三方认证密钥协商协议形式化安全模型的分析与改进.doc

三方认证密钥协商协议形式化安全模型的分析与改进 摘 要：本文对两个三方认证密钥协商协议的形式化安全模型——扩展BR模型和扩展CK模型进行了分析，发现了扩展BR模型中在三方身份认证方面存在的安全漏洞，指出了扩展CK模型中匹配会话定义的局限性，并根据802.11i所规范的协议流程，通过引入有效的概念，提出了三方认证密钥协商协议改进的形式化安全模型，并在该模型下证明了改进后EAP-TLS协议的安全性。新模型为解决无线局域网等特定环境下认证密钥协商协议的安全性问题提供了较好的解决思路。 关键词：802.11i；EAP协议；可证明安全性；三方形式化安全模型  1 引言 2004IEEE 802.11标准组提出了802.11i标准以增强无线局域网的安全性能。在该标准中，客户端的认证和接入控制功能是通过802.1X协议实现的，而802.1X协议的认证功能是通过上层认证协议EAP完成的，因此对EAP协议的安全性进行研究就显得十分重要。然而，目前针对802.11i的三方认证协议研究还没有完善的形式化安全模型，1995年Bellare等人提出了三方密钥交换的形式化安全模型，但此模型没有考虑实体间的认证关系。2008年曹春杰提出了扩展的CK模型，给出了三方认证密钥协商协议的形式化模型，但该模型中关于接入点会话标识符的定义因为存在不确定性而并不实用（事实上文献[3]中也并没有给出具体的协议并利用该模型进行证明）。2010年宋宇波等人提出了扩展的BR模型，该模型利用参与方产生的会话序列对匹配会话进行定义，但由于没有考虑接入点在一次协议中产生的两条会话序列之间的关系，因而该定义有可能会导致三方消息认证不安全。因此，如何对三方认证密钥协商协议的形式化安全模型进行改进与完善，使其能保证无线局域网的参与方可以进行安全认证还需要进一步的深入研究。 本文通过对现有三方认证密钥协商协议形式化模型进行深入分析，指出利用匹配会话定义三方协议的认证关系时需要考虑特定的应用背景，这是因为交互的三方中至少有一方要与其它两方同时进行消息交互，对于这一方的会话描述（无论是用会话序列或是会话标识符）必须考虑其自身所处的网络位置和所具备的网络功能，否则一旦攻击者对该方进行冒充或破坏，就可能造成匹配会话定义的失效。对于802.11i而言，作为和中间具有转发功能的参与方，其与和的交互内容有一定的重复性，本文根据这一重要特点，在改进的形式化安全模型中给出会话标识符有效的定义。 802.11i协议流程如图1所示： 图1 802.11i协议流程 客户端通过无线网络与接入点进行连接，通过有线网络与认证服务器进行连接，的功能是接收消息后进行加脱密操作并转发消息，的功能是对进行认证。802.11i协议中和通过转发响应各自的身份、加密方式、公钥等相关信息，然后由发起EAP认证协议。设有一对公私钥，有一对公私钥，与间共享长期对称密钥。EAP-TLS协议的目的是通过一系列的交互使客户端与认证服务器间协商主会话密钥，并实现相互的身份认证。EAP协议完成后将协商得到的通过加密的方式发送给。然后与利用进一步完成四步握手协议。 在本文中，三方认证密钥协商协议指EAP协议，由于EAP是完成认证和主会话密钥协商的核心步骤，所以改进的形式化安全模型也是建立在802.11i所规范的EAP环节上。 2 现有三方认证密钥协商协议安全模型分析 本节我们简要回顾文献[4]和文献[3]中提出的扩展BR模型和扩展CK模型。通过分析发现，扩展的BR模型中关于匹配会话的定义可能会导致消息认证不安全，不能抵抗攻击者对的冒充攻击。在扩展的CK模型中，当攻击者冒充时会导致会话标识符定义的失效。 2.1 扩展BR模型及安全性分析 文献[4]中扩展BR模型将三方认证密钥协商协议形式化为一个四元组来描述。其中，定义了一个诚实客户端的会话行为，定义了一个诚实接入点的会话行为，定义为诚实认证服务器的会话行为，为认证服务器分发给客户端和无线接入点的初始会话密钥。该模型将攻击者形式化为拥有黑盒预言机、和的概率图灵机，且可以对这些预言机进行预定的查询并从预言机那里获得应答。 为了描述参与方之间的认证关系，文献[4]在原BR模型两方认证安全的基础上进行了扩展。在原BR模型中，若两条会话序列分别是对方的匹配会话，则称这两条会话序列是匹配会话。在扩展BR模型中，这种匹配会话的定义被直接推广到了三方的情况：设预言机为、以及，产生的相应会话序列分别用和表示，则在扩展BR模型中，三方之间的匹配会话和消息认证安全的定义如下： 定义1 如果是的匹配会话，也是的匹配会话；是的匹配会话，也是的匹配会话，则称预言机之间有匹配的会话。当一个协议在攻击者的控制下执行，如果存在一个没有被攻破的预言机呈接受状态，但没有一个与它有匹配会话的预言机存在的时候，称这样的会话是不匹配