TELKOM NIKA Indonesia n  Journal of  Electrical En gineering   Vol. 12, No. 10, Octobe r 20 14, pp. 7412  ~ 742 1   DOI: 10.115 9 1 /telkomni ka. v 12i8.540 7          7412     Re cei v ed  De cem ber 1 9 , 2013; Re vi sed  Jul y  2, 2014;  Acce pted Jul y  25, 201 4   Cryptanalysis and Improvemen t of an Authentication  Scheme for Telecare Medical Information Systems      Yun Zhao 1 *, Wenb o Shi 2   1 School of Infor m ation En gi ne erin g, G uang d ong Me dica l C o lle ge, Gua ngd ong, Ch in a   2 Departme n t of Electronic En g i ne erin g, North eastern  U n iver sit y  at Qinh ua n gda o, Qinhu an gda o, Chi n a   *Corres p o ndi n g  author, e-ma i l : zhao yu n2 012 @hotmai l .com       A b st r a ct   The telec a re  m e dic a l infor m ation system  ( T MIS)  could im pr ove  quality  of  m e dic a l care since  it   allow s  pati ents  to enjoy h e a l th-care d e liv ery  services  in th eir ho me. How e ver, the priv a cy and sec u rit y   influ ence th deve l op ment o f  the T M IS since it  is e m p l o y ed i n  op en  n e tw orks. Rece ntly, W u  and  Xu   prop osed  a pri v acy auth entic ation  sch e m e f o r the T M IS and cla i med th a t  their sche m e  could  overco me   w eaknesses  i n  previ ous  sch e m es.  How e ver,  w e  w ill  de mo nstrate that t h eir sch e m e  is  vener abl e to  the   server spo o fin g  attack and c ann ot provi de  user an ony mity . T o  overcome w eaknesses i n  their sche m e,  w e   also pr opos e a new  authe nticatio n sche m e for the  T M IS. Analysis sh ow s that our sche m e n o t onl y   overco me w eaknesses i n  W u  et al. s sch e m e ,  but also has b e tter perfor m a n ce.      Ke y w ords : mutual authentic ati on, anony m i ty,  sm art card, tele care  m e dical information system         Co p y rig h t   ©  2014 In stitu t e o f  Ad van ced  En g i n eerin g and  Scien ce. All  rig h t s reser ve d .       1. Introduc tion  With the rap i d develop m ent of tech n o logie s  in  wi rele ss  co mm unication, lo w-p o wer   integrate d   circuits and  we arabl e me dical se nsor s, t he tele ca re  medical info rmation  syste m   (TMIS) i s  wid e ly use d  to i m prove  qualit y of m edical  care. Th rou gh  TMIS, patients could l ogin t he  remote  serve r  an d e n joy v a riou medi cal services  al most  anywh e r e at  any tim e . The r efo r e,  the   TMIS could b r ing g r eat co nvenien ce to  peopl e's lif e.  Ho w to add re ss the p r iva cy and se cu rity in   the TMIS ha s attra c ted  wi de attention  sin c e the d a t a  transmitted in the TMIS is very sensitive   and impo rtant The a nonymit y  authenti c ati on  scheme  could  prov id mutual a u the n tication  bet wee n  the  use r  an d the  remote  se rver an d u s er  anonymity.  Then, it is very suitable fo r solve securi ty  probl em in th e TMIS. In 1 981, Lamp o rt  [1] propo sed  the first auth enticatio n scheme for  se cure  comm uni cati on in  op en   netwo rks.  Ho wever,  Lam p o rt’s sch e me  is vulne r abl e to th stol en   verifier ta ble  attack. Si nce  then, m any  authent i c atio n sch e me s [ 2 -10]  have  b een  pro p o s e d  for  different ap p lication s . Ho wever, tho s e  scheme s  [ 1 -10] a r n o t for the T M IS since their  perfo rman ce   is not satisfactory.  To  solve  th e p r oblem,  Wu   et al. [11] p r opo se d the  first   authenti c atio n sch e me fo r TMIS. Unfortunately,  He  et al. [1 2] pointe d  out  that Wu et  al.’s  scheme i s  vu lnera b le to th e impe rsonat ion attacks a nd the in side r attack. He  et al. [12] also  prop osed a n e w auth entication schem e  for TMIS. Lat er, Wei et al. [13] pointed out that Wu et  al.’s schem e and He et al.’s schem e ca nnot provid e two-fa cto r  se curity. Wei et al. also pro p o s ed  an improve d  scheme a nd  claime d that their sch e me   coul d withsta nd variou s attacks. However,  Zhu [1 4] dem onstrated  tha t  Wei  et al.’ scheme  is vu lnera b le to  th e off-line  p a ssword  gu essi ng  attac k .    All those a u thentication  schem es for T M IS ca n not  p r ovide  u s er a nonymity si nce u s e r s’   identities a r e  transmitted  in plaintext format.  Da et al. [15] propo sed a dy namic I D -b ased  authenti c atio n sch e me to  prote c t u s e r ’s a nonymi ty. In 201 2, Chen et  al. [1 6] pro p o s ed   a   dynamic ID-b ase d  auth enti c ation  schem e for TMIS. Ho weve r, Ca et al. [17], Xie et al. [18], Lin  [19] and  Ji an g et  al. [20] p o inted  out tha t  Che n  et  al.’ schem e h a d  wea k ne sse s   su ch  as off-line  password gu essing atta ck, tracki ng atta ck, la ck of  p r i v acy prote c ti on and  so on . Jiang et al. [20]  also  propo se d an  imp r ove d  sch e me to   overcome  wea k ne ss es  in   p r e v io us   sc he me s .   