一種新型抵御字典攻擊的方案

摘要:身份驗(yàn)證是網(wǎng)絡(luò)應(yīng)用系統(tǒng)中的第一道防線，目的是驗(yàn)證通信雙方的身份，防止非法用戶竊取和假冒合法用戶。盡管通過口令是最方便的身份驗(yàn)證方法，但它也伴隨著字典攻擊的威脅。分析了常用的幾種一次性口令身份認(rèn)證方案，在挑戰(zhàn)-響應(yīng)方案基礎(chǔ)上，利用安全單向哈希函數(shù)提出并設(shè)計(jì)了一種新型身份驗(yàn)證方案。該方案不僅明顯減少了認(rèn)證服務(wù)器的開銷，而且能有效地抵御字典攻擊、拒絕服務(wù)攻擊等攻擊手段，顯著增強(qiáng)了應(yīng)用系統(tǒng)的安全性。

關(guān)鍵詞:身份驗(yàn)證;在線字典攻擊;哈希函數(shù);密碼協(xié)議;口令

中圖法分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)01-56-03

New Authentication Scheme to Counter Online Dictionary Attacks

WANG Chun-xiao1， ZHANG Peng2

(1.Computer Science and Technology College， Harbin University of Science and Technology， Harbin 150080， China; 2.Department of Mechanical Engineering， First Aeronautical Institute of Air Force， Xinyang 464000， China)

Abstract: Authentication is the first line of defence in the network application system. The aim is authenticating the identification of both side of communication and preventing illegal users to filch and masquerade genuine users. Though passwords are themost convenient means of authentication， they bring along themselves the threat of dictionary attacks. Several typical authentication protocols are analyzed. On the basis of challenge-response system a new type of authentication scheme by using one way hash functions is proposed and constructed. The scheme can not only reduce the overhead of the server obviously， but also counter the online dictionary attacks and denial of service (DoS) attacks and so on. The security of the application system greatly is enhanced.

Key words: authentication; online dictionary attacks; hash functions; cryptographic protocol; passwords

目前，大多數(shù)系統(tǒng)是使用口令進(jìn)行用戶身份驗(yàn)證。盡管基于口令身份驗(yàn)證雖然很方便，但自身也有很多缺點(diǎn):易于猜測，在傳輸過程中容易被竊聽。而且也存在實(shí)現(xiàn)上的弱點(diǎn):若不加密，可以被清楚地看到明文;即使加密，也易受重放攻擊、差分密碼分析和線性密碼分析等攻擊手段地影響;特別是存儲(chǔ)口令Hash值則易受到字典攻擊。

基于口令的身份驗(yàn)證方案很容易遭到在線或離線的字典攻擊。當(dāng)方案被執(zhí)行的時(shí)候，攻擊者在通信線路上竊取到有效數(shù)據(jù)，然后不需任何服務(wù)就可以進(jìn)行離線的口令分析。在進(jìn)行字典攻擊的時(shí)候，攻擊者嘗試用可能的口令進(jìn)行在線登錄。在過去，盡管認(rèn)為離線的字典攻擊很厲害，但可以通過各種使用公鑰加密協(xié)議來阻止。第一個(gè)抵御離線字典攻擊的認(rèn)證協(xié)議叫做EKE，是Bllovin和Merritt在1992年時(shí)提出來的。后來有很多關(guān)于這個(gè)問題更好的協(xié)議被提出來。雖然到目前為止還沒有一個(gè)完美的方法來抵御字典攻擊，但有很多阻止的方法，但它們有些有安全缺陷，有些使用方法不切實(shí)際。

本文首先分析了目前較為常見的幾種一次性口令身份驗(yàn)證機(jī)制，在挑戰(zhàn)-響應(yīng)方案的基礎(chǔ)上，基于安全單向哈希函數(shù)設(shè)計(jì)了一種實(shí)用有效的一次性口令身份驗(yàn)證方案。該方案克服了通常情況下挑戰(zhàn)-響應(yīng)方案的弱點(diǎn)，有效地保護(hù)了用戶的身份，明顯減少了認(rèn)證服務(wù)器的開銷，可以用在分布式網(wǎng)絡(luò)環(huán)境下，有效的地抵御字典攻擊、拒絕服務(wù)攻擊等攻擊手段。

1 常用的一次性口令身份認(rèn)證方案的分析

目前有許多方法可以實(shí)現(xiàn)一次性口令身份認(rèn)證，常用的有如下3種:

1) Lamport方案[1]，即哈希鏈(Hash chains)算法。在初始化階段選取一個(gè)口令pw和一個(gè)數(shù)n，及一個(gè)單向哈希函數(shù)f，通過計(jì)算y=fn(pw)，把y和n的值存到服務(wù)器上。用戶端計(jì)算y'=fn-1(pw)的值，服務(wù)器計(jì)算z=f(y')的值同服務(wù)器上相應(yīng)的值y進(jìn)行比較。如果z=y，則驗(yàn)證成功，然后用y'的值取代服務(wù)器上y的值，n的值減1。通過哈希鏈算法，用戶每次登錄到服務(wù)器端的口令都不相同。這種方案易于實(shí)現(xiàn)，且無須特殊硬件支持。但其安全性依賴于單向哈希函數(shù)f，不宜在分布式網(wǎng)絡(luò)環(huán)境下使用。此外通過該方案進(jìn)行身份認(rèn)證用戶需要進(jìn)行多次Hash運(yùn)算，而且每隔一段時(shí)間還需要重新初始化系統(tǒng)，服務(wù)器的額外開銷比較大。

2) 時(shí)間同步方案。每個(gè)系統(tǒng)用戶都持有相應(yīng)的時(shí)間同步令牌。令牌內(nèi)置時(shí)鐘，種子密鑰和加密算法。時(shí)間同步令牌根據(jù)當(dāng)前時(shí)間和種子密鑰可以每分鐘動(dòng)態(tài)生成一個(gè)一次性口令。用戶需要訪問系統(tǒng)時(shí)，將令牌生成的動(dòng)態(tài)口令傳送到認(rèn)證服務(wù)器。服務(wù)器通過其種子密鑰副本和當(dāng)前時(shí)間計(jì)算出所期望的輸出值，對(duì)用戶進(jìn)行驗(yàn)證。如果相匹配，則登錄通過。由于認(rèn)證服務(wù)器和令牌的時(shí)鐘保持同步，因此在同一時(shí)刻兩者可以計(jì)算出相同的動(dòng)態(tài)口令。因?yàn)樵摽诹钪辉诋?dāng)時(shí)有效，所以該方法可以保證很高的安全性。然而該方案從技術(shù)上很難保證用戶的時(shí)間同步令牌在時(shí)間上和認(rèn)證服務(wù)器嚴(yán)格同步，而且數(shù)據(jù)在網(wǎng)絡(luò)上傳輸和處理存在一定的延遲。當(dāng)時(shí)間誤差超過允許值時(shí)，對(duì)正常用戶的登錄往往造成身份認(rèn)證失敗。另外該方案要求有時(shí)間同步令牌這類特殊硬件的支持。

3) 挑戰(zhàn)-響應(yīng)方案[2]。每個(gè)用戶都持有相應(yīng)的挑戰(zhàn)-響應(yīng)令牌。令牌內(nèi)置種子密鑰和加密算法。用戶需要訪問系統(tǒng)時(shí)，服務(wù)器隨機(jī)生成一個(gè)挑戰(zhàn)數(shù)，用戶將該挑戰(zhàn)數(shù)手工輸入到挑戰(zhàn)-響應(yīng)令牌中，挑戰(zhàn)-響應(yīng)令牌利用內(nèi)置的種子密鑰和加密算法對(duì)其計(jì)算出相應(yīng)的應(yīng)答數(shù)。用戶將該應(yīng)答數(shù)手工輸入到主機(jī)再上傳給服務(wù)器。服務(wù)器根據(jù)該用戶存儲(chǔ)的種子密鑰和加密算法計(jì)算出應(yīng)答數(shù)并和用戶上傳的應(yīng)答數(shù)進(jìn)行比較。該方法可以保證很高的安全性，是目前最可靠有效的認(rèn)證方法。但該方案直接應(yīng)用在網(wǎng)絡(luò)環(huán)境下還存在一些缺陷:需要特殊硬件(挑戰(zhàn)-響應(yīng)令牌)的支持，增加了該方案的實(shí)現(xiàn)成本;用戶需要多次手工輸入數(shù)據(jù)，易造成較多的輸入失誤，使用起來十分不便;用戶的身份標(biāo)識(shí)直接在網(wǎng)絡(luò)上明文傳輸，攻擊者可以容易地截獲它，留下了安全隱患;沒有實(shí)現(xiàn)用戶地服務(wù)器間地相互認(rèn)證，不能抵抗來自服務(wù)器端的假冒攻擊。

