CN104767624A - 基于生物特征的远程认证协议方法 - Google Patents

Abstract

本发明提出一种基于生物特征的远程认证密钥协商协议方法，属于信息安全领域。采用高效的椭圆曲线密码体制，包括如下步骤：步骤1：系统初始化产生椭圆曲线参数；步骤2：用户通过安全信道向服务器提交注册信息，服务器经过数据处理后，将信息存储在智能卡中，并通过安全信道将信息发送给用户；步骤3：用户需计算登录信息，然后将登录信息发送给服务器；步骤4：用户与服务器之间通过两次“握手”即可实现认证及密钥协商的目的，并产生一个会话密钥；步骤5：用户无需服务器的帮助，仅通过智能卡运算即可实现修改口令和生物特征的目的。通过设计使协议的安全性能强，能够抵抗所有提到的已知攻击，同时采用动态身份保护了用户的匿名性，计算性能也得到了大幅度提升。适用于在线教育及远程医疗等远程认证系统。

Description

基于生物特征的远程认证协议方法

技术领域

本发明属于信息安全技术领域，具体涉及一个基于生物特征的远程认证协议方法。

背景技术

通信技术的发展为各种服务提供了可扩展的平台,远程用户可以从任何地方访问服务器。远程通讯系统提供了独特的在线服务的机会,这样用户不需要物理存在的服务中心。这些服务采用认证和密钥协商协议,以确保授权和对资源的安全访问。1981年，Lamport首先提出了基于口令的认证协议，并得到了广泛的应用。但由于口令需要存储且具有容易被忘记和丢失的缺点，单纯的基于口令的认证协议不能在满足复杂网络环境的需求，协议设计中逐渐采用生物特征等因素，并形成了多因素认证协议体制。

生物特征具有如下优点：(1)不易被丢失或忘记；(2)极难被伪造；(3)不易被复制或分享；(4)相比低熵的口令生物因素不易被猜测；(5)具有独特性，很难被破解。正是基于生物特征的如上优点，越来越多的远程认证系统，比如远程医疗、网上银行，在安全认证协议中嵌入生物特征，保证用户与服务器之间进行安全的通讯。近年来，大量的基于生物特征的远程认证协议被相继提出，但均不能提供足够安全的性能，同时计算性能仍然有提升的空间。2014年，黄朝阳提出了一种基于生物特征的认证协议，然而他的协议具有不能保护用户匿名性、不能抵抗拒绝服务攻击和私钥泄露冒充攻击，计算消耗较高等缺陷。

本发明提出一个基于生物特征的远程认证密钥协商协议，采用高效的椭圆曲线密码体制，提高了协议的安全性能，能够抵抗所有提到的已知攻击，同时采用动态身份保护了用户的匿名性，计算性能也得到了大幅度提升。

发明内容

针对上述存在的问题，本发明提出了一种基于生物特征的远程认证协议方法。

本发明所述的远程认证协议，其特征在于，该协议方法包括以下五个步骤：

步骤1：服务器S产生系统参数；

步骤2：用户U_i通过安全信道向服务器提交注册信息，服务器S经过数据处理后，将信息存储在智能卡中，并通过安全信道将信息发送给用户U_i；

步骤3：为了能够登录到远程服务器S，用户U_i需计算登录信息，然后将登录信息发送给服务器；

步骤4：用户U_i与服务器S之间通过两次“握手”即可实现认证及密钥协商的目的，并产生一个会话密钥sk；

步骤5：口令和生物特征值修改阶段；用户U_i无需服务器S的帮助，仅通过智能卡运算即可实现修改口令和生物特征的目的。

步骤1中服务器S选择椭圆曲线E:y²≡x³+ax+b(modp)，E_p(a,b)是椭圆曲线E的n阶点加法群，P为其生成元，即n·P＝O。选择作为自己的私钥并保存，计算Y＝s·P为公钥，然后选择单向哈希函数S保密s，公布其系统参数Ψ＝{E_p,H(*),P,p,Y}。

