王松偉,陳建華

(武漢大學(xué) 數(shù)學(xué)與統(tǒng)計(jì)學(xué)院,武漢 430072)(*通信作者電子郵箱wangsw_ecc@163.com)

0 引言

隨著互聯(lián)網(wǎng)各種應(yīng)用需求的快速增長,網(wǎng)絡(luò)廣泛應(yīng)用于商業(yè)、交通、政務(wù)、娛樂、醫(yī)療等領(lǐng)域,如醫(yī)生通過遠(yuǎn)程醫(yī)療信息系統(tǒng)可以給患者提供方便快捷的電子醫(yī)療服務(wù),同時(shí)由于網(wǎng)絡(luò)的開放性,病人的醫(yī)療記錄等隱私需要保護(hù)以避免信息泄露。為了保護(hù)用戶的安全和隱私,近年來海內(nèi)外學(xué)者提出了一系列協(xié)議。比如,基于口令的單因子認(rèn)證協(xié)議[1],基于口令+智能卡的雙因子認(rèn)證協(xié)議[2],基于口令+智能卡+生物特征的多因子認(rèn)證協(xié)議[3]。

2013年Guo等[4]提出了一個(gè)基于智能卡的認(rèn)證協(xié)議,隨后Hao等[5]指出其不能保護(hù)用戶匿名性,并提出了一個(gè)新的認(rèn)證協(xié)議。但是Lee[6]和Jiang等[7]指出Hao等[5]不能抵抗智能卡丟失攻擊和Bergamo攻擊[8]等問題。2014年,Xu等[9]提出了一個(gè)基于橢圓曲線的遠(yuǎn)程用戶認(rèn)證方案。隨后,Mishra[10]指出Xu協(xié)議[9]在登錄和認(rèn)證階段存在設(shè)計(jì)漏洞,接著2015年Amin等[11]發(fā)現(xiàn)Xu方案[9]口令修改效率低下,并提出一個(gè)新的協(xié)議。2016年Zhang等[3]提出了一種基于混沌映射的認(rèn)證密鑰協(xié)商協(xié)議,接著王彩芬等[12]通過分析Zhang等[3]方案,發(fā)現(xiàn)并不能抵抗內(nèi)部攻擊。Park等[13]提出的基于橢圓曲線的三因子認(rèn)證協(xié)議,也被發(fā)現(xiàn)無法提供用戶匿名性且存在字典攻擊；Jung等[14]提出的匿名認(rèn)證協(xié)議則無法保護(hù)用戶匿名性，存在字典攻擊、內(nèi)部攻擊且不具備前向安全性；Jiang等[15]提出的三因子認(rèn)證協(xié)議也無法保護(hù)用戶匿名性，不能提供前向安全性且存在字典攻擊。針對(duì)以上問題,Wang等[16-18]指出設(shè)計(jì)實(shí)現(xiàn)用戶匿名性或多因子安全性的身份認(rèn)證協(xié)議,必須采用公鑰密碼技術(shù)。傳統(tǒng)的公鑰密碼技術(shù)主要基于以下數(shù)學(xué)難題:大整數(shù)因子分解難題、離散對(duì)數(shù)難題、橢圓曲線離散對(duì)數(shù)難題。由于切比雪夫多項(xiàng)式混沌映射相比傳統(tǒng)公鑰算法具有較高的計(jì)算效率,2017年Li等[19]提出了一個(gè)更安全的基于混沌映射的醫(yī)療信息系統(tǒng)遠(yuǎn)程用戶認(rèn)證方案。

本文簡單回顧文獻(xiàn)[19]的方案并指出其不能抵抗用戶冒充攻擊,容易遭受拒絕服務(wù)攻擊,且無法確保用戶身份唯一性。本文提出了一個(gè)基于混沌映射的三因子認(rèn)證密鑰協(xié)商協(xié)議方案,最后對(duì)協(xié)議進(jìn)行安全性分析和性能分析,并與已有協(xié)議進(jìn)行比較,表明本文協(xié)議更加安全高效和實(shí)用。

