沙特国王大学远程医疗信息系统的隐私保护与动态身份认证方案

沙特国王大学沙特国王大学学报www.ksu.edu.sawww.sciencedirect.comJournal of King Saud University远程医疗信息系统Ankita Chaturvedi，Dheerendra Mishra*，Sourav Mukhopadhyay印度理工学院数学系，Kharagpur 721302，印度接收日期：2014年8月25日;修订日期：2014年10月24日;接受日期：2014年2015年11月7日在线发布摘要远程医疗信息系统（TMIS）的认证方案试图确保安全和授权的访问。基于身份的认证方案解决了安全通信问题，但没有正确解决隐私问题最近，基于动态ID的远程用户认证-为了保护用户的隐私，提出了TMIS的标记方案。基于身份的动态认证方案有效地保护了用户的隐私。遗憾的是，大多数现有的TMIS动态身份认证方案忽略了输入验证条件。这使得登录和密码更改阶段效率低下。如果密码更改阶段输入错误，则密码更改阶段的效率低下可能导致拒绝服务攻击。为了克服这些弱点，我们提出了一个新的动态身份认证方案使用智能卡。该方案可以快速检测出不正确的输入，使得登录和密码更改阶段有效。我们采用该方法旨在保护隐私，以及有效的登录和密码更改阶段。该方案还能抵抗离线口令猜测攻击和拒绝服务攻击。我们还证明了所提出的方案的有效性，利用广泛接受的BAN（伯罗斯，阿巴迪，李约瑟）逻辑。此外，我们的计划是可比的TMIS相关计划的通信和计算开销。©2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。 这是CC BY-NC-ND许可下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍互联网的无所不在和易于访问，为医疗保健服务提供了一个可扩展的平台One of the popular*通讯作者。电子邮件地址：dheerendra@maths.iitkgp.ernet.in（D.Mishra）。沙特国王大学负责同行审查制作和主办：Elsevier医疗保健服务是远程医疗信息系统（TMIS），它支持向病人家中提供医疗保健服务。随着我们从纸质健康记录转向电子健康记录，TMIS为远程用户提供了轻松访问电子记录的机会。TMIS通过采用信息和通信技术来提高慢性病管理中医疗保健相关服务的质量，不断增加的计算能力使对手变得足够强大，以至于他可以控制公共网络上的通信（Aloul等人，2009 a; Mishra等人，2014年a;Alfantookh，2006年）。因此，在TMIS中需要保证授权通信。为了减少对手的威胁，http://dx.doi.org/10.1016/j.jksuci.2014.12.0071319-1578© 2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。 这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词远程医疗;基于口令的认证;智能卡;安全;隐私分布式医疗信息系统中基于身份的认证方案55设计并开发了基于智能卡的认证方案（Aloul等人，2009 b;Mishra等人，2014 b;Al-Muhtadi，2007），其目标是解决以下属性：一次性注册：允许患者在医疗服务器上注册一次，然后可以多次访问服务。有效的登录阶段：登录阶段应该能够检测不正确的登录输入。换句话说，智能卡不应在输入错误身份或密码的情况下执行登录会话。有效的密码更改阶段：该方案应该能够在密码更改阶段快速检测不正确的输入。用户友好的密码更改阶段：应允许用户更改其密码输入，并且仅允许患者在没有医疗服务器帮助的情况下自由更新其密码相互认证和会话密钥协商：它允许患者和医疗服务器相互认证并建立一个公共密钥，该密钥应由用户和服务器平等参与构建。安全属性：基于智能卡的认证方案必须能够抵御中间人攻击、冒充攻击、猜测攻击、内部攻击、重放攻击、被盗智能卡攻击和已知会话特定临时信息攻击。此外，该方案还应支持会话密钥协商、密钥更新、相互认证和前向保密。Wu等人（2012）介绍了一种用于TMIS的有效认证方案，通过添加预计算阶段，该方案优于先前提出的用于低计算设备的方案。在预计算阶段，用户执行指数运算，然后将计算出的值存储到存储设备中，使得用户可以在需要时从设备中提取这些值。 