CN107248997A - 多服务器环境下基于智能卡的认证方法 - Google Patents

多服务器环境下基于智能卡的认证方法 Download PDF

Info

Publication number
CN107248997A
CN107248997A CN201710532026.4A CN201710532026A CN107248997A CN 107248997 A CN107248997 A CN 107248997A CN 201710532026 A CN201710532026 A CN 201710532026A CN 107248997 A CN107248997 A CN 107248997A
Authority
CN
China
Prior art keywords
server
user
mrow
smart card
msub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710532026.4A
Other languages
English (en)
Other versions
CN107248997B (zh
Inventor
王晓明
周思敏
甘庆晴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Fanxing Information Technology Co ltd
Guangzhou Jinan University Science Park Management Co ltd
Original Assignee
Jinan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan University filed Critical Jinan University
Priority to CN201710532026.4A priority Critical patent/CN107248997B/zh
Publication of CN107248997A publication Critical patent/CN107248997A/zh
Application granted granted Critical
Publication of CN107248997B publication Critical patent/CN107248997B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB

Abstract

本发明公开了一种多服务器环境下基于智能卡的认证方法,该认证方法不需要第三方参与认证,用户只需注册一次,智能卡只需存储常量的信息,就可以实现与多个服务器之间的认证和访问,且服务器端也不需存储任何用户信息,从而解决了多服务器环境下无第三方参与认证时,智能卡存储的信息随注册服务器增加而增长的问题。通过BAN逻辑分析证明了该认证模型的安全性,同时性能分析表明,与已有的多服务器环境下基于智能卡的认证方案相比,本发明在计算费用和通信费用不需要增加明显负担的情况下,具有较低的存储费用要求。

