动态组口令的EPR信息系统认证密钥交换方案的安全性验证

制作和主办：ElsevierJournal of King Saud University沙特国王大学沙特国王大学学报www.ksu.edu.sawww.sciencedirect.com基于动态组口令的EPR集成信息系统Vanga Odelua，b，*，Ashok Kumar Dasc，Adrijit Goswamiaa印度理工学院数学系，Kharagpur 721 302，印度b拉吉夫·甘地知识技术大学数学系，印度海得拉巴500 032c印度海得拉巴国际信息技术研究所安全、理论和军事研究中心，邮编500 032接收日期：2013年7月24日;修订日期：2014年3月10日;接受日期：2014年4月15日2015年11月7日在线发布摘要随着互联网的迅速发展，大量的电子病历（EPR）被开发用于电子医疗系统。电子病历的安全和隐私问题很重要以便了解医院如何控制对他们的个人信息的使用，例如特定患者的姓名、地址、电子邮件、医疗记录等。最近，Lee等人提出了一个简单的基于组口令的认证密钥协商协议，用于集成EPR信息系统（SGPAKE）。然而，在本文中，我们表明，李等人'。的协议容易受到离线弱口令猜测攻击，因此，他们的方案不能保护用户的隐私。 为了抵御Lee等人发现的这个安全漏洞，的方案的基础上，提出了一种有效的基于动态组口令的EPR信息系统认证密钥交换方案，该方案保留了Lee等人的原有优点。的方案。通过形式化和非形式化的安全性分析，证明了该方案具有用户隐私性、完善的前向安全性和已知密钥安全性，并能抵抗在线和离线密码猜测攻击。此外，我们的方案有效地支持动态组密码为基础的认证密钥协商集成EPR信息系统。此外，我们还使用广泛接受的AVISPA对我们的方案进行了形式化的安全验证*通讯作者：数学系，印度技术学院，Kharagpur 721 302，印度。电 子 邮 件 地 址 ： odelu. gmail.com ， odelu.phd @maths 。iitkgp.ernet.in（V. Odelu），iitkgp. gmail.com，ashok.das@iiit.ac.in （ A.K. Das ） ， goswami@maths.iitkgp.ernet.in （ A.Goswami）。沙特国王大学负责同行审查http://dx.doi.org/10.1016/j.jksuci.2014.04.0081319-1578© 2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词密码分析;生产者责任综合信息系统;动态组;口令;认证;安全一种安全有效的基于动态组口令的认证密钥协商方案69fg！ FG（Automated Validation of Internet Security Protocols and Applications）工具，并表明我们的方案是安全的，可以抵御被动和主动攻击。©2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍在一个完整的电子病历信息系统中，医疗机构和医院掌握了患者的大部分详细信息，可以做出正确的在这样的系统中，需要避免非法访问以及防止信息在不安全的互联网上传输期间被盗动态组密钥协商协议提供了组成员加入和删除的机制。在文献中已经提出了几个动态组密钥协商协议我们可 以 将 组 密 钥 协 商 协 议 分 成 两 类 （ Lee 等 人 ， 2013年）。第一种是带公钥的组密钥协商协议。例如，Tzeng和Tzeng（2000）、Tzeng（2002）、Boyd和Nieto（2003）、Kim等人（2004）、Lee等人（2006）以及Jeong和Lee（2007）提出的密钥协商协议采用公钥基础设施（PKI）并提供更高的安全性。然而，它们需要维护复杂而繁重的公钥系统，并且用户必须持有额外的存储来保存公钥/私钥对。第二种是基于口令的无公钥组密钥协商协议（GPKE）。例如，Lee等人（2004）、Abdalla等人（2006）以及Dutta和Barua（2006）的密钥协商协议向所有通信方提供相同的密码。也就是说，每个用户没有他/她自己的私人密码，因此，用户不能拥有他/她的隐私。 