步骤2中，具体包括以下步骤：

步骤2.1：用户U_i选择账号ID_i，口令PW_i及和随机数生物特征提取器计算生物特征值B_i，计算然后通过安全信道将ID_i、W₁和W₂发送给服务器S。

步骤2.2：在接收到ID_i、W₁和W₂之后，S首先验证U_i的ID_i格式是否正确，如果正确进行下一步骤。

步骤2.3：服务器S计算 $V_1=W_1\⊕W_2\⊕I{D}_i=P{W}_i\⊕B_i\⊕I{D}_i,V_2=H\left(I{D}_i\right|\left|s\right),V_3=H\left(W_1\right)\⊕H\left(W_2\right)\⊕V_2.$ S将{E_p,H(),P,p,Y,V₁,V₃}存储在智能卡中并通过安全信道发送给U。

步骤2.4：U_i接收到智能卡后，将w输入其内保存。最终，智能卡包含信息为{E_p,H(),P,p,Y,V₁,V₃,w}。

步骤3中用户U_i将智能卡SC插入读卡器中，并输入账号ID_i和口令PW_i，生物特征提取器提取生物特征值然后智能卡SC计算如果S停止执行协议，否则SC计算 $W_1=P{W}_i\⊕w,W_2=B_i\⊕w,H\left(W_1\right)\⊕\left(W_2\right).$ 然后选择和时间戳T₁，计算C₁＝c·P，C₂＝c·Y＝c·s·P,F₁＝H(ID_i||C₂||T₁||V₂||Y)。然后智能卡SC将m₁＝{CID_i,B₁,F₁,T₁}发送给S。

步骤4中，具体包括以下步骤：

步骤4.1：接收到m₁后，S验证T₁是否有效，如果T₁无效，S停止执行协议。否则，S计算 $C_2^{*}=s\·C_1,I{D}_i^{*}=\mathrm{CI}{D}_i\⊕H\left(Y\right|\left|C_2^{*}\right|\left|T_1\right),V_2^{*}=H\left(I{D}_i^{*}\right|\left|s\right),F_1^{*}=H\left(I{D}_i^{*}\right|\left|C_2^{*}\right|\left|T_1\right|{|V}_2^{*}\left|\right|Y).$ 然后，S验证和F₁是否相等。如果不等，则停止执行协议，否则，S成功认证U_i。

步骤4.2：S选择随机数和时间戳T₂，然后计算D＝d·Y＝d·s·P， F₂＝H(sk||e||T₂||Y)。然后S将m₂＝{F₂,T₂,D}发送给U_i。

步骤4.3：U_i接收到m₂后，检查T₂是否有效。如果无效，S停止执行协议，否则，计算 $s{k}^{*}=H\left(\mathrm{ID}\right|\left|C_2\right|\left|D\right|\left|e^{*}\right),$ $F_2^{*}=H\left(s{k}^{*}\right|\left|e^{*}\right|\left|T_2\right|\left|Y\right)$ 并验证F₂与是否相等，如果不等，则停止执行协议，否则，成功认证S，并接受sk^*为正确的会话密钥。

步骤5中，具体包括以下步骤：

步骤5.1：用户U_i将智能卡插入读卡器中，并输入账号ID_i和原有口令PW_i，输入原有生物特征值

步骤5.2：智能卡SC计算 $V_2=V_3\⊕H\left(W_1\right)\⊕H\left(W_2\right),B_i=V_1\⊕P{W}_i\⊕I{D}_i,$ 如果则SC拒绝修改口令请求并将拒绝修改信息反馈给用户，否则，继续执行下面步骤。

步骤5.3：智能卡SC要求U_i输入两遍设置的新口令和并选择一个新的随机数计算 $W_1^{\mathrm{new}}=P{W}_i^{\mathrm{new}}\⊕w^{\mathrm{new}},W_2^{\mathrm{new}}=B_i^{\mathrm{new}}\⊕w^{\mathrm{new}}.V_1^{\mathrm{new}}=W_1^{\mathrm{new}}\⊕W_2^{\mathrm{new}}\⊕I{D}_i=P{W}_i^{\mathrm{new}}\⊕B_i^{\mathrm{new}}\⊕I{D}_i,$ 将智能卡中{E_p,H(),P,p,Y,V₁,V₃,w}更新为 $\{E_p,H\left(\right),P,p,Y,V_1^{\mathrm{new}},V_3^{\mathrm{new}},w^{\mathrm{new}}\}.$