Description

多服务器环境下基于智能卡的认证方法
技术领域
本发明涉及的技术领域是多服务器环境下身份认证机制的研究,具体 涉及一种多服务器环境下基于智能卡且注册中心不参与服务器与用户之 间认证过程的认证方法。
背景技术
随着互联网及其应用的高速发展,多服务器环境下的互联网应用也得 到了广泛的普及,使之需求大大增加。虽然在线服务向用户不断提供着方 便用户生活的各种服务,但是其安全性问题一直是人们关注的焦点,应该 如何做到保证用户的合法性和信息的安全性?合法用户的身份认证是网 络安全的第一道安全保障,因此身份的认证机制对任何一个网络服务来说 都是非常重要且必不可少的一个环节。在多服务器环境下的身份认证方案 中,通过智能卡能够很方便的去辨别远程用户的合法性,因此智能卡得到 了广泛的使用。
自2003年Tsaur在文献《A flexible user authentication scheme for multi-server internet services》中首次为人们带来多服务模型的思想以来,多服务 器认证的概念得到空前的发展。目前,多服务器环境下基于智能卡的身份 认证方案通常可以划分为两种类型:三方认证模式和两方认证模式。三方 认证模式是指注册中心需要参与用户与服务器之间的认证,而两方认证模 式则不需要注册中心的参与。基于三方认证模式的身份认证技术因为服务 器自身没有验证用户合法性的能力,每次认证时,需传递认证消息给第三方认证中心,因此数据通信费用相对比较大。此外,在该模式下的认证效 率深受认证中心的效率的影响,攻击者通常会抓住这个把柄去进行攻击消 耗服务器,如2015年Odelu的《Asecure biometrics-based multi-server authentication protocol using smartcards》和2016年Li的《A novel chaotic maps-based user authentication and keyagreement protocol for multi-server environments with provable security》等等。
基于两方认证模式的身份认证技术不需要第三方认证中心才的处理, 但实现认证身份,服务器与用户之间事先必需共享一系列的秘密参数,即 需要用户的智能卡存储秘密认证信息。而且随着注册的服务器增多,智能 卡存储的秘密认证信息增多,这对存储容量是有限的智能卡是很不现实的。 正如2016年Reddy的《An enhanced biometric basedauthentication with key- agreement protocol for multi-server architecturebased on elliptic curve cryptography》和Chaturvedi的《Design of a secure smartcard-based multi- server authentication scheme》等文献都出现上述问题,如何在多服务器环境 下,智能卡存储的信息不随着注册服务器增多而增多,是一个急需解决的 问题。
发明内容
本发明的目的是为了解决现有技术中的上述缺陷,提供一种多服务器 环境下基于智能卡的认证方法。
本发明的目的可以通过采取如下技术方案达到:
一种多服务器环境下基于智能卡的认证方法,所述认证方法包括下列 步骤:
S1、通过注册中心初始化系统的相关参数,并公布系统公共参数 params;
S2、服务器Sj通过注册中心注册,得到私钥
S3、用户Ui通过注册中心注册,得到包含身份登录秘密信息{Zi,Pi}和私 钥
S4、当用户Ui登录系统时,通过输入本机的身份标识IDi',密码pwi'和 本机的生物识别信息Bi'登入系统并计算身份认证信息向服务器Sj发送认 证请求{IDrc,C,Q,T};
S5、当服务器Sj接收到用户认证请求时,通过自身的私钥和认证算法 认证用户的合法性:
如果表达式成立,则表明用户Ui合法,服务器Sj继续计算SV=H3(gab) 和身份认证信息,最后将{SIDj,D,B}发送给用户Ui
S6、用户Ui接收到服务器Sj的回复后通过验证等式验证服务器的合法 性:D=H1(A),
