CN101383707A - 一种轻量级认证系统及其关键算法 - Google Patents

Abstract

一种轻量级认证系统及其关键算法，能够与传统口令认证系统兼容，弥补其安全缺陷，也能够支持先进的电子令牌技术与指纹识别技术，其实施代价远低于PKI认证体系的实施代价，可用于填补近年来随着信息技术的发展在认证体系中出现的空白，在信息技术、金融以及数字化家电等领域都有较好的产品化前景。

Description

一种轻量级认证系统及其关键算法

一、技术领域

本发明属于信息安全领域，特别涉及计算机系统中的一种依托传统口令认证技术、与之兼容且能够支持先进的电子令牌技术与指纹识别技术的轻量级认证系统及其关键算法。

二、背景技术

口令认证技术源于Unix系统的认证机制，是目前在计算机及其应用系统中使用最广泛的一种用户认证技术。在口令认证技术中，主机利用一个单向函数把用户口令转换为一个定长的值并将其存在系统的口令文件中，当用户登录时，主机采用相同的函数计算用户实时输入的口令，通过比较计算值与系统存储的值对用户进行认证，如图1所示。图中Salt是为了抵御字典攻击，由系统添加的口令后缀。

口令认证技术的核心是一系列由用户帐号和口令哈希值(或口令本身)配对构成的数据集合，它们可以存储在口令文件中，也可以存储在数据库中或目录服务系统中。上述数据集合可以确定一个被信任的用户群体，一般称之为Domain或Realm。图2给出了基于上述口令认证技术的用户认证体系，以下称之为口令认证体系。在这个体系中，任何能够准确提供一对存在于Domain/Realm中的用户帐号和口令数据的人都将被认定为系统的合法用户。经过三十年的发展，口令认证体系已经发展为以bind()(或类似操作)为基本接口的分布式认证体系。图3至图6给出了在UNIX环境、WINDOWS环境、UNIX与WINDOWS混合环境以及更一般的分布式环境中常见的四种用户认证系统，它们都属于口令认证体系。

口令认证技术比较成熟，且具有轻便、高效的优点，但安全程度不够高，容易遭受窃听、重放、穷举等攻击。由于用户倾向于使用容易记忆的字母组合作为口令，采用各种专业工具的字典攻击已经成为口令认证系统的主要威胁。

近年来，随着电子技术的发展，各种电子令牌相继出现，采用电子令牌的用户认证技术也日臻成熟。电子令牌一般与质询/应答认证协议(也称挑战-应答认证协议)配套使用。质询/应答认证协议的基本思路是由甲方(认证方)向乙方(被认证方)发送一个随机的质询码，再由乙方返回一个应答码以证明自己的身份。这个应答码同时与质询码和一个乙方掌握的密钥相关，且三者之间的关系由某个密码算法确定。上述密码算法是整个协议的核心，它必须确保认证协议能够抵御窃听攻击与回放攻击。我们可以根据该算法的基本性质把质询/应答认证协议分为两大类，第一类认证协议支持对称密码算法，第二类认证协议支持非对称密码算法。

第一类质询/应答认证协议是一类基于MAC(信息认证码)的认证协议，如图7所示。设图中系统采用的哈希函数为h，则用户应答的MAC值为h(K，ID_u，R_u，R_s)。服务器若再把h(K，R_u，R_s)返回给用户，还能够实现双向认证。如果只需要单向认证，也可以用时间T取代R_s，并取消R_u，这使得与之配套的令牌，一般称之为时间令牌，免于读取数据。图8为常见的时间令牌外观，其屏幕上的输出需由用户手工录入到系统的认证界面中。总的说来，第一类质询/应答认证协议的优点是与其配套的电子令牌只需安全地存储一个对称密钥，并且实现一个哈希算法，造价比较低廉；该协议的缺点是服务器端必须维护一个对称密钥库，在分布式环境中还需要保证所有对称密钥能够安全地分发到各个认证点。

第二类质询/应答认证协议可选用多种非对称密码算法，包括基于各种安全机制的公钥加密算法与数字签名算法。图9给出一个基于数字签名算法的质询/应答认证协议，其中系统只要再把它对信息m＝(R_u，R_s)的签名返回给用户，就能够实现双向认证。第二类质询/应答认证协议的主要优点是服务器端无需维护密钥库，在分布式环境中也不存在密钥的分发问题；缺点是与其配套的非对称令牌造价比较昂贵。

我们也可以根据认证协议的接口，包括其应用接口与令牌接口，把上述非对称认证协议分为两类。第一类为专用认证协议，采用厂商提供的特定接口，其应用一般仅限于具体软件产品，如许多令牌厂商提供的用于Windows登录认证的软件。第二类为通用认证协议，采用标准化的接口，特别是标准化的令牌接口，可兼容不同的密码算法。这类协议通常把令牌视为密码插件的一种形式。

目前质询/应答认证协议的实现，特别是通用质询/应答认证协议的实现多依赖于公钥基础设施(PKI)，后者所支持的是一个与口令认证体系截然不同的重量级认证体系。图10、图11和图12从三个方面对PKI体系进行了描述，其中图10描述的是PKI的信任体系结构，图11描述的是一个依托PKI的信息认证体系，图12描述的则是一个依托PKI的用户认证体系。

