基于密码的EPR集成系统用户认证方案的安全漏洞与改进

Journalof King Saud University沙特国王大学沙特国王大学学报www.ksu.edu.sawww.sciencedirect.com基于口令的EPR综合信息系统用户认证方案SK Ha fizul Islama，b，*，G.P. BiswasbaBirla技术与科学学院Pilani校区计算机科学与信息系统系拉贾斯坦邦333031，印度b印度矿业学院计算机科学与工程系，Dhanbad，Jharkhand 826004，印度接收日期：2013年3月18日;修订日期：2013年12月26日;接受日期：2014年2015年3月25日在线发布最近，Wu等人提出了一种基于密码的远程用户认证方案， 集成的电子病历（EPR）信息系统，以实现互联网上的相互认证和会话密钥协商。他们声称该方案抵抗各种攻击，并提供更低的计算成本，数据完整性，保密性和真实性。 然而，我们观察到该方案不能抵抗丢失密码/离线密码猜测、被窃取内部信息和已知会话特定临时信息攻击，并且缺乏丢失密码撤销和用户匿名的要求。此外，密码改变阶段使用起来不方便，因为用户不能独立地改变他的密码。因此，我们提出了一个新的基于密码的用户认证方案的集成EPR信息系统，将能够抵抗检测到的安全漏洞的吴等。的方案。2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍* 通讯作者：Birla Institute of Technology and Science，PilaniCampus，Rajasthan 333031，India.联系电话：+918233348791/8797369160。电子邮件地址：ha fi 786@gmail.com，ha fi zul. gmail.com，ha-fizul@pilani.bits-pilani.ac.in（S.H. 伊斯兰教）。沙特国王大学负责同行审查制作和主办：Elsevierhttp://dx.doi.org/10.1016/j.jksuci.2014.03.018信息和通信技术的快速增长具有支持从集中式计算机系统向开放式网络过渡的潜力（Chen等人，2009年）。因此，历史上基于纸张的医疗信息系统现在正被称为电子医学的基于电子媒体的系统所取代（Elberg，2001）。然而，电子医疗系统缺乏收集分散在不同医疗机构的患者病历。由于患者经常到不同的医疗机构就诊，并留下病历，因此很多时候医生面临着如何做出正确诊断或临床决策的问题。因此，1319-1578年，作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词EPR信息系统;双因素用户认证;密码;医疗保健;智能卡;安全性212S.H.伊斯兰教，G.P. 比斯瓦斯表1 Wu et al.'中使用的符号的方案。符号一pwIDSh（||意义医疗服务请求者（用户）用户A用户A集成EPR信息系统（服务器）单向安全密码散列函数逐位异或运算串联运算符电子医疗需要集成的EPR信息系统来从不同的地方收集患者的基于纸张的信息，将其转换为数字记录并使其可用，以便任何合法用户（即，医生、护士、保险公司、患者）可以通过因特网访问EPR信息系统可以定义为可以存储完整或部分患者记录的电子介质（Leiner等人，2003），现在它成为通信、研究和监测医疗信息系统的重要媒介（Huang et al.，2011年）。它帮助医院和医疗机构备份患者的健康信息，并减少了错误、医疗整合丢失或患者病历失败的数量。此外，它还为医生提供了访问患者病历的便利，不仅有助于做出正确的临床决策，而且还用于维护和分析患者的健康状况。它还有助于访问患者的信息，用于科学研究的管理和资源规划，或其他必须开发和集成到电子医学中的服务（Gritzalis等人，2005年）。此外，它还可以提供病人EPR信息系统需要一个相互认证机制，允许合法用户访问存储在远程服务器上的患者医疗信息。然而，安全和隐私是两个主要问题，因为通信信道经常被恶意攻击者嗅探，他们可以拦截、修改和删除消息。为了解决这些问题，使用密钥协商的双因素用户认证（TF-UA）（Wu等人，2010，2011 a，b; Debiao等人，2012年; Wei等人，2012），其中基于口令和口令的TF-UA机制是流行的。