H o w e ve r ,   Wu a nd Xu [ 21] pointe d  o u t that Jian et al.’s  sch e m e ha s u s ele ss i dentity an d is vuln era b l e  to   off-line p a ssword g u e ssi ng atta ck,  u s er imp e rs on ation  atta ck and De nial of  Service  (DoS)  Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Cryptan a lysi s and Im prove m ent of an Authent ication  Schem e for T e lecare … (Yu n  Zhao 7413 attack.  Wu a nd Xu  al so  p r opo se an i m prove d   sch e me to  p r ote c t the  u s er’ s   privacy  in  T M IS.  Unfortu nately ,  we will dem onstrate that Wu an d Xu ’s  scheme i s  venera b le to the  serve r  sp oofi n g   attack  an d ca nnot  p r ovide  use r  anonymi ty.  We  al so  p r opo se d a  n e w a u thenti c at ion  scheme  f o r   TMIS to ove r co me we aknesse s in their schem e. Analysis  sho w s that ou r scheme n o t only   overcome in  Wu et al.’s scheme, but also has b e tter p e rform a n c e.   The organi za tion of the paper i s  de scribed a s  follo ws. In Sectio n “Revie w of  Wu and  Xu’s   sc heme” , we br iefly review   th eir schem e. Th en  the Se ction   “Security a n a l ysis  of Wu  a n d   Xu’s sche me” analyze s  se curity of Wu and Xu’s  sch e m e. In Section “Ou r  pro p o s ed  scheme ,  we  prop os a  ne w a u thenti c at ion  scheme  f o r T M IS. Se ctions  “Se c u r ity analysi s ” a nd  “Perfo rma n ce   analysi s ” a n a l yze the se cu rity and perfo rman ce  of ou r schem e se parately. So me co nclu sio n s   are p r op osed  in the last se ction.       2. Rev i e w  o f  Wu and Xu’s  scheme   In this secti on, we  will  give a bri e f re view  of Wu and Xu et al.’s scheme. For  conve n ien c e,  some notatio ns are define d  as follo ws.   a)  i U : a user;   b)  i ID : the identity  of  i U c)   i PW : the passwo r d of  i U d)  S : the remote server for the s y s t em;   e)  x : the secret key of  S f)  i T : the timestamp gene rate d by  i U g)  S T : the timestamp gene rate d by  S h)  N : the registration times of  i U i)  s k : the session  key gen erate d  betwe en  i U  and  S j)  () k E M : Encryption o f  a message  M  usin g the key   k k)   () k D C : Decryption of a message   C  using the ke k l)  () h : a secu re on e-way hash functio n m)  : the bitwise  XOR ope ratio n n)  ||: the concat enation o pera t ion;  Wu a nd Xu’ s  scheme  co n s ist s  of five pha se s, i.e. the re gist ratio n  pha se, the  login  pha se, the authenti c atio n phase,  the password  chang e ph ase an d the  lost smart  card   revocation ph ase. Th e deta ils are d e scri bed a s  follows:    2.1. Registra tion Phase   In this  phas e,  i U  could  regi ster or  re -re gi ster at the  re mote  S  thro ug h the followi n g   step.   1)  i U  gene rate s a ran dom  numbe i r , choo se s his i dentity  i ID , password  i PW comp utes  (| | ) ii i HPW h r P W  and send s the  messag {, } ii ID H P W  to  S  thro ugh  a  se cu re   cha nnel.   2) After  re cei v ing  {, } ii ID H P W S  c h ecks  the validity  of  i ID . If it is not valid,  S  reje ct s   the session;  otherwise,  S  checks the  accou n t re co rd s in data b a s e.  If  i U  is a  ne w u s er,  S  ad ds  the tuple   (, 0 ) i ID N  in to  th e d a t ab as e ;  o t he rw is e,  S  sets   1 NN  a nd  store s  it. The n   S   comp utes  (| | | | ) ii J hx I D N ii i LJ R P W   a nd  () ( | | ) ii i E hx h R P W I D . At las t,  S  st ore s   { , , ( ), ( ) , ( )} ii k k LE h E D   into a smart  card and  sen d s it to  i U  throu gh a se cu re chann el.  3) After rec e iving the s m art c a rd,  i U  inputs  i r  into it.     2.2. Login Phase   Whe n  wantin g to login  at  S  and e n joy services, a s   sho w n in Fi gu re  1,  i U  will carry out  the followin g  step s.  Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 10, Octobe r 2014:  741 2  – 7421   7414 1)  i U  inserts hi s smart card in to a card rea der an d input s his id entity  i ID  and  pa ssword  i PW 2) The  smart  card  comp utes  (| | ) ii i HPW h r P W ii i J LR P W  (| | ) ( ) ii i i i i A ID E h RP W I D h T I D  1 (| | ) ii i i B E h RPW I D T  (| | ) ii i Vh T J  and  1( ) (| | | | ) i hT i i i CE A I D T V , where  i T  is t he time stamp  gene rate d b y   i U . At las t,  i U  send s the  messag 11 1 {, } mB C  to  S   2.3. Auth enti cation Pha s e     S Ui 1 1( ) 1 ) I nput    a nd  ; (| | ) ; ; (| | ) ( ) ; (| | ) ; (| | ) ; (| | | | ) ; i ii ii i ii i ii i i i i ii i i ii i hT i i i ID P W HP W h r P W J L RPW A ID E h RPW I D h T I D B E h RPW ID T Vh T J CE A I D T V    1 () 1 ? ? 2 2( ) 2) ( ) ; C h eck ; (| | | | ) ( ) ; C h eck ; () ( ) ; C h eck ; (| | | | ) ; C h eck ( | | ) ; () ; (| | ) ; (| | | | | | ) i s i i ii i h T ii ii i i ii ii i s hT i s ii s i TB h x T A ID T V E C TT ID A I D h x h T ID Jh x I D N Vh T J Bh x T CE V T sk h J T T I D          ; 2 () 2 ? ? 3) ( | | ) ; C h eck ; (| | ) ( ) ; C h eck ; C h eck ; (| | | | | | ) ; s s ii i s is h T ii ss ii s i TB E h R P W I D T VT D C VV TT sk h J T T I D      11 1 {, } mB C 22 2 {, } mB C   Figure 1. Wu  and Xu’s S c h e me       As sho w n i n   Figure 1,  i U  an S  could  auth enticate  ea ch  ot her thro ug h exe c uting t he  f o llowin g  st ep s.   1) After re cei v ing  11 1 {, } mB C S  compu t es  1 () i TB h x    and che c ks wheth e i T  is  fres h. If it is  not fres h,  S  sto p s the  req u e s t; otherwi se,  S  comp utes   () 1 (| | | | ) ( ) i ii i h T A ID T V E C  S  che c ks wh ether  i T  and  i T  are  equal. If they  are  not eq ual S  stop s the  reque st; othe rwise ,   S  compute s   () ( ) ii i ID A I D h x h T    and che c ks  whether  i ID  is in the accou n t table. If it is   not in th e a c cou n t table,  S   stop s the  session;  otherwi se,  S  co mpute s   (| | | | ) ii J hx I D N  and  Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Cryptan a lysi s and Im prove m ent of an Authent ication  Schem e for T e lecare … (Yu n  Zhao 7415 che c ks whet her  i V  and  (| | ) ii hT J   are equal. If they are n o t equal,  S  stop s the reque st;  otherwise,  S  compute s   2 () s B hx T  2( ) (| | ) s hT i s CE V T (| | | | | | ) ii s i s kh J T T I D   and send the messag 22 2 {, } mB C  to  i U , where  s T  is the timestam p gene rated  by  S 2) After re ceiving  22 2 {, } mB C i U  co mputes  2 (| | ) s ii i TB E h R P W I D   an che c ks t he f r esh n e ss of   s T . If it is  not fres h,  i U  stops th e se ssion; ot herwise,  i U  co mputes   () 2 (| | ) ( ) s is h T VT D C   . Then  i U  che c ks whethe r the  equation s   ii VV  and  s s TT   hold. If either  of them does  not hold,  i U  sto p s the sessio n; otherwi se,  i U  compute s   (| | | | | | ) ii s i s kh J T T I D   2.4. Pass w o r d  Chang e  Phase   Whe n   i U  want s to ch ang e hi s p a ssword,  he in se rts  his sma r t card i n to a  ca rd  re ader  and in puts  hi s ide n tity  i ID , th e old p a sswo r i PW  and a  ne w password  ne w i PW . Then  step 2 )  o f   the login ph a s e an d step 1 )  of the  authe ntication p h a s e are executed.  After re ceiv in 22 2 {, } mB C i U  comp ut e s   2 (| | ) s ii i TB E h R P W I D   and chec ks   the freshne ss of  s T . If it  i s  not fres h,   i U  stops the  sessio n; otherwise,  i U  co mputes  () 2 (| | ) ( ) s is h T VT D C   . Then  i U  che c ks whethe r the  equation s   ii VV  and  s s TT   hold. If either  of them doe not hold,  i U  sto p s the  se ssio n; otherwise,  i U  comp utes  (| | ) ne w n e w ii i HPW h r P W ne w n ew ii i i L L RP W R PW   and   ( | |) ( | |) ne w n e w ii i i i i E E h RP W I D h RP W I D  . At las t ,   i U   r e p l ac es   i L  and  i E  with  new i L  and  new i E  separately.    2.5. Lost Smart Card Rev o cation Pha s e   Whe n   i U  loses  his  sma r t ca rd, he can re-registe r  at  S  through th e se cure  cha nnel  as  the regi strati on pha se.  S  verif i es  i U  , makes   1 NN  and sto r e s   (, ) i ID N  into the accou n table. At las t,  S  is s u es  a new s m art card to  i U     3. Securit y  A n al y s is of Wu and Xu’s Scheme  Wu a nd Xu  cl aimed that th eir  sch eme  could  wi t h st a n d  v a riou s at t a ck s.  H o w e v e r ,  in t h is  se ction, we  will sh ow the i r schem e ca nnot prov ide  use r ’s  ano nymity and is vulnerable to t he  serve r  spoofi ng attack.  Suppo se   a U  is a m a lici o u s  user.  The n  he  could  g e t a  sma r card  containin g  the   messag { , , ( ), ( ) , ( )} ii k k LE h E D   through  re giste r i ng at S , where,   (| | | | ) aa a L h x I D N RPW () ( | | ) aa a E hx h R P W I D   and  (| | ) aa a HPW h r P W . Since   the me ssage s a r e tran smi tted in  publi c   cha n n e l, we  could  assu me th a t   a U  ha s total   control  over  the chan nel,  i.e. he  coul d   intercept, insert and mo dify message s tran smitted be tween the u s er and the  se rver.     3.1. User An on y m it y   User an onym i ty is very import ant it the TMIS since t he leakage o f  user’ s  identi t y could   influen ce u s e r ’s  priva c y. Wu and X u  cl ai med that  thei r sch e me  cou l d provid e u s er’s ano nymity.  However, in t h is section,  we will show  a malicious  a U  co uld get othe r use r ’s i dentit y. The detail  is de scribe d as follo ws.   1)  a U  extract s   {, } ii LE   from  his  s m art card, where  (| | ) aa a HPW h r P W (| | | | ) aa a L h x I D N RPW   and  () ( | | ) aa a E hx h R P W I D 2)  a U  compute s   (| | ) aa a HPW h r P W  and  () ( | | ) aa a hx E h R P W I D 3)  a U  intercepts  11 1 {, } mB C  sent  i U , w h er () ( ) ii i A ID h x h T ID  1( ) (| | | | ) i hT i i i CE A I D T V 1 () i B hx T   and  (| | ) ii i Vh T J Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 10, Octobe r 2014:  741 2  – 7421   7416 4)  a U  comp utes  1 () i TB h x () 1 (| | | | ) ( ) i ii i h T A ID T V D C  and   () ( ) ii i ID A I D h x h T  From the ab ove descri p tion, we kn ow that  a U  could  get the identity of  i U  easily.  Therefore,  Wu and Xu’s  scheme  cann ot provide u s e r   anonymity.    3.2. Ser v er Spoofing  Atta ck   W u  and Xu c l aimed that their  sc heme c ould  w i ths t and var i ous  attacks. In thi s   subsection, we will  show  their  scheme is vulnerable to the  se rver  spoofing attack, i.e. a  malicious user  a U  could  impe rso nate th sever to  anoth e r u s e r   i U . The  details are d e scrib ed  as  follows .   1)  a U  extract s   {, } ii LE   from  his  s m art card, where  (| | ) aa a HPW h r P W (| | | | ) aa a L h x I D N RPW   and  () ( | | ) aa a E hx h R P W I D 2)  a U  compute s   (| | ) aa a HPW h r P W  and  () ( | | ) aa a hx E h R P W I D 3)  a U  intercepts  11 1 {, } mB C  sent  i U , w h er () ( ) ii i A ID h x h T ID  1( ) (| | | | ) i hT i i i CE A I D T V 1 () i B hx T   and  (| | ) ii i Vh T J 4)  a U  compu t es  1 () i TB h x   ,  () 1 (| | | | ) ( ) i ii i h T A ID T V E C  2 () s B hx T  2( ) (| | ) s hT i s CE V T ,  and send s the messa ge  22 2 {, } mB C  to  i U It is  eas y to verify that  the mess age  22 2 {, } mB C  could  pass  i U ’s  verific a tion.  Therefore,  a U  could imp e rso nate  S  to  i U  su ccessfully and  Wu a nd Xu’ s  scheme i s  vul nera b le   to the s e rver s p oofing attac k .       4. Our Propo sed Scheme   To overco m e  we akne sses in  Wu  a nd  Xu’s sch e me, we propo sed  an i m prove d   authenti c atio n scheme fo r TMIS. Our schem e also cons i s ts of five pha se s, i.e. the regist rati on   pha se, the lo gin pha se, th e authenti c ati on pha se, th e password cha nge p h a s e and the lo s t   sma r t ca rd re vocation p h a s e. The d e tails are d e scrib ed as follo ws:    4.1. Registra tion Phase   In this  phas e,  i U  could  regi ster or  re -re gi ster at the  re mote  S  thro ug h the followi n g   step.   1)  i U  gene rate s a ran dom  numbe i r , choo se s his i dentity  i ID , password  i PW comp utes  (| | ) ii i HPW h r P W  and send s the  messag {, } ii ID H P W  to  S  thro ugh  a  se cu re   cha nnel.   2) After  re cei v ing  {, } ii ID H P W S  c h ecks  the validity  of  i ID . If it is not valid,  S  reje ct s   the session;  otherwise,  S  checks the  accou n t re co rd s in data b a s e.  If  i U  is a  ne w u s er,  S  ad ds  the tuple   (, 0 ) i ID N  in to  th e d a t ab as e ;  o t he rw is e,  S  sets   1 NN  a nd  store s  it. The n   S   gene rate a p s eu do  identity  i p id , com pute s   (| | ) ii Ih x p i d (| | | | ) ii J hx I D N (| | ) ii i i E I h RPW ID   and   ii i LJ R P W  . At  las t,  S  stores   { , , , () , ( ) , () } ii i k k pid L E h E D    into a s m art card and s e nds  it to  i U  throu g h  a se cure ch annel.   3) After rec e iving the s m art c a rd,  i U  inputs  i r  into it.     4.2. Login Phase   Whe n  wantin g to login at  S  and e n joy se rvices, a s   sho w n in Fi g. 1,  i U  will carry out the  f o llowin g  st ep s.   1)  i U  inserts hi s smart card in to a card rea der an d input s his id entity  i ID  and  pa ssword  i PW Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Cryptan a lysi s and Im prove m ent of an Authent ication  Schem e for T e lecare … (Yu n  Zhao 7417 2) The  smart  card  comp utes  (| | ) ii i HPW h r P W ii i J LR P W  ,   (| | ) ii i i I E h RPW ID  (| | | | ) ii i i Vh I D T J  and  1 (| | | | ) i I ii i CE I D T V , where  i T  is  the  timestamp g e nerate d  by  i U . Then,  i U  sends  the messag 11 {, } i mp i d C  to  S   4.3. Auth enti cation Pha s e     S Ui 1 1 ) I nput    a nd  ; (| | ) ; ; (| | ) ; (| | | | ) ; (| | | | ) ; i ii ii i ii i ii i i ii i i Ii i i ID PW HPW h r P W J L RPW I E h RPW ID Vh I D T J CE I D T V   1 ? 2 2) ( | | ) ; (| | | | ) ( ) ; C h eck  ; C h eck    ; (| | | | ) ; C h eck  ( | | | | ) ; Generat e  ; (| | ) ; (| | | | | | | | | | ) ; (| | i i ii ii i I i i ii ii i i new i ne w n e w ii new n e w s ii i i i s Is Ih x p i d ID T V D C T ID Jh x I D N Vh I D T J pid Ih x p i d Vh I D T V p i d I T CE V T     || || ) ; (| | | | | | ) ; new n ew si i ii s i pi d I sk h J T T I D  2 ? 3) ( | | | | | | ) ( ) ; C h eck  ; C h eck  ( | | | | | | | | | | ) ; R e p l ace     an d    wi t h    an d   ( | | ) ; (| | | | | | ) ; i new n ew ss i i I s new n ew si i i i i s i new n ew ii i i i i ii s i VT p i d I D C T Vh I D T V p i d I T p id E p id I h RPW I D sk h J T T I D  11 {, } i mp i d C 22 {} mC   Figure 2. Our Scheme       As sho w n i n   Figure 2,  i U  an S  could  auth enticate  ea ch  ot her thro ug h exe c uting t he  f o llowin g  st ep s.   1) After receiving  11 1 {, , } i mp i d B C S  comp utes  (| | ) ii Ih x p i d 1 (| | | | ) ( ) i ii i I ID T V D C   and ch ecks  wheth e i T  is fresh. If it is not fresh,  S  stops the requ e s t;  otherwise,  S  checks whet h e i ID  is in the accou n t table. If it  is not in the accoun t table,  S   stop s the  se ssi on; othe rwise,  S  comp utes  (| | | | ) ii J hx I D N   and che c ks wheth e i V  and   (| | | | ) ii i hI D T J   are  equ al. If they are  not  equal,  S  stop the re que st; otherwise,  S  generates a  new p s eu do   identi t ne w i p id , com p utes  (| | ) new n e w ii Ih x p i d (| | | | | | | | | | ) ne w n e w s ii i i i s Vh I D T V p i d I T  ,   2 (| | | | | | ) i ne w n e w Is s i i CE V T p i d I (| | | | | | ) ii s i s kh J T T I D    and send s th e messag 22 {} mC  to  i U , where  s T  is the timestam p  generated by   S Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 10, Octobe r 2014:  741 2  – 7421   7418 2) After re ceiving  22 {} mC i U  compute s   2 (| | | | | | ) ( ) i new ne w ss i i I VT p i d I D C   and  che c ks whet her  s T  is fresh.  If it is not  fresh,  i U  stops  the sessio n; otherwise,  i U  c hecks   wheth e r the  equatio (| | | | | | | | | | ) ne w n e w s ii i i i s Vh I D T V p i d I T  hol ds. If it does not hold,  i U  st o p s   the se ssion;  otherwi se,  i U  repl ace s   i p id  a nd  i E  with  ne w i p id  and   (| | ) new ii i Ih R P W I D   s e parately. At las t,  i U  comput es the sessio n key  (| | | | | | ) ii s i s kh J T T I D   4.4. Pass w o r d  Chang e  Phase    Whe n   i U  want s to ch ang e hi s p a ssword,  he in se rts  his sma r t card i n to a  ca rd  re ader  and in puts  hi s ide n tity  i ID , th e old p a sswo r i PW  and a  ne w password  ne w i PW . Then  step 2 )  o f   the login ph a s e an d step 1 )  of the  authe ntication p h a s e are executed.  After rec e iv in 22 {} mC i U  compute s   2 (| | | | | | ) ( ) i new n e w ss i i I VT p i d I D C   and che cks  wheth e s T  is  fres h. If it is   not fresh,  i U  stops the  sessio n; otherwi se,  i U  che c ks whet her th equatio (| | | | | | | | | | ) ne w n e w s ii i i i s Vh I D T V p i d I T  hol ds. If it do es  not hol d,  i U  st o p s t h se ssi o n otherwise,  i U  com putes  (| | ) ne w n e w ii i HPW h r P W ne w n ew i iii L L RPW RPW  (| | ) ne w n ew ne w ii i i E Ih R P W I D   and repl aces  i L  and  i E  with  new i L  and  new i E  s e parately.     4.5. Lost Smart Card Rev o cation Pha s e   Whe n   i U  loses  his  sma r t ca rd, he can re-registe r  at  S  through th e se cure  cha nnel  as  the regi strati on pha se.  S  verif i es  i U  , makes   1 NN  and sto r e s   (, ) i ID N  into the accou n table. At las t,  S  is s u es  a new s m art card to  i U     5. Securit y  A n aly s is   In this  section, we will  an alyze the  security of our  sc hem e. We  will  show our schem coul d with sta nd gen eral att a cks a nd  pro v ide comm on  security feature s   5.1. User An on y m it y   The u s e r ’s i dentity  i ID  is i n clu ded i n  the ci phe rtext  1 (| | | | ) i I ii i CE I D T V , where   (| | | | ) ii i i Vh I D T J (| | ) ii Ih x p i d  and  i T  is the timestam gene rated  by  i U . Without th e   kno w le dge of  the se rver’ s  se cret  key  x , the adversa ry, includi ng  the malici o u s  use r , ca nno comp ute  i I  and  decrypt  1 C . Therefore, our  scheme could  p r ovide the u s er ano nymity.    