然而，Heet al. （2012）证明了Wu et al.的方案无法抵抗模拟攻击。他们还介绍了一个增强的方案，并声称他们提出的方案消除了吴等人的缺点。的方案。他们还声称，他们的方案更适合TMIS的低功耗移动设备。尽管Wei等人（2012）指出，Wu等人s和He等人'的方案不足以满足双因素认证，而使用智能卡的有效的基于密码的认证方案应该实现双因素认证。他们还提出了一种改进的基于智能卡的TMIS认证方案，以确保双重认证。在2012年，Zhu（2012）证明了Wei et al.的方案容易受到离线密码猜测攻击。他还提出了TMIS的一个改进方案，并声称他的方案可以克服Wei等人的弱点。的方案。然而，他的方案不保护匿名性，这使得对手能够跟踪消费者虽然消费者在消息交换过程中的匿名性通过防止攻击者获取消费者的敏感个人信息来确保消费者的隐私。Chen et al.（2012）提出了一种用于TMIS的基于身份的动态认证方案，该方案保护了用户匿名性，并且具有更少的计算开销。然而，在2013年，Lin（2013）证明了用户身份在字典攻击下被泄露，并且可以使用Chen等人的方案中的被盗智能卡来导出密码他还提出了一个改进的方案，有效地抵抗字典攻击和保护匿名性。遗憾的是，Lin的方案没有包括输入验证条件。这使得登录和密码更改阶段效率低下。登录阶段的低效会导致额外的通信和计算开销。Lin方案中的无效密码更改阶段DOS攻击不允许授权用户访问资源（Alfantookh，2006）。Xie et al.（2013）表明Chen etal.的方案容易受到假冒攻击和离线密码猜测攻击使用被盗的智能卡。此外，他们提出了一种改进的TIMS方案，以克服Chen等人的缺点。的方案。然而，Xie et al.的方案也未能提供有效的登录和密码更改阶段（Mishra，2015 b）。Cao和Zhai（2013）证明了Chen等人的方案可用于离线身份猜测攻击和使用被盗智能卡的不可检测的在线密码猜测攻击。他们还提出了一种改进的认证方案，以抵抗猜测攻击。他们的方案有效地保护了匿名性和密码猜测攻击，但没有提供有效的登录阶段，并且具有不友好的密码更改阶段（Mishra，2015 b）。智能卡无法识别上述方案中输入的正确性（Lin，2013;Wei等人，2012; Xie等人，2013;Zhu，2012; Xu等人，2014;Lee等人，2013年; Jiang等人，2014年），这要么导致DOS攻击，要么使密码机会阶段不友好。该方案（Lin，2013; Wei等人，2012; Xie等人，2013; Zhu，2012; Xu等人，2014; Lee等人，2013年; Jiang等人， 2014）提出了一个无效的密码更改阶段（Mishra，2015 b; Mishra，2015 a）和方案（Cao和Zhai，2013; Jiang等人，2013;Wu和Xu，2013）具有不友好的密码更改阶段，因为每次在更改密码之前，用户必须与服务器建立授权会话，也就是说，在这些方案中，用户不能独立地更改他/她的密码。方案的安全属性的更详细表征（Wei等人，2012; Zhu，2012; Lee等人，2013;Chen等人，2012; Cao和Zhai，2013; Xie等人，2013; Lin，2013; Xu等人， 2014年），见表1。动机：许多方案（Lin，2013; Wei等人，2012; Xie等人，2013; Zhu，2012; Xu等人，2014; Lee等人，2013）无法识别输入的正确性，导致在密码更改阶段输入错误的情况下拒绝服务场景（Mishra，2015 a，b）。在密码更改阶段中的一次失误将不允许用户使用同一张智能卡登录到服务器。换句话说，如果授权用户在更改密码时出错，他/她将永远无法使用智能卡登录到服务器。这是一个严重的安全隐患，因为用户自己可能会导致拒绝服务攻击。一般来说，用户不能被认为是从不犯错误的专家。人有时可能忘记密码或在输入密码时犯错误，这总是可能的。此外，一个用户可能有多个帐户，并可能使用不同的密码56A. Chaturvedi等人表1T M I S 中几种基于口令的认证方案的安全性比较。