TELKOM NIKA , Vol. 11, No. 10, Octobe r 2013, pp. 6 250 ~ 6 257   ISSN: 2302-4 046           6250      Re cei v ed Ma y 27, 201 3; Revi sed  Jul y  1 7 , 2013; Acce pted Jul y  26,  2013   An Improvemen t on An Efficient Mobile Authentication  Scheme for Wireless N e tworks      Jian-Zh u  Lu * , Xiu w e i  Fan,  Jipeng Zho u, Hao Yang   Dep a rtment of Comp uter Sc ie nce, Jina n Uni v ersit y   No.60 1  Hu ang pu Ro ad W e st, Guangzh ou, 5 106 32, Ch ina.   Ph./F ax: + 86-0 20-8 522 02 27   *Corres p o ndi n g  author, e-ma i l : tljz@jnu. edu. cn,   fanx w @ ya hoo.com.cn, tzhou jp@ j nu. edu .cn,  ya ng ha o@tom.com      A b st r a ct   Mobil e  co mmu nicati on  netw o rk has br ou ght  us gr e a t con v eni ence.  How e ver, netw o rk  securit y   issues  are o u t standin g  i n cr easi ngly. A u th enticati on  is  the  most ess e ntial  proce dur e for prev enti n g   ille giti mat e , un author i z e d   or insecur e  devic e s  from  makin g   access to the netw o rk. Tang and W u  pro p o s e d   an  efficie n mo bile  a u the n tica tion sc he me fo r w i reless  netw o rks, an d c l ai me d th e sc he me  ca effective l y   defen d al l kno w n attacks to mo bil e  n e tw orks inclu d in g t he den ial- of-servic e   attack.  This pap er strength e n s   the sec u rity of t he sc he me  by  authe nt icati ng t he i d e n tity of vi sited l o cati on r egister s u ch  th at any  adv ersa ry   cann ot obtai n the co mmu n ic ation key  betw e e n  a  mob ile  use r  and a s e rvice  provid er, or pr event the m  fr o m   establishing this key. An  improv em ent is pr opos ed to remedy these  flaws. Our design  is a less strong  requ ire m e n t for a mo bil e  user  MS in the co mmu n ic ation cos t  than that of Tang a nd W u ' s    Ke y w ords : ell i p tic-curve crypt ogra phy, mutu al auth ent ic atio n, mo bil e  co mmu n ic ation, se curity        Copy right  ©  2013 Un ive r sita s Ah mad  Dah l an . All rig h t s r ese rved .       1. Introduc tion  Wirel e ss net works  permit a m obile  u s er to   a c cess the  se rvice s  provided  by  se rvice   providers. As the  characteristi cs of openness and terminal  mob ilit y, the data being t r ansferred  can b e  intercepted by the  attacke rs. Mobile net wo rk security is  somewhat mo re con c entrated  and  compl e x than that o f  wired  network. Protoc ol s for a u then tication of t w o p a rtie s a r fundame n tal  for achieving  se cure com m unication  o v er publi c , in se cure net wo rks. For  se cu re  comm uni cati ons in the  ro aming  enviro n ment, it is  i m porta nt to p r ovide  way  for auth entica t ion   betwe en a m obile u s er a n d  a servi c e p r ovider.   In mobile net works, there  are three e n tities: a mobil e  station (M S), a home l o catio n   regi ster  (HLR), and a vi sited lo cation  registe r  (VL R ). A typical appro a ch to secu ring  roa m ing  servi c e fo r a   MS betwe en  his  HL R a nd  a VLR  bein g   visited is to e m ploy strong  authenti c atio measures.  Whe n  a MS  roam s to a foreig n n e twork ma n aged by a  VLR, it perf o rm s   authenti c atio n with the  VLR, und er  the assista n c e of hi s HLR.  A su cce ssful  run of  th e   authenti c atio n and  key a g ree m ent p r otocol  end up with th MS and the  VLR  sha r in g an  authenti c ated  symmetri c   key, which  ca n be  us ed to  en crypt furth e comm uni cations  betwe en  the MS and the VLR.   Several auth enticatio n protocol s for gl obal ro aming  service hav e been d e vel oped for  mobile  netwo rks [1 -10]. Pa rticula r ly, in  2 006,  Ji an g et  al. p r op osed  a m u tual  aut hentication  a n d   key ex cha n g e  p r oto c ols u s ing  secret  splitting pri n ci ple in  [6]. Le e an d Yeh  in  [7]   presente d  a   deleg ation-ba sed a u thenti c ation  protoco l  for use i n  p o rtable  com m unication  system. In 20 08 Tang  and  Wu  in [8]   pro d u c ed a  po ssible  attack to  Lee -Yeh' schem e, and  propo sed  an  efficie n mobile auth e n tication  sch e me call ed  EMAS to overcome thi s  flaw. Subse q uently, they  also   prop ose a scheme on EM AS for protect i ng mobile  pr iva c y i n  w i r e les s   networks  in [9].   