摘 要：針對(duì)遠(yuǎn)程醫(yī)療信息系統(tǒng)（TMIS）的實(shí)時(shí)應(yīng)用場(chǎng)景，提出了一種安全高效的基于擴(kuò)展混沌映射的切比雪夫多服務(wù)器認(rèn)證協(xié)議。該方案使用隨機(jī)數(shù)和注冊(cè)中心的私鑰為用戶/應(yīng)用服務(wù)器的身份加密，有效地支持用戶和應(yīng)用服務(wù)器的撤銷(xiāo)和重新注冊(cè)。同時(shí)，還利用模糊驗(yàn)證因子技術(shù)避免離線密碼猜測(cè)攻擊，利用honeywords技術(shù)有效避免在線密碼猜測(cè)攻擊。該方案在公共信道上傳輸?shù)呐c用戶身份相關(guān)的信息均使用隨機(jī)數(shù)或隨機(jī)數(shù)的計(jì)算結(jié)果進(jìn)行加密，因此可以為用戶提供強(qiáng)匿名性。通過(guò)BAN邏輯證明該協(xié)議可以實(shí)現(xiàn)用戶和服務(wù)器的安全相互認(rèn)證；同時(shí)，使用非正式安全證明該協(xié)議可以抵抗多種已知攻擊。

關(guān)鍵詞：遠(yuǎn)程醫(yī)療信息系統(tǒng)；切比雪夫混沌映射；認(rèn)證；BAN邏輯證明

中圖分類(lèi)號(hào)：TP391 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695（2022）07-035-2137-06

doi：10.19734/j.issn.1001-3695.2021.11.0660

基金項(xiàng)目：國(guó)家自然科學(xué)基金資助項(xiàng)目（2020YFB1005900）；廣東省國(guó)家重點(diǎn)研發(fā)資助項(xiàng)目（2020B0101090002）；江蘇省自然科學(xué)基金資助項(xiàng)目（BK20200、418）；國(guó)家重點(diǎn)科研資助項(xiàng)目（2020YFB1005900）

作者簡(jiǎn)介：翟孝影（1997-），女，河北衡水人，碩士，主要研究方向?yàn)樾畔踩⒍喾?wù)器認(rèn)證協(xié)議；王箭（1968-），男（通信作者），教授，博導(dǎo)，博士，主要研究方向?yàn)樾畔踩?、密碼學(xué)、安全系統(tǒng)分析與設(shè)計(jì)等（wangjian@nuaa.edu.cn）．

Telemedicine information system authentication scheme based on extended chaotic graph

Zhai Xiaoying，Wang Jian?

（School of Computer Science amp; Technology，Nanjing University of Aeronautics amp; Astronautics，Nanjing 210000，China）

Abstract：Aiming at the real-time application scenario of TMIS，this paper proposed a safe and efficient MSAKA protocol based on the extended Chebyshev chaotic map.The proposed scheme used random numbers and the private key of the registration center to encrypt the identity of the user/application server，which effectively supported the cancellation and re-registration of the user and the application server.At the same time，it used the fuzzy verification factor technology to avoid offline password guessing attacks，and used the honeywords technology to effectively avoid online password guessing attacks.The information related to the user’s identity transmitted in the proposed scheme on the public channel was encrypted with random numbers or the calculation results of random numbers，so it could provide users with strong anonymity.Through the BAN logic，it proved that the proposed protocol can realize the secure mutual authentication of the user and the server.At the same time，it used informal security to prove that the proposed protocol can resist all currently known attacks.

Key words：telemedicine information system（TMIS）；Chebyshev chaotic map；authentication；BAN logical proof

0 引言

遠(yuǎn)程醫(yī)療信息系統(tǒng)（TMIS）為公共網(wǎng)絡(luò)通道上的患者和醫(yī)療服務(wù)器之間的通信和數(shù)據(jù)交換提供了一個(gè)平臺(tái)（圖1）^{［1，2］}。由于用戶個(gè)人身份信息和醫(yī)療記錄的敏感性，保護(hù)TMIS中這些數(shù)據(jù)的安全性至關(guān)重要。系統(tǒng)用戶和醫(yī)療服務(wù)器相互驗(yàn)證彼此身份的合法性，攻擊者無(wú)法冒充合法用戶或醫(yī)療服務(wù)器，系統(tǒng)用戶也無(wú)法被惡意服務(wù)器劫持，因此身份驗(yàn)證和密鑰協(xié)商協(xié)議是TMIS中最重要的部分。根據(jù)認(rèn)證因素，身份認(rèn)證和密鑰協(xié)商協(xié)議可以分為單因素（密碼）認(rèn)證協(xié)議^［3～5］、雙因素（密碼+智能卡）認(rèn)證協(xié)議^［6］、三因素（密碼+智能卡+生物識(shí)別）認(rèn)證協(xié)議^{［7，8］}。

如今，隨著網(wǎng)絡(luò)技術(shù)的不斷進(jìn)步，它也為攻擊者的攻擊提供了便利。隨著科學(xué)技術(shù)的進(jìn)步，攻擊者的攻擊能力越來(lái)越強(qiáng)，這給密碼協(xié)議的研究人員帶來(lái)了巨大的挑戰(zhàn)。同時(shí)，在復(fù)雜的網(wǎng)絡(luò)環(huán)境和有限的存儲(chǔ)資源和計(jì)算能力下，設(shè)計(jì)一種協(xié)議來(lái)滿足不同環(huán)境的安全需求也是一個(gè)挑戰(zhàn)。受此啟發(fā)，本文提出了一種基于切比雪夫混沌映射和三個(gè)因素的多服務(wù)器認(rèn)證方案。該方案力求在安全性和效率之間取得最佳折中，并支持同一用戶的撤銷(xiāo)和重新注冊(cè)，從而為用戶提供強(qiáng)大的匿名性。

