基于口令和智能卡的远程认证协议方法
基于口令和智能卡的远程认证协议方法
【技术领域】
[0001] 本发明属于信息安全技术领域,具体设及一个基于口令和智能卡的远程认证协议 方法。
【背景技术】
[0002] 随着计算机网络和互联网的高速发展,通讯技术使在线服务质量得到大幅度的提 升。无论在任何时间、任何地点,用户都可W使用远程服务器上的服务。该种服务被大量应 用于电子金融、电子医药、电子教育等诸多领域。但是由于信息通过公共信道进行传输,攻 击者通常采用窃听、模仿、更改和重放等攻击方法阻碍用户与服务器之间的交互,导致用户 安全隐私的泄露。设计高效安全的远程认证协议,保护合法用户不受攻击变得至关重要。
[0003] 1981年,Lampod首先提出了基于口令的认证协议,但由于口令的简单易记导致 协议极容易遭受到字典攻击等,该种基于单因素的认证协议不能再满足人们日常的通讯需 求。近年来,越来越多的双因素认证协议相继被提出。所谓双因素,主要基于两个事实;(1) 用户所秘密知道的,比如口令;(2)用户所独自拥有的,比如智能卡。在双因素认证协议中, 用户与服务器进行相互认证并建立会话密钥,会话密钥是为了在用户与服务器通过不安全 信道进行交互时,保证传输信息的安全可信性。
[0004] 如何保证协议安全高效地运行成为当今研究的主要方向。由于一个160-bit的ECC密钥与一个1024-bitRSA密钥的安全强度是相同的,运用ECC能够保证在相同安全性 能下低运算消耗。此外,基于ECC的运算,比如楠圆曲线点加、乘运算比传统的模幕运算要 快得多,由此楠圆曲线密码体制巧CC)被大量运用于加密体制设计中。目前大部分基于ECC 的协议方法在信息传输过程中不能保护用户匿名性,造成了用户被攻击者追踪;缺失丢失 智能卡撤销功能,一旦智能卡丢失或被窃取,用户不能再通过任何办法获取服务器的服务; 此外在运算性能及安全性能方面也需要进行提升W保证协议能够适用复杂多变的网络环 境。
[0005] 本发明的先进性在于,通过运用计数组及优化ECC算法,保证协议强安全性能的 前提下,运行速率得到大幅度提升。
【发明内容】
[0006] 针对上述存在的问题,本发明提出了一种基于口令和智能卡的远程认证协议方 法。
[0007] 本发明所述的远程认证协议,其特征在于,该协议方法包括W下六个步骤:
[000引步骤1 ;服务器S产生系统参数;
[0009] 步骤2 ;用户U向服务器S在安全信道中提交注册请求,S经过验证处理后,将注册 信息存存储在智能卡中并通过安全信道反馈给U,最终U完善智能卡信息并保存;
[0010] 步骤3 ;用户U向远程服务器S提交登录请求,计算认证信息并将签名发送给S; [001U步骤4 ;服务器S与用户U通过对签名的验证实现双向认证,并协商出一个会话密 钥;
[0012] 步骤5 ;当用户U需要修改口令时,不需要服务器S参与,仅通过智能卡进行数据 更新即可;
[0013] 步骤6 ;当用户U不慎将智能卡丢失或者智能卡被窃取时,需要请求服务器S将原 有的智能卡在数据库中的信息撤回并重新注册新的智能卡信息。
[0014] 步骤1中服务器S选择楠圆曲线E:y2三X3+ux+v(modp),Ep(u,V)是楠圆曲线E的 n阶点加法群,P为其生成元,即n'P= 0。然后选择se与作为自己的私钥并保密,计算Y= S?P为公钥,并选择单向哈希函数巧):佩公布其系统参数W= {Ep,H(),P,p,刊。
[0015] 步骤2中,具体包括W下步骤:
[0016] 步骤2. 1 ;用户U决定自己的身份ID,口令PW和随机数。马,计算A= H(PWIIa),然后通过安全信道将ID和A发送给服务器S。
[0017] 步骤2. 2 ;在接收到ID和A之后,S首先验证U提交的注册信息,如果ID在数据库 中可W找到,则要求U输入一个新的ID。
[001引步骤2. 3 ;如果用户U是第一次注册自己的信息,则服务器S置N= 0,当U因丢失 智能卡而需要重新想服务器注册时,S将会更新N=化1,然后将(I化脚存入数据库中。
[0019] 步骤 2. 4 ;服务器S计算Q=H(ID| |s),M=A出Q=H(PW||a)出H(ID| |s), V=H(ID| |A)。选取随机数Z;.计算mid=ID出H(m),R=s出m。S将 (Ep,HO,P,p,Y,N,MI化R,M,V}存储在智能卡中并通过安全信道发送给U。
[0020] 步骤2. 5 ;U接收到智能卡后,将a输入其内保存。最终,智能卡包含信息为{Ep,H 0,P,P,Y,N,MID,R,M,V,a}。
[0021] 步骤3中所述的为了能够登录到远程服务器S,用户U计算登录信息并提交给 S。首先U将智能卡SC插入读卡器中,并输入身份ID和口令PW,然后智能卡SC计算A=H(PW||a),Q=M出A。同时SC计算V*=H(ID| |A)并验证V*与V是否相等。如果不相等, 则智能卡停止执行协议,否则,智能卡SC选择foes和时间戳Ti,计算B=Q?b?P,H(m) =MID出ID,CID=MID出H化(m)I|Ti),Fi=H(ID| |B||TJIqI|脚。最后智能卡SC将签名 mi= {CID,B,R,Fi,Ti}发送给S。
[0022] 步骤4中,具体包括W下步骤:
[002引步骤4. 1 ;接收到叫后,S验证Ti是否有效,如果Ti无效,S停止执行协议。 否贝1J,S计算m*= S出R,Q*= H(ID*| |s),I护=CID出H(m*)出H化(m*) I |Ti),Fi*= Ha护||BMTJ|Q||N),N取自aD,N,Tl)。然后,S验证F巧PFl是否相等。如果不等,则停 止执行协议,否则,S成功认证U。
[0024] 步骤4. 2 ;S选择随机数ce*与和时间戳T2,然后计算C =C? P,d = Q*-i ?C? B = c.b.P,sk = H(I护||B| |cMd),F2=H(sk||d| IT2)。然后S将ni2=巧2,了2,口发送给U, 并将(ID, N,Ti)存储在数据库中。
[0025]步骤4. 3 ;U接收到m2后,检查T2是否有效。如果无效,S停止执行协议,否则,计 算d*=b?C,sk*=H(IDI|BIIC|Id*),尸2*=H(sk*1Id*|ITg)并验证尸2与F2*是否相等,如 果不等,则停止执行协议,否则,成功认证S,并接受sk>为正确的会话密钥。
