无线网络认证密钥交换协议L-MAKEP的改进

时间：2024-06-19

陈泗盛, 蓝红秀, 孙树亮

(福建师范大学福清分校电子与信息工程学院, 福建福清 350300)

陈泗盛, 蓝红秀, 孙树亮

(福建师范大学福清分校电子与信息工程学院, 福建福清 350300)

L-MAKEP协议是一种适用于非对等的无线网络的高效的密钥交换协议，该协议具有执行简单且计算复杂度低的优点。分析对比三种攻击方法，表明协议不能抵抗伪造和欺骗攻击，并指出安全问题在于其中的异或运算和公钥身份信息性验证的缺失。因此，在Yang-Chen方案的基础上采用身份密码系统，以身份信息作为用户的公钥，并在等式验证公式中引入公钥身份信息，从而实现双方的身份信息验证。同时增加了哈希确认来对弱客户端进行确认。协议的分析表明，改进协议能够正确执行，同时其安全性得到提高。

无线网络认证；密钥交换协议；L-MAKEP协议;协议改进

引言

无线网络是利用无线电射频或红外线等无线传输媒体与技术构成的通信网络系统。无线网络是无线设备之间以及无线设备与有线网络之间的一种网络结构。随着无线网络技术及其应用的迅速发展，网络安全问题成为制约其发展的一个主要因素。

无线设备在存储能力、计算能力、带宽和电源供电等方面具有一定的有限性。因此，无法将在有线网络的安全策略照搬到无线网络中，这就要求设计一些满足无线网络应用环境的安全机制[1-2]。

无线网络的安全数据发送协议和无线网络的密钥管理技术，是当前无线网络研究的一个热点。学者从不同的角度来研究无线网络中的身份认证密钥交换问题，如匿名性[3]、应用环境[4]等。L-MAKEP(Linear-MAKEP)协议[5]是针对非对称式无线网络设计的密钥交换协议，协议的一方可以是计算能力较低的一般节点，另一方要求具有较高的计算能力。该协议由于具有执行简单且计算复杂低的特点而受到很多的跟进研究，例如文献[6-9]从不通的角度对方案进行安全性分析，指出协议的安全问题，并给出相应的攻击方法，文献[10-12]将该协议延伸到IPTV和无线射频卡的用户认证中。本文在安全性方面，对比Shim方案[6]、Yang-Chen方案[7]、Liu-Chen方案[8]，进一步分析其安全问题，并在此基础上提出一个能够抵抗这三类攻击的改进方案，并对该方案进行安全性分析。

1 L-MAKEP认证密钥交换协议

图1 L-MAKEP认证密钥交换协议

具体在第i轮的协议中，A和B协商认证密钥的过程如下：

(1)用户A向用B发送证书。证书信息如下：

(2)用户B首先验证证书的有效性。如验证通过，则选取一个随机数rB∈zp-1，将其发送给A。

(3)A收到随机数rB后，选取另外一个随机数rA，并计算：

(1)

将(x,y)发送给B。

(4)B收到消息(x,y)后，验证等式(2)是否成立。

(2)

如果等式成立，B解密x=EPKB(rA)获取rA并计算σ=rA⊕y，用σ加密消息x获得密文Eσ(x)，并将其发送给A。

(5)A收到消息后，用自己先前计算的σ解密密文Eσ(x)，如果获取的明文和自己发送的消息x一致，则其确认B已经获取正确的会话密钥σ。

协议执行完毕后，A和B都相信它们和另一方面协商出了一个共享密钥σ。显然在密钥协商的过程中，A和B之间也进行了相互的身份认证。

2 L-MAKEP方案的安全分析

2.1 Shim的攻击方法

Shim[6]针对L-MAKEP提出了一种中间人攻击方案，即攻击者E实现让用户B相消息来源于E，同时A确信自己是与B进行通信(图2)。具体的攻击方法如下：

图2 Shim攻击方法

(5)E将收到的rB转发给A。

(6)A接收随机数rB，选取另一个随机数rA，计算：

(3)

