CN109347626B - 一种具有反跟踪特性的安全身份认证方法 - Google Patents

Abstract

本发明公开了一种具有反跟踪特性的安全身份认证方法。本发明包括如下步骤：身份注册中心IRC进行的系统初始化,生成私钥x和公钥Q，并选择系统参数{E_p(a，b)，n，P}；用户和应用服务器向身份注册中心进行的注册；用户与应用服务器的反跟踪相互认证和密钥协商。本发明在常规认证安全之上，应用三方认证密钥和历史上下文进行两次相互认证以增强信任，在消息传输过程中利用无关联的假名实现了开放式网络环境下反跟踪的特性，使得使用开放式网络的用户的隐私得到保护。

Description

一种具有反跟踪特性的安全身份认证方法

技术领域

本发明属于匿名认证的技术领域，具体为一种具有反跟踪特性的安全身份认证方法。

技术背景

随着网络流量负载日益加重，旅馆、公园、火车站等公共场所已经广泛地配置了开放式网络，例如公共Wi-Fi热点以方便用户。然而，开放式网络的泛用也带来了安全威胁，具体问题主要包括以下几个方面。

(1)开放式网络大多数以未加密或不受信任的方式进行部署，造成隐私泄露威胁；

(2)用户在开放式网络信道中的流量很可能被蓄意窃听或拦截，这意味着攻击者可以很容易地通过跟踪通信来获取用户的网站浏览历史记录、位置信息、密码和个人资料等重要隐私；

(3)现有认证协议在保障足够安全性的同时，引入了繁琐的计算或由第三方参与的额外认证步骤，并不适合在一些资源受限的开放式网络环境下广泛地使用。

发明内容

本发明的目的是针对现有技术的不足，提供一种用于开放式不安全网络环境的具有反跟踪特性的安全身份认证方法。本发明在保证高效相互认证的同时，可保护用户的隐私数据，实现用户身份反跟踪的特性。

本发明包括如下依次进行的阶段：

阶段A：系统初始化；

身份注册中心IRC进行系统初始化，生成私钥x和公钥Q，并选择系统参数{E_p(a，b)，n，P}，具体的：

首先身份注册中心IRC在有限素数域F_p上选择一条椭圆曲线Ep(a，b)；

然后在曲线上选择一个阶为n的基点P和随机数x，并计算Q＝x·P；

最后IRC公开系统参数{E_p(a，b)，n，P}，并将Q作为公钥，将只有其自身知道的x作为私钥；

阶段B：用户身份注册；

用户生成必要参数，向IRC申请注册身份，IRC使用用户发送的信息生成IRC认证密钥，并存储用户相关信息以备用户申请进行信息恢复，最后用户存储双方共同生成的系统认证密钥；

阶段C：应用服务器身份注册；

应用服务器向IRC申请注册身份，IRC使用应用服务器发送的信息生成IRC认证密钥，并存储应用服务器身份以备追责，最后应用服务器存储双方共同生成的系统认证密钥；

阶段D：反跟踪相互认证和密钥协商；

用户进行本地身份认证，若通过，则向应用服务器发起获取参数的请求，之后将身份验证值、时间戳信息发送给应用服务器，应用服务器验明用户身份后，生成会话密钥并用对称加密算法进行加密，之后将身份验证值、时间戳、会话密钥密文信息发送给用户，用户验明应用服务器身份后，计算获得对称加密密钥并解密出会话密钥。

阶段B的用户身份注册，具体实现如下：

定义1：Pxor(A，B)表示两点之间的异或计算，如公式(1)所示；

A，B都为点 (1)

定义2：Pxor(a，B)表示数值和点之间的异或计算，如公式(2)所示；

a为数字且B为点 (2)

1.用户生成参数：

1-1.用户U_i选择身份UID_i、密码PW_i以及参数E_i作为恢复信息时使用的额外证书，并向智能设备SD_i中输入{UID_i，PW_i，E_i}；SD_i向IRC发送初始化请求以获取系统参数{E_p(a，b)，n，P}和IRC公钥Q；

1-2.智能设备SD_i生成随机参数nonce_i＝(r_1i，r_2i)，其中r_1i、r_2i都是随机整数；接着计算中间参数user_secret＝(mr_1i，mr_2i)，其中

