基于智能卡的輕量級非平衡型口令認證方案*

王金波,熊 玲,張文政,曾 兵

(保密通信重點實驗室,四川成都610041)

基于智能卡的輕量級非平衡型口令認證方案*

王金波,熊 玲,張文政,曾 兵

(保密通信重點實驗室,四川成都610041)

智能卡與口令相結合的身份認證方式既可保留使用強密鑰優勢,又具有使用方便的特點,是一種理想的安全雙因子認證方式。當前許多公開的口令認證方案,要么需要較強的計算環境而難于采用智能卡快速實現,要么不能抵抗離線口令猜測攻擊或服務端內部攻擊而存在安全缺陷。提出一種非平衡型口令認證方案,基于智能卡和用戶口令雙因子設計,具有簡便高效、口令安全、雙向認證特點,能夠抵御離線口令猜測攻擊和服務端內部攻擊,可用于滿足設備開機時的安全認證需求。

智能卡 口令 認證

0 引 言

身份認證技術經歷了從軟件到硬件、從單因子到多因子、從靜態到動態的發展過程?？诹钫J證方案作為一種簡便易用的方案,在遠程服務認證系統中廣泛使用[1-2]。

為實施身份認證與密鑰協商過程,通信雙方需要共享對稱密鑰或擁有各自的私鑰,它們通常由專用的密碼裝置和程序控制產生,用戶難以記住這些密鑰信息,需要專用的安全存儲設備。為防止存儲的密鑰數據泄露,需要強化保密通信的安全管理,如不依賴于存儲安全的用戶口令的實時控制與參與,利用通信用戶的低熵的口令,產生出密碼學意義的高安全性的會話密鑰。不管是基于用戶“所知”的口令認證、用戶“所有”的智能卡認證還是用戶“所具有”的生物特征認證,任何單一的認證管理方式總是存在安全或應用上的種種局限,已經不能滿足網絡信息系統身份認證的需求。例如,基于生物特征進行身份認證無需用戶記憶復雜的口令或隨身攜帶智能卡等優點,但由于生物特征的隱私性、唯一性、不可撤消等獨特屬性,一旦泄露便可能造成嚴重后果。多因素認證方式相結合已經成為身份認證技術的發展趨勢。

用戶口令具有容易選擇、便于記憶和輸入,不需要PKI支持,無需專用的安全存儲設備等優點,但也存在口令的熵值低、容易猜測,認證信息容易丟失等缺點。而智能卡具有攜帶方便、擁有一定的計算和存儲能力等優勢,可提供用戶和遠程系統的交互認證。因此,采用與智能卡相結合的口令認證方式,使得口令認證與協商協議更具有易用性、更便于部署,即保留了使用強密鑰的優勢,又可以避免復雜的密鑰管理,是一種理想的安全雙因子應用方式,對于強化密碼信息的安全管理和系統應用安全具有重要意義。

1 研究基礎

設通信雙方實體分別為A和B,根據實際應用及安全策略的不同,構建基于弱秘密(如口令)的身份認證及密鑰協商機制[3],通常可劃分為如下3種基本類型或它們的混合型。

類型I:平衡型。該型主要特征是,實體A和實體B都擁有一個弱秘密,通信雙方擁有的弱密鑰可以相同也可以不同。

類型II:增廣型。該型主要特征是,實體A擁有一個弱秘密,實體B擁有對應該弱秘密的驗證值,如散列值。

類型III:依賴型。該型主要特征是,實體A擁有一個弱秘密,實體B擁有一個與該弱密鑰相關的強密鑰。

上述三類方案中,平衡型方案(類型I)口令同步機制復雜,導致安全性和可靠性不強,一般較少使用;增廣型方案(類型II)適用于本地認證服務的系統,也可用于安全要求不高的遠程認證服務系統;依賴型方案(類型III)適用于集中式管理的認證服務系統。

為描述方便,給出如下定義及記號:

pwU:用戶U口令,不存儲;

rA:用戶U的密鑰,存于實體A中,可隨pwU一起更換;

sB:系統密鑰,不更換。

2000年,Hwang等提出基于智能卡的認證方案,該方案基于模冪運算[4],Sun在此基礎上改進方案,該方案提供了相互認證,而且只用了單向散列函數,這樣使得算法實現速度快[5]。Ku指出了Sun方案可以進行離線口令攻擊,并改進了該方案[6],王小敏等提出Ku的方案同樣有缺陷,并進行了改進,后面分析表明該方案同樣不能抵抗離線口令攻擊[7]。

