一种基于三因子的无证书身份认证与密钥协商方法与流程

本发明涉及网络空间中的实体身份认证，特别涉及一种基于三因子的无证书身份认证与密钥协商方法。

背景技术：

1、随着超级计算机的发展，身份认证方案也面临着更强大的算力。基于口令和智能卡的身份认证由于口令的简短易记性、智能卡的便携存储与计算能力，成为了身份认证的主要方式，但其简易性也对应着口令猜测攻击、窃取智能卡攻击等危险。

2、而生物特征具有的独特唯一属性与不规则性，为解决这个问题提供了新的思路。

3、因此，如何利用口令、智能卡、生物特征三因子实现用户与多服务器间的无证书身份认证，成为同行从业人员亟待解决的问题。

技术实现思路

1、本发明的目的在于提供一种基于三因子的无证书身份认证与密钥协商方法，利用了公钥自认证实现无证书信任，结合生物特征、口令和智能卡，设计了多服务器环境下更安全合理的三因子身份认证与密钥协商方案，具有较高的安全性。

2、为实现上述目的，本发明采取的技术方案为：

3、本发明提供一种基于三因子的无证书身份认证与密钥协商方法，基于用户、注册中心rc和多个分布式服务服务器构建的网络架构，注册中心rc向网络架构中的所有节点发布系统参数，包括用户和服务服务器，所述方法包括以下步骤：

4、用户注册步骤：用户基于自身的id、口令和生物特征经系统参数加密运算生成注册请求信息并发送给注册中心rc，注册中心rc基于注册请求信息生成包含秘密信息的智能卡与回复信息并反馈给用户，用户基于回复信息计算得到用户私钥；

5、服务服务器注册步骤：服务服务器基于自身的参数经系统参数加密运算生成注册请求信息并发送给注册中心rc；注册中心rc基于注册请求信息生成回复信息并反馈给服务服务器，服务服务器基于回复信息计算得到服务服务器私钥；

6、用户登录服务服务器的认证步骤：用户基于自身的id、口令和生物特征，经计算得到身份验证信息，与智能卡中的秘密信息进行比对查验通过后，基于用户私钥计算并向服务服务器发送登录请求信息；服务器验证登录请求信息并基于服务服务器私钥计算服务器会话密钥，反馈给用户认证回复信息；用户验证认证回复信息并基于用户私钥计算用户会话密钥，反馈给服务服务器验证通过信息；服务服务器查验验证通过信息后，以服务器会话密钥和用户会话密钥作为协商会话密钥。

7、优选的，所述用户注册步骤中，用户基于自身的id、口令和生物特征经系统参数加密运算生成注册请求信息包括：

8、用户基于随机数ki和系统参数加密计算获得注册请求参数ki的步骤；

9、用户基于自身的id、口令和秘密数值经系统参数加密计算获得注册请求参数ai的步骤；

10、用户基于自身的id和生物特征经系统参数加密计算获得注册请求参数hpbi的步骤。

11、优选的，所述用户注册步骤中，所述注册中心rc基于注册请求信息生成包含秘密信息的智能卡与回复信息的具体步骤包括：

12、注册中心rc基于随机数wi、注册请求参数ki和注册中心发布的主密钥生成回复信息wi和所述用户私钥基于计算获得；

13、注册中心rc基于回复信息wi、注册请求参数hpbi、注册请求参数ai和注册中心发布的主密钥生成秘密信息mi，并存入智能卡中。

14、优选的，所述服务服务器注册步骤中，所述服务服务器基于自身的参数经系统参数加密运算生成注册请求信息包括：

15、服务服务器基于随机数kj和系统参数计算获得注册请求参数kj的步骤；

16、注册请求信息还包括服务服务器身份编号sidj。

17、优选的，所述服务服务器注册步骤中，注册中心rc基于注册请求信息生成回复信息并反馈给服务服务器的具体步骤包括：

18、注册中心rc基于随机数wj、注册请求参数kj和注册中心发布的主密钥生成回复信息wj和所述服务服务器私钥基于计算获得。

19、优选的，所述用户登录服务服务器的认证步骤中，用户基于自身的id、口令和生物特征，经计算得到身份验证信息，与智能卡中的秘密信息进行比对查验的具体步骤包括：

20、s11：接收采集的生物特征信息与用户注册步骤中提交的生物特征的差异进行比对，若满足阈值要求，则进入s12；

21、s12：接收输入的用户id和口令，基于采集的生物特征信息、输入的用户id和口令，经系统参数加密运算生成身份验证信息；

22、s13：身份验证信息与智能卡中的秘密信息进行比对查验，如果不相等，则智能卡拒绝服务，反之则基于用户私钥计算并向服务服务器发送登录请求信息。

23、优选的，所述用户登录服务服务器的认证步骤中，基于用户私钥计算并向服务服务器发送登录请求信息的具体步骤包括：

24、s21：基于生物特征经系统参数加密计算的参数hpbi和用户私钥计算登录请求参数di；

25、s22：获取当前时间戳t，目标服务服务器身份sidj，基于用户私钥经系统参数加密计算的参数pubi，结合登录请求参数di，经系统参数加密计算获得登录请求参数bij；

