CN113572765B

CN113572765B - 一种面向资源受限终端的轻量级身份认证密钥协商方法

Info

Publication number: CN113572765B
Application number: CN202110835373.0A
Authority: CN
Inventors: 何倩; 宋静; 石荣; 江炳城; 黄少伟; 董庆贺; 翟仲毅; 喻军; 郭标
Original assignee: Guangdong Genial Technology Co ltd; Guilin University of Electronic Technology
Current assignee: Guangdong Genial Technology Co ltd; Guilin University of Electronic Technology
Priority date: 2021-07-23
Filing date: 2021-07-23
Publication date: 2023-04-14
Anticipated expiration: 2041-07-23
Also published as: CN113572765A

Abstract

本发明公开了一种面向资源受限终端的轻量级身份认证密钥协商协议，该方法提供一套资源受限终端和服务器之间进行身份认证和会话密钥协商服务，能够确保资源受限终端和服务器的身份真实有效，避免了恶意攻击。该方案包括包括四个阶段：注册阶段、登录和认证阶段、修改密码阶段、智能卡撤销阶段。该方法引入椭圆曲线算法对登录认证过程的关键数据进行加密，在协议设计过程中引入单向哈希算法、基于智能卡和密码双因子作为身份认证的重要环节，避免数据明文传输泄露风险，并且抵抗智能卡丢失攻击、离线字典攻击等安全漏洞，相比于其他密钥协商协议，本协议密钥尺寸、系统参数和存储空间较小，并且运算速度快，适用于计算资源、存储资源受限的终端设备。

Description

一种面向资源受限终端的轻量级身份认证密钥协商方法

技术领域

本发明涉及信息安全领域，具体是一种面向资源受限终端的轻量级身份认证密钥协商方法。

背景技术

随着物联网技术快速发展，资源受限终端设备数量急剧增长，例如智能手表、电视、可穿戴设备、家居安全系统、无人驾驶汽车以及机器人等每时每刻都在使用和产生数据，这些数据呈指数级增长。资源受限终端设备具有很多局限性，一方面资源受限终端与服务器或者计算机相比，在存储能力、计算能力、电池功率等方面存在局限性，而且资源受限终端移动性更强，层次更复杂，多种安全域并存，因此不适合部署原来具有高消耗的身份认证密钥协商协议来保证安全通信。另一方面，例如智能手表、可穿戴设备、无人驾驶汽车等资源受限终端需要处理位置、活动等敏感数据，所以这些资源受限终端比传统身份验证需要更强的安全性。

身份认证密钥协商方法可以使终端与服务器在开放网络中实现安全通信，通过认证密钥协商协议使通信双方协商建立一个共享会话密钥，为后续通信提供保密性和完整性。终端-服务器认证方案有很多种，但都或多或少存在一定的缺点。例如基于证书的认证方案，需要提供证书的管理、签发服务，而对于资源受限终端的存储能力、计算能力的局限性，该方案效率较低。基于口令的认证方案，需要服务提供商维护验证表来保证所有用户密码的有效性，而随着用户越来越多，验证表的维护工作也愈来愈难，并且一旦验证表泄露，存在离线密码猜测攻击、假冒攻击等安全问题，不利于安全等级需求较高的资源受限终端。

资源受限终端的特性使以上身份认证密钥协商协议不利于完成高效安全的会话通信。物联网、人工智能、云计算、边缘计算等技术不断成熟，资源终端设备用户和服务提供商需要新的处理模式，以获得更强的决策能力、过程优化能力和通讯能力。在这些分布式环境中所提供的服务若没有设置安全高效的访问控制，攻击者可以随时控制公共网络，盗取或修改传送的信息。所以资源受限终端需向服务器完成身份注册，保证只有合法用户才可以访问该服务，同时资源受限终端也会认证服务提供商的合法性。但是对于资源受限终端而言，原有的一些认证方案具有一定的局限性。一方面较高的计算复杂度，不利于计算能力不强的资源受限终端。另一方面，原有的一些方案大多存在智能卡丢失攻击、离线字典攻击、密钥泄露攻击、缺乏前向安全性等一个或多个漏洞攻击，不利于安全等级需求较高的资源受限终端。保护资源受限终端设备数据的安全，不仅要保证数据的完整性，而且要保护数据的隐私性。

发明内容

针对资源受限终端设备特点和现有身份认证技术存在的问题，本发明提出一种面向资源受限终端的轻量级身份认证密钥协商方法，该方法能够确保资源受限终端和服务器的身份真实有效，避免恶意攻击。

实现本发明目的的技术方案是：

一种面向资源受限终端的轻量级身份认证密钥协商方法，包括：

(1)注册阶段：用户U_i需要输入其身份UID_i和口令密码PW_i产生用户注册信息，将其发送给相应服务器S_j；服务器检查用户的有效性，判断用户之前是否已经注册，如果判断用户已经注册了，则提醒用户重新选择新的身份标识；如果判断用户之前并未注册，则初始化相应智能卡SC，并将其返回给用户，用户获得颁发的智能卡，使合法用户拥有合法身份，用于后期进行快速通信交流；

