CN113626794B - 客户/服务器模式下的认证及密钥协商方法、系统及应用 - Google Patents

Abstract

本发明属于密码技术领域，公开了一种客户/服务器模式下的认证及密钥协商方法、系统及应用，包括注册阶段，认证阶段和口令更新阶段。本发明使得客户和服务器之间通过开放的公共信道可以实现认证和密钥交换，保证服务器端口令列表的安全，并实现用户口令实时更新，安全强度高。本发明规避公钥操作，使用了除法计算性Diffie‑Hellman问题，仅利用乘法群运算，简单高效，计算简便。本发明可以实现系统的安全成本更低；本地服务器对用户口令实现安全存储，服务器的口令列表即使失窃，系统仍然安全，这使得客户/服务器之间的认证及密钥协商更加健壮；用户可以自由更新口令，提高了系统的灵活性。

Description

客户/服务器模式下的认证及密钥协商方法、系统及应用

技术领域

本发明属于密码技术领域，尤其涉及一种客户/服务器模式下的认证及密钥协商方法、系统及应用。

背景技术

目前，客户/服务器模式是信息管理系统部署中一种常见的体系结构。它将一个数据库应用系统划分为两个部分，分别是前端的客户端应用程序和后台的服务器。装载在用户设备上的应用程序向服务器发出服务请求，服务器将处理结果返回应用程序。两者通过网络相连。Internet即是一种分布式的客户/服务器模式，世界上任何一个角落的人，使用浏览器软件就可以作为一台客户机，访问服务器上提供的信息和服务。

由于网络的开放性，客户和服务器在进行通信的过程中会不可避免地面临恶意攻击者的攻击。常见的攻击包括被动攻击，如窃听、消息重放、业务流分析；以及主动攻击，如中断、篡改、伪造等。这种攻击会影响正常通信，给用户造成损失。为了保证客户/服务器模式下信息资源传输的安全性，应当在客户和服务器之间提供安全机制，实现以下几点：

(1)客户-服务器之间的双向身份认证；

(2)客户-服务器之间的会话密钥建立；

(3)尽可能高的安全强度，尽可能低的安全支出。

基于口令的认证的密钥协商协议(Password-Based Authenticated KeyExchange，PAKE)仅使用一个低熵的口令作为初始值，通过开放的公共信道在两个实体之间实现相互认证，并建立高熵的会话密钥。它无需专用的硬件设备，也不需要公钥证书系统的支持。PAKE协议满足了客户/服务器模式下安全机制的要求，为实现该模式下的安全通信提供了一种理想的方法。

Ruan等在“Efficient provably secure password-based explicitauthenticated key agreement”中利用双线性对提出了一个PAKE协议EAKA。该协议中服务器以明文的形式保存客户的口令，并在密钥交换过程中使用，这使得一旦口令被窃取，认证及密钥交换的安全性将不复存在。此外，协议使用了双线性对，而双线性对是已知最复杂的计算，协议的计算效率不高。Kumari等在“Design of a Password Authentication andKey Agreement Scheme to Access e-Healthcare Services”中基于口令和生物特征提出了一种PAKE协议，该协议实现了双向认证和密钥协商，计算效率高，但是在注册阶段需要额外的安全信道实现用户口令的传输。RFC5054描述了一个基于口令的PAKE协议SRP(SecureRemote Password)。该协议具有较高的安全强度和计算效率，却未提供用户口令的更新方法。

通过上述分析，现有技术存在的问题及缺陷为：

(1)现有协议假设通信双方预共享一个口令，但口令的共享通常需要采取线下的方式，或使用额外的安全协议(如TLS)建立安全信道。这种方法为PAKE协议引入了额外的安全支出，这是现有技术的一个缺陷。

(2)现有的PAKE协议通常要求服务器保存口令列表，其中包含系统中所有用户的口令。一旦口令列表失窃，攻击者可以冒充任意用户获取服务，系统的认证安全将不复存在。要求保存系统内用户的口令列表是现有技术的一个缺陷。

(3)大部分PAKE协议未提供用户口令更新机制，这影响了协议的完整性。此外，当用户口令过期或泄露时用户无法更换口令，降低了协议的安全性。这是现有技术的一个缺陷。

解决以上问题及缺陷的难度为：

1、设计一种安全的口令传输方案。用户口令是服务器用于认证用户的唯一有效标识，在用户向服务器发送口令时，应保证口令的安全。采用线下提交口令或建立客户与服务器之间的安全信道的方法需要额外的软、硬件支持，增加了安全成本。但是不采用额外支持，同时保证口令传输的安全是困难的。

