一种基于三因子的无证书身份认证与密钥协商方法技术

本发明专利技术公开了一种基于三因子的无证书身份认证与密钥协商方法，包括：用户注册步骤、服务服务器注册步骤和用户登录服务服务器的认证步骤；利用了公钥自认证实现无证书信任，结合生物特征与口令和智能卡，设计了多服务器环境下更安全合理的三因子身份认证与密钥协商方案，用户使用他的智能卡、生物特征和口令可以轻松地登录到服务服务器。本发明专利技术不仅有效地避免了伪装攻击、口令猜测攻击、重放攻击等各种攻击，确保了安全性，而且通过哈希函数等轻量级运算，很好地保证了算法的效率，可用于公安、医疗、政务等各类实体身份认证领域。政务等各类实体身份认证领域。政务等各类实体身份认证领域。

【技术实现步骤摘要】
一种基于三因子的无证书身份认证与密钥协商方法


[0001]本专利技术涉及网络空间中的实体身份认证
，特别涉及一种基于三因子的无证书身份认证与密钥协商方法。

技术介绍

[0002]随着超级计算机的发展，身份认证方案也面临着更强大的算力。基于口令和智能卡的身份认证由于口令的简短易记性、智能卡的便携存储与计算能力，成为了身份认证的主要方式，但其简易性也对应着口令猜测攻击、窃取智能卡攻击等危险。
[0003]而生物特征具有的独特唯一属性与不规则性，为解决这个问题提供了新的思路。
[0004]因此，如何利用口令、智能卡、生物特征三因子实现用户与多服务器间的无证书身份认证，成为同行从业人员亟待解决的问题。

