專利名稱:帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方法
技術(shù)領(lǐng)域:
本發(fā)明涉及基于口令認(rèn)證的密鑰交換技術(shù)���,特別涉及基于口令認(rèn)證的密 鑰交換技術(shù)有關(guān)的安全技術(shù)和隱私保護(hù)技術(shù)�。
背景技術(shù):
在基于口令認(rèn)證的三方密鑰交換(Three-Party Password-based Authenticated Key Exchange,簡(jiǎn)稱"3 PAKE")中��,兩個(gè)客戶端用戶預(yù) 先各自和在線服務(wù)器共享一個(gè)口令���,然后基于口令�,兩個(gè)用戶在該服務(wù)器 協(xié)助下完成互相認(rèn)證并且建立會(huì)話密鑰�。由于口令是很短的字符串,所需 存儲(chǔ)量很小并且易于人類記憶����,不需要額外的存儲(chǔ)密鑰的外部設(shè)備,也不 需要公鑰基礎(chǔ)設(shè)施(PKI),所以基于口令認(rèn)證的三方密鑰交換協(xié)議在實(shí) 際的安全通信中有著廣泛的應(yīng)用����。在基于口令認(rèn)證的三方密鑰交換的系統(tǒng)中包括兩個(gè)組成部分客戶端 用戶集合to,U2�,…,Ui��,Uw����,…�����,lU和在線服務(wù)器S���,其中每個(gè)用戶Ui (1< i〈n)都在服務(wù)器S上注冊(cè)了身份信息并且都分別和服務(wù)器S共享一個(gè)口 令pwi�。每次進(jìn)行基于口令認(rèn)證的三方密鑰交換都有三個(gè)參與者客戶端 用戶Ui����、客戶端用戶Uj和在線服務(wù)器S。在圖1中給出了一個(gè)現(xiàn)有的基于口令認(rèn)證的三方密鑰交換方案的例 子���,其中G是階為戶的素?cái)?shù)階循環(huán)群����,g為G的兩個(gè)生成元,/,為安全參數(shù)�,而i/p //2和//3是{0,1}*—{0��,1^的哈希函數(shù)����。在現(xiàn)有的基于口令認(rèn)證的三方密鑰交換的方案中, 一般客戶端用戶都 是用口令加密用戶的公鑰(其本身一般是以后生成會(huì)話密鑰的種子)�����,但 當(dāng)對(duì)于客戶端用戶的身份都是明文傳輸��,這是為了服務(wù)器能夠找到該客戶 端用戶所對(duì)應(yīng)的口令���。這樣��,雖然可充分保護(hù)以后生成的會(huì)話密鑰的安全 性�,但對(duì)于涉及用戶的身份的隱私性卻沒有任何的保護(hù)�。例如敵手可通過 簡(jiǎn)單監(jiān)聽��,就可知道哪些用戶經(jīng)常進(jìn)行密鑰交換�,從而推斷出哪些用戶關(guān) 系比較密切���。另外��, 一般通常認(rèn)為在線服務(wù)器是半誠(chéng)實(shí)的�,即它總是誠(chéng)實(shí) 的執(zhí)行協(xié)議但又總是試圖收集一些關(guān)于用戶的信息�����。所以��,用現(xiàn)有的基于 口令認(rèn)證的三方密鑰交換的方案��,服務(wù)器也總能收集到所有用戶進(jìn)行密鑰 交換的紀(jì)錄��。為了解決上述問題���,我們提供了一種帶隱私保護(hù)的基于口令認(rèn)證的三方 密鑰交換方法。該方法較好地克服了現(xiàn)有的基于口令認(rèn)證的三方密鑰交換方 案不能有效的保護(hù)參與用戶的隱私的缺點(diǎn)�。發(fā)明內(nèi)容本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種帶隱私保護(hù)的基于 口令認(rèn)證的三方密鑰交換方法����。本發(fā)明中的主要優(yōu)點(diǎn)在于有效地實(shí)現(xiàn)了客戶端用戶依靠口令和服務(wù)器的幫助進(jìn)行安全的認(rèn)證密鑰交換����,同時(shí)保證身份信息不被泄露�����。其具體 保護(hù)的是以下四個(gè)隱私性質(zhì)防探測(cè)性���,即任意敵手不是服務(wù)器的合法用 戶��,那么該敵手也就不能確定其他任意的參與者是否是合法用戶�;不可關(guān) 聯(lián)性��,即在協(xié)議執(zhí)行中任給兩個(gè)不同別名(在我們的方法中為保證隱私性���, 規(guī)定客戶端用戶以假名參與密鑰交換)�,任意敵手(包括內(nèi)部攻擊者但這 兩個(gè)別名都不是它的)都不能確定它們是否屬于同一合法用戶��;竊聽不可 區(qū)分性�����,即任意敵手通過被動(dòng)地監(jiān)聽密鑰交換的執(zhí)行,仍不能確定該執(zhí)行 是否成功�;服務(wù)器匿名性,即服務(wù)器不能確定是哪兩個(gè)客戶端用戶在借助它來(lái)完成密鑰交換�����。