一种格上抗凭证泄露的门限口令认证单点登录方法技术

本发明专利技术提供格上抗凭证泄露的门限口令认证单点登录方法，基于格密码学，用户使用一个基于格密码中错误学习困难问题的单向函数来生成凭证，并将凭证安全地传输到身份服务器进行保存。由于错误学习困难问题是量子难解的，这保证了量子敌手无法从凭证中得到和用户口令有关的任何信息，增强了对用户口令的保护。此外，当用户向身份服务器请求令牌时，身份服务器使用格上的签名方案为用户产生签名令牌，提供了量子环境下的不可伪造性，并且以门限的方式生成签名令牌，保证了签名令牌的生成的鲁棒性，实现了后量子安全。实现了后量子安全。

【技术实现步骤摘要】
一种格上抗凭证泄露的门限口令认证单点登录方法


[0001]本专利技术属于信息安全
，是一种格上抗凭证泄露的门限口令认证单点登录技术。

技术介绍

[0002]随着网络行业的快速发展，越来越多的网络应用服务随之出现，为了访问不同的网络应用服务，用户需要在不同的应用服务器注册和认证。多次注册和认证增加了用户的负担。口令认证单点登录系统有效减轻了这一负担，用户只需使用个人信息和口令向身份服务器进行注册一次，身份服务器生成和存储用户的个人信息和口令的凭证。当用户访问应用服务器时，用户使用个人身份信息和口令在身份服务器进行一次认证，如果认证通过，身份服务器颁发一个令牌给用户；用户可以使用令牌访问系统内的相关应用服务器。由于传统的单点登录系统中注册和认证仅由个身份服务器完成，一旦敌手攻破了该身份服务器，整个系统便无法正常运行。这一问题称之为单点失效问题。门限口令认证单点登录系统有效解决了单点失效问题。门限口令认证单点登录系统引入了多个身份服务器，并且以门限的方式处理用户的注册和认证请求。这一机制保证了只要被攻破的身份服务器数量不超过门限值，系统仍可正常运行。
[0003]然而，传统的口令认证单点登录系统和门限口令认证单点登录系统都基于经典困难问题，无法抵抗量子攻击。例如，量子敌手可以利用Shor量子算法在多项式时间内攻破基于离散对数难题和大整数分解难题的单点登录系统。具体来说，量子敌手可以利用量子计算机发动离线字典攻击从身份服务器存储的用户凭证中恢复用户的口令，还可以从公开信息中(例如身份服务器的公钥)恢复身份服务器的私钥进而使用该私钥伪造令牌。

