一种增强的基于动态ID远程用户身份认证方案.docVIP

一种增强的基于动态ID远程用户身份认证方案 杨晓辉 (曲阜师范大学 信息技术与传播学院，山东 日照 276826) 摘 要：远程用户身份认证方案用于检验一个远程用户登录并访问服务器请求的合法性。对Wang提出的基于动态ID远程用户身份认证方案进行了回顾和分析，指出了Wang方案中存在着匿名性缺陷。针对此缺陷，在保留原方案优点的基础上提出了一种增强的基于动态ID远程用户身份认证方案，并通过对比分析说明了改进方案的安全性和有效性。 关键词：口令；动态ID；用户身份认证；智能卡；随机数 中图分类号：TN918.1 文献标识码：A An Enhanced Dynamic ID-based Remote User Authentication Scheme Yang Xiao-hui，Cui Xin-chun，Cao Zhen-liang，Hu Zi-qiang (Information Technology and Communication College, Qufu Normal University, Rizhao 276826,China) Abstract: Remote user authentication schemes were used to verify the legitimacy of remote users’ login request. The dynamic ID-based remote user authentication schemes，which Wang et al.’s proposed, were reviewed. We pointed out that the scheme of Wang et al.’s could not protect user’s anonymity. Therefore, an enhanced dynamic ID-based remote user authentication scheme which kept the merits of original scheme was put forward. Security analysis indicates that the improved scheme is more secure and efficient . Key words: password; dynamic ID; user authentication; smart cards; nonce 1 引言 随着全球经济联系日益紧密和信息技术不断发展，在分布式网络中，如何准确认证一个人的身份，保障数据安全，保护用户隐私，是信息化时代亟待解决的一大关键问题。远程用户身份认证方案用于检验一个远程用户登录并访问服务器请求的合法性。口令认证是现实生活中最简单，也是最常用的一种远程身份认证方法。口令容易记忆，但由于其低熵性而导致基于口令的认证方案很容易受到攻击，一旦口令表被窃取或修改，整个认证系统将会受到影响。文献[1]介绍了一种基于智能卡的远程密钥认证方案，随后研究人员在此基础上提出了一些更加安全、有效的远程认证方案[2-5]。然而，这些方案中用户的登录身份（ID）都是静态的，而静态ID容易在登录过程中向攻击者泄漏部分用户的登录信息。解决问题的办法是在每次登录时使用动态ID。 2004 年，文献[6]提出了一种使用智能卡的动态ID远程认证方案，称此方案能抵抗重放、假冒、猜测、内部等攻击。文献[7]发现文献[6]存在不能抗猜测攻击和提供双向认证的缺陷，并提出了改进方案。文献[8]指出文献[7]存在不能抗偷窃攻击的缺陷，并提出了改进方案。文献[9]给出了一种改进的、基于随机数和HASH函数的远程用户认证和密钥协商协议。文献[10]提出了一种更加安全有效的基于动态ID的远程用户身份认证方案。但此后,文献[11]的研究表明文献[10]所提出的方案存在匿名性缺陷。因此，针对保护用户匿名的要求，本文在文献[10]基础上提出了一种增强的基于动态ID远程用户身份认证方案。 本文结构安排如下，第二节回顾了文献[10]中Wang等人提出的方案，第3节指出了Wang方案中存在的缺陷，第4节提出了一种增强的动态ID远程用户身份认证方案，第5节分析了改进方案的安全属性和性能，第6节是结束语。 2 Wang方案回顾 Wang等人提出的方案一共分为4个阶段：注册阶段、登录阶段、认证阶段和口令更改阶段。文中需要用到的符号如表1所示： 表1 符号意义 符号 语义 Ui S IDi PWi h(﹒) x y ⊕ || 第i个用户 远程服务器 用户i的身份 用户i的口令 单向哈希函数 服务器的主密钥 服务器的秘密信息 异或运算符 字符串连接操作 2.1 注