基于擴展混沌映射的遠程醫療信息系統認證方案

摘 要：針對遠程醫療信息系統（TMIS）的實時應用場景，提出了一種安全高效的基于擴展混沌映射的切比雪夫多服務器認證協議。該方案使用隨機數和注冊中心的私鑰為用戶/應用服務器的身份加密，有效地支持用戶和應用服務器的撤銷和重新注冊。同時，還利用模糊驗證因子技術避免離線密碼猜測攻擊，利用honeywords技術有效避免在線密碼猜測攻擊。該方案在公共信道上傳輸的與用戶身份相關的信息均使用隨機數或隨機數的計算結果進行加密，因此可以為用戶提供強匿名性。通過BAN邏輯證明該協議可以實現用戶和服務器的安全相互認證；同時，使用非正式安全證明該協議可以抵抗多種已知攻擊。

關鍵詞：遠程醫療信息系統；切比雪夫混沌映射；認證；BAN邏輯證明

中圖分類號：TP391 文獻標志碼：A

文章編號：1001-3695（2022）07-035-2137-06

doi：10.19734/j.issn.1001-3695.2021.11.0660

基金項目：國家自然科學基金資助項目（2020YFB1005900）；廣東省國家重點研發資助項目（2020B0101090002）；江蘇省自然科學基金資助項目（BK20200、418）；國家重點科研資助項目（2020YFB1005900）

作者簡介：翟孝影（1997-），女，河北衡水人，碩士，主要研究方向為信息安全、多服務器認證協議；王箭（1968-），男（通信作者），教授，博導，博士，主要研究方向為信息安全、密碼學、安全系統分析與設計等（wangjian@nuaa.edu.cn）．

Telemedicine information system authentication scheme based on extended chaotic graph

Zhai Xiaoying，Wang Jian?

（School of Computer Science amp; Technology，Nanjing University of Aeronautics amp; Astronautics，Nanjing 210000，China）

Abstract：Aiming at the real-time application scenario of TMIS，this paper proposed a safe and efficient MSAKA protocol based on the extended Chebyshev chaotic map.The proposed scheme used random numbers and the private key of the registration center to encrypt the identity of the user/application server，which effectively supported the cancellation and re-registration of the user and the application server.At the same time，it used the fuzzy verification factor technology to avoid offline password guessing attacks，and used the honeywords technology to effectively avoid online password guessing attacks.The information related to the user’s identity transmitted in the proposed scheme on the public channel was encrypted with random numbers or the calculation results of random numbers，so it could provide users with strong anonymity.Through the BAN logic，it proved that the proposed protocol can realize the secure mutual authentication of the user and the server.At the same time，it used informal security to prove that the proposed protocol can resist all currently known attacks.

Key words：telemedicine information system（TMIS）；Chebyshev chaotic map；authentication；BAN logical proof

0 引言

遠程醫療信息系統（TMIS）為公共網絡通道上的患者和醫療服務器之間的通信和數據交換提供了一個平臺（圖1）^{［1，2］}。由于用戶個人身份信息和醫療記錄的敏感性，保護TMIS中這些數據的安全性至關重要。系統用戶和醫療服務器相互驗證彼此身份的合法性，攻擊者無法冒充合法用戶或醫療服務器，系統用戶也無法被惡意服務器劫持，因此身份驗證和密鑰協商協議是TMIS中最重要的部分。根據認證因素，身份認證和密鑰協商協議可以分為單因素（密碼）認證協議^［3～5］、雙因素（密碼+智能卡）認證協議^［6］、三因素（密碼+智能卡+生物識別）認證協議^{［7，8］}。

如今，隨著網絡技術的不斷進步，它也為攻擊者的攻擊提供了便利。隨著科學技術的進步，攻擊者的攻擊能力越來越強，這給密碼協議的研究人員帶來了巨大的挑戰。同時，在復雜的網絡環境和有限的存儲資源和計算能力下，設計一種協議來滿足不同環境的安全需求也是一個挑戰。受此啟發，本文提出了一種基于切比雪夫混沌映射和三個因素的多服務器認證方案。該方案力求在安全性和效率之間取得最佳折中，并支持同一用戶的撤銷和重新注冊，從而為用戶提供強大的匿名性。

