CN111970270A - 基于环上带误差学习问题的sip安全认证方法及系统 - Google Patents

Abstract

本申请公开了基于环上带误差学习问题的SIP安全认证方法及系统，用户客户端U对口令PW进行加密得到加密数据PWE，将用户名ID、加密数据PWE和验证密钥均发送给服务器S；服务器S接收用户客户端U发来的用户名ID和加密数据PWE，对接收数据进行加密处理，得到加密数据VPW；U向S发送验证请求；S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给U；U接收到第一验证消息后，用户客户端对第一验证消息进行验证，验证通过，客户端返回第二验证消息给服务器S；服务器S对第二验证消息进行验证，验证通过，则客户端U和服务器S之间使用共同的会话密钥来加密之后的通信信息。

Description

基于环上带误差学习问题的SIP安全认证方法及系统

技术领域

本申请涉及安全通信技术领域，特别是涉及基于环上带误差学习问题的SIP安全认证方法及系统。

背景技术

本部分的陈述仅仅是提到了与本申请相关的背景技术，并不必然构成现有技术。

认证协议是在不可信的环境中保障通信实体安全地交换信息的重要手段之一。会话初始协议(SIP)以简易性、开放性、公用性、标准化和个性化等特点成为最受广泛接受的一种网络电话信令协议。它是由互联网工程项目组制定的面向多媒体会议和电话的信令协议，用于创建、修改和终结双方或多方多媒体会话进程。当远端用户请求SIP服务器提供服务时，需要通过认证机制以验证远端用户和服务器的真实身份。但是随着网络技术的进步，攻击者的手段也越来越复杂，例如重放攻击、中间人攻击以及离线口令猜测攻击等。

随着量子计算机的发展，以及计算大整数分解和离散对数的量子算法的发展，众多传统密码的安全性受到威胁，基于传统密码的SIP协议认证方法也不再安全，而能够抵抗量子计算机攻击的格密码成为了密码学界的研究热点。差错学习问题(Learming withErrors，简称LWE)由Regev在2005年提出，他将LWE问题量子归约到格上的标准困难问题。因此在LWE问题之上建立的所有密码学方案，都能够将其安全建立在格问题的最坏情况下困难性之上。环上的LWE问题使得该方法的实用性增强。

在实现本申请的过程中，发明人发现现有技术中存在以下技术问题：

SIP协议基于开放的IP网络，未授权的实体很容易截获消息并进行篡改，甚至假冒合法实体欺骗参与者，并且随着量子计算机和相关算法的发展，SIP协议中基于传统密码算法发认证算法也不再安全。

发明内容

为了解决现有技术的不足，本申请提供了基于环上带误差学习问题的SIP安全认证方法及系统；解决SIP协议认证过程中易受攻击，安全性差的问题。

第一方面，本申请提供了基于环上带误差学习问题的SIP安全认证方法；

基于环上带误差学习问题的SIP安全认证方法，包括：

用户客户端U选择自己的用户名ID和口令PW，对口令PW进行加密得到加密数据PWE，用户客户端U将用户名ID、加密数据PWE和验证密钥均发送给服务器S；

服务器S接收用户客户端U发来的用户名ID和加密数据PWE，服务器S对接收到的用户名ID和加密数据PWE进行加密处理，得到加密数据VPW；

用户客户端U向服务器S发送验证请求；服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U；

用户客户端U接收到第一验证消息后，用户客户端对第一验证消息进行验证，如果验证未通过，则会话立即终止，否则，用户客户端返回第二验证消息给服务器S；

服务器S对第二验证消息进行验证，如果验证通过，则用户客户端U和服务器S之间允许使用共同的会话密钥来加密之后的通信信息；如果验证不通过，则会话立即终止。

第二方面，本申请提供了基于环上带误差学习问题的SIP安全认证系统；

基于环上带误差学习问题的SIP安全认证系统，包括：用户客户端U和服务器S；

用户客户端U选择自己的用户名ID和口令PW，对口令PW进行加密得到加密数据PWE，用户客户端U将用户名ID、加密数据PWE和验证密钥均发送给服务器S；

服务器S接收用户客户端U发来的用户名ID和加密数据PWE，服务器S对接收到的用户名ID和加密数据PWE进行加密处理，得到加密数据VPW；

用户客户端U向服务器S发送验证请求；服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U；

用户客户端U接收到第一验证消息后，用户客户端对第一验证消息进行验证，如果验证未通过，则会话立即终止，否则，用户客户端返回第二验证消息给服务器S；

服务器S对第二验证消息进行验证，如果验证通过，则用户客户端U和服务器S之间允许使用共同的会话密钥来加密之后的通信信息；如果验证不通过，则会话立即终止。

与现有技术相比，本申请的有益效果是：

1)本申请基于环LWE问题，具有抵抗量子计算机攻击的能力。认证过程中使用了B₁＝s_uA+e_u和D＝s_sA+e_s，当攻击者试图通过A和B₁猜测s_u或者通过A和D猜测s_s时，这就是环上的差错学习问题，该问题是目前安全可证的具有抗量子攻击性质的难题；

