基于動(dòng)態(tài)ID的遠(yuǎn)程認(rèn)證方案的分析和改進(jìn)

屈娟，鄒黎敏，譚曉玲

1.重慶三峽學(xué)院數(shù)學(xué)與統(tǒng)計(jì)學(xué)院，重慶 404000

2.重慶三峽學(xué)院電子與信息工程學(xué)院，重慶 404000

基于動(dòng)態(tài)ID的遠(yuǎn)程認(rèn)證方案的分析和改進(jìn)

屈娟1，鄒黎敏1，譚曉玲2

1.重慶三峽學(xué)院數(shù)學(xué)與統(tǒng)計(jì)學(xué)院，重慶 404000

2.重慶三峽學(xué)院電子與信息工程學(xué)院，重慶 404000

1 引言

遠(yuǎn)程認(rèn)證方案是遠(yuǎn)程服務(wù)器在不安全的信道上認(rèn)證遠(yuǎn)程用戶身份的一種機(jī)制。隨著網(wǎng)絡(luò)技術(shù)的全面迅速發(fā)展，遠(yuǎn)程用戶認(rèn)證在電子商務(wù)，電子貨幣等方面起著不可或缺的作用。1981年，Lamport[1]基于哈希函數(shù)提出了一個(gè)遠(yuǎn)程認(rèn)證方案，該方案能夠在不安全的通信信道上認(rèn)證遠(yuǎn)程用戶。此后，許多遠(yuǎn)程認(rèn)證方案[2-6]被提出，不斷提高認(rèn)證方案的安全性，效率及性能。2004年，Das[7]等人提出了一個(gè)基于雙線性對(duì)的遠(yuǎn)程用戶認(rèn)證方案，方案能抵抗重放攻擊，猜測(cè)攻擊，偽造攻擊，內(nèi)部攻擊等。2005年，Liao-Lee-Hwang在文獻(xiàn)[8]中指出文獻(xiàn)[7]中的方案不能抵抗猜測(cè)攻擊，不能實(shí)現(xiàn)共同認(rèn)證等缺陷，并給出了一個(gè)改進(jìn)方案。2009年，Wang[9]等人指出Das[7]等人的方案不能抵抗冒充攻擊，并且不能達(dá)到服務(wù)器和用戶的相互認(rèn)證，改進(jìn)后的方案克服了以上的安全缺陷。2007年，段曉毅等人[10]指出Liao-Lee-Hwang方案不能防止竊取攻擊，并提出了一個(gè)改進(jìn)方案，改進(jìn)后的方案解決了Liao-Lee-Hwang方案的竊取攻擊的問(wèn)題。本文對(duì)段曉毅等人[10]的方案進(jìn)行了安全性分析，發(fā)現(xiàn)該方案不能抵御離線密碼字猜測(cè)攻擊，冒充服務(wù)器攻擊，且遠(yuǎn)程系統(tǒng)和用戶相互認(rèn)證后不能提供會(huì)話密鑰完成進(jìn)一步的通信。在保持原有方案的安全性下，提出一個(gè)改進(jìn)方案，改進(jìn)后的方案避免了以上的攻擊，且在相互認(rèn)證后用戶和服務(wù)器可以協(xié)商一個(gè)共享的會(huì)話密鑰確保其后的保密通信。安全分析表明，改進(jìn)后的方案可抵抗密碼字猜測(cè)攻擊，冒充攻擊等，具有更高的安全性，可在實(shí)際中廣泛應(yīng)用。

2 段等人的方案

本文中所使用的符號(hào)定義：U為用戶，PWi為用戶的密鑰，S為遠(yuǎn)程系統(tǒng)，h(·)為一個(gè)單向函數(shù)，⊕為比特異或運(yùn)算，A?B：M為A通過(guò)安全通道把M傳送給B，A→B：M為A通過(guò)公開(kāi)通道把M傳送給B，x為S的密鑰，y為在每個(gè)用戶的智能卡中存儲(chǔ)的S一個(gè)安全認(rèn)證碼，||為消息連接符號(hào)。

為了對(duì)段曉毅等人的方案進(jìn)行詳細(xì)的密碼學(xué)分析，現(xiàn)在對(duì)段等人的方案進(jìn)行簡(jiǎn)要的描述，段等人的方案分為注冊(cè)，認(rèn)證和密鑰修改4個(gè)階段。