发送(x,y)给B。

(7)E截取消息(x,y)，将消息替换成(x,y′)，其中y′=yc，并发送给B；

(8)当B收到消息(x,y′)，验证等式

(4)

(9)A收到消息Eσ(x)后解密密文，判断明文是否与之前发送的x一致，从而确定共享会话密钥σ的正确性。

Shim认为协议执行结束后，A相信自己和B共享了会话密钥σ，但是B认为自己和E共享了会话密钥σ。其实，认真分析Shim攻击方法不难发现，步骤(8)中用户B计算的会话密钥σ=rA⊕y′和A计算的会话密钥σ=rA⊕y是不一致的，因此在步骤(9)中用户A收到密文Eσ(x)后解密出来的明文验证是不能通过的。所以，Shim攻击不能达到预期的效果。

2.2 Yang-Chen的攻击方法

Yang-Chen[7]的攻击方法是基于这样的定理结论：对任意的第i轮线性MAKEP协议存在多对的(x,rB,y)满足式(2)。定理的证明可以参阅文献[7]。

假设攻击E者监听了A和B的交换过程并记录了交换信息，则E可以通过以下方法向B发起认证和密钥协商：

(3)E接收到rB′后，选取x′,y′，满足x⊕rB=x′⊕rB′，y=y′，并发送(x′,y′)给B。

(4)B收到消息(x′,y′)后，因为等式(2)能通过验证，所以其相信E是合法的用户。

Yang-Chen同时也给出针对上述攻击方法的改进方法：

(1)在式(1)中y的计算用以下式子替代：

y≡a2i-1rB+a2ix(modp-1)

(5)

(2) 式(2)的验证等式改为：

(6)

2.3 Liu-Chen的攻击方法

文献[8]中提出了一种类似于Yang-Chen的攻击方法，这里称之为Liu-Chen攻击法，它也是针对协议的异或运算提出了伪造方案。Yang-Chen的攻击方法中只说明了存在x′,y′满足x⊕rB=x′⊕rB′，具体的x′,y′如何选取没有给出方法，Liu-Chen方案给出了具体的x′,y′的构造方法。该攻击方法是基于以下结论：

(1) 如果a,b是两个奇数，则有：

a⊕b=(-a)⊕(-b)

(2) 如果a,b是偶数，且4|a,b，同时8⫮a,b，则有：

a⊕b=(-a)⊕(-b)

假设攻击E者监听了A和B的交换过程并记录了交换信息，则E可以通过图3所示的方法向B发起认证和密钥协商。

图3 Liu-Chen攻击方法

(x′,y′)：x⊕rB=x′⊕rB′，y′=y

(7)

并将(x′,y′)发送给B。

(4)B收到消息(x′,y′)后，能正确验证式(2)，所以其相信E是合法的用户。

3 L-MAKEP认证密钥交换协议的改进

分析可知：一方面，虽然Shim攻击并不能达到预期的目的，但是从其攻击方法分析中不难发现，由于在执行过程中缺少对A的公钥的验证，而且在发送消息过程中没有体现身份信息，因此协议对这类中间人攻击和重放攻击是存在安全风险的，这一点在文献[9]中也有提到；另一方面，Yang-Chen 和Liu-Chen的攻击都是针对协议中的异或运算的特点提出的，虽然Yang-Chen针对这类攻击提出了改进的方法，但是其并没有解决中间人攻击与重放攻击这一类安全问题。本文在Yang-Chen提出的改进方法的基础上，对前述安全问题进行进一步解决。

3.1 改进的L-MAKEP密钥交换协议

为了解决身份欺骗问题，在Yang-Chen方案的基础上采用基于身份的密码算法。用户的公钥是用户的身份信息ID，如A的公钥是IDA，由可信中心TA为用户计算私钥，如公钥IDA对应的私钥是sA。获取公钥对应的私钥后，在协议中产生的公钥序列就不需要从证书中心获取证书序列了，用户自己可以用自己的私钥计算出其他用户可以利用公共参数验证的公钥序列。具体的方案如图4所示。

