CN112235105B - 一种抗中间人攻击的动态口令认证方法 - Google Patents

Abstract

本发明公开了一种抗中间人攻击的动态口令认证方法，主要包括注册阶段和登录阶段，本发明的设计基于RSA困难问题，并能够有效抵御中间人攻击和离线口令猜测攻击，相对于现有的口令认证方案，本发明：在认证过程中减少了用户和服务器执行加解密运算的次数，提高了认证效率；可以方便地解决了用户的异地登陆问题，而且不用将登陆信息存放在公用电脑上，登陆过程更加安全；能够有效抵御对口令的暴力破解攻击和中间人攻击，同时增加了双向认证，解决了伪服务器攻击的问题。

Description

一种抗中间人攻击的动态口令认证方法

技术领域

本发明涉及信息安全领域，特别是涉及一种抗中间人攻击的动态口令认证方法。

背景技术

口令认证技术面世以来，由于其便捷性，相对安全性，被广泛应用到我们生活的方方面面。从网站账户的登陆，到便捷的手机支付，随时随地都能见到口令的身影。但是随着认证技术的广泛使用，它也带来了一系列隐患。由于口令本身密钥空间有限，导致其容易遭受在线或离线的猜测攻击以及中间人攻击。

解决这些安全隐患的一个方法是使用一次性口令技术，也称动态口令技术。经典的动态口令技术如S/KEY，存在登陆次数有限制的问题，随后的设计SAS以及其更新版本则存在明文传输的问题。目前动态口令认证协议的设计要么无法抵御口令猜测攻击或中间人攻击，要么无法实现双向认证，并且便捷性差。

发明内容

有鉴于此，本发明的目的在于提供一种抗中间人攻击的动态口令认证方法，本发明主要解决的问题是：目前动态口令认证协议的设计要么无法抵御口令猜测攻击或中间人攻击，要么无法实现双向认证，并且便捷性差。

为实现上述的目的，本发明提供一种抗中间人攻击的动态口令认证方法，包括：注册阶段和登录阶段；

所述注册阶段包括如下步骤：

步骤S101、用户向服务器提出注册请求，并且通过安全信道将账号名和口令发送给服务器，账号名为id，口令为ρ；

服务器通过公钥加密算法生成公私钥对pk_s和sk_s，然后将pk_s和sk_s发送给用户；

步骤S102、用户接收服务器发送的公钥pk_s，通过口令生成器KYO生成x₀,x₀为动态口令，同时产生一对大素数q和p，计算：

n＝q×p (1)

令

得到：

然后生成短消息M₀，在计算

并且记录注册账户时的时间t:t＝τ₀；

最后，用户生成一对非对称密钥pk_c和sk_c，并且产生一个随机数r_c，然后用户通过pk_s加密pk_c，即

再使用sk_c加密r_c和

得到

和

将

发送至服务器；

步骤S103、服务器接收用户端发送的

然后判断id是否已经存在数据库中，若存在，则给出提示，该id已经注册，若不存在，则使用sk_s解密

得到

再使用pk_c解密

得到

再比较r_c和

是否相等；

若不相等，则说明pk_c被更改，则注册行为失败，断开连接；

若相等，服务器使用pk_c解密

得到

将

存入服务器的数据库中，最后服务器向用户发出注册成功的信息；

步骤S104、用户接收到注册成功的信息后，利用口令生成器KYO中的F函数，所述F函数为回调函数，计算：

F_σ(ρ)＝γ (6)

在公式(3)至公式(6)中，σ1_S,U表示KYO中F函数回调x_i的种子参数，σ2_S,U表示KYO中F函数回调sk_c的种子参数，σ3_S,U表示KYO中F函数回调M_i的种子参数，ρ表示为口令，M₀表示短消息，γ表示KYO中PW文件校验用户口令ρ的随机数，

将登录信息(k,σ,γ)存储在PW文件中，并且将相关信息存储在文件T中；

所述相关信息为：

(S,U,k,σ1_S,U,σ2_S,U,σ3_S,U) (7)

公式(7)中，S表示服务器的标识，U表示用户的标识，k表示KYO中T文件的索引；

所述登录阶段包括如下步骤：

步骤S201、用户将配套的智能卡插入终端设备，并且在终端设备中输入id和ρ；

步骤S202、智能卡通过KYO中的函数运算得到：

公式(8)至公式(10)中，i表示为用户第i次在服务器中登录账号，σ1_S,U表示KYO中F函数回调x_i的种子参数，σ2_S,U表示KYO中F函数回调sk_c的种子参数，σ3_S,U表示KYO中F函数回调M_i的种子参数，ρ表示为口令；

