CN112689283B - 一种密钥保护和协商方法、***和存储介质 - Google Patents

Abstract

本发明涉及一种密钥保护和协商方法、***和存储介质，方法包括：密钥***生成密钥参数，用户终端向主服务器和辅助服务器注册，由双服务器合作与用户终端进行密钥协商认证，其中密钥协商认证包括用户终端向辅助服务器和主服务器发送携带口令和用户名的验证消息，辅助服务器对验证消息进行认证，认证通过时，通过蜜罐技术验证是否存在与验证消息对应的密钥索引，当验证通过时发送辅助服务器消息；主服务器接收并验证验证消息和辅助服务消息，验证均通过时向用户终端发送密钥协商请求，用户终端根据密钥协商请求与主服务器进行密钥协商；主服务器执行密钥协商，辅助服务器存储部分盲化数据，解决了用户终端丢失和认证服务器被攻击而造成的数据丢失。

Description

一种密钥保护和协商方法、***和存储介质

技术领域

本发明涉及网络安全领域，具体涉及一种密钥保护和协商方法、***和存储介质。

背景技术

随着无线网络的进入千家万户，用户终端的使用开始多种多样，不仅仅是局限于手持电话，笔记本，传感器，甚至我们的手表现在也是可用移动网络的小型“电脑”；目前全球移动联网设备的总数将会从2014年的69亿增加到95亿；面向用户终端的各种服务或业务等特别多，尤其是现在5G技术的发展更加推动了面向用户终端业务进一步发展；据统计目前达到95％服务与业务都可以通过用户终端完成。

由于大部分业务都通过用户终端完成，用户终端虽然给工作与的生活带来了极大的便利，但是却隐含着很严重的问题；几乎每一个用户终端存在都会有遭受恶意攻击的风险，导致用户终端数据泄露导致认证信息的泄露，用户终端安全问题令人堪忧。

在所有的用户终端恶意事件中，主要部分是攻击者是利用用户终端在无线通信过程中的安全漏洞，进行拦截、窃听、欺骗和入侵等恶意攻击，获取用户隐私数据和认证信息；具体来说，攻击类型分为三个方面。第一点是攻击者通过攻击用户终端或者用户粗心大意而造成的设备丢失获得数据，因而对数据安全造成极大的威胁；第二点，用户终端在传输过程中，也极有可能被攻击者盗取数据；第三点，用户终端和服务器相互认证，服务器也是极有可能被攻陷的；因此，一个安全方案用来保证移动用户的数据在整个通信过程的完整性、隐私性是非常重要的。

为了保证用户终端的数据信息和认证信息的安全，一系列的学者提出了各种各样用户终端和服务器的认证协议，但是这些协议都未涉及一个的安全问题：为了完成安全认证，用户终端需要保存一些重要认证相关的数据；然而，若用户终端的丢失那么攻击者就可以通过各种手段获得用户终端的这些重要数据，而造成重要数据的泄露，因为有了用户终端上的数据，攻击者就有更多方式实现安全攻击，假扮攻击、修改攻击、伪造攻击等，这影响的不只是丢失用户终端的用户，其它未丢失用户终端的用户也有可能受到影响。

发明内容

本发明所要解决的技术问题是提供一种密钥保护和协商方法、***和存储介质，由双服务器合作与用户终端进行认证，使得敌手无论获得其中任何一方设备的数据，都不无法获取有效的认证数据，解决了用户终端丢失、被攻击而造成的数据丢失；也避免了提供认证服务的服务器被攻陷而造成用户终端数据的泄露。

