TWI233739B

TWI233739B - Systems, methods and computer readable recording medium for remote password authentication using multiple servers

Info

Publication number: TWI233739B
Application number: TW090113621A
Authority: TW
Inventors: David Jablon
Original assignee: Phoenix Tech Ltd
Priority date: 2000-06-05
Filing date: 2001-06-05
Publication date: 2005-06-01
Also published as: CN1249972C; KR20030010667A; WO2001095545A2; KR100769482B1; WO2001095545A3; JP2003536320A; US7139917B2; AU6816101A; JP4833489B2; CN1446331A; US20020067832A1

Description

1233739

五、發明説明（1 ) 發明背景本發明-般而言係關於電腦安全，更特定而言，係關於使用多伺服器來提供遙遠密碼確認的系統，方法及軟體。以密碼爲主的確認爲大多數個人鑑定系統的基礎。即使具有攜帶式的標記，智慧卡，及生物統計學，㈣單記憶的密碼基本上仍然是一基本的核心因素來建立電腦交易的人際辨識。低階密碼爲人們可簡易地記憶，但對於許多其它的女全性系統，其爲一特別麻煩的問題。爲了順應低階治、碼，其發展出零知識協定來消除網路威脅。但是，仍存在一問題是如何在當該資料可被一敵人利用時，而能夠防止對於密碼驗證的攻擊。在一典型的密碼系統中，一伺服器保持該密碼的驗證資料，其可爲該密碼本身的一個複本。在UNIX系統中，爲了額外的安全性，該驗證資料係爲該密碼的一遞迴單向函數，其基本上是儲存於一檔案中。此檔案通常是被進一步保護的’所以未授權的使用者及程式無法對其存取。傳統對於UNIX密碼的攻擊是當一攻擊者已某種方式已存取到孩密碼驗證資料的檔案時，即對其執行一密碼破壞工具來儘可能地決定或”破壞”最多的密碼。密碼破壞僅爲該單向函數對於一系列候選密碼的應用。當該單向函數的輸出符合孩驗證資料時，該攻擊者即知道其已猜到正確的密碼。這種攻擊可最佳化來首先嘗試最通用或最有可能的密碼，藉此能夠在一給定的時段中儘可能地破壞愈多的密碼。在一以密碼爲主的客户/伺服器確認系統中，要達到_種 __________ - 4 -

本紙張尺度適用巾g國豕標準(CNS) Μ規格(咖公爱) 1233739 A7 ------- B7 五、發明説明（^ " ~ ----- 目標來使用最爲簡單的安全模型來儘可能地減少對於_密碼：以伺服器爲主的攻擊之威脅，也就是具有儘可能少的假，。茲目標係來防止該密碼的外露，即使是面臨對於伺服器的整體無限制性的攻擊。在目前的模型中，其係假設攻擊者有能力來改變一词服器的軟體，存取到該飼服器中所有可用的資料，並在其確認合法及不會懷疑的使用者時來控制該伺服器的使用。馬了達到此一目標，其可瞭解到必須使用超過一台的機器。在任何的單一機器系統中，其可存取到該使用者的密碼驗證資料，或可存取到任何密碼加密的資料，其具有足夠的資訊來藉由模擬該使用者的動作來執行一無限制的離、’泉強力攻覃。其問題尤其是在於如何在兩個或多個伺服器义間分開密碼驗證資料，藉以消除此風險。不會有單一的伺服器具有能力來安裝一離線的強力攻擊。。目刖公用鍵岔碼已成爲一重要的工具來用於確保個人的電子父易。個人數位簽章可預期來具有廣泛的應用。但疋，有一個很大的問題是如何保護及管理使用者的私有鍵。將其留在客户端機器上可能會危害到該密碼的隱密性，其爲一不必要的安全性風險。其似乎很笨地是將持續的密碼破-壞性的資料留在客户機器上，其中該安全性常被視爲是非2難以管理的。再者，在一模型中，一些使用者可共用單一機器，其並不實際地需要在當地儲存使用者的認證資料。一類對於所謂的”漫游”使用者的使用者確認方案，可將 __- 5 - 巧張尺度適财S时鮮(CNS) A—(21G X 297公|) 五、發明説明（3 ) 該使用者的私有認證資料儲存在一 ^ 以密碼爲主的確認來接收這此❹ 、5服4 ’並使用碼定可處理在這：万；:：:自力的零知識密消除網路爲主的強力攻擊，而在同時消除對於Α它在= 尸機器上的儲存鍵値及驗證資料的依賴性。ζκρ協定= 上也可用於多伺服器的狀況。土多伺服器安全漫游系統的兩個模型如下：一強力模型及 :弱勢：型。在這兩個樓型中’該攻擊者係假設能夠：得子取到密碼驗證資料的複本，並有能力來在一合理的長時間内執行計算。（合理的長時間表示不受限制，但是是在計I可行性的限制之内。—任意長的計算將可破壞任意的大量公⑽。如同在大多數的加密方法中，其假設可建立一些可用於潛在的攻擊者之實際的時間及權力上限，及其了决疋相對應的鍵値的安全性最小的合理尺寸）。士在弱泠模型中，攻擊者係假設可以存取到該伺服器的持々性；貝料的複本’但不能干擾到在執行中的伺服器之運作。在強力模型中，一種方法必須來維持密碼的安全性，即使在面對該整體中僅有一個確認伺服器的主動性危機。該攻擊者係-假設能夠修改伺服器軟體，並在確認有效的使用者時來存取到所有一伺服器可用的資訊。該強力模型較爲簡單’因此爲較佳的選擇。其也比早期類似系統的模型要強壯’其係假設存在有先前的安全性通道。在所有這些模型中，每個伺服器可藉由加入對於可容許 1233739 A7

取嘗試次數之限制來防止其本身遭受未受限制的 7 、.廷些限制可用一些常用的方式來進行。本於明的-較佳具體實施例也包含一特徵來協助伺服：主在輸入密碼的合法錯誤〇八貝一度埏系統的目的在於允許行動使用者來安全地存取及，用其私有鍵來進行公賴的加密性運作。行動性係以廣義的方式使用，其包含使用個人工作站的動作，及其它人的工作站，而不需要儲存鍵値於其上，以及使用公用^售站終端機，以及使用現代的掌上型無線網路裝置。其^ 提供使用者由任何地方能夠經由密碼確認而存取到=有鍵，並使一敵人能夠竊取或破壞該密碼，而因鍵値的機會最小化。侍故些智慧卡已經可以解決漫遊使用者的私有鍵儲存問題，但此方案需要使用卡片及安裝卡片讀取機。人們會因爲方便性而犧牲安全性的趨勢已構成需要額外硬體之方案能夠廣泛使用的障礙。此即爲軟體爲主的漫遊協定的一個動機。如此處所使用的，一漫遊協定係指一種安全的密碼爲主的協定，用於由一個或多個認證資料伺服器來遙遠取得— 私有鍵。藉著僅使用一容易記憶的密碼，而沒有其它儲存的使用者認證資料，該使用者可確認一認證資料伺服器，並在任何可接受的客户機器上取得其私有鍵做爲臨時的用途。該客户使用該鍵値用於一個或多個交易，然後，即消除該鍵値及任何當地的密碼相關的資料。如此處所使用的，一代表特定使用者運作的客户機器即 1233739 A7 B7 五、發明説明（5 ) 稱之爲Alice，而該認證資料伺服器通常稱之爲Bob，或個別爲Bi，其利用性別區分的代名詞來用於女性客户及其男性伺服器。，，漫遊，，系統的觀念係密切相關於認證資料伺服器。該 SPX LEAF 系統由 J· Tardo及 K. Alagappan揭示於：’’ SPX:使用公用鍵値認證的通用確認”可’'SPX: Global Authentication Using Public Key Certificates"，發表於 P_roc. 1991 IEEE Computer Society Symposium on Security and Privacy，1991， pp. 232-244，其提出一漫遊協定，並使用一伺服器確認通道來傳送一密碼到一認證資料伺服器來驗證，並執行後續該使用者的私有鍵的取得及解密。該認證資料伺服器可藉由限制其可偵測的猜測攻擊來保護自己，且該協定防止離線的不受注意的密碼猜測。當一認證資料（確認）伺服器可決定是否一密碼猜測是正確的，其可防止或延遲在一預設失效臨限値之後進一步的交換。僅有密碼的協定爲另一個重要的相關領域。EKE協定由S· Bellovin及M. Merritt揭示於π加密鍵値交換：防止字典攻擊的密碼爲主的協定安全性n ("Encrypted Key Exchange: Password-based protocols secure against dictionary attacks’·）， Proceedings of the IEEE Symposium on Research in Security and Privacy，1992年5月導入一安全的僅有密碼協定之觀念，藉由安全地確認一密碼在一不安全的網路上，並不需要先前伺服器確認的動作。另有一系列達到類似目的之方 -8 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 B7 五、發明説明（6 ) 法發展出來，其中包含”秘密公用鍵’’方法，其由L. Gong， Τ· Μ· A. Lomas，R.M· Needham及 J· Η· Saltzer揭示於”保護選擇不良的機密免於猜測攻擊”（” Protecting Poorly Chosen Secrets from Guessing Attack”），IEEE Journal on Selected Areas in Communications, vol. 11，no.5, 1993 年 6 月，pp. 648-656，及由L· Gong揭示於n確認服務的增強可用性及安全性，，（’’Increasing Availability and Security of_an Authentication Service”），IEEE Journal on Selected Areas in Communications， vol.ll，ηο·5，1993 年6 月，ρρ·657-662，以及 SPEKE法，其由 D. Jablon討論於”強力的僅有密碼的認證鍵交換"（” Strong password-only authenticated key exchange”），ACM Computer Communications Review，νο1·26，ηο·5, 1996年 10 月，pp. 5-26， http://www·IntegritySciences.com/links.html\#Jab96，OKE 法是由S. Lucks揭示於’’開放鍵値交換：如何不使用加密公用鍵而擊敗字典攻擊Open Key Exchange: How to Defeat Dictionary Attacks Without Encrypting Public Keys"), The Security Protocol Workshop 197，Ecole Normale Superieure, 1997年4月7-9日，及SRP-3法，由T. Wu揭示於”安全遠端密碼協定 ”（"The Secure Remote Password Protocol")，Proceedings of 1998 Ketwork and Distributed System Security Symposium, Internet Society，1998年 1 月，pp.97-111，及其它，在僅有密碼模型中的理論性成果的發展，例如S. Halevi及Η. Krawczyk揭示於”公用键密碼學及密碼協定”（” Public-key cryptography and password protocols’'），Proceedings of the 1 9 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 B7 五、發明説明（7

Fifth ACM Conference on Computer and Communications Security，1998，Μ. K. Boyarsky揭示於”公用鍵密碼學及密碼協定：多使用者之情況 π (’’Public-Key Cryptography and Password Protocols: The Multi-User Case”），Proc· 6th ACM Conference on Computer and Communications Security，1999 年 11 月 1-4 日，新加坡，V· Boyko，P· MacKenzie及 S· Patel揭示於n使用Diffie-Hellman驗證的安全密碼_確認鍵値交換’’ ("Provably Secure Password Authenticated Key Exchange Using Diffie-Hellman”），Advances in Cryptology- EUROCRYPT 2000，Lecture Notes in Computer Science, vol. 1807，Springer-Verlag，2000年5 月，及M. Bellare，D. Pointcheval及P. Rogaway揭示於”對抗字典攻擊的認證鍵値交換安全性” ("Authenticated Key Exchange Secure Against Dictionary Attack’’)，Advances in Cryptology - EUROCRYPT 2000， Lecture Notes in Computer Science, vol. 1807，pp. 139-155， Springer-Verlag，2000年5月。這些論文大部份強調的點在於密碼及相關的記憶機密必須保守地假設爲可由外力破壞，或最好是不可預期的熵，此可保證額外的限制來保護使用者。由本發'明的授讓人所發展的SPEKE方法，其爲已知的 Diffie-Hellman (DH)指數的鍵値交換的一確認形式，其中該交換的基礎是由一密碼所決定。在一普遍使用的SPEKE 形式，該密碼提供了所得到Diffie-Hellman版本鍵値的相互確認。SPEKE的變化也已揭示於申請中的美國專利申請序 -10- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 B7 五、發明説明（8 ) 號08/823,961，及〇.“1)1〇11所提出的論文，其名爲’’免除字典攻擊的擴充的密碼協定'·（n Extended Password Protocols Immune to Dictionary Attack”），Proceedings of the Sixth Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprises (WET-ICE 97) Enterprise Security Workshop, IEEE Computer Society, 1997 年 6 月 18-20 日， ρρ.248-255，及 R. Perlman及 C. Kaufman所提出的論文，’’用以下載一私有鍵的安全性密碼爲主的協定π ( n Secure Password-Based Protocol for Downloading a Private Key’’）， Proceedings of 1999 Network and Distributed System Security Symposium，Internet Society，1999年 2 月 3-5 曰〇一種使用SPEKE的系統，其使用在多個機器間的分開的键値，此處稱之爲SK1，其係由D. Jablon於1999年1月21日提出於一次談話，其名爲”機密公用鍵値及密碼n ("Secret Public Keys and Passwords’’），於 1999 RSA Data Security Conference 99，其投影片出版於<http://www.IntegritySciences.com/rsa99/index.html> 〇在此系統中，Alice的私有鍵U係分成三個部份，一密碼取得部份P，及兩個大部份X及Y。該部份係使用該㊉函數（位元的除外或運算），其U=P㊉X㊉Y。該SK1登記與键値取得處理總結_於下。在SK1登記中，Alice選擇三個部份{P，X，Y}，其結合兩個部份來產生一私有键値S(其中S=P㊉X)，記憶Ρ，並儲存X 在其機器上。然後，使用該B-SPEKE協定的形式，其中數個其它的形式係揭示於1997年6月的Jablon論文中，其建構 -11 - 本紙張尺度適用中國國家榡準(CNS) A4規格(210X297公釐) 裝訂

1233739 A7

對應於1¾密碼取得値{P，S}的一驗證者{g，v}，如下所示： g-hash( S) ’其使用一加密雜混函數，及v=p，其在一適當的群組中使用指數。然後其即傳送{ g，V，Y}到Bob，將其儲存成其機密。、在ski鍵値取得中，Alice (在稍後）由B〇b獲得其私有鍵 U。Alice使用該B_SPEKE協定來驗證其卩及s的知識給，並與Bobi^凋出一確認的版本鍵値κ。在B〇b驗證過Mia之後，即使用其對於（g，V}·的知識，傳送給ΑΗα對κ對稱加密的Υ。然後Alice即解密來取得γ，並重新建構υ。在此系統中對於密碼取得値P的外力攻擊需要該攻擊能夠同時存取到部份X及Y，其係儲存在兩個不同的機器上。 A: S = :P㊉X A: g = :hash(S) A—> B: A, Qa = g2R B—A: Qb =g2RB A: K, =QbRA A: K2 = QbP B: K! = QbRA B: K1 =V2R, A—B: hash(hash(Kl5 K2)) A: encrypt(K，Y) A: U = P ㊉ X ㊉ γ 爲了在犯中造成對p的外力；文擊，攻擊者需要同時存取到 X及Y 〇 -12 -

