CN114125833B - 一种用于智能设备通信的多因素认证密钥协商方法 - Google Patents

Abstract

本发明公开了一种用于智能设备通信的多因素认证密钥协商方法，包括初始化阶段，注册阶段和登录认证阶段；生成所需的安全参数；客户端生成相关参数并存储到相应移动设备中并发送给注册中心，注册中心接收到注册请求后，生成相应的用户标识记录并将其存储到后端数据库中；用户已注册的移动设备输入相应参数信息并向服务器发送身份认证请求；服务器接收到请求后，验证用户的合法身份，生成当前会话标识并将其作为认证响应反馈给客户端；客户端接收到认证响应后生成会话密钥，并生成一系列后续用于认证的参数并发送给服务器；服务器收到认证请求后生成会话密钥，并生成认证参数反馈给客户端；最终利用消息认证码，实现双方认证与密钥协商。

Description

一种用于智能设备通信的多因素认证密钥协商方法

技术领域

本发明属于计算机通信中的密钥协商技术邻域，尤其涉及一种用于智能设备通信的多因素认证密钥协商方法。

背景技术

移动通信技术日新月异，在5G网络下，4K高清电影、VR直播、智慧工厂、无人驾驶等应用将不再是梦想，不仅影响个人生活方方面面，而且渗透到社会的各个领域，真正实现了万物互联(如图1)。随之而来的是移动通信网络受到各种安全问题的侵扰，经常成为攻击者的攻击目标。移动通信网络所面临的安全威胁一方面是攻击者可能针对用户个人隐私发起攻击，如窃听传输信道信息，窃取用户位置等；另一方面是攻击者可能针对某个区域的移动通信网络发起攻击，利用移动通信网的漏洞造成严重破坏，如网络瘫痪、用户位置跟踪等。为了消除移动通信网络面临的安全威胁，保障个人用户的合法权益和移动通信网的安全通信，引入安全、可信、高效的认证密钥协商机制是必要且必须的，为移动通信网的通信安全与隐私保驾护航，确保合法用户才能接入网络，访问合法数据，合法网络才能服务用户。

长期以来，单因素认证与密钥协商是移动通信网络认证密钥交换协议的研究热点，如用户使用密码或生物特征与服务器交互以建立会话密钥从而实现认证，但如今，更好的安全性需求使得多因素认证与密钥协商流行起来，如同时结合密码和生物特征。当下，一些研究学者已在移动通信网络认证与密钥协商相关领域取得了一定的研究成果，但现有研究成果仍存在着用户身份隐私泄露、无法有效管理、安全性与效率两者无法取得平衡等问题。为确保移动通信网络中的通信安全与隐私保护，构建安全、高效的多因素认证与密钥协商方案已然是迫在眉睫，亟待解决现有方案存在的相关问题：

1)认证效率。目前的一些移动通信多因素认证方案为了提高安全性，不惜以牺牲效率作为代价，从而导致方案的安全性与认证效率之间无法取得一个良好的平衡点。

2)多因素认证的健壮性。只要有一个因素未被破坏，所提方案就应该保持其安全性，这是移动通信网络中多因素认证方案的基本安全要求，但现有许多方案并不能满足该安全要求。

3)会话密钥安全性。身份认证只是防止非法用户进入移动通信网络的一种方式，而后续的通信也需要保护。

发明内容

发明目的：针对以上问题，本发明提出一种用于智能设备通信的多因素认证密钥协商方法，足够安全且高效地多因素认证与密钥协商，可高效地用于移动通信网络环境中。

技术方案：为实现本发明的目的，本发明所采用的技术方案是：一种用于智能设备通信的多因素认证密钥协商方法，包括：

初始化阶段：生成系统在注册和认证阶段所需要用到的系统参数；

注册阶段：客户端与注册中心进行交互，客户端生成相关参数并存储到相应移动设备中并发送给注册中心，注册中心在接收到客户端的注册请求后，运用模糊提取器、公钥加密生成相应的用户标识记录并将其存储到后端数据库中；

登录认证阶段：

用户已注册的移动设备输入相应参数信息并向服务器发送身份认证请求；

服务器在接收到用户的登录请求后，首先通过注册阶段生成的用户标识来验证用户的合法身份，其次，服务器随机生成随机数并计算相关安全参数，生成当前会话标识并将其作为认证响应反馈给客户端；

