i,t/ i) = 0i,并计算f i = h(pwi | | ,验 证Fi = h(IDi I I A\)是否成立,若不成立,则用户智能卡SC自动中断请求;若成立,提示用户 输入新的口令和/或生物信息w,用户仏重新采集自己的生物信息以?,并选择新的 口令通过Gen(IT>(Ar,C w)计算出该用户~的新生物密钥^%..重新计算 4_=々(puf1fw),J广=4咖?及Φ 4, €-=从仍,114,),将用户智能卡3(:中原来 存储信息{ AnF^B]更新为{ΔΓ,Κ'ν }。
[0028]与现有技术相比,本发明具有以下优点:
[0029] (1)轻量级,本专利体现了移动终端用户的移动设备内存小,计算能力低的特性, 也考虑到在远程服务器同时处理多个登陆请求时面临的并行处理能力,整个密钥协商过程 不需要复杂的密码系统和耗时的密码运算,仅仅用hash运算和异或运算,整个过程的计算 与存储要求都不构成双方负担,让双方的沟通变得轻松容易;与同类轻量级技术方案相比, 本发明的计算量、存储量和通信量都较低。
[0030] (2)可控匿名性,本发明采用了可控匿名,一般情况下服务器不知道认证用户的具 体身份,仅仅知道其是RC处注册过的合法用户。一旦在后继通信中该用户有不法行为,服务 器可求助RC打开用户的身份,保障服务提供商的权益。根据目前的研究成果,这种可控匿名 的方式在保护用户匿名性和保障服务提供商权益的系统均衡效果是最好的。
[0031 ] (3)安全性好,本发明双方协商的会话密钥由双方选的随机数Nu,Ni2决定,即使某 次通信的会话密钥不慎泄露,通信双方及时协商新的会话密钥,也不会影响前后会话密钥 的安全性,保证了会话密钥间的独立性和前后向安全性。
[0032] (4)扩展性好,本发明在移动终端与远程服务器在相互认证的同时,产生了会话密 钥,若协议只想实现的是认证功能,该值充当了响应的测试消息;若后继需要服务器进一步 给用户发送用户需要的加密电子文件或者源程序代码,该值又能充当临时会话密钥来加密 远程传输的数据,该值的存在,大大地增加了方案的灵活性,让方案易于扩展,适用于目前 的电子商务、移动通讯领域。
[0033] (5)鲁棒性强,本发明不仅允许用户动态更新口令和生物信息,而且更新不需要注 册中心RC的频繁协助,自己通过读卡器独立对智能卡进行写入,动态更新自己的口令和生 物认证信息,有效抵抗敌手口令猜测攻击,系统的鲁棒性强。
【附图说明】
[0034]图1为多服务器环境下基于口令、智能卡和生物信息的认证密钥协商应用系统。 [0035]图2为用户3和服务器6之间的认证与密钥协商过程示意图。
【具体实施方式】
[0036]图1表示一个多服务器环境下基于口令、智能卡和生物信息的认证密钥协商系统 应用系统,其中RC为注册中心,管理在RC处认证过的用户和服务器,用于确认服务器身份和 进行用户可控追踪,系统中有用户山、用户U 2和用户U3作为移动用户,服务器的多服务 器环境,假设Si为某web服务器,S々Ftp服务器,S 3为某知识库服务器,…,用户和服务器均 在注册中心注册,用户可以匿名通过一个口令和密码,凭自己的身份ID和生物信息与服务 器进行远程双向认证,并且产生后继通信的会话密钥:
[0037] 实施例1
[0038] 现以用户U3对服务器S6进行匿名认证与密钥协商为例,具体方法如下:
[0039] (1)系统建立与选择系统参数
[0040] 注册中心RC根据系统的安全要求选择SHA-2算法和模糊提取器,并将SHA-2算法和 模糊提取器公开,之后将SHA-2算法和模糊提取器的R印(.)算法写入用户智能卡SC中,该智 能卡是有一定的存储能力、计算能力和连接远程服务器的能力,例如开源的32位处理器 RISC的0R1200。
[0041] (2)服务器和用户在注册中心RC注册
[0042]假设服务器和用户的在注册中心注册自己真实身份,并成为系统中的合法成员, 先设注册中心RC选择一个二进制长度为1的密钥X和一个单向Hash函数h(.),即将任意长的 〇,1数字串映射成固定1长度的〇,1数字串。凡在该注册中心注册的用户或者服务器,其信息 计算都有RC的X值影子,具体为:
[0043] (2 · 1)服务器Si~S6分别选择公开的注册名SIDi~SID6和160bit私钥yi~y6,并分 别将注册名SIDi-SIDs发送给注册中心RC,注册中心RC收到服务器所注册的注册名SIDi~ SID6后选择随机数串ri~r6,通过PSIDj = h(SIDj| |r」| |x)计算出PSm~PSID6,并将PSIDi~ PSID6返回给对应服务器&~56,χ为注册中心RC的私钥,I I表示数字串的级联,服务器S:\S6 分别通过AS) = /WD,; ? 汁算出私密信息BSi~BS6并将其秘密保存。
[0044]本实施例的服务器注册名可以用服务器域名或者中文唯一标识,如网易新闻、百 度懦米等中文标识。
