智能卡用户认证方案的安全性分析

2022-02-03 05:20殷小虹
无线互联科技 2022年22期
关键词:智能卡密钥消息

殷小虹

(江西传媒职业学院,江西 南昌 330224)

0 引言

远程服务器需要通过公共信道对用户进行认证。在以前的大多数双因素方案中,用户的身份证明在公共信道上以明文形式传输。因此,它们不能提供用户隐私保护。由于用户的身份信息在所有事务会话中是静态的,攻击者可以将不同的登录会话链接在一起跟踪用户的活动,这导致用户部分信息的泄漏。为了解决这些问题,Das等[1]提出了一种基于动态ID的远程用户认证方案,这种基于动态身份的认证技术可以提供用户匿名性。Kim等[2]的方案容易受到智能卡丢失攻击、被盗验证者攻击和特权内部人攻击。此外,这种方案也不具备完美的前向保密性和用户匿名性。

1 其他研究者方案评述

笔者简要描述Kim等提出的双因素方案。Kim等的方案由5个阶段组成,即注册阶段、登录阶段、认证和密钥交换阶段、相互认证和密钥确认阶段以及离线口令修改阶段。Kim等的方案使用的符号和缩写如表1所示。

表1 NOTATINS

1.1 注册阶段

当一个用户Ui想要向服务器S注册时,Ui执行以下操作:第一步。Ui,→S:{IDi,pwi}。用户Ui选择一个身份IDi和密码pwi,然后Ui通过安全通道将{IDi,pwi}提交给服务器S。第二步。S→Ui:智能卡。在接收到消息{IDi,pwi},服务器S计算ni=h(IDi∣∣pwi),mi=ni⊕x,Ni=h(IDi)⊕h(pwi)⊕h(x)⊕h(mi)。参数ni由服务器S.S存储{h(.),Ni,ni},并通过安全通道将智能卡发送给Ui。

1.2 登录阶段

当用户Ui想要访问服务器S,Ui将他的智能卡插入读卡器并输入他的身份IDi、密码pwi。将执行以下操作。第一步。智能卡计算动态身份CIDi,Ai=h(IDi)⊕h(pwi),B=Ni⊕h(IDi)⊕h(pwi),CIDi=h(Ai)⊕h(h(ni)⊕Bi⊕h(Ni)⊕T)。第二步。ui→S:{CIDi,T,Ni,ni}。用户U发送登录请求{CIDi,T,Ni,ni}通过公共信道发送到服务器S,其中T是时间戳。

1.3 认证和密钥交换阶段

第一步。当服务器S在时间T′接收到消息{CIDi,T,Ni,Ni}时,S检查时间戳T的有效性。如果T′-T≤ΔT,S在注册列表中搜索nj。第二步。如果ni在注册列表中,服务器S计算mi=ni⊕x,Bi=h(x)⊕h(mi),Ai=Bi⊕Ni。然后验证等式S是否成立:CIDi⊕h(Ai)=h(h(ni)⊕Bi⊕h(Ni)⊕T)。如果等式成立,S继续下面的步骤。否则,S终止会话。第三步。S→Ui:{KC′,T′}。S计算会话密钥SK=h(Ai∣∣Ti∣∣Bi∣∣T′)和密钥确认消息KC′=h(Bi∣∣SK∣∣T′)。然后S发送响应消息{KC′,T′}给Ui。

1.4 相互认证和密钥确认阶段

第一步。当在时间T″接收到响应消息{KC′,T″)时,用户首先检查时间延迟T″-T′≤ΔT。如果它有效,U将计算会话密钥SK=h(Ai∣∣T∣∣Bi∣∣T′)和密钥确认消息KC=h(Bi∣∣SK∣∣T′)。接下来,用户U检查接收到的kc′是否等于KC。如果不相等,则拒绝。否则,Ui继续。

第二步。Ui→S:{KC",T"}。用户计算密钥确认消息KC″=h(Ai∣∣SK∣∣T′)并且将其发送到服务器S。第三步。服务器S计算出KC"=h(Ai∣∣SK∣∣T")。然后S检查接收到的KC是否等于KC"。如果不成立,则拒绝Ui。否则,S接受Ui的请求。