如果表达式成立,则表明服务器是合法的,并计算出SV=H3(gab)如果 表达式不成立,则表明服务器是非法的;
S7、服务器Sj和用户Ui成功认证彼此身份后通过SKey(i,j)=KDF(SV)建 立彼此的临时会话密钥。
进一步地,所述步骤S1包括:
S11、生成一个阶为q且生成元为P的一个循环群G,与此同时,存 在另外一个同样阶为q的循环群GT,其中q是一个足够大的素数,假设 (G,GT)是一个双线性映射群,则存在一个映射e:G×G→GT,满足如下 性质:
双线性:e(ga,gb)=e(g,g)ab,其中
非退化性:存在g∈G且e(g,g)≠1;
可计算性:存在一个有效的算法去计算e(g,g),g∈G;
S12、选择三个加密哈希函数,分别满足以下三个条件 H2:{0,1}*→GT;H3:GT→{0,1}*;令g1=e(g,g),g1∈GT
S13、选择一个主密钥然后计算公钥PK=gs
S14、注册中心发布的公共参数param:{G,GT,e,g,g1,PK,H1,H2,H3}。
进一步地,所述步骤S2包括:
S21、服务器Sj将本机的身份标标识SIDj通过安全通道发送给注册中心 RC;
S22、注册中心RC接收到服务器Sj的注册请求后,根据接收到的身份 标标识SIDj计算服务器用于认证的秘钥
进一步地,所述步骤S3包括:
S31、插入智能卡SCi,设置好IDi,PWi和生物特征Bi,计算Fi=H1(Bi), 并将注册请求Reg={IDi,H1(PWi||Fi)}通过安全通道发送给注册中心RC;
S32、注册中心RC接收到用户Ui的注册请求后,计算用户Ui用于认证 的私钥之后注册中心RC再分别计算和 Pi=H1(ki||IDi||H1(PWi||Fi));
S33、将{Zi,Pi}通过安全通道发送给用户Ui,用户Ui接收到回复消息后, 将{Zi,Pi}存储于智能卡SCi即完成注册。
进一步地,所述步骤S4包括:
S41、当用户Ui登录系统访问服务器Sj时,插入智能卡SCi,并输入本 机的身份标识IDi',密码pwi'和本机的生物识别信息Bi';
S42、智能卡SCi计算Fi'=H1(Bi')和并验证等式 Pi=H1(ki'||IDi'||H1(PWi'||Fi'))是否成立;
S43、如果等式不成立,则登录失败,否则,选择随机秘密参数分别计算r1=g1 x,A=gaMRUi=IDrc||IDi||A, h=H2(MRUi,r1)和Q=ki x+h,并将{IDrc,C,Q,T}发送给服 务器Sj
进一步地,所述步骤S5包括:
S51、服务器Sj接收到认证请求后,利用自身的主密钥计算:
r1=e(T,sjk) (1);
S52、计算和h=H2(MRUi,r1),并验证以下等式是否 成立:
S53、若等式不成立,则登录失败;若等式成立,则服务器Sj将选择一 个秘密参数并计算B=gb,D=H1(A)和SV=H3(gab),同时擦除秘密 参数b,传送{SIDj,D,B}给用户Ui
进一步地,所述步骤S6包括:
S61、用户Ui接收到服务器Sj的消息后,验证D=H1(A)是否成立;
S62、若等式不成立,则说明服务器消息不可靠,终止会话;否则,计 算SV=H3(gab),擦除秘密参数a。
本发明相对于现有技术具有如下的优点及效果:
1)本发明不需要第三方参与认证的过程,使注册中心不用维持在线状 态处理所有的认证问题。
2)本发明不仅简洁了用户的密钥管理,而且对于服务器数目的增加并 不会造成用户的存储量增加的问题。
3)本发明服务器在认证过程中仅需使用本机的一个私钥,并不需要额 外存储关于用户的信息,用户的撤销更替并不会对服务器造成影响。
4)通过BAN逻辑分析证明了该认证模型的安全性。
5)性能分析表明,与已有的多服务器环境下基于智能卡的认证方案相 比,本发明在计算费用和通信费用不需要增加明显负担的情况下,具有较 低的存储费用要求。
附图说明
图1是本发明公开的多服务器环境下基于智能卡认证方法的流程示意 图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本 发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描 述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。 基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提 下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
