CN115242435B - 一种具有可验证属性的多因子认证系统及方法 - Google Patents

Abstract

本发明公开了一种具有可验证属性的多因子认证系统及方法，该系统包括用户U、注册中心RC、认证服务器S和智能传感设备SD。本发明通过在用户登录阶段，使用可验证秘密共享技术将用户的私钥sk_U分布式存储于n个认证因子中，使认证因子D具有可验证属性，能够抵抗敌手发起的设备攻击；使用模糊提取器将用户生物特征提取并转换为密码学密钥，防止生物信息被窃取；使用伪随机函数保证了用户口令pw和认证设备中私密信息的安全性。在密钥协商阶段，使用2轮通信实现了认证实体间的相互认证，确保了认证的实时性；与传统的认证方案相比，具有更高的通信效率，同时具有密钥不可区分性和前向安全性，能够有效抵抗重放、伪装、中间人、窃听等多种已知攻击。

Description

一种具有可验证属性的多因子认证系统及方法

技术领域

本发明涉及信息安全技术领域，尤其涉及到一种具有可验证属性的多因子认证系统及方法。

背景技术

近年来，随着住院患者数量的不断增长，专业医疗人员(医生、护士) 定期监测患者的健康状况已成为一项困难的任务。智慧医疗(Smart Healthcare) 和移动健康成为这一问题的重要解决方案。智慧医疗是一个包含大量智能传感设备(Smart Devices)的系统，物联网技术在系统中发挥了极大的作用，旨在建立一个智能的远程疾病预防与管理平台。在智慧医疗系统中，智能传感设备被安置于患者的身体或病房，用于采集相关的生理信息(体温、血压、脉搏)，医生可以随时获取患者的信息。不仅有助于降低医疗成本，还能辅助医生进行早期诊断，为患者提供实时健康保障。

以监测系统为例，在患者的病房中通常需要安置各种智能传感设备，如生命体征监测设备、患者定位设备、输液监控设备等。这些设备实时收集患者的生命体征数据，但受到自身存储空间和计算资源的限制，无法自行处理数据。智能传感设备通过公共网络上传收集的医疗数据，便于用户(医生、管理员)访问医疗数据或进行远程医疗诊断。但公开传输医疗数据易造成患者隐私泄露，并且数据存在被篡改的风险。如果医疗数据泄露或者被攻击者篡改，将造成巨大的医疗事故。针对上述安全问题，用户访问医疗数据之前必须完成身份认证，建立认证信道，确保医疗数据的安全性。认证密钥交换(AKE)技术为用户安全访问医疗数据、保护数据隐私提供了关键的技术支持。

设计面向智慧医疗系统的用户身份认证协议一直是信息安全领域的研究热点。由于智慧医疗场景的身份认证协议通常具有较高的安全需求。一方面，医疗数据属于敏感信息，对协议的安全性有更高要求；另一方面，医疗系统要求实时响应，协议需满足较低的计算和通信开销且使用便捷。现有协议尚无法兼顾安全、高效、实用这三个基本属性。因此，如何设计一个能提供安全有效的用户认证、保障医疗数据隐私性的方案，是一个亟需解决的技术问题。

目前也有一些解决上述问题的方案，主要包括单因子认证方案和多因子认证方案。其中，单因子认证可进一步分为基于口令认证、基于硬件设备认证和基于生物特征认证三种方式，且不同认证方式的优缺点各不相同：在基于口令的认证方式中，口令容易记忆且便于使用，但普通用户选择的口令一般相对简单，易遭受口令猜测攻击，存在一定的安全隐患；在基于硬件设备的认证方式中，硬件设备比口令具有更高的安全性，可有效抵御猜测攻击，但硬件设备可能丢失或发生故障，实用性相对较差；在基于生物特征的认证方式中，生物特征是用户唯一的标识，但生物信息易被他人复制或窃取，因此也存在一定的安全问题。

