CN113051547B - 多服务器架构下的双向认证与密钥协商方法 - Google Patents
多服务器架构下的双向认证与密钥协商方法 Download PDFInfo
- Publication number
- CN113051547B CN113051547B CN202110315021.2A CN202110315021A CN113051547B CN 113051547 B CN113051547 B CN 113051547B CN 202110315021 A CN202110315021 A CN 202110315021A CN 113051547 B CN113051547 B CN 113051547B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- big data
- server
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种多服务器架构下的双向认证与密钥协商协议。该协议完成了多服务架构下用户与大数据服务器之间的双向认证,并在两类实体之间生成了会话密钥,旨在验证参与双方身份的真实性和实现用户的匿名性认证,实现合法用户在网络上的安全访问,防止非授权用户进入网络获取敏感数据,保障后期数据在公开信道上的机密传输。其技术要点是:多服务器架构下的双向认证与密钥协商协议,使用生物密钥验证用户的身份,使用公钥加密隐匿用户身份,并利用Diffie–Hellman(D‑H)密钥交换技术生成认证数据是双方完整匿名认证并生成会话密钥。该协议在保证匿名性的基础上,简化了认证和密钥协商过程,降低了认证和密钥协商过程中的通信成本和计算成本,达到了用户一次认证多次访问的效果,为合法用户访问网络提供了安全保障。该协议适用于公开信道下的网络数据安全访问与传输。
Description
技术领域
本发明属于多服务器架构下的信息安全领域,涉及D-H密钥交换技术、双线性映射技术、哈希函数与规约安全性分析方法等技术,针对多服务器架构下用户访问互联网时存在的身份合法性问题,以及敏感数据在公开信道上传输时存在的安全隐患,提出了多服务器架构下的双向认证与密钥协商方法。方法中的用户和大数据服务器基于D-H密钥交换技术完成双向匿名认证并生成会话密钥,旨在实现合法用户对网络的安全访问,保障数据在公开信道上的机密传输。
背景技术
Diffie-Hellman(D-H)密钥交换技术是Whitefield Diffie和Martin Hellman在1976年公布的一种密钥交换算法。这种密钥交换技术使两个用户安全的交换一个密钥。D-H密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数却很困难。对于大的素数,计算出离散对数几乎是不可能的。
双线性映射是由两个向量空间上的元素,生成第三个向量空间上一个元素之函数,并且该函数对每个参数都是线性的。双线性映射具有双线性、可计算性和非退化性。
哈希函数是一种将任意长度比特串映射到固定长度的不可逆运算,广泛应用在身份认证与密钥协商中。哈希函数的输出值称为哈希值,其长度取决于所采用的算法,通常在128~256bits。
发明内容
本发明提出一种多服务器架构下的双向认证与密钥协商方法,使用生物特征密钥验证用户身份,确保用户设备的物理安全性,使用公钥加密隐匿用户身份,实现用户匿名性和不可追踪性,完成用户和大数据服务器的双向匿名认证。利用D-H密钥交换技术,实现了大数据服务器和用户之间的会话密钥生成,为用户和大数据服务器加密通信做准备。该方法包含五个阶段,分别为系统初始化、用户注册、大数据服务器注册、基于D-H的双向认证方法、基于D-H的密钥协商方法;在系统初始化阶段,注册服务器生成初始化的参数,生成系统主密钥和系统公钥;在用户注册阶段,用户第一次进入系统后,需要向注册服务器进行注册,拿到与身份对应的私钥和为双向认证和密钥协商阶段生成初始化参数;在大数据服务器注册阶段,大数据服务器加入系统后,需要向注册服务器进行注册,拿到与身份对应的私钥为双向认证和密钥协商阶段生成初始化参数;在基于D-H的双向认证方法阶段,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证,验证参与双方身份的真实性;在基于D-H的密钥协商方法阶段,双方生成会话密钥,实现了多服务器架构下用户与大数据服务器之间的密钥协商,保障数据在公开信道上的机密传输;具体过程如下:
(1)系统初始化
在系统初始化阶段,注册服务器为注册阶段、双向认证和密钥协商阶段生成初始化的参数。注册服务器选择双线性映射群和生成元,生成系统主密钥和系统公钥;选择密码学哈希函数用以加密,同时注册服务器选择模糊提取器,能够根据用户的生物特征生成生物密钥,最后,注册服务器公开系统内参数列表。
(2)用户注册
用户第一次进入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数。用户Ui使用智能卡将自己的身份信息通过安全信道发送给注册服务器。注册服务器收到后,计算用户Ui的私钥并发送给用户Ui,Ui收到后生成认证参数存储于智能卡中。
(3)大数据服务器注册
大数据服务器加入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数。大数据服务器Nj计算初始化参数通过安全信道发送给注册服务器,注册服务器收到后计算大数据服务器Nj的私钥,通过安全信道发送给大数据服务器Nj,Nj收到后在本地存储初始化参数。