2、设计一种在服务器上安全存储用户口令的方案。需要考虑服务器上客户口令列表的形式，使得即使该列表失窃，也不影响客户的安全。同时还需要考虑服务器在没有客户口令明文的条件下，如何安全地认证客户和协商密钥。这在协议设计上是困难的。

3、设计一种用户的口令更新方案。用户的口令更新涉及到对用户旧口令的确认和对新口令的存储。为了保证服务器的安全，本发明要求在服务器端不存储用户口令明文。在这种条件下实现口令更新是困难的。

解决以上问题及缺陷的意义为：通过解决以上问题，可以实现客户服务器模式下客户可以直接向服务器提交口令而无需额外的支持，系统的安全成本更低。本地服务器对用户口令实现安全存储，服务器的口令列表即使失窃，系统仍然安全，这使得客户/服务器之间的认证及密钥协商更加健壮。用户可以自由更新口令，提高了系统的灵活性。

发明内容

针对现有技术存在的问题，本发明提供了一种客户/服务器模式下的认证及密钥协商方法、系统及应用，尤其涉及一种客户/服务器模式下基于口令的认证密钥交换方法及系统。

本发明中使用的符号说明如下：

正整数集群，表示有限域上所有正整数构成的集合。

∈：属于，表示私钥s是在正整数集群中选取的。

数学符号异或，/>表示两个数以二进制形式异或相加。

params：公共参数，在通信中用户通过此公共参数对消息进行加密和处理。

PWC：用户口令，秘密保存。通信中客户请求服务器服务时作为自己的身份凭证。

VPWC：用户口令的加盐哈希值，通信中用于服务端校验用户身份信息的凭证。

ACK_s：发送给客户，表示服务端完成会话密钥协商过程的凭证。

ACK_c：发送给服务端，表示客户完成会话密钥协商过程的凭证。

PWC_new：口令更新过程中，用户使用的新口令。

ACK_u：口令更新过程中发送给客户，表示服务端对用户口令完成更新的凭证。

VPWC_new：用户新口令的加盐哈希值，保存在服务端本地，作为通信中对用户身份信息的校验凭证。

本发明是这样实现的，一种客户/服务器模式下的认证及密钥协商方法，所述客户/服务器模式下的认证及密钥协商方法包括以下步骤：

步骤一，服务器端S选择长度为k的大素数N，选择的生成元g，选择服务器的私钥/>并计算服务器的公钥PK_s＝g^smod N；规定口令的长度l。选择三个哈希函数H₁：{0，1}^*→{0，1}^l，H₂：{0，1}^*→{0，1}^k，H₃：{0，1}^*→{0，1}^*；S将{k，l，N，g，PK_s，H₁，H₂，H₃}设置为系统的公共参数params，将私钥s秘密保存，并将params通过一个安全布告板进行公布。该步骤有助于去除登记口令时所需的线下信道或高层协议支持。

步骤二，当客户端C向S进行注册时，通过安全布告板下载公共参数params；选择长度为l的口令PWC；选择计算/> 将<C，x_r，m_r>发送给S。该步骤实现了客户在无其他额外安全支持的条件下向服务器登记口令。

步骤三，S利用私钥s计算计算/>计算VPWC＝H₂(C，PWC，s)；VPWC是用户口令的加盐哈希值，S将VPWC存入本地口令列表。该步骤实现了服务器对客户口令的安全存储，保证了系统的健壮性。

步骤四，当客户需要和服务器进行认证和密钥交换时，选择计算选择/>计算k_c＝g^x mod N，并将<C，x_a，m_a，k_c>发送给服务器。该步骤实现了客户对服务器的安全认证。

步骤五，收到客户的消息后，S计算计算/>利用私钥s恢复VPWC并与本地存储值进行比较；若不一致则终止协议；若一致，则选择计算k_s＝g^y mod N，计算/>计算/>计算ACK_s＝H₃(S，C，k_sc)，并将<m_s，ACK_s>发送给C。该步骤实现了服务器对客户的安全认证，以及服务器端会话密钥的安全建立。

步骤六，客户利用k_a、k_c和PWC计算H₂(S，C，k_a，PWC)，从m_s中恢复出k_s，计算会话密钥k_cs＝k_s ^xmod N；C计算ACK_s′＝H₃(S，C，k_cs)并验证其是否与ACK_s一致，若一致则计算ACK_c＝H₃(C，S，k_cs)，并将其发送给S。该步骤实现了客户端会话密钥的安全建立。

