万 涛刘遵雄马建峰
1(华东交通大学信息工程学院 南昌 330013)2(西安电子科技大学计算机学院 西安 710071)(wantao217@163.com)
多服务器架构下认证与密钥协商协议
万 涛1,2刘遵雄1马建峰2
1(华东交通大学信息工程学院 南昌 330013)2(西安电子科技大学计算机学院 西安 710071)(wantao217@163.com)
随着网络应用的广泛发展,网络中服务器的体系结构通常由许多不同的服务器组成.多服务器架构下的认证与密钥协商协议是实现远程用户认证的关键.单次注册是多服务架构下的认证与密钥协商协议的最重要特性,而采用动态的身份进行登录认证能有效地保护隐私.Chuang等人结合智能卡和生物特征,提出了一种基于可信计算的匿名可认证密钥协商协议,并指出其协议适用于多服务器环境同时能满足其必需的安全需求.分析指出Chuang等人的协议并不能实现用户的匿名性,同时还容易遭到服务器假冒攻击和智能卡丢失攻击.为了弥补这些安全缺陷,设计每个应用服务器选用不同的秘密参数,提出了一种改进方案.通过对敌手可能的攻击行为分析,证明了改进方案能有效防范服务器假冒攻击、智能卡丢失攻击、窃听攻击、重放攻击等安全威胁,同时改进协议保持着运算简单的特性.
认证;密钥协商;匿名;多服务器;生物特征
随着计算机网络的快速发展,为了给用户提供更广泛的服务,多服务器架构孕育而生.在用户获取服务前对用户身份的合法性验证是十分必要的,但是传统的基于口令的认证方法并不适用于多服务器架构.主要原因在于2个方面:1)用户需要重复注册,记住大量的用户名和口令;2)服务器会保存含用户名和口令信息的验证表.为了克服传统单服务器认证系统[1-2]的缺陷,研究者们提出了许多用于多服务器架构的认证和密钥协商协议[3-19],但是大多数协议都存在各种不同形式的安全缺陷.设计安全高效的多服务器认证与密钥协商协议仍是热点.
2001年,Li等人[3]提出了一种基于神经网络的多服务器认证系统.2004年,Tsaur等人[4]提出了一种基于RSA密码体制和Lagrange插值多项式的多服务器认证系统.但是他们的方案所需的通信和计算代价都相当高,难以应用于实际.Tsai[5]基于单向散列函数提出了一个无需存储口令表的高效多服务器认证系统,但是被发现无法抵抗服务器假冒攻击[6].上述多服务器认证系统都是基于静态身份的认证协议,容易造成登录过程中用户身份的泄露和用户访问行为的追踪.
为了增强用户的匿名性[20-21],Das等人[22]提出了利用动态身份实现用户匿名的认证协议,Wang等人[23]指出公钥技术能有效保证用户匿名.2009年,Liao和Wang[7]提出了多服务器架构下基于动态身份的认证协议.但是协议被Hsiang和Shih[8]分析出易受内部人员攻击、假冒攻击、服务器欺骗攻击,缺乏双向认证等.2013年,Li等人[9]和万涛等人[10]分别分析了Lee等人[11]和Li等人[12]基于智能卡的多服务器架构认证协议无法抵抗假冒攻击.Pippal等人[13]提出的多服务器架构认证协议被指出易受假冒攻击和智能卡丢失攻击[14].He等人[15]提出的基于生物特性的多服务器可认证密钥交换协议被指出既无法保证匿名性也无法抵抗假冒攻击、重放攻击[16].Lu等人[17]针对Mishra等人[18]的多服务器认证协议存在用户假冒攻击和服务器哄骗攻击的安全漏洞,提出了基于生物特征和公钥技术的改进协议.2014年,Chuang等人[19]结合智能卡、用户口令和生物特征提出了一种基于可信计算的匿名多服务器架构可认证密钥协商协议,并称其协议能满足多服务器架构的所有关键需求而且高效、安全.
