技術領域

本發明涉及一種面向多服務器環境的認證方法，特別涉及一種基于切比雪夫混沌映射與基于生物特征與口令的智能卡認證方法。

背景技術

基于智能卡與口令的認證方法，是分布式系統中較為實用與有效的多因子認證機制。盡管這項技術已經被廣泛的應用于生活中的一些領域，如銀行系統等。但目前所提出的認證方法，仍然在可用性、安全性等方面存在一些不足。例如，僅支持單服務器的環境、不能抵抗例如離線口令猜測攻擊等常見的攻擊手段等。

傳統的認證方法只考慮了單服務器的環境，例如中國專利CN104702559A，CN10491809A所揭示的方法。如果用戶需要多個服務器提供服務，就必須在多個服務器分別進行注冊。對用戶造成了許多的不便，例如需要記憶多個服務器的口令等。因此，多服務器環境下的認證方法被提出：用戶只需要在注冊中心進行一次注冊，便可在所有的服務器得到服務。

在多服務器環境下，需要多個個體之間的相互通信。如果使用傳統的對稱密碼體制，則會遭遇密鑰協商、密鑰管理的等難題。針對上述問題，可采取公鑰加密進行認證方法的設計。切比雪夫混沌映射作為一種簡單實用的高有效位數字計算算法，具有良好的密碼學特性，通過使用基于切比雪夫混沌映射的公鑰密碼算法，可以有效的解決密鑰協商、密鑰管理等難題。

由于生物特征具有以下的優點：(1)不易丟失；(2)極難偽造；(3)不易復制；(4)不易猜測，因此，越來越多的基于智能卡的認證方法開始引入其作為認證的第二或者三因素，例如中國專利CN104767624A，通過引入生物特征，可以有效的抵抗口令猜測攻擊與智能卡丟失攻擊等常見攻擊手段，以保證方法的安全。

但是目前，基于多服務器環境且綜合了這三因素的方法還沒有被提出。

發明內容

針對目前認證方法不支持多服務器環境、不能完整抵御服務器偽裝攻擊、離線口令猜測攻擊、重放攻擊的不足，本發明提供一種多服務器環境下的三因素認證方法。通過使用基于切比雪夫混沌映射的公鑰加密，實現了多服務器環境下的認證與密鑰協商。同時使用基于智能卡、口令、生物特征的三因素認證來保證認證方法的安全性能，具有雙向認證，會話密鑰前向安全的重要性質，并且能夠抵御上述常見攻擊。

本發明為實現上述的目的所采用的技術方案如下：

步驟1：系統初始化階段：系統初始化時，注冊中心產生基于切比雪夫混沌映射的公鑰密碼體制的公私鑰對。

步驟2：注冊階段：本階段分為服務器注冊與用戶注冊兩個階段：

步驟2.1：服務器注冊：在安全信道下，服務器向注冊中心發出注冊請求，并提交它的相關信息，注冊中心收到請求后，生成服務器認證參數并發送給服務器，完成注冊。

步驟2.2：用戶注冊：在安全信道下，用戶向注冊中心發出注冊請求，并提交他的賬號口令相關信息，注冊中心收到請求后，計算用戶認證參數并存入智能卡中，將智能卡發送給用戶，用戶輸入生物特征并計算登錄驗證參數，用生物特征加密驗證參數，存入智能卡，完成注冊。這里的生物特征可以是任意類型的生物特征，例如指紋，虹膜等。

步驟3：登錄與認證密鑰協商階段：本階段分為以下三個階段：

步驟3.1：用戶將智能卡插入讀卡器中，輸入生物特征、帳號、口令，使用生物特征解密登錄驗證信息，并驗證賬號與口令的正確性，驗證通過后，智能卡生成隨機數并使用其對用戶認證參數、服務器信息進行加密計算出一系列登錄參數，然后將其發送至欲登錄的服務器。在這里，可以使用任意一個服務器的信息來計算登錄參數，并進行登錄程序。

步驟3.2：服務器收到用戶的登錄參數后，生成隨機數，將自己的信息加密，與登陸參數、服務器認證參數發送給注冊中心。注冊中心收到后，使用私鑰解密并驗證登錄參數與服務器認證參數，并驗證登錄參數中的服務器信息與服務器提供的信息是否相同，以對用戶，服務器的合法性進行驗證。驗證通過則計算注冊中心認證參數，發送至服務器。

步驟3.3：服務器收到注冊中心認證參數后，驗證合法性，通過隨機數計算會話密鑰與認證參數，并將認證驗證參數發送給用戶。用戶收到后，驗證合法性，通過隨機數計算會話密鑰，從而完成了多服務器環境下的登錄、認證、密鑰協商。面對不同的服務器只需修改登錄參數中的服務器信息，即可以相同的方式進行登錄、認證、密鑰協商。

本發明的優點在于：

本發明實現了多服務器環境下的認證與密鑰協商：經過注冊后，用戶可以在任意一個服務器通過步驟3進行登錄、認證、密鑰協商。