智能卡和口令結合的動態認證方案

，，

(常州大學 信息科學與工程學院，江蘇 常州 213164)

智能卡和口令結合的動態認證方案

彭昌余，孫霓剛，汪偉昕

(常州大學信息科學與工程學院，江蘇常州213164)

遠程認證協議能有效的保證遠程用戶和服務器在公共網絡上的通信安全；提出一種匿名的安全身份認證方案，通過登錄ID的動態變化，提供用戶登錄的匿名性，通過用戶和服務器相互驗證建立共享的會話密鑰，抵抗重放攻擊和中間人攻擊，實現用戶安全和隱私，通過BAN邏輯分析證明改進方案的有效性，通過安全性證明和性能分析說明了新協議比同類型的方案具有更高的安全性、高效性。

認證協議；匿名性；動態身份；會話密鑰

0 引言

隨著信息技術的不斷發展，信息安全問題也日顯突出，如何確保信息系統的安全已成為全社會關注的問題。1981年Lamport[1]提出了基于口令的遠程用戶身份認證方案,通過存儲的密碼對遠程服務器進行訪問，由于實用性強得到廣泛的應用。1993年Chang[2]等提出結合口令和智能卡的方案，改進了Lamport等方案存在著容易遭受離線口令猜測攻擊的問題。

2009年Tsai[3]等在方案中引入隨機數來提高方案的安全性。2013年Arshad[4]等發現Tsai存在的離線口令猜測攻擊和丟失智能卡攻擊等問題，并提出了改進。隨后Zhang[5]等指出Arshad等方案依然無法抵抗離線口令猜測攻擊等問題，提出了新的方案改進了。之后Tu[6]等指出了Zhang等不能抵抗冒充攻擊等問題，提出了新的解決方案，但是Zhang等的方案不能抵抗冒充攻擊。2014年Yeh[7]提出了一種新的解決方案能有效的抵抗冒充攻擊，并且大大降低了計算成本。

本文指出Yeh等的方案不能提供用戶登錄的匿名性，不能抵抗離線口令猜測攻擊，不能抵抗內部攻擊等安全問題。對Yeh等方案進行改進，新方案能提供用戶登錄的匿名性、抵抗離線口令猜測攻擊和抵抗內部攻擊而且在修改密碼階段不需要服務器的參與，節約通信資源。

1 Yeh等方案回顧

文中的符號定義如下：U為用戶；S為服務器；SC為智能卡；PW為用戶的口令；k為服器的高熵秘鑰；h(·)為單項哈希函數；

∥為字符串連接操作；⊕為異或運算；?為安全信道；→為普通信道。

1.1 Yeh等方案

Yeh等方案由4個階段組成，主要回顧Yeh等方案的系統設置、注冊以及登陸認證階段。

1.1.1 系統設置階段

服務器端在系統初始化階段，主要產生如下參數：

(1)服務器端在有限域?p(?p={0,,1...,p-1})上選取橢圓曲線Ep(a,b)，P是階為n的生成元且P是一個大素數。

(2)選取3個哈希函數H1:{0,1}*→Gp，H2:{0,1}*→Gp和H3:{0,1}*→Gp。

1.1.2 注冊階段

(1)用戶首先設置IDU和PWU以及選取隨機數u，然后通過安全的方式把{IDU,W=h(PWU⊕u)}發給S。

U?S:(IDU,W)

(2)S收到IDU,W后，計算KU=s×H1

(IDU)∈GP、V=h(IDu⊕W)，Y=h(W∥IDU)

⊕KU，并把V,Y,h(·),H1(·),H2(·)H3(·)以及公共參數放到智能卡內存儲。

S?U:smartcards

(3)U通過安全通道收到智能卡后，把u輸入到智能卡中保存，在智能卡中有V,Y,h(·),H1(·),H2(·)H3(·)，u以及公共參數。

1.1.3 登錄階段

(4)S收到{realm,IDU,auth} 后計算auth*=h(IDU∥realm∥sk)比較auth*和auth的值是否相等，如果相等則S認證U的身份成功。

2 Yet等方案的安全性缺陷

假設Ha(本文中攻擊者直接用Ha表示)可以攔截并修改在非安全信道上傳輸的信息,而且在得到智能卡的情況下，能獲取智能卡里面的數據。

2.1 不能提供用戶的匿名性

用戶的匿名性可以防止Ha獲取用戶的敏感信息，可以使一個遠程用戶認證機制更強大的Ha無法跟蹤哪些用戶與服務器進行交互。但是Yeh等的方案使用用戶的身份直接溝通，Ha可以有機會獲取一個用戶的身份登錄信息。因此，Yeh等的方案不能提供用戶的匿名性。

2.2 不能抵抗離線口令猜測攻擊

2.3 不能抵抗內部攻擊

2.4 不能保障前向安全

3 新認證方案

新方案主要分為系統設置、注冊、登陸認證和口令修改等4個階段。

拆譯法又稱分句法（splitting），指為了符合漢語表達習慣，也為了更清楚的表達原文意思，在翻譯時可以改變原文的結構，把原文的某個成分從原來的結構中分離出來，譯成一個獨立成分或從句或并列分句。商務英語和漢語的表達風格不同，句子主語的“有靈”或“無靈”各具特點，翻譯的時須從原文的整體風格出發，靈活處理問題，必要時應予以適當的斷句，采用拆譯法進行翻譯。

