一種改進的遠程用戶身份認證方案*

2021-11-22 08:55:40曹守啟劉婉榮

計算機工程與科學 2021年11期

曹守啟，何鑫，劉婉榮

(上海海洋大學工程學院，上海 201306)

1 引言

物聯網是互聯網的延伸和擴展，自從物聯網的概念首次提出至今，它已經成為新一代信息與通信技術發展的典型代表。網絡的快速發展給人們的工作生活帶來極大便利的同時，也催生出了各種各樣的網絡安全隱患，2013年美國前中情局職員Edward Snowden爆出棱鏡門事件，觸發了全世界人民對網絡安全的思考，網絡安全也成為人們在使用互聯網時最先考慮的問題之一。斯坦福大學的Diffie與Hellman于1976年提出公鑰密碼體制，使用不同的加密密鑰和解密密鑰，滿足了數字簽名的需求，推動著網絡安全技術的發展[1]。目前，遠程用戶身份認證按因素的數量可分為單因素、雙因素和三因素身份認證方案。最初，用戶進行身份認證僅僅依靠密碼，即單因素認證，隨著網絡的不斷發展，醫療、銀行等機構出現大量用戶隱私泄漏的問題，研究人員發現僅僅依靠密碼無法保障用戶的隱私安全，雙因素身份認證協議開始成為安全協議設計領域的一個熱點問題[2 - 5]，開始慢慢取代單因素認證協議。

1990年，Hwang 等人[6]提出了第一個基于智能卡的雙因素認證協議，它是基于Shamir[7]的方案來解決密碼存儲問題的，安其全性與Shamir的協議不相上下。2013年，Xu 等人[8]提出了一種基于橢圓曲線密碼體制的雙因素認證協議，該協議的優點在于用戶的ID只在安全通道上傳輸，從而保證了在線、離線密碼猜測攻擊以及智能卡被盜攻擊與內部攻擊。2014年，Islam 等人[9]對Xu等人的協議進行了分析，他們指出，在登錄階段，該方案不能提供強相互認證，在密碼更改階段，不能對舊密碼進行驗證，不能抵御重放攻擊等。之后，Islam等人提出了改進協議，改進協議中用戶ID是動態的，保證了用戶的匿名性；同時，該協議使用了隨機數與遠程信息系統的密鑰連同用戶ID與密碼一起來抵御離線密碼猜測攻擊。Chaudhry等人[10]與Zhang 等人[11]分別指出了Islam等人協議的缺陷，指出該協議無法抵御用戶及服務器內部攻擊，攻擊者可以通過動力分析從智能卡中獲取密鑰信息。2014年，為了克服Jiang等人[12]提出的雙因素協議的缺陷，Das等人[13]提出了一種三因素身份認證協議。研究人員利用每個用戶特有的生理特征來進行三因素身份認證協議的設計，例如，用戶的指紋、虹膜等。但是，用戶的生理信息，例如指紋，會存在由于用戶手指放置不當引起錯誤識別等問題。

本文對Nikooghadam 等人[14]的協議進行了分析，發現該協議容易遭受重放攻擊、特權內部攻擊等多種安全威脅。基于Nikooghadam等人協議的良好框架，本文提出了一種改進的遠程用戶身份認證協議，該協議主要使用時間戳機制和計算性Diffie-Hellman難題來提高協議的安全性[15,16]。時間戳機制的使用可以保證消息傳遞的及時性，而計算性Diffie-Hellman是一種歷經長時間仍未解答/完全解答的數學問題，解決該難題的概率是可忽略不計的，故常被用于構造密碼算法，以提高安全性。本文使用BAN邏輯驗證了本文改進協議的安全性，它是一種基于信念的模態邏輯，在推理過程中，參與協議的主體的信念隨消息交換的發展而不斷變化和發展，即在假設的基礎上根據公理和推理規則來推導出參與協議的主體的信念。另外，性能比較和計算效率分析也表明，本文協議在增加微小計算量的情況下提高了安全性。

2 Nikooghadam等人方案回顧

Nikooghadam等人的協議包括3個階段：注冊階段、登錄認證階段和密碼更改階段。本文中使用的符號定義見表1。

Table 1 Symbol definitions表1 符號定義

2.1 注冊階段

用戶Ui輸入IDi和PWi，選擇一個隨機數r，智能卡計算MPWi=h(IDi‖r‖PWi)，通過一個信道向Server發送信息{IDi,MPWi}進行注冊；一旦Server接收到該信息，開始計算Ai=h(IDi‖x)，Bi=Ai⊕MPWi，選擇一個隨機數N，計算MIDi=Ex(IDi‖N)；然后發送包含信息{Bi,MIDi,Ex(·)/Dx(·),h(·)}的智能卡到Ui;最后，Ui將選擇的r存儲在智能卡。

