CN104702559A - 一种改进的基于ecc双因子身份认证协议 - Google Patents
一种改进的基于ecc双因子身份认证协议 Download PDFInfo
- Publication number
- CN104702559A CN104702559A CN201310642572.5A CN201310642572A CN104702559A CN 104702559 A CN104702559 A CN 104702559A CN 201310642572 A CN201310642572 A CN 201310642572A CN 104702559 A CN104702559 A CN 104702559A
- Authority
- CN
- China
- Prior art keywords
- user
- smart card
- server
- ida
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Abstract
本发明属于网络安全技术领域,涉及基于ECC算法的双因子认证技术和相关协议。目的是解决现有的基于ECC算法的双因子认证协议的缺陷,提升系统的安全性。包括如下部分:1.初始化;2.注册;3.预计算阶段;4.登录;5.认证;6.口令修改。本发明的优点是通过椭圆曲线离散对数难题和时间戳因素使非法用户无法正确构造出或重放登录消息,同时提高了口令修改协议的安全性。
Description
技术领域
本发明属于网络安全技术领域,涉及基于基于ECC算法的双因子认证技术和相关协议。
背景技术
随着信息技术和网络技术的快速发展,互联网已经融入了我国政治、经济、军事、文化及社会生活的方方面面。网络诚信体系的建设作为国家管理的一个主要组成部分。互联网实名机制是网络诚信体系建立的基础,该机制通过用户身份认证来确保互联网上各个参与主体的真实性。现有的网络信息系统通常采用基于用户名和口令的用户身份认证机制,然而大量的安全事件表明攻击者能够通过技术手段轻松地获得非法认证,破坏了信息系统的安全性及用户的隐私性。因此,为了提高身份认证的安全性,信息系统可采用“口令+智能卡”方式,双因子确保用户身份认证的安全性及用户的隐私性。但是现有的双因子认证方法存在着身份冒充攻击、口令猜测攻击和平行会话攻击等威胁,同时在口令修改协议中也存在安全问题。
本发明方法本文针对互联网的主要访问模式和特点,提出了一种改进的基于ECC双因子身份认证协议,该协议基于椭圆曲线离散对数问题,通过椭圆曲线离散对数难题和时间戳因素使非法用户无法正确构造出或重放登录消息。
发明内容
本发明的目的是针对原有的双因子身份认证协议的不足,提出的一种改进的认证协议,增强网络实名环境下系统的安全性。本发明一种改进的基于ECC双因子身份认证协议包括初始化、注册、预计算阶段、登录、认证和口令修改等六个部分组成。
(1)初始化
所有用户和服务器协商好椭圆曲线密码系统参数,服务器选择自己的密钥dS,其对应公钥为PS=dS×P,服务器保密dS,设置其系统参数q,a,b,n,P,PS。
(2)注册
用户自由的选择自己的身份IDA、口令PWA和新鲜数N,通过安全信道发给服务器。服务器收到上条消息后与系统参数混合作散列计算并把运算结果和公共参数保存在一个智能卡内,通过安全信道把该智能卡发给用户。
(3)预计算阶段
当用户将智能卡插到系统中的时候,智能卡选择一随机数r1,计算R1=r1×P和R2=r1·PS,并保存R1和R2在智能卡内用于后续协议,当完成执行协议的时候智能卡安全地删除随机数R1和R2。
(4)登录
当用户希望使用远程服务器上的服务时,可通过普通信道录服务器并和服务器进行双向认证。用户首先插入智能卡,并输入身份IDA和口令PWA,然后通过智能卡进行登录报文运算操作,然后给服务器发去请求登录消息。
(5)认证
服务器接到用户发来的登录请求消息后,首先验证IDA格式的正确性,如果格式不正确则停止执行协议。否则校验0<T′-Tu≤ΔT是否成立,其中T′为服务器接收到请求消息时候的时钟值。如果不等式不成立则服务器停止协议执行,当错误次数超过某个阈值的时候锁定该用户账号,用户必须亲自到认证中心解开账号;如果成立则继续往下执行协议。
(6)口令修改
当用户由于各种原因要修改口令的时候,用户可以通过本协议修改口令值。智能卡首先执行登录和认证协议的协议,如果通不过认证协议,则智能卡拒绝修改请求并反馈拒绝修改信息给用户。
本发明提出一种改进的基于ECC双因子的身份认证协议,该协议基于椭圆曲线离散对数问题,通过椭圆曲线离散对数难题和时间戳因素使非法用户无法正确构造出或重放登录消息。该协议能够抵御现有的基于ECC双因子的身份认证协议的各种攻击,从而保证了协议的安全性。
本发明所具有的有益效果在于:该认证协议保持了协议运行的高效性的同时针对用户IC卡丢失等情况进行了安全加固,能够为互联网实名制提供了技术支持,为下一步网络诚信体系的构建奠定了基础。
附图说明
图1是注册协议。
图2是登录及认证协议。
图3是口令修改协议。
具体实施方式
下面结合附图和具体实施例对本发明做进一步的说明:
注册协议如图1所示:
(1)UA→S:<IDA,hash(PWA||N)>
用户自由的选择自己的身份IDA、口令PWA和新鲜数N,通过安全信道把IDA和hash(PWA||N)发给服务器S。
(2)S→UA:Smart card
服务器S收到上条消息后计算s=hash(IDA||dS)和并把v,hash()和公共参数保存在一个智能卡内,通过安全信道把该智能卡发给用户。
(3)用户接到智能卡后把N输入其内保存,最终智能卡内含有v,hash(),N和公共参数。
登录及认证协议如图2所示:
(1)登录
当用户希望使用远程服务器上的服务时,可通过普通信道录服务器并和服务器进行双向认证。用户首先插入智能卡,并输入身份IDA和口令PWA,然后智能卡进行如下操作:
UA→S:<IDA,R1,Tu,C1>
智能卡首先计算然后计算C1=hash(IDA||S||s||R2||Tu),其中Tu为系统当前时钟值。然后给服务器发去请求登录消息<IDA,R1,Tu,C1>。