然而，Zhang等人（2012）表明Dutta和Barua的方案（Dutta和Barua，2006）是不安全的，其中他们的方案不满足密钥独立性（Steiner等人，2000），并且在协议的先前执行中其逻辑索引不相邻的任何两个恶意用户可以在新的协议执行中发起重放攻击。因此，这些基于密码的方法不太适合许多实际场景（Lee等人， 2013年）。Boyd和Nieto（2003）描述了第一个会议密钥协商协议，该协议可以在单轮中完成。然而，他们的方案缺乏前向保密性。前向保密性是指当一个节点（用户）离开网络时，它不能读取任何未来的消息。Kim等人（2004）在随机预言模型下提出了一个高效、安全的动态群组恒轮认证密钥协商协议（AGKE）。D u t t a 和Barua（2006）提出了Kim等人的变体。S方案（Kim等人，2004年）。Dutta-Barua的方案使用理想密码模型，而不是简单的掩码，他们声称他们的方案是安全的，可以抵抗字典攻击。不幸的是，他们的方案包含另一个冗余源，可以被攻击者利用（Abdalla等人，2006年）。2006年，Abdalla等人（2006）提出了第一个可证明安全的基于口令的恒定轮组密钥交换协议。它在随机中是可证明安全预言和理想密码模型，它利用了决定性的Diffie-Hellman最近，Lee等人（2013）提出了一种简单的基于组密码的认证密钥协议，称为SGPAKE协议，用于集成EPR信息系统。他们的方案基于Abdalla和PointchevalLee等人，的SGPAKE协议不使用任何长期密钥或公钥系统。Lee等人（2013）声称，SGPAKE协议为每个用户提供唯一的私有弱密码，并抵抗密码猜测攻击，因此他们的方案提供了用户隐私和数据隐私。然而，在本文中，我们表明，在一个组Sn中的任何用户U i可以得到用户U i-1的私人密码，通过设置离线密码猜测攻击，使它不提供用户的隐私。我们的目标是提出一个改进李等人。的SGPAKE协议，同时保留了Lee等人的原有优点。的方案。 通过形式和非形式的安全性分析，我们证明了改进的方案提供了用户的隐 私和 完美 的前 向安 全性 ，并 且能 够抵 抗离线密码猜测攻击。本文的其余部分组织如下。第二节给出了单向散列函数、离散对数问题和群Diffie-Hellman问题的性质。在第3节和第4节中，我们回顾了Lee et al.的SGPAKE协议，然后讨论Lee等人的安全缺陷。的SGPAKE协议。我们将在第5节中解释我们的改进方案。在第6节中，我们给出了改进方案的安全性。通过形式和非形式的安全性分析，证明了改进方案在保护用户隐私和完善的前向安全性方面是可证明安全的。在第7节中，我们使用广泛接受的AVISPA（互联网安全协议和应用程序的自动验证）工具对我们的方案进行了形式化安全验证，并证明了我们的方案是安全的。在第8节中，我们比较了我们的计划与其他相关的现有计划的性能。最后，我们在第9节中总结了这篇论文。2. 数学范畴在这一节中，我们讨论了单向散列函数、离散对数问题和群Diffie-Hell- man问题的性质的SGPAKE协议（Lee等人，2013）及其安全性分析和改进方案。2.1. 单向散列函数一单向抗碰撞散列函数h：0; 1ω0; 1n是一种确定性算法（Sarkar，2010; Stinson，2006），它将输入作为任意长度的二进制字符串x2 f0; 1gω，并输出二进制字符串70V. Odelu等人AAðÞ( A ðÞ半]¼M-我¼我●hiðÞ一R我Zi一gxi-1yi- 1xi我我我h<$x <$2 f0; 1gn的固定长度n。对手A在发现冲突方面的优势的形式化高级已删除文件夹x½x;x0（A：x¼x0和hxhx0];私有密码，其与可信服务器S共享。因为描述了Lee et al.的方案，我们使用表1中列出的符号。假设U i;U i1; 2;. . ;nn nn是通信的S是可信的集成EPR信息系统其中Pr E表示随机实验中事件E的概率，并且x;x0R表示对x;x0由随机选择。在这种情况下，对手被允许是概率性的，并且优势的概率是在对手A以执行时间t做出的随机选择上计算的。如果AdvHASH对于任何足够小的s>0都不大于6s，则哈希函数h·h被称为是抗冲突的。安全单向函数的示例是SHA-1（安全散列标准，2010）。安全单向散列函数的基本属性之一是其输出对输入中的小扰动非常敏感（Das，2011）。最近提出的 散列算法 Quark（ Aumasson等人 ，2010）是 比SHA-1更有效的哈希函数。