在图11所示认证体系中，一个信息的认证实际上需要两个步骤，其中第一步根据PKI提供的证书链完成对用户公钥的认证，第二步则利用已认证的公钥对信息的签名进行鉴别，以判定其真伪。以上两个步骤都离不开一个关键技术，即数字签名技术。该技术有多种实现方案，国际上迄今已提出的主流方案可分为四大类，第一类基于因数分解问题(IFP)，如RSA方案；第二类基于离散对数问题(DLP)，如ElGamal方案及其变型，即DSA方案；第三类方案实际上为第二类方案在椭圆曲线上的移植，典型的例子是基于椭圆曲线离散对数问题(ECDLP)的ECDSA数字签名方案；第四类基于格中最短向量问题，如NTRU的数字签名方案(NSS)。不同的签名方案基于不同的安全机理，但它们都是由初始化算法、签名算法和签名验证算法这三大部分组成。注意在图11所示认证体系中，信息的签名者必须事先向体系中的一个安全认证中心(CA)申请一个数字证书，利用数字证书把非对称密码算法所需的公匙与各自的身份进行绑定。

图12所示认证体系可以视为图11所示认证体系的改进，两者之间的主要差别是后者引进了质询/应答认证协议，以实现用户认证与信息认证之间的转换。

现有支持质询/应答认证的通用协议主要是SSL/TLS。SSL/TLS协议原是一个网络传输安全协议，同时具有认证与保密能力，现已广泛用于各种远程系统，特别是网络应用系统的认证。该协议已获得了广泛的支持，多数主流技术平台都为其提供标准化的应用接口和令牌接口。WINDOWS平台的令牌接口为微软的Crypto API接口，非WINDOWS平台的配套令牌接口一般则遵循PKCS #11协议。值得指出的是，通过SSL协议把非对称令牌纳入PKI体系虽然可以实现电子令牌应用的标准化，但由于PKI的建设与运行的代价都很高昂，由此形成的非对称令牌对于PKI的依存关系反过来也成为其推广应用的一个重要制约因素。

近年来，数字化指纹特征识别技术也日臻成熟，并被用于计算机系统的用户认证。图13给出了基于指纹特征的用户认证系统的一般结构。指纹认证技术的优点是指纹具有与用户不可分离的特性，不容易被伪造。但目前常用的指纹认证技术也有许多较大的缺点，包括

第一，用户需要访问的每一个计算机系统都必须掌握其指纹模版。如果这些系统使用统一的指纹库，则系统需要保证库中的数据能被安全地分发到各个认证点；如果这些系统使用独立的指纹库，则用户需要反复注册，从而形成大量的指纹数据拷贝，因此可能造成指纹数据流失，侵犯用户的隐私权，留下隐患。

第二，由于传感器精度有限，现场提取的指纹数据实际上是一个随机数。虽然这个随机数一般足够接近用户注册的模版数据，因此能够保证指纹特征认证系统具有应用可行性，但其不确定性使得指纹认证技术很难与现有的密码技术，特别是公钥密码技术结合。

综上所述，如何克服口令认证技术的弱点，以及如何为先进的电子令牌技术与指纹识别技术在认证领域中的应用提供一个便捷、通用的接口都是信息安全领域意义重大的课题。本发明为综合解决上述问题提供了一个高效的方案。

三、发明内容

本发明要解决的问题是研究一种轻量级认证系统，并提供关键算法，该系统依托传统口令认证技术，与之兼容且能够支持先进的电子令牌技术与指纹识别技术。本发明的目的，是采用如下技术实现的：

第一，把图1所示的口令认证技术与经过改造的数字签名技术结合起来，形成一种新的信息认证技术，以下称之为轻量级信息认证技术，其特征是：实现该技术的认证系统由一个传统的口令认证模块和一个经过改造的数字签名方案组成；改造后的数字签名方案称为桥式数字签名方案，其私钥记为k_d，其公钥记为(k_e，k_p)，即k_d与(k_e，k_p)是一个密钥对，其中k_e为公钥的第一个分量，以下称之为外侧公钥，k_p为公钥的第二个分量，以下称之为内侧公钥，它也是口令认证模块中签名者账号对应的口令，k_p的哈希值存储在系统口令文件中；改造后的数字签名方案同样由初始化算法、签名算法和签名验证算法三部分组成，其初始化算法、签名算法和传统的数字签名方案中对应的算法没有区别，但其签名验证算法应能表示为：

k_p＝v(m，s，k_e)，                         (1)

或

$k_p\⊕h^2\left(k_p\right)=v(m,s,k_e),---\left(2\right)$

其中v是一个多项式时间函数，m代表信息，s代表m的签名，h²(k_p)＝h[h(k_p)]，h是一个哈希函数，其自变量的维数不限，当自变量的维数大于一时，先把各维变量串联，再计算其哈希值；信息的签名者以自己在口令文件中注册的账号(ID)标识自己的身份；系统的签名验证者先根据以上两个方程之一算出签名者的口令，即内侧公钥k_p，再以算出的口令和签名者提供的账号向口令认证模块登录或执行绑定操作，若登录或绑定成功，则接受签名，否则予以拒绝；采用方程式(1)的认证系统结构如图14所示，其中签名者的外侧公钥k_e存储在系统的密钥文件里，为了减小密钥文件的尺寸，可选择适当的签名算法，使得多个用户可以共享同一个k_e；采用方程式(2)的认证系统结构如图15所示，其中签名者的内侧公钥k_p被作为数字签名的附加部分，以便完全省略系统的密钥文件。

第二，把以上所述轻量级信息认证技术与质询/应答认证技术结合起来，形成一种新的用户认证技术，以下称之为轻量级用户认证技术，其特征是：实现该技术的认证系统由一个传统的口令认证模块和一个质询/应答模块组成，后者实现一个上述桥式数字签名方案和一个质询/应答认证协议；对一个用户进行认证时，质询/应答模块先向其发送质询信息，并根据其应答计算用户的口令，也就是用户的内侧公钥k_p，再以算出的口令和用户提供的账号向口令认证模块登录或执行绑定操作，若登录或绑定成功，则接受该用户，否则予以拒绝；质询/应答模块发送的质询信息为R_s，用户的应答内容为

m＝(ID_u，R_u，R_s)                   (3)

