改進(jìn)的基于雙線性對與隨機(jī)數(shù)的匿名認(rèn)證方案

◆曾凡俊

（廣東省廣播電視節(jié)目監(jiān)聽監(jiān)看中心 廣東 510066）

改進(jìn)的基于雙線性對與隨機(jī)數(shù)的匿名認(rèn)證方案

◆曾凡俊

（廣東省廣播電視節(jié)目監(jiān)聽監(jiān)看中心 廣東 510066）

針對一個(gè)基于智能卡口令認(rèn)證方案進(jìn)行了安全性分析，指出方案不能抵抗Reflection攻擊、智能卡丟失攻擊。同時(shí)不能對用戶身份進(jìn)行有效保護(hù)，除此之外，口令更改階段存在設(shè)計(jì)缺陷，登錄階段也不能及時(shí)檢測口令輸入錯(cuò)誤。在此基礎(chǔ)上，本文給出一個(gè)改進(jìn)的基于雙線性對、隨機(jī)數(shù)、哈希函數(shù)的身份認(rèn)證方案。利用雙線性構(gòu)造用戶臨時(shí)身份，采用Nonce代替時(shí)間戳，基于離散對數(shù)計(jì)算困難性和哈希函數(shù)的不可逆性實(shí)現(xiàn)雙向認(rèn)證。經(jīng)分析表明：改進(jìn)方案彌補(bǔ)了原方案的安全缺陷，保持較高的效率，具有更高的安全性。

智能卡；口令認(rèn)證；Reflection攻擊；Nonce；雙線性對

0 引言

隨著電子商務(wù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，越來越多的交易在網(wǎng)絡(luò)上進(jìn)行，2013年僅雙11一天，淘寶交易額達(dá)就到驚人的350億元。互聯(lián)網(wǎng)在帶來便利的同時(shí)，也帶來了相應(yīng)的安全問題。網(wǎng)絡(luò)不安全的根本原因主要是網(wǎng)絡(luò)協(xié)議的不安全，攻擊者大多利用協(xié)議漏洞攻擊網(wǎng)絡(luò)，進(jìn)行欺騙等不法行為。因此，構(gòu)建安全有效的網(wǎng)絡(luò)協(xié)議是重中之重。

自1981年Lamport第一次提出口令認(rèn)證方案以來，遠(yuǎn)程口令認(rèn)證一直是安全領(lǐng)域?qū)W者研究的熱點(diǎn)，由于智能卡具有讀寫和存儲和自動處理數(shù)據(jù)的功能，近年來，基于智能卡的口令認(rèn)證方案[1-8]更是層出不窮，但一些認(rèn)證方案存在著一定的安全問題。2010年，Holbl等[1]人提出一種安全的智能卡口令認(rèn)證方案，隨后Xie等[2]人指出該方案不能抵抗智能卡丟失攻擊，同時(shí)也不具有完美前向安全性。2012年，He等[3]人提出一種安全的智能卡方案，然而，Wang等[4]人在次年指出該方案不能抵抗Reflection攻擊，同時(shí)不能保證用戶的匿名性。2012年，汪等[5]指出于江等人的強(qiáng)口令認(rèn)證方案不能抵抗DoS攻擊，重放攻擊，服務(wù)器攻擊，并給出一個(gè)新的認(rèn)證方案，同年，唐等[8]指出Chen等方案存在內(nèi)部攻擊，丟失智能卡攻擊，重放攻擊和身份冒充攻擊。也提出一種基于橢圓曲線離散對數(shù)難題的遠(yuǎn)程用戶認(rèn)證協(xié)議。2013年，Li等[9]指出Lee等[10]人方案沒有實(shí)現(xiàn)雙向認(rèn)證，同時(shí)不能抵抗假冒攻擊，提出一種基于智能卡的動態(tài)身份認(rèn)證方案。2011年，Wang[11]提出一個(gè)基于智能卡的口令認(rèn)證方案，該方案具有交互次數(shù)少，系統(tǒng)開銷小，效率高等特點(diǎn)。但在安全性方面也存在一些問題，方案不能抵御反射攻擊和智能卡丟失攻擊，沒有實(shí)現(xiàn)用戶匿名性保護(hù)，方案采用時(shí)間戳抵御重放攻擊，引入了時(shí)鐘同步問題。同時(shí)，口令更改階段也存在設(shè)計(jì)缺陷。本文對Wang方案進(jìn)行改進(jìn)，改進(jìn)方案克服了原方案以上存在的安全性問題，適用于安全需求較高的場合。

