系統. 熱門的研究主題。這些協定都只需要利用 一個簡單的通行碼便可同時達成使用者彼 此的身份認證和會議金鑰的交換。最近, M. Bellare 等人發展出一套植基於 Random. Abstract. Oracle 的證明系統。隨後,V. Boyko 等人 也 發 展 出 另 一 套 植 基 於 RealWorld –. Password-based. IdealWorld simulation 的證明系統。這兩種. authenticated. key. exchange protocols are among the hottest. 方法都可以讓我們用正規的方式來證明一. research topics in Cryptography nowadays.. 個 AKE(身份認證暨金鑰交換)協定的安全. These protocols can achieve both user. 性。對於這種 AKE 協定的安全問題,我們. authentication and session key exchange via. 已經執行過三年的國科會計畫。在第一年. simple passwords. Recently, M. Bellare et al.. 中,我們設計出了一種三個步驟、. proposed a proof system based on Random. verifier-based 的 AKE 通訊協定;而在第二. Oracle model. Subsequently, V. Boyko et al.. 年中,我們研究了兩種證明系統,並且去. developed another proof system based on. 分析比較其優缺點。在本年度,我們修改. RealWorld – IdealWorld simulation. Both. Bellare 等人所設計之證明系統,使其可以. approaches can formally demonstrate the. 適用於證明 verifier-based 的 AKE 通訊協. security of an AKE (authenticated key 4.
(5) exchange) protocol. We have researched the. 設通訊的雙方一邊是使用者,另一邊是主. security of AKE protocols for three years. 機,則此類特性就是使用者和主機均存放. under the support of NSC. We designed a. 相同的密碼,因此如果主機的密碼檔被攻. new 3-pass verifier-based AKE protocol in. 擊者偷走的話,攻擊者便可偽冒成任何使. the first year, and then we have surveyed and. 用者來登入主機。第二類是 Verifier-based,. analyzed the two proof systems in the second. 也就是雖然使用者還是記密碼,但是主機. year. In this year, we enhanced Bellare et. 上 存 的 卻 是 密 碼 經 過 單 向 函 數 (one-way. al.’s proof system to prove the security of. function)後的 shadow。攻擊者即使入侵主. verifier-based AKE protocols. Furthermore,. 機,偷到了 shadow 檔,由於不知道真正的. we also applied the improved system to. 密碼,所以並無法直接去偽冒使用者,這. justify our previous result.. 類的通訊協定雖然比較安全,但通訊及計 算的負擔均比第一類的大。由於目前在開. Keywords: Password, Key Exchange, Authentication, Dictionary Guessing Attack, Proof System. 放的網路環境之下,主從式架構(client to host)為最常見的網路型態,因此我們在前 年國科會計畫中,研究的重點即在研發出. 二、緣由與目的. Verifier-based 身份認證技術。在參與人員. 使用帳號(ID)和通行碼(Password)來. 的努力之下,我們設計出了一個 3 步驟、5. 進行身份認證是網路服務上最常見的機. 個指數運算的通訊協定 (發表在民國 89 年. 制。因為使用者不需要任何額外的裝置,. 的全國資訊安全會議)。. 僅需要記住自己的帳號和通行碼就可以隨. 然而,以上所有的 AKE 通訊協定,. 時隨地的上網取得服務和資源。然而,一. 其安全性的分析均是以列舉討論的方式。. 般常用的網路協定 (如 Telnet、FTP) 均直. 意即:安全性的分析是以舉出幾種常見的. 接以明文的方式在網路上傳送帳號及通行. 攻擊方式來討論,因此,在分析上往往是. 碼,因此攻擊者可以竊聽的方式先取得使. 掛萬漏一。很不幸的,我們之前在全國資. 用者的所有機密資訊,然後再利用所竊得. 訊安全會議發表的 Verifier-based AKE 通訊. 的機密資訊來取得使用者的權限。. 協定即會遭受一種變形的字典攻擊法 (攻. 為了解決這些問題,許多植基於通行. 擊法的細節請參閱本計畫之計畫書)。為了. 碼之 AKE (Authenticated Key Exchange, 身. 能真正的檢驗出 AKE 通訊協定的安全. 份認證暨金鑰交換) 通訊協定 [2, 3, 4, 5, 6, 性,Bellare and Rogaway 等人開始研究出 7, 8] 被設計發展出來。這些植基於通行碼 一套植基於 Random Oracle 可證明出 AKE 的 AKE 通訊協定可以幫助通訊雙方在短. 通 訊 協 定 安 全 性 的 模 型 [9] ( 以 下 簡 稱. 短的幾個步驟之內達成彼此的身份認證並. Random Oracle 模型)。除了 Bellare 等人所. 且溝通產生出一把只有通訊雙方知道的會. 提出的 Random Oracle 模型外,還有另外. 議金錀 (Session Key) 以加密保護之後所. 一種 Real World - Simulation World 的模型. 有訊息。這種通訊協定又可再細分為兩. [10] (以下簡稱 Simulation 模型) 也可以. 類:第一類是 plaintext-equivalent,我們假. 用來證明 AKE 通訊協定的安全性。在去 5.