随着互联网及其应用的高速发展,多服务器环境下的互联网应用也得 到了广泛的普及,使之需求大大增加。身份认证是为用户提供所需服务的 第一道安全屏障,一直是人们关注的焦点。目前,已有的多服务器环境下 基于智能卡的认证方案存在一个问题,即在不需要第三方参与认证时,服 务器与用户之间产生认证事件时,需要彼此之间事先共享一系列的秘密参 数,即需要用户的智能卡存储秘密认证信息来完成彼此之间的身份认证。而且随着注册的服务器增多,智能卡存储的秘密认证信息增多,这对存储 容量是有限的智能卡是很不现实的。如何在多服务器环境下,智能卡存储 的信息不随着注册服务器增多而增多,是一个急需解决的问题。
针对上面所述的问题,本实施例提出了一个基于智能卡的多服务器认 证方法,该认证方法不需要第三方参与认证,用户只需注册一次,智能卡 只需存储常量的信息,就可以实现与多个服务器之间的认证和访问,且服 务器端也不需存储任何用户信息,从而解决了多服务器环境下无第三方参 与认证,智能卡存储的信息随注册服务器增加而增长的的问题。
同时,通过BAN逻辑分析证明了该认证模型的安全性。本发明不需 要注册中心参与服务器与用户之间的认证,减轻了注册中心的负担。本发 明不仅具有不需要第三方参与认证过程,而且用户的存储量不随着服务器 的增加而增加,有效减低了用户存储负担。当有服务器的撤销或增加时, 合法用户无需更新密钥,有效地减轻了授权机构的负担。此外,本发明中 用户的撤销与增加,服务器亦无需更新密钥。与已有的方案相比,本发明 在计算费用和通信费用不需要增加明显负担的情况下,具有较低的存储费 用要求。
下面结合图1对本实施例公开的一种多服务器环境下基于智能卡的认 证方法的具体过程进行详细说明。包括如下步骤:
S1、通过注册中心初始化系统的相关参数,并公布系统公共参数 params。
具体应用中,所述的通过注册中心初始化系统主要进行下面几个步骤:
(1)生成一个阶为q且生成元为P的一个循环群G,与此同时,存在 另外一个同样阶为q的循环群GT,其中q是一个足够大的素数,假设(G, GT)是一个双线性映射群,则存在一个映射e:G×G→GT,满足如下性质:
双线性:e(ga,gb)=e(g,g)ab,其中
非退化性:存在g∈G且e(g,g)≠1;
可计算性:存在一个有效的算法去计算e(g,g),g∈G。
(2)选择三个加密哈希函数,分别满足以下三个条件 H2:{0,1}*→GT;H3:GT→{0,1}*;令g1=e(g,g),g1∈GT
(3)选择一个主密钥然后计算公钥PK=gs
(4)注册中心发布的公共参数param:{G,GT,e,g,g1,PK,H1,H2,H3}。
S2、服务器Sj通过注册中心注册,得到私钥
具体应用中,服务器Sj将本机的身份标标识SIDj通过安全通道发送给 注册中心RC,注册中心RC接收到Sj的注册请求后,根据接收到的身份标 标识SIDj计算服务器用于认证的秘钥
S3、用户Ui通过注册中心注册,得到包含身份登录秘密信息{Zi,Pi}和私 钥
具体应用中,用户Ui注册时,首先插入智能卡SCi,设置好IDi,PWi和 生物特征Bi,计算Fi=H1(Bi),并将注册请求Reg={IDi,H1(PWi||Fi)}通过安全 通道发送给注册中心RC。RC接收到Ui的注册请求后,计算用户用于认证 的私钥之后注册中心RC再分别计算和 Pi=H1(ki||IDi||H1(PWi||Fi))。最后,将{Zi,Pi}通过安全通道发送给用户Ui。Ui接收到回复消息后,将{Zi,Pi}存储于SCi即完成了注册。
S4、当用户Ui登录系统时,通过输入本机的身份标识IDi',密码pwi'和 本机的生物识别信息Bi'登入系统并计算身份认证信息向服务器Sj发送认 证请求{IDrc,C,Q,T}。
具体应用中,当用户Ui想要访问服务器Sj时,首先要插入智能卡SCi, 并输入本机的身份标识IDi',密码pwi'和本机的生物识别信息Bi'。SCi计算 Fi'=H1(Bi')和并验证Pi=H1(ki'||IDi'||H1(PWi'||Fi'))是否 成立。如果等式不成立,则登录失败。否则,选择随机秘密参数分别计算r1=g1 x,A=gaMRUi=IDrc||IDi||A, h=H2(MRUi,r1)和Q=ki x+h,并将{IDrc,C,Q,T}发送给服 务器Sj