然而，目前，美国国家标准与技术研究院（NIST）不再推荐SHA-1用于绝密文件。在2011年，Manuel证明SHA-1对于碰撞攻击是不安 全 的 （ Manuel ， 2011 ） 。 在 本 文 中 ， 与 DasandGoswami（2013）和Das et al.（2013）一样，我们可以使用SHA-2作为安全的单向哈希函数来实现最高安全性。然而，我们只使用来自Lee等人的SHA-2的哈希摘要输出的160位。的SGPAKE方案和我们的改进方案。2.2. 离散对数问题（Das，2013; Das等人， 2012年）给定有限群G中的一个元素g，其阶为n，即n/4#Gg（Gg是由g生成的G的子群），server. Gg是由生成元生成的乘法群g;p是一个大素数，M;N是一个大数，它们是公开的。 Zωp¼f1;2;3;. . . g是所有小于p且与p互质的正整数的集合。换句话说，Zωp1g，哪里表示两个整数的最大公约数（gcd）x和y，并且可以使用欧几里得除法算法的重复应用来有效地计算3.1. 用户注册阶段在用户注册阶段，用户在访问来自服务器S的服务之前需要向服务器S注册。为了注册，每个新用户Ui需要选择他/她选择的随机现时值Xi. 在此之后，用户Ui经由安全信道将该随机数xi发送到服务器S3.2. 认证密钥交换阶段此阶段包括以下步骤：步骤1.我！S：m1¼ f g xiM pwig用户Ui选择与可信服务器S共享的私有弱密码pwi。●用户U i计算g xi 和gxiMpwi，使用所选择的范围，G中的另一个元素y。问题是找到最小的非负整数x，使得gx y。在这个被称为离散对数问题（DLP）的问题中，它相对于容易到计算离散幂运算给定g;x和n，使用重复的平方，dom noncexi，选择的密码pwi和公钥M，Ui在用户注册阶段。● 然后，用户Ui经由公共信道向服务器S发送消息hm1i，其中，m m1/2 fgxiMpwig。PW和乘算法（Stallings，2003），但它是计算-在给定y;g和n的情况下，当n很大时，确定x在理论上是不可行的。DLP的正式定义见定义1（第6.3节）。步骤2. S！ U i：m21/4fgyiNi;EK1/2Sn;Ki-1;K 0]g●在步骤S102中从用户Ui接收到消息hm1i1时，服务器S选择随机现时值yi。● 服务器S然后计算gyi;gyiNpwi;gxi 1/4gxiMpwi ;Ki-1 ÷ðgxi-1Þyi-1ðmodpÞ and2.3.群Diffie-Hellman问题（Bresson等人，（2003年）设G是循环群，其阶为素数n，即，#Gn.设g是G的生成元。对于给定的一组值，PxK0g xi1yimod p，对于i 1; 2;. . ;n.注意，N是S的公钥。● 之后，服务器S加密信息Sn;Ki-1;K 0iK ig xiyimod p。gi对于从集合f 1; 2;.. . ;ng，计算公共群Diffie-Hellman秘密g x 1 x 2. 当n很大时，xn在计算上是不可行的。群 Diffie-Hellman 问 题 的 正 式 定 义 可 以 在 Bresson et al.（2003年）的报告。3. Lee et al.的评论s SGPAKE协议最后，服务器S向用户发送消息m2通过公共频道，m21/4fgyiN pwi;EK1/2Sn;Ki-1;K 0]g.步骤3. 我！ω：m3¼fXig●在步骤2中从服务器S接收到消息hm2i之后，用户Ui计算密钥Ki1/4在本节中，我们简要回顾了最近提出的李gyiN-iXiN-我¼gxiyi”““然后，然后，等人'的SGPAKE协议（Lee等人，2013年），以显示其方案的密码分析。Lee等人，的计划包括三个阶段，即用户通过使用密钥解密EKi½Sn;Ki-1;K 0i]来计算Ki-1和K 0iKi作为[Sn;Ki-1;K 0i=DK i 1/2EK i 1/2Sn;Ki-1;K 0i]]。● 如果用户U i成功验证EKi/Sn;Ki-1;K 0i]，则他/她计算Zi¼Ki-1xigxi-1yi-1xi modp注册阶段、认证密钥交换阶段和通行证-词的变化阶段。每个用户都需要记住自己的弱点K0 ÷g xiyixiþ1 modpZi 1/4gxiyixi1。●我我一种安全有效的基于动态组口令的认证密钥协商方案71.Σxiyix-i1yi-21g1I2¼ ðÞn我1/4f g表2在用户访问注册、认证密钥交换和密码更改阶段S方案（Lee等人，2013年）。