2.1 注冊(cè)階段

（1）當(dāng)一個(gè)用戶Ui需要注冊(cè)到一個(gè)遠(yuǎn)程系統(tǒng)時(shí)執(zhí)行此過(guò)程，用戶Ui選擇一個(gè)個(gè)人密鑰并計(jì)算h(PWi)，并把個(gè)人IDi和h(PWi)通過(guò)安全信道送到遠(yuǎn)程系統(tǒng)。

（3）使用單向函數(shù)h(·),Ni,y（y是存儲(chǔ)在每個(gè)用戶智能卡中的遠(yuǎn)程系統(tǒng)的密鑰）對(duì)智能卡進(jìn)行個(gè)人操作。

（4）S?Ui：智能卡。

2.2 認(rèn)證階段

2.2.1登錄部分

當(dāng)一個(gè)用戶Ui希望登錄到S時(shí)，執(zhí)行如下操作：

Ui把智能卡插入到終端的讀卡器中，并輸入PWi，智能卡進(jìn)行如下操作：

2.2.2S認(rèn)證U部分

當(dāng)S在T′接收到登錄信息(CIDi,Ni,Ci,T)后，S通過(guò)如下步驟認(rèn)證用戶Ui的合法性：

（1）驗(yàn)證T和T′的時(shí)間間隔是否合法，如果(T′-T)≥ΔT，則遠(yuǎn)程系統(tǒng)拒絕登錄請(qǐng)求；

2.2.3U認(rèn)證S

當(dāng)Ui在接收到S返回的(D,T′)后，智能卡并進(jìn)行如下操作來(lái)認(rèn)證S。

（1）驗(yàn)證T″和T′的時(shí)間間隔是否合法，如果(T″-T)≥ΔT，則智能卡報(bào)錯(cuò)并退出此次登錄請(qǐng)示。

（3）檢查D是否等于D′，如果不相等，則智能卡報(bào)錯(cuò)并退出，否則Ui成功認(rèn)證S。

2.3 口令更新階段

當(dāng)用戶Ui想修改個(gè)人密鑰時(shí)進(jìn)行此階段的操作。

（1）用戶Ui把智能卡插入到終端中輸入個(gè)人密鑰PWi并請(qǐng)求修改個(gè)人密鑰。

（2）用戶Ui輸入一個(gè)新的個(gè)人密鑰PWnew。

3 段等人方案的安全性分析

3.1 離線密碼字猜測(cè)攻擊

3.2 冒充服務(wù)器攻擊

3.3 重放攻擊

3.4 方案不能提供會(huì)話密鑰

遠(yuǎn)程認(rèn)證方案應(yīng)在用戶和遠(yuǎn)程系統(tǒng)相互認(rèn)證后建立會(huì)話密鑰來(lái)完成進(jìn)一步的通信，而段等人方案的沒(méi)有提供會(huì)話密鑰，因此在實(shí)際中無(wú)法廣泛應(yīng)用。

4 改進(jìn)后的方案

為了進(jìn)一步保證遠(yuǎn)程用戶認(rèn)證方案的安全性及其廣泛應(yīng)用性，對(duì)段等人的方案進(jìn)行了改進(jìn)，改進(jìn)后的方案保持了原有方案的優(yōu)點(diǎn)，且能抵抗用戶冒充攻擊以及惡意用戶的密碼字猜測(cè)攻擊，因此可在實(shí)際中廣泛應(yīng)用。

4.1 注冊(cè)階段

（1）當(dāng)用戶Ui需要注冊(cè)到一個(gè)遠(yuǎn)程系統(tǒng)時(shí)執(zhí)行此過(guò)程，用戶Ui選擇一個(gè)隨機(jī)數(shù)b，計(jì)算h(PWi||b)，并把個(gè)人IDi和h(PWi||b)通過(guò)安全信道發(fā)送到遠(yuǎn)程系統(tǒng)。

（2）當(dāng)接收到注冊(cè)請(qǐng)求，遠(yuǎn)程系統(tǒng)計(jì)算Ni=h(PWi||b)⊕h(x||IDi)，wi=h(h(PWi||b)||h(x||IDi))，x表示遠(yuǎn)程系統(tǒng)的一個(gè)密鑰。

（3）使用單向函數(shù)h(·),Ni,y,b,wi（y是存儲(chǔ)在每個(gè)用戶智能卡中的遠(yuǎn)程系統(tǒng)的密鑰）對(duì)智能卡進(jìn)行個(gè)人操作。

