一种多服务器环境下轻量级匿名认证与密钥协商方法

一种多服务器环境下轻量级匿名认证与密钥协商方法
【技术领域】
[0001] 本发明专利属于信息安全技术领域，具体说是一种在移动互联网多服务环境下， 移动终端用户基于生物信息特征进行远程服务器认证登录并协商后继会话密钥获得远程 服务的轻量级匿名认证与密钥协商方法。
【背景技术】
[0002] 现有的远程认证技术主要有基于口令的认证技术、基于智能卡的认证技术、基于 人体生物信息的认证技术等。低熵的口令容易遭到离线猜测攻击，在多服务器环境中，高熵 口令容易给用户带来识记和管理困难。智能卡容易被盗，且存储在智能卡上的信息易被边 信道技术攻击而不经意泄漏。基于人体生物信息（如指纹，虹膜，人脸识别）不易复制丢失， 相比智能卡和口令而言，是一个相对稳定的认证因子。不过单一认证因子已被多因子认证 技术全面取代。现有结合以上三因子的认证方案主要存在以下问题，因此在目前的应用中 受局限：
[0003] (1)扩展性差。大多数多因子认证方案基本都是适应于单服务器环境，也就说如果 用户同时想登录不同的服务器获得不同的服务，需要用户在多个不同服务器上都进行注 册，并记住不同的用户名和登录口令（用户在不同的服务器上采用相同的用户名和口令，账 户易遭受冒充攻击），研究表明互联网上的用户平均每月要登录20多个不同的服务器，大量 的用户名和登录口令给用户带来了识记、存储、管理的不便，并引发了安全隐患。此外，目前 多数多因子认证方案只能提供双方身份的认证，功能单一，不能提供密钥协商功能，应用情 景和范围受限。
[0004] (2)效率低。绝大多数多因子认证技术无一例外的用到了公钥加解密算法或者数 字签名算法，甚至要求服务器、用户均在一个公钥基础设施PKI (Public Key Infrastructure)中申请用于加密的公私钥对和用于签名的公私钥对，以及权威机构颁发 的证书。目前比较盛行的加解密算法RSA和椭圆曲线加密算法均需要用户终端有较强的计 算能力，来计算特殊群上的标量乘和幂乘运算。而目前发展的趋势是，移动终端用户持有的 都是计算能力、存储能力以及通信能力受限的移动终端，包括smart phone，Tablets，掌上 电脑PDA，无法完成复杂的计算任务。所以多数现有的多因子认证技术不能直接迀移到资源 受限的移动终端上，需另设计只涉及Hash运算和异或运算等低功耗的多因子认证技术。
[0005] (3)鲁棒性差。目前大部分多因子认证方案系统允许用户在适当的情况下更改自 己的口令，以防止敌手离线或者在线猜测口令攻击，但是生物信息却无法适应性动态更新。 但实际上个人注册时生物信息，如指纹，因劳作而损伤，需要升级更改为新的生物认证信 息，而现有的多因子认证方案不能满足该应用需求，不能彰显认证技术动态更新的鲁棒性。
[0006] (4)不提供隐私保护和匿名服务。一般移动终端用户远程登录服务器，均需要获得 服务器的相关服务，用户不愿意让服务器获得自己的兴趣爱好和行为习惯，所以需要实现 匿名认证来保护自己的隐私权。在数据挖掘技术日新月异的当下，不对用户进行匿名保护， 很容易暴漏用户隐私，降低用户对方案的信任和采用意愿，从而影响到方案的应用广度和 范围。
[0007] 随着Smartphone等移动终端的普及和移动互联网的迅猛发展，移动终端用户通过 远程登陆服务器并获得相关服务，已是大趋势，各种云盘、网盘已经深入人心，成为人们生 活中不可缺少的一部分。远程登陆最关键的一步就是认证，可以说接入认证是移动网络最 重要的第一道栅栏，所有后继的安全业务都依赖于安全接入认证，认证接入为安全可靠的 移动网络运营提供了安全保障。
[0008] 目前的认证技术基本上都采用了必要的密码技术来进行保障，比如数字签名来说 明认证请求者的身份，有些认证技术更是需要计算耗时耗能量的对运算，特殊数域上点乘 运算和幂乘运算，这些认证技术对认证用户要求有较高的计算能力和存储能力。而目前用 户基本上是通过smart phone，PDA等计算能力和存储能力有限的移动终端进行操作，因此 绝大多数基于密码技术的多因子认证技术不适合直接迀移到目前移动终端用户。
[0009] 此外，目前的多因子认证技术中，绝大多数没有考虑到用户匿名性保护。而移动用 户通过Internet访问服务器时，并不希望服务器知道自己是谁，也不愿意让服务器知道自 己消费喜好和行为，服务器只需知道用户是一个合法用户，且能保证其能为服务买单(通过 可控匿名性保证）。随着人们隐私保护意识的提高，可以断言未来的移动电子商务、移动电 子政务等应用中，就会要求系统须提供相应的匿名服务，来有效保护移动终端用户的消费 隐私(微信快速超越qq就是微信能比qq给用户提供更多的隐私保护）。

