一種遠(yuǎn)程用戶身份認(rèn)證方案的密碼分析和改進(jìn)

李 光，楊 斌，方 群

(海軍蚌埠士官學(xué)校，安徽 蚌埠 233012)

遠(yuǎn)程用戶的身份認(rèn)證在計(jì)算機(jī)安全系統(tǒng)中扮演著越來越重要的角色。它確保只有通過授權(quán)的用戶才可以通過網(wǎng)絡(luò)登錄系統(tǒng)內(nèi)部。自1981年Lamport通過使用智能卡(Smart Card)實(shí)現(xiàn)遠(yuǎn)程用戶的身份認(rèn)證方案以來[1]，越來越多的基于遠(yuǎn)程用戶身份驗(yàn)證的智能卡系統(tǒng)被用于增強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)。

在傳統(tǒng)的密碼方案中，每位用戶都有一個(gè)用戶標(biāo)識(shí)符和密碼。當(dāng)用戶試圖登錄計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)時(shí)，必須提供本人的用戶標(biāo)識(shí)符和相應(yīng)正確的密碼，同時(shí)遠(yuǎn)程系統(tǒng)服務(wù)器需要維護(hù)一張用戶密碼表對(duì)用戶所提供的用戶標(biāo)識(shí)和密碼進(jìn)行對(duì)比來判斷用戶身份的合法性。

為了避免在不安全的公用網(wǎng)絡(luò)上保存純文本形式的用戶口令密碼[2-3]，很多學(xué)者提出了在遠(yuǎn)程系統(tǒng)中為用戶存儲(chǔ)相應(yīng)的驗(yàn)證表和與之相對(duì)應(yīng)密碼的單邊Hash函數(shù)，通過這種方法可以防止針對(duì)用戶密碼表的相關(guān)攻擊。然而，這種在遠(yuǎn)程系統(tǒng)中存儲(chǔ)的驗(yàn)證表仍存在被攻擊者篡改的安全隱患。因此，不需要保存和維護(hù)用戶驗(yàn)證表的遠(yuǎn)程系統(tǒng)要求用戶必須獨(dú)立于該系統(tǒng)之外[4-5]。

2002年，Hwang等人提出了一種不需要任何口令密碼或遠(yuǎn)程系統(tǒng)驗(yàn)證表的遠(yuǎn)程用戶身份認(rèn)證方案[6]。此外，任何合法用戶都可以不通過遠(yuǎn)程系統(tǒng)的幫助來自由選擇或更改他們的口令密碼。該方案與其他方案相比可以提供更有效的遠(yuǎn)程用戶身份認(rèn)證但卻不需要大量的運(yùn)算。2005年，Yoon等人提出這種認(rèn)證方案所產(chǎn)生的密碼散列值是不安全的[7]，特別是在服務(wù)器密鑰丟失、被盜或智能卡被盜的情況下，未授權(quán)的用戶就可以輕而易舉地更換智能卡的密碼。此外，這種方案無法提供遠(yuǎn)程用戶和系統(tǒng)之間的身份認(rèn)證，因此無法抵御攻擊者使用被盜的智能卡所進(jìn)行的拒絕服務(wù)(Dos)攻擊。Yoon等人針對(duì)這種情況提供了相應(yīng)的改進(jìn)方案中，使得所產(chǎn)生的預(yù)先密碼Hash函數(shù)值可以在系統(tǒng)密鑰泄露或被盜的情況下，讓合法用戶自由安全地更改密碼。同時(shí)當(dāng)用戶輸入錯(cuò)誤的密碼時(shí)，系統(tǒng)可以通過遠(yuǎn)程系統(tǒng)相互身份認(rèn)證快速察覺。這種方案所耗費(fèi)的計(jì)算量遠(yuǎn)小于其他同類型的方案。

但Yoon等人的驗(yàn)證方案也并非萬全之策，本文將證明Yoon等人提供的方案存在的多個(gè)安全漏洞問題，一旦攻擊者偷取了智能卡，并將儲(chǔ)存在智能卡中的信息破解，則整個(gè)安全方案將被徹底破解。因此本文提供了一種可以避免這些安全漏洞免遭攻擊的改進(jìn)方法。