(6) 年的國科會研究計畫,我們徹底的分析、. Verifier。. 研究這兩種證明模型,並且比較各項優缺. 2.. 在協定進行的同伴關係 (Partnering). 點。我們的結論是,Simulation 模型由於. 方面,集合 C 中成員的同伴必須為集. 必須要模擬整個協定運作的所有情形,所. 合 U 中的一員;相似地,集合 U 中成. 以當協定本身步驟多時,證明的複雜度成. 員的同伴必須為集合 C 中的一員。. n. 2 指數次方成長,因此在使用上並不實. 3.. 在攻擊者 (Adversary) 的能力方面,. 際。而 Random Oracle 模型因利用反證法. 除 了 傳 送 (Send) 、 洩 露 會 議 金 鑰. 的邏輯推導,所以並不需要窮舉所有的情. (Reveal)、測驗 (Test)、執行一個回合. 況,複雜度並不會因為協定本身步驟多而. (Execute)、查詢 Random Oracle (Hash). 上升。因此,在本年度的計畫中,我們以. 等原本的能力之外,我們必須額外定. Random Oracle 模型為基底來發展出一套. 義出兩種適用於 Verifier-based AKE 通. 能用來證明 verifier-based AKE 通訊協定的. 訊協定的能力:取得通行碼. 證明系統,並且用這套證明系統來真正的. (GetPassword). 證明出我們之前所設計協定的安全性. (GetVerifier) 這兩種能力。攻擊者可以. 和. 取 得. Verifier. 對集合 C 中成員下 GetPassword 的命 三、結果與討論. 令取得該成員的通行碼,或是對集合 U 中成員下 GetVerifier 的命令取得該. Random Oracle 的證明模型雖然是目. 成員所儲存的 Verifier。. 前為大家所普遍接受的一種證明方法,但. 4.. 是其並未考慮到一種在 Verifier-based 通訊. 面,由於我們要把 Stolen Verifier 包含. 協定中才會存在的要求:Verifier-based 的. 進證明模型中,又攻擊者僅能對新鮮. AKE 通訊協定要能抵抗 Stolen Verifier 的攻. 的金鑰進行測驗來推導其安全度,因. 擊。也就是說,當主機的 shadow 檔遺失了. 此我們在此重新定義金鑰的新鮮度。. (意即 Verifier 遺失了),攻擊者在沒有執行. 一個新鮮的金鑰要滿足以下的條件:. 字典攻擊的情況下,無法直接以 Verifier 來. A.. 冒充使用者取得會議金鑰。因此我們對. 此 次 通 訊 的 成 員 均 同意 這 把 金 鑰。. Random Oracle 模型進行以下的擴充使其. B.. 能完整的證明 Verifier-based AKE 通訊協定. 此次通訊的成員均無被攻擊者下 過 Reveal 的命令。. 的安全性。 1.. 在 金 鑰 新 鮮 度 (Freshness) 的 定 義 方. C.. 此次通訊的使用者在收到第一個. 在協定參與者 (Protocol Participants). Send 命令前,沒有被攻擊者下過. 方面,我們定義出來兩個集合,集合 C. GetPassword 的命令。 D.. 包含所有的使用者,集合 U 包含所有. 如果此次通訊的主機被攻擊者下. 的主機。集合 C 中的任一成員均和集. 過 GetVerifier 的命令,則此次通. 合 U 中的所有成員分享不同的通行. 訊的使用者所有收到的訊息均由. 碼。集合 C 中的成員儲存通行碼的明. 此主機所產生。 在此定義下,我們巧妙的把取得 Verifier. 漂。而集合 U 中的成員儲存通行碼的 6.
