一个前向安全的基于RSA的多服务器的认证协议
【摘要】 设计安全、实用的多服务器下密钥协商协议是当前信息安全领域研究的热点。基于设计协议的一般准则,讨论了Wang等[15]设计的一个匿名的基于生物特征的多服务器的密钥认证协议方案,指出了该协议无法抵抗服务器假冒攻击、智能卡丢失攻击、会话密钥泄露攻击;同时该方法因用户匿名性失效易造成用户隐私泄露的问题,所以不适用于实际应用。为了弥补这些缺陷,文中给出了一种基于RSA密钥的改进协议。在注册阶段,RC和服务器共享不同的密钥、时间标记等来有效抵抗服务器假冒攻击和实现匿名性、不可追踪性等。在登录阶段,协议采用公钥技术来实现用户动态身份的登录和保证前向安全性等。在认证阶段,协议包括3次相互认证,并对消息做新鲜性检测等,实现相互认证以防止重放攻击等。最后,协议对可能存在的攻击进行安全分析和效率分析,证明了改进协议能抵抗丢失智能卡攻击、匿名性等攻击。同时,该协议尽量保持了简单的运算。
