1、2023年11月计算机应用文摘第3 9 卷第2 2 期格上基于生物特征和口令的匿名多方认证密钥交换协议黄鹏娟,党小娟,戴静,樊飞转(陕西服装工程学院,西安7 12 0 46)摘要:为了解决网络考试系统中学生信息的安全性以及身份认证问题,文章提出一个基于格的匿名多方认证密钥交换协议,使得同一班级的学生能在可信服务器的帮助下实现身份认证和安全地登录考试系统。协议中还建立了高熵的会话密钥,可用于解密从服务器下载的考卷和加密答题卡信息。该协议基于格上误差学习(LWE)的困难性问题,由具有标签的可拆分公钥加密体制构造,利用相应近似平滑投射函数的纠错性、伪随机函数以及生物特征信息获得会话密钥。文章设计的基
2、于生物特征和口令的双因子认证密钥交换协议,使得即使某一因子丢失,攻击者也不能获得会话密钥,实现了服务器对客户的显式认证。性能分析表明,该协议具有较高的安全性,能够抵抗伪造攻击和量子攻击,可确保学生的信息安全。关键词:生物特征;口令认证;LWE问题;平滑投射函数中图法分类号:TN918Multi-party authenticated key exchange protocol based on biometric andAbstract:In order to solve the security of student information as well as the authentica
3、tion problem inonline examination systems,this article proposes a lattice based anonymous multi-partyauthentication key exchange protocol,which enables students in the same class to achieve identityauthentication and secure login to the exam system with the help of a trusted server.The protocolalso
4、establishes a high entropy session key that can be used to decrypt exam papers downloaded fromthe server and encrypt answer sheet information.The protocol is based on the difficulty problem oflearning from errors on lattice(LWE),constructed from a detachable public key cryptosystem withlabels,and th
5、e session key is obtained using the error correction of the corresponding approximatesmooth projection function,pseudo-random functions,and biometric information.The two-factorauthentication key exchange protocol based on biometric and password designed in this paper makes itimpossible for an attack
6、er to obtain the session key even if a factor is lost,and achieves explicitauthentication of the server to the client.The performance analysis shows that the protocol has highsecurity properties and can resist forgery attacks and quantum attacks to ensure the informationsecurity of students.Key word
7、s:biometric,password authentication,LWE problem,smooth projection function1引言随着现代网络的飞速发展,组通信已被广泛应用于各个领域,如视频会议、网络游戏、多媒体考试及电子商务等,但其安全性仍是学术界研究的重点问题。为了确保其安全性,本文应用以下安全元素对身份认证方案展开了设计:(1)口令:假设某些信息仅为特定用户所知,系统可通过这些信息确认用户的身份;(2)文献标识码:Apassword from latticeHUANG Lijuan,DANG Xiaojuan,DAI Jing,FAN Feizhuan(Shaan
8、xi Fashion Engineering University,Xian 712046,China)议是可行的解决方案之一。在后量子时代,基于大整数分解和离散对数问题智能卡:假设一个物理密钥仅属于一个特定用户,系统可通过检查物理密钥来验证用户的身份;(3)生物特征:系统可通过用户独特的生物特征(如语音、指纹、虹膜等)对用户的身份进行直接验证。密钥协商协议是解决公开信道中安全通信的关键方法,而基于生物特征、智能卡和口令1 的多因子认证密钥交换协基金项目:陕西服装工程学院基金项目:格上基于生物特征和口令的认证密钥交换协议研究(2 0 2 2 KY14)78的协议在量子计算下被证明不再困难,容易