并且计算：

然后生成x_i和随机短消息M_i，计算

并且记录此时的登录时间τ_i；

最后，使用sk_c加密

得到

计算哈希值

发送

至服务器；

步骤S203、服务器收到

判断id是否已经存在数据库中，若不存在，则认证失败，断开连接；

若存在，服务器使用pk_c，τ_i解密

得到：

公式(12)中，

表示为使用用户的公钥pk_c解密

表示字符串的异或操作，τ_i表示为登录时间；

服务器计算哈希值

然后判断

与Token_c中的哈希值是否相等，即是判断：

和

是否相等，

若不相等，则断开连接，认证失败；

若相等，则认证成功后，服务器将数据库中存储的

替换为

此时服务器中的Token_s更新为

最后服务器计算哈希值

再用pk_c加密

得到

将

发送给用户。

进一步的，所述F函数选用SHA-256哈希函数，表达式为：

F_σ(ρ)＝truncate₃₂(SHA-256(σ||ρ))mod2^l (13)

公式(13)中，||是字符连接操作，l为大于零的正整数，σ为回调函数的种子参数，truncate₃₂操作符将结果从左边截断到前32位，结果为无符号大端数。

本发明的有益效果是：

1、本发明动态性的实现基于RSA困难问题，相较于基于离散对数困难问题的设计，本发明在认证过程中减少了用户和服务器执行加解密运算的次数，提高了认证效率。

2、本发明使用基于智能卡的移动认证架构，不仅方便地解决了用户的异地登陆问题，而且不用将登陆信息存放在公用电脑上，登陆过程更加安全。

3、本发明能够有效抵御对口令的暴力破解攻击和中间人攻击，同时增加了双向认证，解决了伪服务器攻击的问题。

附图说明

图1为本发明注册阶段各个执行主体之间信息交互的结构图。

图2为本发明登录阶段各个执行主体之间信息交互的结构图。

图3为本发明注册阶段的流程框图。

图4为本发明登录阶段的流程框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

也为了更清楚的说明本发明的实施例，我们先介绍和本实施例相关的两个重要技术：

技术1：KYO

KYO又称口令生成器，它的作用主要有两个：一是通过种子参数σ及γ校验用户输入口令ρ。二是通过回调函数F回调每次登录的动态口令x_i，这样用户实际的口令ρ无需在信道传输，也无需保存在服务端。

本专利用户端KYO需要回调的参数包括：动态口令x_i，用户私钥sk_c和短消息M_i，对于服务器S,用户U,KYO选取种子σ1_S,U，使

选取种子σ2_S,U，使

选取种子σ3_S,U使

最后选取一对种子σ和γ使F_σ(ρ)＝γ作为口令ρ的校验参数。

KYO将元组(k,σ,γ)储存在文件PW中，其中k作为文件T的索引。并且将元组(S,U,k,σ1_S,U,σ2_S,U,σ3_S,U)在文件T中。PW文件和T文件保存在用户的电脑中。

当用户输入口令ρ到口令生成器KYO时，KYO通过文件PW校验口令ρ。首先KYO找到存放在PW文件的元组(k,σ,γ)，使用σ,γ来校验口令ρ。如果输入的口令ρ满足F_σ(ρ)＝γ，则口令校验通过。KYO继续通过在PW文件中的元组(k,σ,γ)中的索引k来找到对应的文件T中的元组(S,U,k,σ1_S,U,σ2_S,U,σ3_S,U)。使用参数σ1_S,U和函数

回调产生x_i，使用参数σ2_S,U和函数

回调产生sk_c，使用参数σ3_S,U和函数

回调产生M_i。KYO不需要改变用户口令ρ就能随时用x_i替换x_i-1，因为很容易就可以找到一组种子使得

和F_σ'(ρ)＝γ'。

技术2：哈希函数

哈希函数也可以称作单项散列函数或者杂凑函数，是指将任意长的信息m映射为固定长度的信息h(m)的一类函数。常见的哈希函数有MD5,SHA-256，SHA-512等。哈希函数有以下重要性质：