Becau s e an  u nautho rized service provid er can't  joi n  the service ne tworks witho u t  a valid  cre dential,  we focu s only  on auth o ri zed  but dish one st  inside rs. In  this arti cle, we sh ow that t he  scheme  in  [8]   suffers from  one  of the  foll owin wea k n e sse s : (1) the  co mmuni cati on  key  betwe en  a mobile user and a legal service p r ovid er will be  exp o se d to a dishone st se rvice provide r ; or (2)  unde co ntrol  of a n  a d versary,  a di sh o nest  se rv ice provide r  ca n prevent   a ro aming   u s er  from  establi s hi ng  a commu nica tion key with   a leg a servi c e provide r . In  the fo rme r   case, th ere   wo uld   be  a se riou s accou n ting  p r oblem with  th eir scheme.  I n  the latte r ca se, a  mobile   use r   can't  obt ain   Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046   TELKOM NIKA  Vol. 11, No . 10, Octobe r 2013 : 625 0 –  6257   6251 the de sire service s  from l egal p r ovide r s. A preli m in ary version  o f  this arti cle  publi s hed  in [ 1 0 ]   focu se s o n  th e stu d y abo ut the lea k a ge  of a  comm uni cation  key by a di sho n e s VLR, but  doe not study a DOS attack for  an initiator by  t he First-Co me-Fi r st -Serv ed (F CFS) p o licy.  The  rem a ind e of this pa per is organi zed   a s  follo ws. S e ctio 2 reviews T a ng-Wu' s   scheme.  We  analyze its se cure wea k ne sses i n  Se cti on 3. Sectio 4 de scribe s o u r imp r oveme n t,  and S e ctio n  5  pre s e n ts its  se cu rity and  pe rformance analy s is. Finally, we ma ke some  con c lu sio n s i n  S e ct ion 6.       2. Rev i e w  o f  Tang-Wu 's S c heme   Tang -Wu's scheme m a inly  con s i s ts of two pha se s, na mely, trust de legation i n itial i zation   (TDI ), and efficient mobile  authentic ati on (EMA). We a s sume  that  T   is a g enerator of a n   additive g r ou G  on an elliptic curve  and  p  is th e la rge s t pri m e fa ct or of th e o r d e r of  T . Let   ** : pp hZ Z  be a colli sion re si stant  one-way h a sh fun c tion  and  * : p GZ  be a point  rep r e s entatio n function. T he symbol   denote s  a po int addition o perato r  in  G and    [] K X   denote s  a  m e ssag e X encry pted  with a  key    K using  a  symmetri c  e n c ryption  alg o r ithm. The  scheme  wo rks as follo ws:  1) TDI   Let  Yx T  be the public key of HL R who s private key is  x . First, a new MS send s   his/he r re al identity IDM to a HL R or h o me net work for regi strati on. Then  HL R set s  key u s ag rest rictio ns  o n  IDM i n   w m , and  gen erat es MS' s  ve ri fication /d ele gation  key  p a ir  (, )  by  cal c ulatin g   (( I D M | h   )) w mT () T    = (( ) ) xh   (in  * p Z )   whe r  is a  random  num b e r. Finally, HLR p ubli s he (I D M , , ) w m  and d e livers  (, ) w m to the   MS through a  secure  cha n nel. HL R always ke ep s the mappin g  rel a tionship of IDM and  MS accepts t he dele gation  key   if  (I D M | ) w hm T  =  () ( ( ( ) ) ) Th Y     2) EMA  Suppo se the r e is a  secure  cha nnel to  p r otect th e traf fic between  a  VLR a nd the  HL R.  Let the  state m ent  {: } A BM  denot e that  B  re cei v es a  me ssa ge  M  from  A .The mutual  authenti c atio n between  MS and a V L R is ill ust r ate d  in Fig u re  1 .  The detail s   of EMA are  as   follows Step 1 MS V L R 1 {, , I D H , , , } w SR s m C N   MS generate s  a cip hertext ex p [, , , ] Cc k t s T N  and  a digital  signatu r (, ) Rs  as  follows   R = kT   s = (( ) | ) kh R N  mo d p   whe r ck  is th comm uni cati on  key bet we en the  MS an d the VL R,  exp T  is the expi ratio n  time of  comm uni cati on key, and  k  and  N  are two rand om nu mbers. I DH i s  the HL R’ s identity of.  times t amp ts is  also  sele cted  by MS to counter re play attacks.   Step 2 VL R H L R 2 {I D M , } SC   On receipt  of messa g e  from MS, the VLR che c ks the  wa rrant  w m  for r e st riction s , an authenti c ate s  MS by using the attache d  digital sig natu r (, ) Rs ( ) (( ( ) ) ) (( ( ) | ) ) ( I D M | m ) w s Th Y h R N R h T     I f yes, the VLR pa sses the  informati on f r om MS with  the identity IDM in  w m  and ci phertext  C  to  the HL R.  