多媒體網路安全實驗室 An efficient and security dynamic identity based authentication protocol for multi-server architecture using smart cards 作者 : Xiong Li, Yongping Xiong, Jian Ma, Wendong Wang 出處 :Journal of Network and Computer Applications 35 (2012) 763–769 報告人 : 陳鈺惠 日期 :2014/1/23

多媒體網路安全實驗室 Outline Introduction 1 Overview of Sood et al.’s scheme 2 Weaknesses of Sood et al.’s scheme 33 Proposed scheme Protocol analysis Conclusions 46

多媒體網路安全實驗室 1.Introduction(1/1)  With the rapid development of the Internet and electronic commerce technology, many services are provided through the Internet such as online shopping, online game.  This paper propose an efficient and security dynamic identity based authentication protocol for multi-server architecture using smart cards to tackle these problems. 3

多媒體網路安全實驗室 2.Overview of Sood et al.’s scheme UiUi The ith user SkSk The kth service providing server CSThe control server ID i The identity of the user U i PiPi The password of the user U i SID k The identity of the server S k yiyi The random number chosen by CS for user U i xThe master secret key maintained by CS bA random number chosen by the user for registration CID i The dynamic identity generated by the user U i for authentication SKA session key shared among the user, the service providing server and the CS N i1 A random number generated by the user U i 's smart card N i2 A random number generated by the server S k for the user U i N i3 A random number generated by the CS for the user U i h(·)A one-way hash function ⊕ Exclusive-OR operation ∥ Message concatenation operation 4

多媒體網路安全實驗室 2.Overview of Sood et al.’s scheme(1/4) Registration phase U i S k CS A i =h(ID i ||b) B i =h(b ⊕ P i ) Ai 、 BiAi 、 Bi F i = A i ⊕ y i G i =B i ⊕ h(y i ) ⊕ h(x) C i =A i ⊕ h(y i ) ⊕ x (F i 、 G i 、 h(·)) Stores (C i 、 y i ⊕ x) Smart card D i =b ⊕ h(ID i ||P i ) E i =h(ID i ||P i ) ⊕ P i Smart card(D i 、 E i 、 F i 、 G i 、 h(·)) (SID k 、 SK k ) Stores(SID k 、 SK k ⊕ h(x||SID k )) 5

多媒體網路安全實驗室 2.Overview of Sood et al.’s scheme(2/4) Login phase U i S k CS ID i * P i * Smart card E i *=h(ID i *||P i *) ⊕ P i * ， E i *=E i ? b=D i ⊕ h(ID i ||P i ) ， A i =h(ID i ||b) B i =h(b ⊕ P i ) ， y i =F i ⊕ A i h(x)=G i ⊕ B i ⊕ h(y i ) ， Z i =h 2 (x) ⊕ N i1 CID i =A i ⊕ h(y i ) ⊕ h(x) ⊕ N i1 M i =h(h(x)||y i ||SID k ||N i1 ) (SID k 、 Z i 、 CID i 、 M i ) 6

多媒體網路安全實驗室 2.Overview of Sood et al.’s scheme(3/4) Authentication and session key agreement phase U i S k CS R i =N i2 ⊕ SK k (SID k 、 Z i 、 CID i 、 M i 、 R i ) N i1 =Z i ⊕ h 2 (x) ， N i2 =R i ⊕ SK k C i *=CID i ⊕ N i1 ⊕ h(x) ⊕ x C i *=C i ? ， extracts y i M i *=h(h(x)||y i ||SID k ||N i1 ) M i *=M i ? K i =N i 1 ⊕ N i3 ⊕ h(SK k ||N i2 ) X i =h(ID i ||y i ||N i1 ) ⊕ h(N i1 ⊕ N i2 ⊕ N i3 ) V i =h[h(N i1 ⊕ N i2 ⊕ N i3 )||h(ID i ||y i ||N i1 )] T i =N i2 ⊕ N i3 ⊕ h(y i ||ID i| |h(x)||N i1 ) (K i 、 X i 、 V i 、 T i ) 7