1 Yoon氏方案回顧

Yoon等人的安全方案提供了一種介于用戶和遠(yuǎn)程系統(tǒng)之間的相互認(rèn)證方案，合法用戶可以安全自由地更改密碼。這種方案的安全性依賴于其中的單邊Hash函數(shù)。整個(gè)方案包括四個(gè)階段：注冊過程→登錄過程→驗(yàn)證過程→密碼變更過程。

1.1 注冊過程

如表1所示，用戶Ui注冊到遠(yuǎn)程系統(tǒng)服務(wù)器S并按照以下步驟獲得智能卡：

(1)用戶Ui通過一個(gè)安全通道提供其身份 IDi和密碼PWi到遠(yuǎn)程系統(tǒng)服務(wù)器S進(jìn)行注冊；

(2)遠(yuǎn)程系統(tǒng)服務(wù)器S通過Hash函數(shù)計(jì)算Vi=h(IDi，TTSA，x)和 Ai=Vi⊕PWi，其中 x是由系統(tǒng)服務(wù)器 S提供的密鑰，TTSA是由標(biāo)準(zhǔn)授權(quán)時(shí)間所提供的時(shí)間標(biāo)記，h()表示的是單邊Hash函數(shù)；

(3)S 發(fā)出一個(gè)包含(IDi，Vi，Ai，h())信息的智能卡到 Ui。

表1 Yoon氏方案的注冊過程

1.2 登錄過程

當(dāng)用戶Ui需要登錄到遠(yuǎn)程系統(tǒng)服務(wù)器S時(shí)，需要插入智能卡到終端機(jī)上并輸入用戶的身份IDi和密碼智能卡將執(zhí)行以下步驟：

(2)判斷等式Bi=Vi是否成立，如果等式不成立，登錄請(qǐng)求將被拒絕；

(3)創(chuàng)建當(dāng)時(shí)的時(shí)間標(biāo)記 T，計(jì)算 C1=h(Bi，T)，接著發(fā)送消息(IDi，C1，T)到服務(wù)器 S。

1.3 驗(yàn)證過程

在接收到用戶的登錄請(qǐng)求消息(IDi，C1，T)后，遠(yuǎn)程系統(tǒng)和智能卡執(zhí)行以下步驟完成用戶和遠(yuǎn)程系統(tǒng)服務(wù)器之間的相互身份認(rèn)證。首先，遠(yuǎn)程系統(tǒng)執(zhí)行以下操作：

(1)核實(shí)IDi是否為有效的用戶標(biāo)識(shí)符，如果不是則拒絕登錄請(qǐng)求；

(2)判斷不等式 T′-T≤ΔT是否成立(ΔT是傳輸時(shí)間延遲)，如果不成立則拒絕登錄請(qǐng)求；

(4)創(chuàng)建當(dāng)時(shí)時(shí)間標(biāo)記 T″計(jì)算 C2=h(，，T″)，將(C2，T″)發(fā)送到智能卡。