用户匿名性内部袭击O行密码猜测攻击重放攻击会话密钥协商会话密钥验证高效密码更改阶段拒绝服务攻击用户友好的密码更改阶段安全登录×p×ppp×××××ppp×-××××pppppp××××pp×ppp×pppppp×pppp××ppppp××ppppp××pppppp××p××p××p×hi联系我们¼ ð Þ ¼f·g¼jj jj¼¼jj¼1000-1000 S将p、q和d保密，而将N和e公开。表2符号Sp;qNZNedESCUIDUPWUh·JJDT在整个文件中使用的符号的含义。解密一个可信的服务器两个大素数p和q整数环模N S的公钥S的私钥/私钥攻击者/攻击者智能卡用户/患者用户身份用户密码一种抗碰撞的单向散列函数XOR字符串连接操作消息传输安全属性方案Wei等人朱Lee等人Chen等人曹和翟Xie等人林Xu等人（2012年）（2012年）（二零一三年）（2012年）（二零一三年）（二零一三年）（二零一三年）（2014年）对于不同的帐户;在这种情况下，也有可能错误地将一个帐户密码用于另一个帐户。因此，密码更改阶段的错误不应影响拒绝服务攻击的结果。为了克服这个缺点，有效的认证方案应该能够快速检测不正确的输入，从而可以避免授权用户的拒绝服务我们的贡献：在这篇文章中，我们提出了一个改进的方案，旨在实现有效的登录阶段，密码更改阶段。该方案保护了用户的隐私，并能抵抗猜测攻 击 。 此 外 ， 我 们 通 过 BAN （ Burrows ， Abadi 和Needham）逻辑证明了所提出的方案的有效性。本文的组织：本文的其余部分概述如下：TMIS的基于口令的身份验证方案在第2节中提出。第3节介绍安全分析。第4节讨论了所提出的方案的比较性能。最后，在第5节中得出结论。2. 建议的基于口令的认证方案在本节中，我们提出了一个改进的方案，以确保有效的授权通信。所提出的方案的目的是提供一个匿名和有效的认证阶段。在该方案中，新用户首先在服务器上完成注册，获得个性化的智能卡。然后，注册用户可以与服务器建立授权会话。该方案包括注册、登录、认证和更改口令四个阶段. 表2中给出了所提出的方案中使用的符号。2.1. 登记阶段服务器S生成512比特的两个大素数p和q，并计算1024比特模的NpqS还选择一个素数e和一个整数d，使得ed=1 modnp-1 n然后，新用户U可以注册到服务器并实现个性化智能卡，如下所示：步骤1. 用户U选择他所选择的密码和随机数b。U计算W hPWU b，并经由安全信道向S提交具有消息IDU;W步骤2. 在收到U的 请 求 后 ， S 核 实 是否ID U是否已注册。如果IDU已经注册，S要求一个新的身份。否则，S计算HH DIDU和vWH.则S通过嵌入参数N;v;e;h来个性化智能卡SC，并经由安全信道将SC返回给U。S将IDU存储在注册用户的数据库中。步骤3. U计算HvW;ABh IDU PWU和B h b H hIDU PWU。然后U存储A和B智能卡（见图）①的人。2.2. 登录阶段具有有效智能卡的注册用户生成登录消息并将登录消息发送到服务器，如下所示：分布式医疗信息系统中基于身份的认证方案57jj联系我们jj jj简体中文¼jj jj¼¼jj联系我们联系我们jj¼ ¼ ð jj jj ð jjÞÞjj）、j~ j简体中文XKX步骤1. 用户U将他的智能卡SC插入到读卡器中并输入IDU和PWU。步骤2. SC计算b <$A hPWID UjjPW U;W <$hPW Ujjb和H v W.SC 验证 B？h b H h IDU PWU。如果验证不成立，SC将终止会话。否则，SC选择随机 number ru， 并计算Rh ID U r uHT u和XID U r u R emod N，其中T u是 电流 时间戳 SC 发送 消息hX;Tui至S（见图 2）的情况。2.3. 认证阶段用户和服务器相互认证并建立会话密钥，如下所示：步骤1. 当在时间T 0 u ; S接收到消息hX;Tui时，验证T0u-Tu6Dt 。 如 果 验 证 成 立 ， 则 S 计 算XdmodN1/4IDUjjrujjR，并且HH D 身份证。S验证R？h IDU ru H Tu. 如果验证成立，则S将U视为授权用户。步骤2. S计算的届会议关键sk SU <$hH r uT uTs and Y<$hID Ujjsk SUjjH.最后，S用消息hY;T si进行响应。步骤3. 在接收到响应者时间T0s;SC检查是否的条件成立。 如果该条件成立，则SC计算会话密钥sk US^h_HRuTuT s.步骤1. 用户U输入PW U和ID U。步骤1. 