S5、当服务器Sj接收到用户认证请求时,通过本机的私钥和认证算法 认证用户的合法性:
如果表达式成立,则表明用户Ui合法,服务器Sj继续计算SV=H3(gab) 和身份认证信息,最后将{SIDj,D,B}发送给用户Ui
具体应用中,服务器Sj接收到认证请求后,首先利用自身的主密钥计 算:
r1=e(T,sjk) (1)
这样服务器Sj就能获取到r1,接着计算和 h=H2(MRUi,r1),并验证以下等式是否成立:
若等式不成立,则登录失败;若等式成立,则服务器Sj将选择一个秘 密参数并计算B=gb,D=H1(A)和SV=H3(gab),最后,擦除秘密参 数b,送{SIDj,D,B}给用户Ui
S6、用户Ui接收到服务器Sj的回复后通过验证等式验证服务器的合法 性:
D=H1(A),
如果表达式成立,则表明服务器是合法的,并计算出SV=H3(gab)如果 表达式不成立,则表明服务器是非法的。
具体应用中,用户Ui接收到服务器Sj的消息后,验证D=H1(A)是否成 立。若等式不成立,则说明服务器消息不可靠,终止会话;否则,计算 SV=H3(gab),擦除秘密参数a。
S7、服务器Sj和用户Ui成功认证彼此身份后通过SKey(i,j)=KDF(SV)建 立彼此的临时会话密钥。
具体应用中,上述步骤S5和步骤S6中的验证均通过,则说明服务器 Sj和用户Ui成功认证彼此身份,最后通过SKey(i,j)=KDF(SV)建立彼此的临 时会话密钥。
多服务器环境下,注册中心不参与认证的模型主要由三个实体组成, 一个注册中心(RC),多个系统用户(Ui)和多个服务器(Sj)。该模型下 RC只向用户和服务器提供注册服务,任何想要参与系统的用户或服务器都 需先完成注册的过程。Sj通常都是充当应用服务器,为合法用户提供用户 所需的服务。
当用户和服务器进行注册时,无论服务器还是用户注册时存储的秘密 参数都与其他服务器和用户的数量无关。对应用服务器而言,仅需保存本 机的一个私钥;对用户而言,智能卡除了保存相关的登录秘密参数外,也 仅需保存认证时所用到的一个私钥。这就避免了用户存储的认证所用到的 秘密参数随着服务器的增加而增加的问题。
当Ui成功登录智能卡之后,想要Sj提供服务时,Sj不可能盲目的向用 户提供服务,需要认证申请服务的用户是否合法。同样的道理,因为服务 器也可能是伪装的,用户需要对服务器进行认证。因此,Ui请求服务之前 需要先与目标服务器Sj完成一个彼此认证的过程。该过程中,Ui需要通过 本机的私钥将本机的身份验证信息封装进认证请求中,再将认 证请求发送给目标服务器Sj。目标服务器Sj接收到认证请求之后,通过本 机的私钥解密出用户的身份信息确认用户的合法性,再将该 身份信息处理后发送回用户,使用户亦能认证服务器的合法性。因为只有 目标服务器的私钥才能成功解密出该身份信息,彼此之间在认证的过程中 能够成功建立会话密钥。
不管之后有没新的服务器加入或原来的合法服务器过期,用户所存储 的秘密参数并不会因此而增多,对服务器而言,亦是如此。
综上所述,本发明为了实现多服务器环境下安全有效的身份认证方案, 为了满足在不需要第三方参与认证的基础上,用户只需注册一次,智能卡 只需存储常量的信息,就可以实现与多个服务器之间的认证和访问,且服 务器端也不需存储任何用户信息,从而解决了多服务器环境下无第三方参 与认证时,智能卡存储的信息随注册服务器增加而增长的问题。通过BAN 逻辑分析证明了该认证模型的安全性。性能分析表明,与已有的多服务器环境下基于智能卡的认证方案相比,本发明在计算费用和通信费用不需要 增加明显负担的情况下,具有较低的存储费用要求。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上 述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改 变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明 的保护范围之内。