客户端在接收到服务器的认证响应后，首先生成随机数，基于离散对数问题的计算进而生成会话密钥，利用公钥加密算法计算一系列后续用于认证的参数并发送给服务器；

服务器在收到客户端的认证请求后，同样基于离散对数问题的计算并生成会话密钥，利用公钥加密算法生成认证参数反馈给客户端；

最终客户端与服务器两边各自拥有一组认证参数，两边同时输入各自的认证参数，利用消息认证码，实现双方认证与密钥协商。

进一步的，初始化阶段具体包括：

首先给定安全参数κ，服务器选择一个素数阶为p，生成元为H的循环群

其次运行公钥生成算法PKE.KeyGen获取(PK,private key)，其中private key为其私钥，PK为其公钥；最终系统的公共参数

本阶段输出：

进一步的，注册阶段客户端与注册中心交互如下：

首先，客户端随机选择一个密码∈，随后生成一个生物特征ω并将其发送给注册中心；注册中心利用模糊提取器中的生物特征提取算法Gen(ω)得到一个对应于用户生物特征的随机字符串θ和一个公开辅助字符串

随即删除生物特征采样ω；

客户端从群

中选择一个元素μ，注册中心计算E＝H^(∈+θ+μ)并删除θ，运行公钥加密算法PKE.Enc(PK,(E,otherinfo))进行加密，otherinfo表示输入的用户其他信息，Edata表示加密结果；

服务器随机生成一个用户标识userid用于表示客户端身份，并将(userid,Edata)作为一条用户记录存储到后端数据库中；客户端利用通信设备，下载并保存生物特征恢复算法Rep并安全存储参数

进一步的，登录认证阶段具体包括：

首先具有用户标识userid的客户端使用已注册的设备向服务器发送身份认证请求；服务器在收到认证请求后，此时客户端与服务器各自拥有(∈,θ,μ)；

服务器利用用户标识userid作为索引从数据库中搜索加密结果Edata，利用公钥解密算法PKE.Enc(private key,Edata)进行解密得到E，E＝H^(∈+θ+μ)；并从群

随机选择4个数(α₁,α₂,α₃,α₄)以及选择一个由安全参数κ相关的随机数η₁∈{0,1}^κ，开始计算

生成用于表示当前会话的会话标识sessionid；将challenge＝{A₁,A₂,A₃,A₄,η₁,sessionid}发送给客户端，challenge表示服务器对客户端的认证挑战；

客户端在接受到challenge后，从群

随机选择两个元素α'₃,α'₄并生成一个随机数η₂∈{0,1}^κ，计算认证参数

计算会话密钥：

以及参数Z₁＝A₁||A₂||A₃||A₄||η₁||sessionid,Z₁表示交互消息；随后客户端运行消息认证码中加密消息和密钥的函数MAC.Mac_SK(Z₁)，得到一个验证标签Γ₁；将客户端对服务器的认证应答response＝{A'₃,A'₄,η₂,sessionid}和验证标签Γ₁发送给服务器；

服务器在接收到客户端发来的认证应答response后，计算会话密钥：

以及参数Z₂＝A'₃||A'₄||η₂||sessionid，Z₂表示交互消息；随后服务器运行消息认证码中加密消息和密钥的函数MAC.Mac_SK'(Z₂)，得到一个验证标签Γ₂；将验证标签Γ₂发送给客户端；

此时，客户端与服务器两者分别拥有一组参数{Γ₁,Z₁}和{Γ₂,Z₂}；

最终服务器运行消息认证码中验证消息和密钥的函数MAC.Verify_SK‘(Γ₁,Z₁)，若输出1，则通过认证且会话密钥正确有效，反之输出0，则拒绝认证且会话密钥错误无效；

同样，客户端运行消息认证码中验证消息和密钥的函数MAC.Verify_SK(Γ₂,Z₂)，若输出1，则通过认证且会话密钥正确有效，反之输出0，则拒绝认证且会话密钥错误无效。

