基于双线性对和智能卡的远程用户认证方案

文小华，王相金，沈忠华

（杭州师范大学理学院，浙江杭州 310036）

基于双线性对和智能卡的远程用户认证方案

文小华，王相金，沈忠华＊

（杭州师范大学理学院，浙江杭州 310036）

文章提出了一种使用双线性对和智能卡的远程用户认证方案.在方案中，如果登录请求为有效时，则远程系统接受请求，并允许用户登入系统.该方案利用了椭圆曲线上离散对数的困难性，使得计算成本更低，安全性更高.另外，该方案主要在注册阶段和登录阶段加强了安全性，能够抵御重放攻击、内部攻击、假冒服务器攻击，同时提供了灵活的密码修改方式，并实现了双向认证.

认证方案；智能卡；双线性对；远程用户；双向认证

0 引 言

随着计算机网络的普及和电子商务、网络办公自动化的迅猛发展，越来越多的资源和应用都是通过网络远程获取的，如何确保特定的资源只能被特定的合法用户访问，即如何在不安全的信道中对远程用户的身份进行合法鉴别已是一个十分重要的问题.为此人们提出了很多技术方案，其中基于智能卡和用户口令的解决方案以其方便性和实用性得到了广泛的应用.

1981年，Lamport［1］首次提出了一个基于智能卡远程用户认证方案，Hwang－Li［2］指出了Lamport方案中的不足，并提出了一个新的使用智能卡的远程用户认证方案.但在Hwang－Li新方案中仍有不少安全漏洞，Shen－Lin－Hwang［3］和Chang－Hwang［4］分别对该方案进行了不同的攻击，并提出了改进的方案.随后，沈忠华和于秀源［5－6］通过对以上方案漏洞的分析，借鉴Hwang－Li方案的认证模式，利用二元一次不定方程解的不定性［7］和离散对数问题的难解性，提出了一个新的远程用户认证方案.

2006年，Das［8］提出了一种使用双线性对的远程用户认证方案.Chou［9］给出了一种有效的攻击方法，使得在公开信道上截取到合法用户登录信息的攻击者，均可伪造出新的合法登录信息，并针对此缺点给出了一种改进方案.但Goriparthi［10］指出其改进方案仍不安全，并给出了伪造攻击和重放攻击.

该文在沈忠华方案和Das方案的基础上，利用二元一次不定方程解的不定性和椭圆曲线上的双线性对，提出了一个基于双线对和智能卡的远程用户认证方案.该方案密钥量小，计算效率高，而且在注册阶段和登入阶段加强了安全性，能够抵御重放攻击、口令猜测攻击、假冒服务器攻击，同时提供了灵活的密码修改方式，并实现了双向认证.

1 预备知识

1.1 双线性对

设G1是椭圆曲线群上阶为素数q的加法循环群，G2是与G1同阶的乘法循环群，P是G1的生成元，称e：G1×G1→G2是一个双线性映射，如果它满足以下性质：

1）对称性：给定元素P，Q，R∈G1，a，b∈Z＊q，有：

2）非退化性：存在元素Q，R∈G1，使得e（Q，R）≠1.

3）可计算性：对任意的Q，R∈G1存在一个有效的算法计算e（Q，R）.

1.2 困难性假设

1）离散对数问题（DLP）：给定两元素Q，R∈G1，求出整数a∈Z＊q使得Q＝aR是困难的；2）计算Diffie－Hemllen（Computational Diffie－Hellman，CDH）问题：给定P，aP，bP，求abP是困难的；3）双线性Diffie－Hellman（Bilinear Diffie－Hellman，BDH）问题：P，aP，bP，cP，求e（P，P）abc是困难的.

1.3 有关的引理

引理［11］存在整数x，y，使得gcd（a，b）＝ax＋by成立.

2 方案描述

该方案也包括初始阶段、注册阶段、登录阶段和认证阶段.方案的设计主要在注册阶段和登录阶段加强了安全性.在注册时，由用户自主地选择口令，口令的设计基于椭圆曲线上离散对数问题的难解性，并且由认证服务中心（authentication server，以下简称AS）的系统管理者选用身份检测函数，防止不法用户的伪造.在登录阶段又结合二元一次不定方程解的不定性提高了安全性.在认证阶段利用双线性对的原理进行认证.这样可以有效地抵御各种攻击，包括服务中心（系统管理者）内部人员的攻击.

2.1 初始阶段

由AS做如下工作：I1）：选择群G1和G2，其中，G1是椭圆曲线上以P为生成元构成的加法群，其阶为素数q，G2是与G1同阶的乘法群；I2）：定义一个双线性映射：e：G1×G1→G2和一个单向的哈希函数H：G1→zq；I3）：选择一个xs∈zq，作为AS的系统密钥，被秘密保存；I4）：选择函数RK（·），RK（·）为一个合法身份的检测函数，由AS秘密掌握控制；I5）：公开系统参数＜G1，G2，e（·），P，q，H（·）＞.

