CN101282216A - 带隐私保护的基于口令认证的三方密钥交换方法 - Google Patents

Abstract

本发明涉及密钥交换技术，公开了一种带隐私保护的基于口令认证的三方密钥交换方法，包括以下步骤：初始化阶段，准备进行密钥交互的两个客户端用户相互交换预备信息；客户端发起阶段，准备进行密钥交互的两个客户端用户分别用各自和服务器共享的口令加密消息并且将其和未加密的信息一起发送给服务器；服务器处理阶段，服务器在收到来自客户端的请求信息后，采用健忘传输(oblivious transfer)机制来处理这些信息并且针对上述两个客户端用户中的每一个都生成不同的返回消息，接着分别将这些消息发送给相应的客户端用户；客户端认证阶段，客户端在收到服务器端的返回信息后，基于自己的口令，采用通常的密钥交换的机制对返回信息进行处理，以此来生成会话密钥的种子，并且用该会话密钥的种子生成认证信息发送给对方用户；会话密钥生成阶段，若认证通过来自对方用户的认证信息，则使用会话密钥种子生成会话密钥。与现有技术相比，该方案不但实现了安全的基于口令认证的三方密钥交换，而且还同时有效地对参与密钥交换的客户端用户的包括身份和参与行为在内的隐私信息进行了保护。

Description

带隐私保护的基于口令认证的三方密钥交换方法

技术领域

本发明涉及基于口令认证的密钥交换技术，特别涉及基于口令认证的密钥交换技术有关的安全技术和隐私保护技术。

背景技术

在基于口令认证的三方密钥交换(Three-Party Password-basedAuthenticated Key Exchange，简称“3PAKE”)中，两个客户端用户预先各自和在线服务器共享一个口令，然后基于口令，两个用户在该服务器协助下完成互相认证并且建立会话密钥。由于口令是很短的字符串，所需存储量很小并且易于人类记忆，不需要额外的存储密钥的外部设备，也不需要公钥基础设施(PKI)，所以基于口令认证的三方密钥交换协议在实际的安全通信中有着广泛的应用。

在基于口令认证的三方密钥交换的***中包括两个组成部分：客户端用户集合{U₁，U₂，…，U_i，U_i+1，…，U_n}和在线服务器S，其中每个用户U_i(1＜i＜n)都在服务器S上注册了身份信息并且都分别和服务器S共享一个口令pw_i。每次进行基于口令认证的三方密钥交换都有三个参与者：客户端用户U_i、客户端用户U_j和在线服务器S。

在图1中给出了一个现有的基于口令认证的三方密钥交换方案的例子，其中G是阶为p的素数阶循环群，g为G的两个生成元，l_r为安全参数，而H₁、H₂和H₃是 ${\left\{\mathrm{0,1}\right\}}^{*}\→{\left\{\mathrm{0,1}\right\}}^{l_r}$ 的哈希函数。

在现有的基于口令认证的三方密钥交换的方案中，一般客户端用户都是用口令加密用户的公钥(其本身一般是以后生成会话密钥的种子)，但当对于客户端用户的身份都是明文传输，这是为了服务器能够找到该客户端用户所对应的口令。这样，虽然可充分保护以后生成的会话密钥的安全性，但对于涉及用户的身份的隐私性却没有任何的保护。例如敌手可通过简单监听，就可知道哪些用户经常进行密钥交换，从而推断出哪些用户关系比较密切。另外，一般通常认为在线服务器是半诚实的，即它总是诚实的执行协议但又总是试图收集一些关于用户的信息。所以，用现有的基于口令认证的三方密钥交换的方案，服务器也总能收集到所有用户进行密钥交换的纪录。

为了解决上述问题，我们提供了一种带隐私保护的基于口令认证的三方密钥交换方法。该方法较好地克服了现有的基于口令认证的三方密钥交换方案不能有效的保护参与用户的隐私的缺点。

