TDSCDMA系统中新型SAS认证方案研究与设计.docVIP

TDSCDMA系统中新型SAS认证方案研究与设计 　　【摘要】在对传统SAS认证方案安全性进行分析的基础上,文章提出了一种新型的SAS一次性口令认证方案,给出了其注册和认证过程。新方案可以有效抵御冒充攻击,更加安全高效,非常适合应用在我国的TD-SCDMA移动通信系统中。 　　【关键词】SAS认证 一次性口令 TD-SCDMA 　　 　　身份认证是计算机网络安全的第一道关卡,在有线网络和无线网络环境当中都扮演着重要的角色。目前我国的TD-SCDMA移动通信系统[1]已经投入使用,TD-SCDMA是一种优秀的移动通信技术,但还不够成熟,在身份认证方面迫切需要使用一种安全高效的认证协议。 　　在计算机通信领域,目前应用较为广泛的身份认证形式主要有两种,一种是证书认证[2],另一种是口令认证[3]。证书认证需要权威的第三方证书授权中心颁发证书,由于我国完善的认证授权中心比较少,并且程序繁琐,成本高,所以在TD-SCDMA中使用证书认证方式不是最有效的解决方案。口令认证是一种轻量级的认证方案,分为静态口令[4]和一次性口令(OTP,One-Time Password)[5,6]两种。静态口令由于存在多种安全问题如今已不再使用,而OTP方式简单高效、易于部署,在TD-SCDMA移动通信系统中应用具有一定的可行性。 　　SAS(Simple And Secure)认证方案[7]是OTP认证方案中的一种。本文分析讨论了SAS认证方案的安全缺陷,提出了一种安全度更高的新型SAS认证方案。新方案可以更有效地保证客户端与服务器端的双向认证,能够实现会话密钥的协商;并且每次认证所产生的会话密钥都不相同,保证了会话密钥的新鲜性。 　　 　　1 传统SAS方案的安全性分析 　　 　　SAS方案安全性较高并且性能优秀,客户端和服务器在认证过程中传输的都是经过加密运算后的认证数据;并且在整个认证流程中生成认证数据时客户端和服务器端分别只需要做四次和两次Hash运算,比一般的OTP认证方案计算量小。所以此种方案对系统资源的要求较低,简单且安全。 　　但是SAS方案仍有缺陷,此种方案不能防御冒充攻击。原因是SAS方案虽然实现了对服务器端的认证,但却是在最后阶段进行的;并且用户的认证信息在计算完成后是在信道中一次传输完成的,这样攻击者就可以伪装成服务器与合法用户进行通信,在获取客户端传送的认证信息后迫使合法用户离线,然后使用得到的有效认证信息来冒充合法用户登录服务器。另外,一个完善的认证方案应能够进行通信密钥的协商,而SAS方案无法实现此功能。 　　 　　2 新型SAS方案设计 　　 　　2.1 符号及标识 　　U:客户端;S:服务器;ID:用户的身份标识;PW:用户口令;+:加法运算符;?:异或运算符;H(x):Hash函数;i:第i次认证;N:表示随机数;Ni:第i次认证的随机数。 　　2.2 新方案注册过程 　　(1)用户输入ID和PW,生成一个伪随机数N0,并用随机数和U输入的数据计算R0=H(ID,PW?N0),再将ID和R0提交给服务器S; 　　(2)S为U分配一个共享密钥KUS,并将KUS交给U; 　　(3)U与S协商一个大素数n和一个整数g,U用USB key保存与S的共享公钥KUS、n、g、N0; 　　(4)S建立记录,存储U的ID,以及认证信息R0、KUS、n、g。 　　2.3 新方案认证过程 　　U第i次请求认证登录服务器,U所拥有的认证数据包括其ID、PW和Ni,而S保存的认证数据是Ri。U第i次登录时,S对U进行身份认证的过程如图1所示。 　　(1)客户端进行登录过程时,首先U生成一个随机数XUn,并计算: 　　YU=gXU mod n (1) 　　然后U用共享密钥KUS加密YU得到KUS(YU),U发送ID、KUS(YU)给S。U保密存放随机数XU。 　　(2)S收到U发送的消息后查找ID所对应的共享密钥,再用此共享密钥解密KUS(YU)而得到YU。S再生成一个随机数XSn,并计算: 　　YS=gXSmodn (2) 　　S用共享密钥KUS加密YS得到KUS(YS),并计算: 　　R=YS?YU 　　S保密存放随机数XS。S发送R、KUS(YS)给U。 　　(3)U接收到S传送的数据后用共享密钥解密得到YS,再用YS与接收数据R做异或运算,将得到的数据与YU比较,不相等则对S认证失败,停止登录过程。相等则计算: 　　Ri=H(ID,PW?Ni) 　　同时生成一个随机数Ni+1并保存。U再使用Ni+1计算: 　　Ri+1=H(ID,PW?Ni+1) 　　Mi+1=H(ID,Ri+1) 　　其中Ri+1作为下一次的认证数据。 　　用数据Ri、Ri+1和Mi+1计