5.2. Mutual Authen ticati on  Without the knowl edge  (| | | | ) ii J hx I D N , any adversary  includin g  the  maliciou s  u s er   can not ge n e rate  (| | | | ) ii i i Vh I D T J . Th en, he  ca nnot ge ne ra te a leg a l messa ge  11 {, } i mp i d C , where  1 (| | | | ) i I ii i CE I D T V  and  i T   is  the timestamp g enerated by  i U Therefore,   S  could  authe nticate  i U   by che cki ng wh ethe i V  and   (| | | | ) ii i hI D T J   are  e qual i n   Step 1) of the authenticatio n scheme.   Without the  kno w le dge th e serve r s  se cret key  x , any adversa ry inclu d ing mali ciou can not co mp ute  (| | ) ii Ih x p i d  and get   (| | | | ) ii i ID T V   by decrypt ing  1 C . Then, he ca nnot  gene rate  a legal  messag e   22 {} mC , where  2 (| | | | | | ) i ne w n e w Is s i i CE V T p i d I (| | | | | | | | | | ) ne w n e w s ii i i i s Vh I D T V p i d I T   and  s T  is the t i mestam p g e nerate d  by  S . Therefore,  i U   coul d authe n t icate  S  by ch ecking  wheth e r the e quati o n   (| | | | | | | | | | ) ne w n e w s ii i i i s Vh I D T V p i d I T   hold s  in Step 2) of the auth enticatio n ph ase.     Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Cryptan a lysi s and Im prove m ent of an Authent ication  Schem e for T e lecare … (Yu n  Zhao 7419 5.3. Priv ileged Insider Attack   In the  regi stration p h a s o f  our sch e me , the u s e r   i U  se nds the  me ssage  {, } ii ID H P W   to the sever, whe r (| | ) ii i HPW h r P W  and  i r  is a ran dom n u mbe r  gene rate by  i U . Then, th e   privilege d insider of the server  can not  get  i U ’s password  i PW  since  it is prote c te d by the  se cure h a sh  functio n  a n d  the  ran d o m  num ber.  T herefo r e,  our schem co uld  withsta n d  the   privilege d insi der atta ck.     5.4. Man-in-the-middle Attack   From  the  an alysis in S e ction 5.2,  we  kn ow that  our sch e me  coul d p r ovid e mutu al   authenti c atio n betwee n  the use r  and t he se rver.  T herefo r e, ou r sch eme cou l d withstan d the   man-i n -the -m iddle attack.     5.5. Repla y   Attac k   The adve r sary may intercept the message  11 {, } i mp i d C  and rep l ay it to  the server,  w h er (| | ) ii i HPW h r P W ii i J LR P W  ,   (| | ) ii i i I E h RPW ID (| | | | ) ii i i Vh I D T J 1 (| | | | ) i I ii i CE I D T V  and  i T  is th e timestam p  gene rated   by  i U . In the Step 1)  of the  authenti c atio n, the serve r  w ill ch eck the  freshn ess of  i T , then he coul d find the attack e a sily.   The adve r sary may intercept the me ssage  22 {} mC  and rep l ay it to the user,  whe r e   2 (| | | | | | ) i ne w n e w Is s i i CE V T p i d I (| | | | | | | | | | ) ne w n e w s ii i i i s Vh I D T V p i d I T   and  s T  is the timestam gene rated  by   S . In the Step  2) of the auth entication phase, the user  will check t h e freshness of  s T , then he coul d find the attack e a sily.     5.6. Impersonation Attac k   To impe rsona tion the user t o  the se rver, t he adve r sary  has to g ene ra te a legal me ssage  11 {, } i mp i d C , where  1 (| | | | ) i I ii i CE I D T V (| | | | ) ii i i Vh I D T J  and  i T  is the cu rrent  timestamp. Howeve r,  any adversa ry  in cl uding   the  m a liciou s  user cannot gen era t i V  if he  do es  not kno w  th e value  of  (| | | | ) ii J hx I D N . Therefore, ou schem e could  wit h stan d the   imperso natio n attack.     5.7. Ser v er Spoofing  Atta ck   To imperso n a te the serve  to the user, the  adversa ry has to gen erate a leg a l messag 22 {} mC  when  he i n tercepts th e messa ge  11 {, } i mp i d C , where  1 (| | | | ) i I ii i CE I D T V (| | | | ) ii i i Vh I D T J 2 (| | | | | | ) i ne w n e w Is s i i CE V T p i d I (| | | | | | | | | | ) ne w n e w s ii i i i s Vh I D T V p i d I T  Ho wever, a n y adversary including  malicio us  ca nnot com put (| | ) ii Ih x p i d  and get  (| | | | ) ii i ID T V   by decryptin 1 C  if he do es not kn ow th e se rver’ s   se cret  key  x . Therefo r e, ou scheme  coul d withsta nd the se rver  spo o fing attack.    5.8. Stolen Verifier Atta ck   In our  schem e, the se rver j u st maintai n s a table of tu ple  (, ) i ID N  and there is no  user’ s   password is stored in the ta ble. Therefore, our sc he m e  coul d with stand the stol e n  verifier atta ck.     5.9. Modifica tion Atta ck   The adve r sary may interce p t the messa ge  11 {, } i mp i d C  and rese nd it after mo difying   it at his  will. However,  the user could find the atta ck by  checki ng whether  i V  and   (| | | | ) ii i hI D T J    are eq ual. By the similar method, we  could  sh o w  the use r  co uld find the modificatio n  of   22 {} mC . Therefo r e, o u r sche me co uld with stand  the modificati on attack.        Evaluation Warning : The document was created with Spire.PDF for Python.
