一种高安全性的口令认证方法技术

本发明专利技术公开了一种高安全性的口令认证方法，采用了智能卡硬件结合密码算法的方式，可应用于金融、网购、社交和安保等一系列网络服务的安全机制。本发明专利技术聚焦于智能卡和口令认证的结合，包含了用户注册、登录、服务器和用户双向认证以及用户密码修改等四个阶段，在其中主要使用了哈希函数、异或操作及对称密钥等轻量级高效安全的密码协议和方法。本发明专利技术具有较高的安全性，通过对信息传输过程的用户名和密码进行特殊安全处理，降低了用户名以及密码被窃取的风险，能够有效防范重放攻击以及信息拦截攻击等，并且用户可以不通过服务器自由更改密码。

【技术实现步骤摘要】

本专利技术属于信息安全和密码学
，具体涉及一种结合智能卡并具有高安全性的口令认证方法。
技术介绍
在计算机网络技术高速发展的当下，云计算以及云存储技术使得大量原本存储在用户端的数据可以存储在云端服务器中。这不但大幅度释放了用户端的存储空间，减轻了本地存储数据的压力，同时也大大扩展了用户存储数据的空间范围，实现了不同用户之间数据的共享。然而，随着使用云服务的用户数量的增加，如何保障用户隐私不受侵害成为社会信息化发展进程中一个无法忽视的问题。针对以上问题，人们根据现代密码学中对称加密以及非对称加密技术设计了多种认证机制。口令认证作为一种高效、简洁的身份认证方法广泛使用于金融、网购、社交、安保等各个领域。大多数社交网络软件，公司门禁等基于硬件或者软件的身份认证机制都将口令认证作为其最为核心的部分。但是，口令认证因为其操作简单，认证因素不足等特性，极易受到攻击者不同类型的攻击，比如中间人攻击和字典攻击等。针对这类攻击，现有技术中比较有代表性的措施是通过网络中的可信主机存储各终端的加密密钥，发送方使用本端的加密密钥对信息进行加密，然后将密文以及本端的身份信息发送给接收方。接收方收到信息后，将发送方的身份信息发送给可信主机，由可信主机对发送方的合法性进行判断。如公开号为CN105471845A、名称为“防止中间人攻击的通信方法及系统”，公开号为CN104936170A、名称为“检测中间人攻击的方法与装置”的专利技术专利都属于这种技术。但是这种纯粹依赖加密技术的数据共享技术依然存在着算法复杂、算法需要适时更新以防被解密的风险。
技术实现思路
本专利技术要解决的技术问题是提出一种能够实现用户认证信息的机密性，允许用户随时更改密码，在提高安全性的同时又具有较低能耗和较高效率的方法。为此，为了在保证较高安全性的同时尽可能地实现操作简单和高效，我们将一些加密后的身份认证信息存储在硬件中以分担软件中存储身份认证信息被攻击者获取的风险，设计出了基于硬件和软件相结合的身份认证技术。相对于传统口令认证技术，这种方式能有效抵抗多种类型攻击。具体的技术方案为：一种高安全性的口令认证方法，包含以下步骤：步骤一，用户注册阶段，在这个阶段，注册的用户需要先申请一张智能卡，智能卡中存储了用户的个人信息；步骤1-1，在用户注册的初始化阶段，用户Ui可以自由选择他的用户名(IDi)以及密码(PWi)。步骤1-2，智能卡使用单向哈希函数h()对用户名(IDi)以及密码(PWi)进行加密，得到信息对(h(IDi||PWi),h(IDi))并将其通过一个安全的信道发送给服务器S。步骤1-3，服务器S使用单向哈希函数h()以及服务器密钥x和y对发送过来的用户信息进行加密，得到： A = h ( h ( ID i ) ⊕ x ) ]]> B = A ⊕ h ( ID i | | PW i ) ⊕ h ( ID i ) ]]>C＝h(A) D = h ( h ( ID i | | PW i ) ⊕ y ) . ]]>步骤1-4，服务器S将(B,C,D)通过一个安全的信道返回给用户Ui。步骤1-5，用户Ui将(B,C,D)存入智能卡中。步骤二，登录阶段，用户Ui登录时，需要将智能卡插入对应设备中并输入他的用户名(IDi)以及密码(PWi)；步骤2-1，智能卡调用存储的信息计算： A i = B ⊕ h ( ID i | | PW i ) ⊕ h ( ID i ) , ]]>Ci＝h(Ai)步骤2-2，智能卡比较Ci＝C是否成立，如果成立，则证明了用户Ui的合法身份；步骤2-3，智能卡随机生成一个整数N并做如下计算： E i = A i ⊕ N ]]> CID i = A i ⊕ h ( ID i | | PW i ) ⊕ N ]]>Fi＝h(Ai||Di||N)步骤2-4，智能卡将登录请求(h(IDi),Ei,CIDi,Fi)发送给服务器S；步骤三，认证阶段，本阶段实现了服务器和用户的相互认证，主要步骤如下：步骤3-1，接收到用户Ui请求(h(IDi),Ei,CIDi,Fi)后，服务器S计算： A i ′ = h ( h ( ID i ) ⊕ x ) ]]> N i ′ = A i ⊕ E i ]]> h ( ID i | | PW i ) ′ = 本文档来自技高网...