有益效果：与现有技术相比，本发明的技术方案具有以下有益的技术效果：

1、本发明实现了真正的三因素安全。若攻击者获得了三个认证因素(即密码、智能手机和生物特征)中的任意两个，攻击者就无法成功算出第三个因素。

2、本发明可以满足会话密钥安全性。本发明基于离散对数困难性问题，通过共享的秘密信息结合随机数生成匿名的会话标识和会话密钥，即攻击者不能窃取或计算用户与服务器协商的会话密钥，并能抵御特定会话的临时信息泄露攻击。

3、本发明在安全性与效率之间取得平衡。本发明利用模糊提取器来避免生物特征直接匹配而造成的大量计算和通信开销。另外，从保护用户个人隐私的角度看，这个做法是正确且合理的。

4、本发明可以抵抗重放攻击。本发明利用随机数和生成的会话标识来保护协议免受重放攻击，攻击者无法利用网络监听或者其它方法伪造认证凭据，避免欺诈性地重复一个有效的数据传输。

附图说明

图1为移动通信网络模型；

图2为本发明系统模型。

具体实施方式

下面结合附图和实施例对本发明的技术方案作进一步的说明。

本发明所述的用于智能设备通信的多因素认证密钥协商方法，利用模糊提取器进行生物特征的提取与识别，避免直接匹配识别带来的大量计算与通信开销。基于DDH假设、公钥加密以及消息认证码，实现了移动通信网络中多因素身份认证与密钥协商，本发明的安全性本质上是建立在离散对数问题上。

首先简要阐述方案的三种重要组成部分，其次给出详实的实施方案。

1、方案三要素：

1)模糊提取器：{Gen,Rep}

生物特征生成算法Gen输入字符串噪音随机源的采样ω，输出一个字符串θ和一个公开辅助字符串

其中θ是生成的对应于用户生物特征的随机字符串，用于生物特征匹配，

只是一个公开辅助参数，不会泄露θ的太多信息。

生物特征再生算法输入字符串噪音随机源的另一次采样ω'和一个公开辅助字符串

输出一个字符串θ，其中θ是恢复出的对应于用户生物特征的随机字符串。

如果两次输入的生物特征误差满足指定阈值ε内，即dis(ω,ω')≤ε，则输出对应于用户生物特征的字符串θ。

2)消息认证码MAC：{MAC.Mac,MAC.Vrfy}

消息认证码是一种认证技术，利用密钥来生成一个固定长度的数据块，并将该数据块附加在消息之后。其中MAC.Mac是加密消息和密钥的函数，MAC.Vrfy是验证消息和密钥的函数。

3)公钥加密算法：{PKE.KeyGen,PKE.Enc,PKE.Dec}

公钥加密算法，又称非对称加密算法。其中PKE.KeyGen为密钥生成算法，PKE.Enc为公钥加密算法，PKE.Dec为公钥解密算法。

本发明系统模型如图2，共有以下三个阶段：

1、初始化阶段：生成系统在注册和认证阶段所需要用到的系统参数。

首先给定安全参数κ，服务器选择一个素数阶为p，生成元为H的循环群

其次运行公钥生成算法PKE.KeyGen获取(PK,private key)，其中private key为其私钥，PK为其公钥；最终系统的公共参数

本阶段输出：

2、注册阶段：客户端与注册中心进行交互，客户端生成相关参数并存储到相应移动设备中并发送给注册中心，注册中心在接收到客户端的注册请求后，运用模糊提取器、公钥加密生成相应的用户标识记录并将其存储到后端数据库中。

注册阶段客户端与注册中心交互如下：

首先，客户端随机选择一个密码∈，随后生成一个生物特征ω并将其发送给注册中心；注册中心利用模糊提取器中的生物特征提取算法Gen(ω)得到一个对应于用户生物特征的随机字符串θ和一个公开辅助字符串

随即删除生物特征采样ω；

客户端从群

中选择一个元素μ，或者输入用户其它信息(如生日、手机号码等)并用otherinfo表示；随即注册中心计算E＝H^(∈+θ+μ)并删除θ，运行公钥加密算法PKE.Enc(PK,(E,otherinfo))进行加密，Edata表示加密结果；

随后，服务器随机生成一个用户标识userid用于表示客户端身份，并将(userid,Edata)作为一条用户记录存储到后端数据库中；客户端利用通信设备，如智能手机等，下载保存生物特征恢复算法Rep并安全存储参数