2 对Kim等方案的密码分析

与其他相关方案相比,Kim等的方案具有计算效率高、通信成本低等优点。假设身份可以用32位宽度表示,安全单向散列函数的输出大小是160位,时间戳的大小是32位。在该方案的登录阶段,用户Ui需要发送消息(CIDi,T,Ni,ni)到服务器。它包含160×3+32=512位。在认证和密钥交换阶段,服务器将(KC′,T′)发送回Ui。它的长度是160+32=192位。最后,在相互认证和密钥确认阶段,Ui向服务器发送密钥确认消息。它的长度为192位。因此,此方案通信成本低。此外,Kim等的方案中的登录阶段在智能卡端只需要6次散列运算和6次异或运算。在身份验证和密钥交换阶段,服务器需要8次哈希运算和6次异或运算。在相互认证和密钥确认阶段,该方案需要在智能卡端进行3次哈希运算。该方案保持了智能卡的低计算量特性[3,4]。

2.1 智能卡丢失攻击

Kim的方案支持用户免密码更新。在密码更改阶段,用户仅使用智能卡更改其密码和设置任何新密码,不需要与服务器通信。因此,Kim等的方案实现了用户友好性。但是,由于在更新新密码之前没有验证旧密码的真实性,所以这是一种固有的安全威胁。在真正的双因素应用中,用户确实倾向于让他们的智能卡无人看管。例如,用户将他们的智能卡遗忘在读卡器中几分钟或几天。如果攻击者设法获得合法用户ui′的智能卡的临时访问权,可以很容易地使用以下步骤更改用户ui′的密码:

第一步。对手首先将智能卡插入终端设备,并选择两个不同的密码pw′和pw″分别作为旧密码和新密码。然后,对手用pw′和pw″键入ID,并向智能卡发出更改密码的请求。

第二步。智能卡将计算Ni*=Ni⊕h(pw′)⊕h(pw″),然后用Ni*替换Ni。当用户Ui在随后的认证中使用智能卡访问服务器时,登录请求永远不能通过服务器S的验证。因此,合法用户Ui即使在取回他的智能卡之后也不能成功登录。可以将攻击描述如下。

因为Ui不知道存储在卡中的信息的变化,Ui仍然使用pwi作为IDi的密码。

智能卡计算A=h(IDi)+h(pwi),Bi*=Ni⊕h(IDi)i⊕h(pwi),CIDi=h(Ai)⊕h(h(ni)⊕Bi*⊕h(Ni*)⊕T)。

第三步。在接收到登录请求{CIDi,T,Ni*,ni},S计算m=ni+x,Bi=h(x)⊕h(mi)。由于Bi*=Ni*⊕Ai和Bi=Ni+A,验证方程CIDi⊕h(Ai)=h(h(mi)⊕Bi⊕h(Ni⊕T)不成立。S将拒绝登录请求。上面的描述证实了,一旦智能卡丢失,很容易发起Dos攻击。

2.2 被盗验证者攻击

如果验证表存储在服务器中,认证方案将遭受验证信息的泄漏,这可能导致严重的安全缺陷。在Kim等的方案中,n是由服务器S保密。服务器维护所有唯一消息ni的验证者表,其使得协议容易受到窃取验证者攻击[5]。

2.3 特权内部攻击

如果用户的密码可以在注册阶段由服务器导出,这样的方案会遭受内部攻击。在Kim等的方案的注册阶段,用户以明文的形式向服务器发送密码pw。S直接获取用户的密码pw。在实际应用环境中,用户可能使用同一个密码登录不同的服务器。恶意的特权内部人员会使用该用户的密码登录到其他服务器。因此,Kim等的方案不能抵抗内部攻击。

2.4 缺乏完美的前向保密性

完美的前向保密意味着即使服务器的主密钥x或用户的密码和身份被泄露,从协议的先前执行中产生的任何会话密钥也不会被泄露。Kim等的方案不能提供完美的前向保密性。假设对手截获了某个登录消息{CIDi,T,Ni,Ni}。利用泄露的密钥x,计算出m=ni⊕xiB=h(x)⊕h(mi),A=Ni⊕B,因此,通过使用来自登录请求和登录响应的两个时间戳(T,T′),对手计算出会话密钥SK=h(Ai∣∣T∣∣Bi∣∣T′)。

