基于智能卡的轻量级非平衡型口令认证方案*

2014-02-10王金波张文政

通信技术 2014年8期

关键词：智能卡口令离线

王金波,熊玲,张文政,曾兵

(保密通信重点实验室,四川成都610041)

基于智能卡的轻量级非平衡型口令认证方案*

王金波,熊玲,张文政,曾兵

(保密通信重点实验室,四川成都610041)

智能卡与口令相结合的身份认证方式既可保留使用强密钥优势,又具有使用方便的特点,是一种理想的安全双因子认证方式。当前许多公开的口令认证方案,要么需要较强的计算环境而难于采用智能卡快速实现,要么不能抵抗离线口令猜测攻击或服务端内部攻击而存在安全缺陷。提出一种非平衡型口令认证方案,基于智能卡和用户口令双因子设计,具有简便高效、口令安全、双向认证特点,能够抵御离线口令猜测攻击和服务端内部攻击,可用于满足设备开机时的安全认证需求。

智能卡口令认证

0 引言

身份认证技术经历了从软件到硬件、从单因子到多因子、从静态到动态的发展过程。口令认证方案作为一种简便易用的方案,在远程服务认证系统中广泛使用[1-2]。

为实施身份认证与密钥协商过程,通信双方需要共享对称密钥或拥有各自的私钥,它们通常由专用的密码装置和程序控制产生,用户难以记住这些密钥信息,需要专用的安全存储设备。为防止存储的密钥数据泄露,需要强化保密通信的安全管理,如不依赖于存储安全的用户口令的实时控制与参与,利用通信用户的低熵的口令,产生出密码学意义的高安全性的会话密钥。不管是基于用户“所知”的口令认证、用户“所有”的智能卡认证还是用户“所具有”的生物特征认证,任何单一的认证管理方式总是存在安全或应用上的种种局限,已经不能满足网络信息系统身份认证的需求。例如,基于生物特征进行身份认证无需用户记忆复杂的口令或随身携带智能卡等优点,但由于生物特征的隐私性、唯一性、不可撤消等独特属性,一旦泄露便可能造成严重后果。多因素认证方式相结合已经成为身份认证技术的发展趋势。

用户口令具有容易选择、便于记忆和输入,不需要PKI支持,无需专用的安全存储设备等优点,但也存在口令的熵值低、容易猜测,认证信息容易丢失等缺点。而智能卡具有携带方便、拥有一定的计算和存储能力等优势,可提供用户和远程系统的交互认证。因此,采用与智能卡相结合的口令认证方式,使得口令认证与协商协议更具有易用性、更便于部署,即保留了使用强密钥的优势,又可以避免复杂的密钥管理,是一种理想的安全双因子应用方式,对于强化密码信息的安全管理和系统应用安全具有重要意义。

1 研究基础

设通信双方实体分别为A和B,根据实际应用及安全策略的不同,构建基于弱秘密(如口令)的身份认证及密钥协商机制[3],通常可划分为如下3种基本类型或它们的混合型。

类型I:平衡型。该型主要特征是,实体A和实体B都拥有一个弱秘密,通信双方拥有的弱密钥可以相同也可以不同。

类型II:增广型。该型主要特征是,实体A拥有一个弱秘密,实体B拥有对应该弱秘密的验证值,如散列值。

类型III:依赖型。该型主要特征是,实体A拥有一个弱秘密,实体B拥有一个与该弱密钥相关的强密钥。

上述三类方案中,平衡型方案(类型I)口令同步机制复杂,导致安全性和可靠性不强,一般较少使用;增广型方案(类型II)适用于本地认证服务的系统,也可用于安全要求不高的远程认证服务系统;依赖型方案(类型III)适用于集中式管理的认证服务系统。

为描述方便,给出如下定义及记号:

pwU:用户U口令,不存储;

rA:用户U的密钥,存于实体A中,可随pwU一起更换;

sB:系统密钥,不更换。

2000年,Hwang等提出基于智能卡的认证方案,该方案基于模幂运算[4],Sun在此基础上改进方案,该方案提供了相互认证,而且只用了单向散列函数,这样使得算法实现速度快[5]。Ku指出了Sun方案可以进行离线口令攻击,并改进了该方案[6],王小敏等提出Ku的方案同样有缺陷,并进行了改进,后面分析表明该方案同样不能抵抗离线口令攻击[7]。