且mr_1i，mr_2i均起到对随机参数nonce_i的保护作用；计算rID_i＝h(UID_i||r_1i)作为IRC认证密钥，EID_i＝h(UID_i||E_i)作为用户的假名，V_L＝h(UID_i||h(PW_i||r_1i)||r_2i)作为用户的本地身份验证值；

2.交换IRC认证密钥：

2-1.智能设备SD_i选取一个参数点MP_i＝(EID_i||mr_1i，rID_i||mr_2i)和一个随机数r_tmp传输用户信息；SD_i计算中间参数M₁＝PXor(MP_i，r_tmp·Q)和M₂＝r_tmp·P，并将{M₁，M₂}发送给IRC；

2-2.IRC使用获取的中间参数M₁和M₂，计算还原出参数点MP_i＝PXor(M₁，x·M₂)，并从点坐标中得到{EID_i，rID_i，user_secret}，接着在数据库的合法用户列表legal_user_list中搜索条目索引EID_i；如果EID_i已经存在，IRC要求用户选取其他的假名；反之，IRC将在数据库中添加{EID_i，user_secret}作为身份恢复信息，计算

作为用户认证密钥，计算中间参数

并将{M₃}发送给SD_i；

2-3.SD_i收到中间参数M₃后，计算用户认证密钥

并在其内存中存储

阶段C的应用服务器身份注册，具体实现如下：

(1)服务器生成参数：

(1-1)应用服务器S_j选择身份SID_j，然后向IRC发送初始化请求以获取系统参数{E_p(a，b)，n，P}和IRC公钥Q；

(1-2)S_j生成随机参数nonce_j＝(r_1j，r_2j)，其中r_1j，r_2j都是随机整数，计算中间参数

计算rSID_j＝h(SID_j||r_1j)作为应用服务器S_j的假名和IRC认证密钥；

(2)交换IRC认证密钥：

(2-1)应用服务器S_j选取一个参数点MP_j＝(rSID_j，mr_2j)和一个随机数r_tmp传输应用服务器信息；S_j计算中间参数M₁＝PXor(MP_j，r_tmp·Q)和M₂＝r_tmp·P，并将{M₁，M₂}发送给IRC；

(2-2)IRC计算还原出参数点MP_j＝PXor(M₁，x·M₂)并从点坐标中得到{rSID_j，mr_2j}，接着在数据库的合法服务器列表legal_server_list中搜索条目rSID_j；如果rSID_j已经存在，IRC要求应用服务器选取其他的假名；反之，IRC将在表中添加rSID_j，计算

作为应用服务器认证密钥，计算中间参数

并将{M₃}发送给S_j；

(2-3)S_j收到中间参数M₃后，计算应用服务器认证密钥

并在数据库中存储

阶段D的反跟踪相互认证和密钥协商，具体实现如下：

I.提取参数和本地认证：

(1)用户在智能设备SD_i中输入身份UID_i、密码PW_i、SD_i，从中间参数user_secret中获取随机参数nonce_i＝(r_1i，r_2i)，并且验证本地校验值V_L＝h(UID_i||h(PW_i||r_1i)||r_2i)；如果未通过验证，终止本次会话；反之，SD_i计算用户公钥

