双向认证协议范文

双向认证协议范文（精选6篇）

双向认证协议 第1篇

RFID( Radio Frequency Identification,简称RFID) 技术因其低成本、体积小、无须可视、适于恶劣环境等特点而被广泛用于物流、商品识别、医疗管理和交通等领域,但由于RFID系统独有的无线传输、信号广播和资源受限等特点,使RFID技术面临重放攻击、追踪、监听、假冒攻击等安全问题,因此安全和隐私保护是RFID应用首先要解决的关键问题之一[1]。针对RFID安全和隐私保护问题,研究者们目前已经提出很多解决RFID系统安全问题的方案,这些方案大致可分为两类[2]: 基于物理的安全机制和基于密码的安全机制,基于物理的安全机制主要用于RFID标签,但存在着成本增加、资源浪费和实用性不足等缺点[3]。所以基于密码的安全机制成为当前RFID安全研究的热点之一,其主要采用标签和阅读器之间的认证来控制对标签的访问,提高RFID系统的安全性。

通过已有RFID安全认证协议研究与分析发现,现有RFID认证协议主要存在以下不足: ( 1) 协议计算过于复杂,成本高,不适于大规模部署与应用; ( 2) 大多数安全协议在设计时均以后端数据库和读写器之间是安全信道为前提,限制了RFID系统应用的灵活性; ( 3) 不安全环境下标签存在追踪、假冒、被非法读写器读取等安全隐患。基于以上不足,论文提出了一种基于共享秘密的RFID安全认证协议,实现了标签、读写器和后端数据库三者之间的双向认证,并对协议的安全性进行了比较分析,然后运用BAN逻辑对所设计协议的安全性进行了证明。

1 RFID 安全协议设计

1. 1 协议初始化及符号

协议初始化时,后端数据库中存储着标签的ID、读写器ID及共享秘密初始值X; 读写器中存储着读写器的ID和共享秘密初始值X,且具有一个伪随机数发生器,能够存储和转发后端服务器与标签之间所传输的数据; 标签中存储着标签的ID和共享秘密初始值X; 且标签、后端数据库、读写器均能执行Hash计算和异或( XOR) 操作,协议中所使用的符号如表1所示。

1. 2 协议认证过程

( 1) 读写器R产生一伪随机数r,计算HX( r) ,并向标签发送质询Query,同时将HX( r) 和随机数r发送给标签;

( 2) 标签利用自身存储的共享秘密X和接收到的r计算HX( r) 是否与接收到的相等,如果与接收到的相同,则完成标签对读写器的认证,然后标签计算A = HX( r) !HX( IDT) ,并将其发送给读写器; 否则丢弃,标签对读写器的认证失败。

( 3) 读写器接收到来自标签的信息A后计算B = HX( r) !A和C = HX( r) !HX( IDR) ,并将B,C和伪随机数r发送给后端数据库S。

( 4) 后端数据库S接收到来自读写器的信息B,C和伪随机数r后在后端 数据库中 查找是否 存在某个HX( IDT*) 和HX( IDR*) ,使得HX( IDT*) = B,HX( IDR*) = C !HX( r) ,如果两个都存在,则后端数据库认为是合法的标签和读写器,更新并保存共享秘密X为HX( r) ,然后后端数据库将B和C发送给读写器; 否则后端数据库对标签和读写器的认证失败。

( 5) 读写器接收到来自后端数据库的信息B,C后,计算HX( r) !C是否等于HX( IDR) ,判断HX( r) !A是否等于B,如果相等则完成读写器对后端数据库和标签的认证,更新并保存共享秘密X为HX( r) ,并将B转发给标签; 否则读写器对后端数据库和标签的认证失败。

( 6) 标签接收到来自读写器的认证信息B后,比较HX( r)!A是否等于B,如果相等则完成标签对数据库服务器和读写器的认证,更新并保存共享秘密X为HX( r) ; 否则标签对后端数据库和读写器的认证失败。

至此,读写器、标签和数据库服务器三者之间的双向认证完成,其具体执行流程如图1所示。

2 安全性分析

本文将分别从协议的防假

冒、抗重放攻击、防追踪、隐私保护、前后向安全性及双向认证等几方面进行安全性分析。

( 1) 假冒攻击( Spoofing attack) : 攻击者假冒成合法的读写器向标签发送HX( r) 和随机数r; 由于攻击者没有共享秘密X,标签用共享秘密X经计算HX( r) 后发现与收到的不匹配,此时标签不予响应读写器的质询,因此攻击者无法实施假冒合法读写器进行攻击。

( 2) 重传攻击( Replay attack) : 协议每次会话过程中都是利用随机数r保证数据的新鲜性,而且共享秘密X在每次会话中都是不同的,所以协议能够抵御重放攻击。

( 3) 追踪攻击( Tracking attack) : 假设攻击者截获标签的响应信息HX( r) !HX( IDT) ,通过分析来跟踪发出该响应的标签,但由于在每次会话过程中,标签所使用的伪随机数r和共享秘密X都是动态变化的,因此攻击者无法从该响应信息中判断是哪个标签做出的,所以协议对于追踪性攻击具有安全性。

( 4) 隐私保护( Secret protection) : 在每次会话过程中,标签ID通过HX( IDT) 保护,依据hash函数的不可逆性,攻击者无法通过计算HX( IDT) 获得标签的唯一标识IDT,所以协议满足标签的隐私保护。

( 5) 前后向安全性( Forward and Backward security) : 动态网络环境中前向安全和后向安全是保证协议安全的2个重要方面[4]。假设攻击者获得了某次标签输出HX( r) !HX( IDT) ,但由于共享秘密X和伪随机数r的动态性以及Hash函数的不可逆性,因此攻击者无法获得标签的前后向信息,所以协议具有前后向安全性。

( 6) 双向认证( Mutual authentication) : 后端数据库在数据库中查找HX( IDR) 和HX( IDT) 实现后端数据库对读写器和标签的认证; 读写器通过HX( r) !A是否等于B实现对标签的认证,计算HX( r) !C来实现对后端数据库的认证; 标签计算HX( r) !B是否等于A实现对后端数据库和读写器的认证。这种标签、读写器和三方之间的双向认证策略与手段,提高了系统的安全性和抗攻击性。

综合以上分析可知,本协议具有较强的安全性。表2对比了已有RFID安全认证协议[5,6,7,8]与本文协议的安全性,表中“√”表示协议具有该安全性,表示协议不具有该安全性,“◇”表示协议部分满足。

3 BAN 逻辑形式化分析与证明

BAN逻辑是一种用于分析认证协议的基于信仰的逻辑,通过认证协议运行过程中消息的接收和发送,从最初的信仰逐渐发展为协议运行所要达到的目的,即主体的最终信仰[9],其语法、推理规则及步骤可参见文献[10]。本协议的BAN逻辑形式化分析与证明如下。