【发明内容】

[0010] 为了克服上述技术所存在的不足，本发明提供了一种通信代价低、安全性高、扩展 性好可控匿名且适用于移动互联网环境下移动终端用户远程登录的多服务器环境下轻量 级匿名认证与密钥协商方法。
[0011] 本发明为了实现上述目的所采用的技术方案是由以下步骤组成：
[0012] (1)系统建立与选择系统参数
[0013] 注册中心RC根据系统的安全要求选择合适的密码学安全Hash函数h(.)和模糊提 取器(Gen(.)，Rep(.))并将其公开，之后将该h(.)算法和生物信息模糊提取器的Rep(.)算 法写入用户智能卡SC中；
[0014] (2)服务器和用户在注册中心RC注册
[0015] (2.1)服务器&选择公开的注册名SIDjPl bit私钥η，并将注册名SID」发送给注 册中心RC，其中j = l，2，...，t，t表示当前在注册中心RC所注册的服务器个数，注册中心RC 收到服务器所注册的注册名SID」后选择一个随机数串通过PSIDjihUlDjl |〇| |x)计算 出PSIDp并将PSIDj返回给服务器&，x为注册中心RC的私钥，I I表示数字串的级联，服务器 通过Φ &计算出私密信息8&并将其秘密保存；
[0016] (2.2)用户1^选择注册名1〇1和对应的口令!)^，该注册名1〇1选自于用户1^的身份信 息，提取该用户U的生物信息h，利用模糊提取器Gen(.)算法生成该用户仏的生物密钥Gen (bi) = ( Δ i, ，用户通过Ai = h(pwi | | 计算出口令和生物密钥的哈希值Ai，并将注册名 瓜和仏发给注册中心RC，注册中心RC收到注册名顶和仏后选择随机数Zl，分别计算PIDFh (IDi| |Zi| |x)，汉=為十户 ZD,.，Ci = h(IDi| iPIDiUDifMCil 注册中心RC将所得KSIDjJij〉保存在用户智能卡SC中，并将用户智能卡SC发给用户Ui，用 户Ui计算Fi = h(IDi| |Ai)，且将Fi和自己的生物密钥辅助生成信息Ai存在用户智能卡上，最 终，用户智能卡中存有{ AiFiji^SIDiEiO^SIDhEu〉，…，〈SIDt，Eit>，h(.)，Itep(.)} ;
[0017] ⑶用户和服务器认证与密钥协商
[0018] (3.1)用户U将用户智能卡SC插入读卡器，并输入其注册名IDi、口令pWl、生物信息 1/1、目标服务器31{的注册名5101{以及随机数1，1^{1，2，...4}，用户1] 1智能卡利用所存储 的模糊提取器Rep( ·)算法恢复Rep( Δ i，!/ i) = 0i,再计算出A' i = h(pwi | | ，验证Fi = h(IDi I A\)是否成立，若不成立，则用户智能卡SC自动终止远程连接，中断登录请求;若成立，则 用户智能卡S C计算P/DX十尽，C ' i = h ( I D i | | P I D ' i )、 1? =巧*十尸/D;、M丨=IIΑ;) ? 乂，Μ2 = 1ι(Νη I ID' ik)，用户智能卡SC将用户登录 请求msgi= {(/ ：1，]/[1，]/[2}发给目标服务器31{;
[0019] (3·2)目标服务器Sk收到用户登录请求msgi，计算θ.ν,; PSIDWiV^: 十M，检查MfhWul |D〃lk)是否成立，若不成立，则拒绝该 登录请求;否则，目标服务器S!a&择随机数Nl2，计算||劣)Φ萬^keyiWul ^2),1^4 = 11(1/:111 |Ni2| |D〃ik| | key)，并将 msg2= {M3, M4}发给用户 Ui;
[0020] (3.3)用户收到msg2,计算#丨2=/?(51〇 4_ ||D;) 63M3，key，=h(Nii I IN'i2)，验证M4 =11(化1||1'1、2||〇、1{||1^7'）是否成立，若等式不成立，则终止该认证过程；否则计算 M5= ? /?(迖II墘），并将msg3 = {M5}发给目标服务器Sk;
[0021] (3.4)目标服务器SiJc到msg3,检验等式key=M5? A(D〗||iVi2)是否成立，若成 立，则双向认证结束，用户Ui和目标服务器Sk拥有会话密钥key = key'。
[0022] 上述步骤（1)中的Hash函数为MD系列或SHA系列算法。
[0023]上述MD系列算法的输出长度1为128比特，SHA系列算法的输出长度1为160、224、 256、384或 512 比特。
[0024] 上述步骤（2.1)中的服务器注册名为服务器域名或者中文唯一标识；所述步骤 (2.2)中的用户的身份信息为身份证号码或电话号码、Email信息，生物信息h是指纹信息 或人脸信息、虹膜信息。
[0025] 上述步骤(2)中服务器和用户在注册中心RC的注册过程所需信道为安全信道，保 证注册信息保密，步骤(3)的msgi、msg2以及msg3的传输信道可以是公开信道。
[0026] 在上述步骤(3)用户和服务器认证与密钥协商之前还包括步骤(a)，口令pwjP/或 生物信息匕的动态更新，具体方法为：
[0027]用户Ui将用户智能卡SC插入读卡器并输入10^?%，13\，用户智能卡5(：利用模糊提 取器的Rep(.)算法恢复该用户Ui的生物密钥Rep( Δ