Step 3 HL R V L R 3, , {, [ ] } VH V M SC T   Let  , VH K  be the  session  key b e twee n the V L R a nd the  HLR, an d IDV i s  the VL R’s i dentity. The   HL R obtain s  the deleg ation  key   from its databa se, an d then decryp t C  to obtain IDM,  exp T ts ck , and  N Afterwards, HL R can  comp ute , VH C ex p [I D M , , , Tt s   , ,] VH K ck N  and  , [] VM T , where  , VM T {I D V , } N Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     An Im provem ent on An Effi cient Mobil e  Authent ication Schem e for Wire less ... (Jian-Zhu Lu)  6252 MS                     VL R                         HL R         Figure 1. EMA protocol in Tang -Wu's  scheme       Step 4 VL R M S 4, { I D H ,[ I D V , ,[ ] ] } VM c k SN T   With the re sp onse from th e HL R, the VLR can de cry p , VH C  with the session  key  , VH K  to obtain  IDM,  exp T ts ck  and  N . After checkin g  the validity  of expiration timestam p exp T a n d  c o ns is te nce  of  N , the VLR send [I D V , , N   , [] ] VM c k T  to the  MS  for authe ntication.   The MS  de crypts the  re cei v ed me ssage  and   , [] VM T  usin ck  and  , res p ec tively. By  the con s i s ten c e of  IDV an N , the MS can authenti c at e the VLR.       3. To w a rd Di shone st VLR of EMA  Let u s  a s sum e  that  HL adopt s the  traditi onal  FCF S  poli c y, whi c h ha bee shown to  optimize th maximum respon se time m e tric in B ende r et al. [11], for authe nticati ng the received   requ est s . Th e gene ral framework for achieving  mobile auth e ntication in  wirel e ss net works   prop osed in  [8] is interesting, but suff ers  from  attack l aun ched by di sh one st VLRs. An  adversa ry ca n either get the com m uni cation key  ck , or prevent an ini t iator MS from establi s hin g   this  key  with  a VL R. The  reason s a r e as  follows . First, the HLR forwards  ck  to a V L wh can ' t   be demo n stra ted as a ca nd idate of MS's  acce ss. Seco nd, the HLR's resp on se  , [] VM T  utilized to  disclo se the  VLR' s identity may be drop ped by a dish one st VLR.   Based  on  the  idea  of keep ing a  forg ed  requ est  at th e front  of the  co rrespon ding le gal   requ est  in  HL R’s auth entication p r o c e ss, the a d versa r y no w l aun ches a  attack  to the VL a nd  the HL R. Fig u re 2 p r ovide s  a hig h -leve l  descri p tion  of the attack.  As sho w n i n  the figure, the  attack  con s ist s   of  th ree sta ges, namely delaying  th e pro c e ssi ng of  1 S , sen d ing  a f o rge d  requ est  to the HLR before  2 S , and proce s sing the  HL R's  re spo n s e.       M S                adv e r s a r y               VL R                      HL R 2 S 3 S         Figure 2. The  attack for E M A in Tang-Wu' s  sch e me       The first sta g e  start s  whe n  a MS transmits a messa ge  1 S  to the VLR. At this  tim e , the   VLR will re cei v e a large nu mber of forg e  reque sts  with digital sign ature s . This e ffectively mean that the VL delays the  proce s sing  of t he latte re ce ived me ssag 1 S . In this scenari o , b enig n   VLRs may  ce rtainly de cide  not to forwa r d a me ssag 2 S  to the HLR b e fore MS' s   si gnature in  1 S   is verified. Th is, however,  woul d also all o w mali ci ou use r s to  wa ste the time of a VLR. A sin g le  Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046   TELKOM NIKA  Vol. 11, No . 10, Octobe r 2013 : 625 0 –  6257   6253 malicio us u s e r  may simply sen d  a larg e numbe r of  false re que sts  with digital si gnatures to th e   VLR, entan gl e it in pro c e ssi ng false reque sts  and  verifying digit a l sign atures,  and eventu a l ly  cau s e MS' s  sign ature ve rification dela y . An adversary may gen erate mu ch  highe r impa ct b y   deploying m u ltiple malicio u s  users in the  VLR's lo cal region.    In the  se con d  sta ge, a  d i sho n e s t in si der gen erate s  a  reque st  2 S  usi ng th MS's  messag 1 S , an d send s it to t he  HL R b e fore the  VLR do es.  