3、登录认证阶段：

用户已注册的移动设备输入相应参数信息并向服务器发送身份认证请求；

服务器在接收到用户的登录请求后，首先通过注册阶段生成的用户标识来验证用户的合法身份，其次，服务器随机生成随机数并计算相关安全参数，生成当前会话标识并将其作为认证响应反馈给客户端；

客户端在接收到服务器的认证响应后，首先生成随机数，基于离散对数问题的计算进而生成会话密钥，利用公钥加密算法生成计算一系列后续用于认证的参数并发送给服务器；

服务器在收到客户端的认证请求后，同样基于离散对数问题的计算并生成会话密钥，利用公钥加密算法生成认证参数反馈给客户端；

最终客户端与服务器两边各自拥有一组认证参数，两边同时输入各自的认证参数，利用消息认证码，实现双方认证与密钥协商。

登录认证阶段具体实现如下：

首先具有用户标识userid的客户端使用已注册的设备向服务器发送身份认证请求；服务器在收到认证请求后，此时客户端与服务器各自拥有(∈,θ,μ)；

服务器利用用户标识userid作为索引从数据库中搜索加密结果Edata，利用公钥解密算法PKE.Enc(private key,Edata)进行解密得到E，E＝H^(∈+θ+μ)；并从群

随机选择4个数(α₁,α₂,α₃,α₄)以及选择一个由安全参数κ相关的随机数η₁∈{0,1}^κ，开始计算

生成用于表示当前会话的会话标识sessionid；将challenge＝{A₁,A₂,A₃,A₄,η₁,sessionid}发送给客户端，challenge表示服务器对客户端的认证挑战；

客户端在接受到challenge后，从群

随机选择两个元素α'₃,α'₄并生成一个随机数η₂∈{0,1}^κ，计算认证参数

计算会话密钥：

以及参数Z₁＝A₁||A₂||A₃||A₄||η₁||sessionid,Z₁表示交互消息；随后客户端运行消息认证码中加密消息和密钥的函数MAC.Mac_SK(Z₁)，得到一个验证标签Γ₁；将客户端对服务器的认证应答response＝{A'₃,A'₄,η₂,sessionid}和验证标签Γ₁发送给服务器；

服务器在接收到客户端发来的认证应答response后，计算会话密钥：

以及参数Z₂＝A'₃||A'₄||η₂||sessionid，Z₂表示交互消息；随后服务器运行消息认证码中加密消息和密钥的函数MAC.Mac_SK'(Z₂)，得到一个验证标签Γ₂；将验证标签Γ₂发送给客户端；

此时，客户端与服务器两者分别拥有一组参数{Γ₁,Z₁}和{Γ₂,Z₂}；

最终服务器运行消息认证码中验证消息和密钥的函数MAC.Verify_SK'(Γ₁,Z₁)，若输出1，则通过认证且会话密钥正确有效，反之输出0，则拒绝认证且会话密钥错误无效；

同样，客户端运行消息认证码中验证消息和密钥的函数MAC.Verify_SK(Γ₂,Z₂)，若输出1，则通过认证且会话密钥正确有效，反之输出0，则拒绝认证且会话密钥错误无效。

本发明避免设计复杂的方案，不会导致高昂的计算和通信开销，仅涉及异或、指数等简单运算，在保证安全性的前提下，又可实现轻量化认证。本发明设置了一个阈值上限，攻击者最多可以破坏单个用户的两个因素，即只要有最后一个因素没有被攻击者破坏，该方案仍是安全的。本发明在身份认证结束时，在客户端和服务器之间建立会话密钥，攻击者不能窃取或计算用户与服务器协商的会话密钥。

Claims (1)

1.一种用于智能设备通信的多因素认证密钥协商方法，其特征在于：该方法包括：

初始化阶段：生成系统在注册和认证阶段所需要用到的系统参数，具体包括：

首先给定安全参数κ，服务器选择一个素数阶为p，生成元为H的循环群

其次运行公钥生成算法PKE.KeyGen获取(PK,private key)，其中private key为其私钥，PK为其公钥；最终系统的公共参数

本阶段输出：

注册阶段：客户端与注册中心进行交互，客户端生成相关参数并存储到相应移动设备中并发送给注册中心，注册中心在接收到客户端的注册请求后，运用模糊提取器、公钥加密生成相应的用户标识记录并将其存储到后端数据库中，具体如下：