下面簡要描述王小敏等提出的基于智能卡和口令認證方案,其認證過程主要由系統初始化、用戶注冊、登錄和認證階段組成。

(1)系統初試化階段

系統初始化階段,主要完成智能卡(或USBKey)的初始化,建立智能卡應用環境等,生成并安全存儲注冊中心與服務器的共享秘密信息,確保其機密性。

(2)用戶注冊階段

1)用戶U選擇一個隨機數rA,計算:

2)用戶U向服務器B發送:

3)服務器B收到后計算:

4)服務器B向用戶U發送:

5)用戶U將數據R、V和rA保存到A中。

(3)用戶登錄階段

1)U插入智能卡到讀卡器,然后輸入idU和pwU。

2)A計算p=R⊕H(rA⊕pwU),并驗證Hp(H(rA⊕pwU))=V是否相等,如果不相等,A將結束會話。

3)A生成隨機數RA,計算c1=p⊕H(rA⊕RA),c2=Hp(H(rA⊕RA)⊕TU),其中TU表示用戶U操作時的時間戳。

4)A向B發送:

(4)系統驗證階段

B接收到登錄請求消息MsA后,B執行如下操作:

1)驗證idU和TU是否正確,如果不正確則拒絕登錄。

2)B計算P=H(idU⊕x),c′1=c1⊕p,驗證Hp(c′1⊕Tu)=c2是否成立,若成立,則接受登錄,否則拒絕登錄。

3)B計算c3=Hp(c′1⊕Ts),并向A發送:

4)A接收到B發送的消息MsB以后,首先驗證時間戳Ts是否正確,若不正確則終止會話。

5)A計算c′3=Hp(H(rA⊕RA)⊕Ts),并比較c′3=c3是否相等。如果相等,信任遠程服務器,則用戶和遠程服務器的登錄驗證過程完成。否則用戶終止會話。

(5)安全性分析

該方案中,若通過工具獲取智能卡中的信息R、V和rA,然后猜測口令值pw′U,計算p′=R⊕H(rA⊕pw′u),V′=Hp′(H(rA⊕pw′u));驗證V′=V是否相等,如果相等則成功獲取用戶口令。該方案沒有達到文中所提的可有效抵抗離線口令攻擊的目標。

2 非平衡型口令認證與協商協議

本節給出一種可實用化的非平衡型口令認證與協商協議方案,該方案可克服以往該類口令認證與協商方案的設計缺陷與不足。本方案基于智能卡和用戶口令雙因子設計,具有簡便高效、口令安全、雙向認證特點,能夠抵御離線口令猜測攻擊和服務端內部攻擊,可用于滿足用戶通信系統的安全認證需求。

本方案認證過程涉及管理中心、用戶U,認證實體A,遠程服務器實體B,包括注冊階段、登錄認證、密鑰協商、口令更換等活動。

2.1 注冊

終端用戶U向管理中心(如發卡中心)申請注冊,管理中心核實認證實體A及用戶U身份后:

1)管理中心為A產生用戶身份idU,以及用戶密鑰rA。

2)管理中心為B產生系統密鑰sB。

3)U獲準注冊時,輸入初始口令pwU,之后計算:

4)管理中心向A(智能卡)導入數據rA、idU和WA。

5)管理中心向B分配數據sB、idU和WB。

6)管理中心保留或備份sB和idU。

依據第1節認證類型描述,U與A之間以及A和B之間的配置符合增廣型(類型II)和依賴型(類型III)特征:

1)引入sB為A端的用戶口令提供保護,攻擊者(外部竊取、仿冒及猜測人員)從A中獲取不到pwU、sB,無法利用A開展離線口令攻擊。

2)引入rA可防止B端受內部攻擊,攻擊者(如B的操作人員)從B中獲取不到rA和pwU,只能獲得它們異或值的散列值。

2.2 登錄認證

用戶U完成注冊,實體A和B完成相關配置,用戶U可利用A向B發起登錄申請。用戶U的登錄流程,具體設計如下:

1)終端接入系統,提示用戶U插入認證實體A、輸入用戶身份信息idU,A驗證idU是否正確,否則拒絕用戶U的登錄申請。

2)用戶U向A輸入口令pwU,A計算中間值H(rA⊕pwU)和H(sB⊕idU),產生隨機數RA和密鑰協商因子KA,計算

3)發起端A向接收端B發送:

其中NA為用戶U每次登錄唯一標識,如系統時間或隨機序列號。

4)接收端B接收MsA,對U和A進行身份鑒別,產生隨機數RB和密鑰協商因子KB,計算

5)接收端B向發起端A發送:

其中NB為B向A反饋的登錄唯一標識,可采用隨機序列號或NA。

6)發起端A接收MsB,對B進行身份鑒別。

【可選】A利用協商函數F計算共享密鑰KAB=F(KA,KB),用KAB加密反饋信息(如加密數據H(sB⊕RB)),向B發送。

7)【可選】接收端B接收A的反饋信息,確認A和B完成密鑰協。

2.3 鑒別與協商

2.2節的登錄設計包含身份鑒別和密鑰協商機制,具體如下。

實體A對用戶U的鑒別:

1)實體A收到用戶U輸入的用戶身份idU,檢查它與A中存儲的一致性;否則,拒絕用戶U的登錄申請。

實體B對用戶U和實體A的鑒別:

2)實體B收到A發送的數據{NB,SB0,SB1,VB},檢查NB的合理性。

3)利用數據SA0和SA1得到H(rA⊕RA)和KA,計算

4)若V′A與接收數據VA一致,則U和A通過身份鑒別;否則鑒別失敗。

用戶U和實體A對實體B的鑒別:

5)實體A收到B發送的數據{NA,SA0,SA1,VA},檢查NB的合理性;

6)利用數據SB0和SB1得到H(sB⊕RB)和KB,計算

7)若V′B與接收數據VB一致,則B通過身份鑒別;否則鑒別失敗。

實體A和實體B之間的密鑰協商:

完成身份鑒別后,A和B共享密鑰因子KA和KB,將它們傳給所配置的通信設備進行密鑰協商,計算出協商密鑰。

設備得到協商密鑰后,就可實施后續所需資源的恢復。關于密鑰協商算法及資源恢復設計,超出了本文研究范圍。

2.4 口令更改

本文方案支持對用戶口令實施在線更換,具體設計如下。

1)用戶U啟動終端口令更新程序,輸入用戶身份idU和用戶原口令pwU,實體A驗證idU是否正確,否則拒絕下一步操作。

2)用戶輸入新口令pw'U,實體A計算出H(rA⊕pwU)和H(sB⊕idU),產生隨機數RA和新的用戶密鑰r′A(如選擇不需更新,則仍為rA),計算

3)發起端A向B發送:

4)接收端B接收MsA,對A進行身份鑒別(判斷VA與計算一致),得到H(r′A⊕pw′u),產生隨機數RB和KB,計算

5)接收端B向A發送:

6)發起端A接收MsB,對B進行身份鑒別(判斷VB與計算一致),更新A中存放的rA和WA:

7)發起端A向B發送確認信息:

8)接收端B接收PwA驗證A中的WA和rA已更新,更新WB:

3 方案分析

本文方案中,攻擊者實施攻擊的條件可分為如下3種情形:

1)攻擊者僅獲得pwU。

2)攻擊者僅獲得A的存儲數據。

3)攻擊者獲得A的存儲數據以及A和B之間交互的傳輸數據。

對于情形1),用戶U僅pwU泄露,顯然攻擊者利用pwU無法得到其它有用信息,對系統安全無影響,用戶U只需及時更新口令即可。

對于情形2),攻擊者獲得rA、idU和WA←H(SB⊕idu)⊕H(rA⊕pwU):

攻擊者嘗試口令不同值進行在線攻擊,顯然在B端限制用戶登錄失敗次數就可挫敗該類攻擊;

攻擊者嘗試口令不同值進行離線攻擊,因H(sB⊕idU)未知,利用WA←H(SB⊕idu)⊕H(rA⊕pwU)無法得到的pwU信息。

對于情形3),攻擊者獲取實體A中的存儲數據以及已登錄過的交互數據,可獲得與秘密信息相關的由5個方程構成的方程組,它們共含6個未知元:pwU,xB,RA,RB,KA,KB,需要嘗試所有可能口令值,則可獲得pwU的概率信息。

本文方案具有抗內部攻擊、抗離線攻擊、抗重放和偽造攻擊等能力。

4 結 語

本文針對當前網絡環境下遠程認證登錄的安全需求,提出了一種基于智能卡和口令相結合的簡便高效的身份認證方案。該協議方案有很強的實用性和安全性,可以實現用戶端與遠程服務器端的雙向認證與密鑰協商,認證過程僅用到7次單向散列運算,實現簡單快速,具有抵御離線口令猜測攻擊和服務端內部攻擊等優點。