此外 ， 匿 名 TF-UA （ Liao 和 Wang ， 2009; Wang 等 人 ，2009，2011）是在不向其他人公开真实身份的情况下相互认证用户和服务器的最合适的机制（Islam和Biswas，2011;Khan等人， 2011年）。最近，Wu等人（2010）提出了一种用于远程医疗信息系统（TIMS）的基于智能卡的密码认证方案，该方案易受 干 扰 和 内 部 攻 击 （ Khan 和 Alghathbar ， 2010 ） ， 如（Debiao等人，2012年）。在（Debiao等人，2012），作者提出了一种新的TIMS TF-UA方案，以消除（Wu et al.，2010年）。然而，Wei等人（2012）表明，这两种方案（Wu等人，2010; Debiao等人，2012）未能保护离线密码猜测攻击，即， 如 果 局外人通过监视定时信息、功耗和逆向工程技术提取存储在密码存储器中的秘密信息，他就可以猜到用户的密码（Kocher等人，1999; Messerges等人，2002年）。然后Wei等人提出了一种改进的TF-UA方案。最近吴等 人 （2012）提出了一种用于集成EPR信息系统的TF-UA方案，但是我们发现该方案容易受到丢失的密码/离线密码猜测（Islam和Biswas，2013 a），内部入侵（Khan和Alghathbar，2010）和已知的会话特定临时信息（Islam和Biswas，2012 a）攻击。此外，该方案没有提供损失补偿的准备金（Fan等人，2005; Khan等人，2011）和用户的匿名性（Liao and Wang，2009; Islam and Biswas，2011）。此外，密码改变阶段使用起来不方便，因为没有服务器的帮助，在这本文提出了一种增强的TF-UA方案，用于集成EPR信息系统，与现有方案相比具有更强的安全性。本文的其余部分分为以下几个部分。我们描述了Wu等人。的TF-UA系统在第2节和它的缺点在第3节中给出。在第四节中，我们提出了一个TF- UA方案，并在第五节中分析了它的安全性和性能.最后，第6节提出了一些结论性意见。2. Wu et al.“的评论集成EPR信息系统的用户认证方案在这一节中，我们简要回顾了吴等。的用户认证方案（Wu等人，2012年），并在表1中列出符号。该计划分为四个阶段：注册阶段、登入阶段、核实阶段及更改密码阶段。2.1. 登记阶段在该阶段中，用户A向S注册以获得医疗智能卡。为此，A向S发送注册请求，然后S执行以下操作：（R-1）。A选择身份ID和密码pw，然后通过安全通道将（ID，pw）提交给S（R-2）。S首先验证ID并计算v=h（K<$ID），其中秘密数K由S选择。（ R-3 ） 。 S 选 择 N 并 计 算 [H=vpw+N ， s = h（pw||K）]，其中秘密H对于每个用户是不同的。（R-4）。 S发出具有参数[h（k），N，s]的k，并通过安全信道将其返回给A。2.2. 登录阶段在 这个 阶段 ， A将 他的 密码 插入 读 卡器 并键 入他 的（ID，pw）。然后，CPU执行以下操作：（L-1）。智能卡选择一个随机数r1并计算（C1，C2），其中C1=h（s||r1)andC2=r1Æp w.（L-2）。智能卡检索N并将{ID，N，C1，C2}发送到S通过开放的渠道。2.3. 验证阶段（V-1）。S验证{ID，N，C1，C2}的ID。如果它是有效的，S进行下一步，否则拒绝A一个基于口令的用户认证方案的密码学分析与改进213-1●1●11（V-2）。S使用他自己的秘密值K和H，并计算v=h（K<$ID）和pw =（H N）v-1。（V-3）。S计算r0=pw-1<$C2和秘密值s0= h（pw||K）。（V-4）。 S检查h（s0||r01)=? C1. 如果不是，S向A发送错误消息，否则转到下一步。（V-5）。 S选择一个随机数r2，计算a = r2<$-h（s0），b=h（pw||R2||r01），并通过开放信道将（a，b）发送到A。（V-6）。在接收到（a，b）时，A计算r02=a<$h（s）并验证b是否等于h（pw||r1）。||r1). 如果它们相等，则A确认S有效并发送消息c=h（pw||R1||r02）到S.（V-7）。 S比较C和H（pw||r01||r2)tocheckwhether bothof them are same or not.如果是，则A被认证为S. 