根據(jù)TMIS的應(yīng)用場(chǎng)景和實(shí)際需求，Wu等人^［9］在2010年首次提出了一種使用密碼和智能卡（SC）的TMIS認(rèn)證協(xié)議，該方案^［9］在認(rèn)證和密鑰協(xié)商過(guò)程中加入了預(yù)計(jì)算的概念，以避免指數(shù)計(jì)算時(shí)間并減少時(shí)間消耗。然后，He等人^［10］證明了當(dāng)SC丟失/被盜時(shí)，文獻(xiàn)［9］具有偽裝攻擊和內(nèi)部特權(quán)攻擊，并提出了一種改進(jìn)的基于智能卡的魯棒雙因素認(rèn)證協(xié)議。隨后，Wei等人^［11］證明了文獻(xiàn)［9，10］缺乏數(shù)學(xué)算法和證明，并在2011年提出了一個(gè)可證明安全的雙因素認(rèn)證協(xié)議。2012年，Zhu^［12］指出文獻(xiàn)［11］無(wú)法抵抗智能卡丟失攻擊，并改進(jìn)了文獻(xiàn)[11]的雙因素認(rèn)證協(xié)議。在上述協(xié)議^［9～12］中，患者的身份信息直接在不安全的通道中以明文形式發(fā)送，因此身份隱私信息沒(méi)有得到保護(hù)。

混沌系統(tǒng)具有不可預(yù)測(cè)性、偽隨機(jī)性和對(duì)初始參數(shù)敏感依賴(lài)的特點(diǎn)，實(shí)現(xiàn)了密碼系統(tǒng)的擴(kuò)散和混淆功能，因此在密碼協(xié)議設(shè)計(jì)中得到廣泛應(yīng)用。Wang等人^［13］于2010年設(shè)計(jì)了一個(gè)應(yīng)用切比雪夫混沌映射的公鑰加密認(rèn)證和密鑰協(xié)商方案。Yoon等人^［14］發(fā)現(xiàn)文獻(xiàn)［13］無(wú)法抵抗非法修改攻擊，并于2011年提出了使用基于時(shí)間戳的切比雪夫混沌映射的Diffie-Hellman密鑰協(xié)商方案。An^［15］提出了一種基于生物識(shí)別和智能卡的高效認(rèn)證協(xié)議，并在2012年證明了該協(xié)議可以抵抗用戶模擬攻擊、服務(wù)器偽裝攻擊、智能卡丟失攻擊和內(nèi)部特權(quán)攻擊。Khan等人^［16］分析了文獻(xiàn)［15］存在在線密碼猜測(cè)攻擊、缺乏相互認(rèn)證、服務(wù)器冒充攻擊等問(wèn)題，進(jìn)而提出了不同的認(rèn)證方案，證明其協(xié)議能夠滿足網(wǎng)絡(luò)安全需求。 2014年，Wen等人^［17］證明了文獻(xiàn)［16］沒(méi)有為用戶提供匿名性，提出了一種基于生物特征的魯棒遠(yuǎn)程認(rèn)證方案。Lee^［18］使用混沌映射設(shè)計(jì)了一個(gè)安全的認(rèn)證密鑰協(xié)商方案，該方案使用中國(guó)剩余定理來(lái)加密長(zhǎng)期密鑰，允許用戶只保留密碼而無(wú)須額外的設(shè)備。然后Cheng等人^［19］證明了文獻(xiàn)［18］存在內(nèi)部特權(quán)攻擊和模擬攻擊，并且在具備文獻(xiàn)［18］良好安全性的同時(shí)提出了改進(jìn)方案。2016年，Irshad等人^［20］提出了一種使用切比雪夫混沌映射的單向多服務(wù)器認(rèn)證方案。注冊(cè)中心（RC）不涉及患者和醫(yī)生之間的相互認(rèn)證。最近Lee等人^［21］發(fā)現(xiàn)文獻(xiàn)[20]不能抵抗特定會(huì)話的模擬攻擊和傳輸臨時(shí)信息攻擊，并且文獻(xiàn)［20］要求RC始終在線，因此提出了根據(jù)票據(jù)的三因素身份認(rèn)證方案，該合法參與者可以直接進(jìn)行認(rèn)證和通信，可以有效避免第三方帶寬過(guò)載的問(wèn)題。

本文指出文獻(xiàn)［21］無(wú)法抵抗離線密碼猜測(cè)攻擊和已知會(huì)話特定臨時(shí)信息攻擊。同時(shí)，當(dāng)SC丟失/被盜或患者身份認(rèn)證信息泄露時(shí)，其方案沒(méi)有為患者提供撤銷(xiāo)功能，這也使得該方案對(duì)其他攻擊（如冒充攻擊）不安全，并且當(dāng)服務(wù)器的私鑰泄露時(shí)，該方案并沒(méi)有提供服務(wù)器以相同的身份重新注冊(cè)。為此，本文提出了基于擴(kuò)展混沌映射的 TMIS多服務(wù)器生物特征認(rèn)證方案，使用模糊驗(yàn)證因子來(lái)抵御離線密碼猜測(cè)攻擊，本文方案支持患者/醫(yī)生撤銷(xiāo)和重新注冊(cè)功能。