本发明具有的有益效果：

本发明保护用户匿名性。在步骤2中，用户U_i通过安全信道将ID_i发送给S，在登录认证阶段，我们采用动态身份 $\mathrm{CI}{D}_i=I{D}_i\⊕H\left(Y\right|\left|C_2\right|\left|T_1\right)$ 用于传输，也就是说 $I{D}_i=\mathrm{CI}{D}_i\⊕H\left(Y\right||c\·Y|\left|T_1\right),$ 由于随机数c不可知，攻击者无法从CID_i获取用户的身份信息ID_i，从而保护了用户的匿名性。

本发明提供双向认证和密钥协商。在步骤4中，用户与服务器达到了双向认证的目的。首先，通过验证服务器S成功认证了用户U_i，再通过验证用户U也成功认证了服务器S，这样双方便实现了相互认证。此后，计算会话密钥sk＝H(ID_i||C₂||D||e)，其中e＝d·c·Y是由U_i和S共同决定的，这意味着，会话密钥sk在每一次会话中都不会相同，当会话到期后，sk不能被重复使用，因为它是由C₂、D和e共同决定的。这保证了U_i和S之间秘密信息的传递。从而达到了双向认证和密钥协商的目的。

本发明抵抗拒绝服务攻击。在步骤3、5中，当攻击者输入错误的PW_i′和正确的ID_i和智能卡通过计算并与进行比对，发现不相等后，停止协议进行，并拒绝攻击者的请求，保证了协议抵抗拒绝服务攻击。

本发明抵抗重放攻击。协议中用于传输的消息m₁、m₂中均包含时间戳，并在其他认证数据中嵌入了时间戳信息，从而通过对时间戳有效性的认证保证协议抵抗重放攻击。

本发明抵抗冒充攻击。协议中假设攻击者想要冒充用户U_i欺骗服务器S，需要获得F₁＝H(ID_i||C₂||T₁||V₂||Y)来达到目的。但是我们可以注意到用户的ID_i被动态身份CID_i保护，攻击者无法知晓，其次由于随机数攻击者也不能计算出C₂。也就意味着攻击者无法成功地伪造出F₁，也就无法冒充用户成功地欺骗服务器得到认证。从而保证了协议抵抗冒充攻击。

本发明抵抗离线口令猜测攻击。协议中假设攻击者想要冒充用户U_i欺骗服务器S，需要获得F₁＝H(ID_i||C₂||T₁||V₂||Y)来达到目的。但是我们可以注意到用户的ID_i被动态身份CID_i保护，攻击者无法知晓，其次由于随机数攻击者也不能计算出C₂。也就意味着攻击者无法成功地伪造出F₁，也就无法冒充用户成功地欺骗服务器得到认证。从而保证了协议抵抗离线口令猜测攻击。

本发明具有会话密钥的前向安全性。协议中即使私钥s被泄露，攻击者也不能计算出sk＝H(ID_i||C₂||D||e)，因为e＝d·c·s·P，而c，d是随机选取且相互独立的，同时，通过m₁和m₂，攻击者可以获得到(C₁,D)＝(c·P,d·s·P)，基于CDH问题的难解性可知，攻击者无法计算出e，也就无法得到sk。所以我们的协议具有密钥前向安全性并可以抵抗私钥泄露冒充攻击。