在相互认证之后，A和S都接受sk=h （ r01||r2 ） =h （ r1||r2 ） 作 为 会 话 密 钥 。||r2)asasessionkey.2.4. 密码更改阶段（P-1）。A发送他的旧（ID，pw）和新密码通过一个安全的渠道，（P-2）。 S选择另一个合适的数N*来计算H*=vpwnew+N*。则S计算s*=h（pw new||K），并通过安全信道将[s*，N*]发送到A。3. 吴等人的弱点的用户身份验证方案Wu等人的方案进行了分析，并对其中的一些不足进行了研究和探讨。3.1. 丢失密码攻击/离线密码猜测攻击Wu等人' S方案是一种基于口令和智能卡的TF-UA方案，其中，密钥包含关于A的秘密信息[h（N），N，s]，该秘密信息在稍后的时间用于认证A.基于智能卡的TF-UA方案在卡中存储敏感信息的情况下，面临着恶意攻击的威胁。如果攻击者从证书中提取秘密，认证系统将受到破坏，因此设计者应该采取一些额外的 机 制 来 保 护 这 种 威 胁 。 Kocher et al. （ 1999 ） 和Messerges et al. （2002），所有现有的基于智能卡的方案都容易受到通过差分功率分析的丢失/被盗加密攻击，因为存储在卡中的机密信息可以通过物理监控其定时信息、功耗和逆向工程技术来提取;因为一旦卡丢失，其中的所有秘密都可能被泄露。因此，Wu et al.的方案容易受到这种攻击（Vaidya等人，2010; Khan等人，2011年），其描述如下：(1) 假设对手E从A丢失的n中提取[h（n），N，s]。(2) E从前一会话收集有效的登录消息{ID，N， C1 ，C2}，其中 C1= h（s||r1 ）和 C2= r1<$pw.注意， r1=C2/pw，因此，我们可以写为C1= h（s||C2/w）。(3) 现在，E猜测密码pw*，计算C*=h（s||C2/pw*）并检查C*=C是否成立。如果是，则pw*=pw，否则重复步骤2和3，直到找到正确的pw。E可以很容易地找到A的密码-只需从搜索空间测试所有可能的密码|D|得双曲余切值.|D|是所有可能密码的集合，||表示D的基数。这种离线密码猜测攻击在多项式时间范围内是可能的，因为用户通常选择弱密码（低强度）以便于记忆，|D|还不够大。3.2. 缺少丢失的恢复撤销阶段如果密码丢失/被盗并且其秘密值在（Kocher等人，1999;Messerges等人，2002），然后他可以通过应用离线密码猜测攻击来猜测用户的密码（Vaidya等人，2010; Khan等人，2011年）的信息。因此，为了向最终用户提供强大的安全性，有必要撤销丢失/被盗的证书（Fan例如，2005年）。否则，如果服务器无法区分新的密码和丢失的卡，则对手可以冒充合法用户使用丢失/被盗的密码和旧密码登录到服务器（Khan等人，2011年）。然而，Wu et al.的方案缺乏这样的丢失的撤销阶段。3.3. 内部攻击Wu等人'的方案容易受到内部攻击。在注册阶段，A以纯文本形式将他的（ID，PW）发送给S以获得有效的ID。被窃取的内部人员EofS可以很容易地窃取（ID，pw），并可以通过以下方式执行恶意活动。如果A通过相同的密码pw注册到S之外的其他远程服务器，以便他们记住长密码和易于使用，那么如果所有服务器都采用相同的认证过程，E可以通过使用相同的pw访问其他服务器来冒充A（Khan和Alghathbar，2010; Debiao等人，2012年）。3.4. 不方便的密码更改阶段Wu等人的密码更改阶段对用户不在口令改变中，A通过安全通道将他的旧（ID，pw）连同新口令pw* 一起发送给S然后S选择一个数N*，计算H*=vpw*+N* 和s*=h（pw*||K）并通过安全信道将[s*，N*]发送到A。因此，A不能频繁地改变他的密码，因为每次他都必须使用安全信道，这在实践中非常难以实现此外，密码改变阶段不同于传统的基于智能卡 的 方 案 （ Vaidya 等 人 ， 2010;Khan 和 Alghathbar ，2010），其中密码可以由用户直接更改，而无需远程服务器的帮助。因此，频繁的密码更改会给系统带来额外的负担。3.5. 已知会话特定临时信息攻击根 据 （ Canetti 和 Krawczyk ， 2001; Cheng 等 人 ，2005;Swanson，2008），已知的会话特定临时214S.H.伊斯兰教，G.P. 比斯瓦斯122¼fg！ FGðÞ信息攻击是指会话临时秘密的泄露者可能会破坏会话密钥的 保 密 性 。 这 由 （ Mandt 和 Tan ， 2008; Hou 等 人 ，2010），这种攻击在某些情况下是非常实用的，因为（1）用户和服务器必须信任可能由对手控制的随机数生成器的内部/外部源，以及（2）随机数通常存储在不安全的存储器设备中，而长期秘密被小心地保护。如果在协议执行后没有正确地擦除随机数，攻击者就可能劫持用户的计算机并得到随机数。因此，认证方案必须具有抵抗这种攻击的能力。然而，Wu et al. S方案对这种攻击是不安全的，其中A和S生成会话密钥sk=h（r1||r2），并且如果对手E知道r1和r2，则可以妥协。此外，本公开还从窃听的消息{ ID，N，C1 = h（s）}中导出计算机A的密码pw||r1），C2=r1<$pw} as pw=C2/r1. 因此，Wu et al.的计划需要一些对策来保护这些问题。3.6. 缺乏用户在实践中，在不安全的网络上进行安全通信的基本要求之一 是 用 户 的 匿 名 性 （ Wong 等 人 ， 2006; Wang 等 人 ，2009），这使得外人很难从登录消息中识别原始用户。也就是说，为了保持保密性，用户而不是他的静态身份，发送动态身份，该动态身份通过将一些秘密信息与静态身份绑定来计算，否则具有静态身份的登录消息会泄露关于用户的一些个人信息。外部人员可能截获用户Wu等人的方案没有实现用户的匿名性。在Wu等人的认证阶段，S的方案中，A通过公共网络向S发送{ID，N，C1，C2}，其中包含静态登录身份ID，E可以很容易地从中识别出交易是由A执行的（Khan和Alghathbar，2010）。因此，Wu et al.的方案不提供用户3.7. Wu等人的其他缺点s认证系统除上述之外，Wu et al.的方案具有如下所述的一些其它缺点。(1) 对于每个用户，两个秘密K和H由S保密，其中K对于所有用户都是相同的，而H则因用户而异因此，S必须保持（n+1）个秘密密钥，即，单个K和针对n个用户的n个不同的H在实践中，可以通过仅使用一个秘密密钥来实现服务器和用户之间的相互认 证 （ Wang 等 人 ， 2009; Islam and Biswas ，2011）。因此，不止一个秘密给S带来了不必要的负 担 ， 而 没 有 增 加 系 统 的 安 全 性 （ Khan 和Alghathbar，2010; Vaidya等人， 2010年）。(2) 在登录阶段，MySQL计算{ID，N，C，C}通过重放大量的假认证消息来压倒S的资源来提供服务例如，假设E窃取A如果E提交了大量这样的假消息，S将忙于处理这些消息，同时其他合法用户在试图向S认证自己时被拒绝。4. 集成EPR信息系统在这一部分中，我们提出了一个基于密码和智能卡的TF-UA方案的集成EPR医疗信息系统使用陈等人。的方案（2008）和Schnorr该方案中使用的符号列于表2中。我们的方案由以下阶段组成4.1. 初始化阶段在该阶段中，对于给定的安全参数k，S初始化系统(I-1)S选择两个大素数p和q，使得p=2q+1和Z ω p的生成元g。（I-2）S选择其私钥x 2Zωp，然后计算公钥y g xmod p。(I-3)S选择单向安全加密哈希函数H：0; 1ω0; 1k（一-4）最后，S发表的系统的 参数X^fp;g;H;yg，而私钥x是保密的。4.2. 登记阶段（R-1）。 A选择一个身份-密码对：A_ID_a; PW_a_p和a_d_ a_2R_Z_ ωp，计算Va¼HIDajjPWajjda，和通过安全信道将ID a;Va发送到S。（R-2）。S检查IDa是否已经存在于数据库中。如果是，S要求A提供一个新的身份。然后，S选择ds2RZωp，计算D s^g dsmod p和rs^d s-xe smod p，其中es^H_ID aj jD sjj SN_ID。（ R-3 ） 。 S 计 算 Vs<$HIDajjdsjjSN ， V 作 为 <$HVaes ， 将1/2IDa;rs;es;Vs;Vas;y;H·]插入到该矩阵中，1 2没有检查（ID，pw）的有效性，这导致系统遭受阻塞攻击，一种拒绝服务（DoS）攻击，其中E试图拒绝表2拟议方案中使用的符号。