及其签名s，其中ID_u为用户帐号，R_s，R_u为系统质询/应答模块和用户分别产生的随机数，应答内容中的R_s一般可省略；以上计算m的公式还可以扩展为：

m＝(ID_u，R_u，R_s，μ)，              (4)

或

m＝(ID_u，R_u，R_s，μ，ρ)，           (5)

其中μ代表人工密码，ρ代表指纹模版数据；在上述系统中把用户的私钥k_d，外侧公钥k_e以及用户端相关代码封装在令牌中，并把(4)代入(1)或(2)，即可以实现双因素认证；若在(1)或(2)中改用(5)计算m，还可以实现用户指纹模版与用户帐号的绑定，此时再把现场提取的指纹数据与指纹模版进行比对即可完成对用户指纹的认证，如图16所示，其中虚线和虚框表示人工密码与指纹认证为系统的可选项。

第三，上述轻量级认证系统(包括轻量级信息认证系统与轻量级用户认证系统，下同)可采用以下给出的DLP版桥式数字签名方案，其特征是：

(a)初始化算法随机产生一个大素数p和两个大整数g，λ，其中签名方案的私钥为k_d＝λ，外侧公钥为

k_e＝(p，g)，                                (6)

内侧公钥按如下两个公式计算

σ＝g^λ(mod p)，                               (7)

$k_p=\hat{h}(p,g,\mathrm{\σ}),---\left(8\right)$

其中 $\hat{h}:{\left\{\mathrm{0,1}\right\}}^{*}\→S$ 是一个由哈希函数构成的单向函数(如包含哈希运算和BASE64编码运算)，其值域S包含在合法口令集合之中；

(b)签名算法采用如下公式：

r＝g^k(mod p)，                               (9)

s＝λ+kh(m，r)(mod p-1)，                          (10)

其中h是一个哈希函数，k是一个随机整数，m代表信息，其签名为(r，s)；

(c)签名验证算法采用(8)与如下方程:

σ＝g^sr^-h(m，r)(mod p)，                            (11)

它们可合并为

$k_p=\hat{h}[p,g,g^s{r}^{-h(m,r)}\left(\mathrm{mod}p\right)];---\left(12\right)$

(e)上述签名方案也可以移植到椭圆曲线(EC)上，通过把GF(p)上的乘方改为群EC[GF(p)]上的点乘，其中EC[GF(p)]代表建立在素数域GF(p)上的椭圆曲线，使之成为一个ECDLP版桥式钥数字签名方案，具体方法是：取椭圆曲线域(domain)参数为T＝(p，a，b，g，n，c)，其中g为基点，n为g的阶，n＝#g<∞，a，b为椭圆曲线方程系数，c为伴随系数，c＝#EC[GF(p)]/n，并把GF(p)版的方程(7)、(8)、(9)、(10)和(11)分别改为如下方程：

σ＝λg，                                           (13)

$k_p=\hat{h}(x_g,y_g,x_{\mathrm{\&sigma;}},y_{\mathrm{\&sigma;}}),---\left(14\right)$

r＝kg                                             (15)

s＝λ+kh(m，x_r，y_r)(mod n)。                       (16)

σ＝sg-h(m，x_r，y_r)r，                             (17)

其中k_d＝λ为新签名方案的私钥，k_e＝g为新签名方案的外侧公钥，x_r，y_r，x_g，y_g，x_σ，y_σ分别为椭圆曲线上的点r、g、σ的横坐标与纵坐标，信息m的数字签名为(r，s)，可简化为(x_r，s)。

第四，上述轻量级认证系统也可采用以下IFP版桥式数字签名方案，其特征是：

(a)初始化算法先随机产生两个秘密大素数，分别记为p和q，并计算n＝pq，再随机选择内侧公钥k_p，使得

为模-n二次剩余，即

$k_p\&CirclePlus;h^2\left(k_p\right)\&Element;{\mathrm{QR}}_n,---\left(18\right)$

其中

代表异或运算， ${\mathrm{QR}}_n\&Subset;Z_n$ 为模-n二次剩余构成的集合，算法可选择不同的k_p，反复尝试，直到(18)满足为止；初始化算法再求解如下两个方程：

$a_1^2=k_p\&CirclePlus;h^2\left(k_p\right)\left(\mathrm{mod}n\right),---\left(19\right)$

$a_1={\mathrm{\&beta;}}_1^e+{\mathrm{\&beta;}}_2^{-e}\left(\mathrm{mod}n\right),---\left(20\right)$

其中h是一个哈希函数，h²(k_p)＝h[h(k_p)]e是一个系统参数，一般取为128比特以上的大奇数，则k_d＝β₁为用户私钥，k_e＝n为外侧公钥，p和q可以销毁；

(b)签名算法采用如下公式：

${\mathrm{\&xi;}}_2=h\left(m\right){\mathrm{\&xi;}}_1^{-1}\left(\mathrm{mod}n\right),$

$x_1={\mathrm{\&xi;}}_1^e+{\mathrm{\&xi;}}_2^e\left(\mathrm{mod}n\right),---\left(21\right)$

$y_1={\mathrm{\&beta;}}_1{\mathrm{\&xi;}}_1^2+{\mathrm{\&beta;}}_2{\mathrm{\&xi;}}_2^2\left(\mathrm{mod}n\right),$

其中 ${\mathrm{\&beta;}}_2={\mathrm{\&beta;}}_1^{-1}$ (mod n)，ξ₁是一个小于n且与n互质的随机整数，m代表被签名信息，其签名为(x₁，y₁)；

