CN100583758C - 认证方法 - Google Patents

Abstract

本发明涉及组网络中基于口令的认证。每个装置(42)具有一个不可逆地基于口令的认证令牌。认证涉及输入口令P的第一装置(42-1)以及发生认证的第二装置(42-2)。第一装置根据口令及其自己的认证令牌R₁确定用于第二装置的校验令牌M_j，并且此校验令牌被发送给第二装置，在第二装置，将此校验令牌与该装置的认证令牌进行比较。过程可包括对装置进行更新，以便从组中排除非可信装置，或者变更口令。有利的特性是，一个装置中的信息不允许对口令进行检索，并且口令仅仅在一个装置、并且仅仅临时地在认证期间暴露。

Description

认证方法

技术领域

本发明一般涉及通信系统中的安全性，并且更具体地说，涉及组网络(group network)中基于口令的认证。

背景

近年来，对称为自组网(ad-hoc network)的动态组网络的兴趣愈来愈高，这种网络基本上可在任何存在利用相同部件通信的两个或更多节点的地方形成。网络中的每个节点可充当一个路由器，为其它节点转发数据包，或仅仅存在广播通信。因此，自组网不需要集中控制机制并且可很迅速地形成、合并在一起以及实时地分成单独的网络，而不依赖固定的基础结构。这种网络的有利特征是可将比较小而简单的设备用作节点，包括个人数字助理(PDA)、膝上型计算机和蜂窝电话。无线通信通常用于互连至少一些装置，但网络还可包括静态和有线的节点。

自组网可包括局域网(LAN)(如同一建筑中为共享服务器资源而互连的工作站)以及由个人管理的组网络(通常称为个人区域网(PAN))。PAN一般与小的覆盖范围相关联并且由拥有者附近的联网个人装置组成。一般来说，PAN节点是PDA、打印机、个人计算机、数字照相机、移动电话和MP3播放器，但网络还可包括诸如制冷器和真空吸尘器之类的家用电器。PAN中的自组网通信可采用各种技术。例如，蓝牙技术常常可以是一个PAN中的移动装置之间进行无线通信的适当选择。

将个人装置互连到组网络中导致一些明显的优点。但是，它也具有这种网络易受未授权侵入者攻击的特征。其主要原因在于通信往往利用无线电频率，所以容易窃听。此外，便携式装置自然比较容易被偷。最终，如果不采取对策，则自组网性质意味着欺诈装置进入网络的风险很高。如果恶意侵入者作为组中的一员被通过，并且被允许发送指令给另外的组成员并访问存储在其中的秘密信息，则后果可能是例如被毁坏。因此，运行良好的安全性方案是对诸如PAN的组网络将来广泛普及至关重要的。具体地说，存在对用于排除非可信组成员的安全机制的需要，例如，通过取消被窃装置的特权。

在PAN中，通常的每日用户是组的管理者，并且用户便利性是高度优先化的。因此，PAN安全机制如用户认证机制和组成员撤消机制的最合乎需要的特性是它们是用户友好的，最好基于简单的用户口。

根据众所周知的基于口令对装置进行认证的现有技术方法，口令的“散列值”被保存在装置中。当口令被输入到装置时，确定对应的散列值。然后，装置将此散列值与本地存储的值进行比较，如果输入口令正确，那么这两个值将是完全相同的。一般来说，用户立即得到某种表示认证是否成功的指示。

所描述的方法可应用于组网络上，一般对所有组成员使用一个通用的口令以便实现简单的网络管理。但是，这种解决方案具有严重的缺陷，因为入侵组成员的任何人能够检索本地存储的散列值并将其用于猜测和验证正确的口令。由于口令往往相当短，例如为四个数字/字符，因此自动攻击中尝试所有可能口令往往是可行的。这说明了常规的基于口令的机制一个主要问题，即口令通常可借助保存在被窃装置中的信息而被“逆向设计(reverse engineer)”。

因此，常规的电信系统的验证装置远不能令人满意，由此非常需要一种用于对组成员进行基于口令的认证的改进过程。

发明内容

本发明的总目的是提供一种用于组网络的改进安全性方案。具体目的是提供一种对组成员进行基于口令的认证的改进机制。另一目的是实现对组成员的安全撤销。

这些目的根据所附权利要求实现。

简要地说，提出了一种对诸如自组网和PAN的组网络中的装置进行基于口令的认证的新方法。每个组成员配置一个认证令牌，该认证令牌通过口令创建，但无法用于重建口令，也不能用于验证口令猜测是否正确。这可以例如通过使用输入了共同秘密和口令的单向函数值的双射加锁函数来实现。认证涉及两个装置，输入口令P的第一装置以及发生认证的第二装置。第一装置根据第二装置的身份标识、口令和它自己的认证令牌确定用于第二装置的校验令牌。这个校验令牌被传送到第二装置，在第二装置中，将校验令牌与它的认证令牌进行比较。如果这些令牌匹配，则输入口令是正确的并且认证成功。