符号PWaIDakp，qZ*p意义用户A身份安全参数两个大素数p和q使得p=2q+1素数阶乘法群g群Z的生成元*x，ySNTa/TsSKEpS的私钥和公钥，其中y=gxmodp身份/序列号单向且安全的加密哈希函数，其中H：{0，1}*fi{0，1}k时间戳由A/S会话密钥选择已添加/已添加-insider一个基于口令的用户认证方案的密码学分析与改进215ðÞðÞ一¼ðÞ¼1/4fg1/4fg通过一个安全的渠道把它还给A然后是S店ID a;SN 数据库中（R-4）。现在，A将da插入到对象中，并替换Vs其中，Ha是Va。最后，该表包含信息1/2IDa;rs;es;H a;Vas;y;da;H·]。4.3. 登录阶段（L-1）。A将他的钥匙插入读卡器，并将IDa;PWa。智能卡然后检查提供的IDa是否与存储的身份匹配。如果不是，则智能卡向A询问有效的身份-密码对，否则计算Va1/4H_IDajjPWajjdan和e0s 1/4V 作 为 H_Van，然后检查e0s1/4es是否成立。如果是这样，通过用1/2IDa;rs;es;Hanew ;Vasnew ;y;da;Ha ;Vas;y;da;Ha·h]替换1/2IDa;rs;es;Ha;Vas;y;da;Ha·h]来更新存储器。4.6. 丢失的身份验证吊销阶段要撤销丢失/被盗的证书，我们的方案执行以下操作：（S-1）。A选择ad 0a2RZωp，计算V0a¼HIDajjPWajjd 0a并通过安全信道向S发送TCIDa;V0a TCID（S-2）。S检查A出生日期、国家身份证号码或其他一些可以唯一识别A的之后，S读取序列号SN0从新卡，选择d 0s2RZωp，计算D0s¼选择ara2RZωq， 计算Ra¼gramodp，gd0p0天0xe0pe0H IDV s¼H aVa.s模式D 0sjj SN0。和rs-s模式 得双曲余切值.s¼ð强生（L-2）。智能卡选择当前时间戳Ta，计算（S-3）。S还计算V01/4H_IDajjd 0jjSN0 N ，并且DIa¼IDaHTajjyraandCa¼HIDajjRajjrsjjesjjTajjVs，V0H V0e0SID0 e0 V0S第0页 yH然后将M11/4fD Ia;Ca;Ra;Ta;rs;esg发送到S。作为¼ð一个S. S插入件½a;rs;s;s;as;进入4.4. 具有会话密钥协商阶段的相互认证（V-1）。 S检查T0a-T a6DT a 保持。 如果不是，S拒绝A（V-2）。S计算IDa1/4DIa H1/4Ta jRxN，并且如果计算的身份无效则拒绝A（V-3）。S获得SN从的数据库，计算ds<$rsxesmodp，Vs<$HIDajjdsjjSN和C0a<$HIDajjRajjrsjjesjjTajjVs，并验证C0a<$Ca是否有效。如果结果是否定的，则S拒绝登录请求，否则认证A。（V-4）。 S选择一个rs2RZωq，时间戳Ts计算R smodp、Ksmod pvv 然后，S通过公共信道向A发送M21/4C S;RS;T Sg，其中C S1/4 H_ID ajjR ajjR sjjT sjjV sjjSK。（ V-5 ） 。 在 接 收 到 M21/4 fCs;Rs;Tsg 时 ， A 检 查 T0s-Ts6DTs是否成立。如果失败，A拒绝M21/4 fCs;Rs;Tsg，否则进行下一步。（V-6）。 A计算K ^H ^R s_a mod p^g rars，SK ^H ^ID ajjTajjTsjjRajjRsjjKjjVs_a 和 C0s^H^IDajjRajjRsjjTsjjVsjjSK_a。如果C sC s保持，则A验证S并接受会话关键SK。4.5. 密码更改阶段（P-1）。A将密码插入读卡器并将旧的身份-密码对IDa;PWa键入。智能卡通过以下方式检查提供的身份IDa是否有效将其与卡中存储的身份进行比较。如果没有，拒绝的请求，否则计算V a 1/4H_ID ajj_PW ajj_d a_ID，e0s¼V asHV a 和验证e0ses。如果是的话，则向A询问新密码。（P-2）。A键一个新的密码PW重新，然后智能-卡计算V新的<$H_IDajj_PW新的jj_da_ID，V新的<$HV新e s和H新H aV AV再。最后，新卡，通过安全通道将其返回给A，将具有序列号IDa;SN0的序列号IDa;SN0更新到数据库。（S-4）。现在，A将d0a插入新卡，并将V0s替换为H0a，其中 H0a¼V0sV0a 。 最 后 ， 新 的 包 含 信 息½IDa;r0s;e0s;H0a;V0as;y;d 0a;H·]。