智能医疗认证方案的安全分析

最新推荐文章于 2025-10-16 03:01:36 发布

原创最新推荐文章于 2025-10-16 03:01:36 发布 · 729 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#智能医疗 #双向认证 #密码分析 #离线猜测 #冒充攻击

基于全球移动网络概念的智能医疗系统双向认证方案密码分析

摘要

认证与密钥协商方案是合法用户在全局移动网络概念下访问智能医疗系统服务的重要机制。然而，认证与密钥协商方案的设计仍然是一个极具挑战性的问题。本文分析了吴等人于2018年提出的针对全球移动网络概念下智能医疗系统的新型双向认证方案，指出该方案易受到恶意用户冒充攻击和离线猜测攻击，且存在效率低下问题。

1. 引言

随着电信和信息技术的快速发展，智能健康有望提供全面且优质的医疗服务。然而，由于这些系统涉及各种敏感信息，例如医疗数据和隐私记录，保护智能医疗系统的安全与隐私已成为一项不可或缺的任务（李等人，2016）。迄今为止，针对资源受限的移动用户的用户认证与密钥协商方案的设计已受到众多研究人员的广泛关注。

2004年，朱和马[1]首次提出了在无线环境下具有匿名性的双因素用户认证方案。然而，李等人[2]分析了朱和马的方案[1]，指出该方案无法抵抗伪造攻击且未能实现相互认证。为了克服这些缺陷，李等人提出了一种改进方案[2]。2009年，张等人[3]发现李等人的方案[2]也无法提供匿名性，并对此进行了改进。遗憾的是，该改进方案被发现无法抵抗用户伪造攻击，且缺乏前向安全性[4]。2011年，尹等人[5]提出了一种基于数字证书的无线通信匿名认证方案。但后来该方案被指出无法实现公平密钥协商和不可追踪性[6]。2013年，江等人[7]设计了一种面向全球移动网络的新型匿名用户认证方案。然而，文等人[8]指出该方案无法抵御窃取验证者攻击和重放攻击。为弥补这些缺陷，文等人提出了一个改进方案[8]。随后，戈佩和黄[9]指出该改进方案仍然不安全，易受到离线猜测攻击和伪造攻击。2016年，戈佩和黄[10]分析了何等人的方案[11]，并发现了一些弱点。基于此，他们提出了自己的认证方案。尽管该方案在GLOMONET环境中确实高效，但由于易受拒绝服务（DoS）攻击以及缺乏完美前向保密性，仍然存在安全隐患。

最近，吴等人[13]提出了一种基于全球移动网络概念的智能医疗系统new双向认证方案。在本文中，我们对该方案进行了分析，发现其容易受到恶意用户冒充攻击和离线猜测攻击，并且由于缺乏错误密码检测机制而导致效率低下。

本文其余部分组织如下：在第2节中，我们简要回顾吴等人提出的方案[13]。第3节指出了江等人方案的弱点。最后，我们在第4节得出结论。

表1. 符号说明
| 符号 | 含义 |
|------|------|
| MU | 移动用户 |
| FA | 外地代理 |
| HA | 本地代理 |
| $ID_{MU}$ | MU的身份标签 |
| $PW_{MU}$ | MU的密码 |
| $ID_{HA}$ | HA的身份标签 |
| x | HA的密钥 |
| $ID_{FA}$ | FA的身份 |
| $SK_{MU}$ | MU计算的会话密钥 |
| $SK_{FA}$ | FA计算的会话密钥 |
| $K_{fh}$ | FA与HA之间共享的密钥 |
| r, n | 随机数和安全长度 |
| h(·) | 单向哈希函数 |
| ⊕ | 异或操作 |
| ∥ | 消息连接操作 |

2. 吴等人的方案的回顾

本节中，我们简要回顾吴等人提出的方案[13]。该方案包含四个阶段：初始化阶段、注册阶段、相互认证与密钥协商（MAKA）阶段、密码更新阶段，并涉及三个实体：移动用户（MU）、归属代理（HA）和外部代理（FA）。

2.1 初始化阶段

在此阶段，FA选择$ID_{FA}$并发送以及一个随机数$r_1$到HA通过安全通道。然后HA计算$K_{fh} = h(ID_{FA} | r_1 | x)$并发送到FA同样通过安全通道。FA存储$K_{fh}$。此外，FA和HA共享以下椭圆曲线参数：一个有限域$\mathbb{F}_p$其中$p$是一个大素数，一个椭圆曲线群$G$其中$P$是生成元。

