-
在信息安全的“木桶理论”中,作为“桶底”的身份认证的重要性不言而喻。近年来,加密技术和身份认证技术发展突飞猛进,各种具有不同安全性能和运算复杂度的密码体制不断涌现;从单一口令认证到结合智能卡、生物特征的多种因素身份认证技术层出不穷。但由于网络环境的开放性和多种不可靠因素的迭代,身份认证协议面临各种形式多样的攻击威胁[1],从而导致身份认证协议的分析和设计存在客观的复杂性。而正是在这种安全技术攻防易手的进程中,不断有新的更为安全高效的远程身份认证方案展现出来。
智能卡具备方便安全的特性,生物特征有其特有的唯一性[2-3],结合智能卡及生物特征的多因素身份认证方案一直是身份认证技术研究的热点,先后涌现出多种改良的多因素身份认证协议[4]。
2010年,文献[5]提出了一种只使用少量异或运算和杂凑运算的的智能卡多因素身份认证协议,并证明了该协议具有高效性。2011年,文献[6]分析并证明了上述协议存在的漏洞,并设计一种安全性更高的多因素身份认证协议。随后,文献[7]证明此协议也不能抵抗若干种已知攻击,为修补所发现的缺陷,给出了改良的多因素身份认证协议。文献[8]指出文献[7]的运算复杂度较高,且存有多种安全漏洞,给出了更为安全高效的多因素身份认证协议。
本文首先分析了文献[8]提出的身份认证协议,指出该协议存在的安全漏洞,然后给出一种新的三因素远程身份认证协议。新协议引入标准的挑战/应答机制,使用椭圆曲线点乘运算替换文献[8]协议中的模幂运算,由Hash函数的单向性、椭圆曲线离散对数难题和生物特征的安全特性保证协议具备更高的安全性能。经分析证明,新协议能抵御各种已知攻击,并具备更高的运算效率,还支持协商生成认证双方后续所需的一次性会话密钥。
-
现有认证协议[8]的安全漏洞分析如下,协议中所用符号如表1所示。
表 1 符号标记与含义
符号标记 含义 p 大素数 q (p−1)素因子 g 有限域GF(p)中的q阶本原元 Ui 用户i Rx x挑选的随机数 IDi 用户i的帐号 PWi 用户i的口令 PWinew 用户i的新口令 Ni 用户i的注册次数 SCi 用户i的智能卡 Bi 用户i的生物特征 S 服务器 Kpri_x x的私钥 || 字符串连接运算符 $ \oplus $ 异或运算符 Hash(·) Hash函数 mod 模幂运算 Gen 模糊提取的生成过程[9] Rep 模糊提取的恢复过程 δ 模糊提取生成的随机秘密信息 θ 模糊提取生成的辅助位串 Tx 时间戳 • 椭圆曲线点乘运算 $K_{X,Y}^n$ 第n次成功身份认证以后,由X生成的用
以向Y通信的一次性会话密钥 -
MITM(man-in-the-middleattack)攻击亦为中间人攻击[10-11],指敌手阻拦截取并再次发送公共信息上的认证消息,同时令正常参与认证的双方彼此都还以为是直接在与对方通信。假定现有一敌手Uatt,他有能力阻拦截取认证双方的交互信息,那他就可能实现下述的MITM攻击。
1) Uatt阻拦截取Ui传递给S的认证消息Mess1={DIDi, A, Ci, T1},同时启动一个新的与S间的会话,把伪认证消息Mess1' = {DIDi, A, Ci, T1}传递给S。
2) S在T2时刻同时接收到发自用户Ui和敌手Uatt的登录求消息Mess1和Mess1',再执行两次的验证:T2 − T1≤ΔT,显然验证都将得以通过。S计算D = AKpri_s mod p,IDi = D⊕DIDi,W = Hash(IDi || Kpri_s || Ni ),Ci' = Hash(IDi || W || A || D || T1);S再两次验证等式Ci' = Ci,显然等式都将成立,Ui和Uatt都将被认证为合法用户。
3) 服务器S为两次会话分别选定随机数RS-Ui、RS-Uatt,读取当前时刻T3,计算F = gRs_Ui mod p,G = ARs_Ui mod p,
$K_{S,{U_i}}^n$ = Hash(IDi || G || D || W || T3 || T1),CS = Hash(IDi ||$K_{S,{U_i}}^n$ || W || T3)和F2 = gRs-Uatt mod p,G2 = ARs-Uatt mod p,$K_{S,U{\rm{att}}}^n$ = Hash(IDi || G2 || D || W || T3 || T1),CS2 = Hash(IDi ||$K_{S,U{\rm{att}}}^n$ || W || T3);最后S分别将认证消息Mess2 = {CS,T3,F}、Mess2' = {CS2,T3,F2}返回给Ui和Uatt。4) 敌手Uatt拦截服务器S的返回的认证消息Mess2和Mess2'。然后,敌手Uatt将伪信息Mess2* = Mess2'发送给用户Ui。
5) 用户Ui收到Mess2*后,验证T4 − T3≤ΔT,显然验证得以通过。然后智能卡SCi计算G' = F2R_SCi mod p = (gRs_Uatt)R_SCi mod p,
$ K_{{U_i},S}^n $ = Hash(IDi || G' || B || W || T3 || T1),CS* = Hash(IDi ||$ K_{{U_i},S}^n $ || W || T3)。因为B = YR_SCi mod p = (gKpri_s)R_SCi mod p = (gR_SCi)Kpri_s mod p = D且G' = (gRs_Uatt)R_SCi mod p = (gR_SCi)Rs-Uatt mod p = G2,经智能卡校验生成的CS*与接收到CS2是相等的,所以Uatt将被Ui认证为合法的服务器,MITM攻击得以实现。图1给出了针对文献[8]认证协议展开MITM攻击的细节。 -
