CN101510875B - 一种基于n维球面的身份认证方法 - Google Patents

Abstract

本发明公开了一种基于N维球面的身份认证方法，认证服务器初始化后接受用户注册和身份验证；当有新用户注册时，用户根据自身选定的口令通过安全单向函数计算出向量提交给认证服务器，认证服务器为该用户指定一个ID_g作为用户身份的标识；认证服务器结合自身的秘密向量和用户提交的向量确定一个N维球面；认证服务器在这个N维球面随机选择若干不同点，组成加密文件，通过安全信道传递给用户；当用户要求进行身份认证时，利用自身口令和含有身份认证标识的加密文件进行运算，并将结果传递给认证服务器，认证服务器进行计算后检查确定是否接受该用户身份。本发明能有效地减少认证服务器存储信息、计算量，防止假冒认证服务器。

Description

一种基于N维球面的身份认证方法

技术领域

本发明涉及计算机***安全和网络安全中的身份认证方法，具体是涉及一种基于N维球面的身份认证方法。

背景技术

随着在线交易和电子商务、电子政务的发展，层出不穷的网络犯罪，引起了人们对网络身份的信任危机，因此身份认证变得越来越重要。身份认证技术能够密切结合企业、政府的业务流程，阻止对重要资源的非法访问。也可以说，身份认证是整个信息安全体系的基础。目前比较常用的身份认证方法有：口令、动态口令、智能卡认证、公钥基础设施(PKI)、生物认证等。

口令认证的基本思想是每个用户都有一个身份标识(ID)和口令，当用户想进入***时，他必须提供其ID及口令，***就可以检验用户的合法性。故口令认证具有价格低廉、容易实现、用户界面友好等特点。但是基于口令的身份认证很容易被窃取，而且强度往往也难以抵抗口令猜测，而且还有可能受到重放攻击等。

动态口令技术是一种让用户密码按照时间或使用次数不断变化、每个密码只能使用一次的技术。它采用一种叫作动态令牌的专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份认证。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要通过密码验证就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。然而动态口令虽然解决了安全性的问题，但其成本较高。

智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡***专用的读卡器读取其中的信息，以验证用户的身份。智能卡认证通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。

公钥基础设施(PKI)采用数字证书管理公钥，通过第三方的可信机构即认证中心(CA)把用户的公钥和用户的标识信息捆绑在一起。作为一项基础设施，PKI似乎可以解决绝大多数网络安全问题，并初步形成一套完整的解决方案和理论。然而由于PKI***在使用上的复杂性以及成本等问题使它在实际的应用中遇到很多问题。

生物认证主要是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。生物特征分为身体特征和行为特征两类。身体特征包括：指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；行为特征包括：手写签名、语音、行走步态等。生物认证技术具有传统的身份认证手段无法比拟的优点。采用生物认证技术，可不必再记忆和设置密码，使用更加方便，但高昂的成本、复杂的技术阻碍了它的推广和应用。

发明内容

本发明的目的在于克服现有技术的缺点和不足，利用“已知满足一定条件的N+1个N维空间上的点，可以唯一确定一个N维球面(N-sphere/hyper sphere/N维圆)”的数学原理，提供了一种基于N维球面的身份认证方法，通过特定秘密信息比较认证服务器和用户是否可以重构同一个N维球面来进行身份认证。N维球面是普通的球面在任意维度的推广，特别的，在2维空间称为圆，3维空间称为球面，4维以上空间称为超球面。该方法能有效地减少服务器信息存储量、服务器和用户计算量，而且该方法不以某种数学难解问题为理论基础，从而有效避免了由于解决数学难题新方法的提出而被攻破的可能性。

本发明的目的通过下述技术方案实现：一种基于N维球面的身份认证方法，包括以下步骤：

(1)认证服务器初始化：认证服务器选择有限域GF(p)和安全单向函数f，同时选择若干秘密向量；其中GF(p)确定了群组运算所在的有限域，即所有的群组运算过程都在有限域GF(p)中进行，p是一个大素数；

(2)用户注册：用户根据自身选定的口令PW_g通过安全单向函数f计算出一个向量提交给认证服务器，认证服务器检查用户身份，为用户指定一个ID_g作为用户身份的标识，各用户身份的标识是各不相同的；认证服务器结合自身的秘密向量和用户提交的向量唯一确定一个N维球面，如果不能构造这样的N维球面，则认证服务器重新选择该用户身份的标识再进行计算；认证服务器通过安全信道将在这个N维球面随机选择的若干不相同的点，并与用户ID_g、大素数p和安全单向函数f组成加密文件传递给用户；

(3)用户生成认证信息：当用户需要认证服务器识别其身份时可以利用认证服务器传回的加密文件，并结合自身选定的口令PW_g，重新构造一个N维球面，同时选择这个N维球面上的几何特征作为认证信息传递给认证服务器进行验证；

(4)认证服务器验证用户认证信息：认证服务器接受用户的认证信息同时利用自身的秘密向量重新构造一个N维球面，并计算用户约定使用的N维球面的几何特征，最后将计算结果和用户提交的认证信息进行比较，如果相同则接受用户身份，否则拒绝用户身份。

为更好地实现本发明，所述步骤(1)认证服务器初始化，具体包括以下步骤：

(1.1)认证服务器选择安全单向函数f，某个大素数p，认证服务器选定f和p后将其公开；

(1.2)认证服务器秘密选定N个N维向量(各向量间是线性无关的)：(S₁₁、S₁₂......S_1N)，......，(S_N1、S_N2......S_NN)，其中S_kl在有限域GF(p)中随机选择，k＝1、...、N，l＝1、...、N；认证服务器可以公开N值，但是这N个N维向量只能由认证服务器秘密保存，且一旦选定就不再改变。

优选的：所述大素数满足p＝8n+3，n为某一正整数，这样可使步骤2.3在有限域GF(p)中寻找除A_g0和A_gi以外的任意N个点的二次剩余对更容易，运算更方便。