步骤七，服务器利用k_sc计算ACK_c′＝H₃(C，S，k_sc)并验证其与ACK_c是否一致；若一致，则设置k_sc为会话密钥，并为C提供服务。该步骤完成了客户/服务器模式下的认证和密钥协商过程。

步骤八，当客户需要和服务器更新自己的口令时，选择新的口令PWC_new，选择计算/>计算/>计算并将<C，x_u，m_u，m_u′>发送给服务器。该步骤实现了客户选择新的口令并向服务器进行登记，保证了系统的灵活性。

步骤九，服务器收到消息<C，x_u，m_u，m_u′>后，计算利用k_u从m_u中获得PWC_new，利用PWC_new从m_u′中获得PWC；利用PWC重构VPWC，若与本地存储值一致，则接受PWC_new为用户新的口令，基于PWC_new产生新的加盐口令哈希值VPWC_new，更新口令列表中C的项；S产生确认消息ACK_u＝H₃(C，S，PWC，PWC_new)并将ACK_u发送给C。该步骤实现了服务器对用户新口令的记录和确认。

步骤十，客户重构ACK_u′＝H₃(C，S，PWC，PWC_new)并与ACK_u相比较，若二者一致，则认为口令更新成功。该步骤完成了口令更新过程。

进一步，步骤二中，所述客户端安全传输口令的方法，包括：

客户端选择通过服务器公钥加密的消息作为密钥和口令异或，即

进一步，步骤二中，所述客户选择用户名和口令并发送给服务器的方法，包括：

选择长度为l的口令PWC；选择计算/> 将<C，x_r，m_r>发送给S。

进一步，步骤三中，所述服务器端对于用户口令的存储方法，包括：

计算并存储VPWC＝H₂(C，PWC，s)。

进一步，步骤七中，所述客户端验证服务端身份的认证方法，包括：

客户接收到消息<m_s，ACK_s>后，从m_s中恢复出k_s，计算会话密钥k_cs＝k_s ^xmod N；客户计算ACK_s′＝H₃(S，C，k_cs)并验证其是否与ACK_s一致。

进一步，步骤九中，所述服务端验证客户端身份的方法，包括：

服务端先利用消息<C，x_u，m_u，m_u′>获取到新口令，将新口令作为密钥和旧的口令进行异或得到旧口令PWC，通过和本地存储值验证是否一致完成认证。

本发明的另一目的在于提供一种应用所述的客户/服务器模式下的认证及密钥协商方法的客户/服务器模式下的认证及密钥协商系统，所述客户/服务器模式下的认证及密钥协商系统，包括客户端和服务器；

其中，服务器S，用于接收客户端发送的<C，x_r，m_r>对客户进行注册。服务器从x_r中利用s计算出注册密钥k_r，再利用k_r从m_r中获得PWC。服务器计算并保存VPWC，即使口令列表被窃取，对客户端的认证依然是安全的。用于接收客户端发送的<C，x_a，m_a，k_c>。S从x_a中利用私钥s计算出密钥k_a，再利用k_a从m_a中获得用户的口令PWC，S利用PWC计算出VPWC和本地存储值进行对比，若一致利用k_c计算会话密钥k_sc＝k_c ^y mod N，并发送消息<m_s，ACK_s>给用户。用于接收客户端发送的ACK_c。利用k_sc计算ACK_c′＝H₃(C，S，k_sc)，若ACK_c′＝ACK_c，则完成对C的认证，并使用k_sc作为会话密钥。

客户端C，用于获取服务器S发布的参数params，其中包含服务器的公钥，可以实现客户端安全注册和对服务器的认证。客户端计算密钥分量x_r，只有服务器才能够从x_r恢复k_r，从而安全地将PWC传送给服务器。用于接收服务器发送的消息m_s，只有客户才具有k_a和PWC，能够重构出H₂(S，C，k_a，PWC)从而获得k_s并计算正确的会话密钥k_cs。

其中s为服务器的私钥，是群上的一个整数。PWC为用户的口令；VPWC是加盐的用户口令哈希值，基于用户身份C、PWC和s生成。H₂(S，C，k_a，PWC)用作S向C证明自己的身份。

本发明的另一目的在于提供一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

服务器端S选择长度为k的大素数N，选择的生成元g，选择服务器的私钥并计算服务器的公钥PK_s＝g^smod N；规定口令的长度l。选择三个哈希函数H₁：{0，1}^*→{0，1}^l，H₂：{0，1}^*→{0，1}^k，H₃：{0，1}^*→{0，1}^*；S将{k，l，N，g，PK_s，H₁，H₂，H₃}设置为系统的公共参数params，将私钥s秘密保存，并将params通过一个安全布告板进行公布；