下面的形式化描述中,假设R代表读写器,T代表标签,r代表阅读器产生的随机数,X代表共享秘密,IDT和IDT仍代表标签和读写器的标识。

3. 1 初始假设

3. 2 协议的理想化模型

3. 3 协议的预期目标集合

3. 4 BAN 逻辑推理

G1证明: S |≡T | ~ #HX( IDT)

由M3和消息接收规则可得,结合初始假设A5和消息意义规则可得:,再由初始假设A8和可得

至此G1推理证明完成。

同理多次应用初始假设、消息接收规则和消息意义规则等可以推理证明G2至G6安全目标。可见该协议能够有效地实现后端数据库、标签和阅读器三者的双向认证的安全目标,达到了所设计协议预期的安全目标。

4 结束语

本文在分析已有RFID认证协议的优缺点的基础上,提出了一个基于共享秘密的RFID双向认证协议,实现了标签、读写器和后端数据库三者的双向认证,并用协议分析工具BAN逻辑证明分析了协议的正确性。安全性分析表明,本文协议能有效地抵御窃听、欺骗、重传、跟踪等常见针对RFID系统的攻击。

摘要：在研究和分析已有RFID认证协议的基础上,提出了一种基于共享秘密的RFID双向认证协议,分析了协议的安全性,并运用BAN逻辑的形式化分析方法,对协议的安全性进行了推理证明。结果表明实现了标签、读写器和后端数据库三者的相互认证,在实现上仅使用Hash函数和异或操作,具有安全性高、成本低等特点。

双向转诊协议书 第2篇

甲方：澄迈县人民医院

乙方：

为进一步提高患者的治疗管理水平，体现分级诊治的原则，提高医疗资源利用效率，按照双向转诊有关规定，经甲乙双方协商决定，建立对口支援预约转诊协作关系。为了规范各自行为，现签定协议如下：

一、甲方责任：

l．成立双向转诊服务台，制定具体双向转诊实施方案，指定专人负责双向转诊工作，设立专线电话，实行24小时连续服务，建立双向转诊绿色通道，明确服务流程，确保服务质量；

2．对乙方转来的病人要认真进行登记，并及时安排专人将患者送至病区或门诊，对转入病人提供门诊检查、组织会诊及协调处理住院事宜等服务；

3．对乙方转来的患者实行优先就诊、检查、交费、取药，优先安排住院手术。对双向转诊来的患者无特殊情况不作不必要的重复检查，实行“一单通”等资源共享，根据病情合理检查；

4.对乙方提供及时的会诊或急会诊，协助乙方处理疑难病症。免费开展健康教育、保健咨询，义务对乙方医生进行培训。采取长期进修或短期培训的方式，免费为乙方训业务骨干（每1-2人，时间3-6月）；

5．将本单位简况、特色、知名专家特长、大型设备拥有情况及优惠政策编辑印成册，发至乙方医生手中，方便医生转诊。积极为乙方提供技术支持，帮助解决技术难题，有些检验项目，患者前往医院又有困难的，乙方可按要求留取标本，送往甲方进行检验。

6．对康复期、诊断明确且病情稳定的慢性病等符合下转条件的患者应及时转回乙方，下转病人时，向乙方提供患者治疗评估和诊断、预后、辅助检查，转回后续的治疗、康复方案及诊治医生名、联系方式等材料，提公后续治疗和康复的业务指导以及必要的跟踪服务，加盖公章（或诊断专用章）后转乙方机构，进行下一步的康复治疗。

二、乙方责任：

1医生应熟悉转诊医院的基本情况、专家特长、常用检查项目及价格。协助或指导病人选择合适的专家和检查项目，及时将符合转诊条件的患者转往甲方医院，避免患者盲目选择和减少医疗开支；

2．乙方上转病人时，简要注明初步诊断、患者的病史及诊治情况、转诊原因等情况，由经治医师签字并加盖公章；

3.危急重症患者上转时，乙方派专人护送并向接诊医生说明病人病情，同时提供相关的检查、治疗资料；

4．遇有职业病、精神障碍性疾病患者应及时上转至相应的专科医疗机构或有相应专业的综合医院；

5．遇有传染病、严格按照《中华人民共和国传染病防治法》规定，将各类传染病人转至传染病定点收治医院并按规定上报疫情；

6．遇有符合上转条件的患者，在征得患者同意的基础上，有义务将患者转诊至甲方，不得索取任何费用；

7．对上级医院转回下级医院进行后续治疗和康复的患者，做好相关衔接工作。要逐步扩大居民健康档案的建档率，并实行动态管理和信息化管理。

三、未尽事宜随时通过双方协商解决。

四、本协议一式三份，甲乙双方各执一份，卫生局一份。

五、本协议自甲乙双方签字起生效。

甲乙（盖章）年月日

乙方（盖章）年月日

双向转诊协议书（试行）

为进一步提高合作医院患者的治疗管理水平和医疗资源利用效率，体现分级诊治的原则，经甲乙双方协商决定，建立双向转诊关系。为了规范各自行为，现签定协议如下：甲方：

乙方：

一、甲方（社区卫生服务机构）责任

1、医生要熟悉转诊医院的基本情况、专家特长、常用检查项目及价格,协助和指导病人选择合适的专家和检查项目；

2、遇有符合转诊指征的患者，在征得患者同意的基础上，有义务将患者转诊至协议医院，不得索取任何费用；

3、危急重症患者转诊时必须谨慎，应第一时间就地抢救处理，转院时需派专人护送，并向接诊医生说明病人病情并提供相关的检查、治疗资料；

4、遇有职业病、精神障碍性疾病患者应及时上转至相应的专科医疗机构或有相应专业的综合医院；

5、遇有传染病、严格按照《中华人民共和国传染病防治法》规定，将各类传染病人转至传染病定点收治医院并按规定上报疫情；

6、上转病人要填写《双向转诊（转出）单》，详细填写患者的基本情况、诊疗用药情况，由经治医师签字并加盖公章；

7、对上级医院转回社区卫生服务机构进行后续治疗和康复的患者，做好相关衔接工作。

二、乙方（医疗机构）责任

1、指定专人具体负责双向转诊工作，专线电话号码

实行24小时连续服务，建立双向转诊绿色通道，明确服务流程，确保服务质量；

2、对社区卫生服务机构转来的病人要认真进行登记，并安排专人及时将患者送至病区或门诊；

3、对社区卫生服务机构转来的患者实行优先就诊、检查、交费、取药，优先安排住院手术。对社区卫生服务机构转诊来的患者无特殊情况不作不必要的重复检查，实行“一单通”等资源共享，根据病情合理检查；