所述步骤(2)用户注册，具体包括以下步骤：

(2.1)用户U_g选定一个口令PW_g，其中U_g是下标为g的用户，PW_g是下标为g的用户U_g所选定的口令，该口令可以由字母和数字组成，因字符串可以转换为数字，以下所述的PW_g是指转换以后的整数，下面各个步骤所有计算均在有限域GF(p)中进行；

用户计算向量A_g0＝(f(PW_g)，f(2×PW_g)，...，f(N×PW_g))并传递给认证服务器；

(2.2)认证服务器为该用户指定一个唯一的ID_g，并计算N维球面方程：

(a)认证服务器根据自身秘密保存的N个N维向量，计算N个向量：

$\left.\begin{array}{c}{A}_{g1}=(f({\mathrm{ID}}_g\×S_{11}),f({\mathrm{ID}}_g\×S_{12}),...,f({\mathrm{ID}}_g\×S_{1N}))\\ \·\·\·\·\\ A_{\mathrm{gn}}=(f({\mathrm{ID}}_g\×S_{N1}),f({\mathrm{ID}}_g\×S_{N2}),...,f({\mathrm{ID}}_g\×S_{\mathrm{NN}}))\end{array}\right\}$

(b)把A_gi的坐标记为(a_i1，a_i2，...，a_iN)，其中i＝1、2、...、N；把A_g0坐标记为(a₀₁，a₀₂，...，a_0N)。这N+1个向量A_g0、A_g1、...、A_gN构造N维球面方程

(x₁-c₁)²+(x₂-c₂)²+...+(x_N-c_N)²＝R₂      (1)

其中(c₁，c₂，...，c_N)为N维球面的中心，R为该N维球面的半径，(x₁，x₂，...，x_N)是球面上任意点；

(c)认证服务器将求得的N+1个向量代入方程(1)，得方程组(2)

$\left.\begin{array}{c}{(a_{01}-c_1)}^2+{(a_{02}-c_2)}^2+...+{(a_{0N}-c_N)}^2\≡R^2\mathrm{mod}p\\ {(a_{11}-c_1)}^2+{(a_{12}-c_2)}^2+...+{(a_{1N}-c_N)}^2\≡R^2\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\\ {(a_{N1}-c_1)}^2+{(a_{N2}-c_2)}^2+...+{(a_{\mathrm{NN}}-c_N)}^2\≡R^2\mathrm{mod}p\end{array}\right\}---\left(2\right)$

分别将它们前一式减后一式，可以得到关于c₁、c₂、...、c_N的线性方程组(3)：

$\left.\begin{array}{c}2(a_{11}-a_{01})c_1+...+2(a_{1N}-a_{0N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{1j}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{0j}^2)\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\\ 2(a_{N1}-a_{(N-1)1})c_1+...+2(a_{\mathrm{NN}}-a_{(N-1)N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{\mathrm{Nj}}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{(N-1)j}^2)\mathrm{mod}p\end{array}\right\}---\left(3\right)$

如果在计算过程中，方程组(3)的系数矩阵行列式为零，则重新选择ID_g进行计算，这样保证方程唯一确定该球面的中心C(c₁，c₂，...，c_N)；再将这个中心坐标代入方程组(2)的任意一个式子进行计算，即可得到R²；然后把c₁、c₂、...、c_N和R²代入方程(1)，于是该球面的方程就能确定，这个方程就是下标为g的用户和认证服务器共享的秘密球面UC_g，设该方程为：

(x₁-c₁)²+(x₂-c₂)²+...+(x_N-c_N)²≡R²modp

(2.3)认证服务器随机选择秘密球面UC_g上除A_g0和A_gi以外的N个点B_gi，B_gi＝(b_i1，b_i2，...，b_iN)，其中i＝1、...、N；B_gi的每个坐标分量均在有限域GF(p)内找，B_gi的每个坐标具体求解如下：

(A)找到N-2个数对即二次剩余对(e_iq，d_iq)，使得e_iq≡d_iq ²modp，其中q＝1、...、N-2，e_iq、d_iq是有限域GF(p)中满足e_iq≡d_iq ²modp条件的任意两个整数，并且满足

b_i1≡(d_i1+c₁)modp

b_i2≡(d_i2+c₂)modp

……

b_i(N-2)≡(d_i(N-2)+c_N-2)modp

(B)再选择两对二次剩余对(e_iz，d_iz)，使得e_iz≡d_iz ²modp，其中z＝N-1、N，e_iz、d_iz是有限域GF(p)中满足e_iz≡d_iz ²modp条件的任意两个整数，并且满足

$e_{i(N-1)}+e_{\mathrm{iN}}\≡(R^2-\underset{y=1}{\overset{N-2}{\mathrm{\Σ}}}{e}_{\mathrm{iy}})\mathrm{mod}p$

令

b_i(N-1)≡(d_i(N-1)+c_N-1)modp

b_iN≡(d_iN+c_N)modp

上述步骤(A)和(B)是N≥3时适用的情况，当N＝2时则直接使用步骤(B)；重复N次计算，可以得到N个B_gi点，每次计算后验证一下，确保得到的N个点是互不相同的；

(2.4)认证服务器把p、f、ID_g、以及B_g1、B_g2、...，、B_gN以加密的形式保存在文件中并发送给用户，加密算法可以使用现有的安全加密算法，如AES等，用户保存加密后的文件，用户输入PIN码可解密文件并得到所需信息，以下我们称该加密文件为“userInfo”。

所述步骤(3)用户生成认证信息，具体包括以下步骤：

(3.1)下标为g的用户U_g输入PIN码解密认证服务器传递的含有注册成功信息的加密文件“userInfo”，得到p、f、ID_g、以及B_g1、B_g2、...、B_gN；

(3.2)用户在客户端输入自身口令PW_g，可以计算出B_g0＝(f(PW_g)，f(2×PW_g)，...，f(N×PW_g))；

(3.3)用户根据B_g0加上文件“userInfo”中存储的N点B_g1、B_g2、...、B_gN，一共N+1个点，利用这N+1个向量构造N维球面方程，可以重构出原来的秘密球面UC_g；即将B_g0和B_g1、B_g2、...、B_gN代入N维球面方程，得方程组：

