CN113051547B - 多服务器架构下的双向认证与密钥协商方法 - Google Patents

多服务器架构下的双向认证与密钥协商方法 Download PDF

Info

Publication number
CN113051547B
CN113051547B CN202110315021.2A CN202110315021A CN113051547B CN 113051547 B CN113051547 B CN 113051547B CN 202110315021 A CN202110315021 A CN 202110315021A CN 113051547 B CN113051547 B CN 113051547B
Authority
CN
China
Prior art keywords
user
authentication
big data
server
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110315021.2A
Other languages
English (en)
Other versions
CN113051547A (zh
Inventor
李凤银
王艳丽
黄宝贵
王颖
崔洋
于思琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Houquantum Cryptography Technology Co.,Ltd.
Original Assignee
Qufu Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qufu Normal University filed Critical Qufu Normal University
Priority to CN202110315021.2A priority Critical patent/CN113051547B/zh
Publication of CN113051547A publication Critical patent/CN113051547A/zh
Application granted granted Critical
Publication of CN113051547B publication Critical patent/CN113051547B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种多服务器架构下的双向认证与密钥协商协议。该协议完成了多服务架构下用户与大数据服务器之间的双向认证,并在两类实体之间生成了会话密钥,旨在验证参与双方身份的真实性和实现用户的匿名性认证,实现合法用户在网络上的安全访问,防止非授权用户进入网络获取敏感数据,保障后期数据在公开信道上的机密传输。其技术要点是:多服务器架构下的双向认证与密钥协商协议,使用生物密钥验证用户的身份,使用公钥加密隐匿用户身份,并利用Diffie–Hellman(D‑H)密钥交换技术生成认证数据是双方完整匿名认证并生成会话密钥。该协议在保证匿名性的基础上,简化了认证和密钥协商过程,降低了认证和密钥协商过程中的通信成本和计算成本,达到了用户一次认证多次访问的效果,为合法用户访问网络提供了安全保障。该协议适用于公开信道下的网络数据安全访问与传输。

Description

多服务器架构下的双向认证与密钥协商方法
技术领域
本发明属于多服务器架构下的信息安全领域,涉及D-H密钥交换技术、双线性映射技术、哈希函数与规约安全性分析方法等技术,针对多服务器架构下用户访问互联网时存在的身份合法性问题,以及敏感数据在公开信道上传输时存在的安全隐患,提出了多服务器架构下的双向认证与密钥协商方法。方法中的用户和大数据服务器基于D-H密钥交换技术完成双向匿名认证并生成会话密钥,旨在实现合法用户对网络的安全访问,保障数据在公开信道上的机密传输。
背景技术
Diffie-Hellman(D-H)密钥交换技术是Whitefield Diffie和Martin Hellman在1976年公布的一种密钥交换算法。这种密钥交换技术使两个用户安全的交换一个密钥。D-H密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数却很困难。对于大的素数,计算出离散对数几乎是不可能的。
双线性映射是由两个向量空间上的元素,生成第三个向量空间上一个元素之函数,并且该函数对每个参数都是线性的。双线性映射具有双线性、可计算性和非退化性。
哈希函数是一种将任意长度比特串映射到固定长度的不可逆运算,广泛应用在身份认证与密钥协商中。哈希函数的输出值称为哈希值,其长度取决于所采用的算法,通常在128~256bits。
发明内容
本发明提出一种多服务器架构下的双向认证与密钥协商方法,使用生物特征密钥验证用户身份,确保用户设备的物理安全性,使用公钥加密隐匿用户身份,实现用户匿名性和不可追踪性,完成用户和大数据服务器的双向匿名认证。利用D-H密钥交换技术,实现了大数据服务器和用户之间的会话密钥生成,为用户和大数据服务器加密通信做准备。该方法包含五个阶段,分别为系统初始化、用户注册、大数据服务器注册、基于D-H的双向认证方法、基于D-H的密钥协商方法;在系统初始化阶段,注册服务器生成初始化的参数,生成系统主密钥和系统公钥;在用户注册阶段,用户第一次进入系统后,需要向注册服务器进行注册,拿到与身份对应的私钥和为双向认证和密钥协商阶段生成初始化参数;在大数据服务器注册阶段,大数据服务器加入系统后,需要向注册服务器进行注册,拿到与身份对应的私钥为双向认证和密钥协商阶段生成初始化参数;在基于D-H的双向认证方法阶段,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证,验证参与双方身份的真实性;在基于D-H的密钥协商方法阶段,双方生成会话密钥,实现了多服务器架构下用户与大数据服务器之间的密钥协商,保障数据在公开信道上的机密传输;具体过程如下:
(1)系统初始化
在系统初始化阶段,注册服务器为注册阶段、双向认证和密钥协商阶段生成初始化的参数。注册服务器选择双线性映射群和生成元,生成系统主密钥和系统公钥;选择密码学哈希函数用以加密,同时注册服务器选择模糊提取器,能够根据用户的生物特征生成生物密钥,最后,注册服务器公开系统内参数列表。
(2)用户注册
用户第一次进入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数。用户Ui使用智能卡将自己的身份信息
Figure GDA0003555118120000021
通过安全信道发送给注册服务器。注册服务器收到后,计算用户Ui的私钥并发送给用户Ui,Ui收到后生成认证参数存储于智能卡中。
(3)大数据服务器注册
大数据服务器加入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数。大数据服务器Nj计算初始化参数通过安全信道发送给注册服务器,注册服务器收到后计算大数据服务器Nj的私钥,通过安全信道发送给大数据服务器Nj,Nj收到后在本地存储初始化参数。
(4)基于D-H的双向认证方法
在该阶段,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器再生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证。具体过程如下:
(4.1)设备验证用户Ui合法性
设备验证用户Ui输入的生物信息
Figure GDA0003555118120000022
身份信息
Figure GDA0003555118120000023
和密码
Figure GDA0003555118120000024
是否合法,如果用户通过验证,那么设备与用户Ui的智能卡认证完成,否则整个认证过程停止。
(4.2)用户Ui生成认证数据
用户Ui生成认证参数
Figure GDA0003555118120000025
通过公开信道发送给大数据服务器Nj使得Nj完成对用户Ui的认证。
(4.3)大数据服务器Nj认证用户Ui的合法性
大数据服务器Nj使用自己的私钥
Figure GDA0003555118120000026
对身份密文进行解密,根据认证参数验证用户Ui的合法性。
(4.4)大数据服务器Nj生成认证数据
大数据服务器Nj认证用户Ui的合法性通过后,生成认证数据
Figure GDA0003555118120000031
供用户完成对大数据服务器的认证。
(4.5)用户Ui认证大数据服务器Nj的合法性
用户Ui收到认证数据后,对大数据服务器Nj的合法性进行验证。
(5)基于D-H的密钥协商方法
在该阶段,实现了多服务器架构下用户与大数据服务器之间的密钥协商,基于D-H的双向认证完成后,方可执行此方法进行密钥协商。
(5.1)用户Ui计算会话密钥
Figure GDA0003555118120000032
用户Ui使用认证中选取的随机数
Figure GDA0003555118120000033
计算会话密钥
Figure GDA0003555118120000034
(5.2)用户Ui向大数据服务器Nj发出密钥协商请求
用户Ui使用认证过程中产生的参数
Figure GDA0003555118120000035
向大数据服务器Nj发出密钥协商请求。
(5.3)大数据服务器Nj生成会话密钥
Figure GDA0003555118120000036
大数据服务器Nj收到
Figure GDA0003555118120000037
后,使用自己的私钥
Figure GDA0003555118120000038
进行解密,同时大数据服务器Nj使用大数据服务器注册过程中选取的随机数
Figure GDA0003555118120000039
计算会话密钥
Figure GDA00035551181200000310
此时
Figure GDA00035551181200000311
作为双方通信的会话密钥。
附图说明
图1用户注册阶段
图2大数据服务器注册阶段
图3基于D-H的双向认证阶段
图4基于D-H的密钥协商阶段
图5五种协议计算开销对比图
图6五种协议通信开销对比图
具体实施方式
(1)系统初始化
在系统初始化阶段,注册服务器为注册阶段、双向认证和密钥协商阶段生成初始化的参数。下表为系统内的符号以及符号意义。
表1符号及其意义
Figure GDA0003555118120000041
Figure GDA0003555118120000051
注册服务器运行系统参数生成函数Gen(1n),系统参数生成函数的输入为n∈Z+,输出参数以及过程如下:
(1.1)选择双线性映射群
注册服务器选择双线性映射群G1和G2,两个群的阶皆为q,P是G1的生成元并且P∈G1
Figure GDA0003555118120000052
是一个双线性映射运算。
(1.2)生成系统主密钥和系统公钥
注册服务器生成随机数
Figure GDA0003555118120000053
作为系统主密钥,并计算系统公钥Ppub=sP∈G1
(1.3)选择密码学哈希函数
注册服务器选择密码学哈希函数
Figure GDA0003555118120000054
H3:{0,1}*→G1,H4:{0,1}*→{0,1}n
(1.4)选择模糊提取器
模糊提取器f(·)是一种允许将生物识别数据用作标准的密码输入的方法,注册服务器计算
Figure GDA0003555118120000055
得到
Figure GDA0003555118120000056
其中参数
Figure GDA0003555118120000057
是用户Ui的生物密钥、
Figure GDA0003555118120000058
是模糊提取生成函数的公共重新生成参数、
Figure GDA0003555118120000059
是用户Ui输入的生物信息(指纹、虹膜、面部信息等)。f-1(·)是利用生物信息
Figure GDA00035551181200000510
恢复
Figure GDA00035551181200000511
Figure GDA00035551181200000512
的确定性重新生成函数,即:
Figure GDA00035551181200000513
(1.5)公开系统内参数列表
注册服务器公开系统内参数列表
Figure GDA00035551181200000514
(2)用户注册
用户第一次进入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数,具体过程如下:
(2.1)用户Ui将身份信息发送给注册服务器
用户Ui使用智能卡将自己的身份信息
Figure GDA0003555118120000061
通过安全信道发送给注册服务器。
(2.2)注册服务器计算用户Ui的私钥并发送给用户
①注册服务器计算用户Ui的私钥
Figure GDA0003555118120000062
其中
Figure GDA0003555118120000063
是用户Ui的私钥过期时间。
②注册服务器随机选择一个rr,rr∈{0,1}n
③注册服务器通过安全信道将
Figure GDA0003555118120000064
发送给用户Ui
(2.3)用户Ui生成认证参数存储于智能卡中
①用户Ui收到
Figure GDA0003555118120000065
后,使用自己的生物信息和模糊提取器f(·)来得到生物密钥
Figure GDA0003555118120000066
公共重新生成参数
Figure GDA0003555118120000067
即:
Figure GDA0003555118120000068
②用户Ui使用自己的密码
Figure GDA0003555118120000069
和生物密钥
Figure GDA00035551181200000610
生成认证参数供设备完成对用户Ui的认证。
③用户Ui计算
Figure GDA00035551181200000611
Figure GDA00035551181200000612
④最后用户Ui将参数
Figure GDA00035551181200000613
存储于智能卡中。
(3)大数据服务器注册
大数据服务器加入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数,具体过程如下:
(3.1)大数据服务器Nj计算初始化参数
①大数据服务器Nj生成随机数
Figure GDA00035551181200000614
计算
Figure GDA00035551181200000615
②Nj将他的身份信息
Figure GDA00035551181200000616
通过安全信道发送给注册服务器。
(3.2)注册服务器公开参数
Figure GDA00035551181200000617
注册服务器收到
Figure GDA00035551181200000618
后,公开系统内参数
Figure GDA00035551181200000619
(3.3)注册服务器计算大数据服务器Nj的私钥
注册服务器计算大数据服务器Nj的私钥
Figure GDA00035551181200000620
通过安全信道发送给大数据服务器Nj
(3.4)大数据服务器Nj在本地存储初始化参数
大数据服务器Nj
Figure GDA0003555118120000071
存放在本地。
(4)基于D-H的双向认证方法
在本节中,我们介绍了基于D-H的双向认证方法,基于系统内参数列表,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器基于系统内参数列表生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证。具体过程如下:
(4.1)设备验证用户Ui合法性
用户Ui输入自己的生物信息
Figure GDA0003555118120000072
身份信息
Figure GDA0003555118120000073
和密码
Figure GDA0003555118120000074
设备验证用户Ui的合法性。
①用户Ui将智能卡插入设备,并输入生物信息
Figure GDA0003555118120000075
身份信息
Figure GDA0003555118120000076
和密码
Figure GDA0003555118120000077
到设备(用户使用设备连接到互联网,如:移动手机,电脑等)。
②设备利用智能卡中的公共重新生成参数
Figure GDA0003555118120000078
和随机数rr计算出用户Ui的生物密钥
Figure GDA0003555118120000079
和认证参数
Figure GDA00035551181200000710
③设备通过判断等式
Figure GDA00035551181200000711
是否成立来验证输入的生物信息
Figure GDA00035551181200000712
和密码
Figure GDA00035551181200000713
是否合法,如果等式成立,那么设备与用户Ui的智能卡认证完成,否则认证停止。
(4.2)用户Ui生成认证数据
用户Ui生成认证参数供大数据服务器Nj完成对用户Ui的认证。
①设备使用存储于智能卡中的
Figure GDA00035551181200000714
计算得到用户的私钥
Figure GDA00035551181200000715
②用户Ui随机选择
Figure GDA00035551181200000716
计算
Figure GDA00035551181200000717
③用户Ui使用系统公钥Ppub计算与系统内所有大数据服务器的身份密文
Figure GDA00035551181200000718
Figure GDA00035551181200000719
Figure GDA0003555118120000081
④用户Ui使用用户身份
Figure GDA0003555118120000082
私钥过期时间
Figure GDA0003555118120000083
和私钥
Figure GDA0003555118120000084
计算
Figure GDA0003555118120000085
Figure GDA0003555118120000086
⑤最后用户Ui
Figure GDA0003555118120000087
通过公开信道发送给大数据服务器Nj
(4.3)大数据服务器Nj认证用户Ui的合法性
大数据服务器Nj使用自己的私钥
Figure GDA0003555118120000088
对身份密文进行解密,根据认证参数验证用户Ui的合法性。
①大数据服务器Nj接收到
Figure GDA0003555118120000089
后,使用自己的私钥
Figure GDA00035551181200000810
计算
Figure GDA00035551181200000811
来取得
Figure GDA00035551181200000812
②大数据服务器Nj计算
Figure GDA00035551181200000813
获得用户Ui的身份
Figure GDA00035551181200000814
和私钥过期时间
Figure GDA00035551181200000815
③大数据服务器Nj使用
Figure GDA00035551181200000816
Figure GDA00035551181200000817
计算得到
Figure GDA00035551181200000818
④大数据服务器Nj判断等式
Figure GDA00035551181200000819
是否成立,若成立,则意味着用户Ui成功通过认证,否则认证终止。
(4.4)大数据服务器Nj生成认证数据
大数据服务器Nj生成认证数据供用户完成对大数据服务器的认证。
大数据服务器Nj计算
Figure GDA00035551181200000820
并将
Figure GDA00035551181200000821
通过公共信道发送给用户Ui
(4.5)用户Ui认证大数据服务器Nj的合法性
用户Ui对大数据服务器Nj的合法性进行验证。
①用户Ui收到
Figure GDA00035551181200000822
后,计算
Figure GDA00035551181200000823
②用户Ui判断等式
Figure GDA00035551181200000824
是否成立,若成立则大数据服务器Nj通过认证。
(5)基于D-H的密钥协商方法
在本节中,我们设计了基于D-H的密钥协商方法,该方法实现了多服务器架构下用户与大数据服务器之间的密钥协商,基于D-H的双向认证完成后,方可执行此方法进行密钥协商。具体过程如下:
(5.1)用户Ui计算会话密钥
Figure GDA0003555118120000091
用户Ui使用认证中选取的随机数
Figure GDA0003555118120000092
计算
Figure GDA0003555118120000093
(5.2)用户Ui向大数据服务器Nj发出密钥协商请求
用户Ui使用认证过程中产生的
Figure GDA0003555118120000094
Figure GDA0003555118120000095
向大数据服务器Nj发出密钥协商请求,通过公开信道发送
Figure GDA0003555118120000096
到大数据服务器Nj
(5.3)大数据服务器Nj生成会话密钥
Figure GDA0003555118120000097
①大数据服务器Nj收到
Figure GDA0003555118120000098
后,使用自己的私钥
Figure GDA0003555118120000099
计算
Figure GDA00035551181200000910
来取得
Figure GDA00035551181200000911
②大数据服务器Nj计算
Figure GDA00035551181200000912
获得用户Ui的身份
Figure GDA00035551181200000913
和私钥过期时间
Figure GDA00035551181200000914
③大数据服务器Nj使用大数据服务器注册过程中选取的随机数
Figure GDA00035551181200000915
Figure GDA00035551181200000916
计算会话密钥
Figure GDA00035551181200000917
此时
Figure GDA00035551181200000918
作为双方通信的会话密钥。
本发明有效性验证
为了验证多服务器架构下的双向认证与密钥协商方法的有效性,我们实现了多服务架构下的用户注册、大数据服务器注册、基于D-H的双向认证和基于D-H的密钥协商阶段,如图1、2、3和4所示。我们对比分析了双向认证与密钥协商方法协议与其它四种认证协议在计算和通信上的开销。图5为我们的双向认证与密钥协商协议与其它四种协议在计算开销上的对比结果。如图5所示Kumari等人的协议仅使用了哈希运算和模糊提取算法,具有较低的计算开销;Feng等人、He-Wang和Shen等人的协议因使用了大量椭圆曲线点乘运算而具有较高的计算开销;我们的方法虽然使用了椭圆曲线点乘运算,但使用相对较少,因而计算开销相对较小。图6为多服务器架构下的双向认证与密钥协商方法协议与其它四种认证与密钥协商协议在通信开销上的对比结果。如图6所示,我们的认证与密钥协商方法的通信开销低于Kumari等人、Feng等人和He-Wang所提协议,与Shen等人所提协议相比,虽然我们的方法的通信开销略高,但我们的方法具有更低的计算开销。综合来说,方法在平衡计算和通信开销方面性能较为良好,适合多服务器架构下的双向认证与密钥协商。

Claims (1)

1.一种多服务器架构下的双向认证与密钥协商方法,使用生物特征密钥验证用户身份,确保用户设备的物理安全性,使用公钥加密隐匿用户身份,实现用户匿名性和不可追踪性,完成用户和大数据服务器的双向匿名认证;利用D-H密钥交换技术,实现了大数据服务器和用户之间的会话密钥生成,为用户和大数据服务器加密通信做准备;该方法包含五个阶段,分别为系统初始化、用户注册、大数据服务器注册、基于D-H的双向认证、基于D-H的密钥协商;在系统初始化阶段,注册服务器生成初始化的参数,用于生成系统主密钥和系统公钥;在用户注册阶段,用户第一次进入系统后,需要向注册服务器进行注册,拿到与身份对应的私钥和为双向认证和密钥协商阶段生成初始化参数;在大数据服务器注册阶段,大数据服务器加入系统后,需要向注册服务器进行注册,拿到与身份对应的私钥为双向认证和密钥协商阶段生成初始化参数;在基于D-H的双向认证阶段,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证,验证参与双方身份的真实性;在基于D-H的密钥协商阶段,双方生成会话密钥,实现了多服务器架构下用户与大数据服务器之间的密钥协商,保障数据在公开信道上的机密传输;具体过程如下:
(1)系统初始化
在系统初始化阶段,注册服务器为注册阶段、双向认证和密钥协商阶段生成初始化的参数;注册服务器选择双线性映射群和生成元,生成系统主密钥和系统公钥;选择密码学哈希函数用以加密,同时注册服务器选择模糊提取器,能够根据用户的生物特征生成生物密钥,最后,注册服务器公开系统内参数列表;
(2)用户注册
用户第一次进入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数;用户Ui使用智能卡将自己的身份信息
Figure FDA0003604514070000011
通过安全信道发送给注册服务器;注册服务器收到后,计算用户Ui的私钥并发送给用户Ui,Ui收到后生成认证参数存储于智能卡中;具体过程如下:
(2.1)用户Ui将身份信息发送给注册服务器
用户Ui使用智能卡将自己的身份信息
Figure FDA0003604514070000012
通过安全信道发送给注册服务器;
(2.2)注册服务器利用系统主密钥
Figure FDA0003604514070000013
计算用户Ui的私钥并发送给用户;
(2.3)用户Ui使用基于自己的生物信息和模糊提取器计算得到的生物密钥生成认证参数并存储于智能卡中;
(3)大数据服务器注册
大数据服务器加入系统后,需要向注册服务器进行注册,为双向认证和密钥协商阶段生成初始化参数;大数据服务器Nj计算初始化参数通过安全信道发送给注册服务器,注册服务器收到后计算大数据服务器Nj的私钥,通过安全信道发送给大数据服务器Nj,Nj收到后在本地存储初始化参数;具体过程如下:
(3.1)大数据服务器计算初始化参数
(3.2)注册服务器公开参数
Figure FDA0003604514070000021
(3.3)注册服务器用系统主密钥
Figure FDA0003604514070000022
计算大数据服务器Nj的私钥
(3.4)大数据服务器Nj在本地存储初始化参数
(4)基于D-H的双向认证方法
在该阶段,基于系统内参数列表,用户生成身份密文和认证数据供大数据服务器认证,认证通过后,大数据服务器基于系统内参数列表再生成认证数据让用户认证,此过程实现了多服务器架构下大数据服务器与用户的双向匿名认证;具体过程如下:
(4.1)设备验证用户Ui合法性
用户Ui输入生物信息
Figure FDA0003604514070000023
身份信息
Figure FDA0003604514070000024
和密码
Figure FDA0003604514070000025
设备计算出用户Ui的生物密钥和认证参数,进而验证用户是否合法,如果用户通过验证,那么设备与用户Ui的智能卡认证完成,否则整个认证过程停止;
(4.2)用户Ui生成认证数据
用户Ui使用系统公钥Ppub计算与系统内所有大数据服务器的身份密文
Figure FDA0003604514070000026
并进而生成认证参数
Figure FDA0003604514070000027
通过公开信道发送给大数据服务器Nj,使得Nj完成对用户Ui的认证;
(4.3)大数据服务器Nj认证用户Ui的合法性
大数据服务器Nj使用自己的私钥
Figure FDA0003604514070000028
对身份密文进行解密,根据认证参数验证用户Ui的合法性;
(4.4)大数据服务器Nj生成认证数据
大数据服务器Nj认证用户Ui的合法性通过后,生成认证数据
Figure FDA0003604514070000031
供用户完成对大数据服务器的认证;
(4.5)用户Ui认证大数据服务器Nj的合法性
用户Ui收到认证数据后,对大数据服务器Nj的合法性进行验证;
(5)基于D-H的密钥协商方法
在该阶段,实现了多服务器架构下用户与大数据服务器之间的密钥协商,基于D-H的双向认证完成后,方可执行此方法进行密钥协商;
(5.1)用户Ui计算会话密钥
Figure FDA0003604514070000032
用户Ui使用认证中选取的随机数
Figure FDA0003604514070000033
计算会话密钥
Figure FDA0003604514070000034
(5.2)用户Ui向大数据服务器Nj发出密钥协商请求
用户Ui使用认证过程中产生的参数
Figure FDA0003604514070000035
向大数据服务器Nj发出密钥协商请求;
(5.3)大数据服务器Nj生成会话密钥
Figure FDA0003604514070000036
大数据服务器Nj收到
Figure FDA0003604514070000037
后,使用自己的私钥
Figure FDA0003604514070000038
进行解密,同时大数据服务器Nj使用大数据服务器注册过程中选取的随机数
Figure FDA0003604514070000039
计算会话密钥
Figure FDA00036045140700000310
此时
Figure FDA00036045140700000311
作为双方通信的会话密钥。
CN202110315021.2A 2021-03-24 2021-03-24 多服务器架构下的双向认证与密钥协商方法 Active CN113051547B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110315021.2A CN113051547B (zh) 2021-03-24 2021-03-24 多服务器架构下的双向认证与密钥协商方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110315021.2A CN113051547B (zh) 2021-03-24 2021-03-24 多服务器架构下的双向认证与密钥协商方法

Publications (2)

Publication Number Publication Date
CN113051547A CN113051547A (zh) 2021-06-29
CN113051547B true CN113051547B (zh) 2022-06-21

Family

ID=76514959

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110315021.2A Active CN113051547B (zh) 2021-03-24 2021-03-24 多服务器架构下的双向认证与密钥协商方法

Country Status (1)

Country Link
CN (1) CN113051547B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113486324B (zh) * 2021-07-23 2023-07-21 公安部第三研究所 基于sm2算法实现三因素匿名身份认证的方法
CN116647415B (zh) * 2023-07-27 2023-09-22 安腾网信(北京)科技有限公司 一种终端双向认证方法、装置及跨网跨域数据交换系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516201A (zh) * 2016-01-20 2016-04-20 陕西师范大学 一种多服务器环境下轻量级匿名认证与密钥协商方法
CN109327313A (zh) * 2018-11-07 2019-02-12 西安电子科技大学 一种具有隐私保护特性的双向身份认证方法、服务器

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105516201A (zh) * 2016-01-20 2016-04-20 陕西师范大学 一种多服务器环境下轻量级匿名认证与密钥协商方法
CN109327313A (zh) * 2018-11-07 2019-02-12 西安电子科技大学 一种具有隐私保护特性的双向身份认证方法、服务器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Lightweight Anonymous Communication;Yanli Wang.etc;《International Conference on Cloud Computing》;20210213;第103-108页 *

Also Published As

Publication number Publication date
CN113051547A (zh) 2021-06-29

Similar Documents

Publication Publication Date Title
CN111818039B (zh) 物联网中基于puf的三因素匿名用户认证协议方法
US7716484B1 (en) System and method for increasing the security of encrypted secrets and authentication
CN107342859B (zh) 一种匿名认证方法及其应用
CN103124269B (zh) 云环境下基于动态口令与生物特征的双向身份认证方法
US8930704B2 (en) Digital signature method and system
EP1383265A1 (en) Method for generating proxy signatures
CN111277412B (zh) 基于区块链密钥分发的数据安全共享系统及方法
CN106130716A (zh) 基于认证信息的密钥交换系统及方法
Chakrabarti et al. Password-based authentication: Preventing dictionary attacks
CN110380846B (zh) 一种电子病历患者签名方法及系统
CN113051547B (zh) 多服务器架构下的双向认证与密钥协商方法
US20040236942A1 (en) System and method for authenticating content user
CN113055394A (zh) 一种适用于v2g网络的多服务双因子认证方法及系统
Yongliang et al. Elliptic curve cryptography based wireless authentication protocol
CN110784305B (zh) 基于不经意伪随机函数和签密的单点登录认证方法
CN116112242B (zh) 面向电力调控系统的统一安全认证方法及系统
Mohammadi et al. ECC-based biometric signature: A new approach in electronic banking security
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
KR100456624B1 (ko) 이동 통신망에서의 인증 및 키 합의 방법
CN111062029A (zh) 一种基于标识密码的多因子认证协议
CN113545004A (zh) 具有减少攻击面的认证系统
KR20080005344A (ko) 인증서버가 사용자단말기를 인증하는 시스템
CN115955320A (zh) 一种视频会议身份认证方法
Byun A generic multifactor authenticated key exchange with physical unclonable function
CN115632797A (zh) 一种基于零知识证明的安全身份验证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20221121

Address after: 311100 Room 1005-32, 10th Floor, Building H, Haichuang Park, CEC Haikang Group Co., Ltd., No. 198, Aicheng Street, Wuchang Street, Yuhang District, Hangzhou City, Zhejiang Province

Patentee after: Hangzhou Houquantum Cryptography Technology Co.,Ltd.

Address before: 273165 Jingxuan West Road, Qufu City, Jining, Shandong Province, No. 57

Patentee before: QUFU NORMAL University