基于智能卡的动态身份认证协议

SC→S：{C3}

(4)收到{C3}后，服务器计算C’2=h(TID0，TID1，s′，R’2)并检验C’2=?C3。若相等，服务器认证用户成功，并更新TID0为TID1;否则，拒绝用户的本次登录请求。

2.4 口令修改阶段

当用户想修改口令时，可以如下更新口令：用户插入智能卡，输入旧的口令PW后提示两次输入新的口令PWnew，确保新口令的正确。智能卡计算 y=h(PW||N)，ynew=h(PWnew||N)和vnew=v?堠y?堠ynew=synew后用vnew替换原有的v，这样口令修改阶段完成。

3 新认证方案的安全性证明和性能分析

3.1 安全性证明

新协议给每个用户分配动态登录身份保护用户的匿名性，攻击者想进行攻击必须锁定目标用户，否则由于每次登录身份不同，攻击者的攻击都是无效的。故假设攻击者已锁定目标用户，并能成功截获目标用户与服务器通信信息。

命题1 新协议能抵抗DoS攻击

证明：一般地，用户用动态身份TIDi登录，并收到下一次动态身份TIDi+1。但在用户登录过程中遭到DoS攻击，用户可以再次利用动态身份 TIDi登录，因为新协议采用三次握手技术，为确保用户的动态登录身份和服务器储存的同步，每次只有当用户登录成功时，用户和服务器才更新动态登录身份。这样只要DoS攻击不是持续的，用户一定能登录到服务器，而不必每次都要到认证中心解开账号，这种设计不会产生其他的安全问题，主要是重放攻击和冒充攻击。

命题2 新协议能抵抗重放攻击和冒充攻击

证明：这里有两种重放攻击：攻击者当用户正常登录时进行重放攻击;攻击者根据锁定的用户，先进行DoS攻击迫使用户重新登录后进行重放攻击。新协议采用动态登录身份，、攻击者直接重放以前的登录信息很容易被识破，假设攻击者试着构造正确的通信消息进行重放攻击，冒充合法用户欺骗服务器，或者冒充服务器欺骗用户，也即身份冒充攻击。

(1)攻击者在用户正常登录时进行重放攻击。首先假设攻击者冒充用户，试着构造{TIDi，R1，C1}和{C3}。

①重放TIDi，R1，构造C1，C3。假设攻击者根据锁定的用户，在用户登录服务器时截获登录消息{TIDi，R1，C1}，直接从中获取TIDi 和R1用于随后重放攻击，试着构造C1，C3。但构造C1=h(TIDi，ID，s，R2)，C3=h(TIDi，TIDi+1，s，R2)，攻击者必须计算R2=r1Q。攻击者可能从R1=r1P中计算随机数r1，但这相当于解决ECDLP难题，是很难实现的;攻击者可能自己选一个随机数r计算出R，进而计算

但要计算C1，C3，攻击者还必须计算s。而s的计算与用户的口令PW和服务器的秘钥k有关，是很难获得的，所以此种攻击是无法成功的。

②重放TIDi，R1，C1，构造C3。假设攻击者在用户登录时截获第三轮消息{C3}，试着构造C3。但是由上面分析，C3中含有s和R2是很难得到的，而且在新协议中用户只有通过与服务器的第三轮握手后才能被认证成功，所以此种攻击仍无法实现。

攻击者冒充服务器，重放消息{TIDi+1，C2}。

重放TIDi+1，构造C2。假设攻击者在服务器向用户发送消息时截获并{TIDi+1，C2}，重放TIDi+1，构造C2。攻击者构造正确的 C2=h(TIDi+1，s′)，必须获得s′，但是这些值都与服务器的秘钥k有关，攻击者是很难得到的，所以此种攻击也是不可能的。

(2)先DoS攻击后重放攻击。此种情况由于用户重新输入身份和口令，只是发送同样的动态身份，根据上面的分析，与直接进行重放攻击类似，所以此攻击仍是无法实现。此外，通过上面分析，只有合法用户才能计算正确的信息让服务器认证，只有真正的服务器才能计算正确的消息通过用户的认证，所以新协议提供双向认证性。

命题3 新协议能抵抗口令猜测攻击

证明：下面分别从用户端和服务器端来证明。

(2)假设此处的攻击者是特权内部攻击者，即来自系统管理人员，并且从用户开始注册就锁定目标用户，记录用户递交信息ID，y=h(PW||N)接下来进行口令猜测攻击。但是由于y中含有高熵随机数N，攻击者仍无法实行口令猜测攻击。另外，新协议在服务器端保存用户的动态登身份TIDi和真实身份 ID，而TIDi只是用户身份的一个代表，由系统随机分配;用户的真实身份ID，主要是为了服务器辨别不同的用户，这两个值在协议中都不是敏感的数据，所以新协议也能抵抗被盗校验子攻击。

3.2 性能分析

各种方案计算代价和安全性比较分别如表1和表2所示。从表1看，与Chen等方案比较，新方案需要椭圆曲线上点乘运算并不占优;但从表2看，Chen 等方案的安全性明显低，而且新方案建立在椭圆曲线密码机制上，与传统的公钥密码体制(如RSA)比较具有很多优势，例如256位的ECC与1024位的 RSA具有相同的安全性[10]，所以在同安全条件下，新方案在总的性能上占优。从表1看，与唐-皮等方案(唐宏斌等方案和皮兰等方案)比较，新方案在登录认证阶段多2个哈希运算。但是唐宏斌等方案在用户登录前需要一个预计算阶段，皮兰等方案在登录认证阶段需要与服务器进行四次握手通信，而本方案不需要预计算阶段，登录认证只需三次握手通信;而且唐-皮等方案进行口令修改时，还要与服务器进行四次通信，而新协议用户自己就能完成，计算代价明显减小。从表2 看，新协议不仅不需要协调时钟，降低成本代价，而且具有匿名性以及抵抗强安全性问题——DoS攻击，充分确保了认证协议的有效性。所以新协议总的性能仍占优。

4 结论

本文提出一种基于智能卡和动态身份的远程用户认证协议，采用动态登录身份来保护用户的匿名性，避免重放攻击，通过延长用户存储动态身份和三次握手技术抗击DoS攻击，同时保证协议性能的高效性，扩大了协议的使用范围，例如移动设备云环境下的用户登录认证。