2.2 注册阶段

R1）：用户选择自己的身份ID和口令pw，pw∈Zq，然后用户计算Y＝pw×P，然后将（ID，Y）发送给AS；R2）：AS收到用户发送来的（ID，Y）以后，为用户选择唯一的身份标识符r，并进行如下计算：选择一个随机数k∈Zq，计算：Z＝k×P，β＝（xs·k）×Y，CID＝RK（ID⊕r）；R3）：AS将带有信息（CID，β，q，H（·），Z）的智能卡发送给用户.

2.3 登录阶段

假定在时刻T1用户向AS提出登录要求，通过读卡系统，用户首先将自己的身份ID和自己设置的口令pw输入智能卡，然后智能卡进行如下计算：

L1）：计算：Y＝pw×P；L2）：计算：sp＝H（β）；L3）：利用Euclid算法求出a和b满足apw＋bsp＝gcd（pw，sp）；L4）：计算d＝gcd（pw，sp）modq；L5）：计算：N1＝（a×pw）Z，N2＝b×Z，M＝d×β；L6）：将登录信息L＝（ID，CID，N1，N2，Y，M，sp，T1）发送给AS；

2.4 双向认证阶段

2.4.1 认证中心验证用户的有效性

假定AS在T2时刻收到用户的登录信息L＝（ID，CID，N1，N2，Y，M，SP，T1），则通过以下步骤进行验证：V1）：验证用户U身份ID的结构形式是否正确，如不符合系统认可的形式，则拒绝登录；V2）：通过来验证用户U身份ID的合法性，如果该式子不成立，则拒绝登录；V3）：验证T2－T1≤ΔT是否成立，这里ΔT表示因消息传输而耽搁的合理时间间隔.如果不成立，则拒绝登录；V4）：验证是否相等，如果不相等，拒绝登录；V5）：AS计算：选择一个随机数ε，N3＝（xs·ε）×N2，N4＝ε×P，然后将（N3，N4，Y，T2），发送给用户的智能卡.

2.4.2 智能卡验证AS的有效性

若智能卡T3时刻收到AS发来的请求信息（N3，N4，Y，T2），然后智能卡进行如下的工作：

V6）：验证T3－T2≤ΔT是否成立，这里ΔT表示因消息传输而耽搁的合理时间间隔.如果不成立，则退出登录；V7）：验证e（N3，Y）＝e（N4，β）b是否相等，如果不相等，退出登录.

2.5 密码修改阶段

用户在一次成功登入到系统后可以进行密码修改：

1）用户选择新的口令pw′，pw′∈Zq，然后用户计算Y＝pw′×P，然后将（ID，Y′）发送给AS.此项工作可通过AS注册系统预设的计算模型进行；2）AS收到用户发送来的（ID，Y）以后，进行如下计算：选择一个随机数k′∈Zq，计算：Z＝k′×P，β′＝（xs·k′）×Y；3）AS将带有信息（CID，β′，q，H（·），Z′）发送给智能卡并覆盖原有的信息.

3 安全性分析

3.1 完备性证明

1）验证阶段v4中等式的证明如下：

2）验证阶段V7中等式的证明如下：

3.2 安全性分析

1）由于在双向认证阶段，认证双方都要检查对方认证请求信息时间的有效性，即消息传输耽搁时间是否在合理的ΔT内，因而，攻击者不可能重传截获的登入请求信息通过认证，故可以有效抵抗重放攻击；

2）在不知道用户真实身份ID的前提下，攻击者无法伪造，从而不能成功登录.假如攻击者在注册阶段获知了AS发送给用户的注册信息（CID，β，q，H（·），Z），则由于CID＝RK（ID⊕r），而作为身份验证函数RK（·）是由AS秘密掌握的，并且r是AS为用户U选择惟一的身份标识号，这些除了AS，别人无从得知.因此攻击者无法通过身份的验证；

3）假设攻击者在L6阶段截获L＝（ID，CID，N1，N2，Y，M，SP，T1）登录信息，从式子N1＝（a×pw）Z，N2＝b×Z求出a和b，由于椭圆曲线上离散对数的困难性，攻击者无法求出a和b.因而在等式apw＋bsp＝gcd（pw，sp）中只知道一个sp的情况下是无法求出pw的；