2)本申请可以抗内部人攻击，从注册开始阶段开始，用户U利用随机数通过哈希函数把ID和口令PW进行加密，服务器S和攻击者不知道密码随机数，并且哈希函数具有单向性，因此无法恢复出用户的口令，即攻击者无法实施内部人攻击；

3)本申请还具有抗重放攻击、抗中间人攻击以及抗离线口令猜测攻击等安全特性，具有良好的抗攻击性；

4)本申请虽然是用于解决SIP协议中的安全认证问题设计，但是同时也可以用于其他客户端与服务器的认证过程中。

附图说明

构成本申请的一部分的说明书附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。

图1为第一个实施例的方法流程图。

具体实施方式

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

实施例一

本实施例提供了基于环上带误差学习问题的SIP安全认证方法；

如图1所示，基于环上带误差学习问题的SIP安全认证方法，包括：

S101：用户客户端U选择自己的用户名ID和口令PW，对口令PW进行加密得到加密数据PWE，用户客户端U将用户名ID、加密数据PWE和验证密钥均发送给服务器S；

S102：服务器S接收用户客户端U发来的用户名ID和加密数据PWE，服务器S对接收到的用户名ID和加密数据PWE进行加密处理，得到加密数据VPW；

S103：用户客户端U向服务器S发送验证请求；服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U；

S104：用户客户端U接收到第一验证消息后，用户客户端对第一验证消息进行验证，如果验证未通过，则会话立即终止，否则，用户客户端返回第二验证消息给服务器S；

S105：服务器S对第二验证消息进行验证，如果验证通过，则用户客户端U和服务器S之间允许使用共同的会话密钥来加密之后的通信信息；如果验证不通过，则会话立即终止。

作为一个或多个实施例，所述方法还包括：

S106：用户客户端发送消息{ID,V＝h(SK_u||h(ID||h(PW||P_u))，

给服务器S；

S107：服务器S运算

并验证它是否与收到的V相等，如果两者相等，服务器S运算

并以NVPW替换VPW，即完成口令更替。

作为一个或多个实施例，所述S101中，所述验证密钥是用户客户端U依据私钥、用户名ID和加密数据PWE计算得到的。

作为一个或多个实施例，所述S101中，对口令PW进行加密得到加密数据PWE；具体步骤是：

对口令PW利用随机数和哈希函数进行加密处理，得到加密数据PWE。

作为一个或多个实施例，所述S102中，服务器S对接收到的用户名ID和加密数据PWE进行加密处理，得到加密数据VPW；具体步骤是：

服务器S对接收到的用户名ID和加密数据PWE使用服务器S的对称密钥P_s进行加密处理，得到加密数据VPW。

作为一个或多个实施例，所述S103中，服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U；具体步骤包括：

使用对称密钥进行解密得到中间参数T，服务器S使用验证密钥HID对中间参数T进行处理，得到用户名ID；

服务器S根据验证密钥B₂对中间参数T进行处理，通过环上带误差的学习问题的陷门函数的抗量子性，计算出中间参数B₁，然后对用户名ID和中间参数B₁进行处理，得到处理结果；

服务器S判断处理结果是否等于验证密钥C；如果等于，则服务器发送第一验证消息给用户客户端U。

作为一个或多个实施例，所述S101的步骤之前还包括：

S100：参数生成：服务器S，定义D_σ为整数域Z上的离散高斯分布，期望为0，标准差为σ；R为多项式环Z_q[x]/(xⁿ+1)。设置多项式最高次数n，随机选取多项式s_s∈R服从分布D_σ，并将s_s作为服务器S端的私钥。随机均匀选取多项式A∈R，选取哈希函数h(·)；公开多项式A和哈希函数h(·)。

作为一个或多个实施例，所述S101的详细步骤包括：

用户客户端U，选择自己的用户名ID和口令PW，为防止口令PW被窃取，发送前选一个随机数P_u，并利用哈希函数对口令PW加密，加密过程是对PW和P_u先进行或运算再进行哈希运算，即PWE＝h(PW||P_u)，这样就得到了加密后的口令数据PWE。随机选取多项式e_u∈R服从分布D_σ，并将其作为带误差学习问题中的误差多项式。然后，用户客户端U通过安全信道发送{用户名ID,加密的口令数据PWE，误差多项式e_u}给服务器S；

