安全的非智能卡匿名口令认证方案.doc

2008 年 10 月Journal on CommunicationsOctober 2008 第 29 卷第 10 期通 信 学 报Vol 29 No 10 安全的非智能卡匿名口令认证方案 王邦菊 1 2 张焕国1 王玉华3 1 武汉大学 计算机学院空天信息安全及可信计算教育部重点实验室 湖北 武汉 430072 2 华中农业大学 理学院 湖北 武汉 430070 3 河南工业大学 信息科学与工程学院 河南 郑州 450052 摘 要 对 Rhee Kwon Lee 非智能卡 SC 口令认证方案进行安全分析发现 此方案易受内部攻击 不能实现 口令自由更换 并且计算效率不高 基于此提出了一种新的基于散列函数的非 SC 匿名口令认证方案 新方案采 用匿名身份与口令混淆 并结合时间戳来提高安全性和计算效率 新方案弥补了 Rhee Kwon Lee 方案的安全缺 陷 而且 与其他同类非 SC 方案相比较 新方案支持文中理想的非 SC 口令认证方案的所有安全需求 安全性 能最好且计算量小 关键词 口令 口令认证 散列函数 攻击 智能卡 中图分类号 TP309 文献标识码 A 文章编号 1000 436X 2008 10 0070 06 Secure password based authentication scheme with anonymous identity without smart cards WANG Bang ju1 2 ZHANG Huan guo1 WANG Yu hua3 1 School of Computer The Key Laboratory of Aerospace Information Security and Trust Computing Ministry of Education Wuhan University Wuhan 430072 China 2 School of Science Huazhong Agricultural University Wuhan 430070 China 3 College of Information Science and Engineering Henan University of Technology Zhengzhou 450052 China Abstract Rhee Kwon Lee s password based scheme without using smart cards is vulnerable to insider attack password can t be changed freely and its computational cost is high In order to fix all these security flaws a new password based authentication scheme with anonymous identity without using smart cards was presented The security and computational efficiency of our scheme were improved by confusing the anonymous identity with user s password and taking use of the timestamp According to comparisons with other password authentication schemes without smart cards our scheme not only fixes weaknesses of Rhee Kwon Lee s scheme but also satisfies all the security requirements for ideal password authentication without smart cards and is the better one in security performance and computational cost Key words password password authentication hash function attack smart card 1 引言 在一个开放的不可信的网络环境中 连接在 