下面简要描述王小敏等提出的基于智能卡和口令认证方案,其认证过程主要由系统初始化、用户注册、登录和认证阶段组成。

(1)系统初试化阶段

系统初始化阶段,主要完成智能卡(或USBKey)的初始化,建立智能卡应用环境等,生成并安全存储注册中心与服务器的共享秘密信息,确保其机密性。

(2)用户注册阶段

1)用户U选择一个随机数rA,计算:

2)用户U向服务器B发送:

3)服务器B收到后计算:

4)服务器B向用户U发送:

5)用户U将数据R、V和rA保存到A中。

(3)用户登录阶段

1)U插入智能卡到读卡器,然后输入idU和pwU。

2)A计算p=R⊕H(rA⊕pwU),并验证Hp(H(rA⊕pwU))=V是否相等,如果不相等,A将结束会话。

3)A生成随机数RA,计算c1=p⊕H(rA⊕RA),c2=Hp(H(rA⊕RA)⊕TU),其中TU表示用户U操作时的时间戳。

4)A向B发送:

(4)系统验证阶段

B接收到登录请求消息MsA后,B执行如下操作:

1)验证idU和TU是否正确,如果不正确则拒绝登录。

2)B计算P=H(idU⊕x),c′1=c1⊕p,验证Hp(c′1⊕Tu)=c2是否成立,若成立,则接受登录,否则拒绝登录。

3)B计算c3=Hp(c′1⊕Ts),并向A发送:

4)A接收到B发送的消息MsB以后,首先验证时间戳Ts是否正确,若不正确则终止会话。

5)A计算c′3=Hp(H(rA⊕RA)⊕Ts),并比较c′3=c3是否相等。如果相等,信任远程服务器,则用户和远程服务器的登录验证过程完成。否则用户终止会话。

(5)安全性分析

该方案中,若通过工具获取智能卡中的信息R、V和rA,然后猜测口令值pw′U,计算p′=R⊕H(rA⊕pw′u),V′=Hp′(H(rA⊕pw′u));验证V′=V是否相等,如果相等则成功获取用户口令。该方案没有达到文中所提的可有效抵抗离线口令攻击的目标。

2 非平衡型口令认证与协商协议

本节给出一种可实用化的非平衡型口令认证与协商协议方案,该方案可克服以往该类口令认证与协商方案的设计缺陷与不足。本方案基于智能卡和用户口令双因子设计,具有简便高效、口令安全、双向认证特点,能够抵御离线口令猜测攻击和服务端内部攻击,可用于满足用户通信系统的安全认证需求。

本方案认证过程涉及管理中心、用户U,认证实体A,远程服务器实体B,包括注册阶段、登录认证、密钥协商、口令更换等活动。

2.1 注册

终端用户U向管理中心(如发卡中心)申请注册,管理中心核实认证实体A及用户U身份后:

1)管理中心为A产生用户身份idU,以及用户密钥rA。

2)管理中心为B产生系统密钥sB。

3)U获准注册时,输入初始口令pwU,之后计算:

4)管理中心向A(智能卡)导入数据rA、idU和WA。

5)管理中心向B分配数据sB、idU和WB。

6)管理中心保留或备份sB和idU。

依据第1节认证类型描述,U与A之间以及A和B之间的配置符合增广型(类型II)和依赖型(类型III)特征:

1)引入sB为A端的用户口令提供保护,攻击者(外部窃取、仿冒及猜测人员)从A中获取不到pwU、sB,无法利用A开展离线口令攻击。

2)引入rA可防止B端受内部攻击,攻击者(如B的操作人员)从B中获取不到rA和pwU,只能获得它们异或值的散列值。

2.2 登录认证

用户U完成注册,实体A和B完成相关配置,用户U可利用A向B发起登录申请。用户U的登录流程,具体设计如下:

1)终端接入系统,提示用户U插入认证实体A、输入用户身份信息idU,A验证idU是否正确,否则拒绝用户U的登录申请。

2)用户U向A输入口令pwU,A计算中间值H(rA⊕pwU)和H(sB⊕idU),产生随机数RA和密钥协商因子KA,计算

3)发起端A向接收端B发送:

其中NA为用户U每次登录唯一标识,如系统时间或随机序列号。

4)接收端B接收MsA,对U和A进行身份鉴别,产生随机数RB和密钥协商因子KB,计算

5)接收端B向发起端A发送:

其中NB为B向A反馈的登录唯一标识,可采用随机序列号或NA。

6)发起端A接收MsB,对B进行身份鉴别。

【可选】A利用协商函数F计算共享密钥KAB=F(KA,KB),用KAB加密反馈信息(如加密数据H(sB⊕RB)),向B发送。

7)【可选】接收端B接收A的反馈信息,确认A和B完成密钥协。

2.3 鉴别与协商

2.2节的登录设计包含身份鉴别和密钥协商机制,具体如下。

实体A对用户U的鉴别:

1)实体A收到用户U输入的用户身份idU,检查它与A中存储的一致性;否则,拒绝用户U的登录申请。

实体B对用户U和实体A的鉴别:

2)实体B收到A发送的数据{NB,SB0,SB1,VB},检查NB的合理性。

3)利用数据SA0和SA1得到H(rA⊕RA)和KA,计算

4)若V′A与接收数据VA一致,则U和A通过身份鉴别;否则鉴别失败。

用户U和实体A对实体B的鉴别:

5)实体A收到B发送的数据{NA,SA0,SA1,VA},检查NB的合理性;

6)利用数据SB0和SB1得到H(sB⊕RB)和KB,计算

7)若V′B与接收数据VB一致,则B通过身份鉴别;否则鉴别失败。

实体A和实体B之间的密钥协商:

完成身份鉴别后,A和B共享密钥因子KA和KB,将它们传给所配置的通信设备进行密钥协商,计算出协商密钥。

设备得到协商密钥后,就可实施后续所需资源的恢复。关于密钥协商算法及资源恢复设计,超出了本文研究范围。

2.4 口令更改

本文方案支持对用户口令实施在线更换,具体设计如下。

1)用户U启动终端口令更新程序,输入用户身份idU和用户原口令pwU,实体A验证idU是否正确,否则拒绝下一步操作。

2)用户输入新口令pw'U,实体A计算出H(rA⊕pwU)和H(sB⊕idU),产生随机数RA和新的用户密钥r′A(如选择不需更新,则仍为rA),计算

3)发起端A向B发送:

4)接收端B接收MsA,对A进行身份鉴别(判断VA与计算一致),得到H(r′A⊕pw′u),产生随机数RB和KB,计算

5)接收端B向A发送:

6)发起端A接收MsB,对B进行身份鉴别(判断VB与计算一致),更新A中存放的rA和WA:

7)发起端A向B发送确认信息:

8)接收端B接收PwA验证A中的WA和rA已更新,更新WB:

3 方案分析

本文方案中,攻击者实施攻击的条件可分为如下3种情形:

1)攻击者仅获得pwU。

2)攻击者仅获得A的存储数据。

3)攻击者获得A的存储数据以及A和B之间交互的传输数据。

对于情形1),用户U仅pwU泄露,显然攻击者利用pwU无法得到其它有用信息,对系统安全无影响,用户U只需及时更新口令即可。

对于情形2),攻击者获得rA、idU和WA←H(SB⊕idu)⊕H(rA⊕pwU):

攻击者尝试口令不同值进行在线攻击,显然在B端限制用户登录失败次数就可挫败该类攻击;

攻击者尝试口令不同值进行离线攻击,因H(sB⊕idU)未知,利用WA←H(SB⊕idu)⊕H(rA⊕pwU)无法得到的pwU信息。

对于情形3),攻击者获取实体A中的存储数据以及已登录过的交互数据,可获得与秘密信息相关的由5个方程构成的方程组,它们共含6个未知元:pwU,xB,RA,RB,KA,KB,需要尝试所有可能口令值,则可获得pwU的概率信息。

本文方案具有抗内部攻击、抗离线攻击、抗重放和伪造攻击等能力。

4 结语

本文针对当前网络环境下远程认证登录的安全需求,提出了一种基于智能卡和口令相结合的简便高效的身份认证方案。该协议方案有很强的实用性和安全性,可以实现用户端与远程服务器端的双向认证与密钥协商,认证过程仅用到7次单向散列运算,实现简单快速,具有抵御离线口令猜测攻击和服务端内部攻击等优点。