技术实现思路

[0004]本专利技术所要解决的技术问题是，为了抵抗量子攻击，提供了一种基于格密码学的门限口令认证单点登录方法。
[0005]本专利技术为解决上述技术问题所采用的技术方案是，一种格上抗凭证泄露的门限口令认证单点登录方法，用户使用一个基于错误学习困难问题的单向函数来生成凭证，并将自己的口令和一个以门限方式在身份服务器之间共享的服务器端秘密作为函数输入，将函数输出作为凭证。凭证安全地传输到身份服务器进行保存，只要量子敌手攻破的身份服务器数量小于门限值，该敌手就无法恢复服务器端秘密进而从凭证中得到和用户口令有关的任何信息。此外，当用户向身份服务器请求令牌时，身份服务器以格上门限签名的方式为用户生成签名令牌，具体包括以下步骤：
[0006]系统初始化阶段：根据安全参数进行系统初始化，确定系统的公共参数；身份服务器以门限的方式共享一个签名密钥，每个身份服务器保存一个签名子密钥，应用服务器掌握验证密钥；
[0007]注册阶段：
[0008]1)用户选择用户名，口令和服务器端秘密，基于错误学习困难问题的单向函数，使用口令和服务器端秘密作为函数输入，并将函数值作为凭证，然后将凭证分别发送给身份服务器保存；
[0009]2)用户将服务器端秘密以门限秘密共享方式拆分为多个子秘密，然后将子秘密分别发送给身份服务器保存；
[0010]3)身份服务器存储用户名和对应的凭证和子秘密。
[0011]登录阶段：
[0012]1)用户将盲化后的口令和用户名发送给身份服务器；
[0013]2)身份服务器使用和用户名匹配的子秘密对盲化口令进行进一步计算，然后将结果返回给用户；身份服务器使用子签名密钥为用户生成子签名令牌，并使用和用户名匹配的凭证加密子签名令牌，然后将加密后子签名令牌发送给用户；
[0014]认证阶段：
[0015]1)用户根据身份服务器返回的信息恢复其凭证，并用凭证解密收到的加密子签名令牌；用户通过不少于门限值的子签名令牌恢复出签名令牌，并将签名令牌发送给应用服务器；
[0016]2)应用服务器使用验证密钥验证签名令牌的有效性，如果有效，则为用户提供服务，否则拒绝提供服务。
[0017]本专利技术中用户使用一个基于格密码中错误学习困难问题的单向函数来生成凭证，并将凭证安全地传输到身份服务器进行保存。由于错误学习困难问题是量子难解的，这保证了量子敌手无法从凭证中得到和用户口令有关的任何信息，增强了对用户口令的保护。此外，当用户向身份服务器请求令牌时，身份服务器使用格上的签名方案为用户产生签名令牌，提供了量子环境下的不可伪造性，并且以门限的方式生成签名令牌，保证了签名令牌的生成的鲁棒性。
[0018]本专利技术的有益效果是，使得口令认证的单点登录能实现后量子安全，并能同时避免单点失效。
具体实施方式
[0019]当用户向身份服务器请求令牌时，身份服务器以格上门限签名的方式为用户生成签名令牌，具体包括以下步骤：
[0020]1)系统初始化阶段：根据安全参数进行系统初始化，确定系统的公共参数；身份服务器以门限的方式共享一个签名密钥，每个身份服务器保存一个签名子密钥，应用服务器掌握验证密钥；
[0021]根据安全参数确定公共参数集其中N是身份服务器的数量，t是门限秘密共享方案中阈值，n,d,k,m是矩阵维数，σ是高斯分布的标准差，是上以σ为标准差的高斯分布，q,p和u是模数，i为临时变量，A0是随机矩阵，L是正整数，A
i,0
,A
i,1
是随机矩阵，l是正整数，H:{0,1}
l
→
{0,1}
L
和和是安全的哈希函数，是工具矩阵，I
n
是n阶单位矩阵，表示矩阵的外积运算，表示向上取整，G
‑1:是矩阵映射函数，
ψ
‑1:{1,...,N}
→
{1,...,d}是整数集合到整数集合满射函数；公共算法集{LISS,Enc,Dec,Share,Sign,Recover,Verify}，其中，LISS是线性整数秘密共享方案，Enc和Dec是对称加密方案的加密和解密算法，Share，Sign，Recover和Verify分别是门限签名的秘钥共享算法，签名算法，重构算法和验证签名算法；身份服务器集合S＝{S1,S2,
…
,S
N
}通Share共享算法以门限方式共享一个主密钥msk，身份服务器S
i
存储子密钥sk
i