(4)基于D-H的双向认证方法
在该阶段,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器再生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证。具体过程如下:
(4.1)设备验证用户Ui合法性
(4.2)用户Ui生成认证数据
(4.3)大数据服务器Nj认证用户Ui的合法性
(4.4)大数据服务器Nj生成认证数据
(4.5)用户Ui认证大数据服务器Nj的合法性
用户Ui收到认证数据后,对大数据服务器Nj的合法性进行验证。
(5)基于D-H的密钥协商方法
在该阶段,实现了多服务器架构下用户与大数据服务器之间的密钥协商,基于D-H的双向认证完成后,方可执行此方法进行密钥协商。
(5.2)用户Ui向大数据服务器Nj发出密钥协商请求
附图说明
图1用户注册阶段
图2大数据服务器注册阶段
图3基于D-H的双向认证阶段
图4基于D-H的密钥协商阶段
图5五种协议计算开销对比图
图6五种协议通信开销对比图
具体实施方式
(1)系统初始化
在系统初始化阶段,注册服务器为注册阶段、双向认证和密钥协商阶段生成初始化的参数。下表为系统内的符号以及符号意义。
表1符号及其意义
注册服务器运行系统参数生成函数Gen(1n),系统参数生成函数的输入为n∈Z+,输出参数以及过程如下:
(1.1)选择双线性映射群
(1.2)生成系统主密钥和系统公钥
(1.3)选择密码学哈希函数
(1.4)选择模糊提取器
模糊提取器f(·)是一种允许将生物识别数据用作标准的密码输入的方法,注册服务器计算得到其中参数是用户Ui的生物密钥、是模糊提取生成函数的公共重新生成参数、是用户Ui输入的生物信息(指纹、虹膜、面部信息等)。f-1(·)是利用生物信息恢复和的确定性重新生成函数,即:
(1.5)公开系统内参数列表
(2)用户注册
用户第一次进入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数,具体过程如下:
(2.1)用户Ui将身份信息发送给注册服务器
(2.2)注册服务器计算用户Ui的私钥并发送给用户
②注册服务器随机选择一个rr,rr∈{0,1}n。
(2.3)用户Ui生成认证参数存储于智能卡中
(3)大数据服务器注册
大数据服务器加入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数,具体过程如下:
(3.1)大数据服务器Nj计算初始化参数
(3.3)注册服务器计算大数据服务器Nj的私钥
(3.4)大数据服务器Nj在本地存储初始化参数
(4)基于D-H的双向认证方法
在本节中,我们介绍了基于D-H的双向认证方法,基于系统内参数列表,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器基于系统内参数列表生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证。具体过程如下:
(4.1)设备验证用户Ui合法性
(4.2)用户Ui生成认证数据
用户Ui生成认证参数供大数据服务器Nj完成对用户Ui的认证。
(4.3)大数据服务器Nj认证用户Ui的合法性
(4.4)大数据服务器Nj生成认证数据
大数据服务器Nj生成认证数据供用户完成对大数据服务器的认证。
(4.5)用户Ui认证大数据服务器Nj的合法性
用户Ui对大数据服务器Nj的合法性进行验证。
(5)基于D-H的密钥协商方法
在本节中,我们设计了基于D-H的密钥协商方法,该方法实现了多服务器架构下用户与大数据服务器之间的密钥协商,基于D-H的双向认证完成后,方可执行此方法进行密钥协商。具体过程如下:
(5.2)用户Ui向大数据服务器Nj发出密钥协商请求
本发明有效性验证
为了验证多服务器架构下的双向认证与密钥协商方法的有效性,我们实现了多服务架构下的用户注册、大数据服务器注册、基于D-H的双向认证和基于D-H的密钥协商阶段,如图1、2、3和4所示。我们对比分析了双向认证与密钥协商方法协议与其它四种认证协议在计算和通信上的开销。图5为我们的双向认证与密钥协商协议与其它四种协议在计算开销上的对比结果。如图5所示Kumari等人的协议仅使用了哈希运算和模糊提取算法,具有较低的计算开销;Feng等人、He-Wang和Shen等人的协议因使用了大量椭圆曲线点乘运算而具有较高的计算开销;我们的方法虽然使用了椭圆曲线点乘运算,但使用相对较少,因而计算开销相对较小。图6为多服务器架构下的双向认证与密钥协商方法协议与其它四种认证与密钥协商协议在通信开销上的对比结果。如图6所示,我们的认证与密钥协商方法的通信开销低于Kumari等人、Feng等人和He-Wang所提协议,与Shen等人所提协议相比,虽然我们的方法的通信开销略高,但我们的方法具有更低的计算开销。综合来说,方法在平衡计算和通信开销方面性能较为良好,适合多服务器架构下的双向认证与密钥协商。
Claims (1)