1233739 A7 B7 五、發明説明（10 ) 該漫遊模型及僅有密碼的方法，其係在PerLman及 Kaufman論文中結合，藉以對EKE及SPEKE產生協定爲主的方法。這些作者表示出簡單形式的僅有密碼之方法即足夠爲安全性漫遊存取到認證資料。其它的漫遊協定係討論於 Gong，Lomas，Needham 及 Saltzer 論文中，Wu 論文，S. Halevi及Η· Krawczyk論文”公用键密碼學及密碼協定•’ (’’Public-key cryptography and password protoco_ls”），Proceedings of the Fifth ACM Conference on Computer and Communications Security，1998，及P· MacKenzie及R· Swaminathan之論文，’’具有密碼認證的安全性網路確認n (’’Secure Network Authentication with Password Identification”），提出到 IEEE P1363工作小組，http://grouper.ieee.org/groups/1363/，1999 年7月30日，其所有皆是設計來中止對於網路訊息的離線猜測攻擊，藉以在無法使用客户儲存鍵値時來提供強力的以軟體爲主的保護。修正的Diffie-Hellman爲Eric Hughes揭示於一篇綠文，其名爲’’ 一種加密的键値傳輸協定n (" An encrypted Key Transmission Protocol")，其發表於CRYPTO ’94，1994 年8 月，及一本書中，其名爲"應用密碼學第二版，·（ " Applied Cryptography Second Edition”），其爲 Β· Schneier所著，由 John Wiley & Sons 出版，1996年，5 15 頁。在一般的 Diffie-Hellman中，客户及伺服器皆知道一固定的g，並共同協調出K=gxy。但是，在一修正的Diffie-Hellman中，該客户 (Alice)傳送gx，接收gu，並由一伺服器取得K=gy。其機密 -13 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 ______B7 五、發明説明（11 ) 指數X係做爲一隱蔽因子。該鍵値係由自乘該伺服器的數値到X的倒數次方來取得，如κ : = (gxy)1/x。不像是一般的 Diffie-Hellman方法，一 K的靜態値可以預先計算，即使在該伺服器接收該客户的（Alice的）gx之前。一種形式的SPEKE係依據修正的Diffie-Hellman，此處稱之爲修正的SPEKE，其係揭示於美國專利申請案編號 08/823，961。在修正SPEKE法中，Alice得到一键値K，其係根據其對於P的知識，其爲由其密碼所取得的値，及B〇b所知到的一隨機値y。Alice自乘該密碼到一機密隨機次方X，並傳送所得到的値（QA)給Bob。Bob自乘QA到次方y，並傳回該結果（QA)到Alice。Alice藉由自乘QB到X的倒數次方來計算K，其結果爲K=py。

Alice Bob

Qa:=Px — —Qb := QAy K := qb(i，x) 其建議是P爲該密碼的一加密雜混函數，例如SHA1或 MD5，其構成一適當大的有限群組。進一步細節可見於美國專利申請編號08/823,961，及其它有關SpEKE的論文。爲了分散驗證資料失竊的風險，該資料可被分到多個機器當中。在設計使用多個機器的網路協定時要非常小心，以避免將該密碼取得的資料暴露在新式的攻擊之下。另一種系統之防遵字典攻擊的方式是稱之爲密碼掩護 (此處稱之爲CC)的技術，由D· Hoover及B. Kausik揭示於，， _ - 14 - 本紙張尺度適财0 g家標準(CNS) A4規格(_x挪公复) 1233739 A7 B7 五、發明説明（12 ) 透過密碼掩護的軟體智慧卡Software Smart Cards via Cryptographic Camoflage”）， Proceedings of 1999 IEEE Symposium on Security and Privacy 〇該 CC 系統係用來降低客户儲存私有键的弱點，對比於目前要降低伺服器儲存認證資料的弱點。至少已經修正了一種CC系統來支援漫遊使用者，其提供一種雙伺服器的漫遊方案。在討論雙伺服器漫遊版本之前，將要討論基本的CC系統，其包含一使用者，一客户機器，及一CC確認伺服器（CCAS)。_ CC使用公用鍵技術的方式明顯地抵觸了一些公用键技術的原理，但藉由一組限制設計來達到在Hoover及Kausik論文中所討論的目標。該字彙’’ CC私有键’’及” CC公用键'’係用來代表該系統的兩個元件。請注意以” CC私有鍵π及n CC公用鍵’’來用於”私有’’及”公用”，其具有特殊的意義，而並不符合一般使用”私有键” 與’’公用鍵π的用途。特別是，該CC模型假設該CC公用鍵並不是公開的。該CC私有鍵係儲存在客户中，但其方式是以一小的個人識別碼（PIN)來隱藏起來。其使用特殊的構造，以任何可能的相同_型式的PIN來解密所儲存的私有鍵。（此主題係在稍後考慮人爲選擇與機器產生的PINs，一敵人對PIN的部份瞭解及相關的威脅時再來討論）。僅有信任的參與者必須知道該CC公用鍵。如果一 CC加密的私有键被竊取，該CC公用键的擁有權即讓竊賊有能力 -15 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 B7 五、發明説明（13 ) 在該PIN上安裝一字典攻擊。爲了達到安全性目標，該CC 公用鍵必須僅有CCAS知道。實際上，該客户在CCAS公用鍵之下可用加密的形式來儲存該CC公用键，使得僅有 CCAS可讀取。該客户傳送此加密的封包到CCAS ，每當其確認到CCAS時。類似地，任何以使用者的CC私有鍵所做的數位簽章必須僅有CCAS能夠看到。因此，訊息首先是以CC私有鍵來簽章，然後以CCAS公用键来密封。請注意到Hoover及Kausik描述出一更爲寬鬆的限制，任何在CC私有鍵下加密而包含可驗證的單純文字之訊息，必須僅有CCAS知道。實際上可注意到，其非常困難地來自由地由可驗證的單純文字來產生有用的訊息。因此假設單純文字是不可驗證的方式會造成有關根據攻擊者的才能之系統安全性的開放性問題，而產生出一適當的驗證方法。像是這些開放性問題並不能夠被目前的模型所接受，因此要使用此限制的一更爲嚴謹的描述。接下來是CC系統的總結〇在CC登記時，該客户選擇PIN P，私有鍵Ec，及對應的公用鍵Dc。其有進一步的限制爲CC會加入Ec及Dc的架構，在此名不需要考慮到。該客户儲存： CC(P，Ec) 該掩護的私有鍵

Ds CCAS的公用鍵 DS(DC) 爲CCAS所密封的客户公用鍵在CC確認中，該使用者輸入P，且該客户由CC( P，Ec)接 -16 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 五、發明説明（μ ) 收E( 該客户傳送到CCAS:

Ds(Ec (訊息）），及 Ds(Dc) 〇該CCAS同時解開心（訊息）及％，並驗證該客户來確定該訊息。 ^

其可假設Dc係伴隨一適當的認證資料組合，其可μ 了 CCAS的目的之鍵値的有效性。以，其設^二= 留:由客尸與CCAS共用的機密，其似乎可以避免用第三者驗證授權來驗證Dc的方法。結合這些該CC 公用鍵的限制，使可以清楚看出這些並不適用於任何具貫的公用鍵系統。在CC中，PIN係有效地分成兩個部份， CC( P，Ec)其僅有客户知道，及〇c 其僅有伺服器知道 /又’所有在Ee之下簽章或在Dc:之下密封的進一步雙飼服器漫遊方案。據本發明，此可轉換到- 該CC系統以特殊的方式管理密碼輸密碼輸入到客户時的，，.犬㈣徵在於碼…-”：孩客户比較小量的雜混密局邵儲存的參考資料。但是，此機制的成本手中’其可取得存取到所儲存的客户資料。其^== 人於對抗續卜痒” 大或複雜，因此較難記憶，以用 ' ，，&測攻擊的安全性要求。該cc錯誤處理特徵的本紙張尺歧财 -17 - 1233739 A7 B7 五、發明説明（15 ) 設計前提爲，人們可以較不困難地舒解伺服器上的計算負擔。另一個哲學是，電腦的使用必須減少人們的工作負擔。系統必須努力工作來容忍使用者的疏失，而不會懲罰使用者，且仍維持對於猜測攻擊的最大可能的障礙。對於處理密碼輸入時無心的錯誤之系統即包含在本發明的一較佳具體實施例中。漫遊方案已設計並使用在一些公司中，其提供公用键架構（PKI)，達到認證’’漫遊”使用者的目的，其基本上是用於無法使用智慧卡的地方。在這種系統中，使用者安全地由一遠端認證資料伺服器取得所儲存的使用者檔案（基本上包含使用者私有键），其可見於J. Kerstettei*所提，f’對 PKI的交付，驗證簽章的清楚途徑π (” Entrust，VedSign clear path to ΡΚΓ )，PC Week，1999 年 6 月 14 日，其可由 <http://www.integritysciences.com/PKI50.html〉中取得。其它的認證資料伺服器的成果，係使用EKE及SPEKE的變化，可見於Perlman及Kaufman的論文中0 上述的加密掩護系統係假設一單一的CC伺服器，並假設使用者鍵値係儲存在客户端中。其可將此轉換到一雙伺服器漫遊方案中，其稱之爲CC漫遊，藉由移動客户儲存的資料到一 CC漫遊伺服器（CCRS)及給定該CCRS—額外的驗證資料做爲一第二使用者的密碼。該使用者使用一密碼及一適當的密碼確認協定來確認該 CCRS，其使得該CCRS可以安全地傳回資訊到該客户。較佳地是，此可使用一驗證器爲主或所謂的’’擴充的’’零知識 -18 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐) 1233739 A7 B7 五、發明説明（16 ) 密碼協定。但是，另有一種架構的可能性，其包含經由一伺服器確認的SSL (安全插座層）或TLS通道來傳送該清楚文字密碼到該CCRS來驗證。SSL係由A· Frier, P· Karlton及 P. Kocher 討論於 ’’The SSL 3.0 Protocol” ’ Netscape Cornmunications Corp.，1996 年 11 月 18 日’而 TLS 由 T. Dierks 及 C. Allen 討論於 n The TLS Protocol Version 1.0" ’ IETF RFC 2246 ，http://www.ietf.org/rfc/rfc224_6.txt ， Internet

Activities Board，1999年1月。如上所述，爲了完整的安全性，該CCAS PIN及CCRS密碼必須選擇成完全獨立的數値。如果其爲相關的數値，對於密碼的攻擊可導致？IN的暴露。本質上，CC漫遊爲二密碼系統，一個密碼是CCRS用，另一個（PIN)係給CCAS用。CC漫遊的一明顯限制爲該第一伺服器得到機會來安裝一外力攻擊在該第一密碼上。兩個其它相關的課題是使用客户熵的效率，及該PIN及密碼的獨立性。當使用具有密碼經由SSL的CC漫遊來確認到CCRS時，其增加了來自欺騙伺服器攻擊的風險，其討論於E· Felton，D· Balfanz，D. Dean及D. Wallach，π網頁欺騙：一種網際網路的欺编遊戲 ’’（’’Web Spoofing: An Internet Con Game’1) ’ 20th National Information Systems Security Conference，1997年 10 月 7-10 日 ’ Baltimore， Maryland，位在 http://www.cs.princenton.edu/sip/pub/spooflng.html，以及來自下述的相關密碼/PIN攻擊。在所有這些狀況中，當僅有兩者一遭受攻擊時，其有可能喪失一些雙伺服器方式 -19 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐) 1233739 A7 B7 五、發明説明（17 ) 的好處。使用一零知識密碼驗證來確定CCRS，可以消除伺服器欺騙的攻擊，且使得關於PIN/密碼的攻擊更爲困難。該CC漫遊系統造成隱含在使用者密碼中無法有效使用熵，其必須視爲一有價値且少見的資源。請記得密碼方法的一主要目標在於，將使用者必須靠記憶來取得某個安全性程度的資訊量（有效位元的數目）最小化該CC漫遊系統浪費這些位元，並導致一些弱點產生。首先，Hoover及 Kausik建議使用一些PIN的位元來在執行該協定前預先驗證該PIN。他們進行此項工作係藉由額外地儲存一特殊建構的PIN的小雜混在該客户中。一攻擊者可使用雜混的PIN來減少候選的PIN的空間。若考慮已經減少的PIN尺寸，此可爲危險。如果允許使用者選擇的PIN，此可降低有效PIN的空間到一危險的程度。一 CC漫遊系統也可靈敏於兩個密碼之間的關係，及該AS PIN及RS密碼，其可人爲地區分該使用者的機密之熵。 Hoover及Kausik使其清楚看出該掩護的AS PIN必須不能用於任何其它的目的。然而，如果該使用者不小心加入AS PIN在該RS密碼中，或如果在這些機密之間有一些關聯性被攻擊者_得知，在該CC漫遊中底層的CC系統即成爲攻擊的弱點。一相關的密碼/PIN攻擊有可能發生在使用者將其選取在相同的數値，或爲不同的値但具有一明顯或可能是微妙但可覺察出來的關係。對一使用者而言，使用實際上獨立的 -20 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739

PIN及密碼也有風險，其可能會錯誤地將一個輸入爲另一個0 如果考慮到對多個使用者的廣泛攻擊，其可藉由首先以弱勢RS密碼來破壞使用者來減少目標空間，然後集中力量在該組破壞的RS之使用者，藉以破壞其相關的As piNs。有關該RS密碼的資訊洩露可降低一潛在攻擊者的整體工作。相反地，如果結合了相同的RS密碼及As piNs，一理想的雙伺服器系統（其將在後説明）具有一破壞工作因子，其同時依據密碼及PINs，其需要一更爲大的整體工作因子。對於CC漫遊系統將該機密人爲地分成兩個因子，因此會加入新的弱點及削弱該模型。在該較佳具體實施例的説明中，對於CC及CC漫遊的較簡單選擇係描述爲更加的有力，軚不複雜，及至少可同等地保護該使用者記憶的機密。所有的單一伺服器漫遊方案皆有内含的限制。在所有以上的漫遊方法中，一單一認證資料伺服器維持可以用來驗潑有關一使用者密碼的資訊。如果其假設該雜混的密碼可以被外力破壞，該密碼驗證伺服器本質上可代表此敏感的使用者資料的單一點的失效。處理此問題的系統現在將討論0 多伺服器漫遊代表進一步的進步。當單一伺服器系統防止來自該客户及該網路的猜測攻擊時，其不會根據密碼驗證資料可由該伺服器竊取而停止猜測。多伺服器漫遊系統 -21 - 本紙張尺度適财s S家標準(CNS) A4規格(210〉< 297公董) 1233739 A7 B7 五、發明説明（19 ) 可防止這種攻擊到一令人驚奇的程度。在付出使用η個相關的認證資料伺服器來確認的代價之下，多伺服器系統延伸了保護的範圍到該認證資料伺服器資料庫。在這些系統中，一敵人可完全控制最多到η-1個伺服器，並在這些伺服器成功地取得與有效使用者的認證資料期間來監視其運作，而仍不能驗證任何人的密碼之單一猜測，而不會由剩下未妥協的伺服器偵測到。 - 在2000年6月，VeriSign提出一新聞稿，名爲n VeriSign引進新技術來構成網路爲主的認證，數位簽章及資料私密性’· (''VeriSign Introduces New Technology to Enable Network-Based Authentication，Digital Signatures and Data Privacy”），其公開一網頁爲 http://www.verisign.com/rsc/wp/roaming/index.html，其以一高層次來説明一多伺服器漫遊特徵。由W. Ford及Β· Kaliski所提出的論文”伺服器輔助由一密碼產生一強力機密” (H Server-Assisted Generation of a Strong Secret from a Password")，其發表於IEEE Ninth International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprises in Gaithersburg MD，發表於 2000 年 6 月 14 日。此論文的一修正版本出版於2000年9月的論文集。（W· Ford及 B. Kaliski,丨,Server-Assisted Generation of a Strong Secret from a Password", Proceedings of 9th International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprise，IEEE，2000年9月）。這些論文説明了使用多伺服器的方法來防止伺服器爲主的密碼破壞攻擊。其可注意 _ - 22 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐) 1233739 A7 B7 五、發明説明（2〇 ) 到，詳細説明於2000年6月14日的方法中，Ford及Kaliski論文係依據一先前的伺服器認證通道。此對於密碼安全性的先前安全通道的依賴性會加入一不必要且潛在有風險的安全性假設。移除此依賴性爲本發明的好處之一。其中一種方法揭示於2000年6月14日，其使用修正的 SPEKE協定，如上所述，其係用於本發明的一較佳具體實施例。在2000年6月14日之論文所揭示之不同的方法中，兩個或更多的伺服器共用保持該密碼驗證資料機密性的負擔。每個伺服器儲存該使用者的一機密。一客户獲得來自使用者的密碼，並在一兩階段處理中與每個伺服器互動。首先該客户根據來自每個伺服器的密碼來獲得一放大的鍵値，然後產生一 ”主控，，鍵來用於認證每個該伺服器（請注意該名詞，，放大鍵，，，其來自Bellovin及Merritt之論文），而取代該’’負擔的鍵値”。每個放大的鍵値代表該使用者的主控鍵的一個部份。該客户使用任何標準的技術，例如使用一雜混函數，藉此結合該放大的部份來產生該主控鍵。爲了取得每個放大键値，Ford及Kaliski建議兩個基本的方法。一個是如上述的修正SPEKE法，另一個是使用隱蔽 RSA數位簽章的變化，其形式見於D. Chaum所提·· ”不須辨識的安全：廢除使用大哥的交易系統”（n Security without Identification: Transaction Systems to Make Big Brother Obsolete”），Communications of the ACM，28( 1985)，1030-1044。這些方法在下述進行比較。該飼服器持續監視不合法的存取嘗試，而根據Ford及 -23 - 本紙張尺度適用中國國家襟準(CNS) A4規格(210X297公釐) 1233739 五、發明説明（21 〖她，如果有比成功確認明顯更多步词服器即採取行動來限制或鎖定進—步的請求系統並不區別由-有效使用者所造成的錯誤，以及= m #，+AA , * Λ攻擊《事件。因此，此處處理不成功齡試的系統最佳地是不處理常見的人爲錯誤。由於單純的鍵入錯誤或其它修正的錯誤之不成功地放大將不合視爲其它不成功地嘗試。本發明提供—較佳的方式來處二這些狀況。在2000年6月14曰的方法中，進一步依賴先前的安全之祠服器認證通道到伺服器。此對於先前確認的依賴產生一不必要的複雜安全性模型，因此而增加了攻擊的風險。這些風險將不符合於消除單點失效的目標。 RSA隱蔽公用鍵簽章係用於2〇〇〇年6月14日所提論文的密碼放大方法之一。此技術達到與修正的Speke方法相同的效果，其根據已爲其它人知道的一隨機成份而放大一密碼到一大型鍵値。但是，該RS A方法導入增加的複雜性。 RSA隱蔽方法的細節並不包含於F〇rd&Kaliski論文中，但爲根據其參考到Chaum-隱蔽的方法而以下述方法運作。除了一單一數値y，該伺服器保持每個使用者的數値{n， e，y}。這些數値中沒有一個是由該密碼所取得。該數値η 係等於p.q，其中ρ及q爲適用於RSA模數的質數，e爲該RSA 公用鍵’且y爲該對應的私有鍵，使得e=l/d mod (p-1) (q-1)。基本上，該放大的鍵爲KB，其爲該密碼的RSA簽章。x 的使用使得一隱蔽公用鍵簽章方式如Chaum論文中所述， -24 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐) 1233739 A7 ____Β7 五、發明説明（22 ) 其中该隱蔽因子X防止該伺服器知道其所簽章的該 data(P) 〇在2000年6月14日的論文中，其假設SSL係用於確認該通道來保證該客户的KB之認證。此論文也提出修正的SPEKE 比RSA隱蔽要更好的地方，其中該RSA隱蔽客户並沒有好的方法（即有效率）來驗證11及e的數値，而並不預先認證該伺服器。