智能卡SC计算h_IDU_j_PWU_j，并获得b/Ah_IDU_j_PWU_j;W/Ah_PWU_j_b，并且HvW. SC验证B？hb H h ID U PW U.如果验证不成立，SC将终止会话。否则，SC会要求输入新密码。步骤P2.用户U输入新密码PWnew。步骤P3. 智能卡SC计算W newh PW new b;v newH新的;新的Bh ID U PW new，以及B new h b H h ID U PW new。SC将A替换为A new;将B替换为B new，将v替换为vnew（见图10）。 4）.3. 安全分析在本节中，我们将展示所提出的方案如何满足理想的安全属性。3.1. 基于BAN逻辑BAN逻辑分析中使用的一些符号描述如下：PX：委托人P相信陈述X。P/X：P看到X，意味着P收到了一条消息X。PX：P曾经说过X，意思是P当P发送它时，X。PX：P控制X;P对X有权限（对X的管辖权）。]X：消息X是新鲜的。P QK P：P和Q使用K（共享密钥）相互通信。然后SC验证Y¼？ hI DUjjs kUSj jH. 我是真实的，P$Q：x是P和Q之间的共享秘密信息。会话保持，U将skUS视为会话密钥，并且S作为授权服务器（见图1）。 3）。2.4.密码更改阶段合法用户U可以在没有服务器帮助的情况下改变智能卡的密码要更改密码，他将智能卡插入读卡器，并输入当前密码和身份。智能卡验证当前密码和身份的正确性。如果验证有效，智能卡将要求输入新密码，然后完成验证。密码更新密码更改说明fXgK：公式X在K下加密。hXiY：式X与式Y组合。X！ K是P的公钥。PQ：X是一个秘密公式，只有P和Q知道。为 了 用 形 式 化 的 术 语 描 述 BAN 逻 辑 的 逻 辑 假 设（Burrows等人，1989; Syverson和Cervesato，2001），我们提出以下规则：规则（1）.消息含义规则：对于共享密钥：KPj Q P; P/f Xg阶段如下：-KPj <$ Qj~ Xð1Þ图1注册阶段：新用户U使用其身份IDU注册，并获得具有存储参数的个性化智能卡fN;v;e;h·g. U还将A和B存储到智能卡中。58A. Chaturvedi等人ð ÞSKSKej美元！jj jjSKUuUuu图2登录阶段：用户U使用智能卡生成登录消息hX;Tui，并将其发送到服务器S。图3认证阶段：用户和服务器相互验证对方的真实性，并提取会话密钥。图4密码更改阶段：用户在没有服务器帮助的情况下更改智能卡的密码如果P相信K与Q共享，并且看到X在k下加密，那么P相信Q曾经说过X。规则（2）.随机数验证规则：Pj]X;PjQj~X2Pj Qj X如果P相信最近说过X（新鲜），并且P相信Q曾经说过X，那么P相信Q相信X。如果一个部分是新鲜的，那么整个配方一定是新鲜的。根据BAN逻辑的分析过程，所提出的协议将满足以下目标：目标1. 目标2.S U S;协议通用类型：第（3）条。管辖规则：信息1. U！ S：HPLCIDjjr jjhHPLCID jjr jjH jjT HPLCIDmodN; TPj <$Qj） X; Pj <$ Qj<$ XPj Xð3Þ信息2. SU：h ID U sk H;T s协议的理想化形式如果P相信Q对X有管辖权，并且P相信，Q相信消息X，那么P相信X。第（4）条。新鲜规则：信息1. U！ S：fID U; r u;ID U; r u; T uHge; T u信息2. S！ U：异黄酮U; U $S异黄酮H; T sPj] XPj ]X;Yð4Þ我们对协议的初始状态做出以下假设，以分析所提出的协议：u分布式医疗信息系统中基于身份的认证方案59HHHj j~¼¼ ðÞð·Þ¼¼ ðÞUhiehij$SKUUUj j~？A1：Uj]Tu;A2：Sj]Ts;A3：UjU$S;A4：SjUS;3.2.2. 内部袭击服务器系统中的恶意内部人员可能会用户的密码。但是，用户不提交密码 PWU输入 其 原始 形式， 也就是说， 用户 提交A5：UjS$UHS;h将PW Ujb因此，马里-cicious insider无法知道用户A6：SjUjU$S;我们分析了所提出的协议的理想形式的基础上的BAN逻辑规则和假设。