$\left.\begin{array}{c}{(b_{01}-c_1)}^2+{(b_{02}-c_2)}^2+...+{(b_{0N}-c_N)}^2\≡R^2\mathrm{mod}p\\ {(b_{11}-c_1)}^2+{(b_{12}-c_2)}^2+...+{(b_{1N}-c_N)}^2\≡R^2\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\\ {(b_{N1}-c_1)}^2+{(b_{N2}-c_2)}^2+...+{(b_{\mathrm{NN}}-c_N)}^2\≡R^2\mathrm{mod}p\end{array}\right\}$

分别将它们前一式减后一式，可以得到关于c₁、c₂、...、c_N的线性方程组：

$\left.\begin{array}{c}2(b_{11}-b_{01})c_1+...+2(b_{1N}-b_{0N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{b}_{1j}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{b}_{0j}^2)\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\\ 2(b_{N1}-b_{(N-1)1})c_1+...+2(b_{\mathrm{NN}}-b_{(N-1)N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{b}_{\mathrm{Nj}}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{b}_{(N-1)j}^2)\mathrm{mod}p\end{array}\right\}$

于是可以求解线性方程组，可得中心坐标C(c₁，c₂，...，c_N)；

(3.4)用户计算w₁＝f(c₁×t)，w2＝f(c₂×t)，...，w_N＝f(c_N×t)，其中t为时间戳，令W_g＝(w₁，w₂，...，w_N)；

(3.5)过W_g和C做直线L，在极少见的情况下，如果W_g和C相同，重新选择时间戳t，再计算W_g(重新计算后，由于时间戳已不同，一定能保证这两个向量不相同)；直线L的参数方程如下

$\left\{\begin{array}{c}{y}_1\≡(w_1+(c_1-w_1)\×k)\mathrm{mod}p\\ y_2\≡(w_2+(c_2-w_2)\×k)\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\\ y_N\≡(w_N+(c_N-w_N)\×k)\mathrm{mod}p\end{array}\right.$

其中k为自变量参数，y₁、...、y_N为因变量；

取L上除W_g和C之外的任意一点M_g(m₁，...，m_N)，即k取除0和1外的有限域GF(p)中的任意数时对应的(y₁，...，y_N)值；

(3.6)用户将认证消息Meg＝{t，ID_g，B_g1，M_g}发送给认证服务器，其中，t为时间戳，ID_g是代表下标为g的用户身份的标识，B_g1是存储在文件“userInfo”中的在球面UC_g上的一个点，M_g是生成的直线L上的任意一点，同一个用户每次生成的认证消息中，t和M_g是不同的，ID_g和B_g1总是相同的。

所述步骤(4)认证服务器验证用户认证信息，具体包括以下步骤：

(4.1)认证服务器收到用户U_g的认证消息Meg，先检查时间戳是否有效，无效则认证失败，有效则进入下一步；

(4.2)认证服务器根据ID_g及自身秘密向量集计算向量

A_gi＝(f(ID_g×S_i1)，f(ID_g×S_i2)，...，f(ID_g×S_iN))，(i＝1，...，N)

把A_gi的坐标记为(a_i1，a_i2，...，a_iN)，其中i＝1、2、...、N，这样N个向量再加上认证消息中的点B_g1，一共N+1个向量，于是认证服务器能够重构与用户共享的球面UC_g，利用这N+1个向量构造N维球面方程，即将B_g1、以及A_g1、A_g2、...、A_gN代入N维球面方程：

$\left.\begin{array}{c}{\left(b_{11}{c}_1\right)}^2+{(b_{12}-c_2)}^2+...+{(b_{1N}-c_N)}^2\≡R^2\mathrm{mod}p\\ {(a_{11}-c_1)}^2+{(a_{12}-c_2)}^2+...+{(a_{1N}-c_N)}^2\≡R^2\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\\ {(a_{N1}-c_1)}^2+{(a_{N2}-c_2)}^2+...+{(a_{\mathrm{NN}}-c_N)}^2\≡R^2\mathrm{mod}p\end{array}\right\}$

分别将它们的前一式减后一式，可以得到关于c₁、c₂、...、c_N的线性方程组：

$\left.\begin{array}{c}2(b_{11}-b_{11})c_1+...+2(2_{1N}-b_{1N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{1j}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{b}_{1j}^2)\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\\ 2(a_{N1}-a_{(N-1)1})c_1+...+2(a_{\mathrm{NN}}-a_{(N-1)N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{\mathrm{Nj}}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{(N-1)j}^2)\mathrm{mod}p\end{array}\right\}$

于是可以求解线性方程组的中心坐标C(c₁，c₂，...，c_N)；

(4.3)认证服务器计算W_g＝(f(c₁×t)，f(c₂×t)，...，f(c_N×t)，重构过点W_g及中心C的直线L：

$\left\{\begin{array}{c}{y}_1\≡(w_1+(c_1-w_1)\×k)\mathrm{mod}p\\ y_2\≡(w_2+(c_2-w_2)\×k)\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\·\\ y_N\≡(w_N+(c_N-w_N)\×k)\mathrm{mod}p\end{array}\right.;$

(4.4)认证服务器验证点M_g(m₁，...，m_N)是否在直线L上，若是则通过认证，否则认证失败，验证的过程如下：

把m₁、...、m_N分别代入直线方程的每一个子式进行计算，得到：

$\left\{\begin{array}{c}{m}_1\≡(w_1+(c_1-w_1)\×k_1)\mathrm{mod}p\\ m_2\≡(w_2+(c_2-w_2)\×k_2)\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\\ m_N\≡(w_N+(c_N-w_N)\×k_N)\mathrm{mod}p\end{array}\right.$

则有：

$\left\{\begin{array}{c}{k}_1\≡(m_1-w_1)\×{(c_1-w_1)}^{-1}\mathrm{mod}p\\ k_2\≡(m_2-w_2)\×{(c_2-w_2)}^{-1}\mathrm{mod}p\\ \·\·\·\·\·\·\·\·\·\·\·\·\\ k_N\≡(m_N-w_N)\×{(c_N-w_N)}^{-1}\mathrm{mod}p\end{array}\right.$