登记阶段我！S：pwi;xi(via安全通道）认证密钥交换阶段S！U：m¼fU！S：m¼fXi我1G MG我-我I2GN ;E½S;K;K]gy i我 -我Kn我我-10我我！ω：m3¼fXig我！ω：m4¼fAuthi1;Authi2g密码更改阶段我！ S：ID i; pwi;pw0i(via安全通道）提供数据隐私和用户隐私。然而，我们证明了群Sn中的任何用户Ui都可以通过离线密码猜测攻击得到群Sn中另一个用户 Ui-1的密码 pwi-1.因此，我们表明，李等人'。的SGPAKE方案不提供用户的隐私。用户Ui是组Sn中的攻击者，可以使用以下步骤获得该组Sn中的另一个用户Ui-1的密码pwi-1：步骤1. 的用户Ui计算的关键Ki作为Ki¼gyiNpwixiNpwi¼gxiyi然后得到Ki-1和Ki通过解密E，Ki 1/2Sn;Ki-1;K 0i]，其中密钥Ki为Sn;Ki-1;K 0i步骤2. 用户U i获得Ki-2和K 0i-1 通过解密EKi-1½Sn;Ki-2;K 0i-1]与步骤1中导出的密钥Ki-1的关系1，然后使用Auth_i-1_i2验证K_0_i_1的有效性。步骤3.用户U i-计算gyi-1as● 最后，用户Ui广播消息hm3i，其中gyi-1¼K0i-1x-i1 P1000-1000-1000 -1000modpm3Xi，到Sn频道经由公共x-i1modp是 计算 有效 使用Euclid 's algorithm（Stallings，2003）.步骤4.然后， 用户U i将Npwi-1计算为步骤4. 我！ω：m4½fAuthi1;Authi2gi-11/4gyi-1Npwi-1Nmodp，来自●在步骤3中接收到消息hm3i之后，用户Ui计算秘密值ski<$Zn×Xn-1×Xn-2×···用户Ui-1。步骤5. 请注意，用户U i-1iii1i 2× X n-1 ¼ gx1 y1 x2 x2 y2 x3···xnynx1 mod p弱密码用户Ui可以设置离线密码猜测攻击，以正确地获得优先级，● Ui计算密钥构造签名·Authi1;Authi2n，其中Authi1<$Hn;ski;U i n，并且vate密码pw0i-1用户Ui-1使得Auth¼HS;K 0。N pw0i-1¼N p wi-1 迭代pwi-1的所有可能的选择。● 然后，Ui 广播消息hm4i，其中m41/4 fAuthi1;Authi2g，经由公共信道。● 最后，Ui通过验证Authj1（对于i-j）来认证另一用户Uj同时，服务器S还通过验证Authi2来认证每个用户Ui。结果，通过验证Authi1，实现了组Sn中的n个用户之间的相互认证。另一方面，通过验证Authi2，服务器S执行服务器S与组Sn中的n个用户之间的相互认证。3.3. 密码更改阶段如果合法用户Ui想要改变他/她的密码pwi，则他/她将他/她的身份IDi、旧密码pwi和新密码pw0通过安全信道被传送到集成EPR信息系统S服务器S然后检查IDi和旧密码pwi的有效性。如果这些都是有效的，S用新密码pw0i更新pwi。Lee等人的“在用户注册、认证密钥交换和密码更改阶段的消息交换的总结。的方案如表2所示。4. 李等人的密码分析s SGPAKE协议在本节中，我们表明，李等人'。的SGPAKE协议对离线密码猜测攻击是不安全的。Lee等人声称他们的方案可以为每个用户提供一个私有的弱口令，并能抵抗口令猜测攻击。因此，Lee et al.的计划应此攻击有以下步骤：步骤5.1. U i为用户选择一个猜测的密码pwi-1Ui-1。第5.2步。 知道服务器的公共信息Ni计算值Npw0i-1。第5.3步。U i比较计算值N pw0i-1 其中导出的值为Npwi-1。第5.4步。如果在步骤5.3中存在匹配，则指示用户U i-1的密 码的 正确 猜测p w i - 1。否则，从步骤5.1开始重复。结果，作为内部攻击者的用户Ui可以被允许猜测他/她自己的组Sn中的用户Ui-1的低熵密码pwi-1。表1符号SUiIDipwiekiSnpGM;N我的天本文中使用的符号。描述可信集成EPR信息系统服务器通信用户用户U的身份i用户Ui的私有密码用户Ui的对称加密密钥一个由n个成员组成的一种安全的单向抗碰撞散列函数群Zωp中的生成元公钥EK·=DK·使用密钥K的A！