绕口令：两个排

绕口令：两个排（共2篇）

绕口令：两个排 篇1

两个排

营房里出来两个排，

直奔正北菜园来，

一排浇波菜，

二排砍白菜。

剩下八百八十八棵大白菜没有掰。

一排浇完了波菜，

又把八百八十八棵大白菜掰下来;

二排砍完白菜，

把一排掰下来的八百八十八棵大白菜背回来。

其它绕口令：

1、多少罐

一个半罐是半罐，

两个半罐是一罐;

三个半罐是一罐半，

四个半罐是两罐;

五个半罐是两罐半，

六个半罐是三满罐;

七个、八个、九个半罐，

请你算算是多少罐。

2、酸枣子

山上住着三老子，山下住着三小子，山腰住着三哥三嫂子。

山下三小子，找山当腰三哥三嫂子，借三斗三升酸枣子，

山当腰三哥三嫂子，借给山下三小子三斗三升酸枣子。

山下三小子，又找山上三老子，借三斗三升酸枣子，

山上三老子，还没有三斗三升酸枣子，只好到山当腰找三哥三嫂子，

给山下三小子借了三斗三升酸枣子。过年山下三小子打下酸枣子，

还了山当腰三哥三嫂子，两个三斗三升酸枣子。()

3、登山

绕口令：两个排 篇2

随着计算机网络的高速发展, 越来越多的电子交易在网上进行, 但网络安全性一直是人们担心和不可忽略的一个问题。网络安全问题的存在, 一方面是由于网络黑客技术手段的高明, 另一方面则是因为网络协议存在着漏洞和不安全性。智能卡是一种集成且带有智能的电路卡, 它具有读写和存储并自动处理数据的功能。这种特性决定其可以在网络安全中扮演重要角色。

自从1981年Lamport首次提出远程口令认证方案以来, 口令认证的研究一直没有间断。近年来基于智能卡设计的认证协议也越来越多。文献[1]中阐述了一种可信的基于智能卡口令双向认证方案, 其特点是安全性高, 安全功能全面, 但是要求方案中的服务器处于可信计算环境中。文献[2]提出了一种基于双线性对和智能卡的认证方案, 利用椭圆曲线上离散对数的困难性, 使计算成本更低, 安全性更高。文献[3]中给出的基于智能卡的改进的身份认证方案, 有效地解决了原有方案存在的安全性缺陷, 同时具有较高的计算效率和较低的通信成本等优势。但也有一些协议存在着安全性问题。2006年, Liao等[4]人提出了一个一次性口令身份认证方案, 随后, 潘春兰等[5]分析了该方案, 发现一旦攻击者获取智能卡内秘密参数信息, 方案便易遭离线口令猜测攻击和仿冒攻击, 并针对这些安全缺陷进行了改进。2008年, 许春香等[6]提出一种使用双线性对构造的智能卡口令认证方案, 2010年邓栗等[7]通过分析该方案证明方案中存在不能抵抗仿冒攻击和单向认证等安全性缺陷, 进而提出了一个基于双线性对的智能卡口令认证改进方案, 并声明他们的改进方案克服了原方案的安全缺陷。2012年, 薛锋等[8]分别对潘和邓等人改进后的方案进行了分析, 发现潘春兰等方案不能抵御离线口令猜测攻击和登录阶段存在设计缺陷。邓粟等方案不能抵御Dos攻击、DDos攻击和内部攻击。除此之外, 本文指出潘方案还存在着一定的设计缺陷, 同时两个方案都不具备抵御劫取连接攻击的能力。针对此类攻击, 不同文献基本上都采用定时发送认证信息的思想来该攻击, 但实现发送中间认证信息的方式又略有所不同。根据两个方案的特点, 文中分别采用Hash函数计算和双线性对计算来抵御此类攻击。

1 基础知识

1. 1 双线性对

设G1是椭圆曲线群中阶为素数q的加法循环群, G2是与G1同阶的乘法循环群, P是G1的生成元, 称e: G1×G1→G2是一个双线性映射, 如果它满足以下性质:

(1) 对称性

给定元素P, Q, R∈G1有:

(2) 非退化性

存在元素Q、R∈G1, 使得e ( Q, R) ≠1G1, 其中, 1G1是群G2的单位元;