单向性：给定一个哈希值，很难找到这个哈希值所对应的原像值。

抗弱碰撞性：对于任意给定的消息x，找到满足y≠x且H(x)＝H(y)的消息y在计算上是不可行的。

抗强碰撞性：找到任何满足H(x)＝H(y)的不同消息对(x,y)在计算上是不可行的。

实施例1，参见图1至图4，本实施例为解决口令认证技术安全性和便捷性的问题，提出了一个基于智能卡的动态口令认证协议的新设计，本实施例利用了RSA困难问题以及智能卡技术，提高认证效率。

为了更清楚以及简要的描述，本实施例中引入用户Alice的概念，用户Alice即表示使用者Alice本人，也表示使用者Alice的移动终端或者固定终端，移动终端可以是智能手机，平板，掌上电脑，固定终端可以是台式电脑等等，在本实施例中，二者视为同一执行主体。

一种抗中间人攻击的动态口令认证方法，包括：注册阶段和登录阶段；

参见图1和图2，注册阶段包括如下步骤：

假设用户Alice在网站注册，并且她的账号名为id，口令为ρ，

步骤S101、用户Alice向服务器S提出注册请求，输入手机号和email，点击注册，并且将账号名和口令发送给服务器S，账号名为id，口令为ρ；

服务器S通过公钥加密算法生成公私钥对pk_s和sk_s，然后通过email或者短信将pk_s和sk_s发送给用户；

步骤S102、用户Alice接收服务器发送的公钥pk_s，通过口令生成器KYO生成x₀,x₀为动态口令，同时产生一对大素数q和p，计算：

n＝q×p (1)

令

得到：

然后生成短消息M₀，在计算

并且记录注册账户时的时间t:t＝τ₀；

最后，用户Alice生成一对非对称密钥pk_c和sk_c，并且产生一个随机数r_c，然后用户Alice通过pk_s加密pk_c，即

再使用sk_c加密r_c和

得到

和

将

发送至服务器S；

步骤S103、服务器S接收用户Alice发送的

然后判断id是否已经存在数据库中，若存在，则给出提示，该id已经注册，若不存在，则使用sk_s解密

得到

再使用pk_c解密

得到

再比较r_c和

是否相等；

若不相等，则说明pk_c被更改，则注册行为失败，断开连接；

若相等，服务器S使用pk_c解密

得到

将

存入服务器S的数据库中，最后服务器S向用户Alice发出注册成功的信息；

步骤S104、用户Alice接收到注册成功的信息后，利用口令生成器KYO中的F函数，F函数为回调函数，计算：

F_σ(ρ)＝γ (6)

在公式(3)至公式(6)中，σ1_S,U表示KYO中F函数回调x_i的种子参数，σ2_S,U表示KYO中F函数回调sk_c的种子参数，σ3_S,U表示KYO中F函数回调M_i的种子参数，ρ表示为口令，M₀表示短消息，γ表示KYO中PW文件校验用户口令ρ的随机数，

将登录信息(k,σ,γ)存储在PW文件中，并且将相关信息存储在文件T中；

相关信息为：

(S,U,k,σ1_S,U,σ2_S,U,σ3_S,U) (7)

公式(7)中，S表示服务器的标识，U表示用户的标识，k表示KYO中T文件的索引；

参见图2和图4，登录阶段包括如下步骤：

步骤S201、用户Alice将配套的智能卡插入终端设备，并且在终端设备中输入id和ρ；

步骤S202、智能卡通过KYO中的函数运算得到：

公式(8)至公式(10)中，i表示为用户Alice第i次在服务器中登录账号，σ1_S,U表示KYO中F函数回调x_i的种子参数，σ2_S,U表示KYO中F函数回调sk_c的种子参数，σ3_S,U表示KYO中F函数回调M_i的种子参数，ρ表示为口令；

并且计算：

然后生成x_i和随机短消息M_i，计算

并且记录此时的登录时间τ_i；

最后，使用sk_c加密

得到

计算哈希值

发送

至服务器S；

步骤S203、服务器S收到

判断id是否已经存在数据库中，若不存在，则认证失败，断开连接；

若存在，服务器S使用pk_c，τ_i解密

得到：

公式(12)中，

表示为使用用户Alice的公钥pk_c解密

表示字符串的异或操作，τ_i表示为登录时间；

服务器S计算哈希值

然后判断

与Token_c中的哈希值是否相等，即是判断：

和

是否相等，

若不相等，则断开连接，认证失败；

若相等，则认证成功后，服务器S将数据库中存储的

替换为

此时服务器S中的Token_s更新为

最后服务器S计算哈希值

再用pk_c加密

得到

将

发送给用户Alice。

具体的说，在本实施例中，F函数选用SHA-256哈希函数，表达式为：

F_σ(ρ)＝truncate₃₂(SHA-256(σ||ρ))mod2^l (13)