1 預(yù)備知識

1.1 雙線性對

設(shè)G1是橢圓曲線群中階為素?cái)?shù)q的加法循環(huán)群，G2是與G1同階乘法循環(huán)群，P是G1的生成元，稱e：G1×G1 →G2是一個(gè)雙線性映射，如果它滿足以下性質(zhì)：

（1）對稱性：給定元素P，Q，R∈G1，a，b∈Zq*有：e（aP，bQ）= e（P，Q）ab；

（2）非退化性：存在元素Q，R∈G1，使得e（Q，R）≠1G1，其中，1G1是群G2的單位元；

（3）可計(jì)算性：對任意的元素Q，R∈G1，存在一個(gè)有效的算法可計(jì)算e（Q，R）。

1.2 符號標(biāo)識

本文所用到的符號標(biāo)識如下：

Ui用戶i；

S 服務(wù)器；

SC 智能卡；

IDiPWi分別表示用戶i的身份標(biāo)識和口令；

p，q 大素?cái)?shù)；

|| ⊕ 連接運(yùn)算符和異或運(yùn)算符。

2 Wang方案及其安全漏洞

2.1 Wang方案簡要回顧

（1）注冊階段

U發(fā)送{IDu，PWu}給S。S收到{IDu，PWu}后，計(jì)算Au= h（mod p），Bu=⊕h（PWu）mod p，將{IDu，Au，Bu，p，h（）}儲存至SC中。

（2）登錄階段

U將SC插入讀卡器，輸入IDu和PWu。SC執(zhí)行下面步驟：

②計(jì)算Cu=h（||T||Yu||IDu）；T是用戶當(dāng)前的時(shí)間戳；

③U向S發(fā)送信息{IDu，T，Cu，Yu}。

（3）認(rèn)證階段

S收到{IDu，T，Cu，Yu}后，驗(yàn)證IDu和T的有效性，判斷IDu是否合法。同時(shí)判斷|T*-T|≤△T是否成立，T*為S時(shí)間戳。當(dāng)T與T*的間隔大于△T或IDu錯(cuò)誤時(shí)，認(rèn)證失敗，否則執(zhí)行以下步驟：

③U收到{IDu，T**，Cs，Zs}后，SC驗(yàn)證IDu和T**的有效性。兩者有一不合法，則終止會話。否則驗(yàn)證Cs=h（||T**||Zs||IDu）是否成立，若成立，則判定服務(wù)器合法，若不成立，終止會話。

U和S分別計(jì)算sk = h（IDu||Yu||Zs||Zsy+1）= h（IDu||Yu||Zs||）。

（4）口令更改階段

U輸入IDu和PWu和新口令P。SC計(jì)算h（Imod p）x⊕h（P）⊕h（PWu）mod p，然后替換SC中的Bu。

2.2 Wang方案安全性分析

Wang方案具有系統(tǒng)開銷小、允許用戶自主選擇口令的特點(diǎn)，同時(shí)方案可以有效抵御重放攻擊、并行會話攻擊、修改攻擊等攻擊。但是仍有以下安全性缺陷：

（1）Reflection攻擊。方案中用戶和服務(wù)器端進(jìn)行了多次認(rèn)證，但是用戶發(fā)送的認(rèn)證信息和S返回的中間認(rèn)證信息具有一定的關(guān)聯(lián)相似性，這就可能導(dǎo)致Reflection攻擊，攻擊步驟如下：

①合法用戶通過公開信道向服務(wù)器發(fā)送登錄信息{IDu，T，Cu，Yu}。

②攻擊者截獲信息{IDu，T，Cu，Yu}。

③攻擊者冒充S返回信息{IDu，T**，Cs，Zs}，其中IDu=IDu，T**=T，Cs=Cu，Zs=Yu給用戶。

④合法用戶接收信息{IDu，T**，Cs，Zs}，SC計(jì)算IDu和時(shí)間戳T的有效性。顯然IDu和T是有效的，然后驗(yàn)證Cs= h（||T**||Zs||IDu）= h（||T||Yu||IDu）= Cu，顯然是成立的，則認(rèn)為服務(wù)器合法。