(3) 可计算性

对任意的元素Q, R∈G1, 存在一个有效的算法可计算e ( Q, R) 。

若群G1取有限域上超奇异椭圆曲线或超椭圆曲线, 双线性对就可以利用该曲线上的Weil配对或Tate配对构造。

1. 2 SM2 和 SM3 算法

SM3算法是我国自主的摘要算法, 它是对SHA的一个改进, 原理和SHA大致相同, 对于给定的长度为k ( k < 264) 的消息, SM3杂凑算法经过填充、迭代压缩和选裁, 生成长度为256比特杂凑值, 它的安全性高于MD5, 这里我们选择SM3作为方案中的摘要算法, 文献[9]对SM3做了详尽的介绍。

SM2算法[10]是由国家密码管理局编制的一种基于椭圆曲线理论实现的非对称算法, 是国际上ECC椭圆曲线算法的优化。SM2算法的总体安全性和性能方面与ECC算法一致, 是目前已知的公钥体制中对每比特所提供加密强度最高的一种算法, 192位的SM2密码强度已经比RSA 2048位密码强度要高。它的签名速度快, SM2在私钥运算上, 速度远比RSA快得多。

2 两个方案的安全性分析

除了薛锋等人在文献[8]中指出潘方案的不足之处外, 潘方案在口令更改阶段也存在着设计缺陷。

潘方案口令更改阶段设计如下:

( 1) 用户将智能卡插入读卡器, 提交身份ID和口令PW, 请求更改口令。

( 2) 智能卡SC首先判断用户身份ID的合法性。若ID非法, 拒绝口令更改请求, 否则, SC取出r, 计算hpw*= h ( PW⊕r) 、k = C1⊕hpw*、C2*= h ( k⊕r) , 比较C2*= ? C2, 如果不相等, 拒绝口令更改请求, 否则提示用户选择新登录口令PWnew。

( 3) 智能卡SC提交新登录口令PWnew, 计算C1*= k⊕PWnew, 将C1*写入智能卡代替C1完成口令更改。

由文献[5]中方案的注册阶段可以知道, hpw = h ( PW⊕r) 、C1= h ( ID‖x‖R) ⊕hpw、C2= h ( h ( ID⊕x⊕R) ⊕hpw) , 当合法用户需要更改口令时, 按上述步骤计算hpw*= h ( PW⊕r) 、k = C1⊕hpw*、C2*= h ( k⊕r) = h ( C1⊕hpw*⊕r) = h ( h ( ID‖x‖R) ⊕hpw⊕hpw*⊕r) , 当输入的PW正确时, hpw*= hpw, 则C2*= h ( h ( ID‖x‖R) ⊕r) , 而C2= h ( h ( ID⊕x⊕R) ⊕hpw) , 进而可知h ( ID‖x‖R) ⊕r与 ( h ( ID⊕x⊕R) ⊕hpw不会相等, 则无论输入的PW是否正确, C2*与C2是不会相等的。可知口令更改阶段不能实现更改口令的功能。

劫取连接攻击: 此类攻击最早由Bellovin提出, 文献[11]详细地介绍了此类攻击和相应的攻击工具Hunt。这类的攻击方法是: 1) 合法用户通过认证, 成功与服务器建立连接后, 2) 攻击者绕过身份认证确认这一关, 设法劫取此连接以冒充合法用户非法访问服务器。这样攻击者就成功地冒充合法用户, 达到欺骗服务器的目的。可知, 潘春兰方案和邓粟方案都不具备抵御此类攻击的能力。

3 方案的改进

本节主要介绍如何对两个方案进行改进, 对两个方案有设计缺陷的阶段进行重新设计, 协议本身的安全性尤其重要[12]。针对潘方案不能抵御离线口令猜测攻击的问题, 通过引入随机数保证口令信息的安全。同时引入国产加密算法SM2对两个方案中的关键信息进行加密处理。对于劫取连接问题, 文献[13]采用S/KEY口令的原理构造中间认证信息Hn ( N) , 利用n值的动态变化来保证中间认证信息的唯一性。文献[14]采用对称加密构造中间认证信息Ek ( N + i) , 利用i的动态变化防御中间认证信息被伪造, 本文给出的改进方案则采取两种截然不同的方法来抵御此类攻击。对于潘方案, 引入SM3摘要算法, 基于SM3算法的Hash计算构造中间认证信息, 而邓方案采取基于双线性对的计算来构造中间认证信息, 进而可以抵御劫取连接攻击。

改进方案使用的符号及其含义如下:

3. 1 潘等方案的改进

方案包含四个阶段, 即注册阶段、登录阶段、认证阶段和口令更新阶段。认证阶段过程见图1所示。

( 1) 注册阶段

Step1用户Ui选择身份标识IDi, 口令PWi和随机数r, 并计算hpw = h ( r⊕PWi) 、hid = h ( r⊕IDi) 。并发送EKsp ( hid‖hpw) 至S。

Step2服务器S收到来自Ui的注册请求后, 解密EKsp ( hid‖hpw) , 得到hid、hpw。生成随机数Ri, 计算k = h ( hid⊕x⊕Ri) , C1= h ( hid⊕x⊕Ri) ⊕h ( hpw⊕hid) ⊕hpw⊕hid, C2= h ( hid⊕x⊕Ri) ⊕h ( hpw⊕hid) , 将{ C1, C2, h ( ) , k, Ksp} 写入智能卡, 销毁hpw, 同时将EKsp ( hid‖Ri) 写入后台数据库。

Step3 S把智能卡通过安全通道交给Ui。

Step4 Ui将r写入智能卡。

( 2) 登录阶段

Step1用户将Ui插入智能卡, 输入IDi和PWi。

Step2智能卡计算hpw*= h ( r⊕PWi) 、hid*= h ( r⊕IDi) , C2*= C1⊕hpw*⊕hid*, 验证C2*和C2是否相等, 若不等, 则拒绝登录。

( 3) 认证阶段

Step1 Ui→S: { EKsp ( hid*) } 。

Step2服务器S解密EKsp ( hid*) 得到hid*, 解密后台数据库存储的EKsp ( hid‖Ri) , 得到hid, 比较hid和hid*是否相等。若不相等, 则拒绝, 否则生成随机数RS1, 取出与hid对应的Ri, 计算k*= h ( hid⊕x⊕Ri) , m1= k*⊕RS1。并把m1发送给U。

Step3智能卡生成随机数Ru、R0, 计算: m2= h ( h ( m1⊕k) ⊕Ru) 、m3= k⊕Ru。发送EKsp ( m2‖m3‖R0) 至S。

Step4 S解密EKsp ( m2‖m3‖R0) 得到m2、m3、R0, 计算R*u= k*⊕m3和m2*= h ( h ( RS1) ⊕R*u) , 比较m2*与收到的m2是否相等。若不等, 则结束会话, 否则, 接受Ui为合法用户并保存i = 1, 同时生成随机数RS2, 计算m4= h ( h ( R*u) ⊕RS2) 和m5= k*⊕RS2。发送{ m4, m5} 至U。

Step5智能卡得到m4、m5后, 计算R*S2= m5⊕k和m4*= h ( h ( Ru) ⊕R*S2) , 然后比较计算的m4*与接收到的m4是否相等, 若不相等, 则拒绝会话, 完成对S的身份认证, 保存j = 1。

Step6智能卡与服务器完成首次认证后, 定时 ( 间隔t时间) 发送认证信息。每发送一次认证信息i的值加1。

Step7服务器把第i次收到的定时认证信息SM3 ( R0⊕i) 与自己计算的SM3 ( R0⊕j) 进行比较, 如果相等, 则通过认证, 服务器将保存的j值加1, 如果没有及时并正确地收到用户端发送的定时认证信息, 就终止此连接, 用户如果要继续进行访问, 必须进行再次认证连接。

( 4) 口令更新阶段

Step1用户将智能卡插入读卡器, 提交身份IDi和口令PW*, 请求更改口令。

Step2智能卡取出r, 计算hpw*= h ( PW*⊕r) 、hid*= h ( r⊕IDi) 、C2*= C1⊕hpw*⊕hid*, 比较C2*= C2是否相等, 如果不相等, 拒绝口令更改请求, 否则提示用户选择新登录口令PW*。

Step3智能卡提交新登录口令PWnew, 计算hpw*=h (PW*⊕r) 、C*1=k⊕h (hpw*⊕hid*) ⊕hpw*⊕hid*、C*2=k⊕h (hpw*⊕hid*) , 将C*1、C*2写入智能卡代替C1、C2完成口令更改。

3. 2 邓等方案的改进

方案包含四个阶段, 认证阶段过程见图2所示。

( 1) 初始化阶段

初始化阶段由服务器执行, 包括如下4个步骤:

Step1选择群G1和G2, 其中: G1是椭圆曲线群中以P为生成元的加法循环群, 阶为素数q: G2是与G1同阶的乘法循环群。同时定义双线性映射e: G1×G1→G2和散列函数H: ( 0, 1) *→G1。

Step2选择一正整数x, 1 < x < q, 作为秘密密钥, 并计算公钥Pubs= x P。并公开系统参数{ G1, G2, e, q, H, P, Pubs} , 将私有密钥x保密。

( 2) 注册阶段

Step1用户根据公开系统参数{ G1, G2, e, q, H, P, Pubs} , 选择一正整数, 1 < y < q, 作为秘密密钥, 并计算公钥Pubu =y P。同时选择身份标识IDi和口令PWi, 同时生成随机数b。发送{ IDi, h ( b⊕PWi) , Pubu} 至S。

Step2服务器S计算注册身份, Reg = h ( x×h ( IDi) ) 、Re-g IDi= x×h ( IDi) + h ( b⊕PWi) ×Pubs, 将{ IDi, Pubs, Reg IDi, P, h ( ) , Reg} 写入智能卡。并通过安全通道把智能卡交送至Ui。

Step3 Ui将b写入智能卡。

( 3) 认证阶段

Step1用户Ui插入智能卡, 智能卡选择序列号Rn, 计算EKy ( EKPubu ( Rn) ) , 并发送EKy ( EKPubu ( Rn) ) 至S。

Step2服务器S用私钥x和用户公 钥Pubu计算SKx ( SKPubu ( EKy ( EKPubu ( Rn) ) ) ) 得到Rn*, 并发送至U。

Step3智能卡比较收到的Rn*与此前产生的Rn是否相等。如果相等, 则智能卡提示用户输入口令PWi, 否则结束会话。

Step4智能卡选择随机数r、n, 计算A = h ( b⊕PWi) ×Pubs, B = Reg IDi- A, Ci= r×P, Di= Tu×B + r×Pubs和Mi=EKPubs ( IDi‖Ci‖Di‖Tu‖n) 。其中Tu是用户当前时间戳。并发送Mi至S。

Step5服务器S在时间Ts收到Mi后, 用私钥x解密Mi得到{ ID*i, C*i, D*i, T*u, n} 。检查Tu*的有效性, 如果Ts—Tu>△T, 则拒绝。否则, 接着验证e ( Di, P) = e ( H ( IDi) , Pubs) Tu×e ( Pubs, Ci) 是否成立。若成立则接受, 否则拒绝Ui的登录。

Step6智能卡完成初次认证后, 计算D*i*= n×B + r×Pubs, 计算Q = e ( D*i*, P) , 把Q作为中间认证信息发送给服务器, 每发送一次认证信息n的值加1。

Step7服务器收到认证信息Q, 计算Q*= e ( H ( IDi) , Pubs) n×e ( Pubs, Ci) , 将Q与Q*进行比较, 如果相等, 则通过认证, 服务器把n的值加1。如果服务器没有及时并正确地接收到用户端的定时认证信息, 就终止次 = 此连接, 用户要再一次访问, 必须进行新一次认证连接。

( 4) 口令更新阶段

Step1用户Ui插入智能卡, 输入原口令PWi。智能卡计算Temp = Reg IDi- h ( b⊕PWi) ×Pubs、Reg*= h ( Temp) , 并验证Reg*与存储的Reg是否相等, 若不等则拒绝更新请求。

Step2智能卡提示用户输入新的口令PW*i, 计算新的注册身份Reg ID*i= Temp + h ( b⊕PW*i) ×Pubs, 并用RegI D*i替换智能卡中的Reg IDi。

4 安全性与效率分析

改进后的方案保留了原方案的所有安全性, 且具有以下安全性。

4. 1 改进的潘方案安全性分析

1) 抗离线口令猜测攻击

方案中采取公钥加密技术对在网络上传输的关键信息进行了加密, 同时引入随机数和哈希函数保护用户身份标识和用户口令, 用户身份标识ID不在网络上明文传输, 而且传输的关键信息m2、m3经过了加密处理, m4、m5虽然未加密, 但都经过随机数和哈希函数的处理, 且与m2、m3有着间接联系, 如果要完成一次离线口令猜测攻击, 则需要知道ID和m1、m2、m3的明文, 所以攻击者即使截获得到m1、m4、m5, 也无法实施有效的离线口令猜测攻击。

