CN101425897A - 一种用户认证方法、系统、服务器和用户节点 - Google Patents

Abstract

本发明公开了一种用户认证方法、系统、服务器和用户节点，属于网络信息安全领域。方法包括：服务器接收用户提交的身份信息，向用户发送包含用户口令和有效期间的注册信息；用户根据用户口令和代数曲线的生成元点生成登录信息参数，向服务器发送登录信息；服务器根据身份信息、登录信息参数和有效期间生成服务器会话密钥，向用户发送用户会话密钥参数；用户生成用户会话密钥；服务器和用户根据各自生成的会话密钥进行相互认证。系统包括服务器和用户节点。一种服务器和一种用户节点。本发明通过构造一个代数曲线群和运用一个安全的哈希函数，优化了用户认证，对于服务器来讲，维护更简单，安全性增强，还适用于网格计算平台下的用户认证。

Description

一种用户认证方法、系统、服务器和用户节点

技术领域

本发明涉及网络信息安全领域，特别涉及一种用户认证方法、系统、服务器和用户节点。

背景技术

近年来，网格计算无论是在学术领域还是在应用研究领域均得到了广泛深入的研究。网格计算，作为一种分布式计算模型，代表着一类新的系统。这些系统可以通过Internet的连接将各种异构的计算资源，如计算机、存储空间、传感器、应用软件和实验结果组合在一起，从而为更大范围内的用户群提供方便的访问。例如，当用户请求一些计算和数据资源时，网格可以通过Internet无缝地、透明地、动态地提供给他们，这种方式非常类似于电力网络供电给终端用户。

然而，由于网格计算的目的在于仅提供安全的网格服务资源给合法的用户，因此安全问题成为网格计算中一个非常重要的问题。为了阻止不合法的用户去访问网格资源，用户与服务器之间必需保证互相认证。

Chang等学者提出了一个有效的实用的基于口令的认证方案以解决认证问题。该方案具体方法步骤如下：

其中，U：用户；

      S：可信任的服务器；

      ID：用户公开的用户身份；

      pw：用户低熵的口令；

      K：服务器密钥；

      p，q：两个大素数满足q|p-1；

      g：GF(p)中阶为q的生成元；

      E(x，y)：对称加密算法以x作为密钥加密y；

      H()：安全的单向哈希函数。

服务器首先通过密钥K将(ID，E(K，pw))存放在数据库中。描述中为方便省略modp。

登录认证阶段：

第一步：用户U选择一个随机数r₁，计算。然后，用户U将计算结果以及身份ID作为登录请求发送给服务器。

第二步：当服务器S接收到登录请求后，服务器首先根据身份ID从数据库中找到对应的E(K，pw)，然后用K解密pw，之后再使用口令pw获取

，选择一个随机数r₂，计算服务器S的会话密钥 $\mathrm{sk}={\left(g^{r_1}\right)}^{r_2}$ 。服务器S计算和

，并将计算结果发送给用户U。

第三步：用户U根据接收到的信息，计算用户U的会话密钥 $\mathrm{sk}\′={\left(g^{r_2}\right)}^{r_1}$ ，通过检查等式 $H(\mathrm{sk},g^{r_1})=H(\mathrm{sk}\′,g^{r_1})$ 来认证服务器S。如果成立，服务器S被认证。计算

，将结果和ID发送给服务器S。

第四步：服务器S用自己的sk和

计算哈希值

并确定等式 $H(\mathrm{sk},g^{r_2})=H(\mathrm{sk}\′,g^{r_2})$ 是否成立。如果成立，用户被认证。那么服务器S授权用户U访问资源。同时，经过用户U与服务器S之间的互相认证， $\mathrm{sk}=\mathrm{sk}\′=g^{r_1{r}_2}$ 用作会话密钥。

