The invention discloses a secure identity authentication method with anti-tracking characteristics. The invention comprises the following steps: system initialization by IRC of identity registry, generation of private key X and public key Q, and selection of system parameters {Ep(a, b, n, P}; registration of users and application servers to identity registry; anti-tracking mutual authentication and key agreement between users and application servers. On the basis of conventional authentication security, the invention uses tripartite authentication keys and historical context to authenticate each other twice to enhance trust, realizes anti-tracking characteristics in open network environment by using unrelated pseudonyms during message transmission, and protects the privacy of users using open network.
【技术实现步骤摘要】
一种具有反跟踪特性的安全身份认证方法
本专利技术属于匿名认证的
,具体为一种具有反跟踪特性的安全身份认证方法。技术背景随着网络流量负载日益加重,旅馆、公园、火车站等公共场所已经广泛地配置了开放式网络,例如公共Wi-Fi热点以方便用户。然而,开放式网络的泛用也带来了安全威胁,具体问题主要包括以下几个方面。(1)开放式网络大多数以未加密或不受信任的方式进行部署,造成隐私泄露威胁;(2)用户在开放式网络信道中的流量很可能被蓄意窃听或拦截,这意味着攻击者可以很容易地通过跟踪通信来获取用户的网站浏览历史记录、位置信息、密码和个人资料等重要隐私;(3)现有认证协议在保障足够安全性的同时,引入了繁琐的计算或由第三方参与的额外认证步骤,并不适合在一些资源受限的开放式网络环境下广泛地使用。
技术实现思路
本专利技术的目的是针对现有技术的不足,提供一种用于开放式不安全网络环境的具有反跟踪特性的安全身份认证方法。本专利技术在保证高效相互认证的同时,可保护用户的隐私数据,实现用户身份反跟踪的特性。本专利技术包括如下依次进行的阶段:阶段A:系统初始化;身份注册中心IRC进行系统初始化,生成私钥x和公钥Q,并选择系统参数{Ep(a,b),n,P},具体的:首先身份注册中心IRC在有限素数域Fp上选择一条椭圆曲线Ep(a,b);然后在曲线上选择一个阶为n的基点P和随机数x,并计算Q=x·P;最后IRC公开系统参数{Ep(a,b),n,P},并将Q作为公钥,将只有其自身知道的x作为私钥;阶段B:用户身份注册;用户生成必要参数,向IRC申请注册身份,IRC使用用户发送的信息生成IRC...
【技术保护点】
1.一种具有反跟踪特性的安全身份认证方法,其特征在于包括如下阶段:阶段A:系统初始化;身份注册中心IRC进行系统初始化,生成私钥x和公钥Q,并选择系统参数{Ep(a,b),n,P},具体的:首先身份注册中心IRC在有限素数域Fp上选择一条椭圆曲线Ep(a,b);然后在曲线上选择一个阶为n的基点P和随机数x,并计算Q=x·P;最后IRC公开系统参数{Ep(a,b),n,P},并将Q作为公钥,将只有其自身知道的x作为私钥;阶段B:用户身份注册;用户生成必要参数,向IRC申请注册身份,IRC使用用户发送的信息生成IRC认证密钥,并存储用户相关信息以备用户申请进行信息恢复,最后用户存储双方共同生成的系统认证密钥;阶段C:应用服务器身份注册;应用服务器向IRC申请注册身份,IRC使用应用服务器发送的信息生成IRC认证密钥,并存储应用服务器身份以备追责,最后应用服务器存储双方共同生成的系统认证密钥;阶段D:反跟踪相互认证和密钥协商;用户进行本地身份认证,若通过,则向应用服务器发起获取参数的请求,之后将身份验证值、时间戳信息发送给应用服务器,应用服务器验明用户身份后,生成会话密钥并用对称加密算法进行...
