格上基于口令的认证密钥协商方法技术

本发明专利技术提供一种格上基于口令的认证密钥协商方法，允许用户使用口令与服务器协商会话密钥并认证用户身份。基于理想格进行构造，使其安全性建立在环上带误差的学习问题上，可以有效抵抗量子攻击。用户的凭证以口令加密的形式保存在服务器端，只有具有正确口令的用户才能解密得到合法凭证并进行后续会话密钥的建立。在建立会话密钥时，用户和服务器执行具有密钥隐藏属性的认证密钥交换，以防止用户凭证信息泄露。即使敌手获取用户口令加密的凭证密文，并穷举口令空间来解密该密文以获取可能的用户凭证集合，也无法从集合中识别出正确口令对应的凭证，因此，本发明专利技术可抵御离线字典攻击。此外，双向密钥确认能确保会话密钥的一致性同时验证用户身份。

【技术实现步骤摘要】

本专利技术属于信息安全技术，具体涉及格上基于口令的认证密钥协商方法。

技术介绍

1、基于口令的认证密钥协商协议旨在使共享口令的通信双方在不安全的信道上完成身份认证和协商出共同的会话密钥，并通过该会话密钥加密后续的通信内容来保证会话的机密性。然而，在客户端-服务器场景下，服务器直接保存用户口令会增加口令泄露的风险。一旦服务器被敌手攻破，敌手可以很容易地获取用户口令。为了解决这个问题，最基础的方法是将用户口令的哈希值作为凭证并保存在服务器端，以进行身份认证和密钥协商。但是，由于口令是低熵的，敌手能够穷举口令空间并预计算大量口令凭证，一旦服务器被攻破，凭证遭到泄露，敌手便可以立即得到用户口令。

2、opaque协议能够抵抗这种预计算攻击。在opaque中，凭证以一种认证加密的形式保存在服务器端，只有用户提供正确的口令，相应的认证加密密钥才能被生成并解密凭证以完成用户身份认证和会话密钥协商。为了在生成认证加密密钥的同时不泄露口令信息给服务器，opaque使用了不经意伪随机函数(oprf)。用户将盲化后的口令哈希值发送给服务器，后者使用秘密值对接收到的盲本文档来自技高网...

【技术保护点】

1.格上基于口令的认证密钥协商方法，其特征在于，包括以下步骤：

2.如权利要求1所述方法，其特征在于，系统初始化阶段的具体步骤为：根据安全参数确定系统公共参数集其中n为2的幂次，q为奇素数，为模q多项式剩余类环，(xn+1)为多项式，随机元素a∈Rq，有限域表示系数在有限域上的多项式环，表示向下取整，表示四舍五入，Cha为满足的信号函数，v为中的元素，Mod2为满足的错误消除函数，b为集合{0,1}中的元素，Enc/Dec是对称加密/解密算法，是n维整数向量空间上方差为0、标准差为σ的离散高斯分布，对任意变量满足||·||表示L2范数；元素v∈Rq用其多项式系数(v0,v1,...

【技术特征摘要】

1.格上基于口令的认证密钥协商方法，其特征在于，包括以下步骤：

2.如权利要求1所述方法，其特征在于，系统初始化阶段的具体步骤为：根据安全参数确定系统公共参数集其中n为2的幂次，q为奇素数，为模q多项式剩余类环，(xn+1)为多项式，随机元素a∈rq，有限域表示系数在有限域上的多项式环，表示向下取整，表示四舍五入，cha为满足的信号函数，v为中的元素，mod2为满足的错误消除函数，b为集合{0,1}中的元素，enc/dec是对称加密/解密算法，是n维整数向量空间上方差为0、标准差为σ的离散高斯分布，对任意变量满足||·||表示l2范数；元素v∈rq用其多项式系数(v0,v1,…,vn-1)进行表示且存在向量b＝(b0,b1,…,bn-1)∈{0,1}n，则得cha(v)＝(cha(v0),…,cha(vn-1))和mod2(v,b)＝(mod2(v0,b0),…,mod2(vn-1,bn-1))；和h2:{0,1}*→{0,1}κ为哈希函数，其中γ是任意正实数、k为会话密钥的长度；{0,1}*表示所有有限长度的比特串组成的集合；和为离散高斯分布，其中α和β是正实数；m为一个常数。

3.如权利要求2所述方法，其特征在于，注册阶段的步...

【专利技术属性】
技术研发人员：蒋昌松，常胜，许春香，韩羽，董新锋，张文政，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：