公式(13)中，||是字符连接操作，l为大于零的正整数，σ为回调函数的种子参数，truncate₃₂操作符将结果从左边截断到前32位，结果为无符号大端数

本实施例中涉及大量的符号及其数学运算，表1对实施例1中的符号和数学运算进行了总结和描述。

表1本专利使用的符号及描述

我们对实施例中提供方案的安全性进行说明。

首先给出方案设计基于的困难性假设。

1、CDH假设

给定一个q阶乘法群(循环群)G及其生成元g，CDH假设指出，给定g^a，g^b不存在多项式时间的概率算法可以计算得到g^ab。

2、RSA假设

给定一个随机生成的RSA模数n，指数r及随机数

不存在多项式时间的概率性算法能输出

使得y^r＝zmodn成立。

结论1：本发明可有效抵御离线口令猜测攻击和被动攻击。

证明：

(1)若离线猜测攻击者获得了注册阶段的

攻击者想要登录成功就必须获得y₀，而

故想得到y₀就必须得到x₀。

使用非对称密钥加密，除非拥有保存在服务端的pk_c，而密钥pk_c使用了服务器的密钥pk_s加密，所以攻击者很难获得密钥pk_c，因此攻击者也无法得到

再者，即使攻击者获得了

根据CDH假设，想要从

得到x₀也是困难的。假如给与攻击者足够的时间采取暴力破解的方式得到了x₀，此时用户已经完成多次登陆操作，要想登录成功必须获得下一次登录的x_i。显然，攻击者无法凭借得到的x₀来完成登录。

所以该方法面对离线猜测攻击和被动中间人攻击是安全的。

(2)离线猜测攻击者即使获得了登陆阶段的

也无法成功登录用户的账户。攻击者从Token_c得到了y_i-1，是无法登录成功的。因为下一次登录将需要y_i的值。再者根据前面的证明，攻击者也很难从

中获得x_i来进行下一次登录。

结论2：本发明可有效抵御主动中间人攻击。

证明：

假定攻击者能够获得第i次登录的

通过如下分析可以看出Token_c很难被伪造，这样本专利面对主动中间人攻击是安全的。第一，攻击者如果没有获得sk_c，他只能将

替换为*，显然在登陆过程解密阶段就会登陆失败。第二，即使攻击者获得了sk_c并且将

但是由于增加了校验哈希值

的操作，所以一旦发现

被替换就能发现服务器遭到了攻击。第三，无论攻击者将

伪造为

的形式或者将

伪造成*形式，都无法通过校验函数

的校验。这样就保证了攻击者既无法成功登录也无法将*替换成登录信息，从而用户在下一次登录不会出现登录失败。

结论3：本发明实现了服务器和用户的双向认证，从而可有效抵御伪服务器攻击。

证明：

在用户登陆阶段，用户向服务器发送

通过校验

来验证用户。再通过服务器发送给用户的

来验证服务器。前面已经指出攻击者无法通过主动攻击来假冒合法用户，所以服务器可以验证用户的合法性。下面说明用户端可有效校验服务器的合法性。在校验服务器的时候，服务器发送

到用户端，用户端通过回调

并使用τ_i计算哈希值

再使用sk_c解密，对比两个哈希值是否相等，相等则服务器是合法的。由于服务器的

是通过用户端发送的

中的τ_i和

来计算的，而要得到

就必须使用密钥sk_c来解密Token_c中的

否则攻击者无法伪造正确的哈希值

这样攻击者就无法通过用户端的验证。

所以，该方法可以实现安全的双向认证。

结论4：本发明能够有效抵御重放攻击。

证明：

假如攻击者能够获得用户前i次登录服务器S过程中的

信息，当攻击者重放第j(j＜＝i)次的登录信息

来进行第i+1次登录时，由于第i+1次登录需要使用y_i和

才能登陆成功，所重放攻击无法成功。

综上可知，本专利不仅能有效解决目前方案中主动中间人攻击时用户无法登录的问题，还通过提供双向认证以抵御伪服务器攻击。除此之外，本专利只使用了一次加解密操作，而现有方案在认证过程中需进行三次加解密操作，可以看出本发明提升了口令认证协议的认证效率。