网络上的各种信息系统常常面临多种复杂 严峻 的安全漏洞威胁 其安全问题日益突出 目前的 网络通信一般要提供 5 种安全服务 身份认证服 务 访问控制服务 机密性服务 完整性服务和 抗否认性服务 所有的网络应用环境包括电子商 务 电子政务以及互联网本身都需要这些网络安 全服务支持 其中 身份识别是最需要优先解决 的问题 用户身份认证是最基本的网络安全服务 基于口令的认证即口令认证是身份认证中最简单 收稿日期 2008 05 04 修回日期 2008 10 10 基金项目 国家自然科学基金资助项目 60373087 60473023 Foundation Item The National Natural Science Foundation of China 60373087 60473023 第 10 期王邦菊等 安全的非智能卡匿名口令认证方案 71 方便且应用最广的一种 口令是双方预先约定的 秘密数据 用来验证用户的身份及其知道的隐私 信息 一般使用 用户名 口令 的形式 通常可以根据认证中是否使用智能卡 把口 令认证分为两类 智能卡口令认证与非智能卡口 令认证 由于智能卡口令认证需要相关设备的支 持 应用不太方便 而非智能卡口令认证方案具 有简单和方便的优点 在网络中应用相当广泛 1981 年 Lamport 1 首先提出使用安全的单向 散列函数加密用户端的口令 Lamport 方法简单 容易实现 但事实上 在计算散列链时 运算负 荷较大 而且还涉及了口令重置问题 后来 Peyravian 和 Zunic 2 提出了一种基于散列函数 如 SHA 1 的非智能卡口令认证方案 方案计算量较 小 仅实现了单向认证 且易受到口令猜测 服 务器欺骗及服务器数据泄露的攻击 3 6 Hwang Yeh 3 不仅分析了 Peyravian Zunic 方案安全缺陷的 产生原因 而且还对方案进行了改进 改进后的 方案可以实现双向认证 且能弥补 Peyravian Zunic 方案的安全缺陷 可在 2003 年 Chun 和 Hwang 7 指出 Hwang Yeh 方案易受到拒绝服务 DoS 等攻击 而且 由于服务器公钥的使用 使得用户的运算 开销增大 于是 Chang Ya Fen 等 8 于 2004 年提 出了一种不使用服务器公钥的口令认证方案来解 决这个问题 但是 由于方案中的大量对称密码 算法的使用 使得密钥分配成了一个难题 而且 其较多的模幂运算也增加了系统的开销 Yoon 9 也于 2004 年提出了 Peyravian Zunic 方案的提高方 案 并且声称能抵抗口令猜测 重放 服务器欺 骗及 DoS 攻击 不过 2005 年 Ku 10 发现 Yoon 方案仍然面临着离线密码猜测和认证表偷窃攻击 的威胁 事实上 Yoon 方案还有另一个安全缺陷 即服务器的管理者可以知道用户的口令 2006 年 Peyravian 和 Jeffries 4 提出了一个基于散列函数的 非 SC 口令认证方案 该方案不使用任何的公钥设 施 并认为能抵抗 DoS 攻击 但是 Peyravian Jeffries 方案仍然受到了认证表偷窃和密码猜测攻 击的威胁 而且 由于在注册阶段 服务器易知 用户弱口令 内部攻击也同样存在 2008 年 Rhee 等 11 在研究了 Fan Chang Zhang 方案及 Khan Zhang 智能卡方案的基础上 提出了一个新的非SC 口令认证方案 Rhee Kwon Lee 方案 经本文分 析发现 此方案仍然存在一些安全缺陷 以上的非 SC 口令认证方案都是基于弱口令的 安全研究 事实上 强口令的非 SC 口令认证方案 也一直没有停止过 2004 年 Ku 12 提出一个基于 强口令的非 SC 认证方案 新方案的运算以散列函 数操作为主 该方案声称能经受重放 DoS 预测 内部及注册表被窃攻击 然而 Kim 13 于 2005 年 分析了 Ku 12 方案 指出此方案依然不能抵抗注册 表被窃 DoS 重放和伪装攻击 2006 年 Mangipudi 14 和 Lin 15 等也改进了 Ku 方案 相比 而言 强口令方案的计算负荷较轻 实现简单 费 用低廉 12 但是 强口令对用户并不友好 所以弱 口令的认证方案的应用相当广泛 因而 本文从 弱口令的角度来对口令认证方案进行研究 从非 SC 口令认证的研究状况来看 这些方案 都或多或少存在安全缺陷或计算量大等问题 因 此 非 SC 口令认证方案的安全性能仍是一个急需 解决的关键课题 本文首先对 