多媒體網路安全實驗室 2.Overview of Sood et al.’s scheme(4/4) Authentication and session key agreement phase U i S k CS N i1 ⊕ N i3 =K i ⊕ h(SK k ||N i2 ) h(ID i ||y i ||N i1 )=X i ⊕ h(N i1 ⊕ N i2 ⊕ N i3 ) V i *=h[h(N i1 ⊕ N i2 ⊕ N i3 )||h(ID i ||y i ||N i1 )] V i *=V i ? (V i 、 T i ) N i2 ⊕ N i3 T i ⊕ h(y i ||ID i ||h(x)||N i1 ) V i *=h[h(N i1 ⊕ N i2 ⊕ N i3 )||h(ID i ||y i ||N i1 )] V i *=V i ? SK=h(h(ID i ||y i ||N i1 )||(N i1 ⊕ N i2 ⊕ N i3 )) 8

多媒體網路安全實驗室 3.weaknesses of Sood et al.’s scheme(1/2) Leak-of-verifier attack U i S k CS Registration phase A i =h(ID i ||b) B i =h(b ⊕ P i ) A i 、 B i F i = A i ⊕ y i G i =B i ⊕ h(y i ) ⊕ h(x) C i =A i ⊕ h(y i ) ⊕ x 2. x 、 h(x) 、 y i ⊕ x (F i 、 G i 、 h(·)) Stores (C i 、 y i ⊕ x) Smart card D i =b ⊕ h(ID i ||P i ) 1. y i 、 h(x) E i =h(ID i ||P i ) ⊕ P i stores (D i 、 E i 、 F i 、 G i 、 h(·)) (SID k 、 SK k ) Stores(SID k 、 SK k ⊕ h(x||SID k )) Login phase ID i * P i * Smart card E i *=h(ID i *||P i *) ⊕ P i * ， E i *=E i ? b =D i ⊕ h(ID i ||P i ) ， A i =h(ID i ||b) B i =h(b ⊕ P i ) ， y i =F i ⊕ A i h(x) =G i ⊕ B i ⊕ h(y i ) ， Z i =h 2 (x) ⊕ N i1 4.get N i1 ComputeZ i 、 CID i 、 M i 3. y i 、 A i and h(x) CID i =A i ⊕ h(y i ) ⊕ h(x) ⊕ N i1 U k login M i =h(h(x)||y i ||SID k ||N i1 ) (SID k 、 Z i 、 CID i 、 M i ) 9

多媒體網路安全實驗室 3.weaknesses of Sood et al.’s scheme(2/2) Leak-of-verifier attack 10 U i S k CS Authentication and session key agreement phase R i =N i2 ⊕ SK k 5.submits(SID k 、 Z′ i 、 CID′ i 、 M′ i ) to S j (SID k 、 Z i 、 CID i 、 M i 、 R i ) get N i ′ 2 N i1 =Z i ⊕ h 2 (x) ， N i2 =R i ⊕ SK k C i *=CID i ⊕ N i1 ⊕ h(x) ⊕ x ， C i *=C i ? ， extracts y i 6. C* i =CID′ i ⊕ N i ′ 1 ⊕ h(x) ⊕ x M i *=h(h(x)||y i ||SID k ||N i1 ) ， check whether M i *=M i ? =A i ⊕ h(y i ) ⊕ x=C i K i =N i 1 ⊕ N i3 ⊕ h(SK k ||N i2 ) 7.U k get x 、 y i (C i =A i ⊕ h(y i ) ⊕ x ) X i =h(ID i ||y i ||N i1 ) ⊕ h(N i1 ⊕ N i2 ⊕ N i3 ) V i =h[h(N i1 ⊕ N i2 ⊕ N i3 )||h(ID i ||y i ||N i1 )] T i =N i2 ⊕ N i3 ⊕ h(y i ||ID i| |h(x)||N i1 ) (K i 、 X i 、 V i 、 T i )