盡管攻擊者可以假冒服務(wù)器欺騙合法用戶，但是由于不能進(jìn)一步計(jì)算出會話密鑰sk，所以不能與合法用戶進(jìn)行有效通信，這種攻擊只能進(jìn)行簡單的認(rèn)證破壞，但原方案實(shí)現(xiàn)的這種雙向認(rèn)證顯然是不安全的。

（2）智能卡丟失攻擊。如果攻擊者獲得用戶丟失的智能卡。則可以從智能卡中獲取存儲的信息[12]，如用戶標(biāo)識IDu，由于智能卡在用戶登錄階段沒有對用戶輸入的IDu和PWu進(jìn)行驗(yàn)證。假設(shè)攻擊者獲取了用戶的智能卡，輸入IDu和任意PW*，智能卡會進(jìn)行相關(guān)計(jì)算，然后向服務(wù)器發(fā)起認(rèn)證。根據(jù)Wang方案可知，當(dāng)服務(wù)器驗(yàn)證Cu=h（||T||Yu||IDu）失敗時(shí)，才會終止認(rèn)證。因?yàn)榉?wù)器端和智能卡都沒有對用戶認(rèn)證次數(shù)進(jìn)行限制，攻擊者可以多次嘗試不同的PW*，當(dāng)Cu=h（||T||Yu||IDu）時(shí)，說明攻擊者嘗試的PW*是用戶正確的口令，否則，進(jìn)行下一次嘗試，直到找到正確的PW*為止。由于用戶選擇PW一般是簡短且便于記憶的，這就導(dǎo)致用戶的口令空間比較小。從而加大了此類攻擊成功的可能性。

（3）不能保證用戶匿名性。如今，保證用戶身份的私密性顯得極為重要，特別在一些敏感場合，如電子投票、電子選舉等[9]。用戶匿名性可以防止其私人信息被攻擊者追蹤，例如，在電子商務(wù)中，一旦用戶身份被泄露，攻擊者可以據(jù)此了解到該用戶的敏感私人信息，如個(gè)人偏好，社交圈，購物習(xí)慣等等，所以，保護(hù)用戶身份對一個(gè)安全的協(xié)議來說是極其必要的。然而在Wang的方案中，IDu在公開信道上始終明文傳輸。用戶的身份根本得不到有效的保護(hù)。

（4）口令更改階段缺陷。在口令更改階段，U輸入IDu、舊口令PWu以及新口令P，然后SC計(jì)算h（Imod p）x⊕h（P）⊕h（PWu）mod p，最后替換SC中的Bu。假設(shè)U在注冊后更改口令，那么此時(shí)Bu= h（IDuxmod p）x⊕h（PWu*）⊕h（PWu）mod p = Au⊕h（P）⊕h（PWu）mod p，當(dāng)用戶登錄時(shí)，輸入口令PW*后SC計(jì)算Bu*=（Bu⊕h（P））mod p=（Au⊕h（PWu））ymod p和Yu=mod p；然后發(fā)送驗(yàn)證信息，S計(jì)算Bs*=/h（IDuxmod p）xmod p=mod p，驗(yàn)證Cu=h（Bs*||T||Yu||IDu）是否成立，顯然不成立，因?yàn)锽u*≠Bs*。因此口令更改階段也存在著一定的設(shè)計(jì)缺陷。

（5）時(shí)鐘同步問題。智能卡認(rèn)證方案運(yùn)用時(shí)鐘同步主要是為了保證認(rèn)證信息的新鮮性，以此來抵御重放攻擊，但是，信息的傳輸延遲在網(wǎng)絡(luò)中是不可預(yù)測的，除此之外，在網(wǎng)絡(luò)內(nèi)實(shí)現(xiàn)全局時(shí)鐘同步需要有特定地全局時(shí)鐘服務(wù)器和相應(yīng)的時(shí)鐘同步協(xié)議，實(shí)現(xiàn)起來不但困難，而且昂貴，特別是在無線網(wǎng)絡(luò)和分布式網(wǎng)絡(luò)中，顯然方案中采用時(shí)間戳來抵御重放攻擊也是不合適的。