上节中敌手Uatt可成功顶替合法用户的身份实现服务器欺骗,同时也实现假冒服务器身份实现用户欺骗。所以文献[8]的方案无法实现安全的远程双向身份认证。
图 1 针对文献[8]协议MITM攻击的细节
-
字符串连接操作和异或运算的运算量很小,与协议中的其他运算相比可以忽略不计。这里主要考量协议在登录、认证和密钥协商过程中的模幂运算、点乘运算和Hash运算的运算量。协议的口令更新和智能卡撤销为偶然性操作,其运算量也不在认证过程运算复杂度考量范围之内。表2给出了文献[8]等协议和本文协议的主要运算量比较。表中,Te为模幂运算,Ts为点乘运算,Th为Hash运算。
-
从表2可以看出文献[8]等协议和本文协议在运算次数上并没有显著差别。但文献[13-15]显示,在相同的密码安全强度下,椭圆曲线所需的密钥量比RSA所需的密钥量低得多。两者安全密钥位的比较如表3所示。
表 2 各协议的主要运算量比较
表 3 相同安全性能下RSA和ECC密钥位的比较
RSA/bit ECC/bit 密钥长度比 512 106 5:1 768 132 6:1 1024 160 7:1 2048 210 10:1 7680 410 19:1 -
远程身份认证协议的服务器通常需要同时处理多个登录认证请求,因此服务器的运算量对整个协议的效率影响最大[16]。如表2所示,文献[8]协议的登录和认证过程在服务器端所需运算量为3Ts+4Th,而本文协议相应过程在服务器端所需运算量为3Ts+5Th。在运行平台Windows 7、Intel i7 2.8 GHz、RAM 16 G,Matlab环境中,仿真这两种协议的登录和认证过程在服务器端的主要运算耗时,结果图4所示。
在提供相同安全强度的前提下,本文协议使用的椭圆曲线点乘运算与文献[8]等协议中所使用的模幂运算相比较,具备速度更快的优势。而且,随着密钥长度的增加,这一优势将更为明显。
综上所述,本文协议具备更高的运算效率。
A Secure and Efficient Remote Authenticated Protocol Based on Three Factors
-
摘要: 为有效提高远程身份认证协议的安全性能,将椭圆曲线、挑战/应答机制、生物特征、智能卡和口令认证技术相结合,提出了一种安全高效的三因素身份认证协议。协议采用椭圆曲线的点乘运算,既提升了安全性又降低了运算复杂度。认证双方使用挑战/应答机制的3次握手来实现双向认证,协议的认证过程引入随机数,并完成会话密钥协商。协议的安全性能基于Hash函数的单向性、椭圆曲线的离散对数难题和生物特征的安全特性。通过对多种已知攻击的形式化推演,证明该协议能抵御各种常见攻击,具有较高的安全性能。经仿真实验证明,协议具有更高的运算效率。Abstract: In order to effectively improve the security performance of remote identity authentication protocol, a secure and efficient three factors identity authentication protocol is proposed by combining elliptic curve, challenge/response mechanism, biometrics, smart card and password authentication technology. The point multiplication of elliptic curve is adopted in the protocol, which improves the security and reduces the computational complexity. The two sides of authentication use three handshakes of challenge/response mechanism to realize two-way authentication. The protocol introduces random numbers and completes session key agreement. The safety of this protocol is based on the unidirectionality of Hash function, discrete logarithm problem of elliptic curve and the security characteristics of biometrics. Through the formal deduction of a variety of known attacks, it is proved that the protocol can resist various common attacks and has high security performance. Simulation results show that the protocol has higher computational efficiency.