多媒體網路安全實驗室 3.weaknesses of Sood et al.’s scheme Stolen smart card attack U i S k CS Login phase ID i * P i * Smart card E i *=h(ID i *||P i *) ⊕ P i * ， E i *=E i ? b =D i ⊕ h(ID i ||P i ) ， A i =h(ID i ||b) B i =h(b ⊕ P i ) ， y i =F i ⊕ A i h(x) =G i ⊕ B i ⊕ h(y i ) ， Z i =h 2 (x) ⊕ N i1 CID i =A i ⊕ h(y i ) ⊕ h(x) ⊕ N i1 1.eavesdropped and M i =h(h(x)||y i ||SID k ||N i1 ) 4.U k can forge a valid login request message previously valid login (SID k 、 Z i 、 CID i 、 M i ) U k get (D i 、 E i 、 F i 、 G i 、 h(·) 、 h(x)) R i =N i2 ⊕ SK k (SID k 、 Z i 、 CID i 、 M i 、 R i ) N i1 =Z i ⊕ h 2 (x) ， N i2 =R i ⊕ SK k 2.CID′ i ⊕ N i ′ 1 ⊕ h(x) = A i ⊕ h(y i ) C i *=CID i ⊕ N i1 ⊕ h(x) ⊕ x ， C i *=C i ? 3. D i =b i ⊕ h(ID i ||P i ) + E i =h(ID i ||P i ) ⊕ P i b i ⊕ P i =D i ⊕ E i h(b i ⊕ P i )=B i h(y i )=G i ⊕ B i ⊕ h(x) Compute A i =h(y i ) ⊕ (A i ⊕ h(y i )) Get y i =Fi ⊕ A i 11

多媒體網路安全實驗室 3.weaknesses of Sood et al.’s scheme Incorrect authentication and session key agreement phase In registration phase ， U i submits A i 、 B i rather than true identity ID i to CS 。 But in step4 X i =h(ID i ||y i ||N i1 ) ⊕ h(N i ⊕ N i2 ⊕ N i3 ) V i =h[h(N i1 ⊕ N i2 ⊕ N i3 )||h(ID i ||y i ||N i1 )] T i =N i2 ⊕ N i3 ⊕ h(y i ||ID i ||h(x)||N i1 ) 12

多媒體網路安全實驗室 3.Proposed scheme(1/5) 13 UiUi The ith user SjSj The service providing server CSThe control server ID i The identity of the user U i PiPi The password of the user U i SID k The identity of the server S k yiyi The random number chosen by CS for user U i xThe master secret key maintained by CS bA random number chosen by the user for registration CID i The dynamic identity generated by the user U i for authentication SKA session key shared among the user, the service providing server and the CS N i1 A random number generated by the user U i 's smart card N i2 A random number generated by the server S k for the user U i N i3 A random number generated by the CS for the user U i h(·)A one-way hash function ⊕ Exclusive-OR operation ∥ Message concatenation operation

多媒體網路安全實驗室 3.Proposed scheme Registration phase U i S j CS Chooses ID i 、 P i 、 b A i =h(b||P i ) (ID i 、 A i ) B i =h(ID i ||x) ， C i =h(ID i ||h(y)||A i ) D i =B i ⊕ h(ID i ||A i ) ， E i =B i ⊕ h(y||x) (C i 、 D i 、 E i 、 h(·) 、 h(y)) Smart card U i enter b to smart card smart card stores (C i 、 D i 、 E i 、 h(·) 、 h(y) 、 b) 14

多媒體網路安全實驗室 3.Proposed scheme Login phase U i S j CS Inputs ID i 、 P i smart card computes A i =h(b||P i ) ， C i ′=(ID i ||h(y)||A i ) C i ′=C i ? Smart card generates N i1 B i =D i ⊕ h(ID i ||A i ) ， F i =h(y) ⊕ N i1 P ij =E i ⊕ h(h(y)||N i1 ||SID j ) CID i =A i ⊕ h(B i ||F i ||N i1 ) G i =h(B i ||A i ||N i1 ) (F i 、 G i 、 P ij 、 CID i ) 15