（6）錯(cuò)誤口令慢檢測。實(shí)際生活中，用戶登錄不同的服務(wù)器可能有多個(gè)不同的登錄密碼，在Wang方案的登錄階段，如果用戶口令記憶或輸入錯(cuò)誤、同樣可以通過登錄階段，直到認(rèn)證階段第一步，S才能檢測到認(rèn)證錯(cuò)誤，因?yàn)檩斎肟诹铄e(cuò)誤，Bu*≠Bs*，進(jìn)而Cu=h（Bu*||T||Yu||IDu）≠h（Bs*||T||Yu||IDu），從而終止認(rèn)證過程。但是這樣已經(jīng)造成系統(tǒng)計(jì)算資源、信道資源浪費(fèi)．影響整個(gè)系統(tǒng)的運(yùn)行效率。

3 改進(jìn)方案

針對Wang方案以上安全性問題，本文給出的改進(jìn)方案如下：

（1）初始化階段

S選擇G1，G2，e，p，使其滿足雙線性對的要求。選擇G1的生成元P，秘密值x∈Zp*和單向哈希函數(shù)h（）：{0，1}*-＞G1。計(jì)算Pub= x×P；x作為S私鑰秘密保存。公開系統(tǒng)參數(shù){G1，G2，e，p，P，Pub，h（）}。

（2）注冊階段

Ui選擇口令PWi，通過安全通道發(fā)送IDi和h（PWi）給S。S收到{IDi，h（PWi）}后，通過表1檢查IDi的惟一性，如果發(fā)現(xiàn)已被注冊，要求Ui重新選擇IDi。否則，計(jì)算Ai= h（IDixmod p），Bi=Aix⊕h（PWi）mod p，Qi= h（IDi），Ki=x×Qi/h（PWi），InUi=e（Qi，Pub）然后將參數(shù){Ki，Ai，Bi，p，h（），Pub，P，e}存入分發(fā)給用戶Ui的SC中。S保存＜InUi，IDi＞到安全數(shù)據(jù)庫中。

（3）登錄階段

用戶將SC插入讀卡器，輸入IDi*和PWi*。SC執(zhí)行下面步驟：

Step1：判斷e（h（IDi*），Pub）= e（h（PWi*）×Ki，P）是否成立，若成立，執(zhí)行Step2，否則提示出錯(cuò)信息，當(dāng)錯(cuò)誤信息提示次數(shù)達(dá)到設(shè)定的上限值后，智能卡將鎖死。

Step2：隨機(jī)選取y∈Zp*，計(jì)算Bi*=（Bi⊕h（PWi*））ymod p和Yi=Aiy+1mod p，R=y×Pub，T=y×P。

Step3：SC產(chǎn)生隨機(jī)數(shù)N，計(jì)算Ui臨時(shí)身份idi=（h（PWi*）/h（N||T）+y）×Ki，Ci=h（Bi*||IDi）。

Step4：發(fā)送信息{idi，N，R，Ci，Yi}至S。

（4）認(rèn)證階段

S收到{idi，N，R，Ci，Yi}后，計(jì)算T*=x-1×R，InUi=e（idi，h（N||T*）×P+T*），以InUi為索引檢查表1，若存在以InUi為索引的Ui，S則取出Ui身份標(biāo)識IDi，并通過認(rèn)證。若不存在以InUi為索引的Ui，服務(wù)器拒絕登錄請求，最后執(zhí)行下面步驟：

Step1：計(jì)算Bs*= Yix/h（IDixmod p）xmod p，驗(yàn)證Ci=h（Bs*||IDi）是否成立，若成立，執(zhí)行Step2，若不成立，拒絕登錄請求。

Step2：產(chǎn)生隨機(jī)數(shù)Nonce N2，隨機(jī)選取z∈Zp*，計(jì)算Zs=h（IDixmod p）z+1mod p，W=Bs*⊕N2，Cs= h（Bs*||IDi||Zs||W），發(fā)送信息（idi*，Cs，W，Zs）給Ui。