(2)认证
1)S→UA:<C2,Ts>
服务器接到用户发来的登录请求消息后,首先验证IDA格式的正确性,如果格式不正确则停止执行协议。否则校验0<T′-Tu≤ΔT是否成立,其中T′为服务器接收到请求消息时候的时钟值。如果不等式不成立则服务器停止协议执行,当错误次数超过某个阈值的时候锁定该用户账号,用户必须亲自到认证中心解开账号;如果成立则继续往下执行协议。
服务器首先计算s′=hash(IDA||dS)和R′2=dS·R1,然后计算C′1=hash(IDA||S||s′||R′2||Tu)并检查C′1是否等于C1。如果不相等则服务器拒绝登录请求,否则服务器认证了用户的UA的身份,随后获取当前时钟值Ts并计算C2=hash(S||IDA||s′||R′2||Ts),最后发送<C2,Ts>消息给用户UA。
2)用户UA接到上述应答消息后校验0<T″-Ts≤ΔT是否成立,其中T″为用户接收到应答消息时候的时钟值。如果不等式不成立则用户停止协议执行,否则用户计算C′2=hash(S||IDA||s||R2||Ts)并检查C′2是否等于C2。如果不等,则用户停止执行协议;否则用户通过该消息认证了服务器的身份。
口令修改协议如图3所示:
(1)用户插入智能卡并输入身份IDA和口令PWA。
(2)智能卡首先执行登录和认证协议的协议,如果通不过认证协议,则智能卡拒绝修改请求并反馈拒绝修改信息给用户,否则继续执行如下协议。
(3)智能卡提醒用户输入两遍新口令值PW*A,这是为了保证新口令值的正确性。然后智能卡选择一新随机数N*,计算 最后智能卡用v*值和N*值取代旧的v值和N值,并反馈口令修改成功消息给用户。
Claims (6)
1.初始化
所有用户和服务器协商好椭圆曲线密码系统参数,服务器选择自己的密钥dS,其对应公钥为PS=dS×P,服务器保密dS,设置其系统参数q,a,b,n,P,PS。
2.注册
1)UA→S:<IDA,hash(PWA||N)>
用户自由的选择自己的身份IDA、口令PWA和新鲜数N,通过安全信道把IDA和hash(PWA||N)发给服务器S;
2)S→UA:Smart card
服务器S收到上条消息后计算s=hash(IDA||dS)和并把v,hash()和公共参数保存在一个智能卡内,通过安全信道把该智能卡发给用户;
3)用户接到智能卡后把N输入其内保存,最终智能卡内含有v,hash(),N和公共参数。
3.预计算阶段
当用户将智能卡插到系统中的时候,智能卡选择一随机数r1,计算R1=r1×P和R2=r1·PS,并保存R1和R2在智能卡内用于后续协议,当完成执行协议的时候智能卡安全地删除随机数R1和R2。
4.登录
当用户希望使用远程服务器上的服务时,可通过普通信道录服务器并和服务器进行双向认证,用户首先插入智能卡,并输入身份IDA和口令PWA,然后智能卡进行如下操作:
UA→S:<IDA,R1,Tu,C1>
智能卡首先计算然后计算C1=hash(IDA||S||s||R2||Tu),其中Tu为系统当前时钟值,然后给服务器发去请求登录消息<IDA,R1,Tu,C1>。
5.认证
1)S→UA:<C2,Ts>
服务器接到用户发来的登录请求消息后,首先验证IDA格式的正确性,如果格式不正确则停止执行协议,否则校验0<T′-Tu≤ΔT是否成立,其中T′为服务器接收到请求消息时候的时钟值,如果不等式不成立则服务器停止协议执行,当错误次数超过某个阈值的时候锁定该用户账号,用户必须亲自到认证中心解开账号,如果成立则继续往下执行协议;
服务器首先计算s′=hash(IDA||dS)和R′2=dS·R1,然后计算C′1=hash(IDA||S|s′||R′2||Tu)并检查C′1是否等于C1,如果不相等则服务器拒绝登录请求,否则服务器认证了用户的UA的身份,随后获取当前时钟值Ts并计算C2=hash(S||IDA||s′||R′2||Ts),最后发送<C2,Ts>消息给用户UA;
2)用户UA接到上述应答消息后校验0<T″-Ts≤ΔT是否成立,其中T″为用户接收到应答消息时候的时钟值,如果不等式不成立则用户停止协议执行,否则用户计算C′2=hash(S||IDA||s||R2||Ts)并检查C′2是否等于C2,如果不等,则用户停止执行协议,否则用户通过该消息认证了服务器的身份。
6.口令修改
1)用户插入智能卡并输入身份IDA和口令PWA;
2)智能卡首先执行登录和认证协议的协议,如果通不过认证协议,则智能卡拒绝修改请求并反馈拒绝修改信息给用户,否则继续执行如下协议;
3)智能卡提醒用户输入两遍新口令值PW*A,这是为了保证新口令值的正确性,然后智能卡选择一新随机数N*,计算 最后智能卡用v*值和N*值取代旧的v值和N值,并反馈口令修改成功消息给用户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310642572.5A CN104702559A (zh) | 2013-12-05 | 2013-12-05 | 一种改进的基于ecc双因子身份认证协议 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310642572.5A CN104702559A (zh) | 2013-12-05 | 2013-12-05 | 一种改进的基于ecc双因子身份认证协议 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104702559A true CN104702559A (zh) | 2015-06-10 |
Family
ID=53349336
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310642572.5A Pending CN104702559A (zh) | 2013-12-05 | 2013-12-05 | 一种改进的基于ecc双因子身份认证协议 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104702559A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105491076A (zh) * | 2016-01-28 | 2016-04-13 | 西安电子科技大学 | 一种面向空天信息网的异构网络端到端认证密钥交换方法 |