1.一种多服务器架构下的双向认证与密钥协商方法,使用生物特征密钥验证用户身份,确保用户设备的物理安全性,使用公钥加密隐匿用户身份,实现用户匿名性和不可追踪性,完成用户和大数据服务器的双向匿名认证;利用D-H密钥交换技术,实现了大数据服务器和用户之间的会话密钥生成,为用户和大数据服务器加密通信做准备;该方法包含五个阶段,分别为系统初始化、用户注册、大数据服务器注册、基于D-H的双向认证、基于D-H的密钥协商;在系统初始化阶段,注册服务器生成初始化的参数,用于生成系统主密钥和系统公钥;在用户注册阶段,用户第一次进入系统后,需要向注册服务器进行注册,拿到与身份对应的私钥和为双向认证和密钥协商阶段生成初始化参数;在大数据服务器注册阶段,大数据服务器加入系统后,需要向注册服务器进行注册,拿到与身份对应的私钥为双向认证和密钥协商阶段生成初始化参数;在基于D-H的双向认证阶段,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证,验证参与双方身份的真实性;在基于D-H的密钥协商阶段,双方生成会话密钥,实现了多服务器架构下用户与大数据服务器之间的密钥协商,保障数据在公开信道上的机密传输;具体过程如下:
(1)系统初始化
在系统初始化阶段,注册服务器为注册阶段、双向认证和密钥协商阶段生成初始化的参数;注册服务器选择双线性映射群和生成元,生成系统主密钥和系统公钥;选择密码学哈希函数用以加密,同时注册服务器选择模糊提取器,能够根据用户的生物特征生成生物密钥,最后,注册服务器公开系统内参数列表;
(2)用户注册
用户第一次进入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数;用户Ui使用智能卡将自己的身份信息通过安全信道发送给注册服务器;注册服务器收到后,计算用户Ui的私钥并发送给用户Ui,Ui收到后生成认证参数存储于智能卡中;具体过程如下:
(2.1)用户Ui将身份信息发送给注册服务器
(2.3)用户Ui使用基于自己的生物信息和模糊提取器计算得到的生物密钥生成认证参数并存储于智能卡中;
(3)大数据服务器注册
大数据服务器加入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数;大数据服务器Nj计算初始化参数通过安全信道发送给注册服务器,注册服务器收到后计算大数据服务器Nj的私钥,通过安全信道发送给大数据服务器Nj,Nj收到后在本地存储初始化参数;具体过程如下:
(3.1)大数据服务器计算初始化参数
(3.4)大数据服务器Nj在本地存储初始化参数
(4)基于D-H的双向认证方法
在该阶段,基于系统内参数列表,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器基于系统内参数列表再生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证;具体过程如下:
(4.1)设备验证用户Ui合法性
(4.2)用户Ui生成认证数据
(4.3)大数据服务器Nj认证用户Ui的合法性
(4.4)大数据服务器Nj生成认证数据
(4.5)用户Ui认证大数据服务器Nj的合法性
用户Ui收到认证数据后,对大数据服务器Nj的合法性进行验证;
(5)基于D-H的密钥协商方法
在该阶段,实现了多服务器架构下用户与大数据服务器之间的密钥协商,基于D-H的双向认证完成后,方可执行此方法进行密钥协商;
(5.2)用户Ui向大数据服务器Nj发出密钥协商请求
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110315021.2A CN113051547B (zh) | 2021-03-24 | 2021-03-24 | 多服务器架构下的双向认证与密钥协商方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110315021.2A CN113051547B (zh) | 2021-03-24 | 2021-03-24 | 多服务器架构下的双向认证与密钥协商方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113051547A CN113051547A (zh) | 2021-06-29 |
CN113051547B true CN113051547B (zh) | 2022-06-21 |
Family
ID=76514959
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110315021.2A Active CN113051547B (zh) | 2021-03-24 | 2021-03-24 | 多服务器架构下的双向认证与密钥协商方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113051547B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113486324B (zh) * | 2021-07-23 | 2023-07-21 | 公安部第三研究所 | 基于sm2算法实现三因素匿名身份认证的方法 |
CN116647415B (zh) * | 2023-07-27 | 2023-09-22 | 安腾网信(北京)科技有限公司 | 一种终端双向认证方法、装置及跨网跨域数据交换系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105516201A (zh) * | 2016-01-20 | 2016-04-20 | 陕西师范大学 | 一种多服务器环境下轻量级匿名认证与密钥协商方法 |
CN109327313A (zh) * | 2018-11-07 | 2019-02-12 | 西安电子科技大学 | 一种具有隐私保护特性的双向身份认证方法、服务器 |
-
2021