[0026] 步骤5中,具体包括W下步骤:
[0027] 步骤5. 1 ;用户U将智能卡插入读卡器中,并输入旧的身份ID和口令PW。
[002引 步骤 5.2;智能卡SC计算A=H(PW||a),Q=M出A,V*=H(ID| |A),并验证V* 与V是否相等。若不等,则SC拒绝修改口令请求并将拒绝修改信息反馈给用户,否则,继续执 行下面步骤。
[0029] 步骤5. 3 ;智能卡SC要求U输入两遍设置的新口令和一个新的随机数。胃。 SC计算A贈=H(PWneJkJ,M贈=Anew出Q=H(PWneJkJ出H(IDMs),V贈=H(ID| |AnJ。 选取一个新的随机数"!廳.e*与,计算MID""=ID0H(m"J,咕。,=s0111。"然后智能卡将原 来的巧P,H0,P,P,Y,N,MID,R,M,V,a}更新为巧P,H0,P,P,Y,N,MIDnew,Rnew,Mnew,V。?,3nJ。
[0030] 步骤6中,具体包括w下步骤:
[0031] 步骤6. 1 ;用户U选择新的口令PW'和一个随机数。'%与,然后将ID和A' = H(PW'I|a')通过安全信道发送给S。
[0032] 步骤6. 2 ;S首先验证ID格式的正确性,如果格式不正确则停止执行协议,否则S 将(H),N,Ti)中的N更新为N' =化1W达到撤回丢失智能卡的目的。
[003引 步骤 6. 3;S计算M' =A' 出Q=A' 出H(ID| |s),V' =H(ID| |A'I|PW')。选取一 个新的随机数计算MID'=ID出H(m' ),R'=s出m',S将巧p,H(),P,p,Y,N' ,MID',R',M',V'}存储进智能卡中,并通过安全信道发送给U。
[0034] 步骤6. 4 ;接收到智能卡后,U将a'嵌入其中,最终,智能卡包含信息为{Ep,HQ,P ,p,Y,N',MID' ,R' ,M',V',a'}。
[0035] 本发明具有的有益效果: [0036] 本发明保护用户匿名性。在步骤2中,U通过安全信道将ID传输给S,该意味着任 何攻击者不能窃取到ID。而且在步骤3-4中,为了保护ID,我们将动态身份信息的CID= MID出H化(m) ||Ti)用于传输,因为ID=CID出H(m)出H化(m) ||Ti)而随机数m对于攻击 者是无法知晓的,也就是说攻击者不能通过CID还原出用户U的真是身份,从而表明本发明 可W保护用户的匿名性。
[0037] 本发明提供双向认证和密钥协商。在步骤4中,用户与服务器达到了双向认证的 目的。首先,通过步骤1),服务器S成功认证了用户U,再通过步骤3),用户U也成功认证了 服务器S,该样双方便实现了相互认证。此后,计算会话密钥sk=HaDMBMcMd),其中d =C?b?B是由U和S共同决定的,该意味着,会话密钥sk在每一次会话中都不会相同,当 会话到期后,sk不能被重复使用,因为它是由B、C和d共同决定的。该保证了U和S之间 秘密信息的传递。从而达到了双向认证和密钥协商的目的。
[003引本发明抵抗重放攻击。在步骤4中,如果服务器S接收到再一次的登录请求,即m/ ={CID',Bi',Fi',V},S从(ID,N,Ti)中提取出Ti与T1'进行比较,如果V=Ti,那么S 拒绝叫',因为该可能是发自攻击者的重放信息,否则,S将(ID,N,Ti)更新为(H),N,Ti')。 从而保证协议抵抗重放攻击。
[0039] 本发明抵抗拒绝服务攻击。在步骤3、5中,当攻击者输入错误的ID'和PW',智能 卡通过计算Vt=H(ID' ||A)并与V进行比对,发现不相等后,停止协议进行,并拒绝攻击 者的请求,从而保证协议抵抗拒绝服务攻击。
[0040] 本发明抵抗已知密钥攻击。由于哈希函数HO的单向性和b,c的随机性质,使得 每个会话密钥sk都不尽相同。因此攻击者无法从之前或者之后的会话中得到相近会话的 密钥,从而保证协议抵抗已知密钥攻击。
[0041] 本发明抵抗偷窃智能卡攻击。假设用户U的智能卡遭到偷窃,攻击者获得了智能 卡SC中的信息{Ep,H0,P,P,Y,N,MID,R,M,V,a},同时通过公共信道,攻击者还掌握了叫二 (CI化B,R,Fi,,该样造成了MI化M,V,a的泄露,但是由于攻击者不能得到用户的口令PW, 使得他不能计算出A,也就无法得到Q。同时,攻击者也无法知晓随机数m,m是MID的重要 组成部分。从而,攻击者不能冒充用户欺骗服务器,从而保证协议抵抗偷窃智能卡攻击。
[0042] 本发明提供前向安全性。即使私钥S被泄露,攻击者也不能计算出sk= H(ID| |B| |c| |d),因为d=C?b?P,而b,C是随机选取且相互独立的,同时,通过叫和m2, 攻击者可W获得到化C)=怕'b'P,C'P),基于CDH问题的难解性可知,攻击者无法计算 出山也就无法得到sk。从而协议具有密钥前向安全性。
[00创本发明的运算性能强,在仰U: 1. 6GHz,RAM: 2. 0GB)环境下整个过程计算时间为 5. 97ms,相比现有的协议计算时间大幅度缩短。
【附图说明】
[0044] 图1为本协议方法的总体流程示意图;
[0045] 图2位用户注册的流程图;
[0046] 图3为用户登录认证的示意图;
[0047] 图4位用户登录认证的流程图;
[0048] 图5为用户修改口令的示意图;
[0049] 图6为用户撤销丢失智能卡的示意图;
[0050] 图7位用户撤销丢失智能卡的流程图。
[0化1] 具体实施方法
[0052] 下面将结合附图和实施例对本发明作进一步的详细说明。
[0053] 本协议的安全性和高效性主要体现在设计中优化楠圆曲线点乘算法,并在适当节 点嵌入鉴别码和计数组,可具体应用在网上银行等系统中,如图1所示具体操作如下:
[0054](一)初始化阶段
[0化5] 在本阶段,服务器S将会通过W下步骤产生系统参数。
[0056] 1)S选择楠圆曲线E:y2三x3+ux+v(modp),Ep(u,V)是楠圆曲线E的n阶点加法群, P为其生成元,即n?P= 0。
[0化7] 2)S选择W马作为自己的私钥并保存,计算Y=S?P为公钥,然后选择单向哈希 函数W:):化 11* 一Z;。
[005引 3)S保密S,公布其系统参数W= {Ep,H0,P,P,刊。