本发明解决上述技术问题的技术方案如下：一种密钥保护和协商方法，包括：

S1、密钥***生成密钥参数；

S2、用户终端根据所述密钥参数向主服务器和辅助服务器注册；

S3、所述辅助服务器和所述主服务器合作与所述用户终端进行密钥协商认证；

所述S3包括：

S31、用户终端向所述辅助服务器和主服务器发送携带口令和用户名的验证消息；

S32、所述辅助服务器对所述验证消息进行认证；

S33、认证通过时，所述辅助服务器通过蜜罐技术验证是否存在与所述验证消息对应的密钥索引，当所述验证通过时，发送辅助服务器消息；

S34、所述主服务器接收并验证所述验证消息和所述辅助服务消息，验证均通过时，向所述用户终端发送密钥协商请求；

S35、所述用户终端根据所述密钥协商请求与所述主服务器进行密钥协商。

本发明的有益效果是：密钥***生成密钥参数，用户终端向主服务器和辅助服务器注册，由双服务器合作与用户终端进行密钥协商认证，其中密钥协商包括用户终端向辅助服务器和主服务器发送携带口令和用户名的验证消息，辅助服务器对验证消息进行认证，认证通过时，通过蜜罐技术验证是否存在与验证消息对应的密钥索引，当验证通过时发送辅助服务器消息；主服务器接收并验证验证消息和辅助服务消息，验证均通过时向用户终端发送密钥协商请求，用户终端根据密钥协商请求与主服务器进行密钥协商；通过一个主服务器，一个辅助服务器，合作进行用户终端的验证；主服务器负责最终的密钥协商执行；辅助服务器存储部分盲化数据，主服务器存储少量数据；任何一方设备被攻陷或者丢失，关键信息都不会造成泄露，也不会正常的进行认证；解决了用户终端丢失、被攻击而造成的数据丢失；也避免了提供认证服务的服务器被攻陷而造成用户终端数据的泄露。

为了解决上述技术问题，本发明还提供一种密钥保护和协商***，所述密钥保护和协商包括密钥***、主服务器、辅助服务器和用户终端，以实现上述的密钥保护和协商方法的步骤。

为了解决上述技术问题，本发明还提供一种存储介质，其特征在于，所述存储介质包括存储有一个或者多个计算机程序，所述一个或者多个计算机程序可被一个或者多个处理器执行，以实现上述的密钥保护和协商方法的步骤。

附图说明

图1为本发明一实施例提供的一种密钥保护和协商方法的流程示意图；

图2为本发明一实施例提供的一种密钥保护和协商***框架图；

图3为本发明一实施例提供的一种辅助服务器和主服务器合作与用户终端进行密钥协商认证的流程示意图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