多媒體網路安全實驗室 3.Proposed scheme(4/5) Authentication and session key agreement phase U i S j CS S j chooses N i2 K i =h(SID j ||y) ⊕ N i2 M i =h(h(x||y)||N i2 )) (F i 、 G i 、 P ij 、 CID i 、 SID j 、 K i 、 M i ) N i2 =K i ⊕ h(SID j ||y) M i ′=h(h(x||y)||N i2 ) ， M i ′=M i ? N i1 =F i ⊕ h(y) B i =P ij ⊕ h(h(y)||N i1 ||SID j ) ⊕ h(y||x) A i =CID i ⊕ h(B i ||F i ||N i1 ) G i ′=h(B i ||A i ||N i1 ) ， G i ′=G i ? CS generates N i3 Q i =N i1 ⊕ N i3 ⊕ h(SID j ||N i2 ) R i =h(A i ||B i ) ⊕ h(N i1 ⊕ N i2 ⊕ N i3 ) V i =h(h(A i ||B i )||h(N i1 ⊕ N i2 ⊕ N i3 )) T i =N i2 ⊕ N i3 ⊕ h(A i ||B i ||N i1 ) 16

多媒體網路安全實驗室 3.Proposed scheme(5/5) Authentication and session key agreement phase U i S j CS (Q i 、 R i 、 V i 、 T i ) N i1 ⊕ N i3 =Q i ⊕ h(SID j ||N i2 ) h(A i ||B i )=R i ⊕ h(N i1 ⊕ N i3 ⊕ N i2 ) V i ′=h(h(A i ||B i )||h(N i1 ⊕ N i3 ⊕ N i2 ) V i ′=V i ? (V i 、 T i ) N i2 ⊕ N i3 =T i ⊕ h(A i ||B i ||N i1 ) V i ′=h(h(A i ||B i )||h(N i2 ⊕ N i3 ⊕ N i1 )) V i ′=V i ? SK=h(h(A i ||B i )||(N i1 ⊕ N i2 ⊕ N i3 )) 17

多媒體網路安全實驗室 4.Protocol analysis Replay attack The user U i, the server S j and the control server CS choose different nonce values N i1,N i2,N i3, respectively, for compute and verify the authentication message. 18

多媒體網路安全實驗室 4.Protocol analysis Impersonation attack 19 U i S j CS Chooses ID i 、 P i 、 b A i =h(b||P i ) (ID i 、 A i ) 2.Cannot compute A i 、 B i 、 E i to get (ID i 、 P i 、 x ) cannot Impersonation U i B i =h(ID i ||x) ， C i =h(ID i ||h(y)||A i ) D i =B i ⊕ h(ID i ||A i ) ， E i =B i ⊕ h(y||x) (C i 、 D i 、 E i 、 h(·) 、 h(y)) 1. Smart card U i enter b to smart card smart card stores (C i 、 D i 、 E i 、 h(·) 、 h(y) 、 b) Inputs ID i 、 P i smart card computes A i =h(b||P i ) ， C i ′=(ID i ||h(y)||A i ) C i ′=C i ? Smart card generates N i1 B i =D i ⊕ h(ID i ||A i ) ， F i =h(y) ⊕ N i1 P ij =E i ⊕ h(h(y)||N i1 ||SID j ) 3.cannot Impersonation a valid login request CID i =A i ⊕ h(B i ||F i ||N i1 ) G i =h(B i ||A i ||N i1 ) (F i 、 G i 、 P ij 、 CID i )