9、遭受量子攻击。格理论是后量子密码体制的重要基础理论,已有的基于格困难问题的算法具有安全性高、计算速度快等特点。目前,现有NPAKE2结构不能通过基于格的假设来实例化,为使NPAKE能够抗量子攻击且更具有实际应用可行性,基于格困难问题的密钥交换协议的研究和设计迫在眉睫。在具有近似平滑投射的可拆分的公钥加密3 的基础上,本文设计的多方认证协议要使服务器端随机选择会话密钥,从而使每个用户都能参与会话密钥的计算,进而避免受到服务器的恶意攻击。在技术方面,本文利用平滑投射函数的掩码键设计伪随机函数簇F=Fs:8e(0,1)l e N。其中,令S=th,同时将生物特征引人格中,使得协议通信轮数由二轮增大为
10、三轮,且需要解决认证问题。随后,本文计算模糊提取器产生的随机串和口令的哈希值Wc,=H(Re,Il p w n),并结合平滑投射函数的掩码键获得 Auth,=H(t k nW。),实现服务器对用户的显式认证,最后利用每个用户的口令及生物信息,通过模糊提取器产生的随机串计算会话密钥。2基于格的多方BPAKE协议2.1用户注册在协议执行之前,用户需要在服务器上进行注册,并通过安全信道将身份信息IDc,、口令pw,和从生物特征提取器获得的生物信息Bc,发送给服务器。收到信息后,服务器需要通过模糊提取技术将生物特征信息Bc输入随机字符串生成算法中,使其输出一个随机字符串Rc,和一个辅助字符串Pc,,并
11、计算Wc,=H(Rc,l l p w n),随后将(IDc,,Pc,,W c.)和口令存储于数据库中。2.2用户认证协议描述设k为安全参数,用户的身份信息为IDc,客户集为C,I.Cn-11Cn,服务器共享口令为pw1、p w 2pwn,B为客户的生物特征。pk是CCA安全的公钥密码体制的公钥,可作为公共参考串,在协议执行前由可信第三方用公钥生成算法KeyGen(1)生成。系统中没有用户知道与之对应的私钥;CCA安全的密码体制PKE的Hash函数簇是H=HlheK,定义域为X,值域为10,1 ,密钥空间是K;纠错码的编码算法ECC:10,1)h-0,1),伪随机函数簇F=F:8=(0,1)1l
12、eN,此时协议描述如图1所示。在用户注册阶段:(1)ClientServer:客户选择随机数,计算 H,=H(p w n l l r n),并通过安全信道将其身份IDc,、生物特征信息Bc,、与服务器共享的口令pwn及其哈希函数值H,发送给服务器;计算机应用文摘Client=(Cil.Cn-lC,)(pwn)7E(0,1)H,=H(pw,lr)(2)Se r v e r=Cl i e n t:收到用户的注册信息后,服务器将用户的生物特征信息输入Gen(Bc.)一(Rc,Pc.)算法中,通过模糊提取技术得到随机字符串Rc.,Pc,,计算Wc,=H(Rc,p w,),同时为用户分配一个临时身份TI
13、D,=H,ID n,最后将Pc,和TID,通过安全信道发送给用户。格上的NPAKE协议如图2 所示,在相互认证和密钥协商阶段:(1)客户选择随机数rc,E(0,1),从哈希密钥空间K中随机选取哈希密钥hkc,一K,用投射函数计算投射密钥hpc,=proj(h k c.),令标签为labelc,=TID,lTID,I.TID,-1IS Ilhpc.,加密口令得密文Cc,=(uc,c,),其中,uc,=f(pk,pwn,Ic,),Uc,=g(pk,labelc,pwn,Tc.)。向服务器发送消息TID,/hpc./Cc.=(uc,Uc,);(2)收到来自客户的消息后,服务器检查密文的有效性及临时身
14、份的有效性ID,=TID,H,若无效则放弃会话,反之则选择随机数rs,E(0,1),从哈希密钥空间K中随机选取哈希密钥hks,一K,用投射函数计算投射密钥hps,=p r o j(h k s,),令标签为labels,=TIDITID I.TID,II hps.I Cc,加密口令得密文Cs,=(us,s,)。其中,us,=f(ph,pwn,Ts,),Us,=g(ph,labels,pwn,Ts,),然后计算哈希函数值th,=Hash(hpc,(u s.s p w a),s)Hu s((u c,p w n),同时向用户发送消息hps,/Cs,=(us,us.);(3)收到来自服务器的消息后,客户
15、检查密文的有效性,若有效则计算哈希值thn=Hash(h p s,(u c apwn),rc.)Hh e(u s,p w n),同时录生物特征 Bc和Pc.,利用随机字符串恢复算法Rep(Bc,,Pc,)Rc,得到随机字符串Rc,计算Wc,=H(Rc,Il p w n)和Auth,=H(t k,l l W c,),最后将验证信息Authn发送给服务器;(4)收到来自用户的消息后,服务器计算Auth,=H(thkn IlWc,)并检查其与Authn是否相等,若相等则令,=tkn,计算,=th,E(Fs,(1)II W c,)(Fs(1)IW c,)并发送给客户,最后计算会话密钥SK=(Fs,(1
16、)II Wc,).(Fs,(1)II Wc.);(5)收到来自服务器的消息后,客户用纠错码的译码算法得到伪随机函数(Fs(1)Il W c)(Fs,2023年第2 2 期Server(pwn)IDe,IBe,lpw,lIH,Gen(Bcr)(Rcn,Per)Wen=H(pw,lIRen)TID,IIPcnTID,=H,IDn图1用户注册阶段2023 年第2 2 期(1)I lW c,)=E-(,?t k n),并计算会话密钥SK=(Fs,(1)Il Wc,).(Fs,(1)l W c,)。Client=(Cil-.Cr-1Ch)(pw.)rea E(0,1),hkc,-Khpca=proj(h