4、对社区卫生服务机构提供及时的会诊或急会诊，协助甲方处理疑难病症；

5、对康复期、诊断明确且病情稳等符合下转条件的患者应及时转回社区卫生服务机构，下转病人时，填写《双向转诊（回转）单》，向社区卫生服务机构提供患者治疗评估和诊断、预后、辅助检查，转回社区卫生服务机构后续的治疗、康复方案及诊治医生名、联系方式等材料，提供后续治疗和康复的业务指导以及必要的跟踪服务，加盖公章（或诊断专用章）后转回原社区卫生服务机构，进行下一步的康复治疗。

6、将本单位简况、特色、知名专家特长、大型设备拥有情况及优惠政策编辑印成册，发至社区医生手中，方便社区卫生服务机构医生转诊。积极为社区卫生服务机构提供技术支持，帮助解决技术难题，有些检验项目，患者前往医院又有困难的，社区机构可按要求留取标本，送往乙方进行检验。

7、本协议一式三份，甲乙双方各执一份，主管卫生局一份。

8、本协议有效期：年月日至年月日

附件：

1、社区卫生服务双向转诊指征

2、社区卫生服务双向转诊流程

3、双向转诊(转出)单

4、双向转诊(转回)单

5、抚州市社区卫生服务机构联系表

甲方:(公章）乙方:(公章）

甲方负责人签名：乙方负责人签名：

双向认证协议 第3篇

关键词：射频识别,椭圆曲线密码,安全协议,双向认证,隐私

0 引 言

RFID技术是一种利用无线射频信号进行通信的非接触式自动识别技术,相比于条形码,具有高效、快速、成本低、体积小、长距离、适于恶劣环境、可识别运动目标等优点,近年得到长足发展,广泛应用于供应链管理、商品货物识别、医疗管理、身份识别等领域,大大提高了工作效率,降低总体成本。随着这项技术的推广和发展,安全和隐私保护问题逐渐引起各界的关注,成为RFID应用中急需解决的问题。目前有些文献已经进行了深入和广泛的研究[1,2]。但是由于受到标签资源的限制,设计高效、安全的RFID协议至今仍然是一个具有挑战性的课题,也成为RFID研究的热点问题。

人们对基于密码技术的RFID协议研究主要集中在基于杂凑和随机函数、基于共享秘密和伪随机函数、基于对称密码算法领域,利用公钥密码特别是椭圆曲线密码进行研究的还较少,这样会带来一些诸如安全和隐私保护的问题。在人们的印象中,公钥密码由于计算量大和复杂而不适合于成本低、计算能力弱的RFID标签,其实不然,在文献[3]中,作者提出ECC适合于RFID系统设计,并且设计了一款用于RFID标签的基于椭圆曲线密码的处理器。由于椭圆曲线密码具有相同安全级别下密钥长度短、计算量小、计算速度快等优点,在RFID协议设计中逐渐得到重视。

1 相关工作

当前,针对RFID安全隐私问题,国内外学者提出了许多安全协议。实现RFID安全性机制主要有三类方法:物理方法、密码机制以及二者的结合[4]。我们将当前提出的认证协议分为非公钥认证协议和公钥认证协议进行讨论。

非公钥认证协议:一些兼容EPCglobal C2 G2标准的RFID隐私安全解决方案和协议,采用简单的诸如:XOR、AND、移位、CRC、PRNG等逻辑运算,使其不具有完善的隐私安全性,存在易于受到重放攻击、不能保证不可追踪性等问题。有些使用Hash函数、随机函数等,如Hash-Lock协议[5],非常容易受到假冒攻击和重传攻击,攻击者也可以很容易地对标签进行追踪;随机化Hash-Lock协议[6],标签也易于受到跟踪和假冒攻击,并且其对重传攻击也无法抵抗;Hash链协议[7],也容易受到重传和假冒攻击。采用对称密码技术,文献[8]也被证明不能抵抗主动攻击。非公钥认证协议的可扩展性不好,阅读器端和服务器端识别标签所需要的计算量与RFID系统中标签的数目成线性关系,当标签的数目较大的时候,花费的搜索时间将较长。

公钥密码认证协议:我们将公钥密码认证协议分为非ECC和基于ECC的认证协议。文献[9]提出的基于公钥加密的算法,涉及公钥加密函数、Hash函数和随机数生成函数,且运算量较大,要求高,并被证明不能提供位置隐私和易受重放攻击。文献[10]和文献[11]分别提出基于Schnorr和Okamoto认证机制的基于ECC的认证协议,但文献[12]证明文献[10]易于受到跟踪攻击和重放攻击,文献[11]也存在跟踪攻击和前向安全的问题。文献[12]基于椭圆曲线离散对数问题提出认证协议EC-RAC,指出在GM(generic group model)下是安全的并使计算量最小化,但随后被证明该方案易于受到跟踪攻击和重放攻击。随后作者又提出了修订和扩展版本,避免了隐私泄露的问题,但是协议只是考虑了标签到读写器的单向认证,没有考虑读写器到标签的认证,这样使标签易于受到恶意查询。

综上所述,目前对电子标签的认证协议中使用椭圆曲线密码进行设计的还较少,本文研究的目的希望通过使用椭圆曲线密码设计低成本的RFID安全隐私协议。

2 基于ECC的RFID双向认证协议

基于椭圆曲线密码具有密钥长度短、安全性高、安全曲线选取余地大等优点,本文在分析已有的RFID认证协议的基础上,提出了一种基于ECC的RFID双向认证协议。在本协议中,假设服务器和读写器之间的信道是安全的。

2.1 设计目标

本文设计的基于ECC的RFID双向认证协议考虑以下几点:

抵抗跟踪攻击;

抵抗重放攻击;

双向认证;

抵抗假冒攻击;

前向安全;

抵抗中间人攻击。

2.2 协议描述

本文所使用符号如表1所示。

本文设计的认证协议由两部分组成,分别描述如下:

(1) 初始化阶段

服务器选择一个随机数y∈Zq做为其私钥,并计算做Y(=yP)为其公钥。同时选择随机数xi∈Zq做为标签的私钥,并将Xi(=xiP)做为第i个标签的标识IDi,将其连同标签的信息如:名字等,存储在数据库中。然后初始化计数器Cs=1并将{xi,Y,P,C=0}存储在标签中。

(2) 认证阶段

如图1所示,协议的认证过程如下:

① 服务器选择随机数r∈RZq,并计算T1=(r+Cs)P,更新Cs=Cs+r,并将T1,Cs,r发送给标签;

② 接收到T1,Cs,r后,标签首先检验Cs>C是否成立,如成立则进行如下操作:C=Cs,选择一个随机数k∈RZq并计算T2=kP和T3=T1=(k+rxi)Y,并将T2、T3发送至服务器,如不成立则认证失败;