并向S_j发送请求；

(2)S_j收到请求后，计算其假名和IRC认证密钥rSID_j＝h(SID_j||r_1j)，应用服务器公钥

并向SD_i发送

II.服务器验证用户IRC认证密钥

(3)SD_i在内存中搜索rSID_j，获取对应条目

并验证从S_j收到的

如果该条目不存在，令历史认证校验值V_old＝None；如果条目存在且

一致，继续会话；否则终止该过程；

(4)SD_i选取两个挑战k和t，计算中间参数

M₂＝k·h(UID_i||r_1i)，

计算A_i＝h(UID_i||h(PW_i||r_1i)||rSID_j)作为用户的假名，

作为假名保护参数，

作为用户的验证值；接着，SD_i向S_j发送

其中T₁为时间戳；

(5)S_j在T₂时间收到消息，首先检查消息的有效性T₂-T₁，如果超过设定阈值则拒绝请求；反之，S_j计算中间参数

用户假名

用户验证值

如果

S_j则确认U_i曾被IRC授权；否则，终止该会话；

III.服务器验证用户历史上下文及交换密钥：

(6)如果服务器收到的历史认证校验值V_old为None，且A_i在数据库中不存在，S_j随机选取一个新的会话密钥sk和随机数r；否则，转到步骤(7)；

(7)如果服务器收到的历史认证校验值V_old不为None，S_j在数据库中搜索A_i读取条目{A_i，r^old，h(sk^old)}，并计算历史加密密钥

历史会话密钥

之后，S_j验证h(sk^old*)＝h(sk^old)是否成立，若成立，S_j则确认U_i是上次会话中与其进行安全通信的认证用户，并生成一个新的会话密钥sk和随机数r；

(8)S_j计算加密密钥

加密会话密钥[sk]_K＝Sym.Enc_K(sk)，中间参数

和

并将

作为应用服务器的验证值，

作为会话密钥的验证值；接着，S_j向SD_i发送{M₄，M₅，V_s，V_sk，[sk]_K，T₃}，其中T₃为时间戳；

IV.用户两次认证服务器及密钥协商：

(9)SD_i在T₄时间收到消息后，首先检查消息的有效性T₄-T₃，如果超过设定阈值则拒绝请求；反之，SD_i计算历史加密密钥

历史会话密钥

应用服务器验证值

如果

U_i则确认S_j经过IRC授权，并且确实参与了上一次通信；需要注意的是，只有拥有相应IRC认证密钥的S_j才能计算出有效的M₁值，此次为第一次认证；只有S_j才拥有能够通过h(sk^old)值验证的会话密钥，此次为第二次认证；

(11)SD_i计算参数

和会话密钥验证值

如果

则新的会话密钥通过验证；否则，终止该会话；

(11)SD_i计算加密密钥

和会话密钥sk＝Sym.Dec_k([sk]_K)，得到sk以在本次会话中进行安全通信；接着，SD_i在内存中更新

其中历史认证校验值V_old＝[sk]_K，S_j也在数据库中将{A_i，r^old，h(sk^old)}更新为{A_i，r，h(sk)}。

本发明具有以下优点：

(1)去中心化的安全。为了提高系统对单点失效的抵抗力，协议的认证过程和机密性分布在用户、应用服务器和身份注册中心IRC三方之上，即实现了去中心化的安全。具体而言，在这种情况下就算IRC被攻破也不会造成毁灭性的后果，因为IRC既没有直接参与认证过程，也没有存储核心隐私。此外，就算攻击者能够成功攻破一个用户或一个应用服务器，他/她也无法依此对其他实体进行连锁攻击。

(2)无关联的假名。为了防止开放式网络环境中的追踪攻击，协议在用户与IRC、应用服务器通信的过程中，为用户应用了多种无关联的假名以隐藏其身份。在协议中，用户的真实ID没有出现在信息传输或应用服务器的计算过程中。当一个用户和不同应用服务器通信时，也使用不同的随机假名，因此攻击者无法推测出用户的行为，也无法重现用户的网络足迹。

(3)历史上下文和两次相互认证。为了抵抗冒充攻击，协议在用户和应用服务器的相互认证过程中，引入了前次通信中的会话密钥作为历史上下文进行认证。在此认证之前，用户用其和IRC共同生成的部分认证密钥向应用服务器证明自己在IRC的有效性，IRC也会向用户进行类似证明。这种两次相互认证增强了通信双方之间的信任。

附图说明

图1本发明的系统模型示意图

图2本发明的流程实施示意图

图3本发明的符号表

具体实施方式

为使本发明的具体实施与优点清晰易懂，下面将结合附图对本发明作具体的说明介绍。

本发明提供了一种用于开放式不安全网络的具有反跟踪特性的安全身份认证方法，协议的系统模型涉及三种类型的实体：用户U，应用服务器S和身份注册中心IRC，如图1中所示。用户是希望通过开放式网络从应用服务器处获取网络服务的实体，每个用户都拥有一个用来帮助实施协议的智能设备。应用服务器通常是指可以提供服务的服务器。为了增强可扩展性和可信度，协议还引入了IRC来对用户和应用服务器进行预注册，并且储存用户的恢复信息。