-
Key words:
- biometrics /
- challenge/response /
- elliptic curve /
- Hash function /
- smart card /
- password authentication
-
图 1 针对文献[8]协议MITM攻击的细节
表 1 符号标记与含义
符号标记 含义 p 大素数 q (p−1)素因子 g 有限域GF(p)中的q阶本原元 Ui 用户i Rx x挑选的随机数 IDi 用户i的帐号 PWi 用户i的口令 PWinew 用户i的新口令 Ni 用户i的注册次数 SCi 用户i的智能卡 Bi 用户i的生物特征 S 服务器 Kpri_x x的私钥 || 字符串连接运算符 $ \oplus $ 异或运算符 Hash(·) Hash函数 mod 模幂运算 Gen 模糊提取的生成过程[9] Rep 模糊提取的恢复过程 δ 模糊提取生成的随机秘密信息 θ 模糊提取生成的辅助位串 Tx 时间戳 • 椭圆曲线点乘运算 $K_{X,Y}^n$ 第n次成功身份认证以后,由X生成的用
以向Y通信的一次性会话密钥表 2 各协议的主要运算量比较
表 3 相同安全性能下RSA和ECC密钥位的比较
RSA/bit ECC/bit 密钥长度比 512 106 5:1 768 132 6:1 1024 160 7:1 2048 210 10:1 7680 410 19:1 -
[1] 赵宗渠, 黄鹂娟, 汤永利. 基于RLWE的生物特征认证密钥交换协议[J]. 计算机应用研究, 2020, 37(11): 3437-3440. ZHAO Z Q, HUANG L J, TANG Y L. Biometric authenticated key exchange protocai basei on RLWE[J]. Application Research of Computers, 2020, 37(11): 3437-3440. [2] 濮光宁, 殷凤梅, 侯整风. 基于智能卡的匿名认证方案[J]. 合肥师范学院学报, 2020, 38(3): 16-19. doi: 10.3969/j.issn.1674-2273.2020.03.005 PU G N, YIN F M, HOU Z F. Anonymous authentication scheme based on smart card[J]. Journal of Hefei Normal University, 2020, 38(3): 16-19. doi: 10.3969/j.issn.1674-2273.2020.03.005 [3] 蒋伟, 王瑞锦, 余苏喆, 等. 基于步态识别的移动设备身份认证模型[J]. 电子科技大学学报, 2019, 48(2): 272-277. JIANG W, WANG R J, YU S Z, et al. Research on identity authentication model of mobile devices based on gait recognition[J]. Journal of University of Electronic Science and Technology of China, 2019, 48(2): 272-277. [4] LIN C S, LAI Y Y. A flexible biometrics remote user authentication scheme[J]. Computer Standards and Interfaces, 2004(1): 19-23. [5] LI C T, HWANG M. An efficient biometrics-based remote user authentication scheme using smart cards[J]. Journal of Network and Computer Applications, 2010, 33(1): 1-5. doi: 10.1016/j.jnca.2009.08.001 [6] DAS A K. Analysis and improvement on an efficient biometric-based remote user authentication scheme using smart cards[J]. IET Information Security, 2011, 5(3): 145-151. doi: 10.1049/iet-ifs.2010.0125 [7] LI X, NIU J W, WANG Z B, et al. Applying biometrics to design three-factor remote user authentication scheme with key agreement[J]. Security and Communication Networks, 2013, 7(10): 1488-1497. [8] CHATURVEDI A, MISHRA D, JANGIRALA S, et