2本方案的基本想法

由于目前系統(tǒng)的結(jié)構(gòu)，無論是一個(gè)攻擊者發(fā)送一個(gè)或是一個(gè)攻擊者發(fā)送成千上萬個(gè)請求，它在相同的情況下都是相同的反應(yīng)時(shí)間，這對(duì)攻擊者來說是最大的優(yōu)勢。攻擊者在一秒內(nèi)發(fā)出成千上萬的請求碎片，由此達(dá)到最大程度測試口令的有效個(gè)數(shù)。提出的方案最大的優(yōu)點(diǎn)就是:排除了攻擊者通過在很短的時(shí)間內(nèi)發(fā)出大量的猜測口令來加大系統(tǒng)的開銷，甚至使攻擊者的計(jì)算機(jī)在發(fā)出系列請求的同時(shí)面臨很多困難。在抵御攻擊者的在線字典攻擊的同時(shí)，我們的方案還可抵御拒絕服務(wù)攻擊。

該方案不是利用公鑰加密技術(shù)的，這意味著，本方案易受離線字典攻擊。為了阻止離線字典攻擊，當(dāng)客戶和服務(wù)器首次建立SSL連接時(shí)，會(huì)話鑰匙通常被加密成不同的信息。該方案提供一個(gè)變量使得發(fā)出離線字典攻擊非常困難。該方案只用到快速單向哈希函數(shù)。在登錄的時(shí)候，客戶和服務(wù)器都要經(jīng)過幾次的哈希運(yùn)算。該方案故意加大客戶端的時(shí)間和計(jì)算消耗，以使其不能在一秒內(nèi)進(jìn)行大量的認(rèn)證請求，但是，該方案對(duì)服務(wù)器很有用。哈希函數(shù)不像密碼系統(tǒng)那樣，很容易用微型計(jì)算機(jī)計(jì)算、掌握或是用Java或Java腳本程序改變其代碼。

3 方案

該認(rèn)證方案包括4個(gè)信息，整個(gè)過程只用到哈希函數(shù)。4個(gè)信息中有兩個(gè)是簡單的沒有加密的消息交換;另兩個(gè)中一個(gè)是客戶端的哈希運(yùn)算，一個(gè)是服務(wù)器端的哈希運(yùn)算。服務(wù)器端向客戶端發(fā)出一個(gè)挑戰(zhàn)，客戶端只能在經(jīng)過一段時(shí)間的運(yùn)算挑戰(zhàn)應(yīng)答之后才能登錄。這段運(yùn)算時(shí)間的長短很容易被服務(wù)器控制。

在整個(gè)方案(如圖1所示)的討論過程中，我們假設(shè)用戶端是Alice;服務(wù)器端是Bob。KBob:服務(wù)器端Bob 的私鑰;P:用戶的口令;n:不成功登錄的次數(shù);r:隨機(jī)產(chǎn)生的20 bit的數(shù);R:隨機(jī)產(chǎn)生的128 bit 的數(shù);MAC:認(rèn)證信息代碼，由服務(wù)器發(fā)向用戶;H(x):變量為x的標(biāo)準(zhǔn)哈希函數(shù)。

3.1 方案描述

3.1.1 信息1.A->B:Alice

這是一個(gè)簡單的用戶Alice向服務(wù)器發(fā)出的登錄請求。

3.1.2 信息2.B->A:H(r，R)，R，H(H(r，P)，Alice，KBob，n)