Ford及Kaliski進一步提充一”特殊狀況”協議，其中係使用π密碼加強伺服器”來放大一密碼到一鍵値Κι，其係用來確認到一（習用）的認證資料伺服器。該Κι的數値係完全地由该密碼加強伺服器的反應及該密碼來決定。任何控制該第一交換的攻擊者必須不能夠決定是否由使用者所計算出的1數値係相等於候選的K/數値，其係根據其對於p，的猜測所建構。所以攻擊者必須皆看不到K1。類似地，如果以 Km加密的訊息包含可驗證的純文字，該攻擊者也可以由此來驗證其猜測。爲了處理此威脅，該作者建議該認證資料伺服器通訊通道係整體地保護。該2〇〇〇年6月14日的論文並不指定一明確的方法，但其建議使用SSL。（請注意其 2〇〇〇年9月的論文並未討論如何避免一預先保密的通道之需求）。如果其假設在客户中認證的一通用之根組合可驗證兩個伺服器，其會加入一個或多個單點失效到該系統中。在每個位置中有一單點的失效，其中一私有鍵係存在於該根或任何次級的認證授權。做爲此模型的一主要目標’其可明顯地消除單點失效。 -25 - 1233739 A7 ___R7 五、發明説明（23 ) 前述的攻擊可藉由危及到具有一鍵値來產生有問題的兩個伺服器的有效外觀的認證鏈之任何單一系統。再者，如上所述，對於SSL/網頁伺服器的安全模型之攻擊，其可欺騙使用者來使用”有效”的SSL連接到惡意的伺服器，或^ 騙使用者根本不使用SSL。對於先前伺服器確認的依賴性爲一嚴重的限制。在一消費者環境中，例如一公共零售站，或一私有的桌上型電腦’其可連接到不同領域中的許多種伺服器，該使用者必須定位及連接到該適當的伺服器'對於使用者可安全地連接到適當的伺服器之依賴性來維持該密碼的安全性，將會造成問題。Ford及Kaliski討論該客户如何可使用SSL來產生一安全的伺服器認證的通道。此代表該客户必須（以某種方式）驗證該伺服器的識別來維持密碼安全性。其也指出，在典型的實施中，該客户儲存特定伺服器狀態資訊來認證該通訊通道到該伺服器。爲了建立一安全的通道到伺服器，一 SSL方案基本上需要具有對於一個或多個認證授權的預先安裝的根键，其係安裝在伺服器中。其也需要存取到一認證鏈，其已建構來結合該根鍵與該命名的伺服器的公用鍵。該客户必須包含認證驗證軟體及政策施行來驗證由該使_用者所選擇的適當伺服器的認證資料（或多伺服器）。最後，該使用者必須保證該伺服器名稱結合爲正確的。此可需要該使用者有效的動作及投入。對於SSL的依賴性，特別是用於該瀏覽器模型，其並不必要是冒險的。該使用者可被騙來使用π有效”的SSL連接到惡意的伺服 -26 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公爱) 1233739 五、發明説明（24 【:或:皮騙而根本不使用SSL。此過程其可歸類爲"人爲錯誤”。該問題被認爲參與的不實際之期望的整體系統錯誤。根據人局對於先w之密碼安全性㈣服器確認通冑二要的。本發明的另一個較佳的選擇可用：：：型，其可較佳地在多個漫遊佶用去乃户y 祆間早的杈視爲是正常的人爲行爲。夕飼服器的環境中被，較佳的安全模型係類似於测料⑽日論文，其皆使二=器。但是，在本發明的較佳模型中，其並不假設 =先確認的安全通道會存在於該客户與词服器之間。該 ^ ^吴土可釋放使用者可以小心地驗證該飼服器的識，㈣維護該密碼的安全性，例如那些常用於網際網路者這二方法包含人工輸入（或鍵入錯誤）的UR£s，不安全的DNS協定，無信用的搜尋引擎，，，點選”由一未知來源所，集的項目組合。所有這些方法，更多地提供一穩定的許=方法來建立一連接到該正確的伺服器，但其中皆無法保從不會連接到一騙子的機會。在此簡單模型中會遇到的最差威脅爲拒絕服務，其是一種在該較爲複雜的模型中皆會存在的威脅。該較佳模型所增加的好處爲該密碼皆不會暴路’即使當該客户不管用什麼方式連接到一编子。大邵份的先前技藝可非常簡單地處理錯誤的密碼輸入。在2000年6月14日的論文中，其係建議每個伺服器可追縱，•密碼強化’’步驟的次數，並且重新協議此次數與成功確認的數目。如果有比認證而”明顯更多地”強化，則該帳號將會 -27 - 本紙張尺度適财S國家標準(CNS) A4規格(2抓297公酱厂 1233739 A7

1233739 A7

法及軟體利用修正SPEKE的形式來實施多伺服安全性。根據本發明的一範例系統包含—個或多個客户，即經由 -個網路而結合在一起的複數個確認伺服器。在該範例系統中’-客户使用修正的SPEKE來㈣個確認飼服器取得一機密主控鍵的一部份&，其中丨爲代表該特定伺服器的變數。孩客户組合來自每個伺服器的個別部份來產生該主控鍵尺⑺，其係用來認證該佝服器，並用來取得及解密安全地儲存在該伺服器上或其它地方的敏感性資料（包含其私有鍵）。、每個確認伺服器個別知道對應到該主控鍵的一單一部份的隨機値yi。每個確認伺服器也可負責來維持一個來自客户的最近存取請求表列，並藉由驗證接收自合法客户的驗迅汛息來核對這些存取嘗試。特別是，每個伺服器必須原該一合法使用者最近在密碼登錄時的過去錯誤，其係在當其可以驗證一合法請求的原該性時。爲了防止一敵人控制通訊通道的可能性，其可欺编A1丨c e 來使用一不適當的主控鍵Km，Alice在使用它之前確認該 Km爲正確，即產生任何洩露於敵人的資料。該確認步驟使用來自Al_ice的簽章過的訊息到每個伺服器來確認合法的登入，以及對於先前最近的合法但錯誤的登入嘗試的確認及請求原諒。更特定而言，在登記期間，Alice產生一主控對稱鍵Km的 η個部份，其中每個第i個部份S “系形成爲其密碼p的函 -29 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7

數’並自乘到一隨機的指數yi。該部份係結合一函數，所以一具有任何正確的部份之次組合之攻擊者，皆不能夠區別Km及相同範圍中的一隨機値。然後Aliceu某種方法來傳 $每個要儲存的指數yi，形成由第i個伺服器嚴密保護的機密。Alice也選擇數位簽章的一公用/私有鍵配對{v，，並使用取自Km的一鍵値來對稱地加密私有鍵u，而產生其加密的私有鍵Uk。最後，Alice產生一驗證値proofpKm，其鏈結該密碼到其主控鍵。.Alice傳送V到每n個伺服器，並儲存UK及pr00fpKm在一方便的地方，其可能是在每個伺服器上。該登錄協定流係透過一安全通道來執行，其可確認 Alice的識別，a，到每個第i個伺服器&。客户· { enroll，A，V，y] } ~~> Bi 客户· { record，A，Ukm，proofPKm } — Bi 在取得鍵値期間，爲了 Alice可以重新建構其主控鍵並取得其私有鍵，Alice傳送該密碼Q的隨機隱蔽的形式到每個伺服器。每個伺服器依序以一包含該隱蔽的密碼的隱蔽回覆Ri，自乘到該機密指數値（Ri : = Qyi)的次方，其表該使用者的主控鍵的一隱蔽的部份。至少該伺服器之一也會傳送Alice其加密的私有簽章鍵uK& pro〇fPKm。客户：{ request，Q } — B, 伺服器 Bi: { reply，Qy丨，uK，proofPKm } — Client 有趣地是，雖然Alice取得UK&proofPKn^^通道並不必須保證這些値的整合性。此可進一步在章節4.4討論。

Alice反隱蔽每個回覆來取得每個鍵値部份，並結合該部 -30 - 本紙張尺度適用中國國家標準(CNS) A4規格(21〇 X 297公釐) 1233739 A7 —___ B7 五、發明説明（28 ) 份來重新建構其王控鍵、。然後其使用該驗證値pr〇〇fp“ 及其始碼P來驗證该主控鍵是正確的。如果該驗證値是不正確的，此代表至少一個該鍵値部份是不正確的，且其必須放棄該協定，而不會洩漏任何有關Km或p的進一步資訊到網路。否則，由Km取得的鍵値係用來解密其加密的私有鍵（及任何其它資料），然後其藉由驗證其識別到每個伺服器來70成泫協足。對於每個最近傳送到每個伺服器的隱蔽密碼Q，其傳送該隱蔽的密碼之簽章的複本。客户：{ confirm，Ql5 sign(u，Qi) } & 客户：{ confirm，Q2, sign(u，q2) } — Bi 每個伺服器核對來自Alice的簽章的Qx値與其最近接收的隱蔽的密碼，並移如任何伴隨有合法簽章的符合登綠。剩下的登錄，如果在一合理的時間内不能確認的話，即視爲懷疑的合法存取嘗試，其標示爲不適當的。計算不適當存取ir试可以用來限制或延遲進一步隱蔽的該使用者的帳號的回覆部份，如果該計數上昇超過某個臨限値。

Alice必須驗證其主控鍵。如上所述，Alice可在不安全的通道上執行確涊。其取得（基本上是來自一認證資料伺服器）其驗證器pr〇〇fPKm，然後藉由比較其密碼的鍵値雜混與 Pr〇〇fpKrn來重新建構的主控鍵的合法性。如果該値不符合的話，Alice即放棄該協定。本發明方法的另一種改良係關於Alice如何驗證該主控鍵的知减到母個伺服器’以及每個祠服器如何將此資訊符合 L - 31 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7

五、發明説明（29 ) 於其本身的存取嘗試的記綠。 .器藉由檢視來自Aiice的訊息來偵測合法的存敗

每個伺服器藉士丛^ . I當未使用一安全通道時，僅傳送驗證到仏會暴露該方法、J重演攻擊。爲了防止重演攻擊，該驗證加入了由Aiice 尸^傳送的蔽的請求値。再者，其認知到αι —經常輸入錯 =:碼，且其並未由增加其合法存取計數而受到懲罰，其 ^坆成1早的帳號鎖住。其需要每個伺服器原諒其錯誤， δ其後4可以驗澄給該伺服器其最終可以輸入正確的密使用茲原諒協定，一使用者的誠實錯誤可被原諒。ΑΗα 傳送在每個成功的確認之後傳送其最近先前不合法嘗試的證據來請求原諒。在接收及驗證此證據之後，每個伺服器即由孩記綠消除錯誤，或記錄該事件爲一修正的可原諒錯誤。藉由在此方法中良好地調整一伺服器的事件記錄，一系統管理者在當該系統眞的處於風險中時可得到一更爲詳細的瞭解，其相對於當合法的使用者僅能夠挫折時。一原該系統似乎需要至少在該客户上的一個簽章產生步驟，及對於每個伺服器的一簽章驗證步驟。爲了使計算最