本文通过仔细分析,发现Chuang等人的协议并不安全.应用服务器不但可以识别出登录用户的真实身份,导致匿名性失效,而且还可以假冒该合法用户登录其他应用服务器.同时,若某个合法用户的智能卡丢失,拾到智能卡者不但可以恢复出该用户之前的所有会话密钥,而且还能在不知道用户口令和生物特征的前提下,成功假冒用户登录任何应用服务器.为此,本文提出了一种新的改进协议,不但能有效地克服上述安全缺陷和各种可能的攻击行为,同时还继承了原方案的动态身份认证和低运算代价的特性.
表1给出协议描述相关的符号记法.协议涉及3方参与者:用户Ui、应用服务器Sj、注册中心RC.假设注册中心RC是一个可信方,负责用户Ui及应用服务器Sj的注册.协议分为4个阶段:注册阶段、登录阶段、认证阶段、口令修改阶段.协议的详细过程描述如下,其中登录阶段和认证阶段如图1所示.
Table 1 Notations Used in Authentication Protocol
Fig. 1 Login and authentication phase of Chuang et al.’s scheme.图1 Chuang等人的协议的登录和认证阶段
1.1 注册阶段
1) 服务器注册
应用服务器Sj向注册中心RC注册时,注册中心RC通过安全信道将PSK发送给Sj.
2) 用户注册
每个用户通过安全信道向注册中心RC申请注册,执行过程如下:
步骤1.用户Ui选择身份IDi、口令PWi,提取生物特征BIOi,将IDi和h(PWi⊕BIOi)安全提交给RC.
步骤2.收到IDi和h(PWi⊕BIOi)后,注册中心RC计算Ai=h(IDi‖x),Bi=h2(IDi‖x)=h(Ai),Ci=h(PWi⊕BIOi)⊕Bi,Di=PSK⊕Ai,并将存储了参数{IDi,Bi,Ci,Di,h(·)}的智能卡安全地传递给用户Ui.
1.2 登录阶段
登录阶段分如下2个步骤:
步骤1. 当用户Ui登录应用服务器Sj时,将智能卡插入读卡器,输入自己的身份IDi、口令PWi,扫描生物特征BIOi.智能卡计算h(PWi⊕BIOi)⊕Ci,判断结果是否与智能卡中存储的Bi值相同.如果相同,则智能卡确认用户Ui的合法性,否则终止协议.
步骤2. 若用户Ui的合法性得到确认,智能卡随即产生一个随机数N1,并计算M1=h(Bi)⊕N1,AIDi=h(N1)⊕IDi,M2=h(N1‖AIDi‖Di).通过公共信道将请求消息{AIDi,M1,M2,Di}发送给应用服务器Sj.
1.3 认证阶段
认证阶段分如下4个步骤:
步骤1. 收到消息{AIDi,M1,M2,Di}后,应用服务器Sj使用预共享密钥PSK,计算Ai=Di⊕PSK,N1=M1⊕h2(Ai),验证h(N1‖AIDi‖Di)是否等于M2.如果相等,则应用服务器Sj确认用户Ui的合法性,否则终止协议.
步骤2. 若用户Ui的合法性得到确认,应用服务器Sj随即产生一个随机数N2,计算会话密钥SKij=h(N1‖N2),M3=N2⊕h2(N1),M4=h(SIDj‖N2),返回信息{SIDj,M3,M4}给智能卡.
步骤3. 智能卡收到信息{SIDj,M3,M4}后,计算N2=M3⊕h2(N1),验证h(SIDj‖N2)是否等于M4.如果相等,计算会话密钥SKij=h(N1‖N2),并发送消息{SKij⊕h(N2)}给应用服务器Sj.
步骤4. 应用服务器Sj使用会话密钥SKij恢复h(N2),进行重放攻击的检查.
1.4 口令修改阶段
步骤1. 用户Ui将其智能卡插入读卡器,输入IDi、口令PWi,扫描生物特征BIOi.
