CN108092994B - 用户认证方法 - Google Patents

Abstract

本发明公开一种用户认证方法，包括：接收用户发送的匿名登录请求，其中包括第一加密信息；生成并向用户发送第二加密信息，所述第二加密信息中包括基于所述第一加密信息和所存储的用户的加密身份信息所生成的第一加密认证信息；用户成功验证第一加密认证信息后，接收用户发送的第三加密信息，所述第三加密信息中包括基于所述第一加密认证信息生成的第二加密认证信息；对所述第二加密认证信息进行验证，获得用户认证结果。

Description

用户认证方法

技术领域

本发明涉及互联网技术，尤其涉及用户认证。

背景技术

随着互联网的发展，人们通过传送个人信息获取个性化服务，享受着科学技术所带来的便捷。但信息传递和存储的过程常常存在安全隐患，由于个人信息中包含身份证、邮箱、手机号、口令等敏感信息，若这些内容没有被安全传输或存储，则可能导致攻击者窃取个人信息、服务器跟踪用户隐私等问题。

近年来，研究学者提出了匿名口令认证密钥交换协议。这类协议采用口令认证的方式，在用户和服务器之间协商会话密钥。同时，在服务器认证用户的过程中，用户保持匿名状态，而服务器仅能判断该用户是否是合法用户，从而达到了用户匿名登录的目的。

现有技术难以抵挡盗取验证攻击。在这类攻击中，攻击者盗取服务器数据库中所存储的口令验证值，并伪装成合法用户进行登录。现有的有些协议中，性能相对比较高效的协议不能有效抵挡这类攻击，而能够抵挡该类攻击的协议，其性能大幅下降，不适合实际应用。

发明内容

本发明提供一种用户认证方法，包括：

接收用户发送的匿名登录请求，所述匿名登录请求中包括第一加密信息；

生成并向用户发送第二加密信息，所述第二加密信息中包括基于所述第一加密信息和所存储的用户的加密身份信息所生成的第一加密认证信息；

用户成功验证所述第一加密认证信息后，接收用户发送的第三加密信息，所述第三加密信息中包括基于所述第一加密认证信息生成的第二加密认证信息；

对所述第二加密认证信息进行验证，获得用户认证结果。

较佳的，所述用户的加密身份信息为基于服务器密钥及用户注册时发送的口令验证值生成的代数消息认证值。

较佳的，所述代数消息认证值V_i利用公式V_i＝g^1/(m+s)生成，其中g为系统参数中的生成元，m为用户i的口令验证值，s为服务器密钥，其中，所述用户i的口令验证值基于用户i的身份标识和密码生成。

较佳的，所述第二加密信息中还包括一索引表tbl＝{U_j,W_j,C_j}_j＝1…n，n为注册用户数量，U_j为用户j的标识，W_j基于用户j的加密身份信息及第一加密信息生成，C_j基于用户j的加密身份信息及服务器密钥生成。

较佳的，所述第一加密信息m₁＝{U,A,X}，其中U为用户群体标识，A＝g^–1/mh^a，X＝g^x，其中h和g为系统参数中的两个生成元，a和x为用户的两个随机数，m为用户的口令验证值。

较佳的，所述第二加密信息m₂＝{S,B,tbl,V_S}，其中S为服务器标识，B＝h^b，tbl为索引表，V_S为所述第一加密认证信息，tbl＝{U_j,W_j,C_j}_j＝1…n，V_S＝H(1||U||A||X||S||B||tbl||Y||K)；

其中，U_j为用户j的标识，W_j＝(V_jA)^b，C_j＝(V_j)^bsY，Y＝g^y，K＝X^y，V_j为用户j的加密身份信息，n为注册用户数量，s为服务器密钥，b和y为服务器的两个随机数，H(·)是杂凑函数。

较佳的，用户U_i验证所述第一加密认证信息包括：

在索引表tbl中检索得到{U_i,W_i,C_i}；

计算Y'＝(B^–aW_i)^mC_i，K'＝(Y')^x，及V_S'＝H(1||U||A||X||S||B||tbl||Y'||K')；以及

对计算出的V_S'与接收到的V_S进行比较，若两者相等，则验证通过，否则验证失败。

较佳的，所述第三加密信息m₃＝{V_U}，V_U为所述第二加密认证信息，V_U＝H(2||U||A||X||S||B||tbl||Y'||K')。

较佳的，对所述第二加密认证信息进行验证包括：

计算V_U'＝H(2||U||A||X||S||B||tbl||Y||K)；

对计算出的V_U'与接收到的V_U进行比较，若两者相等，则验证通过，服务器相信该用户是注册用户，否则验证失败。

较佳的，所述用户认证结果为通过时，还包括：设置用户和服务器的会话密钥SK＝H(U||A||X||S||B||tbl||Y||K)。

本发明实施例提供一种基于口令的匿名口令认证密钥交换协议的技术方案，解决了盗取验证攻击的问题，并且在同类安全协议中有更高的性能和效率。本发明采用现有的代数消息认证码，能够高效地抵挡盗取验证攻击，实现了服务器安全高效地认证匿名用户。在结合服务器端的预处理计算时还具备极佳的时间效能，且可以满足常见的安全需求，并抵挡众多已知攻击。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1示出本发明一实施例的用户认证方法；以及