③ 当服务器接收到T2、T3后,利用其私钥y计算(y-1(T3-T1)-T2)r-1=xiP,在数据库中查找标签i的标识IDi(=Xi=xiP),如果找到则标签是合法的,否则是非法,认证失败。如果标签是合法的,则计算S1=yT1,并将其发送给标签。标签计算ky,并将其与S1相比较,如相等则标签认为服务器是合法的,否则认证失败。

3 安全性分析

根据本文提出的认证协议所要实现的目标,对协议进行如下安全性分析:

(1) 跟踪攻击

由于在每一次会话中,k值是随机选择的,因此发送给服务器的信息{T2,T3}是不相同的,即使攻击者窃听到标签发送给服务器的两次会话信息{T2,T3}和{T2′,T3′},攻击者计算(T3-T3′)=(k-k′)P+(k-k′)Y,因为k,k′是两个随机数,所以找不到标签的位置线索,从而无法跟踪到标签。

(2) 重放攻击

由于在会话中C被Cs所代替,攻击者即使截获了以前会话信息Cs,T1重新发送给标签,标签要验证Cs>C的正确性,认证也不可能成功。再者即使攻击者截获以前会话的信息{T2=k′P,T3=T′1+(r′xi+k′)},由于服务器计算(y-1(T1′+(r′xi+k′)Y-T1)-k′P)r-1=y-1(T1′-T1)r-1+r′r-1xiP不等于xiP,所以在数据库中查不到标签的信息,认证失败。

定理1 本协议方案可以约化为Schnorr协议[13],因此其安全性至少等同于Schnorr协议。

证明 在本协议中标签和服务器交换的信息可以表示为T3(=(rxi+k)Y),Schnorr协议交换的信息为(rxi+k)。如果敌手窃听到(rxi+k)和Y,则可以很容易的计算出T3,如果给出T3和Y,则要计算出(rxi+k)必须解决椭圆曲线离散对数难题ECDLP(elliptic curve discrete logarithm problem)。所以该协议可以约化为Schnorr协议,故在安全性上至少和Schnorr协议相同。Schnorr协议对抵抗重放攻击是安全的,故该协议至少可以抵抗重放攻击。

(3) 双向认证

服务器计算(y-1(T3-T1)-T2)r-1,在数据库中搜索标签i的标识IDi(=Xi=xiP),从而验证标签i是否合法。同样服务器计算S1=yT2,发送给标签,标签计算kY并验证其是否等于S1,如不等则拒绝,否则接受,可以验证服务器是否合法,从而实现标签和服务器的双向认证。

(4) 前向安全

假设攻击者分别窃取两次会话的信息T3=T1+(rxi+k)Y、T1=(r+Cs)P和T3′=T1′+(r′xi+k′)Y、T1′=(r′+C′s)P,并且获取了标签i的标识IDi(=Xi=xiP),要想通过计算T3-T1-rxiP=kY和T3′-T1′-r′xiP=k′Y来确定是否两组信息来自同一个标签i是不可能的,因为k和k′是两个没有任何关系的随机数。所以本方案具有前向安全性。

(5) 假冒攻击

假如攻击者假冒标签向服务器发起认证,则攻击者必须使用标签的私钥x计算T3,由于攻击者不可能获得标签的私钥,所以服务器认证不可能成功;同样如果攻击者假冒服务器向标签发起认证,攻击者也不可能获取服务器的私钥y,从而不能通过标签的认证。

(6) 中间人攻击

中间人攻击如图2所示。

a) 服务器选取随机数r,计算T1=(r+Cs)P,并将{Cs,T1,r}发送给标签;

b) 中间人截获{Cs,T1,r},选择另一随机数r′,计算T1′=(r′+Cs)P,假冒服务器将{Cs,T1′,r′}发送给标签;

c) 标签接收到信息后,计算T2=kP,T3=T1′+(r′xi+k)Y,并将{T2,T3}发送给服务器;

d) 中间人截获标签发送给服务器的信息{T2,T3},由于其并不知道标签的私钥,故选择一个新的xi′和另一个随机数k′,并计算T2′(=k′P)和T3′=T1′+(r′xi′+k′)Y,然后假冒标签将{T2′,T3′}发送给服务器;

e) 接收到{T2′,T3′}后,服务器计算(y-1(T1′+(r′xi′+k′)Y-T1)-T2′)r-1′=(y-1(T1′-T1)+xi′P),不等于标签i的标识IDi(=Xi=xiP),故服务器对标签的认证失败,将不再发送S1到标签进行认证。

即使中间人截获S1,将产生假冒的S1′,因为没有服务器的私钥,标签计算的kY不可能等于S1′,所以不能完成标签对服务器的认证。故中间人攻击失败。

4 性能比较

根据上述对协议的安全性分析,表2描述了本文提出的认证协议和参考文献中的基于ECC的认证协议的比较,经比较可以看出,本协议基本达到设计目标的要求,有一定的安全性。

5 结 语

本文提出了一个基于ECC的RFID双向认证协议。与传统的基于公钥密码算法的认证协议相比,ECC具有密钥长度较短和安全性更高的特点,所以该协议具有成本低、效率高、可扩展、安全性和隐私性好的特点。对协议的安全性进行了分析,其能够抵抗跟踪、重放、假冒、中间人等攻击,具有良好的前向安全性和能够实现服务器和标签的双向认证。该协议的计算量是固定的,不会随着标签数量的增加而增大,具有良好的扩展性,并且由于每个标签具有不同的私钥,故能够避免标签的克隆,在实际应用中有一定的实用价值。

一种改进的双向认证的动态密码 第4篇

动态密码［2］是根据专门的算法生成一个不可预测的随机数字的组合。简单来说,动态密码是使用一次一密的方式,用户每次进行身份认证时,密码均不同, 动态密码无需记忆复杂的密码,可以有效改善固定密码的不足,降低遗忘密码的几率。其主要思想是在认证中加入不确定因素,用户每次登录认证过程中所提交的密码都不同,以此来提高登录过程的安全性。

1涉及的数学内容

1. 1双变量单向函数

定义: 双变量单向函数f( r,t) 表示一个有两个变量的单向函数,能够将任意长的r和t映射为固定长的函数f( r,t) 。该函数具有如下性质: ( 1) 已知r和t, f( r,t) 易于计算。( 2) 已知t和f( r,t) ,在计算上求r是不可行的。( 3) 在t未知的情况下,对于任意的r难以计算f( r,t) 。( 4) 已知r的情况下,找到不同的r1和r2满足f( r1,t) = f( r2,t) 是不可行的。( 5) 已知r和f( r,t) ,求t在计算上是不可行的。( 6) 已知任意多的( ri,f( ri,t) ) ,i = 1,2,…数据对,求f'( r,t) 是不可行的,其中r'≠ri,i =1,2,3,…。