根據TMIS的應用場景和實際需求，Wu等人^［9］在2010年首次提出了一種使用密碼和智能卡（SC）的TMIS認證協議，該方案^［9］在認證和密鑰協商過程中加入了預計算的概念，以避免指數計算時間并減少時間消耗。然后，He等人^［10］證明了當SC丟失/被盜時，文獻［9］具有偽裝攻擊和內部特權攻擊，并提出了一種改進的基于智能卡的魯棒雙因素認證協議。隨后，Wei等人^［11］證明了文獻［9，10］缺乏數學算法和證明，并在2011年提出了一個可證明安全的雙因素認證協議。2012年，Zhu^［12］指出文獻［11］無法抵抗智能卡丟失攻擊，并改進了文獻[11]的雙因素認證協議。在上述協議^［9～12］中，患者的身份信息直接在不安全的通道中以明文形式發送，因此身份隱私信息沒有得到保護。

混沌系統具有不可預測性、偽隨機性和對初始參數敏感依賴的特點，實現了密碼系統的擴散和混淆功能，因此在密碼協議設計中得到廣泛應用。Wang等人^［13］于2010年設計了一個應用切比雪夫混沌映射的公鑰加密認證和密鑰協商方案。Yoon等人^［14］發現文獻［13］無法抵抗非法修改攻擊，并于2011年提出了使用基于時間戳的切比雪夫混沌映射的Diffie-Hellman密鑰協商方案。An^［15］提出了一種基于生物識別和智能卡的高效認證協議，并在2012年證明了該協議可以抵抗用戶模擬攻擊、服務器偽裝攻擊、智能卡丟失攻擊和內部特權攻擊。Khan等人^［16］分析了文獻［15］存在在線密碼猜測攻擊、缺乏相互認證、服務器冒充攻擊等問題，進而提出了不同的認證方案，證明其協議能夠滿足網絡安全需求。 2014年，Wen等人^［17］證明了文獻［16］沒有為用戶提供匿名性，提出了一種基于生物特征的魯棒遠程認證方案。Lee^［18］使用混沌映射設計了一個安全的認證密鑰協商方案，該方案使用中國剩余定理來加密長期密鑰，允許用戶只保留密碼而無須額外的設備。然后Cheng等人^［19］證明了文獻［18］存在內部特權攻擊和模擬攻擊，并且在具備文獻［18］良好安全性的同時提出了改進方案。2016年，Irshad等人^［20］提出了一種使用切比雪夫混沌映射的單向多服務器認證方案。注冊中心（RC）不涉及患者和醫生之間的相互認證。最近Lee等人^［21］發現文獻[20]不能抵抗特定會話的模擬攻擊和傳輸臨時信息攻擊，并且文獻［20］要求RC始終在線，因此提出了根據票據的三因素身份認證方案，該合法參與者可以直接進行認證和通信，可以有效避免第三方帶寬過載的問題。

本文指出文獻［21］無法抵抗離線密碼猜測攻擊和已知會話特定臨時信息攻擊。同時，當SC丟失/被盜或患者身份認證信息泄露時，其方案沒有為患者提供撤銷功能，這也使得該方案對其他攻擊（如冒充攻擊）不安全，并且當服務器的私鑰泄露時，該方案并沒有提供服務器以相同的身份重新注冊。為此，本文提出了基于擴展混沌映射的 TMIS多服務器生物特征認證方案，使用模糊驗證因子來抵御離線密碼猜測攻擊，本文方案支持患者/醫生撤銷和重新注冊功能。

本文深入分析了近期提出的基于切比雪夫混沌映射的認證協議^{［21～24］}，并發現這些方案存在的安全漏洞，例如離線密碼猜測攻擊、已知會話特定臨時信息攻擊、模擬攻擊，并指出了這些方案中存在這些缺陷的根本原因；提出了一種基于擴展混沌映射和生物識別技術的TMIS多服務器認證方案。具體來說，該方案利用模糊驗證因子技術避免離線密碼猜測攻擊，并利用honeywords技術有效避免在線密碼猜測攻擊。該方案可以提供強匿名性，因為在公共信道上與用戶身份相關的信息是使用隨機數或隨機數的計算結果加密的。本文方案通過RC選擇的隨機數和RC的私鑰一起為用戶/服務器身份加密，有效地支持用戶和服務器的撤銷和重新注冊。最后，采用BAN邏輯和非正式分析來證明方案的安全性。