We  de not e the  di shon e s t in side by  VL R'  with identification  I DV' . A sess ion key  , VH K  is  establi s h ed i n  adva n ce  b e twee VL R'   and the  HL before  the a u t henticatio p r ocess. Th e a d versary  with  a compatibl e  radi o re ceive r transmitter ca n easily eave s drop on goin g  radio  com m unication li nk from the  MS to the VLR to  gain the MS' s  re que st  1 S . Then, the adv ersary send 1 S  to  VL R '  who g e n e rate s a re qu est  2 S   usin g IDM in  m w  and  C  in 1 S . That i s ,   Step 2’ VL R ' HL R 2 {I D M , } SC In the la st  st age,  whe n  m e ssag e-d r o p p i ng atta cks  may exist i n   the HLR' s re spo n se  relay ,   VL R'  drop s the  HL R' s re spo n se (entirely o r   selectively),  while pa rtici p a t ing in the   authenti c atio n process. A s  a  re sult,  , [] VM T (=  [I D V , ] N ) auth enticating the  i denti t I DV'  and  their inte rrela t ion will  be  entirely lo st,  and th e  MS  kn ows n o thi ng ab out the  authenti c ati o n   pro c e ss b e tween the HLR  and  VL R ' Becau s e  the  co ntent of   C  in  2 S  actually  says nothi ng  abo ut the  n eed fo r th MS  asso ciated  wi th the VLR, a  messag , [] VM T  from the HLR  exchanged  with the VLR  will prove   the VLR's identity.  2 S   is com posed of  the MS's  i dentity  IDM a nd th approp riate  a u thentication  data, C , whi c h i n clu d e s  the  key  ck , an expiration date  ex p (, ) ts T  a nd a n o n c N . Of c o urs e , to  authenti c ate  the req u e s t, the HL R ne e d s that  C  is encrypte d  with    and  N  is a n once. In  particula r, the HL R is aware of  the VLR' s identity and se ssi on  key  , VH K  but do not kno w   wheth e r the  VLR is the ne ed for the MS , and sen d ck  and  , [] VM T  to it even if it is disho nest.   The respon se  messa g e , [] VM T  ma y be drop  by a dishon est V L R.  We n o te t hat this fo rm  of the authe ntication p r o c e ss h a s  two dis a dvantages . Firs t, It  forc es  the HLR to verify the   fr e s hn es s o f   N in  C ; if both the  ciph er text  C  and IDM  are  same in t w o re que sts from d i fferent  VLRs,  the  ke ck  may b e  le ake d . Secon d , the initiato r MS m a y be  vulnerable  to a  deni al-of - servi c e (DoS ) attack when  the HL R verifies the fre s hn ess of  N in  C  with FCFS polic y.  Cas e  1 : A leakag e of com m unication key.  We first a s su me that HLR does not verify the freshn ess of non ce   N  when all of MS's  ciph ertexts  C s ca be  co rrectly de crypted. We  discu s s different V L Rs'  req u e s ts that  can  b e   gene rated u s i ng the sam e  messag e 1 S  and are all valid in the HL R au thenticatio n p r ocess.   Becau s e the r e is no evide n ce of the ne ed for  the initiator MS to acce ss the rel a ted VLR  and  VL R ' , the HLR gen erate s  the messa g e s   , [] VM T  and  , [] VM T  to MS. Remem ber t hat  2 S  is  a ``g ood’’ st ructure re que st:  2 {I D M , } SC . I t  follows  that  C  can  be de crypted  to build the  followin g  tupl C M  =  ex p {, , , } ck t s T N with IDM's d e legatio n key   by the HL R, wh can  also  authenti c ate  MS. We note that C M  is then a ppen ded  , (I D M , [ ] ) VM T and given  to  VL R ' . That is Step 3 HL R V L R 3, , {, [ ] } VH V M SC T           (*)  whe r , VH C = , ex p [I D M , , , , ] VH K Tt s c k N and  , VM T {I D V , } N VL R '  passes  the authenti c ation of     the initiator  MS  if and only if  , VM T  ma tche s  the  no nc e a n d  its    id en tity. Simila r l y,  2 S can be  utilized to return the answer by  transmit ting, the retri e ved tuple  C M  and  , (I D M , [ ] ) VM T  with the  se ssi on k e y   , VH K  for the VLR.   A d i s h on es VL R'  forwards th e reque st  2 S  to the HL R, but dro p s the  reply  , [] VM T , thus   preventin g it s dishon est  o peratio ns fro m  bei ng  det e c ted  by the  i n itiator MS  while at  the  sa me  time getting  the communi cation  key  ck .  