由于单因子认证方案无法提供足够的安全性，研究人员结合口令、设备、生物特征三种认证方式提出了多因子身份认证方案(2FAKE、MFAKE)。多因子认证具有三种单因子认证的优点，解决了单因子认证安全性不足的问题，但现存的多因子认证方案也存在如下问题：易遭受敌手攻击、未实现前向安全、认证因子受到威胁、安全归约损耗过大、通信效率不高等，在实际使用中存在局限性。

发明内容

本发明的主要目的在于提供一种具有可验证属性的多因子认证系统及方法，旨在解决目前现有多因子认证方案具有易遭受敌手攻击、未实现前向安全、认证因子受到威胁、安全归约损耗过大、通信效率不高等问题，在实际使用中存在局限性的技术问题。

为实现上述目的，本发明提供一种具有可验证属性的多因子认证系统，系统包括用户U、注册中心RC、认证服务器S和智能传感设备SD；其中：

所述用户U与认证服务器S进行双向通信并主动发起认证请求，用于与智能传感设备SD建立安全的认证信道，所述用户U拥有n个认证因子D，所述认证因子D包括口令pw、认证设备(智能手机或智能手表)和生物特征Bio，用户U 使用认证因子D完成身份认证以访问患者的医疗数据；

所述注册中心RC为受信任的实体，用于用户U和认证服务器S的注册，产生用户U和认证服务器S的公私钥对，所述注册中心RC还用于将所有认证因子D与用户U的私钥sk_U关联，完成认证因子D的注册；

认证服务器S用于接收用户U发送的认证信息，管理智能传感设备SD的认证过程，承担认证过程中智能传感设备SD的部分计算任务；

智能传感设备SD为患者穿戴的医疗设备，用于收集患者的生理信息；所述智能设备SD还用于与认证服务器S进行双向通信，接收认证服务器S发送的认证信息，与用户U完成相互认证并获取会话密钥K。

本发明中，在认证完成后，使用会话密钥K加密传输医疗数据，在保证医疗数据安全性的前提下，同时确保医生能实时掌握患者的健康状况。

此外，为了实现上述目的，本发明还提供了一种具有可验证属性的多因子认证方法，用于如上所述的具有可验证属性的多因子认证系统，所述方法包括以下步骤：

S1：注册中心RC初始化；

S2：认证因子D、认证服务器S和用户U在注册中心RC执行注册过程；

S3：用户U利用认证因子D进行登录；

S4：用户U利用认证消息与认证服务器S进行密钥协商，并建立用户U 与智能传感设备的通信信道。

可选的，所述步骤S1具体包括：

S11：根据安全参数k，注册中心RC生成3个阶为素数q的循环群 G＝<g>,G₁＝<g₁>,G₂＝<g₂>，1个G₁到G₂的双线性映射e:G₁×G₁→G₂；

S12：注册中心RC选取两个值域分别为{0,1}^l和G₁的哈希函数H和H′，其中l为会话密钥的长度，初始化伪随机函数F_s(x)＝H(x,H′(x)^s)，s为伪随机函数的密钥；选取两个哈希函数H₀:G×G→K和H₁:R×{0,1}^*→G，其中K为会话密钥空间，R为随机数空间，初始化AKE协议；

S13：注册中心RC返回公开参数pp＝(G,G₁,G₂,e,q,g,F_s(x),H₀,H₁)。

可选的，所述步骤S2，具体包括：

S21：认证因子D注册，将用户选取的口令pw，生物特征Bio，n个随机数 {s₁,…,s_n}发送给注册中心RC；注册中心RC使用模糊提取器(Fuzzy Extractor) 将生物特征Bio转换为秘密字符串R，设置f(1)＝s₁,…,f(n)＝s_n,f(n+1)＝R，使用拉格朗日插值法生成t-1阶多项式f(x)＝α₀+α₁x+…+α_t-1x^t-1，其中t为门限值，注册中心RC将秘密份额s_i分别存储于认证设备D_i中；