Chuang等人声称其协议具有身份的匿名性,并能抵制重放攻击、篡改攻击、伪造攻击、离线口令猜测攻击、内部攻击等.但是经过仔细分析,我们发现Chuang等人的协议并不能实现用户身份的匿名性,用户曾经登录过的任何应用服务器都能恢复出用户的真实身份,并冒充该用户的身份访问其他应用服务器.同时,协议也无法抵抗用户智能卡丢失后拾到智能卡的敌手进行假冒用户攻击.
2.1 匿名性失效
任意应用服务器Sk,一旦接收到某个用户Ui的登录请求{AIDi,M1,M2,Di},就能计算Ai=Di⊕PSK,N1=M1⊕h2(Ai),IDi=h(N1)⊕AIDi,恢复出用户Ui的身份IDi.同时,由于用户Ui提交给任何应用服务器Sj的登录请求信息中都携带着相同的信息Di,应用服务器Sk依据Di可以时刻追踪身份为IDi的用户Ui的访问行为,造成用户匿名性失效.
2.2 服务器假冒攻击
由2.1节分析,应用服务器Sk可以得到合法用户Ui的身份IDi,Di和Ai.接着,应用服务器Sk可以假冒用户Ui伪造合法的登录请求信息,完成与任何应用服务器Sj的认证过程,如图2所示,详细执行步骤如下:
1) 应用服务器Sk计算Bi=h(Ai).
Fig. 2 Server masquerade attack on Chuang et al.’s scheme.图2 对Chuang等人的协议的服务器假冒攻击
2.3 智能卡丢失攻击
若用户Ui的智能卡丢失,拾到智能卡的攻击者Z可以提取智能卡中的信息{IDi,Bi,Ci,Di,h(·)}.由2.2节分析,攻击者Z已然知道了用户Ui的身份IDi,Di和Bi,便可以类似地发起假冒用户攻击.
同时,如果攻击者Z窃听到用户Ui的登录请求信息{AIDi,M1,M2,Di}、应用服务器Sj的回复信息{SIDj,M3,M4}以及Ui的确认信息{SKij⊕h(N2)},则攻击者Z可以恢复用户Ui和应用服务器Sj的会话密钥SKij,详细执行步骤如下:
1) 计算h(N1)=AIDi⊕IDi,其中AIDi是窃听到的登录信息,IDi是从智能卡中提取的信息.
2) 计算N2=M3⊕h(h(N1)),其中M3是窃听到的登录回复信息.
3) 计算SKij=(SKij⊕h(N2))⊕h(N2),其中SKij⊕h(N2)是窃听到的确认信息.
于是,拾到智能卡的攻击者不但可以实现假冒用户攻击,还可以恢复出用户与服务器的会话密钥,由此可以解密用户与应用服务器的所有加密信息.
为了弥补协议在第2节提到的安全漏洞,本文设计了一个新的改进协议.改进协议中注册中心RC选取秘密信息x和y,并对每个应用服务器Sj选择秘密信息yj,通过安全信道将信息h(SIDj‖yj)和h(y)传递给Sj.改进协议仍然分为4个阶段:注册阶段、登录阶段、认证阶段、口令修改阶段.改进协议的详细过程描述如下,其中登录阶段和认证阶段如图3所示.
3.1 注册阶段
每个用户通过安全信道向注册中心RC申请注册,执行过程如下:
步骤1. 用户Ui选择身份IDi、口令PWi、提取生物特征BIOi,将IDi和Pi=h(PWi⊕BIOi)通过安全信道提交给RC.
步骤2. 收到IDi和Pi后,注册中心RC计算Ai=h(IDi‖x),Ci=h(IDi‖h(y)‖Pi),Di=Ai⊕h(IDi)⊕h(Pi),Eij=h(Ai)⊕h(h(SIDj‖yj)⊕h(Ai)),Fij=Eij⊕h(IDi‖Pi),将存储了参数{(Fi1,Fi2,…,Fik),Ci,Di,h(y),h(·)}的智能卡安全地提交给用户Ui.
