CN107294725A

CN107294725A - 一种多服务器环境下的三因素认证方法

Info

Publication number: CN107294725A
Application number: CN201610203569.7A
Authority: CN
Inventors: 方峻; 严润发; 裴蓓
Original assignee: University of Electronic Science and Technology of China; Third Research Institute of the Ministry of Public Security
Current assignee: University of Electronic Science and Technology of China; Third Research Institute of the Ministry of Public Security
Priority date: 2016-04-05
Filing date: 2016-04-05
Publication date: 2017-10-24

Abstract

本发明公开了一种多服务器环境下的三因素认证方法，属于多因素认证协议领域。采用基于切比雪夫混沌映射的公钥密码，实现了多服务器环境的三因素认证。本方法包括如下步骤：1：注册中心产生切比雪夫多项式参数；2：服务器或用户向注册中心提交注册信息，注册中心返回相应数据或智能卡；3：用户输入账号、口令、生物特征，计算登录参数发送给服务器，然后用户、服务器、注册中心经过相应的数据交换，实现认证与密钥协商，产生会话密钥。本方法基于多服务器环境，保证了用户一次注册就能在所有的服务器上得到服务，基于口令、智能卡、生物特征的三因素认证，保证了本方法的安全，能够抵抗所有提到的攻击，适用于安保，金融等对安全要求较高的场合。

Description

一种多服务器环境下的三因素认证方法

技术领域

本发明涉及一种面向多服务器环境的认证方法，特别涉及一种基于切比雪夫混沌映射与基于生物特征与口令的智能卡认证方法。

背景技术

基于智能卡与口令的认证方法，是分布式***中较为实用与有效的多因子认证机制。尽管这项技术已经被广泛的应用于生活中的一些领域，如银行***等。但目前所提出的认证方法，仍然在可用性、安全性等方面存在一些不足。例如，仅支持单服务器的环境、不能抵抗例如离线口令猜测攻击等常见的攻击手段等。

传统的认证方法只考虑了单服务器的环境，例如中国专利CN104702559A，CN10491809A所揭示的方法。如果用户需要多个服务器提供服务，就必须在多个服务器分别进行注册。对用户造成了许多的不便，例如需要记忆多个服务器的口令等。因此，多服务器环境下的认证方法被提出：用户只需要在注册中心进行一次注册，便可在所有的服务器得到服务。

在多服务器环境下，需要多个个体之间的相互通信。如果使用传统的对称密码体制，则会遭遇密钥协商、密钥管理的等难题。针对上述问题，可采取公钥加密进行认证方法的设计。切比雪夫混沌映射作为一种简单实用的高有效位数字计算算法，具有良好的密码学特性，通过使用基于切比雪夫混沌映射的公钥密码算法，可以有效的解决密钥协商、密钥管理等难题。

由于生物特征具有以下的优点：(1)不易丢失；(2)极难伪造；(3)不易复制；(4)不易猜测，因此，越来越多的基于智能卡的认证方法开始引入其作为认证的第二或者三因素，例如中国专利CN104767624A，通过引入生物特征，可以有效的抵抗口令猜测攻击与智能卡丢失攻击等常见攻击手段，以保证方法的安全。

但是目前，基于多服务器环境且综合了这三因素的方法还没有被提出。

发明内容

针对目前认证方法不支持多服务器环境、不能完整抵御服务器伪装攻击、离线口令猜测攻击、重放攻击的不足，本发明提供一种多服务器环境下的三因素认证方法。通过使用基于切比雪夫混沌映射的公钥加密，实现了多服务器环境下的认证与密钥协商。同时使用基于智能卡、口令、生物特征的三因素认证来保证认证方法的安全性能，具有双向认证，会话密钥前向安全的重要性质，并且能够抵御上述常见攻击。