S22：认证服务器S注册，认证服务器S选取私钥k_S并传输给注册中心RC，注册中心RC生成认证服务器S的公钥K_S，并选取智能设备SD与认证服务器S之间的对称密钥K_SD；

S23：用户U注册，注册中心RC设置伪随机函数的密钥s＝f(0)，并计算用户的私钥k_U＝F_s(pw)＝H(pw,H′(pw)^f(0))和公钥K_U，然后将K_U传输给用户； RC发布多项式f(x)所有系数α_i的承诺

可选的，所述步骤S3，具体包括：

S31：用户U使用口令pw执行登录操作，选取随机数r，计算α＝ H′(pw)^r∈G₁，选取任意t个(t≤n)认证设备，将β_Di发给认证设备；

S32：认证设备D_i收到α后，使用秘密份额s_i计算

将β_Di返回给用户U；

S33：用户验证设备D_i是否使用正确的秘密份额进行回复，用户使用公开的承诺值C_i计算

如果

成立，说明用户将接受设备D_i的回复；否则，认为设备D_i被敌手控制；

S34：如果认证设备回复的信息通过验证，用户U计算私钥k_U＝F_s(pw)＝ H(pw,(α^f(0))^1/r)，其中

λ_i是拉格朗日系数。

可选的，所述步骤S4，具体包括：

S41：秘钥处理；

S42：用户U发起认证；

S43：封装会话秘钥；

S44：用户U生成会话秘钥。

可选的，所述步骤S41，具体包括：

S411：令用户U的私钥k_U＝(b,a)，公钥K_U＝(x₀,x₁)，初始化计数器 ctr_U＝0；其中，k_U＝b‖a，|b|＝1bit，x_b＝g^a，x_1-b∈G，||表示连接符号， |b|表示b的长度；

S412：令认证服务器S的私钥k_S＝(d,c)，公钥K_S＝(y₀,y₁)，初始化计数器ctr_S＝0；其中，k_S＝d‖c，|d|＝1bit，y_d＝g^c，y_1-d∈G。

可选的，所述步骤S42，具体包括：

S421：用户U选取随机数u₁,u₂∈Z_q，计算

计数器ctr_U值增加1，设置认证消息m₁＝(U,S,ctr_U,U₁,U₂)；

S422：用户U选取随机数t_U∈R，计算y＝H₁(t_U,m₁)，令k_U＝(z₀,z₁)；然后生成签名σ₁＝(t_U,z₀,z₁,π)并将(m₁,σ₁)发给认证服务器S，其中 z_b＝g^a,z_1-b∈G，π←ZPrv(b,a；x₀,x₁；y,y,z₀,z₁)，ZPrv是一个通用的签名方案。

可选的，所述步骤S43，具体包括：

S431：如果ctr_U>ctr_S且ZVfy(π,x₀,x₁,y,y,z₀,z₁)＝1，服务器接受消息 (m₁,σ₁)，并同步状态ctr_S＝ctr_U，其中ZVfy是ZPrv对应的签名验证算法；

S432：认证服务器S使用对称密钥K_SD加密认证消息，将密文

发给智能传感设备SD；

S433：收到认证消息后，智能传感设备SD随机选取v∈Z_q，计算V＝g^v和会话密钥

将密文

发给认证服务器S；

S434：认证服务器S生成认证消息m₂＝(U,S,ctr_S,V)，选取随机数t_S∈R，计算y＝H₁(t_S,m₁||m₂)，令k_s＝(z₀,z₁)，生成签名σ₂＝(t_s,z₀,z₁,π)并将 (m₂,σ₂)发给用户U；其中z_d＝g^c,z_1-d∈G，π←ZPrv(c,d；y₀,y₁；y,y,z₀,z₁)。

