CN108400962A

CN108400962A - 一种多服务器架构下的认证和密钥协商方法

Info

Publication number: CN108400962A
Application number: CN201710070008.9A
Authority: CN
Inventors: 杨文山; 任伟
Original assignee: GEER SOFTWARE CO Ltd SHANGHAI
Current assignee: GEER SOFTWARE CO Ltd SHANGHAI
Priority date: 2017-02-08
Filing date: 2017-02-08
Publication date: 2018-08-14
Anticipated expiration: 2037-02-08
Also published as: CN108400962B

Abstract

本发明公开的一种多服务器架构下的认证和密钥协商方法，包括以下步骤：1)系统建立；2)用户向注册中心注册；3)用户向服务器发送登录请求；4)用户和服务器进行认证和密钥协商。本发明的有益效果在于：本发明能够实现单次注册、多点登录等功能,且认证和密钥协商过程不需要注册中心参与，其次，本发明能够实现用户的匿名性，服务器无法获取用户的身份，很好地保护了用户的隐私，同时，本发明实现了和不同服务器之间认证的不可链接性，攻击者不能从用户和多个服务器之间的登录请求消息中建立联系，最后，利用本发明可以实现增加服务器只需注册中心和新增服务器通信，而无需用户任何操作。

Description

一种多服务器架构下的认证和密钥协商方法

技术领域

本发明属于计算机和信息安全技术领域，具体涉及一种多服务器架构下的认证和密钥协商方法，可实现用户用于登录认证和密钥协商的数据存储量不随服务器数量增加而增加，同时实现无法对用户的登录认证和密钥协商行为进行跨服务器链接。

背景技术

随着信息技术和互联网技术的广泛发展，网络中向外提供服务的服务器日益增加。在一般的服务器体系中，由许多服务和功能不同的服务器组成。用户在登录服务器时，需要进行认证和密钥协商。多服务器架构下，一般由用户、注册中心RC以及服务器等三方组成。用户向注册中心RC进行单次注册，可在多服务器上进行匿名登录是在多服务器架构下的认证和密钥协商过程中重要的特性。另外，在保持用户和多服务器之间高效认证和密钥协商过程中，应防止服务器假冒攻击、智能卡丢失攻击、窃听攻击和重放攻击等等一系列的恶意攻击。

文献《多服务器架构下认证和密钥协商协议》发表于《计算机研究与发展》2016年11月第53卷11期，提出了一种多服务器架构下的高效的认证和密钥协商方法，并能抵抗服务器假冒攻击、智能卡丢失攻击、窃听攻击和重放攻击等安全威胁。但这种做法存在以下一些缺点：

1、没有达到不可链接性。用户的登录请求消息中包含有常参数，任意第三方可以根据常参数来去确定登录请求属于同一用户，并就此建立用户行为的链接。从而，运用大数据分析技术得出用户的隐私信息等。

2、用户需要保存的用于登录认证和密钥协商的数据量和服务器的数量成线性关系。这不仅增加了对用户的存储空间要求，而且，如果服务器需要增加，用户将必须再次和注册中心RC联系更新数据。

由此可见，解决上述问题是多服务器架构下认证和密钥协商过程中亟需解决的技术问题。为此，申请人进行了有益的探索和尝试，找到了解决上述问题的办法，下面将要介绍的技术方案便是在这种背景下产生的。

发明内容

本发明所要解决的技术问题在于：针对现有的多服务器架构下考虑用户和多服务器之间认证和密钥协商过程中存在：1、用户在此过程中被任意服务器、其他用户或者其他恶意的攻击者进行跨服务器行为链接的问题；2、用户存储的用于登录认证和密钥协商的数据量和服务器的数量成线性关系，服务器增加时更新困难的问题，故提供一种多服务器架构下的认证和密钥协商方法，来解决上述问题。

本发明所解决的技术问题可以采用以下技术方案来实现：

一种多服务器架构下的认证和密钥协商方法，包括以下步骤：

步骤1：系统建立

系统建立时，选定密码学安全的hash函数h，选定安全的密钥导出函数KDF，并公开选定的函数，注册中心RC选择随机数x和y作为自己的主密钥；

步骤2：用户向注册中心RC注册

用户U_i选择身份ID_i，口令PW_i，提取生物特征值BIO_i，并计算P_i＝h(PW_i||BIO_i)，然后通过安全信道向注册中心RC提交身份ID_i和P_i；