本发明的运算性能强，在(CPU:1.6GHz,RAM:2.0GB)环境下整个过程计算时间为9.54ms，相比现有的协议计算时间大幅度缩短。

附图说明

图1为本协议方法的总体流程示意图；

图2位用户注册的流程图；

图3为用户登录认证的示意图；

图4位用户登录认证的流程图；

图5为用户修改口令和生物特征的示意图；

具体实施方法

下面将结合附图和实施例对本发明作进一步的详细说明。

本协议运用高效的椭圆曲线密码体制算法，通过合理设计协议流程，基于生物特征、口令与智能卡多因素，安全性能强，计算速度快，可具体应用在远程医疗等系统中，如图1所示具体操作如下：

(一)系统初始化

服务器S将会通过以下步骤产生系统参数。

(1)S选择椭圆曲线E:y²≡x³+ax+b(modp)，E_p(a,b)是椭圆曲线E的n阶点加法群，P为其生成元，即n·P＝O。

(2)S选择作为自己的私钥并保存，计算Y＝s·P为公钥，然后选择单向哈希函数 $H(*):{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p^{*}.$

(3)S保密s，公布其系统参数Ψ＝{E_p,H(*),P,p,Y}。

(二)用户注册

用户U_i与服务器S需要在安全信道中进行通讯，双方按照以下步骤执行：

(1)用户U_i选择账号ID_i，口令PW_i及和随机数生物特征提取器计算生物特征值B_i，计算然后通过安全信道将ID_i、W₁和W₂发送给服务器S。

(2)在接收到ID_i、W₁和W₂之后，S首先验证U_i的ID_i格式是否正确，如果正确进行下一步骤。

(3)服务器S计算 $V_1=W_1\⊕W_2\⊕I{D}_i=P{W}_i\⊕B_i\⊕I{D}_i,$ V₂＝H(ID_i||s)， $V_3=H\left(W_1\right)\⊕H\left(W_2\right)\⊕V_2.$ S将{E_p,H(),P,p,Y,V₁,V₃}存储在智能卡中并通过安全信道发送给U。

(4)U_i接收到智能卡后，将w输入其内保存。最终，智能卡包含信息为{E_p,H(),P,p,Y,V₁,V₃,w}。

(三)用户登录

为了能够登录到远程服务器S，用户U需按照如下操作计算登录信息：

(1)登录时，U_i将智能卡SC插入读卡器中，并输入账号ID_i和口令PW_i，生物特征提取器提取生物特征值然后智能卡SC计算如果S停止执行协议，否则SC计算 $W_1=P{W}_i\⊕w,W_2=B_i\⊕w,H\left(W_1\right)\⊕\left(W_2\right).$

(2)智能卡SC选择和时间戳T₁，计算C₁＝c·P，C₂＝c·Y＝c·s·P,F₁＝H(ID_i||C₂||T₁||V₂||Y)。然后智能卡SC将m₁＝{CID_i,B₁,F₁,T₁}发送给S。

(四)认证与密钥协商

(1)接收到m₁后，S验证T₁是否有效，如果T₁无效，S停止执行协议。否则，S计算 $C_2^{*}=s\·C_1,I{D}_i^{*}=\mathrm{CI}{D}_i\⊕H\left(Y\right|\left|C_2^{*}\right|\left|T_1\right),V_2^{*}=H\left(I{D}_i^{*}\right|\left|s\right),F_1^{*}=H\left(I{D}_i^{*}\right|\left|C_2^{*}\right|\left|T_1\right|\left|V_2^{*}\right|\left|Y\right).$ 然后，S验证和F₁是否相等。如果不等，则停止执行协议，否则，S成功认证U_i。

(2)S选择随机数和时间戳T₂，然后计算D＝d·Y＝d·s·P， F₂＝H(sk||e||T₂||Y)。然后S将m₂＝{F₂,T₂,D}发送给U_i。

(3)U_i接收到m₂后，检查T₂是否有效。如果无效，S停止执行协议，否则，计算e^*＝c·D，sk^*＝H(ID||C₂||D||e^*)，并验证F₂与是否相等，如果不等，则停止执行协议，否则，成功认证S，并接受sk^*为正确的会话密钥。