Claims (7)

1.一种多服务器环境下基于智能卡的认证方法,其特征在于,所述认证方法包括下列步骤:
S1、通过注册中心初始化系统的相关参数,并公布系统公共参数params;
S2、服务器Sj通过注册中心注册,得到私钥
S3、用户Ui通过注册中心注册,得到包含身份登录秘密信息{Zi,Pi}和私钥
S4、当用户Ui登录系统时,通过输入本机的身份标识IDi',密码pwi'和本机的生物识别信息Bi'登入系统并计算身份认证信息向服务器Sj发送认证请求{IDrc,C,Q,T};
S5、当服务器Sj接收到用户认证请求时,通过自身的私钥和认证算法认证用户的合法 性: <mrow> <msub> <mi>r</mi> <mn>1</mn> </msub> <mo>=</mo> <mi>e</mi> <mrow> <mo>(</mo> <mi>Q</mi> <mo>,</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>H</mi> <mn>1</mn> </msub> <mrow> <mo>(</mo> <msub> <mi>ID</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> </mrow> </msup> <mo>&amp;CenterDot;</mo> <mi>P</mi> <mi>K</mi> <mo>)</mo> </mrow> <mo>&amp;CenterDot;</mo> <msup> <msub> <mi>g</mi> <mn>1</mn> </msub> <mrow> <mo>-</mo> <mi>h</mi> </mrow> </msup> <mo>,</mo> </mrow>
如果表达式成立,则表明用户Ui合法,服务器Sj继续计算SV=H3(gab)和身份认证信息,最后将{SIDj,D,B}发送给用户Ui
S6、用户Ui接收到服务器Sj的回复后通过验证等式验证服务器的合法性:D=H1(A),
如果表达式成立,则表明服务器是合法的,并计算出SV=H3(gab)如果表达式不成立,则表明服务器是非法的;
S7、服务器Sj和用户Ui成功认证彼此身份后通过SKey(i,j)=KDF(SV)建立彼此的临时会话密钥。
2.根据权利要求1所述的多服务器环境下基于智能卡的认证方法,其特征在于,所述步骤S1包括:
S11、生成一个阶为q且生成元为P的一个循环群G,与此同时,存在另外一个同样阶为q的循环群GT,其中q是一个足够大的素数,假设(G,GT)是一个双线性映射群,则存在一个映射e:G×G→GT,满足如下性质:
双线性:e(ga,gb)=e(g,g)ab,其中
非退化性:存在g∈G且e(g,g)≠1;
可计算性:存在一个有效的算法去计算e(g,g),g∈G;
S12、选择三个加密哈希函数,分别满足以下三个条件H1H2:{0,1}*→GT;H3:GT→{0,1}*;H4:令g1=e(g,g),g1∈GT
S13、选择一个主密钥然后计算公钥PK=gs
S14、注册中心发布的公共参数param:{G,GT,e,g,g1,PK,H1,H2,H3}。
3.根据权利要求1所述的多服务器环境下基于智能卡的认证方法,其特征在于,所述步骤S2包括:
S21、服务器Sj将本机的身份标标识SIDj通过安全通道发送给注册中心RC;
S22、注册中心RC接收到服务器Sj的注册请求后,根据接收到的身份标标识SIDj计算服务器用于认证的秘钥
4.根据权利要求1所述的多服务器环境下基于智能卡的认证方法,其特征在于,所述步骤S3包括:
S31、插入智能卡SCi,设置好IDi,PWi和生物特征Bi,计算Fi=H1(Bi),并将注册请求Reg={IDi,H1(PWi||Fi)}通过安全通道发送给注册中心RC;
S32、注册中心RC接收到用户Ui的注册请求后,计算用户Ui用于认证的私钥之后注册中心RC再分别计算和Pi=H1(ki||IDi||H1(PWi||Fi));
S33、将{Z,i}Pi通过安全通道发送给用户Ui,用户Ui接收到回复消息后,将{Zi,Pi}存储于智能卡SCi即完成注册。
5.根据权利要求1所述的多服务器环境下基于智能卡的认证方法,其特征在于,所述步骤S4包括:
S41、当用户Ui登录系统访问服务器Sj时,插入智能卡SCi,并输入本机的身份标识IDi',密码pwi'和本机的生物识别信息Bi';
S42、智能卡SCi计算Fi'=H1(Bi')和并验证等式Pi=H1(ki'||IDi'||H1(PWi'||Fi'))是否成立;
S43、如果等式不成立,则登录失败,否则,选择随机秘密参数分别计算r1=g1 x,A=gaMRUi=IDrc||IDi||A,h=H2(MRUi,r1)和Q=ki x+h,并将{IDrc,C,Q,T}发送给服务器Sj
6.根据权利要求1所述的多服务器环境下基于智能卡的认证方法,其特征在于,所述步骤S5包括:
S51、服务器Sj接收到认证请求后,利用自身的主密钥计算:
S52、计算和h=H2(MRUi,r1),并验证以下等式是否成立:
<mrow> <msub> <mi>r</mi> <mn>1</mn> </msub> <mo>=</mo> <mi>e</mi> <mrow> <mo>(</mo> <mi>Q</mi> <mo>,</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>H</mi> <mn>1</mn> </msub> <mrow> <mo>(</mo> <msub> <mi>ID</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> </mrow> </msup> <mo>&amp;CenterDot;</mo> <mi>P</mi> <mi>K</mi> <mo>)</mo> </mrow> <mo>&amp;CenterDot;</mo> <msup> <msub> <mi>g</mi> <mn>1</mn> </msub> <mrow> <mo>-</mo> <mi>h</mi> </mrow> </msup> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> <mo>;</mo> </mrow>
S53、若等式不成立,则登录失败;若等式成立,则服务器Sj将选择一个秘密参数并计算B=gb,D=H1(A)和SV=H3(gab),同时擦除秘密参数b,传送{SIDj,D,B}给用户Ui
7.根据权利要求1所述的多服务器环境下基于智能卡的认证方法,其特征在于,所述步骤S6包括:
S61、用户Ui接收到服务器Sj的消息后,验证D=H1(A)是否成立;
S62、若等式不成立,则说明服务器消息不可靠,终止会话;否则,计算SV=H3(gab),擦除秘密参数a。
CN201710532026.4A 2017-07-03 2017-07-03 多服务器环境下基于智能卡的认证方法 Active CN107248997B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710532026.4A CN107248997B (zh) 2017-07-03 2017-07-03 多服务器环境下基于智能卡的认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710532026.4A CN107248997B (zh) 2017-07-03 2017-07-03 多服务器环境下基于智能卡的认证方法

