智能卡用户认证方案的安全性分析.docxVIP

? ? 智能卡用户认证方案的安全性分析 ? ? 殷小虹 (江西传媒职业学院，江西 南昌 330224) 0 引言 远程服务器需要通过公共信道对用户进行认证。在以前的大多数双因素方案中，用户的身份证明在公共信道上以明文形式传输。因此，它们不能提供用户隐私保护。由于用户的身份信息在所有事务会话中是静态的，攻击者可以将不同的登录会话链接在一起跟踪用户的活动，这导致用户部分信息的泄漏。为了解决这些问题，Das等[1]提出了一种基于动态ID的远程用户认证方案，这种基于动态身份的认证技术可以提供用户匿名性。Kim等[2]的方案容易受到智能卡丢失攻击、被盗验证者攻击和特权内部人攻击。此外，这种方案也不具备完美的前向保密性和用户匿名性。 1 其他研究者方案评述 笔者简要描述Kim等提出的双因素方案。Kim等的方案由5个阶段组成，即注册阶段、登录阶段、认证和密钥交换阶段、相互认证和密钥确认阶段以及离线口令修改阶段。Kim等的方案使用的符号和缩写如表1所示。 表1 NOTATINS 1.1 注册阶段 当一个用户Ui想要向服务器S注册时，Ui执行以下操作:第一步。Ui，→S:{IDi,pwi}。用户Ui选择一个身份IDi和密码pwi,然后Ui通过安全通道将{IDi，pwi}提交给服务器S。第二步。S→Ui:智能卡。在接收到消息{IDi,pwi}，服务器S计算ni=h(IDi∣∣pwi)，mi=ni⊕x,Ni=h(IDi)⊕h(pwi)⊕h(x)⊕h(mi)。参数ni由服务器S.S存储{h(.),Ni,ni}，并通过安全通道将智能卡发送给Ui。 1.2 登录阶段 当用户Ui想要访问服务器S，Ui将他的智能卡插入读卡器并输入他的身份IDi、密码pwi。将执行以下操作。第一步。智能卡计算动态身份CIDi，Ai=h(IDi)⊕h(pwi)，B=Ni⊕h(IDi)⊕h(pwi)，CIDi=h(Ai)⊕h(h(ni)⊕Bi⊕h(Ni)⊕T)。第二步。ui→S:{CIDi，T，Ni，ni}。用户U发送登录请求{CIDi,T,Ni,ni}通过公共信道发送到服务器S，其中T是时间戳。 1.3 认证和密钥交换阶段 第一步。当服务器S在时间T′接收到消息{CIDi,T,Ni,Ni}时，S检查时间戳T的有效性。如果T′-T≤ΔT，S在注册列表中搜索nj。第二步。如果ni在注册列表中，服务器S计算mi=ni⊕x,Bi=h(x)⊕h(mi)，Ai=Bi⊕Ni。然后验证等式S是否成立:CIDi⊕h(Ai)=h(h(ni)⊕Bi⊕h(Ni)⊕T)。如果等式成立，S继续下面的步骤。否则，S终止会话。第三步。S→Ui:{KC′，T′}。S计算会话密钥SK=h(Ai∣∣Ti∣∣Bi∣∣T′)和密钥确认消息KC′=h(Bi∣∣SK∣∣T′)。然后S发送响应消息{KC′，T′}给Ui。 1.4 相互认证和密钥确认阶段 第一步。当在时间T″接收到响应消息{KC′，T″)时，用户首先检查时间延迟T″-T′≤ΔT。如果它有效，U将计算会话密钥SK=h(Ai∣∣T∣∣Bi∣∣T′)和密钥确认消息KC=h(Bi∣∣SK∣∣T′)。接下来，用户U检查接收到的kc′是否等于KC。如果不相等，则拒绝。否则，Ui继续。 第二步。Ui→S:{KC，T}。用户计算密钥确认消息KC″=h(Ai∣∣SK∣∣T′)并且将其发送到服务器S。第三步。服务器S计算出KC=h(Ai∣∣SK∣∣T)。然后S检查接收到的KC是否等于KC＂。如果不成立，则拒绝Ui。否则，S接受Ui的请求。 2 对Kim等方案的密码分析 与其他相关方案相比，Kim等的方案具有计算效率高、通信成本低等优点。假设身份可以用32位宽度表示，安全单向散列函数的输出大小是160位，时间戳的大小是32位。在该方案的登录阶段，用户Ui需要发送消息(CIDi，T，Ni，ni)到服务器。它包含160×3+32=512位。在认证和密钥交换阶段，服务器将(KC′，T′)发送回Ui。它的长度是160+32=192位。最后，在相互认证和密钥确认阶段，Ui向服务器发送密钥确认消息。它的长度为192位。因此，此方案通信成本低。此外，Kim等的方案中的登录阶段在智能卡端只需要6次散列运算和6次异或运算。在身份验证和密钥交换阶段，服务器需要8次哈希运算和6次异或运算。在相互认证和密钥确认阶段，该方案需要在智能卡端进行3次哈希运算。该方案保持了智能卡的低计算量特性[3，4]。 2.1 智能卡丢失攻击 Kim的方案支持用户免密码更新。在密码更改阶段，用户仅使用智能卡更改其密码和设置任何新密码，不需要与服务器通信。因此，Kim等的方案实现了用户友好性。但是，由于在更新新密码之前没有验证旧密码的真实性，所以这是一种固有的安全威胁。在真正的双因素应用中，用户确实倾向于让他们的智能卡无