1233739 A7 ---— R7 五、發明説明（3〇 ) 小化（由於計算的成本，其力a 具在當使用一公用键簽章方法時相田重要）S簽早步驟提供了確認該使用者的結合函數，並提供來自該使用者的請求。在建構-使用者的合法確認訊息時，肖客户包含所有由該使用者所提出的最近挑戰訊息的組合’其以適當的使用者鍵値來數位化地簽章該、，果’並知其傳送到所有的词服器。每個伺服器驗證該簽章來確認該使用者，並在同時驗證其最心㈣錯誤的證據。（這些簽章可在一公用鍵數位簽章系統中使用一客户的私有鍵來產生，或者，另外使用由不同對稱鍵値所键入的一鍵入MAC，其可在該客户與該伺服器之間雙邊地共享）。每個伺服器在接收到Alice的確認訊息時，即嘗試來協4 其存取嘗試的驗證與其有記綠的最近嘗試的表由驗證對於每個Q値驗證Alice的簽章來完成。若是成功地驗證，其即知道該Q値確實是由最終知道該密碼的人所傳送，不論該請求的訊息是否係特定地用來重新產生該主控鍵。在本發明的一較佳具體實施例中，該密碼驗證器的危害性係分佈在词服器之間，所以沒有一個伺服器可以破壞該知澄器。其提供根據N伺服器的系統，其中不會有對於最向到N-1個伺服器的攻擊而洩漏了使用者的密碼，或任何治、碼保護的資料。即使是面對最高到整個或僅有一個確認词服器的整體主動危及時，以及面對先前不安全的通訊通道時’其仍可提供強力的保障。其可暸解到，該密碼爲實一 -33 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 五、發明説明（31 因千。犯尽糸統中的准其可瞭解到，該密碼爲實施本發明所子。僅有密碼的確認爲目前最常纟—確認因該密碼因子係做成儘可能地 '依f本發明中，相it 可以使用其它的額外鍵値或驗證。並可 :、像本發明可用於多因予系統。在非漫遊應用中… 出，當其有能力來儲存局部鍵俊時， = 通道在本發明的密碼安全生中1用不了要全㈣槽層⑽）饥可提供其它的好處，^2不_=，/額外地使用一在執仃這些交換時，可增加 =用者姓名的私有性程度。藉由對這種密碼安全性的並 rr其相關性，整體系統的強度可以大爲增加? 別疋，本發明可停止—整類的網頁伺服器的欺騙攻擊，其有可此對杬目則廣疋使用的網頁瀏覽器確認的簡單密碼通過SSL的系統。圖式簡單説明本發明的不同特徵及好處可參考以下料説明並配合所附圖面而更加地瞭解，纟中相同的參考編號代表相同的結構元素，其中：圖1所示爲根據本發明原理的一範例系統中客户與伺服器元件的方塊圖；圖2所7JT爲根據本發明原理的一客户運作範例方法的流程圖；圖3所示爲根據本發明原理的一伺服器運作範例方法的 -34 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐） 1233739 _ A7 五、發明~ ~^ 流程圖；一 =4^斤^馬根據本發明原理的一範例方法的流程圖，所不馬一客户與兩個伺服器的運作；及二圖5所不爲根據本發明原理的一範例方法的流程圖，所二爲客户僅與兩個伺服器中的一個進行通訊之運作。、詳細説明月 > 考圖1 ’其爲根據本發明原理的一範例性多伺服器系、1100的方塊圖。該範例系統100係顯示爲包含一客户 101或客尸電腦101 (Alice)及複數個認證資料伺服器103， 104 ’在此例中兩個伺服器B1 103及1104經由一網路102結合在一起。本系統100及方法使用一客户1〇1的修正SPEke方法來由兩個或多個伺服器1〇3, 1〇4取得一主控鍵的部份。（該號碼 η係用來代表用於特定具體實施例中的伺服器1〇3，1〇4之數目）。用於實施本發明的模型可允許確認訊息被傳送到一未經保護的通道或網路102上，且不需要安全的通道（如 SSL)。爲了防止一敵人控制了該通道而能欺騙Alice來使用一不適當的主控鍵的可能性，Alice係確認該主控鍵在使用它來產生任何會洩漏給敵人的資料之前是正確的。再者，該確認步驟使用一簽章的訊息來確認合法的登入，以及先前合法但錯誤登入者，藉以接受該原諒的協定。其提供不同的函數來產生該指數交換的密碼取得基礎元素，且我們揭示了允許客户101及伺服器103，104的更爲彈性的架構。其以一弱勢安全性模型來提供其它的方法，其對於特殊的 -35 - 度適用中國國家標準(CNS) A4規格(210x 297公釐) 1233739 A7 _______B7 五、發明説明（33 ) 場合非常有用。在該較佳具體實施例中，Alice的潛在較小的密碼及其所有的密碼保護的資料，仍可維持機密，即使整體最多到心 1個伺服器103，104有主動的危及性。在由、取得一键値之下來加密Alice的敏感資料，可保證其資料將僅用於使用此確認過程中正確之密碼的參與者。在登記期間，Alice選擇一密碼及一系列的部份{yi， y2，...yn}，其係用來產生主控鍵Km。在此例中，該主控鍵導數函數爲K^hashd丨| I || ...KJ，每個部份計算成 Ki=Pyi，雖然下述説明了其它的可選擇的鍵値導數函數。 Alice預先计算Km 並儲存以每個匕對應的鍵値部份^^及Km 的驗證資料。驗證資料通常爲一數位簽章訊息，其使用一公用鍵數位簽章或另由一對稱鍵入的MAC函數爲之。每個伺服器Bi使用該修正的SPEKE協定來提供Alice 一部份Kj ’其根據對於yi的知識。每次執行該協定即得到其隱蔽的鍵値部份之一，在此例中爲數値。Alice結合並雜混這些邵份來取得該主控鍵，在此例中係使用：

Km = hash( mi1/x II m21/x || ...mn1/x) 由於該隨機的yi數値，這些鍵値部份爲獨立的。請參考圖2，Alice在稍後取得來自伺服器1〇3，ι〇4的主控键。該客户101提示該使用者來輸入一密碼2〇1，並取得來自該密碼202的一群組元素，其係根據該修正的spekE法。 (這種函數的一範例爲P=hash(密碼）2 mod p，當使用具有 (p-l)/2質數的大型Zp*的質數級數次群組）。利用該修正的 -36 - ¥紙張尺度適用中國國家標準(CNS) A4規格(210 X 297^*7 1233739 A7 B7

五、發明説明（34 ) SPEKE法，Alice傳送該隱蔽的密碼値Px到每個伺服器& 203 °每個伺服器Bi自乘該隱蔽的密碼値到適當的指數，如 mi=(Px)yi，並傳回此結果到Alice。Alice接收到每個鍵値部份mi 204的對應之隱蔽値，並解開每個結果，將其組合來產生其主控鍵205在此例中爲使用函數Km = hash( m/i || τη，II ".m/n)。對於Alice來由任何伺服器取得一鍵値部份&的常用方法’其通$標不爲Bi，顯示如下： m〇=px '

Bj— A: m—mo^ A: Ki=mi1/x=Pyi B,知道的機密値yi係完全地獨立於匕所知道的數値％，依此類推、。因此’沒有一個伺服器具有充份的資訊來在、或P之上*裝—芋典攻擊。利用此協定，每個&預先儲存 L，其也儲存驗證資料V，其爲該主控鍵Km的一單向函 ,AUce可使用、來解密個人的私有資料肩，其已經使用 =自L的鍵値來儲存在__加密的容器中。此容器可以儲存 ^壬何的伺服器心⑽之上，或任何方便的地方，且可的= :道上取得。但是，在八㈣漏任何來自其L 的知紅賴職何其$人之前，其的鹰。特定的驗證技術討論於下。、先决& 法者=1 =法的’即依據局部密碼重試政策，該使用者了被要求來重新輸人該密碼加來再次嘗試。如果執行本紙ϋΊΓ用-中國國家標天 I233739 A7 B7 五、發明説明（35 ) —重試時，該客户1〇1儲存用於失效交換中的^値在安全的短期記憶體中。如果是合法的，Alice即建構Km，Px的知識驗證，以及由相同的使用者產生而儲存在短期記憶體中的任何最近之先岫PX數値的表列中，並將此確驗證傳送207到每個伺服器 104中。Alice現在也可自由地使用得自Km的資料，例如儲存在該加密容器2〇9中的具有一私有鍵之簽章公用文件〇

Alice可驗證Km的知識到任何使用適當的零知識協定之 Bi ’其並不一定要是零知識密碼協定，因爲、具有大的熵。每個伺服器Bi具有驗證資料資訊v，其對應於Km，且允终其來驗證Alice WKm之零知識驗證。

舉例而言，在一具體實施例中，Km被Alice用來取得一公用鍵數位簽章方案的使用者私有鍵U，其中v爲對應於^^的茲使用者的公用簽章鍵。Alice可以許多方法來驗證^^的知識給A，例如使用該私有鍵來簽章一訊息，其中&驗證該簽章，並證實Alice的、之知識。. 1 P 由Km得到！；也可用許多方式來完成。在一具體實施例 ^，U及V的數値可不使用其它資料而直接地由、來取得0 _ —在。本發明的一較佳具體實施例中，ϋ的數値係密封在— 谷為中，其利用來自Km的對稱鍵値來加密。在此例中， AHce使用Km來取得該對稱加密鍵，然後解開其私有鍵u。然後，Alice簽章一 Bj知道的訊息，其可證明其、的知 1233739 五、發明説明（36 具體實施識’且其傳送該簽章的例中W b 息到i°在本發明的 R ，以心係由B〇b傳送到Alice的數値心丨。 i〜A: RBi，一隨機的用一次的數目 1 A^Bi: U(RBi)，其 RBi的簽章

Alice傳送 Alice必須另外，在本發明的較佳具體實施例中，進—步驗證其爲被授權使用〜者。職e必須 =^原因討論如下，以及其如何相關於每個伺服器的而要來分辨艮好與不利的存取嘗試。第三種方式爲’ v=gKm，其基本上爲、的騎丨❿⑽抓公用鍵。在此例中，Alice可確認如下··

Bj—> A: gx m:=hash((gx)Km)

Bi: 如果（m=Vx)，則Alice必須知道尺爪然後’ Alice可傳送EKm(QA)來驗證其自己。在任何狀況下，當Alice驗證知曉、時，她也驗證知曉碼P 〇其有很好的理由不讓伺服器Bi知道單一部份^，因爲κ 及yi的組合的知識會賦與伺服器有能力來破壞ρ。在單一伺1 服器的狀況中，其似乎不可避免地該伺服器必須儲存一此資料，其-可用於破壞該密碼。但在理想的多伺服器狀況中，其不希望词服器知道P，Km，或Ki，若任何會導致破壞p 的資料。總之，每個Bi不知道P或Ki。Bi使用yi•來執行修正的 SPEKE，並確認Alice對1^的知識。每個Bi僅知道％，v， -39 - 本紙張尺度適用中國國家標準(CNS) A4規格(210x 297公釐) 1233739 A7 B7 五、發明説明（37 ) &Km的確認資料，其也可做爲Ki的驗證資料，或更廣泛地做爲Alice對P的知識之驗證資料。登記在登記期間，Alice選擇其密碼，及一公用/私有键配對 {V，U}，其適於執行公用键數位簽章。

Alice離線地執行以下的步驟：根據該密碼來建構一群組元素P，如同_: P = hash( password)2 mod p For i = 1 to n servers 103, 104 { 選擇yi做爲一獨立的較大隨機數目計算 & := Pyi mod p } 由所有的&部份組合K，例如 Km = hash(Ki 丨| K2 II …Kn) 建構對主控鍵KmW通用驗證資料，例如 V=gKm mod p 然後，Alice可安全地分佈這些驗證資料到η個伺服器 103, 104 〇讓” UserlD”成爲該使用者辨識器 For i = 1 to n servers { 儲存{ UserlD，yi，V }在每個伺服器 -40 -本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐) 1233739 A7

五、發明説明（38 ) 確認

Alice使用修正的SPEKE來取得每個心來確認，其組合該部份來產生Km，檢查Km的合法性，並驗證Km的知識給每個伺服器匕。

For每個伺服器Bi { A-> Qa=Px mod p ·

Bi-'A: Qb^Qa^ mod p, V A: Ki = QB (1/x m〇d (m·1)) mod p } 計算 Km^hashd II K2 II …II Ki) 檢查Km的合法性（如下所述）

For每個伺服器 A-^Bi： pro〇f(Km) Qa) } 請注意，每個伺服器$不知道Ki，且不能夠在不知道密碼P的情況下來計算。仍較佳地是，每個Bi不知道Km或p，且不能夠-在不知道其它部份的狀況下由V計算出來。；^也不能夠由yi來計算它，甚至用外力也不行，除非其得到所有的yi。因此，除非所有的n個伺服器103，104皆危及，否則其可達到沒有一台惡意的伺服器可以計算出ρ。即使e 只有一個yi也不能夠存取的狀況，使得外力攻擊不可行。 -41 - 1233739 A7 ------— B7 五、發明説明（39 ) 防止線上的外力攻擊爲了防止線上的猜測攻擊，該伺服器103，104將以單一使用者爲基礎來限制協定執行的次數及頻率。這種技術係馬人所熟知。但是，爲了最佳化這種系統，其有需要讓伺服斋103 ’ 104來分辨協定的合法及不合法的執行。再者， •ΐ於·^足的不6法執行，其也可有效地區別合法的使用者錯誤及懷疑的攻擊。特別疋其有而要區别使用者無意地鍵入一錯誤的密碼，或是眞正的未授權嘗試，藉以來確認。不像是機器：間的確認，使用者確認的錯誤很常見。特別是在密碼的確二中’有數種#見的錯誤形式。Alke有可能暫時地忘記其 ^六而輸人一似的，但是爲錯誤的密碼。或者是，Μα ^在輸人時造成錯誤。另-種常見的錯誤是在 :楔糊地1己得的幾個密碼中輸入錯誤的選擇。對使 :非㊉吊見的疋在一系列的登入嘗試中造取後的嘗試終於U確的。如果_伺服器計 ^此^ 況：繼的駭客攻擊，且如果該祠服器在鎖住該使；：心則對u的數目有嚴格的限制，使常被其系統所鎖住。吊吊曰不小心地在上述-的系統100中，Aliee可證明其組到所有確認飼服器103，104，使得其;丨丨p} 以及來自-攻擊者的猜測t試的錯誤、1性’ 服器並未接收到這種驗證，可能在如果-伺地假設以Px做的猜測，爲不入、力内，其會保守 β1 口决的，曰皀馬一攻擊者未確認 -42 - 1233739 A7 B7 五、發明説明（4〇 ) 的存取嘗試’並將其視爲所允許不利猜測的限制。一種最小化排字錯誤對於不合法存取計數之影響的方式爲，偵測在該客户1〇1上的重複不良登錄，並避免傳送重複的不良密碼到該伺服器1〇3，1〇4。一旦該客户軟體偵測到一特定的登錄已被該伺服器所拒絕，其即顯示該使用者的一拒絕訊息。如果該使用者重複相同的不合法登錄，該客尸軟體可以辨識出這種狀況，並避免再次接觸該伺服器。此最佳化必須在短時間内完成，爲了使得客户端1〇1 上所儲存密碼的暴露最小化。> 原諒協定另一種解決此問題的創新方法現在稱之爲”原諒，，協定。在此系統100中，其假設該錯誤密碼的許多錯誤的登錄後很快就會登錄正確密碼。當發生此狀況時，其需要該伺服器1〇3，104原諒該錯誤的登錄，其可藉由有效地由所記錄的不合法存取嘗試的計數中移除該事件，如果其可證實這二4次疋由该合法使用者所造成。藉由原該，一經常錯誤輸入其密碼的使用者，即不必要被系統1〇〇所懲罰，而可維持對未授權存取嘗試的一較小的長期限制。一種天眞的方式爲僅在每個成功的嘗試之後，消除所有先刖最近的不合法嘗試。但是，此會使得一攻擊者知道該系統的限制，而構成一密碼猜測的最佳數目，而介入在理想使用者的合法協定執行之間。對此問題的解決方案是要辨識（僅可能地）那一個錯誤存取旨4僅爲一合法使用者的無心錯誤，並提供此資訊給伺

1233739 A7 B7 五、發明説明（41 ) ----~--- 服时此係藉由忒客户傳送已知的先前由該使用者在每次成功地執行協定期間所造成錯誤的證據。基本上，該客户會要求對每個這種錯誤進行原#。當該词月良器確認:合法使用者造成錯誤時，該伺服器即在該記錄中不計數（移該錯誤。、其好處在於對於不合法存取計數的嚴格限制可以更爲嚴謹’而不會處罰使用者在重複性的少量輸入錯誤。請參考圖3，所示爲原諒協定3〇〇的一範例（實施爲軟體 300) ’其使用於該修正spEKE多伺服器系統ι〇〇的較佳具體實施例中：該伺服器103對於每個使用者維持以下的資料變數： Z 不良嘗試的計數 N 最近放大嘗試的數目 R[ 1 "N] 最近Px密碼放大請求數値的表列 Τ[ 1··Ν] 關於R[ 1··Ν]的時間標記之表列一伺服器103接收301—隱蔽的密碼（Ρχ)請求。該使用者根據決策302來判斷其是否被鎖住，其係依據局部的政策。如果其被鎖住，則一回應被記綠303。如果其未被鎖住’則該隱蔽的密碼即被記綠304在一短期表列中，並產生3〇5—隱蔽的鍵値部份（pXYj，且該隱蔽的鍵値部份（pxYi) 被傳送到客户101。對於記綠該隱蔽的密碼請求必須僅能夠在該計數未被鎖住的情況下完成，且一隱蔽的部份會被傳送到該客户。但是，爲了安全起見，記錄必須在該隱蔽的部份被傳送之前 -44 - 1233739