图2示出本发明另一实施例的用户认证方法。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的组件或具有相同或类似功能的组件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

图1示出本发明一实施例的用户认证方法，可由服务器执行，包括：

ST1、接收用户发送的匿名登录请求，所述匿名登录请求中包括第一加密信息；

ST2、生成并向用户发送第二加密信息，所述第二加密信息中包括基于所述第一加密信息和所存储的用户的加密身份信息所生成的第一加密认证信息；

ST3、用户成功验证所述第一加密认证信息后，接收用户发送的第三加密信息，所述第三加密信息中包括基于所述第一加密认证信息生成的第二加密认证信息；以及

ST4、对所述第二加密认证信息进行验证，获得用户认证结果。

较佳的，所述用户的加密身份信息为基于服务器密钥及用户注册时发送的口令验证值生成的代数消息认证值。

较佳的，所述代数消息认证值V_i利用公式V_i＝g^1/(m+s)生成，其中g为系统参数中的生成元，m为用户i的口令验证值，s为服务器密钥，其中，所述用户i的口令验证值基于用户i的身份标识和密码生成。

较佳的，所述第二加密信息中还包括一索引表tbl＝{U_j,W_j,C_j}_j＝1…n，n为注册用户数量，U_j为用户j的标识，W_j基于用户j的加密身份信息及第一加密信息生成，C_j基于用户j的加密身份信息及服务器密钥生成。

参阅图2，本发明另一实施例的用户认证方法，其包括以下步骤：

S1、初始化(图中未示出)：服务器初始化系统参数{G,p,g,h}，并随机选择服务器的密钥s。其中g和h为具有质数阶p的循环群G的两个生成元，并且，求解h基于g的离散对数是困难的。

S2、注册阶段：用户U_i向服务器提交自己的注册信息，注册成为合法用户。较佳的，可包括以下步骤：

S21：用户U_i将自己的身份信息ID_i和口令验证值m＝H(ID_i||PW_i)通过安全信道发送给服务器。其中，H(·)是杂凑函数(Hash)，ID_i和U_i是用户i的标识，PW_i是用户i的密码。

S22：当服务器收到用户U_i发送的信息后，使用服务器密钥s和用户U_i的口令验证值m为用户生成一种代数消息认证值V_i＝g^1/(m+s)，并将{U_i,V_i}保存于数据库中。

S3、用户登录和验证阶段：注册用户U_i以匿名的方式请求服务器认证，并在认证通过后与服务器达成会话密钥的共识。较佳的，可包括以下步骤：

S31：用户U_i首先选择随机数a和x，输入ID_i和PW_i后，计算口令验证值m，并计算A＝g^–1/mh^a，X＝g^x，之后将第一加密信息m₁＝{U,A,X}发送至服务器S，其中U为用户群体标识；

S32：当服务器收到用户U_i发送的m₁后，选择随机数b和y，然后计算B＝h^b，Y＝g^y，接着遍历数据库中的用户列表，从中获取{U_j,V_j}_j＝1…n，n是注册用户数量，并计算W_j＝(V_jA)^b，C_j＝(V_j)^bsY，然后，服务器将{U_j,W_j,C_j}_j＝1…n放入索引表tbl中。可以理解的是，服务器可在收到m₁前可预处理计算W_j的部分值和C_j。这样，服务器收到m₁后可跳过一些计算步骤，直接计算W_j所需的中间值A^b。得到上述值后，服务器计算K＝X^y，以及第一加密认证信息V_S＝H(1||U||A||X||S||B||tbl||Y||K)，并将第二加密信息m₂＝{S,B,tbl,V_S}发送至U_i，其中S为服务器的标识；

S33：当用户U_i收到服务器发送的m₂后，先通过ID_i在tbl中检索得到{U_i,W_i,C_i}，并计算Y'＝(B^–aW_i)^mC_i，K'＝(Y')^x，然后计算V_S'＝H(1||U||A||X||S||B||tbl||Y'||K')，之后对计算出的V_S'与接收到的V_S进行比较，若两者不相等，则验证失败，协议中断；否则，验证通过，用户U_i计算第二加密认证信息V_U＝H(2||U||A||X||S||B||tbl||Y'||K')，将第三加密信息m₃＝{V_U}发送至服务器；