变更口令阶段：

第一步：用户U选择一个随机数r₁和一个新的口令pw′，计算

。U将计算结果和ID发送给服务器S作为登录请求。

第二步：当接收到登录请求，服务器S使用口令pw获取

。服务器S选择一个随机数r₂，计算会话密钥 $\mathrm{sk}={\left(g^{r_1}\right)}^{r_2}$ 以及

和

，并发送结果给用户U。

第三步：用户U计算会话密钥 $\mathrm{sk}\′={\left(g^{r_2}\right)}^{r_1}$ ，检查 $H(\mathrm{sk},g^{r_1})=H(\mathrm{sk}\′,g^{r_1})$ 是否成立，如果成立，那么认证服务器S并计算

，发送计算结果和ID给服务器S。

第四步：服务器S用自己的sk和

计算哈希值

并确定 $H(\mathrm{sk},g^{r_2})=H(\mathrm{sk}\′,g^{r_2})$ 否成立。如果成立，服务器S同意用户U访问，同时将E(K，pw)替换为E(K，pw′)。经过U与S之间的互相认证， $\mathrm{sk}=\mathrm{sk}\′=g^{r_1{r}_2}$ 用作会话密钥。

上述方案的缺点主要表现为以下几点：

1.需要使用对称加密算法，因而软(硬)件设计较为复杂；

2.服务器端需要维护存放(ID，E(K，pw))的验证表，增加了维护代价；

3.基于GF(p)，为了保证安全性，登录请求数据如较长，例如，p的长度为1024，那么

需要1024比特长。

发明内容

为了优化用户认证，本发明实施例提供了一种用户认证方法、系统、服务器和用户节点。所述技术方案如下：

一种用户认证方法，所述方法包括：

服务器接收用户提交的身份信息，选择有效期间，根据所述身份信息和有效期间生成用户口令，向所述用户发送包含所述用户口令和有效期间的注册信息；

所述用户根据所述用户口令和代数曲线的生成元点生成登录信息参数，向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息；

所述服务器根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数，向所述用户发送所述用户会话密钥参数；

所述用户根据收到的用户会话密钥参数生成用户会话密钥；

所述服务器和用户根据各自生成的会话密钥进行相互认证。

一种用户认证的系统，所述系统包括：

服务器，用于接收用户节点提交的身份信息，选择有效期间，根据所述身份信息和有效期间生成用户口令，向所述用户节点发送包含所述用户口令和有效期间的注册信息；以及收到所述用户节点的登录信息后，根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数，向所述用户节点发送所述用户会话密钥参数；根据所述服务器会话密钥和所述用户节点进行认证；

用户节点，用于向所述服务器提交身份信息，在收到所述注册信息后，根据所述用户口令和代数曲线的生成元点生成登录信息参数，向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息，收到所述用户会话密钥参数后，根据收到的用户会话密钥参数生成用户会话密钥，根据所述用户会话密钥和所述服务器进行认证。

一种用户认证的服务器，所述服务器包括：

注册模块，用于接收所述用户节点提交的身份信息，选择有效期间，根据所述身份信息和有效期间生成用户口令，向所述用户节点发送包含所述用户口令和有效期间的注册信息；

响应模块，用于收到所述用户节点的登录信息后，根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数，向所述用户节点发送所述用户会话密钥参数；

认证模块，根据所述服务器会话密钥和所述用户节点进行认证。

一种用户认证的用户节点，所述用户节点包括：

登录模块，用于根据所述用户口令和代数曲线的生成元点生成所述登录信息参数，并向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息；

用户会话密钥生成模块，用于接收所述服务器返回的所述用户会话密钥参数，并根据收到的所述用户会话密钥参数生成所述用户会话密钥；

认证模块，用于根据所述用户会话密钥和所述服务器进行认证。

本发明实施例所述的技术方案仅需要一个代数曲线群的构造和一个安全的哈希函数的运用，从实现角度上与以往认证方案相比简单可行；对于服务器端，仅需要保存一个密钥，而不需要存贮用户口令表，便于维护，增强了安全性，同时实现了基于口令的双向认证。