主要证明如下：根据消息1，我们可以得到：S1：S/IDU;ru;TuH;Tu根据假设A4，我们应用消息含义规则得到：S2：SUT u根据假设A1，我们应用新鲜度连接规则得到：S3：Sj]IDU;ru TuH根据S2和S3，我们应用随机数验证获取规则S4：SjUjIDU;ru;TuH根据假设A4和S4，我们应用要获取的管辖权规则：S5：SjTu根据sk h H Ru Tu T s;S5 和A2， 我们 可以获得函数h不能恢复。此外，对手不能执行密码猜测攻击，因为用户不向S提交b。3.2.3. 高效登录阶段智能卡SC可以在如下情况下识别输入的正确性：情况-1如果用户输入错误的密码PWωU和正确的身份ID U。智 能 卡 SC 计 算 h_ID_U_j_PW_ωU_j ， 并 获 得 b_ω^Ah_ID_U_j_PW_ωU_j;W_ω^h_PW_ωU_j_b_ω 和 H_ω^v_W_ω 。智 能 卡SC计算Bω<$hbωjjHωjjhIDUjjPWωU而验证者B？Bω。验证不成立，B因此，SC终止会话。情况2如果用户输入不正确的身份IDωU和正确的密码PWU。该martcarrdSCcomputeshiDωUjjPWUn dachievesb0ω1SKS：Sj US（Goal2.）AhI DωUjjPWU;W0ω<$hPWUjjb0 ωanddH0ω<$vW0 ω.6$智能卡SC计算B0ω<$hb0ωjjH0ωjjhIDωUjjPWU根据消息2，我们可以得到：SKS7：U/IDU;U$SH;Ts根据假设A3，我们应用消息含义规则得到：第8章：你是谁？根据假设A2，我们应用新鲜度连接规则得到：S9：Uj]IDU;U$SH根据S8和S9，我们应用随机数验证规则来获得SKS10：UjSjIDU;U$SH根据假设A3和S10，我们应用管辖规则得到：第11课：你在做什么根据sk h H ru Tu Ts;S11和A1，我们可以得到而验证者B？B0ω。 验证不成立，B因此，SC终止会话。情况-3如果用户输入不正确的身份IDωU和不正确的密码PWωU。智能卡SC计算h_IDωj_PWωj，并获得b_00ω j_PW。¼A hI DωUjjPWωU;W00ω<$hPWωUjb00 ωanddH00ω<$vW00ω. 智能卡SC计算B00ω<$hb00ωjjH00ωjjhIDωUjjPWω检查并验证B <$B00 ω。验证结果不符合B-B00 ω。因此，SC终止会话。在所有情况下，智能卡都能有效地检测到错误输入并终止会话。这表明所提出的方案具有有效的登录阶段。的12SK： UjU $S（目标1.）3.2.4. 用户友好和高效的密码更改阶段用户可以在没有服务器的情况下更改密码3.2. 讨论可能的攻击钱。 此外，智能卡还可以验证输入使用条件B¼？hbjjHjjhIDjj PW其中U3.2.1. 用户匿名和不可链接性登录消息X;Tu用服务器的公钥加密 X¼IDUjjrujjRmodN.由于X是用服务器公钥，没有对手可以从X检索IDU。此外，智能卡不包括用户的身份。因此，攻击者无法识别消息源。每次训练的时间 戳都是不同的.这确保了每个会话的登录消息不同。因此，攻击者不能在任何两个登录消息之间进行链接。不可链接性和匿名性使通信完全私密。包括身份和密码，类似于登录阶段。由于登录阶段可以有效地验证输入的正确性，因此密码更改阶段也可以有效地检测不正确的输入。3.2.5. 智能卡被盗攻击攻击者可以从被盗的智能卡中检索参数N;v;e;A;B，并尝试使用所获得的参数生成有效的登录消息。然而，为了构造有效的登录消息hX;Tui，等同于实现用户项密钥H与身份ID U一起作为R1/h标识ID Ujjr ujjHjjT u。60A. Chaturvedi等人联系我们¼jj jjsk Hr¼ ð jj jj Þ ¼ ðÞhihi联系我们jjhi联系我们jj jjjjUu uU¼ ðÞ¼ ðÞ联系我们jj jj jjhiUuEU由于H受密码PWU保护，对手无法使用被盗的智能卡生成有效的登录消息。3.2.6. 离线密码猜测攻击要成功进行密码猜测攻击，必须验证猜测的密码。密码与以下值相关联：v<$hPWUjjb<$hd IDU;A<$bh_ID_U_jj_PW_U_n和B_l_h_b_jj_H_jj_h_ID_U_jj_PW_U_n。验证密码使用表达式B h b H h IDU PWU，对手需要实现b和H。虽然在不知道b的情况下H不能被实现为H^v hPW Ujjb。由于b A h ID U PW U，为了检索b，需要用户身份ID U。智能卡和传输的消息都不包括用户的身份。