CN110020524B

CN110020524B - 一种基于智能卡的双向认证方法

Info

Publication number: CN110020524B
Application number: CN201910255283.7A
Authority: CN
Inventors: 杨小宝; 惠小强; 刘圆; 王敏; 刘亚雪
Original assignee: Xian University of Posts and Telecommunications
Current assignee: Xian University of Posts and Telecommunications
Priority date: 2019-03-31
Filing date: 2019-03-31
Publication date: 2021-05-18
Anticipated expiration: 2039-03-31
Also published as: CN110020524A

Abstract

一种基于智能卡的身份认证方法，包括注册步骤、登录步骤和认证步骤，其中，注册步骤包括，用户向后台服务器注册，后台服务器向用户发放智能卡，每个智能卡中存储有两个最新的随机密钥和智能卡的唯一标识符；登录步骤包括，用户将智能卡插入读卡器中以登录后台服务器；认证步骤包括，登录成功后，认证智能卡与后台服务器的合法性，其中，所述两个随机密钥使用改进的ECC签名方法进行数字签名，使用共享密钥通过AES加密算法对数字证书、随机密钥及签名进行整体加密，并在智能卡对后台服务器认证成功后以及后台服务器对智能卡认证成功后更新随机密钥。该方法能抵御常见的中间人、并行会话、伪造和重放等多种攻击，提高认证过程的安全性和效率。

Description

一种基于智能卡的双向认证方法

技术领域

本公开属于安全身份认识及通讯技术领域，具体涉及一种基于智能卡的双向认证方法。

背景技术

随着智能卡行业的快速发展，智能卡应用越来越广泛，因此保证智能卡与外部设备之间的相互认证对数据的安全传输至关重要。自从Lamport在1981年首次提出了基于不安全通道的远程密码验证协议之后，有很多研究者提出了远程用户认证协议以提高数据交换的安全性。2014年，Huang H F等人提出了一种改进的，基于时间戳的智能卡用户认证方案，远程服务器不需要为用户提供任何验证信息，可以安全抵御所有可能的攻击。但是Amin等人发现Huang H F方案无法安全地抵抗离线密码猜测、内部人员和伪造三种攻击。2014年，Islam等人提出了一种安全灵活的，基于动态ID的椭圆曲线密码的智能卡远程用户双向认证方案。2015年，Sarvabhatla等人指出Islam方案无法抵抗密码猜测、用户模拟等关键攻击，并提出了一种基于动态ID的智能卡双向认证方案，能够抵抗所有的密码攻击。最近，Luo等人提出了一种基于椭圆曲线密码体制的智能卡安全高效的身份相互认证方案，能够克服Islam方案的缺陷，并提供用户匿名和相互认证。2015年，HuangB等人提出了一种基于椭圆曲线密码体制的密钥协议认证方案，该方案能抵御卡被盗和冒充攻击。Chaudhry等人指出Huang B方案仍然可能受到冒充和伪造攻击的影响，并提出了一种能够抵御假冒攻击并提供足够的安全性，同时降低计算成本的改进方案。2016年，Kaul等人提出了一种升级的安全高效的认证协议，该方案能够抵御内部攻击、拒绝服务攻击、中间人攻击等攻击。紧接着Mo等人发现Kaul方案无法保持用户的匿名性，原因是认证阶段消息中的客户端ID号没有被隐藏。

为了提高智能卡和外部设备的认证效率，很多采用ECC体制的认证方案被提出，并不断的被迭代和改进，以节省认证时间，提高认证效率。综上可见，当前智能卡应用认证过程中，存在中间人、并行会话、伪造和重放等攻击引起信息泄露的问题，同时存在认证时间长效率低的问题。

发明内容

鉴于此，本公开提供了一种基于智能卡的身份认证方法，包括注册步骤、登录步骤和认证步骤，其中，

注册步骤包括，用户向后台服务器S_B注册，后台服务器S_B向用户发放智能卡C，每个智能卡C中存储有两个最新的随机密钥k₁，k₂和智能卡的唯一标识符ID_C；

登录步骤包括，用户将智能卡C插入读卡器R_C中以登录后台服务器S_B；

认证步骤包括，登录成功之后，认证智能卡C与后台服务器S_B的合法性，其中，所述两个随机密钥k₁，k₂使用改进的ECC签名方法进行数字签名，同时使用共享密钥K通过AES加密算法对数字证书、随机密钥k₁，k₂及签名进行整体加密，并在智能卡C对后台服务器S_B认证成功后以及后台服务器S_B对智能卡C认证成功后均要更新随机密钥k₁，k₂。

通过上述技术方案，本方法不仅能够抵御中间人、并行会话、伪造和重放等常见的攻击，而且具有计算量小，处理速度快，占用存储空间小，数字签名过程时间短的优点。

附图说明

图1是本公开一个实施例中所提供的一种基于智能卡的身份认证方法的流程示意图；

图2是本公开一个实施例中所提供的具体的认证过程的流程示意图。

具体实施方式

下面结合附图对本发明进行进一步的详细说明。

在一个实施例中，参见图1，其公开了一种基于智能卡的身份认证方法，包括注册步骤、登录步骤和认证步骤，其中，

就该实施例而言，大多数智能卡使用DES或3DES算法来加密数据。DES仅使用56位密钥，8个八位字节中的每一个中的一个比特用于每个八位字节上的奇数奇偶校验，这一个弱点容易被攻击和其他已知方法利用，DES也因此成为一种不安全的分组密码。3DES是基于DES的加密算法，使得分组长度64字节限制导致实现速度较慢，在AES加密过程中，每轮都使用置换和替换网络，适用于硬件和软件实现。因此，引入AES来取代DES和3DES，能提高本方法中信息和原始数据的安全性。