- 2021-03-24 CN CN202110315021.2A patent/CN113051547B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105516201A (zh) * | 2016-01-20 | 2016-04-20 | 陕西师范大学 | 一种多服务器环境下轻量级匿名认证与密钥协商方法 |
CN109327313A (zh) * | 2018-11-07 | 2019-02-12 | 西安电子科技大学 | 一种具有隐私保护特性的双向身份认证方法、服务器 |
Non-Patent Citations (1)
Title |
---|
Lightweight Anonymous Communication;Yanli Wang.etc;《International Conference on Cloud Computing》;20210213;第103-108页 * |
Also Published As
Publication number | Publication date |
---|---|
CN113051547A (zh) | 2021-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111818039B (zh) | 物联网中基于puf的三因素匿名用户认证协议方法 | |
US7716484B1 (en) | System and method for increasing the security of encrypted secrets and authentication | |
CN107342859B (zh) | 一种匿名认证方法及其应用 | |
CN103124269B (zh) | 云环境下基于动态口令与生物特征的双向身份认证方法 | |
US8930704B2 (en) | Digital signature method and system | |
EP1383265A1 (en) | Method for generating proxy signatures | |
CN111277412B (zh) | 基于区块链密钥分发的数据安全共享系统及方法 | |
CN106130716A (zh) | 基于认证信息的密钥交换系统及方法 | |
Chakrabarti et al. | Password-based authentication: Preventing dictionary attacks | |
CN110380846B (zh) | 一种电子病历患者签名方法及系统 | |
CN113051547B (zh) | 多服务器架构下的双向认证与密钥协商方法 | |
US20040236942A1 (en) | System and method for authenticating content user | |
CN113055394A (zh) | 一种适用于v2g网络的多服务双因子认证方法及系统 | |
Yongliang et al. | Elliptic curve cryptography based wireless authentication protocol | |
CN110784305B (zh) | 基于不经意伪随机函数和签密的单点登录认证方法 | |
CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
Mohammadi et al. | ECC-based biometric signature: A new approach in electronic banking security | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
KR100456624B1 (ko) | 이동 통신망에서의 인증 및 키 합의 방법 | |
CN111062029A (zh) | 一种基于标识密码的多因子认证协议 | |
CN113545004A (zh) | 具有减少攻击面的认证系统 | |
KR20080005344A (ko) | 인증서버가 사용자단말기를 인증하는 시스템 | |
CN115955320A (zh) | 一种视频会议身份认证方法 | |
Byun | A generic multifactor authenticated key exchange with physical unclonable function | |
CN115632797A (zh) | 一种基于零知识证明的安全身份验证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20221121 Address after: 311100 Room 1005-32, 10th Floor, Building H, Haichuang Park, CEC Haikang Group Co., Ltd., No. 198, Aicheng Street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province Patentee after: Hangzhou Houquantum Cryptography Technology Co.,Ltd. Address before: 273165 Jingxuan West Road, Qufu City, Jining, Shandong Province, No. 57 Patentee before: QUFU NORMAL University |