劉 莎,朱淑華

(1.暨南大學(xué)a.信息科學(xué)技術(shù)學(xué)院;b.網(wǎng)絡(luò)與教育技術(shù)中心,廣州510632;

2.中山大學(xué)信息科學(xué)與技術(shù)學(xué)院,廣州510006)

多服務(wù)器環(huán)境下的身份認(rèn)證方案

劉 莎1a,朱淑華1b,2

(1.暨南大學(xué)a.信息科學(xué)技術(shù)學(xué)院;b.網(wǎng)絡(luò)與教育技術(shù)中心,廣州510632;

2.中山大學(xué)信息科學(xué)與技術(shù)學(xué)院,廣州510006)

基于智能卡的多服務(wù)器遠(yuǎn)程認(rèn)證方案,存在不能抵抗偽造攻擊、重放攻擊和中間人攻擊等問題。針對上述安全性缺陷,提出一種改進(jìn)的身份鑒別方案。該方案利用自驗(yàn)證的時(shí)間戳技術(shù),解決基于時(shí)間戳技術(shù)的認(rèn)證方案中存在的時(shí)鐘同步問題,同時(shí)將時(shí)間戳作為隨機(jī)數(shù),有效地避免遭受重放攻擊。安全性分析結(jié)果表明,與基于智能卡的多服務(wù)器遠(yuǎn)程認(rèn)證方案相比,該方案繼承了其輕量級認(rèn)證的特征,計(jì)算量低,存儲量小,實(shí)現(xiàn)了服務(wù)器對用戶的可追蹤性,滿足實(shí)際網(wǎng)絡(luò)的復(fù)雜性要求。

認(rèn)證;智能卡;時(shí)間戳技術(shù);口令;多服務(wù)器環(huán)境

1 概述

網(wǎng)絡(luò)的快速發(fā)展改變了人們的生活方式,它一方面給人們的生活帶來了便利和快捷,另一方面也給人們的個(gè)人隱私和賬戶財(cái)產(chǎn)安全帶來了隱患和漏洞。如何保證在用戶與遠(yuǎn)程服務(wù)器之間實(shí)現(xiàn)安全的雙向認(rèn)證,成為了制約當(dāng)前網(wǎng)絡(luò)應(yīng)用發(fā)展的問題之一。早在1981年文獻(xiàn)［1］提出遠(yuǎn)程用戶身份鑒別方案,之后的許多研究者陸續(xù)提出了各種改進(jìn)的認(rèn)證方案。2000年,Hwang等人［2］提出了一個(gè)不再需要存儲密碼表的改進(jìn)方案,可以有效地抵抗密碼表泄露的攻擊。但是在Hwang方案中,用戶的部分個(gè)人信息容易被攻擊者竊取利用。2004年,Das等人［3］提出了遠(yuǎn)程用戶身份認(rèn)證時(shí)的動態(tài)身份認(rèn)證,為用戶提供了良好的匿名性。但是該協(xié)議不能抵抗服務(wù)器扮演攻擊,安全性有待提高。文獻(xiàn)［4］提出了一個(gè)基于哈希函數(shù)和時(shí)間戳的認(rèn)證協(xié)議,將時(shí)間戳作為隨機(jī)數(shù)使用,能夠避免重放攻擊。文獻(xiàn)［5］利用基于身份的簽名思想提出了

一個(gè)基于雙線性對的遠(yuǎn)程認(rèn)證方案。該方案通信量小,實(shí)現(xiàn)了雙因素動態(tài)認(rèn)證。不過這些方案都是針對單服務(wù)器環(huán)境,當(dāng)應(yīng)用在多服務(wù)器環(huán)境下時(shí),需要用戶多次注冊以及攜帶多種智能卡,增加了用戶的負(fù)擔(dān),故無法在多服務(wù)器環(huán)境下推廣。