                               ISSN: 23 02-4 046                     TELKOM NI KA  Vol. 12, No. 10, Octobe r 2014:  741 2  – 7421   7420 5.10. Stolen Smart Car d  Attac k   The  adversa ry may  steal  the u s e r s   sma r card a nd extract th e sto r e d  info rmatio n   {, , } ii i p id L E  through th e  side chan n e l attack, where  (| | ) ii Ih x p i d (| | | | ) ii J hx I D N (| | ) ii i i E I h RPW ID   and    ii i LJ R P W  . Howe ver, there is  no me ssag related   i p id  and   i E  co uld b e  fo und  sin c e th e u s er will  chang i p id  and  i E  in eve r y session. T h e r efo r e, he   can not verify whethe r hi gue ss i s  correct and  our  scheme  co ul d withsta nd t he stole n  sm art  c a rd attack .       6. Performan ce Analy s is  In this  section, we  will analyze the perfor mance of our schem e.  To  the best  of  our  kno w le dge, Ji ang et al.’s  schem e [20] a nd Wu and  X u ’s  scheme [ 21] are m o re  suitabl e for T M IS  than othe scheme s . We will al so  comp are  ou r scheme  wi th that two  scheme s For   conve n ien c e,  some notatio ns are define d  as follo ws.   a)  H T : the running t i me of a hash  function op eration;  b)  S T : the running t i me of a symmetric  e n cryp tion/decryptio n operation;   c)   X OR T : the running t i me of a bitwise XO R ope ration;  We ju st nee d to comp are the perfo rmance  in the  login and a u thentication  phase of  different  sch e mes si nce  other ph ases  ar e  exe c uted  only  one time.  T he p e rfo r ma nce  comp ari s o n are liste d in T able 1.     Table 1     Jiang et al.’s scheme  Wu and Xu’s sch eme  Our scheme   User  3 H T +1 S T +1 X OR T  6 H T +2 S T +5 X OR T  5 H T +2 S T +3 X OR T   Server  3 H T +3 S T  5 H T +2 S T +3 X OR T  5 H T +2 S T   Total   6 H T +4 S T +1 X OR T  11 H T +4 S T +8 X OR T  10 H T +4 S T +5 X OR T       In the lo gin  a nd a u thenti c a t ion ph ase of  Jia ng  et al.’ schem e [2 0], 3 H T +1 S T +1 X OR T   and 3 H T +3 S T  are  neede d at the side of  use r  and  se rver sepa rat e ly. In the login and   authenti c atio n pha se of  Wu and Xu’ s  schem e [21], 6 H T +2 S T +5 X OR T  and 5 H T +2 S T +3 X OR T  are  need ed at th e side  of use r  and  se rver  sep a rately . In  the login an d authenti c ati on pha se  of our  scheme, 5 H T +2 S T +3 X OR T  and  5 H T +2 S T  are n eed ed at  the si de of  us er a nd  se rver se parately.  Beside s, the runnin g  time of a bitwise XOR op er atio n  could b e  ign o red  whe n  co mpared with t hat  of a ha sh fu nction  or  a symmetric  en cryption/d e cryption ope rat i on. The r efo r e, Jian g et a l .’s  scheme h a better pe rformance than  Wu an d Xu’s   scheme a nd  our sch e me.  Ho wever, Wu  and   Xu pointe d  o u t that Jia n g  et al.’s  sch e me h a s u s eless id entity and i s  vul n erabl e to  off-line  password g u e ssing  attack, use r  im personation  attack a nd  DoS  attack.  The r efo r e, Ji ang  et a l .’s  scheme  is no t suitabl e for  pra c tical  ap pli c ation s We  h a ve dem on strated that  Wu   and Xu  et al.’ s   scheme  is ve nera b le to th e se rver sp oo fing atta ck a n d  ca nnot p r ov ide u s e r  an on ymity. Besides,  our sche me has  better  p e rform a n c t han Wu and   Xu et al.’ scheme.  The r efore, we could   con c lu de that  our sche me i s  more suita b l e for TIMS.      7. Conclusio n   In this paper,  we demon st rate that Wu and Xu’s sch e me ca nnot withsta nd the  serve r   spo o fing atta ck  and  ca nn ot provide  th e user  anony mity. To overcome  tho s wea k n e sse s ,  we   prop osed a n  improve d  aut hentication schem e for  T M IS. Security analysi s  sho w our  sche me   coul d withst and gen eral  attacks an d overco me  the drawba ck of Wu and Xu’s sch e me.  Perform a n c e  analysis  sh ows our  sch e me also  ha s better pe rforma nce than Wu and X u ’s  scheme. Th erefore, we  cou l d con c lu de that  our  sch e m e is mo re suitable for TM IS.      Evaluation Warning : The document was created with Spire.PDF for Python.
