动态口令增强的EPR信息系统安全认证协议

随着互联网的飞速发展，电子病历（Electronic Patient Record, EPR）在电子医疗系统中扮演着关键角色，确保患者数据的安全性和隐私至关重要。最近，Lee等人提出了一个名为SGPAKE的基于组口令的认证密钥协商协议，旨在集成EPR信息系统，提供便捷的身份验证。然而，研究者们发现，该协议存在离线弱口令猜测攻击的风险，这可能会威胁到用户个人信息的安全。 本文作者针对这一漏洞，提出了一个改进的基于动态组口令的EPR信息系统认证密钥交换方案。该方案旨在增强安全性，保留了原SGPAKE协议的优点，如用户隐私保护、前向安全性以及抵抗在线和离线密码猜测攻击。动态组口令的引入增加了系统的复杂性和抗破解能力，使得攻击者难以预测和利用已知的静态口令。 在设计过程中，作者不仅进行了形式化的安全性分析，使用了AVISPA这样的标准工具进行验证，确保方案的正确性和安全性。此外，他们还进行了非形式化的评估，通过实际场景和案例来测试方案在现实生活中的表现。该方案有效解决了原协议的弱点，能够在保护用户隐私的同时，支持EPR信息系统中动态组密码的认证密钥协商。 这项工作为EPR信息系统提供了一种更安全的认证方法，对于提升电子医疗系统的信息安全性具有重要意义。沙特国王大学作为合作方，参与了该研究的同行评审过程，进一步确认了其学术价值。该研究成果发表在Elsevier出版的《沙特国王大学学报》上，为信息安全领域的研究者和实践者提供了有价值的新思路和技术参考。