2008 年提出的非 SC 口令认证 Rhee Kwon Lee 方案进行了攻击分析 发现该方案 也存在安全缺陷 不能有效避免内部攻击和自由 更换口令 而且计算效率不高 为了提高非 SC 口 令认证方案的安全实用性 本文总结了理想的非 SC 方案的 11 项安全需求 并提出了一种新的非 SC 口令认证方案 新方案不仅弥补了Rhee Kwon Lee 方案的安全缺陷 而且还能满足所列的所有安 全需求 2 口令认证方案的安全需求 2 1 安全需求 对于非 SC 口令认证协议 网络上通常的攻击 手段有如下几类 拒绝服务攻击 口令猜测攻击 重放攻击 伪装攻击 内部攻击 注册表被窃攻 击 下面针对非智能卡的口令认证方案的安全需 求 结合文献 7 16 建议了以下 11 种安全性能 S1 口令可以由用户 U 自由选择和更换 S2 可以使用易于记忆的弱口令 S3 方案能实现双向认证 S4 方案能对抗内部攻击 S5 方案能抵抗口令猜测攻击 S6 方案能抵抗验证表被窃攻击 S7 方案能抵抗重放攻击 S8 方案能抵抗 DoS 攻击 72 通 信 学 报第 29 卷 S9 方案能抵抗伪装攻击 S10 方案运算开销少且实用 S11 方案采用匿名身份通信 2 2 标记 本文用到的标记如下 S 表示服务器 U 用户端用户 id 表示用户端用户身份 pw 标记 U 的口令 H 表示抗强碰撞的散列函数 如 SHA 1 x 表示服务器 S 的私钥 Ex Dx 分别表示快速的对称加密和解密 运算 这里 x 表示密钥 rc rs 分别表示由 U 和 S 产生的随机数 标记按位异或运算 表示安全的通信信道 3 Rhee Kwon Lee 方案的安全弱点 3 1 内部攻击 Rhee Kwon Lee 方案 11 的用户注册阶段描述 如下 1 用户U 选择自己的用户名及口令分别为id 和 pw 并且通过安全信道发送 id pw 给认证服务器 S 2 收到信息后 S 计算 Y Y1 Y2 且 Y1 idrxH pw mod p Y2 idr mod p 3 S 发送 H h p Y 给用户 U 4 U 把 S 发送的信息存储到自己的存储设备上 此处 h 表示一个单向函数 由步骤 1 可 知 服务器 S 直接接收到用户 U 的用户名 id 和口 令 pw 往往出于习惯 一个用户可能使用相同的 口令登录多个不同的系统服务器 如果服务器 S 的管理或者内部从员获得了口令 pw 则可能泄露 口令或者以相同的口令去攻击用户使用的其他系 统 这样 采用内部攻击手段即能成功实施对 Rhee Kwon Lee 方案的破坏 即 Rhee Kwon Lee 方案不能满足安全需求 S4 3 2 不能实现自由更换口令 Rhee Kwon Lee 方案的设计中 它只实现了注 册 登录与认证的阶段 而口令更换阶段没有给 出 因而 方案不满足安全需求 S1 3 3 计算开销 方案中核心算法的安全性是建立在大数的模 幂运算基础上 而模幂运算非常耗时 对硬件设 备要求较高 对于计算效率要求较高的资源受限 的网络环境非常不利 因而 Rhee Kwon Lee 方案 不满足安全需求 S10 从以上分析可知 Rhee Kwon Lee 方案易受内 部攻击的威胁 计算量大 而且 方案不能实现 自由更换口令 基于此 本文提出一种新的非 SC 口令认证方案 新方案能修补 Rhee Kwon Lee 方 案的安全缺陷 且计算效率高 不仅如此 新方 案能满足 2 1 节中所列出的全部安全需求 4 本文的新方案 新方案包含三个部分 注册阶段 认证阶段 和口令更换阶段 方案采用的主要运算是散列函 数 如采用 SHA 1 4 1 注册阶段 当用户 U 向一个远程服务器 S 注册时 可以 任意选择一个身份 id 和口令 pw U 首先计算 ID H id H pw 和 HPW H id pw 然后通过一 个安全信道发送给 S 具体的步骤如下 步骤 1 U S ID HPW 步骤2 S 接收到信息后 计算Ex ID HPW ID 并将ID 和 Ex ID HPW ID 存贮到口令验证表 中 这里 x 为服务器 S 的私钥 对于不同用户 Ui S 将为每个用户把 IDi和 Ex IDi HPWi IDi存 贮到口令验证表中 其中 IDi H idi H pwi HPWi H idi pwi 口令验证表参见表 1 表 1口令验证 IDi散列值加密后的口令散列值 ID1Ex ID1 HPW1 ID1 ID2Ex ID2 HPW2 ID2 IDnEx