一種改進(jìn)的遠(yuǎn)程雙因子雙向認(rèn)證方案

1、    一種改進(jìn)的遠(yuǎn)程雙因子雙向認(rèn)證方案    郭程摘要：目前很多系統(tǒng)還主要依靠單因子的方式進(jìn)行身份認(rèn)證，這些技術(shù)相比雙因子的身份認(rèn)證方案更易遭受假冒服務(wù)器攻擊和重放攻擊。本文以2011年li等人1的方案為基礎(chǔ)進(jìn)行算法改進(jìn)，提出了一種改進(jìn)的遠(yuǎn)程雙因子雙向身份認(rèn)證方案，改進(jìn)的方案引入了雙向認(rèn)證機(jī)制，使系統(tǒng)的遠(yuǎn)程通信更加符合平等交互的安全原則。相比傳統(tǒng)信息系統(tǒng)的單因子認(rèn)證方案，本方案的系統(tǒng)安全性得到了很大改善。最后通過與li和throung2的方案進(jìn)行比較，說明本文的方案具有更高的效率和安全性。1 li的方案li等人1在2011年發(fā)表的研究中，針對(duì)chun-

2、ta li等人2009年所提出的結(jié)合指紋特征和智能卡的遠(yuǎn)程用戶身份認(rèn)證方案3進(jìn)行分析。研究發(fā)現(xiàn)雖然chun-ta li等人所提出的方案具有不存在認(rèn)證表、能夠抵擋部分攻擊以及儲(chǔ)存在智能卡里的資料受指紋密鑰保護(hù)等優(yōu)點(diǎn)，然而其設(shè)計(jì)的認(rèn)證方案仍然無法抵抗中間人攻擊、驗(yàn)證失敗攻擊（攻擊者從中篡改信息）和密碼猜測攻擊。因此li等人提出的方案中，在雙向認(rèn)證階段的最后加入了會(huì)話密鑰交換機(jī)制。以下針對(duì)li等人的方案做簡要說明：li等人的方案包含四個(gè)階段：注冊、登錄、認(rèn)證、修改密碼階段。假設(shè)注冊中心是可信的第三方，首先選定主要密鑰和不公開的隨機(jī)數(shù)，并將，通過安全的信道傳送給服務(wù)端。主要密鑰為服務(wù)端和注冊中心共同持

3、有，不公開的隨機(jī)數(shù)為服務(wù)器和用戶的智能卡共同持有。另外，考慮到哈希函數(shù)的輸出結(jié)果容易隨著輸入值的變化而變化，無法直接將指紋特征值直接做哈希運(yùn)算，li等人改用指紋識(shí)別模板來進(jìn)行指紋認(rèn)證。本文對(duì)li等人所提出的改進(jìn)方案進(jìn)行研究分析后發(fā)現(xiàn)，li所提出的方案無法抵抗假冒攻擊和竊取驗(yàn)證表攻擊。li方案的各個(gè)弱點(diǎn)說明如下：1.1 冒充身份攻擊在冒充身份攻擊（impersonate attack）中，攻擊者通過某種方式取得用戶的并竊取用戶智能卡，將其破解或通過監(jiān)聽信道取得卡片上儲(chǔ)存的內(nèi)容4。攻擊者使用，向注冊中心申請(qǐng)注冊，注冊中心計(jì)算，并儲(chǔ)存，在攻擊者的智能卡中，攻擊者計(jì)算得到，利用所得信息攻擊者可以隨時(shí)假

4、冒用戶發(fā)起攻擊。1.2 竊取驗(yàn)證表攻擊所謂竊取驗(yàn)證表攻擊（stolen verifier attack），是指攻擊者竊取遠(yuǎn)程服務(wù)器的驗(yàn)證表，從中獲得用戶的身份認(rèn)證識(shí)別碼和通行碼，并進(jìn)一步利用此信息假冒服務(wù)器。在li等人所提的方案中，服務(wù)器利用儲(chǔ)存來預(yù)防重放攻擊。若驗(yàn)證表遭竊，且攻擊者持有用戶與服務(wù)器的通信信息，攻擊者通過計(jì)算得到接著計(jì)算 。持有，攻擊者便可以偽造，回傳給用戶并通過用戶驗(yàn)證，成功欺騙用戶。2 基于指紋特征的遠(yuǎn)程雙因子雙向認(rèn)證方案為了避免以上專業(yè)攻擊，提高遠(yuǎn)程認(rèn)證機(jī)制的可靠性，本小節(jié)以li等人的方案為基礎(chǔ)，提出一種基于指紋特征的雙因子雙向身份認(rèn)證方案，設(shè)計(jì)的算法在注冊、登錄和認(rèn)證階

