先进的安全远程用户保存用户匿名认证方案

钱德拉Sekhar Vorugunti^{* 1},Mrudula Sarvabhatla²

部门的信息和通信技术、DA-IICT Gandhinagar,印度古吉拉特邦
计算机科学与工程系,斯里兰卡Venkateswara大学Tirupathi,印度安得拉邦

通讯作者:钱德拉Sekhar Vorugunti,电子邮件:vorugunti_chandra_sekhar@daiict.ac.in

文摘

确保数据安全传输和远程用户进行身份验证,同时访问服务器资源,基于智能卡的远程用户身份验证方案已被广泛采用。2004年,达斯等人提出的远程用户认证协议与智能卡使用动态保护匿名用户Id。2005年,钱教授等人指出,Das等计划未能保存用户匿名性和计划相当于开放没有任何密码,并提出了一种新的方案来弥补Das et al . 2008年宾度等指出,狗等方案是不安全的对内部攻击和中间人攻击,提出了一种新的方案来弥补简等。在本文中,雷竞技app下载苹果版我们将展示宾度等方案不能保存用户匿名性的假设。除了他们的方案是容易受到用户模拟攻击,server-masquerading攻击、中间人攻击,窃取智能卡攻击,密码猜测攻击、重放攻击,无法实现相互的身份验证和完善保密(PFS)。然后,我们提出我们的改善计划,克服弱点在宾度等?年代计划,同时保留他们所有的优点。

关键字

智能卡、身份验证、身份验证协议,远程服务器访问

介绍

远程用户身份验证机制的远程用户验证访问远程服务器资源或服务在一个不安全的通信通道。基于智能卡的口令认证方案是使用最广泛的技术之一,各种身份验证应用,如网上银行、网上购物等与智能卡密码身份验证是一种有效的双因素身份验证机制。由于其各种优点如灵活性、低计算成本,智能卡广泛部署在各种电子商务应用程序来验证用户的合法性。由于其广泛的使用不同的研究者提出了用户使用智能卡身份验证方案。

多数提议的方案他们中的许多人(第1、6、9、16、20]假设智能卡是防篡改即(不可能从智能卡中提取受保护的软件和数据处理器)。一些方案(2、5、17、18)表明,秘密数据存储在智能卡可以提取等一些手段微调查,软件攻击,屋檐下降,故障生成和监控能耗等。上述攻击清除对手可以篡改和提取的数据防伪智能卡和可以执行各种漏洞攻击如用户模拟攻击,服务器伪装攻击中间人攻击等。除了大部分的计划提出(6、7、8、12、14、20)不保留用户匿名性。保护用户身份,这是至关重要的信息来源。敌人可以执行各种攻击(3、19)流量分析攻击,java脚本攻击,等拦截用户id cookie窃取攻击。连同其他中间传播消息的敌人可以创建一个合法伪造的登录信息。一旦敌人截获用户身份,他可以跟踪用户登录历史和当前位置[15]。

2004年,Das等[9]提出了一种基于动态Id的远程用户身份验证方案基于智能卡保护用户匿名性。动态标识方案允许用户自由选择和更改密码和不维护校验表来验证用户的合法性。然而各种人员[4 10 11]表明,Das等方案是不安全的对各种攻击,像模拟攻击内线攻击等。研究还表明,Das等方案未能保护匿名用户和密码是独立的。2005年简和陈[7],指出Das et alA¢年代计划未能保护用户匿名性,然后提出了一种新的方案来克服弱点Das等方案。钱教授等人声称他们计划保留Das等方案的优点,并提供用户匿名性。

2008年宾度等[13]表明,简等方案容易受到内部攻击和中间人攻击,如果智能卡不再是防篡改即秘密信息存储在智能卡可以提取。因此宾度等人提出了一个改进的方案和声称改善方案消除了安全漏洞在简等。本文我们将表明,行长等方案仍容易受到模拟攻击,服务器伪装攻击,窃取智能卡攻击、密码猜测攻击。然后,我们提出一个改善计划/宾度等„s计划来弥补他们的缺点,同时保留所有方案的优点。总之,我们的方案具有以下优点:1)服务器不需要密码或验证表用户有效性检查。2)用户可以自由选择和更改密码3)用户匿名maintained.4)相互的身份验证实现5)会话密钥交换与6)提供了完美的向前保密方案可以抵抗各种攻击等攻击智能卡偷匹配器,密码猜测攻击、重放攻击和服务器模拟攻击,这些都是实现即使智能卡non-tamper耐药。