多媒體網路安全實驗室 4.Protocol analysis Stolen smart card attack U i S j CS Chooses ID i 、 P i 、 b A i =h(b||P i ) (ID i 、 A i ) B i =h(ID i || x ) ， C i =h(ID i ||h(y)||A i ) 1.U K get (C i 、 D i 、 E i 、 h(·) 、 h(y) 、 b) D i =B i ⊕ h(ID i ||A i ) ， E i =B i ⊕ h( y ||x) (C i 、 D i 、 E i 、 h(·) 、 h(y)) 2.cannot compute A i 、 B i 3.Cannot get ID i 、 P i to impersonation attack using the lost or stolen smart card 20

多媒體網路安全實驗室 4.Protocol analysis Leak-of-verifier attack No any verifier information stored in the control server CS, the malicious privileged user cannot get any useful information from the CS. 21

多媒體網路安全實驗室 4.Protocol analysis User's anonymity Chooses ID i 、 P i 、 b A i =h(b||P i ) B i =h(ID i ||x) 22

多媒體網路安全實驗室 4.Protocol analysis mutual authentication and session key agreement In registration phase ， U i submits A i 、 B i rather than true identity ID i to CS 。 But in step4 X i =h(ID i ||y i ||N i1 ) ⊕ h(N i ⊕ N i2 ⊕ N i3 ) V i =h[h(N i1 ⊕ N i2 ⊕ N i3 )||h(ID i ||y i ||N i1 )] T i =N i2 ⊕ N i3 ⊕ h(y i ||ID i ||h(x)||N i1 ) U i 、 the server S j and the control server CS can agree on a shared session key SK=h(h(A i ∥ B i ) ∥ (N i1 ⊕ N i2 ⊕ N i3 )) 23

多媒體網路安全實驗室 4.Protocol analysis(7/7) 24 SoodThe proposed scheme User's anonymity OO Computation cost Low Single registration OO No time synchronization OO Resist replay attack XO Resist impersonation attack X-- Resist leak-of-verifier attack XO Resist stolen smart card attack O-- Correct password update OO Correct mutual authentication X-- Correct session key agreement X--

多媒體網路安全實驗室 5.Conclusion 1.Sood 的協議裡 S k 與 CS 有一把 SK K 但在本文裡沒有，本文表示沒有任何資料存 在 CS ，但這樣 CS 與 SK 怎麼做驗證。 2. 沒有做驗證就不能防禦假冒攻擊。 25

多媒體網路安全實驗室 26

多媒體網路安全實驗室 Weaknesses of Proposed scheme Impersonation attack(1/2) U i S j CS 27 U i S j CS Chooses ID i 、 P i 、 b A i =h(b||P i ) (ID i 、 A i ) 2.Cannot compute A i 、 B i 、 E i to get (ID i 、 P i 、 x ) cannot Impersonation U i B i =h(ID i ||x) ， C i =h(ID i ||h(y)||A i ) D i =B i ⊕ h(ID i ||A i ) ， E i =B i ⊕ h(y||x) (C i 、 D i 、 E i 、 h(·) 、 h(y)) 1. Smart card U i enter b to smart card smart card stores (C i 、 D i 、 E i 、 h(·) 、 h(y) 、 b) Inputs ID i 、 P i smart card computes A i =h(b||P i ) ， C i ′=(ID i ||h(y)||A i ) C i ′=C i ? Smart card generates N i1 B i =D i ⊕ h(ID i ||A i ) ， F i =h(y) ⊕ N i1 P ij =E i ⊕ h(h(y)||N i1 ||SID j ) 3.cannot Impersonation a valid login request CID i =A i ⊕ h(B i ||F i ||N i1 ) G i =h(B i ||A i ||N i1 ) (F i 、 G i 、 P ij 、 CID i )