5、段都有所改進(jìn)，更好的保護(hù)了用戶匿名性，并能抵抗一些攻擊。2.1 注冊階段用戶和注冊中心依照下列步驟進(jìn)行注冊操作：第一步，用戶選取隨機(jī)值并計(jì)算，然后輸入用戶的指紋模板，并將及賬號(hào)通過安全的信道提供給注冊中心。第二步，注冊中心r將與隨機(jī)數(shù)加密運(yùn)算生成 接著計(jì)算，。其中，主密鑰由注冊中心rc與服務(wù)器共享，用戶密碼只有用戶自己知道。第三步，注冊中心r儲(chǔ)存，在用戶的智能卡上。第四步，用戶得到智能卡后，輸入隨機(jī)數(shù)，儲(chǔ)存在智能卡上。2.2 登錄階段當(dāng)用戶登錄服務(wù)器時(shí)，執(zhí)行以下步驟：第一步，用戶使用指紋掃描設(shè)備輸入指紋圖像。經(jīng)過圖像增強(qiáng)、尺寸調(diào)整、正規(guī)化、圖像處理、特征提取、指紋匹配，與指紋識(shí)別模板進(jìn)行比較。

6、若指紋識(shí)別模板與智能卡裝置上的匹配成功，接著再輸入賬號(hào)計(jì)算完成用戶端的驗(yàn)證，用戶繼續(xù)執(zhí)行以下步驟：第二步，用戶輸入。根據(jù)計(jì)算，若，則，其中為用戶生成的一個(gè)隨機(jī)數(shù)，2.3 認(rèn)證階段當(dāng)服務(wù)器收到登錄信息后，服務(wù)器和用戶依照下面步驟進(jìn)行相互認(rèn)證。第一步，服務(wù)器計(jì)算、即、。服務(wù)器傳送認(rèn)證 信息給用戶。第二步，收到傳送的認(rèn)證信息后計(jì)算驗(yàn)證是否成立，若成立，則用戶將服務(wù)器視為合法的服務(wù)器，初始化會(huì)話累計(jì)標(biāo)志。第三步，服務(wù)器計(jì)算。2.4 更改密碼階段首先，若用戶通過指紋識(shí)別模板匹配成功，則輸入舊密碼和新密碼。智能卡使用舊密碼計(jì)算如下數(shù)據(jù)， 。再使用新密碼計(jì)算進(jìn)行如下計(jì)算， ，完成計(jì)算后將取代存儲(chǔ)到智能卡中。

7、3 本文小結(jié)本文以2011年li等人的方案為基礎(chǔ)進(jìn)行算法改進(jìn)，提出了一種改進(jìn)的遠(yuǎn)程雙因子雙向身份認(rèn)證方案，實(shí)現(xiàn)了服務(wù)器和用戶的雙向認(rèn)證機(jī)制，提高了系統(tǒng)的安全性和精確性；并通過隨機(jī)數(shù)加密，實(shí)現(xiàn)了用戶匿名性。實(shí)驗(yàn)結(jié)果說明方案能夠有效保護(hù)了用戶匿名性，可以抵抗密碼猜測攻擊、拒絕服務(wù)攻擊、重放攻擊、中間人攻擊、篡改攻擊、假冒服務(wù)器攻擊。最后通過與li和throung的方案進(jìn)行比較，說明方案具有更高的效率和安全性。參考文獻(xiàn)：1li x，niu j-w，ma jet al. cryptanalysis and improvement of a biometrics-based remote user au

8、thentication scheme using smart cardsj. journal of network and computer applications，2011，34（1）：7379.2truong t-t，tran m-t，duong a-d. robust biometrics-based remote user authentication scheme using smart cardsc/network-based information systems（nbis），2012 15th international conference on. ieee，2012：384391.3h.m. s. a efficient remote user authentication sheme using smart cardsj. ieee transactions on consumer electronics，2000，46（