CN103905437B - 一种基于口令的远程认证协议方法 - Google Patents

Abstract

本发明涉及一种基于口令的远程认证协议方法，其特征在于：基于椭圆曲线密码算法实现，包括如下步骤：步骤1：在系统初始化子协议中，用户同服务器协商好以后认证需要使用的椭圆曲线密码系统参数；步骤2：新用户U_A通过用户注册子协议进行注册，选择身份标识和用户口令PW_A；步骤3：用户U_A希望登陆系统并进行会话密钥协商时，首先输入自己的身份标识ID_A和用户口令PW_A，然后通过身份认证和密钥协商子协议，与服务器进行双向认证并且协商在以后通信中使用的密钥SK。

Description

一种基于口令的远程认证协议方法

技术领域

本发明涉及一种基于口令的远程认证协议方法。

背景技术

在网络应用中，身份认证对于保障网络资源的安全性起着重要作用，因此寻找简单有效、实用方便、费用低廉的认证协议是当前研究的重点内容。基于口令的身份认证协议由于数据运算简单、部署成本低廉、安全可靠而成为近年来研究的热点。然而，基于口令的身份认证协议仍然存在着安全隐患。因为用户习惯上选择使用简单容易自己记忆的字符串作为口令，例如自己姓名字母的缩写、生日数字的组合，身份证号码的组合以及邮箱电话号码等，这将直接导致这种方式的身份认证协议容易遭到典型的字典攻击，这其中就包括包括离线口令猜测攻击和在线口令猜测攻击等。根据调查显示，在使用英语的国家当中，有25％的用户使用的口令是英文单词，Morris Thompson发现穷举搜索一部字典，可以在短短的5分钟之内发现超过1/3的口令；1999年，中科院信息安全中心的Samsa进行了一项研究，他根据中国人姓氏和人名中经常出现的汉字，设计了一部专用的字典，用它穷举搜索，发现了某服务器中保存的将近1/2的用户口令。事实表明，口令认证协议很容易遭受口令猜测攻击(password guessing attack)。

尽管基于口令的认证存在着如上所述的安全隐患，但这并不能阻止人们对它的青睐，由于其相对于生物特征认证，口令认证机制拥有更小的数据量，更快的响应速度等优点，而且实现起来更容易，多数用户能够接受，因而口令认证机制目前仍然是系统网络等各种需要认证的系统中主要采取的认证方式。

发明内容

本发明目的在于提供一种基于口令的远程认证协议方法，能够实现双向认证，有效提高安全性。

实现本发明目的技术方案：

一种基于口令的远程认证协议方法，其特征在于：基于椭圆曲线密码算法实现，包括如下步骤：

步骤1：在系统初始化子协议中，用户同服务器协商好以后认证需要使用的椭圆曲线密码系统参数；

步骤2：新用户U_A通过用户注册子协议进行注册，选择身份标识和用户口令PW_A；

步骤3：用户U_A希望登陆系统并进行会话密钥协商时，首先输入自己的身份标识ID_A和用户口令PW_A；，然后通过身份认证和密钥协商子协议，与服务器进行双向认证并且协商在以后通信中使用的密钥SK。

步骤2中，服务器S收到新用户U_A注册提交的身份标识ID_A和用户口令PW_A；后，进行计算然后把数据(ID_A,W_A)保存在服务器的认证数据库中，前述式中，d_S表示服务器的私钥，h表示单向哈希函数。

步骤3中，具体包括以下步骤，

步骤3.1：用户U_A首先输入自己的身份标识ID_A和用户口令PW_A；用户自由选择一个随机数r₁,r₁∈Z^* _n，Z^* _n表示整数模n的剩余类，然后进行运算R₁＝r₁·P，P表示群G的生成元，把消息＜ID_A,R₁＞发送给服务器S；

步骤3.2：服务器S接收到上一步来自用户U_A的消息＜ID_A,R₁＞后，根据自己的认证数据库中存储的数据对用户ID_A进行合法性检验；如果在数据库中未找到该ID_A，则服务器S终止协议的进程；否则，服务器S进行如下运算，

选择随机数r₂,r₂∈Z^* _n，计算R₂＝r₂·P，K_S＝r₂·R₁，R₃＝d_S·R₁，h₁＝h(S||ID_A||R₁||R₂||R₃||K_S)，式中S表示服务器的身份标识，最后由服务器S把消息＜R₂,h₁＞发送到用户U_A；