【技术保护点】
一种高安全性的口令认证方法，其特征在于包含以下步骤：步骤一，用户注册阶段，在这个阶段，注册的用户需要先申请一张智能卡，智能卡中存储了用户的个人信息；步骤1‑1，在用户注册的初始化阶段，用户Ui可以自由选择他的用户名(IDi)以及密码(PWi)；步骤1‑2，智能卡使用单向哈希函数h()对用户名(IDi)以及密码(PWi)进行加密，得到信息对(h(IDi||PWi),h(IDi))并将其通过一个安全的信道发送给服务器S；步骤1‑3，服务器S使用单向哈希函数h()以及服务器密钥x和y对发送过来的用户信息进行加密，得到：A=h(h(IDi)⊕x)]]>B=A⊕h(IDi||PWi)⊕h(IDi)]]>C＝h(A)D=h(h(IDi||PWi)⊕y);]]>步骤1‑4，服务器S将(B,C,D)通过一个安全的信道返回给用户Ui；步骤1‑5，用户Ui将(B,C,D)存入智能卡中；步骤二，登录阶段，用户Ui登录时，需要将智能卡插入对应设备中并输入他的用户名(IDi)以及密码(PWi)；步骤2‑1，智能卡调用存储的信息计算：Ai=B⊕h(IDi||PWi)⊕h(IDi),]]>Ci＝h(Ai)；步骤2‑2，智能卡比较Ci＝C是否成立，如果成立，则证明了用户Ui的合法身份；步骤2‑3，智能卡随机生成一个整数N并做如下计算：Ei=Ai⊕N]]>CIDi=Ai⊕h(IDi||PWi)⊕N]]>Fi＝h(Ai||Di||N)；步骤2‑4，智能卡将登录请求(h(IDi),Ei,CIDi,Fi)发送给服务器S；步骤三，认证阶段，本阶段实现了服务器和用户的相互认证，主要步骤如下：步骤3‑1，接收到用户Ui请求(h(IDi),Ei,CIDi,Fi)后，服务器S计算：Ai′=h(h(IDi)⊕x)]]>Ni′=Ai⊕Ei]]>h(IDi||PWi)′=CIDi⊕x]]>Di′=h(h(IDi||PWi)′⊕y)]]>Fi′＝h(Ai′||Di′||Ni′)；步骤3‑2，服务器S比较Fi'＝Fi是否成立，如果不成立，则服务器对用户的认证失败，服务器拒绝用户的登录请求，如果成立，则服务器完成对用户的认证，服务器S选择一个随机数N'并进行如下计算：SK'＝h(Ai'||Di'||Ni'||N')其中SK'为服务器和用户之间服务器端的对称加密密钥，使用SK'进行加密得到：G′=SK′(Ni′⊕N′);]]>步骤3‑3，服务器S将(G',N')发送给用户Ui；步骤3‑4，收到(G',N')后，用户Ui执行如下计算：SKi＝h(Ai||Di||Ni||N')其中SKi为服务器和用户之间用户端的对称加密密钥，使用SKi进行解密得到：Gi＝SKi(G')；步骤3‑5，用户Ui验证是否成立，如果不成立，则用户对服务器的身份认证失败，用户断开连接；如果成功，则完成服务器和用户的双向身份认证。...

【技术特征摘要】
1.一种高安全性的口令认证方法，其特征在于包含以下步骤：步骤一，用户注册阶段，在这个阶段，注册的用户需要先申请一张智能卡，智能卡中存储了用户的个人信息；步骤1-1，在用户注册的初始化阶段，用户Ui可以自由选择他的用户名(IDi)以及密码(PWi)；步骤1-2，智能卡使用单向哈希函数h()对用户名(IDi)以及密码(PWi)进行加密，得到信息对(h(IDi||PWi),h(IDi))并将其通过一个安全的信道发送给服务器S；步骤1-3，服务器S使用单向哈希函数h()以及服务器密钥x和y对发送过来的用户信息进行加密，得到： A = h ( h ( ID i ) ⊕ x ) ]]> B = A ⊕ h ( ID i | | PW i ) ⊕ h ( ID i ) ]]>C＝h(A) D = h ( h ( ID i | | PW i ) ⊕ y ) ; ]]>步骤1-4，服务器S将(B,C,D)通过一个安全的信道返回给用户Ui；步骤1-5，用户Ui将(B,C,D)存入智能卡中；步骤二，登录阶段，用户Ui登录时，需要将智能卡插入对应设备中并输入他的用户名(IDi)以及密码(PWi)；步骤2-1，智能卡调用存储的信息计算： A i = B ⊕ h ( ID i | | PW i ) ⊕ h ( ID i ) , ]]>Ci＝h(Ai)；步骤2-2，智能卡比较Ci＝C是否成立，如果成立，则证明了用户Ui的合法身份；步骤2-3，智能卡随机生成一个整数N并做如下计算： E i = A i ⊕ N ]]> CID i = A i ⊕ h ( ID i | | PW i ) ⊕ N ]]>Fi＝h(Ai||Di||N)；步骤2-4，智能卡将登录请求(h(IDi),Ei,CIDi,Fi)发送给服务器S；步骤三，认证阶段，本阶段实现了服务器和用户的相互认证，主要步骤如下：步骤3-1，接收到用户Ui请求(h(IDi),Ei,CIDi,Fi)后，服务器S计算： A i ′ = h ( h ( ID i ) ⊕ x ) ]]> N ...

【专利技术属性】
技术研发人员：黄海平，李正韬，徐宁，祁凌涛，沙超，王汝传，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：江苏;32