1. 2 CPK算法

CPK( Combined Public Key) 是一种基于椭圆曲线密码系统的组合公钥技术和基于标识的加密算法。 IBE( Identity Based Encryption) 算法通过用户标识来识别用户身份,用户标识可以是用户名、账号、电话号码和电子邮件地址等。与PKI( Public Key Infrastructure) 系统相比,CPK取消了第三方证明机构,无需保存大量的用户数据,只需要保留少量的共享参数,因此可以没有数据库的支持,也不需要在线运行,具有较高水平的处理能力和运行效率。

文献[4]提出了一种以椭圆曲线公钥算法ECC ( Elliptic Curve Cryptosystems) 为基础的CPK算法。在构造CPK时,需要先选定椭圆曲线算法y = x3+ ax + b mod p,参数T = { a,b,G = ( x,y) ,n,p} ,其中,a,b为椭圆曲线的参数; G为椭圆曲线上的基点; n为椭圆曲线上点的个数; p为素数域Fp的阶。设用户A的私钥为素数域Fp上任意一整数dA,那么其对应的公钥为QA= dAG mod p。

CPK使用一系列随机数ri，j构成m × h维私钥矩阵,记为

并通过SSM派生出公钥种子矩阵PSM

SSM和PSM的关系为: Rij= rijG mod p,即rij和Rij是上述ECC算法的一个公私钥对。为了能够通过密钥种子矩阵计算出用户的密钥对,需要对用户标识和用户密钥进行绑定,这种绑定依靠一个映射算法 σ,设用户A的标识为A,σ( A) = mapA= { i1j1,i2j2,Λikjk} ,则A的私钥和公钥分别为:

私钥

公钥

CPK将用户的密钥分存于两个m × h维密钥矩阵,这两个密钥矩阵可以组合成mh个公私钥对。由于存储公钥矩阵所需的空间较小,完全可以放在认证端, 无需公钥存储服务器或数据库的支持。系统使用ECC算法,只涉及加法,具有较快的计算速度。

此外,CPK产生的密钥数量庞大,若n使用一个4字节整数,一次初始化之后可产生232= 4 294 967 296个密钥对。若用户每天使用104个密码进行登录认证,至少也可以使用1 000年。

2算法设计

本文对基于CPK算法的动态口令算法［5］进行了改进,采用双向认证的方式,不仅认证端要对客户端进行验证,客户端也要验证认证端的真伪。方案中通过比对秘密值p和认证端生成的随机数r实现双向认证,对整体的安全性有大幅提高。

2. 1总体设计

整体算法由注册阶段和认证阶段两部分组成。

注册阶段: 用户在系统初次认证时,先要进行注册,自行定义一个唯一的ID。同时认证系统分配给用户一个秘密值p,作为一个重要的认证依据。客户端和系统认证端都存有用户ID和秘密值p,并保存相同的动态密码算法。

认证阶段: 整个认证过程由4部分组成,如图1所示。

( 1) 认证请求: 用户向服务器认证端发送认证请求信息,将注册过的ID发到认证端。

( 2) 挑战信息: 认证端通过查询用户ID判断是否为注册用户,若是注册用户,认证端生成一个随机数r, 并将与用户共享的秘密值p,一并作为挑战信息,通过用ID查询得到的用户公钥加密将信息发送至用户。 若不是注册用户,不作处理。

( 3) 应答信息: 用户收到认证端的挑战信息,提取出随机数r,用自身私钥解密得到秘密值p,通过比对, 可对认证端进行验证。若验证通过,用户将提取到的随机数r和秘密值运行p双变量单向函数算法,加上用户密码生成序数n的密文d( n) ,作为应答信息一并发送到认证端。

( 4) 认证结果: 认证端自行运算随机数r和秘密值p的单向函数,与接收到的应答信息对比。若一致,则认证通过,并根据应答信息更新用户密码生成序数n。 否则认证失败。

2. 2具体流程

注册阶段:

( 1) 用户自定义一个登陆系统用的ID,发送给认证端。

( 2) 认证端为用户分配一个秘密值p,通过安全信道发送给用户终端存储。

( 3) 认证端和用户终端使用CPK算法初始化生成公私钥种子矩阵SSM和PSM,公钥种子矩阵用来生成用户的公钥; 私钥种子矩阵用来生成用户的私钥,主要用来初始化用户动态密码生成系统。SSM必须妥善保管,认证端和用户端保存相同的双变量单向函数。

( 4) 用户端初始化,将用户端的动态密码序数置为n0。认证端用户的信息记录中,动态密码序数是密文形式为d( n0) 。

认证阶段如图2所示,需经过如下流程:

( 1) 用户在登陆系统时输入注册ID。

( 2) 认证端查询用户ID,通过比对用户信息,确定该用户是否为注册用户。若是注册用户,认证端通过ID找到用户注册时保存的信息,提取秘密值p与动态密码序数n,并通过n找到本次使用的用户公钥e。认证端产生一个随机数r,将r与用e加密的p,一并发送给用户端。若不是注册用户,则不做处理。

( 3) 用户端从接收到的信息中提取随机数r。使用秘密值p读取用户端保存的动态密码序数n,得到本次会话需要的私钥d。解密得到认证端发来的秘密值p'。若p = p',则对认证端的认证成功。用户端计算r与p的单向函数f( r,p) ,对保存动态密码序数加一后,使用私钥加密得到d( n +1) ,组成应答信息< f( r, p) ,d( n + 1) > 一并发送给认证端。若认证端认证失败,则不作处理。

( 4) 认证端自行计算r与p的单向函数f( r,p) ,与接收到的用户端信息比对,若一致,则用户端认证成功。使用接收到的动态密码序数的密文d( n +1) 更新认证端保存的序数密文。若用户端认证失败,不作处理。

( 5) 若认证失败次数超过设定的预警值,用户ID进入锁定状态,直至用户通过安全方式解锁才可重新使用该ID。每次认证过程中,在一定时间内,若系统没有收到用户的应答信息,系统会重新生成随机数r。

3性能分析

( 1) 该方案采用同步异步相结合的方式,每次不同的随机数作为不确定因子,避免了小数攻击。但加密解密过程中密钥的获得,依赖于保存的动态密码序数,这需要客户端与认证端保持同步。

( 2) 在认证过程中,秘密值p以加密形式在网络中传输,有效防止了网络窃听。动态密码序数也以密文形式传输,避免内部攻击。

( 3) 认证端对账户具有锁定功能,能有效避免猜测攻击,在有限次数中猜中序数值的概率极小。

( 4) 有效抵抗截获/重放攻击［5］,即使攻击者通过某种手段得到用户的动态密码,但由于是一次性动态密码,当次会话结束即失效,不能重复进行认证。动态密码之间互不相关,不可推测。

( 5) 抵抗中间人攻击。认证过程是双方的,认证端可以验证用户身份,用户也可以验证认证端身份。 防止了攻击者冒充任意一方进入系统。

( 6) 使用CPK技术生成公私钥矩阵,同步依赖于产生密码的序数。系统每次认证值只需更新动态密码序数,不需要保存每次的认证数据,减少了数据记录, 提高了运行效率。

