浅谈无可信第三方的身份认证协议

浅谈无可信第三方的身份认证协议
以ISO/IEC 11770-2密钥建立机制为例，对无可信第三方的身份认证协议进行研究，进行严格的形式化分析和安全性能分析，发现其在不可否认性方面存在一定的缺陷，并提出了改进的方案，进一步增强了协议的安全性能。

标签：无可信第三方；身份认证；形式化分析
引言
随着移动互联网的飞速发展，各种互联网服务给人们带来了便利，其安全问题也成为一个社会关注的焦点。

身份认证是确保网络应用安全的第一道关卡，已成为当前信息安全领域的研究热点之一。

根据协议中可信第三方的参与情况，可以将身份认证协议分为有可信第三方的和无可信第三方的两大类[1]。

在有可信第三方的身份认证协议中，协议的交互需要借助可信的第三方来认证用户的身份，通常需要用户在第三方处进行相关的信息注册，可信第三方与每个用户都分别有共享的秘密信息。

在无可信第三方的身份认证协议中，双方进行身份认证不需要可信第三方的参与，仅通过交换消息便可进行实体认证，协议执行中用于加密消息的密钥需要保存在双方本地。

如果使用对称加密体制，需要各用户之间存在共享的密钥。

文章着重研究的无服务器密钥建立协议，是一种非常典型的无可信第三方身份认证协议，协议双方不利用服务器而直接完成双向认证并成功交换密钥。

ISO/IEC 11770-2密钥建立协议[2]是其中的典型，一共定义了13种密钥建立机制，前6种密钥建立机制不需要可信第三方的参与。

文章重点对其第6种密钥建立机制进行深入的分析，运用BAN逻辑对其进行严谨的形式化分析，发现其存在的缺陷，并提出相应的改进方案。

1 ISO/IEC 11770-2密钥建立机制6
ISO/IEC 11770-2密钥建立机制6使用对称加密体制，涉及两个主体A和B，均拥有长期共享的密钥Kab，通过引入随机数来保持信息的新鲜性，具体过程如图1所示。

（1）B→A：Nb B向A发出通信请求，发送随机数Nb。

（2）A→B：{Na，Nb，B，Fab}Kab A收到来自B的请求后，用与B长期共享的密钥Kab加密消息{Na，Nb，B，Fab}发送给B，其中随机数Na、Nb用以标识该会话信息的新鲜性，B为身份区分标识符，密钥材料Fab用来后继生成会话密钥K。

（3）B→A：{Nb，Na，Fba}Kab B将收到的消息解密，通过核对随机数Nb
和身份标识B确认这是与A之间的会话，然后用密钥Kab将{ Nb，Na，Fba}加密后发送给A，其中密钥材料Fba用来生成会话密钥K。

通过上述3个步骤，会话双方A和B能够确认对方身份，并生成新的会话密钥K=F（Fab，Fba），A和B能借助K建立新的安全会话。

2 ISO/IEC 11770-2密钥建立机制6的形式化分析
2.1 BAN逻辑简介
目前广泛使用的安全协议形式化分析方法是基于知识和信念的形式逻辑分析法[3]，其中最有影响力的是BAN逻辑[4]。

BAN逻辑是一种基于信念的模态逻辑，其目标是认证参与协议的主体的身份，分析协议能否达到预定的目标，其基本语句及其含义如表1所示。

BAN逻辑的主要推理规则如下：
（1）消息含义规则R1：（P|≡Q P，P△{X}K）/（P|≡Q|～X），表示若P相信K为P、Q间的共享密钥，且P收到过信息{X}K ，那么P就相信Q曾发送过信息X。

（2）随机数验证规则R2：{P|≡#（X），P|≡Q|～X}/（P|≡Q|≡X），表示若P 相信消息X是新鲜的，且P相信Q曾发送过X，那么P就相信Q是相信X的。

（3）信仰规则R3：{P|≡Q|≡（X，Y）}/（P|≡Q|≡X），表示若P相信Q相信消息（X，Y），则P相信Q相信X。

（4）管辖规则R4：（P|≡Q|=>X，P|≡Q|≡X）/（P|≡X），如果P相信Q对X 具有管辖权，而且P相信Q相信X，那么P就相信X。

（5）新鲜性规则R5：{P|≡#（X）}/{P|≡#（X，Y）}，表示若P相信消息X 是新鲜的，则P相信消息（X，Y）也是新鲜的。

2.2 协议的形式化分析
（1）协议的形式化描述
主体A和B之间主要通过以下三步完成认证：
1.B→A：Nb；
2.A→B：{Na，Nb，B，Fab}Kab；
3.B→A：{Nb，Na，Fba}Kab
（2）初始假设
A、B相信彼此间的共享密钥Kab：P1：A|≡A B；P2：B|≡A B；
A、B相信各自发送随机数的新鲜性：P3：A|≡#（Na）；P4：B|≡#（Nb）；
A、B相信彼此对密钥材料具有控制权：P5：A|≡B|=>Fba；P6：B|≡A|=>Fab。