Step3：Ui收到（idi*，Cs，W，Zs）后，驗(yàn)idi*與idi是否相等。若不相等，則終止會話。否則驗(yàn)證Cs=h（Bi*||IDi*||Zs||W）是否成立，若成立，則判定服務(wù)器合法，計(jì)算N2*= Bi*⊕W，發(fā)送信息h（IDi⊕N⊕N2*）到S。

Step4：S驗(yàn)證h（IDi⊕N⊕N2*）？=h（IDi⊕N⊕N2），若相等，則認(rèn)為Ui合法。

（5）Ui和S計(jì)算會話密鑰sk=Zsy+1=Yiz+1。

表1 用戶身份映射表

（6）口令更改階段

Step1：Ui將SC插入讀卡器，輸入IDi*和PWi*，SC計(jì)算e（h（IDi*），Pub）= e（h（PWi*）×Ki，P）是否成立，若不成立，則拒絕更新，否則提示輸入新口令PWi**。

Step2：SC計(jì)算Bi⊕h（PWi*）⊕h（PWi**），Ki×h（PWi*）×h-1（PWi**），分別替換SC中的Bi和Ki。

4 安全性及效率分析

4.1 完備性證明

（1）登錄階段等式e（h（IDi*），Pub）= e（h（PWi*）×Ki，P）證明如下：

（2）認(rèn)證階段等式InUi=e（idi，h（N||T*）×P+T*）證明如下：

4.2 安全性分析

（1）用戶匿名性保護(hù)。用戶在網(wǎng)絡(luò)中傳輸?shù)男畔⒉话琁Di的明文，通過引入隨機(jī)數(shù)和雙線性對構(gòu)造用戶臨時(shí)身份idi，用戶的每次會話都使用不同的idi，改進(jìn)方案中，由于e的非退化性，InUi= e（Qi，Pub）唯一確定一個(gè)用戶IDi，只有知道S密鑰x，才能計(jì)算出InUi，進(jìn)而找到用戶真實(shí)身份IDi。否則，計(jì)算出InUi的難度相當(dāng)于解橢圓曲線上的離散對數(shù)難題。攻擊者很難計(jì)算出用戶的真實(shí)身份IDi，也就無法根據(jù)用戶IDi了解更多的私密信息，因此保證了用戶的匿名性。

（2）實(shí)現(xiàn)雙向認(rèn)證。服務(wù)器首先通過計(jì)算InUi=e（idi，h（N||T*）×P+T*）找到用戶真實(shí)IDi實(shí)現(xiàn)初步認(rèn)證，然后驗(yàn)證等式Ci=h（Bs*||IDi）是否成立，只有在知道S私鑰x的前提下才能計(jì)算出Bs*。可證明服務(wù)器是真正的服務(wù)器，S發(fā)送認(rèn)證信息{idi*，Cs，W，Zs}給用戶，用戶則通過驗(yàn)證等式Cs=h（Bi*||IDi*||Zs||W）是否成立來判斷服務(wù)器的合法性，而只有用戶知道PWi才能計(jì)算出Bi*。初步判定用戶合法，在認(rèn)證階段的Step3，S判斷用戶發(fā)送的h（IDi⊕N⊕N2*）的真實(shí)性，只有知道用戶的IDi和PWi，h（IDi⊕N⊕N2*）才能被服務(wù)器正確的驗(yàn)證，因?yàn)镮Di和PWi只有用戶自己知道，所以可證明用戶是合法的，由此實(shí)現(xiàn)了雙向認(rèn)證。

（3）抗重放攻擊。攻擊者可能通過重放截獲的信息{idi，N，R，Ci，Yi}來發(fā)起新的認(rèn)證。但是在認(rèn)證階段Step3，由于無法獲得S密鑰x和IDi，因此不能構(gòu)造有效認(rèn)證信息h（IDi⊕N⊕N2*），S在Step4驗(yàn)證時(shí)會拒絕認(rèn)證請求，改進(jìn)方案使用隨機(jī)數(shù)Nonce代替時(shí)間戳，解決了時(shí)鐘同步的問題，同時(shí)可以有效的抵御重放攻擊。

