一种改进的远程动态口令认证协议.pdf

ISSN 1009-3044 E—mail：jsh@dnzs．net．cn ComputerKnowledgeandTechnology电脑知识与技术 http：／／www．dnzs．net．cn 一 种改进的远程动态口令认证协议 王耀民，,熙ab刚强，曾永健，丘文峰，何文广 (1．广东医学院信息工程学院，广东东莞 523808；2．广东‘食品药品职业学院，广东广州510520) 摘要：口令认证是身份验证领域的研究热点，最近几年很多基于口令的认证协议被提 出来。该文对一种远程动态 口令认 证协议进行 了安全分析 ，指出了这种认证协议存在无法抵抗冒充攻击和 中间人攻击的安全漏洞 对其进行了改进，提出 一 种命名为sH—Key的远程动态口令认证协议 ．通过安全分析证明这种协议能够为用户提供安全，高效的远程动态口令 认 证 。 关键词 ：口令认证 ：动态：远程：信息安全 中图分类号：TP393 文献标识码：A 文章编号：1009-3044(2015)10-0049-03 AnAttackingandImprovementonaRemoteDynamicPasswordAuthentication WANGYao—rain，XIONGGang～qiang，ZENGYong—jian，QIUWen—feng~,HEWeng—guang。 f1．SchoolofInformationEngineering，GuangdongMedicalCollege，Dongguan523808，China；2．GuangdongFoodandDrugVoca— tionalCollege，Guangzhou510520，China) Abstract：Passwordauthentication isahotresearchfieldofidentityvelifi‘cation，inrecentyearsmanyauthenticationprotocnl basedonpasswnrdisproposed．Thispaperanalysesthesafetyofaremotedynamicpasswordauthenticationprotocol，anditispoint— edoutthattheauthenticationprotocolvulnerabilitiescannotresisttheimpersonationattackandthemaninthemiddleattack．Itis poseaprotocolnamedSH—Keyremotedynamicpasswordauthentication．ThrouIghthesecurityanalysis showsthatthisprotocolcanprovideasafe，efficientremotedynamicpasswordauthentication． Keywords：passwordauthentication；dynamic；distance；informationsecurity 随着计算机网络和信息技术的发展，越来越多的人通过网 种认证系统下用户通过使用hash数等手段使 自己每次登录的 络来访问远程服务器进行工作和学习。随之而来的网络安全 口令不同。可以有效 的抵抗重放，离线字典等攻击。1991年， 问题也就变得越来越重要，其中身份认证问题是远程服务当中 贝尔通信研究中~,(Bellcore)首次研制出厂基于一次 口令思想 需要首先解决的问题。口令认证作为一种简单实用的认证方 的身份认证系统SK／EY。它于 1995年为IETF所接受，成为 式被广泛应用于很多的认证领域。传统的口令认证方式分为 RFC1760。这是 一种基于Hash函数的一次性口令生成疗梨 。 两个阶段 ：第一注册阶段，用户向服务器提出注册申请，服务器 但是这种方案存在以下缺点I ：1)用户只能认证N次 ，使用完 接到用户的注册申请后要求用户输入其用户名和密码。用户 后必须重新注册