1 預備知識

1.1 認證協議的要求

在基本攻擊模型^{［25～27］}中，攻擊者可以獲得公共信道上的所有信息。TMIS中使用的認證協議需要滿足以下三個要求：

a）安全會話密鑰。協議應滿足會話密鑰的安全性，分為以下兩點：（a）認證過程中應用的一次性認證參數或臨時會話密鑰的泄露不會影響其他會話的安全；（b）醫生和患者協商的會話密鑰不會受到協議參與者長期私鑰泄露的影響，例如患者、醫生或注冊中心其中一方。

b）患者憑證安全。要求不能獲取患者的憑證，例如患者的身份、私鑰、認證參數等。

c）安全的相互認證。在協商共享密鑰之前，要求患者和醫生相互認證。

1.2 威脅模型

本文使用的模型是Dolev-Yao模型^［28］。近年來，隨著側信道攻擊技術的發展^［29］，可以在SC中獲取安全參數，攻擊能力增強。本文使用了文獻［7，30］提出的最嚴格（但最現實）的多因素協議攻擊者模型。攻擊者的能力如表1所示。

1.3 切比雪夫混沌映射

Chebyshev混沌映射Tm（n）=cos（m·arccos（n）） mod p滿足

Tm（n）=2nTm-1（n）-Tm-2（n） mod p（1）

其中：m為不小于2的整數，n∈［-1，1］；T0（n）=1，T1（n）=n。Chebyshev混沌映射具有半群性質，即

Tm（n）=2nTm-1（n）-Tm-2（n） mod p（2）

2006年，Zhang^［31］ 將切比雪夫混沌映射n∈［-1，1］的定義域擴展到n∈（-∞，+∞）。擴展的Chebyshev混沌映射仍然具有半群性質，即

TaTb（n）=Tab（n）=Tb（Ta（n））mod p

其中：Tm（n）=cos（m·arccos（n））mod p，m為不小于2的整數，n∈（-∞，+∞）；p為大素數。

基于擴展混沌映射的Diffie-Hellman問題：給定擴展Chebyshev混沌映射Tm（n），給定n、Ta（n）、Tb（n），很難求解Tab（n）。

基于擴展混沌映射的離散對數問題（CMDLP）：已知Ts（n）和n，計算s是一個難題。

1.4 生物識別和模糊提取

同一用戶在不同時間提取的生物特征也存在細微的差異，模糊提取器^［32］的作用就是消除這些細微差異。具體來說，即使用戶收集的生物特征信息發生輕微變化，通過模糊提取器也可以獲得相同的結果。模糊提取器分為以下兩部分：

a）Gen（Bi）=（σi，θi），以Bi為輸入，算法Gen（·）輸出σi和θi，其中θi為輔助串。

b）σi=Rep（B′i，θi），以生物特征B′i和輔助串θi作為輸入，可以根據算法Rep（·）生成新的σi，B′i和Bi是有細微差別的生物特征，dis（B′i，Bi）≤Δt。

2 本文提出的協議

為了更好地應用在TMIS中，本文提出了一種基于擴展混沌映射的多服務器生物特征認證方案，使用模糊驗證因子來避免離線口令猜測攻擊，該方案還為用戶提供撤銷和重新注冊功能。本文的方案一共分為六個階段。第一個階段是初始化階段；第二個階段是注冊階段，包括用戶注冊和服務器注冊；第三個階段是用戶登錄階段；第四個階段是用戶與服務器的相互認證和密鑰協商階段；第五階段是用戶密碼更改階段；最后一個階段是注銷和重新注冊階段。本文方案中使用的符號如表2所示。

2.2 注冊階段

本節概述了Ui和Sj注冊。為了防止注冊的合法用戶重新注冊，本文使用消息驗證表T來記錄注冊用戶。

2.2.1 服務器注冊階段

Sj選擇唯一身份SIDj，并將身份SIDj發送給RC面對面（安全通道）。RC從Sj收到SIDj后，檢查T1以驗證Sj是否已經注冊。如果Sj已經注冊，則會話終止。如果不是，RC選擇一個隨機數rj并計算kj=h（SIDj‖k‖rj），然后將{h（SIDj‖k），rj}存儲到T1中。最后，RC將kj面對面地發送給Sj。從RC接收kj后，Sj選擇一個隨機數xj并計算TSj=Txj（x） mod p。Sj將kj和xj保密并公開信息{SIDj，TSj}。

備注1 rj的作用是當Sj的私鑰kj意外泄露給Euclid Math OneAAp時，Sj可以取消其在RC的注冊信息，并使用相同的身份SIDj再次在RC注冊，獲得新的密鑰k^freshj。