当客户端C向S进行注册时，通过安全布告板下载公共参数params；选择长度为l的口令PWC；选择计算/> 将<C，x_r，m_r>发送给S；S利用私钥s计算/>计算/>计算VPWC＝H₂(c，PWC，s)；VPWC是用户口令的加盐哈希值，S将VPWC存入本地口令列表；

当客户需要和服务器进行认证和密钥交换时，选择计算选择/>计算k_c＝g^xmod N，并将<C，x_a，m_a，k_c>发送给服务器；收到客户的消息后，S计算计算/>利用私钥s恢复VPWC并与本地存储值进行比较；若不一致则终止协议；若一致，则选择/>计算k_s＝g^ymod N，计算计算/>计算ACK_s＝H₃(S，C，k_sc)，并将<m_s，ACK_s}发送给C；

客户利用k_a、k_c和PWC计算H₂(S，C，k_a，PWC)，从m_s中恢复出k_s，计算会话密钥k_cs＝k_s ^xmod N；C计算ACK_s′＝H₃(S，C，k_cs)并验证其是否与ACK_s一致，若一致则计算ACK_c＝H₃(C，S，k_cs)，并将其发送给S；服务器利用k_sc计算ACK_c′＝H₃(C，S，k_sc)并验证其与ACK_c是否一致；若一致，则设置k_sc为会话密钥，并为C提供服务。

本发明的另一目的在于提供一种信息数据处理终端，所述信息数据处理终端用于实现所述的客户/服务器模式下的认证及密钥协商系统。

结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明采用除法计算性Diffie-Hellman问题(Divisible Computational Diffie-Hellman Problem，DCDH)，在客户端基于服务器公钥产生认证密钥，用于客户认证服务器，服务器利用客户的口令认证客户。协议利用DH密钥协商建立安全会话密钥，并且仅有合法客户才能够和服务器建立起会话密钥。本发明具有安全强度高、计算量小的特点，可以用于实现客户和服务器模式下的安全通信。

本发明与现有技术相比，具有以下优点：

(1)系统安全成本小

本发明提供的客户/服务器模式下的认证及密钥协商方法，使得客户和服务器之间通过开放的公共信道使用轻量的计算即可实现高安全强度的口令登记、认证和密钥建立；规避了公钥操作，仅利用乘法群运算及哈希、异或等简单操作实现协议。这些特点是系统的安全成本较小。

(2)系统具有健壮性

本发明将用户口令与会话密钥相异或后直接发送给服务器，服务器端可以利用口令计算口令的加盐哈希值并与本地保存值进行对比，从而验证客户口令是否正确。服务器仅需保存加盐的口令哈希值，即使该值被攻击者窃取，从哈希值中也无法恢复口令，系统具有健壮性。

(3)系统具有灵活性

本发明提供了用户的口令更新，支持客户端在需要时更新口令，系统具有灵活性。

附图说明

图1是本发明提供的客户/服务器模式下的认证及密钥协商方法示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例1

1、一种客户服务器模式下基于口令的认证及密钥协商方法，其步骤包括：

(1)服务器端S选择长度为k的大素数N，选择的生成元g，选择服务器的私钥并计算服务器的公钥PK_s＝g^smod N。规定口令的长度l。选择三个哈希函数H₁：{0，1}^*→{0，1}^l，H₂：{0，1}^*→{0，1}^k，H₃：{0，1}^*→{0，1}^*。S将{k，l，N，g，PK_s，H₁，H₂，H₃}设置为系统的公共参数params，将私钥s秘密保存。然后将params通过一个安全布告板进行公布。

(2)当客户端C需要向S进行注册时，首先通过安全布告板下载公共参数params。选择长度为l的口令PWC。选择计算/> 将<C，x_r，m_r}发送给S。

(3)S利用私钥s计算计算/>计算VPWC＝H₂(C，PWC，s)。VPWC是用户口令的加盐哈希值，S将VPWC存入本地口令列表。

(4)当客户需要和服务器进行认证和密钥交换时，选择计算选择/>计算k_c＝g^x mod N。最后将<C，x_a，m_a，k_c}发送给服务器。

(5)收到客户的消息后，S首先计算计算/>利用私钥s恢复VPWC并与本地存储值进行比较。若不一致则终止协议。若一致，则选择计算k_s＝g^y mod N，计算/>计算/>计算ACK_s＝H₃(S，C，k_sc)，最后将<m_s，ACK_s}发送给C。