為了響應(yīng)用戶的請求，服務(wù)器向用戶發(fā)出挑戰(zhàn)信息(信息2):H(r，R)，還有R和認(rèn)證信息代碼H(H(r，R)，Alice，KBob，)的值。這個(gè)挑戰(zhàn)是兩個(gè)隨機(jī)數(shù)r，R的哈希運(yùn)算結(jié)果。用戶必須從哈希函數(shù)值和R值計(jì)算出r的值。r可能是任意的一個(gè)20 bit的數(shù)。信息的第3部分，MAC也是一個(gè)哈希函數(shù)值，對(duì)服務(wù)器以外的人都是很難猜到的。這個(gè)哈希函數(shù)值只有擁有私鑰KBob的服務(wù)器才能重建。要知道用戶是不會(huì)用到這個(gè)MAC，它只是在下一步中返回給服務(wù)器端，因此，服務(wù)器就沒必要存儲(chǔ)MAC。服務(wù)器用這個(gè)MAC來檢驗(yàn)用戶計(jì)算出的r值，并用在我們將要看到的用戶回復(fù)的第3個(gè)及時(shí)消息里。為了計(jì)算出r的值，用戶必須結(jié)合R的值和所有可能的20 bit的r來檢驗(yàn)哈希函數(shù)的值。這是比特級(jí)的運(yùn)算，需要很長的時(shí)間(大約5s或更多)。如果把這兩個(gè)隨機(jī)數(shù)換成一個(gè)大的隨機(jī)數(shù)，計(jì)算量將更大，這樣用戶的計(jì)算負(fù)擔(dān)將是不希望看到的。如果只用一個(gè)任意的20 bit的數(shù)，攻擊者將存儲(chǔ)所有可能的20 bit的數(shù)的哈希函數(shù)值，這樣就很容易通過相關(guān)的簡單研究得出正確的r值。所以用一個(gè)20 bit的任意數(shù)r和一個(gè)128 bit的任意數(shù)R就同時(shí)達(dá)到了兩個(gè)目的:①它給用戶合適的計(jì)算量，使在線的字典攻擊得到阻止并保證了真正用戶的權(quán)利;②它避免了提前計(jì)算所有的20 bit的數(shù)的哈希函數(shù)值的情況。因此，R對(duì)r的計(jì)算就像加入“鹽”值(“鹽”值在密碼技

術(shù)口令中，用來修改口令散列的隨機(jī)數(shù)據(jù)串，使用口令散列匹配策略為進(jìn)攻系統(tǒng)的攻擊者制造困難。)一樣是非常有效的。用戶在收到第2次信息后，就做必要的運(yùn)算找出r的值，然后接著處理第3次信息。

3.1.3 信息3.A->B:Alice，H(r，P)

MAC為了使方案容易在網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)，這一步是獨(dú)立于前兩步的基礎(chǔ)上完成的，也就是說，用戶在做了必要的計(jì)算后就重新初始化連接開始直接發(fā)出方案的第3步信息。用戶在收到第2步的信息后，從中計(jì)算出r的值，然后把自己的名字、把計(jì)算出的r值和口令P哈希運(yùn)算結(jié)果、還有MAC發(fā)向服務(wù)器。在這一步里，r的值和口令P可以不經(jīng)過哈希運(yùn)算直接發(fā)過去，但是經(jīng)過哈希運(yùn)算后可以防止偷聽，使其更安全。服務(wù)器端收到這個(gè)信息后，結(jié)合收到的H(r，P)、用戶Alice的ID和存儲(chǔ)的私鑰KBob、存儲(chǔ)的n值計(jì)算出哈希函數(shù)值，然后比較發(fā)出的MAC和計(jì)算出的哈希函數(shù)值，如果相符，則登錄成功，否則登錄失敗并把n的值加1。

MAC是用來認(rèn)證r值(用戶對(duì)服務(wù)器端挑戰(zhàn)的響應(yīng))，并抵御了攻擊者的即時(shí)攻擊(攻擊者一次又一次的發(fā)送相同的系列值)。我們在計(jì)算MAC時(shí)用到了動(dòng)態(tài)的n值，因此，由于每次登錄失敗后n的自加1使反復(fù)的使用消息2不可能實(shí)現(xiàn)。當(dāng)用戶成功登錄時(shí)n不自加1，這點(diǎn)對(duì)合法用戶來說是很有用的。這就意味著:如果用戶上次成功登錄，這次就可以用上次的一些計(jì)算結(jié)果而無需重復(fù)相關(guān)的計(jì)算。因此，合法的用戶只需第一次登錄時(shí)進(jìn)行相關(guān)的計(jì)算，對(duì)于后來的登錄來說，只要登錄不失敗，他最后的一次計(jì)算可以一直用下去。由于MAC的使用，服務(wù)器就無需存儲(chǔ)用來檢驗(yàn)用戶發(fā)來的信息的正確性的r和R值，這使這個(gè)方案更容易在網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)。