Publications (2)

Publication Number Publication Date
CN107248997A true CN107248997A (zh) 2017-10-13
CN107248997B CN107248997B (zh) 2020-04-14

Family

ID=60015365

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710532026.4A Active CN107248997B (zh) 2017-07-03 2017-07-03 多服务器环境下基于智能卡的认证方法

Country Status (1)

Country Link
CN (1) CN107248997B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110708337A (zh) * 2019-10-30 2020-01-17 山东浪潮商用系统有限公司 一种基于身份认证的大数据安全框架系统
CN111563274A (zh) * 2020-04-30 2020-08-21 城云科技(中国)有限公司 一种基于政务大数据的安全保障系统
CN112000941A (zh) * 2020-10-29 2020-11-27 北京邮电大学 一种用于移动云计算的身份认证方法和系统
CN114598454A (zh) * 2020-12-03 2022-06-07 中移(成都)信息通信科技有限公司 密钥生成及身份认证方法、装置、设备及计算机存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020067832A1 (en) * 2000-06-05 2002-06-06 Jablon David P. Systems, methods and software for remote password authentication using multiple servers
CN103347018A (zh) * 2013-07-02 2013-10-09 山东科技大学 一种基于智能卡的多服务环境下远程身份认证方法
US9264425B1 (en) * 2014-09-30 2016-02-16 National Chin-Yi University Of Technology Anonymity authentication method in multi-server environments
CN105516201A (zh) * 2016-01-20 2016-04-20 陕西师范大学 一种多服务器环境下轻量级匿名认证与密钥协商方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020067832A1 (en) * 2000-06-05 2002-06-06 Jablon David P. Systems, methods and software for remote password authentication using multiple servers
CN103347018A (zh) * 2013-07-02 2013-10-09 山东科技大学 一种基于智能卡的多服务环境下远程身份认证方法
US9264425B1 (en) * 2014-09-30 2016-02-16 National Chin-Yi University Of Technology Anonymity authentication method in multi-server environments
CN105516201A (zh) * 2016-01-20 2016-04-20 陕西师范大学 一种多服务器环境下轻量级匿名认证与密钥协商方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王耄: "《基于智能卡的多服务器匿名认证方案》", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110708337A (zh) * 2019-10-30 2020-01-17 山东浪潮商用系统有限公司 一种基于身份认证的大数据安全框架系统
CN110708337B (zh) * 2019-10-30 2022-06-28 浪潮软件科技有限公司 一种基于身份认证的大数据安全框架系统
CN111563274A (zh) * 2020-04-30 2020-08-21 城云科技(中国)有限公司 一种基于政务大数据的安全保障系统
CN111563274B (zh) * 2020-04-30 2021-04-23 城云科技(中国)有限公司 一种基于政务大数据的安全保障系统
CN112000941A (zh) * 2020-10-29 2020-11-27 北京邮电大学 一种用于移动云计算的身份认证方法和系统
CN112000941B (zh) * 2020-10-29 2021-03-23 北京邮电大学 一种用于移动云计算的身份认证方法和系统
CN114598454A (zh) * 2020-12-03 2022-06-07 中移(成都)信息通信科技有限公司 密钥生成及身份认证方法、装置、设备及计算机存储介质
CN114598454B (zh) * 2020-12-03 2023-11-21 中移(成都)信息通信科技有限公司 密钥生成及身份认证方法、装置、设备及计算机存储介质