智能卡執(zhí)行以下步驟：

①智能卡在接到遠(yuǎn)程系統(tǒng)發(fā)回的信息后，對(duì)時(shí)間間隔T和 T″進(jìn)行比對(duì)；

表2 Yoon氏方案登錄和認(rèn)證過程

1.4 密碼變更過程

如果用戶Ui想要將原來的密碼PWi更改為一個(gè)新密碼 PWi′，執(zhí)行步驟如下：

(1)計(jì) 算 Bi=Ai⊕P=h(IDi，TTSA，x)；

(2)判斷等式 Bi=Vi，其中 Vi被儲(chǔ)存于智能卡中，如果該等式成立，用戶Ui則將原來的密碼更改為新密碼PWi′；

(3)計(jì) 算 Ai′=Bi⊕PWi′；

(4)用 Ai′代替 Ai存儲(chǔ)到智能卡中。

2 Yoon氏方案密碼破解

關(guān)于Yoon氏身份驗(yàn)證方案的密碼破解分析如下。

2.1 密碼僅存儲(chǔ)于用戶名中

在注冊過程中，可以發(fā)現(xiàn)，遠(yuǎn)程系統(tǒng)服務(wù)器S發(fā)出包 含(IDi，Vi，Ai，h())信 息 的 智 能 卡 給 用 戶 。 假 設(shè) 如 果 有入侵者將智能卡盜走并且提取存儲(chǔ)在其中的相應(yīng)信息，這種信息竊取[8]可能是由在參考文獻(xiàn)[9]中所提到的通過監(jiān)控系統(tǒng)信息傳輸或分析泄露信息[10]而完成的。

在步驟(2)中，方案是通過計(jì)算等式 Ai=Vi⊕PWi，然而通過等式PWi=Vi⊕Ai入侵者可以通過提取Ai和Vi輕松計(jì)算出用戶密碼PWi。這時(shí)入侵者就可以通過盜取的智能卡重新更改密碼，而用戶自身擁有的密碼只能存儲(chǔ)于用戶名中。

2.2 冒充用戶登錄遠(yuǎn)程系統(tǒng)

當(dāng)計(jì)算登錄信息C1=h(Bi，T)時(shí)，入侵者 Ua可以通過執(zhí)行以下步驟欺騙遠(yuǎn)程系統(tǒng)服務(wù)器S來冒充合法用戶：

(1)入侵者Ua提取按照上述方法從智能卡中提取出Vi；

(2)入侵者 Ua取得當(dāng)時(shí)的時(shí)間標(biāo)記 Ta并計(jì)算 C1′=h(Vi，Ta)， 接 著 偽 造 的 信 息 (IDi，C1′，Ta)被 送 往 遠(yuǎn) 程 服 務(wù) 器系統(tǒng) S；

(3)S核實(shí)用戶合法用戶標(biāo)識(shí) IDi，發(fā)現(xiàn) Ta是在傳播延時(shí)內(nèi)的預(yù)期執(zhí)行時(shí)間間隔；

2.3 對(duì)合法用戶假冒遠(yuǎn)程系統(tǒng)

當(dāng)用戶 Ui發(fā)出登錄信息(IDi，C1，T)后，遠(yuǎn)程系統(tǒng)冒充者Sa可以輕松實(shí)現(xiàn)對(duì)用戶Ui假冒遠(yuǎn)程系統(tǒng)。

首先，冒充者 Sa通過從智能卡中提取的 C1和Vi攔截登錄信息(IDi，C1，T)，獲得當(dāng)前時(shí)間標(biāo)識(shí) Ta′并計(jì)算 C2′=h(Vi，C1，Ta′)。 當(dāng) Bi=Vi時(shí)間標(biāo)識(shí) Ta′仍位于 預(yù)期時(shí)間間 隔內(nèi)，由智能卡計(jì)算得到的與C2相等，此時(shí)就完成了在用戶和冒充者之間的身份認(rèn)證。

通過上述發(fā)生在Yoon氏方案的安全漏洞分析，可以看出密碼的泄漏完全是由存儲(chǔ)在智能卡中的Vi不安全性導(dǎo)致。通過Vi可以輕松透露出密碼和登錄信息，響應(yīng)消息可以被輕松偽造，此漏洞的嚴(yán)重性可以導(dǎo)致整個(gè)方案被完全破解。

3 改進(jìn)方案

基于Yoon氏驗(yàn)證的改進(jìn)方案可以經(jīng)受住先前部分所述安全漏洞的檢驗(yàn)。改進(jìn)方案過程為：注冊過程→登錄過程→驗(yàn)證過程→密碼變更過程。表3給出了在注冊過程中的改良方案。正如Yoon氏方案所提到的，讓x成為由遠(yuǎn)程系統(tǒng)服務(wù)器S發(fā)出密鑰，TTSA是可信時(shí)間標(biāo)識(shí)，h()為固定長度輸出的單邊Hash函數(shù)。另外，給出一個(gè)由變量k決定的hk()作為加密 hash函數(shù)。用戶 Ui通過遠(yuǎn)程系統(tǒng)服務(wù)器S按照以下步驟獲得其智能卡：

