CN105516201A - 一种多服务器环境下轻量级匿名认证与密钥协商方法 - Google Patents

Abstract

本发明涉及一种多服务器环境下轻量级匿名认证与密钥协商方法，属于信息安全技术领域，其是通过(1)系统建立与选择系统参数，(2)服务器和用户在注册中心RC注册，(3)用户和远程服务器认证与密钥协商三个步骤实现多服务器环境下匿名认证与密钥协商，提供后继通信的会话密钥，本发明适合计算能力、存储空间和通信能力较低的移动终端与服务器的远程认证，移动终端可以通过一个用户名和口令登陆RC注册的任何一台服务器，服务器也仅认证用户为合法用户，而不知道用户具体身份，保护了用户的隐私，本发明的扩展性好，双方协商的会话密钥由双方每次认证中选的随机数N_i1，N_i2决定，保证了会话密钥间的独立性和前后向安全性。

Description

一种多服务器环境下轻量级匿名认证与密钥协商方法

技术领域

本发明专利属于信息安全技术领域，具体说是一种在移动互联网多服务环境下，移动终端用户基于生物信息特征进行远程服务器认证登录并协商后继会话密钥获得远程服务的轻量级匿名认证与密钥协商方法。

背景技术

现有的远程认证技术主要有基于口令的认证技术、基于智能卡的认证技术、基于人体生物信息的认证技术等。低熵的口令容易遭到离线猜测攻击，在多服务器环境中，高熵口令容易给用户带来识记和管理困难。智能卡容易被盗，且存储在智能卡上的信息易被边信道技术攻击而不经意泄漏。基于人体生物信息(如指纹，虹膜，人脸识别)不易复制丢失，相比智能卡和口令而言，是一个相对稳定的认证因子。不过单一认证因子已被多因子认证技术全面取代。现有结合以上三因子的认证方案主要存在以下问题，因此在目前的应用中受局限：

(1)扩展性差。大多数多因子认证方案基本都是适应于单服务器环境，也就说如果用户同时想登录不同的服务器获得不同的服务，需要用户在多个不同服务器上都进行注册，并记住不同的用户名和登录口令(用户在不同的服务器上采用相同的用户名和口令，账户易遭受冒充攻击)，研究表明互联网上的用户平均每月要登录20多个不同的服务器，大量的用户名和登录口令给用户带来了识记、存储、管理的不便，并引发了安全隐患。此外，目前多数多因子认证方案只能提供双方身份的认证，功能单一，不能提供密钥协商功能，应用情景和范围受限。

(2)效率低。绝大多数多因子认证技术无一例外的用到了公钥加解密算法或者数字签名算法，甚至要求服务器、用户均在一个公钥基础设施PKI(PublicKeyInfrastructure)中申请用于加密的公私钥对和用于签名的公私钥对，以及权威机构颁发的证书。目前比较盛行的加解密算法RSA和椭圆曲线加密算法均需要用户终端有较强的计算能力，来计算特殊群上的标量乘和幂乘运算。而目前发展的趋势是，移动终端用户持有的都是计算能力、存储能力以及通信能力受限的移动终端，包括smartphone，Tablets，掌上电脑PDA，无法完成复杂的计算任务。所以多数现有的多因子认证技术不能直接迁移到资源受限的移动终端上，需另设计只涉及Hash运算和异或运算等低功耗的多因子认证技术。

(3)鲁棒性差。目前大部分多因子认证方案系统允许用户在适当的情况下更改自己的口令，以防止敌手离线或者在线猜测口令攻击，但是生物信息却无法适应性动态更新。但实际上个人注册时生物信息，如指纹，因劳作而损伤，需要升级更改为新的生物认证信息，而现有的多因子认证方案不能满足该应用需求，不能彰显认证技术动态更新的鲁棒性。

(4)不提供隐私保护和匿名服务。一般移动终端用户远程登录服务器，均需要获得服务器的相关服务，用户不愿意让服务器获得自己的兴趣爱好和行为习惯，所以需要实现匿名认证来保护自己的隐私权。在数据挖掘技术日新月异的当下，不对用户进行匿名保护，很容易暴漏用户隐私，降低用户对方案的信任和采用意愿，从而影响到方案的应用广度和范围。