2000年,Lee等人［6］提出了一種多服務(wù)器環(huán)境下的基于大整數(shù)分解難題和安全單向哈希函數(shù)的身份鑒別協(xié)議,實(shí)現(xiàn)了用戶的單次注冊。但是該方案是基于靜態(tài)身份信息的,無法防止攻擊者竊取用戶的個(gè)人信息。在2001年,Li等人［7］提出了一種新的基于神經(jīng)網(wǎng)絡(luò)的多服務(wù)器遠(yuǎn)程認(rèn)證協(xié)議。但是過高的通信和計(jì)算資源消耗,導(dǎo)致其效率不高。2004年, Juang等人［8］在Li方案基礎(chǔ)上提出了改進(jìn)的基于哈希函數(shù)和對稱加密技術(shù)的高效認(rèn)證方案。經(jīng)過證明,該方案無法抵抗離線猜測攻擊。接著,Chang等人［9］針對Juang方案的缺陷,提出了改進(jìn)方案。但是該方案不能抵抗內(nèi)部攻擊等多種攻擊。同年,Tsai等人［10］提出了基于RSA加密系統(tǒng)的多服務(wù)器認(rèn)證方案。但是,該方案的效率同樣有待提高。2009年, Liao等人［11］提出了一個(gè)多服務(wù)器環(huán)境下的動態(tài)身份認(rèn)證協(xié)議。該方案為用戶提供了動態(tài)的身份登錄。但是Liao方案不能抵抗惡意攻擊。隨后Hsiang等人［12］在Liao方案的基礎(chǔ)上提出了改進(jìn)方案。然而,Hsiang方案也不安全,不能抵抗重放攻擊和扮演攻擊,而且還存在方案的設(shè)計(jì)錯(cuò)誤。2011年,Sood等人［13］在Hsiang方案的基礎(chǔ)上提出了自己的改進(jìn)方案。但是經(jīng)過分析,Sood方案容易遭受盜取智能卡攻擊。同年,Lee等人［14］提出了一種新的多服務(wù)器環(huán)境下的動態(tài)身份認(rèn)證協(xié)議。但是Lee方案存在無法抵抗偽造攻擊的問題。2013年,Li-Ma等人［15］提出了一個(gè)創(chuàng)新的多服務(wù)器遠(yuǎn)程認(rèn)證協(xié)議,聲稱該協(xié)議是安全而且高效的。本文對Li-Ma等人的多服務(wù)器認(rèn)證協(xié)議進(jìn)行研究,分析了方案存在的安全缺陷,提出了多種方法結(jié)合的改進(jìn)方案。

2 符號含義

本文符號含義如下:Ui:合法用戶;Sj:遠(yuǎn)程服務(wù)器;RC:注冊中心;x:RC主密鑰;y:RC次密鑰;SIDj:Sj的身份標(biāo)志;IDi:Ui的身份標(biāo)志;Pi:Ui的口令;Ua:攻擊者;?:安全信道;→:一般信道。

3 Li-Ma方案

3.1 Li-Ma方案回顧

RC?Sj:(h(SIDj‖y),h(x‖y))。RC選取x和y,計(jì)算h(SIDj‖y)和h(x‖y)。

3.1.1 注冊階段

注冊階段過程如下:

(1)Ui→RC:(IDi,Ai)。Ui選定IDi,Pi和隨機(jī)數(shù)b,計(jì)算:Ai=h(b⊕Pi)。

(2)RC計(jì)算如下參數(shù):Bi=h(IDi‖x),Ci=h(IDi‖h(y)‖Ai),Di=h(Bi‖h(x‖y)),Ei=Bi⊕h(x‖y)。

(3)RC?Ui:(Ci,Di,Ei,h(.),h(y))并存儲在智能卡里。

(4)Ui收到智能卡后,將b安全地存入智能卡。

3.1.2 登錄階段

登錄階段過程如下:

(1)Ui將智能卡插入讀卡器,輸入IDi,Pi和SIDj。智能卡計(jì)算Ai=h(b⊕Pi),驗(yàn)證等式(1)是否成立:

否則結(jié)束當(dāng)前會話。

3)Ui計(jì)算參數(shù)M5=h(Di‖Ai‖Ni‖SIDj)。

至此,Ui和Sj完成了雙向認(rèn)證,共享了協(xié)商密鑰:

3.1.4 口令更改階段

Ui將智能卡插入讀卡器,輸入IDi和原始密碼Pi。智能卡進(jìn)行如下操作:

3.2 Li-Ma方案的安全性缺陷

本節(jié)針對的攻擊者假設(shè)是:不僅可以攔截、竊聽和修改在非安全信道上傳輸?shù)男畔?而且可以通過

某種方法獲取智能卡里的系數(shù)。

3.2.1 偽造攻擊

偽造攻擊過程如下:

(1)Ua?RC:(IDi,Pa,ba)。Ua竊取Ui的IDi,然后憑此注冊,其中Pa和ba是由Ua自行選定。

(2)RC?Ua:(Ca,Da,Ea,h(.),h(y),ba)。按照步驟完成注冊后,Ua得到了智能卡,提取出智能卡里的信息。

易知Bi=Ba。又因?yàn)镈i=h(Bi‖h(x‖y)),所以可得Di=Da

(3)Ua攔截Ui和Sj之間的認(rèn)證信息,得到{Pij,CIDi,M1,M2}。計(jì)算Ni=h(SIDi‖h(y))⊕M2,Ei=Pij⊕h(SIDj‖h(y)‖Ni),Ai=CIDi⊕h(Di‖SIDj‖Ni)=CIDi⊕h(Da‖SIDj‖Ni)。

(4)Ua選取隨機(jī)數(shù)Na,計(jì)算:

(6)Sj收到信息后,完成認(rèn)證過程。最終,攻擊者和服務(wù)器共享協(xié)商密鑰SKa=h(Di‖Ai‖Na‖Nj‖SIDj))。

3.2.2 中間人攻擊

由3.2.1節(jié)可知,Ua可以獲得Di=Da。若Ua竊聽Ui和Sj之間的認(rèn)證信息{Pij,CIDi,M1,M2},可以得到{Ni,Ei,Ai}。當(dāng)Ui和Sj順利完成認(rèn)證階段,Ui,Sj和Ua三方共享了會話密鑰SK=h(Di‖Ai‖Ni‖Nj‖SIDj))。故攻擊者實(shí)現(xiàn)了中間人攻擊。

3.2.3 重放攻擊

若Ua竊聽Ui和Sj之間的通信信息,試圖實(shí)施重放攻擊,首先重放信息{Pij,CIDi,M1,M2}給Sj。然后收到Sj發(fā)來的信息Mj={M3,M4},由3.2.2節(jié)可知,Ua知{Ni,Ei,Ai},從而可以順利的計(jì)算M5=h(Di‖Ai‖Ni‖SIDj)。因此,攻擊者成功實(shí)現(xiàn)了重放攻擊。

4 改進(jìn)方案

改進(jìn)方案由5個(gè)階段構(gòu)成,分別是:預(yù)備階段,注冊階段,登錄階段,認(rèn)證與密鑰協(xié)商階段和口令更改階段。

4.1 預(yù)備過程

RC?Sj:(h(SIDj‖y),h(x‖y))。同Li-Ma方案。

4.2 注冊過程

R1:Ui→RC:(IDi,EPWi)。Ui選定IDi,Pi和b,計(jì)算EPWi=h(b‖Pi)。

R2:RC?Ui:(Bi,Ci,Di,h(.),h(y)),并存儲在智能卡里。

(1)RC檢查IDi是否已經(jīng)注冊。如是,RC請求Ui重新選擇身份標(biāo)志。

(2)RC生成隨機(jī)數(shù)r,計(jì)算參數(shù):

R3:Ui收到智能卡后,將b安全地存入智能卡。

4.3 登錄過程

登錄階段過程如下:

(1)Ui將智能卡插入讀卡器,輸入IDi,Pi和SIDj。智能卡進(jìn)行計(jì)算EPWi=h(b‖Pi)。驗(yàn)證等式(4)是否成立。

否則,結(jié)束當(dāng)前會話。

(2)Ui→Sj:(Ei,CIDi,M1,M2)。Ui選取當(dāng)前時(shí)間戳Ti,計(jì)算:

4.4 認(rèn)證和密鑰協(xié)商階段

(1)Sj計(jì)算Ti=h(SIDj‖h(y))⊕M2,Di=Ei⊕h(SIDj‖h(y)‖Ti),Ai=Di⊕h(x‖y),Ci=h(Ai‖h(x‖y)),IDi=CIDi⊕h(Ci‖SIDj‖Ti)。

(2)Sj驗(yàn)證IDi是否有效性。如否,拒絕登錄請求。

(4)Sj選擇當(dāng)前時(shí)間戳Tj,計(jì)算:M3=h(Ci‖IDi‖SIDj‖Tj),M4=IDi⊕Ti⊕Tj,A2:Ui→Sj: (M5)。

(5)Ui收到信息后,計(jì)算:Tj=IDi⊕Ti⊕M4。

(8)Ui計(jì)算參數(shù)M5=h(Ci‖IDi‖Ti‖SIDj)。

至此,Ui和Sj完成了雙向認(rèn)證,共享了協(xié)商密鑰SK=h(Ci‖IDi‖SIDj))⊕h(Ti‖Tj)。

4.5 口令更改過程

Ui將智能卡插入讀卡器,輸入IDi和原始密碼Pi。智能卡進(jìn)行如下操作:C1:計(jì)算EPWi=h(b‖Pi)。

B=h,將代替BiCi,存入智能卡。

5 安全性分析

本文提出的改進(jìn)方案的安全性是基于哈希函數(shù)的單向性和碰撞約束,具體分析如下:

(1)主密鑰x和次密鑰y是由RC選定的,且保證安全的存儲在RC內(nèi),故有且只有RC知道兩者的值,這是改進(jìn)方案需要確定的前提和關(guān)鍵。

(2)假若攻擊者試圖通過竊聽用戶和遠(yuǎn)程服務(wù)器之間的通信信息,和注冊用戶的身份從而竊取智能卡里的有關(guān)信息,然后偽造有效的請求信息,發(fā)起偽造攻擊。在改進(jìn)方案中,這是難以實(shí)現(xiàn)的,因?yàn)镈i≠Da,攻擊者無法知道合法用戶的Di,即使攻擊者盜取了用戶的智能卡,試圖由式(3)和式(5)計(jì)算得到Ai,Ei,則面臨著基于哈希函數(shù)的單向性問題。因此,攻擊者無法偽造有效的請求信息,無法實(shí)現(xiàn)偽造攻擊。

(3)在改進(jìn)方案中,基于單向哈希函數(shù)的性質(zhì),攻擊者無法由式(2)、式(4)得到IDi和密碼Pi,同樣也無法得到Ci。故即使攻擊者可以攔截用戶和服務(wù)器的信息,攻擊者無法得到會話密鑰。故攻擊者無法實(shí)現(xiàn)中間人攻擊。

(4)在改進(jìn)方案中,借鑒了自驗(yàn)證的時(shí)間戳技術(shù)［16］,由產(chǎn)生初始時(shí)間戳的參與方來自行驗(yàn)證時(shí)間戳的有效性。該技術(shù)一方面避免了時(shí)鐘同步的問題,另一方面時(shí)間戳可以作為隨機(jī)數(shù)。節(jié)省了生成隨機(jī)數(shù)的開銷,故即使攻擊者重放之前攔截的通信信息,因?yàn)槊看斡脩襞c服務(wù)器的會話中時(shí)間戳都是不一樣的,而且是唯一的,攻擊者仍然無法通過認(rèn)證。從而有效避免了實(shí)現(xiàn)重放攻擊。