Fig. 3 Login and authentication phase of our proposed scheme.图3 改进方案的登录阶段和认证阶段
3.2 登录阶段
登录阶段分如下2个步骤:
步骤1. 当用户Ui登录应用服务器Sj时,将智能卡插入读卡器,输入自己的身份IDi、口令PWi,扫描生物特征BIOi.智能卡随即计算Pi=h(PWi⊕BIOi),并判断h(IDi‖h(y)‖Pi)是否与智能卡中存储的Ci值相同.如果相同,则智能卡确认用户Ui的合法性,否则终止协议.
步骤2. 若用户Ui的合法性得到确认,智能卡计算Ai=Di⊕h(IDi)⊕h(Pi),Gij=h(Ai)⊕h(SIDj‖h(y)),Eij=Fij⊕h(IDi‖Pi).产生一个随机数N1,计算Hij=Eij⊕N1,AIDi=h(N1)⊕h(IDi),M1=h(h(Ai)‖h(IDi)‖N1).通过公共信道将请求消息{SIDj,Gij,Hij,AIDi,M1}发送给应用服务器Sj.
3.3 认证阶段
认证阶段分如下4个步骤:
步骤1. 收到消息{SIDj,Gij,Hij,AIDi,M1}后,应用服务器Sj计算h(Ai)=Gij⊕h(SIDj‖h(y)),Eij=h(Ai)⊕h(h(SIDj‖yj)⊕h(Ai)),N1=Eij⊕Hij,h(IDi)=AIDi⊕h(N1),验证h(h(Ai)‖h(IDi)‖N1)是否等于M1.如果相等,则应用服务器Sj确认用户Ui的合法性,否则终止协议.
步骤2. 若用户Ui的合法性得到确认,应用服务器Sj随即产生一个随机数N2,计算M2=N1⊕N2⊕h(IDi),M3=h(N1‖N2‖SIDj),SKij=h(N1‖N2‖h(IDi)‖SIDj),返回信息{SIDj,M2,M3}给智能卡.
步骤3. 智能卡收到信息{SIDj,M2,M3}后,计算N2=N1⊕h(IDi)⊕M2,验证h(N1‖N2‖SIDj)是否等于M3.如果相等,计算会话密钥SKij=h(N1‖N2‖h(IDi)‖SIDj),发送消息{SKij⊕h(N2)}给应用服务器Sj.
步骤4. 应用服务器Sj使用会话密钥SKij恢复h(N2),进行重放攻击的检查.
于是用户Ui和应用服务器Sj经过交互认证后协商出共同的会话密钥SKij用于加密通信信息.
3.4 口令修改阶段
步骤1. 用户Ui将其智能卡插入读卡器,输入身份IDi、口令PWi,扫描生物特征BIOi.
改进方案继承了原方案选择简单的低运算代价运算和采用动态身份认证的优良特性,最重要的改变在于不是RC与所有应用服务器共享相同的预共享密钥,而是由RC与不同的应用服务器Sj共享不同的秘密信息h(SIDj‖yj),这样能有效地防范服务器欺骗攻击,并降低某个服务器信息泄露带来的严重后果.根据下面的安全性分析,得到改进方案具有匿名性和会话密钥前向保密,对抵抗假冒攻击、智能卡丢失攻击、服务器信息泄露攻击、重放攻击、窃听攻击也十分有效,且用户修改口令过程很简单.
4.1 匿名性
改进协议仍然使用动态身份用于远程认证,当用户Ui请求登录应用服务器Sj时,Sj只能在认证过程中求出用户Ui身份的散列值h(IDi),无法恢复用户Ui的身份IDi,保证了用户真实身份对应用服务器Sj的保密性.同时,每个用户在构造请求认证信息时使用了随机数计算出动态身份AIDi,使得不同时刻向不同应用服务器发送的请求认证信息{SIDj,Gij,Hij,AIDi,M1}均不相同,有效地防止了攻击者通过窃听请求认证信息追踪用户行为,实现了用户行为的不可追踪性.