26、登录请求信息还包括：当前时间戳t、基于用户私钥经系统参数加密计算的参数pubi和注册中心rc向用户发送的回复信息wi。

27、优选的，所述用户登录服务服务器的认证步骤中，服务器验证登录请求信息并基于服务服务器私钥计算服务器会话密钥的具体步骤包括：

28、s31：查验时间戳t是否在可信范围内，是则进入s32；

29、s32：基于回复信息wi和输入的用户id经系统参数加密计算获得pub'i，并与收到的参数pubi进行比较，若比较一致则进入s33；

30、s33：基于时间戳t、目标服务服务器身份sidj、登录请求参数di、参数hpbi和pub'i构建与系统参数的双线性映射；基于登录请求参数bij与系统参数进行双线性映射，验证该双线性对是否一致，若一致则进入s34；

31、s34：基于时间戳t、目标服务服务器身份sidj、登录请求参数di、参数hpbi和pub'i计算回复信息tkji，基于服务器密钥和pub'i计算服务器会话密钥，基于服务器会话密钥加密计算服务器认证信息authji；

32、s35：向用户发送回复信息，包括服务器认证信息authji、注册中心向服务服务器发送的回复信息wj、基于服务服务器私钥经系统参数加密计算得到的参数pubj和时间戳t。

33、优选的，所述用户登录服务服务器的认证步骤中，用户验证认证回复信息并基于用户私钥计算用户会话密钥，反馈给服务服务器验证通过信息；服务服务器查验验证通过信息后，以服务器会话密钥和用户会话密钥作为协商会话密钥的具体步骤包括：

34、s41：查验时间戳t与所述用户私钥计算并向服务服务器发送登录请求信息步骤中获取的所述当前时间戳t是否一致，是则进入s42；

35、s42：基于回复信息wj和目标服务服务器身份sidj经与s32相同的系统参数加密方法计算获得pub'j，并与收到的参数pubj进行比较，若比较一致则进入s43；

36、s43：基于时间戳t、用户私钥、目标服务服务器身份sidj、登录请求参数di、参数hpbi和pubi计算tkij，验证tkij与tkji是否一致，若是则进入s44；

37、s44：基于用户私钥和pubj计算用户会话密钥；基于用户会话密钥与s34相同的加密计算方法计算用户认证信息authij，查验用户认证信息authij与服务器认证信息authji是否一致，若是则进入s45；

38、s45：基于用户会话密钥和tkij计算验证通过消息m，并发送给服务服务器；

39、s46：服务服务器基于服务器会话密钥和tkji通过与s45相同的加密方法计算m'，并检验验证通过消息m与m'是否一致，若是则以服务器会话密钥和用户会话密钥作为协商会话密钥。

40、优选的，还包括用户利用智能卡更新口令的步骤，包括：

41、s51：获取用户输入的生物特征，并验证生物特征与用户注册请求时输入的生物特征是否一致，若是进入s52；

42、s52：获取用户输入的自身的id、口令和秘密数值经与注册请求相同的系统参数加密计算秘密信息m'i,将计算得到的m'i与智能卡中存储的秘密信息mi进行比较，若一致进入s53；

43、s53：接收用户输入新口令智能卡更新秘密信息mi为口令更新完成。

44、与现有技术相比，本发明具有如下有益效果：

45、本发明实施例提供的提出了一种无证书三因子身份认证方案，用于实现多服务器环境下的身份认证。使用生物特征保证了用户身份的唯一性，借助公钥自认证及自主管理实现了传统中心化结构下的无证书信任。本发明不但采用三因子进行注册及智能卡认证，而且还将三因子融入了身份认证及会话密钥协商过程。通过分析该方案不仅有效地避免了伪装攻击、口令猜测攻击、重放攻击等各种攻击，确保了安全性，而且通过哈希函数等轻量级运算，很好地保证了算法的效率。