下面介绍协议中定义的两种算法：

定义1：Pxor(A，B)算法是用来表示两点之间的异或计算，如公式(1)所示。

A，B都为点 (1)

定义2：Pxor(a，B)算法是用来表示数值和点之间的异或计算，如公式(2)所示。

a为数字且B为点 (2)

一种具有反跟踪特性的安全身份认证方法，包括如下阶段(协议描述中涉及的符号如图3所示)：

阶段A，系统初始化：

如图2所示，IRC首先在有限素数域F_p上选择一条椭圆曲线E_p(a，b)，然后在曲线上选择一个阶为n的基点P和随机数x，并计算Q＝x·P。最终，IRC公开系统参数{E_p(a，b)，n，P}，并将Q作为公钥，将只有其自身知道的x作为私钥。

阶段B，用户身份注册：

1.用户生成参数

1.1用户U_i选择身份UID_i，密码PW_i以及参数E_i作为恢复信息时使用的额外证书，并向智能设备SD_i中输入{UID_i，PW_i，E_i}。SD_i向IRC发送初始化请求以获取系统参数{E_p(a，b)，n，P}和IRC公钥Q。

1.2 SD_i生成随机参数nonce_i＝(r_1i，r_2i)，其中r_1i和r_2i都是随机整数；接着计算中间参数user_secret＝(mr_1i，mr_2i)，其中

且二者均起到对nonce_i的保护作用；计算rID_i＝h(UID_i||r_1i)作为IRC认证密钥，EID_i＝h(UID_i||E_i)作为用户的假名，V_L＝h(UID_i||h(PW_i||r_1i)||r_2i)作为用户的本地身份验证值。

2.交换IRC认证密钥

2.1 SD_i选取一个参数点MP_i＝(EID_i||mr_1i，rID_i||mr_2i)和一个随机数r_tmp传输用户信息。SD_i计算中间参数M₁＝PXor(MP_i，r_tmp·Q)和M₂＝r_tmp·P，并将{M₁，M₂}发送给IRC，如图2中①所示。

2.2 IRC使用获取的中间参数，计算还原出参数点MP_i＝PXor(M₁，x·M₂)，并从点坐标中得到{EID_i，rID_i，user_secret}，接着在数据库的合法用户列表legal_user_list中搜索条目索引EID_i。如果EID_i已经存在，IRC要求用户选取其他的假名；反之，IRC将在数据库中添加{EID_i，user_secret}作为身份恢复信息，计算

作为用户认证密钥，计算中间参数

并将{M₃}发送给SD_i，如图2中②所示。

2.3 SD_i收到消息后，计算用户认证密钥

并在其内存中存储

阶段C，应用服务器身份注册：

1.服务器生成参数

1.1应用服务器S_j选择身份SID_j，然后向IRC发送初始化请求以获取系统参数{E_p(a，b)，n，P}和IRC公钥Q。

1.2 S_j生成随机参数nonce_j＝(r_1j，r_2j)，其中r_1j和r_2j都是随机整数，计算中间参数

计算rSID_j＝h(SID_j||r_1j)作为S_j的假名和IRC认证密钥。

2.交换IRC认证密钥

2.1 S_j选取一个参数点MP_j＝(rSID_j，mr_2j)和一个随机数r_tmp传输应用服务器信息。S_j计算中间参数M₁＝PXor(MP_j，r_tmp·Q)和M₂＝r_tmp·P，并将{M₁，M₂}发送给IRC，如图2中③所示。

2.2 IRC计算还原出参数点MP_j＝PXor(M₁，x·M₂)并从点坐标中得到{rSID_j，mr_2j}，接着在数据库的合法服务器列表legal_server_list中搜索条目rSID_j。如果rSID_j已经存在，IRC要求应用服务器选取其他的假名；反之，IRC将在表中添加rSID_j，计算