步骤3.3：当用户U_A接收到来上一步来自服务器S的消息＜R₂,h₁＞后，进行运算K_U＝r₁·R₂＝r₁·r₂·P，以及计算h₁ ^*＝h(S||ID_A||R₁||R₂||r₁·P_S||K_U)，其中P_s代表公钥，验证h₁ ^*与收到来自服务器的h₁是否保持一致，如果不一致，则用户U_A终止进行协议进程；否则，用户U_A计算h₂＝h(ID_A||S||r₁·P_S||K_U||PW_A)，然后将h₂发送给服务器S，并且用户U_A计算一个密钥SK＝h(ID_A||S||R₁||R₂||r₁·P_S||K_U||PW_A)；

步骤3.4：服务器S从本地认证数据库中提取步骤2中计算获得的W_A，并进行计算得到服务器端计算得到的PW_A ^*，然后计算h(ID_A||S||R₃||K_S||PW_A ^*)，得到的计算结果与上一步中收到的h₂进行对比验证，看是否保持一致，如果不一致，则用户U_A对服务器的认证请求失败，终止协议；否则，服务器S认可用户U_A的合法身份，并且服务器S计算一个密钥SK＝h(ID_A||S||R₁||R₂||R₃||K_S||PW_A ^*)。

用户U_A可进行口令修改，包括以下步骤，

步骤4.1：用户U_A和服务器S首先执行密钥SK；

步骤4.2：假如上一步成功，则用户U_A通过客户端输入新的口令PW_Anew；

步骤4.3：用户U_A通过客户端计算和

W＝h(K_U||SK||PW_Anew)，并把消息＜PWD,W＞发送至服务器S；

步骤4.4：当服务器S收到来自于用户U_A的请求修改口令的消息＜PWD,W＞后，首先进行如下式子的计算，

然后对比验证W是否等于h(K_S||SK||PW_Anew ^*)，假如不相等，服务器需要计算h₃＝h(SK||K_S||“Refused”)并将消息<“Refused”,h₃>发送给用户，拒绝更改口令；如果两者相等，则进行计算h₄＝h(SK||K_S||“Accepted”)，并将消息<“Accepted”,h₄>发送给用户，允许其变更口令；最后服务器将计算新的W_A ^*来替换原来的W_A并保存到认证数据库，其中W_A ^*的计算式为

步骤4.5：如果用户U_A收到消息<“Refused”,h₃>，并且经验证h₃等于h(SK||K_U||“Refused”)，则可以确定是服务器S发送的消息拒绝更改口令；而如果收到消息<“Accepted”,h₄>，并且经过验证h₄等于h(SK||K_U||“Accepted”)，则用户U_A可以确定是服务器S发送的消息接收了变更口令请求。

本发明具有的有益效果：

本发明可以抵抗重放攻击。本发明是一种三消息挑战-响应模式的认证协议，只有合法用户才能正确的应答挑战信息R₂，同时也只有合法的服务器才能正确的响应新鲜值R₁，所以本发明能够有效的抵御重放攻击。

本发明可以抵抗离线口令猜测攻击。本发明能够有效地抵抗离线口令猜测攻击，假设以下两种情形：

1)假设攻击者捕获了W_A，但是由于其无法或者服务器的私钥d_S，所以无法进行离线口令猜测攻击；

2)攻击者不能够从h₂发动离线口令猜测攻击，这是因为假如攻击者要计算h₂，则必须同时计算出K_U或者K_S，而计算K_U或者K_S则需要根据R₁，R₂来计算，这又归结为椭圆曲线计算Diffie-Hellman问题。

本发明能够抵抗身份冒充攻击。攻击者在不知道PW的情况下，是不能构造出正确的第3条回应消息的，所以攻击者就无法冒充用户身份。同时，攻击者也无法正确的通过计算得出d_S·R₁和回应消息，因为如果要构造该值，则需要知道r₁或者d_S，而假如通过R₁来计算得到r₁或者通过P_S计算得到d_S都将面临椭圆曲线离散对数难题。

本发明能够提供双向认证。从上面的认证和密钥协商过程可以清楚的看到，本协议提供了双向认证。第2条响应消息只有拥有合法身份的服务器才能构造出来；而第3条响应消息只有除了服务器之外的合法用户才能构造出来。所以该认证协议提供了双向认证。

本发明能够提供前向安全性。本发明是基于椭圆曲线Diffie-Hellman机制，攻击者如果强行从R₁和R₂来计算SK将面临椭圆曲线离散对数难题，从而提供了前向安全性。