[0059](二)注册阶段
[0060] 在本阶段,每一个用户U与服务器S需要在安全信道中进行通讯,双方按照W下步 骤执行:
[0061] 1)用户U决定自己的身份ID,口令PW和随机数。句马,计算A=H(PW| |a),然后 通过安全信道将ID和A发送给服务器S。
[0062] 2)在接收到ID和A之后,S首先验证U提交的注册信息,如果ID在数据库中可W 找到,则要求U输入一个新的ID。
[0063] 3)如果用户U是第一次注册自己的信息,则服务器S置N= 0,当U因丢失智能卡 而需要重新想服务器注册时,S将会更新N=化1,然后将(I化脚存入数据库中。
[0064] 4)服务器S计算Q=H(IDMs),M=A出Q=H(PW||a)出H(IDMs),V=H(IDMA)。 选取随机数。'与;马,计算mid=ID出H(m),R=S出m。S将巧p,H(),P,p,Y,N,MID,R,M,V} 存储在智能卡中并通过安全信道发送给U。
[0065] 5)U接收到智能卡后,将a输入其内保存。最终,智能卡包含信息为{Ep,H(),P,p, Y,N,MID,R,M,V,a}。
[0066] (S)登录阶段
[0067] 为了能够登录到远程服务器S,用户U需按照如下操作计算登录信息:
[0068] 1)登录时,U将智能卡SC插入读卡器中,并输入身份ID和口令PW,然后智能卡SC 计算A=H(PW|Ia),Q=M出A。同时SC计算V*=H(IDIIA)并验证V*与V是否相等。如 果不相等,则智能卡停止执行协议,否则,继续执行下一步。
[0069] 2)智能卡SC选择Z;和时间戳Ti,计算B=Q?b?P,CID= MID出H化(m) ||Ti),Fi=H(ID| |B||TJiQllN)。然后智能卡SC将叫二{CID,B,R,F^Ti}发 送给S。
[0070] (四)认证阶段
[0071] 1)接收到叫后,S验证Ti是否有效,如果Ti无效,S停止执行协议。否则,S计算m* =S出R,Q*= H(ID*| Is), I护=CID出H(m*)出H〇Km*) I |Ti),Fi*= H(ID*| |B| |Tj IqI |脚, N取自(H),N,Ti)。然后,S验证Fi>和Fi是否相等。如果不等,则停止执行协议,否则,S成 功认证U。
[007引 2)S选择随机数C与Z;和时间戳T2,然后计算C=C.P,d=旷1.C.B=C.b.P,sk =H(I护Mb||C| |d),F2=H(sk| |d||T2)。然后S将ni2=伊2,了2,口 发送给U,并将(ID,N,Ti) 存储在数据库中。
[007引3)U接收到m2后,检查了2是否有效。如果无效,S停止执行协议,否则,计算cr= b?C,sk*=H(ID| |B| |C| |0,尸2*=H(sk*| |d*| 忙)并验证F2与F2*是否相等,如果不等, 则停止执行协议,否则,成功认证S,并接受sk>为正确的会话密钥。
[0074] 通过W上步骤用户与服务器之间通过了双向认证并形成了会话密钥。
[0075](五)口令修改阶段
[0076] 1)用户U将智能卡插入读卡器中,并输入旧的身份ID和口令PW。
[0077]。智能卡SC计算A=H(PW||a),Q=M出A,V*= H(ID| |A),并验证V*与V是否 相等。若不等,则SC拒绝修改口令请求并将拒绝修改信息反馈给用户,否则,继续执行下面 步骤。
[007引3)智能卡SC要求U输入两遍设置的新口令和一个新的随机数。马。SC计算 Anew=H(PWnJIa。J,M贈=Anew出Q=H(PWnJI3贈)出H(IDIIS),V贈=H(IDIIAnJ。选 取一个新的随机数"!鹏E*马,计算MID"e,=ID0H(m"J,R""=s0 111。"然后智能卡将原 来的巧p,H0,P,p,Y,N,MID,R,M,V,a}更新为巧p,H0,P,p,Y,N,MIDnew,Rnew,Mnew,Vnew,3nJ。
[0079] 通过w上步骤用户完成了口令修改。
[0080] (六)丢失智能卡撤回阶段
[0081] 当用户U不慎将智能卡丢失或者智能卡被窃取时,需要将原有的智能卡在数据库 中的信息撤回,在本阶段,U向S请求撤回丢失智能卡数据:
[00間 1)用户U选择新的口令PW'和一个随机数。'€?与,然后将ID和A' =H(PW' ||a') 通过安全信道发送给S。
[0083] 2)S首先验证ID格式的正确性,如果格式不正确则停止执行协议,否则S将 (H),N,Ti)中的N更新为N' =化1W达到撤回丢失智能卡的目的。
[0084] 3)S计算M'=A'出Q=A'出HaD||s),V'=HaD||A')。选取一个新的随机数 w'eリZ;;,计算MID'=ID出H(m'),R'=s出m',S将巧p,H(),P,p,Y,N',MID',R', M',V'}存储进智能卡中,并通过安全信道发送给U。
[00财 4)接收到智能卡后,U将a'嵌入其中,最终,智能卡包含信息为{Ep,H0,P,P,Y,N ',MID' ,R' ,M',V',a'}。
[0086] 通过W上步骤,用户撤消了丢失的智能卡。
【主权项】
1. 一种基于口令和智能卡的远程认证协议方法,其特征在于,该协议方法包括以下六 个步骤: 步骤1 :服务器S初始化产生系统参数; 步骤2 :用户U向服务器S在安全信道中提交注册请求,S经过验证处理后,将注册信息 存存储在智能卡中并通过安全信道反馈给U,最终U完善智能卡信息并保存; 步骤3 :用户U向远程服务器S提交登录请求,计算签名并发送给S ; 步骤4 :服务器S与用户U通过对签名的验证实现双向认证,并协商出一个会话密钥; 步骤5 :判断用户U是否需要修改口令,如需要,通过智能卡进行数据更新,如不需要, 执行步骤6 ; 步骤6 :判断用户智能卡是否丢失,如丢失,请求服务器S将原有的智能卡在数据库中 的信息撤回并重新注册新的智能卡信息;如未丢失,结束。2. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤1所述的服务器S选择椭圆曲线E:y2= X 3+ux+v(modp),Ep(u, V)是椭圆曲线E的η阶 点加法群,P为其生成元,即η ·Ρ = 0。然后选择s eZ〗作为自己的私钥并保密,计算Y = s ·Ρ 为公钥,公布系统参数。3. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤2中,具体包括以下步骤: 步骤2. 1 :用户U决定自己的身份ID,口令PW和随机数《4<,计算A = H(PW| |a),然 后通过安全信道将ID和A发送给服务器S。 步骤2. 2 :在接收到ID和A之后,S首先验证U提交的注册信息,如果ID在数据库中可 以找到,则要求U输入一个新的ID。 步骤2. 3 :如果用户U是第一次注册自己的信息,则服务器S置N = 0,当U因丢失智能 卡而需要重新想服务器注册时,S将会更新N = N+1,然后将(ID,N)存入数据库中。 步骤 2.4 :服务器 S 计算 Q = H(ID| |s),M = A 十 Q = H(PW| |a)十 H(ID| |s), V = H (ID I IA)。选取随机数 'η 4 Ζ;,计算 MID = ID 十 H (m),R = s 十 m。S 将 {Ep,HO,P,p,Y,N,MID,R,M,V}存储在智能卡中并通过安全信道发送给U。 步骤2.5 :U接收到智能卡后,将a输入其内保存。最终,智能卡包含信息为{Ep,H(),P ,p,Y,N,MID, R,M,V,a}。4. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤3所述的为了能够登录到远程服务器S,用户U计算登录信息并提交给S。首先U将智 能卡SC插入读卡器中,并输入身份ID和口令PW,然后智能卡SC计算A = H (PWI I a),Q = M ? A。同时SC计算V#= H(ID I IA)并验证V#与V是否相等。如果不相等,则智能卡停止执行 协议,否则,智能卡SC选择2丨和时间戳T1,计算B = Q ·b ·P,CID = MID ? H(H(m) I I T1),F1= h(idI |bI It1I IqI Iy| In)。最后智能卡 sc将签名 Hi1= IciDjAF1JJ 发送给 s。5. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤4中,具体包括以下步骤: 步骤4. 1 :接收到HI1后,S验证T 1是否有效,如果T1无效,S停止执行协议。否 则,S 计算 m*= S 十 R,Q *= H(ID *1 |s),ID*= CID 十 H(m *)十 I |1\),F1* = h(id*| |b| It1I IqI |γ| |n),n取自(idal)。然后,s验证F1Ipf1是否相等。如果不等,则 停止执行协议,否则,s成功认证u。 步骤4. 2 :S选择随机数Ces Z】#和时间戳T 2,然后计算C = c · P,d = Qh"1 · c · B =c.b.p,sk = H(iD*| |b| |c| |d),F2=H(sk| |d| |τ2| |γ)。然后 s 将 Hi2= {f2,t2,c}发送给 u,并将存储在数据库中。 步骤4. 3 :U接收到叫后,检查T 2是否有效。如果无效,S停止执行协议,否则,计算0- =b · C,sk*= H(ID| |B| |C| |〇, F2*= H(sk*| |d*| |T2| |Y)并验证 FgF2*是否相等,如果 不等,则停止执行协议,否则,成功认证S,并接受Ski为正确的会话密钥。6. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤5中,具体包括以下步骤: 步骤5. 1 :用户U将智能卡插入读卡器中,并输入旧的身份ID和口令PW。 步骤5. 2:智能卡SC计算A = H(PW| |a),Q = M十A,V*=H(ID| |Α),并验证V*与V是 否相等。若不等,则SC拒绝修改口令请求并将拒绝修改信息反馈给用户,否则,继续执行下 面步骤。 步骤5. 3 :智能卡SC要求U输入两遍设置的新口令和一个新的随机数勺Z)。SC计 算 Anew= H (PW new I I anew),Mnew= A new ? Q = H (PW new I I anew) ? H (ID I I s),Vnew= H (ID I IA new) 〇 选取一个新的随机数zJi,计算MIDnew= ID ? H(mnew),Rnew= s ? mnew然后智能卡将原 来的{Ep, H (),P, p, Y, N, MID, R, M, V,a}更新为{Ep, H (),P, p, Y, N, MIDnew, R_ Mnew, Vnew, anew}。7. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤6中,具体包括以下步骤: 步骤6. 1 :用户U选择新的口令PW'和一个随机数^ Z〗,然后将ID和A' =H (PW' I I a') 通过安全信道发送给S。 步骤6. 2 :S首先验证ID格式的正确性,如果格式不正确则停止执行协议,否则S将 (ID1N1T1)中的N更新为Ν' =N+1以达到撤回丢失智能卡的目的。 步骤 6.3 :S 计算 Μ' =A' 十 Q = A' 十 H(IDlIs),V' =H(ID Il A')。选取一个新的随 机数所计算 MID,=ID 十 H(m,),R,=s 十m,,S将{Ep,H(),P,p,Y,N',MID,,R ^,M',V'}存储进智能卡中,并通过安全信道发送给U。 步骤6.4 :接收到智能卡后,U将a'嵌入其中,最终,智能卡包含信息为{Ep,H(),P,p,Y ,N',MID,,R,,M',V',a'}。
【专利摘要】本发明提出一种基于口令和智能卡的远程认证协议方法,属于信息安全领域。协议采用优化的椭圆曲线算法,嵌入计数组和鉴别码,提供了口令修改和撤销丢失智能卡的功能。本发明保护了用户的匿名性,安全高效,通过两次交互即实现用户的双向认证并成功协商会话密钥,适用于电子现金、在线教育及远程医疗等远程认证系统。
【IPC分类】H04L29/06, H04L9/32
【公开号】CN104901809
【申请号】CN201510195736
【发明人】张筱, 单宝松, 郑志明, 李轩昂
【申请人】北京航空航天大学
【公开日】2015年9月9日
【申请日】2015年4月23日
【技术领域】
[0001] 本发明属于信息安全技术领域,具体设及一个基于口令和智能卡的远程认证协议 方法。
【背景技术】
[0002] 随着计算机网络和互联网的高速发展,通讯技术使在线服务质量得到大幅度的提 升。无论在任何时间、任何地点,用户都可W使用远程服务器上的服务。该种服务被大量应 用于电子金融、电子医药、电子教育等诸多领域。但是由于信息通过公共信道进行传输,攻 击者通常采用窃听、模仿、更改和重放等攻击方法阻碍用户与服务器之间的交互,导致用户 安全隐私的泄露。设计高效安全的远程认证协议,保护合法用户不受攻击变得至关重要。
[0003] 1981年,Lampod首先提出了基于口令的认证协议,但由于口令的简单易记导致 协议极容易遭受到字典攻击等,该种基于单因素的认证协议不能再满足人们日常的通讯需 求。近年来,越来越多的双因素认证协议相继被提出。所谓双因素,主要基于两个事实;(1) 用户所秘密知道的,比如口令;(2)用户所独自拥有的,比如智能卡。在双因素认证协议中, 用户与服务器进行相互认证并建立会话密钥,会话密钥是为了在用户与服务器通过不安全 信道进行交互时,保证传输信息的安全可信性。
[0004] 如何保证协议安全高效地运行成为当今研究的主要方向。由于一个160-bit的ECC密钥与一个1024-bitRSA密钥的安全强度是相同的,运用ECC能够保证在相同安全性 能下低运算消耗。此外,基于ECC的运算,比如楠圆曲线点加、乘运算比传统的模幕运算要 快得多,由此楠圆曲线密码体制巧CC)被大量运用于加密体制设计中。目前大部分基于ECC 的协议方法在信息传输过程中不能保护用户匿名性,造成了用户被攻击者追踪;缺失丢失 智能卡撤销功能,一旦智能卡丢失或被窃取,用户不能再通过任何办法获取服务器的服务; 此外在运算性能及安全性能方面也需要进行提升W保证协议能够适用复杂多变的网络环 境。
[0005] 本发明的先进性在于,通过运用计数组及优化ECC算法,保证协议强安全性能的 前提下,运行速率得到大幅度提升。
【发明内容】
[0006] 针对上述存在的问题,本发明提出了一种基于口令和智能卡的远程认证协议方 法。
[0007] 本发明所述的远程认证协议,其特征在于,该协议方法包括W下六个步骤:
[000引步骤1 ;服务器S产生系统参数;
[0009] 步骤2 ;用户U向服务器S在安全信道中提交注册请求,S经过验证处理后,将注册 信息存存储在智能卡中并通过安全信道反馈给U,最终U完善智能卡信息并保存;
[0010] 步骤3 ;用户U向远程服务器S提交登录请求,计算认证信息并将签名发送给S; [001U步骤4 ;服务器S与用户U通过对签名的验证实现双向认证,并协商出一个会话密 钥;
[0012] 步骤5 ;当用户U需要修改口令时,不需要服务器S参与,仅通过智能卡进行数据 更新即可;
[0013] 步骤6 ;当用户U不慎将智能卡丢失或者智能卡被窃取时,需要请求服务器S将原 有的智能卡在数据库中的信息撤回并重新注册新的智能卡信息。
[0014] 步骤1中服务器S选择楠圆曲线E:y2三X3+ux+v(modp),Ep(u,V)是楠圆曲线E的 n阶点加法群,P为其生成元,即n'P= 0。然后选择se与作为自己的私钥并保密,计算Y= S?P为公钥,并选择单向哈希函数巧):佩公布其系统参数W= {Ep,H(),P,p,刊。
[0015] 步骤2中,具体包括W下步骤:
[0016] 步骤2. 1 ;用户U决定自己的身份ID,口令PW和随机数。马,计算A= H(PWIIa),然后通过安全信道将ID和A发送给服务器S。
[0017] 步骤2. 2 ;在接收到ID和A之后,S首先验证U提交的注册信息,如果ID在数据库 中可W找到,则要求U输入一个新的ID。
[001引步骤2. 3 ;如果用户U是第一次注册自己的信息,则服务器S置N= 0,当U因丢失 智能卡而需要重新想服务器注册时,S将会更新N=化1,然后将(I化脚存入数据库中。
[0019] 步骤 2. 4 ;服务器S计算Q=H(ID| |s),M=A出Q=H(PW||a)出H(ID| |s), V=H(ID| |A)。选取随机数Z;.计算mid=ID出H(m),R=s出m。S将 (Ep,HO,P,p,Y,N,MI化R,M,V}存储在智能卡中并通过安全信道发送给U。
[0020] 步骤2. 5 ;U接收到智能卡后,将a输入其内保存。最终,智能卡包含信息为{Ep,H 0,P,P,Y,N,MID,R,M,V,a}。
[0021] 步骤3中所述的为了能够登录到远程服务器S,用户U计算登录信息并提交给 S。首先U将智能卡SC插入读卡器中,并输入身份ID和口令PW,然后智能卡SC计算A=H(PW||a),Q=M出A。同时SC计算V*=H(ID| |A)并验证V*与V是否相等。如果不相等, 则智能卡停止执行协议,否则,智能卡SC选择foes和时间戳Ti,计算B=Q?b?P,H(m) =MID出ID,CID=MID出H化(m)I|Ti),Fi=H(ID| |B||TJIqI|脚。最后智能卡SC将签名 mi= {CID,B,R,Fi,Ti}发送给S。
[0022] 步骤4中,具体包括W下步骤:
[002引步骤4. 1 ;接收到叫后,S验证Ti是否有效,如果Ti无效,S停止执行协议。 否贝1J,S计算m*= S出R,Q*= H(ID*| |s),I护=CID出H(m*)出H化(m*) I |Ti),Fi*= Ha护||BMTJ|Q||N),N取自aD,N,Tl)。然后,S验证F巧PFl是否相等。如果不等,则停 止执行协议,否则,S成功认证U。
[0024] 步骤4. 2 ;S选择随机数ce*与和时间戳T2,然后计算C =C? P,d = Q*-i ?C? B = c.b.P,sk = H(I护||B| |cMd),F2=H(sk||d| IT2)。然后S将ni2=巧2,了2,口发送给U, 并将(ID, N,Ti)存储在数据库中。
[0025]步骤4. 3 ;U接收到m2后,检查T2是否有效。如果无效,S停止执行协议,否则,计 算d*=b?C,sk*=H(IDI|BIIC|Id*),尸2*=H(sk*1Id*|ITg)并验证尸2与F2*是否相等,如 果不等,则停止执行协议,否则,成功认证S,并接受sk>为正确的会话密钥。