2.2.2 用戶注冊階段

步驟U1 Ui輸入唯一身份IDi，選擇PWi并選擇一個隨機數ri。Ui計算DIDi=h（IDi‖ri），PWDi=h（PWi‖ri）并將注冊請求{IDi，DIDi，PWDi}發送給RC面對面。

步驟U2 RC收到注冊請求{IDi，DIDi，PWDi}后，計算hash值h（IDi‖k），然后檢查驗證表T2，驗證用戶是否已經注冊，如果用戶已經注冊，則終止會話。否則，RC計算Aij=h（DIDi‖kj），Bij=Aij⊕PWDi，Wi=h（DIDi‖k）存入所有已經注冊的服務器。此外，RC將{h（IDi‖k），state=1}存儲到其驗證表T2中，并將{Bij，Wi，state=1}存儲到SCi中。最后，RC將SCi面對面地發送給Ui。

步驟U3 從RC得到SCi后，Ui在傳感器上輸入Bi并計算（σi，θi）=Gen（Bi），Vi=ri⊕h（σi），Ci=Wi⊕PWDi，Di=h（h（IDi‖PWi‖ri‖σi‖Wi）） mod m，其中m（2⁸≤m≤2¹⁶）為整數，m決定了身份密碼對（IDi，PWi）抵抗離線密碼猜測攻擊的能力。將Vi、Ci、Di替換SCi中的Wi，θi存儲在SCi中。最后，SCi的記憶參數是{Ci，Bij，Di，Vi，θi，state}。

備注2 參數state的目的是為了避免攻擊者使用相同的用戶身份重復注冊，state∈{-1，1}。state=1表示用戶處于活動狀態并已注冊；state=-1表示用戶處于非活動狀態。

2.3 用戶登錄階段

Ui應該執行以下步驟來登錄Sj：

步驟L1 Ui將SCi放入讀卡器，讀卡器首先驗證SCi中存儲的參數state，如果state=-1，則拒絕登錄。否則，Ui輸入IDi、PWi和在生物傳感器上錄入自己的生物特征Bi。SCi計算σi=Rep（Bi，θi），rj=Vi⊕h（σi），PWDi=h（PWi‖ri），Wi=Ci⊕PWDi，然后驗證Di=h（h（IDi‖PWi‖ri‖σi‖Wi）） mod m等式是否成立。如果驗證失敗，SCi將拒絕輸入憑據并終止會話。

步驟L2 Ui選擇一個隨機數n1和服務器身份SIDj。此外，SCi計算Ei=Tn1（x） mod p，Aij=Bij⊕PWDi，根據Sj的公鑰TSj計算Fi=Tn1（TSj） mod p，HIDi=DIDi⊕h（Fi‖SIDj），M1=h（DIDi‖Aij‖Fi），然后發送消息{HIDi，M1，Ei}到Sj。

2.4 相互認證與密鑰協商階段

在此階段，Ui和Sj相互確認并協商共享密鑰SKij（SKji），以便在公共信道上進行后續通信。

步驟A1 當收到{HIDi，M1，Ej}后，Sj計算Fi=Txj（Ei） mod p，DIDi=HIDi⊕h（Fi‖SIDj）并且Sj檢查DIDi是否存在于驗證表單T中，如果存在，并且Honey list=0，則拒絕Ui的登錄請求。否則Sj將{DIDi，Honey list=0}存入T并計算Aij=h（DIDi‖kj），然后檢查M1=h（DIDi‖Aij‖Fi）等式是否成立。如果不相等，則拒絕Ui的登錄請求并讓Honey list=Honey list+1，當Honey list≥5時，用戶將被鎖定。否則T中的用戶信息將更新為{DIDi，Honey list=0}，Sj選擇一個隨機數nj，計算Ej=Tnj（x） mod p，Eji=Tnj（Ei） mod p，SKij=h（DIDi‖Aij‖Eij），M2=h（SKij‖Ej）。Sj在不安全的公共通道上向Ui發送消息{M2，Ej}。

步驟A2 從Sj得到{M2，Ej}后，Ui計算Eij=Tn1（Ej），SKij=h（DIDi‖Aij‖Eij）并檢查M2=h（SKij‖Ej）等式是否成立。如果不相等，Ui將結束會話；如果相等，Ui計算M3=h（SIDj‖Ei‖Ej‖SKij‖Aij），然后在不安全的公共信道上將{M3}發送給Sj。