技术实现思路

[0005]本专利技术的目的在于提供一种基于三因子的无证书身份认证与密钥协商方法，利用了公钥自认证实现无证书信任，结合生物特征、口令和智能卡，设计了多服务器环境下更安全合理的三因子身份认证与密钥协商方案，具有较高的安全性。
[0006]为实现上述目的，本专利技术采取的技术方案为：
[0007]本专利技术提供一种基于三因子的无证书身份认证与密钥协商方法，基于用户、注册中心RC和多个分布式服务服务器构建的网络架构，注册中心RC向网络架构中的所有节点发布系统参数，包括用户和服务服务器，所述方法包括以下步骤：
[0008]用户注册步骤：用户基于自身的ID、口令和生物特征经系统参数加密运算生成注册请求信息并发送给注册中心RC，注册中心RC基于注册请求信息生成包含秘密信息的智能卡与回复信息并反馈给用户，用户基于回复信息计算得到用户私钥；
[0009]服务服务器注册步骤：服务服务器基于自身的参数经系统参数加密运算生成注册请求信息并发送给注册中心RC；注册中心RC基于注册请求信息生成回复信息并反馈给服务服务器，服务服务器基于回复信息计算得到服务服务器私钥；
[0010]用户登录服务服务器的认证步骤：用户基于自身的ID、口令和生物特征，经计算得到身份验证信息，与智能卡中的秘密信息进行比对查验通过后，基于用户私钥计算并向服务服务器发送登录请求信息；服务器验证登录请求信息并基于服务服务器私钥计算服务器会话密钥，反馈给用户认证回复信息；用户验证认证回复信息并基于用户私钥计算用户会话密钥，反馈给服务服务器验证通过信息；服务服务器查验验证通过信息后，以服务器会话密钥和用户会话密钥作为协商会话密钥。
[0011]优选的，所述用户注册步骤中，用户基于自身的ID、口令和生物特征经系统参数加密运算生成注册请求信息包括：
[0012]用户基于随机数k
i
和系统参数加密计算获得注册请求参数K
i
的步骤；
[0013]用户基于自身的ID、口令和秘密数值经系统参数加密计算获得注册请求参数A
i
的
步骤；
[0014]用户基于自身的ID和生物特征经系统参数加密计算获得注册请求参数HPB
i
的步骤。
[0015]优选的，所述用户注册步骤中，所述注册中心RC基于注册请求信息生成包含秘密信息的智能卡与回复信息的具体步骤包括：
[0016]注册中心RC基于随机数w
i
、注册请求参数K
i
和注册中心发布的主密钥生成回复信息W
i
和所述用户私钥基于计算获得；
[0017]注册中心RC基于回复信息W
i
、注册请求参数HPB
i
、注册请求参数A
i
和注册中心发布的主密钥生成秘密信息M
i
，并存入智能卡中。
[0018]优选的，所述服务服务器注册步骤中，所述服务服务器基于自身的参数经系统参数加密运算生成注册请求信息包括：
[0019]服务服务器基于随机数k
j
和系统参数计算获得注册请求参数K
j
的步骤；
[0020]注册请求信息还包括服务服务器身份编号SID
j
。
[0021]优选的，所述服务服务器注册步骤中，注册中心RC基于注册请求信息生成回复信息并反馈给服务服务器的具体步骤包括：
[0022]注册中心RC基于随机数w
j
、注册请求参数K
j
和注册中心发布的主密钥生成回复信息W
j
和所述服务服务器私钥基于计算获得。
[0023]优选的，所述用户登录服务服务器的认证步骤中，用户基于自身的ID、口令和生物特征，经计算得到身份验证信息，与智能卡中的秘密信息进行比对查验的具体步骤包括：
[0024]S11：接收采集的生物特征信息与用户注册步骤中提交的生物特征的差异进行比对，若满足阈值要求，则进入S12；
[0025]S12：接收输入的用户ID和口令，基于采集的生物特征信息、输入的用户ID和口令，经系统参数加密运算生成身份验证信息；
[0026]S13：身份验证信息与智能卡中的秘密信息进行比对查验，如果不相等，则智能卡拒绝服务，反之则基于用户私钥计算并向服务服务器发送登录请求信息。
[0027]优选的，所述用户登录服务服务器的认证步骤中，基于用户私钥计算并向服务服务器发送登录请求信息的具体步骤包括：
[0028]S21：基于生物特征经系统参数加密计算的参数HPB
i
和用户私钥计算登录请求参数D
i
；
[0029]S22：获取当前时间戳T，目标服务服务器身份SID
j
，基于用户私钥经系统参数加密计算的参数Pub
i
，结合登录请求参数D
i
，经系统参数加密计算获得登录请求参数B
ij
；
[0030]登录请求信息还包括：当前时间戳T、基于用户私钥经系统参数加密计算的参数Pub
i
和注册中心RC向用户发送的回复信息W
i
。
[0031]优选的，所述用户登录服务服务器的认证步骤中，服务器验证登录请求信息并基于服务服务器私钥计算服务器会话密钥的具体步骤包括：
[0032]S31：查验时间戳T是否在可信范围内，是则进入S32；
[0033]S32：基于回复信息W
i
和输入的用户ID经系统参数加密计算获得Pub'
i
，并与收到的参数Pub
i
进行比较，若比较一致则进入S33；
[0034]S33：基于时间戳T、目标服务服务器身份SID
j
、登录请求参数D
i
、参数HPB
i
和Pub'
i
构建与系统参数的双线性映射；基于登录请求参数B
ij
与系统参数进行双线性映射，验证该双线性对是否一致，若一致则进入S34；
[0035]S34：基于时间戳T、目标服务服务器身份SID
j...