作为一个或多个实施例，所述S102的详细步骤包括：

当服务器S收到从用户客户端U发来的消息，为防止内部人攻击，对来自客户端U的信息进行加密，对用户名ID和加密的口令数据PWE先进行或运算再进行哈希运算，即T＝h(ID||PWE)，得到加密数据T。再添加随机性，服务器S随机选取一个随机数P_s，然后对加密数据T与随机数P_s的哈希运算结果进行异或运算，即

就得到了加密数据VPW，并保存该数据。

作为一个或多个实施例，所述S103的用户客户端U向服务器S发送验证请求详细步骤包括：

用户客户端U随机选取多项式s_u∈R服从分布D_σ，并将其作为用户客户端U的私钥。然后利用带误差学习问题中的陷门函数B₁＝s_uA+e_u计算得到数据B₁，用户客户端U计算发送给服务器用于验证的数据

和C＝h(ID||B₁)，计算完成后，用户客户端U发送用于验证的消息{B₂,HID,C}给服务器S；

作为一个或多个实施例，所述S103的服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U的详细步骤包括：

S1031：当收到从用户客户端U发来的验证请求，服务器S先通过计算公式

得到数据T′，再将其带入公式

得到ID′，然后计算

得到B′₁，再计算h(ID′||B′₁)＝C′，对比C′和C：

若两者相等，说明该用户客户端U通过了服务器S的验证，服务器S信任此用户客户端U，就继续完成认证过程；

若两者不相等，说明该用户客户端U没有通过了服务器S的验证，服务器S立即断开与此用户客户端U的连接。

S1032：用户客户端U通过服务器S的验证后，服务器S需要再向用户客户端U发送验证信息。服务器S随机选取多项式s_s∈R服从分布D_σ，并将其作为服务器S的私钥。将e_u作为带误差学习问题中的误差多项式；

然后利用带误差学习问题中的陷门函数D＝s_sA+e_u计算得到数据D；

计算SK_S＝s_s(B₁-e_u)得到的SK_S既包含了客户端U的私钥s_u也包含了服务器S的私钥s_s；

计算Auth_S＝h(SK_S||T||B₁)得到用于验证的消息Auth_S；

最后，服务器S发送消息{D,Auth_S}给客户端U。

作为一个或多个实施例，所述S104的具体步骤包括：

当收到来自服务器S发来的消息{rand1,D,Auth_S}，用户客户端U运算SK_u＝s_u(D-e_u)得到SK_u，其中既包含了客户端U的私钥s_u也包含了服务器S的私钥s_s。然后计算h(SK_u||T||B₁)并将结果与来自服务器S的验证消息Auth_S对比：

若两者不相等，说明该服务器发送的消息没有通过用户客户端U的验证，会话立即终止；

如果两者相等，说明验证通过，用户客户端U计算Auth_u＝h(SK_u||T||D)得到验证消息Auth_u，返回消息Auth_u给服务器S。

作为一个或多个实施例，所述S105的具体步骤包括：

服务器S计算h(SK_S||T||D)，并将计算结果与从客户端U传来的消息Auth_u进行对比：

如果两者不等，则无法获得共同的会话密钥，需要重新验证；

如果两者相等，则能够计算获得共同的会话密钥。因为SK_S＝s_s(B₁-e_u)＝s_ss_upk，SK_u＝s_u(D-e_u)＝s_us_spk，所以SK_u＝SK_S，用户客户端U和服务器S用共同的会话密钥SK＝SK_u＝SK_S来进行加密通信。

作为一个或多个实施例，所述S106具体步骤包括：

用户客户端U顺利认证通过后，对新的口令NPW以及新的随机数NP_u先进行或运算再进行哈希运算，即NPWE＝h(NPW||NP_u)，这样就得到新的加密口令数据NPWE。然后用户客户端U发送消息{用户名ID，口令更替标识符req,新的加密口令数据NPWE}给服务器S；

作为一个或多个实施例，所述S107具体步骤包括：

服务器S收到消息{用户名ID，口令更替标识符req,新的加密口令数据NPWE}后，为防内部人攻击，对用户名ID和加密的口令数据NPWE先进行或运算再进行哈希运算，即NT＝h(ID||NPWE)，得到加密数据NT。再添加随机性，服务器S随机选取一个随机数NP_s，然后对加密数据NT与随机数NP_s的哈希运算结果进行异或运算，即