4）假如一个合法用户的智能卡被敌手盗用，由于不知道正确口令，登录时只能输入错误口令pw′.智能卡计算Y′＝pw′×P，显然，故不能通过验证；

5）假定攻击者截获L＝（ID，CID，N1，N2，Y，M，SP，T1）登录信息，也不能通过解求出xs，因为这是一个DLP问题.假定截获注册信息（CID，β，q，H（·），Z）与（ID，Y），通过等式Z＝k′×P和β＝（xs·k）×Y也求不出xs，由于这是一个椭圆曲线上的离散对数问题，故攻击者无法以AS的名义伪造智能卡；

6）由于AS秘密掌握了系统密钥xs和身份检查函数RK（·），因此，即使是已成功登录的合法用户也无法以AS的名义给别人发放智能卡；

7）可抵抗内部攻击：在该方案中，在注册时只把（ID，Y）发送给了AS，故AS并不知道用户的密码pw，因而无法冒充用户并以口令为pw登录服务器；

8）可抵抗假冒AS的攻击，由于该方案是一个双向认证方案，攻击者不可能假冒服务器，诱骗用户输入敏感信息.

4 结 论

文章提出一种基于双线性对和智能卡的远程用户认证方案，其困难性是依据椭圆曲线上的离散对数难解性.由于使用椭圆曲线上的双线性对，使得密钥量减少、计算效率提高.在注册阶段用户自主选择口令，认证中心不保存用户密码，增加了身份检测函数，在登入阶段利用二元一次不定方程解的不定性和椭圆曲线上离散对数问题的难解性设计了登录过程，增强了安全性.该方案可以有效防止内部人员的攻击、假冒服务器攻击、重放攻击、口令猜测等攻击.相比以往的方案，该方案安全性更好，计算效率更高，并且合法登录的用户可以自主修改密码，实现了双向认证.

［1］Lamport L.Password authentication with insecure communication［J］.Communication of the ACM，1981，24（11）：770－772.

［2］Hwang M S，Li Hua.A newremote user authentication scheme using smart cards［J］.IEEE Trans Consumer Electronic，2000，46（1）：28－30.

［3］Shen J J，Lin C W，Hwang M S.A modified remote user authentication scheme using smart cards［J］.IEEE Trans Consumer Electronic，2003，49（2）：414－416.

［4］Chang C C，Hwang K F.Some forgery attack on a remote user authentication scheme using smart cards［J］.Informatics，2003，14（3）：289－294.

［5］Shen Zhonghua.A new modified remote user authentication scheme using smart cards［J］.Appl Math J Chinese Univ Ser B，2008，23（3）：371－376.

［6］沈忠华，于秀源.一个新的智能卡远程用户认证方案［J］.浙江大学学报：理学版，2008，32（5）：145－149.

［7］于秀源.复合加密的公钥密码系统［M］//密码学进展.北京：科学出版社，1992：55－58.

［8］Das M，Saxena A，Gulati V，etal.A novel remote user authentication scheme using bilinear pairings［J］.Computers ＆Security，2006，25（3）：184－189.

［9］Chou J S Y.Chen，Lin J Y.Improvement of Dasetal.'s remote user authentication scheme［EB/OL］.（2005－12－05）［2011－01－20］.http：//eprint.iacr.org/2005/450.pdf.

［10］Goriparthi T，Das M L，Negi A，etal.Cryptanalysis of recently proposed remote user authentication schemes［EB/OL］.（2006－03－06）［2010－10－25］.http：//eprint.iacr.org/2006/028.pdf.

［11］华罗庚.数论导引［M］.北京：科学出版社，1956.

A Remote User Authentication Scheme Based on Bilinear Pairings and Smart Card

WEN Xiao－hua，WANG Xiang－jin，SHEN Zhong－hua

（College of Science，Hangzhou Normal University，Hangzhou 310036，China）

The paper presened a remote user authentication scheme based on bilinear pairings and smart card.In this scheme，the remote system receives user login request and allows login to the remote system if the login request is valid.This scheme uses elliptic curve discrete logarithm problem to lower the computation cost and highten the security.In addition，the scheme enhances the security in registration phase and login phase.The scheme can withstand replay attack，forgery attack and insider attack.The password can be changed by the user at any time.The scheme achieves mutual authentication.

authentication scheme；smart card；bilinear pairings；remote user；mutual authentication

TP309 MSC2010：94A60

A

1674－232X（2011）05－0403－04

10.3969/j.issn.1674－232X.2011.05.004

2011－02－23

浙江省自然科学基金项目（Y6110782）；浙江省教育厅科研基金项目（Y201016497）；杭州市高校重点实验室科技创新项目（20100331T11）；杭州师范大学科研项目（2010QN26）.

文小华（1984—），男，湖北松滋人，应用数学专业硕士研究生，主要从事数论与密码学研究.

＊通信作者：沈忠华（1973—），男，浙江杭州人，副教授，主要从事数论与密码学、信息安全技术、电子商务等研究.E－mail：ahtshen＠126.com