基于口令与智能卡的可证安全认证密钥协商协议.pdfVIP

第２６卷第３期 江苏科技大学学报（自然科学版） Ｖｏｌ．２６Ｎｏ．３ ２０１２年６月 ＪｏｕｒｎａｌｏｆＪｉａｎｇｓｕＵｎｉｖｅｒｓｉｔｙｏｆＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙ（ＮａｔｕｒａｌＳｃｉｅｎｃｅＥｄｉｔｉｏｎ） Ｊｕｎ．２０１２ 基于口令与智能卡的可证安全认证密钥协商协议 １ １，２ 杨臖涵 ，曹天杰 （１．中国矿业大学 计算机学院，江苏 徐州２２１１１６） （２．中科院研究生院信息安全国家重点实验室，北京 １０００３９） 摘　要：针对ＬｅｅＹａｎｇＷｏｎ提出的双因子认证协议，发现原协议存在离线字典攻击，用户假冒攻击且缺少密钥协商，因此 对原协议进行了改进，并在形式化模型下证明了新协议的安全性．证明结果显示，新协议克服了原协议存在的安全漏洞，保 留了原方案的安全特性． 关键词：离线字典攻击；用户假冒攻击；双因子安全；双向认证 中图分类号：ＴＰ３０９　　　　　文献标志码：Ａ　　　　　文章编号：１６７３－４８０７（２０１２）０３－０２８２－０６ Ｐｒｏｖａｂｌｙｓｅｃｕｒｅｐａｓｓｗｏｒｄａｕｔｈｅｎｔｉｃａｔｉｏｎａｎｄｋｅｙｅｘｃｈａｎｇｅ ｐｒｏｔｏｃｏｌｕｓｉｎｇｓｍａｒｔｃａｒｄ １ １，２ ＹａｎｇＪｕｎｈａｎ，ＣａｏＴｉａｎｊｉｅ （１．ＳｃｈｏｏｌｏｆＣｏｍｐｕｔｅｒ，ＣｈｉｎａＵｎｉｖｅｒｓｉｔｙｏｆＭｉｎｉｎｇａｎｄＴｅｃｈｎｏｌｏｇｙ，ＸｕｚｈｏｕＪｉａｎｇｓｕ２２１１１６，Ｃｈｉｎａ） （２．ＳｔａｔｅＫｅｙＬａｂｏｒａｔｏｒｙｏｆＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ，ＧｒａｄｕａｔｅＳｃｈｏｏｌｏｆｔｈｅＣｈｉｎｅｓｅＡｃａｄｅｍｙｏｆＳｃｉｅｎｃｅｓ，Ｂｅｉｊｉｎｇ１０００３９，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ：ＴｈｅａｕｔｈｏｒｓｆｉｎｄｔｈｅｐａｓｓｗｏｒｄａｕｔｈｅｎｔｉｃａｔｉｏｎｐｒｏｔｏｃｏｌｕｓｉｎｇｓｍａｒｔｃａｒｄｐｒｏｐｏｓｅｄｂｙＬｅｅｅｔａｌ．ｓｕｆｆｅｒｓ ｆｒｏｍｏｆｆｌｉｎｅｄｉｃｔｉｏｎａｒｙａｔｔａｃｋ，ｕｓｅｒｉｍｐｅｒｓｏｎａｔｉｏｎａｔｔａｃｋａｎｄｌａｃｋｓｏｆｋｅｙｅｘｃｈａｎｇｅ．Ｔｏｓｏｌｖｅｔｈｅｓｅｐｒｏｂｌｅｍｓ，ａｎ ｉｍｐｒｏｖｅｄｓｃｈｅｍｅｉｓｐｕｔｆｏｒｗａｒｄａｎｄｔｈｅｓｅｃｕｒｉｔｙｏｆｔｈｅｎｏｖｅｌｐｒｏｔｏｃｏｌｉｓｐｒｏｖｅｄｕｓｉｎｇｔｈｅｆｏｒｍａｌｓｅｃｕｒｉｔｙｍｏｄｅｌ． Ｔｈｅｒｅｓｕｌｔｓｈｏｗｓｔｈａｔｔｈｅｎｏｖｅｌｐｒｏｔｏｃｏｌｃａｎｎｏｔｏｎｌｙｃｏｎｑｕｅｒｔｈｅｓｅｃｕｒｉｔｙｐｒｏｂｌｅｍｏｆｔｈｅｏｒｉｇｉｎａｌｐｒｏｔｏｃｏｌｂｕｔａｌｓｏ ｒｅｔａｉｎａｌｌｓｅｃｕｒｉｔｙｃｈａｒａｃｔｅｒｉｓｔｉｃｓｏｆｔｈｅｏｒｉｇｉｎａｌｐｒｏｔｏｃｏｌ． Ｋｅｙｗｏｒｄｓ：ｏｆｆｌｉｎｅｄｉｃｔｉｏｎａｒｙａｔｔａｃｋ；ｕｓｅｒｉｍｐｅｒｓｏｎａｔｉｏｎａｔｔａｃｋ；ｔｗｏｆａｃｔｏｒｓｅｃｕｒｉｔｙ；ｍｕｔｕａｌａｕｔｈｅｎｔｉｃａｔｉｏｎ 机密信息［４－５］ ［６］ 　　基于口令的认证是一种常见的远程身份认证 ，但不可同时得到口令和智能卡 ． 方法，但身份窃贼通常利用键盘窃听、社会工程、肩 文献［７］提出了一个远程用户身份认证协议． 窥和垃圾搜索等攻击致使用户口令泄露，基于单一 该协议优点为： 服务器端不需存储验证用户合法 ① 口令的认证已不能满足安全性要求高的在线应 性的口令表； 用户可以自由的选择和更改口令．