最好，在使用后将口令以及在过程中产生的除各个装置的认证令牌以外的所有主要参数都清除。以这种方式，一个装置中包含的信息不允许检索口令，从而取得高度的安全性。本发明提供的另一个主要优点是口令仅仅必须在认证事件期间在单个装置中临时暴露。

本发明的优选实施例包括对装置进行更新并且可用于撤销非可信装置或用于变更口令等。还可能的是，在不变更口令的情况下排除一个组成员，这一点对用户是方便的。本发明的其它实施例完成更新权的安全授权以及组成员之间的相互的(双边的)认证。此外，最好实现限制认证次数或频率的策略，特别是在认证响应回传给用户的情况下。

根据本发明的其它方面，提供具有用于基于口令的认证的部件的通信系统和装置，以及用于基于口令的认证的计算机程序产品。

附图的简要说明

通过参考以下描述以及附图，能够最佳地理解本发明及其其它目的和优点，其中：

图1是能够使用本发明的例示性组网络的示意图；

图2是根据本发明的例示性实施例的组网络的基本组件的示意图；

图3说明根据本发明的例示性实施例对组成员的认证；

图4说明根据本发明的优选实施例的认证和更新；

图5说明根据本发明的优选实施例在一个组网络中的认证和更新；

图6是根据本发明的认证方法和优选实施例的流程图；

图7说明根据本发明的例示性实施例形成组网络的初始建立过程；

图8说明根据本发明的例示性实施例如何向组网络增加一个新成员；以及

图9说明根据本发明的例示性实施例的更新权授权。

详细说明

在所有附图中，相同的参考数字用于类似或对应的单元。

图1是能够使用本发明的一个例示性组网络的示意图。显示了一个相当小的网络100，包括PDA 12-1、膝上型计算机12-2和蜂窝电话12-3，构成所谓的无线个人区域网(WPAN)。其它个人装置可包括在PAN中，如打印机、MP3播放器、数字照相机和各种家用电器(制冷器、真空吸尘器等)。事实上，本发明不限于PAN，而是可用于任何类型的组网络，包括以自组网方式连接的其它组。这种自组网的典型特性是，一些装置仅仅在通信会话期间或在与网络的其余部分非常靠近时是网络的一部分。

根据本发明的组网络包括与共同口令如PIN码相关联的至少两个节点。组通常由单个用户管理，但也可以由两个或更多用户如同一家庭成员同享一个口令。节点能够如图1所示通过无线连接互连，例如利用蓝牙或红外线技术，或者电缆连接以及组合的无线/有线网络都是常见的。

图2是根据本发明的例示性组网络的基本组件的示意图。图示了一个由四个分别具有身份标识ID_i，i＝1，...，4的装置/单元22构成并由用户23处理的网络。每个装置配置了完全相同的组密钥K_G，以便使用众所周知的常规的认证技术在组内安全通信。这个密钥主要在装置在用户干预最少的情况下进行通信时使用，例如当它们需要自动彼此连接时。借助K_G，装置能够验证它们属于同一组网络。还可存在各个密钥对K_i，j(未显示)，i＝1，...，4，并且j＝1，...，4，以便允许组的两个特定成员之间的安全通信。密钥K_G和k_i，j一般在建立/初始握手过程期间安装在装置中。用户具有用于管理组网络的口令P。组中的所有装置因此与同一口令P相关联。

除了装置之间“自动”发生认证之外，在有些情况下，用户需要向一个特定的装置验证他自己。为了实现根据本发明的基于口令的用户认证，组中的各装置具有唯一的认证令牌R_i(图2中i＝1，...，4)。一般地，各个认证令牌R_i保存在对应的装置中，最好受防篡改保护，但也存在一个或多个R_i存储在外部的情况，例如在安全服务器中，在需要为认证目的从安全服务器检索所述一个或多个R_i时。对认证令牌进行分配，使得没有单独的认证令牌本身允许检索口令，也不提供验证猜测的口令是正确的部件。最好，认证令牌绝对不会揭示任何有关口令的信息。因此，R_i是口令P的单向函数，并且最好还取决于令牌秘密S，它是分别与口令P和认证令牌R_i都不相关的基本组密钥/秘密。然后，各个认证令牌R_i按照以下参考图7和8所述的方式，由相同的令牌秘密S和口令P建立。现在，简要说明根据本发明优选实施例的R_i、S和P之间的关系。

认证令牌R_i(i＝1，2，...，n，对于n个装置的一组)是H_i和令牌秘密S的加锁函数E的结果：

R_i＝E(H_i，S)

H_i又由下式给出：

H_i＝f(ID_i II P)

即口令P和各个装置身份标识ID_i的单向函数f。II表示串级联。

加锁函数E是第二输入中的双射函数，其反函数表示为D(D＝E^-1)，它意味着令牌秘密S可以通过下式来解锁：

S＝D(H_i，R_i)

所描述的关系可用于根据本发明的安全的基于口令的认证。

基于口令的认证

图3说明根据本发明的例示性实施例对组成员的认证。本发明的基本思想在于，利用组中的一个装置对一个或多个其它组成员进行认证。在所示实例中，用户33希望对装置j 32-2执行动作，比如发送撤销指令，为此，他的明确授权需要得到验证。用户选择组网络中的另一成员即装置i 32-1来处理认证并在这个装置输入口令P。然后，装置I按照以下步骤利用它自己的认证令牌R_i和口令的组合来将令牌秘密S解锁：

i)H_i＝f(ID_i II P)

ii)S＝D(H_i，R_i)