若k₁＝k₂＝...＝k_N，则说明点M_g在直线L上，认证服务器接受用户身份；否则点M_g不在直线L上，用户身份验证失败。

本发明的作用原理是：利用“已知满足一定条件的N+1个N维空间上的点，可以唯一确定一个N维球面(N-sphere/hyper sphere/N维圆)”的数学原理，设计了一种基于N维球面的身份认证方法，通过特定秘密信息比较认证服务器和用户是否可以重构同一个N维球面来设计的相应身份认证方法。

本发明与现有技术相比，具有如下优点和有益效果：

第一，认证方法用到的主要运算是对线性方程组的求解，所以认证方法的三个需计算的步骤所需时间都很短，可以很好地运用于实际应用。

第二，认证服务器不需要为每个用户保存用户数据，认证服务器所需要保存的仅仅是N个对所有用户都通用的N维秘密向量：(S₁₁，S₁₂......S_1N)，......，(S_N1，S_N2......S_NN)。这样认证服务器端仅需要保存很少的数据就可以实现对大量用户身份的验证，大大节省了存储空间。

第三，可以有效抵御重放攻击，因为认证服务器会检查时间戳，因而认证消息Meg不能重复使用。

第四，可以有效抵御伪造认证消息攻击，如果非法用户截获认证消息Meg，也只能知道球面上一个点，无法重构球面UC_g，也无法知道中心坐标。如果非法用户修改时间戳，但无法构造合法的点M_g，也就无法伪造认证消息，即使截获了多条认证消息，也无法从中恢复足够的有效信息重构球面，因此非法用户无法伪造合法的认证消息。

第五，可以有效抵御离线口令猜测(字典攻击)，本认证方法中用户自身口令的秘密信息f(PW_g)并没有曝露在网络中，因而做字典攻击较难。同时攻击者截获了认证消息Meg，也只能知道M_g和B_g1，无法重构球面。即使通过字典攻击猜测用户口令PW_g，进而猜测B_g0，也只能知道球面上两个点B_g0和B_g1，还是无法重构球面。N维球面上其它点的可能取值空间就很大了，因此字典攻击对本发明方法的攻击力度非常弱。每次生成的认证消息中，B_g1点都是相同的，所以即使攻击者截获了多条认证消息，也不能获得更多关于球面的信息。

第六，可以有效抵御假冒认证服务器攻击，认证服务器构造秘密球面的过程要用到自己的N个秘密的线性无关的N维向量。合法用户只能知道自己所重构秘密球面上的N+1个点，而认证服务器计算这个秘密球面是利用球面上另外N个点，加上由用户口令生成的B_g0点，用户不知道认证服务器的N个点A_gi(其中i＝1、...、N)，更不知道认证服务器生成这些点的N个秘密向量，因此合法用户难以假冒认证服务器。

第七，可以有效抵御假冒用户攻击，合法用户如果想冒充别的用户，可以修改认证消息中的用户ID_g，但却无法知道其它用户与认证服务器共享的秘密(即别的ID_g对应的秘密球面的中心)，因而无法生成合法的点M_g，也就无法伪造认证消息，所以无法冒充别的合法用户。

附图说明

图1是本发明优选实施例的身份认证***架构示意图；

图2是本发明优选实施例的身份认证服务器初始化后状态示意图；

图3是本发明优选实施例的用户1注册过程示意图；

图4是本发明优选实施例的用户1注册过程身份认证服务器运算过程示意图；

图5是本发明优选实施例的用户2注册过程示意图；

图6是本发明优选实施例的用户2注册过程身份认证服务器运算过程示意图；

图7是本发明优选实施例的注册过程身份认证服务器运算结果二维示意图；

图8是本发明优选实施例的用户认证过程示意图；

图9是本发明优选实施例的用户认证过程用户运算示意图；

图10是本发明优选实施例的用户认证过程身份认证服务器运算示意图；

图11是本发明优选实施例的认证过程运算结果二维示意图。

具体实施方式

下面结合实施例及附图，对本发明作进一步地详细说明，但本发明的实施方式不限于此。

实施例

典型的身份认证***架构如图1所示，该***包括认证服务器(CA)，以及用户1、用户2。认证服务器(CA)、各个用户通过网际网络连接。

如图2所示，在初始化之后认证服务器(CA)设定相关参数，其中实线框内为秘密保存参数，虚线框为公开参数。本实施例选取N＝2的情况给予具体说明，因为在2维空间中，“2维球面”实际是“圆”，所以在以下的描述中，采用“2维圆”这一术语替代“N维球面”。如图中2维向量S₁和S₂是秘密保存的秘密向量(这里为了简单说明所以只选择2维向量，在实际应用中可以选择更高维数向量作为秘密向量)，安全单向函数f和大素数p是公开的，实施例的整个过程都是在有限域GF(p)下进行的。

如图3所示，用户U₁向认证服务器(CA)进行注册。

其中PW₁是用户U₁自身的口令，由用户自身秘密保存，该口令可以由字母和数字组成，且字符串可以转换为数字。用户向认证服务器(CA)发送注册请求，并将自身口令进行安全单向函数f运算得到结果A₁₀＝(f(PW₁)，f(2*PW₁))作为身份信息发送到认证服务器(CA)。认证服务器(CA)利用自身秘密向量S₁、S₂及用户提交的信息计算相应的用户身份标识后加密成名为“userInfo”的加密文件，再将其传送给用户U₁：

图4示出了认证服务器(CA)在用户1进行注册时所进行的计算相应用户身份标识运算过程：

认证服务器(CA)为用户U₁指定一个唯一的ID₁，代表用户身份。认证服务器(CA)根据保存的2个秘密向量，计算2个向量：

A₁₁＝(f(ID₁×S₁₁)，f(ID₁×S₁₂))

A₁₂＝(f(ID₁×S₂₁)，f(ID₁×S₂₂))

把A₁₁的坐标记为(a₁₁，a₁₂)，A₁₂的坐标记为(a₂₁，a₂₂)，再加上用户发送的A₁₀(记为(a₀₁，a₀₂))，这三个向量组成一个2维圆的方程组，并代入相应参数得：

