基于單向哈希函數的遠程口令認證方案

摘要:首先分析了Wu－Chieu認證方案和Lee－Lin－Chang認證方案存在的安全缺陷;然后提出了一種基于單向哈希函數和Diffie－Hellman密鑰交換協議的遠程口令認證方案。該認證方案不僅修正了上述兩種認證方案存在的安全缺陷，而且實現了用戶與遠程系統之間的雙向認證。由于該認證方案不要求用戶與遠程系統之間維護時間同步機制，更適用于大規模分布式網絡環境。

關鍵詞:認證; 口令; 智能卡

中圖分類號:TP391.1文獻標志碼:A

文章編號:1001－3695(2008)02－0512－04

對于由不可信網絡實現遠程訪問的應用系統來說，用戶認證是至關重要的一種安全服務。遠程口令認證方案通常被用于實現這種安全服務。口令是用戶與遠程系統共享的秘密值。用戶只有在知道口令的條件下，才能創建并發送一條合法登錄消息給遠程系統以獲得訪問權。與此同時，遠程系統也使用這一口令來驗證登錄消息的合法性，即實現用戶認證。ISO10202標準要求金融交易系統使用智能卡實現遠程口令認證方案[1]。

1981年，Lamport[2]首次提出遠程口令認證方案。該方案使用一張口令表(password table)來實現用戶認證。2000年，Hwang和Li指出Lamport認證方案存在口令表易被竄改的安全缺陷，同時保護和維護口令表的成本過大。因此，他們提出一種使用智能卡的用戶認證方案，試圖消除上述安全缺陷，同時降低成本[3]。Hwang－Li認證方案無須維護口令表即可實現用戶認證;同時它還能夠抵御重放攻擊。稍后，Sun[4]改進了Hwang－Li認證方案，提出了一種效率更高的用戶認證方案。2003年，Wu－Chieu改進了Sun認證方案，提出一種用戶友好的遠程認證方案。用戶友好主要體現在用戶能夠通過安全通信自主選擇和修改口令。作者聲明該方案實現了高效認證，并且修正了Sun認證方案存在的需要較長口令的不足。2004年，Wu－Chieu對原方案進行了改進，修正了原方案易遭受身份假冒攻擊的安全缺陷[5]。同年，Yang等人指出Wu－Chieu原認證方案易遭受偽造攻擊[6]。此后，2005年，Lee－Lin－Chang對Wu－Chieu原認證方案進行改進，不僅修正了原方案易遭受偽造攻擊的安全缺陷，還降低了計算成本。作者聲稱改進后的認證方案適用于移動通信。

1相關工作

1.1Wu－Chieu改進認證方案

該認證方案由三個階段構成[7]:注冊#65380;登錄和認證。各階段的基本流程如下:

a)注冊階段。用戶Ui向遠程系統提交自身標志IDi和自選口令PWi。這些私有數據必須親自交付或者通過某種安全通道。收到用戶的注冊請求后，遠程系統計算Ai = h (IDi， x)和Bi = gAi×h(PWi) (mod p)。其中:x是遠程系統持有的秘密密鑰;h ()是單向哈希函數;p是大素數;g是GF(p)上公開的本原元。然后，遠程系統將{IDi， Bi， h()， p， g}寫入用戶的智能卡。

b)登錄階段。當用戶Ui登錄時，他首先輸入自身IDi和口令PWi，然后智能卡執行下列操作:

(a)計算C1=h(TBi)和Di=ghc(pw2)(mod p)。其中:T是當前時戳;是按位異或運算。

(b)發送消息m={ IDi， C1，Di，T }給遠程系統。

c)認證階段。遠程系統在時刻T′收到消息m后，為認證用戶而執行下列步驟:

(a)驗證IDi的格式。如果格式不正確，遠程系統拒絕用戶的此次登錄請求。

(b)驗證T與T′之間的時間差是否在限定范圍以內。如果(T′-T)≥ΔT(ΔT標記預期的傳輸延遲時限)，那么遠程系統拒絕用戶的此次登錄請求。

(c)計算Ai=h (IDi， x)，Bi=(Di)Ai(mod p)和Ci=h(TBi);比較C1和Cl，如果兩者相等，則口令PWi=PWi，遠程系統接受用戶的此次登錄請求;否則，遠程系統拒絕此次登錄請求。

1.2Wu－Chieu改進認證方案易遭受的兩種攻擊

Wu－Chieu改進的遠程認證方案易遭受離線口令猜測攻擊以及使用竊取智能卡實施身份假冒攻擊。

a)離線口令猜測攻擊。假設攻擊者E通過竊聽開放網絡得到一條有效消息m = {IDi， C1，Di， T}。E為實施離線口令猜測攻擊執行以下步驟:

(a)為獲得用戶Ui的口令PWi，E猜測秘密口令為PW′。

(b)E計算gh(pwi)(mod p)，驗證等式Digh(pwi)(mod p)是否成立。如果成立，那么E猜測用戶口令就是PW′;否則，E重復以上猜測—驗證過程，直到發現能使等式成立的猜測值。