2.2 注册阶段

在此阶段，安全的信道也被使用，并且有以下三个步骤：

步骤1 ：MU选择$ID_{MU}$、$PW_{MU}$和一个随机数$r_0$，计算$H_{PW} = h(PW_{MU} | r_0)$和$PID_{MU} = h(ID_{MU} | r_0)$，并发送${ID_{MU}, PID_{MU}, H_{PW}}$到HA。

步骤2 ：HA检查$ID_{MU}$的有效性。如果有效，则将$ID_{MU}$存入数据库。然后HA计算$D_1 = h(PID_{MU} | x) \oplus H_{PW}$和$D_2 = h(ID_{MU} | ID_{HA}) \oplus h(ID_{MU} | H_{PW})$。最后将${D_1, D_2, PID_{MU}, ID_{MU}, h(\cdot)}$存储在智能卡中并发放给MU。

步骤3 ：MU计算$D_3 = r_0 \oplus h(ID_{MU} | PW_{MU})$并将其存储到智能卡中。

2.3 MAKA 阶段

步骤1 ：MU将智能卡插入终端并输入$(ID_{MU}, PW_{MU})$。该智能卡计算$r_0 = D_3 \oplus h(ID_{MU} | PW_{MU})$和$H_{PW} = h(PW_{MU} | r_0)$。然后生成两个随机数$\mu, n \in \mathbb{Z} p^*$和$r {MU}$，并计算$B_1 = D_1 \oplus H_{PW}$，$B_2 = D_2 \oplus h(ID_{MU} | H_{PW})$，$C_1 = B_1 \oplus r_{MU}$，$Q_1 = \mu P$，$C_2 = h(PID_{MU} | r_{MU} | Q_1) \oplus ID_{MU}$，$newPID_{MU} = h(ID_{MU} | r_{MU})$，$C_3 = h(newPID_{MU} | ID_{HA} | B_1 | PID_{MU} | Q_1)$以及$M_1^{HA} = {PID_{MU}, C_1, C_2, C_3, ID_{MU}, Q_1}$。然后将消息$M_1^{HA}$发送给FA。

步骤2 ：FA生成两个随机数$r_{FA} \in \mathbb{Z} p^ $和$v \in \mathbb{Z}_p^ $，计算$Q_2 = vP$，$C_4 = h(K {fh} | Q_2) \oplus r_{FA}$，$C_5 = h(C_4 | r_{FA} | Q_2) \oplus ID_{FA} | ID_{HA}$，并发送$M_1^{FA} = {PID_{MU}, C_1, C_2, C_3, C_4, C_5, Q_1, Q_2, ID_{FA}, r_{FA}}$到HA。

步骤3 ：HA计算$B_1 = h(PID_{MU} | x) \oplus D_1$，$r_{MU} = C_1 \oplus B_1$和$newPID_{MU} = h(ID_{MU} | r_{MU})$。然后它检查$PID_{MU} = h(ID_{MU} | r_0)$。之后，HA计算$K_{fh} = h(ID_{FA} | r_1 | x)$，$r_{FA} = C_4 \oplus h(K_{fh} | Q_2)$，$ID_{FA} | ID_{HA} = C_5 \oplus h(C_4 | r_{FA} | Q_2)$。如果在短时间内验证未通过三次，$ID_{MU}$将被冻结。否则，HA计算$B_4 = h(newPID_{MU} | x)$，$K_{fh}^{new} = h(ID_{FA} | r_{FA} | x)$，$B_5 = h(ID_{HA} | ID_{FA}) \oplus h(B_4 | x)$，$C_6 = h(B_1 | B_4 | r_{MU} | Q_1 | Q_2) \oplus B_5$，$C_7 = h(B_4 | B_5 | C_6)$，$C_8 = h(K_{fh}^{new} | r_{FA} | Q_2) \oplus K_{fh}$，$C_9 = h(K_{fh}^{new} | r_{FA} | Q_2) \oplus K_{fh}$和$M_2^{HA} = {C_6, C_7, C_8, C_9}$。最后，HA发送$M_2^{HA}$到FA。