17、kc)uca=f(pk,pwu.Tc.)e,=g(pklabel-pwa,-rc.)Cca-(uca:c)tk,=Hash(hps.,(uc,pw.),rc.)Rea=Rep(Bc,Pea)Auth,=H(tklWe.)Weca=H(Relipw.)(Fs,(1)W,)-(Fsn-(1)Wen-)-E-(A,tkn)SK=(Fs,(1)We,)-(Fsn(1)Wen)图2 格上的NPAKE协议在协议诚实执行后,每个客户CICn-1IC,获得不匹配的会话密钥的概率是可以忽略不计的。所有诚实的参与方产生的密文是有效的,根据ASPH的近似正确性可知,Hash(h p,(u,p w),r)和Hh(u,
18、p w)的汉明距离大于的概率是可忽略的。因此,tkn和tk,的汉明距离至多为2 8,且由ECC的定义可知可以纠错2 8 部分,只要服务器可信,所有的用户均可得到相同的会话密钥。3协议性能分析基于不同口令的NPAKE协议的最基本目标是完成认证密钥交换,即除协议的参与者之外,任何人都不能获得有关会话密钥的任何信息,同时其更高目标是要完成相互认证。在本文协议中,可信服务器在协议执行前知道参加会议的所有用户,可以通过生物特征信息对客户进行认证。当参加会议的成员变化时,会话密钥将随之变化;若有成员要在协议执行期间加人会议,只要该成员是合法用户且通过服务器的认证,服务器端就会重新计算,并将其发给所有成员,
19、从而建立新的会话密钥。同时,由于协议具有抵抗单一因子丢失的安全属性,本文将生物特征和口令作为用户的私有信息,通过模糊提取技术实现生物特征的保密。若用户的口令丢失,假冒者企图参加会议,服务器可通过检查基于生物特征信息计算的认证值以避免受到攻击;若用户的生物特征信息丢失,在没有口令的情况下攻击者无法通过服务器的认证及获取会话密钥,这两种攻击详细分析如下。(1)抗口令泄露用户模拟攻击。若攻击者通过攻击获取了用户的口令,他仍然不能对服务器模拟用户,这种攻击被称为口令丢失用户模拟攻击。在本文协议中,如果口令pw丢失,已知公计算机应用文摘钥pk,用户可以选择通过随机数rc_E(0,1)加密口令得到有效的密
20、文C=(u c,),向服务器发送消息以Common reference string:pk进行第一轮会话,服务器能够验证密文的有效性且返Server(pw.)回第二轮信息。由于攻击者不知道用户的生物特征Tsn E(0,1).hks,-Bc,他无法得到Re且无法计算有效的认证值Authnhps=proj(hks,)us=f(pk,pwa.rs,)labelsr=G-l-Cn-IServer/hpsas=g(pk,labels,pwa,rs,)tk,=Hash(apc.-(us,pw.),rs,)Auth,=H(tk lIwe.)Haks(uca-Pw.)Leto,=tkn,Calculate:A
21、,=tk,E(Fs,(1)We)SK=(Fs;(1)We)-(Fsn(1)We)79=H(th,Il W,),难以被服务器显式认证。也就是说,攻击者不能模拟用户,因此本协议不会受到口令丢失用户模拟攻击带来的影响。(2)抗生物特征丢失攻击。若攻击者通过攻击获取了用户的生物特征,他仍然不能对服务器模拟用户,这种攻击被称为生物特征丢失用户模拟攻击。本文协议选择随机数r。E(O,1)加密口令可抵抗离线字典攻击,若生物特征B被复制,在未猜测出口令的情况下,用户无法得到有效的密文,攻击者一定不能获得会话密钥。因此本文协议不会受到生物特征丢失用户模拟攻击带来的影响。4结束语本文提出了一个新型格上基于生物特征
22、和口令的匿名多方认证密钥交换协议,该协议解决了后量子时代下多方通信所需的身份认证和密钥协商问题。其中,利用具有近似平滑投射性和带有标签的可拆分公钥加密体制PKE,并利用基于格上LWE问题的难解性设计了NPAKE协议,该协议确保了会话密钥的一致性和保密性,优化了协议的消息轮数。同时,本文将生物特征与口令相融合为双因子认证,使协议可以抵抗口令或生物特征泄露等带来的安全风险。与基于智能卡和口令的双因子认证协议相比,应用本文协议,用户不用携带多张智能卡。这种方式解决了智能卡丢失带来的安全性和可用性问题,为用户提供了方便。本文协议可用于视频会议、多媒体考试及多人游戏中参与人员的身份认证,兼具安全性和效率
23、性,在后量子时代中具有极其重要的意义。参考文献:1 XU GS,QIU S M,AHMAD H,et al.A Multi-Server Two-Factor Authentication Scheme with Un-Traceability UsingElliptic Curve Cryptography EB/OLJ.HTTPS:/DOI.ORG/10.3390/S18072394.2 NGUYEN N T,CHANG C C.A biometric-based authenticatedkey agreement scheme for session initiation protoc
24、ol in ip-based multimedia networks J .M u lt im e d ia T o o ls a n dApplications,2018.77(18):23909-23947.3 ZHANG J,YU Y.Two-Round PAKE from Approximate SPHand Instantiations from Lattices C /I n t e r n a t io n a lConference on the Theory and Application of Cryptology andInformation Security.Springer,Cham,2017:37-67.作者简介:黄鹏娟(19 9 2 一)硕士,讲师,研究方向:网络信息安全。
浙ICP备2021020529号-1 | 浙B2-20240490 