如果用戶Ui丟失了智能卡并被攻擊者得到，或者攻擊者竊取了Ui的智能卡，那么攻擊者通過在登錄階段使用猜測出的口令PW′就能夠假冒合法用戶Ui通過遠程系統的認證。如果用戶的多個賬戶采用了相同的口令，那么這些賬戶均將同時被攻破。因此，Wu－Chieu改進后的認證方案仍然易遭受離線口令猜測攻擊。

b)使用竊取智能卡的身份假冒攻擊。猜測口令的目的通常是為了實施身份假冒攻擊。在離線口令猜測攻擊中，攻擊者為發動身份假冒攻擊，首先必須得到合法用戶的智能卡。如果攻擊者已經持有智能卡，那么攻擊者就可以在無須猜測口令的條件下發動身份假冒攻擊。具體步驟如下:

定理3本文所提認證方案能夠抵御猜測攻擊。

證明假設用戶丟失的智能卡被攻擊者得到。由于攻擊者不能在不知道遠程系統秘密密鑰x的條件下，從智能卡中存儲的Bi推出PWi，攻擊者仍然無法假冒合法用戶Ui使用Ui的智能卡。

定理4本文所提認證方案能夠抵御已知密鑰攻擊。

證明已知密鑰安全意味著用戶Ui與遠程遠程之間每次運行密鑰協商協議時都將生成惟一(unique)的會話密鑰。如果會話密鑰sk被泄露給被動攻擊者E，E不能通過sk和其他公開信息獲得任何新信息。C3和C4沒有泄漏任何信息給攻擊者，所以滿足這一要求。前文已說明E無法通過猜測口令對會話密鑰sk作出有意義的猜測，并且E發動離線口令攻擊的成功幾率也很小。即使攻擊者已經得到過去協商出的一些會話密鑰，也無法推出當前或者將來使用的會話密鑰。即本文所提的認證方案能夠抵御已知密鑰攻擊。

定理5本文所提方案能夠實現相互認證。

證明相互認證意味著通過該認證方案，用戶和遠程系統均能夠向對方證明自己的身份。該認證方案使用Diffie－Hellman密鑰交換算法實現相互認證。

定理6本文所提方案能夠實現完美前向保密性。

證明完美前向保密性意味著如果一個長期秘密密鑰(如用戶口令PWi或系統秘密鑰x)被泄露算法時，也不會泄露以往使用的會話密鑰。本文所提認證方案使用Diffie－Hellman密鑰交換算法生成會話密鑰gcs，攻擊者即使知道遠程系統秘密密鑰x，也只能從以往會話中獲得gc或gs。由DLP和Diffie－Hellman問題可知，從gc和gs中獲得會話密鑰gcs是計算不可行的，該認證方案能夠實現完美前向保密性。

在Wu－Chieu認證方案中，用戶需要執行兩次哈希運算和一次按位異或運算，遠程系統需要執行四次哈希運算和一次按位異或運算。在Lee－Lin－Chang認證方案中，用戶需要執行三次哈希運算和二次按位異或運算，遠程系統需要執行五次哈希運算和二次按位異或運算。在本文所提認證方案中，用戶只需要執行二次哈希運算和一次按位異或運算，遠程系統只需要執行四次哈希運算和一次按位異或運算。從哈希運算和按位異或運算的角色出發，可以看出本文所提方案與Wu－Chieu認證方案有著相同的計算效率。然而本文所提認證方案能夠實現相互認證。

綜上所述，本文所提認證方案相比于Wu－Chieu認證方案和Lee－Lin－Chang認證方案具有更高的計算效率。

5結束語

本文首先分析了Wu－Chieu改進后的遠程認證方案仍然易遭受一種離線口令猜測攻擊。攻擊者能夠猜測出合法用戶的口令，并能通過使用竊取合法用戶的智能卡來假冒該合法用戶。同時，本文還分析了Lee－Lin－Chang認證方案易遭受偽造攻擊的安全缺陷，攻擊者能夠假冒另一個合法用戶以獲得對遠程系統資源的訪問權。在此基礎上，本文提出一種基于單向哈希函數和Diffie－Hellman密鑰交換協議的遠程口令認證方案。

參考文獻:

[1]PEYRET P， LISIMAQUE G， CHUA T Y. Smart cards provide very high security and flexibility in subscribers management[J].IEEE Trans on Consumer Electronics，1990，36(3):744－752.

[2]LAMPORT L. Password authentication with insecure communication[J].Communications of the ACM， 1981，24(11):770－772.

[3]HWANG M S， LI L H. A new remote user authentication scheme using smart cards[J].IEEE Trans on Consumer Electronics，2000，46(1):28－30.

[4]SUN H M. An efficient remote user authentication scheme using smart cards[J].IEEE Trans on Consumer Electronics，2000，46(4):958－961.

[5]WU S T， CHIEU B C. A user friendly remote authentication scheme with smart cards[J].Computers Security，2003，22(6):547－550.

[6]YANG Chou－chen， WANG Ren－chiun. Cryptanalysis of a user friendly remote authentication scheme with smart cards[J].Computers Security，2004，23(5):425－427.

[7]WU S T， CHIEU B C.A note on a user friendly remote authentication scheme with smart cards[J].IEICE Trans on Fund，2004，E87－A(8):2180－2181.

[8]LEE C C， LIN C H， CHANG C C. An improved low computation cost user authentication scheme for mobile communication[C]//Proc of the 19th Advanced Information Networking and Applications (IEEE AINA’05).2005:249－252.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”