图4 改进L-MAKEP密钥交换协议

3.1.1 用户注册

可信中心TA选择两个大素数p,q，计算n=pq，TA再选取算法参数e,d，满足ed≡1(mod φ(n))，以及与p,q都互素的数g，并保证g有较高的阶，且其阶为t。TA公开n,e,g,t，其他参数保密。

任何用户在使用密钥协商之前需要向TA注册，从而获得身份的私钥。注册过程如下：

(1)用户A将自己的身份信息IDA发送给TA，这里IDA是模n下的一个整数。

(2)TA计算A的私钥sA≡(IDA)-d(mod n)，并通过安全信道发送给用户A。

用户A公开自己的公钥IDA，保密自己的私钥sA。

3.1.2 协议的执行

用户A随机选取长度为偶数的整数序列(a1,a2,…,a2m)，其中1≤ai≤n-1,i=1,2,…,2m，作为私钥序列。并计算私钥序列对应的公钥序列(sAga1,sAga2,…,sAga2m)。

则在第i轮的协议中A和B协商认证密钥的过程如下：

(2)B选取一个随机数1≤rB≤n-1，将其发送给A。

(3)A收到随机数rB后，选取另外一个随机数1≤rA≤n-1，并计算：

x=EIDB(rA)

y≡ea2i-1rB+exa2i(mod t)

(8)

σ=rA⊕y

将(x,y)发送给B。

(4)B收到消息(x,y)后，验证等式

如果等式成立，B解密x=EPKB(rA)获取rA并计算σ=rA⊕y，用σ加密消息x获得密文Eσ(x)，并将其发送给A。

(5)A收到消息后，用自己先前计算的σ解密密文Eσ(x)，如果获取的明文和自己发送的消息x一致，则其确认B已经获取正确的会话密钥σ。A回复消息h(σ)给B。

(6)B收到确认消息h(σ)后，可以确认已经获取正确的会话密钥。

3.2 改进协议的分析

3.2.1 正确性分析

证明因为，sA≡(IDA)-d(mod n)，y≡ea2i-1rB+exa2i(mod t)所以，

(sAga2i-1)erB(IDA)rB(sAga2i)ex

=(sAga2i-1)erB(IDA)rB(sAga2i)ex

≡(IDA)-xgea2i-1rB+ea2ixx

≡(IDA)-xgy(mod n)

3.2.2 安全性分析

(1)在改进方案中，已经取消了异或的运算，其中y≡ea2i-1rB+exa2i(mod t)，所以针对异或运算的Yang-Chen和Liu-Chen攻击已经无效。

3.2.3 性能分析

改进的认证方案与L-MAKEP两个协议在执行方式上主要存在三方面不同。

(1)用户A的公钥证书获取。原方案是对每组公钥(ga2i-1,ga2i)都从中心获取证书，改进方案公钥证书是由用户的私钥计算得到。在这方面，原方案有通信消耗，而改进方案不需要进行通信但有计算消耗。

(2)用户A计算(x,y)。L-MAKEP协议和改进协议都包含一个加密运算、一个模下的乘法运算和一个异或运算。不同的是，在模下的乘法运算中，改进协议用数乘运算代替了异或运算，这一计算量的增加相对于模下的指数运算是不明显的。

(3)用户B的等式验证。改进方案验证等式：

较L-MAKEP方案的等式

多了身份方面的计算。

综上，改进协议整体计算量的增加主要体现在用户B验证等式。但是协议适用的不对等无效网络，即用户B比用户A具有更多的计算资源，因此可以认为改进方案是有效的。

4 结束语

密钥交换协议是无线网络安全中的一个重要的研究问题，是无线网络中密钥管理技术的一个重要组成部分。本文对比分析了Shim攻击、Yang-Chen攻击和Liu-Chen攻击，指出L-MAKEP不能抵抗中间人攻击的弱点。在Yang-Chen的改进方法的基础上引进了用户双方的身份信息，并以此作为公钥，应用身份密码算法实现身份认证，并通过最后的共享密钥的确认来对弱客户端进行认证。最后，对改进的协议进行了正确性、安全性和性能的分析，通过分析表明改进协议具有合理性和有效性。

[1] 冯登国.安全协议-理论与实践[M].北京:清华大学出版社,2011:273-316.