4.2 登錄階段

4.3 認(rèn)證階段

4.3.1 S認(rèn)證U部分

當(dāng)S在T′接收到登錄信息(CIDi,Ci,Di,T)后，S通過(guò)如下步驟認(rèn)證用戶Ui的合法性：

（1）驗(yàn)證T和T′的時(shí)間間隔是否合法，如果(T′-T)≥ΔT，則遠(yuǎn)程系統(tǒng)拒絕登錄請(qǐng)求，否則繼續(xù)操作。

4.3.2 U認(rèn)證S部分

當(dāng)Ui在接收到S發(fā)送的信息(Ei,Fi,T″)后，智能卡并進(jìn)行如下操作來(lái)認(rèn)證S。

（1）驗(yàn)證T?和T″的時(shí)間間隔是否合法，如果(T?-T″)≥ΔT，則智能卡報(bào)錯(cuò)并退出此次登錄請(qǐng)示。

4.4 密鑰更新階段

5 安全性分析

5.1 抵抗密碼字猜測(cè)攻擊

本文提出的改進(jìn)方案能夠抵抗密碼字猜測(cè)攻擊，即使攻擊者UA竊取到用戶Ui的智能卡，他從智能卡中提取信息(Ni,y,b,wi)，其中Ni=h(PWi||b)⊕h(x||IDi)，并從公開(kāi)信道中截獲Ui的登錄信息(Ci,Di,T)以及(Ei,Fi,T″)。攻擊者UA無(wú)法獲得遠(yuǎn)程系統(tǒng)的密鑰x及用戶Ui的身份IDi，他無(wú)法猜測(cè)用戶Ui的密碼字。因此，提出的方案有效防止了密碼字猜測(cè)攻擊。

5.2 抵抗冒充攻擊

在改進(jìn)的方案中，攻擊者無(wú)法計(jì)算Ei=N1⊕N2⊕h(h(PWi||b)||h(x||IDi))，F(xiàn)i=h(T″||T||h(x||IDi)||N2)。因?yàn)楣粽邿o(wú)法獲得用戶Ui的密碼字PWi和h(x||IDi)，因此無(wú)法產(chǎn)生有效的認(rèn)證信息(Ei,Di,T″)來(lái)實(shí)現(xiàn)認(rèn)證。

5.4 抵抗重放攻擊

假設(shè)攻擊者截獲了以前會(huì)話中的一個(gè)有效的登錄請(qǐng)求消息(CIDi,Ci,Di,T)，試圖通過(guò)重放該消息成功地登錄服務(wù)器S。但是，在本文方案中，這是不可行的。因?yàn)镃i=h(N1||CIDi||y||T)，Di=N1⊕h(h(x||IDi)||y)，每次會(huì)話選取的隨機(jī)數(shù)不同。因此，本方案可以抵抗重放攻擊。

5.3 高效的密碼字驗(yàn)證

如果用戶輸入錯(cuò)誤的密碼字PWi，智能卡計(jì)算h(x||IDi)=Ni⊕h(PWi||b)，wi=h(h(PWi||b)|h(x||IDi))，此時(shí)，會(huì)發(fā)現(xiàn)計(jì)算的wi與智能卡中的存儲(chǔ)的wi不相等。智能卡拒絕請(qǐng)求。

5.4 提供會(huì)話密鑰

本文的方案在用戶和遠(yuǎn)程服務(wù)器相互認(rèn)證后，雙方產(chǎn)生會(huì)話密鑰sk=h(h(x||IDi)||N1||N2)，用于接下來(lái)的雙方之間的通信，且只有用戶和服務(wù)器才能生成會(huì)話密鑰，任何第三方不能得到會(huì)話密鑰sk=h(h(x||IDi)||N1||N2)。

6 性能分析

本文方案與文獻(xiàn)[10]的認(rèn)證方案的安全性能比較如表1所示。從表1可看出，本文方案克服了段等人方案的缺陷，且在用戶和服務(wù)器相互認(rèn)證后共同協(xié)商了一個(gè)會(huì)話密鑰確保了其后的保密通信。

表1 性能比較

7 結(jié)束語(yǔ)

在本文中，作者分析了段曉毅等人方案的安全缺陷，指出該方案不能抵御離線密碼字猜測(cè)攻擊和冒充服務(wù)器攻擊，且方案不能提供會(huì)話密鑰。針對(duì)以上的缺陷，提出了一個(gè)改進(jìn)的方案，分析表明改進(jìn)后的方案具有更高的安全性。

[1]Lamport L.Password authentication with insecure communication[J].Communication of the ACM，1981，24（11）：770-772.