(2)登录和认证阶段：用户向服务器发送登录请求消息，服务器检查其时间有效性，如果合法，则解密用户的身份信息，判断身份ID是否合法，如果是合法用户，则服务器产生验证消息返回给用户；否则服务器终止会话；当用户接受到服务器发送的验证消息时，首先检查时间有效性，其次验证服务器合法性，如果均合法，则用户产生会话密钥SK，并且向服务器发送用户验证消息；否则用户终止会话；服务器接收到用户发送的信息，首先检查时间有效性，其次验证用户身份合法性，如果均合法，则产生会话密钥SK；否则终止会话；

(3)修改密码阶段：用户可以通过输入旧密码来修改密码；如果用户旧密码输入错误，则拒绝修改密码并终止会话；

(4)智能卡撤销阶段：如果U_i遗失了S_j给其颁发的智能卡，则U_i可以请求S_j重新颁发一个新的智能卡。

步骤(1)所述注册阶段，其实现方法步骤如下：

1)U_i选择身份UID_i、口令密码PW_i和随机数o_i，计算RID_i＝H₀(UID_i||PW_i||o_i)，注意RID_i是通过H₀()输出的属于Z_p的一个很大的数，可以看做长度为|Z_p|的字符串。将计算结果RID_i和用户身份标识UID_i通过安全通道发送给服务器S_j；

2)S_j选择身份SID_j、智能卡标识符SCID和随机数o_j，检查用户身份标识UID_i的是否已被注册过；若用户身份标识UID_i有效，则计算ID＝UID_i||SID_j||SCID，

若用户身份标识UID_i已被注册过，则S_j会返回请求，并让U_i重新选一个新的身份标识；

3)S_j将EID和V₀ ^j存入智能卡SC中，并将其通过安全通道返回给U_i，同时将ID，智能卡标识符SCID和S_j的计数器CTR_S存储在注册表中；U_i收到S_j颁发的智能卡SC后，将智能卡计数器CTR_SC初始化为0并存入SC中。

步骤(2)所述登录和认证阶段，其实现方法步骤如下：

1)当U_i想要获取S_j提供的服务时，U_i需要输入其身份UID_i和口令密码PW_i；当CTR_SC＜n时，其中n是一个需要重置的阈值，SC选择随机数r_i∈Z_p，并计算X_u＝r_i·G，

其中G是基点，然后将

发送给S_j；

2)S_j接收到

后，首先检查时间是否满足

其中ΔT是预定义的时延阈值，可以抵抗重放攻击；其次解密EID检查用户身份的有效性，

若用户身份ID有效，则检索ID对应的o_j和CTR_S；否则，立即终止通信；若CTR_S＜n，计算

进而判断

是否成立；如果

S_j选择随机数r_j，b_s，计算

X_s＝r_j·G，

然后将

返回给U_i；

3)U_i收到

时，首先检查时间是否满足

若满足，则计算

然后判断

是否成立；若成立，则计算

和

其中T₃为当前时间戳，同时将CTR_SC设置为0，并将

返回给S_j进行认证；如不成立，则设置CTR_SC＝CTR_SC+1，U_i拒绝S_j并终止会话；

4)S_j接收到

后，首先检查时间是否满足

若满足，则进行下一步计算

当

则计算SK＝H₂(X_s||X_u||UID_i||SID_j)，同时将CTR_S设置为0，从而判定S_j和U_i成功通过认证，并确定S_j和U_i之间的会话密钥为SK＝H₂(X_s||X_u||UID_i||SID_j)。否则，S_j拒绝服务并终止会话，同时设置CTR_S＝CTR_S+1。

步骤(3)所述修改密码阶段，其实现方法如下：

输入旧密码PW_i并计算RID_i＝H₀(UID_i||PW_i||o_i)，将RID_i发送给S_j；S_j只需计算

如果

是否满足，则返回用户允许修改密码，并用新的密码计算

其余步骤和注册阶段同理；否则，则拒绝修改密码并终止会话。

步骤(4)所述智能卡撤销阶段，其实现方法步骤如下：

1)首先U_i需要同注册阶段类似，使用其密码PW_i和身份标识UID_i计算RID_i，将{RID_i，UID_i}发送给S_j

2)S_j检查UID_i的有效性，即U_i是否被注册过，若注册过，则重新选择一个智能卡标识符SCID^new和随机数

同注册阶段一样，重新计算ID_new，EID_new，

用新的EID_new，

替换原来智能卡中的EID，

3)将新的智能卡颁发给U_i。

本发明方法提供一套资源受限终端和服务器之间进行身份认证和会话密钥协商服务，能够确保资源受限终端和服务器的身份真实有效，避免了恶意攻击。该方法引入椭圆曲线算法、单向哈希算法和双因素认证方法，抵抗智能卡丢失攻击、离线字典攻击等安全漏洞，相比于其他密钥协商协议，本协议密钥尺寸、系统参数和存储空间较小，并且运算速度快，适用于计算资源、存储资源受限的终端设备。并具有以下安全性：抵抗离线字典攻击；匿名性；抵抗伪造假冒攻击；抵抗重放攻击；抵抗已知密钥攻击；抵抗智能卡丢失攻击；抵抗中间人攻击；完全前向安全性。