附图说明

图1为用户注册流程图；

图2为认证和密钥协商流程图；

图3为口令修改流程图。

具体实施方式

本发明基于椭圆曲线密码算法实现，在系统初始化子协议中，用户同服务器协商好以后认证需要使用的椭圆曲线密码系统参数；

(一)用户注册子协议：

在注册初始时，由用户U_A自己选择身份标识和用户口令PW_A，然后通过安全方式提交给服务器S；

服务器S收到新用户U_A注册提交的身份标识ID_A和用户口令PW_A；后，进行计算然后把数据(ID_A,W_A)保存在服务器的认证数据库中，前述式中，d_S表示服务器的私钥，h表示单向哈希函数。

(二)认证和密钥协商子协议：

1)用户U_A首先输入自己的身份标识ID_A和用户口令PW_A；用户自由选择一个随机数r₁,r₁∈Z^* _n，Z^* _n表示整数模n的剩余类，然后进行运算R₁＝r₁·P，P表示群G的生成元，把消息＜ID_A,R₁＞发送给服务器S；

2)服务器S接收到上一步来自用户U_A的消息＜ID_A,R₁＞后，根据自己的认证数据库中存储的数据对用户ID_A进行合法性检验；如果在数据库中未找到该ID_A，则服务器S终止协议的进程；否则，服务器S进行如下运算，

选择随机数r₂,r₂∈Z^* _n，计算R₂＝r₂·P，K_S＝r₂·R₁，R₃＝d_S·R₁，h₁＝h(S||ID_A||R₁||R₂||R₃||K_S)，式中S表示服务器的身份标识，最后由服务器S把消息＜R₂,h₁＞发送到用户U_A；

3)当用户U_A接收到来上一步来自服务器S的消息＜R₂,h₁＞后，进行运算K_U＝r₁·R₂＝r₁·r₂·P，以及计算h₁ ^*＝h(S||ID_A||R₁||R₂||r₁·P_S||K_U)，验证h₁ ^*与收到来自服务器的h₁是否保持一致，如果不一致，则用户U_A终止进行协议进程；如果一致，那么服务器是合法的，通过用户的认证。在这里的依据是，只有合法的服务器才能给出正确的R₃，接下来用户U_A计算h₂＝h(ID_A||S||r₁·P_S||K_U||PW_A)，然后将h₂发送给服务器S，并且用户U_A计算一个密钥SK＝h(ID_A||S||R₁||R₂||r₁·P_S||K_U||PW_A)；

4)服务器S从本地认证数据库中提取步骤2中计算获得的W_A，并进行计算得到服务器端计算得到的PW_A ^*，然后计算h(ID_A||S||R₃||K_S||PW_A ^*)，得到的计算结果与上一步中收到的h₂进行对比验证，看是否保持一致，如果不一致，则用户U_A对服务器的认证请求失败，终止协议；否则，服务器S认可用户U_A的合法身份，并且服务器S计算一个密钥SK＝h(ID_A||S||R₁||R₂||R₃||K_S||PW_A ^*)。

通过以上步骤，用户和服务器之间完成了认证，这种认证是双向的，保证了用户和服务器双方的合法身份，并且协商好共同的密钥SK。

(三)口令修改子协议：

用户U_A可进行口令修改，包括以下步骤，

1)用户U_A和服务器S首先执行会话密钥SK；

2)假如上一步成功，则用户U_A通过客户端输入新的口令PW_Anew；

3)用户U_A通过客户端计算和W＝h(K_U||SK||PW_Anew)，并把消息＜PWD,W＞发送至服务器S；

4)当服务器S收到来自于用户U_A的请求修改口令的消息＜PWD,W＞后，首先进行如下式子的计算，

然后对比验证W是否等于h(K_S||SK||PW_Anew ^*)，假如不相等，服务器需要计算h₃＝h(SK||K_S||“Refused”)并将消息<“Refused”,h₃>发送给用户，拒绝更改口令；如果两者相等，则进行计算h₄＝h(SK||K_S||“Accepted”)，并将消息<“Accepted”,h₄>发送给用户，允许其变更口令；最后服务器将计算新的W_A ^*来替换原来的W_A并保存到认证数据库，其中W_A ^*的计算式为

5)如果用户U_A收到消息<“Refused”,h₃>，并且经验证h₃等于h(SK||K_U||“Refused”)，则可以确定是服务器S发送的消息拒绝更改口令；而如果收到消息<“Accepted”,h₄>，并且经过验证h₄等于h(SK||K_U||“Accepted”)，则用户U_A可以确定是服务器S发送的消息接收了变更口令请求。

Claims (2)