1 預(yù)備知識(shí)

1.1 切比雪夫多項(xiàng)式

定義1 切比雪夫多項(xiàng)式[20]。設(shè)n為正整數(shù),x∈[-1,1],n階切比雪夫多項(xiàng)式Tn(x)定義如下:

Tn(x)=cos(n×arccos(x))

(1)

此外,切比雪夫多項(xiàng)式還有一種等價(jià)的遞歸定義如下:

Tn(x)=2xTn-1(x)-Tn-2(x)

(2)

其中：n≥2,T0(x)=1,T1(x)=x。

性質(zhì)1 半群性質(zhì)[8]:

Tr(Ts(x))=Trs(x)=Tsr(x)=Ts(Tr(x));r,s∈N

(3)

2008年,Zhang[21]證明了切比雪夫多項(xiàng)式在區(qū)間(-∞,+∞)上仍然具有半群特性。

定義2 擴(kuò)展切比雪夫多項(xiàng)式。設(shè)n為正整數(shù),x∈(-∞,+∞),則定義在區(qū)間(-∞,+∞)上的n階擴(kuò)展切比雪夫多項(xiàng)式Tn(x)為:

Tn(x)=cos(n×arccos(x)) modp

(4)

其等價(jià)的遞歸定義:

Tn(x)=2xTn-1(x)-Tn-2(x)(modp)

(5)

其中:n≥2且p是一個(gè)大素?cái)?shù)。這里T0(x)=1,T1(x)=xmodp。顯然,式(5)同樣具有半群性質(zhì),即:

Tr(Ts(x))≡Trs(x)≡Tsr(x)≡Ts(Tr(x))(modp)；

r,s∈N

(6)

1.2 切比雪夫多項(xiàng)式數(shù)學(xué)難題

多項(xiàng)式時(shí)間內(nèi)求解以下問題是困難的[21]:

問題1 混沌映射離散對(duì)數(shù)問題。給定x,p,以及y=Tr(x)(modp),找到一個(gè)正整數(shù)r,使得Tr(x)(modp)≡y。

問題2 混沌映射計(jì)算Diffie-Hellman問題:給定p,x,以及Tr(x)(modp)和Ts(x)(modp),找到一個(gè)正整數(shù)y,使得Trs(x)(modp)≡y。

1.3 模糊提取器

生物特征如指紋、臉、虹膜、掌紋等,具有普遍性、唯一性、穩(wěn)定性、識(shí)別率高和不可復(fù)制等特性,因而成為個(gè)人身份鑒別與識(shí)別的重要依據(jù),在密碼協(xié)議中得到廣泛應(yīng)用[13-15,22]。 Dodis等[23]提出的模糊提取器很好地解決了生物特征應(yīng)用中的難題;當(dāng)兩次輸入的BIO′和BIO相差不大時(shí),模糊提取器可以輸出一個(gè)一致的隨機(jī)字符串σ。服務(wù)器等設(shè)備只需存儲(chǔ)隨機(jī)字符串σ,而無需存儲(chǔ)用戶生物特征。

模糊提取器可用算法函數(shù)〈Gen,Rep〉表示:Gen是一個(gè)隨機(jī)數(shù)生成算法函數(shù)Gen(BIO)=(σ,θ),當(dāng)輸入生物特征BIO時(shí),Gen將輸出一個(gè)隨機(jī)字符串σ和一個(gè)輔助隨機(jī)字符串θ,其中:σ為安全參數(shù);Rep是一個(gè)隨機(jī)恢復(fù)算法函數(shù)σ=Rep(BIO′,θ)。模糊提取器在接收到一個(gè)誤差允許范圍內(nèi)的生物特征BIO′以及相應(yīng)的隨機(jī)輔助字符串θ時(shí),若dis(BIO′,BIO)≤ε,則恢復(fù)出對(duì)應(yīng)的字符串σ,其中：dis(BIO′,BIO)≤ε表示BIO′和BIO的距離不超過一個(gè)給定的區(qū)間ε。

