对两个基于智能卡的口令认证协议的安全性分析

doi:10.3724/SP.J.1087.2012.02007

计算机应用 ›› 2012, Vol. 32 ›› Issue (07): 2007-2009.DOI: 10.3724/SP.J.1087.2012.02007

对两个基于智能卡的口令认证协议的安全性分析

薛锋¹,汪定¹,²,王立萍¹,马春光²

1. 解放军蚌埠汽车士官学校训练部，安徽蚌埠233011
2. 哈尔滨工程大学计算机科学与技术学院，哈尔滨150001

收稿日期:2012-01-05 修回日期:2012-02-22 发布日期:2012-07-05 出版日期:2012-07-01
通讯作者: 汪定
作者简介:薛锋(1975-)，男，陕西宜川人，助理工程师，主要研究方向：密码学、信息安全；汪定(1985-)，男，湖北十堰人，硕士研究生，主要研究方向：密码学、无线网络安全；王立萍(1985-)，男，黑龙江肇东人，博士研究生,主要研究方向：微电子、信息安全；马春光(1974-)，男，黑龙江双鸭山人，教授，博士，主要研究方向：密码学、信息安全。
基金资助:
福建高校产学合作科技重大项目(2010H6007);博士后科研人员落户黑龙江科研启动资金资助项目(LBH-Q10141);北京邮电大学网络与交换技术国家重点实验室开放课题(SKLNST-2009-1-10)

Cryptanalysis of two smartcard-based remote user password authentication protocols

XUE Feng¹,WANG Ding¹,²,WANG Li-ping¹,MA Chun-guang²

1. Department of Training, Automobile Sergeant Institute of PLA, Bengbu Anhui 233011, China
2. College of Computer Science and Technology, Harbin Engineering University, Harbin Heilongjiang 150001, China

Received:2012-01-05 Revised:2012-02-22 Online:2012-07-05 Published:2012-07-01
Contact: WANG Ding

摘要/Abstract

摘要： 身份认证是确保信息系统安全的重要手段，基于智能卡的口令认证协议由于实用性较强而成为近期研究热点。采用基于场景的攻击技术，对最近新提出的两个基于智能卡的口令认证协议进行了安全性分析。指出“对Liao等身份鉴别方案的分析与改进”(潘春兰,周安民,肖丰霞,等.对Liao等人身份鉴别方案的分析与改进.计算机工程与应用,2010,46(4):110-112)中提出的认证协议无法实现所声称的抗离线口令猜测攻击；指出“基于双线性对的智能卡口令认证改进方案”(邓粟,王晓峰.基于双线性对的智能卡口令认证改进方案.计算机工程,2010,36(18):150-152)中提出的认证协议无法抗拒绝服务(DoS)攻击和内部人员攻击，且口令更新阶段存在设计缺陷。分析结果表明，这两个口令认证协议都存在严重安全缺陷，不适合安全需求较高的应用环境。

关键词: 身份认证, 智能卡, 认证协议, 离线口令猜测攻击, 拒绝服务攻击

Abstract: Since identity authentication becomes an essential mechanism to ensure robust system security in distributed networks, smartcard-based remote user password authentication protocols have been studied intensively recently. Two recently proposed smartcard-based authentication protocols were examined with the scenario-based attack techniques. The protocol presented in “Cryptanalysis and improvement of Liao et al. 's remote user authentication scheme” (PAN Chun-lan, ZHOU An-min, XIAO Feng-xia, et al. Improved remote user authentication scheme. Computer Engineering and Applications, 2010,46(4):110-112) can not withstand the offline password guessing attack as the authors claimed, while the protocol presented in “Improved scheme for smart card password authentication based on bilinear pairings” (DENG Li, WANG Xiao-feng. Improved scheme for smart card password authentication based on bilinear pairings. Computer Engineering, 2010,36(18):150-152) is found vulnerable to the Denial of Service (DoS) attack and insider attack. The analytical results show that, both protocols are susceptible to serious security threats and impractical for security-concerned applications.

Key words: identity authentication, smart card, authentication protocol, offline password guessing attack, Denial of Service (DoS) attack

中图分类号:

TP393.08

薛锋汪定王立萍马春光. 对两个基于智能卡的口令认证协议的安全性分析[J]. 计算机应用, 2012, 32(07): 2007-2009.

XUE Feng WANG Ding WANG Li-ping MA Chun-guang. Cryptanalysis of two smartcard-based remote user password authentication protocols[J]. Journal of Computer Applications, 2012, 32(07): 2007-2009.

参考文献

［1］冯登国,陈伟东.基于口令的安全协议的模块化设计与分析［J］.中国科学:E辑,2007,50(3):381-398.

［2］秦小龙,杨义先.强口令认证协议的组合攻击［J］.电子学报,2003,31(7):1043-1045.

［3］ TSAI C S, LEE C C, HWANG M S. Password authentication schemes: Current status and key issues ［J］. International Journal of Network Security, 2006, 3(2): 101-115.

［4］ CHANG C C, WU T C. Remote password authentication with smart cards ［J］. IEE Proceedings-E Computers and Digital Techniques, 1993, 138(3): 165-168.