由于口令取值只可能限定在比较小的空间(如10字节),根据第3节情形3)的分析,可通过离线和在线结合方式获取口令的概率信息,这是所有轻量级口令认证方案均无法避免的。如何在有效保护用户个人隐私信息安全性的条件下,将生物特征识别技术[8-9]与口令认证技术融合,进而提出具有生物特征隐私保护、基于智能卡、用户口令和生物特征的多因素身份认证方案,是我们下一步需要研究的重要课题。

[1] 李波,杨茂云,何大可.一种智能卡口令认证方案的分析与改进[J].通信技术,2003(08):104-105.

LI Bo,YANG Mao-yun,HE Da-ke.Analysis and Improvement of A Password Authentication Scheme with Smart Card. Communication Technology.2003.8:104-105.

[2] 王海龙,戴英侠.远程接入短信动态口令系统的阻塞攻击分析及其对策[J].信息安全与通信保密, 2008(12):103-106.

WANG Hai-long,DAI Ying-xia.Denial-of-Service Attack Analysis of Dynamic Password and Proposed Countermeasures.2008(12):103-106.

[3] ISO/IEC11770-4-2006,Information Technology-Security Techniques-Key Management-Part4:Mechanisms based on Weak Secrets[S].[s.l.]:Joint Technical Committee ISO/IEC JTC 1,2006.

[4] Hwang M S,Li L H.A New Remote User Authentication Scheme Using Smart Cards[J].IEEE Transactions on Consumer Electronics,2000,46(01):28-30.

[5] SUN H M.An Efficient Remote User Authentication Scheme Using Amart Cards[J].IEEE Transactions on Consumer Electronics,2000,46(04):958-961.

[6] KU W C,CHEN S M.Weaknesses and Improvement of an Efficient Password based Remote User Authentication Scheme Using Smart Cards[J],IEEE Transactions on Consumer Electronics,2004,50(01):204-207.

[7] WANG Xiao-min,ZHANG Wen-fang.Cryptanalysis and Improvement on two Efficient Remote User Authentication Scheme Using Smart Cards[J].Computer Standards&interfaces,2007(29):507-512.

[8] Ratha N,Connell J,Bolle R.,Enhancing Security and Privacy in Biometries-based Authentication Systems[J]. IBM Systems Journal,2010(40):614-634.

[9] Simoens K,Bringer J,Chabanne H,Seys S.A Framework for Analyzing Template Security and Privacy in Biometric Authentication Systems[J].IEEE Transactions on Information Forensics and Security,2012,7(02):833-841.

WANG Jin-bo(1971-),male,Ph.D.,research fellow,mainly engaged in cryptography theory.

熊玲(1983—),女,硕士,工程师,主要研究方向为密码理论;

XIONG Ling(1983-),female,M.Sci.,mainly working at cryptography theory.

张文政(1966—),男,硕士,研究员,主要研究方向为密码理论;

ZHANG Weng-zheng(1966-),male,M.Sci.,research fellow,mainly working at cryptography theory.

曾兵(1971—),男,硕士,高级工程师,主要研究方向为密码工程。

ZENG Bing(1971-),male,M.Sci.,senior engineer,majoring in cryptography engineering.

A Balanced Password Authentication Schemes based on Smart Card

WANG Jin-bo,XIONG Ling,ZHANG Wen-zheng,ZENG Bing
(Key Laboratory of Confidential Communication,Chengdu Sichuan 610041,China)

Remote user authentication protocol using smart cards together with password is an efficient double -factor scheme,which has the advantage of secure and convenience.At present,among the password authentication schemes,many of them can’t use smart card,because password authentication method needs complex computer operations.However,some password authentication method based on smart card can’t be against to guessing attack.To remedy these flaws,this paper proposes an efficient improvement over Xiao-Min Wang’s with more security,which can be against guessing attack and Server internal attack.

smart card;password;authentication

TP393

1002-0802(2014)08-0930-05

10.3969/j.issn.1002-0802.2014.08.018