就得到了加密数据NVPW，并用其代替原来存储在服务器S端代表客户端U身份的VPW数据，即新的加密数据NVPW就是存储在服务器S端的用户身份信息，这样就完成了口令更替操作。

作为一个或多个实施例，所述S105步骤之后，所述S106步骤之前，还包括：

如果用户客户端U想使用新的口令，用户客户端U备好用户名ID、新的口令NPW以及新的随机数NP_u；

用户客户端U先通过认证过程，即服务器S端验证为合法用户后，该用户才允许进行口令更替操作。

实施例二

本实施例提供了基于环上带误差学习问题的SIP安全认证系统；

基于环上带误差学习问题的SIP安全认证系统，包括：用户客户端U和服务器S；

用户客户端U选择自己的用户名ID和口令PW，对口令PW进行加密得到加密数据PWE，用户客户端U将用户名ID、加密数据PWE和验证密钥均发送给服务器S；

服务器S接收用户客户端U发来的用户名ID和加密数据PWE，服务器S对接收到的用户名ID和加密数据PWE进行加密处理，得到加密数据VPW；

用户客户端U向服务器S发送验证请求；服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U；

用户客户端U接收到第一验证消息后，用户客户端对第一验证消息进行验证，如果验证未通过，则会话立即终止，否则，用户客户端返回第二验证消息给服务器S；

服务器S对第二验证消息进行验证，如果验证通过，则用户客户端U和服务器S之间允许使用共同的会话密钥来加密之后的通信信息；如果验证不通过，则会话立即终止。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims (10)

1.基于环上带误差学习问题的SIP安全认证方法，其特征是，包括：

用户客户端U选择自己的用户名ID和口令PW，对口令PW进行加密得到加密数据PWE，用户客户端U将用户名ID、加密数据PWE和验证密钥均发送给服务器S；

服务器S接收用户客户端U发来的用户名ID和加密数据PWE，服务器S对接收到的用户名ID和加密数据PWE进行加密处理，得到加密数据VPW；

用户客户端U向服务器S发送验证请求；服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U；

用户客户端U接收到第一验证消息后，用户客户端对第一验证消息进行验证，如果验证未通过，则会话立即终止，否则，用户客户端返回第二验证消息给服务器S；

服务器S对第二验证消息进行验证，如果验证通过，则用户客户端U和服务器S之间允许使用共同的会话密钥来加密之后的通信信息；如果验证不通过，则会话立即终止。

2.如权利要求1所述的方法，其特征是，所述方法还包括：

用户客户端发送消息{ID,V＝h(SK_u||h(ID||h(PW||P_u))，

给服务器S；

服务器S运算

并验证它是否与收到的V相等，如果两者相等，服务器S运算

并以NVPW替换VPW，即完成口令更替。

3.如权利要求1所述的方法，其特征是，服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U；具体步骤包括：

使用对称密钥进行解密得到中间参数T，服务器S使用验证密钥HID对中间参数T进行处理，得到用户名ID；

服务器S根据验证密钥B₂对中间参数T进行处理，通过环上带误差的学习问题的陷门函数的抗量子性，计算出中间参数B₁，然后对用户名ID和中间参数B₁进行处理，得到处理结果；

服务器S判断处理结果是否等于验证密钥C；如果等于，则服务器发送第一验证消息给用户客户端U。

4.如权利要求1所述的方法，其特征是，所述用户客户端U选择自己的用户名ID和口令PW，对口令PW进行加密得到加密数据PWE，用户客户端U将用户名ID、加密数据PWE和验证密钥均发送给服务器S的详细步骤包括：

用户客户端U，选择自己的用户名ID和口令PW，为防止口令PW被窃取，发送前选一个随机数P_u，并利用哈希函数对口令PW加密，加密过程是对PW和P_u先进行或运算再进行哈希运算，即PWE＝h(PW||P_u)，得到加密后的口令数据PWE；随机选取多项式e_u∈R服从分布D_σ，并将其作为带误差学习问题中的误差多项式；然后，用户客户端U通过安全信道发送{用户名ID,加密的口令数据PWE，误差多项式e_u}给服务器S。

5.如权利要求1所述的方法，其特征是，所述服务器S接收用户客户端U发来的用户名ID和加密数据PWE，服务器S对接收到的用户名ID和加密数据PWE进行加密处理，得到加密数据VPW的详细步骤包括：

当服务器S收到从用户客户端U发来的消息，为防止内部人攻击，对来自客户端U的信息进行加密，对用户名ID和加密的口令数据PWE先进行或运算再进行哈希运算，即T＝h(ID||PWE)，得到加密数据T；再添加随机性，服务器S随机选取一个随机数P_s，然后对加密数据T与随机数P_s的哈希运算结果进行异或运算，即

