一種新的身份鑑別及數字籤名的方法
2023-06-03 11:13:06 1
專利名稱:一種新的身份鑑別及數字籤名的方法
技術領域:
本發明涉及的是一種安全認證及數字籤名的方法。具體地說,涉及一種可 以不暴露挑戰數的情況下安全認證及數字籤名的方法。
背暈技術
身份鑑別及數字籤名是計算機安全的重要問題, 一般鑑別的方法是所謂的 "聲稱-挑戰-應答"的模式。在現有的這種模式中,挑戰(數) 一般是用明文
的形式給出的,我們認為這有某種不安全的因素。例如,著名的schnorr鑑別 算法(Bruce Schneier著《應用密碼學》366頁機械工業出版社2000年出版, 這裡我們將該書作為本申請的技術背景一部分)中的挑戰數E的選擇就是如此。
現在身份鑑別中可行的方案主要有用戶名-密碼、雙因數及密碼協議鑑別 方案。這些方案都有一個重要而沒有很好解決的實際使用中的問題。即,如何 使用一個設備(證書)解決多個網站的身份鑑別工作。目前的方法是各個網站 自己發行一套自己的身份鑑別裝置,例如工商銀行發行的數字證書不能用於建 設銀行,反之亦然。目前解決這個問題的理論方法是單位互認、證書的發行 與使用分離及全面認證,這樣就必須解決"國家PKI基礎設施"的問題。這是
一個有很高建設成本和管理成本的系統,所以有一定的使用費。但是,有一些 簡單的應用可能不需要如此高強度高安全的技術手段。
從網站用戶安全這個低安全級別的應用領域來說,希望有如下功能的裝置
及相應的密碼方法來保證安全。用戶有一個硬體設備;能在安全的計算機上初 始化該設備;可以設置該設備的使用密碼(PIN);登陸一個網站,申請用戶名,
並通過與網站的消息互動形成密碼連接;將來登陸時,只要把該設備連接到計 算機上(也可以採用雙因素令牌,把顯示信息鍵入的方式),就可以實現登陸。 而且,最好所有的網站都使用這一個設備。當然,必須保證任何網站登陸信息 的洩露不不影響其他網站的登陸信息。
雙因數及密碼協議鑑別方案,都可以用計算機中的應用程式實現。這顯然 不是很安全。從安全鑑別的另一個分類來說,有用戶知道的秘密(密碼)、用戶 擁有的設備及生物特徵。在本專利所關心的是"用戶擁有的設備"來實現安全 鑑別、數字籤名及證書生成。方便起見,我們把"用戶擁有的設備"稱為"K盾"。
從用戶的角度,由於需要在許多網站上進行註冊,這樣就有許多用戶名-密 碼(PIN),這帶來很難記憶的問題。通常的方法是把所有網站的密碼(PIN)都 用一個或少數幾個,這樣帶來某個網站的密碼(PIN)洩露後,危及用戶在其他 網站的信息安全。目前該問題的解決方法是,在用戶擁有的設備(K盾)中把 每個網站的密碼(PIN)都存入,即密碼(PIN)池(口令池)的概念。當然, 也可以把密碼(PIN)的方法改造成證書池的方法。
顯然,由於K盾的容量有限,密碼池及證書池可能不是最好的方法。為此, 我們提出可以採用由網站提供的信息自動生成密碼的方法。
發明內容
這裡簡述一下著名的schnorr鑑別及數字籤名協議,這是與本發明最接近
的協議。選取素數P和Q, Q是P-1的素因子。選擇a(a〈〉0),滿足aQ二l mod P。 公開P、 Q、 a。稱P、 Q、 a三個數為schnorr數。
為產生特定的公開密鑰/私人密鑰密鑰對,選擇一小於Q的隨機數S。計算
V=£TSmod P。 S為私人密鑰,V為公開密鑰。
鑑別(Peggy為用戶,Victor為網站);
1 、Peggy選一個小於Q的隨機數r,計算X=armod P;
2 、 Peggy傳送X給Victor;
3 、 Victor傳送一個隨機數E給Peggy;
4、 Peggy計算Y- (f+S*E) MOD Q,把Y傳送給Victor;
5、 Victor驗證X-^Vemod P;相等驗證通過。 籤名
增加一個單向散列函數H (M)。 Alice籤名者,Bob籤名驗證者。
1 、 Alice選一個小於Q的隨機數r,計算X-afmod P;
2、 Alice將消息M與X連接,計算散列值E-H(M, X);
3、 Alice計算Y= (r+S*E) MOD Q, E和Y為籤名;
4、 Bob計算X產ayV6 mod P;驗證X,與M級連後的散列結果為E=H(M, X,);