剩下的纸是组织如下。第二节简要回顾行长alA¢s方案等。第三部分描述了宾度等方案的安全弱点。在第四节我们提出改进方案及其安全性分析章节中讨论诉的比较给出协议第六节和第七节提供了论文的结论。

回顾宾度等的方案

在本节中,我们研究提出的改进的远程用户身份验证方案2008年宾度等。该计划由三个阶段组成:注册,登录,和身份验证阶段,符号用于宾度等。¢年代计划下面列出:

U:用户

ID:你的身份。

PW:你的密码。

远程服务器。

x: S的秘密密钥

h(.):一个安全的单向散列函数和碰撞的抵抗力。ER [M]:对称加密的消息米使用密钥r p g:⊕diffie - hellman密钥交换协议的参数:独家或(XOR)操作。

登记阶段:

这个阶段是当用户调用U首次向远程系统注册。

(R1)你选择他的用户标识ID,密码PW,然后计算h (PW)。用户提交的ID和h (PW)系统登记。(R2) U S: {ID、h (PW)} (R3) S计算m = h (ID⊕x)⊕h (x)⊕h (PW)和I = h (ID⊕x)⊕x。(R4)问题包含m,智能卡,h (.), g, p

登录阶段:

当用户希望登录到远程服务器,执行下列程序。

(L1) U插入智能卡读卡器的终端,输入ID和密码。

(L2)智能卡生成一个随机数俄文=顾mod p

计算M = M⊕h (PW)

计算C = M⊕俄文

计算R =我⊕俄文= h (ID⊕x)⊕x⊕俄文

(L3)智能卡发送{C、T、ER(俄文,ID, T)}的服务器T是时间戳和ER(俄文,ID, T)是„RA的密文加密¢。

认证阶段:

在收到UA¢年代登录请求消息,服务器执行以下步骤:

(A1)计算R = C⊕h (x)⊕x解密消息ER(俄文,ID, T)使用R获得纯文本(俄文,ID, T)。

A2)测试间隔时间T的有效性和TA¢,TA¢是一个时间戳服务器收到消息的时候。

(A3)服务器S计算R = h (ID⊕x)⊕x⊕俄文。如果它们相等,年代接受其他登录请求拒绝请求。

(A4) S到U: {T1, ER {rs,俄文+ 1,T1}},在rs = gs模p和T1是服务器当前时间戳。收到回复消息(A5) {T1, ER {rs,俄文+ 1,T1}}用户测试时间间隔的有效性,并检查是否解密数据包含俄文值+ 1。如果是用户可以生成会话密钥与p = = (rs) u国防部gus mod p和服务器身份验证的用户。(A6),那么用户将消息传送E:与(rs + 1)服务器。(A7)服务器收到的消息解密并检查它是否等于rs + 1,如果是,可以保证用户进行验证,服务器之间的会话密钥建立服务器和用户。

宾度等的弱点的计划

在宾度等方案中,他们得出的结论是,简方案计数器疲软等方案[7]即内幕攻击和中间人攻击,他们声称他们的方案也可以防止1)重放攻击,2)猜测攻击。在本节中,我们将展示,行长等。¢s计划仍然是容易暴露秘密密钥服务器合法用户,用户模拟攻击,server-masquerading攻击、中间人攻击,窃取智能卡攻击,密码猜测攻击、重放攻击,无法实现相互的身份验证和完善保密(PFS)。

揭示的秘密密钥服务器合法用户:

假设一个对手„EA¢是一种合法的用户。他可以提取秘密数据存储在智能卡通过某种方法(12、13)那么他可以推导出密钥„xA¢服务器,如下所示。

m = h (ID⊕x)⊕h (x)⊕h (PW)。

我= h (ID⊕x)⊕x。(2)

一个合法的用户已经知道他的ID和提取„IA¢存储在智能卡可以执行猜测攻击„xA¢。猜一个秘密值x *并检查h (ID⊕x *)⊕x * = i如果他们服务器的秘密值S x *。否则他可以重复这个过程得到正确的值x *。一旦他知道„xA¢,然后可以找到h (x) h(.)可以替代,该智能卡中的值(1)。

一个合法的用户没有执行上述攻击可以找到x⊕h (x)值如下。(x⊕h (x)值是A1对用户进行身份验证的服务器使用)。⊕我= x⊕h (x)⊕h (PW) (3) m⊕我⊕h (PW) = x⊕h (x)(4)一个合法的用户知道,我,h(.)和PW,他将代入(4),x⊕h (x)的价值。

用户模拟攻击:

用户/服务器模拟意味着如果敌人„EA¢谁是一个合法用户的系统取得了秘密信息存储在一个合法用户智能卡或一些智能卡的中间计算结果发送给服务器,然后他可以冒充用户/服务器相互的身份验证方案。一位对手E是一个合法用户可以冒充另一个合法用户的U服务器如下。

a。拦截UA¢s登录请求消息{C、T、ER(俄文,ID, T)}。

b。计算R = C⊕x⊕h (x)。可以计算x⊕h (x)作为第三部分中指定的,方程(4)由一个对手没有做任何复杂的计算。

c。解密ER(俄文,ID, T)使用R,然后对手E知道ID。(因此在宾度等。¢年代计划用户匿名不保留。),俄文,T。

E d。每当想模仿你他可以发送假的登录请求消息{C T * ER[俄文,ID, T *]} T *与适当的年代。它将通过身份验证过程(A1) s C R, ID,俄文可以重播,固定值(doesnA¢t改变随着时间的推移)。只有价值的对手需要照顾是T *。E可以找到有效的T *屋檐滴U和年代之间的通信。

服务器伪装攻击:

敌人E可以模拟服务器S如下。

a。拦截UA¢s登录请求消息{C、T、ER(俄文,ID, T)}。b。计算R = C⊕x⊕h (x)方式⊕h (x)中指定可以计算方程(4)第三部分没有做任何攻击的敌人。现在E来知道的秘密密钥R用户和服务器加密和解密消息。因此现在任何消息可以轻松截获和解密U S e·c。现在,当你发送一个新的登录请求消息{c * T *, *[俄文*,ID, T *]}。E拦截登录请求消息从美国计算C *⊕x⊕h (x)获得R *。俄文*,解密消息ID、T *。d。E可以冒充S通过发送{T1,呃* (rs,俄文* + 1,T1)} rs = gs模p E。如B(第三部分中所述,E可以得到正确的T1的屋檐滴消息从U S f。U将解密消息,检查是否解密消息包含俄文* + 1。如果你继续用E假设它年代创建会话密钥。

偷来的智能卡攻击:

以防一个合法的用户UA¢年代智能卡被敌人E s的合法用户,然后作为第三节中提到,E可以提取秘密数据存储在智能卡通过任何方式(12、13)。一旦E m,我存储在UA¢年代智能卡然后E可以ID和PW U如下

m = h (ID⊕x)⊕h (x)⊕h (PW)。(1)

我= h (ID⊕x)⊕x。(2)

当E是合法的用户他知道„xA¢年代的密钥在第三部分讨论。他猜测攻击使用方程(2),他想一个ID U ID *和检查是否h (ID *⊕x)⊕x =我。如果他们相等ID的ID是* *你别的他选择另一个ID和重复上述猜测攻击,直到找到匹配。一旦得到你正确的ID,他对方程(1)来执行类似的攻击PW的这是一个严重的漏洞在宾度等。¢年代计划。一旦失去了有效的用户智能卡那么合法的可以使用卡片作为自己的对手。

中间人攻击:

的中间人攻击是攻击对手得到有效的用户中U和年代在运行的方案。他说话时模仿用户服务器,反之亦然。

未能实现相互的身份验证:

所示B, C和E部分三世宾度等alA¢年代计划受到用户模拟攻击,服务器伪装攻击、中间人攻击。因此他们计划未能实现用户之间的相互认证U和远程服务器S [21]。

未能实现与完美的安全会话密钥协议向前保密(PFS):

PFS的目的是,即使敌人记录所有发送的短信密码用户U S,后来他知道的秘密会话密钥用于加密的密文,它必须为他不可能解密密码短信记录。在E的第三部分中,我们表明,行长等alA¢s计划遭受中间人攻击。在这种攻击敌人创建一个会话密钥与用户(考)和系统(与)。因此,对手可以通过用户能够加密解密所有消息会话密钥的秘密(考)和S和秘密会话密钥加密的消息服务器(与)。因此宾度等alA¢s方案未能达到完美的向前保密[21]。

我们的改善方案

在本节中,我们提出一种改进方案在宾度等。¢s方案来弥补安全漏洞(我。e漏洞暴露秘密密钥服务器的合法用户,用户模拟攻击,服务器伪装攻击,窃取智能卡攻击,中间人攻击,保护用户匿名性等),同时保留其优点。拟议的计划分为四个阶段:注册、登录、身份验证,以及密码变化阶段。

登记阶段:

这个阶段是当用户调用U想注册第一次与远程服务器执行以下步骤。

(R1)用户你首先选择他的身份PW ID和密码,和b一个随机数。

(R2) U S: {ID、h (b | | PW)}

(R3)计算:

W = h (ID | | x)⊕h (b | | PW)

在„xA¢是年代的秘密。

(R4) S U,智能卡包含W和公共参数{h (.), p, g}

登录阶段:

每当用户希望登录到远程服务器年代,他插入智能卡终端,输入他的ID、PW和b。然后智能卡执行以下任务。

(L1)计算我= W⊕h (b | | PW) = h (ID | | x)

(L2):生成随机数,u≠0。

(L3):计算:

俄文=顾mod p

认证阶段:

收到登录请求消息从U S执行以下任务(A1)计算R C,在登录请求消息发送的U和x服务器密钥。R = C h (x)国防部p。(A2)测试间隔时间T的有效性和T * T *在哪里登录的服务器时间接收到消息。(A3)验证是否持有以下方程

安全分析的改进方案

在本节中,我们讨论和展示我们的方案如何修复漏洞中发现宾度等。¢s方案同时保护方案的优点。

匿名用户:

保存用户的匿名在我们计划以加密的形式发送用户ID的使用一次性密钥R .知道发送登录请求的用户,远程服务器S必须解密消息ER使用R(俄文,ID, T),计算R, S将数据存储在智能卡的用户,这样它可以计算R刷卡智能卡的用户。在宾度等。¢s计划一旦合法对手E的机密数据被存储在智能卡通过某种方法(2、5、17、18),如在第三节所讨论的,对手E的密钥可以找到x服务器,一旦他获得的中间计算结果,他可以派生密钥R, R = C⊕x⊕h (x), E x, h (x)从数据存储在智能卡作为第三部分讨论从中间计算结果和C。

要解决这个问题密钥x R不得来自机密数据存储在智能卡或中间计算结果。在我们的计划我们只存储W = h (ID | | x)⊕h (b | | PW)智能卡。在计算上是不可行的一个对手E是一个合法用户,即使他知道ID、密码、b计算x,密钥的远程系统这是由于单向和耐碰撞性能的哈希函数。也却是不可行的计算I = h (ID | | x)为合法用户即使他知道ID,如itA¢年代不可能让他得到x正如上面所讨论的。同样,如果E C获得中间计算结果,在计算上是可行的在h (x)从公式C h (x)国防部p,由于离散对数的性质。

