基于智能卡的動態(tài)身份認證協(xié)議

SC→S：{C3}

(4)收到{C3}后，服務(wù)器計算C’2=h(TID0，TID1，s′，R’2)并檢驗C’2=?C3。若相等，服務(wù)器認證用戶成功，并更新TID0為TID1;否則，拒絕用戶的本次登錄請求。

2.4 口令修改階段

當(dāng)用戶想修改口令時，可以如下更新口令：用戶插入智能卡，輸入舊的口令PW后提示兩次輸入新的口令PWnew，確保新口令的正確。智能卡計算 y=h(PW||N)，ynew=h(PWnew||N)和vnew=v?堠y?堠ynew=synew后用vnew替換原有的v，這樣口令修改階段完成。

3 新認證方案的安全性證明和性能分析

3.1 安全性證明

新協(xié)議給每個用戶分配動態(tài)登錄身份保護用戶的匿名性，攻擊者想進行攻擊必須鎖定目標用戶，否則由于每次登錄身份不同，攻擊者的攻擊都是無效的。故假設(shè)攻擊者已鎖定目標用戶，并能成功截獲目標用戶與服務(wù)器通信信息。

命題1 新協(xié)議能抵抗DoS攻擊

證明：一般地，用戶用動態(tài)身份TIDi登錄，并收到下一次動態(tài)身份TIDi+1。但在用戶登錄過程中遭到DoS攻擊，用戶可以再次利用動態(tài)身份 TIDi登錄，因為新協(xié)議采用三次握手技術(shù)，為確保用戶的動態(tài)登錄身份和服務(wù)器儲存的同步，每次只有當(dāng)用戶登錄成功時，用戶和服務(wù)器才更新動態(tài)登錄身份。這樣只要DoS攻擊不是持續(xù)的，用戶一定能登錄到服務(wù)器，而不必每次都要到認證中心解開賬號，這種設(shè)計不會產(chǎn)生其他的安全問題，主要是重放攻擊和冒充攻擊。

命題2 新協(xié)議能抵抗重放攻擊和冒充攻擊

證明：這里有兩種重放攻擊：攻擊者當(dāng)用戶正常登錄時進行重放攻擊;攻擊者根據(jù)鎖定的用戶，先進行DoS攻擊迫使用戶重新登錄后進行重放攻擊。新協(xié)議采用動態(tài)登錄身份，、攻擊者直接重放以前的登錄信息很容易被識破，假設(shè)攻擊者試著構(gòu)造正確的通信消息進行重放攻擊，冒充合法用戶欺騙服務(wù)器，或者冒充服務(wù)器欺騙用戶，也即身份冒充攻擊。

(1)攻擊者在用戶正常登錄時進行重放攻擊。首先假設(shè)攻擊者冒充用戶，試著構(gòu)造{TIDi，R1，C1}和{C3}。

①重放TIDi，R1，構(gòu)造C1，C3。假設(shè)攻擊者根據(jù)鎖定的用戶，在用戶登錄服務(wù)器時截獲登錄消息{TIDi，R1，C1}，直接從中獲取TIDi 和R1用于隨后重放攻擊，試著構(gòu)造C1，C3。但構(gòu)造C1=h(TIDi，ID，s，R2)，C3=h(TIDi，TIDi+1，s，R2)，攻擊者必須計算R2=r1Q。攻擊者可能從R1=r1P中計算隨機數(shù)r1，但這相當(dāng)于解決ECDLP難題，是很難實現(xiàn)的;攻擊者可能自己選一個隨機數(shù)r計算出R，進而計算

但要計算C1，C3，攻擊者還必須計算s。而s的計算與用戶的口令PW和服務(wù)器的秘鑰k有關(guān)，是很難獲得的，所以此種攻擊是無法成功的。

②重放TIDi，R1，C1，構(gòu)造C3。假設(shè)攻擊者在用戶登錄時截獲第三輪消息{C3}，試著構(gòu)造C3。但是由上面分析，C3中含有s和R2是很難得到的，而且在新協(xié)議中用戶只有通過與服務(wù)器的第三輪握手后才能被認證成功，所以此種攻擊仍無法實現(xiàn)。