As  the HLR disc los e s   C M  to  VL R ' , it mus t  also  disclo se its a s soci ated  co mmuni cation  key  ck  to VL R ' . After  VL R '  re ceiv e s 3 S  fro m  the  HL R,   Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     An Im provem ent on An Effi cient Mobil e  Authent ication Schem e for Wire less ... (Jian-Zhu Lu)  6254 whi c h i s  d e fined a s  in  ( ), it su ccessfully  obtai n s  the  communi catio n  key  ck  by de crypting  , VH C   with the se ssi on key  , VH K . Sub s eq uently, the adversa ry can get  the se rvice s  from th e VLR by  imperso natin g the MS. It is st raig htforward to  se e th at the VLR,  MS and  HL R can not kno w  the   fact that the  comm uni cati on key  ck  is leake d . Note that an attacker may dire ctly launch thi s   attack from the se co nd stage witho u t relying on  the first stag e con d ition s  for delaying  the   pro c e ssi ng of   1 S Cas e  2 : A DOS attac k  to  an initiator.   No w, assume  that the HLR ch e c ks the fresh n e ss of n once N  with FCFS policy wh en all  of MS's ci phe rtexts  C s   c a n be  co rr ec tly d e c r yp te d .  He r e , w e  add re ss a  spe c ific Do attack  fo the initiator MS. A dishone st insid e VL R '  drops entirely HL R's  re spo n se to prevent the  MS from  establi s hi ng t he  comm uni cation  key  with the VL R; a nd multipl e   compromised  VLRs,  co ntrol l ed  by the same  adversa ry, may collab o rat e  in laun chin g this attack.  The  HL R u s i ng the  fre s hn ess of  non ce   N  can't id entify a forg ed  re que st. That i s , if  a   requ est ha a previou s ly see n  non ce  N , the receive r  may simply consi der it as  a forged o n e   and d r op it. Note that the  fresh n e ss of  nonce  N  is rel a tive to a req uest in stan ce   1 S , not to the  initiator MS. The forg ed messag 2 S'  arrives first, an d assures th at the nonce  of  C  in  2 S  is  fresh.  Due to  the freshne ss of nonce  N , HLR tran smit s a respon se to   VL R ' The MS can't  establish a communi catio n  key with the VLR sin c e the legal re qu est  2 S  is  reje cted  by th e HLR. T he l egal  req u e s t, 2 S , with the same nonc e   N  may then a rrive.  Whe n  the  freshness of  the nonce i s  us ed as  above di scussion, the  l egal request  w ill be  discarded  inco rrectly by  the  HL R.  VL R '  in  these  cases i s  n o t abl e to  acce ss the  se rvice s  of  the  VLR,  since   the MS doe sn't cre a te a communi catio n  key with  th e VLR an d, therefo r e, it d r op s entirely the   respon se fro m  the HLR.       4. Impro v ement  (1) Ba sic id ea   Let VLR be  a  servi c e p r ovi der to be  accessed by a M S , and IDV be the VLR’ s i dentity.  Two te chniq u e s can be u s ed to con s tru c t a se cu re  a nd efficient m obile auth enti c ation  schem e .   First, in o r de r to authentica t e the VLR' s i dentity in  the run of EMA, IDV is ad ded t o  the cip herte xt  C  as soo n  as  the MS gene rates a requ est to  be se nt to the HLR via the VLR. Secon d , A  timestamp  in  the requ est  can b e  treated  as a   no nce  gene rated  by  the MS.  Usi ng the  fa ct th at  the time stam p is mo noton e in creasi n g  for  ea ch  re q u e st of  the  MS, the  HL ca n ea sily  che c k its  fr e s hn es s .   (2)  De scriptio n of improved  sch eme    Like T ang -Wu scheme [ 3 ], our improvement also con s i s ts o f  TDI and EMA two   proto c ol s. Since the setup  pro c ed ure is the sa me a s  T D I pro p o s ed i n  [5], we only descri be EM pro c ed ure as  sho w n in Fig u re 1.   Step 1.   MS V L R 1 S {, , I D H , , , } w Rs m C t s  A MS picks  a ra ndom  nu mber  p kZ  , and  cho o ses  a communi catio n  key  ck , then  gene rate s a ciphertext  C and  a digital sig n a - ture  (, ) Rs as  follows :   C = ex p [I D V , , , ] ck t s T   R = kT   s = (( ) | ) m o d kh R N p  ,   whe r ts  is the  curre n t timestamp m ade  by MS, and  N = ID H | m | | w Ct s . The ciph ertext  C   provide s  effe ctive mean s to validate both the  initiator MS and its nee d to acce ss a VL R with   identificatio n IDV. Here,  ts  is treated as a  non ce gen erated by MS,  and  exp T  is the ti me limit on  key   ck Step 2.   VL R H L R 2 {I D M , } SC .   On re ceipt of messag 1 S  from the MS,  the VLR che cks the warra n w m  for restri ction s and auth enticates the MS by using  the  attache d  digit a l sign ature  (, ) Rs Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046   TELKOM NIKA  Vol. 11, No . 10, Octobe r 2013 : 625 0 –  6257   6255 () ( ( ( ) ) ) ( ( ( ) |) ) ( I D M | m ) w s Th Y h R N R h T      If yes, the VL R pa sses the  ciph ertext  C an d  the identity IDM in  w m  to HLR.   