附图说明

图1是本发明实施例1提供的一种用户认证方法流程图；

图2是本发明实施例2提供的一种用户变更登录口令的方法流程图；

图3是本发明实施例3提供的一种用户认证的系统示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例1

本发明实施例提供了一种用户认证方法，该方法包括：

服务器接收用户提交的身份信息，生成用户口令，向用户发送包含用户口令和有效期间的注册信息；用户生成登录信息参数，向服务器发送登录信息；服务器生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数，向用户发送用户会话密钥参数；用户根据收到的用户会话密钥参数生成用户会话密钥；服务器和用户根据各自生成的会话密钥进行认证。

其中，代数曲线可以为椭圆曲线、超椭圆曲线或圆锥曲线。如图1所示，本发明实施例以用户U作为访问资源的用户，以服务器S作为提供资源的可信任服务器，以代数曲线具体为椭圆曲线为例，基于椭圆曲线密码学技术提供了一种用户认证的方法，该方法包括以下步骤：

本实施例中涉及的符号如下：

U：用户；

S：可信任的服务器；

ID：用户公开的用户身份；

G：椭圆曲线E(F_p)上阶为q的子群，P＝(x_P，y_P)为其生成元点；

D：均匀分布的字典空间，其大小为|D|＝2^k，48≤k≤112；

pw：取自于D中的用户低熵的口令；

K：服务器密钥；

h：安全的单向哈希函数，h：{0，1}^*→{0，1}^l，l＝160；

[m]^k：字符串m的最高k位比特；

i：口令pw的有效期间。

首先，需要进行基于椭圆曲线群的构造，即：

令p>3为一个安全的大素数，选择两个域元素a，b∈F_p满足4a³+27b²≠0modp，定义F_p上非奇异椭圆曲线方程E：y²＝x³+ax+b mod p。即满足同余方程式y²＝x³+ax+b mod p所有解(x，y)∈F_p×F_p的集合，加上无穷远点O。选择一个E(F_p)上的生成元点P＝(x_P，y_P)，其阶为q，并且P≠O。这样椭圆曲线E(F_p)上阶为q的子群G就构造出来了。

在注册阶段，用户向可信任服务器提交自己身份信息，本发明实施例中身份信息以身份ID为例，服务器经检查身份ID后，生成用户口令，并将携带有用户口令和有效期间的注册信息返回用户，完成用户在服务器上的注册。

步骤101：用户U向服务器S提交身份ID。

步骤102：服务器S对收到的用户U的身份ID进行有效性检查，选择有效期间i，通过服务器密钥K计算哈希值v＝h(K||ID||i)，生成用户口令pw＝[v]^k，并将携带有用户口令pw＝[v]^k以及有效期间i的注册信息返回用户U。

至此，注册阶段已经完成，希望登录用户可以根据身份ID、用户口令pw及其有效期间i进行下面的登录认证阶段：

步骤103：用户U选择一个随机数 $r_1\∈Z_q^{*}$ ，其中

是小于q并与q互素的所有正整数构成的群，并计算登录信息参数R₁＝(pw·r₁)P，然后把其身份ID、R₁和有效期间i作为登录信息(ID，R₁，i)发送给服务器S。

步骤104：服务器S收到用户U发送的登录信息(ID，R₁，i)后，获取用户身份ID和有效期间i，再根据原有的服务器密钥计算哈希值v＝h(K||ID||i)，用户口令pw＝[v]^k和服务器会话密钥参数R₁′＝pw^-1R₁＝r₁P。在中任意选取一个数r₂，计算用户会话密钥参数R₂＝r₂P，服务器会话密钥sk＝r₂R₁′＝r₁r₂P和h₁＝h(sk||R₂)，并把服务器响应消息(R₂，h₁)发送给用户U。

步骤105：用户U收到服务器S发送的(R₂，h₁)后，计算用户会话密钥sk′＝r₁R₂＝r₁r₂P，然后认证服务器S，此处具体通过检查h(sk′||R₂)＝h₁是否成立完成验证，如果等式成立，则服务器S通过认证。否则，服务器S未通过认证。服务器S通过认证后，用户U计算并发送h₂＝h(sk′||ID)给服务器S。