，应用服务器拥有验证密钥vk。
[0022]2)注册阶段：
[0023]用户选择用户名、口令和服务器端秘密，基于错误学习困难问题的单向函数，使用口令和服务器端秘密作为函数输入，并将函数值作为凭证，将服务器端秘密以门限秘密共享方式拆分为多个子秘密，然后将子秘密分别发送给身份服务器保存；身份服务器存储用户名和对应的凭证和子秘密；
[0024]其中，用户生成凭证与子秘密发送给身份服务器的具体步骤如下：
[0025]用户C选择用户名ID
C
和口令pwd，均匀一致的服务端秘密和口令pwd，均匀一致的服务端秘密表示从集合或者分布中随机选取一个元素；
[0026]用户根据线性整数秘密共享方案LISS构造秘密生成矩阵用户根据线性整数秘密本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种格上抗凭证泄露的门限口令认证单点登录方法，其特征在于，用户使用一个基于错误学习困难问题的单向函数来生成凭证，并将自己的口令和一个以门限方式在身份服务器之间共享的服务器端秘密作为函数输入，将函数输出作为凭证；凭证安全地传输到身份服务器进行保存；当用户向身份服务器请求令牌时，身份服务器以格上门限签名的方式为用户生成签名令牌，具体包括以下步骤：系统初始化阶段：根据安全参数进行系统初始化，确定系统的公共参数；身份服务器以门限的方式共享一个签名密钥，每个身份服务器保存一个签名子密钥，应用服务器掌握验证密钥；注册阶段：1)用户选择用户名、口令和服务器端秘密，基于错误学习困难问题的单向函数，使用口令和服务器端秘密作为函数输入，并将函数值作为凭证，然后将凭证分别发送给身份服务器保存；2)用户将服务器端秘密以门限秘密共享方式拆分为多个子秘密，然后将子秘密分别发送给身份服务器保存；3)身份服务器存储用户名和对应的凭证和子秘密；登录阶段：1)用户将盲化后的口令和用户名发送给身份服务器；2)身份服务器使用和用户名匹配的子秘密对盲化口令进行计算，并将计算结果返回给用户；身份服务器使用子签名密钥为用户生成子签名令牌，并使用和用户名匹配的凭证加密子签名令牌，然后将加密后子签名令牌发送给用户；认证阶段：1)用户根据身份服务器返回的信息恢复其凭证，并用凭证解密收到的加密子签名令牌；用户通过不少于门限值的子签名令牌恢复出签名令牌，并将签名令牌发送给应用服务器；2)应用服务器使用验证密钥验证签名令牌的有效性，如果有效，则为用户提供服务，否则拒绝提供服务。2.如权利要求1所述方法，其特征在于，系统初始化阶段的具体步骤为：根据安全参数确定公共参数集其中N是身份服务器的数量，t是门限秘密共享方案中阈值，n,d,k,m是矩阵维数，σ是高斯分布的标准差，是上以σ为标准差的高斯分布，q,p和u是模数，i为临时变量，A0是随机矩阵，L是正整数，A
i,0
,A
i,1
是随机矩阵，l是正整数，H:{0,1}
l
→
{0,1}
L
和是安全的哈希函数，是工具矩阵，I
n
是n阶单位矩阵，表示矩阵的外积运算，表示向上取整，G
‑1:是矩阵映射函数，ψ
‑1:{1,...,N}
→
{1,...,d}是整数集合到整数集合满射函数；公共算法集{LISS,Enc,Dec,Share,Sign,Recover,Verify}，其中，LISS是线性整数秘密共享方案，Enc和Dec是对称加密方案的加密和解密算法，Share，Sign，Recover和Verify分别是门限签名的秘钥共享算法，签名算法，重构算法和验证签名算法；身份服务器集合S＝{S1,S2,
…
,S
N
}通Share共享算
法以门限方式共享一个主密钥msk，身份服务器S
i
存储子密钥sk
i
，应用服务器拥有验证密钥vk。3.如权利要求1所述方法，其特征在于，注册阶段的具体步骤为：1)用户C选择用户名ID
C
和口令pwd，均匀一致的服务端秘密和口令pwd，均匀一致的服务端秘密表示从集合或者分布中随机选取一个元素；2)用户根据线性整数秘密共享方案LISS构造秘密生成矩阵2)用户根据线性整数秘密共享方案LISS构造秘密生成矩阵3)用户C为每个身份服务器S
...

【专利技术属性】
技术研发人员：曹辰辰，许春香，
申请(专利权)人：电子科技大学长三角研究院湖州，
类型：发明
国别省市：