一种基于属性的口令认证密钥协商方法

本发明属于信息安全，特别是涉及一种口令认证密钥协商方法。

背景技术：

1、在当今的网络环境中，口令是一种广泛使用的用户身份认证方式。在基于口令的身份验证密钥交换框架内，具有低熵口令的双方可以通过交换高熵的会话密钥来促进安全通信。然而，口令容易受到各种形式的攻击，包括在线、离线或混合猜测攻击。其中，离线猜测攻击构成了重大威胁，因为它不会被安全团队和应用服务器日志检测到，从而使传统的保护措施如帐户锁定失去效果。

2、为了降低服务器端口令泄露的风险，已经出现了许多致力于建立安全的基于密码的身份验证方案。这些方案可以大致分为三类别：

3、1)通过加盐口令哈希提供口令安全性，这涉及使用盐值对口令进行哈希计算(如pbkdf2)。这种方法可以增加口令的安全性，使得恶意攻击者难以通过猜测或破解口令来获取用户凭证。

4、2)通过新兴的密码原语提供口令安全性。例如，服务器可以使用内存硬哈希函数(如balloon哈希和scrypt)对口令进行哈希操作。这些密码原语具有更高的计算复杂度，使得攻击者更加困难地进行离线猜测攻击。

5、3)通过引入独立的加密服务器来加强用户口令的安全性。这种方法通过将用户口令存储在专门的加密服务器上，而不是直接存储在应用服务器上，提供了额外的保护层。加密服务器负责处理用户口令的验证和存储，从而减少了应用服务器被攻击导致口令泄露的风险。

6、虽然这些方法确实增加了攻击者破解用户口令所需的工作量，但它们依赖于一个关键的前提条件：服务器在长时间内的持续诚实和可靠性。因此，如果服务器受到损害，这些方案的安全性将面临无法挽回的风险。

7、双因素身份认证提供了强大的防御，以抵御账户被入侵的风险。然而，传统的双因素身份验证方案在用户灵活性和细粒度授权方面存在局限。现有的双因素口令认证方法主要关注确保用户口令的机密性，却往往忽视了对用户隐私保护的重要性。用户隐私涉及几个方面，包括维护用户身份的匿名性和不可追溯性，保护个人信息和活动，以及实现细粒度访问控制。用户的匿名性要求攻击者无法确定两个身份验证密钥交换是否由同一用户执行，而用户的不可追溯性则要求攻击者无法将不同会话链接或跟踪到同一用户。换句话说，这意味着用户的身份既不能被计算出来，也不能被攻击者追踪到。此外，细粒度访问控制需要为用户提供灵活验证的能力。例如，用户可以决定与谁进行通信，这在私密通信场景中尤为重要。例如，用户之间的相互身份验证确保只与预期接收者进行持续通信，从而增强通信的安全性和隐私性。

8、为了提高系统的安全性和可用性，大多数方案提出了一种使用口令和智能卡进行用户认证的方法，这本质上是一种常见的双因素认证形式。在这些方法中，用户需要输入正确的口令，并持有智能卡进行验证。当口令泄露时，辅助的智能卡就形成了“第二道防线”。此外，还存在其他形式的双因素认证方法，例如使用生物识别技术结合智能卡进行认证。这些方法利用用户独特的生物特征特征，例如指纹或面部特征，并结合智能卡进行身份验证。总的来说，双因素身份验证相比单口令身份验证可以为用户账户提供更高的安全性。它结合了两个或多个不同的身份验证要素，使攻击者更难以突破。

9、因此，在双因素认证方法的设计中，应该综合考虑用户隐私保护的要求，除了确保口令的机密性外，还应注重用户的匿名性和不可追溯性，以及支持用户自定义细粒度访问控制。如此，我们可以更好地保护用户的隐私，增强身份验证系统的安全性和可信度。