步驟A3 從Ui得到消息M3后，檢查M3=h（SIDj‖Ei‖Ej‖SKij‖Aij）等式是否成立。如果相等，則Sj認為Ui是合法的；否則，Sj立即結束會話。

通過以上步驟，Ui和Sj相互確認彼此身份的合法性，得到會話密鑰SKij=SKji。

2.5 密碼更改階段

在本文方案中，Ui可以使用以下步驟在本地更改 PWi：

步驟P1 Ui將自己的智能卡SCi插入讀卡器，讀卡器驗證SCi中存儲的參數state的狀態，如果state=-1，則拒絕登錄；否則，Ui輸入PWi、IDi并在傳感器上輸入個人生物特征Bi。SCi計算σi=Rep（Bi，θi），ri=Vi⊕h（σi），PWDi=h（PWi‖ri），Wi=Ci⊕PWDi，并檢查Di=h（h（IDi‖PWi‖ri‖σi‖Wi）） mod m是否成立。如果不相等，SCi拒絕輸入憑證并終止會話；否則，SCi要求Ui輸入新密碼。

步驟P2 Ui將新密碼PW^newi放入SCi中。

步驟P3 SCi之后計算PWD^newi=h（PW^newi‖ri），Aij=Bij⊕PWDi，C^newi=Wi⊕PWD^newi=Ci⊕PWDi⊕PWD^newi，B^newij=Aij⊕PWD^newi=Bij⊕PWDi⊕PWD^newi，D^newi=h（h（IDi‖PW^newi‖ri‖σi‖Wi）） mod m。最后，SCi用C^newi、B^newij、D^newi替換掉智能卡內的Ci、Bij、Di。

2.6 撤銷和重新注冊階段

該階段說明當SCi被盜（丟失）或Ui的身份認證信息被遺忘時，Ui可以注銷在注冊中心注冊的賬戶，然后重新注冊。Ui可以通過執行以下步驟進行注銷和重新注冊。注銷Ui的賬號，Ui需要向注冊中心提供銀行卡、身份證、護照等有效身份信息。如果Ui的認證通過，RC將T2中的state更改為 state=-1，同時將SCi中的認證參數state更改為state=-1。如果Ui再次登錄，將被拒絕。當用戶重新注冊時，RC驗證標識符IDi是否有效（IDi是否已注冊，但狀態失效）。如果標識有效，RC將會為用戶提供重新注冊的功能。

3 安全分析

本章使用BAN邏輯^［33］來證明用戶和服務器可以安全地實現相互認證并進行非正式的安全證明，以證明本文協議可以抵抗目前已知的各種攻擊。

3.1 BAN邏輯證明

本節使用BAN邏輯來證明合法注冊用戶Ui和遠程服務器Sj之間可以實現相互確認。BAN邏輯基于信念模態邏輯，可用于描述和驗證身份驗證協議。使用BAN邏輯分析身份認證協議的安全性時，首先需要將協議中的交互信息理想化，然后根據具體情況作出初步假設，最終通過推理和規劃得出預期目標。表3給出了BAN邏輯的基本符號和含義，表4給出了BAN邏輯的規則。

3.2 非形式化安全分析

本節使用非正式安全來證明本文方案可以抵御多種已知攻擊。

3.2.1 內部特權攻擊

注冊時，Ui傳輸IDi和h（PWi‖ri），而不是直接發送密碼。 在本文方案中，PWi與隨機數ri連接，然后使用哈希函數對計算結果進行加密。在不知道隨機數ri的情況下，不可能從h（PWi‖ri）中猜出密碼 PWi。因此，本文方案可以抵抗內部特權攻擊。

3.2.2 用戶強匿名性

3.2.4 抵抗服務器欺騙攻擊

如果攻擊者要冒充服務器生成合法的響應消息，需要生成合法的M2，合法的M2需要通過合法的SKij計算，合法的SKij需要通過合法的DIDi和Aij計算，HIDi=DIDi⊕h（Fi‖SIDj）=DIDi⊕h（Tn1（Tsj） mod p‖SIDj），Aij=h（DIDi‖Kj‖φi）。只有知道xj和kj的服務器Sj才能正確響應用戶的登錄請求信息。因此，本文協議可以抵抗服務器欺騙攻擊。