注册中心RC收到ID_i和P_i以后，计算A_i＝h(ID_i||x)，C_i＝h(ID_i||h(x)||P_i)和并将存储了参数h(x)、h(y)、C_i和D_i的智能卡安全地提交给用户U_i，注册中心RC安全存储A_i；

每个服务器S_j选择身份SID_j并公开，注册中心RC计算Z_j＝h(h(y)||SID_j)，并按每个用户U_i计算X_ij＝h(A_i||SID_j)和Y_ij＝h(A_i||X_ij)，并将参数X_ij、Y_ij和Z_j通过安全信道提交给服务器S_j，参数X_ij和Y_ij一一对应存储；

步骤3：用户登录

当用户U_i试图登录服务器S_j时，插入用户智能卡，输入自己的身份ID_i、口令PW_i，提取生物特征值BIO_i，智能卡计算P_i＝h(PW_i||BIO_i)并验证h(ID_i||h(x)||P_i)＝C_i是否成立；如果成立，则用户U_i的合法性得到确认，如果不成立，则终止执行；

用户U_i的合法性得到确认后，智能卡计算产生一个随机数N₁，计算X_ij＝h(A_i||SID_j)，Y_ij＝h(ID_i||X_ij)，M₁＝h(h(A_i||N₁)||Y_ij||N₁)，和并将登录请求G_ij、H_ij、AID_ij和M₁发送给服务器S_j；

步骤4：认证和密钥协商

收到用户U_i的登录请求后，服务器S_j计算和然后根据Y_ij确定对应的X_ij，计算和并计算验证h(h(A_i||N₁)||Y_ij||N₁)＝M₁是否成立；如果成立，则用户U_i的合法性得到确认；如果不成立，则终止执行；

用户U_i的合法性得到确认后，服务器S_j产生一个随机数N₂，计算返回信息M₂和M₃给用户端智能卡，同时，服务器S_j计算计算指定长度的会话密钥SK＝KDF(N₁||N₂||Y_ij||SID_j)；

用户端智能卡收到信息M₂和M₃后，计算并验证是否成立；如果成立，则计算指定长度的会话密钥SK＝KDF(N₁||N₂||Y_ij||SID_j)，并计算发送给服务器S_j；如果不成立，则终止运行；

服务器S_j检查是否成立；如果成立，即用户U_i和服务器S_j经过交互认证后协商得到会话密钥SK，用于接下来的通信加密；如果不成立，则终止运行。

在本发明的一个优选实施例中，还包括：

步骤5：用户口令修改

用户U_i需要将口令PW_i修改为PW_i'时，插入他的智能卡，输入自己的身份ID_i、口令PW_i，提取生物特征值BIO_i；智能卡计算P_i＝h(PW_i||BIO_i)并验证h(ID_i||h(y)||P_i)＝C_i是否成立；如果成立，则智能卡提醒用户输入新口令PW′_i；如果不成立，则终止执行；

用户输入新口令PW′_i后，智能卡计算C′_i＝h(ID_i||h(y)||P_i')，并用C′_i和D′_i分别替换智能卡中的C_i和D_i。

在本发明的一个优选实施例中，在所述步骤1中，服务器数量固定，注册中心RC无需为用户U_i安全存储A_i。

由于采用了如上的技术方案，本发明的有益效果在于：

1、单次注册、多点登录等功能。用户只要向注册中心注册一次，就可以在多个认可该注册中心的服务器上进行认证登录，且用户和服务器之间的认证和密钥协商过程完全不需要注册中心参与，减小通信开销；

2、实现用户的匿名性。任意服务器、其他用户或者其他恶意的攻击者都无法获取用户的身份，很好地保护了用户的隐私；

3、实现了和不同服务器之间认证的不可链接性。任意服务器、其他用户或者其他恶意的攻击者都不能从用户和多个服务器之间的登录请求消息中建立联系，即无法分析出每个用户在不同服务器之间的行为；

4、用户存储数据量为常数。用户用于登录认证和密钥协商的数据量不与服务器的数量成线性关系，有利于减少用户的存储开销。因此，当需要增加服务器时，只需注册中心和新增服务器通信，而无需用户任何操作。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明所述方法的系统框架图。