随着Smartphone等移动终端的普及和移动互联网的迅猛发展，移动终端用户通过远程登陆服务器并获得相关服务，已是大趋势，各种云盘、网盘已经深入人心，成为人们生活中不可缺少的一部分。远程登陆最关键的一步就是认证，可以说接入认证是移动网络最重要的第一道栅栏，所有后继的安全业务都依赖于安全接入认证，认证接入为安全可靠的移动网络运营提供了安全保障。

目前的认证技术基本上都采用了必要的密码技术来进行保障，比如数字签名来说明认证请求者的身份，有些认证技术更是需要计算耗时耗能量的对运算，特殊数域上点乘运算和幂乘运算，这些认证技术对认证用户要求有较高的计算能力和存储能力。而目前用户基本上是通过smartphone，PDA等计算能力和存储能力有限的移动终端进行操作，因此绝大多数基于密码技术的多因子认证技术不适合直接迁移到目前移动终端用户。

此外，目前的多因子认证技术中，绝大多数没有考虑到用户匿名性保护。而移动用户通过Internet访问服务器时，并不希望服务器知道自己是谁，也不愿意让服务器知道自己消费喜好和行为，服务器只需知道用户是一个合法用户，且能保证其能为服务买单(通过可控匿名性保证)。随着人们隐私保护意识的提高，可以断言未来的移动电子商务、移动电子政务等应用中，就会要求系统须提供相应的匿名服务，来有效保护移动终端用户的消费隐私(微信快速超越qq就是微信能比qq给用户提供更多的隐私保护)。

发明内容

为了克服上述技术所存在的不足，本发明提供了一种通信代价低、安全性高、扩展性好可控匿名且适用于移动互联网环境下移动终端用户远程登录的多服务器环境下轻量级匿名认证与密钥协商方法。

本发明为了实现上述目的所采用的技术方案是由以下步骤组成：

(1)系统建立与选择系统参数

注册中心RC根据系统的安全要求选择合适的密码学安全Hash函数h(.)和模糊提取器(Gen(.),Rep(.))并将其公开，之后将该h(.)算法和生物信息模糊提取器的Rep(.)算法写入用户智能卡SC中；

(2)服务器和用户在注册中心RC注册

(2.1)服务器S_j选择公开的注册名SID_j和lbit私钥y_j，并将注册名SID_j发送给注册中心RC，其中j＝1,2，...，t，t表示当前在注册中心RC所注册的服务器个数，注册中心RC收到服务器所注册的注册名SID_j后选择一个随机数串r_j，通过PSID_j＝h(SID_j||r_j||x)计算出PSID_j，并将PSID_j返回给服务器S_j，x为注册中心RC的私钥，||表示数字串的级联，服务器通过计算出私密信息BS_j并将其秘密保存；

(2.2)用户U_i选择注册名ID_i和对应的口令pw_i，该注册名ID_i选自于用户U_i的身份信息，提取该用户U_i的生物信息b_i，利用模糊提取器Gen(.)算法生成该用户U_i的生物密钥Gen(b_i)＝(Δ_i,θ_i)，用户通过A_i＝h(pw_i||θ_i)计算出口令和生物密钥的哈希值A_i，并将注册名ID_i和A_i发给注册中心RC，注册中心RC收到注册名ID_i和A_i后选择随机数z_i，分别计算PID_i＝h(ID_i||z_i||x)，C_i＝h(ID_i||PID_i)，{D_ij＝h(C_i||PSID_j)}，注册中心RC将所得B_i、<SID_j,E_ij>保存在用户智能卡SC中，并将用户智能卡SC发给用户U_i，用户U_i计算F_i＝h(ID_i||A_i)，且将F_i和自己的生物密钥辅助生成信息Δ_i存在用户智能卡上，最终，用户智能卡中存有{Δ_i,F_i,B_i,<SID₁,E_i1>,<SID₂,E_i2>,...,<SID_t,E_it>,h(.),Rep(.)}；