IDn HPWn IDn 4 2 口令认证阶段 当用户 U 向远程系统提出登录请求时 系统 将执行口令认证阶段 口令认证阶段的步骤如下 步骤 1 U S ID rc HPW H HPW rc Tu1 Tu1 第 10 期王邦菊等 安全的非智能卡匿名口令认证方案 73 步骤 2 S U ID rs rc H rs rc 1 Ts Ts 步骤 3 U S H HPW ID rc rs 1 Tu2 Tu2 步骤 4 S U 接受或拒绝登录请求 首先 在步骤 1 中 U 计算 ID rc HPW H HPW rc Tu1 并和时间戳 Tu1一 起发送给 S 作为一个注册请求 其中 HPW H id pw ID H id H pw rc 是一个由 U 产生的一次性长随机数 收到注册请求后 S 首 先检查不等式 Tu1 Tu1 T 是否成立 如果成立 则 S 继续下面的步骤 否则中断对话进程 然后 S 通过以下的计算检查 ID 是否在认证表中为有效 匹配 Ex ID HPW ID ID Ex ID HPW Dx Ex ID HPW ID HPW 之后 S 再判断验证表中第一项的 ID 与计算 出的 ID 是否相同 如果不相同 S 则能识别出认 证表的恶意修改且能利用备份作补救 并中断与 U 的会话 如果相同 则 S 得到了 HPW 接下来 S 将通过运算 HPW rc HPW rc 得到了 U 的随机 数 rc 之后 S 继续计算 H HPW rc Tu1 并将它与 接收到相对应值进行比较 如果相等 则 S 通过 了 U 这一步骤的验证 进入下一步骤 步骤 2 中 S 计算 ID rs rc 和 B H rs rc 1 Ts 并且发送消息 ID rs rc H rs rc 1 Ts Ts 给 U 这里 Ts是 S 的时间戳 rs 是一个由 S 生 成的一次性长随机数 收到 S 的消息后 U 检查 Ts Ts T 是否成立 如果成立 进行以下步骤 否则 U 中断对话 而且 U 通过计算 ID rs ID rc rc 得到 rs 之后 计算散列值 B H rs rc 1 Ts 并和接收到 B 比较 如果相 等 则 U 在这一步骤中认证了 S 在步骤 3 中 U 计算 H HPW ID rc rs 1 Tu2 并和时间戳 Tu2一起发送给 S S 收到步骤 3 的消 息后 检查 Tu2 Tu2 T 是否成立 如果成立 进 行下面步骤 否则 S 终止会话 接着 S 计算 H HPW ID rc rs 1 Tu2 并把它与接收到的对应值 相比较 如果相等 S 接受 U 的注册请求 即 U 可以作为合法用户访问 S 的资源 4 3 口令更换阶段 在此阶段中 一个用户可以任意更换其方便 记忆的口令 口令更换阶段的步骤描述如下 步骤 1 U S ID rc HPW H HPW rc Tu1 Tu1 步骤 2 S U ID rs rc H rs rc 1 Ts Ts 步骤 3 U S H HPW ID rc rs 1 Tu2 Tu2 H HPW rs HPW HPW H rc 1 rs 1 步骤 4 S U 接受或拒绝口令更换请求 口令更换阶段的步骤与口令认证阶段的步骤 大部分相同 仅在步骤 3 中做了修改 步骤 3 中 U 发送了消息 H HPW ID rc rs 1 Tu2 Tu2 H HPW rs HPW HPW H rc 1 rs 1 给 S 其中 pw 是代替 pw 的新口令 接收到 U 发送 的消息后 S 认证 U 的过程与口令认证阶段中一 样 不再描述 对于口令更换中的步骤 3 S 先计 算 H rc 1 rs 1 再通过运算 HPW H rc 1 rs 1 H rc 1 rs 1 来提取 HPW 这里 HPW H id pw 然后 S 计算 H HPW rs HPW 并把它与接收到的值相比较 如果相等 S 认证通过了 U 并接受了新口令 pw 否则 S 拒 绝 接受新口令 pw 后 S 以 HPW 代替 HPW 存储 到验证表中 这样 在以后的登录中 用户 U 将 只能以新口令 pw 进行登录 否则 S 会拒绝其相 关请求 5 安全性能分析 下面将参照本文所建议的非 SC 口令认证方案 的安全需求 对新方案的安全性能进行分析 并 与其他同类方案进行安全性能比较 5 1 新方案的安全性能分析 在本文的新方案中 一个用户可以自由选择 或更换易于记忆的弱口令 并且能够实现双向认 证 由第 2 1 节的安全需求知 新方案明显可以满 足安全需求 S1 S2 S3 和 S11 