这表明，该方案抵抗密码猜测攻击。3.2.7. 重放攻击重放攻击是认证过程中最常见的攻击。然而，常见的对策是时间戳和随机数。在所提出的方案中，发送的登录消息hX;Tui包括时间戳。更多-当前时间戳T E;E必须计算Y0 1/4h_ID U_js k0SU_jH_i，因为skSU1/4H_IDU_jSk0SU_jH_i包括时间戳。要计算SU;和u是必需的。E可以尝试用消息回复 YE;TE，其中YE h IDU skEU H和sk EUh Hr ET uT S，随机值rE和当前时间戳TE。计算skEU;E需要H。要从v中检索H，需要密码以来密码只有用户知道，对手无法获得H。这表明该方案能够抵抗服务器的欺骗攻击。3.2.10.中间人攻击对手E可能试图建立与许可证服务器和消费者的独立连接。由于用户此外，服务器的响应消息不包括任何会话值。这表明该方案能够抵抗中间人攻击。e以上，修改消息hX0IDjjrjjR0modN;Ti使用当前的时间戳TE，对手必须计算R01/2h_ID Uj jruj jHjjTE_ID。R 0的计算需要H和ID U。由于H和IDU是秘密的，所以对手不能重放先前发送的消息。3.2.8. 用户冒充攻击对手E可以伪装成合法用户来登录到服务器。然而，所提出的方案可以抵抗这种攻击如下：E可以尝试使用重放攻击登录到服务器。虽然所提出的方案抵抗重放攻击。E可以尝试生成一个有效的登录消息X0;T 值 RE和电流 时间戳 TE，在哪里X0IDUrER0emodN. 要计算X0，E必须计算R0. 然而，没有未经授权的用户可以计算R由于以下事实：–为了计算R0，需要用户的秘密密钥H和身份IDU作为R0h IDU rEH T E。–智能卡和传输的消息都不包括IDU。因此，对手无法实现IDU。–要从v中检索H，需要密码。由于密码仅为用户所知，因此对手无法实现H。这表明该方案能够抵抗用户非人格化攻击。3.2.9. 服务器冒充攻击攻击者E可以伪装成服务器，并试图用有效的消息来响应用户。当用户U向服务器发送登录消息X;Tu时，E可以拦截该消息并尝试用有效消息进行响应。然而，一个广告-sary无法成功模拟合法用户，其定义如下：3.2.11. 已知密钥保密由于会话密钥是用户长期密钥以及随机值和时间戳的散列输出，也就是说，SKH HRuTuT s。此外，委员会认为，秘密密钥包括时间戳，其确保每个会话的唯一密钥。这些事实表明，特定会话密钥的泄露不会导致另一个会话密钥的泄露。3.2.12. 已知特定会话临时信息攻击如果短期秘密值ru被泄露，则广告商不能计算会话密钥sk hHru Tu，为了计算会话密钥，需要用户3.2.13. 前向保密如果用户X¼IDUjjrujjRemodN。因此，使用H不能实现对手ru。3.2.14. 密钥新鲜性每个会话密钥涉及随机数和时间戳，其中随机数和时间戳对于每个会话是不同的。这些值的唯一性保证了每个会话的唯一密钥。每个会话的唯一密钥构造保证了密钥的新鲜性。3.2.15. 相互认证服务器验证用户的真实性与条件R？ hID其中需要计算R;H和ID。用户使用E可以尝试用旧的传输消息进行响应条件Y¼？计算Y，再次计算H和IDUY;T是一个用户。然而，时间戳机制揭示了消息的重放。此外，将Ts替换为是必要的。由于IDU和H是秘密的，用户和服务器可以正确地验证彼此的真实性分布式医疗信息系统中基于身份的认证方案61表3该方案与其他相关方案的性能比较。L4l5l6S1S2S3S4S5S6S7S8S98Th11Th7ThTE7ThTE6ThTS 4TE210Th 2TEp×××p×pppp啪啪啪啪×28Th 2TE8ThTS 6TE6ThTE10Th 2TEp啪啪啪啪32ppp2pp×pp×p××p啪啪啪啪啪啪l1：存储开销;l2：登录和身份验证阶段的通信开销;l3：登录阶段的计算开销;l4：计算l5：登录和认证阶段的总计算开销;l6：交换的消息数;S1：重放攻击;S2：用户ð¼ ×þÞ喜喜ð¼ ×þ×Þð¼ ×þÞ喜喜Xð¼ ×þ×ÞS4. 性能分析在这一节中，我们将对TMIS中基于智能卡的类似基于密码的远程用户认证协议的建议方案进行效率分析。 设用户身份ID、密码PW、随机变量、时间戳和哈希函数的输出大小为128位，e;X;n都是1024位。设Th;TE和TX表示哈希函数的时间复杂度，指数运算和XOR运算。众所周知，XOR运算的时间复杂度与其他两个运算相比是可以忽略的。