為達(dá)到上述特點(diǎn)����,本發(fā)明提供了一種提供一種帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方法(privacy-preserving 3-party password-based authenticated key exchange,簡(jiǎn)稱"PP-3PAKE")。包含以下部分 A初始化階段��,準(zhǔn)備進(jìn)行密鑰交互的兩個(gè)客戶端用戶相互交換預(yù)備信B客戶端發(fā)起階段���,準(zhǔn)備進(jìn)行密鑰交互的兩個(gè)客戶端用戶分別用各自和 服務(wù)器共享的口令加密消息并且將其和未加密的信息一起發(fā)送給服務(wù)器�;C服務(wù)器處理階段���,服務(wù)器在收到來(lái)自客戶端的請(qǐng)求信息后,采用健忘 傳輸(oblivious transfer)機(jī)制來(lái)處理這些信息并且針對(duì)上述兩個(gè)客戶 端用戶中的每一個(gè)都生成不同的返回消息�,接著分別將這些消息發(fā)送給相 應(yīng)的客戶端用戶;D客戶端認(rèn)證階段�����,客戶端在收到服務(wù)器端的返回信息后,基于自己的 口令��,采用通常的密鑰交換的機(jī)制對(duì)返回信息進(jìn)行處理��,以此來(lái)生成會(huì)話密鑰的種子�,并且用該會(huì)話密鑰的種子生成認(rèn)證信息發(fā)送給對(duì)方用戶;E會(huì)話密鑰生成階段����,若驗(yàn)證通過來(lái)自對(duì)方用戶的認(rèn)證信息,則使用會(huì) 話密鑰種子生成會(huì)話密鑰��。在所述方法中����,在所述初始化階段中交換的初始信息是用戶隨機(jī)選取 的當(dāng)前值和用戶隨機(jī)選取的假名。在所述方法中��,在所述客戶端發(fā)起階段中加密的消息是用戶選取的 Diffie-Hellman公鑰��,而在未加密的信息中也包含一個(gè)用戶自己選取的 Diffie-Hellman公鑰�����。在所述方法中����,在所述服務(wù)器處理階段中�,服務(wù)器采用的健忘傳輸機(jī) 制是使用所有的服務(wù)器上注冊(cè)的口令����,依次分別來(lái)解密來(lái)自一方客戶端的 密文,并且針對(duì)每個(gè)解密結(jié)果�����,隨機(jī)選取不同的Diffie-Hellman私鑰�,接 著基于Diffie-Hellman密鑰交換的方式,使用上述不同的私鑰對(duì)上述每個(gè) 解密結(jié)果依次分別進(jìn)行加密從而生成與注冊(cè)用戶數(shù)同樣多的臨時(shí)密鑰�����,然 后���,服務(wù)器針對(duì)來(lái)自另一方未加密的信息中的Diffie-Hellman公鑰�,選取 一個(gè)Diffie-Hellman私鑰����,接著基于Diffie-Hellman密鑰交換的方式����, 使用上述私鑰對(duì)上述公鑰進(jìn)行加密從而產(chǎn)生Diffie-Hellman密鑰交換的 結(jié)果密鑰���,最后使用上述各個(gè)臨時(shí)密鑰依次分別加密上述結(jié)果密鑰,將每 個(gè)加密結(jié)果都發(fā)送給提供密文的那個(gè)用戶���,并且同時(shí)將上述所有Diffie-Hellman私鑰對(duì)應(yīng)的公鑰依次發(fā)送給提供上述密文的那個(gè)用戶����。 在所述方法中��,在所述客戶端認(rèn)證階段中采用的密鑰交換的機(jī)制是Diffie-Hellman密鑰交換機(jī)制����,對(duì)來(lái)自服務(wù)器的返回信息中相應(yīng)位置的密文使用口令得到結(jié)果密鑰,然后對(duì)結(jié)果密鑰使用Diffie-Hellman密鑰交換機(jī)制產(chǎn)生會(huì)話密鑰的種子��。在所述方法中��,所述認(rèn)證信息和會(huì)話密鑰都是以上述會(huì)話密鑰的種子�、用戶的當(dāng)前值和假名為輸入,使用密碼學(xué)意義上的哈希函數(shù)生成��。通過比較可以發(fā)現(xiàn)��,本發(fā)明的技術(shù)方案(PP-3PAKE)與現(xiàn)有技術(shù)的主要區(qū)別在于,PP-3PAKE不但實(shí)現(xiàn)了安全的基于口令認(rèn)證的三方密鑰交換而且還同時(shí)有效地對(duì)參與密鑰交換的客戶端用戶的隱私信息(包括身份和參與行為在內(nèi))進(jìn)行了保護(hù)�����。