之后，装置i利用S和P来创建用于装置j的校验令牌M_j：

iii)H_j＝f(ID_j II P)

iv)M_j＝E(H_j，S)

校验令牌M_j表示如果用户输入正确的口令则应该在装置j上可用的认证令牌。M_j发送给装置j，最好借助密钥对k_i，j加以保护，在装置j将M_j与装置j的实际认证令牌R_j进行比较。如果M_j等于R_j，则认证成功地完成并且用户能够得到装置j的信任。另一方面，万一M_j不同于R_j，则认证失败并且装置j不听从来自装置i的要求显式用户授权的指令。然而，它仍可以接受其它类型的消息。在一些情况下，适当的是，让装置j 32-2通过发送认证响应消息34(如图3中虚线箭头所示)，从而将认证比较结果传递到装置i 32-1。

所述过程可有利地用于一个装置i对组中的几个装置的认证，或者甚至对所有其它组成员的认证。以上步骤iii和iv对每个装置j(j＝1，...，n，并且j≠i)重复。

对分配装置I的唯一严格要求是它必须具有一个输入装置等，如键盘，用于接收口令。由于配置动作能够在任何时候和任何地方被调用，因此它们最好应该可以从属于组中的任何装置调用。所以，在本发明的一个优选实施例中，各个组成员设有简单的输入单元，使其能够充当像上面的装置i的认证者。

口令P和S最好应该在使用后尽快被清除，从而它们仅仅在装置i中临时暴露。在最优选的实施例中，除了各个认证令牌R_i，参与认证过程的所有参数，包括P、S和像H_i的中间参数，在不再需要时都被删除。

本发明的基于口令的认证具有一些主要优点。口令只须在认证过程期间在组中的一个装置暴露。这意味着与口令在各个单元被暴露的常规认证相比改善相当大的口令管理以及安全性。此外，单个组成员的信息，即，它的认证令牌不允许检索或蛮力搜索口令。这意味着不可能从单个窃取的装置通过使用其中的信息来获得口令。一个装置也不可能在不知道口令的情况下用来“愚弄”另一个装置。

认证和更新

认证的目的通常是发送更新信息如撤销信息或新口令到一个或几个组成员。在这种情形下，更新过程以图4和5所示的方式结合到认证过程中。

图4说明根据本发明的优选实施例，用装置i 42-1对装置j 42-2进行认证和更新。如上，用户43在装置i输入组网络的口令P。如果用户希望变更口令和/或从组中除去一个或几个装置，则还将新口令P′和/或撤销信息45如非可信装置列表输入到装置i。在装置i通过上述步骤i和ii确定令牌秘密S。但是，在这种情况下，在实际认证和更新阶段之前，需要一些附加的准备。首先，最好通过常规的随机值产生部件来创建新的令牌秘密S′。S′和P′然后在装置I按照以下公式用于创建其本身的新认证令牌R_i′：

v)H_i′＝(ID_i II P′)

vi)R_i′＝E(H_i′，S′)

保存在装置I中(或外部)的认证令牌R_i替换为新的认证令牌R_i′。

用于认证的校验令牌N_j根据上述步骤iii和iv创建，但此时还确定装置j的新认证令牌R_j′：

vii)Hj′＝f(ID_j II P′)

viii)Rj′＝E(Hj′，S′)

之后，将校验令牌Mj从装置i传送到装置j，在装置j，按上述方式执行M_j和R_i之间的认证比较。在图4中，可选的是，从装置j发送认证响应消息44以表示认证结果。只有在令牌匹配并且认证由此成功的情况下，装置j才同意由装置i更新。在这种情况下，更新信息可以成功地传送到装置j。最好还将密钥对k_i，j或者另一安全机制用于此信息传送。

给装置j的更新信息包括新认证令牌R_i′以及还可能包括撤销信息和/或新的组密钥K_G′。撤销信息最好被保护，并且可包括包含要排出的装置的撤销列表或仍是组的部分的装置的等效组定义列表。通过这种列表，能够指令装置j忽略非可信装置。此外，列表尤其在一些可信装置还没有用新组密钥K_G′更新的情况下，在一段更新期内特别有用，因此，装置能够证明拥有特定组密钥的事实不足以区分可信和非可信装置。如果更新涉及诸如撤销的组定义措施，则新组密钥K_G′一般包括在更新信息中。

为变更口令P、从组中除去非可信成员，或者同时完成口令变更和撤销，可有利地应用上述过程。如果用户不希望改变口令，则在以上等式中，P′等于P。本发明能够在不变更口令的情况下允许撤销装置的事实构成本发明的另一有利特征。用户省去了每次重新定义组网络时必须创造一个新口令并记住新口令的麻烦，这简化了组的管理。