(6)客户利用k_a、k_c和PWC计算H₂(S，C，k_a，PWC)，从m_s中恢复出k_s，计算会话密钥C计算ACK_s′＝H₃(S，C，k_cs)并验证其是否与ACK_s一致，若一致则计算ACK_c＝H₃(C，S，k_cs)，并将其发送给S。

(7)服务器利用k_sc计算ACK_c′＝H₃(C，S，k_sc)并验证其与ACK_c是否一致。若一致，则设置k_sc为会话密钥，并为C提供服务。

2.如技术点1所述，其特征在于，步骤2)中，客户选择用户名和口令并发送给服务器的方法为：选择长度为l的口令PWC。选择计算将<C，x_r，m_r>发送给S。

3、如技术点1所述，其特征在于，步骤3)中，服务器端对于用户口令的存储方法为：计算并存储VPWC＝H₂(C，PWC，s)。

4、如技术点1所述，其特征在于，客户端验证服务端身份的认证方法为：客户接收到消息<m_s，ACK_s>后，从m_s中恢复出k_s，计算会话密钥客户计算ACK_s′＝H₃(S，C，k_cs)并验证其是否与ACK_s一致。

5、客户/服务器模式下基于口令的认证密钥交换方法及系统，其特征在于，包括客户端和服务器，其中：

服务器S，用于接收客户端发送的<C，x_r，m_r>对客户进行注册。服务器从x_r中利用s计算出注册密钥k_r，再利用k_r从m_r中获得PWC。服务器计算并保存VPWC，即使口令列表被窃取，对客户端的认证依然是安全的。用于接收客户端发送的(C，x_a，m_a，k_c>。S从x_a中利用私钥s计算出密钥k_a，再利用k_a从m_a中获得用户的口令PWC，S利用PWC计算出VPWC和本地存储值进行对比，若一致利用k_c计算会话密钥k_sc＝k_c ^ymod N，并发送消息<m_s，ACK_s>给用户。用于接收客户端发送的ACK_c。利用k_sc计算ACK_c′＝H₃(C，S，k_sc)，若ACK_c′＝ACK_c，则完成对C的认证，并使用k_sc作为会话密钥。

客户端C，用于获取服务器S发布的参数params，其中包含服务器的公钥，可以实现客户端安全注册和对服务器的认证。客户端计算密钥分量x_r，只有服务器才能够从x_r恢复k_r，从而安全地将PWC传送给服务器。用于接收服务器发送的消息m_s，只有客户才具有k_a和PWC，能够重构出H₂(S，C，k_a，PWC)从而获得k_s并计算正确的会话密钥k_cs。

其中s为服务器的私钥，是群上的一个整数。PWC为用户的口令；VPWC是加盐的用户口令哈希值，基于用户身份C、PWC和s生成。H₂(S，C，k_a，PWC)用作S向C证明自己的身份。

6、如技术点5所述，其特征在于，服务器选择公钥和公共参数的方法为：选取长度为k的大素数N，选择的生成元g，选择服务器的私钥/>并计算服务器的公钥PK_s＝g^smod N。规定口令的长度l。选择三个哈希函数H₁：{0，1}^*→{0，1}^l，H₂：{0，1}^*→{0，1}^k，H₃：{0，1}^*→{0，1}^*。将{k，l，N，g，PK_s，H₁，H₂，H₃}设置为系统的公共参数params。

7、一种安全的用户口令更新的方法，其步骤包括：

客户选择新的口令PWC_new，选择计算/> 计算/>计算/>最后将<C，x_u，m_u，m_u′>发送给服务器。

服务器收到消息<C，x_u，m_u，m_u′>后，计算利用k_u从m_u中获得PWC_new，利用PWC_new从m_u′中获得PWC。利用PWC重构VPWC，若与本地存储值一致，则接受PWC_new为用户新的口令，基于PWC_new产生新的加盐口令哈希值VPWC_new，更新口令列表中C的项。S产生确认消息ACK_u＝H₃(C，S，PWC，PWC_new)并将ACK_u发送给C。

客户重构ACK_u′＝H₃(C，S，PWC，PWC_new)并与ACK_u相比较，若二者一致，则认为口令更新成功。

8、如技术点7所述，其特征在于，步骤1)中，客户端安全传输新口令的方法为：客户端选择通过服务器公钥加密的消息作为密钥和新口令异或，即

9、如技术点7所述，其特征在于，步骤2)中，服务端验证客户端身份的方法为：服务端先利用消息<C，x_u，m_u，m_u′>获取到新口令，将新口令作为密钥和旧的口令进行异或得到旧口令PWC，通过和本地存储值验证是否一致完成认证。