(7) 後,假冒主機的情況排除在證明的模型外 (因為取得 Verifier 後,攻擊者一定可以偽 冒主機),但是,攻擊者利用 Verifier 直接 假冒使用者的情況卻有包含在證明中,因 此,若在證明中最後能成功的推導出安全 的關係式,則我們便成功的證明出 Verifier-based AKE 通訊協定的安全性。 在我們的證明模型被完整的定義出來 後我們開始拿實際的 Verifier-based AKE 通 訊協定來證明其安全性。我們先將前年設 計出通訊協定之加以改良,使其能抵抗所 有已知的攻擊,然後,我們再用正規的方 式來證明其安全性。. 7.
(8) 我 們 新 改 良 出 來 之 Verifier-based. 除了證明以上的通訊協定外,我們也. AKE 通訊協定如下圖一所示:. 同時設計了一些不同特性的通訊協定,並 且證明其安全性。有些研究成果目前已送 至一些知名期刊審查中,而有關三方的. π. AKE 通訊協定和其證明也已刊載在本團隊. v1=H0(π)-r , v2= gπ. 剛畢業之博士生的博士論文中 [11]。 四、計畫成果自評. Select x (1) A= g x ⋅ H0 (π )r. C. ( 4 ) m = ( g y )π (5) s = ( g y ) x. IDc, A. B. C. S. S. 本計畫本年度結束已完成各階段之所. g x = A⋅ v1 ( 2) B = g y ( 3) s = ( g x ) y. 有 工 作 。 包 括 : 設 計 出 適 合 於 1.. ( 4)m = v2. 2. 驗證所證明模型的正確性。 3. 設計各. Verifier-based AKE 通訊協定之證明模型。. y. 種特性之通訊協定並且以所設計出之證明 K=H1(A,B,m,s). 模型證明之。 4. 成果報告之撰寫。我們已. 圖一、Verifier-based AKE 通訊協定. 完全達成本年度計畫之所有目標,期待我 在此我們簡述一下圖一之通訊協定。. 們的研究成果對於此領域上之學術研究能. C 為使用者,S 為主機,用戶記得自己的通. 有所貢獻。. 行 碼 π , 主 機 則 存 放 π 的 verifier 五、參考文獻. v1=H0(π)-r 和 v2=gπ,經過了如圖一所示的 步驟後,若使用者和主機能算出相同的會. [1] W. Diffie and M.E.Hellman. “New directions in cryptography.” IEEE Transactions on Information Theory” IT-22(6):644-654 , Nov. 1976. 議金鑰 K=H1(A,B,m,s),則使用者和主機便 能由之後的通訊來驗證彼此的身份。 經過我們的證明後,我們推導出以下. [2] S.M. Bellovin and M. Merritt. “Encrypted key exchange: Password-based protocols secure against dictionary attacks.” In Proceedings of the 1992 IEEE Computer Society Conference on Research in Security and Privacy, pages 72-84,1992.. 的定理來證明圖一通訊協定 (以下稱為協 定 P ) 的安全性。 Theorem 1. Let AdvPake be the advantage. that an adversary A breaks the AKE security. [3] S.M. Bellovin and M. Merritt. “Augmented encrypted key exchange: A password-based protocol secure against dictionary attacks and password file compromise.” Technical report, AT&T Bell Laboratories, 1994. of the protocol P within time t. Let SuccGcdh be the advantage that an CDH attacker w breaks the CDH assumption within time t’. Let N be the size of all passwords. Assume A breaks the AKE security of P by running qse. [4] M. Steiner, G. Tsudik, and M. Waidner. "Refinement and extension of encrypted key exchange." ACM Operating Systems Review, 29(3), July 1995.. Send queries, qh Hash queries and qex Execute queries. Then, we have:. q se N + 2q h ( q se + q ex ) SuccGcdh (t ' ). AdvPake (t , q se , q h , q ex ) ≤. [5] D. Jablon. “Strong password-only authenticated key exchange” Computer Communication Review, 26(5):5-26, 8.