B：X实体A通过公共信道向实体B发送消息XC1;C2数据C1与数据C2连接72V. Odelu等人hi！1/4fgM-我Xy- ðxi-xiy21吉吉xixiy21i-1！ 1/4fghihi1/4fgUm¼ ðÞ我N-我i-1Xi1/4fg我我！ 1/4fg.Σ5. 改进方案在本节中，我们首先描述改进方案背后的主要动机。然后，我们给出了一个威胁模型下，我们的计划进行了分析。最后，我们讨论了与我们的改进方案相关的各个阶段。5.1. 动机U i发送注册请求消息ID i;x i;pw i 通过安全通道发送到服务器S。5.3.2. 认证密钥交换阶段我们的认证密钥交换阶段包括以下步骤：步骤1. U iS：m1g xiM pwi步骤1.1.每个用户Ui选择一个随机数xi。我们已经证明，组S中的任何用户U可以导出第1.2步. U i计算g xi 和gxiMpwi，使用生成元gI n组中另一个用户Ui-1的密码pwi-1，Sn到以及用户Ui的公钥M。步骤1.3.然后，Ui发送消息hm1i，其中的离线密码猜测攻击因此，在本发明中，李等人' SSGPAKE方案不提供用户的隐私。因此，我们觉得有需要提出改善李议员的m1g xi M pwi 通过公共信道发送到可信集成EPR信息系统服务器S。等人'的计划，以抵御在李发现的安全漏洞等人'的SGPAKE方案，同时保留原有的优点步骤2.S！ U i：m2fgyiNpwi;E埃克岛½Sn;K i-1 ;K 0i]gLee etal.“的SGPAKE方案。通过形式和非形式的安全性分析，我们表明我们的改进方案，步骤2.1.S选择一个随机数yi。步骤2.2. S计算g yi; g yiN pwi; g xi¼ gxi Mpwi;Ki-1卫星提供用户的隐私和完美的前向安全性和I-1 21年modp，且K 0igx2iþ1Þi ð modp，抵抗离线密码猜测攻击。我们也证明了与 Lee 等 人 的 方 案 相 比 ， 我 们 的 方 案 是 有 效 的 。 的SGPAKE方案和其他相关的现有方案。5.2. 威胁模型与Das和Goswami（2013）一样，我们在改进方案中使用Dolev-Yao威胁模型（Dolev和Yao，1983），其中两个然后，任何对手（攻击者或入侵者）都可以窃听通过公共不安全信道传输的消息，并且他/她可以修改，删除或更改传输消息的内容我们采用类似的威胁模型，我们的计划，因为信道是不安全的，端点（用户和服务器）一般不能被信任。5.3. 我们的改进方案我们的方案包括三个阶段，即用户注册阶段，认证密钥交换阶段和通过-- 使用用户Ui的密码pw i和服务器S的公钥N，用户U i的密码pw i已经在注册阶段期间由用户Ui安全地发送到服务器S。步骤2.3. S然后计算加密key ek ig xi yimodp，对于i 1; 2;.. . ; n. S使用计算出的加密密钥ek i对信息KSN;Ki-1;K 0i进行加密。第2.4步：最后，S经由公共信道向用户U i发送消息hm2i，其中m21/2fgyiN pwi;Eek1/2 Sn;Ki-1;K 0]g。步骤3.Uiω：m3X i步骤3.1. U i计算加密密钥ek i^gyiNpwixi^g xiy inmod pi，并获得K和K 0i 通过用计算出的密钥ek i解密Ee ki/Sn;Ki-1;K 0i]。步骤3.2. 如果U i成功验证Eeki½Sn;Ki-1;K 0i]，则他/她然后计算Zi¼Ki-1gi-1 modp词的变化阶段。如Lee等人的“的协议，每个用户也只需要记住他/她的弱密码与一个Z i1¼ K0xi 布吕格gxixi1y2我我 modpZi1Zi可信服务器S。但是，即使用户的密码是1/4gxi-1xiy2mod p弱，我们的方案抵抗离线密码猜测攻击与Lee etal.“相比，的方案。为了描述我们的方案，我们也使用表1中列出的符号。我们假设U i;U i¼1; 2;. n是n个通信方，S是可信集成EPR信息系统服务器。Gg是由生成元g;p生成的乘法群是一个大的素数，所以它是难以处理的离散对数，和M;N步骤3.3. 最后，Ui广播消息hm3i，其中m3¼ fXi g.步骤4.Uiω：m4Auth i1; Auth i2步骤4.1.在步骤3中接收到消息m3之后，Ui将秘密值ski计算为skiZn ×Xn-1×Xn-2×···×X1是大公共钥匙，这是制成公共，和i ii1I-2gx1y2x 2x 2y2x 3···xny2x 1Zωp¼f1;2;3;. . . ;p-1g。