(5)假如攻擊者得到了用戶丟失的智能卡,分離出智能卡里的信息,試圖登錄服務(wù)器,因?yàn)榛趩蜗蚬：瘮?shù)的安全性,攻擊者無法從式(4)獲得密碼Pi,故攻擊者無法實(shí)現(xiàn)盜取智能卡攻擊。

經(jīng)過以上分析,證實(shí)改進(jìn)方案簡單可靠。

6 方案的性能與功能分析

與同類型的方案比較,從性能和功能2個(gè)方面總結(jié)改進(jìn)方案的特征,如表1所示。其中,Th表示哈希函數(shù)的時(shí)間復(fù)雜度的單位。

表1 3個(gè)方案性能比較分析

通過表1的性能分析比較,可以得到3個(gè)方案需要耗費(fèi)的總時(shí)間復(fù)雜度依次為:16Th,15Th,15Th?？梢园l(fā)現(xiàn),本文的改進(jìn)方案在所耗費(fèi)的時(shí)間復(fù)雜度方面與Li-Ma方案是一樣的,但是該方案具有前2個(gè)方案都不具備的安全特性:可以抵抗偽造攻擊等多種攻擊,可以實(shí)現(xiàn)用戶登錄的可追蹤性。

表2總結(jié)了3個(gè)方案功能特性的比較。由表2可知,本文的改進(jìn)方案是三者當(dāng)中最能適應(yīng)實(shí)際網(wǎng)絡(luò)環(huán)境需求的輕量級認(rèn)證方案。

表2 3個(gè)方案功能特性比較分析

7 結(jié)束語

本文針對Li-Ma等人基于智能卡的多服務(wù)器遠(yuǎn)程認(rèn)證方案中存在的無法抵抗扮演攻擊、中間人攻擊和盜取智能卡攻擊等問題,提出多服務(wù)器環(huán)境下的身份認(rèn)證改進(jìn)方案。該方案不僅繼承了Li-Ma方案中輕量級認(rèn)證的優(yōu)點(diǎn),還具備用戶登錄的可追蹤性的特征。性能和功能分析結(jié)果證明,該方案增強(qiáng)了應(yīng)用系統(tǒng)的安全性和穩(wěn)定性,適用于復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用。

［1]Lamport L.PasswordAuthenticationwithInsecure Communication［J］.Communications of the ACM, 1981,24(11):770-772.

［2]Hwang M S,LiLH.ANewRemoteUser Authentication Scheme Using Smart Cards［J］.IEEE Transactions on Consumer Electronics,2000,46(1): 28-30.

［3]Das M L,Saxena A,Gulati V P.A Dynamic ID-based Remote User Authentication Scheme［J］.IEEE Transactions on Consumer Electronics,2004,50(2):629-631.

［4]張利華.基于隨機(jī)數(shù)和Hash函數(shù)的認(rèn)證方案［J］.微電子學(xué)與計(jì)算機(jī),2007,24(6):80-83.

［5]張少武,李 毅,曾立君,等.基于身份的遠(yuǎn)程用戶認(rèn)證方案［J］.計(jì)算機(jī)工程,2008,34(12):149-151.

［6]Lee W B,ChangCC.UserIdentificationandKey Distribution Maintaining Anonymity for Distributed Computer Network［J］.International Journal of Computer System Science&Engineering,2000,15(4):211-214.

［7]Li L H,Lin L C,Hwang M S.A Remote Password Authentication SchemeforMulti-serverArchitecture Using Neural network［J］.IEEE Transactions on Neural Network,2001,12(6):1498-1504.

［8]Juang W S.Efficient Multi-server Password Authenticated Key Agreement Using Smart Cards［J］.IEEE Transactions on Consumer Electronics,2004,46(1):251-255.

