对一个口令认证协议的可攻击性分析及改进

36卷 第7期

ol.36 No.7 2010年4月

A 对一个口令认证协议的可攻击性分析及改进

柯芳芳，唐西林，章启恒

(华南理工大学理学院数学系，广州 510640)

摘 要：Rhee H S 等人(Computer Standards & Interfaces, 2009, No.1)提出的协议使用移动设备代替智能卡记忆数据降低风险和成本，但该协议仍存在一些不足。针对该问题，基于Chan-Cheng 攻击案例，指出该协议难以抵抗假冒攻击和离线口令猜测攻击，为克服这些缺陷，给出一种改进方案，通过实验证明了该方案可以有效抵抗上述2种攻击，并能保证其口令的秘密性及身份认证的安全性。 关键词：口令认证；智能卡；假冒攻击；离线口令猜测攻击

Attack Analysis and Improvement of Password Authentication Protocol

KE Fang-fang, TANG Xi-lin, ZHANG Qi-heng

(Department of Mathematics, School of Science, South China University of Technology, Guangzhou 510640)

【Abstract 】Thel protocol proposed by Rhee H S et al(Computer Standards & Interfaces, 2009, No.1) uses mobile equipment to replace smart card to reduce risk and cost, but it exists some demerits. Aiming at this problem, based on Chan-Cheng attack case, it points out that the protocol can not resist impersonation attack and off-line password guessing attack. In order to overcome these drawbacks, it gives the improved scheme. Experimental results show this scheme is strongly resistant to both of these attacks, which keeps the password secret and authenticating ID. 【Key word 】password authentication; smart card; impersonation attack; off-line password guessing attack

计 算 机 工 程 Computer Engineering 第V pril 2010

术·

文章编号：1000—3428(2010)07—0142—02

文献标识码：A

中图分类号：N945

·安全技1 概述

口令认证协议是远程用户登录系统中必不可少的一个方面。早在20世纪80年代，动态口令认证协议被广泛应用于各种远程登录系统中。口令认证协议发展至今，远程用户登录系统一般分为3个阶段：(1)注册阶段。用户提供身份证明和口令给服务器进行注册，成为合法用户。(2)登录阶段。用户输入口令，提交登录请求和登录信息。(3)验证阶段。服务器验证用户合法性，验证通过后并向用户提交双向认证信息。随着口令认证协议的发展，对于口令认证协议的发展，相应的口令认证协议的攻击也发展起来。对于口令认证协议的攻击有几种：离线口令猜测攻击，假冒攻击，窃取凭证攻击，拒绝服务器攻击，重放攻击等。在传统的口令认证方案中，服务器储存相应的二元对(,)i i ID PW ，用户登录是输入口令与其匹配即可。但这种储存用户口令的方法容易遭受窃取凭证的攻击。此后的诸多协议中，虽然将二元对改为验证因子列表保存，这仍然难以抵抗诸多攻击方法且保存用户口令数据的问题认未解决。在ElGamal 签名认证方案[1]和基于身份认证签名方案[2]的基础上，文献[3]提出一个智能卡口令认证方案，它具有以下意义：(1)用户可以随意修改密码；(2)远程认证系统不再储存口令相关的验证因子列表；(3)运用时间戳方案，系统可以抵抗重放攻击。为减少风险和降低成本，许多协议多使用智能卡保存一些数据，以此不再增加服务器的存储负担。现存的口令认证协议基本上是与智能卡结合使用，可惜智能卡成本较高且限制申请对象。文献[4]协议是在现有智能卡口令认证协议的基础上进行改进，使其协议能配合移动设备使用，降低成本。移动设备虽然成本较低，但不具备良好的防篡改性。文献[4]协议指出了Fan-chan-zhang 协议难以抵抗假冒攻击以及khan-zhang 协议不能抵抗假冒攻击和离线口令猜测攻击，并以安全的移动设备代替智能卡从而降低

成本。而本文则认为文献[4]协议仍然存在一些不足，依然难以抵抗假冒攻击和离线口令猜测攻击。

2 文献[4]协议

本文用到的符号如下：U 表示用户；S 表示服务器；i i

ID 表示用户身份证明；i PW 表示用户口令；p 为一个大素数；

()H ⋅, ()h ⋅为函数；Hash s x 为服务器密钥；e 为服务器公钥；为阶为G p 的群。

2.1 注册阶段

注册阶段的步骤为：(1)通过安全信道提交i U i ID 和i PW 给服务器。(2)接收到S S i ID 和i PW 后，S 产生一个随机数并计算：，其中，,,

i r 12(,)i i i Y Y Y =i r G ∈1()mod i s

r x i i Y I i D H PW p =⋅2i Y =mod i r i ID p 。(3)通过安全信道将写入用户的移动设备保存。

S ((),(),,)i H h p Y ⋅⋅i U 2.2 登录阶段

如果用户要登录服务器，将移动设备插入终端，输入他的身份i ID 和口令i PW 。移动设备执行以下操作：(1)选取随机数,a b G ∈。(2)计算1

mod ()

i i i Y Y p H PW ′=

及12()a i C Y ==

()mod i

r a i ID p

od 。(3)计算()m i i M H Y T ID p

′=⊕⊕,

22()a i C Y =⋅ mod M p , ，其中，T 为

当前时间戳。(4)发送到服务器，同

32()()mod i

r b b i i C Y ID ==p 2123(,,,,,)i i C ID Y C C C T =S 基金项目：国家自然科学基金资助项目(10571061)

作者简介：柯芳芳(1984－)，女，硕士研究生，主研方向：密码学； 唐西林，教授；章启恒，硕士研究生

收稿日期：2009-10-10 E-mail ：285797713@

—142

—