چکیده:
یکی از شاخص های توسعه هرکشور، میزان رشد خدمات در شبکه های الکترونیکی مدیریت و کنترل ( در سطح ملی و بخشی ) می باشد. تامین امنیت اطلاعات و پیشگیری از دسترسی غیر مجاز در این گونه شبکه ها، از جمله اهداف کلان پدافند غیر عامل در حوزه فناوری اطلاعات است. یکی از فراگیرترین و حساس ترین نمونه های چنین شبکه هایی، شبکه بانکداری الکترونیک است که تامین امنیت اطلاعات کاربران، لازمه به کارگیری سامانه های الکترونیکی در آن می باشد. با توجه به اینکه پروتکل های احراز اصالت برای جلوگیری از دسترسی های غیر مجاز در چنین سامانه هایی به کار می روند، نقش بسیار مهمی در تامین ارتباطات امن در شبکه بانکداری الکترونیکی ایفا می کنند. در این مقاله ضمن معرفی یک دسته بندی جدید در ملزومات امنیتی و کارآیی این پروتکل ها، یک پروتکل احراز اصالت دوسویه مبتنی بر کلمه عبور را معرفی خواهیم کرد و نشان خواهیم داد که این پروتکل روی فناوری کارت های هوشمند قابل استفاده می باشد. همچنین نشان خواهیم داد که پروتکل پیشنهادی، هم از نظر رعایت ملزومات امنیتی در مقابل حملات متداول به پروتکل های احراز اصالت مقاوم است و هم از نظر رعایت ملزومات عملیاتی در مقایسه با پروتکل های جدید و مشابه دیگر، کارآیی بیشتری دارد.
خلاصه ماشینی:
در این مقاله ضمن معرفی یک دستهبندی جدید در ملزومات امنیتی و کارآیی این پروتکلها، یک پروتکل احراز اصالت دوسویه مبتنی بر کلمه عبور را معرفی خواهیم کرد و نشان خواهیم داد که این پروتکل روی فناوری کارتهای هوشمند قابل استفاده میباشد.
از سال 1981 که لمپورت<FootNote No="81" Text="- Lamport"/> ]8[ اولین پروتکل احراز اصالت مبتنی بر کلمه عبور را ارائه کرد تاکنون تکنیکهای رمزنگاری مختلفی در طراحی پروتکلهای مبتنی بر کلمه عبور مورد استفاده قرار گرفته است که میتوان به RSA]6،14[، الجمال]5[، توابع چکیدهساز<FootNote No="82" Text="- Hash Function"/>]4[ و خم بیضوی ]3[ اشاره کرد.
کارت هوشمند با استفاده از کلمه عبور و اطلاعات ذخیره شده در خودش، محاسباتی را انجام داده و در نهایت، یک پیام ورودی تولید کرده و آن را برای سرویسدهنده ارسال میکند.
اگر پروتکل احراز اصالت، دوسویه باشد سرویسدهنده نیز پیامی را تولید کرده و برای کاربر ارسال میکند تا او هم هویت سرویسدهنده را مورد بررسی قرار دهد.
از این جا به بعد، هیچ پیامی برای سرویسدهنده ارسال نمیگردد، بلکه با استفاده از کلمه عبور جدید، پارامترهای موجود در کارت تغییر کرده و جایگزین مقادیر قبلی در کارت میشود و از این به بعد کاربر میتواند با کلمه عبور جدید خود احراز اصالت شود.
S. Zhang, Cryptanalysis and improvement on two efficient remote user authentication scheme using smart cards, Computer standards &amp; Interfaces, Vol. 29, PP.
Y. Yoo, Further Improvement of an Efficient password based Remote Authentication Scheme using smart cards, IEEE Transaction on Consumer Electronics, Vol. 50, No. 2, pp.