(9) October 1996.. Springer-Verlag, 22-26 Aug. 1993.. [6] D. Jablon. “Extended password methods immune to dictionary attack” In WETICE ’97 Enterprise Security Workshop, Cambridge , MA. June 1997. [13]M. Bellare and P. Rogaway. “Random oracles are practical: A paradigm for designing efficient protocols.” CCS’93, pp. 62-73. [7] WU T. “Secure remote password protocol” Internet Society Symp. Network and Distributed System Security, 1998. [14]M. Bellare and P. Rogaway. “Optimal asymmetric encryption.” Advances in Cryptology— EUROCRYPT 94, volume 950 of Lecture Notes in Computer Science, pp. 92-111. Springer-Verlag, 1995, 9-12 May 1994. [8] T. Kwon and J. Song “Secure agreement scheme for via password authentication” ELETRONICS LETTERS, Vol. 35 No.11 27th May 1999. [15]M. Bellare and P. Rogaway. “Provably secure session key distribution— the three party case.” Proceedings of the Twenty-Seventh Annual ACM Symposium on the Theory of Computing, pp. 57-66, Las Vegas, Nevada, 29 May-1 June 1995.. [9] M. Bellare, D. Pointcheval, and P. Rogaway. “Authenticated key exchange secure against dictionary attacks” EUROCRYPT2000.. [16]S. Blake-Wilson, D. Johnson, and A. Menezes “Key agreement protocols and their security analysis” Sixth IMA Intl. Conf. On Cryptography and Coding, 1997. [10]V. Boyko, P. MacKenzie, and S. Patel “Provably secure password authentication and key exchange using Diffie-Hellman” EUROCRYPT2000. [11]林峻立,「可證明安全的通行碼驗證金 鑰交換」 國立成功大學資訊學系博士 論文,2003. [17]M. Bellare, R. Canetti, and H. Krawczyk. “A modular approach to the design and analysis of authentication and key exchange protocols” STOC’98, pp. 419-428. [12]M. Bellare and P. Rogaway. “Entity authentication and key distribution” Advances in Cryptology— CRYPTO ’93, volume 773 of Lecture Notes in Computer Science, pp. 232-249.. 9.
(10)
相關文件
The share of India & Taiwan in the World economy and discussed how world export-import market is increasing year by year.. The data shows us that the business between these
Mehrotra, “Content-based image retrieval with relevance feedback in MARS,” In Proceedings of IEEE International Conference on Image Processing ’97. Chakrabarti, “Query
Shih and W.-C.Wang “A 3D Model Retrieval Approach based on The Principal Plane Descriptor” , Proceedings of The 10 Second International Conference on Innovative
D.Wilcox, “A hidden Markov model framework for video segmentation using audio and image features,” in Proceedings of the 1998 IEEE Internation Conference on Acoustics, Speech,
[16] Goto, M., “A Robust Predominant-F0 Estimation Method for Real-time Detection of Melody and Bass Lines in CD Recordings,” Proceedings of the 2000 IEEE International Conference
Jones, "Rapid Object Detection Using a Boosted Cascade of Simple Features," IEEE Computer Society Conference on Computer Vision and Pattern Recognition,
近年來國內外許多學者也紛紛投入 RFID 安全性的研究,2003 年首先由 Weis 等 學者提出了 RFID 認證協定之論文,開啟了 RFID
Harma, “Automatic identification of bird species based on sinusoidal modeling of syllables,” in Proceedings of IEEE International Conference on Acoustics, Speech,