本發明用密碼的方式把隨機數E傳送給Peggy來提高驗證的安全性,用RSA 數來提高安全,進一步用RSA密數來提高安全性。
選取強素數P和Q,則稱M-P木Q為RSA數。當M生成後,銷毀P和Q,即使 任何人都不知道P及Q,只知道M,而不象RSA公開密碼算法中的私人密鑰需要 知道P及Q,這裡沒有人知道PQ,則稱為RSA密數。
發明的目
本發明的目的是提出一種可以不暴露挑戰數的情況下安全認證及數字籤名 的方法。利用RSA數或RSA密數,可以構成更安全的身份鑑別及數字籤名方法。 另外,利用RSA數或RSA密數可以解決多網站的鑑別與數字籤名工作。
本發明的另外一個目的是,給出通過網站提供的信息生成對應於該網站的 用戶密碼(私人密鑰)的方法。
裉據本發明的一種身份鑑別的方法,它包括驗證者生成挑戰數,加密後 提供給申請人;申請人根據加密後的挑戰數,給出應答給驗證者;驗證者根據 申請人:的應答及挑戰數,驗證申請人的身份。
進一步,還有申請人提供聲稱的步驟;
更具體地,設M2、 a及T2-a82,為用戶的公開密鑰,m2、 a及S2是私人
密鑰,Peggy為申請者,Victor為驗證者,那麼具體的步驟可以為Victor選取 任意數R,計算a11 MODM2傳送給用戶;Peggy計算(aR ) "MODM2並傳 回給網站;Victor根據T/ MODM2= (aR ) S2 MOD M2決定用戶是否合法。 更安全地,其中M2為RS A數或RS A密數;
根據本發明的一種數字籤名的方法,設M2、 a及'r^as2,為用戶的公開密
鑰,M2、 a及S2是私人密鑰,單向散列函數H (M), Alice籤名者,Bob籤名 驗證者,那麼具體的籤名及驗證的步驟為Alice選一個小於M2的隨機數r,計 算X-armod P; Alice將消息M與X連接,計算散列值E=H (M, X); Alice 計算Y= (r+S*E) , E和Y為籤名;Bob計算X產(ay)/(aS)e mod M2;驗證 Xi與M級連後的散列結果為E-H (M, X》; 進一步,其中M2為RS A數或RS A密數;
根據本發明的一種用戶網站私人密鑰生成的方法,它包括網站提供公開 的數;鑑別器根據網站公布的數及鑑別器中的秘密數生成該網站的鑑別私人密 碼和私人數字籤名密碼;
進一步,網站提供公開的數是鑑別器中"公開密鑰/私人密鑰密鑰對"的一 部分;
更安全地,網站提供公開的數是一個RSA數、RSA密數及schnorr數; 為了實現本發明所示的安全裝置和方法,有以下的實施例。
具體實施方式
實施例l
根據本發明第一種實施方式,更安全的數字籤名方法如下。
首先,K盾中有密碼大合數M產P^Qi其中P,及Q,均為強素數,M,我們稱 為RSA數,為了安全可以銷毀P,、 Q,,即沒有人知道P,、 Q,確保M,不能夠 被破譯,我們稱這樣的Mi為RS A密數;
個人隨機生成數K,,可以記在紙上或其他別人不好找的地方,也可以用秘 密共享方案存放在不同的幾個地方;選擇相對容易記憶的密鑰K2,相當於現在 安全系統要求我們記憶的密碼口令,我們稱K,和K2為主密鑰種子;根據主密鑰 種子計算KfK屍MOD MP已知K!、 K3及M,求K2是離散對數問題。K,和 K2是最重要的密碼, 一個用心記憶一個用紙記防止同時丟失。K3為主密鑰,K3、 N^存放在K盾中,而Ks生成後K,、 K2不存放在K盾中;K盾還應該有一個開 盾密碼,當K盾丟失後,揀到的人由於沒有開盾密碼,所以無法使用K盾。
網站生成密碼大合數MfP Q2,其中P2及Q2均為強素數;並銷毀P2、 Q2;
使M2為RSA密數。
當用戶需在網站中註冊時網站提供給用戶M2及數a(隨機或不隨機均可);
用戶計算SfM產MODM,,已知S2、 M2、 M,求K3是離散對數問題。該Ss就
是與網站M2相關的會話密鑰。
用戶給出用戶名、相關信息及T2-a82 MODM2;
網站存儲用戶信息、a及T2-a82 modm2。
M2、 a及T2。為用戶的公開密鑰,S2,就是與網站M2相關的私人密鑰。
鑑別(Peggy為用戶,Victor為網站); (1 )、 Peggy提出驗證申請,如用戶名;
(2) 、 Victor選取任意數R;計算a11 MODM2傳送給用戶;