步骤106：服务器S计算h₂′＝h(sk||ID)，并对计算得出的h₂′和收到的h₂进行比较，如果等式h₂′＝h₂成立，则用户U通过认证，并授权其访问资源。

此外，当用户U与服务器S之间通过了互相认证之后，sk＝r₁r₂P作为会话密钥用于以后操作，例如，当会话密钥sk＝r₁r₂P在用户U和服务器S之间共享后，他们之间就可以建立一条安全信道。

本发明实施例从实现角度上与现有技术提供的认证方案相比简单可行，仅需要一个椭圆曲线群的构造和一个安全的哈希函数的运用，同时对于服务器端，仅需要保存一个密钥，而不需要存贮用户口令表，便于维护，增强了安全性。

实施例2

如图2所示，本发明实施例提供了一种当用户与服务器之间通过了互相认证之后，用户变更登录口令的方法，该方法具体步骤如下：

步骤201：用户U通过和服务器S之间相互认证后建立的安全信道，将身份ID，旧的口令pw以及有效期间i发送给服务器S；

步骤202：服务器收到身份ID，旧的口令pw以及有效期间i后，检查等式pw＝[h(K||ID||i)]^k是否成立，如果成立，那么服务器S选择一个新的有效期间i′和pw′＝[h(K||ID||i′)]^k，并通过安全信道将(pw′，i′)发送给用户U，从而用户得到新的口令pw′和i′。

本发明实施例提供的用户变更登录口令的方法，服务器通过认证用户旧的口令和有效期间后生成新的有效期间和新的口令，并通过安全信道返回给用户，方法简单可行。

实施例3

如图3所示，本发明实施例提供一种用户认证的系统，包括：

服务器，用于接收用户节点提交的身份信息，选择有效期间，根据身份信息和有效期间生成用户口令，向用户节点发送包含用户口令和有效期间的注册信息；以及收到用户节点的登录信息后，根据身份信息、登录信息参数和有效期间生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数，向用户节点发送用户会话密钥参数；根据服务器会话密钥和用户节点进行认证，认证通过后，授权用户访问资源。

用户节点，用于向服务器提交身份信息，在收到注册信息后，根据用户口令和代数曲线的生成元点生成登录信息参数，向服务器发送包含身份信息、登录信息参数和有效期间的登录信息，收到用户会话密钥参数后，根据收到的用户会话密钥参数生成用户会话密钥，根据用户会话密钥和服务器进行认证，认证通过后，访问资源。

其中，代数曲线具体可以为椭圆曲线、超椭圆曲线或圆锥曲线。

实施例4

本发明实施例还提供了一种用户认证的服务器，具体包括：

注册模块，用于接收用户节点提交的身份信息，选择有效期间，根据身份信息和有效期间生成用户口令，向用户节点发送包含用户口令和有效期间的注册信息；

响应模块，用于收到用户节点的登录信息后，根据身份信息、登录信息参数和有效期间生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数，向用户节点发送用户会话密钥参数；

认证模块，根据服务器会话密钥和用户节点进行认证。

其中，代数曲线具体可以为椭圆曲线、超椭圆曲线或圆锥曲线。

认证通过后，服务器授权用户节点访问资源。

进一步还可以包括，口令更改模块，用于根据服务器密钥、身份信息和有效期间生成用户口令，判断生成的用户口令与旧的用户口令是否相等，如果相等，则选择一个新的有效期间并根据新的服务器密钥、身份信息和新的有效期间生成新的用户口令，并通过安全信道将新的用户口令和有效期间发送给用户节点。