【技术保护点】

【技术特征摘要】
1.一种基于三因子的无证书身份认证与密钥协商方法，其特征在于，基于用户、注册中心RC和多个分布式服务服务器构建的网络架构，注册中心RC向网络架构中的所有节点发布系统参数，包括用户和服务服务器，所述方法包括以下步骤：用户注册步骤：用户基于自身的ID、口令和生物特征经系统参数加密运算生成注册请求信息并发送给注册中心RC，注册中心RC基于注册请求信息生成包含秘密信息的智能卡与回复信息并反馈给用户，用户基于回复信息计算得到用户私钥；服务服务器注册步骤：服务服务器基于自身的参数经系统参数加密运算生成注册请求信息并发送给注册中心RC；注册中心RC基于注册请求信息生成回复信息并反馈给服务服务器，服务服务器基于回复信息计算得到服务服务器私钥；用户登录服务服务器的认证步骤：用户基于自身的ID、口令和生物特征，经计算得到身份验证信息，与智能卡中的秘密信息进行比对查验通过后，基于用户私钥计算并向服务服务器发送登录请求信息；服务器验证登录请求信息并基于服务服务器私钥计算服务器会话密钥，反馈给用户认证回复信息；用户验证认证回复信息并基于用户私钥计算用户会话密钥，反馈给服务服务器验证通过信息；服务服务器查验验证通过信息后，以服务器会话密钥和用户会话密钥作为协商会话密钥。2.根据权利要求1所述的一种基于三因子的无证书身份认证与密钥协商方法，其特征在于，所述用户注册步骤中，用户基于自身的ID、口令和生物特征经系统参数加密运算生成注册请求信息包括：用户基于随机数k
i
和系统参数加密计算获得注册请求参数K
i
的步骤；用户基于自身的ID、口令和秘密数值经系统参数加密计算获得注册请求参数A
i
的步骤；用户基于自身的ID和生物特征经系统参数加密计算获得注册请求参数HPB
i
的步骤。3.根据权利要求2所述的一种基于三因子的无证书身份认证与密钥协商方法，其特征在于，所述用户注册步骤中，所述注册中心RC基于注册请求信息生成包含秘密信息的智能卡与回复信息的具体步骤包括：注册中心RC基于随机数w
i
、注册请求参数K
i
和注册中心发布的主密钥生成回复信息W
i
和所述用户私钥基于计算获得；注册中心RC基于回复信息W
i
、注册请求参数HPB
i
、注册请求参数A
i
和注册中心发布的主密钥生成秘密信息M
i
，并存入智能卡中。4.根据权利要求1所述的一种基于三因子的无证书身份认证与密钥协商方法，其特征在于，所述服务服务器注册步骤中，所述服务服务器基于自身的参数经系统参数加密运算生成注册请求信息包括：服务服务器基于随机数k
j
和系统参数计算获得注册请求参数K
j
的步骤；注册请求信息还包括服务服务器身份编号SID
j
。5.根据权利要求4所述的一种基于三因子的无证书身份认证与密钥协商方法，其特征在于，所述服务服务器注册步骤中，注册中心RC基于注册请求信息生成回复信息并反馈给服务服务器的具体步骤包括：注册中心RC基于随机数w
j
、注册请求参数K
j
和注册中心发布的主密钥生成回复信息W
j
和所述服务服务器私钥基于计算获得。
6.根据权利要求1所述的一种基于三因子的无证书身份认证与密钥协商方法，其特征在于，所述用户登录服务服务器的认证步骤中，用户基于自身的ID、口令和生物特征，经计算得到身份验证信息，与智能卡中的秘密信息进行比对查验的具体步骤包括：S11：接收采集的生物特征信息与用户注册步骤中提交的生物特征的差异进行比对，若满足阈值要求，则进入S12；S12：接收输入的用户ID和口令，基于采集的生物特征信息、输入的用户ID和口令，经系统参数加密运算生成身份验证信息；S13：身份验证信息与智能卡中的秘密信息进行比对查验，如果不相等，则智能卡拒绝服务，反之则基于用户私钥计算并向服务服务器发送登录请求信息。7.根据权利要求1所述的一种基于三因子的无证书身份认证与密钥协商方法，其特征在于，所述用户登录服务服务器的认证步骤中，基于用户私钥计算并向服务服务器发送登录请求信息的具体步骤包括：S21：基于生物特征经系统参数加密计算的参数HPB
i
和用户私钥计算登录请求参数D
i
；S22：获取当前时间戳T，目标服务服务器身份SID
j
，基于用户私钥经系统参数加密计算的参数Pub
i
，结合登录请求参数D
i
，经系统参数加密计算获得登录请求参数B<...

【专利技术属性】
技术研发人员：韩超，鹿淑煜，汪涛，张玉涛，
申请(专利权)人：三未信安科技股份有限公司，
类型：发明
国别省市：