3.1 系統設置階段

3.2 注冊階段

首先用戶選擇ID和PW以及隨機數u，然后通過安全方式把{ID,y=h(PW∥u)}發給S。

U?S:(IDU,y)

服務器收到IDU,y后，計算s=h(ID∥k)，和V=s⊕y=h(ID∥k)⊕h(PW||(u)，然后在智能卡中存儲V，h(·)以及公共參數。

用戶從安全通道收到智能卡后，在傳感器上輸入自己的生物特征值A，計算M=h(PW∥h((A))⊕u然后計算W=h(ID∥PW∥M∥h(A)∥u)，最終智能卡里保存有V，M，W，h(·)以及公共參數。

3.3 登錄認證階段

首先輸入身份ID和口令PW，然后輸入生物特征值A。

3.4 口令修改階段

用戶首先輸入舊的ID和PW，然后通過傳感器輸入舊的生物特征值A。智能卡計算u*=h(PW∥h(A))⊕M，計算W*=h(ID∥PW∥M∥h(A))∥u*)，比較W*和W是否相等，如果不相等，停止協議，否則說明U輸入的ID和PW以及生物特征值A是正確的。

然后計算s=V⊕h(PW∥u)=h(ID∥k)。

用戶選取新的隨機數unew、新的密碼PWnew、在傳感器上輸入新的Anew，計算Vnew=s⊕ynew=h(ID∥k)⊕h(PWnew||unew)，Mnew=h(PWnew∥h(Anew))⊕unew然后計算Wnew=h(ID∥PWnew∥Mnew∥h(Anew)∥unew)，最終把更新后的Vnew，Mnew，Wnew替換原來的V，M，W。

新方案的密碼修改方案，在修改密碼階段不要服務器的參與，大大節約了通信資源。

4 安全性證明和性能分析

4.1 安全性證明

4.1.1 匿名性和不可追蹤性

4.1.2 抵抗離線口令猜測攻擊

(1)內部攻擊。

假設Ha來自服務器端，即Ha是系統管理員，當用戶在注冊階段給服務器發送{ID,y=h(PW∥u)}的時候，系統管理員可以監聽該消息，獲取(ID,y)的值。但是由于y=h(PW∥u)中含有隨機數u，Ha無法獲取隨機數u的值，無法進行口令猜測攻擊。

(2)智能卡被盜攻擊。

4.1.3 抵抗中間人攻擊和重放攻擊

在登錄過程中使用了時間戳T，兩條消息的時間差控制在ΔT之內，由于ΔT是足夠的小，故無法重放會話。

4.1.4 抵抗冒充攻擊

(1)冒充用戶。

發送之前會話使用的CID,R1,C1，相當于重放攻擊，新方案抵抗重放攻擊。

(2)冒充服務器。

發送以前會話使用的C1,R3,C2相當于重放攻擊，新方案抵抗重放攻擊。

4.1.5 保障前向安全

在本文中前向安全是指Ha獲取了服務器的私鑰s，也無法獲取之前的會話密鑰，對以前的會話造成影響。

4.2 性能分析

由表1可知，其中Zhang、Tu等無法抵抗冒充攻擊，Yeh等的改進方案雖然能抵抗冒充攻擊，卻帶來了新的安全問題，不能抵抗離線口令猜測攻擊，不能抵抗內部攻擊等安全問題。無論是Zhang、Tu等還是Yeh等方案都不能提供用戶的匿名性，本方案能抵抗提到的所有攻擊，提供用戶的匿名性，安全性更高。

在表2中，我們比較了各方案的計算代價，對性影響較大的是橢圓曲線上的點乘和點加計算。其中H表示哈希運算，PM表示點乘計算，PA表示點加計算。通過表3比較可得本方案的計算代價明顯小于Zhang、Tu和Yeh等方案。

在本方案中信息經過單向哈希后占用160 bit,時間戳占用32 bit，本文中選用的橢圓曲線密鑰長度為160 bit，這與1 024位的RSA安全性相當,橢圓曲線上的任意點P=(xP,yP)占用為160+160=320 bit，在我們的方案中，智能卡發送的消息{CID,R1,C1,TU}占用(160+320+160+32)=672 bit，服務器發送的消息{R3,C2,TS}占用(320+160+32)=512 bit，所以本方案占用的總通信開銷是1 184 bit。通過表3比較可知本方案的通信開銷最小而且其他方案均需要三條消息完成通信，本方案只需要二條消息。

5 BAN邏輯證明

BAN邏輯[10]是一種著名的分析認證協議的形式化邏輯方法。通過BAN邏輯證明用戶U和服務器S之間認證的有效性，我們表明，U和S確定交換的信息安全和可靠的防止竊聽，其中包括消息來源的驗證，消息的新鮮度和數據來源的可信性。本文利用BAN邏輯證明來說明改進后方案的正確性和有效性。