圖1是一個(gè)現(xiàn)有的基于口令認(rèn)證的三方密鑰交換方案的示意圖�。圖2是一個(gè)具體的帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方案的示 意圖。
具體實(shí)施方式
為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面將通過實(shí)施例l 并且結(jié)合附圖2對(duì)本發(fā)明做進(jìn)一步的詳細(xì)描述�����。實(shí)施例1在該實(shí)施例的具體構(gòu)造中�����,我們將Tzeng的健忘傳輸(oblivious transfer:0T)方案(Wen-Guey Tzeng. Efficient l-out-n oblivious transfer schemes. In David Naccache et al. ����, editors,尸w/ 7j'c Crj/ ^rap力/ -尸iWi*, ZtVC5"pages 159-171. Springer, 2002)嵌入到Abdalla等人的3PAKE方 案(M. Abdalla and D. Pointcheval. Interactive diffie-hellman assumptions with applications to password-based authentication. In A. S. Patrick et al. �����, editors, /^'72朋cj.a7 Cr7pz^grap力/Zfez^a 5"edY廣iV05; pages 341-356. Springer, 2005.)的一個(gè)簡(jiǎn)單變體中��,來(lái)實(shí)現(xiàn)帶隱私保護(hù)的基于口令認(rèn)證的密鑰交換方法����。設(shè)G是階為p的素?cái)?shù)階循環(huán)群���,g和A分別為G的兩個(gè)生成元���。設(shè)/,為安全參數(shù),而込�����、込����、^、 //2和//3是{0,1}*">{0,1}《的哈希函數(shù)�。設(shè)Groups是由半可信服務(wù)器S管理的群組。設(shè)rv :={^,72,...,^}為注冊(cè)在服務(wù)器S的群組成員的真實(shí)身份的集合,而11[/:={(71,^/2,...,^^}是所有這些群組成員所持假名的集合���,其中每個(gè)群組成員都僅適用假名參與協(xié)議執(zhí)行��。 下面�,我們用匿名群組成員R.來(lái)表示使用假名為t/,.的群組成員����。同時(shí),我們假設(shè)群組成員和服務(wù)器之間共享的口令均勻地分布在字典D中��。在圖2中展示了該具體的PP-3PAKE方案�����,關(guān)于該方案的詳細(xì)描述如下所示��。第0階段(初始化)L在協(xié)議執(zhí)行前�,兩個(gè)希望進(jìn)行PP-3PAKE協(xié)議的匿名群組成員^和t/y 分別隨機(jī)地選擇各自的當(dāng)前值wz.和 .,然后交換它們�。 第l階段1. ^選擇隨機(jī)數(shù)x,.,~ e ,計(jì)算《.=g&和A = ^ A""'���,接著將包含& 和M,.的信息以及附加信息 :=R I IC^. I .發(fā)送給服務(wù)器S�。2. 同樣地,[^.也隨機(jī)地選擇兩個(gè)數(shù) .和r,并且計(jì)算;^和M,.��。最后也 發(fā)送消息����、 和A7. := t/,. I .I ^ I 給服務(wù)器S ���。第2階段1.服務(wù)器S選擇隨機(jī)數(shù)"2^和兩個(gè)組隨機(jī)數(shù)^^2,...���,^3£2; 和^,^,…,^e^并且為"""依次計(jì)算4����、々、5,7和~如下& = 4/十& ((碼 A-���," ,' ) �����, ~ = J,.,十& ((My.. /T��,"盧)2.