( 7) 客户端发送应答信息时需要进行单向函数运算,对客户端的运算能力有一定需求。

4结束语

动态密码是目前使用广泛的身份认证技术。在现有的动态密码算法基础上,本文提出了一种基于CPK的双向认证算法,该算法可为用户和认证系统提供可靠的动态密码服务。算法使用随机数作为不确定因子,在提供更安全的认证基础上,也提高了对运算能力的要求。该方案相对独立,易于与现有系统连接,尤其是在电子商务,物联网等领域中具有广泛前景。

摘要：在物联网和电子商务的快速发展下,安全问题日益凸显,首先要解决的就是身份认证问题,而动态密码技术能有效解决这一问题。文中对一动态密码算法进行改进,实现了双向认证。方案基于CPK算法,采用挑战/应答机制,提供更加安全的身份认证。

双向认证协议 第5篇

由于移动网络的快速发展,越来越多的人们开始使用手机等移动终端设备上网,各种电子服务与电子交易发展也十分迅速。而远程用户要获得远程服务器的服务或者进行电子交易,用户与服务器之间在开放的网络中确认双方的身份是十分重要的。为了让人们更加安全地在网络上进行交易,基于网络的安全问题已经成为信息社会急需解决的问题之一。项金萍提出的基于口令的两方认证和密钥交换协议的研究,实现了用户和远程系统的相互认证,但是因为采用了智能卡和读卡器,并不适合应用于手机等移动设备。杨琣涵提出的可证安全的口令认证密钥交换协议研究,因为采用了公钥算法,对移动终端的资源需求较大。万泓伶提出的基于口令的认证系统设计与实现,运用了计算量较大的模运算。林远辉提出的基于口令的三方认证密钥交换协议研究,采用了开销较大的公钥算法。由徐会艳提出的基于口令的身份认证方案的研究,运用了开销较大的签名运算。李晓伟提出的可证明安全的认证与密钥协商协议研究,也采用了开销较大的公钥算法。本文提出的身份认证方案,因为采用了对称密钥算法,对系统资源需求较低,适合应用于手机设备等移动终端环境。

2 方案设计

2.1 用户注册

用户A设定使用 电子钱包 的账户名IDA和口令pwA。服务器将一个共享的对称密钥kA和对应IDA的匿名标识snA存入到客户A的电子钱包客户端中,服务器保存了snA与IDA及h(pwA)的映射关系 ,用户A下载并安装电子钱包客户端, 用户不能访问存储kA和snA的区域。

2.2 认证流程

方案的具体认证流程如图1所示。

(1) 用户输入用户名IDA和口令pwA登陆电子钱包客户端。

(2) 客户端选取随机数r1并作存储, 用对称密钥kA加密r1| IDA为EkA(r1| IDA),把EkA(r1| IDA),snA打包为MA发送至服务器。

(3) 服务器收到MA后, 检测snA是否存在于数据库,若存在则查找对应的IDA,否则拒绝认证。通过snA查找到对应IDA的共享对称密钥kA, 用对称密钥kA解密EkA(r1| IDA)得到r1| IDA,存储r1。服务器选取随机数r2、会话密钥k' 并作存储,用对称密钥kA加密IDS| k' | r1为EkA(IDS| k' | r1),把EkA(IDS| k' | r1),r2打包为MS发送至客户端。

(4)客户端收到MS后,用对称密钥kA解密EkA(IDS|k' | r1)得到IDS| k' | r1,比较解密得到的随机数r1' 与客户端已存储的r1是否相同, 相同则存储会话密钥k' 和随机数r2,否则拒绝认证。客户端用会话密钥k' 加密r2| h(pwA)为M0,然后发送M0至服务器。

(5)服务器收到M0后,用会话密钥k' 解密M0得到r2| h(pwA),比较解密得到的随机数r2'、h(pwA)' 与服务器端已存储的r2、h(pwA)是否相同 ,相同则认证成功 ,否则拒绝认证。认证成功后,服务器更新snA为sn'A。用会话密钥k' 加密IDS| sn'A为M1,然后发送M1至客户端。

(6) 客户端收 到M1后 ,用会话密 钥k' 解密M1得到IDS| sn'A, 存储匿名 标识sn'A, 用作下一次 用户的登录认证。

3 安全性和性能分析

3.1 方案的安全性

性质1:认证方案可以实现会话密钥的安全交换。

证明:步骤(3)中服务器通过匿名标识snA查找到对应IDA的共享对称密钥KA,从而解密了EkA(r1| IDA),确认了消息MA的真实性以及用户的真实身份IDA。服务器选取会话密钥k',用对称密钥KA加密IDS| k' | r1为EkA(IDS| k' | r1) 传输至客户端 , 保证了会话密钥k' 的安全传输。步骤(4)中客户端用对称密钥KA解密EkA(IDS|k' | r1)得到IDS| k' | r1,通过比较解密得到的随机数r'1与客户端已存储的r1是否相同,从而确认了消息MS以及随机数r1的真实性,客户端存储会话密钥k',因此会话密钥的安全交换得以实现。

性质2:认证方案可以保证用户与服务器之间的可认证性。

证明:步骤(3)中服务器通过匿名标识snA查找到对应的IDA共享对称密钥kA,解密EkA(r1| IDA)得到r1| IDA,通过比较解密得到的ID'A与服务器已存储的IDA是否相同,从而确认了用户身份的真实性,用户身份得以认证。步骤(4)中客户端用对称密钥kA解密EkA(IDS| k' | r1)得到IDS| k' | r1, 通过比较解密得到的随机数r'1与客户端已存储的r1是否相同, 从而确认了消息MS以及随机数r1的真实性,服务器身份得以认证。步骤(5)中服务器用会话密钥k' 解密M0得到r2| h(pwA),通过比较解密得到的随机数r'2、h (pwA)' 与服务器端已存储的r2、h(pwA)是否相同,实现了用户口令的认证,因此用户与服务器之间的可认证性得以保证。

性质3:认证方案可以保证用户的匿名性。

证明:步骤(2)中客户端通过匿名标识snA隐藏用户的真实身份IDA,snA仅在用户向服务器发起认证的消息MA中。步骤(3)中服务器发给用户的应答是含有随机数r1的消息MS,除用户本人外 ,任何人都不知道该报文是发给谁的,保证了用户身份的机密性。步骤(5)中用户与服务器认证成功后,服务器更新snA为sn'A,因此有效地保证了用户的匿名性。

