专利名称:带隐私保护的基于口令认证的三方密钥交换方法
技术领域:
本发明涉及基于口令认证的密钥交换技术,特别涉及基于口令认证的密 钥交换技术有关的安全技术和隐私保护技术。
背景技术:
在基于口令认证的三方密钥交换(Three-Party Password-based Authenticated Key Exchange,简称"3 PAKE")中,两个客户端用户预 先各自和在线服务器共享一个口令,然后基于口令,两个用户在该服务器 协助下完成互相认证并且建立会话密钥。由于口令是很短的字符串,所需 存储量很小并且易于人类记忆,不需要额外的存储密钥的外部设备,也不 需要公钥基础设施(PKI),所以基于口令认证的三方密钥交换协议在实 际的安全通信中有着广泛的应用。在基于口令认证的三方密钥交换的系统中包括两个组成部分客户端 用户集合to,U2,…,Ui,Uw,…,lU和在线服务器S,其中每个用户Ui (1< i〈n)都在服务器S上注册了身份信息并且都分别和服务器S共享一个口 令pwi。每次进行基于口令认证的三方密钥交换都有三个参与者客户端 用户Ui、客户端用户Uj和在线服务器S。在图1中给出了一个现有的基于口令认证的三方密钥交换方案的例 子,其中G是阶为户的素数阶循环群,g为G的两个生成元,/,为安全参数,而i/p //2和//3是{0,1}*—{0,1^的哈希函数。在现有的基于口令认证的三方密钥交换的方案中, 一般客户端用户都 是用口令加密用户的公钥(其本身一般是以后生成会话密钥的种子),但 当对于客户端用户的身份都是明文传输,这是为了服务器能够找到该客户 端用户所对应的口令。这样,虽然可充分保护以后生成的会话密钥的安全 性,但对于涉及用户的身份的隐私性却没有任何的保护。例如敌手可通过 简单监听,就可知道哪些用户经常进行密钥交换,从而推断出哪些用户关 系比较密切。另外, 一般通常认为在线服务器是半诚实的,即它总是诚实 的执行协议但又总是试图收集一些关于用户的信息。所以,用现有的基于 口令认证的三方密钥交换的方案,服务器也总能收集到所有用户进行密钥 交换的纪录。为了解决上述问题,我们提供了一种带隐私保护的基于口令认证的三方 密钥交换方法。该方法较好地克服了现有的基于口令认证的三方密钥交换方 案不能有效的保护参与用户的隐私的缺点。发明内容本发明的目的在于克服现有技术的不足,提供一种带隐私保护的基于 口令认证的三方密钥交换方法。本发明中的主要优点在于有效地实现了客户端用户依靠口令和服务器的帮助进行安全的认证密钥交换,同时保证身份信息不被泄露。其具体 保护的是以下四个隐私性质防探测性,即任意敌手不是服务器的合法用 户,那么该敌手也就不能确定其他任意的参与者是否是合法用户;不可关 联性,即在协议执行中任给两个不同别名(在我们的方法中为保证隐私性, 规定客户端用户以假名参与密钥交换),任意敌手(包括内部攻击者但这 两个别名都不是它的)都不能确定它们是否属于同一合法用户;窃听不可 区分性,即任意敌手通过被动地监听密钥交换的执行,仍不能确定该执行 是否成功;服务器匿名性,即服务器不能确定是哪两个客户端用户在借助它来完成密钥交换。为达到上述特点,本发明提供了一种提供一种带隐私保护的基于口令认证的三方密钥交换方法(privacy-preserving 3-party password-based authenticated key exchange,简称"PP-3PAKE")。包含以下部分 A初始化阶段,准备进行密钥交互的两个客户端用户相互交换预备信B客户端发起阶段,准备进行密钥交互的两个客户端用户分别用各自和 服务器共享的口令加密消息并且将其和未加密的信息一起发送给服务器;C服务器处理阶段,服务器在收到来自客户端的请求信息后,采用健忘 传输(oblivious transfer)机制来处理这些信息并且针对上述两个客户 端用户中的每一个都生成不同的返回消息,接着分别将这些消息发送给相 应的客户端用户;D客户端认证阶段,客户端在收到服务器端的返回信息后,基于自己的 口令,采用通常的密钥交换的机制对返回信息进行处理,以此来生成会话密钥的种子,并且用该会话密钥的种子生成认证信息发送给对方用户;E会话密钥生成阶段,若验证通过来自对方用户的认证信息,则使用会 话密钥种子生成会话密钥。在所述方法中,在所述初始化阶段中交换的初始信息是用户随机选取 的当前值和用户随机选取的假名。在所述方法中,在所述客户端发起阶段中加密的消息是用户选取的 Diffie-Hellman公钥,而在未加密的信息中也包含一个用户自己选取的 Diffie-Hellman公钥。在所述方法中,在所述服务器处理阶段中,服务器采用的健忘传输机 制是使用所有的服务器上注册的口令,依次分别来解密来自一方客户端的 密文,并且针对每个解密结果,随机选取不同的Diffie-Hellman私钥,接 着基于Diffie-Hellman密钥交换的方式,使用上述不同的私钥对上述每个 解密结果依次分别进行加密从而生成与注册用户数同样多的临时密钥,然 后,服务器针对来自另一方未加密的信息中的Diffie-Hellman公钥,选取 一个Diffie-Hellman私钥,接着基于Diffie-Hellman密钥交换的方式, 使用上述私钥对上述公钥进行加密从而产生Diffie-Hellman密钥交换的 结果密钥,最后使用上述各个临时密钥依次分别加密上述结果密钥,将每 个加密结果都发送给提供密文的那个用户,并且同时将上述所有Diffie-Hellman私钥对应的公钥依次发送给提供上述密文的那个用户。 