(3)用户和服务器认证与密钥协商

(3.1)用户U_i将用户智能卡SC插入读卡器，并输入其注册名ID_i、口令pw_i、生物信息b′_i、目标服务器S_k的注册名SID_k以及随机数N_i1，k∈{1,2，...，t}，用户U_i智能卡利用所存储的模糊提取器Rep(.)算法恢复Rep(Δ_i,b′_i)＝θ_i,再计算出A′_i＝h(pw_i||θ_i)，验证F_i＝h(ID_i||A′_i)是否成立，若不成立，则用户智能卡SC自动终止远程连接，中断登录请求；若成立，则用户智能卡SC计算C′_i＝h(ID_i||PID′_i)、 $D_{ik}^{\&prime;}=E_{ik}\&CirclePlus;{\mathrm{PID}}_i^{\&prime;},M_1=h\left({\mathrm{SID}}_k\right|\left|D_{ik}^{\&prime;}\right)\&CirclePlus;N_{i1},$ M₂＝h(N_i1||D′_ik)，用户智能卡SC将用户登录请求msg₁＝{C′_i,M₁,M₂}发给目标服务器S_k；

(3.2)目标服务器S_k收到用户登录请求msg₁，计算D″_ik＝h(C′_i||PSID′_k),检查M₂＝h(N′_i1||D″_ik)是否成立，若不成立，则拒绝该登录请求；否则，目标服务器S_k选择随机数N_i2，计算 key＝h(N′_i1||N_i2)，M₄＝h(N′_i1||N_i2||D″_ik||key)，并将msg₂＝{M₃,M₄}发给用户U_i；

(3.3)用户收到msg₂，计算key'＝h(N_i1||N′_i2)，验证M₄＝h(N_i1||N′_i2||D′_ik||key')是否成立，若等式不成立，则终止该认证过程；否则计算并将msg₃＝{M₅}发给目标服务器S_k；

(3.4)目标服务器S_k收到msg₃，检验等式是否成立，若成立，则双向认证结束，用户U_i和目标服务器S_k拥有会话密钥key＝key'。

上述步骤(1)中的Hash函数为MD系列或SHA系列算法。

上述MD系列算法的输出长度l为128比特，SHA系列算法的输出长度l为160、224、256、384或512比特。

上述步骤(2.1)中的服务器注册名为服务器域名或者中文唯一标识；所述步骤(2.2)中的用户的身份信息为身份证号码或电话号码、Email信息，生物信息b_i是指纹信息或人脸信息、虹膜信息。

上述步骤(2)中服务器和用户在注册中心RC的注册过程所需信道为安全信道，保证注册信息保密，步骤(3)的msg₁、msg₂以及msg₃的传输信道可以是公开信道。

在上述步骤(3)用户和服务器认证与密钥协商之前还包括步骤(a)，口令pw_i和/或生物信息b_i的动态更新，具体方法为：

用户U_i将用户智能卡SC插入读卡器并输入ID_i，pw_i，b′_i，用户智能卡SC利用模糊提取器的Rep(.)算法恢复该用户U_i的生物密钥Rep(Δ_i,b′_i)＝θ_i，并计算A′_i＝h(pw_i||θ_i)，验证F_i＝h(ID_i||A′_i)是否成立，若不成立，则用户智能卡SC自动中断请求；若成立，提示用户输入新的口令和/或生物信息用户U_i重新采集自己的生物信息并选择新的口令通过 $Gen\left(b_i^{new}\right)=({\mathrm{\&Delta;}}_i^{new},$ ${\mathrm{\&theta;}}_i^{new})$ 计算出该用户U_i的新生物密钥重新计算 $A_i^{new}=h\left({\mathrm{pw}}_i^{new}\right|\left|{\mathrm{\&theta;}}_i^{new}\right),B_i^{new}=A_i^{new}$ $\&CirclePlus;B_i\&CirclePlus;A_i,F_i^{new}=h\left({\mathrm{ID}}_i\right|\left|A_i^{new}\right),$ 将用户智能卡SC中原来存储信息{Δ_i,F_i,B_i}更新为