本发明为实现上述的目的所采用的技术方案如下：

步骤1：***初始化阶段：***初始化时，注册中心产生基于切比雪夫混沌映射的公钥密码体制的公私钥对。

步骤2：注册阶段：本阶段分为服务器注册与用户注册两个阶段：

步骤2.1：服务器注册：在安全信道下，服务器向注册中心发出注册请求，并提交它的相关信息，注册中心收到请求后，生成服务器认证参数并发送给服务器，完成注册。

步骤2.2：用户注册：在安全信道下，用户向注册中心发出注册请求，并提交他的账号口令相关信息，注册中心收到请求后，计算用户认证参数并存入智能卡中，将智能卡发送给用户，用户输入生物特征并计算登录验证参数，用生物特征加密验证参数，存入智能卡，完成注册。这里的生物特征可以是任意类型的生物特征，例如指纹，虹膜等。

步骤3：登录与认证密钥协商阶段：本阶段分为以下三个阶段：

步骤3.1：用户将智能卡***读卡器中，输入生物特征、帐号、口令，使用生物特征解密登录验证信息，并验证账号与口令的正确性，验证通过后，智能卡生成随机数并使用其对用户认证参数、服务器信息进行加密计算出一系列登录参数，然后将其发送至欲登录的服务器。在这里，可以使用任意一个服务器的信息来计算登录参数，并进行登录程序。

步骤3.2：服务器收到用户的登录参数后，生成随机数，将自己的信息加密，与登陆参数、服务器认证参数发送给注册中心。注册中心收到后，使用私钥解密并验证登录参数与服务器认证参数，并验证登录参数中的服务器信息与服务器提供的信息是否相同，以对用户，服务器的合法性进行验证。验证通过则计算注册中心认证参数，发送至服务器。

步骤3.3：服务器收到注册中心认证参数后，验证合法性，通过随机数计算会话密钥与认证参数，并将认证验证参数发送给用户。用户收到后，验证合法性，通过随机数计算会话密钥，从而完成了多服务器环境下的登录、认证、密钥协商。面对不同的服务器只需修改登录参数中的服务器信息，即可以相同的方式进行登录、认证、密钥协商。

本发明的优点在于：

本发明实现了多服务器环境下的认证与密钥协商：经过注册后，用户可以在任意一个服务器通过步骤3进行登录、认证、密钥协商。

本发明引入了生物特征作为认证因素之一：只有生物特征、账号、口令同时正确，才能进行合法的登录。同时，由于生物特征不易猜测的特征，引入生物特征可以有效抵御离线口令猜测。

本发明抵御服务器伪装攻击：因为用户的登录参数中包含了欲登录服务器的相关信息，而服务器需要向注册中心提供服务器认证参数来证明自己的身份，而服务器认证参数只有注册中心才能生成，所以攻击者无法进行服务器伪装攻击，保证了多服务器环境的安全。

本发明抵御重放攻击：因为会话密钥是基于服务器与用户随机生成的，只有自己知道的一次性的密钥计算而来，即使进行重放得到相关参数，也无法从中得到会话密钥。

本发明实现了双向认证：在认证过程中，用户、服务器、注册中心都可以通过对方是否可以提供相关参数，或者对方是否能对自己提供的参数进行解密得到相关信息来验证对方的合法性。

本发明具有会话密钥的前向安全性，即使注册中心的私钥泄露，攻击者也不能计算出任何一个以往的会话密钥，同样因为会话密钥是基于服务器与用户随机生成的，只有自己知道的一次性的密钥计算而来，与注册中心私钥无关。