作为应用服务器认证密钥，计算中间参数

并将{M₃}发送给S_j，如图2中④所示。

2.3 S_j收到消息后，计算应用服务器认证密钥

并在数据库中存储

阶段D，反跟踪相互认证和密钥协商：

1.提取参数和本地认证

1.1用户在智能设备SD_i中输入身份UID_i，密码PW_i，SD_i从中间参数user_secret中获取随机参数nonce_i＝(r_1i，r_2i)，并且验证本地校验值V_L＝h(UID_i||h(PW_i||r_1i)||r_2i)。如果未通过验证，终止本次会话；反之，SD_i计算用户公钥

并向S_j发送请求，如图2中⑤所示。

1.2 S_j收到请求后，计算其假名和IRC认证密钥rSID_j＝h(SID_j||r_1j)，应用服务器公钥

并向SD_i发送

如图2中⑥所示。

2.服务器验证用户IRC认证密钥

2.1 SD_i在内存中搜索rSID_j，获取对应条目

并验证从S_j收到的

如果该条目不存在，令历史认证校验值V_old＝None；如果条目存在且

一致，继续会话；否则终止该过程。

2.2 SD_i选取两个挑战k和t，计算中间参数

M₂＝k·h(UID_i||r_1i)，

计算A_i＝h(UID_i||h(PW_i||r_1i)||rSID_j)作为用户的假名，

作为假名保护参数，

作为用户的验证值。接着，SD_i向S_j发送

其中T₁为时间戳，如图2中⑦所示。

2.3 S_j在T₂时间收到消息，首先检查消息的有效性T₂-T₁，如果超过阈值则拒绝请求。反之，S_j计算中间参数

用户假名

用户验证值

如果

S_j则确认U_i曾被IRC授权；否则，终止该会话。

3.服务器验证用户历史上下文及交换密钥

3.1如果服务器收到的历史认证校验值V_old为None，且A_i在数据库中不存在，S_j随机选取一个新的会话密钥sk和随机数r；否则，转到3.2。

3.2如果服务器收到的历史认证校验值V_old不为None，S_j在数据库中搜索A_i读取条目{A_i，r^old，h(sk^old)}，并计算历史加密密钥

历史会话密钥

之后，S_j验证h(sk^old*)＝h(sk^old)是否成立，若是，S_j则确认U_i是上次会话中与其进行安全通信的认证用户，并生成一个新的会话密钥sk和随机数r。

3.3 S_j计算加密密钥

加密会话密钥[sk]_K＝Sym.Enc_K(sk)，中间参数

和

并将

作为应用服务器的验证值，

作为会话密钥的验证值。接着，S_j向SD_i发送{M₄，M₅，V_s，V_sk，[sk]_K，T₃}，其中T₃为时间戳，如图2中⑧所示。

4.用户两次认证服务器及密钥协商

4.1 SD_i在T₄时间收到消息后，首先检查消息的有效性T₄-T₃，如果超过阈值则拒绝请求。反之，SD_i计算历史加密密钥

历史会话密钥

应用服务器验证值

如果

U_i则确认S_j经过IRC授权，并且确实参与了上一次通信。需要注意的是，只有拥有相应IRC认证密钥的S_j才能计算出有效的M₁值，这是第一次认证；只有S_j才拥有能够通过h(sk^old)值验证的会话密钥，这是第二次认证。

4.2 SD_i计算参数

和会话密钥验证值

如果

则新的会话密钥通过验证；否则，终止该会话。

4.3 SD_i计算加密密钥

和会话密钥sk＝Sym.Dec_K([sk]_K)，得到sk以在本次会话中进行安全通信。接着，SD_i在内存中更新

其中历史认证校验值V_old＝[sk]_K，S_j也在数据库中将{A_i，r^old，h(sk^old)}更新为{A_i，r，h(sk)}。

Claims (4)

1.一种具有反跟踪特性的安全身份认证方法，其特征在于包括如下阶段：

阶段A：系统初始化；

身份注册中心IRC进行系统初始化，生成私钥x和公钥Q，并选择系统参数{E_p(a，b)，n，P}，具体的：

首先身份注册中心IRC在有限素数域F_p上选择一条椭圆曲线Ep(a，b)；

然后在曲线上选择一个阶为n的基点P和随机数x，并计算Q＝x·P；

最后IRC公开系统参数{E_p(a，b)，n，P}，并将Q作为公钥，将只有其自身知道的x作为私钥；

阶段B：用户身份注册；

用户生成必要参数，向IRC申请注册身份，IRC使用用户发送的信息生成IRC认证密钥，并存储用户相关信息以备用户申请进行信息恢复，最后用户存储双方共同生成的系统认证密钥；