Step 3.   HL R V L R 3 S ,, {, [ ] } VH V M CT  .   The HL R first search es the  delegation  reco rd  (I D M , , ) w m  from its datab ase, and then   decrypts  C  to  obtain I D V, ck , exp T , and  ts . Furt herm o re, th e  HL che cks the vali dity of  expiration tim e stamp   exp T and the con s iste n c y of the VL R's identity with IDV in  C . If both a r e   true, the  HL R repl aces th deleg ation  re cord  (I D M , , ) w m  with  ( I D M , ,,) w mt s  in  the datab ase.  Whe n  re ceivi ng MS's next  ciph eretxt  C ex p [I D V , , , ] ck t s T  the HL R com pare s   ts  in  C  with  the store d   ts . if   ts t s , the HLR rej e cts thi s  req u e st sin c e it is a replay req uest. If  C  is valid,  the HL R re places  ( I D M , ,,) w mt s  with   (I D M , , , ) w mt s . T his me ch anism  ca n r e si st  repl ay  at t a ck s.   To gen erate the re spon se of  the req u e s t, the HL R comp utes  , VH C , ex p [I D M , , , ] VH K Tt s c k and  , [] VM T , where  , VM T = {ID V , } ts Step 4.   VL R M S 4 S {ID H ,   , [I D V , , [ ] ] } VM c k ts T With the resp onse from th e HL R, the V L che c ks th e validity of expiration tim e stamp  exp T  and  con s i s tence of  ts after decrypting  , VH C  with the  se ssion  key  , VH K . Then, for  MS ' s   authenti c atio n, the VLR proce e d s  to ge nerate a  ciph ertext  , [I D V , , [ ] ] VM c k ts T .   The MS  de crypt s  the  receive d   , [I D V , , [ ] ] VM c k ts T  and  , [] VM T using   ck and  respe c tively.  By the consi s tence of IDV  and  ts , the MS  can a u thenti c ate the VLR.       5. Securit y  D i scussion an d Performan ce Analy s is  (1) Se cu rity  disc us sio n    We analy z e the se cu rity provided by the  improvem e n t. As the basic requi rem e nts ( 1 C to ( 4 C ) on m obil e  authe nticati on in [8]  are   entirely p r e s e r ved, the  associate d  security prope rties  hold true he re as well an d  we will not repeat them . EMA in the i m provme nt does not suffer from  the trouble to che ck the  freshn ess of a  nonce  in traditional  nonce - b a se d authentication   proto c ol s. Attacks  such as DOS attack  to a MS  or th e imperson a tion attack of  VLRs d e scri b ed  in Section  are avoi ded.  In the followi ng, we  onl y discu ss th e i m prove d  security feature s  of  EMA in Sec t ion 4:  Impersona tion Attack s Th e imp e rsonating  attacks can  be  efficiently p r eve n ted in  the  improvem ent  by providing  secure m u tu al  authenti c at ion mechani sms bet ween  a roami ng MS  and VLR, MS  and HL R, or  VLR and  HL R. Con s id er the followin g  imperso nation  attack sce n a r ios  in the EMA.  An attacke r  h a sn’t th e p o wer to  impe rso nate a  legitim a te VL R to  cheat a  MS,  si nce  he   doe s not p o sse ss th e correct value s   ts and , [] VM T . An outsi de attacke r  by intercepti ng the  excha nging  messag es i n  Steps 1 an d 2, first obt ains  C = ex p [I D V , , , ] ck t s T and ,, {, [ ] } VH V M CT  Then, sh e/he  replays p r e v iously reply  message s (e.g.,  , [] VM T ) to ch eat the MS.  Ho wever,  her/hi s  identit y and the no nce  ts are different from those within  C  in the repl ayed  messag e s   and, the r efo r e, the atta ck  woul d b e  di scovered  by M S . At the sam e  time, a  MS  can’t  be  ch ea ted   by an in side  attacker im pe rso nating th visited VL R.  Since the  in side attacke r  d oesn’t kn ow t h e   deleg ation ke , it is impossible for h e r/h i m to generate  , [] VM T It is impossi b l e for an attacker to impe rson ate a HL R while  com m unicating wi th a VLR   and to  impe rson ate a  VL while  com m unicating  wi th a  HL R, si n c neithe r  th e lon g -te r secret  key   , VH K  no r a  val i d IDV i n   * C is p o sse s sed. He nce, whil e co mmuni cating  with  the   HLR in  Step  2, she/h e   can t gene rate th e valid me ssage s to  g uarantee that th e matching  of IDV is  don e i n  a   con s i s tent  way. In additio n , the la ck of  key  , VH K  implie s that it can  n o t de crypt th e re sp on se  Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     An Im provem ent on An Effi cient Mobil e  Authent ication Schem e for Wire less ... (Jian-Zhu Lu)  6256 , VH C Like wi se, she/he gen era t t he re spo nding   confirmation  , VH C  while commu nica ting with   the VLR in Step 3.  