通过此步骤，用户与服务器之间进行双向认证并形成了会话密钥。

(五)口令和生物特征修改

(1)用户U_i将智能卡插入读卡器中，并输入账号ID_i和原有口令PW_i，输入原有生物特征

(2)智能卡SC计算 $V_2=V_3\⊕H\left(W_1\right)\⊕H\left(W_2\right),B_i=V_1\⊕P{W}_i\⊕I{D}_i,$ 如果则SC拒绝修改口令请求并将拒绝修改信息反馈给用户，否则，继续执行下面步骤。

(3)智能卡SC要求U_i输入两遍设置的新口令和并选择一个新的随机数计算 $W_1^{\mathrm{new}}=P{W}_i^{\mathrm{new}}\⊕w^{\mathrm{new}},W_2^{\mathrm{new}}=B_i^{\mathrm{new}}\⊕w^{\mathrm{new}}.V_1^{\mathrm{new}}=W_1^{\mathrm{new}}\⊕W_2^{\mathrm{new}}\⊕I{D}_i=P{W}_i^{\mathrm{new}}\⊕B_i^{\mathrm{new}}\⊕I{D}_i,$ 将智能卡中{E_p,H(),P,p,Y,V₁,V₃,w}更新为 $\{E_p,H\left(\right),P,p,Y,V_1^{\mathrm{new}},V_3^{\mathrm{new}},w^{\mathrm{new}}\}.$

通过此步骤，用户在没有服务器的参与下成功地修改了口令与生物特征。

Claims (6)

1.一种基于生物特征的远程认证协议方法，其特征在于，该协议方法包括以下五个步骤：

步骤1：服务器S产生系统参数；

步骤2：用户U_i通过安全信道向服务器提交注册信息，服务器S经过数据处理后，将信息存储在智能卡中，并通过安全信道将信息发送给用户U_i；

步骤3：为了能够登录到远程服务器S，用户U_i需计算登录信息，然后将登录信息发送给服务器；

步骤4：用户U_i与服务器S之间通过两次“握手”即可实现认证及密钥协商的目的，并产生一个会话密钥sk；

步骤5：口令和生物特征值修改阶段；用户U_i无需服务器S的帮助，仅通过智能卡运算即可实现修改口令和生物特征的目的。

2.根据权利要求1所述的一种基于生物特征的远程认证协议方法，其特征在于，步骤1所述的服务器S选择椭圆曲线E:y²≡x³+ax+b(mod p)，E_p(a,b)是椭圆曲线E的n阶点加法群，P为其生成元，即n·P＝O。选择作为自己的私钥并保存，计算Y＝s·P为公钥，然后选择单向哈希函数S保密s，公布其系统参数Y＝{E_p,H(*),P,p,Y}。

3.根据权利要求1所述的一种基于生物特征的远程认证协议方法，其特征在于，步骤2中，具体包括以下步骤：

步骤2.1：用户U_i选择账号ID_i，口令PW_i及和随机数生物特征提取器计算生物特征值B_i，计算 $W_1={\mathrm{PW}}_i\⊕w,W_2=B_i\⊕w,$ 然后通过安全信道将ID_i、W₁和W₂发送给服务器S。

步骤2.2：在接收到ID_i、W₁和W₂之后，S首先验证U_i的ID_i格式是否正确，如果正确进行下一步骤。

步骤2.3：服务器S计算 $V_1=W_1\⊕W_2\⊕{\mathrm{ID}}_i={\mathrm{PW}}_i\⊕B_i\⊕{\mathrm{ID}}_i,$ V₂＝H(ID_i||s)， $V_3=H\left(W_1\right)\⊕H\left(W_2\right)\⊕V_2.$ S将{E_p,H(),P,p,Y,V₁,V₃}存储在智能卡中并通过安全信道发送给U。