(c)签名验证算法的依据是如下方程，

${[2\mathrm{\&psi;}(y_1,m_h,e)-a_1(x_1^2-{2m}_h^e)]}^2=(a_1^2-4)x_1^2(x_1^2-{4m}_h^e)\left(\mathrm{mod}n\right),---\left(22\right)$

其中m_h＝h(m)，ψ(z₁，z₂，i)，i＝1，2，3，...由如下公式递归确定：

ψ(z₁，z₂，1)＝z₁(mod n)，

$\mathrm{\&psi;}(z_1,z_2,2)=z_1^2-{2z}_2\left(\mathrm{mod}n\right),$

                                                 (23)

ψ(z₁，z₂，i)＝z₁ψ(z₁，z₂，i-l)-z₂ψ(z₁，z₂，i-2)(mod n)，

$\&ForAll;z_1,z_2\&Element;Z_n,i=\mathrm{3,4,5},....e.$

第五，在一些特定应用中，轻量级用户认证系统也可采用MAC技术取代数字签名技术，以降低令牌的成本，其特征是：用户的口令按如下公式计算：

$\mathrm{Password}=\hat{h}\{{\mathrm{ID}}_u,\mathrm{\&mu;},h[K,h\left(\mathrm{\&mu;}\right)]\},---\left(24\right)$

其中K为对称密钥，存放在令牌中，μ为人工密码，需要用户自己保管；登录开始时，用户先向系统的质询/应答模块输入ID_u和μ，再由质询/应答模块向令牌发送一系列咨询码{c_i}，要求h(μ)∈{c_i}，且其余的咨询码为随机数。令牌计算并输出{c_i}的MAC值，其中包括h[K，h(μ)]，质询/应答模块再根据(24)从MAC值算出登录需要的口令，并代表用户向口令模块登录，如图17所示；在上述用户认证系统中，也可以把(24)扩展为

$\mathrm{Password}=\hat{h}\{{\mathrm{ID}}_u,\mathrm{\&mu;},\mathrm{\&rho;},h[K,h\left(\mathrm{\&mu;}\right)]\},---\left(25\right)$

其中μ代表人工密码，ρ代表指纹模版数据，以实现多因素认证，如图18所示。

本发明的有益效果可以从两个角度考察。从系统角度看，本发明提供的轻量级认证系统是口令认证系统的升级，使之能够以最小的代价支持先进的电子令牌技术与指纹识别技术；从用户角度看，本发明充分利用现有的资源，为电子令牌技术与指纹识别技术的推广应用提供了一个高效、便捷、通用的接口。

四、附图说明

附图1-13描述现有的口令认证技术，其中采用的符号说明如下：

●ID/ID_U:用户的账号/身份，英文Identification的缩写

●Subject:主体，一般指被认证的主体，即用户

●Password:口令

●Password file:口令文件，其中存储的实际上是口令的哈希值

●Salt:盐，为了抵御字典攻击，由系统添加的口令后缀

●Hash；哈希值，也称散列值，摘要

●Hash function:哈希函数，用于计算哈希值的函数

●Server:服务器，这里泛指计算机主机

●Client:客户端

●Password file:存储口令哈希值的文件

●Request:指邦定请求

●Result:指邦定结果

●S/F:成功或失败，指用户认证结果

●Unix:一种主流操作系统

●NIS:Unix操作系统环境中的用户帐号集中管理系统

●Domain:域，指安全管理域

●NIS Master Server:NIS主服务器

●NIS Slave Server:NIS从服务器

●NIS Map:NIS用户帐号数据

●yppush:NIS服务器进程，用于传播NIS用户帐号数据

●ypbind:NIS客户进程，用于实现NIS认证

●Windows:一种主流操作系统

●DC，Domain controller的简写，指域控制器

●Active Directory:Windows采用的一种目录服务，简写AD

●LDAP:一种目录服务协议

●LDAP enabled:能够提供目录服务的(服务器)

●LDAP replication:LDAP目录数据复制

●Gateway:网关，特指协议转换网关

●User side:用户端

●Server side:服务器端

●R_U，R_S：分别为用户与服务器产生的随机数

●Challenge:质询

●Response:应答

●MAC:信息认证码

●Key:密钥

●Keyed hash function:加密钥的哈希函数，用于计算信息认证码

●Random value:随机数

●Nonce:一次性随机数

●Encryption:加密

●Decryption:解密

●Private key:私钥

●Public key:公钥

●Sig:数字签名

●CA:安全认证中心

●Root CA:即根CA

●Intermediate CA：指直接提供服务的CA

●Verisign，Amazon，Swisskey:均为安全认证中心的名称

●Self Signed:自签名的(证书)