¼1 2 n nnmodpn：我们将在下面的小节中详细描述用户注册阶段、认证密钥交换阶段和密码更改阶段。5.3.1. 用户注册阶段如Lee等人的“的方案中，在我们提出的改进方案中，用户U i在访问S的服务之前首先需要向可信服务器S注册。为了注册，每个新用户Ui需要生成他/她选择的随机数xi，选择私有密码pwi，并选择身份IDi。则用户步 骤 4.2. Ui 计 算 密 钥 构 象 Aut hi1;Aut hi2n ， 其 中Authi1<$H<$Sn;s ki;U in和Aut hi2<$H<$Sn;K 0in。步骤4.3.i广播消息4，其中m4Auth i1;Auth i2。第4.4步。最后，用户Ui通过验证Authj1（对于i-j）来认证组Sn中的另一个用户UjSK如SK HSn;SKi.同时，服务器S通过验证Authi2来认证每个用户Ui。一种安全有效的基于动态组口令的认证密钥协商方案73ðÞð ¼ÞY1/4g（以磷酸盐计）：表3我们的方案的用户注册和认证密钥交换阶段的总结。用户Ui服务器S登记阶段生成随机数xi，选择恒等式IDi和密码pwi。i;xi;pwii(via安全通道）认证密钥交换阶段-我知道计算m ¼ gM.Xi1我-我hm1i！生成一个随机数y，计算g N，yPW我我我gxi¼;Ki-1gxi-1i-1modp，gxi M-iy2M-我计算密钥ek i Þ以P表示，K0xy2我g我的1我modpxiyiÞ.使用eki加密n;Ki-1;K0in。对于i 1; 2;.. . ; n，以及hm ¼f GN;E½S;K;K0]giyPW2我我ekn我-我1我计算密钥ek¼.G NyPW我我ΣX我←-我1/4gXy我我N-我modp，检索½Sn;Ki-1;K0i]De ki½Ee ki½Sn;Ki-1;K0i]]。验证Ee ki½Sn;Ki-1;K0i]。如果成功，则计算Z1/Z2Zi¼Ki-1 ÷gðXixi-1xiy2我-1 modp第一章1克鲁伯0xi我xixi1y2你好，我 modp2你好，而X¼ZGX xy伊伊1我Zi我的1我GXXy我-1我 2mod pi-1广播消息h计算skZ×X×···×Xm¼ f3我XGI我nn-11我我I-2¼g x y xx y x···2 21223n11 2x y x2n计算Authi1¼H Sn;ski;Uiðmod p验证每个用户U j的Authj1（i广播消息hm4½ fAuthi1;Authi2gi。和Authi2¼H Sn;K0i。为每个用户Ui验证Authi2。计算公共会话密钥。注意，通过验证Authi1，实现了组Sn中的n个用户之间的相互认证。另一方面，通过验证Authi2，也实现了服务器S与组Sn中的n个用户之间的相互认证5.3.3. 密码更改阶段如果合法用户Ui想要改变他/她的密码pwi，则他/她需要经由安全信道将他/她的身份IDi、旧密码pwi和新密码pw0i发送到集成EPR信息系统S。在接收到口令改变请求之后，服务器S验证对IDi;pwi.如果它是有效的对，则服务器S替换旧密码在其数据库中输入新密码pw0i6.1. 方案的正确性我们的方案的正确性证明在定理1中给出。定理1. 在我们改进方案，所有用户Ui i 1;2;. ;n 在组Sn中具有相同的秘密会话 关键SK。证据设Ui是由n个成员组成的群Sn中的用户。组Sn中的用户Ui计算秘密值ski为：skiZn ×Xn-1×Xn-2×···×X1我们的方案总结见表3。i ii1I-2<$Zn×Zi1=Zin-1×Zi2=Zi1n-2× ···×Zi1=Zi216. 分析我们提出的方案在本节中，我们首先展示组S中的所有用户都具有我是说...n¼Zi1/1x1y2x2x2y2x3···xny2x1n相同的密钥。然后通过非形式安全性分析和形式安全性分析，证明了该方案对各种攻击都是安全的。1 2N结果，所有用户U1、U2、…组Sn中的每个组Sn具有与组Sn中的每个组Sn相同的秘密会话密钥SK。H74V. Odelu等人210241i-1h/f gi60þ 10242ðÞ0y我-我i-1i-1i-126n 1024我M我-我我我我12nni-1我我我2我我xiyigxiM0hi6.2. 非正式安全分析在本节中，我们证明了我们的方案对各种已知的攻击是安全的。对于安全分析，我们使用第5.2节中描述的威胁模型。