$\left.\begin{array}{c}{(a_{01}-c_1)}^2+{(a_{02}-c_2)}^2\≡R^2\mathrm{mod}p\\ {(a_{11}-c_1)}^2+{(a_{12}-c_2)}^2\≡R^2\mathrm{mod}p\\ {(a_{21}-c_1)}^2+{(a_{22}-c_2)}^2\≡R^2\mathrm{mod}p\end{array}\right\}$

通过后式减前式可得：

$2(a_{11}-a_{01})c_1+2(a_{12}-a_{02})c_2\≡(\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{a}_{1v}^2-\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{a}_{0v}^2)\mathrm{mod}p$

$2(a_{21}-a_{11})c_1+2(a_{22}-a_{12})c_2\≡(\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{a}_{2v}^2-\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{a}_{1v}^2)\mathrm{mod}p$

通过求解这个二元一次方程组，可以求出中心C(c₁，c₂)，进而半径平方R²，如果计算过程中无法求解这个方程组，则重新选择用户U₁的ID₁，再重新计算直到可以求解方程。最后从这个2维圆上选取另外两个不同的点B₁₁、B₁₂(这两个点不同于A₁₀、A₁₁、A₁₂)，具体过程如下：

选择两对二次剩余对(e₁₁，d₁₁)、(e₁₂，d₁₂)使得e₁₁≡d₁₁ ²modp且e₁₂≡d₁₂ ²modp，并且满足

e₁₁+e₁₂≡R²modp

令

b₁₁≡(d₁₁+c₁)modp

b₁₂≡(d₁₂+c₂)modp

B₁₁＝(b₁₁，b₁₂)；

同样再选择两对二次剩余对(e₂₁，d₂₁)、(e₂₂，d₂₂)使得e₂₁≡d₂₁ ²modp且e₂₂≡d₂₂ ²modp，并且满足

e₂₁+e₂₂≡R²modp

令

b₂₁≡(d₂₁+c₁)modp

b₂₂≡(d₂₂+c₂)modp

B₁₂＝(b₂₁，b₂₂)；

最后将B₁₁、B₁₂及大素数p、安全单向函数f都加密到一个文件中，称为“userInfo”，并将“userInfo”传回给用户U₁。

如图5所示，用户U₂向认证服务器(CA)进行注册。这个过程和用户U₁注册过程一样。只是现在认证服务器(CA)已经使用ID₁这个ID，必须重新选择其它ID赋给用户U₂。

如图6所示，认证服务器(CA)在用户U₂进行注册时所进行的运算过程。这个过程与图4运算过程一致，只是此时用户U₂使用的ID是ID₂。

如图7所示，认证服务器(CA)在用户U₁、用户U₂注册后运算结果2维示意图。其中2维圆UC₁是用户U₁利用自身提供口令信息A₁₀和认证服务器(CA)秘密向量S₁、S₂(利用ID₁进行运算得到A₁₁、A₁₂)构造的，B₁₁、B₁₂是认证服务器(CA)选择的另外两个不同的点，存入加密文件“userInfo”中，由用户1自身保管；2维圆UC₂是用户U₂利用自身提供口令信息A₂₀和认证服务器(CA)秘密向量S₁、S₂(利用ID₂进行运算得到A₂₁、A₂₂)构造的，B₂₁、B₂₂是认证服务器(CA)选择的另外两个不同的点作为用户U₂的身份标志。由于用户U₁、用户U₂的ID不同，认证服务器(CA)构造出来的2维圆也不可能相同，由此可以增加整个身份认证***的安全性。

图8是用户U₁向认证服务器(CA)请求身份认证的过程示意图。其中用户U₁先进行计算，利用自身口令和加密文件“userInfo”含有的身份标识重新构造2维圆，再将信息B₁₁、M₁、时间戳t和自身ID₁发送给认证服务器(CA)。认证服务器(CA)首先检查时间戳t是否在可接受范围内，如果超出时间限定就认为身份验证失败，如t有效则认证服务器(CA)利用B₁₁和自身秘密向量也重新构造球面，并检查M₁是否正确，由此确定身份验证是否成功。

如图9所示，用户U₁向认证服务器(CA)请求身份认证用户自身运算的过程示意图。用户U₁利用自身口令PW₁计算A₁₀，记A₁₀＝(f(PW₁)，f(2*PW₁))＝(a₀₁，a₀₂)和“userInfo”中的B₁(b₁₁，b₁₂)，B₁₂(b₂₁，b₂₂)三个点组成2维圆的方程组，并代入相应参数得：

$\left.\begin{array}{c}{(a_{01}-c_1)}^2+{(a_{02}-c_2)}^2\≡R^2\mathrm{mod}p\\ {(b_{11}-c_1)}^2+{(b_{12}-c_2)}^2\≡R^2\mathrm{mod}p\\ {(b_{21}-c_1)}^2+{(b_{22}-c_2)}^2\≡R^2\mathrm{mod}p\end{array}\right\}$

通过后式减前式可得：

$2(b_{11}-a_{01})c_1+2(b_{12}-a_{02})\≡(\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{b}_{1v}^2-\underset{j=1}{\overset{2}{\mathrm{\Σ}}}{a}_{0v}^2)\mathrm{mod}p$

$2(b_{21}-b_{11})c_1+2(b_{22}-b_{12})c_2\≡(\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{b}_{2v}^2-\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{b}_{1v}^2)\mathrm{mod}p$

通过求解这个二元一次方程组，可以求出中心C(c₁，c₂)，进而求出半径平方R²。用户U₁再选择一个时间戳t，并计算W₁，其中W₁(w₁，w₂)＝(f(c₁*t)，f(c₂*t))。然后用户过W₁、C作一条直线L，具体过程如下：

$\left\{\begin{array}{c}{y}_1\≡(w_1+(c_1-w_1)\×k)\mathrm{mod}p\\ y_2\≡(w_2+(c_2-w_2)\×k)\mathrm{mod}p\end{array}\right.$