【技术特征摘要】
1.一种具有反跟踪特性的安全身份认证方法,其特征在于包括如下阶段:阶段A:系统初始化;身份注册中心IRC进行系统初始化,生成私钥x和公钥Q,并选择系统参数{Ep(a,b),n,P},具体的:首先身份注册中心IRC在有限素数域Fp上选择一条椭圆曲线Ep(a,b);然后在曲线上选择一个阶为n的基点P和随机数x,并计算Q=x·P;最后IRC公开系统参数{Ep(a,b),n,P},并将Q作为公钥,将只有其自身知道的x作为私钥;阶段B:用户身份注册;用户生成必要参数,向IRC申请注册身份,IRC使用用户发送的信息生成IRC认证密钥,并存储用户相关信息以备用户申请进行信息恢复,最后用户存储双方共同生成的系统认证密钥;阶段C:应用服务器身份注册;应用服务器向IRC申请注册身份,IRC使用应用服务器发送的信息生成IRC认证密钥,并存储应用服务器身份以备追责,最后应用服务器存储双方共同生成的系统认证密钥;阶段D:反跟踪相互认证和密钥协商;用户进行本地身份认证,若通过,则向应用服务器发起获取参数的请求,之后将身份验证值、时间戳信息发送给应用服务器,应用服务器验明用户身份后,生成会话密钥并用对称加密算法进行加密,之后将身份验证值、时间戳、会话密钥密文信息发送给用户,用户验明应用服务器身份后,计算获得对称加密密钥并解密出会话密钥。2.根据权利要求1所述的一种具有反跟踪特性的安全身份认证方法,其特征在于阶段B的用户身份注册,具体实现如下:定义1:Pxor(A,B)表示两点之间的异或计算,如公式(1)所示;A,B为点(1)定义2:Pxor(a,B)表示数值和点之间的异或计算,如公式(2)所示;a为数值,B为点(2)1.用户生成参数:1-1.用户Ui选择身份UIDi、密码PWi以及参数Ei作为恢复信息时使用的额外证书,并向智能设备SDi中输入{UIDi,PWi,Ei};SDi向IRC发送初始化请求以获取系统参数{Ep(a,b),n,P}和IRC公钥Q;1-2.智能设备SDi生成随机参数noncei=(r1i,r2i),其中r1i、r2i都是随机整数;接着计算中间参数user_secret=(mr1i,mr2i),其中且mr1i,mr2i均起到对随机参数noncei的保护作用;计算rIDi=h(UIDi||r1i)作为IRC认证密钥,EIDi=h(UIDi||Ei)作为用户的假名,VL=h(UIDi||h(PWi||r1i)||r2i)作为用户的本地身份验证值;2.交换IRC认证密钥:2-1.智能设备SDi选取一个参数点MPi=(EIDi||mr1i,rIDi||mr2i)和一个随机数rtmp传输用户信息;SDi计算中间参数M1=PXor(MPi,rtmp·Q)和M2=rtmp·P,并将{M1,M2}发送给IRC;2-2.IRC使用获取的中间参数M1和M2,计算还原出参数点MPi=PXor(M1,x·M2),并从点坐标中得到{EIDi,rIDi,user_secret},接着在数据库的合法用户列表legal_user_list中搜索条目索引EIDi;如果EIDi已经存在,IRC要求用户选取其他的假名;反之,IRC将在数据库中添加{EIDi,user_secret}作为身份恢复信息,计算作为用户认证密钥,计算中间参数并将{M3}发送给SDi;2-3.SDi收到中间参数M3后,计算用户认证密钥并在其内存中存储3.根据权利要求1或2所述的一种具有反跟踪特性的安全身份认证方法,其特征在于阶段C的应用服务器身份注册,具体实现如下:(1)服务器生成参数:(1-1)应用服务器Sj选择身份SIDj,然后向IRC发送初始化请求以获取系统参数{Ep(a,b),n,P}和IRC公钥Q;(1-2)Sj生成随机参数noncej=(r1j,r2j),其中r1j,r2j都是随机整数,计算中间参数计算rSIDj=h(SIDj||r1j)作为应用服务器Sj的假名和IRC认证密钥;(2)交换IRC认证密钥:(...
【专利技术属性】
技术研发人员:吕秋云,陈思,胡海滨,
申请(专利权)人:杭州电子科技大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。