TD-SCDMA系统中新型SAS认证方案的研究与设计

【摘要】在对传统SAS认证方案安全性进行分析的基础上,文章提出了一种新型的SAS一次性口令认证方案,给出了其注册和认证过程。新方案可以有效抵御冒充攻击,更加安全高效,非常适合应用在我国的TD-SCDMA移动通信系统中。

【关键词】SAS认证 一次性口令 TD-SCDMA

身份认证是计算机网络安全的第一道关卡,在有线网络和无线网络环境当中都扮演着重要的角色。目前我国的TD-SCDMA移动通信系统[1]已经投入使用,TD-SCDMA是一种优秀的移动通信技术,但还不够成熟,在身份认证方面迫切需要使用一种安全高效的认证协议。

在计算机通信领域,目前应用较为广泛的身份认证形式主要有两种,一种是证书认证[2],另一种是口令认证[3]。证书认证需要权威的第三方证书授权中心颁发证书,由于我国完善的认证授权中心比较少,并且程序繁琐,成本高,所以在TD-SCDMA中使用证书认证方式不是最有效的解决方案。口令认证是一种轻量级的认证方案,分为静态口令[4]和一次性口令(OTP,One-Time Password)[5,6]两种。静态口令由于存在多种安全问题如今已不再使用,而OTP方式简单高效、易于部署,在TD-SCDMA移动通信系统中应用具有一定的可行性。

SAS(Simple And Secure)认证方案[7]是OTP认证方案中的一种。本文分析讨论了SAS认证方案的安全缺陷,提出了一种安全度更高的新型SAS认证方案。新方案可以更有效地保证客户端与服务器端的双向认证,能够实现会话密钥的协商;并且每次认证所产生的会话密钥都不相同,保证了会话密钥的新鲜性。

1 传统SAS方案的安全性分析

SAS方案安全性较高并且性能优秀,客户端和服务器在认证过程中传输的都是经过加密运算后的认证数据;并且在整个认证流程中生成认证数据时客户端和服务器端分别只需要做四次和两次Hash运算,比一般的OTP认证方案计算量小。所以此种方案对系统资源的要求较低,简单且安全。

但是SAS方案仍有缺陷,此种方案不能防御冒充攻击。原因是SAS方案虽然实现了对服务器端的认证,但却是在最后阶段进行的;并且用户的认证信息在计算完成后是在信道中一次传输完成的,这样攻击者就可以伪装成服务器与合法用户进行通信,在获取客户端传送的认证信息后迫使合法用户离线,然后使用得到的有效认证信息来冒充合法用户登录服务器。另外,一个完善的认证方案应能够进行通信密钥的协商,而SAS方案无法实现此功能。

2 新型SAS方案设计

2.1 符号及标识

U:客户端;S:服务器;ID:用户的身份标识;PW:用户口令;+:加法运算符;:异或运算符;H(x):Hash函数;i:第i次认证;N:表示随机数;Ni:第i次认证的随机数。

2.2 新方案注册过程

(1)用户输入ID和PW,生成一个伪随机数N0,并用随机数和U输入的数据计算R0=H(ID,PWN0),再将ID和R0提交给服务器S;

(2)S为U分配一个共享密钥KUS,并将KUS交给U;

(3)U与S协商一个大素数n和一个整数g,U用USB key保存与S的共享公钥KUS、n、g、N0;

(4)S建立记录,存储U的ID,以及认证信息R0、KUS、n、g。

2.3 新方案认证过程

U第i次请求认证登录服务器,U所拥有的认证数据包括其ID、PW和Ni,而S保存的认证数据是Ri。U第i次登录时,S对U进行身份认证的过程如图1所示。

(1)客户端进行登录过程时,首先U生成一个随机数XU

YU=gXU mod n (1)

然后U用共享密钥KUS加密YU得到KUS(YU),U发送ID、KUS(YU)给S。U保密存放随机数XU。

(2)S收到U发送的消息后查找ID所对应的共享密钥,再用此共享密钥解密KUS(YU)而得到YU。S再生成一个随机数XS

YS=gXSmodn (2)

S用共享密钥KUS加密YS得到KUS(YS),并计算:

R=YSYU

S保密存放随机数XS。S发送R、KUS(YS)给U。

(3)U接收到S传送的数据后用共享密钥解密得到YS,再用YS与接收数据R做异或运算,将得到的数据与YU比较,不相等则对S认证失败,停止登录过程。相等则计算:

Ri=H(ID,PWNi)

同时生成一个随机数Ni+1并保存。U再使用Ni+1计算:

Ri+1=H(ID,PWNi+1)

Mi+1=H(ID,Ri+1)

其中Ri+1作为下一次的认证数据。

用数据Ri、Ri+1和Mi+1计算:

α=Ri+1(Mi+1+Ri)

β=Mi+1Ri

(4)U将α,β和ID传送给S。

(5)S收到α、β和ID后,从认证数据数据库中取得与ID相对应的Ri,然后计算:

βRi=Mi+1RiRi=Mi+1

得到Mi+1,再用Ri和Mi+1计算:

α(Mi+1+Ri)=Ri+1(Mi+1+Ri)(Mi+1+Ri)=Mi+1

用得到的Ri+1和ID计算:

Mi+1’=H(ID,Ri+1)

(6)S对Mi+1’与Mi+1的值进行比较,若相等,则S通过对U的身份认证,否则拒绝U登录。同时S计算:

(3)

并将Ki作为新的会话密钥,加密服务器和客户端之间的通信信息。

(7)收到S发送的允许登录消息后,U计算第i次的会话密钥Ki’:

(4)

由式(1)～(4)得:

在用户通过认证登录服务器后,用Ki做会话密钥建立安全通信信道与服务器通信。

3 新方案安全性分析

新方案在传统SAS方案的基础上加强了客户端和服务器双向认证的安全性,更加有效地实现了客户端对服务器的认证,并且增加了会话密钥协商功能。

新方案注册阶段是在安全环境下进行,并且用户用USB key保存认证相关的秘密信息,可有效地防止密钥泄漏,从而保证了共享密钥KUS的绝密性。

在新方案认证阶段的第一步,客户端通过U和S的共享密钥KUS加密客户端产生的随机数YU,KUS的机密性保证了KUS(YU)不能被攻击者任意篡改和伪造。这里客户端产生的随机数YU有两个作用,一是用来对S进行认证,二是参与了通信双方会话密钥Ki的协商。

在认证阶段的第二步,S通过KUS解密KUS(YU)得到YU,由于随机数YU和YS的机密性,可以保证数据的安全。由于异或运算简单且速度快,使得攻击者有进行猜测和穷举攻击的可能;但是认证阶段只在这一步用异或运算加密通信数据,有效时间短,并且每次认证中产生的随机数都不相同,所以可以保证异或运算加密数据的安全性。

从认证阶段第三步开始,U对S进行身份验证,并进行传统的SAS认证方案的认证流程。最后在认证阶段的第六步和第七步实现了会话密钥的协商,使得在以后的通信过程中,双方可以通过会话密钥建立安全通信信道,确保通信数据的安全性,对协议破坏攻击和中间人攻击有很强的抵御能力。并且新方案每次认证都能产生新的会话密钥,能够保持会话密钥的新鲜性,达到了一次一密钥的目的。

新型SAS方案的每次认证产生的随机数、认证口令和会话密钥都不相同并且一次有效,对重放攻击有很强的抵御能力。

新型SAS方案客户端对服务器的认证放在认证前期进行,采用随机数和密钥形式的认证方式,更加切实有效,可以抵御冒充服务器攻击。

4 总结

新型SAS认证方案不仅更加安全地实现了客户端与服务器之间的双向认证,确保了通信双方身份的真实有效,还实现了会话密钥的协商;并且会话密钥每次认证都会重新协商产生,实现了一次一密钥。总体来看,改进方案性能较为优秀,兼顾了认证的安全性与效率,比以往的OTP技术更加安全高效。与繁琐复杂的证书认证形式相比,这种无需第三方认证机构、认证流程简单、对网络带宽要求低的新型SAS认证方案更加切实有效,更加适合应用于对安全性和效率要求较高的TD-SCDMA移动通信系统中。

参考文献

[1]IEMENS, AEK3002A v1.0, TD-SCDMA Physical Layer[S]. 2000.

[2]鞠宏伟,李凤银,禹继国. 基于RSA的证实数字签名方案[J]. 计算机应用研究,2008(1): 93-95.

[3]索望. 一次性口令身份认证方案的设计与实现[D]. 四川:

四川大学,2005: 29-32.

[4]王顺满,吴长奇,张笈,等. 无线局域网的安全问题[J]. 无线电通信技术,2003(5): 19-21.

[5]LAMPORT L. Password Authentication with Insecure Communication[C]. Communications of the ACM, 1981, 24(11): 770-772.

[6]HALLER N M. The S/Key One-time Password System[J]. Proceedings of The Internet Society Symposium on Network and Distributed System Security, Sam Diego, CA. 1994: 96-97.

[7]TUJI, KARNIOKA. Simple and Secure Password Authentication Protocol[J]. IDICE Technical Report, 2002, 12(5): 7-11.

【作者简介】

钟再淳:硕士毕业于中山大学电子学系无线电物理专业。现任职于中国电子科技集团公司第七研究所,曾从事信道编码及嵌入式硬件的研发工作,目前从事网络信息安全管理及研究工作。