随着电子商务、电子医务和电子政务的快速发展,在远程用户和服务器之间进行身份认证,是确保分布式网络环境中信息系统安全的基本手段。基于智能卡的远程用户口令认证协议由于安全性高,便携性好,简单易用,在业界获得了广泛的应用。经过近二十年的研究和发展,这种认证协议在安全性和功能特性方面逐渐趋于完善,但它们都基于一个共同假设——智能卡内秘密信息无法为攻击者获取。近年来边信道攻击技术研究结果表明,攻击者可通过逆向工程、能耗分析、计时攻击等手段分析出普通智能卡内秘密参数,使传统协议所基于的安全假设不再成立。相应地,设计基于非抗窜扰智能卡的远程用户口令认证协议自2006年来成为轻量级安全协议领域的一个研究热点。设计安全高效的基于非抗窜扰智能卡的远程用户口令认证协议是一个巨大的挑战：一方面需要综合考虑众多的安全目标和理想特性,另一方面智能卡本身又是一种资源受限设备。近几年来虽然有一些基于非抗窜扰智能卡的增强型协议被提出,但都随后被指出存在这样或那样的安全漏洞和性能缺陷。存在这一问题的根本原因在于,以往研究要么关注于某个安全目标或理想特性的实现,要么在对先前协议进行攻击分析后只给出简单的漏洞修补,缺乏系统性和原理性的研究。针对这一现状,本文以基于非抗窜扰智能卡的远程用户口令认证协议为主线,从协议的评价指标、分析和设计原则,以及新协议的设计方面展开了研究,主要完成了以下四方面工作：1)分析了近期三个较为典型的基于智能卡的远程用户口令认证协议。分析了Xie等学者在2010年设计的基于RSA的口令认证协议,指出其无法实现所声称的抗重放攻击,并且对密钥泄露仿冒攻击是脆弱的；分析了Hao等学者于2011年提出的具有前向安全性的口令认证密钥协商方案,指出其无法实现所声称的抗离线口令猜测攻击,对密钥泄露仿冒攻击是脆弱的,并且存在时钟同步问题；分析了Hsieh等学者在2012年设计的仅使用Hash函数的高效口令认证协议,指出其无法实现所声称的抗离线口令猜测攻击,对内部人员攻击是脆弱的,并且存在用户友好性差、不适于移动应用等问题。2)梳理了基于智能卡的远程用户口令认证协议评价指标间的相互关系,提出了三个协议设计原则。首次证明了在非窜扰智能卡假设下,采用公钥技术是实现协议可抗离线口令猜测攻击的必要条件；首次证明了在服务器端无敏感验证表项情形下,服务器(至少)进行两次模幂运算(或点乘运算)是实现前向安全性的必要条件；首次深入分析了“抗智能卡丢失攻击”这一安全目标和“口令本地自由更新”这一理想属性间存在的矛盾,提出“模糊验证因子”技术来较好地平衡这一对矛盾。3)设计了一个基于RSA适于资源受限环境的远程用户口令认证协议。Fang等方案为了克服资源受限这一难题,仅采用了对称密码操作(Hash函数),这一策略违反了本文给出的“公钥技术原则”,无法抵抗离线口令猜测攻击；利用RSA加密和解密操作运算量的非对称性,设计了一个安全高效的方案,并且完成了启发式安全性分析,与已有协议相比,新方案在客户端性能方面具有显著优势,适于移动应用环境。4)设计了一个随机预言机模型(ROM)下可证明安全的“理想协议”。基于计算Diffie-Hellman (CDH)困难性假设,设计了一个能够满足所有安全目标和实现所有相关理想属性的协议,并且在ROM下完成了紧归约的形式化安全证明,进而回答了Madhusudhan和Mittal2012年初在Journal of Network and Computer Applications上提出的公开问题。此外,协议中首次提出“模糊验证因子”的概念,较好地解决了以往此类协议无法同时实现抗智能卡丢失攻击和支持口令本地自由更新这一难题。