步骤4 ：FA计算$K_{fh}^{new} = h(ID_{FA} | r_{FA} | x)$并检查$C_9 = h(K_{fh}^{new} | r_{FA} | Q_2) \oplus K_{fh}$。如果是，则计算$SK_{FA} = h(Q_1 | Q_2 | vQ_1)$，$C_{10} = h(SK_{FA} | C_6 | C_7)$。然后它发送$M_2^{FA} = {C_6, C_7, C_{10}, Q_2}$到MU，并用$r_{FA}$更新$K_{fh}$为$K_{fh}^{new}$。

步骤5 ：当接收$M_2^{FA}$时，智能卡继续计算$B_5 = h(B_1 | B_4 | r_{MU} | Q_1 | Q_2) \oplus C_6$，$C_7 = h(B_4 | B_5 | C_6)$。如果成立，智能卡计算$SK_{MU} = h(Q_1 | Q_2 | \mu Q_2)$，并检查$C_{10} = h(SK_{MU} | C_6 | C_7)$。如果正确，智能卡计算$D_1^{new} = B_1 \oplus PW_{MU}$和$D_3^{new} = r_{MU} \oplus h(ID_{MU} | PW_{MU})$。最后，卡片用$D_1^{new}$替换$D_1$，用$D_3^{new}$替换$D_3$。

3. 吴等人提出的方案的弱点

在本节中，我们将说明吴等人提出的方案[13]容易受到恶意用户冒充攻击和节点捕获攻击，并存在前向安全问题、低效率问题。为了逻辑清晰地说明，我们首先给出关于攻击者能力的以下三个假设。

假设1 。攻击者完全控制用户与服务器之间的公共通信信道。因此，攻击者可以自由地从相关信道中截取、窃听、插入和重放所有合法消息。

假设2 。目前，存在多种有效方法可使攻击者提取智能卡中存储的值，例如科彻等人[14]和梅瑟吉斯等人[15]提出的方法。因此，我们假设攻击者可以获取用户的智能卡或破解用户的密码，但不能同时实现两者。

假设3 。攻击者能够离线猜测用户的密码，因为密码通常由用户自己自由选择，因此熵值较低。然而，攻击者无法在实际多项式时间内同时猜中密码和用户的指纹信息。

3.1 恶意用户冒充攻击

恶意用户冒充攻击意味着恶意注册用户可以冒充其他注册用户登录系统，并以其他合法用户的名义访问感知数据。在本小节中，仅假设1成立。假设攻击者A已窃听消息$M_1^{HA} = {PID_{MU}, C_1, C_2, C_3, ID_{MU}, Q_1}$，攻击者可发起如下攻击：

步骤1 ：攻击者A使用以下信息向HA注册。具体而言，选择$ID_A$，$PW_A$，并发送消息${ID_A, PID_A, H_{PW_A}}$到HA。

步骤2 ：当HA接收到消息时，它将检查$ID_A$、$PID_A$的格式并计算$D_1^A = h(PID_A | x) \oplus H_{PW_A}$和$D_2^A = h(ID_A | ID_{HA}) \oplus h(ID_A | H_{PW_A})$。然后将${D_1^A, D_2^A, PID_A, ID_A, h(\cdot)}$存储在智能卡中，并将其发放给攻击者A。

步骤3 ：攻击者A从其智能卡中提取信息$D_1^A$，然后计算$B_1^A = D_1^A \oplus H_{PW_A} = h(PID_A | x)$。

步骤4 ：攻击者A计算$r_{MU} = C_1 \oplus B_1^A$，其中$C_1$来自窃听消息$M_1^{HA}$。

步骤5 ：攻击者A恢复用户身份$ID_{MU}$：$ID_{MU} = C_2 \oplus h(PID_{MU} | r_{MU} | Q_1)$。

步骤6 ：由于$ID_{MU}$和$r_{MU}$均为已知，攻击者A可以计算$newPID_{MU} = h(ID_{MU} | r_{MU})$。

步骤7 ：生成一个新的$\mu^ $，并计算$Q_1^ = \mu^* P$。

步骤8 ：计算$C_2^ = h(PID_{MU} | r_{MU} | Q_1^ ) \oplus ID_{MU}$。

步骤9 ：计算$C_3^ = h(newPID_{MU} | ID_{HA} | B_1^A | PID_{MU} | Q_1^ )$。

步骤10 ：攻击者A伪造一条有效登录消息$M_1^{HA } = {PID_{MU}, C_1, C_2^ , C_3^ , ID_{MU}, Q_1^ }$。

步骤11 ：接收后，FA生成随机数$r_{FA}$、$v$，计算$Q_2 = vP$，$C_4 = h(K_{fh} | Q_2) \oplus r_{FA}$，$C_5 = h(C_4 | r_{FA} | Q_2) \oplus ID_{FA} | ID_{HA}$，然后向HA发送消息$M_1^{FA } = {PID_{MU}, C_1, C_2^ , C_3^ , C_4, C_5, Q_1^ , Q_2, ID_{FA}, r_{FA}}$。