3.1.4 信息4.B->A: Success/Fail

這個(gè)服務(wù)器給用戶的簡單回答用戶提供的信息正確與否。如果正確，則這次登錄成功，否則，用戶必須從第一個(gè)消息重新開始。該方案的設(shè)計(jì)是為了阻止在線字典攻擊。對(duì)于每一個(gè)用戶登錄，用戶必須計(jì)算由系統(tǒng)作為挑戰(zhàn)發(fā)來的r值，這個(gè)計(jì)算過程要一定的時(shí)間，會(huì)因計(jì)算機(jī)的不同而長短不一樣。隨著計(jì)算機(jī)處理速度的提高，通過改變r(jià)值的長度來調(diào)整這個(gè)計(jì)算時(shí)間。這個(gè)計(jì)算時(shí)間有效的阻止了在一段時(shí)間不斷發(fā)送成千上萬的登錄請求的在線字典攻擊。從整個(gè)方案看，在一定的時(shí)間內(nèi)認(rèn)證請求的數(shù)量可能會(huì)大量的減少，因此，整個(gè)發(fā)起在線字典攻擊的過程就很困難并且開銷很大。

3.2 方案分析

在該方案里，服務(wù)器不存儲(chǔ)r和R的值，因此它檢驗(yàn)用戶第3個(gè)信息里提供的MAC中的值。攻擊者可能也用相同的MAC，不同的登錄嘗試時(shí)都重用這個(gè)計(jì)算，服務(wù)器是用存儲(chǔ)的n值來計(jì)算MAC，后來，存儲(chǔ)的n值可能要比發(fā)出的MAC中的n值要大，這樣MAC就不匹配。因此，重用計(jì)算的登錄嘗試就失敗。類似的情況，嘗試不同的用戶id用相同的信息3的值也很容易被服務(wù)器阻止，因?yàn)橛脩鬷d也用在MAC的計(jì)算中了。提出的這個(gè)方案沒有考慮服務(wù)器自身存在的危險(xiǎn)。因?yàn)椋?wù)器要用明文文本存儲(chǔ)用戶口令，用在計(jì)算MAC時(shí)計(jì)算H(r，P)的值。方案可以得到改進(jìn)，使服務(wù)器只需存儲(chǔ)用戶口令的單向哈希函數(shù)值H(P)，這樣要認(rèn)證的用戶就必需記住自己的準(zhǔn)確口令。這就由兩種不同的可能性:

3.2.1 第1種修改雖然簡單但有效，它能很好的保持口令的秘密

服務(wù)器只存儲(chǔ)口令的哈希函數(shù)值，因此，即使服務(wù)器端存在威脅，攻擊者也不可能找到真正的口令。在這個(gè)修改里，最好使用加密套接字協(xié)議層(security socket layer，SSL，是由Netscape公司推出的一種安全通信協(xié)議，它位于HTTP協(xié)議層和TCP協(xié)議層之間，能夠?qū)π庞每ê蛡€(gè)人信息提供較強(qiáng)的保護(hù)。SSL在客戶和服務(wù)器之間建立一條加密通道，確保所傳輸?shù)臄?shù)據(jù)不被非法的竊取，SSL安全加密機(jī)制功能是依靠使用數(shù)字證書來實(shí)現(xiàn)的)，否則，口令就能在信息3中直接獲得。對(duì)方案的修改如下，要知道相應(yīng)的MAC也改了。

A→B:Alice

B→A:H(r，R)，R，MAC

A→B:Alice，r，P，MAC

B→A:success/fail

MAC=H(r，H(P)，Alice， KBob，n)

3.2.2 第2個(gè)改進(jìn)相對(duì)復(fù)雜點(diǎn)，但不一定要用到SSL

它要用到Lamport哈希函數(shù)。首先，服務(wù)器端存儲(chǔ)Hm(P)(P的m次哈希值)，用戶需提供作為口令的m-1次哈希值H(m-1)(P)。一旦用戶登錄成功，存儲(chǔ)的Hm(P)將被H(m-1)(P)代替。這樣，下次用戶就必需提供H(m-2)(P)。盡管看起來用戶在m 次成功登錄后需要重新初始化系統(tǒng)，最近提出的有效技術(shù)允許在Lamport系統(tǒng)中無限次的登錄。第i次執(zhí)行時(shí)，方案的信息給出如下:

A→B:Alice

B→A:H(r，R)，R，MAC

A→B:Alice，r， H(i-1)(P)，MAC

B→A:success/fail

MAC=H(r， Hi(P)，Alice， KBob，n)

因此，從我們對(duì)方案的修改來看，服務(wù)器不需再存儲(chǔ)明文的用戶口令，并且SSL的使用也不是必需的。

3.2.3 正如前面討論的，如果不使用SSL或者考慮其它有效的公鑰加密技術(shù)都能如眾所望的抵御離線的字典攻擊

盡管這個(gè)在理論上不成立[3]，我們設(shè)計(jì)了一個(gè)變量使離線的字典攻擊很難成功。在信息2中，如果把H(r，R)變成H(r，P，R)，其它信息不變，這個(gè)方案就能更有效的抵御離線的字典攻擊。方案的改變?nèi)缦?