（4）抗Reflection攻擊。當(dāng)用戶發(fā)送（idi，N，R，Ci，Yi）給服務(wù)器時(shí)，如果攻擊者截獲此信息，冒充服務(wù)器返回{idi*，Cs，W，Zs}，其中idi*=idi，Cs=Ci，Zs=Yi，驗(yàn)證Cs*和Cs是否相等，而Cs=Ci= h（Bi*||IDi）顯然是與Cs*=h（Bi*||IDi*|||Zs||W）=h（Bi*||IDi*||Zs||W）不相等，如果攻擊者截獲服務(wù)器發(fā)送的認(rèn)證信息（idi*，Cs，W，Zs）冒充用戶發(fā)送（idi，N，R，Ci，Yi）給服務(wù)器，其中idi= idi*，Ci= Cs，由于idi是動態(tài)變化的，且idi的構(gòu)造與隨機(jī)數(shù)N*相關(guān)，攻擊者無法獲取合法用戶初始選擇的隨機(jī)數(shù)N*，在服務(wù)器驗(yàn)證InUi=e（idi，h（N||T*）×P+T*）時(shí)，必然不成立，因此，改進(jìn)方案可以抵抗Reflection攻擊。

（5）抗智能卡丟失攻擊。用戶在使用智能卡時(shí)，需要提交正確的用戶標(biāo)識IDi*和口令PWi*，智能卡驗(yàn)證e（h（IDi*），Pub）是否與e（h（PWi*）×Ki，P）相等，只有驗(yàn)證通過才能發(fā)起認(rèn)證連接。如果攻擊者窮舉用戶IDi和PWi，由于IDi和PWi都是未知的，攻擊者成功的可能性極小，同時(shí)智能卡對用戶口令的登錄驗(yàn)證具有記錄功能，當(dāng)口令錯(cuò)誤累計(jì)次數(shù)到達(dá)設(shè)定的上限值后將自動鎖死，從而防止了此類攻擊。

（6）前向安全性。方案中的會話密鑰sk=Zsy+1=Yiz+1中的y和z都是隨機(jī)產(chǎn)生，每次各不相同，可知，每次的會話密鑰sk必然不相同，即使攻擊者截獲某一次的會話密鑰，也不能根據(jù)此次密鑰推測出解密出以前密鑰加密的數(shù)據(jù)，同時(shí)也不能根據(jù)此次密鑰解密以后密鑰加密的數(shù)據(jù)。

（7）內(nèi)部攻擊。改進(jìn)方案中在注冊階段沒有向服務(wù)器發(fā)送口令pw的明文，而是發(fā)送了口令的hash值，服務(wù)器端不保存用戶密碼的明文，可以有效地防止服務(wù)器端惡意內(nèi)部人員的攻擊。

（8）時(shí)鐘同步問題。傳統(tǒng)方案中用時(shí)鐘戳技術(shù)防止重放攻擊，這會引入時(shí)鐘同步問題，本文方案用隨機(jī)數(shù)取代時(shí)間戳，有效的防止重放攻擊，避免了時(shí)鐘同步，節(jié)省了網(wǎng)絡(luò)開銷。

表2和表4分別在安全性和效率方面與幾個(gè)同類型的方案進(jìn)行了一個(gè)對比，從表2中可以看出，改進(jìn)方案和劉方案優(yōu)于其它方案（Y：是 N：否）。

表2 方案安全性比較

內(nèi)部攻擊 N N N Y Y時(shí)鐘同步問題Y Y Y N N

4.3 效率分析

文獻(xiàn)[13]和文獻(xiàn)[14]分別對身份認(rèn)證方案的指數(shù)操作，雙線性對操作，乘除法操作計(jì)算時(shí)間進(jìn)行了測試。針對異或運(yùn)算、Hash運(yùn)算、加密解密運(yùn)算的計(jì)算時(shí)間。本文使用C 語言，基于Microsoft Visual C++ 6.0平臺對以上運(yùn)算時(shí)間進(jìn)行了測試如圖2，具體計(jì)算機(jī)硬件參數(shù)為處理器：Intel（R）Pentium（R）4 CPU，主頻：2GHz，內(nèi)存：256G，內(nèi)存：1G。經(jīng)過多次測試最后計(jì)算并總結(jié)各類運(yùn)算的平均計(jì)算時(shí)間（見表3）。方案中計(jì)算量主要集中在登錄和認(rèn)證階段。整個(gè)過程計(jì)算量主要取決于乘/除法運(yùn)算、Hash運(yùn)算、加密/解密運(yùn)算，雙線性運(yùn)算。表4對同類型的方案效率進(jìn)行比較。