本文深入分析了近期提出的基于切比雪夫混沌映射的認(rèn)證協(xié)議^{［21～24］}，并發(fā)現(xiàn)這些方案存在的安全漏洞，例如離線密碼猜測(cè)攻擊、已知會(huì)話特定臨時(shí)信息攻擊、模擬攻擊，并指出了這些方案中存在這些缺陷的根本原因；提出了一種基于擴(kuò)展混沌映射和生物識(shí)別技術(shù)的TMIS多服務(wù)器認(rèn)證方案。具體來(lái)說(shuō)，該方案利用模糊驗(yàn)證因子技術(shù)避免離線密碼猜測(cè)攻擊，并利用honeywords技術(shù)有效避免在線密碼猜測(cè)攻擊。該方案可以提供強(qiáng)匿名性，因?yàn)樵诠残诺郎吓c用戶身份相關(guān)的信息是使用隨機(jī)數(shù)或隨機(jī)數(shù)的計(jì)算結(jié)果加密的。本文方案通過(guò)RC選擇的隨機(jī)數(shù)和RC的私鑰一起為用戶/服務(wù)器身份加密，有效地支持用戶和服務(wù)器的撤銷(xiāo)和重新注冊(cè)。最后，采用BAN邏輯和非正式分析來(lái)證明方案的安全性。

1 預(yù)備知識(shí)

1.1 認(rèn)證協(xié)議的要求

在基本攻擊模型^{［25～27］}中，攻擊者可以獲得公共信道上的所有信息。TMIS中使用的認(rèn)證協(xié)議需要滿足以下三個(gè)要求：

a）安全會(huì)話密鑰。協(xié)議應(yīng)滿足會(huì)話密鑰的安全性，分為以下兩點(diǎn)：（a）認(rèn)證過(guò)程中應(yīng)用的一次性認(rèn)證參數(shù)或臨時(shí)會(huì)話密鑰的泄露不會(huì)影響其他會(huì)話的安全；（b）醫(yī)生和患者協(xié)商的會(huì)話密鑰不會(huì)受到協(xié)議參與者長(zhǎng)期私鑰泄露的影響，例如患者、醫(yī)生或注冊(cè)中心其中一方。

b）患者憑證安全。要求不能獲取患者的憑證，例如患者的身份、私鑰、認(rèn)證參數(shù)等。

c）安全的相互認(rèn)證。在協(xié)商共享密鑰之前，要求患者和醫(yī)生相互認(rèn)證。

1.2 威脅模型

本文使用的模型是Dolev-Yao模型^［28］。近年來(lái)，隨著側(cè)信道攻擊技術(shù)的發(fā)展^［29］，可以在SC中獲取安全參數(shù)，攻擊能力增強(qiáng)。本文使用了文獻(xiàn)［7，30］提出的最嚴(yán)格（但最現(xiàn)實(shí)）的多因素協(xié)議攻擊者模型。攻擊者的能力如表1所示。

1.3 切比雪夫混沌映射

Chebyshev混沌映射Tm（n）=cos（m·arccos（n）） mod p滿足

Tm（n）=2nTm-1（n）-Tm-2（n） mod p（1）

其中：m為不小于2的整數(shù)，n∈［-1，1］；T0（n）=1，T1（n）=n。Chebyshev混沌映射具有半群性質(zhì)，即

Tm（n）=2nTm-1（n）-Tm-2（n） mod p（2）

2006年，Zhang^［31］ 將切比雪夫混沌映射n∈［-1，1］的定義域擴(kuò)展到n∈（-∞，+∞）。擴(kuò)展的Chebyshev混沌映射仍然具有半群性質(zhì)，即

TaTb（n）=Tab（n）=Tb（Ta（n））mod p

其中：Tm（n）=cos（m·arccos（n））mod p，m為不小于2的整數(shù)，n∈（-∞，+∞）；p為大素?cái)?shù)。

基于擴(kuò)展混沌映射的Diffie-Hellman問(wèn)題：給定擴(kuò)展Chebyshev混沌映射Tm（n），給定n、Ta（n）、Tb（n），很難求解Tab（n）。

基于擴(kuò)展混沌映射的離散對(duì)數(shù)問(wèn)題（CMDLP）：已知Ts（n）和n，計(jì)算s是一個(gè)難題。

1.4 生物識(shí)別和模糊提取

同一用戶在不同時(shí)間提取的生物特征也存在細(xì)微的差異，模糊提取器^［32］的作用就是消除這些細(xì)微差異。具體來(lái)說(shuō)，即使用戶收集的生物特征信息發(fā)生輕微變化，通過(guò)模糊提取器也可以獲得相同的結(jié)果。模糊提取器分為以下兩部分：

a）Gen（Bi）=（σi，θi），以Bi為輸入，算法Gen（·）輸出σi和θi，其中θi為輔助串。

b）σi=Rep（B′i，θi），以生物特征B′i和輔助串θi作為輸入，可以根據(jù)算法Rep（·）生成新的σi，B′i和Bi是有細(xì)微差別的生物特征，dis（B′i，Bi）≤Δt。

2 本文提出的協(xié)議

為了更好地應(yīng)用在TMIS中，本文提出了一種基于擴(kuò)展混沌映射的多服務(wù)器生物特征認(rèn)證方案，使用模糊驗(yàn)證因子來(lái)避免離線口令猜測(cè)攻擊，該方案還為用戶提供撤銷(xiāo)和重新注冊(cè)功能。本文的方案一共分為六個(gè)階段。第一個(gè)階段是初始化階段；第二個(gè)階段是注冊(cè)階段，包括用戶注冊(cè)和服務(wù)器注冊(cè)；第三個(gè)階段是用戶登錄階段；第四個(gè)階段是用戶與服務(wù)器的相互認(rèn)證和密鑰協(xié)商階段；第五階段是用戶密碼更改階段；最后一個(gè)階段是注銷(xiāo)和重新注冊(cè)階段。本文方案中使用的符號(hào)如表2所示。