2 Li協(xié)議方案

本章對(duì)Li協(xié)議[19]作一個(gè)簡單的回顧。

表1 Li協(xié)議[19]中到的符號(hào)說明Tab. 1 Symbol description of Li protocol[19]

2.1 注冊(cè)階段

1)用戶Ui選取身份IDi和口令PWi,通過安全信道發(fā)送IDi給服務(wù)器S。

2)服務(wù)器生成隨機(jī)數(shù)ei并計(jì)算CIDi=h(IDi,ei),B0=h(CIDi,s),通過安全通道發(fā)送B0,CIDi給Ui。

3)用戶選取隨機(jī)數(shù)bi,計(jì)算HPWi=h(PWi,bi),B1=B0?h(IDi,HPWi),B2=h(IDi,PWi)?bi,并將數(shù)據(jù)(B1,B2,CIDi)存儲(chǔ)到移動(dòng)設(shè)備中。

2.2 登錄階段

1)用戶Ui輸入用戶名IDi和密碼PWi,計(jì)算bi=B2?h(IDi,PWi),HPWi=h(PWi,bi)。

2)用戶選取隨機(jī)數(shù)u、ri,計(jì)算C1=B1?h(IDi,HPWi)?ri,C2=Tu(x),C3=h(ri)?IDi,C4=h(IDi,CIDi,ri,C2,C3),通過公共信道發(fā)送M1={CIDi,C1,C2,C3,C4}給S。

2.3 認(rèn)證階段

3 Li協(xié)議的安全性分析

3.1 用戶冒充攻擊

3.2 拒絕服務(wù)攻擊

3.3 無法確保用戶身份唯一性

在實(shí)際中,很有可能兩個(gè)不同用戶選擇了相同的身份,按照Li方案[19],這兩個(gè)用戶都可以注冊(cè)成功,而且也都是合法用戶,也可以登錄同一個(gè)服務(wù)器,然而服務(wù)器卻無法區(qū)分他們,這可能會(huì)產(chǎn)生嚴(yán)重問題。

圖1 新協(xié)議的認(rèn)證過程Fig.1 Certification process of new protocol

4 本文協(xié)議

本文提出了一個(gè)新的基于擴(kuò)展混沌映射的三因子認(rèn)證協(xié)議。新協(xié)議包括:注冊(cè)、登錄認(rèn)證、口令修改以及注銷等四個(gè)階段。相關(guān)符號(hào)的含義如表2所示。

表2 本文協(xié)議中的符號(hào)說明Tab. 2 Symbol description of the proposed protocol

4.1 注冊(cè)階段

1)用戶Ui選取身份IDi和口令PWi,通過安全信道傳送IDi、生物信息BIOi給服務(wù)器S。

2)服務(wù)器收到用戶注冊(cè)請(qǐng)求之后,首先查找IDi是否已存在,若存在,表明該ID已經(jīng)被注冊(cè),拒絕用戶注冊(cè)請(qǐng)求；若不存在,將生物信息輸入到模糊提取器得到一個(gè)隨機(jī)字符串σ和一個(gè)輔助隨機(jī)字符串θ,即Gen(BIOi)=(σ,θ)。S選取隨機(jī)數(shù)ei,并計(jì)算B0=h(IDi,s),CIDi=h(B0,ei),通過安全信道發(fā)送消息B0,CIDi,θ,Rep(·),p給Ui,其中p為素?cái)?shù),同時(shí)在后臺(tái)數(shù)據(jù)庫添加(IDi,CIDi),將BIOi刪除。

4.2 登錄認(rèn)證階段

由于C2=Tu(ri) modp和C4=Tv(ri) modp,則有

sks≡Tv(C2)≡Tv(Tu(ri))≡Tvu(ri)≡

Tuv(ri)≡Tu(Tv(ri))≡Tu(C4)≡skumodp

所以本文方案是正確的。

4.3 口令修改階段

4.4 注銷階段

當(dāng)用戶不再使用該服務(wù)時(shí),Ui可以向服務(wù)器申請(qǐng)注銷其賬號(hào),服務(wù)器在驗(yàn)證了用戶Ui的身份之后,在用戶數(shù)據(jù)庫中找到其IDi,然后將(IDi,CIDi)從數(shù)據(jù)庫中刪除即可。