來完成。因此’對於每個登入嘗試，其中有發生—密碼放大處理 305’即增加N的數値’且該飼服器1〇3記綠在該執行中所使用的QA數値在短期！己憶體315中的表列値R[N]。該飼服器103也記錄一相關的時間標記値在丁[N]中，來註明該妹求被接收的時間。〃 ~ α 該伺服器103會定期地執行一處理來尋找3ΐ3或檢查陳舊的α求@在Τ中任何時間標記値與目前時間之間的差昱成爲大於一特定的時間區段時，該飼服器1〇3將消除3ΐ4ς 何對應的R數値。此時段的長度可爲_合法使用者會造成錯妖（典型的最長時間，其可被預期爲保持嘗試來用正確的密碼來登入。當每個以數値由該表列中移除，該對應的τ 數値也被移除，以及最近放大數目Ν。在每個這種事件中，在長期記憶體316中的不良嘗試計數ζ被增加，藉以表示對於已經發生未驗證的使用者的再一次密碼放大事件。當發生一成功的登入時，該客户i 〇 i傳送數値，其等於該密碼自乘到一隨機的指數，以及任何來自相同登入期間中稍早的執行之先前的qa値，送到數位簽章的訊息3〇8 中的每個伺服器103。此訊息係使用得自於使用者的該主控鍵KmW•知識所得到的鍵値來簽章。此簽章較佳地是爲使用該使用者私有鍵U的訊息之公用鍵數位簽章來執行，其可由任何具有使用者的私有鍵V的伺服器1 〇3來驗證。另外’該簽章可藉由一鍵入的鍵値來計算一鍵入的MAc 來執行’其係由使用者及伺服器所共用。在此例中，該鍵 ___ - 45 - 本紙張尺度適用中國國家標準(CNS) A4規格(21〇x297公釐)

裝訂

線 1233739 A7 B7 五、發明説明（43 ) 値了直接地由Km取仔，或由Km所對稱加密的一加密容器所得到，但一般而言該共用鍵必須在每個使用者/伺服器關係中爲唯一。此簽章的訊息係由該祠服器308接收，並驗證309。該驗證步驟可爲使用該使用者的公用簽章鍵的公用鍵數位簽章驗證，或另外由使用對於該伺服器爲已知的使用者特定鍵値來確認所键入的MAC。該伺服器1〇3驗證該使用者的所有最近QA値的表列之簽章，並將其與在表列R中稍早最近的執行中所發現的數値表列進行比較3〇9。當不符合時，該表列R即未改變310。該系統通常不應該將一不合法驗證的接收視爲一成功或不成功的登入事件。當有符合時，該對應的存取嘗試即由短期記憶體3丨5中的表列r中移除 3 11 ’該對應的時間標§己也被移除，並決定出n的數値。伺服器10 3可選擇來限制不良嘗試z的數目，或可能爲不良ί试的總數及最近未確認的放大（z+ N)。此限制可針對一特定的使用者，或一群使用者，或一整體系統限制。同時，當超過限制時所要採取的動作可以由永遠地鎖住該帳號到暫時地鎖住，及/或呈現一警告狀況給一系統管理者。這種技術上的改變常見於以密碼爲主的系統。該伺服_器103也需要記錄關於該存取事件產生的客户1〇1 或網路102的資訊。該伺服器103甚至可以用每個客户爲基準來維持這種事件的計數。请注意在该修正的SPEKE系統1〇〇中，即使一暴露的値記綠也不會對於該客户101或該伺服器造成安全上的威 __- 46 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公复) 1233739 A7 --------- B7 五、發明説明（44 ) " ：---- 脅，如同此資料已經被公開。在使用一原諒協定時的考慮爲一共用的工作站設定。如果具有長期皆執行的持續登入程式，一攻擊者能夠在一目標，用者的預期到達時間之前來到達該工作站，且該攻擊者:夠插入很快會被原該的一些猜測。因此，該系統設計 ”責這種事件的可能性，並可能來適當地調整該原 f寺間έι另一種降低此種威脅的方法是使用提供一期間 =王的方式之系統來登入。該客户1〇1可使用一安全的注〜鍵値來啓動一登入窗，其保持對於數個存取嘗試皆爲運作然後在-段未動作時間之後消失。此系統將永遠不會要求在稍早期間中所造成不合法登入嘗試的原該，但是所 ^在一單一期間内的不良嘗試皆可被原諒。使用者必須也能夠被訓練來保證其在使用一共用的工作站時來使用一全新的登入期間。 :種明顯的分佈該U(Qa)訊息的處理爲使八丨丨“自己來接觸所有的N伺服器1〇3，104。但是，爲了使這些忙綠機器上的干擾最小化，我們可以使Alice僅接觸伺服器1〇3，1〇4 中的一個。然後，此伺服器103，104可以傳遞該證據到所有其它的相關伺服器103, 104,並如此進行於批次的請求之累積的-序列中。舉例而言，可在每數分鐘即更新來分佈忒原該我π的請求給目前時段的該系統的所有使用者。此技術可降低每個伺服器的中斷數目及通訊負擔量。原諒協定的總結本系統100係”原諒的，，，因爲其對於一合法使用者的錯 -47 - 本紙張尺度適用中國國家標準(CNS) Α4規格(210X 297公釐) 1233739 A7 B7

1233739 五、發明説明（46 ) =種方法來減輕此問題是來記錄有關不合法的來源在孩伺服器的記綠中，並且使該 ^ 每個來源爲基礎來執行鎖定的運作。該來源資該原始客户電腦101的名稱咬網 ° ° 訊時。叾H罔路位址’當可取得這些資延伸上述的基本系統100在當使用者取得其主控鍵、時，可用數種方式來延伸。每猶確認飼服器，更一般而言爲任何其它的伺服器，皆可儲存該客户·101的私有檔案，其係在該使用者的主控鍵Km之下所對稱地加密。該檔案甚至可以自由地未經確認而傳送到使用者，因爲其經過強力的加密。此檔案可包含使用者的私有鍵，及任何其它對該使用者敏感的資料。上述的基本多伺服器協定可以延伸來允許該伺服器i 〇3， 1 〇4的一些次組合可以暫時地不使用。請注意該部份Ki可由許多不同的方式來取得。一個例子係延伸此系統100來允許M-Of-N的確認，其中存取到該η伺服器103，104的一些次組合m係足夠用來得到充份的部份來組成K。此例説明如下：計算一-系列的組合{ ci，C2，... Cx}，其中每個(^爲所有可能的Kj部份的合法組合。例如，當m=n-l，其可用以下方式計算出η-1個部份的所有合法組合： for i: = 1 to η c: = null bit string -49 - 表紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐） 1233739 A7 B7 五、發明説明（47 ) for k: = 1 to η if k! =i c:=Ci II Kk

Ci=hash( c) 然後，該伺服器儲存x個不同的對稱加密K: C= {encrypKChKhencrypKC^K)，".encrypt(Cx，K)} 〇在確認期間，該客户101取得該表列C，解密K，並驗證K 的知識給词服器103，1 〇4。此方式可用於較小的m及η的數値。 * 短指數問題因爲對一大致爲q大小的次方的指數化爲上述方法的重要成本，其需要來降低該指數的大小。一組用以提供有效率的具有短指數的零知識方法係由D. Jablon提出，可見於 π使用一複合模數的密碼鍵値交換’’（’’Password Key Exchange using a Composite Modulus”），Document Disclosure No· 443510，存於U.S· PTO，1998年8月20日，以提示方式併入本文。另一種方式是使用由P. C. van Oorschot及M. J. Wiener所提出的方式，其見於’’符合短指數的DifHe-Hellman鍵値π (MOn Diffie-Hellman Key Agreement with Short Exponents") ? 其見於 Proceedings of Eurocrypt 96，Springer-Verlag，1996 年5月。這些作者討論了已知計算攻擊的相對成本，並討論一短指數的適當大小。但是，其仍有一考慮爲，此會打開了可能性而可發展一 -50 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 _______B7 五、發明説明（48 ) 技術來洩漏有關一密碼驅動爲基礎的資訊，假設造成指數化不同密碼値的領域與短隨機指數的領域有很大區別。當使用一隨機指數X時，其係在U，〇(G)]中的平均分配的數値範圍中選取，顯然地單獨知道px而不知道乂，將不會洩漏有關P的資訊。但是當使用在範圍[込叫中一短的指數 X時，其中m<o(G)，該安全性依賴一些額外的計算難度的假設。如果一些人發現此狀況的特別攻擊呢？在Diffie-Hellman中使用短指數，係由vaii 〇〇rsch〇t及 Wiener提出，其中作者識別該P〇llard lamMa法爲已知最爲有效率的方法來對於一些已知固定的基礎g來計算一隨機的gx的指數X。一 lambda分散記綠計算需要約χ1，2運算。該過份簡化的方式來打破一密碼產生的Diffie-HeUman交換係來計算每個潛在基礎的指數，其中？1係對每個候選密碼來建構。但是，其可考慮成存在有一較早的解決方案。藉由該考慮（可能是無保證的），其問題（υ可比一外力 Lambda攻擊明顯地較爲簡單，我們提出一種方式來減少 Alice及Bob的計算，藉由使用一質數順序的次群組可明顯地小於該模數。其有需要來移除任何計算難處的假設，至少是對於一敵人僅是決定來自該顧客的px數値之資訊。密碼取得產生器的P = f(g.h)方法其爲一種方法來處理使用一數量級明顯小於該模數的一大型質數順序次群組。其使用一函數（相對有效率地）轉換該密碼到此次群組的產生器，以及裝置來有效地維持安全性，其係藉由減少關於該伺服器的機密指數的資訊戌漏來 -51 - 本紙張d適用t ® ®家料(CNS) A4^(21GX 297公釐)' ----- 1233739 A7 B7 五、發明説明（伯使用，並具有計算難度的潛在較少的假設。在此具體實施例中’該數値P係由兩個獨立的隨機群組元素（g，h)所得到’其中這些元素之一 h係自乘到一根據該密碼的一函數之〆指數。固定的系統參數：使 p=k.q+l，其中 2u)23<p<2l024 , &2l59<q<2l60，爲質數 . 使 g=hash(ng”）k mod p 使h=hash( " h" )k m〇d p，順序q的兩個不相關的元素。該雜混函數爲一標準的加密雜混函數，例如sha1。在此範例中輸入字串到該函數爲隨意的常數，以及在此範例中，其爲單一 ASCII字元字串，，g”及” h”。其重要地是g&h 爲隨意的獨立數字，所以g並不知道會由任何已知的指數次方來相關到h。登錄

Alice在登綠的時間執行以下的步驟：選擇R[l，q]，在1到q的範圍中之隨機號碼計算 t=hash(密碼）mod q，計算 P=g·!^ mod p，計算 K=Py mod p，以伺服器B儲存y。在該指數中密碼取得提高了考慮到關於在1997年6 的Jablon論文所辨識出的，，密碼在指數中，，者必須不能夠產生一，丨指數字典” { 丰取卞丨卜e2，···}來建立具有一 -52 -

1233739

固定的基礎g及P的候選値的字典 { Pl5 P2, ···} 如果g及h係獨立地環擇，所以其不會由任何已4 、來相關，議即可防止。上述的固定：= 保證此點。㈣木構可請注意如果因爲一些原因而需要可變的參數，該客户可驗證g及h可適當地藉由驗證一公開的認證來證實其^法性。該認證可以僅輸入到該雜混函數，在此範例中爲字串 "g”及”h”。如果該雜混函數必須是健全的，而該雜混空間必須足夠地大來防止碰撞，所得到的値基本上必須與隨機數目爲無法分辨的。該分離記錄問題可保證在兩個這種隨機元素之間的指數關係不能夠被決定。這樣的一種適當的雜混函數爲SHA1，其係揭示於’’安全雜混標準，，，FIpS 1 80-1，美國國家標準與技術協會。確認在Alice與Bob執行的密碼放大協定中，

Alice以下述步驟進行：計算t=hash(密碼）mod q 計算 P=g·!!1 mod p 選择^ R[l，q]，在1到q的範圍中之隨機號碼計算r=Px 傳送r到Bob 然後Bob執行以下步驟：放棄该處理’如果（rq mod p)矣1或Γ=ι -53 - &張尺度適财S S家標準(Cii71^21()x 297公釐) 1233739 A7 ------------- 五、發明説明（51 ) ^-—-- 計算傳送s到Alice 然後Alice執行以下的步驟·· 放棄如果（sQ mod p)々計算 Km = s1/x m〇d p 在此方法中，Bob及Alice皆執行具有一⑽位元的指數之兩個指數運算。此方法當相較於類似的F〇r^Kaiiski法時’提供了大約相等的安全，丨生士、、估 . 文王改水準，而具有明顯較少的計算，其假設爲該短指數問題可以解決。此係歸類爲”大略”相等，係因爲在決定指數的最小的尺寸及對稱的鍵値之間的任何實際相等關係。在以上的範例中係假設該隨機指數及次群組尺寸爲16〇位元，對稱鍵具有80位το的長度，且茲模數的尺寸爲1〇24位元。這種關係係很難來準確地向下延伸。如同一參考點，請注意該dss 簽章標準使用一 5 12位元模數的i6〇位元次群組。其它的建議基本上假設一 160位元次群組的一較大模數之尺寸，此處所述的本方法中所使用的數値尺寸可以適當地調整。具有P=f(g.h)之模數架構在上述的方法中，其中1，及使用級數q的次群組’其中要考慮到k的因子。對於所有小的k因子，其中小是代表小於一些最小安全尺寸，一敵人可以用特定的數値 T來刺探伺服器，以得到Ty mod p。這結果可允許敵人得知關於該伺服器指數y之資訊。讓S爲所有小k因子的倍數，認知對於每個小因子，其有一對應的小次群組。該攻擊可 -54 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐) 1233739

^降低到一最小的程度，其僅會洩漏y的低位元，藉由建冓k成爲S—2。在一具體實施例中，p=kq+ i，其中k=S· r， S 2，及r，q及p爲質數。、、僅有7的低位元被洩漏在當指數y爲眞實的隨機時，不應、二疋明顯的問題。假設該低位元係獨立地隨機，該最小文全指數尺寸可以簡略地增加一個位元來補償。此1位元的戍漏可藉由將丫的該低位元經由該系統lQ〇成爲一固定的常數値來防止。具有p=f(g.h)之安全性與效率-<有一種類似的方式來降低由於刺探攻擊的資訊洩漏，其爲保從y爲S的倍數。此處亦然，乂的尺寸必須適當地增加來補償隨機性的損失，所以如果s爲一 1〇位元數目，y將比 S=2的情況（如上述）要大1〇位元。藉由P=f(g.h)法，我們可以用更多的信心度來使用一短指數，、僅加入該客户1〇1少許的計算花費。此方法的效能可相較於使用類似的短指數，但其p値可產生一更大的群組。此方法得到增加了對於該客户的第一訊息的可驗證安全性（保護，而不會明顯地增加該伺服器的計算。客户所增加的成本爲h的指數到次方t。最後，、本發明所使用的方式係藉由移除計算難度的假設來增加安全性，其可在某-天證實爲不相關的。其有可能使用短指數的計算安全性可被證實爲相等於我們將該方法視爲一整體的其它假設，例如假設該分散對數問題是難以控制的。 -55 -

裝訂

線 1233739 五、發明説明（53 其它的鍵値變化函數其它鍵値變化函數有可能用來由該鍵値部份{yl5 y2, 來取彳于王控鍵。三個這種函數示於此，其中的第一個係同於上述範例中所使用的。目