2.2 注冊(cè)階段

本節(jié)概述了Ui和Sj注冊(cè)。為了防止注冊(cè)的合法用戶重新注冊(cè)，本文使用消息驗(yàn)證表T來(lái)記錄注冊(cè)用戶。

2.2.1 服務(wù)器注冊(cè)階段

Sj選擇唯一身份SIDj，并將身份SIDj發(fā)送給RC面對(duì)面（安全通道）。RC從Sj收到SIDj后，檢查T(mén)1以驗(yàn)證Sj是否已經(jīng)注冊(cè)。如果Sj已經(jīng)注冊(cè)，則會(huì)話終止。如果不是，RC選擇一個(gè)隨機(jī)數(shù)rj并計(jì)算kj=h（SIDj‖k‖rj），然后將{h（SIDj‖k），rj}存儲(chǔ)到T1中。最后，RC將kj面對(duì)面地發(fā)送給Sj。從RC接收kj后，Sj選擇一個(gè)隨機(jī)數(shù)xj并計(jì)算TSj=Txj（x） mod p。Sj將kj和xj保密并公開(kāi)信息{SIDj，TSj}。

備注1 rj的作用是當(dāng)Sj的私鑰kj意外泄露給Euclid Math OneAAp時(shí)，Sj可以取消其在RC的注冊(cè)信息，并使用相同的身份SIDj再次在RC注冊(cè)，獲得新的密鑰k^freshj。

2.2.2 用戶注冊(cè)階段

步驟U1 Ui輸入唯一身份IDi，選擇PWi并選擇一個(gè)隨機(jī)數(shù)ri。Ui計(jì)算DIDi=h（IDi‖ri），PWDi=h（PWi‖ri）并將注冊(cè)請(qǐng)求{IDi，DIDi，PWDi}發(fā)送給RC面對(duì)面。

步驟U2 RC收到注冊(cè)請(qǐng)求{IDi，DIDi，PWDi}后，計(jì)算hash值h（IDi‖k），然后檢查驗(yàn)證表T2，驗(yàn)證用戶是否已經(jīng)注冊(cè)，如果用戶已經(jīng)注冊(cè)，則終止會(huì)話。否則，RC計(jì)算Aij=h（DIDi‖kj），Bij=Aij⊕PWDi，Wi=h（DIDi‖k）存入所有已經(jīng)注冊(cè)的服務(wù)器。此外，RC將{h（IDi‖k），state=1}存儲(chǔ)到其驗(yàn)證表T2中，并將{Bij，Wi，state=1}存儲(chǔ)到SCi中。最后，RC將SCi面對(duì)面地發(fā)送給Ui。

步驟U3 從RC得到SCi后，Ui在傳感器上輸入Bi并計(jì)算（σi，θi）=Gen（Bi），Vi=ri⊕h（σi），Ci=Wi⊕PWDi，Di=h（h（IDi‖PWi‖ri‖σi‖Wi）） mod m，其中m（2⁸≤m≤2¹⁶）為整數(shù)，m決定了身份密碼對(duì)（IDi，PWi）抵抗離線密碼猜測(cè)攻擊的能力。將Vi、Ci、Di替換SCi中的Wi，θi存儲(chǔ)在SCi中。最后，SCi的記憶參數(shù)是{Ci，Bij，Di，Vi，θi，state}。

備注2 參數(shù)state的目的是為了避免攻擊者使用相同的用戶身份重復(fù)注冊(cè)，state∈{-1，1}。state=1表示用戶處于活動(dòng)狀態(tài)并已注冊(cè)；state=-1表示用戶處于非活動(dòng)狀態(tài)。

2.3 用戶登錄階段

Ui應(yīng)該執(zhí)行以下步驟來(lái)登錄Sj：

步驟L1 Ui將SCi放入讀卡器，讀卡器首先驗(yàn)證SCi中存儲(chǔ)的參數(shù)state，如果state=-1，則拒絕登錄。否則，Ui輸入IDi、PWi和在生物傳感器上錄入自己的生物特征Bi。SCi計(jì)算σi=Rep（Bi，θi），rj=Vi⊕h（σi），PWDi=h（PWi‖ri），Wi=Ci⊕PWDi，然后驗(yàn)證Di=h（h（IDi‖PWi‖ri‖σi‖Wi）） mod m等式是否成立。如果驗(yàn)證失敗，SCi將拒絕輸入憑據(jù)并終止會(huì)話。

步驟L2 Ui選擇一個(gè)隨機(jī)數(shù)n1和服務(wù)器身份SIDj。此外，SCi計(jì)算Ei=Tn1（x） mod p，Aij=Bij⊕PWDi，根據(jù)Sj的公鑰TSj計(jì)算Fi=Tn1（TSj） mod p，HIDi=DIDi⊕h（Fi‖SIDj），M1=h（DIDi‖Aij‖F(xiàn)i），然后發(fā)送消息{HIDi，M1，Ei}到Sj。

2.4 相互認(rèn)證與密鑰協(xié)商階段

在此階段，Ui和Sj相互確認(rèn)并協(xié)商共享密鑰SKij（SKji），以便在公共信道上進(jìn)行后續(xù)通信。

步驟A1 當(dāng)收到{HIDi，M1，Ej}后，Sj計(jì)算Fi=Txj（Ei） mod p，DIDi=HIDi⊕h（Fi‖SIDj）并且Sj檢查DIDi是否存在于驗(yàn)證表單T中，如果存在，并且Honey list=0，則拒絕Ui的登錄請(qǐng)求。否則Sj將{DIDi，Honey list=0}存入T并計(jì)算Aij=h（DIDi‖kj），然后檢查M1=h（DIDi‖Aij‖F(xiàn)i）等式是否成立。如果不相等，則拒絕Ui的登錄請(qǐng)求并讓Honey list=Honey list+1，當(dāng)Honey list≥5時(shí)，用戶將被鎖定。否則T中的用戶信息將更新為{DIDi，Honey list=0}，Sj選擇一個(gè)隨機(jī)數(shù)nj，計(jì)算Ej=Tnj（x） mod p，Eji=Tnj（Ei） mod p，SKij=h（DIDi‖Aij‖Eij），M2=h（SKij‖Ej）。Sj在不安全的公共通道上向Ui發(fā)送消息{M2，Ej}。