实施例2

如附图认证阶段：

1)当客户需要和服务器进行认证和密钥交换时，选择计算其中：H₁：{0，1}^*→{0，1}^l，l为口令的长度；选择/>计算k_c＝g^xmod N。最后将<C，，x_a，m_a，k_c>发送给服务器。

2)收到客户的消息后，S首先计算计算/>利用私钥s恢复VPWC并与本地存储值进行比较。若不一致则终止协议。若一致，则选择计算k_s＝g^ymod N，计算/>计算/>计算ACK_s＝H₃(S，C，k_sc)，最后将<m_s，ACK_s>发送给C。

3)客户利用k_a、k_c和PWC计算H₂(S，C，k_a，PWC)，从m_s中恢复出k_s，计算会话密钥k_cs＝k_s ^*mod N。C计算ACK_s′＝H₃(S，C，k_cs)并验证其是否与ACK_s一致，若一致则计算ACK_c＝H₃(C，S，k_cs)，并将其发送给S。

服务器利用k_sc计算ACK_c′＝H₃(C，S，k_sc)并验证其与ACK_c是否一致。若一致，则设置k_sc为会话密钥，并为C提供服务。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现，所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。

为证明发明的安全性，使用SVO逻辑对本发明所提出的协议进行形式化分析，确认本发明提供了认证安全性和密钥协商安全性。

SVO逻辑的语法主要分为公式语言和消息语言。

消息语言：

如果X∈T，那么X是消息；

如果X₁,X₂,X₃,X₄,X₅,X₆……X_n是消息，那么消息的F函数F(X₁,X₂,X₃,X₄,X₅,X₆……X_n)也是消息；

如果Ф是公式，那么Ф是消息。

公式语言：

PbelievesX:P是主体，并且P相信消息X是真实的；

PreceivedX：P收到了一条包含消息X(传输给P)的消息，P能够读取消息X并且重复；

PsaidX：在某个时间，主体P发送了一条包含信息，消息内容中有X；

PsaysX：主体P一定是在现在或者是当前通信开始时候发送的包含X的消息；

PhasX：消息X最初是对P有效；由主体P接受的；P可以生成X；P可以进行构造的；

PcontrolsX：消息X的来源可以确认是P，并且P可以控制消息X；

fresh(X):消息X是新鲜的，也就是说在当前的协议运行之前，没有收到相同的消息X；

主体P和主体Q之间通过共享的会话密钥K进行通信，并且K除了P和Q以及他们信任的主体之外，对其他人是保密的；

{X}_K：消息X是通过密钥K进行加密过的。

SVO逻辑遵从的两条基本推导规则：MP规则：规则：/>认证过程的形式化分析中遵循SVO公理：

相信公理

源关联公理

密钥协商公理

接收公理

看到公理

理解公理

叙述公理

仲裁公理

新鲜性公理

良好密钥的对称性公理

1)初始假设

A1：fresh(C，x_a，m_a，k_c)

A2：fresh(m_s，ACK_s)

A3：fresh(ACK_c)

A4：S received C，x_a，m_a，k_c

A5：C received m_s，ACK_s

A6：S received ACK_c

A7：C has C，params，PWC，k_c，k_a，S

A8：S has s，k_s，params，VPWC

A9：C believes S controls

A10：S believes C controls

A1～A3：假设认证过程中消息具有新鲜性；A4～A6：假设认证过程中消息都成功传输给另一方；A7～A8：假设认证阶段前客户拥有共享密钥信息k_c和需要的其他消息，服务器拥有共享密钥信息k_s和私钥s；A9～A10：会话密钥k_sc由通信双方共同生成，因此通信双方C和S都具有仲裁权。

2)分析方案实现目标和理想化方案交互过程

认证过程实现目标：P1：C believesP2：S believes/>应用上述假设和SVO逻辑公理对认证阶段方案的推理如下：

①S received C，x_a，m_a，k_c，根据接收公理6和NEC推导规则可得；

②S believes S received PWC，k_c，C，通过理想假设A8完成客户身份认证并结合看到公理8，9可得；

③S believes(S has k_c，k_a)∧S believes C said(k_c，k_a)，结合理想假设A8和密钥协商公理5可得；

④S believes(S hask_sc)，根据理想假设A5和接收公理可得；

⑤C received结合理想假设A7可得；

⑥C received k_s，结合看到公理6和NEC推导规则苛责；

⑦C believes C has k_s，结合理想假设A11和密钥协商公理5可得；

⑧C believes C has k_sc，结合推理过程5对服务器身份完成认证后可得；

⑨C believes S said H₃(S，C，k_sc)，结合理想假设A2和新鲜性公理18可得；

⑩C believes S says结合理想假设A9和仲裁公理15可得目标P1；

C believes结合以上步骤同理可证得目标P2。

尽管为说明目的公开了本发明的具体内容、实施方式以及附图，其目的在于帮助理解本发明的目的并据以实施。任何熟悉本技术领域的技术人员可以理解：本发明的保护范围并不局限于此，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种客户/服务器模式下的认证及密钥协商方法，其特征在于：