在所述方法中,在所述客户端认证阶段中采用的密钥交换的机制是Diffie-Hellman密钥交换机制,对来自服务器的返回信息中相应位置的密文使用口令得到结果密钥,然后对结果密钥使用Diffie-Hellman密钥交换机制产生会话密钥的种子。在所述方法中,所述认证信息和会话密钥都是以上述会话密钥的种子、用户的当前值和假名为输入,使用密码学意义上的哈希函数生成。通过比较可以发现,本发明的技术方案(PP-3PAKE)与现有技术的主要区别在于,PP-3PAKE不但实现了安全的基于口令认证的三方密钥交换而且还同时有效地对参与密钥交换的客户端用户的隐私信息(包括身份和参与行为在内)进行了保护。
图1是一个现有的基于口令认证的三方密钥交换方案的示意图。图2是一个具体的带隐私保护的基于口令认证的三方密钥交换方案的示 意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将通过实施例l 并且结合附图2对本发明做进一步的详细描述。实施例1在该实施例的具体构造中,我们将Tzeng的健忘传输(oblivious transfer:0T)方案(Wen-Guey Tzeng. Efficient l-out-n oblivious transfer schemes. In David Naccache et al. , editors,尸w/ 7j'c Crj/ ^rap力/ -尸iWi*, ZtVC5"pages 159-171. Springer, 2002)嵌入到Abdalla等人的3PAKE方 案(M. Abdalla and D. Pointcheval. Interactive diffie-hellman assumptions with applications to password-based authentication. In A. S. Patrick et al. , editors, /^'72朋cj.a7 Cr7pz^grap力/Zfez^a 5"edY广iV05; pages 341-356. Springer, 2005.)的一个简单变体中,来实现带隐私保护的基于口令认证的密钥交换方法。设G是阶为p的素数阶循环群,g和A分别为G的两个生成元。设/,为安全参数,而込、込、^、 //2和//3是{0,1}*">{0,1}《的哈希函数。设Groups是由半可信服务器S管理的群组。设rv :={^,72,...,^}为注册在服务器S的群组成员的真实身份的集合,而11[/:={(71,^/2,...,^^}是所有这些群组成员所持假名的集合,其中每个群组成员都仅适用假名参与协议执行。 下面,我们用匿名群组成员R.来表示使用假名为t/,.的群组成员。同时,我们假设群组成员和服务器之间共享的口令均匀地分布在字典D中。在图2中展示了该具体的PP-3PAKE方案,关于该方案的详细描述如下所示。第0阶段(初始化)L在协议执行前,两个希望进行PP-3PAKE协议的匿名群组成员^和t/y 分别随机地选择各自的当前值wz.和 .,然后交换它们。 第l阶段1. ^选择随机数x,.,~ e ,计算《.=g&和A = ^ A""',接着将包含& 和M,.的信息以及附加信息 :=R I IC^. I .发送给服务器S。2. 同样地,[^.也随机地选择两个数 .和r,并且计算;^和M,.。最后也 发送消息、 和A7. := t/,. I .I ^ I 给服务器S 。第2阶段1.服务器S选择随机数"2^和两个组随机数^^2,...,^3£2; 和^,^,…,^e^并且为"""依次计算4、々、5,7和~如下& = 4/十& ((碼 A-," ,' ) , ~ = J,.,十& ((My.. /T,"卢)2.服务器S设置两组数据^M/ …,/'",&,…,4〉和 『y二&^,…,g^,5",…,^.J, 并且附加上附加信息(其中"s是服务器S随机取的当前值),分别将它们传输给^和t/y。 第3阶段1. 在收到消息巧后,t/,.计算7V,:A. A,其中^的真实身 份是巧,。接着,通过使用它的口令/7w!.得到7;.^A7P『"。最终^计算认证子^/A=//2(t;.,As,i)并且将其发送给t/j。2. 在收到消息『7., t/,.所执行的和上面的K一样,即依次计算A^.和7), 产生它自己的认证信息=//2(7},^^,2),随后将该认证信息发送给t/,.。 第4阶段1.最终,K.和^.分别验证各自所收到的认证信息^ ^/^(T),A&2) 和A/^:/^(T;.,As,1)。若认证通过,则t/,.和[^.完成了相互的匿名认证并且为以后它们之间的安全通信建立了共享的会话密钥Si^A(gW,A^。虽然通过参照本发明的优选实施例,己经对本发明进行了图示和描述,但本领域的技术人员应该明白,可以在形式和细节上对其作各种改变,比如采用其他的加密体制替代Diff ie-Hellman体制;对服务器注册用户进行分组,再以小组为单位进行上述带隐私保护的密钥交换等等,而不偏离本发明的精神和范围。