3.2 性能分析

3.2.1 客户端

计算开销:用H代表一次hash计算,E代表一次对称加密计算,D代表一次对称解密计算, 用λ代表hash函数输出的位长。

步骤(2)中客户端用对称密钥kΑ加密r1| IDA为EkA(r1| IDA),需要一次对称加密计算 ,步骤 (4)中客户端用对称密钥kΑ解密EkA(IDS| k' | r1)得到IDS| k' | r1,需要一次对称解密计算,用会话密钥k' 加密r2| h(pwA)为M0,需要一次对称加密计算和一次hash计算,步骤(6)中客户端用会话密钥k' 解密M1得到IDS| sn'A, 需要一次对称解密计算,客户端的计算开销总计为H+2E+2D。

步骤(2)中客户端发送消息MΑ至服务器、步骤(4)中客户端收到消息MS、发送消息M0至服务器、步骤(6)中客户端收到消息M1需要的通信开销大致为2| r1|+ | IDA| + | snA| + 2| IDS| + | k' | + 2| r2| + |λ| + | sn'A|。

| r1|、| IDA|、| snA|、| IDS|、| k' |、| r2|、| sn'A|分别代表r1、IDA、snA、IDS、k' 、r2、sn'A的标准位长。

3.2.2 服务器

步骤(3)中服务器用对称密钥kΑ解密EkA(r1| IDA)得到r1| IDA,需要一次对称解密计算 ,用对称密钥kΑ加密IDS| k' | r1为EkA(IDS| k' | r1),需要一次对称加密计算 ,步骤(5)中服务器用会话密钥k' 解密M0得到r2| h(pwA),需要一次对称解密计算,用会话密钥k' 加密IDS| sn'A为M1,需要一次对称加密计算 ,服务器的计算开销总计为2E+2D。

步骤(3)中服务器收到消息MA、发送消息MS至客户端、步骤(5)中服务器收到消息M0、发送消息M1至客户端需要的通信开销大致为2| r1| + | IDA| + | snA| + 2| IDS|+ | k' | + 2| r2| + |λ| + | sn'A|。

4 结束语

本文通过运用口令和对称密钥算法,实现了客户端和服务器的双向身份认证,不仅完成了会话密钥的安全交换,而且也保证了用户的匿名性,用户的隐私得到了有效保护。在安全性得到保障的同时,也获得了较好的性能。

摘要：文章提出了一种基于口令与对称密钥体制的双向身份认证方案。在假设通信双方为电子钱包客户端和电子钱包服务器的应用环境中,利用对称密钥算法实现了通信双方的相互认证、会话密钥的交换以及用户的匿名性。最后对方案的安全性和性能作了分析。

双向认证协议 第6篇

无线通信网络开放物理信道的事实决定了无线通信设备接入网络必须保证认证的可靠性和通信的机密性,这是可信通信的关键。无线通信设备的可信接入作为可信通信安全保障的第一道屏障,受到学术界和企业界的高度关注。本文提出一种基于IEEE802.1x协议的双向认证方法,该方法在一个认证流程内实现客户实体与认证服务器之间和客户实体与认证实体之间的双向认证,以及客户实体与认证实体之间共享密钥的成功分发。本文采用形式语义分析方法准确描述认证逻辑的细节,验证认证逻辑的可信性。

1 基于IEEE802.1x协议的认证方法研究现状

无线网络技术的飞速发展给人们的学习和生活带来了诸多方便,同时,通信安全问题引起人们广泛关注。IEEE工作组在2001年发布了IEEE802.1x协议[1,2],用于无线局域网的身份认证和密钥管理。IEEE802.1x协议是一种基于端口的访问控制协议。当合法用户接入时,该端口打开,正常的数据可以顺利地通过端口;当非法用户接入或者没有用户接入时,该端口处于关闭状态,只允许认证数据通过端口。为了防止服务的非授权访问,该协议定义了客户实体(Supplicant)、认证实体(Authenticator)和认证服务器(Authentication Server)三者之间的认证服务关系,如图1所示。

认证中心(Authentication Center)起到认证服务器的作用,接入点(Access Points)起到认证实体的作用,移动终端用户(Mobile Terminal User)起到客户实体的作用。首先,客户实体向认证实体发出网络接入请求。其次,认证实体将客户实体的认证信息发送至认证服务器。再次,认证服务器对客户实体身份和认证实体身份进行验证确认,并返回对客户实体的认证结果给认证实体。最后,认证实体根据认证结果向客户实体发送允许接入网络或者拒绝接入网络的应答信息。

IEEE802.1x协议通过采用可扩展认证协议EAP(Extensible Authentication Protocol)[3]实现对接入设备的认证和授权,只有通过认证并获得授权的接入设备才被允许接入网络。基于IEEE802.1x协议的认证模型如图2所示,客户实体和认证实体之间的会话遵从802.1x-EAPoL(Extensible Authentication Protocol over LANs)协议,认证实体和认证服务器之间的会话遵从RADIUS(Remote Authentication Dial In User Service)协议,而客户实体和认证服务器之间的会话则遵从EAP Method协议[4]。

IEEE802.1x协议通过采用扩展认证协议EAP来实现多种协议支持的认证机制。基于IEEE802.1x的认证协议封装格式如图3所示,认证的安全性由所选择的EAP类型决定,不同的EAP认证类型适用于不同的应用环境。

EAP TLS(EAP Transport Layer Security)[5]是一种基于传输层的安全协议,通过使用数字证书来保证客户实体和认证服务器之间的双向认证和密钥协商。IEEE802.1x认证机制采用EAP TLS类型,旨在通过可信的第三方认证中心签发的数字证书对客户实体和认证服务器双方身份进行认证[6,7]。LEAP (Lightweight EAP)[8]是Cisco公司专门针对无线局域网安全缺陷研发的一种双向用户认证和动态密钥分发的安全认证协议,旨在利用共享密钥实现客户实体和认证服务器之间的双向身份认证。EAP TTLS(EAP Tunneled Transport Layer Security)[9,10]是在EAP TLS协议的基础上建立一条客户实体与认证服务器之间的加密隧道,以实现客户实体和认证服务器之间基于数字证书的双向认证。PEAP(Protected EAP)[11,12]是Microsoft、Cisco和RSA Security公司共同开发的,旨在EAP TLS协议的基础上建立一条客户实体与认证服务器之间的加密隧道。

上述基于IEEE802.1x的各种认证方法成功实现客户实体(Supplicant)与认证服务器(Authentication Server)之间的双向认证,但是忽略了客户实体(Supplicant)和认证实体(Authenticator)之间的双向认证。

2 一种基于IEEE802.1x的双向认证方法

IEEE802.1x协议提供了链路层设备接入认证机制,这是用户身份认证的前提,也是访问控制策略应用的前提。为保证信任设备接入信任网络,除需要客户实体与认证服务器之间的双向认证外,还需要客户实体与认证实体之间的双向认证。