在撤销丢失/被盗的证书的情况下，存在另一个严重的问题。如果口令和密码都丢失了，那么即使系统能够抵抗离线密码猜测攻击，也强烈建议用户使用新的口令重新注册到服务器以获得新的口令。否则，攻击者可以使用丢失的密码和密码伪装合法用户。5. 方案的安全性和效率分析本节分析了我们的方案的安全性方面，并与以前的方案进行了比较。5.1. 非正式安全分析在本节中，我们将提供一个非正式的安全分析，我们的计划，满足大多数的安全要求，如下所述：5.1.1. 重放和并行会话攻击这种攻击可能经常发生，来自试图通过重放某些窃听消息来冒充合法用户/服务器的主动攻击者。假设E收集了A的登录消息M1DIa;Ca;Ra;Ta;rs;es并在当 前 会 话 中 将其重放到S。然而，S拒绝E，因为T0a-Ta6DTa无效。此外，E可以向S发送修改后的消息M0101/4fDIa;Ca;Ra;T0a0;rs;esg，其中T0a0是当前时间戳。在这种情况下，E也被拒绝，因为C0a0- C a。此外，E不能通过重放旧消息M2Cs;Rs;Ts来冒充S，因此，我们的方案是安全的。此外，我们的方案还抵制了部分-攻击者在不知道正确密码的情况下试图冒充合法用户的会话攻击。 在这216S.H.伊斯兰教，G.P. 比斯瓦斯FGg ¼fg[半小时·小时]¼¼ ¼jjjj¼吉吉JJJJJJJJjj一jj游戏吉吉JJJJJJJJÞ一一SSSSS攻击时，E试图从先前的消息中生成有效的身份验证消息 。 假 设 E 收 集 M1 1 1/4 fDIa;Ca;Ra;Ta;rs;es和 m2Cs;Rs;Ts，但是，如果没有秘密密钥和秘密，他就不能存储在存储器中的值此外，E不能改变-由于在fM1;M2g中包括时间戳Ta和Ts，因此仅通过重放窃听的消息fM1;M2g来对A进行声处理。5.1.2. 离线/在线密码猜测攻击通常，用户选择弱密码以便于记忆，因此，密码猜测攻击（Liao和Wang，2009; Vaidya等人，（2010年）如果没有遵循有效的计划，可能会发生来自活跃对手的情况。假设Ecol-选择IDa;rs;es;Ha;Vas;y;da;H从丢失/被盗的智能卡中使用差分功率分析（Kocher等人，一九九九年;Messerges等人，2002）并尝试通过应用一些离线机制对H a¼V sV a，V s¼HID ajjd sjjSN和V a¼HID ajjPW ajjda。 到从Ha得到Va，从Va得到PW a，E必须学习S选择的随机数ds。然而，猜测它的概率和因此，口令是2-k，其中k是安全参数。因此离线密码猜测攻击是很难的。另一方面，我们的方案还可以防止在线密码猜测攻击，在这种攻击中，E猜测A的密码，生成一个伪造的登录消息并将其发送给S。E重复这个过程，直到登录到S。如果发生这种情况，则表明E完全伪装了A。现在E猜出密码PWωa，选择Hωa;rωs;eωs;dωa;rωa2RZωq，时间戳Tωa，计算Rωa¼grωamodp ，DIωa¼IDaHTωajjyrωa ，Vωs<$HaωHIDajjPWωajjdωa ，Cωa<$HI Daj jRωajjrωsjjeωsjjTωajjVωs和发 送Mω1¼fDIωa;Cωa;Rωa;Tωa;rωs;eωsg到S.然后 S计算IDa1/4DIωHTωjjRωx ，d00¼rωxeω ，V00<$HIDajjd00jjS N 和C0a0<$HIDajjRωajjrωsjjeωsjjTωajjV0s0，并观察到C0a0-Cωa因为V0s0- V ω s。因此，S拒绝E的认证请求。5.1.3. 内部攻击在实际应用中，为了方便用户使用，用户可以使用相同的身份和密码访问不同的服务器。然而，如果S的非法内部人员得知A的密码PWa，他当然可以通过使用被盗的密码来冒充A以访问所有服务器，其中A被注册为合法用户。然而，我们的方案可以使这种攻击无效，因为A通过发送IDa;Va由于DLP，从公钥y gxmodp计算x，因此，这种攻击在我们的方案中是困难的5.1.5. 用户在登录阶段，用户A发送一动态身份DIa1/4IDaH_H_T_a_jyr_a_j，其由于T_a和r_a而使会话与会话不同。随机数ra对于E是未知的，所以他不能从DIa中提取IDa，并且它也不能在多项式时间内被猜测。因此，在我们的方案中，用户5.1.6. 相互认证和会话密钥协商在认证系统中，登录和会话密钥协商的相互认证是保证用户在不安全信道上与远程服务器通信时数据安全和隐私的必要环节我们的方案支持安全的相互认证和会话密钥生成。