图5图示了根据本发明的例示性实施例在组网络中进行的认证和更新。在图示的实例中，组管理者53通过上述机制利用身份标识为ID₂的装置52-2对其它装置52-1、52-3、52-4进行认证和更新。因此，将口令P、P′和撤销信息55输入装置52-2，装置52-2对每个装置j(j＝1，3，4)重复步骤iii、iv、vii和viii，以获得各校验令牌和更新信息。新口令P′就像先前的口令P，仅在装置52-2中暴露，并且连同除新认证令牌R_i′(i＝1，2，3，4)之外的所有参数一起，最好在使用后立即删除。

通常，更新过程由组管理者以上述方式发起。组网络中的一个装置通过发送请求到另一个装置来发起更新的解决方案也属于本发明的范围。在一个实施例中，在例如一个不活动期之后接通的单元自动询问来自至少两个其它单元的适当的更新信息。

图6是根据本发明具有综合更新的认证方法的优选实施例的流程图。首先，组网络中的所有单元在步骤S1都配置了各自的认证令牌。认证令牌的分配涉及使用组的口令P，但这是以使没有任何单独的认证令牌可用于重新创建口令的方式完成的。当组成员在此分配阶段接收到它们的认证令牌时，实际认证阶段可以通过在第一单元输入用户选择的口令来发起。第一单元在步骤S2确定用于第二单元(具体为需要被认证的单元)的校验令牌。校验令牌可靠地传送到第二单元，在第二单元，将该校验令牌与分配给此单元的认证令牌进行比较(步骤S3)。成功认证的要求是这些令牌完全匹配。万一不是这种情况，则认证失败(步骤S4)并且第二单元不会信赖第一单元的管理者。

另一方面，完全相同的令牌表示成功地验证了输入口令。在这种情况下，第二单元接受被第一单元更新。然后，在步骤S5在第一单元创建更新信息，包括用于第二单元的新认证令牌。在步骤S6，产生的更新信息被转送第二单元，可能与第一单元不加变化地转发的更新信息一起。此转送可响应发自第二单元的认证响应消息而启动。或者，步骤S5以及可能还有S6在步骤S3的比较之前的较早阶段执行。步骤S5能够例如与步骤S2中的校验令牌确定操作同时进行，不管怎样，成功的认证比较总是要求第二单元接受被第一单元更新。在最后的步骤S7，用于验证过程的所有参数，除了认证令牌以外均从组网络中清除，包括口令。

上述用于基于口令的认证的机制可以作为在组网络中实现的计算机程序产品来实现。计算机程序产品可以是例如包括用于执行图6所示步骤的程序方法的可执行软件模块。

现在开始解释本发明的主要原则，下面将描述本发明的具体特征及实施例。

分配认证令牌

在实际认证阶段以前，认证令牌R_i(对于n个装置组成的组，i＝1，2，...，n)必须分配给组中的所有装置。

在初始的创建阶段，例如在形成新的组网络时，在整个系统中传播认证令牌R_i以及最好还有组密钥K_G。参考图7，所述装置之一72-1在这里被选作“分配装置”，它创建自己的认证令牌以及其余所有装置72-2、72-3的认证令牌。在用户73输入口令P到分配装置72-1时，分配过程正常地启动。此装置最好利用随机值生成函数产生用于组的令牌秘密S。然后，对于每个其它装置72-2、72-3，装置72-1按照以下步骤(j＝2，3)计算认证令牌：

ix)H_j＝f(ID_j II P)

x)R_j＝E(H_j，S)

在优选实施例中，认证令牌R₂、R₃经安全连接发送给对应装置，比如通过利用密钥对K_1，2、k_1，3以及以防篡改方式存储在其中。但是，在某些情况下这些密钥k_i，j在初始建立时不可用。于是，装置在初始阶段最好通过有线链路、红外线链路或短距离无线线路通信，以使窃听困难。此初始阶段可包括确立所述密钥。或者，可由用户/管理员人工输入密钥到装置中。

在向已有组网络中添加一个新装置时，可以使用类似的分配过程，如图8所示。假定用户83希望添加一个新装置82-4到组网络。他于是将口令P输入到另一个装置82-2，该另一个装置82-2已经是组中的一员，并且与认证令牌R₂相关联。此认证令牌R₂连同P和ID₂一起用于在装置82-2按照以下步骤(i＝2，j＝4)将S解锁并计算R₄：

xi)H_i＝f(ID_i II P)

xii)S＝D(H_i，R_i)

xiii)H_j＝f(ID_j II P)

xiv)R_j＝E(H_j，S)

利用密钥对K_2，4将R₄从装置82-2有利地安全发送到装置82-4。应该强调，用户可选择组中任何适合的装置82-1、82-2、82-3来为新装置分配认证令牌。具体地说，此分配装置82-2不必与执行初始认证令牌传播的分配装置(图7中的72-1)完全相同。

此外，除认证令牌以外参与分配过程的所有参数最好在使用后都被清除。

加锁函数E

根据本发明，用于确定认证令牌R_i的加锁函数E可以不同方式实现。但是，为了在上述分配和认证阶段检索S，在第二输入中E必须是双射的，即，有可能转换成为逆“解锁”函数D。