可选的，所述步骤S44，具体包括：

S441：收到认证服务器S的消息后，如果计数器ctr_S＝ctr_U且 ZVfy(π,y₀,y₁,y,y,z₀,z₁)＝1，用户U接受消息(m₂,σ₂)；

S442：用户解析消息m₂获取V，计算会话密钥

S443：用户U与智能传感设备SD完成相互认证，建立安全的通信信道。

本发明实施例提出的一种具有可验证属性的多因子认证系统及方法，该系统包括用户U、注册中心RC、认证服务器S和智能传感设备SD。本发明通过在用户登录阶段，使用可验证秘密共享技术将用户的私钥sk_U分布式存储于 n个认证因子中，使认证因子D具有可验证属性，能够抵抗敌手发起的设备攻击；使用模糊提取器(Fuzzy Extractor)将用户生物特征提取并转换为密码学密钥，防止生物信息被窃取；使用伪随机函数(OPRF)保证了用户口令pw和认证设备中私密信息的安全性。在密钥协商阶段，方案仅使用2轮通信实现了认证实体间的相互认证，确保了认证的实时性；与传统的认证方案相比，具有更高的通信效率。在安全性方面，方案的安全性证明满足紧归约，同时具有密钥不可区分性和前向安全性，能够有效抵抗重放、伪装、中间人、窃听等多种已知攻击，为智慧医疗系统中的用户认证和医疗数据隐私提供了关键的安全保障。

附图说明

图1：本发明实施例的系统架构图；

图2：本发明实施例的方法流程图；

图3：本发明实施例的方法中用户注册流程图；

图4：本发明实施例的方法中用户登录流程图；

图5：本发明实施例的方法中密钥协商流程图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

目前，现存的多因子认证方案也存在如下问题：易遭受敌手攻击、未实现前向安全、认证因子受到威胁、安全归约损耗过大、通信效率不高等，在实际使用中存在局限性。

为了解决这一问题，提出本发明的具有可验证属性的多因子认证方法的各个实施例。本发明提供的具有可验证属性的多因子认证方法通过在用户登录阶段，使用可验证秘密共享技术将用户的私钥sk_U分布式存储于n个认证因子中，使认证因子D具有可验证属性，能够抵抗敌手发起的设备攻击；使用模糊提取器(Fuzzy Extractor)将用户生物特征提取并转换为密码学密钥，防止生物信息被窃取；使用伪随机函数(OPRF)保证了用户口令pw和认证设备中私密信息的安全性。在密钥协商阶段，方案仅使用2轮通信实现了认证实体间的相互认证，确保了认证的实时性；与传统的认证方案相比，具有更高的通信效率。在安全性方面，方案的安全性证明满足紧归约，同时具有密钥不可区分性和前向安全性，能够有效抵抗重放、伪装、中间人、窃听等多种已知攻击，为智慧医疗系统中的用户认证和医疗数据隐私提供了关键的安全保障。

本发明实施例提供了一种具有可验证属性的多因子认证系统，参照图1。

本实施例中，提供一种具有可验证属性的多因子认证系统，具体包括用户(User，以下简称U)、注册中心(Registration Center，以下简称RC)、认证服务器(Server，以下简称S)、智能传感设备(Smart Device，以下简称 SD)。

用户U一般为医生或管理人员，与认证服务器S进行双向通信并主动发起认证请求，试图与智能传感设备SD建立安全的认证信道；用户U拥有n个认证因子D具体包括口令pw、认证设备(智能手机或智能手表)、生物特征Bio，用户U使用认证因子D完成身份认证以访问患者的医疗数据。注册中心RC为受信任的实体，负责用户U和认证服务器S的注册，产生用户U和认证服务器S的公私钥对；注册中心RC将所有认证因子D与用户U的私钥sk_U关联，完成认证因子D的注册。认证服务器S负责接收用户U发送的认证信息，管理智能传感设备 SD的认证过程，承担认证过程中智能传感设备SD的部分计算任务。智能传感设备SD是患者穿戴的医疗设备，用于收集患者的生理信息；智能设备SD与认证服务器S进行双向通信，接收认证服务器S发送的认证信息，与用户U完成相互认证并获取会话密钥K。在认证完成后，使用会话密钥K加密传输医疗数据，确保医生能够实时掌握患者的健康状况。