［5］ LEE N Y, CHIU Y C. Improved remote authentication scheme with smart card ［J］. Computer Standards and Interfaces, 2005, 27(2): 177-180.

［6］ LIAO I E, LEE C C, HWANG M S. A password authentication scheme over insecure networks ［J］. Journal of Computer and System Sciences, 2006, 72(4): 727-740.

［7］ GIRI D, SRIVASTAVA P D. An improved remote user authentication scheme with smart cards using bilinear pairings ［EB/OL］. ［2011-11-20］. http://eprint.iacr.org/2006/274.pdf.

［8］ KOCHER P, JAFFE J, JUN B. Differential power analysis ［C］// Proceedings of the 19th Annual International Cryptology Conference on Advances in Cryptology, LNCS 1666. Berlin: Springer, 1999: 388-397.

［9］ MESSERGES T S, DABBISH E A, SLOAN R H. Examining smart-card security under the threat of power analysis attacks ［J］. IEEE Transactions on Computers, 2002, 51(5): 541-552.

［10］许春香,唐安阳.使用双线性对构造的智能卡口令认证方案［J］.电子科技大学学报,2008,37(5):733-736.

［11］张鑫,李方伟,潘春兰.一种增强的基于智能卡的远程身份鉴别方案［J］.计算机应用,2009,29(4):950-952.

［12］潘春兰,周安民,肖丰霞,等.对Liao等人身份鉴别方案的分析与改进［J］.计算机工程与应用,2010,46(4):110-112.

［13］邓粟,王晓峰.基于双线性对的智能卡口令认证改进方案［J］.计算机工程,2010,36(18):150-152.

［14］ WU SHUHUA, ZHU YUEFEI, PU QIONG. Robust smart-cards-based user authentication scheme with user anonymity ［J］. Security and Communication Networks, 2012, 5(2): 236-248.

［15］ WANG R C, JUANG W S, LEI C L. Robust authentication and key agreement scheme preserving the privacy of secret key ［J］. Computer Communications, 2011, 34(3): 274-280.

［16］ HALEVI S, KRAWCZYK H. Public-key cryptography and password protocols ［J］. ACM Transactions on Information and System Security, 1999, 2(3): 230-268.

[1]	周思艺, 李天瑞. 面向源-目的地流的多元时空数据可视分析[J]. 《计算机应用》唯一官方网站, 2024, 44(2): 452-459.
[2]	刘德渊, 张金全, 张鑫, 万武南, 张仕斌, 秦智. 基于无证书签密的跨链身份认证方案[J]. 《计算机应用》唯一官方网站, 2024, 44(12): 3731-3740.
[3]	葛晨洋, 刘勤让, 裴雪, 魏帅, 朱正彬. 软件定义网络中高效协同防御分布式拒绝服务攻击的方案[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2477-2485.
[4]	田洪亮, 王佳玥, 李晨曦. 基于混合算法区块链和节点身份认证的数据存储方案[J]. 《计算机应用》唯一官方网站, 2022, 42(8): 2481-2486.
[5]	刘向举, 路小宝, 方贤进, 尚林松. 软件定义网络环境下的低速率拒绝服务攻击检测方法[J]. 《计算机应用》唯一官方网站, 2022, 42(4): 1301-1307.
[6]	李颖之, 李曼, 董平, 周华春. 基于集成学习的多类型应用层DDoS攻击检测方法[J]. 《计算机应用》唯一官方网站, 2022, 42(12): 3775-3784.
[7]	杜心雨, 王化群. LTE-A网络中基于动态组的有效的身份认证和密钥协商方案[J]. 计算机应用, 2021, 41(6): 1715-1722.
[8]	张平, 贾亦巧, 王杰昌, 石念峰. 三因子匿名认证与密钥协商协议[J]. 《计算机应用》唯一官方网站, 2021, 41(11): 3281-3287.
[9]	张兴兰, 赵怡静. 基于单光子的量子双向同步身份认证协议[J]. 计算机应用, 2020, 40(9): 2634-2638.
[10]	王波, 任英琦, 黄冬艳. H-Algorand:基于多块输出的公有链共识机制[J]. 计算机应用, 2020, 40(7): 2150-2154.
[11]	刘向举, 刘鹏程, 徐辉, 朱晓娟. 基于软件定义物联网的分布式拒绝服务攻击检测方法[J]. 计算机应用, 2020, 40(3): 753-759.
[12]	江泽涛, 徐娟娟. 云环境下基于签密的异构跨域身份认证方案[J]. 计算机应用, 2020, 40(3): 740-746.
[13]	陈旖, 张美璟, 许发见. 基于一维卷积神经网络的HTTP慢速DoS攻击检测方法[J]. 计算机应用, 2020, 40(10): 2973-2979.
[14]	史志才, 王益涵, 张晓梅, 陈珊珊, 陈计伟. 可扩展及可证安全的射频识别认证协议[J]. 计算机应用, 2019, 39(3): 774-778.
[15]	孔亚洲, 张连成, 王振兴. 基于滑动时间窗口的IPv6地址跳变主动防御模型[J]. 计算机应用, 2018, 38(7): 1936-1940.

对两个基于智能卡的口令认证协议的安全性分析

Cryptanalysis of two smartcard-based remote user password authentication protocols

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics