CN103905437A - 一种基于口令的远程认证协议方法 - Google Patents

Abstract

本发明涉及一种基于口令的远程认证协议方法，其特征在于：基于椭圆曲线密码算法实现，包括如下步骤：步骤1：在***初始化子协议中，用户同服务器协商好以后认证需要使用的椭圆曲线密码***参数；步骤2：新用户U_A通过用户注册子协议进行注册，选择身份标识和用户口令PW_A；步骤3：用户U_A希望登陆***并进行会话密钥协商时，首先输入自己的身份标识ID_A和用户口令PW_A；然后通过身份认证和密钥协商子协议，与服务器进行双向认证并且协商在以后通信中使用的密钥SK。

Description

一种基于口令的远程认证协议方法

技术领域

本发明涉及一种基于口令的远程认证协议方法。

背景技术

在网络应用中，身份认证对于保障网络资源的安全性起着重要作用，因此寻找简单有效、实用方便、费用低廉的认证协议是当前研究的重点内容。基于口令的身份认证协议由于数据运算简单、部署成本低廉、安全可靠而成为近年来研究的热点。然而，基于口令的身份认证协议仍然存在着安全隐患。因为用户习惯上选择使用简单容易自己记忆的字符串作为口令，例如自己姓名字母的缩写、生日数字的组合，身份证号码的组合以及邮箱电话号码等，这将直接导致这种方式的身份认证协议容易遭到典型的字典攻击，这其中就包括包括离线口令猜测攻击和在线口令猜测攻击等。根据调查显示，在使用英语的国家当中，有25%的用户使用的口令是英文单词，Morris Thompson发现穷举搜索一部字典，可以在短短的5分钟之内发现超过1/3的口令；1999年，中科院信息安全中心的Samsa进行了一项研究，他根据中国人姓氏和人名中经常出现的汉字，设计了一部专用的字典，用它穷举搜索，发现了某服务器中保存的将近1/2的用户口令。事实表明，口令认证协议很容易遭受口令猜测攻击（password guessing attack)。

尽管基于口令的认证存在着如上所述的安全隐患，但这并不能阻止人们对它的青睐，由于其相对于生物特征认证，口令认证机制拥有更小的数据量，更快的响应速度等优点，而且实现起来更容易，多数用户能够接受，因而口令认证机制目前仍然是***网络等各种需要认证的***中主要采取的认证方式。

发明内容

本发明目的在于提供一种基于口令的远程认证协议方法，能够实现双向认证，有效提高安全性。

实现本发明目的技术方案：

一种基于口令的远程认证协议方法，其特征在于：基于椭圆曲线密码算法实现，包括如下步骤：

步骤1：在***初始化子协议中，用户同服务器协商好以后认证需要使用的椭圆曲线密码***参数；

步骤2：新用户U_A通过用户注册子协议进行注册，选择身份标识和用户口令PW_A；

步骤3：用户U_A希望登陆***并进行会话密钥协商时，首先输入自己的身份标识ID_A和用户口令PW_A；，然后通过身份认证和密钥协商子协议，与服务器进行双向认证并且协商在以后通信中使用的密钥SK。

步骤2中，服务器S收到新用户U_A注册提交的身份标识ID_A和用户口令PW_A；后，进行计算W_A=h(ID_A||d_S)⊕PW_A,然后把数据(ID_A,W_A)保存在服务器的认证数据库中，前述式中，d_S表示服务器的私钥，h表示单向哈希函数。

步骤3中，具体包括以下步骤，

步骤3.1：用户U_A首先输入自己的身份标识ID_A和用户口令PW_A；用户自由选择一个随机数r₁,r₁∈Z^* _n，Z^* _n表示整数模n的剩余类，然后进行运算R₁=r₁·P，P表示群G的生成元，把消息<ID_A,R₁>发送给服务器S；

步骤3.2：服务器S接收到上一步来自用户U_A的消息<ID_A,R₁>后，根据自己的认证数据库中存储的数据对用户ID_A进行合法性检验；如果在数据库中未找到该ID_A，则服务器S终止协议的进程；否则，服务器S进行如下运算，

选择随机数r₂,r₂∈Z^* _n，计算R₂=r₂·P，K_S=r₂·R₁，R₃=d_S·R₁，h₁=h(S||ID_A||R₁||R₂||R₃||K_S)，式中S表示服务器的身份标识，最后由服务器S把消息<R₂,h₁>发送到用户U_A；

步骤3.3：当用户U_A接收到来上一步来自服务器S的消息<R₂,h₁>后，进行运算K_U=r₁·R₂=r₁·r₂·P，以及计算h₁ ^*=h(S||ID_A||R₁||R₂||r₁·P_S||K_U)，验证h₁ ^*与收到来自服务器的h₁是否保持一致，如果不一致，则用户U_A终止进行协议进程；否则，用户U_A计算h₂=h(ID_A||S||r₁·P_S||K_U||PW_A)，然后将h₂发送给服务器S，并且用户U_A计算一个密钥SK=h(ID_A||S||R₁||R₂||r₁·P_S||K_U||PW_A)；