(3) 、 Peggy計算(aR) S2MODM2並傳回給網站;
(4) 、 Victor根據T/ MODM2= (aR ) S2 MOD M2決定用戶是否合法。 籤名
增加一個單向散列函數H (M)。 Alice籤名者,Bob籤名驗證者。
(1 )、 Alice選一個小於M2的隨機數r,計算X-armodP;
(2)、 Alice將消息M與X連接,計算散列值E-H (M, X); (3 )、 Alice計算Y= (r+S*E) , E和Y為籤名;
(4)、 Bob計算X產(ayy(aS)emodM2;所以,驗證X!與M級連後的 散列結果為E-H (M, X,);
安全性分析
用戶是用完全隨機的數&和非隨機數K2組合成完全隨機的主密鑰K3;並
且只有K2及M,不能得到K3;只有不出現在網絡中的也不能求出K2; K3
處於K盾中也不能從網上獲得;處於K盾中也不能從網上獲得;
註冊詐騙利用假網站騙用戶註冊,選擇特殊的M2,可以欺騙得到S2-M嚴 MOD M,。但是從S2的生成來看,已知M2 、 M,、 S2求K3是離散對數問題。 所以對具體網站生成的密碼不會產生對其他網站的密碼的影響。
由於M,也不出現在K盾之外,所以在沒有Mi的前提下K3更不容易計算。 易用性分析
用戶有了 K盾後,註冊及登陸網站比較方便,也不需要記憶任何密碼,K2 的記憶只是當K盾丟失後,如何重新還原K盾。當然最好還是記憶一個開始使 用K盾的口令,防止K盾丟失後被別人使用。與現在用戶的使用習慣相比只是 多了一個K盾及插入,所以易用性與目前使用方式基本一致。
雖然本發明通過實施例進行了描述,但本領域技術人員可在本發明原理的 範圍內,做出各種變形和改進,所附的權利要求應包括這些變形和改進。
權利要求
1、一種身份鑑別的方法,它包括驗證者生成挑戰數,加密後提供給申請人;申請人:根據加密後的挑戰數,給出應答給驗證者;驗證者根據申請人的應答及挑戰數,驗證申請人的身份。
2 、根據權利要求1的方法,還有申請人提供聲稱的步驟;
3、根據權利要求i的方法,設M2、 a及T產as2,為用戶的公開密鑰,M2、 a及S2是私人密鑰,Peggy為申請者,Victor為驗證者,那麼具 體的步驟可以為Victor選取任意數R,計算aK MODM2傳送給用戶;Peggy計算(aR ) S2M0DM2並傳回給網站;Victor根據T/ MODM2= (aR ) S2 MOD M2決定用戶是否合法。
4 、根據權利要求4的方法,其特徵在於其中M2為R S A數或R S A密.似,數;
5 、 一種數字籤名的方法,設M2、 a及T2-a82,為用戶的公開密鑰,M2、a及S2是私人密鑰,單向散列函數H(M), Alice籤名者,Bob籤名驗證者,那麼具體的籤名及驗證的步驟為 Alice選一個小於M2的隨機數T,計算X=armod P; Alice將消息M與X連接,計算散列值E-H(M, X);Alice計算Y= (r+S*E) , E和Y為籤名;Bob計算X產(ayyO,emod M2;驗證與M級連後的散列結果為 E=H (M, X,);
6 、根據權利要求5的方法,其特徵在於其中M2為R S A數或R S A密似j.數;
7、 一種用戶網站私人密鑰生成的方法,它包括 網站提供公開的數;鑑別器根據網站公布的數及鑑別器中的秘密數生成該網站的鑑別私 人密碼和私人數字籤名密碼;
8 、根據權利要求7的方法,其特徵在於網站提供公開的數是鑑別器中"公開密鑰/私人密鑰密鑰對"的一部分;
9、 根據權利要求7的方法,其特徵在於網站提供公開的數是一個RSA數、RSA密數或schnorr數.
全文摘要
本發明的目的是提出一種新的身份鑑別及數字籤名的方法。提出一種可以不暴露挑戰數的情況下安全認證及數字籤名的方法。利用RSA數或RSA密數,可以構成更安全的身份鑑別及數字籤名方法。另外,利用RSA數或RSA密數可以解決多網站的鑑別與數字籤名工作。另外,給出通過網站提供的信息生成對應於該網站的用戶密碼(私人密鑰)的方法。
文檔編號H04L9/32GK101197669SQ200610098209
公開日2008年6月11日 申請日期2006年12月4日 優先權日2006年12月4日
發明者通 邵 申請人:南京易思克網絡安全技術有限責任公司