5.1.7. 保护数据完整性在不安全的网络传输过程中的数据的保护和完整性首先，在服务器端和用户端使用C0a<$Ca和C0s<$Cs安全地完成登录和消息验证的完整性。其次，在传输期间，使用会话密钥SK实现数据的完整性、机密性和安全性。在相互认证和会话密钥协商之后，敏感消息用会话密钥加密，然后在开放信道上传输，因此窃听者不能侵犯消息的隐私5.1.8. 会话密钥完全前向保密我们的方案满足会话密钥完美前向保密（Blake-Wilson etal.，1997年），即，即使秘密密钥x被公开，E也不能冒充A。因为E不能生成有效的会话密钥SKH IDa Ta Ts Ra Rs KVs没有K g rars和V s H ID ad s SN。因此，我们的方案提供了会话密钥完美前向保密。5.1.9. 已知会话特定临时信息攻击拟议的方案保护已知的特定于会话的临时信息攻击（Islam和Biswas，2011年，2013年a）。在我们方案 ，S和一计 算的届 会 议键SK_H_ID_a_j_T_a_j_T_s_j_R_a_j_R_s_j_K_j_V_s_j_，哪里K¼ g rars和V s¼HID ajjd sjjSN。如果会话临时秘密r a和r s被泄露，然而SK仍然是安全的，因为E不知道V¼HIDjjdjjSN。P Wajjda是S的内部人士所不知道的，所以他不能只需对Va进行离线猜测攻击即可得到PWa。5.1.4.模仿攻击为了使这种攻击成功，E试图恶意地将自己认证为A到S（或S到A）。然而，这种攻击在我们的方案中是不可行的，因为E不能生成A单词pw. 因为E不能计算V s <$H aHID ajjPW a d a和C a H ID a R ars T a V s以及。另一方面，M2¼fC s;R s;T sg 没有x，其中d s <$rs是xe s和我的意思是我的意思是还有，E不能5.1.10.已知密钥攻击已知密钥攻击意味着即使当前会话密钥被泄露，E也不能计算任何未来/先前会话密钥（Blake-Wilson et al.， 1997年）。在我们的方案中，在每个会话中通过使用随机数ra和rs来生成新的会话密钥SK。SK的新鲜度取决于ra和rs。假设当前会话的会话密钥SK被泄露给E，然而由于散列函数的单向属性，E将不能导出任何秘密。因此，不能从泄露的会话密钥的知识生成其他会话密钥。S一S一个基于口令的用户认证方案的密码学分析与改进217EEEðÞð Þ ðÞEEEEEDLP;EDLP;E以Succ2¼2Pr½Exp2计EDLP;EEEER1pE5.2. 形式安全分析Exp1HashasSucc1¼2Pr½Exp1Hash¼1] -1。的优点Exp1 Hash定义为Adv1 Hashet1;q 最大EfSucc1g，其中根 据 （ Chatterjee 等 人 ， 2014; Das and Bruhadeshwar ，2013），在本节中，我们讨论了关于所提出的方案的安全性的形式化分析。定义1（可忽略的功能）。一个函数ek被称为可忽略的，如果对于每一个c>0，存在k0使得ek6k-c对于每一个kPk0。定义2（单向加密哈希函数的形式定义）。一种抗碰撞的单向密码散列函数H_n ● n：X！Y，其中X¼ f 0; 1 gω 且Y^f0; 1gk，为一种确定性算法，取x2 f 0; 1 g ω 作为输入并输出y<$H x2 f0; 1gk.如果AdvHasht1表示通过概率多项式时间约束对手E发现冲突的优势，则我们定义AdvHasht1¼Pr½ERx1;x2：x1其中Pr[X]表示随机事件X的概率，ER x1;x2表示对x1;x2由E随机选择。在H（n）中找到冲突的成功概率是在E执行时所做的随机选择计算的时间t1. 如果AdvHash不大于1且e1>0足够小，则哈希函数H（n）被称为冲突抵抗。定义3（离散对数问题的形式定义）。设p和q是两个大素数，使得p=2q+1，g是一个乘法循环的生成元p阶群Zp*。离散对数问题（DLP）指出，对于给定的g;ga，通过任何多项式时间有界算法E来寻找a在计算上是困难的，其中a2Zω是未知的。形式上，如果AdvDLP2.0表示在执行时间为et1的情况下，在所有E上取最大值以及向OracleReveal 1进行的查询qR1的数量。