我們提出以下規則：

建立初始假設集合

(1)U|≡(A))

(2)U|≡(TU)

(3)S|≡(TS)

協議模型的理想

消息1[ID]asP,(ID,asP,TU)y,aP,TU

建立協議預期目標集合

利用假設和推理規則推理：

由消息1可以得到：

S?(ID,usP,TU)y,ap,TU

(10)

由式(10)和假設(5)通過含義法則可推導出：

S|≡U|～TU

(11)

由假設(2)通過新鮮性法則可推導出：

S|≡(ID,asP,Ti)y

(12)

由式(12)和假設(9)通過臨時性法則可推導出：

S|≡U|≡(ID,asP,TU)y

(13)

由式(13)和假設(5)通過管轄法則可推導出：

S|≡TU

(14)

由式(14)可得使用時間戳的消息是新鮮的。由式(13)、(14)這證明了消息來源的正確性。

由消息2可以得到：

(15)

由式(15)和假設(4)通過含義法則可推導出：

U|≡S|～TS

(16)

由式(16)和假1設(2)通過新鮮性法則可推導出：

(17)

需要其中的秘密y和asP，所以可推導出：

U|≡(ID,TU,TS,asP,abP)y

(18)

由式(17)、(18)和假設(8)通過臨時性法則可推導出：

U|≡S|≡(ID,TU,TS,asP,abP)y

(19)

由式(19)和假設(8)、(4)通過管轄法則可推導出：

U|≡TS

(20)

通過以上邏輯推導過程達到了預期目標。

6 總結

本文首先分析說明了Yeh方案存在的問題，提出了一種改進的認證方案，本方案支持雙向認證和會話密鑰的協商，其中用戶和服務器可以正確識別對方的合法性，并建立授權和安全連接。通過安全性證明和BAN邏輯證明說明了改進后協議的安全性。本方案簡化了認證流程，在口令修改階段不需要服務器的參與，大大節約了通信資源，是一個安全高效的遠程身份認證方案。

表2 各方案計算代價比較

表3 各方案通信開銷比較

[1]Lamport L. Password authentication with insecure communication[J].Communication of the ACM, 1981, 24(11): 770-772.

[2]Chang C C, Wu T C. Remote password authentication with smart cards[J]. IEE Proceedings E Computers & Digital Techniques, 1991, 138(3):165-168.

[3]Tsai J L. Efficient Nonce-based Authentication Scheme for Session Initiation Protocol[J]. International Journal of Network Security, 2009, 8(1):12-16.

[4]Arshad R, Ikram N. Elliptic curve cryptography based mutual authentication scheme for session initiation protocol[J]. Multimedia Tools and Applications, 2013, 66(2):165-178.

[5]Zhang L, Tang S, Cai Z. Efficient and flexible password authenticated key agreement for Voice over Internet Protocol Session Initiation Protocol using smart card[J]. International Journal of Communication Systems, 2013, 27(11):2691-2702.

[6]Tu H, Kumar N, Chilamkurti N, et al. An improved authentication protocol for session initiation protocol using smart card[J]. Peer-to-Peer Networking and Applications, 2015, 8(5):903-910.

[7]Yeh H L, Chen T H, Shih W K. Robust smart card secured authentication scheme on SIP using Elliptic Curve Cryptography[J]. Computer Standards & Interfaces, 2014, 36(2):397-402.

[8]Miller V S. Use of Elliptic Curves in Cryptography[A]. Advances in Cryptology - CRYPTO '85, Santa Barbara, California, USA, August 18-22, 1985, Proceedings. DBLP[C]. 1985:417-426.

[9]Messerges T S, Dabbish E A, Sloan R H. Examining Smart-Card Security under the Threat of Power Analysis Attacks[J]. IEEE Transactions on Computers, 2002, 51(5):541-552.

[10]Burrows M. A logic of authentication[J]. ACM Sigops Operating Systems Review, 1990, 8(5):18-36.

DynamicAuthenticationSchemeBasedonSmartCardandPassword

Peng Changyu , Sun Nigang,Wang Weixin

(School of information science & Engineering, Changzhou University, Changzhou 213164, China)

Remote authentication protocol can effectively guarantee the communication security of remote users and servers in the public network. We provide a kind of anonymous and secure authentication scheme of identity authentication, by the dynamic change of the login ID we can ensure the anonymity of the user login, utilizing the user and server mutual authentication to establish a shared session key that can resistance to man in the middle attack and replay attack. According to the above measures, we realize the security and privacy of users，and the BAN logic analysis is performed to demonstrate the effectiveness of the improved scheme. The security and performance analysis of the proposed scheme shows that the new protocol is more secure and efficient than the same type of scheme.

authentication protocol; anonymity; dynamic identity; session key

2017-04-19；

2017-05-15。

國家自然基金(61103172)。

彭昌余(1989-)，男，碩士研究生，主要從事網絡安全方向的研究。

孫霓剛(1976-)，男，副教授，主要從事網絡安全，通信安全，密碼學方向的研究。

1671-4598(2017)11-0174-05

10.16526/j.cnki.11-4762/tp.2017.11.044

TP273

A