步骤一，服务器端S选择长度为k的大素数N，选择的生成元g，选择服务器的私钥并计算服务器的公钥PK_s＝g^smod N；规定口令的长度l；选择三个哈希函数H₁：{0，1}^*→{0，1}^l，H₂：{0，1}^*→{0，1}^k，H₃：{0，1}^*→{0，1}^*；S将{k，l，N，g，PK_s，H₁，H₂，H₃}设置为系统的公共参数params，将私钥s秘密保存，并将params通过一个安全布告板进行公布；

步骤二，当客户端C向S进行注册时，通过安全布告板下载公共参数pararms；选择长度为l的口令PWC；选择计算/> 将<C，x_r，m_r>发送给S；

步骤三，S利用私钥s计算计算/>计算VPWC＝H₂(C，PWC，s)；VPWC是用户口令的加盐哈希值，S将VPWC存入本地口令列表；

步骤四，当客户需要和服务器进行认证和密钥交换时，选择计算选择/>计算k_c＝g^x mod N，并将<C，x_a，m_a，k_c>发送给服务器；

步骤五，收到客户的消息后，S计算计算/>利用私钥s恢复VPWC并与本地存储值进行比较；若不一致则终止协议；若一致，则选择计算k_s＝g^y mod N，计算/>计算/>计算ACK_s＝H₃(S，C，k_sc)，并将<m_s，ACK_s>发送给C；

步骤六，客户利用k_a、k_c和PWC计算H₂(S，C，k_a，PWC)，从m_s中恢复出k_s，计算会话密钥k_cs＝k_s ^x mod N；C计算ACK_s′＝H₃(S，C，k_cs)并验证其是否与ACK_s一致，若一致则计算ACK_c＝H₃(C，S，k_cs)，并将其发送给S；

步骤七，服务器利用k_sc计算ACK_c′＝H₃(C，S，k_sc)并验证其与ACK_c是否一致；若一致，则设置k_sc为会话密钥，并为C提供服务；

步骤八，当客户需要和服务器更新自己的口令时，选择新的口令PWC_new，选择计算计算/>计算/>并将<C，x_u，m_wm_u′>发送给服务器；

步骤九，服务器收到消息<C，x_u，m_u，m_u′>后，计算利用k_u从m_u中获得PWC_new，利用PWC_new从m_u′中获得PWC；利用PWC重构VPWC，若与本地存储值一致，则接受PWC_new为用户新的口令，基于PWC_new产生新的加盐口令哈希值VPWC_new，更新口令列表中C的项；S产生确认消息ACK_u＝H₃(C，S，PWC，PWC_new)并将ACKu发送给C；

步骤十，客户重构ACK_u′＝H₃(C，S，PWC，PWC_new)并与ACK_u相比较，若二者一致，则认为口令更新成功。

2.如权利要求1所述的客户/服务器模式下的认证及密钥协商方法，其特征在于，步骤二中，所述客户选择用户名和口令并发送给服务器的方法，包括：

选择长度为l的口令PWC；选择计算/> 将<C，x_r，m_r>发送给S。

3.如权利要求1所述的客户/服务器模式下的认证及密钥协商方法，其特征在于，步骤三中，所述服务器端对于用户口令的存储方法，包括：

计算并存储VPWC＝H₂(C，PWC，s)。

4.如权利要求1所述的客户/服务器模式下的认证及密钥协商方法，其特征在于，步骤四中，所述密钥协商完成前，客户端通过服务器公钥安全传输消息的方法，包括：

客户选择计算/>将k_a作为密钥，计算

进一步，服务端进行解密过程，计算计算/>

5.如权利要求1所述的客户/服务器模式下的认证及密钥协商方法，其特征在于，步骤七中，所述客户端验证服务端身份，并验证会话密钥的方法，包括：

客户接收到消息<m_s，ACK_s>后，计算H₂(S，C，k_a，PWC)，从m_s中恢复出k_s，计算会话密钥k_cs＝k_s ^x mod N；客户计算ACK_s′＝H_s(S，C，k_cs)并验证其是否与ACK_s一致。