步骤12 ：由于消息中的项目与吴等人的方案一致，HA自然会接受该消息，而未意识到攻击者A的存在。此外，HA将计算那些相关值并构造消息$M_2^{HA } = {C_6^ , C_7^ , C_8^ , C_9^*}$，然后将其传输给FA。

步骤13 ：当接收$M_2^{HA }$时，FA首先计算$K_{fh}^{new} = h(ID_{FA} | r_{FA} | x)$，验证$C_9^ = h(K_{fh}^{new} | r_{FA} | Q_2) \oplus K_{fh}$其可能是有效的，然后计算$SK_{FA} = h(Q_1^ | Q_2 | vQ_1^ )$和$C_{10}^ = h(SK_{FA} | C_6^ | C_7^ )$。最后，FA更新$K_{fh}$为$K_{fh}^{new}$并向攻击者A发送消息$M_2^{FA } = {C_6^ , C_7^ , C_{10}^*, Q_2}$。

步骤14 ：在获得消息后，攻击者A计算协商的会话密钥$SK_{MU}^ = h(Q_1^ | Q_2 | \mu^* Q_2)$。然后可以冒充用户MU来做他/她想做的任何事情。

3.2 离线猜测攻击1

假设用户MU的智能卡丢失或被盗，攻击者获得它。根据假设2，他/她有能力提取智能卡中存储的信息${D_1, D_2, D_3, PID_{MU}, ID_{MU}}$。一旦知道这些值，攻击者可以发起如下offline guessing password attack：

步骤1 ：攻击者猜测一个密码$PW_{MU}^ $和一个身份标签$ID_{MU}^ $。

步骤2 ：攻击者计算$r_0^ = D_3 \oplus h(ID_{MU}^ | PW_{MU}^*)$，其中$D_3$是从智能卡中提取的值。

步骤3 ：攻击者检查等式$PID_{MU} = h(ID_{MU}^ | r_0^ )$是否正确。如果正确，则攻击者成功实施此次攻击，且$PW_{MU}^ $和$ID_{MU}^ $分别是正确密码和身份标签。否则，攻击者必须返回步骤1并猜测新的密码和身份标签，然后执行步骤2。

3.3 离线猜测攻击2

另一种猜测方法密码和身份标签将使用来自${C_1, C_2, C_3}$的值，这些值来自一个真实登录请求消息$M_1^{HA} = {PID_{MU}, C_1, C_2, C_3, ID_{MU}, Q_1}$。步骤如下：

步骤1 ：攻击者猜测一个密码$PW_{MU}^ $和一个身份标签$ID_{MU}^ $。

步骤2 ：攻击者计算$r_0^ = D_3 \oplus h(ID_{MU}^ | PW_{MU}^*)$，其中$D_3$是从智能卡中提取的值。

步骤3 ：攻击者计算$H_{PW}^ = h(PW_{MU}^ | r_0^*)$。

步骤4 ：攻击者计算$B_1^ = D_1 \oplus H_{PW}^ $，其中$D_1$是从智能卡中提取的值。

步骤5 ：攻击者计算$r_{MU}^ = C_1 \oplus B_1^ $，其中$C_1$是从窃听消息$M_1^{HA}$中提取的值。

步骤6 ：攻击者检查等式$C_2 = h(PID_{MU} | r_{MU}^ | Q_1) \oplus ID_{MU}^ $是否正确。如果正确，攻击者成功执行此次攻击，且$PW_{MU}^ $和$ID_{MU}^ $分别为正确密码和身份标签。否则，攻击者必须返回步骤1，猜测新的密码和身份标签，然后执行步骤2–6。

3.4 错误密码检测中的效率低下问题

在吴等人提出的方案中，没有登录检测机制。如果合法用户MU误输入了错误的密码，则该错误密码将不会被检测到，直到远程家用代理HA在登录与认证阶段的步骤3中验证$C_3$和$h(newPID_{MU} | ID_{HA} | B_1 | PID_{MU} | Q_1)$是否相等。因此，吴等人提出的方案在检测用户错误密码方面效率较低。