［9]Chang C C,Lee J S.An Efficient and Secure Multiserver Password Authentication Protocol Using Smart Cards［C］//Proceedingsofthe3rdInternational Conference on Cyberworlds.Washington D.C.,USA: IEEE Press 2004:417-422.

［10]Tsai J L.Efficient Multi-server Authentication Scheme Based on One-way Hash Function Without Verification Table［J］.Computer&Security,2008,27(3/4): 115-121.

［11]Liao Y P,Wang S S.A Secure Dynamic Identity ID Based Remote User Authentication Scheme for MultiserverEnvironment［J］.ComputerStandards& Interfaces,2009,31(1):24-29.

［12]Hsiang H C,Shih W K.Improvement of the Secure Dynamic ID Based Remote User Authentication Scheme for Multi-server Environment［J］.Computer Standards& Interfaces,2009,31(6):1118-1123.

［13]Sood S K,Sarjie A K,Singh K.A Secure Dynamic Identity Based Authentication Protocol for Multi-server Architecture［J］.Journal of Network and Computer Applications,2011,34(2):609-618.

［14]Lee C C,Lin T H,Chang R X.A Secure Dynamic ID Based Remote User Authentication Scheme for Multiserver Environments Using Smart Cards［J］.Expert Systems with Applications,2011,38(11):13863-13870.

［15]Li X,Ma J,Wang W,et al.A Novel Smart Card and Dynamic ID Based Remote User Authentication Scheme for Multi-server Environments［J］.Mathematical and Computer Modeling,2013,58(1):85-95.

［16]Woei J T,Jia H L,Wei B L.An Efficient and Secure Multi-serverAuthenticationSchemewithKey Agreement［J］.The Journal of Systems and Software, 2012,85(4):876-882.

編輯 索書志

Identity Authentication Scheme in Multi-server Environment

LIU Sha1a,ZHU Shuhua1b,2
(1a.School of Information Science and Technology;1b.Network&Educational Technology Center,Jinan University,
Guangzhou 510632,China;2.School of Information Science and Technology,Sun Yat-Sen University,Guangzhou 510006,China)

Smart card based authentication scheme for multi-server environments can not resist some known types of attacks,such as forgery attacks,reply attacks and the man-in-the-middle attacks.In order to resolve the aforementioned security problems,this paper proposes a novel multi-server scheme.In new scheme,a self-verified timestamp technique is used to solve the problem of implementing clock synchronization in most typical timestamp-based scheme.In addition, timestamp can be used as random and it is efficient to avoid the reply attacks.Security analysis shows that,compared with smart card based multi-server remote authentication scheme,this scheme not only inherits the merits,such as lightweight computation and low memory size,but also can provide some features,such as the users’traceability,and it extremely suits for the requirements of the complicated network environment.

authentication;smart card;timestamp technique;password;multi-server environment

劉 莎,朱淑華.多服務(wù)器環(huán)境下的身份認(rèn)證方案［J］.計(jì)算機(jī)工程,2015,41(3):120-124.

英文引用格式:Liu Sha,Zhu Shuhua.Identity Authentication Scheme in Multi-server Environment［J］.Computer Engineering,2015,41(3):120-124.

1000-3428(2015)03-0120-05

:A

:TP309.8

10.3969/j.issn.1000-3428.2015.03.023

國家自然科學(xué)基金資助項(xiàng)目(61272415);廣東省產(chǎn)學(xué)研及科技計(jì)劃基金資助項(xiàng)目(2012A080102007,2011B090400324, 2011B090400469,2012B040305008);廣東省工程中心基金資助項(xiàng)目(GCZX-A1103);廣州市科技計(jì)劃基金資助項(xiàng)目(2013Y2-00071)。

劉 莎(1989-),女,碩士研究生,主研方向:信息安全,密碼學(xué);朱淑華,高級工程師、博士研究生、CCF高級會員。

2014-03-25

:2014-05-14E-mail:zsh@jnu.edu.cn