其他 7 个从 S4 到 S10 的安全需求将在下面进行分析讨论 1 新方案可以满足安全需求 S4 在注册阶段 由于散列函数 H 的抗强碰撞性和 pw 与 id 的混淆 S 不能通过接收到的 ID H id H pw 和 HPW H id pw 得到 id 和 pw 而且 在后阶段的通信中 仅 HPW 参与通信 pw 并没有直接参与运算 所 以不仅在注册阶段 而且在整个方案中 S 都不能 得到 pw 那么 内部攻击就不能成功 即新方案 可以满足安全需求 S4 2 新方案能抵抗口令猜测攻击并满足 S5 口 令猜测攻击分为在线与离线口令猜测攻击 在线 口令猜测攻击可以通过限制登录次数即可预防 74 通 信 学 报第 29 卷 当一个攻击者通过离线口令猜测攻击方案时 必 须是使用用户的身份 id 登录 然而 方案中的 id 是通过 ID 传输 而且 id 通常都是与 HPW 混淆在 一起 即为匿名身份 攻击者不能通过 H id H pw 得到 id 也不能通过截获通信中的消息得 到 HPW H id pw 所以 口令猜测攻击可以被 阻止 因而满足安全需求 S5 3 新方案能抵抗验证表被窃攻击并满足安全 需求 S6 如果一个攻击者 E 偷窃到了验证表 则 E 知道 ID 和 Ex ID HPW ID 值 然而 由于 E 没有服务器的私钥 x 因而不能通过解密运算得到 HPW 因而 无法遍历所有的 id 和 pw 得到正确 的 pw 当然 攻击者可能进行恶意修改验证表攻 击 但是 在口令认证阶段的步骤 1 中 S 进行的 运算 Dx Ex ID HPW ID HPW 通过 ID 的匹配 即可识别出恶意的修改 并可以补救 所以 新 方案能抵抗认证表偷窃攻击并满足安全需求 S6 4 新方案能抵抗重放攻击并满足安全需求 S7 由于来自用户 U 与服务器 S 的时间戳 Tu1 Tu2和 Ts的使用 即使攻击者利用如同文献 5 中 所述的那种重放攻击 得到了曾使用过的 rc 并截 获到了相应的通信消息 也不能伪装为合法 U 与 S 通信和通过重放攻击修改用户的口令 5 新方案能抵抗 DoS 攻击并满足安全需求 S8 当 U 以新口令 pw 代替旧口令 pw 时 可以按 口令更换阶段的步骤 3 进行操作 如果攻击者 E 截获了步骤 3 中的全部消息后 任意选择 X 代替 HPW H rc 1 rs 1 再发送给 S S 依然通过计 算 X H rc 1 rs 1 得到 HPW 并且比较 H HPW X H rc 1 rs 1 和 H HPW HPW 当然 由于 HPW 的约束 此二值不可能相等 则 S 不能接受 X H rc 1 rs 作为新口令 DoS 攻击失败 新方 案满足安全需求 S8 6 新方案能抵抗伪装攻击并满足安全需求 S9 如果一个攻击者伪装成一个合法用户 U 登录 系统 没有 pw id 和 rc 当发送了在步骤 1 中截 获的消息后 在步骤 2 中 由于没有 rc 不能得到 正确的 rs 则将会在步骤 3 中被拒绝 同样的 如果攻击者伪装成服务器 S 由于错误的 rc 将在 步骤 2 中被用户拒绝 因此 伪装攻击不能威胁 本方案 7 新方案的计算量较小 比较适用 因而满 足安全需求 S10 方案注册阶段的计算时间复杂性 表示为 3Th 1TE 这里 Th表示执行一次 H 操作 的时间 TE是运算一次快速对称加密运算 Ex 的 时间 口令认证与口令更换阶段的计算时间复杂 性分别表示为 8Th 2TD和 11Th 2TD TD是运算 一次快速解密运算 Dks 的时间 一般地 TD TE 整个协议方案的所有阶段的计算时间复杂 性为 22Th 5TE 而且 本方案没有任何模幂运算 或模乘运算 因而其运算效率较高 适合资源受 限的网络环境 方案满足安全需求 S10 由以上的安全分析可知 本文的新方案弥补 了 Rhee Kwon Lee 方案的安全缺陷 易受内部攻 击 不能自由更换口令及计算量大 而且 新方 案能满足理想非 SC 口令认证方案的所有安全需求 5 2 安全性能比较 下面将本文的新方案与其他的6 种方案在11 项 安全需求方面进行比较 这些方案都是非 SC 的口 令认证方案 方案对安全需求的支持程度详见表 2 其中 Y 表示支持该项安全需求 N 表示 不支付该项安全需求 表 2非 SC 方案的安全性能比较 S1 S2 S3 S4 S5 S6 S7S8S9 S10 S11 Peyravian Zunic 2 YNNNNNYNNYN Hwang Yeh 3 