条件gx0i-1MPw0i-1 Mpwi-1 我很高兴。那么，猜测的对pw0i-1;x0i-1可能是原始对.然而，正如Das和Goswami（2013）所指出的，猜测正确密码的概率为pw0i-1由n个字符组成的字符串是 126n和猜测的概率使用1024位正确随机现时值xi-1是不可能的1.一、更多-6.2.1. 会话密钥安全完了，要猜对一个，，攻击者必须猜测0-1在我们的方案中，没有对手可以计算正确的xi-1，它是1024位。因此，Z=1xiy2即使他/她知道猜测可能正确的配对;x0是的。如果gxi-1;gxi和gy2.由于难以解决群Diffie-Hellman问题（Bresson等人，2003年）。此外，秘密值sk i取决于一次性随机秘密xi和yi，i = 1; 2;. ;n.因此，在不计算Zi的情况下计算秘密会话密钥Sk，Hk，Sk，i对于对手来说在计算上是不可行的。因此，我们的方案提供了会话密钥的安全性。6.2.2. 相互认证如Lee等人的“S方案（Lee等人，2013），每个合法用户U i可以使用其自己的密码pw i解密消息h m2i中的信息，然后计算一次性加密密钥ek i。另外，每个用户U i可以通过验证密文Eeki/Sn;Ki-1;K0i]来认证服务器S，而服务器S也可以通过验证Auth i 2来认证每个用户U i。此外，每个用户Ui可以通过验证组Sn中的Authj1来认证其他用户Uj的Ui- j n. 我们的方案，然后实现用户和服务器之间的相互认证，也在一个组Sn中的所有用户之间。6.2.3. 完美前向安全所谓前向安全，我们的意思是当一个节点（用户）离开网络时，它不能在离开后读取任何未来的消息因此，前向保密性确保了Subse-不能导出当前共享会话密钥，即使一个adver-n1/410，成功概率约为1，可以忽略不计。在不知道gxi-1和gyi-1的情况下，用户Ui不能分别从消息m1gxi-1Mpwi-1计算Mpwi-1和从g y i-1N pw i-1计算Npwi-1因此，用户Ui无法利用现有的公开参数正确猜测群Sn中其他用户的密码，从而使该方案能够抵抗离线密码猜测攻击.6.2.5. 无法检测的在线密码猜测攻击假设一个对手，被区分为用户Ui，猜测一个密码，比如pw0i，并与服务器S通信。 但是在我们的认证密钥交换阶段的步骤4中，为了计算认证参数Auth i1H S n;sk i;U i和Authi2H S n;K0i，对手需要从密文EekiSn;Ki-1;K0i]中检索原始的K i - 1和K0 i。在不知道加密密钥ek i; g i; mod p i的情况下计算Ki-1和K0i以及在不知道正确对pw i ; x i的情况下计算Z i（用于计算sk i）对于攻击者来说是计算上不可行的任务。因此，一个失败的密码猜测将被其他用户以及服务器检测到. 另一方面，假设一个对手，被区分为服务器S，猜测一个密码，比如pw0i，并与组Sn中的用户Ui进行 通信。在从用户Ui接收到消息m1pw0使用猜测的密码pw. 然后，对手sary知道旧会话密钥的连续子集。在我们方案中，会话密钥SK是秘密值需要计算Ki-1和K0i= 1/2gx2iþ 1Þi ð modp= 0;sk<$gx1y2x2x2y2x3···xny2x1modp，仅Ki-1 2008年1月1日Xy密码和加密密钥一次性随机秘密x并且y的值为1 ; 2 ;. ;n.以来我k igi我是说，此外，对手必须计算我的密文E½S;K;K0] 并发送消息，因此，即使对手知道该用户U i的私有密码Pw i，他/她也不能计算先前会话密钥。因此，我们提出的方案提供了完美的前向安全性建立的会话密钥SK。6.2.4. 离线密码猜测攻击在下文中，我们解释了我们的改进方案如何具有抵抗Lee等人的弱点的能力。的SGPAKE方案。在我们的认证密钥交换阶段期间，根据步骤2中接收到的消息h m 2 i，组Sn中的用户U i可以计算加密密钥ek i^g xiyi^modpi，并获得Ki-1，并且K0i 通过用计算出的加密密钥eki解密Eeki/Sn;Ki-1;K0i]，其中m0fgxiMpw0i;Eek1/2Sn;Ki-1;K0] gggiving给用户Ui。由于用户Ui可以在我们的认证密钥交换阶段的步骤3中验证h m 0 2i，失败的密码猜测将被用户Ui检测到。因此，我们的方案防止不可检测的在线密码猜测攻击。6.2.6. 