附图说明

图1为本发明系统整体模型图；

图2为本发明实施例注册阶段流程图；

图3为本发明实施例登录和认证阶段流程图；

具体实施方式

为使本发明实施的技术手段、创作特征、达成目的与功效易于了解掌握，下面结合附图对本发明作进一步说明。

实施例：

本发明一种面向资源受限终端的轻量级身份认证密钥协商方法。该方法有四个阶段：注册阶段、登录和认证阶段、修改密码阶段、智能卡撤销阶段(如图1所示)。在方案中，设置服务器S_j的计数器CTR_S和用户的计数器CTR_SC用于跟踪登录和身份验证的连续尝试失败次数，初始值设置为0，最大失败阈值设置为n，当CTR_S＞n或者CTR_SC＞n时，通信过程立即终止。本发明用到的符号及说明如下表所示：

本方法四个阶段具体描述如下：

阶段A：注册阶段(如图2所示)

注册阶段主要为用户颁发智能卡，使合法用户拥有合法身份，便于后期进行快速通讯交流。首先，U_i选择身份UID_i、口令密码PW_i和随机数o_i，计算RID_i＝H₀(UID_i||PW_i||o_i)，注意RID_i是通过H₀()输出的属于Z_p的一个很大的数，可以看做长度为|Z_p|的字符串。将计算结果RID_i和用户身份标识UID_i通过安全通道发送给S_j；其次，S_j选择身份SID_j、智能卡标识符SCID和随机数o_j，检查用户身份标识UID_i的是否已被注册过。若用户身份标识UID_i有效，则计算ID＝UID_i||SID_j||SCID，

若用户身份标识UID_i已被注册过，则S_j会返回请求，并让U_i重新选一个新的身份标识。最后S_j将EID和

存入智能卡SC中，并将其通过安全通道返回给U_i，同时将ID，智能卡标识符SCID和S_j的计数器CTR_S存储在注册表中。U_i收到S_j颁发的智能卡SC后，将智能卡计数器CTR_SC初始化为0并存入SC中。具体过程如下表所示：

阶段B：登录和认证阶段(如图3所示)

当U_i想要获取S_j提供的服务时，U_i需要输入其身份UID_i和口令密码PW_i。当CTR_SC＜n时，其中n是一个需要重置的阈值，SC选择随机数r_i∈Z_p，并计算X_u＝r_i·G，

其中G是基点，然后将

发送给服务器S_j。

S_j接收到

后，首先检查时间是否满足

若用户身份ID有效，则检索ID对应的o_j和CTR_S。否则，立即终止通信。若CTR_S＜n，计算

进而判断

是否成立。如果

S_j选择随机数r_j，b_s，计算

然后将

返回给U_i。

当U_i收到

时，首先检查时间是否满足

若满足，则计算

然后判断

是否成立。若成立，则计算

和

其中T₃为当前时间戳，同时将CTR_SC设置为0，并将

返回给S_j进行认证。如不成立，则设置CTR_SC＝CTR_SC+1，U_i拒绝S_j并终止会话。

同理，当S_j接收到

后，首先检查时间是否满足

若满足，则进行下一步计算

当

则计算SK＝H₂(X_s||X_u||UID_i||SID_j)，同时将CTR_S设置为0，从而判定S_j和U_i成功通过认证，并确定S_j和U_i之间的会话密钥为SK＝H₂(X_s||X_u||UID_i||SID_j)。否则，S_j拒绝服务并终止会话，同时设置CTR_S＝CTR_S+1。详细过程如下表所示：

阶段C：修改密码阶段。

当U_i想要修改密码时，首先输入旧密码PW_i计算RID_i＝H₀(UID_i||PW_i||o_i)，将RID_i发送给S_j。S_j只需计算

如果

是否满足，则返回用户允许修改密码，并用新的密码计算

其余步骤和注册阶段同理。否则，则拒绝修改密码并终止会话。

阶段D：智能卡撤销阶段。

如果U_i遗失了S_j给其颁发的智能卡，则U_i可以请求S_j重新颁发一个新的智能卡。首先U_i需要同注册阶段类似，使用其密码PW_i和身份标识UID_i计算RID_i，将{RID_i，UID_i}发送给S_j。然后S_j检查UID_i的有效性，即U_i是否被注册过，若注册过，则重新选择一个智能卡标识符SCID^new和随机数

同注册阶段一样，重新计算ID_new，EID_new，

用新的EID_new，

替换原来智能卡中的EID，

最后将新的智能卡颁发给用户U_i。