步骤3.4：服务器S从本地认证数据库中提取步骤2中计算获得的W_A，并进行计算W_A⊕h(ID_A||d_S)得到服务器端计算得到的PW_A ^*，然后计算h(ID_A||S||R₃||K_S||PW_A ^*)，得到的计算结果与上一步中收到的h₂进行对比验证，看是否保持一致，如果不一致，则用户U_A对服务器的认证请求失败，终止协议；否则，服务器S认可用户U_A的合法身份，并且服务器S计算一个密钥SK=h(ID_A||S||R₁||R₂||R₃||K_S||PW_A ^*)。

用户U_A可进行口令修改，包括以下步骤，

步骤4.1：用户U_A和服务器S首先执行密钥SK；

步骤4.2：假如上一步成功，则用户U_A通过客户端输入新的口令PW_Anew；

步骤4.3：用户U_A通过客户端计算PWD=h(K_U||SK)⊕PW_Anew和

W=h(K_U||SK||PW_Anew)，并把消息<PWD,W>发送至服务器S；

步骤4.4：当服务器S收到来自于用户U_A的请求修改口令的消息<PWD,W>后，首先进行如下式子的计算，

PW_Anew ^*=PWD⊕h(K_S||PW_Anew)，

然后对比验证W是否等于h(K_S||SK||PW_Anew ^*)，假如不相等，服务器需要计算h₃=h(SK||K_S||“Refused”)并将消息<“Refused”,h₃>发送给用户，拒绝更改口令；如果两者相等，则进行计算h₄=h(SK||K_S||“Accepted”)，并将消息<“Accepted”,h₄>发送给用户，允许其变更口令；最后服务器将计算新的W_A ^*来替换原来的W_A并保存到认证数据库，其中W_A ^*的计算式为W_A ^*=h(ID_A||d_S)⊕PW_Anew ^*；

步骤4.5：如果用户U_A收到消息<“Refused”,h₃>，并且经验证h₃等于h(SK||K_U||“Refused”)，则可以确定是服务器S发送的消息拒绝更改口令；而如果收到消息<“Accepted”,h₄>，并且经过验证h₄等于h(SK||K_U||“Accepted”)，则用户U_A可以确定是服务器S发送的消息接收了变更口令请求。

本发明具有的有益效果：

本发明可以抵抗重放攻击。本发明是一种三消息挑战-响应模式的认证协议，只有合法用户才能正确的应答挑战信息R₂，同时也只有合法的服务器才能正确的响应新鲜值R₁，所以本发明能够有效的抵御重放攻击。

本发明可以抵抗离线口令猜测攻击。本发明能够有效地抵抗离线口令猜测攻击，假设以下两种情形：

1）假设攻击者捕获了W_A，但是由于其无法或者服务器的私钥d_S，所以无法进行离线口令猜测攻击；

2）攻击者不能够从h₂发动离线口令猜测攻击，这是因为假如攻击者要计算h₂，则必须同时计算出K_U或者K_S，而计算K_U或者K_S则需要根据R₁，R₂来计算，这又归结为椭圆曲线计算Diffie-Hellman问题。

本发明能够抵抗身份冒充攻击。攻击者在不知道PW的情况下，是不能构造出正确的第3条回应消息的，所以攻击者就无法冒充用户身份。同时，攻击者也无法正确的通过计算得出d_S·R₁和回应消息，因为如果要构造该值，则需要知道r₁或者d_S，而假如通过R₁来计算得到r₁或者通过P_S计算得到d_S都将面临椭圆曲线离散对数难题。

本发明能够提供双向认证。从上面的认证和密钥协商过程可以清楚的看到，本协议提供了双向认证。第2条响应消息只有拥有合法身份的服务器才能构造出来；而第3条响应消息只有除了服务器之外的合法用户才能构造出来。所以该认证协议提供了双向认证。

本发明能够提供前向安全性。本发明是基于椭圆曲线Diffie-Hellman机制，攻击者如果强行从R₁和R₂来计算SK将面临椭圆曲线离散对数难题，从而提供了前向安全性。

附图说明

图1为用户注册流程图；

图2为认证和密钥协商流程图；

图3为口令修改流程图。

具体实施方式

本发明基于椭圆曲线密码算法实现，在***初始化子协议中，用户同服务器协商好以后认证需要使用的椭圆曲线密码***参数；

（一）用户注册子协议：

在注册初始时，由用户U_A自己选择身份标识和用户口令PW_A，然后通过安全方式提交给服务器S；

服务器S收到新用户U_A注册提交的身份标识ID_A和用户口令PW_A；后，进行计算W_A=h(ID_A||d_S)⊕PW_A,然后把数据(ID_A,W_A)保存在服务器的认证数据库中，前述式中，d_S表示服务器的私钥，h表示单向哈希函数。