参照图2，本发明还提供的一种具有可验证属性的多因子认证方法，包括4个部分：系统初始化阶段、用户注册阶段、用户登录阶段、密钥协商阶段。

系统初始化阶段包括图2中的步骤1。

步骤1.1：根据安全参数k，注册中心RC生成3个阶为素数q的循环群 G＝<g>,G₁＝<g₁>,G₂＝<g₂>，1个G₁到G₂的双线性映射e:G₁×G₁→G₂；

步骤1.2：注册中心RC选取两个值域分别为{0,1}^l和G₁的哈希函数H和H′，其中l为会话密钥的长度，初始化伪随机函数F_s(x)＝H(x,H′(x)^s)，s为伪随机函数的密钥；选取两个哈希函数H₀:G×G→K和H₁:R×{0,1}^*→G，其中K为会话密钥空间，R为随机数空间，初始化AKE协议；

步骤1.3：注册中心RC返回公开参数pp＝(G,G₁,G₂,e,q,g,F_s(x),H₀,H₁)。

用户注册阶段涉及图2中的步骤2，详细过程涉及参照图3。

步骤2.1：假设注册过程在一个安全可靠的环境中进行，所有注册信息均通过安全信道传输；

步骤2.2：(认证因子D注册)将用户选取的口令pw，生物特征Bio，n个随机数{s₁,…,s_n}发送给注册中心RC；注册中心RC使用模糊提取器(Fuzzy Extractor)将生物特征Bio转换为秘密字符串R，设置f(1)＝s₁,…,f(n)＝ s_n,f(n+1)＝R，使用拉格朗日插值法生成t-1阶多项式f(x)＝α₀+α₁x+ …+α_t-1x^t-1，其中t为门限值，注册中心RC将秘密份额s_i分别存储于认证设备D_i中；

步骤2.3：(认证服务器S注册)认证服务器S选取私钥k_S并传输给注册中心RC，注册中心RC生成认证服务器S的公钥K_S，并选取智能设备SD与认证服务器S之间的对称密钥K_SD；

步骤2.4：(用户U注册)注册中心RC设置伪随机函数的密钥s＝f(0)，并计算用户的私钥k_U＝F_s(pw)＝H(pw,H′(pw)^f(0))和公钥K_U，然后将K_U传输给用户；RC发布多项式f(x)所有系数α_i的承诺

用户登录阶段涉及图2中的步骤3，详细过程涉及参照图4。

步骤3.1：用户U使用口令pw执行登录操作，选取随机数r，计算α＝H′(pw)^r∈G₁，选取任意t个(t≤n)认证设备，将β_Di发给认证设备；

步骤3.2：认证设备D_i收到α后，使用秘密份额s_i计算

将β_Di返回给用户U(若设备D_i被敌手控制，则可能返回错误消息，导致协议终止)；

步骤3.3：用户验证设备D_i是否使用正确的秘密份额进行回复，用户使用公开的承诺值C_i计算

如果

成立，说明用户将接受设备D_i的回复；否则，认为设备D_i被敌手控制；

步骤3.4：如果认证设备回复的信息通过验证，用户U计算私钥 k_U＝F_s(pw)＝H(pw,(α^f(0))^1/r)，其中

λ_i是拉格朗日系数。

密钥协商阶段涉及图2中的步骤4，详细过程涉及参照图5。

步骤4.1：密钥处理

步骤4.1.1：令用户U的私钥k_U＝(b,a)，公钥K_U＝(x₀,x₁)，初始化计数器ctr_U＝0(其中k_U＝b‖a，|b|＝1bit，x_b＝g^a，x_1-b∈G，||表示连接符号， |b|表示b的长度)；

步骤4.1.2：令认证服务器S的私钥k_S＝(d,c)，公钥K_S＝(y₀,y₁)，初始化计数器ctr_S＝0(其中k_S＝d‖c，|d|＝1bit，y_d＝g^c，y_1-d∈G)。