5 新協(xié)議方案分析

5.1 安全性分析假設(shè)

定義方案安全性分析的安全假設(shè)如下:

假設(shè)1 攻擊者可以截獲公開信道上的信息,且能夠?qū)π畔⑦M(jìn)行修改和重放,攻擊者獲得用戶的設(shè)備后可以利用能量分析等方法(Kocher等[24]、Messerges等[25]、Brier等[26])獲取設(shè)備中存儲(chǔ)的數(shù)據(jù)。

假設(shè)2 服務(wù)器的主密鑰s、哈希函數(shù)是安全的,即攻擊者在多項(xiàng)式時(shí)間內(nèi)無法解決這些問題。

5.2 新協(xié)議安全性

在以上安全假設(shè)下,下面分析本文方案的安全性:新協(xié)議給每個(gè)用戶分配動(dòng)態(tài)身份保護(hù)用戶匿名性,所以這里假設(shè)攻擊者已經(jīng)鎖定了目標(biāo)用戶。

1)抵抗Bergamo攻擊:Bergamo攻擊[8]中,攻擊者必須得到x,Tr(x)和Tk(x)三個(gè)元素,才能發(fā)動(dòng)有效攻擊。本文協(xié)議采用擴(kuò)展的切比雪夫多項(xiàng)式,采用了模運(yùn)算,而且x∈(-∞,+∞)能夠效避免三角函數(shù)的周期性。

4)抗口令猜測攻擊:本文協(xié)議沒有在線對(duì)用戶口令驗(yàn)證,而是驗(yàn)證用戶與服務(wù)器共享的秘密值攻擊者選擇在線攻擊時(shí),當(dāng)停止會(huì)話次數(shù)達(dá)到預(yù)先定義的閾值,賬號(hào)會(huì)被鎖定,所以,本文協(xié)議可以抵抗在線猜測攻擊。對(duì)于離線猜測攻擊,假設(shè)攻擊者獲得了用戶的設(shè)備,即使攻擊者可以同時(shí)猜測用戶的身份和口令,由于B3=h(σ,IDi?PWi)modn,攻擊者卻無法驗(yàn)證猜測口令的正確性。

6)抗設(shè)備丟失攻擊:假設(shè)攻擊者獲得Ui的設(shè)備,并通過能量分析獲得設(shè)備中的信息(B1,B2,B3,CIDi,θ,Rep(·),p)，由以上分析可知,攻擊者并不能得到用戶的口令,也無法偽造用戶的生物信息。

7)抗重放攻擊和冒充攻擊:本文協(xié)議中用戶每次均采用動(dòng)態(tài)身份登錄,攻擊者直接重放以前經(jīng)過雙方認(rèn)證的消息很容易被識(shí)破,攻擊者只能冒充合法用戶或者服務(wù)器嘗試構(gòu)造正確的消息進(jìn)行攻擊。

(a)攻擊者M(jìn)冒充用戶:假設(shè)攻擊者獲得了用戶的移動(dòng)設(shè)備并獲得用戶的CIDi,然后冒充用戶。因?yàn)镃1、C2、C3都與隨機(jī)數(shù)ri有關(guān),因此攻擊者若要冒充用戶,必須構(gòu)造C1、C2、C3,攻擊者無法獲得用戶的口令,更不可能獲得服務(wù)器密鑰s,所以很難偽造出C1。

(b)攻擊者M(jìn)冒充服務(wù)器:因?yàn)橛脩裘看蔚卿涍x擇不同的隨機(jī)數(shù)ri,顯然直接重放消息M2={C4,C5,C6}無效,攻擊者只能嘗試構(gòu)造C4、C5、C6,攻擊者必須先計(jì)算出ri,而ri=h(IDi,s)?C1,攻擊者不可能獲得服務(wù)器密鑰s,所以很難偽造出正確的ri。