YNYNYNNNNNN Chang 8 YYYNYNYYYNN Yoon 9 YYYNNNYYYYN Peyravian Jeffries 4 YYYNNNYYYYN Rhee 11 NYYNYYYYYNN 本文的方案YYYYYYYYYYY 表 2 中的数据表明 本文的新方案满足所建 议的所有安全需求 是最好的一种方案 对于 S4 S6 和 S11 安全性能 仅有本文的新方案能够 支持 值得注意的是 新方案不仅可以对抗验证 表被窃攻击 而且 系统中的服务器 S 可以识别 出攻击者对认证表的修改攻击 所以说 本文的 方案是安全 有效且实用的一种口令认证方案 6 结束语 本文分析非 SC 口令认证方案的当前现状 这 些方案或多或少存在安全缺陷或计算效率不高的 问题 特别对 Rhee Kwon Lee 方案的安全弱点进 行了分析 指出了方案不能有效避免内部攻击与 第 10 期王邦菊等 安全的非智能卡匿名口令认证方案 75 验证表被窃攻击的威胁 而且计算费用高 为了 弥补这些方案的安全缺陷 本文提出了一种新的 基于散列函数的非 SC 口令认证方案 相比其他 6 种非 SC 口令认证方案 本文的方案能够支持列出 的所有安全需求 新方案中 使用了抗强碰撞的 散列函数提高安全性与减少运算开销 利用匿名 身份与口令的混淆 减少了利用用户身份进行相 关攻击的许多安全风险 即使服务器也无法知道 用户的口令 目前的非 SC 智能卡口令认证协议 一般都有注册表存储在系统中 因而注册表被窃 攻击是一个很难解决的问题 新方案不仅能能够 成功抵抗注册表被窃攻击 而且还能有效地识别 出攻击者的恶意修改验证表攻击 但是由于服务 器的识别也需要增加计算的开销 因而 将来对 不需要认证表的高安全 高效率的口令认证方案 的研究将会更有意义 参考文献 1 LAMPORT L Password authentication with insecure communication J Communications of the ACM 1981 24 770 772 2 PEYRAVIAN M ZUNIC N Methods for protecting password transmission J Computer Security 2000 19 5 466 469 3 HWANG J J YEH T C Improvement on peyravian Zunic s password authentication schemes J IEICE Transactions on Communications 2002 85 4 823 825 4 PEYRAVIAN M JEFFRIES C Secure remote user access over insecure networks J Computer Communications 2006 29 5 6 660 667 5 KU W C CHEN C M HUI L Cryptanalysis of a variant of ieyravian zunic s password authentication scheme J IEICE Transaction on Communications 2003 E86 B 5 1682 1684 6 TSENG Y M JAN J K CHIEN H Y On the security of methods for protecting password transmission J Informatica 2001 12 3 469 477 7 CHUN L L HWANG T L A password authentication scheme with secure password updating J Computers Security 2003 22 1 68 72 8 CHANG Y F CHANG C C LIU Y L Password authentication without the server public key J IEICE Transaction on Communications 2004 87 10 3088 3091 9 YOON E J RYU E K YOO K Y A secure user authentication scheme using hash functions J ACM Operating Systems Revi