服務(wù)器S設(shè)置兩組數(shù)據(jù)^M/ …,/'",&,…,4〉和 『y二&^,…����,g^,5",…,^.J�, 并且附加上附加信息(其中"s是服務(wù)器S隨機(jī)取的當(dāng)前值),分別將它們傳輸給^和t/y�。 第3階段1. 在收到消息巧后,t/,.計(jì)算7V,:A. A�,其中^的真實(shí)身 份是巧,。接著�����,通過使用它的口令/7w!.得到7;.^A7P『"�。最終^計(jì)算認(rèn)證子^/A=//2(t;.,As,i)并且將其發(fā)送給t/j��。2. 在收到消息『7.���, t/,.所執(zhí)行的和上面的K一樣��,即依次計(jì)算A^.和7)�����, 產(chǎn)生它自己的認(rèn)證信息=//2(7},^^,2)���,隨后將該認(rèn)證信息發(fā)送給t/,.��。 第4階段1.最終����,K.和^.分別驗(yàn)證各自所收到的認(rèn)證信息^ ^/^(T)���,A&2) 和A/^:/^(T;.�����,As,1)。若認(rèn)證通過�����,則t/,.和[^.完成了相互的匿名認(rèn)證并且為以后它們之間的安全通信建立了共享的會(huì)話密鑰Si^A(gW,A^���。雖然通過參照本發(fā)明的優(yōu)選實(shí)施例�,己經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描述���,但本領(lǐng)域的技術(shù)人員應(yīng)該明白����,可以在形式和細(xì)節(jié)上對(duì)其作各種改變,比如采用其他的加密體制替代Diff ie-Hellman體制�����;對(duì)服務(wù)器注冊(cè)用戶進(jìn)行分組�����,再以小組為單位進(jìn)行上述帶隱私保護(hù)的密鑰交換等等�,而不偏離本發(fā)明的精神和范圍。
權(quán)利要求
1. 一種帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方法�����,包括以下步驟A初始化階段�,準(zhǔn)備進(jìn)行密鑰交互的兩個(gè)客戶端用戶相互交換預(yù)備信息;B客戶端發(fā)起階段�,準(zhǔn)備進(jìn)行密鑰交互的兩個(gè)客戶端用戶分別用各自和服務(wù)器共享的口令加密消息并且將其和未加密的信息一起發(fā)送給服務(wù)器;C服務(wù)器處理階段�,服務(wù)器在收到來(lái)自客戶端的請(qǐng)求信息后,采用健忘傳輸機(jī)制來(lái)處理這些信息并且針對(duì)上述兩個(gè)客戶端用戶中的每一個(gè)都生成不同的返回消息�����,接著分別將這些消息發(fā)送給相應(yīng)的客戶端用戶;D客戶端認(rèn)證階段�����,客戶端在收到服務(wù)器端的返回信息后�����,基于自己的口令�����,采用通常的密鑰交換的機(jī)制對(duì)返回信息進(jìn)行處理���,以此來(lái)生成會(huì)話密鑰的種子,并且用該會(huì)話密鑰的種子生成認(rèn)證信息發(fā)送給對(duì)方用戶����;E會(huì)話密鑰生成階段,若驗(yàn)證通過來(lái)自對(duì)方用戶的認(rèn)證信息���,則使用會(huì)話密鑰種子生成會(huì)話密鑰���。
2�����、 如權(quán)利要求1所述的帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方法���, 其特征在于,在所述初始化階段中交換的初始信息是用戶隨機(jī)選取的當(dāng)前 值和用戶隨機(jī)選取的假名�。
3、 如權(quán)利要求1所述的帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方法�, 其特征在于,在所述客戶端發(fā)起階段中加密的消息是用戶選取的 Diffie-Hellman公鑰�����,而在未加密的信息中也包含一個(gè)用戶自己選取的Diffie-Hellman公鑰�。