2) 登录阶段的正确性

用户在登录时通过输入IDi和PWi进行验证, 由于C2= C1⊕hpw⊕hid, 智能卡计算hpw*= h ( r⊕PWi) 、hid*= h ( r⊕IDi) 、C2*= C1⊕hpw*⊕hid*, 同时验证C2和C2*是否相等, 可知, 如果输入的PWi和IDi是正确的, 则C2与C2*相等, 说明用户合法, 如果输入的PWi和IDi是错误的, C2与C2*不会相等, 用户非法, 则拒绝登录。实现了能够正确登录的功能。

3) 口令更改阶段的有效性

当需要更改口令时, 输入ID和口令PW*, 智能卡计算hpw*= h ( PW*⊕r) 、hid*= h ( r⊕IDi) 、C2*= C1⊕hpw*⊕hid*, 比较C2*= C2是否相等, 因为C1= h ( h ( hid⊕x⊕Ri) ) ⊕h ( hpw⊕hid) ⊕hpw⊕hid, C2= h ( hid⊕x⊕Ri) ⊕h ( hpw⊕hid) , 当输入的口令不正确时, hpw和hpw*不会相等, hid和hid*也不相等, 则C2*和C2不会相等, 口令更新失败, 当输入正确的口令时, 同时用户身份合法时, hpw和hpw*相等, hid和hid*也相等, 则C2*和C2相等, 说明用户合法, 可以进行口令更改, 实现了有效更改口令的功能。

4) 抗劫取连接攻击

改进后方案通过比较根据事先约定的随机数R0和i、j生成摘要值SM3 ( R0⊕i) 和SM3 ( R0⊕j) 来抵御此类攻击。由于i、j的值每次的变化和Hash函数的无碰撞性。每次发送的中间认证信息都是唯一的, 故攻击者也不能伪造中间认证信息来实施重放攻击。同时即使攻击者窃取了连接, 也只能在一个时间t内访问服务器。

5) 抗冒充攻击和重放攻击

方案通过多次交互信息来实现双向认证。由于用户的ID受到加密保护, 而且认证过程中服务器端和客户端都引入随机数参与运算, 攻击者无法构造出认证信息hid, m1, m2等, 实现了双向认证, 可有效抵御假冒攻击。同时每次认证发送的认证信息中的关键信息经过了随机数的参与运算。每次传输的认证信息各异且无任何关键性信息泄露。攻击者截获的认证信息针对下次是无效的, 故可抵御重放攻击。

6) 抗中间人攻击

网络上传输的关键信息经过了加密运算或者随机数和哈希函数处理, 攻击者无法获得足够的关键信息的明文。同时传输的信息中有客户端和服务器端生成的随机数, 攻击者根据截获的信息无法构造出认证信息同时欺骗服务器端和客户端, 因此实施中间人攻击也是行不通的。

表1总结了改进方案的新的特性, 弥补了原方案的不足, 提高了原方案的安全性。

A1:抗离线口令猜测攻击A2:登录阶段正确A3:口令更改阶段有效A4:抗劫取连接攻击A5:抗冒充和重放攻击A6:抗中间人攻击Y:是N:否

4. 2 改进的邓方案安全性分析

1) 抗Do S攻击

方案中在传输序列号时, 采用双重加密, 首先用服务器的公钥加密, 然后再用用户的私钥加密, 攻击者无法得到服务器端的私有密钥, 这保证了攻击者即使截获到该信息, 也不能解密传输信息, 进而得到序列号的值, 同时攻击者无法得到用户的私钥, 不能伪造出EKy ( EKPubs ( N) ) 形式的传输信息。所以冒充合法用户传送信息建立连接是行不通的。当服务器端不能对EKy ( EKPubs ( N) ) 第一次解密时, 就可判断该认证信息为非法信息, 立即丢弃, 节约了时间, 因此能够有效地抵御Do S攻击。

2) 抗DDo S攻击

实施DDos攻击建立在将多个计算机联合起来作为平台的基础之上, 由1) 知, 攻击者不能实行一次有效的Do S攻击 , 而Do S攻击是DDo S攻击的基础[15]。因此, 实施DDo S攻击也是行不通的。

3) 抗内部人员攻击和离线口令猜测攻击

方案中在初始化阶段传给服务器端的口令加入了随机数r, 而用户得到智能卡后, 才将r写入智能卡。这样服务器内部人员就只能得到h ( b⊕PWi) , 无法得到用户的明文口令PWi, 由于随机数b对内部人员来说是未知的, 可以有效地防止内部人员离线猜测口令PWi, 从而有效地抵御此类攻击。