与现有技术相比，本发明具有以下优点：

(1)轻量级，本专利体现了移动终端用户的移动设备内存小，计算能力低的特性，也考虑到在远程服务器同时处理多个登陆请求时面临的并行处理能力，整个密钥协商过程不需要复杂的密码系统和耗时的密码运算，仅仅用hash运算和异或运算，整个过程的计算与存储要求都不构成双方负担，让双方的沟通变得轻松容易；与同类轻量级技术方案相比，本发明的计算量、存储量和通信量都较低。

(2)可控匿名性，本发明采用了可控匿名，一般情况下服务器不知道认证用户的具体身份，仅仅知道其是RC处注册过的合法用户。一旦在后继通信中该用户有不法行为，服务器可求助RC打开用户的身份，保障服务提供商的权益。根据目前的研究成果，这种可控匿名的方式在保护用户匿名性和保障服务提供商权益的系统均衡效果是最好的。

(3)安全性好，本发明双方协商的会话密钥由双方选的随机数N_i1，N_i2决定，即使某次通信的会话密钥不慎泄露，通信双方及时协商新的会话密钥，也不会影响前后会话密钥的安全性，保证了会话密钥间的独立性和前后向安全性。

(4)扩展性好，本发明在移动终端与远程服务器在相互认证的同时，产生了会话密钥，若协议只想实现的是认证功能，该值充当了响应的测试消息；若后继需要服务器进一步给用户发送用户需要的加密电子文件或者源程序代码，该值又能充当临时会话密钥来加密远程传输的数据，该值的存在，大大地增加了方案的灵活性，让方案易于扩展，适用于目前的电子商务、移动通讯领域。

(5)鲁棒性强，本发明不仅允许用户动态更新口令和生物信息，而且更新不需要注册中心RC的频繁协助，自己通过读卡器独立对智能卡进行写入，动态更新自己的口令和生物认证信息，有效抵抗敌手口令猜测攻击，系统的鲁棒性强。

附图说明

图1为多服务器环境下基于口令、智能卡和生物信息的认证密钥协商应用系统。

图2为用户3和服务器6之间的认证与密钥协商过程示意图。

具体实施方式

图1表示一个多服务器环境下基于口令、智能卡和生物信息的认证密钥协商系统应用系统，其中RC为注册中心，管理在RC处认证过的用户和服务器，用于确认服务器身份和进行用户可控追踪，系统中有用户U₁、用户U₂和用户U₃作为移动用户，服务器S₁～S₆的多服务器环境，假设S₁为某web服务器，S₂为Ftp服务器，S₃为某知识库服务器，…，用户和服务器均在注册中心注册，用户可以匿名通过一个口令和密码，凭自己的身份ID和生物信息与服务器进行远程双向认证，并且产生后继通信的会话密钥：

实施例1

现以用户U₃对服务器S₆进行匿名认证与密钥协商为例，具体方法如下：

(1)系统建立与选择系统参数

注册中心RC根据系统的安全要求选择SHA-2算法和模糊提取器，并将SHA-2算法和模糊提取器公开，之后将SHA-2算法和模糊提取器的Rep(.)算法写入用户智能卡SC中，该智能卡是有一定的存储能力、计算能力和连接远程服务器的能力，例如开源的32位处理器RISC的OR1200。

(2)服务器和用户在注册中心RC注册

假设服务器和用户的在注册中心注册自己真实身份，并成为系统中的合法成员，先设注册中心RC选择一个二进制长度为l的密钥x和一个单向Hash函数h(.)，即将任意长的0,1数字串映射成固定l长度的0,1数字串。凡在该注册中心注册的用户或者服务器，其信息计算都有RC的x值影子，具体为：