Also Published As

Publication number Publication date
CN107248997B (zh) 2020-04-14

Similar Documents

Publication Publication Date Title
CN108270571B (zh) 基于区块链的物联网身份认证系统及其方法
CN101425897B (zh) 一种用户认证方法、系统、服务器和用户节点
US9264232B2 (en) Cryptographic device that binds an additional authentication factor to multiple identities
CN103856477B (zh) 一种可信计算系统及相应的认证方法和设备
CN101547095B (zh) 基于数字证书的应用服务管理系统及管理方法
CN109714167A (zh) 适用于移动应用签名的身份认证与密钥协商方法及设备
CN107181765A (zh) 基于区块链技术的网络数字身份认证方法
CN103853950A (zh) 一种基于移动终端的认证方法及移动终端
CN103338201B (zh) 一种多服务器环境下注册中心参与的远程身份认证方法
CN109962890A (zh) 一种区块链的认证服务装置及节点准入、用户认证方法
CN109963282A (zh) 在ip支持的无线传感网络中的隐私保护访问控制方法
CN107248997A (zh) 多服务器环境下基于智能卡的认证方法
CN108400962B (zh) 一种多服务器架构下的认证和密钥协商方法
CN109218319A (zh) 一种基于区块链的身份认证系统及认证方法
CN103347018A (zh) 一种基于智能卡的多服务环境下远程身份认证方法
CN111444492A (zh) 一种基于医疗区块链的数字身份验证的方法
CN109639426A (zh) 一种基于标识密码的双向自认证方法
CN108242999A (zh) 密钥托管方法、设备及计算机可读存储介质
CN104468099A (zh) 基于cpk的动态口令生成和验证方法及装置
CN105187405A (zh) 基于信誉的云计算身份管理方法
CN108289026A (zh) 一种卫星网络中的身份认证方法及相关设备
CN107959573A (zh) 一种基于数字签名的网络摄像头的保护方法
CN102377573A (zh) 一种口令可安全更新的双因子身份认证方法
CN113055394A (zh) 一种适用于v2g网络的多服务双因子认证方法及系统
CN104734856B (zh) 一种抗服务器端信息泄露的口令认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20201215

Address after: 510632 No. 601, Whampoa Avenue, Tianhe District, Guangdong, Guangzhou

Patentee after: Guangzhou Jinan University Science Park Management Co.,Ltd.

Address before: 510632 No. 601, Whampoa Avenue, Guangzhou, Guangdong

Patentee before: Jinan University

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210104

Address after: Room 204, 2nd floor, No.37, Huajing Road, Huajing new town, 105 Zhongshan Avenue, Tianhe District, Guangzhou, Guangdong 510000

Patentee after: Guangzhou Fanxing Information Technology Co.,Ltd.

Patentee after: Guangzhou Jinan University Science Park Management Co.,Ltd.

Address before: 510632 No. 601, Whampoa Avenue, Tianhe District, Guangdong, Guangzhou

Patentee before: Guangzhou Jinan University Science Park Management Co.,Ltd.

TR01 Transfer of patent right