假设一个敌手已经获得了U的长期秘钥A=h(IDi)⊕h(pwi)。密码和身份都不会受到影响,但会出现两种情况。

(1)会话密钥将被泄露。进一步假设对手已经记录了在服务器和用户之间传输的消息。对手只需要第一次记录整个登录消息{CIDi,Ti,Ni,ni}和整个响应消息{KC′,T′}。对于其他会话,对手只需要记录两个时间戳{T,T′}。知道了长期秘钥A和先前会话的截获消息,对手计算会话密钥如下。对手计算Bi=Ai⊕Ni。对手检索会话密钥SK=h(Ai∣∣T∣∣Bi∣∣T′)通过使用截取的两个时间戳{T,T′}。

(2)会导致冒充攻击。有了秘钥的Ai,对手可以冒充U来访问S。第一步:对手计算出Bi=Ai⊕Ni,CIDi=h(Ai)⊕h(h(ni)⊕Bi⊕h(Ni)⊕T)。第二步:对手发送登录请求消息{CIDi,T,Ni,ni}到服务器S。由于Bi=A⊕Ni=h(x)⊕h(mi),服务器S认为消息是合法用户发送的。同样,有了长期秘钥Ai,对手也可以冒充S来欺骗Ui[6]。

2.5 缺乏用户匿名性

在开放的网络环境中,假设用户Ui将登录请求消息{CIDi,T,Ni,ni}发送到服务器S。消息{Ni,ni}供用户Ui专用,如果密码没有被更新,那么对服务器S的任何访问都不会改变。此外,即使在密码被改变之后,n对于用户和服务器来说是相同的。也就是说n将注册用户与服务器绑定。因此,任何对手都可以通过检查不同协议的{Ni,ni}或{ni}执行是否相同来容易地跟踪用户。因此,即使用户的身份没有暴露,用户的匿名性也没有得到很好的保护。

3 动态属性树的构造及属性基认证密钥交换可证安全理论研究

3.1 动态属性树的构造

先构造整个属性集自下而上的中心属性树,再构造针对属性子集的属性子树。后者由用户和验证权威执行,通过简化中心属性树生成得到,然后再由属性权威和数据拥有者控制用户属性集的变化,在属性权威设置新的属性密钥后,通过代理重加密技术让云服务提供方升级属性密钥,并使用代理重加密技术处理密文,减轻云用户计算负担。使用代理重加密方法完成了云端取消用户属性的任务[7]。

3.2 属性基认证密钥交换可证安全理论研究

本文提出的密钥交换模式形式化定义属性基认证密钥交换中用户隐私性,将敌手模型化为具有适应性选择安全设定能力的图灵机,构造了属性基认证密钥交换适应性选择安全设置eCK模型(Attribute-Based eCK,ABeCK)。使用属性基加密CP-ABE建立认证密钥交换的一般性构造框架,根据具体CP-ABE方案的安全性,给出框架在ABeCK模型中的严格安全性证明。分别设计了无双线性映射的如RSA、离散对数和高效双线映射的轻量级属性基认证密钥交换协议,建立保持隐私性的属性基认证密钥交换可证安全理论。

4 结语

本文首先分析了多位研究者提出的认证协议存在一些关键信息泄漏给对手和中间人攻击的问题,为研究属性基认证密钥交换机制提供了安全性方面的有效依据,基于此提出了构建云环境下的属性基认证密钥交换机制的整体框架,给出了动态属性树的构造思路,并对属性基认证密钥交换可证安全理论进行研究和分析,最后给出了一种构建分布式环境下属性基认证形式化安全模型的思路。

猜你喜欢
智能卡密钥消息
探索企业创新密钥
密码系统中密钥的状态与保护*
东方磁卡李晓东:进击的智能卡研发巨子
一种对称密钥的密钥管理方法及系统
基于STC89 单片机的非接触智能卡读写机设计
基于ECC的智能家居密钥管理机制的实现
临沂机顶盒智能卡升级方案介绍
消息
消息
消息