·· 通信学报 第29卷 第10期 李文敏等：基于验证元的三方口令认证密钥交换协议 ·· 第29卷第10期 通信学报 Vol.29No.10 2008年10月 JournalonCommunications October2008 基于验证元的三方口令认证密钥交换协议 李文敏，温巧燕，张华 （北京邮电大学网络与交换技术国家重点实验室，北京100876） 摘要：基于验证元的口令认证密钥交换协议的最基本安全目标是抵抗字典攻击和服务器泄露攻击。利用双线性对的性质给出了一个基于验证元的三方口令认证密钥交换协议，有如下特点：能够抵抗字典攻击和服务器泄露攻击；保持密钥秘密性，提供前向安全性；确保无密钥控制；抵抗已知密钥攻击和中间人攻击；协议执行一次可以生成4个会话密钥等。 关键词：口令认证密钥交换；基于验证元；字典攻击；双线性对 中图分类号：TP309文献标识码：A文章编号：1000-436X(2008)10-0149-04 Verifier-basedpassword-authenticatedkeyexchangeprotocolforthree-party LIWen-min,WENQiao-yan,ZHANGHua (StateKeyLaboratoryofNetworkingandSwitchingTechnology,BeijingUniversityofPostsandTelecommunications,Beijing100876,China) Abstract:Thefundamentalsecuritygoalofverifier-basedpassword-authenticatedkeyexchangeprotocolissecurityagainstdictionaryattackandservercompromiseattack.Anefficientverifier-basedprotocolforthreepartieswasproposedwhichcontainsthefollowingcharacteristics:againstdictionaryattackandservercompromiseattack;providingkeysecrecyandforwardsecrecy;ensuringnokeycontrol;againstknown-keyattackandmanin-the-middleattackandreceivingfoursessionkeysinperformingprotocolonetime. Keywords:password-authenticatedkeyexchange;verifier-based;dictionaryattack;bilinearpairs 1引言 收稿日期：2008-06-21；修回日期：2008-09-21 基金项目：国家高技术研究发展计划(“863”计划)基金资助项目(2006AA01Z419)；国家自然科学基金资助项目(90604023,60873191)；北京市自然科学基金资助项目(4072020) FoundationItems:TheNationalHighTechnologyResearchandDevelopmentProgramofChina(863Program)(2006AA01Z419);TheNationalNaturalScienceFoundationofChina(90604023,60873191);TheNaturalScienceFoundationofBeijing(4072020) 密钥交换协议的目的是通过各通信方的交互，建立共同的会话密钥，从而能够实现在不安全信道上的安全通信。一些协议依赖于公钥密码技术，需要PKI系统的存在，成本较高；还有一些协议需要通信双方共享长的随机密钥，这些密钥通常由一个合适的程序选取，这不便于记忆和保存。因此，一个自然的思路就是各方共享易于记忆的口令，由此构造出较高质量的会话密钥。其中，两方的基于口令的密钥交换协议（2PAKE）通常使用的是“用户—服务器”模型，用户所需要记忆的口令数会随着与它通信的用户数的增加而增加，这限制了协议在实际中的应用。基于口令的三方密钥交换协议（3PAKE）解决了这个问题：每个用户只需要与一个可信的服务器共享一个简单口令，可信服务器认证通信双方并帮助持有不同口令的通信方生成会话密钥。3PAKE的模型根据用户和服务器共享的口令类型分为2类：对称模型和非对称（基于验证元）模型。对称模型中，用户和服务器持有相同的口令；基于验证元模型中，用户持有口令，服务器持有的是利用单向函数生成的口令的映像（即验证元），而非口令本身。基于验证元模型降低了服