名词解释：

z：可信的大整数；

q：可信的大素数，满足q>2z；

G：可信q阶加法循环群；

P：G上的生成元；

P_pubi：***公钥；

x_i：服务器私钥；

h_i：哈希函数，其中i＝0，1,2,3，4；

E(a,b)：椭圆曲线，满足y²＝x³+ax²+bmodp，其中

params：***公开参数；

ID_i：用户终端身份信息；

sk：用户终端选择的Paillier加密的私钥；

pk：用户终端选择的Paillier加密的公钥；

Pr[E]：E事件的可能性表示；

Enc:Paillier加密算法；

Dec:Paillier解密算法；

T_i:***当前时间；

D_i:主服务器和用户终端的验证信息；

π_i:零知识证明子协议认证参数

:蜜罐***认证信息。

如图1所示，图1为本发明实施例提供的一种密钥保护和协商方法的流程图，该密钥保护和协商方法包括：

S1、密钥***生成密钥参数；

S2、用户终端根据密钥参数向主服务器和辅助服务器注册；

S3、辅助服务器和主服务器合作与用户终端进行密钥协商认证；

如图2和3所示，图2为本实施例提供的一种密钥保护和协商***框架图，图3为种辅助服务器和主服务器合作与用户终端密钥协商认证的流程示意图，

S3包括：

S31、用户终端向辅助服务器和主服务器发送携带口令和用户名的验证消息；

S32、辅助服务器对验证消息进行认证；

S33、认证通过时，辅助服务器通过蜜罐技术验证是否存在与验证消息对应的密钥索引，当验证通过时，发送辅助服务器消息；

S34、主服务器接收并验证验证消息和辅助服务消息，验证均通过时，向用户终端发送密钥协商请求；

S35、用户终端根据密钥协商请求与主服务器进行密钥协商。

该密钥协商认证的流程包括由用户终端发送携带口令和用户名的验证消息，由辅助服务器对验证消息进行认证，认证通过后通过蜜罐技术验证是否存在与验证消息对应的密钥索引，验证通过时，发送辅助服务器消息；进而主服务器接受并验证用户终端发送的验证消息和辅助服务器发的辅助服务消息，验证均通过时，向用户终端发送密钥协商请求，最后用户终端根据密钥协商请求与主服务器进行密钥协商，通过主服务器和辅助服务器合作与用户终端进行密钥认证；密钥协商阶段由主服务器完成，辅助认证云服务器只存储用户部分盲化的数据，即使攻击者获得对应服务器，也无法形成有效信息；可有效防止用户终端丢失攻击，冒充攻击，离线猜测攻击等。

具体的，S31包括：

S311、用户终端输入身份ID_i和口令PW_i，计算h₀(PW_i||n_i)，h₀为抗碰撞的哈希函数，随机数

表示在基于大素数q构成的非零乘法群里随机选择；

S312、用户终端选择随机数r_i∈Z_q ^*，分别计算用户终端认证信息R_i＝r_iP，随机数加密信息C_i＝Enc_pk(r_i)，认证信息E_i＝r_i ^-1D_i,计算发送给主服务器的消息

和β_i1＝h₄(ID_i,PID_i1,R_i,E_i,T_i)；计算发送给辅助服务器的消息

β_i2＝h₄(ID_i,PID_i2,R_i,C_i,T_i)和蜜罐验证消息相关值

将{PID_i1,R_i,E_i,T_i,β_i1,π_i}发送给主服务器，将 {R_i,C_i,PID_i2,T_i,β_i2,PPW_i}发送给辅助服务器；P为G上的生成元，G表示可信q 阶加法循环群，h₀，h₂，h₄为抗碰撞的哈希函数，P_pub1为***主公钥，P_pub2为***辅助公钥，Enc为Paillier加密算法，pk为用户终端选择的Paillier加密的公钥，T_i为***当前时间，D_i为主服务器和用户终端的验证信息，π_i为零知识证明子协议认证参数；

S32包括：

S321、辅助服务器随机选择r₂∈Z_q ^*和ρ∈Z_q ^*，计算出辅助服务器认证值 R₂＝r₂P，解出

验证等式β_i2＝h₄(ID_i,PID_i2,R_i,C_i,T_i)是否成立，其中x₂为辅助服务器的私钥；

S33包括：

S331、当等式成立时，辅助服务器计算h₀(ID_i)，

取出时间T_reg，计算m_i＝h₄(x₂||h₀(ID_i)||T_reg)，查找是否存在

是蜜罐***认证信息；

在一些实施例中，当等式β_i2＝h₄(ID_i,PID_i2,R_i,C_i,T_i)不成立时，终止本次密钥保护和协商流程。当不存在

时，终止本次密钥保护和协商流程。

S332、当存在

时，辅助服务器计算密钥索引 a_i＝h₁(h₀(ID_i)||T_reg||m_i))，验证a_i是否和注册阶段生成的列表 {h₀(ID_i),T_reg,a_i,Honey_List＝NULL}中的a_i相等；当相等时，辅助服务器计算认证值

计算主服务器认证值

β₂＝h₄(ID_i,PID_i3,R₂,C₂,T₂)；将

发送给主服务器；其中h₁为抗碰撞的哈希函数，T₂为辅助服务器当前时间戳，随机数k_i∈Z_q ^*，所述列表包括用户名h₀(ID_i)、当前时间T_reg、密钥索引a_i和蜜罐列表Honey_List＝NULL；

S34包括：

S341、主服务器在接收到用户终端的{PID_i1,R_i,E_i,T_i,β_i1,π_i}，计算

通过零知识证明子协议验证π_i，x₁为主服务器的私钥值；

S342、主服务器在收到辅助服务器的消息

计算

验证β₂是否等于h₄(ID_i,PID_i3,R₂,C₂,T₂)，h₄为抗碰撞的哈希函数；

S343、当β₂等于h₄(ID_i,PID_i3,R₂,C₂,T₂)时，主服务器通过零知识证明子协议验证

计算k_s＝D_sk(C₂)modq＝r_ir₂k_i，验证等式k_sE_i＝(x₁+h₀(ID_i))R₂是否成立；其中E_i＝r_i ^-1k_i ^-1(x₁+h₀(ID_i)P，其中sk为用户终端选择的Paillier加密的私钥；