3.2.5 抵抗冒充用戶攻擊

攻擊者要冒充用戶生成合法的登錄請求信息，需要生成合法的HIDi和M1，HIDi和M1需要通過合法的DIDi和Aij計算得到，DIDi的計算需要用戶身份和隨機數DIDi=h（IDi‖ri），Aij=Bij⊕PWDi=Bij⊕h（PWi‖Vi⊕h（σi））。因此，只有用戶的身份、密碼、智能卡和生物特征才能生成合法的登錄請求信息。因此，本文協議可以有效抵御假冒用戶的攻擊。

3.2.6 密碼猜測攻擊

3.2.7 DoS攻擊

當Ui登錄請求時，智能卡檢查等式Di=h（h（IDi‖PWi‖ri‖σi‖Wi）） mod m是否成立，只有真實用戶Ui根據身份IDi、密碼PWi、生物特征Bi三個因素計算出的合法登錄請求信息才能通過驗證。因此，智能卡可以本地驗證登錄請求是否來自Ui，只有來自真實用戶的請求信息才可以通過認證。通過智能卡的本地驗證機制，可以有效防止攻擊者發送大量無效的登錄請求信息引起DoS攻擊。

4 性能對比

將本文協議在安全性、計算成本和通信時間方面與文獻［21～24］進行比較。由于Ui和Sj都只注冊一次，所以只計算Ui登錄和Ui和Sj之間的相互認證階段的開銷。首先，分析了本文協議與表5中其他協議的安全性比較?？梢钥闯觯c其他協議相比，本文協議具有更高的安全性，可以抵抗更多的攻擊，提供更多的功能。

為便于比較，假設所提協議及其他協議中涉及的參數長度為32 bit，如用戶和服務器的身份標識、大素數、隨機數等，h（·）（例如SHA-1^［34］）輸出長度為160 bit。在本文方案中，只有三個消息涉及通信。Ui發送登錄請求{HIDi，M1，Ei}，其中HIDi=h（IDi‖ri）⊕h（Fi‖SIDj），Ei=Tn1（x） mod p，M1=h（DIDi‖Aij‖Fi）需要160+160+32=254 bit。Sj發送認證回復{M2，Ej}，其中M2=h（SKij‖Eji），Ej=Tnj（x） mod p，這又需要160+32=192 bit。最后，Ui發送認證{M3}，其中M3=h（SIDj‖Ei‖Ej‖SKij‖Aij），也需要160 bit。因此，在Ui登錄階段、Ui和Sj相互認證階段和密鑰協商階段，一般需要的通信開銷為254+192+160=704 bit。從表6可以看出，本文協議需要相對較小的通信開銷，同時獲得了更高的安全性。在圖2中，隨著使用人數逐漸增多，本文方案所需的通信開銷都遠小于文獻［22～24］。雖然文獻［21］所需的通信開銷相對較小，但其容易受到離線口令猜測、服務器冒充、用戶冒充、已知會話特定的臨時信息攻擊的影響。

令Th表示計算散列函數h（·）所需的時間；Tc表示在Chebyshev多項式中計算Tn（x） mod p的時間；Tb表示執行Biohash操作所需的時間。根據文獻［35］，有Th≈0.005 s，Tc≈0.021 02 s，并假設Tb≈Tc。本文協議和其他協議使用模糊提取算法或Biohash函數提取用戶的生物特征進行協議設計。根據文獻［32］可知，Fuzzy提取算法或Biohash函數耗時相同。因此，在協議的計算成本比較中，可以忽略生物特征提取的步驟。由于按位異或運算的計算成本遠低于其他運算，將忽略其計算成本。在本文協議中，Ui登錄所需的時間是 9Th+3Tc，Ui和Sj相互認證和密鑰協商階段所需要的總時間為5Th+3Tc，所以總計算量為14Th+6Tc≈0.196 12 s。