步骤4.2：用户发起认证

步骤4.2.1：用户U选取随机数u₁,u₂∈Z_q，计算

计数器ctr_U值增加1，设置认证消息m₁＝(U,S,ctr_U,U₁,U₂)；

步骤4.2.2：用户选取随机数t_U∈R并计算y＝H₁(t_U,m₁)，令k_U＝(z₀,z₁)，然后生成签名σ₁＝(t_U,z₀,z₁,π)并将(m₁,σ₁)发给认证服务器S，其中 z_b＝g^a,z_1-b∈G，π←ZPrv(b,a；x₀,x₁；y,y,z₀,z₁)，ZPrv是一个通用的签名方案。

步骤4.3：封装会话密钥

步骤4.3.1：如果ctr_U>tr_S且ZVfy(π,x₀,x₁,y,y,z₀,z₁)＝1，服务器接受消息(m₁,σ₁)，并同步状态ctr_S＝ctr_U，其中ZVfy是ZPrv对应的签名验证算法；

步骤4.3.2：认证服务器S使用对称密钥K_SD加密认证消息，将密文

发给智能传感设备SD；

步骤4.3.3：收到认证消息后，智能传感设备SD随机选取v∈Z_q，计算V＝g^v和会话密钥

将密文

发给认证服务器S；

步骤4.3.4：认证服务器S生成认证消息m₂＝(U,S,ctr_S,V)，选取随机数 t_S∈R，计算y＝H₁(t_S,m₁||m₂)，令k_S＝(z₀,z₁)，生成签名σ₂＝(t_s,z₀,z₁,π)并将(m₂,σ₂)发给用户U，其中z_d＝g^c,z_1-d∈G，π←ZPrv(c,d；y₀,y₁；y,y,z₀,z₁)。

步骤4.4：用户生成会话密钥

步骤4.4.1：收到认证服务器S的消息后，如果计数器ctr_S＝ctr_U且 ZVfy(π,y₀,y₁,y,y,z₀,z₁)＝1，用户U接受消息(m₂,σ₂)；

步骤4.4.2：用户解析消息m₂获取V，计算会话密钥

步骤4.4.3：用户U与智能传感设备SD完成相互认证，建立安全的通信信道。

在本实施例中，提供一种具有可验证属性的多因子认证方法，基于上述方法实施例的步骤进行安全分析。

抵抗重放攻击：在认证和密钥交换阶段，敌手可能会窃听用户和服务器之间的所有消息。但敌手不能重放这些消息，由于认证双方维护了一个计数器。当计数器数值不正确，消息将被拒绝。因此对于重放攻击，我们的方案是安全的。

抵抗中间人攻击：由于密钥交换阶段使用了数字签名，签名中包含了认证双方的信息。因为攻击者不知道认证双方的私钥，无法生成正确的签名。所以敌手无法进行中间人攻击。

抵抗伪装攻击：本申请方案能抵抗伪装攻击，除了以下2种情况。1)当用户的t个认证因子和口令都泄露，敌手可以轻易伪装成用户进行认证。2) 当服务器的长期密钥k_S泄露，敌手可以伪装成服务器与用户交互。在其他情况，用户t-1个设备和口令泄露，敌手也不能伪装成用户与服务器交互。因此，在正常情况我们的方案可以抵抗伪装攻击。

前向安全：本申请方案满足完美前向安全，因为会话密钥的生成仅与密钥封装机制有关，而长期密钥仅用于签名的生成。当某一方的长期密钥泄露，之前已经生成的会话密钥不会泄露。因此，长期密钥的泄露并不会破坏会话密钥的伪随机性。

本实施例提供一种具有可验证属性的多因子认证方法，实现了智慧医疗系统中的多因子认证和医疗数据的隐私性，使得认证设备具有可验证的属性，在认证过程中可以检测被敌手控制的认证设备，防止敌手干扰认证过程。与传统认证方案相比，协议仅需2轮通信可完成相互认证，且安全性证明实现了紧归约，在安全参数的选择上更加灵活，具有更强的安全性，拥有可接受的计算和通信效率。