S344、当等式成立时，主服务器随机选择r₁∈Z_q ^*，计算出R₁＝r₁P，R_1i＝r₁R_i，计算将要认证的会话密钥值sk_1i＝h₃(ID_i,R_1i,R_i,R₁,T_i,T₁)，β₁＝h₄(ID_i,R₁,T₁,sk_1i,T_i)，将认证消息{R₁,β₁,T₁}送给用户终端，h₃为抗碰撞的哈希函数，T₁为当前时间戳；

S35包括：

S351、用户终端收到{R₁,β₁,T₁}，计算R_i1＝r_iR₁，sk_s1＝h₃(ID_i,R_i1,R_i,R₁,T_i,T₁)，计算β'₁＝h₄(ID_i,R₁,T₁,sk_i1,T_i)，判断β'₁是否等于β₁；若是，则密钥协商成功。

在本实施例中，由双服务器合作与用户终端进行密钥协商认证，其中密钥协商包括由用户终端发送口令、用户名的验证消息，由辅助服务器认证消息，认证通过后通过蜜罐技术进行验证，验证通过时，由主服务器接受并验证用户终端和辅助服务器两方的验证消息，向用户终端发送密钥协商请求，最后用户终端对密钥协商请求进行验证，验证成功时密钥协商成功；通过一个主服务器，一个辅助服务器，合作进行用户终端的验证；主服务器负责最终的密钥协商执行；辅助服务器存储部分盲化数据，主服务器存储少量数据；任何一方设备被攻陷或者丢失，关键信息都不会造成泄露，也不会正常的进行认证；解决了用户终端丢失、被攻击而造成的数据丢失；也避免了提供认证服务的服务器被攻陷而造成用户终端数据的泄露。

在本实施例中，蜜罐***可以位于辅助服务器内，也可以是独立于主服务器和辅助服务器的***；当辅助服务器验证通过时，由蜜罐***验证，具体的，计算密钥索引a_i＝h₁(h₀(ID_i)||T_reg||m_i))，验证a_i是否和对应列表 {h₀(ID_i),T_reg,a_i,Honey_List＝NULL}的a_i相等，其中列表是注册阶段生成的，由用户名、当前时间、密钥索引和蜜罐列表组成；如果a_i和注册阶段生成的列表 {h₀(ID_i),T_reg,a_i,Honey_List＝NULL}中的a_i不相等时，那么说明用户终端有可能掉入蜜罐攻击，辅助服务器判断Honey_List条目是否小于阈值MAX，当小于MAX时，辅助服务器将

写入辅助服务器中；当Honey_List条目大于等于 MAX，辅助服务器报错，终止用户终端名ID_i的使用权；其中MAX可以根据实际需求进行灵活调整，例如MAX＝10。

在本实施例中，S1具体包括：

S11，密钥生成中心选取大质数p，选择安全的椭圆曲线E_p(a,b)，其中

在E_p(a,b)上选择一个点P作为生成元生成阶为q加法群G，其中

表示在基于大素数q构成的非零乘法群里随机选择；

S12，主服务器选择一个密钥

作为主密钥，并计算公式P_pub1＝x₁P，获得P_pub1作为主公钥，将主密钥x₁安全保存；辅助服务器选择一个密钥

作为主密钥，并计算公式P_pub2＝x₂P获得，P_pub2作为辅助公钥，将辅助密钥x₂安全保存；

S13，密钥生成中心构造抗碰撞的哈希函数,分别记为：h₀＝G*×G-＞Zp*、 h₁＝G*×G×G-＞Zp*、h₂＝G*×G×G×G-＞Zp*、h₃＝G*×G×G×G×G-＞Zp*和 h₄＝G*×G×G×G×G×G-＞Zp*，其中h₀,h₁,h₂,h₃,h₄表示抗碰撞的哈希函数，A→B 表示定义域A到值域B的映射，{0,1}*表示0或1构成的串，×表示笛卡尔乘积；