所以，我们不考虑TX。 总的来说， 相关的时间复杂 与T h;T E和TX可以被更或少表示为TEThT X（Potlapally等人， 2006; Wong等人， 2001年）。那么，额外的通信和计算开销如下：在Lin的方案中，在登录阶段需要计算W ; CID ; R ; X，在验证阶段需要计算X d mod N ; H ; R ; CID; k ; V ; k 0和V 0。所以计算-登录阶段的头是3ThTE，验证阶段是7ThTE。 用户和服务器发送消息X;R;T1和V;k，因此通信开销是1536 4 1281024比特. 智能卡存储值N;v;e和t，因此，所需的存储器为2304 2 128 2 1024。在Xie et al.在该方案中，用户因此，登录阶段的计算成本为2Th 2TE。在验证阶段，智能卡计算Ks u;sksu和C0u，而服务器计算 AID Xmodn;DsymRID;J;Cs;B;Kus;skus和C0.因此，验证阶段的计算开销为6ThTS 4TE。用户发送消息hAID;Tui 和 hC2;Ts;Bi ， 因 此 通 信 开 销 为 2432× 128×1024×1024比特。智能卡存储值fID;SC;N;L;n;例如，因此，所需的存储器为2660×128× 122×1024位。在Cao和Zhai的方案中因此，登录阶段的计算成本为ThTE。在验证阶段，智能卡计算Ksu;Cs和Cu，而服务器计算AIDX modn;J;Ks;Cs和Cu。因此，验证阶段的计算开销为7ThTE。用户发送消息hAI Di;hrs;Csi和Cu。 因此，通信开销为1408千分之3 × 128千分之1024兆比特。智能卡存储值fL;n;bg，因此，所需的存储器为12802× 1281024bits。在 所 提 出 的 方 案 中 ， 计 算 h_PW U_j_ID U_j;W;B;R;X在的登 录相和在 验 证 阶 段 ，XdmodN;H;R;skSU;Y;skUS和Y。 因此，登录阶段的计算开销为4ThTE，验证阶段为6ThTE。用户和服务器发送消息X;Tu和Y;Ts，因此通信开销为1408 3 128 1024比特. 智能卡存储参数N;v;e;A和B。因此，所需的内存为2432 3 128 2 1024。(see表3）从表1可以很容易地看出，大多数TMIS的认证方案都不保护隐私。基于动态ID的认证方案保护隐私，但不能抵抗拒绝服务攻击（Lin，2013; Xie等人，2013年）。Chen等人，的动态基于ID的认证方案（Chen等人，2012）和Cao和Zhai的基于动态ID的认证方案（Cao和Zhai，2013）有效地抵抗拒绝服务攻击，但是Chen等人的“的方案不能抵抗口令和身份猜测攻击，而曹和翟的方案不能抵抗已知会话特定的临时信息攻击。然而，所提出的方案保护隐私和抵抗猜测和拒绝服务攻击。此外，该方案抵抗已知会话特定的临时信息攻击，并达到前向保密性。该方案具有较好的安全性，在通信和计算开销方面与相关方案相当，更适合TMIS系统。间接费用/方案Chen等人，s（2012）LinCao and ZhaiXie等人' s（2013）建议计划L13842304位12802660位2432位L29601536比特14082432位1280位L33Th3ThTETh TE2Th 2TE4ThTE62A. Chaturvedi等人5. 结论我们已经讨论了TMIS的删除方案在文献中未能有效地呈现登录和密码更改阶段。提出了一种有效安全的TMIS动态身份认证方案.该方案保持了有效的登录和密码更改阶段，可以快速检测到不正确的输入。此外，该方案还能有效地抵抗猜测攻击，保护用户隐私。安全性分析表明，该方案满足所有期望的安全属性.性能分析表明，该方案在通信和计算开销方面与TMIS中基于身份的动态认证方案相当。引用阿尔凡图克，A.A.，2006.基于神经网络的Dos攻击智能检测。J.沙特国王大学Comput. INF. Sci. 18，31-51。Al-Muhtadi，J.，2007.一个有效的覆盖基础设施，用于互联网上的隐私保护通信。J.沙特国王大学Comput.信息科学19，39-59。Aloul，F.，Zahidi，S.，El-Hajj，W.，2009年a。使用移动电话的多因素身份验证。Int. J. 数学Comput. Sci. 4（2），65-80.Aloul，F.，Zahidi，S.