以上仅为发明的优选实施例，并非因此限制发明的专利范围，凡是利用发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在发明的专利保护范围内。

Claims (8)

1.一种具有可验证属性的多因子认证系统，其特征在于，包括用户U、注册中心RC、认证服务器S和智能传感设备SD；其中：

所述用户U与认证服务器S进行双向通信并主动发起认证请求，用于与智能传感设备SD建立安全的认证信道，所述用户U拥有n个认证因子D，所述认证因子D包括口令pw、认证设备和生物特征Bio，用户U使用认证因子D完成身份认证以访问患者的医疗数据；

所述注册中心RC为受信任的实体，用于用户U和认证服务器S的注册，产生用户U和认证服务器S的公私钥对，所述注册中心RC还用于将所有认证因子D与用户U的私钥sk_U关联，完成认证因子D的注册；注册中心RC初始化包括：

S11：根据安全参数k，注册中心RC生成3个阶为素数q的循环群G＝<g>，G₁＝<g₁>，G₂＝<g₂>，1个G₁到G₂的双线性映射e：G₁×G₁→G₂；

S12：注册中心RC选取两个值域分别为{0，1}^l和G₁的哈希函数H和H′，其中l为会话密钥的长度，初始化伪随机函数Fs(x)＝H(x，H′(x)^s)，s为伪随机函数的密钥；选取两个哈希函数H₀：G×G→K和H₁：R×{0，1}^*→G，其中K为会话密钥空间，R为随机数空间，初始化AKE协议；

S13：注册中心RC返回公开参数PP＝(G，G₁，G₂，e，q，g，F_s(x)，H₀，H₁)

认证服务器S用于接收用户U发送的认证信息，管理智能传感设备SD的认证过程，承担认证过程中智能传感设备SD的部分计算任务；认证因子D、认证服务器S和用户U在注册中心RC执行注册过程包括：

S21：认证因子D注册，将用户选取的口令pw，生物特征Bio，n个随机数{s₁，…，s_n}发送给注册中心RC；注册中心RC使用模糊提取器(Fuzzy Extractor)将生物特征Bio转换为秘密字符串R，设置f(1)＝s₁，…，f(n)＝s_n，f(n+1)＝R，使用拉格朗日插值法生成t-1阶多项式f(x)＝α₀+α₁x+…+α_t-1x^t-1，其中t为门限值，注册中心RC将秘密份额s_i分别存储于认证设备D_i中；

S22：认证服务器S注册，认证服务器S选取私钥k_S并传输给注册中心RC，注册中心RC生成认证服务器S的公钥K_s，并选取智能传感设备SD与认证服务器S之间的对称密钥K_SD；

S23：用户U注册，注册中心RC设置伪随机函数的密钥s＝f(0)，并计算用户的私钥k_U＝F_s(pw)＝H(pw，H′(pw)^f(0))和公钥K_U，然后将K_U传输给用户；RC发布多项式f(x)所有系数d_i的承诺

智能传感设备SD为患者穿戴的医疗设备，用于收集患者的生理信息；所述智能传感设备SD还用于与认证服务器S进行双向通信，接收认证服务器S发送的认证信息，与用户U完成相互认证并获取会话密钥K。