TELKOM NIKA   ISSN:  2302-4 046     Cryptan a lysi s and Im prove m ent of an Authent ication  Schem e for T e lecare … (Yu n  Zhao 7421 Ackn o w l e dg ements   The a u thors  woul d like to  thank th e an o n ymous  refe rees fo r thei r i n valuable  co mments.  This resea r ch  was  sup p o r ted by Nation al Natural Sci ence Foun da tion of China  (no.61 202 44 7),   the Natu ral  Scien c e F o u ndation of  Hebei Pr ovin ce of Chin (no. F2 0135 0106 6) a nd  the   North e a s tern  University at Qinhua ng dao Sci e n c e  and Te chn o logy Suppo rt Program (no.  xnk20 130 7).       Referen ces   [1]  Lamport L. Passw o rd  authentication  w i t h  in s e cure comm un icatio n.  Co mmun ACM  24:2 8 –30, 19 81.   [2]  H w an g MS, Li  LH. A ne w  r e mote us er  a u thentic atio n scheme us in g smart cards.  IEEE Trans.   Cons u m . Electron . 200 0; 46(1 ) : 28–30.   [3]  He D, Chen J,  Hu J. F u rther improveme n t of  Juang et al. ' s pass w o r d- a u t henticate d  ke y agr eem ent   scheme us ing  smart cards.  Kuw a it Journa l o f  Science & En gin eeri ng.  20 1 1 ; 38(2A): 55- 6 8 [4]  He D, Chen J,  Chen Y. A secure mutual a u t hentic atio n scheme for ses s ion in itiati on scheme usi n g   elli ptic curve cr ypt ogra p h y Se curity and C o mmu n ic ation N e tw orks.  2012; 5(12): 142 3– 142 9.  [5]  He D, C h e n  Y ,  Chen J.  Cr yptana l y sis  and  im prov ement  of an  e x tend e d  cha o tic ma p s -base d  ke agre e ment sch eme.  Non lin ear  Dyna mics.  20 12; 69(3): 1 149 –11 57.   [6]  He D, Ch en J, Hu J. Improve m ent on a sm a r t ca rd  b a s ed  pa ss w o rd  a u t hen ti ca ti on  sch eme .   Journa l of   Internet Technology  20 12; 13 (3): 405– 41 0.  [7]  He D. A n  effic i ent rem o te  us er aut hentic ati on a n d  ke e xchan ge sc hem e for mo bil e  cl ient–s erver   envir onme n t from pairi ngs.  A d  Hoc Netw ork s  2012; 1 0 (6): 100 9– 101 6.   [8]  He D, Chen J, Hu J. An ID- based clie nt auth enticati on  w i th  ke y   a g re ement  scheme for mobil e  cli ent– server env iron ment on ECC  w i t h  prov abl e securit y Infor m ation F u si on.  2 012; 13( 3): 223 -230.   [9]  He D, W ang  D, W u  S.  Cr yptan a l y sis  and im provem ent of a pas s w o r d-b a se d remote us e r   authe nticati on  scheme  w i t hou t smart cards.  Information  T e chno logy and Contro l.  201 3; 42(2): 170 - 177.   [10]  He D, Z h an g Y ,  Che n  J. Cr ypt ana l y sis  and  i m provem ent of  an  an on ymo u s  aut h enticati o n prot ocol  for   w i reless acces s  net w o rks.  W i reless Pers ona l Co mmun icati ons , DOI: 10.1007/s11277-013-1282- [11]  W u  Z Y , Lee YC, Lai F ,  Lee  HC, Chu ng Y.  A se cure aut hentic atio n scheme for tel e c a re med i cin e   informati on s y s t ems.  Journal  of Medica l Systems.  2 012; 3 6 : 1529 –3 5.   [12]  He DB, C hen  JH, Z hang  R. A more sec u re  authe nt icati o n  scheme for te lecar e  med i cin e  inform at i o n   s y stems.  Jour n a l of Medic a l S ystems. 2 012; 3 6 :198 9– 199 5.   [13]  W e i J, Hu X, Liu W .  An improved a u the n tic a ti on sch eme for telecar e  me dicin e  inform ation s y stems .   Journal of Medical System s.  2 012; 36( 6): 359 7–3 60 4.  [14]  Z hu Z .  An  efficient  auth entic ation  schem for telec a re m edici ne  inf o rmation  s y stems.  Jour nal   o f   Medic a l System s.  20 12; 36( 6 ) : 3833– 38 38.   [15]  Das ML, Sa xe na A, Gulati V P . A d y n a mic i d -bas ed rem o te user a u the n ti cation sc heme.   IEEE Trans.   Cons u m . Electron ., 2004; 5 0 ( 2 ): 629– 63 1.  [16]  Che n  HM,  Lo  JW , Yeh  CK.  An  efficie n t a nd s e cur e  d y n a mic i d -b ase d  auth entic ation  schem e fo r   telecar e  medic a l inform ation s y stems.  Jour na l of Medica l Systems.  20 12; 3 6 (6): 390 7– 391 5.  [17]  Cao  T ,  Z hai J. Improve d  d y n a mic i d -b ased   aut he nticati on  scheme  for tel e care  med i cal   informati o n   s y stems.  Jour n a l of Medic a l S ystems . 20 13. doi:1 00 7/s109 16-0 12-9 9 1 2 -5 [18]  Xi e Q, Z hang J, Dong N. Ro bust  ano n y mo us authe nticati on schem e for telecare me di cal inform atio n   s y stems.  Jour n a l of Medic a l S ystems , 20 13. doi:1 0.10 07/s1 091 6-01 2-9 9 1 1 - 6.  [19]  Lin HY. On the  securit y  of a d y n a mic i d -b ase d   auth enticati o n schem e for telec a re me dica l informati o n   s y stems.  Jour n a l of Medic a l S ystems . 20 13. doi:1 0.10 07/s1 091 6-01 3-9 9 2 9 - 4.  [20]  Jian g Q, Ma J,  Ma Z ,  Li G. A privac y   en ha nce d   auth enticati o n scheme for t e lec a re med i ca l informati on   s y stems.  Jour n a l of Medic a l S ystems . 20 13. doi:1 0.10 07/s1 091 6-01 2-9 8 9 7 - 0.  [21]  W u  F ,  Xu  L.  Securit y   ana l ysis an d im pro v ement   of a  p r ivac y a u the n ti cation  schem e  for telec a re   medic a l inform ation s y stems.  Journal of Medical System s . 2 013. do i: 10.10 07/s10 9 1 6 -01 3 - 995 8-z.     Evaluation Warning : The document was created with Spire.PDF for Python.