4.2 假冒攻击
若攻击者试图假冒用户Ui登录应用服务器Sj,他需要伪造合法的登录请求信息{SIDj,Gij,Hij,AIDi,M1}.但是攻击者不知道IDi,PWi,BIOi和Fij,无法计算出Pi,Ai和Eij,也就无法计算出Gij,Hij,AIDi和M1.即便攻击者是某个恶意的合法用户Uj,他也无法求出所需的数据,假冒攻击不能成功.
4.3 智能卡丢失攻击
若某个合法用户Ui的智能卡丢失,拾到智能卡的攻击者可以从卡中获知{(Fi1,Fi2,…,Fik),Ci,Di,h(y),h(·)},但因为他不知道IDi,PWi,BIOi,无法计算Pi,Ai和Eij,也就无法计算出Gij,Hij,AIDi和M1.即使他窃听到了用户Ui登录应用服务器Sj的请求信息{SIDj,Gij,Hij,AIDi,M1},也仅能从中恢复出h(Ai),无法得到N1,N2和h(IDi).也就是说,攻击者既不能恢复出用户Ui和应用服务器Sj之间的会话密钥,也无法伪造出新的合法登录请求信息.智能卡丢失攻击无法成功.
4.4 服务器信息泄露攻击
若攻击者攻破某个应用服务器Sj,得到应用服务器Sj的秘密信息h(SIDj‖yj)和h(y),但是攻击者无法从h(SIDj‖yj)中解出SIDj,因此不能恢复应用服务器与之前登录的用户之间的会话密钥.并且由于每个服务器存储的秘密信息h(SIDj‖yj)不同,攻击者亦不能利用该秘密信息假冒其他服务器进行欺骗攻击.
4.5 重放攻击
4.6 窃听攻击
攻击者可能在用户和应用服务器进行认证与密钥协商协议的公共信道进行窃听,他可以得到消息{SIDj,Gij,Hij,AIDi,M1},{SIDj,M2,M3}和{SKij⊕h(N2)},如果他也同时是某个合法用户Ui或应用服务器Sj时,他就知道h(y),可以计算出h(Ai)=Gij⊕h(SIDj‖h(y)).但是因为他不知道h(SIDj‖yj),无法由公式Eij=h(Ai)⊕h(h(SIDj‖yj)⊕h(Ai))计算出Eij,也就不能求出N1,更得不到N2和SKij,窃听攻击失效.
4.7 修改口令过程简单
用户可以在方便的时候随意修改自己的口令,智能卡根据用户新选择的口令,计算并替换智能卡中存储的某些数据,整个口令修改过程不需要RC的参与,减轻了RC的工作量,提高了系统实现效率.
4.8 会话密钥前向保密
改进协议中,即使攻击者知道之前用户Ui和应用服务器Sj的某一次会话密钥,也无法推知此前双方建立的会话密钥.因为会话密钥SKij=h(N1‖N2‖h(IDi)‖SIDj),其中N1和N2是每一次密钥协商过程用户Ui和应用服务器Sj选取的不同随机数,除了用户Ui和应用服务器Sj外,其他任何人都无法求出这2个随机数,攻击者亦无法知晓.
更进一步分析,攻击者即便攻破了应用服务器Sj,得到了应用服务器Sj的秘密信息h(SIDj‖yj)和h(y),倘若攻击者未曾窃取到用户和应用服务器某一次的认证阶段的通信信息,也无法恢复出当时的会话密钥.因此协议具有会话密钥前向保密的特性.
登录阶段和认证阶段是认证协议的主体,表2比较了本文的改进协议与其他6类基于单向散列函数的认证协议在这2个阶段的计算代价,其中Th表示单向散列函数的时间复杂度,运算⊕的计算量极小,通常可忽略其计算代价.
对比结果表明,为了克服原协议的安全漏洞,改进协议的登录阶段用户智能卡的计算代价增加了3Th,而认证阶段应用服务器的计算代价又减少了Th,总体计算代价增加了2Th.但是,简单的单向散列函数运算时间复杂度较低,综合比较,改进协议的实现效率影响不大.