(1)用戶Ui提供其注冊用戶標(biāo)識(shí) IDi和密碼 PWi到 S；

(2)S 計(jì)算 Vi=h(IDi，TTSA，x)，Wi=hVi(h(PWi))和 Ai=Vi⊕h(PWi)；

(3)S 發(fā) 出 包 括(Wi，Ai，h()，hk())信 息 的 智 能 卡 到 用戶Ui。

表3 改進(jìn)方案的注冊過程

注冊后，當(dāng)用戶Ui想要登錄遠(yuǎn)程系統(tǒng)S，必須將智能卡插入到終端中，輸入用戶身份 IDi和密碼 PWi，智能卡接著執(zhí)行以下步驟：

(3)創(chuàng)建當(dāng)前時(shí)間標(biāo)識(shí) T并計(jì)算 C1=h(Bi，T)，接著發(fā)送信息(IDi，C1，T)到 S。

當(dāng)遠(yuǎn)程系統(tǒng)接收到用戶Ui發(fā)來的注冊信息后，用戶和遠(yuǎn)程系統(tǒng)之間將執(zhí)行多個(gè)步驟來完成相互身份認(rèn)證，可以有效防止信息竊取和泄露等安全漏洞。如果用戶Ui想要將原來的密碼 PWi更改為新密碼 PWi′，需要執(zhí)行以下步驟：

①計(jì)算 Bi=Ai⊕h(P)=h(IDi，TTSA，x)；

②判斷等式Bi=Vi是否成立 (其中Vi存儲(chǔ)在智能卡中)，如果等式成立，用戶 Ui選擇一個(gè)新密碼 PWi′，否則拒絕密碼變更請(qǐng)求；

③ 計(jì) 算 Ai′=Bi⊕h(PWi′)；

④存儲(chǔ) Ai′到智能卡中代替原來的 Ai。

4 改進(jìn)方案的安全分析

通過相互身份認(rèn)證的改進(jìn)方案的安全分析，發(fā)現(xiàn)改進(jìn)方案在Yoon氏方案的基礎(chǔ)上可以有效防止相應(yīng)的安全漏洞攻擊。

(1)抵抗密碼暴力破解

如果入侵者企圖暴力破解密碼，在改進(jìn)方案下被證明是不可能的。首先，在智能卡中沒有包含的值，而密鑰x的值入侵者無法得到，因此無法計(jì)算出Vi的值。即使入 侵 者 得 到 了 儲(chǔ) 存 在 智 能 卡 中 的 (Wi，Ai，h()，hk())值 的信息或者攔截用戶登錄信 息(IDi，C1，T)，由于 Ai=Vi⊕h(PWi)基于單邊Hash函數(shù)，入侵者很難在沒有 Vi值的情況下猜測出用戶密碼。

(2)抵抗竊取攻擊

在服務(wù)器竊取攻擊中，入侵者可以使用合法用戶的秘密信息來欺騙服務(wù)器。因此，一個(gè)安全可靠的遠(yuǎn)程用戶身份認(rèn)證系統(tǒng)必須擁有對(duì)抗此類攻擊的能力。在改進(jìn)方案中，除了進(jìn)行常規(guī)的遠(yuǎn)程系統(tǒng)用戶身份認(rèn)證以外，還獨(dú)創(chuàng)性地包含了相互身份認(rèn)證。因此在用戶和遠(yuǎn)程系統(tǒng)之間的相互身份認(rèn)證可以讓改進(jìn)方案經(jīng)受住服務(wù)器攻擊的考驗(yàn)。

(3)抵抗重復(fù)攻擊

在身份認(rèn)證階段，遠(yuǎn)程系統(tǒng)和用戶都需要通過T′-T≤ΔT或 T?-T"≤ΔT來核實(shí)時(shí)間標(biāo)識(shí) T和 T"，其中 ΔT是由傳輸延時(shí)造成的預(yù)期時(shí)間間隔，不論是原先登錄信息(IDi，C1，T)的重復(fù)嘗試或是遠(yuǎn)程系統(tǒng)的響應(yīng)信息(C2，T″)的重復(fù)嘗試攻擊都無法奏效。因而此類攻擊對(duì)改進(jìn)方案也無法造成安全漏洞的產(chǎn)生。

