基于智能卡的動(dòng)態(tài)身份認(rèn)證協(xié)議

SC→S：{C3}

(4)收到{C3}后，服務(wù)器計(jì)算C’2=h(TID0，TID1，s′，R’2)并檢驗(yàn)C’2=?C3。若相等，服務(wù)器認(rèn)證用戶成功，并更新TID0為TID1;否則，拒絕用戶的本次登錄請(qǐng)求。

2.4 口令修改階段

當(dāng)用戶想修改口令時(shí)，可以如下更新口令：用戶插入智能卡，輸入舊的口令PW后提示兩次輸入新的口令PWnew，確保新口令的正確。智能卡計(jì)算 y=h(PW||N)，ynew=h(PWnew||N)和vnew=v?堠y?堠ynew=synew后用vnew替換原有的v，這樣口令修改階段完成。

3 新認(rèn)證方案的安全性證明和性能分析

3.1 安全性證明

新協(xié)議給每個(gè)用戶分配動(dòng)態(tài)登錄身份保護(hù)用戶的匿名性，攻擊者想進(jìn)行攻擊必須鎖定目標(biāo)用戶，否則由于每次登錄身份不同，攻擊者的攻擊都是無(wú)效的。故假設(shè)攻擊者已鎖定目標(biāo)用戶，并能成功截獲目標(biāo)用戶與服務(wù)器通信信息。

命題1 新協(xié)議能抵抗DoS攻擊

證明：一般地，用戶用動(dòng)態(tài)身份TIDi登錄，并收到下一次動(dòng)態(tài)身份TIDi+1。但在用戶登錄過(guò)程中遭到DoS攻擊，用戶可以再次利用動(dòng)態(tài)身份 TIDi登錄，因?yàn)樾聟f(xié)議采用三次握手技術(shù)，為確保用戶的動(dòng)態(tài)登錄身份和服務(wù)器儲(chǔ)存的同步，每次只有當(dāng)用戶登錄成功時(shí)，用戶和服務(wù)器才更新動(dòng)態(tài)登錄身份。這樣只要DoS攻擊不是持續(xù)的，用戶一定能登錄到服務(wù)器，而不必每次都要到認(rèn)證中心解開(kāi)賬號(hào)，這種設(shè)計(jì)不會(huì)產(chǎn)生其他的安全問(wèn)題，主要是重放攻擊和冒充攻擊。

命題2 新協(xié)議能抵抗重放攻擊和冒充攻擊

證明：這里有兩種重放攻擊：攻擊者當(dāng)用戶正常登錄時(shí)進(jìn)行重放攻擊;攻擊者根據(jù)鎖定的用戶，先進(jìn)行DoS攻擊迫使用戶重新登錄后進(jìn)行重放攻擊。新協(xié)議采用動(dòng)態(tài)登錄身份，、攻擊者直接重放以前的登錄信息很容易被識(shí)破，假設(shè)攻擊者試著構(gòu)造正確的通信消息進(jìn)行重放攻擊，冒充合法用戶欺騙服務(wù)器，或者冒充服務(wù)器欺騙用戶，也即身份冒充攻擊。

(1)攻擊者在用戶正常登錄時(shí)進(jìn)行重放攻擊。首先假設(shè)攻擊者冒充用戶，試著構(gòu)造{TIDi，R1，C1}和{C3}。

①重放TIDi，R1，構(gòu)造C1，C3。假設(shè)攻擊者根據(jù)鎖定的用戶，在用戶登錄服務(wù)器時(shí)截獲登錄消息{TIDi，R1，C1}，直接從中獲取TIDi 和R1用于隨后重放攻擊，試著構(gòu)造C1，C3。但構(gòu)造C1=h(TIDi，ID，s，R2)，C3=h(TIDi，TIDi+1，s，R2)，攻擊者必須計(jì)算R2=r1Q。攻擊者可能從R1=r1P中計(jì)算隨機(jī)數(shù)r1，但這相當(dāng)于解決ECDLP難題，是很難實(shí)現(xiàn)的;攻擊者可能自己選一個(gè)隨機(jī)數(shù)r計(jì)算出R，進(jìn)而計(jì)算

但要計(jì)算C1，C3，攻擊者還必須計(jì)算s。而s的計(jì)算與用戶的口令PW和服務(wù)器的秘鑰k有關(guān)，是很難獲得的，所以此種攻擊是無(wú)法成功的。

②重放TIDi，R1，C1，構(gòu)造C3。假設(shè)攻擊者在用戶登錄時(shí)截獲第三輪消息{C3}，試著構(gòu)造C3。但是由上面分析，C3中含有s和R2是很難得到的，而且在新協(xié)議中用戶只有通過(guò)與服務(wù)器的第三輪握手后才能被認(rèn)證成功，所以此種攻擊仍無(wú)法實(shí)現(xiàn)。