S34：服务器收到用户U_i发送的m₃后，计算V_U'＝H(2||U||A||X||S||B||tbl||Y||K)，之后对计算出的V_U'与接收到的V_U进行比较，若两者不相等，则验证失败，协议中断；否则，验证通过，服务器相信U_i是注册用户，此时，双方计算得到会话密钥SK＝H(U||A||X||S||B||tbl||Y||K)。

本发明实施例提供一种基于口令的匿名口令认证密钥交换协议的技术方案，解决了盗取验证攻击的问题，并且在同类安全协议中有更高的性能和效率。本发明采用现有的代数消息认证码，能够高效地抵挡盗取验证攻击，实现了服务器安全高效地认证匿名用户。在结合服务器端的预处理计算时还具备极佳的时间效能，且可以满足常见的安全需求，并抵挡众多已知攻击。

在本说明书的描述中，参考术语“一个实施方式”、“一些实施方式”、“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换。

Claims (9)

1.一种用户认证方法，其特征在于，包括：

接收用户发送的匿名登录请求，所述匿名登录请求中包括第一加密信息，所述第一加密信息m₁＝{U,A,X}，其中U为用户群体标识，A＝g^–1/mh^a，X＝g^x，其中h和g为系统参数中的两个生成元，a和x为用户的两个随机数，m为用户的口令验证值；

生成并向用户发送第二加密信息，所述第二加密信息中包括基于所述第一加密信息和所存储的用户的加密身份信息所生成的第一加密认证信息；

用户成功验证所述第一加密认证信息后，接收用户发送的第三加密信息，所述第三加密信息中包括基于所述第一加密认证信息生成的第二加密认证信息；以及

对所述第二加密认证信息进行验证，获得用户认证结果。

2.如权利要求1所述的方法，其特征在于：所述用户的加密身份信息为基于服务器密钥及用户注册时发送的口令验证值生成的代数消息认证值。

3.如权利要求2所述的方法，其特征在于：所述代数消息认证值V_i利用公式V_i＝g^1/(m+s)生成，其中g为系统参数中的生成元，m为用户i的口令验证值，s为服务器密钥，其中，所述用户i的口令验证值基于用户i的身份标识和密码生成。

4.如权利要求2所述的方法，其特征在于：所述第二加密信息中还包括一索引表tbl＝{U_j,W_j,C_j}_j＝1…n，n为注册用户数量，U_j为用户j的标识，W_j基于用户j的加密身份信息及第一加密信息生成，C_j基于用户j的加密身份信息及服务器密钥生成。

5.如权利要求1所述的方法，其特征在于，所述第二加密信息m₂＝{S,B,tbl,V_S}，其中S为服务器标识，B＝h^b，tbl为索引表，V_S为所述第一加密认证信息，tbl＝{U_j,W_j,C_j}_j＝1…n，V_S＝H(1||U||A||X||S||B||tbl||Y||K)；

其中，U_j为用户j的标识，W_j＝(V_jA)^b，C_j＝(V_j)^bsY，Y＝g^y，K＝X^y，V_j为用户j的加密身份信息，n为注册用户数量，s为服务器密钥，b和y为服务器的两个随机数，H(·)是杂凑函数。

6.如权利要求5所述的方法，其特征在于，用户U_i验证所述第一加密认证信息包括：

在索引表tbl中检索得到{U_i,W_i,C_i}；

计算Y'＝(B^–aW_i)^mC_i，K'＝(Y')^x，及V_S'＝H(1||U||A||X||S||B||tbl||Y'||K')；以及

对计算出的V_S'与接收到的V_S进行比较，若两者相等，则验证通过，否则验证失败。

7.如权利要求6所述的方法，其特征在于，所述第三加密信息m₃＝{V_U}，V_U为所述第二加密认证信息，V_U＝H(2||U||A||X||S||B||tbl||Y'||K')。

8.如权利要求7所述的方法，其特征在于，对所述第二加密认证信息进行验证包括：

计算V_U'＝H(2||U||A||X||S||B||tbl||Y||K)；

对计算出的V_U'与接收到的V_U进行比较，若两者相等，则验证通过，服务器相信该用户是注册用户，否则验证失败。

9.如权利要求5所述的方法，其特征在于，所述用户认证结果为通过时，还包括：设置用户和服务器的会话密钥SK＝H(U||A||X||S||B||tbl||Y||K)。

Images