[0026] 步骤5中,具体包括W下步骤:
[0027] 步骤5. 1 ;用户U将智能卡插入读卡器中,并输入旧的身份ID和口令PW。
[002引 步骤 5.2;智能卡SC计算A=H(PW||a),Q=M出A,V*=H(ID| |A),并验证V* 与V是否相等。若不等,则SC拒绝修改口令请求并将拒绝修改信息反馈给用户,否则,继续执 行下面步骤。
[0029] 步骤5. 3 ;智能卡SC要求U输入两遍设置的新口令和一个新的随机数。胃。 SC计算A贈=H(PWneJkJ,M贈=Anew出Q=H(PWneJkJ出H(IDMs),V贈=H(ID| |AnJ。 选取一个新的随机数"!廳.e*与,计算MID""=ID0H(m"J,咕。,=s0111。"然后智能卡将原 来的巧P,H0,P,P,Y,N,MID,R,M,V,a}更新为巧P,H0,P,P,Y,N,MIDnew,Rnew,Mnew,V。?,3nJ。
[0030] 步骤6中,具体包括w下步骤:
[0031] 步骤6. 1 ;用户U选择新的口令PW'和一个随机数。'%与,然后将ID和A' = H(PW'I|a')通过安全信道发送给S。
[0032] 步骤6. 2 ;S首先验证ID格式的正确性,如果格式不正确则停止执行协议,否则S 将(H),N,Ti)中的N更新为N' =化1W达到撤回丢失智能卡的目的。
[003引 步骤 6. 3;S计算M' =A' 出Q=A' 出H(ID| |s),V' =H(ID| |A'I|PW')。选取一 个新的随机数计算MID'=ID出H(m' ),R'=s出m',S将巧p,H(),P,p,Y,N' ,MID',R',M',V'}存储进智能卡中,并通过安全信道发送给U。
[0034] 步骤6. 4 ;接收到智能卡后,U将a'嵌入其中,最终,智能卡包含信息为{Ep,HQ,P ,p,Y,N',MID' ,R' ,M',V',a'}。
[0035] 本发明具有的有益效果: [0036] 本发明保护用户匿名性。在步骤2中,U通过安全信道将ID传输给S,该意味着任 何攻击者不能窃取到ID。而且在步骤3-4中,为了保护ID,我们将动态身份信息的CID= MID出H化(m) ||Ti)用于传输,因为ID=CID出H(m)出H化(m) ||Ti)而随机数m对于攻击 者是无法知晓的,也就是说攻击者不能通过CID还原出用户U的真是身份,从而表明本发明 可W保护用户的匿名性。
[0037] 本发明提供双向认证和密钥协商。在步骤4中,用户与服务器达到了双向认证的 目的。首先,通过步骤1),服务器S成功认证了用户U,再通过步骤3),用户U也成功认证了 服务器S,该样双方便实现了相互认证。此后,计算会话密钥sk=HaDMBMcMd),其中d =C?b?B是由U和S共同决定的,该意味着,会话密钥sk在每一次会话中都不会相同,当 会话到期后,sk不能被重复使用,因为它是由B、C和d共同决定的。该保证了U和S之间 秘密信息的传递。从而达到了双向认证和密钥协商的目的。
[003引本发明抵抗重放攻击。在步骤4中,如果服务器S接收到再一次的登录请求,即m/ ={CID',Bi',Fi',V},S从(ID,N,Ti)中提取出Ti与T1'进行比较,如果V=Ti,那么S 拒绝叫',因为该可能是发自攻击者的重放信息,否则,S将(ID,N,Ti)更新为(H),N,Ti')。 从而保证协议抵抗重放攻击。
[0039] 本发明抵抗拒绝服务攻击。在步骤3、5中,当攻击者输入错误的ID'和PW',智能 卡通过计算Vt=H(ID' ||A)并与V进行比对,发现不相等后,停止协议进行,并拒绝攻击 者的请求,从而保证协议抵抗拒绝服务攻击。
[0040] 本发明抵抗已知密钥攻击。由于哈希函数HO的单向性和b,c的随机性质,使得 每个会话密钥sk都不尽相同。因此攻击者无法从之前或者之后的会话中得到相近会话的 密钥,从而保证协议抵抗已知密钥攻击。
[0041] 本发明抵抗偷窃智能卡攻击。假设用户U的智能卡遭到偷窃,攻击者获得了智能 卡SC中的信息{Ep,H0,P,P,Y,N,MID,R,M,V,a},同时通过公共信道,攻击者还掌握了叫二 (CI化B,R,Fi,,该样造成了MI化M,V,a的泄露,但是由于攻击者不能得到用户的口令PW, 使得他不能计算出A,也就无法得到Q。同时,攻击者也无法知晓随机数m,m是MID的重要 组成部分。从而,攻击者不能冒充用户欺骗服务器,从而保证协议抵抗偷窃智能卡攻击。
[0042] 本发明提供前向安全性。即使私钥S被泄露,攻击者也不能计算出sk= H(ID| |B| |c| |d),因为d=C?b?P,而b,C是随机选取且相互独立的,同时,通过叫和m2, 攻击者可W获得到化C)=怕'b'P,C'P),基于CDH问题的难解性可知,攻击者无法计算 出山也就无法得到sk。从而协议具有密钥前向安全性。
[00创本发明的运算性能强,在仰U: 1. 6GHz,RAM: 2. 0GB)环境下整个过程计算时间为 5. 97ms,相比现有的协议计算时间大幅度缩短。
【附图说明】
[0044] 图1为本协议方法的总体流程示意图;
[0045] 图2位用户注册的流程图;
[0046] 图3为用户登录认证的示意图;
[0047] 图4位用户登录认证的流程图;
[0048] 图5为用户修改口令的示意图;
[0049] 图6为用户撤销丢失智能卡的示意图;
[0050] 图7位用户撤销丢失智能卡的流程图。
[0化1] 具体实施方法
[0052] 下面将结合附图和实施例对本发明作进一步的详细说明。
[0053] 本协议的安全性和高效性主要体现在设计中优化楠圆曲线点乘算法,并在适当节 点嵌入鉴别码和计数组,可具体应用在网上银行等系统中,如图1所示具体操作如下:
[0054](一)初始化阶段
[0化5] 在本阶段,服务器S将会通过W下步骤产生系统参数。
[0056] 1)S选择楠圆曲线E:y2三x3+ux+v(modp),Ep(u,V)是楠圆曲线E的n阶点加法群, P为其生成元,即n?P= 0。
[0化7] 2)S选择W马作为自己的私钥并保存,计算Y=S?P为公钥,然后选择单向哈希 函数W:):化 11* 一Z;。
[005引 3)S保密S,公布其系统参数W= {Ep,H0,P,P,刊。