Km=haSh(Pyi||Py2|| . py2)，使用串接，

Km=hash(Py、py2㊉. ·ρχη)，使用 x〇R函數，、=hash(pyi * ρΥ2 *···—)，使用群組運算子。在特殊狀況中，對於在該群組中使用對數的組合鍵立伤，較佳地是具有如此處所示的組合鍵導數函數，將進一步討論。下述

Km-hash(P匕2”"yn)，使用重複的群組指數化。在下一章節中，這些不同的其它函數係用來顯示在兮、法的不同具體實施例中的好處。〜万其它的流程及組合鍵導數函數用以認證多伺服器103，104的—簡單方式爲該客户及每個該兩個或多個伺服器103，104執行—系列的連續挑戰/ 反應協定，如下所述：方式（1) A: Βι: A: A—> B21 B〇: mi m2=m m2 mi m〇=m yi y2 -56 -

本紙張尺度適用中國國家標準(CNS) A4规格(210 X 297公釐) 1233739 A7 _____B7 五、發明説明（54 ) B2~> A: m3 A: Km=hash( m2(1/x)，m3(i/x)) 使客户101同時地發送一單獨的px値給多個伺服器103， 104之另一方法（2)在諸環境下是有利的。在此環境下客户 101可非同步地收集回應，其使伺服器1〇3，1〇4 (Bi*b2)同時並聯式地工作以便計算發送回應。友式（2) A: m1=Px

Bj： mx A-^ B2: 111! B l · m2=m1y 1 B2: m3=mIy2 A: m2 B2~>A: m3 A: Km=hash(m2(1/X)，叫㈠⑴）方式（2)可降低整體的執行時間，然後相較於方式。在方式（2)中進一步的最佳化爲由該鍵値部份的群組乘積中取得該主控鍵，如在Km=hash(Ki*m)。在此例中，Alice可執行計算Km=hash((m2*m3)(1/x))，其可降低它必須執行_的指數化的量。尤其是，圖4所示爲根據本發明的原理之範例方法權的流敉圖’其爲一客户與兩個伺服器的運作，其使用具有最佳化計算的群組乘積鍵値導數函數。在步驟401中，在登記時間{userlD ν 士斤加 u，yi5 V}係儲存在每個 -57 -

1233739 A7 _______B7 五、發明説明（55 ) 伺服器103, 104，一雜混的P(Hp=hash(P))的加密複本，及該使用者的私有鍵u係存在於關於該使用者的識別{UserID， encryPt(Km，{Hp，U})}。請注意該加密的内容中包含一訊息確認碼，藉以保證該内容不能被修正來破壞U而不會也破壞Hp。在登入期間，如步驟402，一群組元素（p)被產生，其爲一輸入的密碼（如上述）的適當函數。在步驟4〇3中，即形成一隱蔽鍵値邵份（mfPx)。在步驟404中，該隱蔽的鍵値部份係傳送到每個伺服器h 103及匕104。在步驟405中，一隱蔽鍵値邵份（mfm/1)係形成在第一伺服器（B〇 103中。在步驟406中，伺服器匕記錄該隱蔽的治碼於短期記憶體中，及在步驟407中，傳送該隱蔽的鍵値部份（m2)給Alice。在步驟408中，Alice由該公用目錄取得其加密的密碼識別Hp及私有鍵U。（步驟408可在任何方便的時間完成）。在步驟409中，一隱蔽的鍵値部份 (πΐ3=ηι/2)形成在該第二伺服器（β2) ι〇4中。在步驟41〇中，該第一伺服器（BO 104記綠叫在短期記憶體中，且在步驟 411中，傳送m3給Alice。在步驟412中，Alice 101解明該部份’並產生其主控鍵Km=hash((m3*m2)(1/X))。請注意

Km=hash(_Pyi* Py〇，其使用該部份的群組乘積做爲鍵値取得。在步驟413中，該客户1〇1使用{^來解密該目錄資料來得到Hp及U。在步驟414及415中，該客户1〇1在當Hp不等於 hash( P)時即放棄。在步驟416中，該客户1〇1產生一簽章的 _______ 58 · 本紙張尺度適用中國國家標準(CNS) A4規格(21〇χ297公釐） 1233739

訊息m4，其包含使用其私有鍵u的隱蔽密碼mi，並將其傳送到B i及I做爲驗證其正代表一合法使用者在動作。在步驟417中，每個伺服器1〇3，1〇4驗證在使用該使用者的公用键v的訊息叫中的mi之簽章。在步驟418及419中，如果叫的簽章被驗證，而叫是在懷疑的登入請求的短期表列中所發現，該隱蔽鍵値部份m i即由該表列中移除。但是，也有狀況是訊息流動的序列化是不可避免的，如同在一鏈接的方法之例，其中伺服器Βι做爲該客户ι〇ι及饲服器I之間的中介者。在此例中，我們可使用另一個組合鍵値導數函數來得到使用該隱蔽鍵的序列指數之主控鍵，如在 Km=hash(Pyi*y2、.yn)。二方式（3) A: m1=Px A—B!: ml

Bi: B2: m2 B2: m3=m2y2 B2—> B j: m3 Bi—A: m3 A： _ Km=hash( m3(丨/x)) 請注意，由心及匕所執行的計算順序可以交換，且&可簡單地直接傳送m3到A。此方式係詳述於下，並顯示於2圖 5。另一種相等的順序爲：方式（4) -59 - 本紙張尺度適用中國國豕標準(CNS) A4規格(210 X 297公酱） 1233739 A7 B7 五、發明説明（57 A: mr =px mi B卜 B2: mi b2： m2= =m/2 B2^ Bp m2 B!： m3= =m2yi A: m3 A: Km= =hash( m3(1/x)) 該組合鍵値導數函數也可用於Alice做爲一序列化方式的中介：友式（5) A: ml=Px A-> B{: m! Bp m2=m1yi B1 A: m2 A—> B2： m2 B2: m3=m2y2 B2—A: m3 A: Km=hash( m3(1/x)) 在方式-(5)中使用該組合鍵値導數函數來降低取得 Alice的指數計算之過程中’其可以一明顯的方法來延伸到任何數目的飼服器103, 1〇4。在此方式中，八^心必須傳送 —其本身對叫的知識的認證來词服器1，對叫的認證服器B2，等等。 -60 - i張尺度適财_家標準(CNS) A4規格(21GX297公爱)

裝訂

線 1233739 A7 B7 五、發明説明（58 ) 但是，當伺服器103，104做爲計算中的中介時，Alice並不存取到中介的結果’其需要另一種方式來驗證其主動的參與。圖5所示爲一種使用該組合鍵値導數函數的兩伺服器架構的特殊例’其中Alice僅直接地連接到伺服器b i。更特別地是’圖5所示爲根據本發明原理的範例方法5〇〇的流程圖，其爲一客户1 〇 1運作來與兩個伺服器1 〇3，1 〇4中僅有一個來通訊。在步驟501中’在登記時間{ UserlD，yi，V}係儲存在每個伺服器103，104，而該密碼（Hp=hash(P))的雜混之加密的複本及該使用者的私有鍵U係儲存在關於該使用者的識別 {UserlD，encrypt(Km，{Hp，U})}的目綠中。請注意該加密的内容包含一訊息確認碼，藉以保證該内容不能夠被修正來破壞U，而不會也破壞到Hp。在登入時’在步驟502中產生一群組元素（p)，其爲一輸入密碼的適當函數（如上所述）。在步驟503中，一隱蔽的键値部份（mfPx)即形成。在步驟504中，該隱蔽的鍵値部份即傳送到伺服器h 103。在步驟505中，一隱蔽的鍵値邵份（m2==miyi)即形成在該第一伺服器（B〇 103上。在步驟506中，伺服器^記錄該隱蔽的密硌在短期記憶體中，且在步驟5〇7中傳送該隱蔽的鍵値部份（m2)到該第二伺服器B2 104。在步驟508中，Alice 由β公用目錄取仔其加始、的始、碼辨識器Η p及私有鍵u (步驟 5 0 8可在任何方便的時間冗成）。在步驟5 〇 9中，兩個鍵値部份（m^m/2)的一隱蔽組合鍵値即形成在該第二伺服器 -61 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 B7 五、發明説明（59 ) (B2) 104上。在步驟510中，該第二伺服器（b2) 1〇4記綠叫在短期記憶體（請注意其記錄該回覆値，而非請求値。參見以下進一步的説明）。在步驟511中，b2傳送叫到&，其再遞交給Alice。在步驟512中，Alice 101解開該組合的部份，並產生其自己的主控鍵値Km=hash(m3(1/X))。請注意 Km=hash(Pyiy2)，其使用鍵値導數的重複對數化。在步驟5 13中，該客户1 〇 1使用Km來解密該目錄來得到及U。在步驟5 14及515中，該客户1〇1在當％並不等於 hash(P)時即放棄。在步驟516中，該客户1〇1產生一簽章的訊息m4，其包含該隱蔽密碼m i及使用其私有鍵u的該隱蔽組合鍵値m3，並將其傳送到Bl做爲其正代表該合法使用者在動作的驗證。B!也傳送此訊息到b 2。在步驟5 17中，伺服為B i 103使用該使用者的公用鍵v來在訊息叫中驗證m^ 的簽章。在步驟518及5 19中，如果對叫的簽章經過驗證，且m!發現疋在懷疑的登入請求之短期表列中，該隱蔽的键値部份m!即由該表列中移除。在步蘇520中’伺服器103使用該使用者的公用鍵v來在訊息叫中驗證叫的簽章。在步驟521及522中，如果對m3 的簽章被驗證，且叫被發現在懷疑的登入請求之短期表列中’該隱蔽的鍵値部份m3即由該表列中移除。在此例中，；^在Alice及I之間的中介。Alice驗證該請求値Px的知識到匕，並驗證該回覆値（Ρχ〜2)的知識到&。·其需要如此的變化係因爲伺服器I不必要信任Βι爲誠實，並需要來驗證一特定値對於I及Alice爲已知，並用於^^的計 ___ - 62 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 裝訂

線 1233739 五、發明説明（6〇 =中。在此例巾，神定値爲制服器器的反應値。 ^ &則口Ί服 ^注意在先前範例具體實施射&叫的驗證運非對稱性。其需要使用另— 的運作m上二1及B2執行類似乍舉例而，，兩者可儲存該輸入請求叫給叫，以及在該短期表列中的該回覆値（AM及叫給 Β2)，並由檢查兩者來執行該驗證函數。當接收—簽時，其中孩請求或回覆値符合儲存在該短期表列中該鍵値取得過程可考慮爲合法。在所有這些方式中的雜混函數可實施爲該引數的單向雜混函數，其視爲固定長度的位7L串。多個引數可以串接，如同使用該SHA1標準雜混函數的此實施例中所示，其見於” Secure Hash Standard"， FIPS 180-1，U. S. National Institute of Standards and Technology ： hash( x，y ) = SHA1( x j| y) 其它類似的鍵値導數函數係爲人所熟知。

Km及先前伺服器確認的驗證因爲並未假設該通訊通道的安全性，該使用者的客户1〇ι 在使用它在任何會洩漏資訊給一敵人的方式之前，執行該組合的主控鍵上的合法性檢查。該使用者檢查Km的一種方式係取得一額外的訊息，其已經根據該正確的登記値Km的键値來對稱地加密。該使用者可由任何方便的地方來取得此加密的訊息，例如該確認伺服器103 ’ 104中的任何一個。使用該Km的協商値，該使用者解密該訊息，並對該解密的資料執行該合法性檢查。如 -63 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 B7 該客户101將放棄該過程，並保證沒有關於Km的&商値的資訊會洩漏。一種驗證該訊息的方法係來包含在該資科中的—大型固定系統常數値】。該客户1G1絲證在t該解密㈣符二時該鍵是正確的。然而’根據該加密系統，其可關切一口敵人可特別地建構一訊息’使得具有數個不同鍵値的訊息解密皆可給予包含該數値J的清楚文字資料。當其不可能有一良好設計的加密系統，其可防衛此來使J爲該密碼的函數。 - 在-具體實施例中，我們計算J爲該密碼的一單向雜混，如同在SHA1(”J” ||密碼）。該客户1〇1使用來解密該訊息，並比較該解密的J數値及SHA1(，，j"丨丨密碼），且如果其付合時，Km即假設爲合法的。如果其不符合時，該客户 101必須放棄確認的過程，且保證不會有數値由其Km的不合法値取得，而可用於潛在的敵人。

Km的確認隱含地驗證了所有用於產生Km的放大的鍵値部份。小的部份之次群組限制另一個蜾題是其可增加考慮，一敵人可控制該網路i 02，除了回覆Py外’其可僅回覆小次群組元素，如同該識別元素1。在孩例中’其中所有的伺服器反應爲小群組元素， Km將被強迫爲一小數値組合中的一個。舉例而言，在該特殊例中，其中所有的伺服器反應爲i可計算來具有一固定値，例如·· ____ - 64 - 本紙張尺度適财四家標準(CNS) A4規格

裝

1233739 A7 B7 五、發明説明（62 )

Km = hash( l1/x，l1/x，···）= hash( 1，1，…）請注意次群組限制將不會是具有Km的較佳之驗證方法的一個問題，但如果J的數値爲一固定的系統常數時即爲問題。在此例中，一攻擊者可建構認證資料，所以不管該密碼，該識別元素可解密該訊息而永遠洩漏J的熟知的固定値。類似地，在該例中，{yi，y2，··.}爲非常小的次群組之所有的元素，該敵人可建構一訊息’所以其可爲一明顯的機會讓客户101可解密該訊息來找出J的固定値。另一種防止κ的小次群組限制之方法係使得該客户101直接地偵測此點，如美國專利申請序號〇8/823,961中所揭示，以及S· Bellovin及M. Merritt的論文，其名爲”加密的鍵値交換：密碼爲主的協定對於字典攻擊爲安全π (’’Encrypted Key Exchange: Password-based protocols secure against dictionary attacks”）， Proceedings of the IEEE Symposium on Research in Security and Privacy, 1992 年 5 月，及W. Diffie，P.C. van Oorschot，及 M. Wiener所提，其名爲”確認及確認鍵値交換n ("Authentication and Authenticated Key Exchanges”），Designs Codes and Cryptography， 2,頁107-125，（ 1992)。爲了最小化特殊狀況的數目，該客户101必須檢查，該客户101也可自乘所接收的値到一指數，其可使結果強迫到一較小的元素組合，可能是到該組合{1}，然後測試這些在美國專利申請序號08/823,961中所提出的案例。藉由排除這些特殊的狀況，可以安全地使用 Km的較廣範圍的驗證測試。 -65 - 本紙張尺度適用中國國家榡準(CNS) A4規格(210X 297公釐) 1233739

μ /主思由扱制{yi，yi，...yN}的數値者的該刺探攻擊，且使知p的數値〈特定猜測永遠是可能的。冑記得此處的目標是使該敵人對於每次該協定執行中最多猜測一次的p 値，其並不是一協定考慮。群組參數中的變化其基本上是假設該系統參數定義了要使用的該群組，其包含模數m及任何必要的（…丨）個因子，其爲固定的系統參數’建立於該客户及伺服器實施中。這些數値可以用於該系統100的所有使用者。一另外，這些方法可使用任何適當的群組，例如在一橢圓曲線上的點群組，如同Diffie-He„man的橢圓曲線加密方法中所常用的’以及相關的協定，其揭示於ieee Std 1363- 2000 ’公用鍵加歡的IEEE標準規格，IEEE，2000年8月29 日，A.11.1，頁 131。該方法也可使用變化的參數來由一伺服器傳送到該客户 101，或反之亦然。在此例中，參與方必須負責保證該參數爲合法的，其可經由使用質數測試，或藉由驗證一可信賴方所產生的參數之證明，或藉由任何其它的方式可以提供這些參與方充足的合法性之保證。 ”隨機’「的指數該機密指數{y!，y2，···}必須爲獨立的數目，其選擇來使其不會被任何潛在的敵人所用。其可充份地由一虛擬隨機數目產生器中得到這些數目，只要其對於任何潛在的敵人呈現爲獨立的隨機數値。一種常用的加密實施係來自使用 -66 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 ___B7 五、發明説明（64 ) 一雜混函數的隨機輸入之一個或多個共用機密來源的這種加密目的之一系列的虛擬隨機數目。弱勢模型中的其它選擇在本發明的較佳具體實施例的發展過程中，如下述，其發展出運作在弱勢模型中的其它方法，在一些例子中，不為要使用零知識在、碼技術。當小於理想値時，這些方法提供其它的選擇而可用於特殊的狀況中。此處所述的三個具體實施例爲一具有客户錯存的單一伺服器系統1 00 (此處稱之爲AM1)，一雙伺服器漫遊系統（AM2) 1〇〇，其一多伺服器漫遊系統（AMM) 100。

