计算机工程与应用
計算機工程與應用
계산궤공정여응용
COMPUTER ENGINEERING AND APPLICATIONS
2014年
22期
126-129
,共4页
用户认证%智能卡%离线密码字猜测攻击%相互认证
用戶認證%智能卡%離線密碼字猜測攻擊%相互認證
용호인증%지능잡%리선밀마자시측공격%상호인증
user authentication%smart card%offline password guessing attack%mutual authentication
分析了段晓毅等人提出的动态ID的远程认证方案,发现该方案不能抵御离线密码字猜测攻击,重放攻击,冒充服务器攻击,且在相互认证后不能提供会话密钥。提出了一个改进方案,改进后的方案克服了以上的安全缺陷,且用户可自由选择登录系统的密码,相互认证后用户和服务器共享一个会话密钥。
分析瞭段曉毅等人提齣的動態ID的遠程認證方案,髮現該方案不能牴禦離線密碼字猜測攻擊,重放攻擊,冒充服務器攻擊,且在相互認證後不能提供會話密鑰。提齣瞭一箇改進方案,改進後的方案剋服瞭以上的安全缺陷,且用戶可自由選擇登錄繫統的密碼,相互認證後用戶和服務器共享一箇會話密鑰。
분석료단효의등인제출적동태ID적원정인증방안,발현해방안불능저어리선밀마자시측공격,중방공격,모충복무기공격,차재상호인증후불능제공회화밀약。제출료일개개진방안,개진후적방안극복료이상적안전결함,차용호가자유선택등록계통적밀마,상호인증후용호화복무기공향일개회화밀약。
In this paper, Duan et al.’s scheme is analyzed. It is showed that this scheme is insecure against offline-guessing attack, replay attack, forgery attack and a session key doesn’t be provided after mutual authentication. An improved scheme is proposed that overcomes the above-mentioned security flaws with not affecting the merits of the original scheme. The proposed scheme not only allows the users to choose and change their passwords freely, but also generates a session key agreed by the user and the server.