攻擊者冒充服務(wù)器，重放消息{TIDi+1，C2}。

重放TIDi+1，構(gòu)造C2。假設(shè)攻擊者在服務(wù)器向用戶發(fā)送消息時(shí)截獲并{TIDi+1，C2}，重放TIDi+1，構(gòu)造C2。攻擊者構(gòu)造正確的 C2=h(TIDi+1，s′)，必須獲得s′，但是這些值都與服務(wù)器的秘鑰k有關(guān)，攻擊者是很難得到的，所以此種攻擊也是不可能的。

(2)先DoS攻擊后重放攻擊。此種情況由于用戶重新輸入身份和口令，只是發(fā)送同樣的動(dòng)態(tài)身份，根據(jù)上面的分析，與直接進(jìn)行重放攻擊類似，所以此攻擊仍是無(wú)法實(shí)現(xiàn)。此外，通過(guò)上面分析，只有合法用戶才能計(jì)算正確的信息讓服務(wù)器認(rèn)證，只有真正的服務(wù)器才能計(jì)算正確的消息通過(guò)用戶的認(rèn)證，所以新協(xié)議提供雙向認(rèn)證性。

命題3 新協(xié)議能抵抗口令猜測(cè)攻擊

證明：下面分別從用戶端和服務(wù)器端來(lái)證明。

(2)假設(shè)此處的攻擊者是特權(quán)內(nèi)部攻擊者，即來(lái)自系統(tǒng)管理人員，并且從用戶開(kāi)始注冊(cè)就鎖定目標(biāo)用戶，記錄用戶遞交信息ID，y=h(PW||N)接下來(lái)進(jìn)行口令猜測(cè)攻擊。但是由于y中含有高熵隨機(jī)數(shù)N，攻擊者仍無(wú)法實(shí)行口令猜測(cè)攻擊。另外，新協(xié)議在服務(wù)器端保存用戶的動(dòng)態(tài)登身份TIDi和真實(shí)身份 ID，而TIDi只是用戶身份的一個(gè)代表，由系統(tǒng)隨機(jī)分配;用戶的真實(shí)身份ID，主要是為了服務(wù)器辨別不同的用戶，這兩個(gè)值在協(xié)議中都不是敏感的數(shù)據(jù)，所以新協(xié)議也能抵抗被盜校驗(yàn)子攻擊。

3.2 性能分析

各種方案計(jì)算代價(jià)和安全性比較分別如表1和表2所示。從表1看，與Chen等方案比較，新方案需要橢圓曲線上點(diǎn)乘運(yùn)算并不占優(yōu);但從表2看，Chen 等方案的安全性明顯低，而且新方案建立在橢圓曲線密碼機(jī)制上，與傳統(tǒng)的公鑰密碼體制(如RSA)比較具有很多優(yōu)勢(shì)，例如256位的ECC與1024位的 RSA具有相同的安全性[10]，所以在同安全條件下，新方案在總的性能上占優(yōu)。從表1看，與唐-皮等方案(唐宏斌等方案和皮蘭等方案)比較，新方案在登錄認(rèn)證階段多2個(gè)哈希運(yùn)算。但是唐宏斌等方案在用戶登錄前需要一個(gè)預(yù)計(jì)算階段，皮蘭等方案在登錄認(rèn)證階段需要與服務(wù)器進(jìn)行四次握手通信，而本方案不需要預(yù)計(jì)算階段，登錄認(rèn)證只需三次握手通信;而且唐-皮等方案進(jìn)行口令修改時(shí)，還要與服務(wù)器進(jìn)行四次通信，而新協(xié)議用戶自己就能完成，計(jì)算代價(jià)明顯減小。從表2 看，新協(xié)議不僅不需要協(xié)調(diào)時(shí)鐘，降低成本代價(jià)，而且具有匿名性以及抵抗強(qiáng)安全性問(wèn)題——DoS攻擊，充分確保了認(rèn)證協(xié)議的有效性。所以新協(xié)議總的性能仍占優(yōu)。

4 結(jié)論

本文提出一種基于智能卡和動(dòng)態(tài)身份的遠(yuǎn)程用戶認(rèn)證協(xié)議，采用動(dòng)態(tài)登錄身份來(lái)保護(hù)用戶的匿名性，避免重放攻擊，通過(guò)延長(zhǎng)用戶存儲(chǔ)動(dòng)態(tài)身份和三次握手技術(shù)抗擊DoS攻擊，同時(shí)保證協(xié)議性能的高效性，擴(kuò)大了協(xié)議的使用范圍，例如移動(dòng)設(shè)備云環(huán)境下的用戶登錄認(rèn)證。