在一个优选实施例中，加锁函数E是对称的块加密函数，例如熟知的现有技术函数，像DES、AES、Blowfish或简单的逐位异或。但是，其它实施例可基于不对称函数，例如ElGamal加密：

$\left\{\begin{array}{c}E(x,y)=g^{x}y\mathrm{mod}p\\ D(x,y)=g^{-x}y\mathrm{mod}p\end{array}\right.$

其中p是适当的素数并且g是Z_p*的大子组的发生器。有关提及的加密函数以及一般的密码术的更多信息可参考例如CRC出版社出版的，由A.J.Menezes、P.C.van Oorschot和S.C.Vanstone所著的“应用密码术册(Handbook of Applied Cryptography)”。

加锁函数中利用的基本特性是对于每一个可能的口令P′，存在一个S′，如果P′是正确的，则S′将产生认证令牌Ri。因此，不可能使用R_i作为正确猜出的口令的“证据”。更精确地说，给定一个候选P′，则可容易地验证值S′＝D(f(ID_i II P′)，R_i)具有此性质，因为E(f(ID_iII P′)，S′)＝R_i。

另一概括以上方法的途径是使用称为基于口令的秘密共享的新插值法。加锁函数于是设为

E(x，S)＝ax+S    (a≠0)

它对应于斜率为a、截距为S的直线。仍参考加锁函数的线条解释，基本思想是在各个装置和用户分别拥有确定其所需的关键的一部分信息的意义上，在各个装置和用户之间共享该线条(即到E)的秘密。由于直线由两个点唯一确定，因此可通过在装置中提供线上一个点的信息(通过R_i)来实现秘密共享，而获得另一点需要用户口令P。

所概括的基于口令的秘密共享可以按如下方式完成。对每个i创建E(H_i，S)，并将相应的认证令牌R_i设为：

R_i＝{x，E(x，S)，E(H_i，S)}(x≠H_i)

其中x是对组中所有R_i均相等的随机值。在这种情况下，R_i包含“线”E上的一个点的两个座标(x，E(x，S))，但仅包含另一个点的一个座标(E(H_i，S))。剩余的座标(H_i)只可通过在装置I上输入口令P来确定，因为按照定义，它是P的单向函数：

H_i＝f(ID_i II P)

解锁在此实例中通过以如下定义的解密函数D进行内插来完成：

$D(H_i,R_i)=E(x,S)-x\·\frac{E(x,S)-E(H_i,S)}{x-H_i}$

利用以上等式，如果已知P(并因此知道H_i)，则可检索到令牌秘密S。

更新权的授权

如果用户开始对某一装置进行更新，并且在尽管仍存在装置需要更新的情况下由于某种原因无法继续，则适当的是，根据本发明的另一实施例应用一个授权方案。于是，用户选择一个或多个被授权更新剩余装置的组成员。这意味着更新通过从口令P所输入到的原始更新装置接收到更新权的中间装置进行。

图9示意性地说明本发明的一个例示性实施例，其中更新权从装置i 92-1授权给两个中间装置q1 92-2和q2 92-3。根据以上步骤iii、iv、vii和viii，装置i创建校验令牌M_j和新认证令牌R_j′，用于非被更新装置j 92-4。它发送M_j和包括R_j′的更新信息到两个中间装置q1和q2。在所示实例中，装置q2遇到非被更新装置j，并且在成功认证之后将更新信息转发到该装置。

为了增加快速可靠更新剩余装置的可能性，适当的是，将等效的更新权授权给几个中间装置。首先能够与特定的非被更新装置通信的装置执行对它的更新。可以不同方式处理另一授权更新装置以后遇到此已经更新的装置的情况。一种可能是指示被更新装置忽略多次更新尝试。另一可能是授权更新装置认识到已经发生了更新，因此不再需要其它动作。下文中会描述实现此目的装置。处理多次更新尝试的最后方式将是简单地允许这种多次更新尝试。这将导致网络中不必要的信令，但通常不会引起任何严重问题。

在提出的授权方案中，仍在原始更新装置(图9中的92-1)创建更新信息，而至少一部分更新信息经中间装置传送。结果，口令P仍仅需要在一个组成员处暴露。这构成了本发明的另一有利特征，并且允许这样的实施例，其中，更新权授权包括授权进一步授权更新权的权利。换句话说，更新可通过两个或更多中间装置进行，导致一系列组成员参与更新过程。不管中间装置的数量，口令P被限制在第一装置，并且在这点上，维持了本发明的安全口令管理。

根据本发明的另一实施例，不论授权涉及单个中间装置还是几个装置，更新权可有利地附带一个时间戳。时间戳便于确定更新信息在中间装置实际遇到更新权所涉及的装置之一的时间点时是否仍有效。最好，时间戳包括生成标识ID_G，表示更新信息所属的更新代。出于比较目的，组中的装置还具有ID_G参数。在进行更新过程期间，一些装置可以例如以新的生成标识ID_G′更新，而另一些装置仍与上面的ID_G相关联。装置的生成标识ID_G通常与组密钥K_G密切关联，并且与组密钥K_G同时被更新。