其中k是自变量，y₁、y₂是因变量，并在直线L上选择其中区别于C、W₁的一点记为M₁(m₁，m₂)。最后用户将Meg＝{t，ID₁，B₁₁，M₁}作为认证信息发送给认证服务器(CA)，接受认证服务器(CA)的验证，并等待验证结果。

如图10所示，用户1向认证服务器请求身份认证时认证服务器(CA)自身运算的过程示意图。认证服务器(CA)首先检查用户发送认证信息的时间戳t，如果超时则验证失败，否则继续往下验证。认证服务器(CA)利用自身秘密向量S₁、S₂和ID₁运算得到A₁₁、A₁₂：

A₁₁(a₁₁，a₁₂)＝(f(s₁₁*ID₁)，f(s₁₂*ID₁))

A₁₂(a₂₁，a₂₂)＝(f(s₂₁*ID₁)，f(s₂₂*ID₁))

再加上用户发来的B₁₁，这三个点又可以组成一个2维圆方程组，并将参数代入其中

$\left.\begin{array}{c}{(a_{11}-c_1)}^2+{(a_{12}-c_2)}^2\≡R^2\mathrm{mod}p\\ {(a_{21}-c_1)}^2+{(a_{22}-c_2)}^2\≡R^2\mathrm{mod}p\\ {(b_{11}-c_1)}^2+{(b_{12}-c_2)}^2\≡R^2\mathrm{mod}p\end{array}\right\}$

通过后式减前式可以得到一个二元一次方程组

$2(a_{21}-a_{11})c_1+2(a_{22}-a_{12})c_2\≡(\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{a}_{2v}^2-\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{a}_{1v}^2)\mathrm{mod}p$

$2(b_{11}-a_{21})c_1+2(b_{12}-a_{22})c_2\≡(\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{b}_{1v}^2-\underset{v=1}{\overset{2}{\mathrm{\Σ}}}{a}_{2v}^2)\mathrm{mod}p$

通过求解这个二元一次方程组可以求出中心C(c₁，c₂)，进而求出半径平方R²。认证服务器(CA)再求出W₁，W₁(w₁，w₂)＝(f(c₁*t)，f(c₂*t))，其中t为用户认证信息中的时间戳，然后过C、W₁作一条直线L，并验证用户U₁发来的M₁点是否在直线上，验证方法如下：

$\left\{\begin{array}{c}{k}_1\≡((m_1-w_1)\×{(c_1-w_1)}^{-1})\mathrm{mod}p\\ k_2\≡((m_2-w_2)\×{(c_2-w_2)}^{-1})\mathrm{mod}p\end{array}\right.$

如果K₁等于K₂，则M₁在直线L上，从而身份验证成功；如果K₁不等于K₂，则M₁不在直线L上，从而身份验证失败。

如图11所示，用户1向认证服务器请求身份认证运算结果二维示意图。用户U₁利用自身信息构造2维圆，求出过中心C和W₁的直线，并在该直线上任意选择一个点M₁。如果认证服务器(CA)利用相应的信息也可以构造同一个2维圆，并利用用户U₁提供的正确信息就可以验证M₁与球面中心C和W₁过同一直线L，由此可以判定用户U₁的身份。同时由于W₁是随时间而改变，所以在t’时间，用户将会构造另外一条直线L’，即用户每次身份验证过程中构造的直线都会不相同，这样就更能提高***安全性。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受所述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (3)

1.一种基于N维球面的身份认证方法，包括以下步骤：

(1)认证服务器初始化：认证服务器选择有限域GF(p)和安全单向函数f，同时选择若干秘密向量；其中GF(p)确定了群组运算所在的有限域，即所有的群组运算过程都在有限域GF(p)中进行，p是一个大素数；

(2)用户注册：用户根据自身选定的口令PW_g通过安全单向函数f计算出一个向量提交给认证服务器，认证服务器检查用户身份，为用户指定一个ID_g作为用户身份的标识，各用户身份的标识是各不相同的；认证服务器结合自身的秘密向量和用户提交的向量唯一确定一个N维球面，如果不能构造这样的N维球面，则认证服务器重新选择该用户身份的标识ID_g再进行计算；最后认证服务器通过安全信道将在这个N维球面随机选择的若干不相同的点，与用户身份的标识ID_g、大素数p和安全单向函数f组成的加密文件传递给用户；

(3)用户生成认证信息：当用户需要认证服务器识别其身份时利用认证服务器传回的加密文件，并结合自身选定的口令PW_g，重新构造一个N维球面，同时选择这个N维球面上的几何特征作为认证信息传递给认证服务器进行验证；

(4)认证服务器验证用户认证信息：认证服务器接受用户的认证信息同时利用自身的秘密向量重新构造一个N维球面，并计算用户约定使用的N维球面上的几何特征，最后将计算结果和用户提交的认证信息进行比较，如果相同则接受用户身份，否则拒绝用户身份；

所述步骤(1)中的选择若干秘密向量是指认证服务器秘密选定N个线性无关的N维向量：(S₁₁、S₁₂、...、S_1N)，......，(S_N1、S_N2、...、S_NN)，其中S_kl在有限域GF(p)中随机选择，k＝1、...、N，l＝1、...、N；认证服务器公开N值，但是这N个N维向量只能由认证服务器秘密保存，且一旦选定就不再改变；

所述步骤(2)用户注册，具体包括以下步骤：

(2.1)用户U_g选定一个口令PW_g，其中U_g是下标为g的用户，PW_g是下标为g的用户U_g所选定的口令，该口令由字母和数字组成，因字符串能转换为数字，以下所述的PW_g是指转换以后的整数，下面各个步骤所有计算均在有限域GF(p)中进行；

用户计算向量A_g0＝(f(PW_g)，f(2×PW_g)，...，f(N×PW_g))并传递给认证服务器；

(2.2)认证服务器为该用户指定一个唯一的ID_g，并计算N维球面方程：

(a)认证服务器根据自身秘密保存的N个N维向量，计算N个向量：

$\left.\begin{array}{c}{A}_{g1}=(f({\mathrm{ID}}_g\×S_{11}),f({\mathrm{ID}}_g\×S_{12}),...,f({\mathrm{ID}}_g\×S_{1N}))\\ ....\\ A_{\mathrm{gN}}=(f({\mathrm{ID}}_g\×S_{N1}),f({\mathrm{ID}}_g\×S_{N2}),...,f({\mathrm{ID}}_g\×S_{\mathrm{NN}}))\end{array}\right\}$