al. A privacy preserving biometric-based three-factor remote user authenticated key agreement scheme[J]. Journal of Information Security and Applications, 2017, 32: 15-26. doi: 10.1016/j.jisa.2016.11.002 [9] DODIS Y, OSTROVSKY R, REYZIN L. Fuzzy extractors: How to generate strong keys from biometrics and other noisy data[J]. SIAM Journal on Computing, 2008, 38(1): 97-139. doi: 10.1137/060651380 [10] 刘帅, 陈建华. 无双线性对的无证书签名方案及其在配电网中的应用[J]. 计算机科学, 2020, 47(9): 304-310. doi: 10.11896/jsjkx.200500002 LIU S, CHEN J H. Certificateless signature scheme without bilinear pairings and its application in distribution network[J]. Computer Science, 2020, 47(9): 304-310. doi: 10.11896/jsjkx.200500002 [11] 冯志华, 罗重, 鄢军霞, 等. 基于PUF的安全固态盘双向认证协议[J]. 计算机工程与设计, 2020, 41(3): 621-627. FENG Z H, LUO C, YAN J X, et al. Mutual authentication protocol for secure SSD based on PUF[J]. Computer Engineering and Design, 2020, 41(3): 621-627. [12] 李增局, 史汝辉, 王建新, 等. 基于DPA对Gauss形式CRT-RSA的选择明文攻击[J]. 密码学报, 2016, 3(2): 202-210. LI Z J, SHI R H, WANG J X, et al. DPA-Based adaptive chosen-message attack on CRT-RSA[J]. Journal of Cryptologic Research, 2016, 3(2): 202-210. [13] 章嘉彦, 李飞, 李如翔, 等. V2X通信中基于椭圆曲线加密算法的身份认证研究[J]. 汽车工程, 2020, 42(1): 27-32. ZHANG J Y, LI F, LI R X, et al. Research on identity authentication in V2X communications based on elliptic curve encryption algorithm[J]. Automotive Engineering, 2020, 42(1): 27-32. [14] MEHTA E, SOLANKI A. Minimization of mean square error for improved euler elliptic curve secure hash cryptography for textual data[J]. Journal of Information and Optimization Sciences, 2017, 38(6): 813-826. doi: 10.1080/02522667.2017.1372131 [15] 圣文顺, 王玉祥, 孙艳文. 基于椭圆曲线加密算法的SET协议改进研究[J]. 计算机应用与软件, 2020, 37(11): 299-333. doi: 10.3969/j.issn.1000-386x.2020.11.048 SHENG W S, WANG Y X, SUN Y W. Improvement of set protocol based on elliptic curve encryption[J]. Computer Applications and Software, 2020, 37(11): 299-333. doi: 10.3969/j.issn.1000-386x.2020.11.048 [16] 黄朝阳, 郭健, 汤碧玉, 等. 基于双线性对的双向认证密钥交换协议[J]. 计算机工程与设计, 2014, 35(8): 2671-2675. doi: 10.3969/j.issn.1000-7024.2014.08.010 HUANG C Y, GUO J, TANG B Y, et al. Two-Party authenticated key exchange protocol based on bilinear pairings[J]. Computer Engineering and Design, 2014, 35(8): 2671-2675. doi: 10.3969/j.issn.1000-7024.2014.08.010