(2.1)服务器S₁～S₆分别选择公开的注册名SID₁～SID₆和160bit私钥y₁～y₆，并分别将注册名SID₁～SID₆发送给注册中心RC，注册中心RC收到服务器所注册的注册名SID₁～SID₆后选择随机数串r₁～r₆，通过PSID_j＝h(SID_j||r_j||x)计算出PSID₁～PSID₆，并将PSID₁～PSID₆返回给对应服务器S₁～S₆，x为注册中心RC的私钥，||表示数字串的级联，服务器S₁～S₆分别通过计算出私密信息BS₁～BS₆并将其秘密保存。

本实施例的服务器注册名可以用服务器域名或者中文唯一标识，如网易新闻、百度糯米等中文标识。

(2.2)用户U₁～U₃选择注册名ID₁～ID₃和对应的口令pw₁～pw₃，注册名ID₁～ID₃是该用户的身份证号码，提取该用户U₁～U₃的指纹信息b₁～b₃，利用模糊提取器的Gen(.)算法生成该用户U₁～U₃的生物密钥Gen(b₁)＝(Δ₁,θ₁),Gen(b₂)＝(Δ₂,θ₂)以及Gen(b₃)＝(Δ₃,θ₃)，用户通过A_i＝h(pw_i||θ_i)分别计算出口令和生物密钥的哈希值A₁、A₂、A₃，并将注册名ID₁～ID₃和对应的A₁～A₃发给注册中心RC，注册中心RC收到注册名ID₁～ID₃和A₁～A₃后选择随机数z₁～z₃，根据PID_i＝h(ID_i||z_i||x)，C_i＝h(ID_i||PID_i)，{D_ij＝h(C_i||PSID_j),}，分别计算出用户U₁～U₃与服务器S₁～S₆所对应的PID_i、B_i、C_i以及{D_ij,E_ij},其中i＝1，2，3，j＝1，2，3，4，5，6。注册中心RC将所得B_i、<SID_j,E_ij>保存在用户U_i智能卡SC中发给用户U_i，如将B₁、<SID₁,E₁₁>，<SID₂,E₁₂>，<SID₃,E₁₃>，<SID₄,E₁₄>，<SID₅,E₁₅>，<SID₆,E₁₆>保存在用户智能卡SC并发给U₁。用户U₁～U₃获得用户智能卡SC后利用F_i＝h(ID_i||A_i)计算出F₁～F₃，且将自己的生物密钥辅助生成信息Δ₁～Δ₃和F₁～F₃分别存储在对应的用户智能卡上，如用户U₃智能卡中存有{Δ₃,F₃,B₃,<SID₁,E₃₁>,<SID₂,E₃₂>,<SID₃,E₃₃>,<SID₄,E₃₄>,<SID₅,E₃₅>,<SID₆,E₃₆>,h(.),Rep(.)}。

上述服务器S₁～S₆和用户U₁～U₃在注册中心RC的注册过程所需信道为安全信道。

(3)用户和服务器认证与密钥协商

现将服务器S₆作为用户U₃的目标服务器，认证与密钥协商的过程为：

(3.1)用户U₃将用户智能卡SC插入读卡器，并输入其注册名ID₃、口令pw₃、生物信息b′₃(允许b′₃与注册时的生物信息b₃有w比特的误差)、目标服务器S₆的注册名SID₆以及随机数N₃₁，用户智能卡利用所存储的模糊提取器Rep(.)算法计算Rep(Δ₃,b′₃)＝θ′₃，再计算出A′₃＝h(pw₃||θ′₃)，检查F₃＝h(ID₃||A′₃)是否成立，若不成立，则用户智能卡SC自动终止远程连接，中断登录请求；若成立，则用户智能卡SC计算 ${\mathrm{PID}}_3^{\&prime;}={A^{\&prime;}}_3\&CirclePlus;B_3,$ C′₃＝h(ID₃||PID′₃)、 $D_{36}^{\&prime;}=E_{36}\&CirclePlus;{{\mathrm{PID}}^{\&prime;}}_3,M_1=h\left({\mathrm{SID}}_6\right|\left|D_{36}^{\&prime;}\right)\&CirclePlus;N_{31},$ M₂＝h(N₃₁||D′₃₆)，用户智能卡SC将用户登录请求msg₁＝{C′₃，M₁，M₂}发给目标服务器S₆；