(b)把A_gi的坐标记为(a_i1，a_i2，...，a_iN)，其中i＝1、2、...、N，再加上用户传递的A_g0，A_g0坐标记为(a₀₁，a₀₂，...，a_0N)，利用N+1个向量A_g0、A_g1、...、A_gN构造N维球面方程，代入球面方程：

(x₁-c₁)²+(x₂-c₂)²+...+(x_N-c_N)²＝R²

其中(c₁，c₂，...，c_N)为N维球面的中心，R为该N维球面的半径，(x₁，x₂，...，x_N)是球面上任意点；

得：

$\left.\begin{array}{c}{(a_{01}-c_1)}^2+{(a_{02}-c_2)}^2+...+{(a_{0N}-c_N)}^2\≡R^2\mathrm{mod}p\\ {(a_{11}-c_1)}^2+{(a_{12}-c_2)}^2+...+{(a_{1N}-c_N)}^2\≡R^2\mathrm{mod}p\\ ............\\ {(a_{N1}-c_1)}^2+{(a_{N2}-c_2)}^2+...+{(a_{\mathrm{NN}}-c_N)}^2\≡R^2\mathrm{mod}p\end{array}\right\}$

然后分别将它们前一式减后一式，得到关于c₁、c₂、...、c_N的线性方程组：

$\left.\begin{array}{c}2(a_{11}-a_{01})c_1+...+2(a_{1N}-a_{0N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{1j}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{0j}^2)\mathrm{mod}p\\ ............\\ 2(a_{N1}-a_{(N-1)1})c_1+...+2(a_{\mathrm{NN}}-a_{(N-1)N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{\mathrm{Nj}}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{(N-1)j}^2)\mathrm{mod}p\end{array}\right\}$

如果在计算过程中，方程组的系数矩阵行列式为零，则重新选择ID_g进行计算，这样保证方程组唯一确定该球面的中心C(c₁，c₂，...，c_N)；继而得到R²；然后就根据c₁、c₂、...、c_N和R²确定球面方程，确定的球面方程就是下标为g的用户和认证服务器共享的秘密球面UC_g，设该方程为：

(x₁-c₁)²+(x₂-c₂)²+...+(x_N-c_N)²≡R² mod p

(2.3)认证服务器随机选择秘密球面UC_g上除A_g0、A_g1、...、A_gN以外的N个点B_gi，B_gi中的i＝1、2、...、N，B_gi＝(b_i1，b_i2，...，b_iN)；B_gi的每个坐标分量均在有限域GF(p)内找，B_gi的每个坐标具体求解如下：

(a)找到N-2个数对即二次剩余对(e_iq，d_iq)，使得e_iq≡d_iq ² mod p，其中q＝1、...、N-2，e_iq、d_iq是有限域GF(p)中满足e_iq≡d_iq ² mod p条件的任意两个整数，并且满足

b_i1≡(d_i1+c₁)mod p

b_i2≡(d_i2+c₂)mod p

......

b_i(N-2)≡(d_i(N-2)+c_N-2)mod p

(b)再选择两对二次剩余对(e_iz，d_iz)，使得e_iz≡d_iz ² mod p，其中z＝N-1、N，e_iz、d_iz是有限域GF(p)中满足e_iz≡d_iz ² mod p条件的任意两个整数，并且满足

$e_{i(N-1)}+e_{\mathrm{iN}}\≡(R^2-\underset{y=1}{\overset{N-2}{\mathrm{\Σ}}}{e}_{\mathrm{iy}})\mathrm{mod}p$

令

b_i(N-1)≡(d_i(N-1)+c_N-1)mod p

b_iN≡(d_iN+c_N)mod p

上述步骤(a)和步骤(b)是N≥3时适用的情况，当N＝2时则直接使用步骤(b)；

重复N次计算，得到N个B_gi点，每次计算后验证一下，确保得到的N个点是互不相同的；

(2.4)认证服务器把p、f、ID_g和B_g1、B_g2、...、B_gN以加密的形式保存在文件中并发送给用户，加密算法是使用现有的安全加密算法，用户保存加密后的文件，用户输入PIN码解密文件并得到所需信息，我们称该加密文件为“userInfo”；

所述步骤(3)用户生成认证信息，具体包括以下步骤：

(3.1)下标为g的用户U_g输入PIN码解密认证服务器传递的含有注册成功信息的加密文件“userInfo”，得到p、f、ID_g以及B_g1、B_g2、...、B_gN；

(3.2)用户在客户端输入自身口令PW_g，计算出B_g0＝(f(PW_g)，f(2×PW_g)，...，f(N×PW_g))，A_g0＝B_g0；

(3.3)用户根据B_g0加上文件“userInfo”中存储的N点B_g1、B_g2、...、B_gN，一共N+1个点，利用这N+1个向量构造N维球面方程，重构出原来的秘密球面UC_g；即将B_g0和B_g1、B_g2、...、B_gN代入N维球面方程，得方程组：

$\left.\begin{array}{c}{(b_{01}-c_1)}^2+{(b_{02}-c_2)}^2+...+{(b_{0N}-c_N)}^2\≡R^2\mathrm{mod}p\\ {(b_{11}-c_1)}^2+{(b_{12}-c_2)}^2+...+{(b_{1N}-c_N)}^2\≡R^2\mathrm{mod}p\\ ............\\ {(b_{N1}-c_1)}^2+{(b_{N2}-c_2)}^2+...+{(b_{\mathrm{NN}}-c_N)}^2\≡R^2\mathrm{mod}p\end{array}\right\}$