借助于时间戳，装置q在遇到它具有用于装置j的更新信息的装置j时，q可通过校验更新信息是否属于不同于装置j的当前生成标识ID_G的以后的生成标识，从而确定更新是否仍是所关心的。通过以所述方式记录不同的更新事件，可识别并忽略延迟的更新事件。

更新权授权最好涉及由用户就哪些组成员应该有权执行更新操作进行有效选择，如上所述。但是，本发明也涵盖由原更新装置响应失败或中断的更新过程而自动发起授权的方案。

认证响应消息和更新策略

根据本发明的基本原则，用户输入口令到装置，该装置与另一装置对其进行验证。第一装置不知道认证结果，用户也不知道。在一些情况下，可以期望接受/拒绝信号，并因此根据本发明的一些实施例(图3、4和9的34；44；94)向第一装置回送认证响应消息，以指示认证结果。在失败的情况下，生成出错审计记录消息也可能是适当的。

认证响应消息的优点在于，使用户有可能了解他是否输入了正确的口令。但是，发送响应消息也引入了一个问题，因为它几乎立即在窃取的装置上显示攻击者尝试的口令是否正确。因此，可能的是，攻击者通过重复地发送信息到几个非更新的装置，从而尝试许多不同的口令。为避免这种情况，最好在组网络中的一些或所有装置中实施控制认证的策略。这些策略可例如对口令尝试次数施加限制。例如可指令每个装置仅接受三次连续的口令尝试。

还可以有针对口令尝试频度的策略，使得显示给用户的响应消息随口令尝试次数增加而以指数方式加以延迟。于是，攻击者必须等待越来越久才能得到各口令尝试的结果，使其几乎不可能完成为发现正确口令在统计上所需的大量尝试。这种延迟策略最好与对口令尝试次数的限制相结合，但也可以单独加以应用。

根据本发明的其它实施例，如果超过了预定的口令尝试次数，则生成给用户的告警信号。在攻击单元上创建告警信号，并且最好一可创建适当的通信路径，就将告警信号发送给一个或几个其它组成员。当告警消息到达组管理员时，他可采取适当的措施，比如响应于此而发起撤销操作。

相互验证

所提出的方法的另一个有利特征是它可加以扩展以允许双向验证，其中不仅向第二装置认证第一装置，而且同时向第一装置认证第二装置。通过这种相互认证，在组网络中的一对装置之间创建信任关系。

根据本发明，用于装置i和装置j之间进行相互验证的机制的例示性实施方案在如下协议A和B中给出。两个解决方案都涉及保护认证令牌R_j的附加安全措施，并且涉及基于在相应单元上产生的随机值的临时测试秘密。这引起表示认证令牌的参数之间的认证比较，即间接认证令牌之间的认证比较。装置i就j之间的通信最好借助密钥对K_i，j来加以保护。

协议A

定义f(R，z)为一个适当的伪随机函数，如密钥为R输入为z的AES，并且令II表示比特流的级联。

协议B

定义p为一个适当的素数，并且g作为Z_p的发生器，并且令II表示比特流的级联。

协议A解决方案的优点是非常简单直接。然而，理论上它导致口令安全性在一定程度上降低，因为大量猜测可能获得口令。在实践中，这通常它在正常情况下不构成问题，并且在顾虑口令安全性时，可使用加密封装的协议A。

在协议B中，认证令牌通过附加的安全性步骤隐藏。该过程基于交换两个装置共同的、由来自每个装置的一个随机值x和y确定的密钥g^xy。密钥交换通过传送参数a和b来进行。txt1和txt2是与a和b级联的任意长度的文本串，用于形成单向函数HMAC的第二输入参数。有关HMAC的更多信息，可参考IETF：“HMAC，Keyed-Hashing for Message Authentication(HMAC，用于消息认证的加密散列)”(RFC 2104)。

关键操作

在某些情况下，区分用户需要认证的关键操作与组网络中其它的次要操作是适当的。为此，本发明的优选实施例在组中的一些单元或所有单元中实施定义关键性操作的一些策略。一种方式将是简单地使用从单元访问的查找表。所述策略存储在这些单元中，或者存储在外部。

关键性操作包括要求更新组中一些装置的操作如撤销以及不涉及信息更新但仍需要认证的操作。后者通常适用于为访问与高保密性需求相关的对象或服务而执行的操作，比如打开保险箱或从服务器检索秘密信息。

尽管已经参考特定的例示实施例对本发明进行了描述，但应该强调，本发明还涵盖与所公开特征的等效者以及本领域技术人员显而易见的各种修改和变型。因此，本发明的范围仅由所附权利要求书限定。

Claims (46)

1.一种在通信系统中的基于口令的认证方法，所述通信系统包括与一个共同口令相关联的至少两个单元(12；22；32；42；52；72；82；92)构成的组(100)，其特征在于如下步骤：

基于所述口令将各个认证令牌分配给各单元，使每个认证令牌由所述口令不可逆地确定；

在第一单元利用所述第一单元的认证令牌和所述口令检索令牌秘密；

在所述第一单元(32-1；42-1；52-2；92-1)基于所述口令和所述令牌秘密确定用于第二单元(32-2；42-2；52-1，52-3、52-4；92-4)的校验令牌；

