曹 阳

(陕西理工大学 数学与计算机科学学院，陕西 汉中 723000)

0 引 言

在网络时代，远程用户从不同的服务器获得网络服务已不再是难事，用户可使用传统的单服务器架构[1-2]来满足自己的需求。但随着因特网的迅速发展，网络服务的需求也相应增长，单服务器架构也就很难满足这些需求，需要多个服务器在不同的位置提供服务。近年来研究人员针对多服务器认证问题，引入了口令、身份标识、基因等，目的是为了提高用户认证时信息的安全性。例如，文献[3]提出了一种多服务环境下的身份认证协议，但该协议不能抵抗伪造攻击和会话密钥泄露攻击；文献[4]基于智能卡提出一种多服务器多环境下的动态身份认证协议，但该协议通信复杂度太高[5]；文献[6]提出了基于口令的高效安全的多服务器认证方案，但该方案存在离线口令猜测攻击；文献[7]基于单向hash函数提出了无验证表的高效多服务器认证方案，但该方案不能抵抗内部攻击，无服务周期管理等；文献[8]基于自认证公钥提出了一种多服务器远程用户身份认证方案，但该方案不能抵抗伪造攻击、无前向安全性；文献[9]提出的基于智能卡的多服务器远程认证方案，不能抗重放攻击，无双向认证。类似的方案[10-15]还有很多，在此不再加以一一论述。

针对多服务器环境下用户认证的安全性问题，基于ECC密码体制，结合动态身份，文中提出了一种多服务器环境下的动态身份认证密钥协商方案。

1 认证密钥协商方案

设U={U1,U2,…,Un}为远程用户，S={S1,S2,…,Sn}为服务器组，RC为可信注册中心。RC选取有限域Fp上的安全椭圆曲线E(Fp)，G为E(Fp)的基点，其阶为q(q为大素数)，且该曲线满足椭圆曲线离散对数问题的难解性，公开E(Fp)，G，q。方案中信息都是在安全信道上发送，由注册阶段、登录阶段、认证密钥协商阶段、口令更改阶段四个部分组成，方案中用到的主要参数描述见表1。

表1 参数描述

1.1 注册阶段

(1)Sj选取随机数SIDj作为自己的身份标识，并将其发送给RC。RC收到Sj发送的身份标识SIDj后计算Rj=H(H(SIDj)⊕yj)，发送Rj给Sj，Sj收到Rj后将其存储，结束注册。

(2)用户选取随机数UIDi和UPWi，其中UIDi作为用户的身份标识，UPWi作为用户的口令。将(H(UIDi),H(H(UIDi)⊕UPWiG))发送给RC。

(3)RC收到(H(UIDi),H(H(UIDi)⊕UPWiG))后计算：Ai=H(x⊕H(UIDi))，Bi=Ai⊕H(H(UIDi)⊕UPWiG)，Ci=H(Ai)，Aij=H(Bi‖SIDj)，Dij=Eyj⊕Tij(Aij)，并将(Bi,Ci,Aij,Tij,H())发送给UIDi，Dij发送给Sj结束注册。

1.2 登录阶段

(2)用户选取随机数α，α∈Fp，计算：N1=H(Ai‖αG)CUIDi=EAij(rk‖H(H(UIDi)⊕Aij)‖H(UIDi))，其中rk表示用户的登录次数，发送登录请求信息(CUIDi,αG,N1,H())给Sj。

1.3 认证密钥协商阶段

(1)Sj收到用户登录请求信息(CUIDi,αG,N1,H())后，选取随机数β，β∈Fp，计算N2=H(Rj‖βG)，同时将(CUIDi,αG,N1,Dij,N2,βG,H())发送给RC。

2 方案分析

2.1 安全性分析

(1)强匿名性。

方案是基于动态身份设计的，用户Ui的真实身份从未在公共网络上传输。注册时用户Ui向控制中心RC传送的是匿名身份H(UIDi)，若攻击者要知道Ui的真实身份，他必须解决哈希函数H()的单向性问题。登录时，Ui使用的是动态身份CUIDi，由CUIDi=EAij(rk‖H(H(UIDi)⊕Aij)‖H(UIDi))知，攻击者要知道用户的真实身份，他就必须知道Aij，由Aij=H(Bi‖SIDj)，Bi=Ai⊕H(H(UIDi)⊕UPWiG)，Ai=H(x⊕H(UIDi))，H(UIDi)可知是不行的。一方面，x是RC的私钥；另一方面仍然是哈希函数H()的单向性问题，所以攻击者无法确定用户的身份。因此方案具有强匿名性。

(2)抗离线口令猜测攻击。

由H(H(UIDi)⊕UPWiG)知，用户的口令是由哈希函数H()保护的，即使攻击者通过一些方法得到了用户的身份，他也无法知道用户的口令UPWi，由UPWiG知，UPWi的安全性基于离散对数问题的难解性。

(3)抗重放攻击。

如果攻击者窃听到用户Ui和服务器Sj之间的通信，并伪装成Ui将登录请求信息发送给Sj，由(CUIDi,αG,N1,H())知，α是用户在每一次登录请求时选取的随机数，显然，α使得每一次会话中的信息都是不同的，即使攻击者知道了某一次会话消息，也无法在下次会话中使用。同样攻击者也无法伪装成Sj与Ui通信，因为β也是随机数。所以方案抗重放攻击。

