CN113472731A - 一种针对数据库用户身份验证的双因素认证方法 - Google Patents

Abstract

本发明公开了一种针对数据库用户身份验证的双因素认证方法，其步骤包括：1)初始化阶段：服务器S生成并存储公私钥对(k_s，K_S)；2)注册阶段：客户端C同时与智能手机D和服务器S通信，将用户U输入的口令pw转换为随机口令rw；客户端C为用户U生成公私钥对(k_U，K_U)，用rw加密私钥k_U和公钥K_S，生成密文c；客户端C将公钥K_U发送给服务器S，将密文c发送给手机D；服务器S存储K_U，手机D存储密文c；3)认证阶段：用户U在手机D的辅助下与服务器S互相验证，如果均验证通过，则服务器S同意用户U访问数据库，并建立临时会话密钥SK；否则服务器S终止连接服务。本发明可实现安全高效的双因素认证。

Description

一种针对数据库用户身份验证的双因素认证方法

技术领域

本发明属于信息安全技术领域，涉及一种实用的、可组合的用户身份认证方法，尤其涉及一种针对数据库用户的基于智能手机的双因素身份认证协议设计及实现方法。

背景技术

确保数据库系统安全的一个基本步骤是验证访问数据库的用户身份(身份验证)。完善的身份验证方案有助于保护用户及其存储的数据不受攻击者的攻击。现有的数据库系统(如Oracle，MySQL)提供了多种身份验证策略以满足用户需求，例如基于口令的身份认证方法，基于令牌或智能卡的强身份认证方法，基于公钥基础设施(PKI)的认证方法，代理认证等。在这些认证方法中，基于口令的认证是最基本、最方便的方法。用户只需要提供正确的口令，即可建立数据库访问连接。数据库可以将用户的口令以加密的方式(例如，加盐哈希)存储在服务器中，用户可以随时更改口令。但是，随着应用数量的增加，单口令认证方式给用户增加了负担。每个用户可能在不同的数据库上拥有多个账户，这使得记忆口令变得更加困难。对于企业级数据库，服务器可能远程部署，且要防止内部人员攻击。因此，不应该允许服务器获得口令明文(或可猜测的口令哈希)，这在单口令认证方式中难以实现。此外，当用户离开公司或更换工作时，应立即更改用户特权，同时不影响企业中其他用户的使用。但是，单口令认证方式势必会影响其他用户的访问，难以及时更改权限。

因此，基于智能卡或令牌(例如，SecurID、其他兼容RADIUS的令牌卡)等物理卡的双因素用户认证方案被提出。为获得数据库访问权限，用户必须同时拥有物理卡和口令。这些双因素认证方式主要分为三类：(1)物理卡与用户口令无沟通分别认证；(2)物理卡与用户交互，但口令分别认证；(3)物理卡与口令交互组合认证；第(1)类通常在物理卡上动态显示与身份认证服务同步的一次性PIN码，用户提交口令和PIN码，服务器可以在给定时间进行验证；第(2)类通常允许物理卡上有一个键盘，并在质询-回应的基础上操作。在这种情况下，服务器提供一个挑战(例如，一个随机数)作为密钥，用户将其输入到令牌卡中。令牌卡允许用户输入口令，并用上一轮的密钥加密后发送给服务器。很显然，这两类方式都允许服务器获得口令明文。不符合数据库实际应用场景。并且，第一类认证方法在通信信道上明文传输口令，需要公钥基础设施的支撑才能保证口令不被泄露。这增加了实际部署的难度。第(3)类方案在学术界较为常见。安全性也相对较高。例如：Lwamo等人在文献1(Lwamo N M R,Zhu L,Xu C,et al.SUAA:A secure user authentication scheme with anonymity forthe single&multi-server environments[J].Information Sciences,2019,477:369-385.)中提出的基于智能卡的适于多服务器环境的SUAA协议；Wazid等人在文献2(Wazid M,Das A K,Odelu V,et al.Secure remote user authenticated key establishmentprotocol for smart home environment[J].IEEE Transactions on Dependable andSecure Computing,2017.)中提出的适于智能家居的基于智能卡的身份认证协议。通常物理卡中存储服务器公钥相关信息，或为每一张卡配备一个密钥，用服务器公钥、物理卡配备的密钥、随机数、哈希等方式在口令存储和传输过程中保护用户口令，同时允许口令本地验证。本地验证通过的用户才能与远程服务器交互，有效避免服务器拒绝服务攻击。

相比于单口令认证方式，双因素方式即解决了服务器获得口令明文的问题，又方便企业级的用户及时更改权限。企业级数据库可以为管理员配备专用设备，用户离开时只需要提交设备就可以消除其对账号的控制权。但是，这一类认证方式在实际应用中依然存在问题，用户每访问一个数据库需要携带一张物理卡，而用户维护的应用数量较大，不可能每次出门都随时携带大量物理设备。智能手机的出现能有效缓解这一问题。现有实用的基于智能手机的双因素协议类似于基于物理卡的双因素协议的第(1)类，例如GoogleAuthenticator，FIDO，Duo等，智能手机生成PIN码和口令一起发送给服务器，智能手机和口令分别验证，并不能保证口令的安全性。2014年，Shirvanian等人在文献3(Shirvanian M,Jarecki S,Saxena N,et al.Two-Factor Authentication Resilient to ServerCompromise Using Mix-Bandwidth Devices[C]//NDSS.2014.)中提出了13个基于混合带宽智能设备的双因素协议，但是这些协议都依赖公钥基础设施(PKI)，容易遭受PKI失效和口令泄露。并且这一类协议不支持密钥交换。此后，2016年，Jarecki等人在文献4(JareckiS,Krawczyk H,Shirvanian M,et al.Device-enhanced password protocols withoptimal online-offline protection[C]//Proceedings of the11th ACM on AsiaConference on Computer and Communications Security.2016:177-188.)提出了基于智能手机的双因素协议，称作DE-PAKE，但是该协议允许攻击者访问智能手机，因此容易遭受在线口令猜测攻击。目前，安全性较高的基于智能手机的双因素协议唯有Jarecki等人提出在文献5(Jarecki S,Krawczyk H,Shirvanian M,et al.Two-factor authenticationwith end-to-end password security[C]//IACR International Workshop on PublicKey Cryptography.Springer,Cham,2018:431-461.)中提出的OpTFA，该协议解决PKI失效和口令泄露问题，同时支持密钥交换。但是该协议需要较高的计算成本和通信成本，要求16个指数运算，2个多指数运算和10轮通信，并不适于实际应用。

综上所述，基于智能手机的双因素认证协议研究刚刚起步，已有研究较少。现有协议或是存在安全问题，例如，口令泄露、口令猜测攻击等，或是性能较低，并不适用于数据库快速访问的需求。

发明内容

本发明提供一种基于智能手机的针对数据库用户的身份认证方法，是一种通用的双因素协议设计框架，基于2HashTDH协议和任意认证密钥交换协议(Authenticated Key-Exchange，AKE)生成方便用户使用的双因素协议，同时实现前向安全性、语义安全性，并防止口令猜测攻击、仿冒攻击、中间人攻击等。认证密钥交换协议要求通信双方维护对方的长期密钥，一般是128位的随机数，具备较高的安全性。但由于用户记忆力受限，密钥交换协议不能直接应用到用户参与的场景中。本发明方法可以有效的将安全的认证密钥交换协议转换成用户可用的实际双因素协议。

本发明提供的技术方案如下：

1.在注册阶段

(1)用户/客户端(U/C)和服务器分别通过生成公私钥对(k_U,K_U)和(k_s,K_S)初始化某一特定的密钥交换协议AKE；

(2)移动手机D和服务器S分别生成密钥s_D和s_S来初始化2HashTDH协议。同时，用户运行2HashTDH协议将用户口令pw增强为密码学密钥rw(也称作随机口令)。这里，2HashTDH协议的具体操作过程如下：

1)用户从字典空间随机选择口令pw，选择随机数ρ，计算α＝(H(pw))^ρ；

2)用户将α分别发送给智能手机和服务器；

3)智能手机计算

服务器计算

4)智能手机和服务器分别将β₁和β₂回送给用户；

5)用户计算

(3)用户采用rw加密U的私钥k_U和S的公钥K_S生成密文c＝Enc_rw(k_U,K_S)，并将c存储在智能手机中。此外，智能手机存储密钥s_D，服务器存储k_s,K_S,K_U,s_S。

2.认证阶段

(1)用户输入口令pw，用户/客户端运行2HashTDH协议将pw转换为随机口令rw。

(2)从智能手机上提取c，用rw解密c，获得c＝Enc_rw(k_U,K_S)。

(3)用k_U,K_S运行AKE协议实现相互认证和密钥交换。这里的AKE协议是任意满足安全需求的认证密钥交换协议。在此，选择Needham-Schroeder-Lowe协议初始化AKE协议，用户U和服务器S分别已知对方的公钥。协议具体操作如下：

1)用户选择随机数r₁，用S的公钥执行加密操作，得到

2)

3)服务器解密得到r₁，S选择随机数r₂，用U的公钥加密得到

4)

5)用户解密，并验证r₁是否是上一轮选择的随机数，如果是，则用S的公钥执行加密操作，得到

6)服务器解密得到r₂，并验证r₂是否是上一轮选择的随机数。如果是，则与用户建立连接，生成会话密钥SK＝r₂。

3.权限更改

当用户离开公司或要求注销用户账号时，可以在服务器存储的验证表项中，直接删除用户账号信息。

本发明的有益效果是：

本发明提供一种基于口令和智能手机的双因素身份认证协议设计方法和双因素身份认证。该方法具有通用性，可以将现有认证密钥交换协议转化成面向实际应用的双因素身份认证协议。利用本发明提供的技术方案，可以维持原协议的高安全性，又具备用户友好性，满足一用户、一设备、一口令，多账户访问的需求，同时满足用户访问权限及时更改。实现安全高效的双因素认证协议设计和身份认证。

附图说明

图1是本发明的身份认证协议设计实现的架构图。

具体实施方式

下面结合附图，通过实施例进一步描述本发明，但不以任何方式限制本发明的范围。

利用本发明提供方法设计的基于智能手机的双因素身份认证协议进行数据库用户身份认证，能将现有的认证密钥交换协议转化成基于口令和智能手机的，具备匿名性、前向安全性和用户友好性等安全属性的认证协议，实现安全高效的双因素认证。

本发明的用户身份认证过程包括初始化阶段、用户注册阶段和认证密钥交换阶段。图1所示是本发明的身份认证协议设计实现的流程。下面以2HashTDH协议、Needham-Schroeder-Lowe协议为例对本发明进行说明。

系统参数

本阶段在用户初始化之前，完成系统参数定义。

1.G是一个循环群，生成元g，阶为m；

2.F是一个{0,1}^*到{0,1}^l伪随机函数；{0,1}^*表示任意长度的0,1串，{0,1}^l表示l长的0,1串。

3.H和H′为两个哈希函数，值域分别为{0,1}^l和Z_m。其中，l表示会话密钥的长度。

初始化阶段

本阶段完成各实体存储参数的初始化和用户注册过程。初始化结束后，智能手机存储秘密共享s_D和密文c。服务器存储自身的公私钥对(k_s,K_S)和用户的公钥K_U。

1.系统生成服务器S的公私钥对(k_s,K_S)。

2.智能手机D生成并存储秘密共享s_D，同时通知服务器S生成并存储秘密共享s_S。注意，这里的秘密共享并不是共享密钥，即s_D和s_S分别由智能手机和服务器生成，这两个秘密用于在随机口令生成时合并为一个秘密。

3.用户在客户端C输入口令pw。

4.客户端C生成随机数ρ，并计算α＝(H(pw))^ρ，将α分别发送给智能手机和服务器，即口令经过随机化处理后传输给智能手机。

5.智能手机计算

服务器计算

6.智能手机和服务器分别将β₁和β₂回送给用户U登录数据库所使用的客户端C。同时，服务器将公钥K_S一并回送给用户。

7.客户端C计算

8.客户端C生成用户的公私钥对(k_U,K_U)，客户端C用rw加密用户私钥k_U和服务器公钥K_S，生成密文c＝Enc_rw(k_U,K_S)。客户端C将用户U的公钥K_U发送给服务器S，将密文c发送给智能手机D。智能手机存储密文c。

认证阶段

1.用户U在客户端C上输入口令pw，客户端C向智能手机D发送登录请求。智能手机和客户端C之间的认证可以通过以下三种操作中的一种：(1)用户在手机上单击按钮确认登录；(2)用户手机上显示4-6位PIN码，用户手动在客户端C输入；或(3)客户端C显示二维码，用户用手机扫描二维码，并确认连接操作；

2.客户端C选择随机数ρ′，计算α′＝(H(pw))ρ′，将α′分别发送给智能手机和服务器。

3.智能手机计算

服务器计算

4.智能手机和服务器分别将β₁′和β₂′回送给客户端C，同时智能手机将密文c发送给客户端C。

5.客户端C计算

客户端C用rw解密c获得用户U的私钥k_U和服务器S的公钥K_S。

6.用户选择随机数r₁，用服务器的公钥加密用户的身份和随机数，得到

其中，

表示用K_S对花括号里的明文进行加密。

7.用户U给S发送消息

服务器S用私钥k_S解密后获得r₁和U的身份标识。服务器S验证用户U是否是注册过的用户，如果不是，则拒绝数据库访问操作。如果是，服务器S选择随机数r₂，从数据库中查找用户U的公钥，利用用户U的公钥加密r₁、r₂和服务器S的身份信息得到

8.服务器S发送给用户U消息

用户U收到消息后，利用用户U的私钥k_U解密得到随机数r₁，r₂和服务器S的身份标识。用户U验证r₁是否是上一轮用户发送给服务器S的随机数r₁，以及服务器S的身份标识是否正确。如果其中一项不正确，用户U将终止登录操作。否则，用户U用服务器S的公钥加密随机数r₂，得到

9.用户U发送给S消息

服务器S用私钥k_S解密后获得r₂，并验证r₂是否是上一轮服务器发送给用户的消息中的随机数r₂，如果是，则同意用户U的数据库访问操作，同时在用户U所登录客户端C和服务器S之间建立临时会话密钥SK＝r₂。否则，服务器S将终止连接服务。

以上协议通信过程为5轮，但实际运行中，第2步和第7步，第4步和第8步可以并行操作，实际运行为3轮协议。

需要注意的是，公布实施例的目的在于帮助进一步理解本发明，但是本领域的技术人员可以理解：在不脱离本发明及所附权利要求的精神和范围内，各种替换和修改都是可能的。因此，本发明不应局限于实施例所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims (9)

1.一种针对数据库用户身份验证的双因素认证方法，其步骤包括：

初始化阶段：为服务器S生成公私钥对(k_s，K_S)；

注册阶段：客户端C与智能手机D和服务器S通信，将用户U输入的口令pw转换为随机口令rw；智能手机D生成并存储该转换所需的秘密s_D，服务器S生成并存储该转换所需的秘密s_S；客户端C为用户U生成公私钥对(k_U，K_U)，用rw加密用户U的私钥k_U和服务器S的公钥K_S，生成密文c；客户端C将用户U的公钥K_U发送给服务器S，将密文c发送给智能手机D；

认证阶段：

用户U在客户端输入口令pw，通过该客户端向智能手机D发送连接请求；智能手机D与该客户端之间进行认证通过后，该客户端将用户U输入的口令pw转换为随机口令rw，然后用rw解密密文c获得用户U的私钥k_U和服务器S的公钥K_S；

该客户端选择随机数r₁，用公钥K_S加密用户U的身份信息和随机数r₁，得到

并将其发送给服务器S；服务器S用私钥k_S对收到的

解密获得r₁和该身份信息；服务器S验证该身份信息是否是注册过的用户，如果不是，则拒绝该用户U的访问请求；如果是注册过的用户，则服务器S选择随机数r₂并用该用户U的公钥K_U加密r₁、r₂和服务器S的身份信息，得到

并将其发送给该客户端C；

该客户端C用私钥k_U对

解密得到随机数r₁、r₂和服务器S的身份信息；用户U通过该客户端C验证r₁以及服务器S的身份标识是否正确，如果其中一项不正确，则用户U将终止登录；否则，该用户U用服务器S的公钥K_S加密随机数r₂，得到

并将其发送给服务器S；服务器S用私钥k_S对

解密后获得r₂并验证r₂的正确性，如果验证通过，则同意用户U的访问请求，并在该客户端C与服务器S之间建立临时会话密钥SK；否则服务器S终止连接服务。

2.如权利要求1所述的方法，其特征在于，注册阶段，客户端C将用户U输入的口令pw转换为随机口令rw的方法为：客户端C根据用户U输入的口令pw和生成的随机数ρ计算得到α，然后将α分别发送给智能手机D和服务器S；智能手机D根据α、s_D计算得到β₁并将其发送给用户U所登录的客户端C，服务器S根据α、s_S计算得到β₂将其与公钥K_S发送给用户U所登录的客户端C；客户端C根据β₁、β₂和口令pw计算得到rw。

3.如权利要求2所述的方法，其特征在于，

α＝(H(pw))^ρ；H()为哈希函数。

4.如权利要求3所述的方法，其特征在于，

5.如权利要求1所述的方法，其特征在于，认证阶段，该客户端C将用户U输入的口令pw转换为随机口令rw的方法为：该客户端C根据口令pw和随机数ρ′计算得到α′并将其分别发送给智能手机D和服务器S；然后智能手机D根据α′、s_D计算得到β₁′并将其与密文c发送给该客户端C，服务器S根据α′、s_S计算得到β₂′将其发送给该客户端C；该客户端C根据β₁′、β₂′和ρ′计算得到rw。

6.如权利要求5所述的方法，其特征在于，α′＝(H(pw))^ρ′，

H()为哈希函数。

7.如权利要求1所述的方法，其特征在于，认证阶段，智能手机D与该客户端C之间进行认证的方法为：智能手机D收到该连接请求后，用户U在智能手机D上单击确认按钮。

8.如权利要求1所述的方法，其特征在于，认证阶段，智能手机D与该客户端C之间进行认证的方法为：智能手机D收到该连接请求后，在该智能手机D上显示PIN码，用户在客户端C上输入该PIN码。

9.如权利要求1所述的方法，其特征在于，认证阶段，智能手机D与该客户端C之间进行认证的方法为：客户端C上生成并显示二维码，用户U通过该智能手机D扫描该二维码并确认连接操作。

Images