8)中間人攻擊:由以上分析可知,攻擊者無法計(jì)算相關(guān)消息,簡單的消息重放很容易被識(shí)破,更不可能計(jì)算出共享會(huì)話密鑰。

9)完美前向安全性:本文協(xié)議雙方協(xié)商的會(huì)話密鑰為sks≡Tuv(ri)≡Tv(Tu(ri))≡Tu(Tv(ri)) modp,假設(shè)攻擊者獲得系統(tǒng)密鑰和用戶的口令,通過公開信道截獲到會(huì)話密鑰的兩個(gè)元素Tu(ri) modp和Tv(ri) modp然而攻擊者在不知道隨機(jī)數(shù)u或v的情況下,計(jì)算Tuv(ri)面臨擴(kuò)展切比雪夫多項(xiàng)式的數(shù)學(xué)難題,若攻擊者先由Tu(ri) modp和Tv(ri) modp計(jì)算出u或v也面臨擴(kuò)展切比雪夫多項(xiàng)式的數(shù)學(xué)難題。

10)已知會(huì)話密鑰安全性:已知會(huì)話密鑰安全性是指通信雙方產(chǎn)生的會(huì)話密鑰之間應(yīng)該相互獨(dú)立。本文協(xié)議會(huì)話密鑰sks≡Tuv(ri)≡Tv(Tu(ri))≡Tu(Tv(ri)) modp,其中u和v是用戶和服務(wù)器選取的一次性隨機(jī)數(shù),所以即使攻擊者獲得了某一次的會(huì)話密鑰sk,他也不可能計(jì)算出下一次的會(huì)話密鑰sk′。

5.3 性能分析

本節(jié)將新協(xié)議同Xu協(xié)議[9]、Mishra協(xié)議[10]、Amin協(xié)議[11]、Zhang協(xié)議[3]、Li協(xié)議[19]進(jìn)行比較。

從表3的分析結(jié)果來看,本文協(xié)議方案在功能上明顯優(yōu)于其他的認(rèn)證協(xié)議方案。

5.4 計(jì)算效率分析

表4對(duì)比了計(jì)算效率,符號(hào)含義如下:Th表示計(jì)算一次哈希函數(shù)值所需時(shí)間;Tc表示計(jì)算一次切比雪夫多項(xiàng)式所需時(shí)間;Ta表示計(jì)算一次橢圓曲線點(diǎn)加所需時(shí)間;Te表示計(jì)算一次橢圓曲線點(diǎn)乘所需時(shí)間;Ts表示進(jìn)行一次對(duì)稱加密(或解密)所需時(shí)間。

依據(jù)文獻(xiàn)[27]可知:Te>Ta?Th,Tc≈70Ts≈175Th,Ts≈2.5Th。由于協(xié)議的主要運(yùn)算在登錄和認(rèn)證階段,所以表中僅使用這兩個(gè)階段進(jìn)行性能比較。從表4的結(jié)果來看,本文方案僅需4Tc+15Th,雖然文獻(xiàn)[10]方案比本文方案要快,但文獻(xiàn)[10]不能抵抗重放攻擊、設(shè)備丟失攻擊及中間人攻擊,很顯然本文方案計(jì)算性能明顯優(yōu)于其他方案。

表3 不同協(xié)議的功能對(duì)比Tab. 3 Functional comparison of different protocols

表4 不同協(xié)議的計(jì)算效率對(duì)比Tab. 4 Computational efficiency comparison of different protocols

6 結(jié)語

通過分析Li方案,指出其不能抵抗用戶冒充攻擊,容易遭受拒絕服務(wù)攻擊等缺陷。本文提出了一個(gè)三因子認(rèn)證密鑰協(xié)商協(xié)議,通過使用擴(kuò)展混沌映射,采用三次握手技術(shù)實(shí)現(xiàn)異步認(rèn)證,保護(hù)用戶匿名性和身份唯一性,安全性分析和性能分析結(jié)果表明,新協(xié)議不僅可以抵抗常見攻擊,滿足必要的安全需求,還具有較高的計(jì)算效率,因此,新協(xié)議具有更高的實(shí)用性。