步驟A2 從Sj得到{M2，Ej}后，Ui計(jì)算Eij=Tn1（Ej），SKij=h（DIDi‖Aij‖Eij）并檢查M2=h（SKij‖Ej）等式是否成立。如果不相等，Ui將結(jié)束會(huì)話；如果相等，Ui計(jì)算M3=h（SIDj‖Ei‖Ej‖SKij‖Aij），然后在不安全的公共信道上將{M3}發(fā)送給Sj。

步驟A3 從Ui得到消息M3后，檢查M3=h（SIDj‖Ei‖Ej‖SKij‖Aij）等式是否成立。如果相等，則Sj認(rèn)為Ui是合法的；否則，Sj立即結(jié)束會(huì)話。

通過(guò)以上步驟，Ui和Sj相互確認(rèn)彼此身份的合法性，得到會(huì)話密鑰SKij=SKji。

2.5 密碼更改階段

在本文方案中，Ui可以使用以下步驟在本地更改 PWi：

步驟P1 Ui將自己的智能卡SCi插入讀卡器，讀卡器驗(yàn)證SCi中存儲(chǔ)的參數(shù)state的狀態(tài)，如果state=-1，則拒絕登錄；否則，Ui輸入PWi、IDi并在傳感器上輸入個(gè)人生物特征Bi。SCi計(jì)算σi=Rep（Bi，θi），ri=Vi⊕h（σi），PWDi=h（PWi‖ri），Wi=Ci⊕PWDi，并檢查Di=h（h（IDi‖PWi‖ri‖σi‖Wi）） mod m是否成立。如果不相等，SCi拒絕輸入憑證并終止會(huì)話；否則，SCi要求Ui輸入新密碼。

步驟P2 Ui將新密碼PW^newi放入SCi中。

步驟P3 SCi之后計(jì)算PWD^newi=h（PW^newi‖ri），Aij=Bij⊕PWDi，C^newi=Wi⊕PWD^newi=Ci⊕PWDi⊕PWD^newi，B^newij=Aij⊕PWD^newi=Bij⊕PWDi⊕PWD^newi，D^newi=h（h（IDi‖PW^newi‖ri‖σi‖Wi）） mod m。最后，SCi用C^newi、B^newij、D^newi替換掉智能卡內(nèi)的Ci、Bij、Di。

2.6 撤銷(xiāo)和重新注冊(cè)階段

該階段說(shuō)明當(dāng)SCi被盜（丟失）或Ui的身份認(rèn)證信息被遺忘時(shí)，Ui可以注銷(xiāo)在注冊(cè)中心注冊(cè)的賬戶，然后重新注冊(cè)。Ui可以通過(guò)執(zhí)行以下步驟進(jìn)行注銷(xiāo)和重新注冊(cè)。注銷(xiāo)Ui的賬號(hào)，Ui需要向注冊(cè)中心提供銀行卡、身份證、護(hù)照等有效身份信息。如果Ui的認(rèn)證通過(guò)，RC將T2中的state更改為 state=-1，同時(shí)將SCi中的認(rèn)證參數(shù)state更改為state=-1。如果Ui再次登錄，將被拒絕。當(dāng)用戶重新注冊(cè)時(shí)，RC驗(yàn)證標(biāo)識(shí)符IDi是否有效（IDi是否已注冊(cè)，但狀態(tài)失效）。如果標(biāo)識(shí)有效，RC將會(huì)為用戶提供重新注冊(cè)的功能。

3 安全分析

本章使用BAN邏輯^［33］來(lái)證明用戶和服務(wù)器可以安全地實(shí)現(xiàn)相互認(rèn)證并進(jìn)行非正式的安全證明，以證明本文協(xié)議可以抵抗目前已知的各種攻擊。

3.1 BAN邏輯證明

本節(jié)使用BAN邏輯來(lái)證明合法注冊(cè)用戶Ui和遠(yuǎn)程服務(wù)器Sj之間可以實(shí)現(xiàn)相互確認(rèn)。BAN邏輯基于信念模態(tài)邏輯，可用于描述和驗(yàn)證身份驗(yàn)證協(xié)議。使用BAN邏輯分析身份認(rèn)證協(xié)議的安全性時(shí)，首先需要將協(xié)議中的交互信息理想化，然后根據(jù)具體情況作出初步假設(shè)，最終通過(guò)推理和規(guī)劃得出預(yù)期目標(biāo)。表3給出了BAN邏輯的基本符號(hào)和含義，表4給出了BAN邏輯的規(guī)則。

3.2 非形式化安全分析

本節(jié)使用非正式安全來(lái)證明本文方案可以抵御多種已知攻擊。

3.2.1 內(nèi)部特權(quán)攻擊

注冊(cè)時(shí)，Ui傳輸IDi和h（PWi‖ri），而不是直接發(fā)送密碼。 在本文方案中，PWi與隨機(jī)數(shù)ri連接，然后使用哈希函數(shù)對(duì)計(jì)算結(jié)果進(jìn)行加密。在不知道隨機(jī)數(shù)ri的情況下，不可能從h（PWi‖ri）中猜出密碼 PWi。因此，本文方案可以抵抗內(nèi)部特權(quán)攻擊。