2.2 登錄認證階段

在登錄認證階段，用戶Ui輸入IDi和PWi，智能卡計算Ai=Bi⊕h(IDi‖r‖PWi)=h(IDi‖x)，選擇一個隨機數RNi，計算M1=EAi(IDi‖RNi‖Ti‖MIDi)，其中Ti為用戶Ui的時間，然后將信息{MIDi,M1,Ti}發送給Server，Server驗證用戶發送信息的真實性。具體登錄認證步驟如下所示：

步驟1Server驗證智能卡記錄的用戶Ui的時間Ti與系統接收到登錄請求信息{MIDi,M1,Ti}的時間Ts是否滿足條件|Ts-Ti|≤ΔT，其中ΔT是合法的信息傳輸延遲時間，如果不滿足，Server拒絕登錄請求并終止會話；否則，Server繼續執行下面的操作。

2.3 密碼更改階段

當用戶決定更改密碼時，首先，用戶需要將智能卡插入讀卡器，輸入其用戶名和密碼，接著智能卡執行以下步驟：

3 Nikooghadam等人方案的安全性分析

3.1 重放攻擊

在認證階段，用戶沒有使用時間戳改變M2，服務器也沒有對M3進行驗證，這將會造成信息(M2,M3)的驗證周期是無止境的，如果攻擊者竊取了信息M2,他/她能夠使該信息中斷發送或者延遲發送。因此，如果用戶請求信息，攻擊者可以利用這種請求延遲獲得未經授權的服務，因為服務器無法識別請求是由合法用戶發送的還是非法用戶發送的，攻擊者可以請求服務器計算會話密鑰，故該協議無法抵御重放攻擊。

3.2 特權內部攻擊和離線密碼猜測攻擊

Nikooghadam等人的協議無法抵御特權內部攻擊和離線密碼猜測攻擊，具體步驟如下所示：

步驟1內部攻擊者能夠從注冊階段信息{IDi,MPWi}中獲取用戶的標識IDi，MPWi=h(IDi‖r‖PWi)，該攻擊者可以獲取存儲在智能卡中的信息{Bi,MIDi,r,Ekey(·)/Dkey(·),h(·)}。

步驟2攻擊者猜測用戶的密碼PW′i。

步驟3攻擊者計算A′i=h(IDi‖r‖PW′i)。

步驟4Ai=Bi⊕MPWi，如果A′i=Ai成立，則攻擊者猜測出了用戶的密碼；反之，如果等式不成立，攻擊者將重復步驟2～步驟4，直到猜測出正確的用戶密碼為止。

3.3 服務器欺騙攻擊

攻擊者利用授權用戶的信息記錄來偽造服務器，成功模擬為合法的服務器并偽造有效的響應消息。首先，攻擊者從智能卡中獲取信息{Bi,MIDi,r,Ekey(·)/Dkey(·),h(·)}，通過偽裝成服務器內部人員，攻擊者可以獲得信息IDi，MPWi和r;接著，攻擊者計算Ai=Bi⊕MPWi，DAi(M1)=(IDi‖RNi‖Ti‖MIDi)，并攔截用戶登錄消息{MIDi,M1,Ti}，時間戳不能改變M2，服務器也沒有對M3進行驗證，所以攻擊者可以選擇一個隨機數RN′s并計算M′2=EAi(MIDi‖RN′s‖IDi‖RNi);最終，攻擊者將信息{M′2}發送給用戶。故該協議不能抵御服務器欺騙攻擊。

4 改進的遠程用戶身份認證方案

本節將提出一種基于Nikooghadam等人協議的改進協議，該協議克服了Nikooghadam等人協議的缺點，包含3個階段：注冊階段、登錄認證階段和密碼更改階段。

4.1 注冊階段

在注冊階段，用戶Ui輸入IDi和PWi，選擇2個隨機數r和m1，智能卡計算MPWi=h(IDi‖r‖PWi)，PIDi=h(IDi‖m1)，通過一個信道向S發送信息{PIDi,MPWi}進行注冊；一旦S接收到該信息，開始計算Ai=h(MPWimodnk)，選擇1個隨機數m2，計算MIDi=Ex(PIDi‖MPWi‖m2)，然后發送包含信息{MIDi,Ex(·)/Dx(·),h(·)}的智能卡到Ui;最后，Ui將選擇的r和m1存儲在智能卡。