将所述校验令牌发送到所述第二单元(32-2；42-2；52-1，52-3、52-4；92-4)；以及

在所述第二单元，将所述校验令牌与所述第二单元的认证令牌进行比较，以向所述第二单元认证所述第一单元。

2.如权利要求1所述的方法，其特征在于如下另一步骤：

在使用之后，删除所述口令以及在所述认证过程中产生的除所述认证令牌以外的所有重要参数。

3.如权利要求1所述的方法，其特征在于以下另一步骤：

在所述第二单元(42-2；52-1，52-3、52-4：92-4)响应成功的认证而接受从所述第一单元(42-1；52-2；92-1)安全转送的更新信息，至少一部分所述更新信息在所述第一单元创建。

4.如权利要求3所述的方法，其特征在于：所述更新信息与非可信组成员的撤销相关联。

5.如权利要求3所述的方法，其特征在于：所述更新信息与口令变更有关。

6.如权利要求3所述的方法，其特征在于：所述更新信息是从如下组中选择的：新认证令牌、新组密钥、组定义列表、撤销列表(45；55；95)以及包括它们的组合。

7.如权利要求3所述的方法，其特征在于：将更新权授权给第三中间单元(92-2，92-3)，并且将所述第二单元(92-4)的所述更新信息的至少一部分发送给所述中间单元。

8.如权利要求7所述的方法，其特征在于：所述更新信息伴随有时间戳，用于在所述中间单元(92-2，92-3)遇到所述第二单元(92-4)时，确定所述更新信息是否仍然有效。

9.如权利要求7所述的方法，其特征在于：所述更新权授权包括授权进一步授权更新权的权利。

10.如权利要求1所述的方法，其特征在于：所述分配步骤又包括如下步骤：

在所述组中的分配单元(72-1；82-2)确定所述组共同的并且与所述口令不相关的令牌秘密；以及

在所述分配单元基于所述令牌秘密和所述口令创建用于所述组中另一个单元(72-2，72-3；82-4)的认证令牌。

11.如权利要求10所述的方法，其特征在于：所述确定所述令牌秘密的步骤涉及产生所述令牌秘密，作为初始建立过程的一部分。

12.如权利要求1所述的方法，其特征在于：所述确定校验令牌的步骤又包括如下步骤：

在所述第一单元基于所述令牌秘密和所述口令创建用于所述第二单元(32-2；42-2；52-1，52-3，52-4；92-4)的校验令牌。

13.如权利要求10或12所述的方法，其特征在于：所述创建步骤涉及利用一个双射加锁函数，该双射加锁函数的输入参数包括所述令牌秘密和所述口令的一个单向函数值。

14.如权利要求13所述的方法，其特征在于：所述加锁函数是对称的加密函数。

15.如权利要求13所述的方法，其特征在于：所述加锁函数通过基于口令的秘密共享实现。

16.如权利要求1所述的方法，其特征在于：在所述组中的至少一个单元中实施策略来限制认证尝试的次数和/或频率。

17.如权利要求1所述的方法，其特征在于如下另一步骤：如果认证尝试次数超过一个预定值，则产生告警信号。

18.如权利要求1所述的方法，其特征在于如下另一步骤：从所述第二单元(32-2；42-2；92-4)发送认证响应消息(34；44；94)，以指示所述比较步骤的结果。

19.如权利要求1所述的方法，其特征在于：进一步向所述第一单元(32-1；42-1；52-2；92-1)认证所述第二单元(32-2；42-2；52-1，52-3，52-4；92-4)，由此所述第一和第二单元互相彼此认证。

20.如权利要求19所述的方法，其特征在于如下步骤：

在所述第一和第二单元产生相应的随机值；

基于所述随机值在所述第一和第二单元确定临时测试秘密；以及

在所述第一和第二单元之间交换所述临时测试秘密，用于相互认证目的。

21.如权利要求1所述的方法，其特征在于：需要认证的关键操作列举在至少一个所述单元(12；22；32；42；52；72；82；92)中的策略中。

22.如权利要求3所述的方法，其特征在于：在不活动一段预定时间之后接通的单元(42-2；52-1，52-3，52-4；92-4)自动地请求来自至少两个其它单元的适当更新信息。

23.如权利要求1所述的方法，其特征在于：所述单元组(100)构成个人区域网PAN。

24.如权利要求1所述的方法，其特征在于：所述认证令牌以防篡改方式存储在所述各个单元(12；22；32；42；52；72；82；92)中。

25.一种通信系统，包括由与一个共同口令相关联的至少两个单元(12；22；32；42；52；72；82；92)构成的组(100)以及用于基于口令认证的部件，其特征在于：

基于所述口令将各个认证令牌分配给所述组中的各个单元，使每个认证令牌由所述口令不可逆地确定的部件；

用于在第一单元(32-1；42-1；52-2；92-1)利用所述第一单元的认证令牌和所述口令检索令牌秘密的部件；

用于在所述第一单元(32-1；42-1；52-2；92-1)基于所述口令和所述令牌秘密确定用于第二单元(32-2；42-2；52-1，52-3，52-4；92-4)的校验令牌的部件；