图2是本发明所述方法的流程框图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

参见图1和图2，图中给出的是本发明的一种多服务器架构下的认证和密钥协商方法，包括以下步骤：

步骤101，系统建立

在本实施例中，选定SM3算法作为hash函数h，并利用SM3算法构造密钥导出函数KDF，并公开选定的函数。

步骤102，用户注册

用户U选择身份ID，口令PW，提取生物特征值BIO，并计算P＝h(PW||BIO)，然后通过安全信道向注册中心RC提交身份ID和P。

注册中心RC收到ID和P以后，计算A＝h(ID||x)，C＝h(ID||h(x)||P)和并将存储了参数h(x)、h(y)、C_i和D_i的智能卡安全地提交给用户U。

服务器共有N个，每个服务器S_j选择身份SID_j并公开，注册中心RC计算Z_j＝h(h(y)||SID_j)，并按每个用户U_i计算X_ij＝h(A_i||SID_j)和Y_ij＝h(A_i||X_ij)，并将参数X_ij、Y_ij和Z_j通过安全信道提交给服务器S_j，参数X_ij和Y_ij一一对应存储。

步骤103，用户U发送登录请求

当用户U试图登录身份为SID服务器S时，插入用户智能卡，输入自己的身份ID，口令PW，提取生物特征值BIO；智能卡计算P＝h(PW||BIO)并验证h(ID||h(x)||P)＝C是否成立；如果成立，则用户U_i的合法性得到确认；如果不成立，则终止执行。

用户U的合法性得到确认后，智能卡计算产生一个随机数N₁，计算X_j＝h(A||SID_j)，Y_j＝h(ID||X_j)，M₁＝h(h(A||N₁)||Y_j||N₁)，和并将登录请求G_j、H_j、AID_j和M₁发送给服务器S_j。

步骤104，认证与密钥协商

服务器S存有Z＝h(h(y)||SID)，并拥有用户U的相关参数X_j＝h(A||SID_j)和Y_j＝h(A||X_j)，这两参数一一对应，收到用户U的登录请求后，服务器S计算和然后根据Y_j确定对应的X_j，计算和并计算验证h(h(A||N₁)||Y_j||N₁)＝M₁是否成立；如果成立，则用户U的合法性得到确认；如果不成立，则终止执行。

用户U的合法性得到确认后，服务器S产生一个随机数N₂，计算返回信息M₂和M₃给用户端智能卡，同时，服务器S_j计算计算指定长度为L的会话密钥SK＝KDF(N₁||N₂||Y_j||SID)。

用户端智能卡收到信息M₂和M₃后，计算并验证是否成立；如果成立，则计算指定长度为L的会话密钥SK＝KDF(N₁||N₂||Y_j||SID)，并计算发送给服务器S；如果不成立，则终止运行。

服务器S检查是否成立；如果成立，即用户U和服务器S经过交互认证后协商得到会话密钥SK，用于接下来的通信加密；如果不成立，则终止运行。

步骤105，用户口令修改

用户U需要将口令PW修改为PW'时，插入他的智能卡，输入自己的身份ID，口令PW，提取生物特征值BIO；智能卡计算P＝h(PW||BIO)并验证h(ID||h(x)||P)＝C是否成立；如果成立，则智能卡提醒用户输入新口令PW'；如果不成立，则终止执行。

用户输入新口令PW'后，智能卡计算C'＝h(ID||h(y)||P')，并用C'和D'分别替换智能卡中的C和D。

本发明能够实现在跨服务器下用户行为不可链接的特性，同时，本发明也能很好地解决用户需要保存的用于登录认证和密钥协商的数据量不随服务器数量变化的实际需求。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims

1.一种多服务器架构下的认证和密钥协商方法，其特征在于，包括以下步骤：

步骤1：系统建立

步骤2：用户向注册中心RC注册

步骤3：用户登录

步骤4：认证和密钥协商

2.如权利要求1所述的多服务器架构下的认证和密钥协商方法，其特征在于，还包括：

步骤5：用户口令修改

用户U_i需要将口令PW_i修改为PW_i'时，插入他的智能卡，输入自己的身份ID_i、口令PW_i，提取生物特征值BIO_i；智能卡计算P_i＝h(PW_i||BIO_i)并验证h(ID_i||h(y)||P_i)＝C_i是否成立；如果成立，则智能卡提醒用户输入新口令PW_i'；如果不成立，则终止执行；

用户输入新口令PW_i'后，智能卡计算C′_i＝h(ID_i||h(y)||P_i')，并用C′_i和D′_i分别替换智能卡中的C_i和D_i。

3.如权利要求1所述的多服务器架构下的认证和密钥协商方法，其特征在于，在所述步骤1中，服务器数量固定，注册中心RC无需为用户U_i安全存储A_i。