其它的C C 孩AM1系統1〇〇爲該單一伺服器環境的cc系統1〇〇的另一種選擇。該AM1系統1〇〇移除了所有由cc施加的特殊限制’擴大了遠使用者的私有鍵的功能，且仍提供至少與c c 相同私度的使用者密碼安全性。當該CC系統i 〇〇對於該底層的公用鍵系統的使用及使用者的私有/公用鍵配對的使用上加入些嚴格的限制時，該AM 1方式消除了這些限制。此方式可提供一較佳的選擇給cc，其比要易於瞭解，建立及分析。登記 _ fAMl登記中，該客户1()1選擇—刚碼卜及—私有鍵& 及-非對稱加密系統的對應公用鍵％。此處不會對^及〜的建構施加特別的限制。該客户1〇1建構s=f(sait，p)，及v 仪馬S的驗證資料，其使用—函數【，其適用於—零知識的

1233739

。較佳地是，低熵S，例如登屺過程，或任何其它適當強壯的密碼系統此使用一強力延伸的密碼系統，其可容許一 B_SPEKE，其討論於1997年6月的jabl0n論文。客户儲存：

Salt 機密謹愼値，僅儲存在客户101中

Ds 該驗證資料伺服器（AS)的公用鍵 s(V) 由該AS密封的客户密碼驗證資料

Ds(encrypt(K，Ec))在尺之下加密的客户私有鍵，然後對於AS密封〇C 該客户公用鍵，其不爲機密確認在AM1確認中，該使用者輸入p，且該客户1〇1計算 S=f(salt，P)，傳送Ds(v)到伺服器，並適當地根據來 J、词服w執行強力的在、碼確認。此可較佳地以法來完成。 ' 一旦該使用者用S來確認，如由v所驗證，該伺服器傳送回enCrypt(K，Ec)，所僅有驗證了 s之知識的使用者可以讀取它。較佳地是，該伺服器可傳送EnCK2(encrypt(K，Ec))，其中I爲B-SPEKE協定所產生的期間鍵値，其驗證了客户的s知識。該客户101知道尺2及〖，因此可以解密Ec。然後該客户101即可自由地使用該{Ec/Dc}鍵値配對來用於一般的公用鍵値目的。相對於CC系統會限制其僅能用於與該確認資料伺服器進行交易，對於Ec及Dc的使用不會有限制。同時，一個驗證或驗證的串鏈可以結合於該客户的 ___ - 68 - I紙張尺度適财s g家_⑽）城格“ 297公爱) 1233739 五、發明説明（66 公用鍵。雙伺服器的C C漫遊之其它選擇琢AM2系統1〇〇現在將説明，其在當cc修正用於一雙伺服器漫遊方案時提供cc的另一種選擇。該AM2系統1〇〇爲比上述的CC漫遊方案要簡單的方案。登記在AM2登記中，該使用者選擇兩個密碼匕及匕，其較佳地=選擇爲獨立的數値，所以Ρι的知識並不會淺漏關於^ 的資訊，反之亦然。一使用者分別對於每個密碼％及％建構驗證資料。該使用者也選取兩個隨機鍵値，1及1，並建構K=hash(Yl，A)。該使用者使用一主控鍵尺來對稱地加密私有資料，較佳地是包含一私有鍵、。一第一確認伺服器ASi安全地儲存 { V1，Y1，及視需要的 encrypt( K Da) } 一第二確認伺服器AS2安全地儲存 (V2，Y〗，及視需要的 encrypt( K DA) } 如果encrypt (K，da)並不存於別處，A這些飼服器1〇3，1〇4 中的一個必須儲存它，並在該客户101確認Pi或匕時，傳回其複本到該客户1 0 1。使用者使用Si確認到AS!來獲得Υι。使用者使用S2確認到AS2來獲得γ:。使用者的主控鍵K^hashUb Y2, Si) s2)。使用者使用鍵値K來解除其加密的私有鍵encrypt(K，DA)。因爲對於EA ’又有特殊的限制，_個或多個飼服器可開放 -69 -

本紙張尺度適财® g家標準(CNS) A4規格(2i〇^7UT 1233739

地儲存ea，並將其以未加密的形式來傳送到客户。確認在AM2確認中，該客户1〇1使用ASi的認證資料％，並使用匕來獲得與伺服器ASl的一確認期間鍵値KSi。Ah傳回在KS1i下對稱加密的Yi。該類似的過程以使用&的客户1〇1來重複，藉以確認到伺服器AS2來取得Υ2。雙伺服器103，104之一傳回encrypt(K，DA) 該客户101計算K^hasWYb γ2, Si，S2)，並解密Da。現在DA及EA可做爲該使用者的全功能私有及公用鍵。另一具體實施例在AM2的另一具體實施例中，在客户1〇1及/或該使用者，或一個或兩個確認伺服器1〇3，1〇4的狀況中，其能夠預先儲存或驗證一伺服器的公用鍵的合法性，及一伺服器的儲存資料可藉由將其以伺服器的公用键密封在一起而包覆在一起。此可使該資料僅能由該伺服器取用，其可假設爲唯一可以擁有該對應的私有鍵之實體。然後這種密封的資料組合可以儲存在該客户1〇1上，或視需要儲存在其它的認證資料伺服器。其也注意到’此方法以明顯的方式來縮放到任何數目的 N伺服器1〇3，1〇4，其中N>2。用於由該第N個伺服器來登記與獲得一鍵値部份的過程可相等於該第一或第二伺服器 103，104。該組合的鍵値可自然地計算成 K^hashh 丨丨 k2 丨丨···!〇。 -70 - 本紙張尺度適财國國家標準(CNS) A4^(21GX297公爱) 1233739 A7 ______ B7 五、發明説明（68 ) 該縮放問題係討論如下，而錯誤容忍的問題被處理，藉以允許僅有η個伺服器103，104中的111個可成功地確認，其中 n〉m> 1 〇非零知識的多伺服器方法該AMM系統1〇〇現在對於多伺服器環境來加以説明。該 AMM系統100係以比上述的較佳多伺服器系統1〇〇要弱的安全性模型來運作。-個範例根本不使用零知識密碼協定，但仍可㈣每個Bi並*錯存密碼或可破壞的資料在其資料庫中之性質°其討論了此系統1GQ的設計及類似的限制。每個AMM伺服器Bi對每個使用者儲存一 l數値，如同上述的較佳系統1〇〇。每個Bi“lice接收p，但是在未隱蔽的形式中。其以K=hash(P，yi)來回應到ΑΗ“。目爲&並爲儲存任何密碼取得的資料，其不會有對於該竊取庫典攻擊之威脅。厚勺

對於每個伺服器Bb A—B丨：P

Bp Α: = hash( P，yj

Km係依上述來計算及驗證。此方法需要該通訊通道的額外保護，否則一竊聽者可安裝一字典攻擊在P上。此處的一個解決方案爲使用一 SSL/TLS伺服器確認的通道。限制：對於B 〇 b的攻擊對於在AMM系統1 〇〇中未處理的一明顯限制爲，該密碼可在其使用於伺服器上時被竊取。一取得高授權存取到 -71 - 1233739 A7 ___ B7 五、發明説明（69 ) "—' --

Bob的攻擊者也有可能有機會來對B〇b的軟體構成一惡意的改變。這種改變可做成一修補或更新形式，而由一 2 =的管理者，一惡意或好奇的駭客，或甚至間接地由一病毒來安裝。當Bob立即接收到該系統1〇〇的一使用者的ρ値時，該修補的軟體即接手控制，攔截，並收集這些密碼，並使其可用於攻擊者。該攻擊者可有效地建立起其本身的密碼資料庫，即使這樣的資料庫通常不存在於系統丨〇〇上。限制：在該通訊通道上的攻擊另一個ΑΜΜ的限制，或任何其它非零知識多伺服器方法爲，其需要一些其它的裝置來保護該通道來防止竊聽者對 Ρ的字典攻擊。當此可由SSL或一些其它的協定達到時，此會提出對客户101的額外需求，用以維持鍵値或認證，而要使系統100變弱，並無法接受於一漫遊方案。其有可能有許多非零知識形式的密碼確認，但B〇b通常在泛些協足中的每次執行中接收資訊來構成其字典攻擊。因此]此資訊也會洩漏到危及B〇b的攻擊者。一零知識密碼協足基本上可防止藉由一主動伺服器的危及性之攻擊。目前簡化之安全性模型本方法-値得注意的方面{其係運作於一非常簡單的安全性模型-。該客户電腦101並不需要儲存任何使用者或飼服益特定狀態，而我們不需要任何先前在任何元件之間所保，，確認的通訊通道。此模型係比目前用於安全性多伺服器始、碼確認的早期方法者皆要簡單。在該較佳具體實施例中，該客户1〇1並不需要保持該使用 -72 -

1233739 五、發明説明（7〇者或任何伺服器的長期試塔从AA 4W拉貝枓。此間化的模型降低了額外的失效點，如同會在力士人夕、 ,,w ^ q存在於多重根認證授權的常用SSL/瀏覽咨才吴型。該SSL/瀏罾哭趑刑玄a ^ ,^為挺型產生一些在一複雜的信用鏈中）曰在的弱鍵接，其雲要步A ' ' #+ m , 、要未自茲使用者的堅固的動作及/ 或注意。我們的簡化模刑洁咯脱卢& ^ ^ 1俣土吶除了潛在的風險，其基本上已 %屬於模型中的”人爲錯誤” ^日次其係依賴孩伺服器103，104 的先前確認。本^明具有廣泛的應用性。本發明方法的好處在於其不、/、又^ C用非漫避應用，該使用者的主控鍵Km係使上述較佳的系統100來取得，且L係用來存取及解密局邵儲存在該使用者的個人膝上型機器的認證資料。此可提供由-使用者選擇的一小密碼所保護的不可破壞的局部儲存及不而要使用特殊硬體的遠端儲存的鍵値部份因子 {y!，y2，·..}。其也有增加了 Km的保護，且該保護的資料將不會洩漏給-敵人，即使其攻擊所有的相關網路伺服器 103, 104，只要其也無法存取到局部的膝上型資料。该王控鍵可以用於產生對稱的鍵値來解密儲存在公用存取地方的私有資料，藉以產生對稱的鍵値來確認，以及直接地取得用以接收密封的訊息之公用/私有鍵値配對。上述的系統100提供最佳可能的軟體爲主的選擇替代智慧卡。曰％、詳細的協定説明以下爲該協定實施的詳細説明，其使用下表丨所整理的記號。 73 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公爱） 1233739 A7 B7 五、發明説明（ 71 ) 表1.記號符號意義[合理的範例] Ci 由Bi儲存的認證資料表列 P 對應於由密碼得到的Gq元素 [hash( password)2r mod p] Gq 質數級數q的群組 .. [在 ΖΛ P=2rq+1，之2』、〉]2』-1，2k>p>2k-1，p及r爲質數] hash 一加密雜混函數[SHA1] j 用以抵抗外力攻擊[80]的安全參數 k 用以抵抗NFS分散記錄攻擊[1024]的安全參數 Ki Alice與Bi[hash(Km || i)]之間共用的鍵値 Km Alice的主控键[一串接的部份hash^丨|…丨| Sn) mod 2j] Li 由h儲存的懷疑的不適當嘗試之表列 password 使用者的密碼，0<password<22j[SHAl(ASCII password)] Ri 一隱蔽的鍵値部份=pxyi Si 一鍵値部份=(P)yi u Alice的私有簽章鍵 Uk 八11。6的加密私有鍵=611(^>^1：(1^，11) V ' 對應於U的Alice的公用键 yi 由Bi儲存的Alice的機密部份指數 encrypt(x，y) 以對稱鍵X加密的訊息y decrypt(x3y) 以對稱键X解密的訊息y sign(x，y) 以私有鍵X簽章的訊息y (所以可讀取訊息y) -74 - 本紙張尺度適用中國國家襟準(CNS) A4規格(210 X 297公釐） 1233739 A7 B7 五、發明説明（72 ) 參數。在此協定中，其定義兩個安全參數，j代表對稱函數的所需要的位元長度，而k代表非對稱函數之模數所需要的位元數目。

Gq係定義爲Zp*中級數q的次群組，其中p，q及r爲奇質數，p=2rq+ 1，，r 羊 q，及 SWsq〉〕2』-1 ° 其使用一函數來映射一密碼到一群組元素Pe Gq，其中P=hash (password)八 2r mod ρ 〇 _ (另外在GF(p)中可使用一橢圓曲線群組，其具有一群組的級數r· q的點，其大略等於ρ，質數q，及小的共同因子 re [ 1,100]左右。在此例中，所有的指數化係以數量點乘積來取代，並定義P=r，point(hash(password))，其中點使用 hash( password)來植入一虛擬隨機數目產生器來在該曲線上尋找一隨意點。此係討論在由D. Jablon所提出的論文中，其名爲”強力的僅有密碼確認的键値交換n (n Strong password-only authenticated key exchange1')，ACM Computer Cominunications Review，νο1·26，no.5，1996年 10 月〇登記。Alice選擇一密碼 P，計算 P: =hash( password)2r，並產生一私有鍵U，及適用於執行數位簽章的對應公用鍵値 V。然後其即產生η個鍵値部份，其中每個第i個部份S# Gq 係形成爲_Si:=Pyi，其使用隨機選擇的yieR[l，q-l]。然後其以Km:=hash(S1 ||…|丨Sn) mod2j來產生其主控的j-位元對稱鍵成爲UK:=encrypt(Km，U)，並產生其键値驗證資料 proofPKm:=hash(Km || g)。爲了登記這些認證資料，該客户101傳送Alice的認證資 -75 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 裝訂

線 1233739 A7 B7 五發明説明（73 ) 料來儲存在由每個&維護的一表列&。其必須使用可保證 A的適^識別的一確認的通訊方法來執行這些動作：客户：對於每個ie [l，n]，{enroll，A，yb v，UK，proofPKm } — Bi 伺服器：儲存{A，yi，V，UK，proofpKm }在 q 確認的取得。對於認證的驗證資料取得，該客户101及伺服器103，1 〇4即執行以下列出的動作。在此過程中，每個伺服器維持一表列Li，其包含一懷疑的不適當存取嘗試的記綠。客户：一選擇一隨機數目xe [l，q-l] Q : = Px mod p { request, A，Q 司服器伺服器：由 q取得{ A，yi，V，UK，proofPKm } t : = CurrentTime 加入{A，Q，V，t}到 Ri : = { reply，心，UK，proofPKm }-> 客户客户：對於每個i e [l，n]，