实施例5

本发明实施例还提供了一种用户认证的用户节点，包括：

登录模块，用于根据用户口令和代数曲线的生成元点生成登录信息参数，并向服务器发送包含身份信息、登录信息参数和有效期间的登录信息；

用户会话密钥生成模块，用于接收服务器返回的用户会话密钥参数，并根据收到的用户会话密钥参数生成用户会话密钥；

认证模块，用于根据用户会话密钥和服务器进行认证。

认证通过后，用户节点得到服务器的授权，对资源进行访问。

如表1所示，将Chang、Yoon等方案以及发明实施例提供的技术方案在构造上进行比较。其中，Yoon等学者为了解决时间戳的问题，提出了一个比Chang的方案更为有效的基于口令的认证方案。

表1 三个认证方案之间的比较

从实现角度来讲，本发明实施例提供的技术方案的认证设计与现有技术认证方案相比特别简单，仅需要一个椭圆曲线群的构造和运用一个安全的哈希函数。对于服务器端来讲，由于仅需要保存一个密钥，而不需要存贮一张用户口令表，因此维护更为简单，安全性增强。为了达到1024比特RSA的强度，椭圆曲线群的阶只要160比特，因此传送的请求消息缩短。

本发明实施例所述的技术方案仅需要一个椭圆曲线群的构造和一个安全的哈希函数的运用，从实现角度上与以往认证方案相比简单可行；对于服务器端，仅需要保存一个密钥，而不需要存贮用户口令表，便于维护，增强了安全性，同时实现了基于口令的双向认证；此外，由于本发明实施例是基于椭圆曲线构造的，这样登录数据虽短，但可达到较高的安全性。当用户变更登录口令时，服务器通过认证用户旧的口令和有效期间后生成新的有效期间和新的口令，并通过安全信道返回给用户，方法简单可行。上述本发明实施例所述的技术方案，不仅可以作为一般认证，还适用于网格计算平台认证。

本发明实施例是基于椭圆曲线群构造的，也可以基于其他的代数曲线群来实现本发明实施例所述的方法，如基于超椭圆曲线群或圆锥曲线群等。

以上实施例提供的技术方案中部分步骤可以通过软件实现，软件存储在可读取的存储介质上，如计算机的软盘，硬盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (13)

1.一种用户认证方法，其特征在于，所述方法包括：

服务器接收用户提交的身份信息，选择有效期间，根据所述身份信息和有效期间生成用户口令，向所述用户发送包含所述用户口令和有效期间的注册信息；

所述用户根据所述用户口令和代数曲线的生成元点生成登录信息参数，向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息；

所述服务器根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数，向所述用户发送所述用户会话密钥参数；

所述用户根据收到的用户会话密钥参数生成用户会话密钥；

所述服务器和用户根据各自生成的会话密钥进行相互认证。

2.根据权利要求1所述的用户认证方法，其特征在于，所述服务器接收用户提交的身份信息，选择有效期间，根据所述身份信息和有效期间生成用户口令的步骤具体包括：

所述服务器接收用户提交的身份信息，对所述身份信息进行有效性检查；

所述服务器选择有效期间，将所述服务器的密钥、所述身份信息和所述有效期间连接后进行哈希计算，生成哈希值，选取所述哈希值的最高k位比特生成用户口令。

3.根据权利要求1所述的一种用户认证方法，其特征在于，所述用户根据所述用户口令和代数曲线的生成元点生成登录信息参数的步骤具体包括：

所述用户选择一个群中的随机数，将所述随机数、用户口令一起对代数曲线的生成元点进行点乘运算，生成登录信息参数。

4.根据权利要求1所述的一种用户认证方法，其特征在于，所述服务器根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数的步骤具体包括：