本发明未详述之处，均为本领域技术人员的公知技术。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims (2)

1.一种抗中间人攻击的动态口令认证方法，其特征在于，包括：注册阶段和登录阶段；

所述注册阶段包括如下步骤：

步骤S101、用户向服务器提出注册请求，并且将账号名和口令发送给服务器，账号名为id，口令为ρ；

服务器通过公钥加密算法生成公私钥对pk_s和sk_s，然后将pk_s和sk_s发送给用户；

步骤S102、用户接收服务器发送的公钥pk_s，通过口令生成器KYO生成x₀,x₀为动态口令，同时产生一对大素数q和p，计算：

n＝q×p (1)

令

得到：

然后生成短消息M₀，在计算

并且记录注册账户时的时间t，t＝τ₀；

最后，用户生成一对非对称密钥pk_c和sk_c，并且产生一个随机数r_c，然后用户通过pk_s加密pk_c，即

再使用sk_c加密r_c和

得到

和

将

发送至服务器；

步骤S103、服务器接收用户发送的

然后判断id是否已经存在数据库中，若存在，则给出提示，该id已经注册，若不存在，则使用sk_s解密

得到

再使用pk_c解密

得到

再比较r_c和

是否相等；

若不相等，则说明pk_c被更改，则注册行为失败，断开连接；

若相等，服务器使用pk_c解密

得到

将

存入服务器的数据库中，最后服务器向用户发出注册成功的信息；

步骤S104、用户接收到注册成功的信息后，利用口令生成器KYO中的F函数，所述F函数为回调函数，计算：

F_σ(ρ)＝γ (6)

在公式(3)至公式(6)中，σ1_S,U表示KYO中F函数回调x_i的种子参数，σ2_S,U表示KYO中F函数回调sk_c的种子参数，σ3_S,U表示KYO中F函数回调M₀的种子参数，ρ表示为口令，M₀表示短消息，γ表示KYO中PW文件校验用户口令ρ的随机数，x_i为动态口令；

将登录信息(k,σ,γ)存储在PW文件中，并且将相关信息存储在文件T中，其中，σ为回调函数的种子参数；

所述相关信息为：

(S,U,k,σ1_S,U,σ2_S,U,σ3_S,U) (7)

公式(7)中，S表示服务器的标识，U表示用户的标识，k表示KYO中T文件的索引；

所述登录阶段包括如下步骤：

步骤S201、用户将配套的智能卡插入终端设备，并且在终端设备中输入id和ρ；

步骤S202、智能卡通过KYO中的F函数运算得到：

公式(8)至公式(10)中，σ1_S,U表示KYO中F函数回调x_i的种子参数，σ2_S,U表示KYO中F函数回调sk_c的种子参数，σ3_S,U表示KYO中F函数回调M_i的种子参数，ρ表示为口令；

并且计算：

然后生成x_i和随机短消息M_i，计算

并且记录此时的登录时间τ_i；

最后，使用sk_c加密

得到

计算哈希值

发送

至服务器；

步骤S203、服务器收到

判断id是否已经存在数据库中，若不存在，则认证失败，断开连接；

若存在，服务器使用pk_c，τ_i解密

得到：

公式(12)中，

表示为使用用户的公钥pk_c解密

表示字符串的异或操作，τ_i表示为登录时间；

服务器计算哈希值

然后判断

与Token_c中的哈希值是否相等，即是判断：

和

是否相等，

若不相等，则断开连接，认证失败；

若相等，则认证成功后，服务器将数据库中存储的

替换为

此时服务器中的Token_s更新为

最后服务器计算哈希值

再用pk_c加密

得到

将

发送给用户。

2.根据权利要求1所述的一种抗中间人攻击的动态口令认证方法，其特征在于，所述F函数选用SHA-256哈希函数，表达式为：

F_σ(ρ)＝truncate₃₂(SHA-256(σ||ρ))mod2^l (13)

公式(13)中，||是字符连接操作，l为大于零的正整数，σ为回调函数的种子参数，truncate₃₂操作符将结果从左边截断到前32位，结果为无符号大端数。

Images