A MS and its HL R can  authenticate  their  me ssage s so tha t  an attacke r  ca nnot  imperso nate them any more.  Without the delegatio n key  , the atta cker can’t ge nerate a vali d   ciph ertext  C in Step 1.  Similarly, it is impossibl e for  an attacke r  to gene rate t he re sp ondin g   confirmation  , [] VM T  in Step 3.  Repla y  atta cks and  Do S atta cks In DoS attack s  to a  HLR, an attac k er aims  to  con s um e the  HL R’s  criti c al  resource s. In  the improve m ent, for eve r y acce ss  req uest  1 S  from all  use r s that  ha ve re giste r ed   in a  HLR,  a V L ca ch eck the vali dity o f  the lo gin  me ssage  in  time,  and the  HL R only nee ds  to perfo rm th e symmet r ic   encryption/de cryption  op erations. At th same  time, it  is difi cult fo an atta cker to lau c h  the  DoS attack to   a MS, si nce t he  HL can   use  th e  co ns is tenc y o f  th e VLR ' s identity with IDV in  C to  che c k if the   VLR i s  the  n eed  of initiator   MS. Furthe rm ore,  we m a ke  use  of the ti mestam ts  as  a non ce  to p r event  re play attacks.  Th us,  our solution does  not s u ffer from this  attac k s .   The man-in -the -middle a tta cks In the man-i n -th e - middle attacks, an  attacker can  imperso nate  a VLR an d fo ol the  previo u s  requ este MS to connec t to the a ttacker,  inste ad  o f  to   the VL R. The  attacke r   can  then  ca pture  the MS' s   se ssi on  key. In   the imp r ovem ent, the id enti t of ea ch  pa rty in the   sch e m e i s  a u then ticated,  the  schem e i s   se cure  agai nst   man-i n -the -m iddle  attacks. The  authenti c ity of a requ est from MS is   co nfirmed i n  time. VLR veri fies the atta ched   digital sign ature   (, ) Rs  to gu arantee s the  a u thenticity fo r the  req u e s received  fro m  MS. By  verifying the con s i s ten c y of identity of  VLR with IDV i n   C , HLR ca n kno w  if VLR is goin g  to be   acce ssed by  MS. If  the che c k of VLR's i dentity  fails, then a n  attacker  co uld re dire ct that  messag 1 S  at  Step 1, say to  VL R , before the  VLR re ceive s  it, with the sub s e que nt result that   MS would u n k no win g ly co mmuni cate wi th  VL R  instead of VLR.  Followi ng  de cryption  at Ste p  4, MS  verifi es th at the  m e ssag really  is a  reply  by  HL R to   the curr ent  sess ion key  ck , by ch eckin g  t he  con s i s ten c y of IDV  an ts  with them in  , [] VM T . If   the check  of  VLR' s ide n tity fails, the m e ssag e at  St ep 4  are  re di recte d  to  ano ther VL R, sa y to   VL R  , after the V L s e nds  it.  As   res u lt, MS  c o mmunic ates   with  VL R  , rather than th e   intende d VLR.  (2) Pe rform a nce a nalysi s   The  stora ge  and the  com putation in th e im proveme n t are a bout  the sa me  costs  as  those i n  the  schem e [10].  Let  || x  be th e le ngth of bin a ry string  x No comp utation co st  nee ds  to be adde d b y  MS, except  the addition al  storag e sp ace || ts in HL R for e a ch MS.       Table 1. Co m m unication costs  com pari s on in the EM A protocol    S 1  (bi t s )   S 2 (bi t s )  S 3 (bi t s )  S 4  (bi t s )   Ref.[10]  1320+|m w | 584  968  896  Our  996+|m w | 456  516  504      We  ado pt SHA-2 56,  whi c ha s a  25 6-bit o u tput, to imple m e n t the o ne-way ha sh   function. We also impl eme n t the rando m-num be r ge nerato r  by SHA-2 56 in th e improvem e n t. In   gene ral, the length of the identit y of each u s er i s  usually less tha n  128 bits. T hus, we let the  length of the  use r ’s i dentit y be 128  bits.  Beside s, the  length of ev ery ra ndom  n u mbe r  produ ced   by the ra ndo m-num be r ge nerato r  i s  25 6 bits a nd  the  length of eve r y timestam is ab out 60  bi ts.  It is recomm ende d that th e se cu rity strength of  q  based on E C DL P isn’t less t han 1 60 bits  in   [12] [Page  27 ]. The  comm unication  key  of blo c ciph er  ca n b e   set  as sho r t a s   || ck =  80  b i ts  [ 8 while th e im provem ent st ill enjoys  strong  se curity .  