同时,表3总结了本文的改进协议所具有的功能,并与其他6类协议进行了比较.结果表明,本文的改进协议实现了安全有效的多服务器架构的认证协议的必备需求,而其他协议都存在某些安全缺陷.
Table 2 Performance Comparison of Our Scheme and Related Works
Table 3 Security and Functionality Comparison of Our Scheme and Related Works
本文分析了一种结合智能卡和生物特征提出的基于可信计算的匿名多服务器可认证密钥协商协议,发现该协议既无法实现匿名性,也无法抵抗智能卡丢失攻击和应用服务器假冒用户攻击.本文提出了一种新的改进协议,改进协议在继承原协议动态认证特性和运算代价低的特点的前提下,克服了原协议的安全缺陷.分析表明它对各种可能攻击行为都能有效地防范,是一个安全高效的认证与密钥协商协议,具有良好的实用性.
[1]Xu Jing, Zhu Wentao, Feng Dengguo. An improved smart card based password authentication scheme with provable security[J]. Computer Standards & Interfaces, 2009, 31(4): 723-728
[2]Tsai J L, Lo N W, Wu T C. Secure delegation-based authentication protocol for wireless roaming service[J]. IEEE Communications Letters, 2012, 16(7): 1100-1102
[3]Li L H, Lin I C, Hwang M S. A remote password authentication scheme for multi-server architecture using neural networks[J]. IEEE Trans on Neural Networks, 2001, 12(6): 1498-1504
[4]Tsaur W J, Wu C, Lee W B. A smart card-based remote scheme for password authentication in multi-server Internet services[J]. Computer Standards & Interfaces, 2004, 27(1): 39-51
[5]Tsai J L. Efficient multi-server authentication scheme based on one-way Hash function without verification table[J]. Computers & Security, 2008, 27(3): 115-121
[6]Wang R C, Juang W S, Lei C L. User authentication scheme with privacy-preservation for multi-server environment[J]. IEEE Communications Letters, 2009, 13(2): 157-159
[7]Liao Y P, Wang S S. A secure dynamic ID based remote user authentication scheme for multi-server environment[J]. Computer Standards & Interfaces, 2009, 31(1): 24-29
[8]Hsiang H C, Shih W K. Improvement of the secure dynamic ID based remote user authentication scheme for multi-server environment[J]. Computer Standards & Interfaces, 2009, 31(6): 1118-1123
[9]Li Xiong, Ma Jian, Wang Wendong, et al. A novel smart card and dynamic ID based remote user authentication scheme for multi-server environments[J]. Mathematical and Computer Modelling, 2013, 58(1): 85-95
[10]Wan Tao, Liao Weichuan, Ma Jianfeng. Analysis and improvement of an authentication protocol for multi-server architecture[J]. Journal of Xidian University, 2013, 40(6): 174-179 (in Chinese)
(万涛, 廖维川, 马建峰. 面向多服务器架构的认证协议分析与改进[J]. 西安电子科技大学学报, 2013, 40(6): 174-179)
[11]Lee C C, Lin T H, Chang R X. A secure dynamic ID based remote user authentication scheme for multi-server environment using smart cards[J]. Expert Systems with Applications, 2011, 38(11): 13863-13870
[12]Li Xiong, Xiong Yongping, Ma Jian, et al. An efficient and security dynamic identity based authentication protocol for multi-server architecture using smart cards[J]. Journal of Network and Computer Applications, 2012, 35(2): 763-769
[13]Pippal R S, Jaidhar C D, Tapaswi S. Robust smart card authentication scheme for multi-server architecture[J]. Wireless Personal Communications, 2013, 72(1): 729-745
[14]Li X, Niu J, Kumari S, et al. An enhancement of a smart card authentication scheme for multi-server architecture[J]. Wireless Personal Communications, 2015, 80(1): 175-192
[15]He Debiao, Wang Ding. Robust biometrics-based authentication scheme for multi-server environment[J]. IEEE Systems Journal, 2015, 9(3): 816-823
[16]Odelu V, Das A K, Goswami A. Cryptanalysis on robust biometrics-based authentication scheme for multi-server environment[EB/OL]. (2014-09-12) [2015-01-08]. http://eprint.iacr.org/2014/715.pdf
[17]Lu Yanrong, Li Lixiang, Peng Haipeng, et al. A biometrics and smart cards-based authentication scheme for multi-server environments[J]. Security and Communication Networks, 2015, 8(7): 3219-3228
[18]Mishra D, Das A, Mukhopadhyay S. A secure user anonymity-preserving biometric-based multi-server authen-ticated key agreement scheme using smart cards[J]. Expert Systems with Applications, 2014, 41(18): 8129-8143
