本發(fā)明涉及一種面向多服務器環(huán)境的認證方法，特別涉及一種基于切比雪夫混沌映射與基于生物特征與口令的智能卡認證方法。

背景技術(shù)：

基于智能卡與口令的認證方法，是分布式系統(tǒng)中較為實用與有效的多因子認證機制。盡管這項技術(shù)已經(jīng)被廣泛的應用于生活中的一些領(lǐng)域，如銀行系統(tǒng)等。但目前所提出的認證方法，仍然在可用性、安全性等方面存在一些不足。例如，僅支持單服務器的環(huán)境、不能抵抗例如離線口令猜測攻擊等常見的攻擊手段等。

傳統(tǒng)的認證方法只考慮了單服務器的環(huán)境，例如中國專利cn104702559a，cn10491809a所揭示的方法。如果用戶需要多個服務器提供服務，就必須在多個服務器分別進行注冊。對用戶造成了許多的不便，例如需要記憶多個服務器的口令等。因此，多服務器環(huán)境下的認證方法被提出：用戶只需要在注冊中心進行一次注冊，便可在所有的服務器得到服務。

在多服務器環(huán)境下，需要多個個體之間的相互通信。如果使用傳統(tǒng)的對稱密碼體制，則會遭遇密鑰協(xié)商、密鑰管理的等難題。針對上述問題，可采取公鑰加密進行認證方法的設(shè)計。切比雪夫混沌映射作為一種簡單實用的高有效位數(shù)字計算算法，具有良好的密碼學特性，通過使用基于切比雪夫混沌映射的公鑰密碼算法，可以有效的解決密鑰協(xié)商、密鑰管理等難題。

由于生物特征具有以下的優(yōu)點：(1)不易丟失；(2)極難偽造；(3)不易復制；(4)不易猜測，因此，越來越多的基于智能卡的認證方法開始引入其作為認證的第二或者三因素，例如中國專利cn104767624a，通過引入生物特征，可以有效的抵抗口令猜測攻擊與智能卡丟失攻擊等常見攻擊手段，以保證方法的安全。

但是目前，基于多服務器環(huán)境且綜合了這三因素的方法還沒有被提出。

技術(shù)實現(xiàn)要素：

針對目前認證方法不支持多服務器環(huán)境、不能完整抵御服務器偽裝攻擊、離線口令猜測攻擊、重放攻擊的不足，本發(fā)明提供一種多服務器環(huán)境下的三因素認證方法。通過使用基于切比雪夫混沌映射的公鑰加密，實現(xiàn)了多服務器環(huán)境下的認證與密鑰協(xié)商。同時使用基于智能卡、口令、生物特征的三因素認證來保證認證方法的安全性能，具有雙向認證，會話密鑰前向安全的重要性質(zhì)，并且能夠抵御上述常見攻擊。

本發(fā)明為實現(xiàn)上述的目的所采用的技術(shù)方案如下：

步驟1：系統(tǒng)初始化階段：系統(tǒng)初始化時，注冊中心產(chǎn)生基于切比雪夫混沌映射的公鑰密碼體制的公私鑰對。

步驟2：注冊階段：本階段分為服務器注冊與用戶注冊兩個階段：

步驟2.1：服務器注冊：在安全信道下，服務器向注冊中心發(fā)出注冊請求，并提交它的相關(guān)信息，注冊中心收到請求后，生成服務器認證參數(shù)并發(fā)送給服務器，完成注冊。

步驟2.2：用戶注冊：在安全信道下，用戶向注冊中心發(fā)出注冊請求，并提交他的賬號口令相關(guān)信息，注冊中心收到請求后，計算用戶認證參數(shù)并存入智能卡中，將智能卡發(fā)送給用戶，用戶輸入生物特征并計算登錄驗證參數(shù)，用生物特征加密驗證參數(shù)，存入智能卡，完成注冊。這里的生物特征可以是任意類型的生物特征，例如指紋，虹膜等。

步驟3：登錄與認證密鑰協(xié)商階段：本階段分為以下三個階段：

步驟3.1：用戶將智能卡插入讀卡器中，輸入生物特征、帳號、口令，使用生物特征解密登錄驗證信息，并驗證賬號與口令的正確性，驗證通過后，智能卡生成隨機數(shù)并使用其對用戶認證參數(shù)、服務器信息進行加密計算出一系列登錄參數(shù)，然后將其發(fā)送至欲登錄的服務器。在這里，可以使用任意一個服務器的信息來計算登錄參數(shù)，并進行登錄程序。

步驟3.2：服務器收到用戶的登錄參數(shù)后，生成隨機數(shù)，將自己的信息加密，與登陸參數(shù)、服務器認證參數(shù)發(fā)送給注冊中心。注冊中心收到后，使用私鑰解密并驗證登錄參數(shù)與服務器認證參數(shù)，并驗證登錄參數(shù)中的服務器信息與服務器提供的信息是否相同，以對用戶，服務器的合法性進行驗證。驗證通過則計算注冊中心認證參數(shù)，發(fā)送至服務器。

步驟3.3：服務器收到注冊中心認證參數(shù)后，驗證合法性，通過隨機數(shù)計算會話密鑰與認證參數(shù)，并將認證驗證參數(shù)發(fā)送給用戶。用戶收到后，驗證合法性，通過隨機數(shù)計算會話密鑰，從而完成了多服務器環(huán)境下的登錄、認證、密鑰協(xié)商。面對不同的服務器只需修改登錄參數(shù)中的服務器信息，即可以相同的方式進行登錄、認證、密鑰協(xié)商。