步骤2.4：U_i接收到智能卡后，将w输入其内保存。最终，智能卡包含信息为{E_p,H(),P,p,Y,V₁,V₃,w}。

4.根据权利要求1所述的一种基于生物特征的远程认证协议方法，其特征在于，步骤3所述的用户U_i将智能卡SC插入读卡器中，并输入账号ID_i和口令PW_i，生物特征提取器提取生物特征值然后智能卡SC计算 $B_i=V_1\⊕{\mathrm{PW}}_i\⊕{\mathrm{ID}}_i,$ 如果 $d(B_i^{*},B_i)\≥\mathrm{\τ},$ S停止执行协议，否则SC计算 $W_1={\mathrm{PW}}_i\⊕w,W_2=B_i\⊕w,$ $H\left(W_1\right)\⊕H\left(W_2\right).$ 然后选择和时间戳T₁，计算C₁＝c·P，C₂＝c·Y＝c·s·P,F₁＝H(ID_i||C₂||T₁||V₂||Y)。然后智能卡SC将m₁＝{CID_i,B₁,F₁,T₁}发送给S。

5.根据权利要求1所述的一种基于生物特征的远程认证协议方法，其特征在于，步骤4中，具体包括以下步骤：

步骤4.1：接收到m₁后，S验证T₁是否有效，如果T₁无效，S停止执行协议。否则，S计算 $C_2^{*}=s\·C_1,{\mathrm{ID}}_i^{*}={\mathrm{CID}}_i\⊕H\left(Y\right|\left|C_2^{*}\right|\left|T_1\right),V_2^{*}=H\left({\mathrm{ID}}_i^{*}\right|\left|s\right),F_1^{*}=H\left({\mathrm{ID}}_i^{*}\right|\left|C_2^{*}\right|\left|T_1\right|\left|V_2^{*}\right|\left|Y\right).$ 然后，S验证和F₁是否相等。如果不等，则停止执行协议，否则，S成功认证U_i。

步骤4.2：S选择随机数和时间戳T₂，然后计算D＝d·Y＝d·s·P， F₂＝H(sk||e||T₂||Y)。然后S将m₂＝{F₂,T₂,D}发送给U_i。

步骤4.3：U_i接收到m₂后，检查T₂是否有效。如果无效，S停止执行协议，否则，计算e^*＝c·D，sk^*＝H(ID||C₂||D||e^*)，并验证F₂与F₂ ^*是否相等，如果不等，则停止执行协议，否则，成功认证S，并接受sk^*为正确的会话密钥。

6.根据权利要求1所述的一种基于生物特征的远程认证协议方法，其特征在于，步骤5中，具体包括以下步骤：

步骤5.1：用户U_i将智能卡插入读卡器中，并输入账号ID_i和原有口令PW_i，输入原有生物特征值

步骤5.2：智能卡SC计算 $V_2=V_3\⊕H\left(W_1\right)\⊕H\left(W_2\right),B_i=V_1\⊕{\mathrm{PW}}_i\⊕{\mathrm{ID}}_i,$ 如果 $d(B_i^{*},B_i)\≥\mathrm{\τ},$ 则SC拒绝修改口令请求并将拒绝修改信息反馈给用户，否则，继续执行下面步骤。

步骤5.3：智能卡SC要求U_i输入两遍设置的新口令PW_i ^new和并选择一个新的随机数计算 ${W_1}^{\mathrm{new}}={{\mathrm{PW}}_i}^{\mathrm{new}}\⊕w^{\mathrm{new}},{W_2}^{\mathrm{new}}=B_i^{\mathrm{new}}\⊕w^{\mathrm{new}}.{V_1}^{\mathrm{new}}={W_1}^{\mathrm{new}}\⊕{W_2}^{\mathrm{new}}\⊕{\mathrm{ID}}_i={{\mathrm{PW}}_i}^{\mathrm{new}}\⊕B_i^{\mathrm{new}}\⊕{\mathrm{ID}}_i,$ ${V_3}^{\mathrm{new}}=H\left({W_1}^{\mathrm{new}}\right)\⊕H\left(W_2^{\mathrm{new}}\right)\⊕V_2.$ 将智能卡中{E_p,H(),P,p,Y,V₁,V₃,w}更新为{E_p,H(),P,p,Y,V₁ ^new,V₃ ^new,w^new}。