●Verification Algorithm:指签名验证算法

●Trust：指信任关系

●SSL：一种安全通信协议

附图14-24描述轻量级认证系统的各种实现，其中采用的新符号说明如下：

●Token:令牌

●C/R module：挑战/应答模块

●Password Module：传统口令登录模块

●Verification Algorithm：签名验证算法，特指具有本发明说明书正文所述特性的签名验证算法，能获得向口令模块登录所需的完整口令

●Key file：密钥文件，特指本发明中用于存储公钥分量的系统文件

●Message:信息，特指需要计算MAC的信息

●Hashing and encoding:进行散列与编码运算

●Challenge generator:质询信息发生器

●Input:人工输入

●Sensor：特指指纹仪

●ρ:指纹模版

●μ：人工密码

●(Msg，Sig):挑战/应答信息及其签名

●A/D：接受或拒绝，指信息认证结果

附图14-24中采用的变量名称与正文中的变量符号之间的对应关系如下：

●ID/ID_U:ID_u

●ID_G:ID_G

●R_U，R_S：R_u，R_s

●Sig:s

●C₁，C₂，K_e，ρ，μ：c₁，c₂，k_e，ρ，μ

五、具体实施方案

根据本发明提供的轻量级信息认证技术可以构建一个轻量级信息认证体系，在图19描述的轻量级信息认证体系中，认证系统维护一个密钥文件，用于存储用户的外侧公钥，在图20描述的轻量级信息认证体系中，签名者的内侧公钥被作为数字签名的附加部分，认证系统不需要维护密钥文件。图21和图22给出两个具体的信息认证系统例子，它们都属于轻量级信息认证体系。注意在图21所示的系统中，应赋予LDAP客户进程适当的权限。LDAP客户进程应具有查询签名者外侧公钥的权限，但不应具有查询签名者口令的权限。此外，在图22所示的系统中，运行NIS客户进程的主机对于用户而言实际上是一台UNIX服务器，除了认证之外，它还可以提供其它服务。

上述认证体系的特点是其动态性与不可回溯性。所谓动态性指的是系统随时都可以添加一个新的签名者或删除一个现有签名者。所谓不可回溯性指的是任何签名者一旦被删除，他以前的所有签名也将失效。上述特点在有些应用中可能是缺点，但在另一些应用中则可能是PKI体系无法满足的优点。

根据本发明提供的轻量级用户认证技术可以构建一个轻量级用户认证体系，如图23所示。图24给出Windows环境中一个具体的用户认证系统，它属于上述用户认证体系。

我们再讨论本发明设计的桥式数字签名方案的特点。第一个数字签名方案特点是可以直接利用现有的令牌仿真实现。以EC版方案为例，它与标准ECDSA数字签名方案的区别在于后者的签名(x_r，s)中，s分量的计算公式为

s＝k^-1[h(m)+λx_r](mod n)，                        (26)

其中r＝(x_r，y_r)是椭圆曲线上的点，它和s满足如下方程：

ks＝h(m)+λx_r(mod n)。                             (27)

假定x_r模-n可逆，则(27)可改写为

$\mathrm{\&lambda;}=x_r^{-1}\mathrm{sk}-x_r^{-1}h\left(m\right)\left(\mathrm{mod}n\right),$

故得签名验证算法：

$\mathrm{\&sigma;}=\left(x_r^{-1}s\mathrm{mod}n\right)r+\left[x_r^{-1}h\left(m\right)\mathrm{mod}n\right]g,---\left(28\right)$

它同样具有(1)的形式，可视为(17)的一个变形。

第二个数字签名方案有两个特点，其特点之一是可以转化为一个基于身份的数字签名方案。转化的关键在于如何把用户的身份单向映射为a₁，并保证

是一个模-n二次剩余(QR)。一般可按如下公式计算a₁：

$a_1^2=h^{\mathrm{\&tau;}}\left(u\right)\left(\mathrm{mod}n\right),---\left(29\right)$

其中u为用户身份，可取为用户帐号ID和n的串联，即u＝(ID_u，n).h是一个哈希函数，h^τ(u)＝h[h^τ-1(u)]，

$\mathrm{\&tau;}=\underset{t}{\min }\{t:h^t\left(u\right)\&Element;{\mathrm{QR}}_n,{\left[h^t\left(u\right)\right]}^2-4\&Element;{\mathrm{QR}}_n\},---\left(30\right)$

${\mathrm{QR}}_n\&Subset;Z_n$ 为模-n二次剩余构成的集合。注意在一般应用中，用户必须把τ作为信息签名的一个组成部分，但在轻量级认证系统中，我们可以把τ作为salt存放在口令文件中。

在以上转换过程中，签名算法与签名验证算法保持不变，但初始化算法被分解为初始化算法和私钥提取算法，其中

(a)初始化算法随机产生两个秘密大素数，分别记为p和q，并计算n＝pq，素数p，q组成主密钥，由私钥产生器(PKG)保管，n则作为通用的系统参数予以公布；

(b)私钥提取算法分两步，第一步利用(29)和(30)把用户的身份，记为u，映射为公钥a₁；第二步利用主密钥求解方程(20)以获得用户私钥。

进行以上转化的主要目的是压缩系统密钥文件的长度。为此，我们可把用户分组，并以同一个n作为整个用户组的公共参数，即每个组的用户共享一个n参数。假定n的长度取为1024比特，则系统密钥文件的长度可压缩为1024π比特，其中π为用户组的数目。注意在压缩后的系统密钥文件中，用于检索k_e的ID需相应改为ID_G，即用户组的ID。

IB签名方案需要PKG的支持。它负责保管用户组的主密钥(p，q)，为全组用户提供私钥产生服务。给定n和ID_u，PKG可先根据(20)，(29)和(30)算出(mod n)，再按如下公式算出私钥：

${\mathrm{\&beta;}}_i={\left({\mathrm{\&beta;}}_i^e\right)}^d\left(\mathrm{mod}n\right),i=\mathrm{1,2},---\left(31\right)$

其中d为(n，e)对应的RSA密钥，满足

虽然PKG的运行需要代价，但它的引入分走了系统管理员的权限，使之不能单独创建账号，或修改用户密码，因此有利于提升系统的安全层次。

第二个数字签名方案的特点之二是可以达到现有IFP签名方案无可比拟的签名速度。另一方面，假定方程组

z₁＝ζ₁+ζ₂(mod n)，

z₂＝ζ₁ζ₂(mod n)，

有解，则根据(23)可得

$\mathrm{\&psi;}(z_1,z_2,2)=z_1^2-{2z}_2$

$\mathrm{\&psi;}(z_1,z_2,i)=z_1\mathrm{\&psi;}(z_1,z_2,i-1)-z_2\mathrm{\&psi;}(z_1,z_2,i-2)$

          i＝3，4，5，....e，

故有

$={\left[\mathrm{\&psi;}(z_1,z_2,i)\right]}^3-{3z}_2^i\mathrm{\&psi;}(z_1,z_2,i)---\left(33\right)$