2.1 认证方法的形式化描述

本文描述中所使用到的符号标记如表1所示。

假设系统参数已经成功建立,A和AS之间的安全连接已经存在,二者通过共享密钥进行通信,S欲通过A接入网络,S和AS分别拥有对方正确的公钥。基于IEEE802.1x的双向认证方法的认证过程如图4所示。

客户实体S首先向认证实体A发出网络接入请求,认证实体A接收到客户实体S发送的网络接入请求后,启动认证过程。基于IEEE802.1x的双向认证方法包括的具体步骤如表2所示。

2.2 认证方法的形式化分析

本文采用形式化语义分析方法[13]对基于IEEE802.1x的双向认证方法的安全性进行形式语义分析。形式化分析中所使用到的符号标记如表3所示。

基于IEEE802.1x的双向认证方法的安全性形式语义分析最终要达到的认证目的在于实现S相信A是可信任的,同时,A相信S是可信任的。安全性形式化分析如下:

Message 1: A向S发送EAP Request/Identity消息,明文传送,对安全没有任何帮助。

Message2: S向A发送EAP Response/Identity消息,消息包含S的机密数和S的身份标识,以AS的公钥加密传输。A可以看到这条消息,但是无法解读消息的内容。

Aᐊ{NS,{IS}K${}_S^{-1}$}KAS

Message3: A产生自己的消息,连同接收到的S发送的消息重新封装向AS发送。AS可以看到这条消息,并且能够解读消息内容。AS相信Na是A与AS之间的共享机密数,Ns是S与AS之间的共享机密数。

$\begin{array}{l}\because AS⊲\{\{{\rm N}{}_S,\{{\rm I}{}_S\}{\rm K}{}_S^{-1}\}{\rm K}{}_{AS},\{{\rm N}{}_a\}{\rm K}{}_{A-AS}\}\\ AS|\equiv S|\equiv |\stackrel{{\rm K}{}_{AS}}{}AS\\ AS|\equiv S|\equiv |\stackrel{{\rm K}{}_S^{-1}}{}S\\ AS|\equiv |\stackrel{{\rm K}{}_{AS}^{-1}}{}AS\\ AS|\equiv |\stackrel{{\rm K}{}_S}{}S\\ AS|\equiv A\stackrel{{\rm K}{}_{A-AS}}{\rightleftharpoons }AS\\ \therefore AS⊲\{{\rm N}{}_S,{\rm I}{}_S,{\rm N}{}_a\}\\ AS|\equiv S|~({\rm N}{}_S)\\ AS|\equiv A|~({\rm N}{}_a)\\ AS|\equiv \#({\rm N}{}_S)\\ AS|\equiv \#({\rm N}{}_a)\\ \therefore AS|\equiv AS\stackrel{{\rm N}a}{\rightleftharpoons }A\\ AS|\equiv AS\stackrel{{\rm N}s}{\rightleftharpoons }S\end{array}$

Message 4: AS验证S和A的身份后,以AS私钥和S公钥加密:

{NS-1,KS-A}

生成传送给S的消息:

{{NS-1,KS-A}K${}_{AS}^{-1}$}KS

AS以A与AS之间的共享密钥加密:

{Na-1,NS,KS-A}

生成传送给A的消息:

{Na-1,NS,KS-A}KA-AS

两个加密消息打成一个消息包向A发送。A可以看到需要转发给S的消息,但是无法解读消息内容。A相信S产生Ns,Ns是A与S之间的共享机密数,KS-A是A与S之间的共享密钥。

Aᐊ{{NS-1,KS-A}K${}_{AS}^{-1}$}KS

$\begin{array}{l}\because A⊲\{{\rm N}{}_a-1,{\rm N}{}_S,{\rm K}{}_{S-A}\}{}_{{\rm K}{}_{A-AS}}\\ A|\equiv A\stackrel{{\rm K}{}_{A-AS}}{\rightleftharpoons }AS\\ A|\equiv A\stackrel{}{\rightleftharpoons }AS\\ A|\equiv (AS|\Rightarrow (S|~X))\\ \therefore A⊲\{{\rm N}{}_a-1,{\rm N}{}_S,{\rm K}{}_{S-A}\}\\ A|\equiv S|\equiv ({\rm N}{}_S)\\ A|\equiv A\stackrel{{\rm N}s}{\rightleftharpoons }S\\ A|\equiv A\stackrel{{\rm K}{}_{S-A}}{\rightleftharpoons }S\end{array}$

Message 5: A向S转发AS发给S的消息,并产生认证消息,合成一条消息向S发送。S相信A看到Ns,Ns是S与A之间的共享机密数,KS-A是S与A之间的共享密钥。

$\begin{array}{l}\because S⊲\{\{\{{\rm N}{}_S-1,{\rm K}{}_{S-A}\}{\rm K}{}_{AS}^{-1}\}{}_{{\rm K}{}_S},\{{\rm N}{}_S-1\}{}_{{\rm K}{}_{S-A}}\}\\ S|\equiv AS|\equiv |\stackrel{{\rm K}{}_S}{}S\\ S|\equiv AS|\equiv |\stackrel{{\rm K}{}_{AS}^{-1}}{}AS\\ S|\equiv |\stackrel{{\rm K}{}_{AS}}{}AS\\ S|\equiv |\stackrel{{\rm K}{}_S^{-1}}{}S\\ \therefore S⊲\{{\rm N}{}_S-1,{\rm K}{}_{S-A}\}\\ S|\equiv S\stackrel{{\rm N}s}{\rightleftharpoons }AS\\ S|\equiv S\stackrel{{\rm K}{}_{S-A}}{\rightleftharpoons }A\\ \therefore S|\equiv A|~({\rm N}s)\\ S|\equiv S\stackrel{{\rm N}s}{\rightleftharpoons }A\end{array}$

基于IEEE802.1x的双向认证方法的安全性形式化分析结果表明,A相信只有S产生Ns,只有A与S之间拥有共享密钥KS-A;S相信A可以看到Ns,只有S与A之间拥有共享密钥KS-A,S与A相互信任,同时,S与AS通过公开密钥机制取得相互信任。

3 结 语

本文提出的基于IEEE802.1x的双向认证方法在一个认证流程内实现了客户实体与认证服务器之间和客户实体与认证实体之间的双向认证,以及客户实体与认证实体之间共享密钥的成功分发。通过对所提出的双向认证方法的安全性进行形式语义分析,结果表明该方法成功实现了客户实体与认证服务器之间和客户实体与认证实体之间的相互信任。

摘要：提出一种基于IEEE802.1x协议的双向认证方法,该方法在一个认证流程内实现客户实体与认证服务器之间和客户实体与认证实体之间的双向认证,以及客户实体与认证实体之间共享密钥的成功分发。通过对安全性的形式语义分析,结果表明该方法成功实现客户实体与认证服务器之间和客户实体与认证实体之间的相互信任。