首先，客户端随机选择一个密码ε，随后生成一个生物特征ω并将其发送给注册中心；注册中心利用模糊提取器中的生物特征提取算法Gen(ω)得到一个对应于用户生物特征的随机字符串θ和一个公开辅助字符串

随即删除生物特征采样ω；

客户端从群

中选择一个元素μ，注册中心计算E＝H^(ε+θ+μ)并删除θ，运行公钥加密算法PKE.Enc(PK,(E,otherinfo))进行加密，otherinfo表示输入的用户其他信息，Edata表示加密结果；

服务器随机生成一个用户标识userid用于表示客户端身份，并将(userid,Edata)作为一条用户记录存储到后端数据库中；客户端利用通信设备，下载并保存生物特征恢复算法Rep并安全存储参数

登录认证阶段：

用户已注册的移动设备输入相应参数信息并向服务器发送身份认证请求；

服务器在接收到用户的登录请求后，首先通过注册阶段生成的用户标识来验证用户的合法身份，其次，服务器随机生成随机数并计算相关安全参数，生成当前会话标识并将其作为认证响应反馈给客户端；

客户端在接收到服务器的认证响应后，首先生成随机数，基于离散对数问题的计算进而生成会话密钥，利用公钥加密算法计算一系列后续用于认证的参数并发送给服务器；

服务器在收到客户端的认证请求后，同样基于离散对数问题的计算并生成会话密钥，利用公钥加密算法生成认证参数反馈给客户端；

最终客户端与服务器两边各自拥有一组认证参数，两边同时输入各自的认证参数，利用消息认证码，实现双方认证与密钥协商；

登录认证阶段具体包括：

首先具有用户标识userid的客户端使用已注册的设备向服务器发送身份认证请求；服务器在收到认证请求后，此时客户端与服务器各自拥有(ε,θ,μ)；

服务器利用用户标识userid作为索引从数据库中搜索加密结果Edata，利用公钥解密算法PKE.Enc(private key,Edata)进行解密得到E，E＝H^(ε+θ+μ)；并从群

随机选择4个数(α₁,α₂,α₃,α₄)以及选择一个由安全参数κ相关的随机数η₁∈{0,1}^κ，开始计算

生成用于表示当前会话的会话标识sessionid；将challenge＝{A₁,A₂,A₃,A₄,η₁,sessionid}发送给客户端，challenge表示服务器对客户端的认证挑战；

客户端在接受到challenge后，从群

随机选择两个元素α'₃,α'₄并生成一个随机数η₂∈{0,1}^κ，计算认证参数

计算会话密钥：

以及参数Z₁＝A₁||A₂||A₃||A₄||η₁||sessionid,Z₁表示交互消息；随后客户端运行消息认证码中加密消息和密钥的函数MAC.Mac_SK(Z₁)，得到一个验证标签Γ₁；将客户端对服务器的认证应答response＝{A′₃,A′₄,η₂,sessionid}和验证标签Γ₁发送给服务器；

服务器在接收到客户端发来的认证应答response后，计算会话密钥：

以及参数Z₂＝A′₃||A′₄||η₂||sessionid，Z₂表示交互消息；随后服务器运行消息认证码中加密消息和密钥的函数MAC.Mac_SK'(Z₂)，得到一个验证标签Γ₂；将验证标签Γ₂发送给客户端；

此时，客户端与服务器两者分别拥有一组参数{Γ₁,Z₁}和{Γ₂,Z₂}；

最终服务器运行消息认证码中验证消息和密钥的函数MAC.Verify_SK‘(Γ₁,Z₁)，若输出1，则通过认证且会话密钥正确有效，反之输出0，则拒绝认证且会话密钥错误无效；

同样，客户端运行消息认证码中验证消息和密钥的函数MAC.Verify_SK(Γ₂,Z₂)，若输出1，则通过认证且会话密钥正确有效，反之输出0，则拒绝认证且会话密钥错误无效。

Images