权利要求
1. 一种带隐私保护的基于口令认证的三方密钥交换方法,包括以下步骤A初始化阶段,准备进行密钥交互的两个客户端用户相互交换预备信息;B客户端发起阶段,准备进行密钥交互的两个客户端用户分别用各自和服务器共享的口令加密消息并且将其和未加密的信息一起发送给服务器;C服务器处理阶段,服务器在收到来自客户端的请求信息后,采用健忘传输机制来处理这些信息并且针对上述两个客户端用户中的每一个都生成不同的返回消息,接着分别将这些消息发送给相应的客户端用户;D客户端认证阶段,客户端在收到服务器端的返回信息后,基于自己的口令,采用通常的密钥交换的机制对返回信息进行处理,以此来生成会话密钥的种子,并且用该会话密钥的种子生成认证信息发送给对方用户;E会话密钥生成阶段,若验证通过来自对方用户的认证信息,则使用会话密钥种子生成会话密钥。
2、 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法, 其特征在于,在所述初始化阶段中交换的初始信息是用户随机选取的当前 值和用户随机选取的假名。
3、 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法, 其特征在于,在所述客户端发起阶段中加密的消息是用户选取的 Diffie-Hellman公钥,而在未加密的信息中也包含一个用户自己选取的Diffie-Hellman公钥。
4、 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法, 其特征在于在所述服务器处理阶段中,服务器采用的健忘传输机制是使用 所有的服务器上注册的口令,依次分别来解密来自一方客户端的密文,并 且针对每个解密结果,随机选取不同的Diffie-Hellman私钥,接着基于 Diffie-Hellman密钥交换的方式,使用上述不同的私钥对上述每个解密结 果依次分别进行加密从而生成与注册用户数同样多的临时密钥,然后,服 务器针对来自另一方未加密的信息中的Diffie-Hellman公钥,选取一个 Diffie-Hellman私钥,接着基于Diffie-Hellman密钥交换的方式,使用 上述私钥对上述公钥进行加密从而产生Diffie-Hellman密钥交换的结果 密钥,最后使用上述各个临时密钥依次分别加密上述结果密钥,将每个加 密结果都发送给提供密文的那个用户,并且同时将上述所有Diff ie-Hellman私钥对应的公钥依次发送给提供上述密文的那个用户。
5、 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法, 其特征在于,在所述客户端认证阶段中采用的密钥交换的机制是 Diffie-Hellman密钥交换机制,对来自服务器的返回信息中相应位置的密 文使用口令得到结果密钥,然后对结果密钥使用Diffie-Hellman密钥交换 机制产生会话密钥的种子。
6、 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法, 其特征在于,所述认证信息和会话密钥都是以上述会话密钥的种子、用户的当前值和假名为输入,使用密码学意义上的哈希函数生成。
全文摘要
本发明涉及密钥交换技术,公开了一种带隐私保护的基于口令认证的三方密钥交换方法,包括以下步骤初始化阶段,准备进行密钥交互的两个客户端用户相互交换预备信息;客户端发起阶段,准备进行密钥交互的两个客户端用户分别用各自和服务器共享的口令加密消息并且将其和未加密的信息一起发送给服务器;服务器处理阶段,服务器在收到来自客户端的请求信息后,采用健忘传输(oblivious transfer)机制来处理这些信息并且针对上述两个客户端用户中的每一个都生成不同的返回消息,接着分别将这些消息发送给相应的客户端用户;客户端认证阶段,客户端在收到服务器端的返回信息后,基于自己的口令,采用通常的密钥交换的机制对返回信息进行处理,以此来生成会话密钥的种子,并且用该会话密钥的种子生成认证信息发送给对方用户;会话密钥生成阶段,若认证通过来自对方用户的认证信息,则使用会话密钥种子生成会话密钥。与现有技术相比,该方案不但实现了安全的基于口令认证的三方密钥交换,而且还同时有效地对参与密钥交换的客户端用户的包括身份和参与行为在内的隐私信息进行了保护。
文档编号H04L29/06GK101282216SQ20071008755
公开日2008年10月8日 申请日期2007年4月2日 优先权日2007年4月2日
发明者勇 李, 汪维家, 磊 胡 申请人:中国科学院研究生院