在文獻［22］用戶和應用服務器進行相互認證和密鑰協商的過程中，用戶所需要的時間為10Th+3Tc+2Ts≈0.130 46 s，服務器所需要的時間為6Th+3Tc+2Ts≈0.110 46 s，所需要的總時間開銷為16Th+6Tc+4Ts≈0.240 92 s。在文獻［23］中，用戶和服務器進行相互認證的階段需要RC的參與，其中用戶的計算開銷為6Th+3Tc≈0.093 06 s，服務器的計算開銷為5Th+2Tc≈0.067 04 s，RC的時間開銷為8Th+Tc≈0.061 02 s，所需要的總時間開銷為19Th+6Tc≈0.221 12 s。在文獻［24］中，用戶和服務器在相互認證的階段需要RC的參與，用戶的時間開銷為11Th+3Tc≈0.118 06 s，應用服務器的時間開銷為7Th+2Tc≈0.077 04 s，注冊中心的時間開銷為11Th+1Tc≈0.076 02 s，總計為29Th+6Tc≈0.271 12 s。在文獻［21］中，用戶的計算開銷為12Th+3Tc≈0.123 06 s，應用服務器的時間開銷為7Th+3Tc≈0.098 06 s，總時間開銷為19Th+6Tc≈0.221 12 s。從表7中可以看出，與其他方案相比，本文方案也大大降低了計算成本。在圖3中，將本文方案與文獻［21～24］在認證過程中所有參與方需要的計算開銷和總計算開銷進行對比，可以看出本文方案較其他方案所需的總計算開銷最小。因此，與其他方案相比，本文協議更適用于TMIS。

5 結束語

本文回顧了針對TMIS設計的文獻［21～24］方案，并指出這些方案的安全缺陷，以及這些缺陷存在的根本原因。例如，當SC丟失（被盜）或用戶身份認證信息泄露時，這些方案都沒有為用戶提供撤銷功能，這也使得這些方案對其他攻擊不安全。為了克服上述缺點，本文提出了一種應用于TMIS的基于擴展混沌圖的有效多服務器生物特征認證方案。本文協議在實現所有已知的安全目標的同時，可以有效地避免各種已知的安全漏洞。通過BAN邏輯證明，協議可以實現用戶和服務器的安全相互認證；同時，使用非正式安全證明協議可以抵抗多種已知攻擊，并且方案所需的通信成本和計算成本更低，并提供更高的安全性能，因此更適合TMIS。

參考文獻：

［1］Li Xiong，Wu Fan，Khan M K，et al.A secure chaotic map-based remote authentication scheme for telecare medicine information systems［J］.Future Generation Computer Systems，2018，84：149-159.

［2］Wang Xiaoliang，Bai Liang，Yang Qing，et al.A dual privacy-preservation scheme for cloud-based e-health systems［J］.Journal of Information Security and Applications，2019，47：132-138.

［3］Bellovin S M，Merritt M.Encrypted key exchange：password-based protocols secure against dictionary attacks［C］//Proc of IEEE Computer Society Symposium on Research in Security and Privacy.Piscataway，NJ：IEEE Press，1992：72-84.

［4］Halevi S，Krawczyk H.Public-key cryptography and password protocols［J］.ACM Trans on Information and System Security，1999，2（3）：230-268.

［5］Katz J，Ostrovsky R，Yung M.Efficient and secure authenticated key exchange using weak passwords［J］.Journal of the ACM，2009，57（1）：1-39.

［6］Xu Jing，Zhu Wentao，Feng Dengfuo.An improved smart card based password authentication scheme with provable security［J］.Computer Standards amp; Interfaces，2009，31（4）：723-728.

［7］Huang Xinyi，Xiang Yang，Chonka A，et al.A generic framework for three-factor authentication：preserving security and privacy in distributed systems［J］.IEEE Trans on Parallel and Distributed Systems，2010，22（8）：1390-1397.

［8］Mandal S，Bera B，Sutrala A K，et al.Certificateless-signcryption-based three-factor user access control scheme for IoT environment［J］.IEEE Internet of Things Journal，2020，7（4）：3184-3197.

［9］Wu Zhengyu，Lee Y C，Lai F，et al.A secure authentication scheme for telecare medicine information systems［J］.Journal of Medical Systems，2012，36（3）：1529-1535.

［10］He Debiao，Chen Jianhua，Zhang Rui.A more secure authentication scheme for telecare medicine information systems［J］.Journal of Medical Systems，2012，36（3）：1989-1995.

［11］Wei Jianghong，Hu Xuexian，Liu Wenfeng.An improved authentication scheme for telecare medicine information systems［J］.Journal of Medical Systems，2012，36（6）：3597-3604.

［12］Zhu Zhi’an.An efficient authentication scheme for telecare medicine information systems［J］.Journal of Medical Systems，2012，36（6）：3833-3838.

［13］Wang Xingyuan，Zhao Jianfeng.An improved key agreement protocol based on chaos［J］.Communications in Nonlinear Science and Numerical Simulation，2010，15（12）：4052-4057.