技术实现思路

1、基于上述的现有技术，本发明旨在提出一种基于属性的口令认证密钥协商方法，实现了高效基于认证系统属性的口令认证密钥交换的认证协商技术方案。

2、本发明目的利用以下技术方案实现：

3、一种基于属性的口令认证密钥协商方法，利用用户属性和口令两个认证因素实现通信实体双方认证，具体步骤包括：

4、利用可信机构ta生成两个通信实体构成的认证系统公钥pp和系统主密钥mk，系统公钥pp和主密钥mk的表达式如下：

5、

6、mk＝{g1，b，{ri，zi}i∈ω}

7、其中，φ表示双线性配对参数，g1，g2表示中间参数，g1＝gs，g2＝gb，gs表示由随机数s生成的生成元，gb表示由随机数b生成的生成元，d0表示群g的一个元素，y表示双线性生成结果，i表示属性，表示加密后的属性，表示签名后的属性，b表示随机数，ω表示认证系统的属性集合，ri、zi表示随机数，下标j表示第j个元素，1≤j≤l，l表示元素总个数；

8、通信实体u向可信机构ta提交自己的属性su，可信机构ta为其生成相应的属性私钥sk\，用于后续通信实体之间的认证密钥交换；所述私钥sku的表达式如下：

9、

10、

11、其中，表示签名密钥，表示解密密钥，表示计算得到的密钥参数，du、d′u、表示中间参数，ru表示随机数，g表示群g的生成元，根据所述私钥sku的生成方式，可信机构ta按照同样的方式分别生成通信实体a的私钥ska、通信实体b的私钥skb；

12、预先共享的口令分别表示为通信实体a的pwa，通信实体b的pwb，其中pwa＝pwb＝pw；

13、输入系统公钥pp、通信实体a的密文cta、通信实体b的认证属性集通信实体b的私钥skb以及一个预先共享的口令pwb，两个通信实体进行认证密钥交换，当验证通信实体a的pwa与通信实体b的pwb均与pw相等时，同时满足对方设定的访问控制策略时，通信实体a和通信实体b通过计算生成共享会话密钥sek，通信实体a和通信实体b共享会话密钥表达式如下：

14、sek＝h4(γ1||γ2||γ3||pw||epka||epkb)

15、其中，γ1、γ2、γ3表示中间参数，αa和αb分别是通信实体a和通信实体b的临时密钥，h4表示哈希函数，epka和epkb分别是通信实体a和通信实体b在信道上传输给对方的消息。

16、相较于现有技术，本发明的有益技术效果如下：

17、该方法实现了以往认证方案所缺乏的灵活性、隐私保护和动态访问控制；此外，该发明还减轻了认证密钥交换方案中一种现实威胁——临时密钥泄露攻击；协议增加了攻击难度，防止口令泄露，即使用户的长期密钥或临时密钥泄露，该认证方法仍然保持真正的双因子安全；同时，本发明是一个单轮协议，意味着在验证过程中仅需要进行两个消息的交换，这使得本发明的方法更加高效，并减少了通信延迟。

技术特征：

1.一种基于属性的口令认证密钥协商方法，利用用户属性和口令两个认证因素实现通信实体双方认证，其特征在于，具体步骤包括：

2.根据权利要求1所述的一种基于属性的口令认证密钥协商方法，其特征在于，其中，所述生成两个通信实体构成的认证系统公钥pp和系统主密钥mk进一步包括以下处理：

3.根据权利要求1所述的一种基于属性的口令认证密钥协商方法，其特征在于，所述生成相应的属性私钥sku进一步包括以下处理：

4.根据权利要求1所述的一种基于属性的口令认证密钥协商方法，其特征在于，所述通信实体a的认证密钥交换进一步包括以下处理：

5.根据权利要求1所述的一种基于属性的口令认证密钥协商方法，其特征在于，所述通信实体b的认证密钥交换进一步包括以下处理：

技术总结本发明公开了一种基于属性的口令认证密钥协商方法，首先，利用可信机构TA生成两个通信实体构成的认证系统公钥PP和系统主密钥MK，通信实体A和B向可信机构TA提交属性，分别生成相应的属性私钥，两个通信实体进行认证密钥交换，当验证通信实体A、通信实体B拥有相同的口令PW，同时满足对方设定的访问控制策略时，通信实体A和通信实体B通过计算生成共享会话密钥SEK。与现有技术相比，本发明能够抵抗临时密钥泄露攻击，同时抵抗口令猜测攻击，实现了更加高效的通信。技术研发人员：汪定,宋蜜,刘哲理受保护的技术使用者：南开大学技术研发日：技术公布日：2024/7/23