CN108270572A (zh) * | 2017-12-22 | 2018-07-10 | 中国电子科技集团公司第三十研究所 | 一种基于位置和口令的密钥交换协议 |
CN109948333A (zh) * | 2019-03-08 | 2019-06-28 | 北京顺丰同城科技有限公司 | 一种账户攻击的安全防御方法及装置 |
-
2013
- 2013-12-05 CN CN201310642572.5A patent/CN104702559A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105491076A (zh) * | 2016-01-28 | 2016-04-13 | 西安电子科技大学 | 一种面向空天信息网的异构网络端到端认证密钥交换方法 |
CN105491076B (zh) * | 2016-01-28 | 2019-06-07 | 西安电子科技大学 | 一种面向空天信息网的异构网络端到端认证密钥交换方法 |
CN108270572A (zh) * | 2017-12-22 | 2018-07-10 | 中国电子科技集团公司第三十研究所 | 一种基于位置和口令的密钥交换协议 |
CN108270572B (zh) * | 2017-12-22 | 2020-12-11 | 中国电子科技集团公司第三十研究所 | 一种基于位置和口令的密钥交换协议 |
CN109948333A (zh) * | 2019-03-08 | 2019-06-28 | 北京顺丰同城科技有限公司 | 一种账户攻击的安全防御方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Son et al. | Design of blockchain-based lightweight V2I handover authentication protocol for VANET | |
CN106972931B (zh) | 一种pki中证书透明化的方法 | |
EP3474172B1 (de) | Zugangskontrolle unter verwendung einer blockchain | |
US8533806B2 (en) | Method for authenticating a trusted platform based on the tri-element peer authentication(TEPA) | |
CN102075522B (zh) | 一种结合数字证书和动态密码的安全认证与交易方法 | |
US8533482B2 (en) | Method for generating a key pair and transmitting a public key or request file of a certificate in security | |
CN109040067A (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
CN101902476B (zh) | 移动p2p用户身份认证方法 | |
US20200213125A1 (en) | Computer-implemented system and method enabling secure storage of a large blockchain over a plurality of storage nodes | |
CN101958913B (zh) | 基于动态口令和数字证书的双向身份认证方法 | |
CN103338201B (zh) | 一种多服务器环境下注册中心参与的远程身份认证方法 | |
CN102281138B (zh) | 一种提高验证码安全性的方法和系统 | |
CN101697540A (zh) | 一种p2p服务请求用户身份认证方法 | |
CN115292738B (zh) | 一种联邦学习模型和数据安全性及正确性的检测方法 | |
CN105072110A (zh) | 一种基于智能卡的双因素远程身份认证方法 | |
CN103347018A (zh) | 一种基于智能卡的多服务环境下远程身份认证方法 | |
CN103368954A (zh) | 一种基于口令和生物特征的智能卡注册登录方法 | |
CN102377573A (zh) | 一种口令可安全更新的双因子身份认证方法 | |
CN103973703A (zh) | 一种用于应用程序和服务器之间交换数据安全的请求方法 | |
CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
CN104702559A (zh) | 一种改进的基于ecc双因子身份认证协议 | |
CN110517043A (zh) | 一种实现区块链交易实名制的方法 | |
Liu et al. | A blockchain-based cross-domain authentication management system for IoT devices | |
Boontaetae et al. | RDI: Real digital identity based on decentralized PKI | |
Chen et al. | Threshold identity authentication signature: Impersonation prevention in social network services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150610 |