2.一种具有可验证属性的多因子认证方法，其特征在于，用于如权利要求1所述的具有可验证属性的多因子认证系统，所述方法包括以下步骤：

S1：注册中心RC初始化；

S2：认证因子D、认证服务器S和用户U在注册中心RC执行注册过程；

S3：用户U利用认证因子D进行登录；

S4：用户U利用认证消息与认证服务器S进行密钥协商，并建立用户U与智能传感设备的通信信道。

3.如权利要求2所述的具有可验证属性的多因子认证方法，其特征在于，所述步骤S3，具体包括：

S31：用户U使用口令pw执行登录操作，选取随机数r，计算α＝H′(pw)^r∈G₁，选取任意t个(t≤n)认证设备，将β_Di发给认证设备；

S32：认证设备D_i收到α后，使用秘密份额s_i计算

将β_Di返回给用户U；

S33：用户验证设备D_i是否使用正确的秘密份额进行回复，用户使用公开的承诺值C_i计算

如果

成立，说明用户将接受设备D_i的回复；否则，认为设备D_i被敌手控制；

S34：如果认证设备回复的信息通过验证，用户U计算私钥k_U＝F_s(pw)＝H(pw，(α^f(0))^1/r)，其中

λ_i是拉格朗日系数。

4.如权利要求3所述的具有可验证属性的多因子认证方法，其特征在于，所述步骤S4，具体包括：

S41：秘钥处理；

S42：用户U发起认证；

S43：封装会话秘钥；

S44：用户U生成会话秘钥。

5.如权利要求4所述的具有可验证属性的多因子认证方法，其特征在于，所述步骤S41，具体包括：

S411：令用户U的私钥k_U＝(b，a)，公钥K_U＝(x₀，x₁)，初始化计数器ctr_U＝0；其中，k_U＝b||a，|b|＝1bit，x_b＝g^a，x_1-b∈G，||表示连接符号，|b|表示b的长度；

S412：令认证服务器S的私钥k_S＝(d，c)，公钥K_S＝(y₀，y₁)，初始化计数器ctr_S＝0；其中，k_S＝d||c，|d|＝1bit，y_d＝g^c，y_1-d∈G。

6.如权利要求5所述的具有可验证属性的多因子认证方法，其特征在于，所述步骤S42，具体包括：

S421：用户U选取随机数u₁，u₂∈Z_q，计算

计数器ctr_U值增加1，设置认证消息m₁＝(U，S，ctr_U，U₁，U₂)；

S422：用户U选取随机数t_U∈R，计算y＝H₁(t_U，m₁)，令k_U＝(z₀，z₁)；然后生成签名σ₁＝(t_U，z₀，z₁，π)并将(m₁，σ₁)发给认证服务器S，其中z_b＝g^a，z_1-b∈G，π←ZPrv(b，a；x₀，x₁；y，y，z₀，z₁)，ZPrv是一个通用的签名方案。

7.如权利要求6所述的具有可验证属性的多因子认证方法，其特征在于，所述步骤S43，具体包括：

S431：如果ctr_U＞ctr_S且ZVfy(π，x₀，x₁，y，y，z₀，z₁)＝1，服务器接受消息(m₁，σ₁)，并同步状态ctr_s＝ctr_U，其中ZVfy是ZPrv对应的签名验证算法；

S432：认证服务器S使用对称密钥K_SD加密认证消息，将密文

发给智能传感设备SD；

S433：收到认证消息后，智能传感设备SD随机选取v∈Z_q，计算V＝g^v和会话密钥

将密文

发给认证服务器S；

S434：认证服务器S生成认证消息m₂＝(U，S，ctr_s，V)，选取随机数t_S∈R，计算y＝H₁(t_s，m₁||m₂)，令k_s＝(z₀，z₁)，生成签名σ₂＝(t_s，z₀，z₁，π)并将(m₂，σ₂)发给用户U；其中z_d＝g^c，z_1-d∈G，π←ZPrv(c，d；y₀，y₁；y，y，z₀，z₁)。

8.如权利要求7所述的具有可验证属性的多因子认证方法，其特征在于，所述步骤S44，具体包括：

S441：收到认证服务器S的消息后，如果计数器ctr_s＝ctr_U且ZVfy(π，y₀，y₁，y，y，z₀，z₁)＝1，用户U接受消息(m₂，σ₂)；

S442：用户解析消息m₂获取V，计算会话密钥

S443：用户U与智能传感设备SD完成相互认证，建立安全的通信信道。

Images