数据隐私和用户在我们的改进方案中，计算会话密钥是计算上不可行的任务，如第6.2.1节所述。因此，没有共同的会话密钥，没有对手可以解密传输的数据。此外，我们的方案提供了私人密码给每个用户在一个组，也防止了密码猜测攻击。因此，我们的计划提供数据隐私Kgxi-1y2mod p 和K0g xi1y2mod p 以来以及用户的方案不i-1Xi-1（由用户选择）和y伊古里 ð（由服务器选择）提供用户的隐私，因为他们的i-1i-1行密码猜测攻击对应于用户Ui-1的随机现时值，用户Ui不能计算gxi-1 和gyi-1由于离散对数问题求解困难，利用导出的Ki-1和K0i，用户Ui需要猜测用户Ui-1的私有密码（比如p w0i-1）和一次性随机秘密（比如x0i-1），使得6.2.7. 已知密钥安全性在特定用户Ui和服务器S之间的认证密钥交换阶段的每次运行都产生唯一的会话随机秘密不依赖于私有密码埃克岛一种安全有效的基于动态组口令的认证密钥协商方案75一ðÞ●2G;gG;g一一我IP;AIP;AIPRIP;AG;gG;g1IPRIPRG;gi1 2n秘密钥匙该属性确保当协议具有已知的密钥安全性时，先前会话密钥的知识不允许对手危及其它先前会话 密钥 或未 来会 话密 钥（Ammayappan 等 人，2011年）。由于不同会话的会话密钥是不同的，并且它们在每个协议的执行过程中是独立的，因此我们的改进方案也具有已知密钥的安全性。6.3. 形式安全分析我们遵循Das（2013），Das et al.（2012）和Odelu et al.（2014）中改进方案的形式安全性证明。为此，我们首先正式定义离散对数问题（DLP）。我们在定理2中给出了我们的方案仅针对用户隐私和完全前向安全的形式化安全性证 明 对 于 正 式 的 安 全 分 析 ， 我 们 遵 循 Chatterjee 等 人（2014）、Das等人（2013）、Islam和Biswas（2013）以及Islam和Biswas，2014中使用的随机预言模型的方法。定义1. （离散对数问题的形式定义（Das，2013））设G是q阶循环群;g是G的生成元，A1是返回Zq中整数的算法，其中使用包括他/她自己的私人密码的可用信息来获取该组Sn为了构造这样的对手，我们考虑以下随机预言：Reveal：这个预言机从给定的公共值g xmod q无条件地输出值x Z q，其中g是q阶循环群G中的生成子。假设对手A是动态组Sn中的用户Ui。攻击者A需要运行实验算法EXP2DLP来实现我们的改进协议，比如IP，IP;A在算法2中。算法2.DLPIP;AZ q¼ f0; 1;. ;q-1 g. 设a2RT表示元素a是从集合T中随机选择。 考虑以下实验，算法1中的EXP1DL PA1。算法1.EXP1DLP1我们现在将EXP2DLP的成功定义为IP;ASuccDLP<$jPr<$EXP2DLP<$1] -1j和优势函数对于我们改进的协议，由于这个实验，IPAdvDLP最大值AfSuccDLP g，其中最大值为conc-A1的DLP优势定义如下：sidered over all with execution timet andqR是对Revealoracle进行的查询的数量。考虑一下经验-对于我们的改进方案，高级DLPDLPIP;AG;gA1 Pr1/2 EX P1G;gA1Pr1/2E]，其中Pr1/2E]表示随机实验中事件E的概率离散对数问题（DLP）称为G中的困难问题（计算上不可行的问题），如果任何对手的合理资源的DLP优势很小。在这里，资源是根据对手的时间复杂度来衡量的，换句话说，我们称DLP为一个硬问题，如果AdvDL P=1×6s，对于任何充分IP.如果具有解决DLP的能力，则对手赢得游戏，并且因此，对手显然可以使用他/她的私人密码pwi从公共消息g yi N pw i容易地计算随机数y。使用导出的随机数yi和K0i，他/她可以计算用户Ui的私有密码pwi。 在这种情况下，攻击者可以获得动态组Sn中的所有用户。然而，从定义1、DLP是一个很难的问题，也就是说，对于任何suf-小S >0.小S>0。因此，AdvDLP不超过6s，因为AdvDL Pt;q取决于AdvDL PA1。结果，没有定理2. 在离散对数问题的假设下，我们的改进方案在保护用户隐私和完善的前向安全性方面是可证明安全的。证据 在这个证明中，我们需要构造一个对手A对手获取私有密码的可