发明内容

本发明的目的在于克服现有技术的不足，提供一种带隐私保护的基于口令认证的三方密钥交换方法。

本发明中的主要优点在于：有效地实现了客户端用户依靠口令和服务器的帮助进行安全的认证密钥交换，同时保证身份信息不被泄露。其具体保护的是以下四个隐私性质：防探测性，即任意敌手不是服务器的合法用户，那么该敌手也就不能确定其他任意的参与者是否是合法用户；不可关联性，即在协议执行中任给两个不同别名(在我们的方法中为保证隐私性，规定客户端用户以假名参与密钥交换)，任意敌手(包括内部攻击者但这两个别名都不是它的)都不能确定它们是否属于同一合法用户；窃听不可区分性，即任意敌手通过被动地监听密钥交换的执行，仍不能确定该执行是否成功；服务器匿名性，即服务器不能确定是哪两个客户端用户在借助它来完成密钥交换。

为达到上述特点，本发明提供了一种提供一种带隐私保护的基于口令认证的三方密钥交换方法(privacy-preserving 3-party password-basedauthenticated key exchange，简称“PP-3PAKE”)。包含以下部分：

A初始化阶段，准备进行密钥交互的两个客户端用户相互交换预备信息；

B客户端发起阶段，准备进行密钥交互的两个客户端用户分别用各自和服务器共享的口令加密消息并且将其和未加密的信息一起发送给服务器；

C服务器处理阶段，服务器在收到来自客户端的请求信息后，采用健忘传输(oblivious transfer)机制来处理这些信息并且针对上述两个客户端用户中的每一个都生成不同的返回消息，接着分别将这些消息发送给相应的客户端用户；

D客户端认证阶段，客户端在收到服务器端的返回信息后，基于自己的口令，采用通常的密钥交换的机制对返回信息进行处理，以此来生成会话密钥的种子，并且用该会话密钥的种子生成认证信息发送给对方用户；

E会话密钥生成阶段，若验证通过来自对方用户的认证信息，则使用会话密钥种子生成会话密钥。

在所述方法中，在所述初始化阶段中交换的初始信息是用户随机选取的当前值和用户随机选取的假名。

在所述方法中，在所述客户端发起阶段中加密的消息是用户选取的Diffie-Hellman公钥，而在未加密的信息中也包含一个用户自己选取的Diffie-Hellman公钥。

在所述方法中，在所述服务器处理阶段中，服务器采用的健忘传输机制是使用所有的服务器上注册的口令，依次分别来解密来自一方客户端的密文，并且针对每个解密结果，随机选取不同的Diffie-Hellman私钥，接着基于Diffie-Hellman密钥交换的方式，使用上述不同的私钥对上述每个解密结果依次分别进行加密从而生成与注册用户数同样多的临时密钥，然后，服务器针对来自另一方未加密的信息中的Diffie-Hellman公钥，选取一个Diffie-Hellman私钥，接着基于Diffie-Hellman密钥交换的方式，使用上述私钥对上述公钥进行加密从而产生Diffie-Hellman密钥交换的结果密钥，最后使用上述各个临时密钥依次分别加密上述结果密钥，将每个加密结果都发送给提供密文的那个用户，并且同时将上述所有Diffie-Hellman私钥对应的公钥依次发送给提供上述密文的那个用户。

在所述方法中，在所述客户端认证阶段中采用的密钥交换的机制是Diffie-Hellman密钥交换机制，对来自服务器的返回信息中相应位置的密文使用口令得到结果密钥，然后对结果密钥使用Diffie-Hellman密钥交换机制产生会话密钥的种子。

在所述方法中，所述认证信息和会话密钥都是以上述会话密钥的种子、用户的当前值和假名为输入，使用密码学意义上的哈希函数生成。

通过比较可以发现，本发明的技术方案(PP-3PAKE)与现有技术的主要区别在于，PP-3PAKE不但实现了安全的基于口令认证的三方密钥交换而且还同时有效地对参与密钥交换的客户端用户的隐私信息(包括身份和参与行为在内)进行了保护。

附图说明

图1是一个现有的基于口令认证的三方密钥交换方案的示意图。

图2是一个具体的带隐私保护的基于口令认证的三方密钥交换方案的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将通过实施例1并且结合附图2对本发明做进一步的详细描述。