1.一种基于口令的远程认证协议方法，其特征在于：基于椭圆曲线密码算法实现，包括如下步骤：

步骤1：在系统初始化子协议中，用户同服务器协商好以后认证需要使用的椭圆曲线密码系统参数；

步骤2：新用户U_A通过用户注册子协议进行注册，选择身份标识和用户口令PW_A；具体包括：服务器S收到新用户U_A注册提交的身份标识ID_A和用户口令PW_A后，进行计算然后把数据(ID_A,W_A)保存在服务器的认证数据库中，前述式中，d_S表示服务器的私钥，h表示单向哈希函数；

步骤3：用户U_A希望登陆系统并进行会话密钥协商时，首先输入自己的身份标识ID_A和用户口令PW_A，然后通过身份认证和密钥协商子协议，与服务器进行双向认证并且协商在以后通信中使用的密钥SK；具体包括以下步骤，

步骤3.1：用户U_A首先输入自己的身份标识ID_A和用户口令PW_A；用户自由选择一个随机数r₁,r₁∈Z^* _n，Z^* _n表示整数模n的剩余类，然后进行运算R₁＝r₁·P，P表示群G的生成元，把消息＜ID_A,R₁＞发送给服务器S；

步骤3.2：服务器S接收到上一步来自用户U_A的消息＜ID_A,R₁＞后，根据自己的认证数据库中存储的数据对用户ID_A进行合法性检验；如果在数据库中未找到该ID_A，则服务器S终止协议的进程；否则，服务器S进行如下运算，

选择随机数r₂,r₂∈Z^* _n，计算R₂＝r₂·P，K_S＝r₂·R₁，R₃＝d_S·R₁，h₁＝h(S||ID_A||R₁||R₂||R₃||K_S)，式中S表示服务器的身份标识，最后由服务器S把消息＜R₂,h₁＞发送到用户U_A；

步骤3.3：当用户U_A接收到来上一步来自服务器S的消息＜R₂,h₁＞后，进行运算K_U＝r₁·R₂＝r₁·r₂·P，以及计算h₁ ^*＝h(S||ID_A||R₁||R₂||r₁·P_S||K_U)，其中P_s代表公钥，验证h₁ ^*与收到来自服务器的h₁是否保持一致，如果不一致，则用户U_A终止进行协议进程；否则，用户U_A计算h₂＝h(ID_A||S||r₁·P_S||K_U||PW_A)，然后将h₂发送给服务器S，并且用户U_A计算一个密钥SK＝h(ID_A||S||R₁||R₂||r₁·P_S||K_U||PW_A)；

步骤3.4：服务器S从本地认证数据库中提取步骤2中计算获得的W_A，并进行计算得到服务器端计算得到的PW_A ^*，然后计算h(ID_A||S||R₃||K_S||PW_A ^*)，得到的计算结果与上一步中收到的h₂进行对比验证，看是否保持一致，如果不一致，则用户U_A对服务器的认证请求失败，终止协议；否则，服务器S认可用户U_A的合法身份，并且服务器S计算一个密钥SK＝h(ID_A||S||R₁||R₂||R₃||K_S||PW_A ^*)。

2.根据权利要求1所述的基于口令的远程认证协议方法，其特征在于：用户U_A可进行口令修改，包括以下步骤，

步骤4.1：用户U_A和服务器S首先执行密钥SK；

步骤4.2：假如上一步成功，则用户U_A通过客户端输入新的口令PW_Anew；

步骤4.3：用户U_A通过客户端计算和

W＝h(K_U||SK||PW_Anew)，并把消息＜PWD,W＞发送至服务器S；

步骤4.4：当服务器S收到来自于用户U_A的请求修改口令的消息＜PWD,W＞后，首先进行如下式子的计算，

${{\mathrm{PW}}_{Anew}}^{*}=PWD\&CirclePlus;h\left(K_S\right|\left|{\mathrm{PW}}_{Anew}\right),$

然后对比验证W是否等于h(K_S||SK||PW_Anew ^*)，假如不相等，服务器需要计算h₃＝h(SK||K_S||“Refused”)并将消息<“Refused”,h₃>发送给用户，拒绝更改口令；如果两者相等，则进行计算h₄＝h(SK||K_S||“Accepted”)，并将消息<“Accepted”,h₄>发送给用户，允许其变更口令；最后服务器将计算新的W_A ^*来替换原来的W_A并保存到认证数据库，其中W_A ^*的计算式为

步骤4.5：如果用户U_A收到消息<“Refused”,h₃>，并且经验证h₃等于h(SK||K_U||“Refused”)，则可以确定是服务器S发送的消息拒绝更改口令；而如果收到消息<“Accepted”,h₄>，并且经过验证h₄等于h(SK||K_U||“Accepted”)，则用户U_A可以确定是服务器S发送的消息接收了变更口令请求。