就得到了加密数据VPW，并保存该数据。

6.如权利要求1所述的方法，其特征是，用户客户端U向服务器S发送验证请求详细步骤包括：

用户客户端U随机选取多项式s_u∈R服从分布D_σ，并将其作为用户客户端U的私钥；然后利用带误差学习问题中的陷门函数B₁＝s_uA+e_u计算得到数据B₁，用户客户端U计算发送给服务器用于验证的数据

和C＝h(ID||B₁)，计算完成后，用户客户端U发送用于验证的消息{B₂,HID,C}给服务器S。

7.如权利要求1所述的方法，其特征是，服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U的详细步骤包括：

(1)当收到从用户客户端U发来的验证请求，服务器S先通过计算公式

得到数据T′，再将其带入公式

得到ID′，然后计算

得到B′₁，再计算h(ID′||B′₁)＝C′，对比C′和C：

若两者相等，说明该用户客户端U通过了服务器S的验证，服务器S信任此用户客户端U，就继续完成认证过程；

若两者不相等，说明该用户客户端U没有通过了服务器S的验证，服务器S立即断开与此用户客户端U的连接；

(2)用户客户端U通过服务器S的验证后，服务器S需要再向用户客户端U发送验证信息；服务器S随机选取多项式s_s∈R服从分布D_σ，并将其作为服务器S的私钥；将e_u作为带误差学习问题中的误差多项式；

然后利用带误差学习问题中的陷门函数D＝s_sA+e_u计算得到数据D；

计算SK_S＝s_s(B₁-e_u)得到的SK_S既包含了客户端U的私钥s_u也包含了服务器S的私钥s_s；

计算Auth_S＝h(SK_S||T||B₁)得到用于验证的消息Auth_S；

最后，服务器S发送消息{D,Auth_S}给客户端U。

8.如权利要求1所述的方法，其特征是，所述用户客户端U接收到第一验证消息后，用户客户端对第一验证消息进行验证，如果验证未通过，则会话立即终止，否则，用户客户端返回第二验证消息给服务器S的具体步骤包括：

当收到来自服务器S发来的消息{rand1,D,Auth_S}，用户客户端U运算SK_u＝s_u(D-e_u)得到SK_u，其中既包含了客户端U的私钥s_u也包含了服务器S的私钥s_s；然后计算h(SK_u||T||B₁)并将结果与来自服务器S的验证消息Auth_S对比：

若两者不相等，说明该服务器发送的消息没有通过用户客户端U的验证，会话立即终止；

如果两者相等，说明验证通过，用户客户端U计算Auth_u＝h(SK_u||T||D)得到验证消息Auth_u，返回消息Auth_u给服务器S。

9.如权利要求1所述的方法，其特征是，所述服务器S对第二验证消息进行验证，如果验证通过，则用户客户端U和服务器S之间允许使用共同的会话密钥来加密之后的通信信息；如果验证不通过，则会话立即终止的具体步骤包括：

服务器S计算h(SK_S||T||D)，并将计算结果与从客户端U传来的消息Auth_u进行对比：

如果两者不等，则无法获得共同的会话密钥，需要重新验证；

如果两者相等，则能够计算获得共同的会话密钥；因为SK_S＝s_s(B₁-e_u)＝s_ss_upk，SK_u＝s_u(D-e_u)＝s_us_spk，所以SK_u＝SK_S，用户客户端U和服务器S用共同的会话密钥SK＝SK_u＝SK_S来进行加密通信。

10.基于环上带误差学习问题的SIP安全认证系统，包括：用户客户端U和服务器S；

用户客户端U选择自己的用户名ID和口令PW，对口令PW进行加密得到加密数据PWE，用户客户端U将用户名ID、加密数据PWE和验证密钥均发送给服务器S；

服务器S接收用户客户端U发来的用户名ID和加密数据PWE，服务器S对接收到的用户名ID和加密数据PWE进行加密处理，得到加密数据VPW；

用户客户端U向服务器S发送验证请求；服务器S使用验证密钥对加密数据VPW进行处理，得到第一验证消息，服务器发送第一验证消息给用户客户端U；

用户客户端U接收到第一验证消息后，用户客户端对第一验证消息进行验证，如果验证未通过，则会话立即终止，否则，用户客户端返回第二验证消息给服务器S；

服务器S对第二验证消息进行验证，如果验证通过，则用户客户端U和服务器S之间允许使用共同的会话密钥来加密之后的通信信息；如果验证不通过，则会话立即终止。

Images