S14，密钥生成中心公布公共参数params＝(G,P,q,h_i,P_pub1,P_pub2)，其中公共参数Pars包括加法循环群G，加法循环群G上的生成元P，安全的椭圆曲线 E_p(a,b)，哈希函数h₀,h₁,h₂,h₃,h₄，主公钥P_pub1和辅助公钥P_pub2。

通过密钥生成中心生成密码***参数，确定主服务器和辅助服务器的主公钥和辅助公寓，密钥生成中心公布公共参数params＝(G,P,q,h_i,P_pub1,P_pub2)；进而便于后续主服务器、辅助服务器和用户终端进行密钥协商，提供密钥协商认证的可靠性和安全性。

在本实施例中，S2具体包括：

S21，用户终端选择随机数

输入身份ID_i和口令PW_i，计算 h₀(PW_i||n_i)；用户终端通过安全信道方式向主服务器发送h₀(ID_i)以及h₀(PW_i||n_i)；h₀为抗碰撞的哈希函数；

S22，主服务器选取随机数k_i∈Z_q ^*，计算D_i＝k_i ^-1(x₁+h₁(ID_i))P，并将D_i通过安全信道传给用户终端；将{h₀(ID_i),k_i,h₀(PW_i||n_i)}通过安全信道传给辅助服务器；其中P椭圆曲线的生成元，h₁为抗碰撞的哈希函数，D_i为主服务器和用户终端的验证信息；

S23，辅助服务器通过搜索h₀(ID_i)检查是否是新用户终端，当是新用户终端时，辅助服务器在数据库中创建一个新的列表

{h₀(ID_i),T_reg,a_i,Honey_List＝NULL}，计算m_i＝h₄(x₂||h₀(ID_i)||T_reg)，

生成蜜罐值honeyword存入Honey_List，得到

{h₀(ID_i),T_reg,a_i,Honey_List＝NULL}；a_i＝h₁(h₀(ID_i)||T_reg||m_i))作为密钥索引；h₄为抗碰撞的哈希函数，列表包括用户名h₀(ID_i)、当前时间T_reg、密钥索引a_i和蜜罐列表Honey_List＝NULL；

S24，用户终端收到主服务器发送的D_i，存储n_i与D_i。

在本实施例中，当辅助服务器通过搜索h₀(ID_i)检查不是新用户终端，更新T_reg和a_i。

用户终端根据密钥参数向主服务器和辅助服务器注册，先由用户终端向主服务器发送带身份的验证请求，主服务器确定和用户终端的验证信息，进而由辅助服务器在数据库中创建列表，确定密钥索引，实现用户终端和主服务器、辅助服务器的注册，保证后续密钥协商的可靠性和安全性。

可以理解的是，用户终端可能会有需要定期更改密钥，还包括更新密钥步骤：当用户终端有了新的密钥PW_n，用户终端重新计算h₀(PW_n||n_i)，发给主服务器，辅助服务器更新相应的

作为密钥索引并存入辅助服务器中。

需要说明的是，主服务器通过零知识证明子协议验证π_i包括：

主服务器初始化***参数params＝(G,P,q,R_i,h,pk,ID_i)，

计算R'_i＝Enc(r_i)；h表示抗碰撞的哈希函数，A→B表示定义域A到值域B的映射，{0,1}*表示0或1构成的串，×表示笛卡尔乘积；

主服务器选择一个随机数

计算K＝kP，计算

计算z＝k-r_i·emodq和k_e＝Enc(k)；输出(z,k_e,e)；

主服务器计算K_v＝zP+eR_i，计算e_v＝h(R_i,K_v,ID_i)和k_v＝k_e·(R'_i)^-e，当e＝e_v且Enc_pk(z)＝k_v时，输出1认证通过；当e≠e_v或者Enc_pk(z)≠k_v时，输出0认证失败终止程序。