[2]Lennon R E，Matyas S M，Mayer C H.Crytographic authentication of time-invariant quantities[J].IEEE Transactions on Communications，1981，29（6）：773-777.

[3]Yen S M，Liao K H.Shared authentication token secure replay and key attack[J].Information Processing Letters，1997，62（2）：78-80.

[4]Hwang M S，Li L H.A new remote user authentication scheme using smart cards[J].IEEE Transactions on Consumer Electronics，2000，46（1）：28-30.

[5]Wang Y Y，Liu J Y，Xiao F X，et al.A more efficient and secure dynamic ID-based remote user authentication scheme[J].Computer Communications，2009，32（4）：583-585.

[6]張少武，李毅，曾立君，等.基于身份的遠(yuǎn)程用戶認(rèn)證方案[J].計(jì)算機(jī)工程，2008，34（12）：149-151.

[7]Das M L，Saxena A，Gulati V P.A dynamic ID-based remote user authentication scheme[J].IEEE Transactions on Consumer Electronics，2004，50（2）：629-631.

[8]Liao I E，Lee C C，Hwang M S.Security enhancement for a dynamic ID-based remote user authentication scheme[C]// ProceedingsofInternationalConferenceNextGeneration Web Services Practices，Seoul，Korea，2005.

[9]Wang Y Y，Liu J Y，Xiao F X，et al.A more efficient and securedynamicID-basedremoteuserauthentication scheme[J].Computer Communication，2009，4（32）：583-585.

[10]段曉毅，張其善，劉建偉.基于動(dòng)態(tài)ID的遠(yuǎn)程認(rèn)證方案的改進(jìn)[J].北京航空航天大學(xué)學(xué)報(bào)，2007，23（5）：565-567.

QU Juan1,ZOU Limin1,TAN Xiaoling2

1.School of Mathematics and Statistics,Chongqing Three Gorges University,Chongqing 404000,China
2.School of Electronic and Information Engineering,Chongqing Three Gorges University,Chongqing 404000,China

In this paper,Duan et al.’s scheme is analyzed.It is showed that this scheme is insecure against offline-guessing attack,replay attack,forgery attack and a session key doesn’t be provided after mutual authentication.An improved scheme is proposed that overcomes the above-mentioned security flaws with not affecting the merits of the original scheme.The proposed scheme not only allows the users to choose and change their passwords freely,but also generates a session key agreed by the user and the server.

user authentication;smart card;offline password guessing attack;mutual authentication

分析了段曉毅等人提出的動(dòng)態(tài)ID的遠(yuǎn)程認(rèn)證方案，發(fā)現(xiàn)該方案不能抵御離線密碼字猜測(cè)攻擊，重放攻擊，冒充服務(wù)器攻擊，且在相互認(rèn)證后不能提供會(huì)話密鑰。提出了一個(gè)改進(jìn)方案，改進(jìn)后的方案克服了以上的安全缺陷，且用戶可自由選擇登錄系統(tǒng)的密碼，相互認(rèn)證后用戶和服務(wù)器共享一個(gè)會(huì)話密鑰。

用戶認(rèn)證；智能卡；離線密碼字猜測(cè)攻擊；相互認(rèn)證

A

TP309

10.3778/j.issn.1002-8331.1212-0317

QU Juan,ZOU Limin,TAN Xiaoling.Analysis and improvements of dynamic identity-based remote user authentication scheme.Computer Engineering and Applications,2014,50（22）：126-129.

重慶市教育技術(shù)委員會(huì)項(xiàng)目（No.KJ121103）；重慶三峽學(xué)院科研項(xiàng)目（No.11ZD-15）。

屈娟（1984—），女，講師，研究領(lǐng)域?yàn)槊艽a學(xué)與信息安全；鄒黎敏（1984—），男，講師，研究領(lǐng)域?yàn)榫仃嚻娈愔岛颓醪蛔兎稊?shù)不等式；譚曉玲（1969—），女，副教授，研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)安全。E-mail：qulujuan@163.com

2012-12-26

2013-03-04

1002-8331（2014）22-0126-04