$={\mathrm{\&psi;}(z_1,z_2,i)\left[\mathrm{\&psi;}(z_1,z_2,i)\right]}^2-{3z}_2^i]\left(\mathrm{mod}n\right),$

               i＝3，9，27，....e，

即当e＝3^r时，可采用如下公式简化ψ(z₁，z₂，e)的计算过程：

${\mathrm{\&psi;}(z_1,z_2,3i)=\left[\mathrm{\&psi;}(z_1,z_2,i)\right]}^3-{3z}_2^i\mathrm{\&psi;}(z_1,z_2,i)$

$={\mathrm{\&psi;}(z_1,z_2,i)\left[\mathrm{\&psi;}(z_1,z_2,i)\right]}^2-{3z}_2^i]\left(\mathrm{mod}n\right),---\left(34\right)$

                i＝3，9，27，....e；

故签名验证计算量也可减少为O(log₃ e)。一般可取r＝5，此时，e＝3⁵＝243，足以保证签名方案的安全性。

产品化是兑现本发明有益效果的一种途径。以下举例说明本发明的产品化前景:

●前景一，服务器增值产品。

系统管理员账号是黑客攻击的首要目标。服务器厂商可以通过引入本发明强制系统管理员采用质询/应答的方式进行认证，提高系统的安全性，实现服务器产品的增值。

●前景二，U-盘增值产品。

U-盘的应用已经十分普及。在U-盘嵌入必要的算法后就可以成为轻量级认证系统的普及型令牌。嵌入非对称算法的U-盘可支持图16所示的轻量级用户认证技术，嵌入对称算法的U-盘可支持图17或图18所示的轻量级用户认证技术。

注意令牌的输出可采用软键盘技术直接输入系统，故支持图17所示认证技术的令牌实际上是一个口令转换器，它可以把简单的人工密码转换成为复杂的、能够满足安全要求的登录口令，且不需要对系统/应用做任何改动。

●前景三，银行ATM机增值产品。

在ATM卡上增加IC芯片，并在芯片中嵌入必要的算法后，可支持图16或图18的轻量级认证技术，有效解决目前常见的ATM卡伪造、盗用等问题。支持非对称算法的ATM卡为高端卡，支持对称算法的ATM卡为低端卡，可分别满足不同层次的消费需求。由于用户人工密码与指纹的同时应用可弱化认证系统对于非对称密码技术的依赖，故廉价的低端卡也可以达到很好的增值效果。

为了支持轻量级认证方案，ATM机也必须作必要的改造，但我们可以把质询/应答模块放到ATM机中，故ATM系统的服务器端不必作任何变动。当系统要求输入口令时，ATM机综合令牌输出和用户输入的人工密码产生登录口令，通过ATM口令认证系统完成三因素综合认证。ATM机还需要配置指纹仪，负责采集、比对用户指纹，完成令牌中存储的指纹模版与现场采集的用户指纹数据的匹配。此外，保护指纹数据的令牌本地PIN也可以由ATM机根据用户输入的人工密码自动产生并输入令牌。

●前景四，银行柜台客户机增值产品。

以上用于ATM机增值的方案也可以用于开发银行柜台的客户机增值产品。

●前景五，第三代身份证系统。

我国已推广应用基于IC卡技术的第二代身份证，但新的身份证采用的IC卡的主要功能是存储数据，不具备主动认证的能力，随着整个社会的电子化，未来仍存在身份证更新换代的必要性。

注意身份证系统采用的认证体系应该是政府单方主导的认证体系，与以PKI为基础的商业认证体系有本质的区别，前者不能够排斥或取代后者，后者的基本理念也不适用于前者。

轻量级认证体系为第三代身份证系统提供了一个很好的选项。在图23所示的的轻量级用户认证体系中采用图21所示的的LDAP认证系统可以剥去依附于PKI认证体系的种种冗余环节，以紧凑可靠的技术、简洁高效的方式普及提供公民身份的数字认证服务。

●前景六，M2M通信源认证产品。

M2M通信即一般性机器间通信。手机间的短消息可以根据手机号码确定信源，但计算机给手机发的短消息就需要第三方的服务以确定信源。最近在市场上已出现通过互联网、有线/无线话音网控制家电的产品，这些产品的控制器更少不了对信源进行认证。图23所示的轻量级用户认证体系适合于开发上述M2M通信源认证产品。信汇端可以通过维护一个被信任者的“口令文件”管理自己的信任体系，无需第三方介入。

标准化是兑现本发明有益效果的另一种途径。如前所述，目前已标准化的用户认证体系体系不能很好地满足应用的需求，随着信息技术的发展，近年来在这个领域已经出现空白点。具体地说，口令认证体系受人类记忆能力的制约，具有内在的安全缺陷；PKI认证体系则由于其过于笨重、过于复杂，未能全面推广。事实上，PKI认证体系适用于需要第三方见证的商业交易，在大多数单方主导或双方协调的应用中，引入第三个责任方不仅是多余的，还可能由于增加了不可控的环节而留下安全隐患。本发明提出的轻量级认证体系能够弥补上述两种通用认证体系的不足，也能够为先进的电子令牌技术与指纹识别技术在认证领域中的应用提供便捷、通用的接口，若在国外相关研究滞后的情况下，及时将其标准化，可填补上述技术空白，也可为国内信息技术行业在与国外同行的竞争中争取到一个先机。