主服务器通过零知识证明子协议验证

包括：

主服务器初始化***参数params＝(G,P,q,R₂,h,pk,ID_i)，

计算R'₂＝Enc(r₂)；h表示抗碰撞的哈希函数，A→B表示定义域A到值域B的映射，{0,1}*表示0或1构成的串，×表示笛卡尔乘积；

主服务器选择一个随机数

计算K＝kP，计算

计算z＝k-r₂·emodq；输出(z,e)；

主服务器计算K_v＝zP+eR₂，计算e_v＝h(R₂,K_v,ID_i)，当e＝e_v，输出1认证通过；当e≠e_v时，输出0认证失败终止程序。

通过零知识证明为协议认证的安全性加上了另一把锁。

本实施例还提供一种密钥保护和协商***，密钥保护和协商包括密钥***、主服务器、辅助服务器和用户终端，以实现上述密钥保护和协商方法的步骤，在此不再一一赘述。

本实施例还提供一种存储介质，存储介质包括存储有一个或者多个计算机程序，一个或者多个计算机程序可被一个或者多个处理器执行，以实现上述实施例中的密钥保护和协商方法的步骤，在此不再一一赘述。

通过本实施例提供的密钥保护和协商方法、***和存储介质，用一个用户终端与双服务器完成认证与密钥协调，用户终端上会存储一些认证所需的信息，即使用户终端丢失，敌手也无法通过用户终端的信息实现认证。

第一个目的是实现一个用户终端和服务器的认证与密钥协商。即使用户终端被攻击或者丢失后，存储在终端上的信息被攻击者获得，但还是无法与云服务器进行相互认证与密钥协商。

从服务器的角度说，第二个目的为用户提供业务服务的主服务器并未存储任何用户身份信息。即使攻击者成功攻击主服务器，也得不到任何用户信息。辅助认证云服务器只存储用户部分盲化的数据，即使攻击者获得，也无法形成有效信息。

大部分的计算工作在密钥协商阶段由主服务器完成；可有效防止用户终端丢失攻击，冒充攻击，离线猜测攻击等；此外，通信成本和计算开销与同类方案相比，成本较低。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上对本发明实施例所提供的技术方案进行了详细介绍，本发明中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述，以上实施例的说明只适用于帮助理解本发明实施例的原理；以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种密钥保护和协商方法，其特征在于，所述密钥保护和协商方法包括：

S1、密钥***生成密钥参数；

S2、用户终端根据所述密钥参数向主服务器和辅助服务器注册；

S3、所述辅助服务器和所述主服务器合作与所述用户终端进行密钥协商认证；

所述S3包括：

S31、用户终端向所述辅助服务器和主服务器发送携带口令和用户名的验证消息；

S32、所述辅助服务器对所述验证消息进行认证；

S33、认证通过时，所述辅助服务器通过蜜罐技术验证是否存在与所述验证消息对应的密钥索引，当所述验证通过时，发送辅助服务器消息；

S34、所述主服务器接收并验证所述验证消息和所述辅助服务器消息，验证均通过时，向所述用户终端发送密钥协商请求；

S35、所述用户终端根据所述密钥协商请求与所述主服务器进行密钥协商；

其中，

所述S31包括：

S311、用户终端输入身份ID_i和口令PW_i，计算h₀(PW_i||n_i)，所述h₀为抗碰撞的哈希函数，随机数

表示在基于大素数q构成的非零乘法群里随机选择；

S312、用户终端选择随机数

分别计算用户终端认证信息R_i＝r_iP，随机数加密信息C_i＝Enc_pk(r_i)，认证信息

计算发送给主服务器的消息

和β_i1＝h₄(ID_i,PID_i1,R_i,E_i,T_i)；计算发送给辅助服务器的消息

β_i2＝h₄(ID_i,PID_i2,R_i,C_i,T_i)和蜜罐验证消息相关值

将{PID_i1,R_i,E_i,T_i,β_i1,π_i}发送给主服务器，将{R_i,C_i,PID_i2,T_i,β_i2,PPW_i}发送给辅助服务器；所述P为G上的生成元，所述G表示可信q阶加法循环群，h₀，h₂，h₄为抗碰撞的哈希函数，P_pub1为***主公钥，P_pub2为***辅助公钥，Enc为Paillier加密算法，pk为用户终端选择的Paillier加密的公钥，T_i为***当前时间，所述D_i为所述主服务器和所述用户终端的验证信息，π_i为零知识证明子协议认证参数；