由于本发明可以抵御常见的攻击手段，并且具有双向认证，会话密钥的前向安全的重要安全性质，可以广泛应用于银行***，安保***等对安全要求严格的场合。

附图说明

图1是本发明多服务器环境下三因素认证方法的***初始化与登录阶段流程的一种实施方式。

图2是本发明多服务器环境下三因素认证方法的登录认证与密钥协商阶段流程的一种实施方式。

具体实施方式

下面将结合附图详细描述本发明的具体实施方式。

在步骤1中，***初始化时，注册中心生成大素数，随机数，与一个整数，然后计算，如图S1。其中作为切比雪夫公钥密码体制的公钥，作为私钥，为切比雪夫多项式。

在步骤2中，具体包含以下阶段：

服务器注册阶段：

S101：在安全信道下，编号为的服务器向注册中心发出注册请求，并提交它的，注册中心收到请求后，生成随机数，计算，将发送给服务器。

用户注册阶段：

S102：用户选择，，并生成一个随机数，计算，，在安全信道下，将发给注册中心。

S103：注册中心收到用户的注册请求后，生成随机数，计算验证参数，将其使用加密：，最终，将放入智能卡，将智能卡通过安全信道交给用户。

S104：用户得到智能卡后，输入其生物特征，计算，，并存入智能卡。最终智能卡中存储的数据为。

在步骤3中，具体包含以下阶段：

S201：用户输入，，，计算，并验证是否等于，验证通过后，计算，，使用解密：，计算，并生成随机数，计算加密参数，，并加密：。将发送给服务器。

S202：收到，生成随机数，计算加密参数：。计算，将发送给注册中

S203：注册中心收到，计算，，解密与：，，首先计算，然后计算，验证是否等于，验证通过后，注册中心计算验证数据，，将发送给服务器。

S204：服务器收到后，计算验证是否等于，验证通过后，计算，将发送给用户。

S205：用户收到，计算，然后计算，验证是否等于，验证通过后，使用会话密钥来进行通讯。

在上述认证方法与下图附图说明中涉及到的参数以及运算符号分别说明如下：

编号为的用户

编号为的服务器

编号为的服务器的ID

编号为的服务器的动态ID

用户的生物特征，用户名，密码

会话密钥

用户与服务器生成的一次性随机数

注册中心生成的随机数

注册中心的公钥

大素数

注册中心的私钥

单向哈希函数运算

切比雪夫多项式运算

异或运算

拼接字符串

安全信道

公共信道

是否相等

虽然以上描述了本发明的具体实施方式，但是本技术领域内的熟练技术人员应当理解，这些仅是举例说明，可以对这些实施方式做出多种的变更或者修改，而不背离其本发明的原理与实质。本发明的范围仅由所附权利要求书限定。

Claims

1.一种多服务器环境下的三因素认证方法，其特征在于，该方法包含以下步骤：

步骤1：注册中心初始化产生基于切比雪夫混沌映射的公私钥对；

步骤2：服务器通过安全信道向注册中心提交注册信息，注册中心计算认证数据并发送给服务器，用户通过安全信道向注册中心提交注册信息，注册中心经过数据处理后将信息存储在智能卡中，并通过安全信道将智能卡发送给用户；

步骤3：为了能够通过服务器的认证，用户需计算登录信息，然后将登录信息发送给服务器，用户、服务器、注册中心经过相应的数据交换，实现认证与密钥协商，并产生会话密钥。

2.根据权利要求1所述的多服务器环境下的三因素认证方法，其特征在于，步骤1所述的注册中心生成大素数，随机数，与一个整数，然后计算，其中作为切比雪夫公钥密码体制的公钥，作为私钥，为切比雪夫多项式。

3.根据权利要求1所述的多服务器环境下的三因素认证方法，其特征在于，步骤2中，具体包含以下步骤：

(1)服务器注册：在安全信道下，编号为的服务器向注册中心发出注册请求，并提交它的，注册中心收到请求后，生成随机数，计算，将发送给服务器；

(2)用户注册：

(a)用户选择，，并生成一个随机数，计算，，在安全信道下，将发给注册中心；

(b)注册中心收到用户的注册请求后，生成随机数，计算验证参数，将其使用加密：，最终，将放入智能卡，将智能卡通过安全信道交给用户；

(c)用户得到智能卡后，输入其生物特征，计算，，并存入智能卡。最终智能卡中存储的数据为。

4.根据权利要求1所述的多服务器环境下基于混沌映射的智能卡认证方法，其特征在于，步骤3中，具体包含以下步骤：

(1)用户输入，，，计算，并验证是否等于，验证通过后，计算，，使用解密：，计算，并生成随机数，计算加密参数，，并加密：。将发送给服务器；

(2)收到，生成随机数，计算加密参数：。计算，将发送给注册中心；

(3)注册中心收到，计算，，解密与：，，首先计算，然后计算，验证是否等于，验证通过后，注册中心计算验证数据，，将发送给服务器；

(4)服务器收到后，计算验证是否等于，验证通过后，计算，将发送给用户；

(5)用户收到，计算，然后计算，验证是否等于，验证通过后，使用会话密钥来进行通讯。