[发明专利]基于口令的认证方法及用于执行该方法的装置

说明书

技术领域

本发明涉及一种网络上的安全技术。

背景技术

基于口令的密钥交换协议(PAKE：Password Authenticated Key Exchange)是指参与通信的两个以上的主体共享基于其中的一个以上主体所掌握的口令而加密的用于通信的密钥的过程。PAKE可根据其具体实现方式而分为基于公开密钥证书的PAKE和基于非公开密钥证书的PAKE。

对于基于公开密钥证书的PAKE而言，存在的问题在于为了交换密钥而始终要有执行公开密钥认证的步骤，且在服务器的私钥被泄露时无法保障有关账户的前向安全性(forward secrecy)和后向安全性(backward security)。另外，至于为了解决这种基于公开密钥证书的问题而提出的基于非公开密钥证书的PAKE(相关规范：IEEE P1363.2以及ISO/IEC 11770-4)，则由于采用了将口令直接进行幂运算而存储的认证单元(verifier)构成方式，从而导致了现有的系统中数据迁移(migration)及参数(parameter)更新有困难的新问题。并且，由于采用这种方式时需要将口令与参数组(group parameter)直接结合，因此为了应对离线分析而需要相对较多的实时计算量，存在无法实现协议的消息流灵活交替的问题。

发明内容

本发明旨在解决如上所述的技术问题，本发明实施例的目的在于提供一种通过在现有技术中的基于口令的密钥交换协议中应用基于ID的加密技术而兼具基于公开密钥证书的PAKE以及基于非公开密钥证书的PAKE的所有优点的高效的认证及密钥交换协议。

根据本发明一个实施例的一种基于口令的认证方法，包括如下步骤：在终端中，利用所述终端用户的ID以及与服务器交换的密钥生成因子而生成基于ID的密钥K；在所述终端中，利用将生成的所述密钥K作为对称密钥的对称密钥加密算法而对所述用户的口令进行加密，并将加密的所述口令发送给所述服务器，从而请求所述终端用户的认证；在所述终端中，从所述服务器接收针对上述认证请求的响应。

上述密钥生成步骤可包括如下步骤：在所述终端中，将通过终端侧随机数x计算的第一密钥要素X发送给服务器；在所述终端中，从所述服务器中接收第二密钥要素Y，其中，所述终端可利用所述终端侧随机数x、所述第一密钥要素X、所述第二密钥要素Y、以及所述ID而生成所述密钥K。

所述终端可利用所述第一密钥要素X、所述第二密钥要素Y、以及所述ID的哈希值I而生成共同哈希值e，并利用所述共同哈希值e、所述终端侧随机数x、所述第一密钥要素X、所述第二密钥要素Y、以及所述ID的哈希值I而生成所述密钥K。

可通过对包含所述共同哈希值e、所述终端侧随机数x、所述第一密钥要素X、所述第二密钥要素Y、以及所述ID的哈希值I的第一字符串进行哈希运算而生成所述密钥K。

所述第一密钥要素X为可通过如下数学式进行计算：

X＝g^x

其中，当把有限群Z_N＝{0，1，2，…，N-1}的最大循环子群的产生源表示为时，g为通过生成的循环子群G的产生源，而N为满足N＝pq的整数，p和q为分别满足p≡3(mod4)、q≡3(mod4)的质数。

所述密钥K为可通过如下数学式进行计算：

K＝h₁(X，(Y，I)，(YI^e)^x)

其中，h₁为第一随机哈希函数，I＝H(ID)，H为满足关系H：{0，1}^*—>G的哈希函数。

所述方法还可以包括如下步骤：执行完将加密的所述口令发送给所述服务器的步骤之后，在所述终端中利用第二随机哈希函数h₂而对包含所述共同哈希值e、所述终端侧随机数x、所述第一密钥要素X、所述第二密钥要素Y、以及所述ID的哈希值I的字符串进行哈希运算而生成会话密钥sk；在所述终端中，利用第三随机哈希函数h₃而对包含所述第一密钥要素X、所述第二密钥要素Y、所述ID的哈希值I、所述会话密钥sk、以及所述口令的第二字符串进行哈希运算而生成第一验证值；在所述终端中，将所述第一验证值发送给所述服务器。

所述会话密钥sk为可以通过如下数学式进行计算：

sk＝h₂(X，(Y，I)，(YI^e)^x)