[0059](二)注册阶段
[0060] 在本阶段,每一个用户U与服务器S需要在安全信道中进行通讯,双方按照W下步 骤执行:
[0061] 1)用户U决定自己的身份ID,口令PW和随机数。句马,计算A=H(PW| |a),然后 通过安全信道将ID和A发送给服务器S。
[0062] 2)在接收到ID和A之后,S首先验证U提交的注册信息,如果ID在数据库中可W 找到,则要求U输入一个新的ID。
[0063] 3)如果用户U是第一次注册自己的信息,则服务器S置N= 0,当U因丢失智能卡 而需要重新想服务器注册时,S将会更新N=化1,然后将(I化脚存入数据库中。
[0064] 4)服务器S计算Q=H(IDMs),M=A出Q=H(PW||a)出H(IDMs),V=H(IDMA)。 选取随机数。'与;马,计算mid=ID出H(m),R=S出m。S将巧p,H(),P,p,Y,N,MID,R,M,V} 存储在智能卡中并通过安全信道发送给U。
[0065] 5)U接收到智能卡后,将a输入其内保存。最终,智能卡包含信息为{Ep,H(),P,p, Y,N,MID,R,M,V,a}。
[0066] (S)登录阶段
[0067] 为了能够登录到远程服务器S,用户U需按照如下操作计算登录信息:
[0068] 1)登录时,U将智能卡SC插入读卡器中,并输入身份ID和口令PW,然后智能卡SC 计算A=H(PW|Ia),Q=M出A。同时SC计算V*=H(IDIIA)并验证V*与V是否相等。如 果不相等,则智能卡停止执行协议,否则,继续执行下一步。
[0069] 2)智能卡SC选择Z;和时间戳Ti,计算B=Q?b?P,CID= MID出H化(m) ||Ti),Fi=H(ID| |B||TJiQllN)。然后智能卡SC将叫二{CID,B,R,F^Ti}发 送给S。
[0070] (四)认证阶段
[0071] 1)接收到叫后,S验证Ti是否有效,如果Ti无效,S停止执行协议。否则,S计算m* =S出R,Q*= H(ID*| Is), I护=CID出H(m*)出H〇Km*) I |Ti),Fi*= H(ID*| |B| |Tj IqI |脚, N取自(H),N,Ti)。然后,S验证Fi>和Fi是否相等。如果不等,则停止执行协议,否则,S成 功认证U。
[007引 2)S选择随机数C与Z;和时间戳T2,然后计算C=C.P,d=旷1.C.B=C.b.P,sk =H(I护Mb||C| |d),F2=H(sk| |d||T2)。然后S将ni2=伊2,了2,口 发送给U,并将(ID,N,Ti) 存储在数据库中。
[007引3)U接收到m2后,检查了2是否有效。如果无效,S停止执行协议,否则,计算cr= b?C,sk*=H(ID| |B| |C| |0,尸2*=H(sk*| |d*| 忙)并验证F2与F2*是否相等,如果不等, 则停止执行协议,否则,成功认证S,并接受sk>为正确的会话密钥。
[0074] 通过W上步骤用户与服务器之间通过了双向认证并形成了会话密钥。
[0075](五)口令修改阶段
[0076] 1)用户U将智能卡插入读卡器中,并输入旧的身份ID和口令PW。
[0077]。智能卡SC计算A=H(PW||a),Q=M出A,V*= H(ID| |A),并验证V*与V是否 相等。若不等,则SC拒绝修改口令请求并将拒绝修改信息反馈给用户,否则,继续执行下面 步骤。
[007引3)智能卡SC要求U输入两遍设置的新口令和一个新的随机数。马。SC计算 Anew=H(PWnJIa。J,M贈=Anew出Q=H(PWnJI3贈)出H(IDIIS),V贈=H(IDIIAnJ。选 取一个新的随机数"!鹏E*马,计算MID"e,=ID0H(m"J,R""=s0 111。"然后智能卡将原 来的巧p,H0,P,p,Y,N,MID,R,M,V,a}更新为巧p,H0,P,p,Y,N,MIDnew,Rnew,Mnew,Vnew,3nJ。
[0079] 通过w上步骤用户完成了口令修改。
[0080] (六)丢失智能卡撤回阶段
[0081] 当用户U不慎将智能卡丢失或者智能卡被窃取时,需要将原有的智能卡在数据库 中的信息撤回,在本阶段,U向S请求撤回丢失智能卡数据:
[00間 1)用户U选择新的口令PW'和一个随机数。'€?与,然后将ID和A' =H(PW' ||a') 通过安全信道发送给S。
[0083] 2)S首先验证ID格式的正确性,如果格式不正确则停止执行协议,否则S将 (H),N,Ti)中的N更新为N' =化1W达到撤回丢失智能卡的目的。
[0084] 3)S计算M'=A'出Q=A'出HaD||s),V'=HaD||A')。选取一个新的随机数 w'eリZ;;,计算MID'=ID出H(m'),R'=s出m',S将巧p,H(),P,p,Y,N',MID',R', M',V'}存储进智能卡中,并通过安全信道发送给U。
[00财 4)接收到智能卡后,U将a'嵌入其中,最终,智能卡包含信息为{Ep,H0,P,P,Y,N ',MID' ,R' ,M',V',a'}。
[0086] 通过W上步骤,用户撤消了丢失的智能卡。
【主权项】
1. 一种基于口令和智能卡的远程认证协议方法,其特征在于,该协议方法包括以下六 个步骤: 步骤1 :服务器S初始化产生系统参数; 步骤2 :用户U向服务器S在安全信道中提交注册请求,S经过验证处理后,将注册信息 存存储在智能卡中并通过安全信道反馈给U,最终U完善智能卡信息并保存; 步骤3 :用户U向远程服务器S提交登录请求,计算签名并发送给S ; 步骤4 :服务器S与用户U通过对签名的验证实现双向认证,并协商出一个会话密钥; 步骤5 :判断用户U是否需要修改口令,如需要,通过智能卡进行数据更新,如不需要, 执行步骤6 ; 步骤6 :判断用户智能卡是否丢失,如丢失,请求服务器S将原有的智能卡在数据库中 的信息撤回并重新注册新的智能卡信息;如未丢失,结束。2. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤1所述的服务器S选择椭圆曲线E:y2= X 3+ux+v(modp),Ep(u, V)是椭圆曲线E的η阶 点加法群,P为其生成元,即η ·Ρ = 0。然后选择s eZ〗作为自己的私钥并保密,计算Y = s ·Ρ 为公钥,公布系统参数。3. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤2中,具体包括以下步骤: 步骤2. 1 :用户U决定自己的身份ID,口令PW和随机数《4<,计算A = H(PW| |a),然 后通过安全信道将ID和A发送给服务器S。 步骤2. 2 :在接收到ID和A之后,S首先验证U提交的注册信息,如果ID在数据库中可 以找到,则要求U输入一个新的ID。 步骤2. 3 :如果用户U是第一次注册自己的信息,则服务器S置N = 0,当U因丢失智能 卡而需要重新想服务器注册时,S将会更新N = N+1,然后将(ID,N)存入数据库中。 步骤 2.4 :服务器 S 计算 Q = H(ID| |s),M = A 十 Q = H(PW| |a)十 H(ID| |s), V = H (ID I IA)。选取随机数 'η 4 Ζ;,计算 MID = ID 十 H (m),R = s 十 m。S 将 {Ep,HO,P,p,Y,N,MID,R,M,V}存储在智能卡中并通过安全信道发送给U。 步骤2.5 :U接收到智能卡后,将a输入其内保存。最终,智能卡包含信息为{Ep,H(),P ,p,Y,N,MID, R,M,V,a}。4. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤3所述的为了能够登录到远程服务器S,用户U计算登录信息并提交给S。首先U将智 能卡SC插入读卡器中,并输入身份ID和口令PW,然后智能卡SC计算A = H (PWI I a),Q = M ? A。同时SC计算V#= H(ID I IA)并验证V#与V是否相等。如果不相等,则智能卡停止执行 协议,否则,智能卡SC选择2丨和时间戳T1,计算B = Q ·b ·P,CID = MID ? H(H(m) I I T1),F1= h(idI |bI It1I IqI Iy| In)。最后智能卡 sc将签名 Hi1= IciDjAF1JJ 发送给 s。5. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤4中,具体包括以下步骤: 步骤4. 1 :接收到HI1后,S验证T 1是否有效,如果T1无效,S停止执行协议。否 则,S 计算 m*= S 十 R,Q *= H(ID *1 |s),ID*= CID 十 H(m *)十 I |1\),F1* = h(id*| |b| It1I IqI |γ| |n),n取自(idal)。然后,s验证F1Ipf1是否相等。如果不等,则 停止执行协议,否则,s成功认证u。 步骤4. 2 :S选择随机数Ces Z】#和时间戳T 2,然后计算C = c · P,d = Qh"1 · c · B =c.b.p,sk = H(iD*| |b| |c| |d),F2=H(sk| |d| |τ2| |γ)。然后 s 将 Hi2= {f2,t2,c}发送给 u,并将存储在数据库中。 步骤4. 3 :U接收到叫后,检查T 2是否有效。如果无效,S停止执行协议,否则,计算0- =b · C,sk*= H(ID| |B| |C| |〇, F2*= H(sk*| |d*| |T2| |Y)并验证 FgF2*是否相等,如果 不等,则停止执行协议,否则,成功认证S,并接受Ski为正确的会话密钥。6. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤5中,具体包括以下步骤: 步骤5. 1 :用户U将智能卡插入读卡器中,并输入旧的身份ID和口令PW。 步骤5. 2:智能卡SC计算A = H(PW| |a),Q = M十A,V*=H(ID| |Α),并验证V*与V是 否相等。若不等,则SC拒绝修改口令请求并将拒绝修改信息反馈给用户,否则,继续执行下 面步骤。 步骤5. 3 :智能卡SC要求U输入两遍设置的新口令和一个新的随机数勺Z)。SC计 算 Anew= H (PW new I I anew),Mnew= A new ? Q = H (PW new I I anew) ? H (ID I I s),Vnew= H (ID I IA new) 〇 选取一个新的随机数zJi,计算MIDnew= ID ? H(mnew),Rnew= s ? mnew然后智能卡将原 来的{Ep, H (),P, p, Y, N, MID, R, M, V,a}更新为{Ep, H (),P, p, Y, N, MIDnew, R_ Mnew, Vnew, anew}。7. 根据权利要求1所述的一种基于口令和智能卡的远程认证协议方法,其特征在于, 步骤6中,具体包括以下步骤: 步骤6. 1 :用户U选择新的口令PW'和一个随机数^ Z〗,然后将ID和A' =H (PW' I I a') 通过安全信道发送给S。 步骤6. 2 :S首先验证ID格式的正确性,如果格式不正确则停止执行协议,否则S将 (ID1N1T1)中的N更新为Ν' =N+1以达到撤回丢失智能卡的目的。 步骤 6.3 :S 计算 Μ' =A' 十 Q = A' 十 H(IDlIs),V' =H(ID Il A')。选取一个新的随 机数所计算 MID,=ID 十 H(m,),R,=s 十m,,S将{Ep,H(),P,p,Y,N',MID,,R ^,M',V'}存储进智能卡中,并通过安全信道发送给U。 步骤6.4 :接收到智能卡后,U将a'嵌入其中,最终,智能卡包含信息为{Ep,H(),P,p,Y ,N',MID,,R,,M',V',a'}。
【专利摘要】本发明提出一种基于口令和智能卡的远程认证协议方法,属于信息安全领域。协议采用优化的椭圆曲线算法,嵌入计数组和鉴别码,提供了口令修改和撤销丢失智能卡的功能。本发明保护了用户的匿名性,安全高效,通过两次交互即实现用户的双向认证并成功协商会话密钥,适用于电子现金、在线教育及远程医疗等远程认证系统。
【IPC分类】H04L29/06, H04L9/32
【公开号】CN104901809
【申请号】CN201510195736
【发明人】张筱, 单宝松, 郑志明, 李轩昂
【申请人】北京航空航天大学
【公开日】2015年9月9日
【申请日】2015年4月23日
最新回复(0)