6.如权利要求1所述的客户/服务器模式下的认证及密钥协商方法，其特征在于，步骤八中，所述客户端安全传输新口令的方法，包括：

客户端选择通过服务器公钥加密的消息作为密钥和新口令异或，即

7.如权利要求1所述的客户/服务器模式下的认证及密钥协商方法，其特征在于，步骤九中，所述服务端验证客户端身份的方法，包括：

服务端先利用消息<C，x_u，m_u，m_u′>获取到新口令，将新口令作为密钥和旧的口令进行异或得到旧口令PWC，通过和本地存储值验证是否一致完成认证。

8.一种实施权利要求1～7任意一项所述的客户/服务器模式下的认证及密钥协商方法的客户/服务器模式下的认证及密钥协商系统，其特征在于，所述客户/服务器模式下的认证及密钥协商系统，包括客户端和服务器；

其中，服务器S，用于接收客户端发送的<C，x_r，m_r>对客户进行注册；服务器从x_r中利用s计算出注册密钥k_r，再利用k_r从m_r中获得PWC；服务器计算并保存VPWC，即使口令列表被窃取，对客户端的认证依然是安全的；用于接收客户端发送的<C，x_a，m_a，k_c>；S从x_a中利用私钥s计算出密钥k_a，再利用k_a从m_a中获得用户的口令PWC，S利用PWC计算出VPWC和本地存储值进行对比，若一致利用k_c计算会话密钥k_sc＝k_c ^y mod N，并发送消息<m_s，ACK_s>给用户；用于接收客户端发送的ACK_c；利用k_sc计算ACK_c′＝H₃(C，S，k_sc)，若ACK_c′ACK_c，则完成对C的认证，并使用k_sc作为会话密钥；

客户端C，用于获取服务器S发布的参数params，其中包含服务器的公钥，可以实现客户端安全注册和对服务器的认证；客户端计算密钥分量x_r，只有服务器才能够从x_r恢复k_r，从而安全地将PWC传送给服务器；用于接收服务器发送的消息m_s，只有客户才具有k_a和PWC，能够重构出H₂(S，C，k_a，PWC)从而获得k_s并计算正确的会话密钥k_cs；

其中s为服务器的私钥，是群上的一个整数；PWC为用户的口令；VPWC是加盐的用户口令哈希值，基于用户身份C、PWC和s生成；H₂(S，C，k_a，PWC)用作S向C证明自己的身份。

9.一种计算机设备，其特征在于，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行如下步骤：

服务器端S选择长度为k的大素数N，选择的生成元g，选择服务器的私钥/>并计算服务器的公钥PK_s＝g^s mod N；规定口令的长度l；选择三个哈希函数H₁：{0，1}^*→{0，1}^l，H₂：{0，1}^*→{0，1}^k，H₃：{0，1}^*→{0，1}^*；S将{k，l，N，g，PK_s，H₁，H₂，H₃}设置为系统的公共参数params，将私钥s秘密保存，并将params通过一个安全布告板进行公布；

当客户端C向S进行注册时，通过安全布告板下载公共参数params；选择长度为l的口令PWC；选择计算/> 将<C，x_r，m_r>发送给S；S利用私钥s计算/>计算/>计算VPWC＝H₂(C，PWC，s)；VPWC是用户口令的加盐哈希值，S将VPWC存入本地口令列表；

当客户需要和服务器进行认证和密钥交换时，选择计算选择/>计算k_c＝g^x mod N，并将<C，x_a，m_a，k_c>发送给服务器；收到客户的消息后，S计算计算/>利用私钥s恢复VPWC并与本地存储值进行比较；若不一致则终止协议；若一致，则选择/>计算k_s＝g^y mod N，计算计算/>计算ACK_s＝H₃(S，C，k_sc)，并将<m_s，ACK_s}发送给C；

客户利用k_a和PWC计算H₂(S，C，k_a，PWC)，从m_s中恢复出k_s，计算会话密钥k_cs＝k_s ^x mod N；C计算ACK_s′＝H₃(S，C，k_cs)并验证其是否与ACK_s一致，若一致则计算ACK_c＝H₃(C，S，k_cs)，并将其发送给S；服务器利用k_sc计算ACK_c′＝H₃(C，S，k_sc)并验证其与ACK_c是否一致；若一致，则设置k_sc为会话密钥，并为C提供服务。

10.一种信息数据处理终端，其特征在于，所述信息数据处理终端用于实现如权利要求8所述的客户/服务器模式下的认证及密钥协商系统。