3.2.2 用戶強(qiáng)匿名性

3.2.4 抵抗服務(wù)器欺騙攻擊

如果攻擊者要冒充服務(wù)器生成合法的響應(yīng)消息，需要生成合法的M2，合法的M2需要通過(guò)合法的SKij計(jì)算，合法的SKij需要通過(guò)合法的DIDi和Aij計(jì)算，HIDi=DIDi⊕h（Fi‖SIDj）=DIDi⊕h（Tn1（Tsj） mod p‖SIDj），Aij=h（DIDi‖Kj‖φi）。只有知道xj和kj的服務(wù)器Sj才能正確響應(yīng)用戶的登錄請(qǐng)求信息。因此，本文協(xié)議可以抵抗服務(wù)器欺騙攻擊。

3.2.5 抵抗冒充用戶攻擊

攻擊者要冒充用戶生成合法的登錄請(qǐng)求信息，需要生成合法的HIDi和M1，HIDi和M1需要通過(guò)合法的DIDi和Aij計(jì)算得到，DIDi的計(jì)算需要用戶身份和隨機(jī)數(shù)DIDi=h（IDi‖ri），Aij=Bij⊕PWDi=Bij⊕h（PWi‖Vi⊕h（σi））。因此，只有用戶的身份、密碼、智能卡和生物特征才能生成合法的登錄請(qǐng)求信息。因此，本文協(xié)議可以有效抵御假冒用戶的攻擊。

3.2.6 密碼猜測(cè)攻擊

3.2.7 DoS攻擊

當(dāng)Ui登錄請(qǐng)求時(shí)，智能卡檢查等式Di=h（h（IDi‖PWi‖ri‖σi‖Wi）） mod m是否成立，只有真實(shí)用戶Ui根據(jù)身份IDi、密碼PWi、生物特征Bi三個(gè)因素計(jì)算出的合法登錄請(qǐng)求信息才能通過(guò)驗(yàn)證。因此，智能卡可以本地驗(yàn)證登錄請(qǐng)求是否來(lái)自Ui，只有來(lái)自真實(shí)用戶的請(qǐng)求信息才可以通過(guò)認(rèn)證。通過(guò)智能卡的本地驗(yàn)證機(jī)制，可以有效防止攻擊者發(fā)送大量無(wú)效的登錄請(qǐng)求信息引起DoS攻擊。

4 性能對(duì)比

將本文協(xié)議在安全性、計(jì)算成本和通信時(shí)間方面與文獻(xiàn)［21～24］進(jìn)行比較。由于Ui和Sj都只注冊(cè)一次，所以只計(jì)算Ui登錄和Ui和Sj之間的相互認(rèn)證階段的開(kāi)銷(xiāo)。首先，分析了本文協(xié)議與表5中其他協(xié)議的安全性比較?？梢钥闯?，與其他協(xié)議相比，本文協(xié)議具有更高的安全性，可以抵抗更多的攻擊，提供更多的功能。

為便于比較，假設(shè)所提協(xié)議及其他協(xié)議中涉及的參數(shù)長(zhǎng)度為32 bit，如用戶和服務(wù)器的身份標(biāo)識(shí)、大素?cái)?shù)、隨機(jī)數(shù)等，h（·）（例如SHA-1^［34］）輸出長(zhǎng)度為160 bit。在本文方案中，只有三個(gè)消息涉及通信。Ui發(fā)送登錄請(qǐng)求{HIDi，M1，Ei}，其中HIDi=h（IDi‖ri）⊕h（Fi‖SIDj），Ei=Tn1（x） mod p，M1=h（DIDi‖Aij‖F(xiàn)i）需要160+160+32=254 bit。Sj發(fā)送認(rèn)證回復(fù){M2，Ej}，其中M2=h（SKij‖Eji），Ej=Tnj（x） mod p，這又需要160+32=192 bit。最后，Ui發(fā)送認(rèn)證{M3}，其中M3=h（SIDj‖Ei‖Ej‖SKij‖Aij），也需要160 bit。因此，在Ui登錄階段、Ui和Sj相互認(rèn)證階段和密鑰協(xié)商階段，一般需要的通信開(kāi)銷(xiāo)為254+192+160=704 bit。從表6可以看出，本文協(xié)議需要相對(duì)較小的通信開(kāi)銷(xiāo)，同時(shí)獲得了更高的安全性。在圖2中，隨著使用人數(shù)逐漸增多，本文方案所需的通信開(kāi)銷(xiāo)都遠(yuǎn)小于文獻(xiàn)［22～24］。雖然文獻(xiàn)［21］所需的通信開(kāi)銷(xiāo)相對(duì)較小，但其容易受到離線口令猜測(cè)、服務(wù)器冒充、用戶冒充、已知會(huì)話特定的臨時(shí)信息攻擊的影響。

令Th表示計(jì)算散列函數(shù)h（·）所需的時(shí)間；Tc表示在Chebyshev多項(xiàng)式中計(jì)算Tn（x） mod p的時(shí)間；Tb表示執(zhí)行Biohash操作所需的時(shí)間。根據(jù)文獻(xiàn)［35］，有Th≈0.005 s，Tc≈0.021 02 s，并假設(shè)Tb≈Tc。本文協(xié)議和其他協(xié)議使用模糊提取算法或Biohash函數(shù)提取用戶的生物特征進(jìn)行協(xié)議設(shè)計(jì)。根據(jù)文獻(xiàn)［32］可知，F(xiàn)uzzy提取算法或Biohash函數(shù)耗時(shí)相同。因此，在協(xié)議的計(jì)算成本比較中，可以忽略生物特征提取的步驟。由于按位異或運(yùn)算的計(jì)算成本遠(yuǎn)低于其他運(yùn)算，將忽略其計(jì)算成本。在本文協(xié)議中，Ui登錄所需的時(shí)間是 9Th+3Tc，Ui和Sj相互認(rèn)證和密鑰協(xié)商階段所需要的總時(shí)間為5Th+3Tc，所以總計(jì)算量為14Th+6Tc≈0.196 12 s。

在文獻(xiàn)［22］用戶和應(yīng)用服務(wù)器進(jìn)行相互認(rèn)證和密鑰協(xié)商的過(guò)程中，用戶所需要的時(shí)間為10Th+3Tc+2Ts≈0.130 46 s，服務(wù)器所需要的時(shí)間為6Th+3Tc+2Ts≈0.110 46 s，所需要的總時(shí)間開(kāi)銷(xiāo)為16Th+6Tc+4Ts≈0.240 92 s。在文獻(xiàn)［23］中，用戶和服務(wù)器進(jìn)行相互認(rèn)證的階段需要RC的參與，其中用戶的計(jì)算開(kāi)銷(xiāo)為6Th+3Tc≈0.093 06 s，服務(wù)器的計(jì)算開(kāi)銷(xiāo)為5Th+2Tc≈0.067 04 s，RC的時(shí)間開(kāi)銷(xiāo)為8Th+Tc≈0.061 02 s，所需要的總時(shí)間開(kāi)銷(xiāo)為19Th+6Tc≈0.221 12 s。在文獻(xiàn)［24］中，用戶和服務(wù)器在相互認(rèn)證的階段需要RC的參與，用戶的時(shí)間開(kāi)銷(xiāo)為11Th+3Tc≈0.118 06 s，應(yīng)用服務(wù)器的時(shí)間開(kāi)銷(xiāo)為7Th+2Tc≈0.077 04 s，注冊(cè)中心的時(shí)間開(kāi)銷(xiāo)為11Th+1Tc≈0.076 02 s，總計(jì)為29Th+6Tc≈0.271 12 s。在文獻(xiàn)［21］中，用戶的計(jì)算開(kāi)銷(xiāo)為12Th+3Tc≈0.123 06 s，應(yīng)用服務(wù)器的時(shí)間開(kāi)銷(xiāo)為7Th+3Tc≈0.098 06 s，總時(shí)間開(kāi)銷(xiāo)為19Th+6Tc≈0.221 12 s。從表7中可以看出，與其他方案相比，本文方案也大大降低了計(jì)算成本。在圖3中，將本文方案與文獻(xiàn)［21～24］在認(rèn)證過(guò)程中所有參與方需要的計(jì)算開(kāi)銷(xiāo)和總計(jì)算開(kāi)銷(xiāo)進(jìn)行對(duì)比，可以看出本文方案較其他方案所需的總計(jì)算開(kāi)銷(xiāo)最小。因此，與其他方案相比，本文協(xié)議更適用于TMIS。

5 結(jié)束語(yǔ)

本文回顧了針對(duì)TMIS設(shè)計(jì)的文獻(xiàn)［21～24］方案，并指出這些方案的安全缺陷，以及這些缺陷存在的根本原因。例如，當(dāng)SC丟失（被盜）或用戶身份認(rèn)證信息泄露時(shí)，這些方案都沒(méi)有為用戶提供撤銷(xiāo)功能，這也使得這些方案對(duì)其他攻擊不安全。為了克服上述缺點(diǎn)，本文提出了一種應(yīng)用于TMIS的基于擴(kuò)展混沌圖的有效多服務(wù)器生物特征認(rèn)證方案。本文協(xié)議在實(shí)現(xiàn)所有已知的安全目標(biāo)的同時(shí)，可以有效地避免各種已知的安全漏洞。通過(guò)BAN邏輯證明，協(xié)議可以實(shí)現(xiàn)用戶和服務(wù)器的安全相互認(rèn)證；同時(shí)，使用非正式安全證明協(xié)議可以抵抗多種已知攻擊，并且方案所需的通信成本和計(jì)算成本更低，并提供更高的安全性能，因此更適合TMIS。

參考文獻(xiàn)：

［1］Li Xiong，Wu Fan，Khan M K，et al.A secure chaotic map-based remote authentication scheme for telecare medicine information systems［J］.Future Generation Computer Systems，2018，84：149-159.

［2］Wang Xiaoliang，Bai Liang，Yang Qing，et al.A dual privacy-preservation scheme for cloud-based e-health systems［J］.Journal of Information Security and Applications，2019，47：132-138.

［3］Bellovin S M，Merritt M.Encrypted key exchange：password-based protocols secure against dictionary attacks［C］//Proc of IEEE Computer Society Symposium on Research in Security and Privacy.Piscataway，NJ：IEEE Press，1992：72-84.

［4］Halevi S，Krawczyk H.Public-key cryptography and password protocols［J］.ACM Trans on Information and System Security，1999，2（3）：230-268.

［5］Katz J，Ostrovsky R，Yung M.Efficient and secure authenticated key exchange using weak passwords［J］.Journal of the ACM，2009，57（1）：1-39.

［6］Xu Jing，Zhu Wentao，F(xiàn)eng Dengfuo.An improved smart card based password authentication scheme with provable security［J］.Computer Standards amp; Interfaces，2009，31（4）：723-728.

［7］Huang Xinyi，Xiang Yang，Chonka A，et al.A generic framework for three-factor authentication：preserving security and privacy in distributed systems［J］.IEEE Trans on Parallel and Distributed Systems，2010，22（8）：1390-1397.