Claims (5)

1.一种轻量级信息认证技术，其特征在于：实现该技术的认证系统由一个传统的口令认证模块和一个经过改造的数字签名方案组成；改造后的数字签名方案称为桥式数字签名方案，其私钥记为k_d，其公钥记为(k_e，k_p)，即k_d与(k_e，k_p)是一个密钥对，其中k_e为公钥的第一个分量，以下称之为外侧公钥，k_p为公钥的第二个分量，以下称之为内侧公钥，它也是口令认证模块中签名者账号对应的口令，k_p的哈希值存储在系统口令文件中；改造后的数字签名方案同样由初始化算法、签名算法和签名验证算法三部分组成，其初始化算法、签名算法和传统的数字签名方案中对应的算法没有区别，但其签名验证算法应能表示为：

k_p＝v(m，s，k_e)，           (1)

或

$k_p\&CirclePlus;h^2\left(k_p\right)=v(m,s,k_e),---\left(2\right)$

其中v是一个多项式时间函数，m代表信息，s代表m的签名，h²(k_p)＝h[h(k_p)]，h是一个哈希函数，其自变量的维数不限，当自变量的维数大于一时，先把各维变量串联，再计算其哈希值；信息的签名者以自己在口令文件中注册的账号(ID)标识自己的身份；系统的签名验证者先根据以上两个方程之一算出签名者的口令，即内侧公钥k_p，再以算出的口令和签名者提供的账号向口令认证模块登录或执行绑定操作，若登录或绑定成功，则接受签名，否则予以拒绝。

2.以权利要求1所述轻量级信息认证技术为基础的轻量级用户认证技术，其特征是：实现该技术的认证系统由一个传统的口令认证模块和一个质询/应答模块组成，后者实现一个上述桥式数字签名方案和一个质询/应答认证协议；对一个用户进行认证时，质询/应答模块先向其发送质询信息，并根据其应答计算用户的口令，也就是用户的内侧公钥k_p，再以算出的口令和用户提供的账号向口令认证模块登录或执行绑定操作，若登录或绑定成功，则接受该用户，否则予以拒绝；质询/应答模块发送的质询信息为R_s，用户的应答内容为

m＝(ID_u，R_u，R_s)             (3)

及其签名s，其中ID_u为用户帐号，R_s，R_u为系统质询/应答模块和用户分别产生的随机数，应答内容中的R_s一般可省略；以上计算m的公式还可以扩展为：

m＝(ID_u，R_u，R_s，μ)，        (4)

或

m＝(ID_u，R_u，R_s，μ，ρ)，     (5)

其中μ代表人工密码，ρ代表指纹模版数据；在上述系统中把用户的私钥k_d，外侧公钥k_e以及用户端相关代码封装在令牌中，并把(4)代入(1)或(2)，即可以实现双因素认证；若在(1)或(2)中改用(5)计算m，还可以实现用户指纹模版与用户帐号的绑定，此时再把现场提取的指纹数据与指纹模版进行比对即可完成对用户指纹的认证。

3.适用于如权利要求1或权利要求2所述轻量级认证系统的DLP版桥式数字签名方案，其特征是：

(a)初始化算法随机产生一个大素数p和两个大整数g，λ，其中签名方案的私钥为k_d＝λ，外侧公钥为

k_e＝(p，g)，                      (6)

内侧公钥按如下两个公式计算

σ＝g^λ(mod p)，                     (7)

$k_p=\hat{h}(p,g,\mathrm{\&sigma;}),---\left(8\right)$

其中 $\hat{h}:\left\{\mathrm{0,1}\right\}*\&RightArrow;S$ 是一个由哈希函数构成的单向函数(如包含哈希运算和BASE64编码运算)，其值域S包含在合法口令集合之中；

(b)签名算法采用如下公式：

r＝g^k(mod p)，                      (9)

s＝λ+kh(m，r)(mod p-1)，           (10)

其中h是一个哈希函数，k是一个随机整数，m代表信息，其签名为(r，s)；

(c)签名验证算法采用(8)与如下方程:

σ＝g^sr^-h(m，r)(mod p)，              (11)

它们可合并为

$k_p=\hat{h}[p,g,g^s{r}^{-h(m,r)}\left(\mathrm{mod}p\right)];---\left(12\right)$

(e)上述签名方案也可以移植到椭圆曲线(EC)上，通过把GF(p)上的乘方改为群EC[GF(p)]上的点乘，其中EC[GF(p)]代表建立在素数域GF(p)上的椭圆曲线，使之成为一个ECDLP版桥式数字签名方案，具体方法是：取椭圆曲线域(domain)参数为T＝(p，a，b，g，n，c)，其中g为基点，n为g的阶，n＝#g<∞，a，b为椭圆曲线方程系数，c为伴随系数，并把GF(p)版的方程(7)、(8)、(9)、(10)和(11)分别改为如下方程：

σ＝λg                            (13)

$k_p=\hat{h}(x_g,y_g,x_{\mathrm{\&sigma;}},y_{\mathrm{\&sigma;}}),---\left(14\right)$

r＝kg                              (15)

s＝λ+kh(m，x_r，y_r)(mod n)。         (16)

σ＝sg-h(m，x_r，y_r)r，              (17)

其中k_d＝λ为新签名方案的私钥，k_e＝g为新签名方案的外侧公钥，x_r，y_r，x_g，y_g，x_σ，y_σ分别为椭圆曲线上的点r、g、σ的横坐标与纵坐标，信息m的数字签名为(r，s)，可简化为(x_r，s)。