本發(fā)明的優(yōu)點在于：

本發(fā)明實現(xiàn)了多服務器環(huán)境下的認證與密鑰協(xié)商：經(jīng)過注冊后，用戶可以在任意一個服務器通過步驟3進行登錄、認證、密鑰協(xié)商。

本發(fā)明引入了生物特征作為認證因素之一：只有生物特征、賬號、口令同時正確，才能進行合法的登錄。同時，由于生物特征不易猜測的特征，引入生物特征可以有效抵御離線口令猜測。

本發(fā)明抵御服務器偽裝攻擊：因為用戶的登錄參數(shù)中包含了欲登錄服務器的相關(guān)信息，而服務器需要向注冊中心提供服務器認證參數(shù)來證明自己的身份，而服務器認證參數(shù)只有注冊中心才能生成，所以攻擊者無法進行服務器偽裝攻擊，保證了多服務器環(huán)境的安全。

本發(fā)明抵御重放攻擊：因為會話密鑰是基于服務器與用戶隨機生成的，只有自己知道的一次性的密鑰計算而來，即使進行重放得到相關(guān)參數(shù)，也無法從中得到會話密鑰。

本發(fā)明實現(xiàn)了雙向認證：在認證過程中，用戶、服務器、注冊中心都可以通過對方是否可以提供相關(guān)參數(shù)，或者對方是否能對自己提供的參數(shù)進行解密得到相關(guān)信息來驗證對方的合法性。

本發(fā)明具有會話密鑰的前向安全性，即使注冊中心的私鑰泄露，攻擊者也不能計算出任何一個以往的會話密鑰，同樣因為會話密鑰是基于服務器與用戶隨機生成的，只有自己知道的一次性的密鑰計算而來，與注冊中心私鑰無關(guān)。

由于本發(fā)明可以抵御常見的攻擊手段，并且具有雙向認證，會話密鑰的前向安全的重要安全性質(zhì)，可以廣泛應用于銀行系統(tǒng)，安保系統(tǒng)等對安全要求嚴格的場合。

附圖說明

圖1是本發(fā)明多服務器環(huán)境下三因素認證方法的系統(tǒng)初始化與登錄階段流程的一種實施方式。

圖2是本發(fā)明多服務器環(huán)境下三因素認證方法的登錄認證與密鑰協(xié)商階段流程的一種實施方式。

具體實施方式

下面將結(jié)合附圖詳細描述本發(fā)明的具體實施方式。

在步驟1中，系統(tǒng)初始化時，注冊中心生成大素數(shù)，隨機數(shù)，與一個整數(shù)，然后計算，如圖s1。其中作為切比雪夫公鑰密碼體制的公鑰，作為私鑰，為切比雪夫多項式。

在步驟2中，具體包含以下階段：

服務器注冊階段：

s101：在安全信道下，編號為的服務器向注冊中心發(fā)出注冊請求，并提交它的，注冊中心收到請求后，生成隨機數(shù)，計算，將發(fā)送給服務器。

用戶注冊階段：

s102：用戶選擇，，并生成一個隨機數(shù)，計算，，在安全信道下，將發(fā)給注冊中心。

s103：注冊中心收到用戶的注冊請求后，生成隨機數(shù)，計算驗證參數(shù)，將其使用加密：，最終，將放入智能卡，將智能卡通過安全信道交給用戶。

s104：用戶得到智能卡后，輸入其生物特征，計算，，并存入智能卡。最終智能卡中存儲的數(shù)據(jù)為。

在步驟3中，具體包含以下階段：

s201：用戶輸入，，，計算，并驗證是否等于，驗證通過后，計算，，使用解密：，計算，并生成隨機數(shù)，計算加密參數(shù)，，并加密：。將發(fā)送給服務器。

s202：收到，生成隨機數(shù)，計算加密參數(shù)：。計算，將發(fā)送給注冊中

s203：注冊中心收到，計算，，解密與：，，首先計算，然后計算，驗證是否等于，驗證通過后，注冊中心計算驗證數(shù)據(jù)，，將發(fā)送給服務器。

s204：服務器收到后，計算驗證是否等于，驗證通過后，計算，將發(fā)送給用戶。

s205：用戶收到，計算，然后計算，驗證是否等于，驗證通過后，使用會話密鑰來進行通訊。

在上述認證方法與下圖附圖說明中涉及到的參數(shù)以及運算符號分別說明如下：

編號為的用戶

編號為的服務器

編號為的服務器的id

編號為的服務器的動態(tài)id

用戶的生物特征，用戶名，密碼

會話密鑰

用戶與服務器生成的一次性隨機數(shù)

注冊中心生成的隨機數(shù)

注冊中心的公鑰

大素數(shù)

注冊中心的私鑰

單向哈希函數(shù)運算

切比雪夫多項式運算

異或運算

拼接字符串

安全信道

公共信道

是否相等

雖然以上描述了本發(fā)明的具體實施方式，但是本技術(shù)領(lǐng)域內(nèi)的熟練技術(shù)人員應當理解，這些僅是舉例說明，可以對這些實施方式做出多種的變更或者修改，而不背離其本發(fā)明的原理與實質(zhì)。本發(fā)明的范圍僅由所附權(quán)利要求書限定。