(3.2)目标服务器S₆收到用户登录请求msg₁，计算D″₃₆＝h(C′₃||PSID′₆)，检查M₂＝h(N′₃₁||D″₃₆)是否成立，若不成立，则拒绝该登录请求；否则，目标服务器S₆选择随机数N₃₂，计算 key＝h(N′₃₁||N₃₂)，M₄＝h(N′₃₁||N₃₂||D″₃₆||key),并将msg₂＝{M₃,M₄}发给用户U₃；

(3.3)用户U₃收到msg₂，计算key'＝h(N₃₁||N′₃₂)，验证M₄＝h(N₃₁||N′₃₂||D′₃₆||key′)是否成立，若等式不成立，则终止该认证过程；否则计算并将msg₃＝{M₅}发给目标服务器S₆；

(3.4)目标服务器S₆收到msg₃，检验等式是否成立，若成立，则双向认证结束，双方拥有会话密钥key＝key'。

本实施例中msg₁、msg₂以及msg₃的传输信道均可采用一般公开信道。

实施例2

本实施例中，在步骤(2)服务器和用户在注册中心RC全部注册完成后因用户3的指纹受意外损坏，需要更改口令pw₃和/或生物信息b₃，具体步骤如下：

(a)口令pw₃和/或生物信息b₃的动态更新

具体方法为：用户U₃将用户智能卡SC插入读卡器并输入ID₃、pw₃、b′₃，用户智能卡SC利用模糊提取器的Rep(.)算法恢复该用户U₃的生物密钥Rep(Δ₃,b′₃)＝θ′₃，并计算A′₃＝h(pw₃||θ′₃)，验证F₃＝h(ID₃||A′₃)是否成立，若不成立，则用户智能卡SC自动中断请求；若成立，提示用户输入新的口令和/或生物信息用户U₃重新采集自己的生物信息并选择新的口令通过 $Gen\left(b_3^{new}\right)=({\mathrm{\&Delta;}}_3^{new},{\mathrm{\&theta;}}_3^{new})$ 计算出该用户U₃的新生物密钥重新计算 $A_3^{new}=$ $h\left({\mathrm{pw}}_3^{new}\right|\left|{\mathrm{\&theta;}}_3^{new}\right),B_3^{new}=A_3^{new}\&CirclePlus;B_3\&CirclePlus;A_3,F_3^{new}=h\left({\mathrm{ID}}_3\right|\left|A_3^{new}\right),$ 将用户智能卡SC中原来存储信息{Δ₃,F₃,B₃}更新为

本实施例允许b′_i与注册时的生物信息b_i有w比特的误差，b′_i与b_i汉明距离为w，w为输入生物信息的容错率，以应对指纹等突然受损导致的精度误差。

(3)用户和服务器认证与密钥协商

(3.1)用户U₃将用户智能卡SC插入读卡器，并输入其注册名ID₃、 目标服务器S₆的注册名SID₆以及随机数N₃₁，用户智能卡SC利用所存储的模糊提取器Rep(.)算法计算再计算出 $A_3^{\&prime;new}=h\left({\mathrm{pw}}_3^{new}\right|\left|{\mathrm{\&theta;}}_3^{\&prime;new}\right),$ 检查 $F_3^{new}=h\left({\mathrm{ID}}_3\right|\left|A_3^{\&prime;new}\right)$ 是否成立，若不成立，则用户智能卡SC自动终止远程连接，中断登录请求；若成立，则用户智能卡SC计算 ${\mathrm{PID}}_3^{\&prime;}=A_3^{\&prime;new}\&CirclePlus;B_3^{new},$ C′₃＝h(ID₃||PID′₃)、 $D_{36}^{\&prime;}=E_{36}\&CirclePlus;{{\mathrm{PID}}^{\&prime;}}_3,M_1=h\left({\mathrm{SID}}_6\right|\left|D_{36}^{\&prime;}\right)\&CirclePlus;N_{31},$ M₂＝h(N₃₁||D′₃₆)，用户智能卡SC将用户登录请求msg₁＝{C′₃，M₁，M₂}发给目标服务器S₆；