实施例1

在该实施例的具体构造中，我们将Tzeng的健忘传输(oblivious transfer：OT)方案(Wen-Guey Tzeng.Efficient 1-out-n oblivious transfer schemes.In David Naccache et al.，editors，Public Key Cryptography-PKC 2002，LNCS 2274，pages 159-171.Springer，2002)嵌入到Abdalla等人的3PAKE方案(M.Abdalla and D.Pointcheval.Interactive diffie-hellmanassumptions with applications to password-based authentication.In A.S.Patrick et al.，editors，Financial Cryptography and Data Security-FC 2005，LNCS 3570，pages 341-356.Springer，2005.)的一个简单变体中，来实现带隐私保护的基于口令认证的密钥交换方法。

设G是阶为p的素数阶循环群，g和h分别为G的两个生成元。设l_r为安全参数，而Q₁、Q₂、H₁、H₂和H₃是 ${\left\{\mathrm{0,1}\right\}}^{*}\→{\left\{\mathrm{0,1}\right\}}^{l_r}$ 的哈希函数。

设Group_s是由半可信服务器S管理的群组。设∏_V：＝{V₁，V₂，...，V_n}为注册在服务器S的群组成员的真实身份的集合，而∏_U：＝{U₁，U₂，...，U_m}是所有这些群组成员所持假名的集合，其中每个群组成员都仅适用假名参与协议执行。下面，我们用匿名群组成员U_i来表示使用假名为U_i的群组成员。同时，我们假设群组成员和服务器之间共享的口令均匀地分布在字典D中。

在图2中展示了该具体的PP-3PAKE方案，关于该方案的详细描述如下所示。

第0阶段：(初始化)

1.在协议执行前，两个希望进行PP-3PAKE协议的匿名群组成员U_i和U_j分别随机地选择各自的当前值n_i和n_j，然后交换它们。

第1阶段：

1.U_i选择随机数x_i，r_i∈Z_p，计算 $X_i=g^{x_i}$ 和 $M_i=g^{r_i}{h}^{{\mathrm{pw}}_{i,1}},$ 接着将包含X_i和M_i的信息以及附加信息Δ_i：＝U_i|n_i|U_j|n_j发送给服务器S。

2.同样地，U_j也随机地选择两个数x_j和r_j，并且计算X_j和M_j。最后也发送消息X_j、M_j和Δ_j：＝U_j|n_j|U_i|n_i给服务器S。

第2阶段：

1.服务器S选择随机数s∈Z_p和两个组随机数k_i1，k_i2，...，k_in∈Z_p和k_i1，k_i2，...，k_in∈Z_p并且为1≤l≤n依次计算A_il、A_jl、B_il和B_jl如下：

$A_{\mathrm{il}}=g^{x_{j}s+{\mathrm{PW}}_{l,2}},$ $A_{\mathrm{il}}=g^{x_{i}s+{\mathrm{PW}}_{l,2}}$

$B_{\mathrm{il}}=A_{\mathrm{il}}\⊕H_1\left({(M_i\·h^{-{\mathrm{PW}}_{l,1}})}^{k_{\mathrm{il}}}\right),$ $B_{\mathrm{jl}}=A_{\mathrm{jl}}\⊕H_1\left({(M_j\·h^{-{\mathrm{PW}}_{l,1}})}^{k_{\mathrm{jl}}}\right)$

2.服务器S设置两组数据 $W_i=\{g^{k_{i1}},...,g^{k_{\mathrm{in}}},B_{i1},...,B_{\mathrm{in}}\}$ 和 $W_j=\{g^{k_{j1}},...,g^{k_{\mathrm{jn}}},B_{j1},...,B_{\mathrm{jn}}\},$ 并且附加上附加信息Δ_S＝{S|U_i|U_j|n_S|n_i|n_j}(其中n_S是服务器S随机取的当前值)，分别将它们传输给U_i和U_j。

第3阶段：

1.在收到消息W_i后，U_i计算 $N_i=B_{{\mathrm{il}}_i}\⊕H_1\left(g^{k_{{\mathrm{il}}_i}\·r_i}\right),$ 其中U_i的真实身份是