分别将它们前一式减后一式，得到关于c₁、c₂、...、c_N的线性方程组：

$\left.\begin{array}{c}2(b_{11}-b_{01})c_1+...+2(b_{1N}-b_{0N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{b}_{1j}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{b}_{0j}^2)\mathrm{mod}p\\ ............\\ 2(b_{N1}-b_{(N-1)1})c_1+...+2(b_{\mathrm{NN}}-b_{(N-1)N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{b}_{\mathrm{Nj}}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{b}_{(N-1)j}^2)\mathrm{mod}p\end{array}\right\}$

于是求解线性方程组即得中心坐标C(c₁，c₂，...，c_N)；

(3.4)用户计算w₁＝f(c₁×t)，w₂＝f(c₂×t)，...，W_N＝f(c_N×t)，其中t为时间戳，令W_g＝(w₁，w₂，...，w_N)；

(3.5)过W_g和C做直线L，在极少见的情况下，如果W_g和C相同，重新选择时间戳t，再计算W_g；直线L的参数方程如下：

$\left\{\begin{array}{c}{y}_1\≡(w_1+(c_1-w_1)\×k)\mathrm{mod}p\\ y_2\≡(w_2+(c_2-w_2)\×k)\mathrm{mod}p\\ ............\\ y_N\≡(w_N+(c_N-w_N)\×k)\mathrm{mod}p\end{array}\right.$

其中k为自变量参数，y₁、...、y_N为因变量；

取L上除W_g和C之外的任意一点M_g(m₁，...，m_N)，即k取除0和1外的有限域GF(p)中的任意数时对应的(y₁，...，y_N)值；

(3.6)用户将认证消息Meg＝{t，ID_g，B_g1，M_g}发送给认证服务器，其中，t为时间戳，ID_g是代表下标为g的用户身份的标识，B_g1是存储在文件“userInfo”中的在N维球面UC_g上的一个点，M_g是生成的直线L上除W_g和C之外的任意一点，同一个用户每次生成的认证消息中，t和M_g分别相对于之前生成的认证消息中的t和M_g是不同的，ID_g和B_g1分别相对于之前生成的认证消息中的ID_g和B_g1总是相同的；

所述步骤(4)认证服务器验证用户认证信息，具体包括以下步骤：

(4.1)认证服务器收到用户U_g的认证消息Meg，先检查时间戳是否有效，无效则认证失败，有效则进入下一步；

(4.2)认证服务器根据ID_g及自身秘密向量集计算向量

A_gi＝(f(ID_g×S_i1)，f(ID_g×S_i2)，...，f(ID_g×S_iN))

把A_gi的坐标记为(a_i1，a_i2，...，a_iN)，其中i＝1、2、...、N，这样N个向量再加上认证消息中的点B_g1，一共N+1个向量，于是认证服务器能够重构与用户共享的球面UC_g，利用这N+1个向量构造N维球面方程，即将B_g1、A_g1、A_g2、...、A_gN代入N维球面方程：

$\left.\begin{array}{c}{(b_{11}-c_1)}^2+{(b_{12}-c_2)}^2+...+{(b_{1N}-c_N)}^2\≡R^2\mathrm{mod}p\\ {(a_{11}-c_1)}^2+{(a_{12}-c_2)}^2+...+{(a_{1N}-c_N)}^2\≡R^2\mathrm{mod}p\\ ............\\ {(a_{N1}-c_1)}^2+{(a_{N2}-c_2)}^2+...+{(a_{\mathrm{NN}}-c_N)}^2\≡R^2\mathrm{mod}p\end{array}\right\}$

分别将它们的前一式减后一式，得到关于c₁、c₂、...、c_N的线性方程组：

$\left.\begin{array}{c}2(a_{11}-b_{11})c_1+...+2(a_{1N}-b_{1N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{1j}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{1j}^2)\mathrm{mod}p\\ ............\\ 2(a_{N1}-a_{(N-1)1})c_1+...+2(a_{\mathrm{NN}}-a_{(N-1)N})c_N\≡(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{\mathrm{Nj}}^2-\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{a}_{(N-1)j}^2)\mathrm{mod}p\end{array}\right\}$

于是求解线性方程组的中心坐标C(c₁，c₂，...，c_N)；

(4.3)认证服务器计算W_g＝(f(c₁×t)，f(c₂×t)，...，f(c_N×t))，重构过点W_g及中心C的直线L：

$\left\{\begin{array}{c}{y}_1\≡(w_1+(c_1-w_1)\×k)\mathrm{mod}p\\ y_2\≡(w_2+(c_2-w_2)\×k)\mathrm{mod}p\\ ............\\ y_N\≡(w_N+(c_N-w_N)\×k)\mathrm{mod}p\end{array}\right.;$

(4.4)认证服务器验证点M_g(m₁，...，m_N)是否在直线L上，若是则通过认证，否则认证失败，验证的过程如下：

把m₁、...、m_N分别代入直线方程的每一个子式进行计算，得到：

$\left\{\begin{array}{c}{m}_1\≡(w_1+(c_1-w_1)\×k_1)\mathrm{mod}p\\ m_2\≡(w_2+(c_2-w_2)\×k_2)\mathrm{mod}p\\ ............\\ m_N\≡(w_N+(c_N-w_N)\×k_N)\mathrm{mod}p\end{array}\right.$

则有：

$\left\{\begin{array}{c}{k}_1\≡(m_1-w_1)\×{(c_1-w_1)}^{-1}\mathrm{mod}p\\ k_2\≡(m_2-w_2)\×{(c_2-w_2)}^{-1}\mathrm{mod}p\\ ............\\ k_N=(m_N-w_N)\×{(c_N-w_N)}^{-1}\mathrm{mod}p\end{array}\right.$

若k₁＝k₂＝...＝k_N，则说明点M_g在直线L上，认证服务器接受用户身份；否则点M_g不在直线L上，用户身份验证失败。

2.根据权利要求1所述的一种基于N维球面的身份认证方法，其特征在于：所述步骤(1)认证服务器初始化，具体包括以下步骤：

认证服务器选择安全单向函数f，某个大素数p，认证服务器选定f和p后将其公开。

3.根据权利要求2所述的一种基于N维球面的身份认证方法，其特征在于：所述大素数满足p＝8n+3，n为某一正整数。

Images