攻擊者冒充服務(wù)器，重放消息{TIDi+1，C2}。

重放TIDi+1，構(gòu)造C2。假設(shè)攻擊者在服務(wù)器向用戶發(fā)送消息時截獲并{TIDi+1，C2}，重放TIDi+1，構(gòu)造C2。攻擊者構(gòu)造正確的 C2=h(TIDi+1，s′)，必須獲得s′，但是這些值都與服務(wù)器的秘鑰k有關(guān)，攻擊者是很難得到的，所以此種攻擊也是不可能的。

(2)先DoS攻擊后重放攻擊。此種情況由于用戶重新輸入身份和口令，只是發(fā)送同樣的動態(tài)身份，根據(jù)上面的分析，與直接進行重放攻擊類似，所以此攻擊仍是無法實現(xiàn)。此外，通過上面分析，只有合法用戶才能計算正確的信息讓服務(wù)器認證，只有真正的服務(wù)器才能計算正確的消息通過用戶的認證，所以新協(xié)議提供雙向認證性。

命題3 新協(xié)議能抵抗口令猜測攻擊

證明：下面分別從用戶端和服務(wù)器端來證明。

(2)假設(shè)此處的攻擊者是特權(quán)內(nèi)部攻擊者，即來自系統(tǒng)管理人員，并且從用戶開始注冊就鎖定目標用戶，記錄用戶遞交信息ID，y=h(PW||N)接下來進行口令猜測攻擊。但是由于y中含有高熵隨機數(shù)N，攻擊者仍無法實行口令猜測攻擊。另外，新協(xié)議在服務(wù)器端保存用戶的動態(tài)登身份TIDi和真實身份 ID，而TIDi只是用戶身份的一個代表，由系統(tǒng)隨機分配;用戶的真實身份ID，主要是為了服務(wù)器辨別不同的用戶，這兩個值在協(xié)議中都不是敏感的數(shù)據(jù)，所以新協(xié)議也能抵抗被盜校驗子攻擊。

3.2 性能分析

各種方案計算代價和安全性比較分別如表1和表2所示。從表1看，與Chen等方案比較，新方案需要橢圓曲線上點乘運算并不占優(yōu);但從表2看，Chen 等方案的安全性明顯低，而且新方案建立在橢圓曲線密碼機制上，與傳統(tǒng)的公鑰密碼體制(如RSA)比較具有很多優(yōu)勢，例如256位的ECC與1024位的 RSA具有相同的安全性[10]，所以在同安全條件下，新方案在總的性能上占優(yōu)。從表1看，與唐-皮等方案(唐宏斌等方案和皮蘭等方案)比較，新方案在登錄認證階段多2個哈希運算。但是唐宏斌等方案在用戶登錄前需要一個預(yù)計算階段，皮蘭等方案在登錄認證階段需要與服務(wù)器進行四次握手通信，而本方案不需要預(yù)計算階段，登錄認證只需三次握手通信;而且唐-皮等方案進行口令修改時，還要與服務(wù)器進行四次通信，而新協(xié)議用戶自己就能完成，計算代價明顯減小。從表2 看，新協(xié)議不僅不需要協(xié)調(diào)時鐘，降低成本代價，而且具有匿名性以及抵抗強安全性問題——DoS攻擊，充分確保了認證協(xié)議的有效性。所以新協(xié)議總的性能仍占優(yōu)。

4 結(jié)論

本文提出一種基于智能卡和動態(tài)身份的遠程用戶認證協(xié)議，采用動態(tài)登錄身份來保護用戶的匿名性，避免重放攻擊，通過延長用戶存儲動態(tài)身份和三次握手技術(shù)抗擊DoS攻擊，同時保證協(xié)議性能的高效性，擴大了協(xié)議的使用范圍，例如移動設(shè)備云環(huán)境下的用戶登錄認證。