(4)抗内部攻击。

方案中的内部攻击是指系统管理者有目的地泄露用户的秘密信息。方案中用户提交的注册信息(H(UIDi),H(H(UIDi)⊕UPWiG))是受哈希函数H()保护的，且口令UPWi通过用户身份隐藏，加之离散对数的难解性，攻击者不可能得到用户的口令，即方案可以抵抗内部攻击。

(5)抗恶意合法用户攻击。

一个恶意合法用户U'可能收集到的信息有：一是U'自己的身份UID'和口令PW'；二是从信道上窃听或截获目标用户登录时的请求信息。由方案可知，用户登录时使用的是动态身份，由CUIDi=EAij(rk‖H(H(UIDi)⊕Aij)‖H(UIDi))知，U'必须知道Aij。若由Ai=H(x⊕H(UIDi))，Bi=Ai⊕H(H(UIDi)⊕UPWiG)，Aij=H(Bi‖SIDj)计算出正确Aij，U'必须知道RC的私钥x及其身份SIDj；若从Dij进行解密得到Aij，由Dij=Eyj⊕Tij(Aij)知，yj是RC和Sj之间的私钥。因此U'无法伪造用户登录请求信息。

(6)三方双向认证。

在认证密钥协商阶段2中，RC收到Sj发送的认证信息(CUIDi,αG,N1,Dij,N2,βG,H())后，计算Aij，解密CUIDi，比较了相关信息，并通过N1,N2认证Sj。同样在阶段3中，Sj通过N3,N4认证了RC的合法性，在阶段4中，Ui通过N5认证了Sj的合法性，在阶段5中，Sj通过N6认证了Ui的合法性。因此方案能提供三方认证。

(7)前向安全性。

方案中，如果攻击者知道了传输中所有认证信息和注册中心的主密钥x，他仍然不能推导出Ui和Sj之间的会话密钥SK=αβG，因为α,β是Ui和Sj各自选取的随机数，且每次会话时α,β都不同，即方案满足前向安全性。

2.2 方案比较

方案从抗重放攻击、强匿名性、抗离线口令猜测攻击、抗内部攻击、抗恶意合法用户攻击、三方认证、前向安全性、服务周期管理八个方面与文献[6-9]进行比较，如表2所示。其中“√”表示具有该方面的安全性；“×”表示不具有该方面的安全性；“T1”表示抗重放攻击；“T2”代表强匿名性；“T3”代表抗离线口令猜测攻击；“T4”代表抗内部攻击；“T5”代表抗恶意合法用户攻击；“T6”代表三方认证，“T7”代表前向安全性，“T8”代表服务周期管理。

表2 安全性比较

3 结束语

文中提出了一种多服务器环境下动态身份认证密钥协商方案，其安全性主要依赖于hash函数的单向性、ECC密码体制的安全性及离散对数问题的难解性。分析表明，方案能抵抗重放攻击、内部攻击、恶意用户攻击，具有三方认证、前向安全性。因此，方案具有一定的实际应用价值。

参考文献：

[1] LI Chunta,LEE Cheng-Chi.A robust remote user authentication scheme using smart card[J].Information Technology and Control,2011,40(3):236-245.

[2] JIANG Qi, MA Jianfeng, LU Xiang,et al.Robust chaotic map-based authentication and key agreement scheme with strong anonymity for telecare medicine information systems[J].Journal of Medical Systems,2014,38(2):1-8.

[3] LI Xiong,XIONG Yongping,MA Jian,et al.An efficient and security dynamic identity based authentication protocol for multi-server architecture using smart cards[J].Journal of Network and Computer Applications,2012,35(2):763-769.

[4] SOOD S K,SARJE A K.A secure dynamic identity based authentication protocol for multi-server architecture[J].Journal of Network and Computer Applications,2011,34(2):609-618.

[5] KALRA S,SOOD S.Advanced remote user authentication protocol for multi-server architecture based on ECC[J].Journal of Information Security an Applications,2013,18(2-3):98-107.

[6] TSAUR W J,LI Jiahong,LEE Wei-Bin.An efficient and secure multi-server authentication scheme with key agreement[J].Journal of Systems and Software,2012,85(4):876-882.

[7] TSAI J L.Efficient mufti-server authentication scheme based on one-way hash function without verification table[J].Computers & Security,2008,27(3-4):115-121.

[8] LIAO Yipin,HSIAO C M.A novel multi-server remote user authentication scheme using self- certified public keys for mobile clients[J].Future Generation Computer Systems,2013,29(3):886-900.

[9] 国佃利.基于智能卡的多服务器远程认证方案的研究[D].济南:济南大学，2014.

[10] 舒 剑.高效的基于口令多服务器认证方案[J].计算机应用研究,2015,32(8):2444-2446.

[11] 牛 雨.基于多服务器互相验证的用户身份认证协议[J].计算机仿真,2016,33(2):350-354.

[12] 舒 剑.多服务器环境下基于扩展混沌映射的认证密钥协商协议[J].计算机应用研究,2016,33(1):232-235.

[13] 王崇霞,高美真,刘 倩,等.多服务器环境移动通信网身份认证方案设计[J].微电子学与计算机,2016,33(6):152-156.

[14] 李艳平,刘小雪,屈 娟,等.基于智能卡的多服务器远程匿名认证密钥协商协议[J].四川大学学报:工程科学版,2016,48(1):91-98.

[15] 夏鹏真,陈建华.基于椭圆曲线密码的多服务器环境下三因子认证协议[J].计算机应用研究,2017,34(10):3061-3067.