阶段C：应用服务器身份注册；

应用服务器向IRC申请注册身份，IRC使用应用服务器发送的信息生成IRC认证密钥，并存储应用服务器身份以备追责，最后应用服务器存储双方共同生成的系统认证密钥；

阶段D：反跟踪相互认证和密钥协商；

用户进行本地身份认证，若通过，则向应用服务器发起获取参数的请求，之后将身份验证值、时间戳信息发送给应用服务器，应用服务器验明用户身份后，生成会话密钥并用对称加密算法进行加密，之后将身份验证值、时间戳、会话密钥密文信息发送给用户，用户验明应用服务器身份后，计算获得对称加密密钥并解密出会话密钥。

2.根据权利要求1所述的一种具有反跟踪特性的安全身份认证方法，其特征在于阶段B的用户身份注册，具体实现如下：

定义1：Pxor(A，B)表示两点之间的异或计算，如公式(1)所示；

定义2：Pxor(a，B)表示数值和点之间的异或计算，如公式(2)所示；

1.用户生成参数：

1-1.用户U_i选择身份UID_i、密码PW_i以及参数E_i作为恢复信息时使用的额外证书，并向智能设备SD_i中输入{UID_i，PW_i，E_i}；SD_i向IRC发送初始化请求以获取系统参数{E_p(a，b)，n，P}和IRC公钥Q；

1-2.智能设备SD_i生成随机参数nonce_i＝(r_1i，r_2i)，其中r_1i、r_2i都是随机整数；接着计算中间参数user_secret＝(mr_1i，mr_2i)，其中

且mr_1i，mr_2i均起到对随机参数nonce_i的保护作用；计算rID_i＝h(UID_i||r_1i)作为IRC认证密钥，EID_i＝h(UID_i||E_i)作为用户的假名，V_L＝h(UID_i||h(PW_i||r_1i)||r_2i)作为用户的本地身份验证值；

2.交换IRC认证密钥：

2-1.智能设备SD_i选取一个参数点MP_i＝(EID_i||mr_1i，rID_i||mr_2i)和一个随机数r_tmp传输用户信息；SD_i计算中间参数M₁＝PXor(MP_i，r_tmp·Q)和M₂＝r_tmp·P，并将{M₁，M₂}发送给IRC；

2-2.IRC使用获取的中间参数M₁和M₂，计算还原出参数点MP_i＝PXor(M₁，x·M₂)，并从点坐标中得到{EID_i，rID_i，user_secret}，接着在数据库的合法用户列表legal_user_list中搜索条目索引EID_i；如果EID_i已经存在，IRC要求用户选取其他的假名；反之，IRC将在数据库中添加{EID_i，user_secret}作为身份恢复信息，计算

作为用户认证密钥，计算中间参数

并将{M₃}发送给SD_i；

2-3.SD_i收到中间参数M₃后，计算用户认证密钥

并在其内存中存储

3.根据权利要求1或2所述的一种具有反跟踪特性的安全身份认证方法，其特征在于阶段C的应用服务器身份注册，具体实现如下：

(1)服务器生成参数：

(1-1)应用服务器S_j选择身份SID_j，然后向IRC发送初始化请求以获取系统参数{E_p(a，b)，n，P}和IRC公钥Q；

(1-2)S_j生成随机参数nonce_j＝(r_1j，r_2j)，其中r_1j，r_2j都是随机整数，计算中间参数

计算rSID_j＝h(SID_j||r_1j)作为应用服务器S_j的假名和IRC认证密钥；

(2)交换IRC认证密钥：

(2-1)应用服务器S_j选取一个参数点MP_j＝(rSID_j，mr_2j)和一个随机数r_tmp传输应用服务器信息；S_j计算中间参数M₁＝PXor(MP_j，r_tmp·Q)和M₂＝r_tmp·P，并将{M₁，M₂}发送给IRC；