(4)抵抗身份假冒攻擊

假如入侵者 Ua想要通過攔截(IDi，C1，T)來偽造登錄信息(IDi，C1′，Ta)假冒合法用戶，當(dāng) Ua發(fā)出 偽造 登錄信息到遠(yuǎn)程系統(tǒng)S后，S將不會(huì)響應(yīng)其登錄信息，因?yàn)?h，T)≠C1′，其中=h(IDi，TTSA，x)，而 Ua無 法 得到其值。當(dāng)然，遠(yuǎn)程系統(tǒng)會(huì)拒絕入侵者偽造登錄信息的請(qǐng)求。

同樣如果入侵者Ua嘗試冒充服務(wù)器并通過(C2，T″)偽造響應(yīng)信息(C2，Ta″)，這也是不可行的，因?yàn)槿肭终遀a無法得到由單邊Hash函數(shù)保護(hù)的Bi值。假冒的遠(yuǎn)程系統(tǒng)無法被用戶核實(shí)。因此，改進(jìn)方案可以有效防止偽造登錄，冒充服務(wù)器類型的欺騙攻擊。

(5)高效密碼驗(yàn)證

在注冊過程中，如果用戶輸入錯(cuò)誤的密碼 PWi′，智能 卡 將 計(jì) 算 Bi=Ai⊕ h(PWi′)和=hBi(h(PWi′))。 此 時(shí) ，會(huì)發(fā)現(xiàn)≠Wi而 Bi值和 PWi′值顯然是不正確的。智能卡會(huì)迅速終止注冊過程。因此，密碼驗(yàn)證過程是安全高效的，可以有效防止錯(cuò)誤密碼并阻止多次密碼嘗試。

本文給出一種基于智能卡的Yoon氏遠(yuǎn)程用戶身份驗(yàn)證方案中的安全漏洞。針對(duì)這些安全漏洞，提出了更安全有效的驗(yàn)證方案，該方案被證明可以防止密碼猜測攻擊、竊取攻擊、重復(fù)攻擊和角色欺騙攻擊等攻擊方式。此外，該方案不需要對(duì)智能卡附加額外的運(yùn)算量，可以更好地履行保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全職責(zé)。

[1]LAMPORT L.Password authentication with insecure communication[J].Communications of the ACM， 1981，24:770-772.

[2]CHANG C C，WU T C.Remote password authenticated with smart cards[J].IEE Proceedings-E， 1991，138(3):165-168.

[3]CHANG C C，LAIH C S.Comment on remote password authentication with smart cards[J].IEE Proceedings-E，1992，139(4):372-372.

[4]SUN H M.Cryptanalysis of password authentication schemes with smart cards[C].Information Security Conference 2001，2001.

[5]CHIEN H Y， JAN J K， TSENG Y M.An efficient and practical solution to remote authenticaiton:smart card[C].Computers and Security，2002.

[6]HWANG M S， LEE C C， TANG Y L.A simple remote user authentication scheme[J].Mathematical and Computer Modelling， 2002，36(1):103-107.

[7]YOON E J， RYU E K， YOO K Y.An improvement of Hwang-Lee-Tang’s simple remote user authentication scheme[J].Computers&Security， 2005，24(1):50-56.

[8]KOCHER P， JAFFE J， JUN B.Different power analysis[C].Proc.Advances in Cryptoloty(CRYPTO’99)， 1999.

[9]KU W C，CHEN S M.Weakness and improvements of an efficient password based remote user authentication scheme using smart cards[J].IEEE Transactions on Consumer Electronics， 2004，50(1):204-207.

[10]MESSERGES T S， DABBISH E A， SLOAN R H.Examining smart card security under the threat of power analysis attacks[J].IEEE Transactions on Computers， 2002，51(5):541-552.