所述S32包括：

S321、所述辅助服务器随机选择r₂∈Z_q ^*和ρ∈Z_q ^*，计算出辅助服务器认证值R₂＝r₂P，解出

验证等式β_i2＝h₄(ID_i,PID_i2,R_i,C_i,T_i)是否成立，其中x₂为辅助服务器的私钥；

所述S33包括：

S331、当等式成立时，所述辅助服务器计算h₀(ID_i)，

取出时间T_reg，计算m_i＝h₄(x₂||h₀(ID_i)||T_reg)，查找是否存在

所述

是蜜罐***认证信息；

S332、当存在

时，所述辅助服务器计算密钥索引a_i＝h₁(h₀(ID_i)||T_reg||m_i))，验证a_i是否和注册阶段生成的列表{h₀(ID_i),T_reg,a_i,Honey_List＝NULL}中的a_i相等；当相等时，所述辅助服务器计算认证值

计算主服务器认证值

β₂＝h₄(ID_i,PID_i3,R₂,C₂,T₂)；将

发送给主服务器；其中h₁为抗碰撞的哈希函数，所述T₂为所述辅助服务器当前时间戳，随机数k_i∈Z_q ^*；所述列表包括用户名h₀(ID_i)、当前时间T_reg、密钥索引a_i和蜜罐列表Honey_List＝NULL；

所述S34包括：

S341、所述主服务器在接收到用户终端的{PID_i1,R_i,E_i,T_i,β_i1,π_i}时，计算

通过零知识证明子协议验证π_i，x₁为主服务器的私钥值；

S342、所述主服务器在收到辅助服务器的消息

时，计算

验证β₂是否等于h₄(ID_i,PID_i3,R₂,C₂,T₂)，所述h₄为抗碰撞的哈希函数；

S343、当β₂等于h₄(ID_i,PID_i3,R₂,C₂,T₂)时，所述主服务器通过零知识证明子协议验证

计算k_s＝D_sk(C₂)modq＝r_ir₂k_i，验证等式k_sE_i＝(x₁+h₀(ID_i))R₂是否成立；其中

其中sk为用户终端选择的Paillier加密的私钥；

S344、当等式成立时，所述主服务器随机选择r₁∈Z_q ^*，计算出R₁＝r₁P，R_1i＝r₁R_i，计算将要认证的会话密钥值sk_1i＝h₃(ID_i,R_1i,R_i,R₁,T_i,T₁)，β₁＝h₄(ID_i,R₁,T₁,sk_1i,T_i)，将认证消息{R₁,β₁,T₁}送给用户终端，h₃为抗碰撞的哈希函数，所述T₁为所述当前时间戳；

所述S35包括：

S351、用户终端收到{R₁,β₁,T₁}，计算R_i1＝r_iR₁，sk_s1＝h₃(ID_i,R_i1,R_i,R₁,T_i,T₁)，计算β′₁＝h₄(ID_i,R₁,T₁,sk_i1,T_i)，判断β′₁是否等于β₁；若是，则密钥协商成功。

2.根据权利要求1所述的密钥保护和协商方法，其特征在于，所述S332还包括：

当a_i和注册阶段生成的列表{h₀(ID_i),T_reg,a_i,Honey_List＝NULL}中的a_i不相等时，辅助服务器判断Honey_List条目是否小于阈值MAX，当小于所述MAX时，所述辅助服务器将

写入辅助服务器中；当Honey_List条目大于或等于所述MAX，所述辅助服务器报错，终止所述用户终端名ID_i的使用权。

3.根据权利要求2所述的密钥保护和协商方法，其特征在于，所述S2具体包括：

S21，用户终端选择随机数

输入身份ID_i和口令PW_i，计算h₀(PW_i||n_i)；用户终端通过安全信道方式向所述主服务器发送h₀(ID_i)以及h₀(PW_i||n_i)；所述h₀为抗碰撞的哈希函数；