4) 口令更新阶段更新口令有效

口令更新时, 智能卡计算Reg*= h ( RegI Di- h ( b⊕PWi) ×Pubs) , 而Reg IDi= x×h ( IDi) +h ( b⊕PWi) ×Pubs, Reg = h ( x×h ( IDi) ) , 如果用户输入的不是正确的PWi, 表达式Reg IDi- h ( b⊕PWi) 的结果不会等于x×h ( IDi) , 进而, Reg*和Reg也不会相等, 更新口令失败。如果输入的是正确的PWi, 则Reg*与Reg相等, 可以成功更新口令。

5) 抗冒充攻击和重放攻击

方案首先通过客户端发送加密序列号进行连接, 每次连接的序列号是不同的, 由于攻击者无法获得服务器端的私有密钥, 故可以有效防止假冒服务器攻击, 同时序列号先经过服务器公钥的加密, 再次用客户私钥加密, 由于攻击者无法获得用户私钥, 故不肯能进行第二次有效加密。从而冒充客户端发起连接也是不可行的。在Step4中, 客户端引进了时间戳T, 这保证了每次发送中间信息的唯一性, 同时服务器可以通过Ts—Tu> △T来判断登录请求的合法性, 有效地阻止重放攻击。

6) 抗中间人攻击

方案采取每次发送经过加密处理的序列号来初次认证, 序列号经过两次加密, 由于攻击者没有服务器端的私钥, 无法解密得到客户端发送的序列号, 进而无法通过客户端的认证, 同时在后续的传输关键信息中也引入了随机数和加密的运算。攻击者无法得到关键的信息, 因此攻击者不可能实施中间人攻击。

7) 抗劫取连接攻击

改进后的方案通过客户端和服务器端保存的约定随机数来验证合法用户的连接是否被劫取。由于每次发送中间认证信息时m的值都递增1, 所以攻击者无法伪造中间认证信息。客户端计算Q = e ( Di**, P) , 服务器端计算Q*= e ( H ( IDi) , Pubs) n×e ( Pubs, Ci) , 然后比较它们是否相等, 显然是相等的。证明如下:

表2是原方案和改进方案在安全性方面的一个对比, 从表中可以看出, 改进的方案优于原方案。

A1:抗Do S攻击A2:抗DDo S攻击A3:抗内部人员攻击A4:口令更新阶段更改口令有效A5:抗冒充攻击和重放攻击A6:抗中间人攻击A7:抗劫取连接攻击Y:是N:否

4. 3 效率分析

改进的方案与原方案相比, 对关键信息进行了加密操作, 增加了开销, 在可以抵御劫取连接方案的前提下, 表3对文献[13, 14]方案与改进方案进行了一个比较, 这些方案都通过多次发送中间认证信息来抵御此类攻击, 这是增加开销的最主要原因, 表3中主要对各方案中服务器端一次发送的中间认证信息在计算量方面进行分析。从表中可以看出, 文中改进方案给出的方法和传统方案抵抗此攻击方法效率相当, 改进方案发送中间认证信息会增加一定程度上服务器的开销。但比原方案有更高的安全性。

D表示解密运算, P表示XOR运算, H表示哈希运算, B表示双线性对运算

5结语

随着电子商务的普及, 越来越多的电子交易在互联网上进行, 因此, 保障网络认证协议的安全显得尤其重要, 本文针对存在设计缺陷和安全性漏洞的两个口令认证协议分别进行了改进, 采用加密技术和引进随机数对方案中关键数据进行保护。同时, 在针对劫取连接攻击方面给出两种新的有效方法。分析表明: 对原协议改进后, 它们可以更好地适合安全需求较高的应用场合。

摘要：对两个基于智能卡的口令认证方案的安全性进行分析。发现除了薛锋等人针对这两个方案指出的安全性缺陷外, 其中一认证方案在口令更改阶段也存在设计缺陷。同时, 两个方案都不能抵御劫取连接攻击。在以上基础上, 分别对两个方案进行了改进, 改进后的方案分别采取散列函数和双线性对计算来抵御劫取连接攻击, 同时克服了协议中存在的安全性问题。通过理论分析证明可以有效地抵御Do S攻击、DDo S攻击、内部攻击和离线猜测攻击。提高了原方案的安全性。