表3 各操作計(jì)算平均時(shí)間

從表4可以看出，改進(jìn)方案在和劉方案安全相同的情況下，耗費(fèi)的計(jì)算量更小，比其它略差，但是安全性更高。

表4 效率分析比較

5 結(jié)束語

本文給出一個(gè)改進(jìn)的智能卡匿名認(rèn)證方案，使用雙線性對構(gòu)造用戶動態(tài)身份，實(shí)現(xiàn)了用戶匿名性保護(hù)、采用Nonce代替時(shí)間戳解決傳統(tǒng)方案中的時(shí)間同步問題，方案的安全性基于離散對數(shù)計(jì)算復(fù)雜性和哈希函數(shù)的不可逆性。改進(jìn)方案與最近提出的幾個(gè)同類型方案安全性與效率方面做了一個(gè)對比，證明可以有效地抵抗Reflection攻擊、智能卡丟失、重放攻擊等多種攻擊，適用于對用戶隱私保護(hù)要求較高的場合。

[1]H?lbl，M.，Welzer，T.and Brumen，B.Attacks and improvement of an efficient remote mutual authentication and key agreement scheme[J]，Cryptologia，2010.

[2]Xie，Qi.Improvement of a security enhanced one-time two-factor authentication and key agreement scheme[J].SCIENTIA IRANICA，2012.

[3]D.He，J.Chen，J.Hu，An id-based client authentication with key agreement protocol for mobile client-server environment on ECC with provable security[J].Information Fusion，2012.

[4]Ding Wang，Chun-guang M.Cryptanalysis of a remote user authentication scheme for mobile client-server environment based on ECC[J].Information Fusion，2013.

[5]汪定，馬春光，張啟明等.一個(gè)強(qiáng)口令認(rèn)證方案的攻擊與改進(jìn)[J].計(jì)算機(jī)科學(xué)，2012.

[6]郝卓，俞能海.一個(gè)具有完美前向安全性的基于口令認(rèn)證密鑰協(xié)商方案[J].中國科學(xué)技術(shù)大學(xué)學(xué)報(bào)，2011.

[7]汪定，薛峰，王立萍等.改進(jìn)的具有PFS特性的口令認(rèn)證密鑰協(xié)商方案[J].山東大學(xué)學(xué)報(bào)（理學(xué)版），2012.

[8]唐宏斌，劉心松.增強(qiáng)的基于智能卡的遠(yuǎn)程用戶認(rèn)證協(xié)議[J].計(jì)算機(jī)工程與應(yīng)用，2012.

[9]Xiong Li，Jian Ma，Wendong Wang et al.A novel smart card and dynamic ID based remote user authentication scheme for mutil-server environments [J].Mathematical and Computer Modeling，2013.

[10]C.C Lee，T.H.Lin，R.X.Chang，A secure dynamic ID based remote user authentication scheme for multi-server environment using smart cards[J]，Expert Systems with Applications，2011.

[11]王亞飛，一種基于智能卡的口令認(rèn)證方案的研究[J].計(jì)算機(jī)應(yīng)用與軟件，2011.

[12]Xiong Li，Yongping Xiong，Jian Ma et al.An efficient and security dynamic identity based authentication protocol for multi-server architecture using smart cards[J].Journal of Network and Computer Applications，2012.

[13]劉振鵬，吳鳳龍，尚開雨，等.基于TPM的云計(jì)算平臺雙向認(rèn)證方案[J].通信學(xué)報(bào)，2012.

[14]Cao，X，Kou，W，Du，X，A pairing-free identity-based authenticated key agreement protocol with minimal message exchanges [J].Information Sciences，2010.

[15]CHEN B L，KUO W C，WUU L C.Robust smart-card-based remote user password authentication scheme[J].International Journal of Systems，2014.

[16]LI X，NIU J W，KHAN M K，et al.An enhanced smart card based emote user password authentication scheme[J].The Journal of Network and Computer Application，2013.

[17]劉莎，朱淑華.基于智能卡的遠(yuǎn)程用戶匿名身份認(rèn)證和密鑰協(xié)商方案[J].計(jì)算機(jī)應(yīng)用，2014.