S22，主服务器选取随机数k_i∈Z_q ^*，计算

并将D_i通过安全信道传给用户终端；将{h₀(ID_i),k_i,h₀(PW_i||n_i)}通过安全信道传给辅助服务器；其中P椭圆曲线的生成元，所述h₁为抗碰撞的哈希函数，所述D_i为主服务器和用户终端的验证信息；

S23，辅助服务器通过搜索h₀(ID_i)检查是否是新用户终端，当是新用户终端时，辅助服务器在数据库中创建一个新的列表{h₀(ID_i),T_reg,a_i,Honey_List＝NULL}，计算m_i＝h₄(x₂||h₀(ID_i)||T_reg)，

生成蜜罐值honeyword存入Honey_List，得到{h₀(ID_i),T_reg,a_i,Honey_List＝NULL}；所述a_i＝h₁(h₀(ID_i)||T_reg||m_i))作为密钥索引；所述h₄为抗碰撞的哈希函数；所述列表包括用户名h₀(ID_i)、当前时间T_reg、密钥索引a_i和蜜罐列表Honey_List＝NULL；

S24，用户终端收到主服务器发送的D_i，存储n_i与D_i。

4.根据权利要求3所述的密钥保护和协商方法，其特征在于，所述S23还包括：辅助服务器通过搜索h₀(ID_i)检查不是新用户终端时，更新T_reg和a_i。

5.根据权利要求3所述的密钥保护和协商方法，其特征在于，所述S2还包括：

当用户终端有了新的密钥PW_n，用户终端重新计算h₀(PW_n||n_i)，发给主服务器和辅助服务器，辅助服务器更新相应的

作为密钥索引并存入辅助服务器中。

6.根据权利要求1-5任一项所述的密钥保护和协商方法，其特征在于，所述通过零知识证明子协议验证π_i包括：

所述主服务器初始化***参数params＝(G,P,q,R_i,h,pk,ID_i)，所述

计算R′_i＝Enc(r_i)；所述h表示抗碰撞的哈希函数，A→B表示定义域A到值域B的映射，{0,1}*表示0或1构成的串，×表示笛卡尔乘积；

所述主服务器选择一个随机数

计算K＝kP，计算

计算z＝k-r_i·emodq和k_e＝Enc(k)；输出(z,k_e,e)；

所述主服务器计算K_v＝zP+eR_i，计算e_v＝h(R_i,K_v,ID_i)和k_v＝k_e·(R′_i)^-e，当e＝e_v且Enc_pk(z)＝k_v时，认证通过；当e≠e_v或者Enc_pk(z)≠k_v时，认证失败终止程序。

7.根据权利要求1-5任一项所述的密钥保护和协商方法，其特征在于，所述通过零知识证明子协议验证

包括：

所述主服务器初始化***参数params＝(G,P,q,R₂,h,pk,ID_i)，所述

计算R′₂＝Enc(r₂)；所述h表示抗碰撞的哈希函数，A→B表示定义域A到值域B的映射，{0,1}*表示0或1构成的串，×表示笛卡尔乘积；

所述主服务器选择一个随机数

计算K＝kP，计算

计算z＝k-r₂·emodq；输出(z,e)；

所述主服务器计算K_v＝zP+eR₂，计算e_v＝h(R₂,K_v,ID_i)，当e＝e_v，认证通过；当e≠e_v时，认证失败终止程序。

8.一种密钥保护和协商***，其特征在于，所述密钥保护和协商***包括密钥***、主服务器、辅助服务器和用户终端，以实现上述权利要求1-7任一项所述的密钥保护和协商方法。

9.一种存储介质，其特征在于，所述存储介质包括存储有一个或者多个计算机程序，所述一个或者多个计算机程序可被一个或者多个处理器执行，以实现上述权利要求1-7任一项所述的密钥保护和协商方法。

Images