[0045] ^⑵用户山~出选择注册名瓜~顶和对应的口令口界丨~口界^注册名瓜~顶是该 用户的身份证号码,提取该用户山~1]3的指纹信息h~b3,利用模糊提取器的Gen(.)算法生 成该用户Ui~U3的生物密钥Gen(bi) = ( Δ ιθΟ,Gen(b2) = ( Δ2,θ2)以及Gen(b3) = ( Δ3,θ3), 用户通过Ai = h(pwi I I 分别计算出口令和生物密钥的哈希值六1、42、43,并将注册名1〇1~ ID3和对应的Ai~A3发给注册中心RC,注册中心RC收到注册名IDi~ID3和Ai~A 3后选择随机 数Z1 ~Z3,根据PIDi = h(IDi I I Zi I I X),5产 4 十付A,Ci = h(IDi I I PIDi),{Dij = h(Ci I PSIDj),巧=P/A? A;丨,分别计算出用户山~出与服务器所对应的PIDi、Bi、Ci以及 {0。3。},其中1 = 1,2,3,]_ = 1,2,3,4,5,6。注册中心此将所得仏、〈310」3">保存在用户1^ 智能卡 SC 中发给用户 Ui,如将 BiXSIDiEiOXSIDhEiAXSIDhEiAXSIDhEiOXSIDhEB〉, <SID6,E 16>保存在用户智能卡SC并发给山。用户山~1]3获得用户智能卡SC后利用Fi = h(IDi | Ai)计算出Fi~F3,且将自己的生物密钥辅助生成信息Δ :~Δ 3和Fi~F3分别存储在对应的 用户智能卡上,如用户U3智能卡中存有{ SID4,E34>,〈SID5,E35>,〈SID6,E36>,h( ·),R印(·)}。
[0046] 上述服务器&~S6和用户山~1]3在注册中心RC的注册过程所需信道为安全信道。 [0047] (3)用户和服务器认证与密钥协商
[0048]现将服务器S6作为用户U3的目标服务器,认证与密钥协商的过程为:
[0049] (3.1)用户U3将用户智能卡SC插入读卡器,并输入其注册名ID3、口令pw3、生物信息 V 3(允许V 3与注册时的生物信息b3有W比特的误差)、目标服务器S6的注册名SID6以及随机 数N31,用户智能卡利用所存储的模糊提取器Rep(.)算法计算Rep( Δ 3,t/ 3) = 9/ 3,再计算出 A'fWpwsI |θ'3),检查F3 = h(ID3| IAS)是否成立,若不成立,则用户智能卡SC自动终止远 程连接,中断登录请求;若成立,贝丨彳用户智能卡SC计算.P/O〗:=乂 3:敗83,:(/ 3 = h(ID31 | PID' 3)、 D;,,=匕,十P/i:)';, Μ丨=/7(57/)』D;(,)十必,,M2 = h(N311 ID'36),用户智能卡SC将用户登录 请求msgi= {(/ 3,Mi,]\fc}发给目标服务器S6;
[0050] (3 · 2)目标服务器S6收到用户登录请求msgl,计算/5//? = M,,?r(,,D〃36 = h((/ 31 ?310/6),乂=/^/仏||%)?11,检查12 = 1^/31||0〃36)是否成立,若不成立,则拒绝该登 录请求;否则,目标服务器s6选择随机数N32,计算媽二/2(57/? = ^2),14 = 11(1/311 IN32I |D〃36| |key),并将msg2={M3,M4}发给用户U3;
[0051 ] (3 · 3)用户U3收到msg2,计算Λ'" =/?(57D6 || £)丨6) Θ_Μ3,key ' =h(N3i | | Ν' 32),验证M4 = h(N31| iN^sl iDSsI Ikey')是否成立,若等式不成立,则终止该认证过程;否则计算 M5= k/? /;(1)〗6|| ),并将msg3 = {M5}发给目标服务器S6;
[0052] (3.4)目标服务器S6收到msg3,检验等式細尸射5? /?(% ||况32)是否成立,若成立, 则双向认证结束,双方拥有会话密钥key = key '。
[0053]本实施例中msgi、msg2以及msg3的传输信道均可采用一般公开信道。
[0054] 实施例2
[0055]本实施例中,在步骤(2)服务器和用户在注册中心RC全部注册完成后因用户3的指 纹受意外损坏,需要更改口令PW3和/或生物信息b3,具体步骤如下:
[0056] (a) 口令pw3和/或生物信息b3的动态更新
[0057]具体方法为:用户U3将用户智能卡SC插入读卡器并输入103、?《3、1/ 3,用户智能卡 SC利用模糊提取器的Rep(.)算法恢复该用户U3的生物密钥Rep( Δ 3,1/ 3) = θ' 3,并计算# 3 = h(pw3| |9/3),验证F3 = h(ID3| IaS)是否成立,若不成立,贝丨J用户智能卡SC自动中断请求;若 成立,提示用户输入新的口令/wT和/或生物信息53_,用户U 3重新采集自己的生物信息 6厂,并选择新的口令/mT,通过Gen(Z>r)=(笔*,客,计算出该用户U 3的新生物密钥 劣'重