A→B:Alice

B→A:H(r，P，R)，R，MAC

A→B:Alice，r， H(r，P)，MAC

B→A:success/fail

MAC=H(H(r，P)，Alice， KBob，n)

現(xiàn)在，假設(shè)SSL的會(huì)話鑰匙沒有保護(hù)方案的不同階段，我們來分析這種情況下的系統(tǒng)。合法用戶從信息2提供值中計(jì)算出r值的時(shí)間不會(huì)受到影響，在哈希運(yùn)算H(r，R，P)中的P和R的值對(duì)用戶是可知的。對(duì)用戶來說，惟一不可知的就是r值，因此，這個(gè)必須的計(jì)算和原方案是一樣的。標(biāo)準(zhǔn)哈希函數(shù)的運(yùn)算時(shí)間是0.005ms，用戶計(jì)算r值的最長時(shí)間是220×t，大約5.2s。假設(shè)n是在沒有找到真正的口令之前的離線字典攻擊的猜測的平均次數(shù)。攻擊者不知道r和P的值，為了從信息2里找到正確的r和P的值，將需要220×n次哈希運(yùn)算(也既是，需要計(jì)算所有的口令與20 bit 數(shù)的所有組合)。找到n的標(biāo)準(zhǔn)值大約要10000000次，花的時(shí)間將是220×10000000×0.005×0.001=52428800s=1.6625年。對(duì)于一個(gè)好的更合理的口令來說，這個(gè)時(shí)間將更長。讓我們看看在沒有這個(gè)技術(shù)的時(shí)候要想成功的進(jìn)行字典攻擊會(huì)怎樣。在本文的“方案”部分，我們計(jì)算了在原方案里相同的設(shè)置的時(shí)候，離線字典攻擊需要的時(shí)間。攻擊者從信息2里計(jì)算r的值需要220×t(也既是，它要嘗試所有可能的20bit的數(shù))，從信息3里計(jì)算口令需要時(shí)間n×t。因此，從這兩個(gè)信息里找出口令的時(shí)間為220×t+n×t。評(píng)價(jià)這個(gè)過程，總時(shí)間為5.24288+50=55.24288s。因此，這很清楚的表明，這個(gè)改進(jìn)對(duì)阻止離線字典攻擊是很有效的。

4 結(jié)束語

本文該方案是基于挑戰(zhàn)-響應(yīng)系統(tǒng)，僅用到快速單向哈希函數(shù)。在登錄之前，用戶要計(jì)算當(dāng)前挑戰(zhàn)的響應(yīng)。這個(gè)響應(yīng)的計(jì)算時(shí)間是故意設(shè)計(jì)來改變操作的時(shí)間，這樣就能確保用戶不能在很短的時(shí)間里發(fā)送大量的登錄請求。這個(gè)方案被設(shè)計(jì)成這樣是為了減少合法用戶的問題(因?yàn)樗麄儠?huì)重用上次的計(jì)算)，但攻擊者在1s里發(fā)出大量的登錄請求就要花很大的開銷。最后，我們給出了方案的3個(gè)修改建議。前兩個(gè)修改使服務(wù)器不用明文存儲(chǔ)口令以增強(qiáng)了安全性。第3個(gè)修改是使用公鑰加密的保護(hù)以排除了離線字典攻擊。

參考文獻(xiàn):

[1] Lamport L.Password authentication with insecure communications[J].Communications of ACM，1981，24(8):770-772.

[2] Liang Wei，Wang Wenye.On performance analysis of challen ger-esponsebased authentication in wireless networks[J].Computer Networks，2005，48(10):267-288.

[3] Halevi Shai，Krawczyk Hugo.Public key cryptography and password protocos[J].ACM Transaction on Information and System Security August，1999，2(3):230-236.

[4] William Stallings.Cryptography and network security:Principleand practice[M].北京:清華大學(xué)出版社，2002.