摘要:Pastaruoju metu Wang, Juang ir Lei pristatė intelektualiąja kortele pagrįstą autentifikavimo ir raktų derinimo schemą, išlaikančią vartotojo anonimiškumą. Ši schema sukurta taip, kad leistų vartotojams saugiai veikti kompiuterinėje aplinkoje. Autoriai teigia, kad jų schema pasižymi svarbiomis saugumo savybėmis ir funkcinėmis galimybėmis, tokiomis kaip laisvė pasirinkti ir keisti slaptažodį, tarpusavio autentifikavimas, vartotojo anonimiškumas, sinchronizavimo problemos nebuvimas, raktų derinimo palaikymas, atsparumas klastojimo atakoms ir skaičiavimų efektyvumas. Tačiau šiame straipsnyje parodoma, kad Wang ir kt. schema turi saugumo trūkumų, nes atakuotojas gali suklastoti taikomosios programinės įrangos serverį, kad suklaidintų klientą, panaikintų prieigos rakto saugumą ir vartotojo anonimiškumą. Siūloma patobulinta Wang ir kt. schemos versija, kaip ištaisyti šiuos trūkumas. Tokia schema ne tik išlaiko Wang ir kt. schemos pranašumus, bet ir pagerina saugumą be jokių skaičiavimo nuostolių.http://dx.doi.org/10.5755/j01.itc.40.2.431
其他摘要:Recently, a smart card based authentication and key agreement scheme preserving the user anonymity was proposed by Wang, Juang and Lei, that is designed to provide users with secure activities in ubiquitous computing environments. The authors proved that their scheme delivers important security properties and functionalities, such as without maintaining password/verification tables, freedom on password selection and alteration, mutual authentication, user anonymity, no time synchronization problem, key agreement implementation, forgery attack resistance and computation efficiency. However, we show that Wang et al.'s scheme has potential security flaws, which enable malicious attackers to counterfeit an application server to spoof the victim client and damage the security of session key and the property of user anonymity. In this paper, we propose an enhanced version of Wang et al.'s scheme to remedy these flaws. The proposed scheme not only ensures the merits of their scheme but also enhances the security of their scheme without raising any computation cost.http://dx.doi.org/10.5755/j01.itc.40.2.431