(3.2)目标服务器S₆收到用户登录请求msg₁，计算D″₃₆＝h(C′₃||PSID′₆)，检查M₂＝h(N′₃₁||D″₃₆)是否成立，若不成立，则拒绝该登录请求；否则，目标服务器S₆选择随机数N₃₂，计算 key＝h(N′₃₁||N₃₂)，M₄＝h(N′₃₁||N₃₂||D″₃₆||key),并将msg2＝{M₃,M₄}发给用户U₃；

(3.3)用户U₃收到msg2，计算key'＝h(N₃₁||N′₃₂)，验证M₄＝h(N₃₁||N′₃₂||D′₃₆||key′)是否成立，若等式不成立，则终止该认证过程；否则计算并将msg₃＝{M₅}发给目标服务器S₆；

(3.4)目标服务器S₆收到msg₃，检验等式是否成立，若成立，则双向认证结束，双方拥有会话密钥key＝key'。

其他的步骤与实施例1相同。

上述实施例1～2中，所用SHA算法可以用输出长度l分别为224、256、384或512比特的SHA-224、SHA-256、SHA-384或SHA-512来替换或者也可以用输出长度l为128比特的MD系列算法来替换。

上述实施例1～2中，所用指纹信息还可以用人脸信息或虹膜信息等其他生物特征信息来替换，所用身份证号码也可以用电话号码或Email信息来替换，其认证与协商过程与对应实施例相同。

Claims (6)

1.一种多服务器环境下轻量级匿名认证与密钥协商方法，其特征在于由以下步骤组成：

(1)系统建立与选择系统参数

注册中心RC根据系统的安全要求选择合适的密码学安全Hash函数h(.)和模糊提取器(Gen(.),Rep(.))并将其公开，之后将该h(.)算法和生物信息模糊提取器的Rep(.)算法写入用户智能卡SC中；

(2)服务器和用户在注册中心RC注册

(2.1)服务器S_j选择公开的注册名SID_j和lbit私钥y_j，并将注册名SID_j发送给注册中心RC，其中j＝1,2，...，t，t表示当前在注册中心RC所注册的服务器个数，注册中心RC收到服务器所注册的注册名SID_j后选择一个随机数串r_j，通过PSID_j＝h(SID_j||r_j||x)计算出PSID_j，并将PSID_j返回给服务器S_j，x为注册中心RC的私钥，||表示数字串的级联，服务器通过BS_j＝PSID_j⊕y_j计算出私密信息BS_j并将其秘密保存；

(2.2)用户U_i选择注册名ID_i和对应的口令pw_i，该注册名ID_i选自于用户U_i的身份信息，提取该用户U_i的生物信息b_i，利用模糊提取器Gen(.)算法生成该用户U_i的生物密钥Gen(b_i)＝(Δ_i,θ_i)，用户通过A_i＝h(pw_i||θ_i)计算出口令和生物密钥的哈希值A_i，并将注册名ID_i和A_i发给注册中心RC，注册中心RC收到注册名ID_i和A_i后选择随机数z_i，分别计算PID_i＝h(ID_i||z_i||x)，B_i＝A_i⊕PID_i，C_i＝h(ID_i||PID_i)，{D_ij＝h(C_i||PSID_j)}，{E_ij＝PID_i⊕D_ij}，注册中心RC将所得B_i、<SID_j,E_ij>保存在用户智能卡SC中，并将用户智能卡SC发给用户U_i，用户U_i计算F_i＝h(ID_i||A_i)，且将F_i和自己的生物密钥辅助生成信息Δ_i存在用户智能卡上，最终，用户智能卡中存有{Δ_i,F_i,B_i,<SID₁,E_i1>,<SID₂,E_i2>,...,<SID_t,E_it>,h(.),Rep(.)}；