正如上面所讨论的在我们计划itA¢年代不可能连敌人是谁合法用户的密钥服务器x从数据存储在智能卡与宾度等。(这并非如此¢s计划在第三部分讨论)和itA¢年代不可能计算密钥R从中间计算结果。同样是当一个合法的用户拦截其他用户登录信息。因此在我们的系统中基于哈希函数和离散对数性质我们用户匿名保护。

抵抗用户模拟攻击:

冒充用户U,敌人E也是一个合法的用户必须假冒登录消息C、T, ER(俄文,ID, T)和应答消息M = h (rs | |随着)(A6)远程服务器s模拟U E必须知道你的ID来创建一个假消息,见一个截面V itA¢年代不可能对E R,所以他不能解密登录消息发送的U和得到UA¢年代认同我。e e ID。另一种方法,可以回放一个有效的登录信息从U但是他需要建立一个有效的回复消息给我。e M = h (rs | |随着)(A6)。发送伪造的回复M = h (rs | |与库),E必须知道发送的rs年代美国派rs在A4 U。rs的对手,必须解密ER (rs, h (ID | |俄文| | T | | T1 | |随着)]但V的部分中讨论其计算上可行的获得R甚至法律对手e .因此在我们的计划不可能任何人冒充合法用户U在我们的计划。

抵抗服务器伪装攻击:

冒充远程服务器的年代,一个对手E送U,伪造应答消息{T1, ER (rs, h (ID | |俄文| | T | | T1 | |随着)]}在A4一旦E所示的登录信息,收到一个V在计算上是不可行的E部分获得R来解密消息登录{C、T、ER[俄文,ID, T]}获得俄文,ID.In A4远程服务器S发送{T1, ER (rs, h (ID | |俄文| | T | | T1 | |随着)]}美国得到rs,今年,E必须获得R,这我们所示V的却是不可行的。因此不能获得rs,与打造远程服务器的应答消息美国因此在我们的计划是不可能的,任何人冒充服务器。

抵抗离线密码猜测攻击和偷来的智能卡攻击:

在我们的计划我们只存储W = h (ID | | x)⊕h (b | | PW)智能卡。证明在截面的对手E V是一个合法用户远程服务器的年代,doesnA¢t获得ID和x。b是一个随机数由用户选择U, E doesnA¢t知道它。不知道ID、x、b在计算上是不可行的计算PW获取W后从UA¢s智能卡,由于哈希函数属性。ItA¢年代不是宾度的情况下的¢s计划一个对手是谁偷了智能卡的合法用户可以能够获得ID和PW C(第三节中讨论。因此,我们计划提供抵抗离线密码猜测攻击和偷来的智能卡攻击。

相互的身份验证:

在我们的方案中,U,进行身份验证的服务器将验证U R通过比较在A1等于A3和由U A6我发送的消息。e h (rs | |随着)= m在V的我们在计划表明,itA¢年代不可能获得ID, R, x, h (x)的对手即使他是一个合法用户。V B的部分我们已经表明,我们的计划提供了对用户的模拟攻击。ItA¢E年代不可能伪造登录美国发送的消息发送假的登录信息年代,E, E需要计算C,即计算I, E需要UA¢年代PW和ID。第五部分我们的计划所示保存用户匿名因此ItA¢E年代不可能得到截面ID的D V我们计划表明,抵抗离线密码攻击,因此E不能获得PW U没有ID和PW, E不能创建一个伪造的登录信息。另一方面,你验证年代通过检查密文ER (rs, h (ID | |俄文| | T | | T1 | |随着)]。截面在C V我们表明,itA¢年代不可能的E建立ER (rs, h (ID | |俄文| | T | | T1 | |随着)]只伪装成美国合法服务器年代谁知道x, h (x)可以推出R从Ch p (x)国防部解密登录消息发送的年代可以提取俄文,ID和计算机rs和与框架能够有效的ER (rs, h (ID | |俄文| | T | | T1 | |随着)]消息。

安全会话密钥与完美的向前保密协议:

宾度等方案作为第三部分的讨论E, MiM攻击导致暴露的秘密共享会话密钥之间U和年代的对手。在我们的方案中,用户和服务器发送一个加密格式的俄文和rs使用„RA¢。截面在V我们表明,itA¢s却是不可行的计算R的对手,因此itA¢年代不可能的一个对手,他是合法的用户执行中间人攻击和解密密文包含俄文和rs。因此我们建议方案提供安全与完美的会话密钥协议向前保密(PFS)。

安全特性的比较

结论

2008年宾度等。¢年代提出了一个改进的远程用户身份验证方案保存用户匿名性是一个改进版的钱教授等在2004年提出的方案。然而在本文中,我们表明,行长等。¢s计划doesnA¢t保存用户匿名,因为他们声称是。除了我们已经表明,行长等。¢s计划很容易受到多次袭击像用户模拟攻击,服务器伪装攻击、中间人攻击,窃取智能卡攻击和未能提供完美的向前保密。除了我们提出的方案是一种改进的版本在宾度等。¢s方案,同时保留所有的优点。我们的方案doesnA¢t妥协任何攻击甚至秘密信息存储在智能卡。我们还提供了各种身份验证协议的比较与我们的提议。比较表表明我们的协议是更安全比其他类似的协议。

引用

Sandeep Kumar Sood”,一种改进的基于智能卡的安全动态身份认证协议,”国际期刊的网络安全,第九卷,第一,PP.39-46, 2012年1月
Oliver Kommerling马库斯·g·库恩:设计原则防伪智能卡处理器,学报的USENIX智能卡技术研讨会上(智能卡¢99),芝加哥,伊利诺斯州,美国,可能外,1999年,USENIX协会9-20,页。ISBN 1-880446-34-0。
乔治Danezis理查德•克莱顿马库斯·g·库恩:现实世界的失败模式在匿名系统中,在爱尔兰共和军s·莫斯科维茨(ed):信息隐藏,第四国际研讨会,2001年IHW,匹兹堡,美国4月25-17,2001年,2137年信号,斯普林格出版社,230 - 245页。ISBN 3-540-42733-3。
A.K. Awasthi,评论„动态远程用户认证实名schemeA¢,交易密码术,1卷,2号,2004年,页15 - 17。
大肠荆棘,c .键盘和f·奥利弗,相关权力分析泄漏模型,课堂讲稿在计算机科学,3156卷,2004年,页135 - 152。
陈Y.C. L.Y.叶,一个高效nonce-based身份验证方案与关键协议,应用数学和Com - putation, 169卷,2号,2005年,页982 - 994。
H.Y.教授和陈h,远程身份验证方案保存用户匿名,IEEE国际会议上先进信息网络和应用——阳离子,2卷,2005年,页245 - 248
H.R.涌,W。C Ku, M.J. Tsaur,弱点和改善王等。¢年代远程用户密码身份验证方案资源有限的环境中,计算机标准和接口,31卷,第4期,2009年,页863 - 868
马丁Das, A . Saxena和副总裁Gulati,动态的基于id的远程用户身份验证方案,IEEE消费类电子产品,50卷,2号,2004年,页629 - 631
I-En辽、c·c·李和黄m . s .,(2005),“安全增强为一个动态的基于id的远程userauthentication计划”,在IEEE计算机科学出版社,NWeSPA¢05年,页437 - 440,首尔,韩国。
a . k . Awasthi Lal,(2004),“动态安全分析的基于ID的远程用户认证计划”,\ http://eprint。iacr.org/2004/238.pdf。
马丁Das, A . Saxena诉Gulati, d . Phatak小说远程用户身份验证方案使用双线性配对,电脑&安全、25卷,3号,2006年,页184 - 189。
C.S.宾度,P.C.S.Reddy和B。Satyanarayana”,提高了远程用户身份验证方案保存用户匿名,”国际期刊的计算机科学和网络安全,8卷,3号,第66 - 62页(2008)。
马丁Das,纳史木汗,做一个简单的和安全认证和密钥建立协议,第一次国际会议上新兴的工程和工艺趋势——”,2008年,页844 - 849。
y (h .秋胡和y、安全分析与匿名身份验证方案的无线,IEEE通信技术国际会议上,2006年,页1 - 4。