◆溫 翔 常 競(jìng)

?

一種改進(jìn)的智能卡多服務(wù)器身份認(rèn)證方案

◆溫 翔1常 競(jìng)2

(1.四川省計(jì)算機(jī)研究院 四川 610041；2.四川財(cái)經(jīng)職業(yè)學(xué)院電子商務(wù)系 四川 610101)

智能卡；身份認(rèn)證；密鑰協(xié)商；多服務(wù)器；時(shí)間戳；中間人攻擊

0 引言

隨著互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)絡(luò)安全越來(lái)越受到人們的重視。在網(wǎng)絡(luò)安全領(lǐng)域，確保安全的身份認(rèn)證一直是研究的熱點(diǎn)。1981年，Lamport等人提出了一個(gè)在非安全信道上基于單向哈希函數(shù)使用口令表的遠(yuǎn)程身份認(rèn)證方案，該方案首次采用哈希函數(shù)，提高了系統(tǒng)安全性，但也存在口令表受到攻擊的安全風(fēng)險(xiǎn)。之后出現(xiàn)了許多基于單向哈希函數(shù)的改進(jìn)方案。2008年，Tsai提出了基于單向哈希函數(shù)且無(wú)需存儲(chǔ)口令表的高效多服務(wù)器認(rèn)證系統(tǒng)，但此方案是基于靜態(tài)身份認(rèn)證協(xié)議，容易泄露用戶(hù)身份且無(wú)法抵抗服務(wù)器假冒攻擊。為了加強(qiáng)對(duì)用戶(hù)信息的保護(hù)，Das等人提出了基于動(dòng)態(tài)身份的智能卡用戶(hù)身份認(rèn)證方案，實(shí)現(xiàn)了用戶(hù)的匿名身份認(rèn)證。

以上方案都是基于單服務(wù)器環(huán)境下提出的，用戶(hù)需要在每個(gè)服務(wù)器進(jìn)行重復(fù)注冊(cè)，已經(jīng)不能適應(yīng)當(dāng)前主流的多服務(wù)器環(huán)境下多業(yè)務(wù)的處理要求。Chang等人在2004年提出了一個(gè)多服務(wù)器的認(rèn)證方案，該方案基于對(duì)稱(chēng)密碼體制，不能抵抗內(nèi)部攻擊，于是此后研究人員提出了更多的多服務(wù)器身份認(rèn)證方案，特別是結(jié)合人體生物特征，Chuang等人在2014年提出了一個(gè)匿名的基于智能卡的生物特征值與口令相結(jié)合的多服務(wù)器環(huán)境下的密鑰認(rèn)證方案，但是2016年Wang等人指出Chuang的方案不能抵抗重放攻擊、偽裝攻擊、智能卡丟失等攻擊，并提出新的方案。最近Liu等人指出Wang的方案不能抵御惡意服務(wù)器攻擊、中間人攻擊、偽造攻擊和重放攻擊等，并提出了改進(jìn)方案。

本文簡(jiǎn)要回顧了Liu等人的方案，詳細(xì)分析了該方案受到偽造攻擊、中間人攻擊和重傳攻擊，在此基礎(chǔ)之上，提出了可行的改進(jìn)方案。

1 Liu等人的身份認(rèn)證方案

1.1注冊(cè)階段

（1）服務(wù)器注冊(cè)

（2）用戶(hù)注冊(cè)

1.2登錄階段

1.3認(rèn)證與密鑰協(xié)商階段

（1）服務(wù)器認(rèn)證

（2）用戶(hù)身份認(rèn)證

（3）密鑰協(xié)商

1.4口令修改階段

2 Liu等人方案的安全性分析

在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中，傳輸信道不是絕對(duì)安全的，傳輸?shù)男畔?huì)發(fā)生被攔截、竊聽(tīng)和修改的攻擊情況，同時(shí)也可能出現(xiàn)通過(guò)某種方法盜取智能卡里的信息?；谝陨霞僭O(shè)，Liu等人方案將受到以下安全攻擊。

2.1偽造攻擊

2.2重放攻擊和中間人攻擊

3 改進(jìn)方案

根據(jù)對(duì)Liu等人方案的安全性分析，可以得出該方案在認(rèn)證方面的幾個(gè)問(wèn)題：

最后，在整個(gè)認(rèn)證過(guò)程中，只要有攻擊者截獲了雙方的認(rèn)證信息，就能實(shí)現(xiàn)重放和中間人攻擊，該方案沒(méi)有體現(xiàn)認(rèn)證的實(shí)時(shí)性。

3.1注冊(cè)階段

（1）服務(wù)器注冊(cè)

（2）用戶(hù)注冊(cè)

3.2登錄階段

3.3認(rèn)證與密鑰協(xié)商階段

（1）服務(wù)器認(rèn)證

（2）用戶(hù)身份認(rèn)證

（3）密鑰協(xié)商

3.4口令修改階段

4 安全性分析

4.1抵抗智能卡信息盜取攻擊

4.2抵抗偽造攻擊

4.3抵抗中間人攻擊

4.4抵抗重放攻擊

5 結(jié)束語(yǔ)

[1]LamportL.Password Authentication with Insecure Communication[J].Comm.of ACM，1981.

[2]Shimizu A.A Dynamic Password Authentication Method by One-way Function[J].IEICE Trans.on Information and System，1990.

[3]SandirigamaM,ShimizuA,Noda M T,Simple and Secure Password Authentication Protocol[J].IEICE Trans.on Comm，2000.

[4]Yuan D,Fan P Z.A Secure Dynamic Password Authentication Scheme[J].四川大學(xué)學(xué)報(bào)(自然科學(xué)版)，2002.

[5]Fan C L,Chan Y C,ZhangZhikai.Robust remote authentication scheme with smart cards[J].Computer& Security，2005.

[6]Tsai J L. Efficient Multi-server Authentication Scheme Based on One-way Hash Function Without Verification Table [J]. Computer & Security，2008.

[7]Wang R.-C., Juang W.-S., Lei C.-L. User authentication scheme with privacy-preservation for multi-server environment. IEEE Communications Letters，2009.

[8]Das M L,Saxnan A,Gulati V P. A dynamic ID-based remote user authentication scheme[J]. IEEE Trans on Consumer Electronics，2004.

[9]Chang C,LeeJ.An efficient and secure multi server password authentication scheme using smartcards[C]//Procof the 15th IEEE International Conference on Network Based Information Systems，2012.

[10]Chuang M,Chen M .An anonymous multi-server authentication key agreement scheme based on trust computing using smart cards and biometrics [J]. Expert Systems with Applications，2014.

[11]王瑞兵, 陳建華, 張媛媛.一個(gè)匿名的基于生物特征的多服務(wù)器的密鑰認(rèn)證協(xié)議方案研究[J].計(jì)算機(jī)應(yīng)用研究, 2016.

[12]劉鑫玥，潘巍，王新艷，王月蓮.一種更安全的基于智能卡的多服務(wù)器身份認(rèn)證方案研究[J].計(jì)算機(jī)應(yīng)用研究，2017.

四川省科技廳科技支撐計(jì)劃項(xiàng)目(2016GZ0427)。