（二）认证和密钥协商子协议：

1)用户U_A首先输入自己的身份标识ID_A和用户口令PW_A；用户自由选择一个随机数r₁,r₁∈Z^* _n，Z^* _n表示整数模n的剩余类，然后进行运算R₁=r₁·P，P表示群G的生成元，把消息<ID_A,R₁>发送给服务器S；

2)服务器S接收到上一步来自用户U_A的消息<ID_A,R₁>后，根据自己的认证数据库中存储的数据对用户ID_A进行合法性检验；如果在数据库中未找到该ID_A，则服务器S终止协议的进程；否则，服务器S进行如下运算，

选择随机数r₂,r₂∈Z^* _n，计算R₂=r₂·P，K_S=r₂·R₁，R₃=d_S·R₁，h₁=h(S||ID_A||R₁||R₂||R₃||K_S)，式中S表示服务器的身份标识，最后由服务器S把消息<R₂,h₁>发送到用户U_A；

3)当用户U_A接收到来上一步来自服务器S的消息<R₂,h₁>后，进行运算K_U=r₁·R₂=r₁·r₂·P，以及计算h₁ ^*=h(S||ID_A||R₁||R₂||r₁·P_S||K_U)，验证h₁ ^*与收到来自服务器的h₁是否保持一致，如果不一致，则用户U_A终止进行协议进程；如果一致，那么服务器是合法的，通过用户的认证。在这里的依据是，只有合法的服务器才能给出正确的R₃，接下来用户U_A计算h₂=h(ID_A||S||r₁·P_S||K_U||PW_A)，然后将h₂发送给服务器S，并且用户U_A计算一个密钥SK=h(ID_A||S||R₁||R₂||r₁·P_S||K_U||PW_A)；

4)服务器S从本地认证数据库中提取步骤2中计算获得的W_A，并进行计算W_A⊕h(ID_A||d_S)得到服务器端计算得到的PW_A ^*，然后计算h(ID_A||S||R₃||K_S||PW_A ^*)，得到的计算结果与上一步中收到的h₂进行对比验证，看是否保持一致，如果不一致，则用户U_A对服务器的认证请求失败，终止协议；否则，服务器S认可用户U_A的合法身份，并且服务器S计算一个密钥SK=h(ID_A||S||R₁||R₂||R₃||K_S||PW_A ^*)。

通过以上步骤，用户和服务器之间完成了认证，这种认证是双向的，保证了用户和服务器双方的合法身份，并且协商好共同的密钥SK。

（三）口令修改子协议：

用户U_A可进行口令修改，包括以下步骤，

1）用户U_A和服务器S首先执行会话密钥SK；

2）假如上一步成功，则用户U_A通过客户端输入新的口令PW_Anew；

3）用户U_A通过客户端计算PWD=h(K_U||SK)⊕PW_Anew和

W=h(K_U||SK||PW_Anew)，并把消息<PWD,W>发送至服务器S；

4）当服务器S收到来自于用户U_A的请求修改口令的消息<PWD,W>后，首先进行如下式子的计算，

PW_Anew ^*=PWD⊕h(K_S||PW_Anew)，

然后对比验证W是否等于h(K_S||SK||PW_Anew ^*)，假如不相等，服务器需要计算h₃=h(SK||K_S||“Refused”)并将消息<“Refused”,h₃>发送给用户，拒绝更改口令；如果两者相等，则进行计算h₄=h(SK||K_S||“Accepted”)，并将消息<“Accepted”,h₄>发送给用户，允许其变更口令；最后服务器将计算新的W_A ^*来替换原来的W_A并保存到认证数据库，其中W_A ^*的计算式为W_A ^*=h(ID_A||d_S)⊕PW_Anew ^*；

5）如果用户U_A收到消息<“Refused”,h₃>，并且经验证h₃等于h(SK||K_U||“Refused”)，则可以确定是服务器S发送的消息拒绝更改口令；而如果收到消息<“Accepted”,h₄>，并且经过验证h₄等于h(SK||K_U||“Accepted”)，则用户U_A可以确定是服务器S发送的消息接收了变更口令请求。

Claims (4)

