[發(fā)明專利]基于口令和生物特征的安全雙因子認證與密鑰協(xié)商方法在審
| 申請?zhí)枺?/td> | 202310710908.0 | 申請日: | 2023-06-15 |
| 公開(公告)號: | CN116599663A | 公開(公告)日: | 2023-08-15 |
| 發(fā)明(設(shè)計)人: | 許春香;韓云霞;沙永熙 | 申請(專利權(quán))人: | 電子科技大學(xué);電子科技大學(xué)長三角研究院(湖州) |
| 主分類號: | H04L9/08 | 分類號: | H04L9/08;H04L9/32;H04L9/14;H04L9/40 |
| 代理公司: | 電子科技大學(xué)專利中心 51203 | 代理人: | 鄒裕蓉 |
| 地址: | 611731 四川省成*** | 國省代碼: | 四川;51 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 基于 口令 生物 特征 安全 因子 認證 密鑰 協(xié)商 方法 | ||
本發(fā)明提供一種基于口令和生物特征的安全雙因子認證與密鑰協(xié)商方法,該方法可以抵抗針對用戶口令和生物特征的離線猜測攻擊。用戶利用自己的口令和生物特征生成一個組合因子。該組合因子將會被用戶發(fā)送到服務(wù)器,并存儲在服務(wù)器中,用以在認證中驗證用戶的身份。為了抵抗離線猜測攻擊,本發(fā)明采用兩方安全計算技術(shù)保證組合因子的安全傳輸,防止敵手通過竊聽信道來獲取組合因子。為了實現(xiàn)組合因子的安全存儲,利用服務(wù)器的主密鑰對其進行盲化和加密,生成用戶的認證憑證,并將該憑證存儲到服務(wù)器端,其中主密鑰被安全的保存在服務(wù)器端的可信執(zhí)行環(huán)境中,由可信執(zhí)行環(huán)境的安全性保證敵手不能獲得主密鑰。
技術(shù)領(lǐng)域
本發(fā)明涉及基于口令和生物特征的雙因子認證與密鑰協(xié)商技術(shù),特別涉及抵抗針對口令和生物特征的離線猜測攻擊的技術(shù)。
背景技術(shù)
在日常生活中,用戶經(jīng)常訪問各種遠程服務(wù),如網(wǎng)上購物、網(wǎng)上銀行和在線醫(yī)療。當(dāng)用戶訪問遠程服務(wù)(例如網(wǎng)上銀行)時,通常需要使用自己的口令向服務(wù)器(即銀行)驗證自己的身份。同時為了保護用戶與服務(wù)器的后續(xù)通信(通信內(nèi)容可能涉及用戶的敏感信息),用戶還需要與服務(wù)器協(xié)商一個會話密鑰。這種模式被稱為基于口令的認證與密鑰協(xié)商,它可以同時滿足身份認證和信息保護的要求。然而,基于口令的認證與密鑰協(xié)商使用單一因子(即口令)認證用戶的身份,這不能確保足夠的安全。如果敵手妥協(xié)了用戶的口令,他就可以冒充合法的用戶來訪問服務(wù)器,以獲取不正當(dāng)利益。更糟糕的是,用戶傾向于為不同的賬戶設(shè)置相同的口令或相似口令。一旦用戶的口令被妥協(xié),敵手就可以冒充合法用戶訪問這些賬戶。
一些現(xiàn)有的認證與密鑰協(xié)商方案引入了第二個認證因子,如生物特征、智能卡或令牌,來加強基于口令的認證與密鑰協(xié)商的安全性。用戶需要使用兩個不同的認證因子(例如,口令和智能卡)來向服務(wù)器驗證他/她的身份。只有當(dāng)這兩個因子都被成功認證后,用戶和服務(wù)器才能協(xié)商一個會話密鑰。這種機制被稱為雙因子認證與密鑰協(xié)商。它實現(xiàn)了雙因子安全,保證敵手不能冒充合法的用戶訪問服務(wù)器,即使他已經(jīng)妥協(xié)了用戶的口令。一些現(xiàn)有的雙因子認證密鑰協(xié)商協(xié)議使用智能卡或令牌作為第二認證因子。它們要求用戶隨身攜帶第二個認證因子,這給用戶帶來了不便。此外,用戶在生活中可能會訪問各種服務(wù),每種服務(wù)都需要一個令牌或智能卡,管理這些令牌或智能卡也給用戶增加了負擔(dān)。與令牌或者智能卡相比,生物特征(例如,指紋、虹膜、掌紋等)在這方面具有優(yōu)勢:它們不需要攜帶,也不會給用戶帶來管理負擔(dān)。因此,生物特征為實現(xiàn)雙因子認證與密鑰協(xié)商提供了一種方便和用戶友好的方式。
現(xiàn)有的工作通常采用模板保護技術(shù)如模糊提取器來保護用戶的生物特征。具體來說,用戶使用模糊提取器從自己的生物特征中生成一個公開幫助字符串和一個秘密字符串,并將秘密字符串存儲在服務(wù)器中。模糊提取器保證敵手不能通過公開幫助字符串來恢復(fù)用戶的生物特征。
然而,由于現(xiàn)實世界中的各種原因,用戶的生物特征被越來越多的收集。這會影響生物特征的熵,導(dǎo)致其低于預(yù)期。如果敵手妥協(xié)了服務(wù)器,并從中獲得了秘密字符串,敵手可以通過發(fā)起離線猜測攻擊來恢復(fù)用戶的生物特征。具體地,敵手使用公開幫助字符串以及候選的生物特征離線計算一個秘密字符串集合,并將妥協(xié)的秘密字符串與集合中的元素逐個進行匹配。如果匹配成功,敵手獲得用戶的生物特征。為了抵抗這種攻擊,本發(fā)明設(shè)計一種基于口令和生物特征的安全雙因子認證與密鑰協(xié)商方法,該方法可以抵抗對于口令和生物特征的離線猜測攻擊。
發(fā)明內(nèi)容
本發(fā)明所要解決的問題是,在基于口令和生物特征的雙因子認證與密鑰協(xié)商中,如何抵抗針對口令和生物特征的離線猜測攻擊。
本發(fā)明為解決上述問題所采用的技術(shù)方案是,基于口令和生物特征的安全雙因子認證與密鑰協(xié)商方法,包括步驟:
系統(tǒng)初始化階段:根據(jù)安全參數(shù)進行系統(tǒng)初始化,確定系統(tǒng)的公共參數(shù);初始化一個模糊提取器,其中模糊提取器包含兩個算法:生成算法和再生算法;服務(wù)器的主密鑰被安全的保存在服務(wù)器端的可信執(zhí)行環(huán)境中;
注冊階段:
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于電子科技大學(xué);電子科技大學(xué)長三角研究院(湖州),未經(jīng)電子科技大學(xué);電子科技大學(xué)長三角研究院(湖州)許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202310710908.0/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種環(huán)境工程用污水處理裝置
- 下一篇:一種用于磁控濺射的陰極裝置