Si: = R丨1’x mod p K’ ：= hash( S! || S2 丨丨··· || Sn ) 如果 proofPKm 羊 e hash( K1 || g)，則放棄 U := decrypt( K5 UK) -76 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 五、發明説明（74 ) 對於 Q·在{ Q，Ql5 Q2, ···} { confirm，Q’，sign(U，Q’）} 3 词服器} 伺服器·· ° 對於每個接收的{ confirm，q，，q、} 對於Lj的任何{A，Q，v，t}，其中驗證sign(U，Q’），做爲具有^的9之簽章如果該簽章爲合法的，由仁移哈{ A，Q，V，t} 定期地，可能一次一分鐘，每個Bi掃描不適當登錄{ a， v，t}，其中（CurrentTime_t)太大而不能接受。當發現一適當的登錄時，該登錄即由該表列中移除，及一不適當a 取嘗試事件由使用者A所觸發。請注意因爲最佳化，^ 僅需要計算及傳送一單一簽章來確認一所有最近q値之^ 列到所有的伺服器103，1〇4。效能改善在比較FK1協定與本發明時，有幾個因素要考量，其自 =該基本隱蔽函數的群組算術的成本，相關認證函數的# ，及使用-飼服器認證通道料個伺服器的成本，好處及風險。 fe敝運作的成本。藉由杳+料阴2. Ο Λ — 棺田女王性因子尸80及k=l〇24，該新協足*ί疋供了比F K1協定要明靖輕黑沾 ^ 文力，貝罕乂问的效能。利用q=(p-l)/2，母個FΚ1词服益必須執行一個〗q y、、钒仃個1023位元指數化，且該客户必須執行兩個。 δ使用p=2rq+ 1，如太古、、土 μ _ 4 奉万法所示，我們正使用級數 I________- 77« 本纸張尺度適用_家鮮(CNS)域格(2iqx297^ 1233739

>q>2的次群組。在後者之例中，服器計算係降低到約爲前者數量的" ：：τ個伺評估相等的對稱及非對料全 θ °°分万法來變。爹数，你的哩程數可改但疋，，客户好處在於當心必須執行在 (password产中的864位元的指數化。然而，一老改善在其它的P之架構中，例如以下所述。二〜可以目前的比較忽略了任何加入的節省，其服器確認通道的設定來達到。抻是， ^ ^ ^ 口口疋猎由涓除所以的伺服

态確認，該節省可耗費由錯誤伺服器1〇3，1〇4的一些線上猜測，且可能洩漏該識別Α到竊聽者。一 V P的其它架構。其可使用另一個架構p:=gi.g2hash(pas_rd) _ q 。其使用固定的參數gAg2，其爲具有對於彼此皆不知道的指數關係之兩個隨機的級數〇1的元素。用以產生^及心皆可接文的數値t可能性係來使用一雜混函數做爲一隨機預言，如在 gr^hashC’gPyrmodp。藉由相同的安全性參數，其它的架構需要該客户1〇1的三個160位元的指數化，且對於該伺服器相較於FK1時，其可降低客户成本53%，及該伺服器成本84%。確認函|的成本。以上的方法需要該使用者的數位簽章來驗邊其隱蔽密碼組合的合法性。幸運地是，客户簽章產生可在一旦產生了包含對所有伺服器1〇3，1〇4的一個或多個最近傳送的密碼請求之訊息即可完成，且在使用RSa 時，其伺服器簽章驗證很快。 -78 - 本紙張尺度適用中國國家標準(CNS) A4规格(210X297公釐) 1233739 A7 B7

再者，爲了消除在客户101上一公用鍵簽章運作的成本， Alice可用一键入的訊息確認碼來替代地，，簽章，，其隱蔽密石馬的組合，其使用以以登記的一共用機密鍵値Ki=hash(、|| 在此例中’其登έ己不同的鍵値’並對每個伺服器來建構同的簽章。 + 安全性的引數。一些簡單的引數係示於後，其關於本發明的安全性。 ' Λ 每個鍵値邵份爲一強力的機密。每個部份的重要資料僅儲存在一希望是安全的認證資料·伺服器上的機密L値，且其僅在一修正的Diffie-Hellman交換的指數中釋放。此計算爲模數化一質數，形式爲p=2rq+ 1，其嚴格地限制了一攻擊者可取得的有關yi的資訊。所有可由一刺探攻擊決定者，即yi是否具有與2rq共用的因子，但是，因爲义是隨= 的，所有的因子除了 2之外，皆非常大，該機率是非;地小。因此，如同2000年6月的Ford及Kaliski論文中所提到，可以決定的唯一資訊爲yi的低位元。

Alice洩漏關於P的零資訊在其隱蔽的請求訊息中，因爲對於任何洩漏的數値，具有被任何給定p來產生的相率。同時，即使存在有額外的資料，像是pxy數値，其益、去協助攻擊者決定P，因爲該y値並不經由任何爲一攻擊者已知的資料而相關於P。、在該通道的控制中將資訊由Alice的確認訊息中戍漏給— 敵人的機會是微不足道的，因爲如果其接收到任何來自°伺服器的不正確回覆’即會在釋放任何有用的資訊之‘、放棄。因爲組合了雜混函數，如果該主控鍵的—個部^ =

裝訂

線 -79 - 1233739 A7 ______________B7_ 五、發明説明（77^ ^ ------ 不正確的，則藉由壓倒性的機率，該組合键値將爲不正確勺同時如果邊主控鍵是不正確的，則藉由相同的理由，孩驗證器雜混値將爲不正確的。所以如果他們吻合的話，Alice可以確定其主控鍵是正確的。孩通訊通道並不保證由一伺服器傳送之…及pr〇〇fpK的整合性。爲了瞭解其原因，可考慮一壞人製造了這些數1値並傳送給Ahce。在最壞的情況下，此敵人可在每次執行時驗證？系密碼的單一猜測，或執行服務攻擊的否認。如果該客户101被設計成具有不高於伺服器的不適當猜測的容忍性，則些攻擊大致上可相等於在該安全通道模型中的可能攻擊。幸運地是，人們想要對登入失敗具有較低的容忍性，且想要對系統管理者報怨關於重現的問題。但是，該客户101必須設計來保證至少該使用者被告知所有的失敗。在兩個模型中，一敵人可做出一有限少量的線上猜測，至少在一個方向上，其可藉由修正或刪除訊息來造I 拒絕服務。 hash( password)2r函數及上述的另一種架構皆可保證級數 q的元素，並可保護在1997年6月D· Jablon論文及在2000年6 月Ford及Kaliski論文中所提出的密碼在指數及短指數問題。短指數另一種減少計具的方式是使用較短的指數。舉例而言，在p = 2q+ 1的群組中，藉由一個1〇23位元的q，其可在 [1，2⑽-1]的範圍中使用指數。在Diffie-HeUman中使用短指數係由van Oorschot等人在1996年5月的論文中所提出。當 -80 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 1233739 A7 B7 五、發明説明（78 使用釔4曰數時，該p〇llard lambda法爲已知最有效率的方法來對於一些已知固足的基礎g來計算gx的一隨機指數X。一 lambda分散記綠計算需要有關χ1，2運算。然而其並不保證不會發現到一較簡單的方案。考慮一放棄的協定，其中該使用者僅洩漏一系列的隱蔽密碼，且沒有其它資訊可用於一攻擊者。當使用一完整的均勻分配的隨機指數，該尸數値洩漏有的零資訊。 - ，二使用> 短指數xe R[ i，m]，m<5：q，該安全性可需要增加，設計算的難度，且其有需要移除不必要的假設。此假設是否有效爲一開放的問題。所以，依此考慮（可能是不必要的），該短指數引入一不想要的假設’要減少計算的一較佳方式係使用一明顯小於孩模數的質數級數的次群組。一本發明使用一比先前技藝使用的較爲簡單的模型。在進仃時j其消除了隱含在系統中的問題，其中人們必須安全地If 4伺服器丨03，丨〇4，但並未如此。本發明以一較簡單的挺型達到了所有先前的目#，而不需要客户儲存鍵値或 =證，其增加了效能，並增強了責任性來較佳地管理密碼，錄時的人爲錯誤。這些方法也可藉由明顯較少的計算來 4疋仏至v相等程度的抵抗分散記錄攻擊的安全性。、因此，本發明揭示r使用多伺服器來提供遙遠密碼確認，系統’万法及軟體。其須瞭解到，上述的具體實施例僅月^代表本發明原理之應用的許多特定具體實施例中的 p饧。明顯地，許多其它的配置可由本技藝之專業人士在不背離本發明的範圍之下設計出來。 -81 - 本紙張尺度公董)

Claims

Α8 Β8 C8 D8 申請案 jf文專利範圍替換本(93年10月) 申請專利範圍 1 · 一種提供遙遠密碼確認的系統，其包含：一客戶電腦；複數個認證伺服器；一連接了該客戶電腦與複數個認證伺服器的網路；執行在該客戶電腦及複數個認證伺服器上的敕體，其共同輸入一密碼在該客戶上，儲存一唯一的隨機值L在每個伺服器上，由該密碼取得一群組元素（ρ)，傳送一隱蔽的密碼值（ρχ)到該伺服器，由該伺服器取得隱蔽鍵值邵份（PXYl)，解明並組合該部份來產生_主控鍵 (Km)，並使用該主控键（Km)來解密在該客戶電腦上的加密私有資料。 2 .如申請專利範圍第1項之系統，其中運作在該客戶上的軟體係用來驗證該主控鍵（Km)。 3.如申請專利範圍第丨項之系統，其中運作在該客戶上的軟體係使用該主控鍵（Km)來解密加密的私有資料。 4 ·如申請專利範圍第2項之系統，其中運作在該客戶上的軟體係使用該驗證的主控鍵（Km)來解密加密的私有資料。、 5 ·如申請專利範圍第2項之系統，其中運作在該客戶上的軟體係用來傳送該驗證的主控鍵（Km)的證據及每個隱蔽的密碼值（Px)到該伺服器。〜 6 · —種提供遙遠密碼確認的方法，其使用包含一客戶兩腦’衩數個認證伺服器’及連接該客戶電腦及複數個 #忍證伺服器之網路的系統，該方法包含以下步驟·

裝二

1233739 I正.替換頁年览:声： A8 B8 C8 D8 申請專利範圍輸入一密碼；由該密碼取得群組元素（p); 傳送fe蔽的密碼值（pX)到該伺服器；由該伺服器得到隱蔽的鍵值部份（ pXYl); 解明及組合該部份來產生一主控鍵（Km);及使用該主控鍵(Km)來解密在肖客戶電腦i的加密之私有資料。 7·如申請專利範圍第6項之方法，進一步包含驗證該主控鍵（Km)的步驟。 8. 如申請專利範圍第6項之方法，其中運作在該客戶上的軟體係使用該主控鍵（Km)來解密加密的私有資料。 9. 如申請專利範圍第7項之方法，進一步包含使用驗證的主控鍵（Km)來解密加密的私有資料的步驟。 H).如申請專利範圍第7項之方法，進—步：含傳送該驗證的主&鍵（Km)的證據及每個隱蔽的密碼值兮服器的步驟。 11· 一種實施一程式之電腦可讀取記錄媒體，用以在一多伺服器系統中構成遙遠密碼確認，該系統包含一客= 電腦、，複數個認證飼服器，及連接該客戶電；個認證伺服器之網路，該電腦程式包含：輸入密碼的一程式碼段落；域在每個伺服器上包含一唯一隨機值y ^的資料儲存區由該後、碼取得一群組元素（P)的程式碼段落； -2 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐） 1233739 六、申請專利範圍 ' 傳送隱蔽的密碼值（ρχ)到該伺服器的程式碼段落；由該伺服器得到隱蔽的键值部份（pXYi)的程式碼段落；解明及組合該部份來產生一主控鍵（Km)的程式碼段落；及使用該主控鍵（Km)來解密在該客戶電腦上的加密私有資料的程式碼段落。 12.如申睛專利範圍第11項之實施一程式之電腦可讀取記錄媒體，進一步包含驗證該主控鍵（Km)的程式碼段落。 13·如申請專利範圍第11項之實施一程式之電腦可讀取+己錄媒體，進一步包含使用該主控鍵（Km)來解密加密的私有資料之程式碼段落。 M.如申請專利範圍第丨2項之實施一程式之電腦可讀取記錄媒體’進一步包含使用該驗證的主控鍵（Km)來解_ 加密的私有資料之程式碼段落。 I5·如申請專利範圍第I2項之實施一程式之電腦可讀取記錄媒體，進一步包含傳送該驗證的主控鍵（Km)的證據及每個隱蔽妁密碼值（Px)到該伺服器的程式碼段落。 16.如申請專利範圍第1項之系統，其中該軟體含有：維持一不適當登入嘗試的計數，最近放大的數目，一最近Px密碼放大請求數值的表列，及關於伺服器上最近的密碼放大請求數值表列的時間標記的表列；接收一隱蔽的密碼（Px)請求 -3 - 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐）. 1233739 申請專利範圍

記錄該隱蔽的密碼在一短期表列中檢查一使用者帳號來瞭解其是否被鎖住產生一隱蔽鍵值部份（pXYi);及如果其未被鎖傳送該隱叙的鍵值邵份到該客戶電腦，住的話。 17·如申請專利範圍第16項之系統，其中該軟體：記錄一時間標記值來註明接收到該請求的時間；定期地檢查失去時效的請求，其可決定在任何時間伊記值與目前時間之間的差異在何時會大於一特定= 段；刪除對應的在、碼放大請求值與時間標記.及增加不適當嘗試的計數。 18.如申請專利範圍第16項之系統，其中當發生一成功的登入時，該軟體： ' 傳送一 Qa值，其等於該密碼增加到一隨機指數，以及任何來自相同登入期間的稍早執行的^值，其係在一加密的訊息中傳送到每個伺服器；及使用該主控鍵1^來確認此訊息。 19·如申請專利範圍第6項之方法，進一步包含以下步驟· 維持一不適當登入嘗試的計數，最近放大的數目，一最近Px密碼放大請求數值的表列，及關於伺服器上最近的密碼放大請求數值表列的時間標記的表列；接收一隱蔽的密碼（PX)請求記錄該隱蔽的密碼在一短期表列中 4 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公愛）. ' " --

檢查一使用者帳號來瞭解其是否被鎖住；產生一隱蔽鍵值部份（pXYi);及傳送該隱蔽的鍵值部份到該客戶電腦，如果其未被鎖住的話。 20.如申請專利範圍第1 9項之系統，其中該軟體：記錄一時間標記值來註明接收到該請求的時間；定期地檢查失去時效的請求，其可決定在任何時間梗記值與目前時間之間的差異在何時會大於一特定取段；、時刪除對應的密碼放大請求值與時間標記；及增加不適當嘗試的計數。 21·如申請專利範圍第19項之方法，進一步包含以 0 卜步驟：傳送一 Q A值，其等於該密碼增加到一隨機指數，及任何來自相同登入期間的稍早執行的Qa值，其係= 一加密的訊息中傳送到每個伺服器；及使用該主控鍵1(：111來確認此訊息。 22·如申請專利範圍第11項之實施一程式之電腦可讀取二己錄媒體，進一步包含一程式碼段落，其中·· ° 維持一不適當登入嘗試的計數，最近放大的數目，— 最近Px密碼放大請求數值的表列，及關於伺服近的密碼放大請求數值表列的時間標記的表歹j ·, 接收一隱蔽的密碼（Ρχ)請求記錄該隱蔽的密碼在一短期表列中 -5 -

1233739 :錢更頁曰申請專利範園

檢查一使用者帳號來瞭解其是否被鎖住；產生一隱蔽鍵值部份（pXYi)如果其未被鎖住的話；及傳送該隱蔽的鍵值部份到該客戶電腦。 23·如申請專利範圍第22項之實施一程式之電腦可讀取記錄媒體，進一步包含一程式碼段落，其中：記錄一時間標記值來註明接收到該請求的時間；定期地檢查失去時效的請求’其可決定在任何時間標記值與目前時間之間的差異在何時會大於一特定的日= 段；刪除對應的密碼放大請求值與時間標記；及增加不適當嘗試的計數。 24·如申請專利範圍第22項之實施一程式之電腦可讀取記錄媒體，進一步包含一程式碼段落，其中：傳送一 Qa值，其等於該密碼增加到一隨機指數，以及任何來自相同登入期間的稍早執行的Q A值，其係在一加密的訊息中傳送到每個伺服器；及使用該主控鍵Km來確認此訊息。本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公董)