我们可以说，对 于 用 户 A 和 服 务 器 S 之 间 的 会 话 密 钥 SK ， 如 果Adv1≤1;qR1≤6e3，对于任意充分条件，小e3>0.基于下面给出的实验（算法1），E可以从所发送的消息导出会话密钥SK如果他/她有能力反转单向散列函数H（●），则可以在A和S之间选择一个空值。根据定义2，对于任何足够小的e1>0，我们都有Adv1Hash_t16e1，因此优势Adv1et1;qR1可忽略不计，因为它取决于Adv1 Hash哈希值为1。因此，E将以可忽略的概率成功地导出会话密钥SK，从而证明所提出的方案对E是安全的。H对手A在发现a方面的优势，我们有Adv DLP [2 Z ω p; g a ω p：a 2 Z ωp ]。在AdvDLP中，成功从a中找到a的概率是在执行时间为t 2的情况下，通过E所做的随机选择来计算的。DLP是一个...假 设 不 可 行 ， 如 果 AdvDLP≥2≤6e2 ， 对 于 任 何 足 够 小 的e2>0。然后，我们定义以下随机预言机用于正式的安全分析：揭示1：这个随机预言机将从对应的哈希值y= h（x）中无条件地输出输入x。● 启示2：这个随机的预言机将无条件地输出一个从对g;g a。定理1. 假设散列函数的行为接近定理2.假设散列函数的行为近似于随机预言机，且DLP具有一定的硬度，则该方案对于概率多项式时间有界的攻击者来说是可证明安全的，即使攻击者从丢失/被盗的密钥中提取出所有的秘密信息，该方案也能证据假设E运行下面描述的实验Exp2Hash（算法2），以便从存储在A的密码中的信息获得A的密码PWa和S的秘密密钥x我们定义了成功概率就像一个随机预言机，那么所提出的方案是可证明的实验2Hash哈希DLP;E散列1/4]对于用于导出在用户和服务器之间建立的会话密钥的概率多项式时间有界的对手是安全的。证据假设E是一个概率多项式时间有界的对手，他运行实验Exp1Hash以破坏所提出的方案的会话密钥SK我们定义了实验-1. Exp 2DLP;E的优点 被定义为Adv2.0;qR1;eR2^MaxEfSucc2g，其中最大值是在执行时间et2和查询次数的情况下在所有Eq R1和q R2对神谕启示1和启示2所做的。 我们可以说，对于A的口令PW a和密钥x，所提出的方案是可证明安全的如果Adv2≠2;q R1;e R2≠6e4，对任何足够小的e4> 0。基于实验Exp2Hash，E可以提取算法1：Exp1HashE由服务器S发送给用户A的认证阶段，其中1：截取消息M2¼ fCS;RS;Tsg，Cs¼ H IDajj Rajj Rsjj Tsjj Vsjj SK3：在发送过程中截取消息M11½fDIa;Ca;Ra;Ta;rs;esg。2：在输入Cs上调用Reveal1oracle以检索IDa、Ra、Rs、Ts、Vs和SKas<$IDωajjRωajjRωsjjTsωjjVωsjjSKω<$←Reveal1<$Cs<$登录阶段从A发送到S，其中CaHIDajjRajjrsjjesjjTajjVs4：在输入Ca上调用oracleReveal1以检索IDa、Ra、rs、es，5：如果IDωaω<$IDωa和IRωaω<$Rωa和IRωs ω<$Rωs和IVωs ω <$VωsTaandVsasIDωaωjjRωaωjjrωsωjjeωsωjjTωaωjjVsωω <$←Reveal1<$Ca<$然后6：接受SKω作为A之间共享的正确会话密钥SK和S7：返回1（成功）8：其他9：返回0（失败）第10章：结束●218S.H.伊斯兰教，G.P. 比斯瓦斯表3方案与其他方案的安全性比较.UIA：针对用户冒充攻击的弹性;PIA：针对内部入侵者攻击的弹性;RA：针对重放攻击的弹性OFPGA/ONPGA：针对离线/在线密码猜测攻击的弹性; SSA：针对服务器的欺骗攻击的弹性; LSA：针对丢失验证攻击的弹性;KSSTIA：针对已知会话特定的临时信息攻击的弹性; LSR：提供丢失验证撤销; SPC：提供安全的密码更改阶段; KKA：针对已知密钥攻击的弹性; PFS：提供完美的前向保密; MA：提供相互认证; SSKA：提供安全的会话密钥协商; UA：提供用户的匿名/保密。NA：不适用。方案/属性UIAPiaRAOFGASSALSAKSSTIALSRSPCKKAPFS马SSKAUALu等人（二零零八年）是的没有是的没有是的NA没有NA是的是的是的没有没有没有Xu等人（二零零九年）没有没有是的没有是的没有没有没有是的是的是的没