[19]Chuang M C, Chen M C. An anonymous multi-server authenticated key agreement scheme based on trust computing using smart cards and biometrics[J]. Expert Systems with Applications, 2014, 41(4): 1411-1418
[20]Tan Liang, Meng Weiming, Zhou Mingtian. An improved direct anonymous attestation scheme[J]. Journal of Computer Research and Development, 2015, 51(2): 334-343 (in Chinese)
(谭良, 孟伟明, 周明天. 一种优化的直接匿名证言协议方案[J]. 计算机研究与发展, 2015, 51(2): 334-343)
[21]Wang Ding, Wang Nan, Wang Ping, et al. Preserving privacy for free: Efficient and provably secure two-factor authentication scheme with user anonymity[J]. Information Sciences, 2015, 321(10):162-178
[22]Das M L, Saxena A, Gulati V P. A dynamic ID-based remote user authentication scheme[J]. IEEE Trans on Consumer Electronics, 2004, 50(2): 629-631
[23]Wang Ding, Wang Ping. On the anonymity of two-factor authentication schemes for wireless sensor networks: Attacks, principle and solutions[J]. Computer Networks, 2014, 73(14): 41-57
Wan Tao, born in 1975. PhD from the School of Computer Science and Technology, Xidian University. Member of China Computer Federation. Her main research interests include cryptography, network and information security, e-commerce security technology.
Liu Zhunxiong, born in 1967. Professor of the School of Information Engineering, East China Jiaotong University. His main research interests include statistical data analysis, data mining and machine leraning.
Ma Jianfeng, born in 1963. Professor and PhD supervisor in the School of Computer Science and Technology at Xidian University. Senior member of China Computer Federation. His main research interests include distributed systems, wireless and mobile computing systems, computer networks, and information and network security.
Authentication and Key Agreement Protocol for Multi-Server Architecture
Wan Tao1,2, Liu Zunxiong1, and Ma Jianfeng2
1(SchoolofInformationEngineering,EastChinaJiaotongUniversity,Nanchang330013)2(SchoolofComputerScienceandTechnology,XidianUniversity,Xi’an710071)
With the rapid growth of Internet applications, the architecture of server providing resources to be accessed over the network often consists of many different servers. Authentication and key agreement protocol play an important role to authenticate remote users for multi-server architecture. In recent years, several authentication and key agreement protocols for multi-server architecture have been developed. Single registration is the most important feature in a multi-server architecture which may help users take desired services without repeating registration to each service provider. Employing a dynamic ID for each login may efficiently preserve privacy. Recently, Chuang et al. presented an anonymous multi-server authenticated key agreement scheme based on trust computing using smart cards and biometrics. They claimed that their protocol not only supported multi-server environments but also achieved many security requirements. A cryptanalysis on Chuang et al.’s scheme shows that their scheme cannot provide the anonymity and is vulnerable to server masquerade attack and smart card loss attack. To overcome these security flaws, an improved protocol is proposed by choosing different secret parameters for each application server. This protocol can be proved to be secure against server masquerade attack, smart card loss attack, impersonation attack, eavesdropping attack, replay attack and so on. Besides, the improved protocol maintains the feature of simple operation.
authentication; key agreement; anonymous; multi-server; biometrics
2015-02-05;
2016-02-16
国家自然科学基金项目(U1405255,71361009,41402290)
TP309
This work was supported by the National Natural Science Foundation of China (U1405255, 71361009, 41402290).