4、 如權(quán)利要求1所述的帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方法�, 其特征在于在所述服務(wù)器處理階段中,服務(wù)器采用的健忘傳輸機(jī)制是使用 所有的服務(wù)器上注冊(cè)的口令�����,依次分別來(lái)解密來(lái)自一方客戶端的密文����,并 且針對(duì)每個(gè)解密結(jié)果�����,隨機(jī)選取不同的Diffie-Hellman私鑰����,接著基于 Diffie-Hellman密鑰交換的方式�,使用上述不同的私鑰對(duì)上述每個(gè)解密結(jié) 果依次分別進(jìn)行加密從而生成與注冊(cè)用戶數(shù)同樣多的臨時(shí)密鑰,然后��,服 務(wù)器針對(duì)來(lái)自另一方未加密的信息中的Diffie-Hellman公鑰�����,選取一個(gè) Diffie-Hellman私鑰����,接著基于Diffie-Hellman密鑰交換的方式,使用 上述私鑰對(duì)上述公鑰進(jìn)行加密從而產(chǎn)生Diffie-Hellman密鑰交換的結(jié)果 密鑰�����,最后使用上述各個(gè)臨時(shí)密鑰依次分別加密上述結(jié)果密鑰���,將每個(gè)加 密結(jié)果都發(fā)送給提供密文的那個(gè)用戶�����,并且同時(shí)將上述所有Diff ie-Hellman私鑰對(duì)應(yīng)的公鑰依次發(fā)送給提供上述密文的那個(gè)用戶�。
5����、 如權(quán)利要求1所述的帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方法, 其特征在于�����,在所述客戶端認(rèn)證階段中采用的密鑰交換的機(jī)制是 Diffie-Hellman密鑰交換機(jī)制��,對(duì)來(lái)自服務(wù)器的返回信息中相應(yīng)位置的密 文使用口令得到結(jié)果密鑰���,然后對(duì)結(jié)果密鑰使用Diffie-Hellman密鑰交換 機(jī)制產(chǎn)生會(huì)話密鑰的種子�����。
6�����、 如權(quán)利要求1所述的帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方法�����, 其特征在于�,所述認(rèn)證信息和會(huì)話密鑰都是以上述會(huì)話密鑰的種子、用戶的當(dāng)前值和假名為輸入��,使用密碼學(xué)意義上的哈希函數(shù)生成�。
全文摘要
本發(fā)明涉及密鑰交換技術(shù),公開了一種帶隱私保護(hù)的基于口令認(rèn)證的三方密鑰交換方法��,包括以下步驟初始化階段���,準(zhǔn)備進(jìn)行密鑰交互的兩個(gè)客戶端用戶相互交換預(yù)備信息��;客戶端發(fā)起階段��,準(zhǔn)備進(jìn)行密鑰交互的兩個(gè)客戶端用戶分別用各自和服務(wù)器共享的口令加密消息并且將其和未加密的信息一起發(fā)送給服務(wù)器����;服務(wù)器處理階段�����,服務(wù)器在收到來(lái)自客戶端的請(qǐng)求信息后�,采用健忘傳輸(oblivious transfer)機(jī)制來(lái)處理這些信息并且針對(duì)上述兩個(gè)客戶端用戶中的每一個(gè)都生成不同的返回消息,接著分別將這些消息發(fā)送給相應(yīng)的客戶端用戶����;客戶端認(rèn)證階段,客戶端在收到服務(wù)器端的返回信息后���,基于自己的口令���,采用通常的密鑰交換的機(jī)制對(duì)返回信息進(jìn)行處理,以此來(lái)生成會(huì)話密鑰的種子��,并且用該會(huì)話密鑰的種子生成認(rèn)證信息發(fā)送給對(duì)方用戶���;會(huì)話密鑰生成階段���,若認(rèn)證通過來(lái)自對(duì)方用戶的認(rèn)證信息,則使用會(huì)話密鑰種子生成會(huì)話密鑰�����。與現(xiàn)有技術(shù)相比�,該方案不但實(shí)現(xiàn)了安全的基于口令認(rèn)證的三方密鑰交換���,而且還同時(shí)有效地對(duì)參與密鑰交換的客戶端用戶的包括身份和參與行為在內(nèi)的隱私信息進(jìn)行了保護(hù)。
文檔編號(hào)H04L29/06GK101282216SQ20071008755
公開日2008年10月8日 申請(qǐng)日期2007年4月2日 優(yōu)先權(quán)日2007年4月2日
發(fā)明者勇 李, 汪維家, 磊 胡 申請(qǐng)人:中國(guó)科學(xué)院研究生院