(3)用户和服务器认证与密钥协商

(3.1)用户U_i将用户智能卡SC插入读卡器，并输入其注册名ID_i、口令pw_i、生物信息b′_i、目标服务器S_k的注册名SID_k以及随机数N_i1，k∈{1,2，...，t}，用户U_i智能卡利用所存储的模糊提取器Rep(.)算法恢复Rep(Δ_i,b′_i)＝θ_i,再计算出A′_i＝h(pw_i||θ_i)，验证F_i＝h(ID_i||A′_i)是否成立，若不成立，则用户智能卡SC自动终止远程连接，中断登录请求；若成立，则用户智能卡SC计算PID′_i＝A′_i⊕B_i，C′_i＝h(ID_i||PID′_i)、D′_ik＝E_ik⊕PID′_i、M₁＝h(SID_k||D′_ik)⊕N_i1,M₂＝h(N_i1||D′_ik)，用户智能卡SC将用户登录请求msg₁＝{C′_i,M₁,M₂}发给目标服务器S_k；

(3.2)目标服务器S_k收到用户登录请求msg₁，计算PSID′_k＝BS_k⊕y_k，D″_ik＝h(C′_i||PSID′_k),N′_i1＝h(SID_k||D″_ik)⊕M₁，检查M₂＝h(N′_i1||D″_ik)是否成立，若不成立，则拒绝该登录请求；否则，目标服务器S_k选择随机数N_i2，计算M₃＝h(SID_k||D″_ik)⊕N_i2,key＝h(N′_i1||N_i2)，M₄＝h(N′_i1||N_i2||D″_ik||key)，并将msg₂＝{M₃,M₄}发给用户U_i；

(3.3)用户收到msg₂，计算N′_i2＝h(SID_k||D′_ik)⊕M₃，key'＝h(N_i1||N′_i2)，验证M₄＝h(N_i1||N′_i2||D′_ik||key')是否成立，若等式不成立，则终止该认证过程；否则计算M₅＝key'⊕h(D′_ik||N′_i2)，并将msg₃＝{M₅}发给目标服务器S_k；

(3.4)目标服务器S_k收到msg₃，检验等式key＝M₅⊕h(D″_ik||N_i2)是否成立，若成立，则双向认证结束，用户U_i和目标服务器S_k拥有会话密钥key＝key'。

2.根据权利要求1所述的轻量级的匿名认证与密钥协商方法，其特征在于：所述步骤(1)中的Hash函数为MD系列或SHA系列算法。

3.根据权利要求2述的多服务器环境下轻量级匿名认证与密钥协商方法，其特征在于：所述MD系列算法的输出长度l为128比特，SHA系列算法的输出长度l为160、224、256、384或512比特。

4.根据权利要求1所述的多服务器环境下轻量级匿名认证与密钥协商方法，其特征在于：所述步骤(2.1)中的服务器注册名为服务器域名或者中文唯一标识；所述步骤(2.2)中的用户的身份信息为身份证号码或电话号码、Email信息，生物信息b_i是指纹信息或人脸信息、虹膜信息。

5.根据权利要求1所述的多服务器环境下轻量级匿名认证与密钥协商方法，其特征在于：所述步骤(2)中服务器和用户在注册中心RC的注册过程所需信道为安全信道，所述步骤(3)的msg₁、msg₂以及msg₃的传输信道为公开信道。

6.根据权利要求1所述的多服务器环境下轻量级匿名认证与密钥协商方法，其特征在于：在步骤(3)用户和服务器认证与密钥协商之前还包括步骤

(a)，口令pw_i和/或生物信息b_i的动态更新，具体方法为：

用户U_i将用户智能卡SC插入读卡器并输入ID_i，pw_i，b′_i，用户智能卡SC利用模糊提取器的Rep(.)算法恢复该用户U_i的生物密钥Rep(Δ_i,b′_i)＝θ_i，并计算A′_i＝h(pw_i||θ_i)，验证F_i＝h(ID_i||A′_i)是否成立，若不成立，则用户智能卡SC自动中断请求；若成立，提示用户输入新的口令和/或生物信息用户U_i重新采集自己的生物信息并选择新的口令通过 计算出该用户U_i的新生物密钥重新计算 将用户智能卡SC中原来存储信息{Δ_i,F_i,B_i}更新为