4.适用于如权利要求1或权利要求2所述轻量级认证系统的IFP版桥式数字签名方案，其特征是：

(a)初始化算法先随机产生两个秘密大素数，分别记为p和q，并计算n＝pq，再随机选择内侧公钥k_p，使得

为模-n二次剩余，即

$k_p\&CirclePlus;h^2\left(k_p\right)\&Element;{\mathrm{QR}}_n,---\left(18\right)$

其中

代表异或运算， ${\mathrm{QR}}_n\&Subset;Z_n$ 为模-n二次剩余构成的集合，算法可选择不同的k_p，反复尝试，直到(18)满足为止；初始化算法再求解如下两个方程：

$a_1^2=k_p\&CirclePlus;h^2\left(k_p\right)\left(\mathrm{mod}n\right),---\left(19\right)$

$a_1={\mathrm{\&beta;}}_1^e+{\mathrm{\&beta;}}_2^{-e}\left(\mathrm{mod}n\right),---\left(20\right)$

其中h是一个哈希函数，h²(k_p)＝h[h(k_p)]e是一个系统参数，一般取为128比特以上的大奇数，则k_d＝β₁为用户私钥，k_e＝n为外侧公钥，p和q可以销毁；

(b)签名算法采用如下公式：

${\mathrm{\&xi;}}_2=h\left(m\right){\mathrm{\&xi;}}_1^{-1}\left(\mathrm{mod}n\right),$

$x_1={\mathrm{\&xi;}}_1^e+{\mathrm{\&xi;}}_2^e\left(\mathrm{mod}n\right),---\left(21\right)$

$y_1={\mathrm{\&beta;}}_1{\mathrm{\&xi;}}_1^2+{\mathrm{\&beta;}}_2{\mathrm{\&xi;}}_2^2\left(\mathrm{mod}n\right),$

其中 ${\mathrm{\&beta;}}_2={\mathrm{\&beta;}}_1^{-1}$ (modn)，ξ₁是一个小于n且与n互质的随机整数，m代表被签名信息，其签名为(x₁，y₁)；

(c)签名验证算法的依据是如下方程，

${[2\mathrm{\&psi;}(y_1,m_h,e)-a_1(x_1^2-2m_h^e)]}^2=(a_1^2-4)x_1^2(x_1^2-4m_h^e)\left(\mathrm{mod}n\right),---\left(22\right)$

其中m_h＝h(m)，ψ(z₁，z₂，i)，i＝1，2，3，...由如下公式递归确定：

ψ(z₁，z₂，1)＝z₁(mod n)，

$\mathrm{\&psi;}(z_1,z_2,2)=z_1^2-2z_2\left(\mathrm{mod}n\right),$                       (23)

ψ(z₁，z₂，i)＝z₁ψ(z₁，z₂，i-1)-z₂ψ(z₁，z₂，i-2)(mod n)，

$\&ForAll;z_1,z_2\&Element;Z_n,i=\mathrm{3,4,5},....e.$

(e)以上数字签名方案也可以转化为一个基于身份的数字签名方案，转化的关键在于如何把用户的身份单向映射为a₁，并保证

是一个模-n二次剩余(QR)，一般可按如下公式计算a₁：

$a_1^2=h^{\mathrm{\&tau;}}\left(u\right)\left(\mathrm{mod}n\right),---\left(29\right)$

其中u为用户身份，可取为用户帐号ID和n的串联，即u＝(ID_u，n).h是一个哈希函数，h^τ(u)＝h[h^τ-1(u)]，

$\mathrm{\&tau;}=\underset{t}{\min }\{t:h^t\left(u\right)\&Element;{\mathrm{QR}}_n,{\left[h^t\left(u\right)\right]}^2-4\&Element;{\mathrm{QR}}_n\},---\left(30\right)$

${\mathrm{QR}}_n\&Subset;Z_n$ 为模-n二次剩余构成的集合；在一般应用中，用户必须把τ作为信息签名的一个组成部分，但在轻量级认证系统中，我们可以把τ作为salt存放在口令文件中；经过以上转换，签名算法与签名验证算法保持不变，但初始化算法被分解为初始化算法和私钥提取算法，其中初始化算法随机产生两个秘密大素数，分别记为p和q，并计算n＝pq，素数p，q组成主密钥，由私钥产生器(PKG)保管，n则作为通用的系统参数予以公布；私钥提取算法分两步，第一步利用(29)和(30)把用户的身份，记为u，映射为公钥a₁；第二步利用主密钥求解方程(20)以获得用户私钥。

5.在如权利要求2所述轻量级用户认证系统中采用MAC技术取代数字签名方案的方法，其特征在于用户的口令按如下公式计算：

$\mathrm{Password}=\hat{h}\{{\mathrm{ID}}_u,\mathrm{\&mu;},h[K,h\left(\mathrm{\&mu;}\right)]\},---\left(24\right)$

其中K为对称密钥，存放在令牌中，μ为人工密码，需要用户自己保管；登录开始时，用户先向系统的质询/应答模块输入ID_u和μ，再由质询/应答模块向令牌发送一系列咨询码{c_i}，要求h(μ)∈{c_i}，且其余的咨询码为随机数；令牌计算并输出{c_i}的MAC值，其中包括h[K，h(μ)]，质询/应答模块再根据(24)从MAC值算出登录需要的口令，并代表用户向口令模块登录；在上述用户认证系统中，也可以把(24)扩展为

$\mathrm{Password}=\hat{h}\{{\mathrm{ID}}_u,\mathrm{\&mu;},\mathrm{\&rho;},h[K,h\left(\mathrm{\&mu;}\right)]\},---\left(25\right)$

其中μ代表人工密码，ρ代表指纹模版数据，以实现多因素认证。

Images