用于将所述校验令牌发送到所述第二单元的部件；以及

在所述第二单元将所述校验令牌与所述第二单元的所述认证令牌进行比较，以向所述第二单元认证所述第一单元的部件。

26.如权利要求25所述的系统，其特征在于还包括：

在使用之后，删除所述口令以及在所述认证过程中产生的除所述认证令牌以外的所有重要参数的部件。

27.如权利要求25所述的系统，其特征在于还包括：

用于从所述第一单元(42-1；52-2；92-1)安全地转送更新信息到所述第二单元(42-2；52-1，52-3，52-4；92-4)的部件；以及

用于在所述第二单元响应成功的认证而从所述第一单元接受更新信息的部件。

28.如权利要求27所述的系统，其特征在于：所述更新信息与非可信组成员的撤销相关联。

29.如权利要求27所述的系统，其特征在于：所述更新信息与口令变更有关。

30.如权利要求27所述的系统，其特征在于：所述更新信息是从如下组中选择的：新认证令牌、新组密钥、组定义列表、撤销列表(45；55；95)以及包括它们的组合。

31.如权利要求27所述的系统，其特征在于：用于将更新权授权给第三中间单元(92-2，92-3)的部件，以及用于将所述第二单元(92-4)的所述更新信息的至少一部分发送给所述中间单元的部件。

32.如权利要求25所述的系统，其特征在于：所述用于分配的部件又包括：

用于在所述组中的分配单元(72-1；82-2)确定所述组所共同的并且与所述口令不相关的令牌秘密的部件；以及

用于在所述分配单元基于所述令牌秘密和所述口令创建用于所述组中另一个单元(72-2，72-3；82-4)的认证令牌的部件。

33.如权利要求25所述的系统，其特征在于：所述用于确定所述校验令牌的部件又包括：

用于在所述第一单元基于所述令牌秘密和所述口令创建用于所述第二单元(32-2；42-2；52-1，52-3，52-4；92-4)的校验令牌的部件。

34.如权利要求32或33所述的系统，其特征在于：所述用于创建的部件涉及一个双射加锁函数，该双射加锁函数的输入参数包括所述令牌秘密和所述口令的一个单向函数值。

35.如权利要求25所述的系统，其特征在于：在所述组中的至少一个单元中实施的策略用于限制认证尝试的次数和/或频率。

36.如权利要求25所述的系统，其特征在于还包括：用于在认证尝试次数超过一个预定值的情况下产生告警信号的部件。

37.如权利要求25所述的系统，其特征在于还包括：用于从所述第二单元(34-2；42-2；92-4)发送认证响应消息(34；44；94)的部件。

38.如权利要求25所述的系统，其特征在于还包括：用于在所述组中的两个单元(12；22；32；42；52；72；82；92)之间的相互认证的部件。

39.如权利要求25所述的系统，其特征在于：定义需要认证的的关键操作的策略。

40.如权利要求25所述的系统，其特征在于：所述系统是个人区域网PAN。

41.一种属于由与一个共同口令相关联的至少两个装置构成的组(100)的第一装置(12；22；32；42；52；72；82；92)，其包括用于基于口令认证的部件，其特征在于：此第一装置包括：

用于接收口令的部件；

用于基于所述口令将各个认证令牌分配给所述组中的其它装置(72-2，72-3；82-4)，使各个认证令牌由所述口令不可逆地确定的部件；

用于利用第一装置(32-1；42-1；52-2；92-1)的认证令牌和所述口令检索令牌秘密的部件；

用于基于所述口令和所述令牌秘密确定用于所述组中的第二装置(32-2；42-2；52-1，52-3，52-4；92-4)的校验令牌的部件；以及

用于将所述校验令牌传送到所述第二装置以向所述第二装置进行认证的部件。

42.如权利要求41所述的装置，其特征在于还包括：

在使用之后，删除所述口令以及在所述认证过程中产生的除所述认证令牌以外的所有重要参数的部件。

43.如权利要求41所述的装置，其特征在于还包括：

用于创建所述第二装置(42-2；52-1，52-3，52-4；92-4)的更新信息的部件；以及

向所述第二装置安全地传送更新信息的部件。

44.如权利要求43所述的装置，其特征在于：用于将更新权授权给一个中间装置(92-2，92-3)的部件，以及用于将所述第二装置(92-4)的所述更新信息发送给所述中间装置的部件。

45.如权利要求41所述的装置，其特征在于：所述用于分配的部件又包括：

用于确定所述组所共同的并且与所述口令不相关的令牌秘密的部件；以及

用于基于所述令牌秘密和所述口令创建用于所述组中另一个装置(72-2，72-3；82-4)的认证令牌的部件。

46.如权利要求41所述的装置，其特征在于：所述用于确定所述校验令牌的部件又包括：

用于基于所述令牌秘密和所述口令创建用于所述第二装置(32-2；42-2；52-1，52-3，52-4；92-4)的校验令牌的部件。

Images