[2] 朱建明,马建峰.无线局域网安全:方法与技术[M].北京:机械工业出版,2005:2-15.

[3] LEE C C,LI C T,HSU C W.A three-party password-based authenticated key exchange protocol with user anonymity using extended chaotic maps[J].Nonlinear Dynamics,2013,73(1):125-132.

[4] DAVID D B,RAJAPPA M,KARUPUSWAMY T,et al.Secure mutual authentication and Key-Agreement protocol for IP Multimedia Server-Client[J].Journal of Computational & Theoretical Nanoscience,2014,20(11):1856-1863.

[5] WONG D S,CHAN A H.Mutual authentication and key exchange for low power wireless communications[C]//Proceeding of Military Communications Conference,2001.MILCOM 2001.Communications for Network-Centric Operations:Creating the Information Force,IEEE,Boston,USA,October 28-31,2001(1):39-43.

[6] SHIM K.Cryptanalysis of mutual authentication and key exchange for low power wireless communications[J].IEEE Communications Letters,2003,7(5):248-250.

[7] YANG F Y,CHEN R C.On the security of mutual authentication and key exchange for low power wireless communications[J].Chien-Kuo Journal,2003,22:611-615.

[8] LIU C L,CHEN S S,SUN S L.Security analysis of mutual authentication and key exchange for low power wireless communications[J].Energy Procedia,2012,17:644-649.

[9] SIAW L N,CHRIS M.Comments on mutual authentication and key exchange protocols for low power wireless communications[J].IEEE communications letters,2004,8(4):262-263.

[10] LEE C C,LI C T,CHEN C T,et al.A new key exchange protocol with anonymity between STB and Smart Card in IPTV Broadcasting[C]//Proceeding of 7th International Conference on Wireless communications,Networking and Mobile Computing,IEEE,Wuhan,China,September 23-25,2011:1-4.

[11] JUN E A,RHEE H S,JIM J G,et al.Fingerprint-based access control using smart cards in IPTV[J].Multimedia Tools and Applications,2014,73(2):647-661.

[12] LEE C C,CHEN C T, LI C T,et al.A practical RFID authentication mechanism for digital television[J].Telecommunication Systems,2014,57(3):239-246.

Improvement of Linear Mutual Authentication and Key Exchange Protocol for Wireless Network

CHENSisheng,LANHongxiu,SUNShuliang

(School of Electronic and Information Engineering, Fuqing Branch of Fujian Normal University, Fuqing 350300, China)

L-MAKEP Protocol is an efficient key exchange protocol that is suitable for the equivalence wireless network, which has the advantages of simple implementation and low computational complexity. Analysis and comparison of three kinds of attacks indicates that the protocol doesn’t overcome the forgery and spoofing attacks, and it is pointed out that security problem is to lack of XOR operation and doesn’t verifying the public key. The refore, an improved Key Exchange Protocol which cancels the XOR operation and applies the identity information based on the Yang-Chen program was put forward. At the same time it increase the hash to confirm the weak client to confirm. The analysis of the protocol indicated that the improved protocol can be executed correctly and more security.

identity authentication; wireless network; key exchange protocol; linear-MAKEP; improved protocol

2015-12-01

福建省教育厅科技项目(JB14132);福建师范大学福清分校科研创新基金项目(KY2014022)

陈泗盛(1981-),男,福建泉州人,讲师,硕士,主要从事网络与信息安全方面的研究,(E-mail)chssh1982@sohu.com;

孙树亮(1982-),男,安徽蚌埠人,副教授,博士,主要从事信息隐藏方面的研究,(E-mail)thussl_07@126.com

1673-1549(2016)01-0033-06

10.11863/j.suse.2016.01.08

TP393