(2-2)IRC计算还原出参数点MP_j＝PXor(M₁，x·M₂)并从点坐标中得到{rSID_j，mr_2j}，接着在数据库的合法服务器列表legal_server_list中搜索条目rSID_j；如果rSID_j已经存在，IRC要求应用服务器选取其他的假名；反之，IRC将在表中添加rSID_j，计算

作为应用服务器认证密钥，计算中间参数

并将{M₃}发送给S_j；

(2-3)S_j收到中间参数M₃后，计算应用服务器认证密钥

并在数据库中存储

4.根据权利要求3所述的一种具有反跟踪特性的安全身份认证方法，其特征在于阶段D的反跟踪相互认证和密钥协商，具体实现如下：

I.提取参数和本地认证：

(1)用户在智能设备SD_i中输入身份UID_i、密码PW_i、SD_i，从中间参数user_secret中获取随机参数nonce_i＝(r_1i，r_2i)，并且验证本地校验值V_L＝h(UID_i||h(PW_i||r_1i)||r_2i)；如果未通过验证，终止本次会话；反之，SD_i计算用户公钥

并向S_j发送请求；

(2)S_j收到请求后，计算其假名和IRC认证密钥rSID_j＝h(SID_j||r_1j)，应用服务器公钥

并向SD_i发送

II.服务器验证用户IRC认证密钥

(3)SD_i在内存中搜索rSID_j，获取对应条目

并验证从S_j收到的

如果该条目不存在，令历史认证校验值V_old＝None；如果条目存在且

一致，继续会话；否则终止该过程；

(4)SD_i选取两个挑战k和t，计算中间参数

M₂＝k·h(UID_i||r_1i)，

计算A_i＝h(UID_i||h(PW_i||r_1i)||rSID_j)作为用户的假名，

作为假名保护参数，

作为用户的验证值；接着，SD_i向S_j发送

其中T₁为时间戳；

(5)S_j在T₂时间收到消息，首先检查消息的有效性T₂-T₁，如果超过设定阈值则拒绝请求；反之，S_j计算中间参数

用户假名

用户验证值

如果

S_j则确认U_i曾被IRC授权；否则，终止当前会话；

III.服务器验证用户历史上下文及交换密钥：

(6)如果服务器收到的历史认证校验值V_old为None，且A_i在数据库中不存在，S_j随机选取一个新的会话密钥sk和随机数r；否则，转到步骤(7)；

(7)如果服务器收到的历史认证校验值V_old不为None，S_j在数据库中搜索A_i读取条目{A_i，r^old，h(sk^old)}，并计算历史加密密钥

历史会话密钥

之后，S_j验证h(sk^old*)＝h(sk^old)是否成立，若成立，S_j则确认U_i是上次会话中与其进行安全通信的认证用户，并生成一个新的会话密钥sk和随机数r；

(8)S_j计算加密密钥

加密会话密钥[sk]_K＝Sym.Enc_K(sk)，中间参数

和

并将

作为应用服务器的验证值，

作为会话密钥的验证值；接着，S_j向SD_i发送{M₄，M₅，V_s，V_sk，[sk]_K，T₃}，其中T₃为时间戳；

IV.用户两次认证服务器及密钥协商：

(9)SD_i在T₄时间收到消息后，首先检查消息的有效性T₄-T₃，如果超过设定阈值则拒绝请求；反之，SD_i计算历史加密密钥

历史会话密钥

应用服务器验证值

如果

U_i则确认S_j经过IRC授权，并且确实参与了上一次通信；需要注意的是，只有拥有相应IRC认证密钥的S_j才能计算出有效的M₁值，此次为第一次认证；只有S_j才拥有能够通过h(sk^old)值验证的会话密钥，此次为第二次认证；

(10)SD_i计算参数

和会话密钥验证值

如果

则新的会话密钥通过验证；否则，终止该会话；

(11)SD_i计算加密密钥

和会话密钥sk＝Sym.Dec_K([sk]_K)，得到sk以在本次会话中进行安全通信；接着，SD_i在内存中更新

其中历史认证校验值V_old＝[sk]_K，S_j也在数据库中将{A_i，r^old，h(sk^old)}更新为{A_i，r，h(sk)}。

Images