［14］Yoon E J，Jeon I S.An efficient and secure Diffie-Hellman key agreement protocol based on Chebyshev chaotic map［J］.Communications in Nonlinear Science and Numerical Simulation，2011，16（6）：2383-2389.

［15］An Y.Security analysis and enhancements of an effective biometric-based remote user authentication scheme using smart cards［J］.Journal of Biomedicine and Biotechnology，2012，2012：article ID 519723.

［16］Khan M K，Kumari S.An improved biometrics-based remote user authentication scheme with user anonymity［J］.BioMed Research International，2013，2013：article ID 491289.

［17］Wen Fengtong，Susilo W，Yang Guomin.Analysis and improvement on a biometric-based remote user authentication scheme using smart cards［J］.Wireless Personal Communications，2015，80（4）：1747-1760.

［18］Lee T F.Enhancing the security of password authenticated key agreement protocols based on chaotic maps［J］.Information Sciences，2015，290：63-71.

［19］Cheng T F，Chang" C C，Lo Y Y.Smart card-based password authenticated key agreement using chaotic maps［J］.International Journal of Communication Systems，2017，30（12）：e3267.

［20］Irshad A，Sher M，Chaudhary S A，et al.An efficient and anonymous multi-server authenticated key agreement based on chaotic map without engaging registration centre［J］.The Journal of Supercompu-ting，2016，72（4）：1623-1644.

［21］Lee T F，Diao Y Y，Hsieh Y P.A ticket-based multi-server biometric authentication scheme using extended chaotic maps for telecare medical information systems［J］.Multimedia Tools and Applications，2019，78（22）：31649-31672.

［22］Chatterjee S，Roy S，Das A K，et al.Secure biometric-based authentication scheme using Chebyshev chaotic map for multi-server environment［J］.IEEE Trans on Dependable and Secure Computing，2016，15（5）：824-839.

［23］Li Xiong，Niu Jianwei，Kumari S，et al.A novel chaotic maps-based user authentication and key agreement protocol for multi-server environments with provable security［J］.Wireless Personal Communications，2016，89（2）：569-597.

［24］Irshad A，Chaudhry S A，Qi Xie，et al.An enhanced and provably secure chaotic map-based authenticated key agreement in multi-server architecture［J］.Arabian Journal for Science and Engineering，2018，43（2）：811-828.

［25］Bellare M，Canetti R，Krawczyk H.A modular approach to the design and analysis of authentication and key exchange protocols［C］//Proc of the 30th Annual ACM Symposium on Theory of Computing.1998：419-428.

［26］Canetti R，Krawczyk H.Analysis of key-exchange protocols and their use for building secure channels［C］//Proc of International Confe-rence on the Theory and Applications of Cryptographic Techniques.Berlin：Springer，2001：453-474.

［27］Wu Liufei，Zhang Yuqing，Wang Fengjiao.A new provably secure authentication and key agreement protocol for SIP using ECC［J］.Computer Standards amp; Interfaces，2009，31（2）：286-291.

［28］Dolev D，Yao A.On the security of public key protocols［J］.IEEE Trans on Information Theory，1983，29（2）：198-208.

［29］Veyrat-Charvillon N，Standaert F X.Generic side-channel distingui-shers：improvements and limitations［C］//Proc of Annual Cryptology Conference.Berlin：Springer，2011：354-372.

［30］Wang Ding，He Debiao，Wang Ping，et al.Anonymous two-factor authentication in distributed systems：certain goals are beyond attainment［J］.IEEE Trans on Dependable and Secure Computing，2014，12（4）：428-442.

［31］Zhang Linhua.Cryptanalysis of the public key encryption based on multiple chaotic systems［J］.Chaos，Solitons amp; Fractals，2008，37（3）：669-674.

［32］Dodis Y，Reyzin L，Smith A.Fuzzy extractors：how to generate strong keys from biometrics and other noisy data［C］//Proc of International Conference on the Theory and Applications of Cryptographic Techniques.Berlin：Springer，2004：523-540.

［33］Burrows M，Abadi M，Needham R M.A logic of authentication［J］.ACM Trans on Computer Systems，1990，8（1）：18-36.

［34］Burrows J H.FIPS PUB 180-3，Secure hash standard［S］.［S.l.］：National Institute of Standards and Technology，1995.

［35］Huang Xinyi，Xiang Yang，Chonka A，et al.A generic framework for three-factor authentication：preserving security and privacy in distributed systems［J］.IEEE Trans on Parallel amp; Distributed Systems，2011，22（8）：1390-1397.