由于口令取值只可能限定在比較小的空間(如10字節),根據第3節情形3)的分析,可通過離線和在線結合方式獲取口令的概率信息,這是所有輕量級口令認證方案均無法避免的。如何在有效保護用戶個人隱私信息安全性的條件下,將生物特征識別技術[8-9]與口令認證技術融合,進而提出具有生物特征隱私保護、基于智能卡、用戶口令和生物特征的多因素身份認證方案,是我們下一步需要研究的重要課題。

[1] 李波,楊茂云,何大可.一種智能卡口令認證方案的分析與改進[J].通信技術,2003(08):104-105.

LI Bo,YANG Mao-yun,HE Da-ke.Analysis and Improvement of A Password Authentication Scheme with Smart Card. Communication Technology.2003.8:104-105.

[2] 王海龍,戴英俠.遠程接入短信動態口令系統的阻塞攻擊分析及其對策[J].信息安全與通信保密, 2008(12):103-106.

WANG Hai-long,DAI Ying-xia.Denial-of-Service Attack Analysis of Dynamic Password and Proposed Countermeasures.2008(12):103-106.

[3] ISO/IEC11770-4-2006,Information Technology-Security Techniques-Key Management-Part4:Mechanisms based on Weak Secrets[S].[s.l.]:Joint Technical Committee ISO/IEC JTC 1,2006.

[4] Hwang M S,Li L H.A New Remote User Authentication Scheme Using Smart Cards[J].IEEE Transactions on Consumer Electronics,2000,46(01):28-30.

[5] SUN H M.An Efficient Remote User Authentication Scheme Using Amart Cards[J].IEEE Transactions on Consumer Electronics,2000,46(04):958-961.

[6] KU W C,CHEN S M.Weaknesses and Improvement of an Efficient Password based Remote User Authentication Scheme Using Smart Cards[J],IEEE Transactions on Consumer Electronics,2004,50(01):204-207.

[7] WANG Xiao-min,ZHANG Wen-fang.Cryptanalysis and Improvement on two Efficient Remote User Authentication Scheme Using Smart Cards[J].Computer Standards&interfaces,2007(29):507-512.

[8] Ratha N,Connell J,Bolle R.,Enhancing Security and Privacy in Biometries-based Authentication Systems[J]. IBM Systems Journal,2010(40):614-634.

[9] Simoens K,Bringer J,Chabanne H,Seys S.A Framework for Analyzing Template Security and Privacy in Biometric Authentication Systems[J].IEEE Transactions on Information Forensics and Security,2012,7(02):833-841.

WANG Jin-bo(1971-),male,Ph.D.,research fellow,mainly engaged in cryptography theory.

熊 玲(1983—),女,碩士,工程師,主要研究方向為密碼理論;

XIONG Ling(1983-),female,M.Sci.,mainly working at cryptography theory.

張文政(1966—),男,碩士,研究員,主要研究方向為密碼理論;

ZHANG Weng-zheng(1966-),male,M.Sci.,research fellow,mainly working at cryptography theory.

曾 兵(1971—),男,碩士,高級工程師,主要研究方向為密碼工程。

ZENG Bing(1971-),male,M.Sci.,senior engineer,majoring in cryptography engineering.

A Balanced Password Authentication Schemes based on Smart Card

WANG Jin-bo,XIONG Ling,ZHANG Wen-zheng,ZENG Bing
(Key Laboratory of Confidential Communication,Chengdu Sichuan 610041,China)

Remote user authentication protocol using smart cards together with password is an efficient double -factor scheme,which has the advantage of secure and convenience.At present,among the password authentication schemes,many of them can’t use smart card,because password authentication method needs complex computer operations.However,some password authentication method based on smart card can’t be against to guessing attack.To remedy these flaws,this paper proposes an efficient improvement over Xiao-Min Wang’s with more security,which can be against guessing attack and Server internal attack.

smart card;password;authentication

TP393

A

1002-0802(2014)08-0930-05

10.3969/j.issn.1002-0802.2014.08.018

王金波(1971—),男,博士,研究員,主要研究方向為密碼學與信息安全;

2014-05-10;

2014-06-11 Received date：2014-05-10;Revised date：2014-06-11

青年科學基金項目(No.61309034)

Foundation Item:Youth Science Foundation(No.61309034)