Our EMA  p r otocol u s e s   overall  stru ct ure   simila r to that  of the  sche me in [8], b u t our de sig n  i s  mo re  efficie n t than th eirs. Table  sho w the co mmuni cation  co sts  of two p r oto c ols, whe r Ref.[10] denot es the  proto c ol in  [10]. Our  desi gn is a less  strong requirem ent for MS in  the communi cation  cost  than that of Ref.[10].      Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046   TELKOM NIKA  Vol. 11, No . 10, Octobe r 2013 : 625 0 –  6257   6257 6. Conclusio n   In this pape r, we sho w  tha t  Tan-Wu sch e me suffe rs from a dishon est VLR’ s attacks in   roami ng  servi c e s . We  also  prop ose an i m provem ent. Comp ared t o  Tang -Wu’ scheme [8],  our  desi gn is mo re se cure and  efficient than  theirs.       Ackn o w l e dg ements   We than k the  profe s sor Ke fei Chen at S hang hai Ji aot ong unive rsit y for his su gg estion on improvin g an earli er version of this a r ticle.  We al so  thank the an onymou s  revi ewe r s fo r their  helpful  comm ents. Thi s  wo rk  wa s supp o r ted in  p a rt b y  the Nationa l Natural Scie nce F oun dati on  of China  und er G r ant s 61 0701 64 an 6127 2415, by  the Provinci al Natu ral Sci ence Fou nda tion   of Guang don g unde r G r a n ts 200 9B01 0800 023, 20 10B090 400 1 64 and S2 01 1010 0027 08,  and  by the Project s  in the Scien t ific Innovat ion of Jinan  Uni v ersity unde Grant s 116 11 510.       Referen ces   [1]    Den g  S, Hu Z ,  Niu  X, Yang Y .  A W i reless  Mutual Aut hentic ation a nd  Ke y Agreem ent  Pro t ocol.  ACTA   Electron ica Sin i ca . 200 3; 31(1 ) :135-1 38.   [2]    H w an g R, S u   F .  A Ne w  Effic i ent Aut hentic a t ion Prot ocol f o r Mob ile  Net w o r ks.  Co mput er Stan dards   and Interfac es . 2005; 2 8 (2):24 1-25 2.  [3   N g o   H H ,  Wu   X ,  Le  PD , Srin i v a s a n  B. An i n di vi du al  and  g r ou p a u t hen ti ca ti on  mod e l  fo w i re le ss  net w o rk serv ic es.  Journa l of Conv erge nce I n formatio n  T e chno logy . 2 010;  5(1): 82-94.   [4]    W ang L, Z han g R. An Improved Auth ent ica t ion Appr oac h  for Mobile D R M S y stems.  Advanc es i n   infor m ati on Sci ences a nd Ser v ice Scie nces . 201 2; 4(23):1 9 8 -20 6 .   [5]    Z hang D, Ma  Z ,  Mo J, Yang Y. A Delegati o n-Ba se d Proto c ol for Anon ym ous  Ro amin g Authentic atio n   in Mob ile  Net w ork.  Internatio n a l Jour na l of Di gital C ont e n t T e chn o lo gy a nd  its Applic atio ns . 2013; 7( 3):  623- 630.   [6]    Jian g Y,  Lin   C, She n   X, S h i M. M u tual   Au thentic atio and  Ke E x ch ang e Pr otocol s for R oami n g   Services  in Wi reless M obi le  Net w orks.  IEE E  T r ansacti ons  on W i r e less  C o mmunic a tio n s . 200 6; 5(9):   256 9-25 77.   [7]    Lee W ,  Ye h C.  A Ne w   Del e g a tion- base d  Au thentic ati on Pr otocol for  Use  in Porta b l e  Co mmunicati o n   S y stems.  IEEE Transactions  on Wireless Comm unications 200 5; 4(1): 57- 64.   [8]    T ang C, W u  DO. An Efficie n t Mobi le A u th enticati on for   W i reless  Net w orks.  IEEE Transactions  on  Wireless Co mmu n ic ations . 2 008; 7(4):1 40 8 - 141 6.  [9]    T ang C, W u   DO. Mobi le Pr ivac in W i r e l e ss N e t w orks  Revisite d.  IEE E  T r ansacti on s on  W i rel e s s   Co mmun icati o ns . 2008; 7( 3): 103 5-10 42.   [10]    Lu J-Z ,  Z hou J.  T he security of an efficient  mob i l e  auth e n ticatio n  sche m e for w r eless  netw o rks . In  Procee din g s of the 6th Internatio n a Co nfere n ce  on  W i rel e s s  Comm unic a ti ons  Net w ork i n g  a n d  Mob i l e   Comp uting (W i C OM)  T opic: Communic a tio n , Net w or ki ng &  Broadc astin g . Che ngd u, Chi n a. 2010: 1- 3.  [11]    Bend er MA, C hakra barti S,  Muthukris hna n  S.  F l ow  and s t retch metrics f o r sche d u lin contin uo us jo b   streams . Pr oc eed ings  of t he  9th ACM- SIAM S y mp o s ium o n  D i s c rete Al gorith m s (SODA).  Phil ade lp hia, P A , USA. 1998: 270- 279.   [12]   NIST  F I PS PUB 186-3 D i gita l  Signatur e Sta ndar (DSS). U.S. Departme n t of Commerc e.  June 20 09.     Evaluation Warning : The document was created with Spire.PDF for Python.