（3）协议的安全目标
A、B相信对方传来的密钥材料Fba和Fab：G1：A|≡Fba；G2：B|≡Fab
（4）形式化分析过程
a.当B△{Na，Nb，B，Fab}Kab时，根据初始假设P2和消息含义规则R1：
（B|≡A B，B△{Na，Nb，B，Fab}Kab）/{B|≡A|～（Na，Nb，B，Fab）}，可得：B|≡A|～（Na，Nb，B，Fab）（1）
即：B相信A曾发送过消息{Na，Nb，B，Fab}。

b.根据初始假设P4与消息新鲜性规则R5：
{B|≡#（Nb）}/{B|≡#（Na，Nb，B，Fab）}，
可得：B|≡#（Na，Nb，B，Fab）（2）
即：B相信消息{Na，Nb，B，Fab}的新鲜性。

c.由（1）、（2）和随机数验证规则R2：{B|≡#（Na，Nb，B，Fab），B|≡A|～（Na，Nb，B，Fab）}/{B|≡A|≡（Na，Nb，B，Fab）}，
可得：B|≡A|≡（Na，Nb，B，Fab）（3）
即：B相信A相信消息{Na，Nb，B，Fab}的真实性。

d.由（3）和信仰规则R3：
{B|≡A|≡（Na，Nb，B，Fab）}/（B|≡A|≡Fab），
可得：B|≡A|≡Fab （4）
即：B相信A相信密钥材料Fab。

e.由（4）、初始假设P6和管辖规则R4：
（B|≡A|=>Fab，B|≡A|≡Fab）/（R|≡P），可得：B|≡Fab，表示B信任收到的密钥材料Fab，安全目标G2得证。

同理，可推导出安全目标G1：A|≡Fba。

至此，ISO/IEC 11770-2密钥建立机制6的形式化分析结果表明，认证主体A和B可以实现相互之间的双向认证，可以通过密钥派生函数得到新的会话密钥K=F（Fab，Fba），并能借此建立新的安全会话，达到预期的目标。

3 ISO/IEC 11770-2密钥建立机制6的安全性分析及改进
由上述形式化分析可以看出，ISO/IEC 11770-2密钥建立机制6能够使双方主体A和B实现双向认证，双方信任收到的密钥材料并生成可信的会话密钥。

但就协议的执行流程而言，在不可否认性方面存在一定的缺陷。

Fab和随机数Na、Nb一起组合加密发送给B，B通过向A返还Na，表明B收到了A发送给的消息，即主体A可以确认B收到密钥材料Fab。

反之，B却无法确认A一定收到Fba。

即如果协议第三步传输的信息丢失，主体A就无法收到密钥材料Fba，也将无法生成新的会话密钥，而B却对此一无所知。

因此建议主体A在收到Fba 并生成新的会话密钥K后，回传一条信息{Nb}K给B，主体B就可以确认A收到了密钥材料，从而使双方都能够确认对方能够生成新的会话密钥，同时也可以避免会话主体间的恶意否认和相互欺诈。

4 结束语
ISO/IEC 11770-2密钥建立机制6作为一种简单的无可信第三方身份认证协议有着计算量小、简单易实现的优势，同时也存在适用范围有限、难以大规模使用的局限性。

该协议通过长期共享的密钥来生成新的会话密钥，并通过引入随机数来保证消息的新鲜性，用于抵抗重放攻击，并使用身份标识来抵抗预重放、反射攻击。

文章运用BAN逻辑对ISO/IEC 11770-2密钥建立机制6进行了严格的形式化分析，结果表明，在协议执行完整的情况下，双方主体能够实现双向认证，信任收到的密钥材料并生成可信的会话密钥。

对协议的安全性分析表明，该协议无法抵御通信主体之间的恶意否认和相互欺诈，文章对此提出了改进方案，通过增加一条主体A返回B的验证性消息以抵御否认，增加协议的安全性，进一步完善了该协议。

参考文献
[1]卫剑钒，陈钟.安全协议分析与设计[M].人民邮电出版社，2010.
[2]ISO/IE rmation Technology-Security Techniques-Key Management-Part 2：Mechanisms Using Symmetric Techniques[S].1996.
[3]雷新锋，薛锐.密码协议分析的逻辑方法[M].北京：科学出版社，2013.
[4]Burrrows M，Abadi M，Needham R.A logic of authentication[J].ACM Transactions on Computer Systems，1990，8（1）：18-36.。