1.一种基于口令的远程认证协议方法，其特征在于：基于椭圆曲线密码算法实现，包括如下步骤：

步骤1：在***初始化子协议中，用户同服务器协商好以后认证需要使用的椭圆曲线密码***参数；

步骤2：新用户U_A通过用户注册子协议进行注册，选择身份标识和用户口令PW_A；

步骤3：用户U_A希望登陆***并进行会话密钥协商时，首先输入自己的身份标识ID_A和用户口令PW_A；，然后通过身份认证和密钥协商子协议，与服务器进行双向认证并且协商在以后通信中使用的密钥SK。

2.根据权利要求1所述的基于口令的远程认证协议方法，其特征在于：步骤2中，服务器S收到新用户U_A注册提交的身份标识ID_A和用户口令PW_A；后，进行计算W_A=h(ID_A||d_S)⊕PW_A,然后把数据(ID_A,W_A)保存在服务器的认证数据库中，前述式中，d_S表示服务器的私钥，h表示单向哈希函数。

3.根据权利要求2所述的基于口令的远程认证协议方法，其特征在于：步骤3中，具体包括以下步骤，

步骤3.1：用户U_A首先输入自己的身份标识ID_A和用户口令PW_A；用户自由选择一个随机数r₁,r₁∈Z^* _n，Z^* _n表示整数模n的剩余类，然后进行运算R₁=r₁·P，P表示群G的生成元，把消息<ID_A,R₁>发送给服务器S；

步骤3.2：服务器S接收到上一步来自用户U_A的消息<ID_A,R₁>后，根据自己的认证数据库中存储的数据对用户ID_A进行合法性检验；如果在数据库中未找到该ID_A，则服务器S终止协议的进程；否则，服务器S进行如下运算，

选择随机数r₂,r₂∈Z^* _n，计算R₂=r₂·P，K_S=r₂·R₁，R₃=d_S·R₁，h₁=h(S||ID_A||R₁||R₂||R₃||K_S)，式中S表示服务器的身份标识，最后由服务器S把消息<R₂,h₁>发送到用户U_A；

步骤3.3：当用户U_A接收到来上一步来自服务器S的消息<R₂,h₁>后，进行运算K_U=r₁·R₂=r₁·r₂·P，以及计算h₁ ^*=h(S||ID_A||R₁||R₂||r₁·P_S||K_U)，验证h₁ ^*与收到来自服务器的h₁是否保持一致，如果不一致，则用户U_A终止进行协议进程；否则，用户U_A计算h₂=h(ID_A||S||r₁·P_S||K_U||PW_A)，然后将h₂发送给服务器S，并且用户U_A计算一个密钥SK=h(ID_A||S||R₁||R₂||r₁·P_S||K_U||PW_A)；

步骤3.4：服务器S从本地认证数据库中提取步骤2中计算获得的W_A，并进行计算W_A⊕h(ID_A||d_S)得到服务器端计算得到的PW_A ^*，然后计算h(ID_A||S||R₃||K_S||PW_A ^*)，得到的计算结果与上一步中收到的h₂进行对比验证，看是否保持一致，如果不一致，则用户U_A对服务器的认证请求失败，终止协议；否则，服务器S认可用户U_A的合法身份，并且服务器S计算一个密钥SK=h(ID_A||S||R₁||R₂||R₃||K_S||PW_A ^*)。

4.根据权利要求3所述的基于口令的远程认证协议方法，其特征在于：用户U_A可进行口令修改，包括以下步骤，

步骤4.1：用户U_A和服务器S首先执行密钥SK；

步骤4.2：假如上一步成功，则用户U_A通过客户端输入新的口令PW_Anew；

步骤4.3：用户U_A通过客户端计算PWD=h(K_U||SK)⊕PW_Anew和

W=h(K_U||SK||PW_Anew)，并把消息<PWD,W>发送至服务器S；

步骤4.4：当服务器S收到来自于用户U_A的请求修改口令的消息<PWD,W>后，首先进行如下式子的计算，

PW_Anew ^*=PWD⊕h(K_S||PW_Anew)，

然后对比验证W是否等于h(K_S||SK||PW_Anew ^*)，假如不相等，服务器需要计算h₃=h(SK||K_S||“Refused”)并将消息<“Refused”,h₃>发送给用户，拒绝更改口令；如果两者相等，则进行计算h₄=h(SK||K_S||“Accepted”)，并将消息<“Accepted”,h₄>发送给用户，允许其变更口令；最后服务器将计算新的W_A ^*来替换原来的W_A并保存到认证数据库，其中W_A ^*的计算式为W_A ^*=h(ID_A||d_S)⊕PW_Anew ^*；

步骤4.5：如果用户U_A收到消息<“Refused”,h₃>，并且经验证h₃等于h(SK||K_U||“Refused”)，则可以确定是服务器S发送的消息拒绝更改口令；而如果收到消息<“Accepted”,h₄>，并且经过验证h₄等于h(SK||K_U||“Accepted”)，则用户U_A可以确定是服务器S发送的消息接收了变更口令请求。

Images