多媒體網路安全實驗室 Weaknesses of Proposed scheme Impersonation attack(2/2) 28 U i S j CS 28 U i S j CS Chooses ID i 、 P i 、 b A i =h(b||P i ) (ID i 、 A i ) B i =h(ID i ||x) ， C i =h(ID i ||h(y)||A i ) D i =B i ⊕ h(ID i ||A i ) ， E i =B i ⊕ h(y||x) (C i 、 D i 、 E i 、 h(·) 、 h(y)) 1.U k is legitimate user and use U k smart card 2.If we can compute A i 、 B i 、 E i to get ID i 、 P i 、 x and impersonation U i 3.Legitimate user get (C i 、 D i 、 E i 、 h(·) 、 h(y)) and receive(F i 、 G i 、 P ij 、 CID i ) Inputs ID i 、 P i 4.(1)E i =B i ⊕ h(y||x) ， (E i 、 h(y||x) is known) ， get B i smart card computes (2)U k use smart card get N i1 A i =h(b||P i ) ， C i ′=(ID i ||h(y)||A i ) (3)CID i =A i ⊕ h(B i ||F i ||N i1 ) ， (CID i 、 B i 、 F i 、 N i1 is known ) ， get A i C i ′=C i ? (4)P ij =E i ⊕ h(h(y)||N i1 ||SID j ) ， (E i 、 h(y) 、 N i1 、 SID j is known) ， impersonation P i Smart card generates N i1 (5)F i =h(y) ⊕ N i1 ， (h(y) 、 N i1 is known) ， impersonation F i B i =D i ⊕ h(ID i ||A i ) ， F i =h(y) ⊕ N i1 (6)G i =h(B i ||A i ||N i1 ) ， (B i 、 A i 、 N i1 is known) ， impersonation G i P ij =E i ⊕ h(h(y)||N i1 ||SID j ) (7)CID i =A i ⊕ h(B i ||F i ||N i1 ) ， (CID i 、 A i 、 B i 、 F i 、 N i1 is known) ， impersonation CID i CID i =A i ⊕ h(B i ||F i ||N i1 ) 5.U k can impersonation (F i 、 G i 、 P ij 、 CID i ) to attack G i =h(B i ||A i ||N i1 ) (F i 、 G i 、 P ij 、 CID i )

多媒體網路安全實驗室 Weaknesses of Proposed scheme Stolen smart card attack(1/2) 29 U i S j CS Chooses ID i 、 P i 、 b A i =h(b||P i ) (ID i 、 A i ) B i =h(ID i || x ) ， C i =h(ID i ||h(y)||A i ) 1.U K get (C i 、 D i 、 E i 、 h(·) 、 h(y) 、 b) D i =B i ⊕ h(ID i ||A i ) ， E i =B i ⊕ h( y ||x) (C i 、 D i 、 E i 、 h(·) 、 h(y)) 2.cannot compute A i 、 B i 3.Cannot get ID i 、 P i to impersonation attack using the lost or stolen smart card 29

多媒體網路安全實驗室 Weaknesses of Proposed scheme Stolen smart card attack(2/2) 30 U i S j CS Chooses ID i 、 P i 、 b A i =h(b||P i ) (ID i 、 A i ) B i =h(ID i ||x) ， C i =h(ID i ||h(y)||A i ) D i =B i ⊕ h(ID i ||A i ) ， E i =B i ⊕ h (y||x) (C i 、 D i 、 E i 、 h(·) 、 h(y)) 1.U k is legitimate user and use stolen smart card 2.If we can compute A i 、 B i 、 E i to get ID i 、 P i 、 x and Impersonation U i 3.Legitimate user get (C i 、 D i 、 E i 、 h(·) 、 h(y)) and receive(F i 、 G i 、 P ij 、 CID i ) 4.(1)E i =B i ⊕ h(y||x) ， (E i 、 h(y||x) is known) ， get B i (2)F i =h(y) ⊕ N i1 ， (h(y) 、 N i1 、 F i is known) (3)CID i =A i ⊕ h(B i ||F i ||N i1 ) ， (CID i 、 B i 、 F i 、 N i1 is known ) ， get A i 5.U k can compute A i 、 B i 、 E i to get ID i 、 P i and impersonation attack using the lost or stolen smart card 30