，El-Hajj，W.，2009年b。使用手机的双重认证。 IEEE/ACS 计算机系统与应用国际会议， 2009 年。AICCSA 2009。IEEE，pp. 第641-644页。Burrows，M.，Abadi，M.，李约瑟，R.M.，1989.一种授权的逻辑。Proc. R. Soc. 伦敦A数学Phys. Sci. 426（1871），233- 271.Cao，T.，Zhai，J.，2013.一种改进的远程医疗信息系统动态身份认证方案。J. Med. Syst. 37（2），1-7。陈洪- M.，罗，J。W.，是的，C.- K.，2012.一种有效安全的远程医疗信息系统动态身份认证方案。J. Med. Syst. 36（6），3907-3915。他，D.，陈杰，张，R. 2012.一种更安全的远程医疗信息系统认证方案。J. Med. Syst. 36（3），1989-1995。Jiang，Q.，妈，杰，妈，Z.，Li，G.，2013.一种用于远程医疗信息系统的隐私增强认证方案。J. Med. Syst. 37（1），1-8。Jiang，Q.，妈，杰，卢，X.，田，Y.，2014.远程医疗信息系统中基于混沌映射的强匿名认证和密钥协商方案。J. Med. Syst. 38（2），1-8。李，T.- F.、张岛- P.，林，T.- H、王角C.的方法，2013.一个安全有效的基于口令的用户认证方案环保工作综合资料系统的资料卡。J. Med. Syst. 37（3），1-7。林，H-是的，2013.远程医疗信息系统中基于身份的动态认证方案的安全性研究。J. Med. Syst. 37（2），1-5。Mishra，D.，2015年a。理解两种远程医疗信息系统认证和密钥协商方案的安全失效。J. Med. 系统 39（3），1-8。Mishra，D.，2015年b。远程医疗信息系统中基于身份的口令认证方案的安全性分析。J. Med.Syst.39（1），1-16。Mishra，D.，穆霍帕杰，S.，2014.用于数字版权管理的隐私使能内容分发框架。Int. J. 相信管理。Comput. Commun. 2（1），22-39。Mishra ， D. ， 穆 霍 帕 杰 ， S. ， 库 马 里 ， S. ， Khan ， M.K. ，Chaturvedi，A.，2014年a。基于生物特征的远程医疗信息系统认证方案的安全性增强。J. Med. Syst. 38（5），1-11。Mishra ，D. ，穆霍帕杰， S.，Chaturvedi， A.，库马里， S.，Khan，M.K.，2014年b。Yan等人“的密码分析与改进的基于生物特征的远程医疗信息系统认证方案。J. Med. 系统 38（6），1-12。Potlapally，N.R.，Ravi，S.，Raghunathan，A.，Jha，N.K.，2006.密码算法和安全协议的能耗特性研究。IEEE传输移动Comput.5（2），128-143。Syverson，P.，切尔韦萨托岛2001.身份验证原型的逻辑。安全分析与设计的基础。施普林格，pp. 63比137魏，J.，Hu，X.，刘伟，2012.一种改进的远程医疗信息系统认证方案。J. Med. Syst. 36（6），3597- 3604.Wong，D.S.，Fuentes，H.H.，Chan，A.H.，2001. palm装置上密码原语之效能量测。在：第17届计算机安全应用年会论文集，2001年（ACSAC 2001）。IEEE，pp. 92比101吴，F.，徐，L.，2013.远程医疗信息系统隐私认证方案的安全性分析与改进。J. Med.Syst.37（4），1-9。吴志-是的，李，Y.-C.的方法，赖，F，李，H.-C.的方法，Chung，Y.，2012年。一个安全远程医疗信息系统的认证方案。J. 36（3），1529Xie，Q.，张杰，东，N.，2013.远程医疗信息系统中的鲁棒匿名认证方案。J. Med. Syst. 37（2），1-8。徐，X.，Zhu，P.，中国科学院院士，温，Q.，Jin，Z.，张洪，他，L.，2014.基于ECC的远程医疗信息系统安全有效的认证和密钥协商方案。J. Med. Syst. 38（1），1-7。Zhu，Z.，2012年。 一种有效的远程医疗信息系统认证方案。J.Med. Syst. 36（6），3833-3838.