［8］Mandal S，Bera B，Sutrala A K，et al.Certificateless-signcryption-based three-factor user access control scheme for IoT environment［J］.IEEE Internet of Things Journal，2020，7（4）：3184-3197.

［9］Wu Zhengyu，Lee Y C，Lai F，et al.A secure authentication scheme for telecare medicine information systems［J］.Journal of Medical Systems，2012，36（3）：1529-1535.

［10］He Debiao，Chen Jianhua，Zhang Rui.A more secure authentication scheme for telecare medicine information systems［J］.Journal of Medical Systems，2012，36（3）：1989-1995.

［11］Wei Jianghong，Hu Xuexian，Liu Wenfeng.An improved authentication scheme for telecare medicine information systems［J］.Journal of Medical Systems，2012，36（6）：3597-3604.

［12］Zhu Zhi’an.An efficient authentication scheme for telecare medicine information systems［J］.Journal of Medical Systems，2012，36（6）：3833-3838.

［13］Wang Xingyuan，Zhao Jianfeng.An improved key agreement protocol based on chaos［J］.Communications in Nonlinear Science and Numerical Simulation，2010，15（12）：4052-4057.

［14］Yoon E J，Jeon I S.An efficient and secure Diffie-Hellman key agreement protocol based on Chebyshev chaotic map［J］.Communications in Nonlinear Science and Numerical Simulation，2011，16（6）：2383-2389.

［15］An Y.Security analysis and enhancements of an effective biometric-based remote user authentication scheme using smart cards［J］.Journal of Biomedicine and Biotechnology，2012，2012：article ID 519723.

［16］Khan M K，Kumari S.An improved biometrics-based remote user authentication scheme with user anonymity［J］.BioMed Research International，2013，2013：article ID 491289.

［17］Wen Fengtong，Susilo W，Yang Guomin.Analysis and improvement on a biometric-based remote user authentication scheme using smart cards［J］.Wireless Personal Communications，2015，80（4）：1747-1760.

［18］Lee T F.Enhancing the security of password authenticated key agreement protocols based on chaotic maps［J］.Information Sciences，2015，290：63-71.

［19］Cheng T F，Chang" C C，Lo Y Y.Smart card-based password authenticated key agreement using chaotic maps［J］.International Journal of Communication Systems，2017，30（12）：e3267.

［20］Irshad A，Sher M，Chaudhary S A，et al.An efficient and anonymous multi-server authenticated key agreement based on chaotic map without engaging registration centre［J］.The Journal of Supercompu-ting，2016，72（4）：1623-1644.

［21］Lee T F，Diao Y Y，Hsieh Y P.A ticket-based multi-server biometric authentication scheme using extended chaotic maps for telecare medical information systems［J］.Multimedia Tools and Applications，2019，78（22）：31649-31672.

［22］Chatterjee S，Roy S，Das A K，et al.Secure biometric-based authentication scheme using Chebyshev chaotic map for multi-server environment［J］.IEEE Trans on Dependable and Secure Computing，2016，15（5）：824-839.

［23］Li Xiong，Niu Jianwei，Kumari S，et al.A novel chaotic maps-based user authentication and key agreement protocol for multi-server environments with provable security［J］.Wireless Personal Communications，2016，89（2）：569-597.

［24］Irshad A，Chaudhry S A，Qi Xie，et al.An enhanced and provably secure chaotic map-based authenticated key agreement in multi-server architecture［J］.Arabian Journal for Science and Engineering，2018，43（2）：811-828.

［25］Bellare M，Canetti R，Krawczyk H.A modular approach to the design and analysis of authentication and key exchange protocols［C］//Proc of the 30th Annual ACM Symposium on Theory of Computing.1998：419-428.

［26］Canetti R，Krawczyk H.Analysis of key-exchange protocols and their use for building secure channels［C］//Proc of International Confe-rence on the Theory and Applications of Cryptographic Techniques.Berlin：Springer，2001：453-474.

［27］Wu Liufei，Zhang Yuqing，Wang Fengjiao.A new provably secure authentication and key agreement protocol for SIP using ECC［J］.Computer Standards amp; Interfaces，2009，31（2）：286-291.

［28］Dolev D，Yao A.On the security of public key protocols［J］.IEEE Trans on Information Theory，1983，29（2）：198-208.

［29］Veyrat-Charvillon N，Standaert F X.Generic side-channel distingui-shers：improvements and limitations［C］//Proc of Annual Cryptology Conference.Berlin：Springer，2011：354-372.

［30］Wang Ding，He Debiao，Wang Ping，et al.Anonymous two-factor authentication in distributed systems：certain goals are beyond attainment［J］.IEEE Trans on Dependable and Secure Computing，2014，12（4）：428-442.

［31］Zhang Linhua.Cryptanalysis of the public key encryption based on multiple chaotic systems［J］.Chaos，Solitons amp; Fractals，2008，37（3）：669-674.

［32］Dodis Y，Reyzin L，Smith A.Fuzzy extractors：how to generate strong keys from biometrics and other noisy data［C］//Proc of International Conference on the Theory and Applications of Cryptographic Techniques.Berlin：Springer，2004：523-540.

［33］Burrows M，Abadi M，Needham R M.A logic of authentication［J］.ACM Trans on Computer Systems，1990，8（1）：18-36.

［34］Burrows J H.FIPS PUB 180-3，Secure hash standard［S］.［S.l.］：National Institute of Standards and Technology，1995.

［35］Huang Xinyi，Xiang Yang，Chonka A，et al.A generic framework for three-factor authentication：preserving security and privacy in distributed systems［J］.IEEE Trans on Parallel amp; Distributed Systems，2011，22（8）：1390-1397.