接着，通过使用它的口令pw_i得到 $T_i=N_i^{-{\mathrm{PW}}_{i,2}}.$ 最终U_i计算认证子Auth_i＝H₂(T_i，Δ_S，1)并且将其发送给U_j。

2.在收到消息W_i，U_j所执行的和上面的U_i一样，即依次计算N_j和T_j，产生它自己的认证信息Auth_j＝H₂(T_j，Δ_S，2)，随后将该认证信息发送给U_i。第4阶段：

1.最终，U_i和U_j分别验证各自所收到的认证信息Auth_j＝H₂(T_j，Δ_S，2)和Auth_i＝H₂(T_i，Δ_S，1)。若认证通过，则U_i和U_j完成了相互的匿名认证并且为以后它们之间的安全通信建立了共享的会话密钥 $\mathrm{SK}=H_3(g^{x_i{x}_{j}s},{\mathrm{\Δ}}_S).$

虽然通过参照本发明的优选实施例，已经对本发明进行了图示和描述，但本领域的技术人员应该明白，可以在形式和细节上对其作各种改变，比如采用其他的加密体制替代Diffie-Hellman体制；对服务器注册用户进行分组，再以小组为单位进行上述带隐私保护的密钥交换等等，而不偏离本发明的精神和范围。

Claims (6)

1. 一种带隐私保护的基于口令认证的三方密钥交换方法，包括以下步骤：

A初始化阶段，准备进行密钥交互的两个客户端用户相互交换预备信息；

B客户端发起阶段，准备进行密钥交互的两个客户端用户分别用各自和服务器共享的口令加密消息并且将其和未加密的信息一起发送给服务器；

C服务器处理阶段，服务器在收到来自客户端的请求信息后，采用健忘传输机制来处理这些信息并且针对上述两个客户端用户中的每一个都生成不同的返回消息，接着分别将这些消息发送给相应的客户端用户；

D客户端认证阶段，客户端在收到服务器端的返回信息后，基于自己的口令，采用通常的密钥交换的机制对返回信息进行处理，以此来生成会话密钥的种子，并且用该会话密钥的种子生成认证信息发送给对方用户；

E会话密钥生成阶段，若验证通过来自对方用户的认证信息，则使用会话密钥种子生成会话密钥。

2. 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法，其特征在于，在所述初始化阶段中交换的初始信息是用户随机选取的当前值和用户随机选取的假名。

3. 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法，其特征在于，在所述客户端发起阶段中加密的消息是用户选取的Diffie-Hellman公钥，而在未加密的信息中也包含一个用户自己选取的Diffie-Hellman公钥。

4. 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法，其特征在于在所述服务器处理阶段中，服务器采用的健忘传输机制是使用所有的服务器上注册的口令，依次分别来解密来自一方客户端的密文，并且针对每个解密结果，随机选取不同的Diffie-Hellman私钥，接着基于Diffie-Hellman密钥交换的方式，使用上述不同的私钥对上述每个解密结果依次分别进行加密从而生成与注册用户数同样多的临时密钥，然后，服务器针对来自另一方未加密的信息中的Diffie-Hellman公钥，选取一个Diffie-Hellman私钥，接着基于Diffie-Hellman密钥交换的方式，使用上述私钥对上述公钥进行加密从而产生Diffie-Hellman密钥交换的结果密钥，最后使用上述各个临时密钥依次分别加密上述结果密钥，将每个加密结果都发送给提供密文的那个用户，并且同时将上述所有Diffie-Hellman私钥对应的公钥依次发送给提供上述密文的那个用户。

5. 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法，其特征在于，在所述客户端认证阶段中采用的密钥交换的机制是Diffie-Hellman密钥交换机制，对来自服务器的返回信息中相应位置的密文使用口令得到结果密钥，然后对结果密钥使用Diffie-Hellman密钥交换机制产生会话密钥的种子。

6. 如权利要求1所述的带隐私保护的基于口令认证的三方密钥交换方法，其特征在于，所述认证信息和会话密钥都是以上述会话密钥的种子、用户的当前值和假名为输入，使用密码学意义上的哈希函数生成。