将所述服务器的密钥、所述身份信息和所述有效期间连接后进行哈希计算，生成哈希值，选取所述哈希值的最高k位比特生成用户口令；

将所述用户口令与登录信息参数进行点乘运算，生成服务器会话密钥参数；

选择一个群中的随机数，将所述随机数和服务器会话密钥参数进行点乘运算，生成服务器会话密钥；

将所述随机数和代数曲线的生成元点进行点乘运算，生成用户会话密钥参数。

5.根据权利要求1所述的一种用户认证方法，其特征在于，所述服务器和用户根据各自生成的会话密钥进行相互认证的步骤具体包括：

所述服务器将所述服务器会话密钥和用户会话密钥参数连接后进行哈希计算，生成第一哈希值，并发送给所述用户；

所述用户将所述用户会话密钥和用户会话密钥参数连接后进行哈希计算，生成第二哈希值，判断所述第一哈希值与所述第二哈希值是否相等，如果相等，所述服务器通过认证，并将所述用户会话密钥和身份信息连接后进行哈希计算，生成第三哈希值，并发送给所述服务器；

所述服务器将服务器会话密钥和身份信息连接后进行哈希计算，生成第四哈希值，判断所述第三哈希值与所述第四哈希值是否相等，如果相等，所述用户通过认证。

6.根据权利要求1所述的一种用户认证方法，其特征在于，所述方法还包括：

所述用户将身份信息、旧的用户口令以及有效期间通过与服务器认证后建立的安全信道发送给服务器；

所述服务器根据服务器密钥、所述身份信息和有效期间生成用户口令，判断所述生成的用户口令与所述旧的用户口令是否相等，如果相等，则所述服务器选择一个新的有效期间并根据所述新的服务器密钥、身份信息和新的有效期间生成新的用户口令，并通过安全信道将所述新的用户口令和有效期间发送给用户。

7.根据权利要求1-6中任一权利要求所述的用户认证方法，其特征在于，所述代数曲线具体为椭圆曲线、超椭圆曲线或圆锥曲线。

8.一种用户认证的系统，其特征在于，所述系统包括：

服务器，用于接收用户节点提交的身份信息，选择有效期间，根据所述身份信息和有效期间生成用户口令，向所述用户节点发送包含所述用户口令和有效期间的注册信息；以及收到所述用户节点的登录信息后，根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数，向所述用户节点发送所述用户会话密钥参数；根据所述服务器会话密钥和所述用户节点进行认证；

用户节点，用于向所述服务器提交身份信息，在收到所述注册信息后，根据所述用户口令和代数曲线的生成元点生成登录信息参数，向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息，收到所述用户会话密钥参数后，根据收到的用户会话密钥参数生成用户会话密钥，根据所述用户会话密钥和所述服务器进行认证。

9.根据权利要求8所述的用户认证系统，其特征在于，所述代数曲线具体为椭圆曲线、超椭圆曲线或圆锥曲线。

10.一种用户认证的服务器，其特征在于，所述服务器包括：

注册模块，用于接收所述用户节点提交的身份信息，选择有效期间，根据所述身份信息和有效期间生成用户口令，向所述用户节点发送包含所述用户口令和有效期间的注册信息；

响应模块，用于收到所述用户节点的登录信息后，根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥，根据代数曲线的生成元点生成用户会话密钥参数，向所述用户节点发送所述用户会话密钥参数；

认证模块，根据所述服务器会话密钥和所述用户节点进行认证。

11.根据权利要求10所述的用户认证的服务器，其特征在于，所述代数曲线具体为椭圆曲线、超椭圆曲线或圆锥曲线。

12.如权利要求10所述的用户认证的服务器，所述服务器还包括：

口令更改模块，用于根据所述服务器密钥、所述身份信息和有效期间生成所述用户口令，判断所述生成的用户口令与所述旧的用户口令是否相等，如果相等，则选择一个新的有效期间并根据所述新的服务器密钥、身份信息和新的有效期间生成新的用户口令，并通过安全信道将所述新的用户口令和有效期间发送给用户节点。

13.一种用户认证的用户节点，其特征在于，所述用户节点包括：

登录模块，用于根据所述用户口令和代数曲线的生成元点生成所述登录信息参数，并向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息；

用户会话密钥生成模块，用于接收所述服务器返回的所述用户会话密钥参数，并根据收到的所述用户会话密钥参数生成所述用户会话密钥；

认证模块，用于根据所述用户会话密钥和所述服务器进行认证。

Images