在ECC签名过程中，求逆运算需要花费较长的时间。使用改进的ECC签名方案对数据签名的过程中，发送端签名时计算s＝k-hrd_A，而在认证端验签时计算r′＝sG+h′rQ_A＝(k-hrd_A)G+h′rd_AG＝kG＝r，由此可知，改进的ECC签名方案不需要模逆操作，具有计算量小，处理速度快，占用存储空间小，数字签名过程的速度快的优点。

能够理解，本实施例在认证过程中，使用改进的ECC签名方法对随机密钥k₁，k₂进行数字签名，在认证端通过公钥对签名进行验证，保证了随机密钥k₁，k₂来源的合法性，避免了在传输过程中被攻击者更改的威胁。认证信息在发送之前，被用AES对称密钥算法加密，使传输过程中的安全性得到了很大提升。AES算法密钥可变，可独立地指定为128bits、192bits、256bits。因为长密钥的使用，在现阶段解除了穷举攻击的可能性，且具有稳定的数学基础，有抗密码分析的强度。

此外，每个智能卡都有自己独特的识别数据即唯一标识符，保证了用户数据隐私和位置隐私。

在另一个实施例中，所述注册步骤进一步包括：所述智能卡C是后台服务器S_B使用唯一标识符ID_C、共享密钥K、用户密码P′和两个随机密钥k₁，k₂对智能卡C进行个性化设置后通过安全通道向用户发送的；其中，用户密码P′不存储在后台服务器S_B的数据库中，而是存储在智能卡C中，智能卡C和后台服务器S_B的数据库中都存储了所述两个随机密钥k₁，k₂、唯一标识符ID_C和作为共享密钥的AES加密密钥K。

其中，安全通道，即将待传输的原始信息进行加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。经过这样的处理，只有源端和目的端的用户对通道中的嵌套信息能够进行解释和处理，而对于其他用户而言只是无意义的信息。

就该实施例而言，非法的读卡器R_C无法充当智能卡C和后台服务器S_B之间的中间人，因为只有当他知道共享密钥K和随机密钥k₁，k₂时才能解密拦截到的信息，对于攻击者来说，找到这些参数是很困难的，因为这些参数仅在智能卡C和后台服务器S_B之间共享。因此，本方法可以防止非法的读卡器R_C的中间人攻击。

如果后台服务器存储用户密码P′，那么在维护P′时存在密码被盗的风险。本方法不需要将用户密码P′存储在后台服务器S_B中，因此消除了密码被盗的风险。因此，本方法对于内部攻击也是安全的。

在另一个实施例中，所述登录步骤进一步包括：用户输入用户密码P，智能卡C比较该用户密码P是否等于存储在智能卡C中的用户密码P′，如果不相等则智能卡C拒绝登录请求且该智能卡C和读卡器R_C之间没有数据交换，否则读卡器R_C向后台服务器S_B发送登录请求。

在另一个实施例中，在智能卡C上加入了硬件函数对随机密钥进行更新操作。

就该实施例而言，保证了密钥更新的有效性。智能卡将认证消息发送之后，需要更新内部存储的随机密钥，因此引入了固化在智能卡硬件上的函数f()更新随机密钥k₁，k₂，避免了由于智能卡内部发生故障时密钥更新失败的问题。

参见图2，在另一个实施例中，所述认证步骤进一步包括：

步骤1、后台服务器S_B用自身私钥

通过改进的ECC签名方法对随机密钥k₁，k₂签名得到

用共享密钥K通过AES加密算法对随机密钥k₁，k₂，

和后台服务器S_B的证书

加密，将加密后的消息发送给读卡器R_C，读卡器R_C将消息发送给智能卡C；

步骤2、智能卡C收到消息之后，用共享密钥K对其解密，得到随机密钥k₁，k₂、签名

和后台服务器S_B的证书

先验证该后台服务器S_B的证书的合法性，合法则取出该后台服务器S_B的证书中S_B的公钥

完成改进的ECC验证签名，该改进的ECC验证签名成功之后将获取的随机密钥k₁，k₂与智能卡C内部存储的随机密钥k₁，k₂进行比较，一致则对读卡器R_C验证成功，否则失败；

步骤3、对读卡器R_C验证结束之后，智能卡C用自身私钥SK_C通过改进的ECC签名方法对随机密钥k₁，k₂和唯一标识符ID_C签名得到

用共享密钥K通过AES加密算法对随机密钥k₁，k₂和唯一标识符ID_C、签名

和智能卡C的证书Cert_C加密，将加密后的消息发送给读卡器R_C，随后用固化在智能卡C上的共享函数f()更新随机密钥k₁，k₂；

步骤4、读卡器R_C直接将接收到的密文E_K((k₁||k₂||ID_C)||

转发给后台服务器S_B；

步骤5、后台服务器S_B用共享密钥K对接收到的消息解密得到随机密钥k₁，k₂，唯一标识符ID_C，签名

和智能卡C的证书Cert_C；先验证智能卡C的证书Cert_C的合法性，合法则取出该智能卡C的证书Cert_C中的智能卡C的公钥PK_C实现改进的ECC验证签名，该改进的ECC验证签名成功之后将唯一标识符ID_C和后台服务器S_B内部存储的唯一标识符

比较，一致则验证随机密钥k₁和k₂是否等于后台服务器S_B内部存储的随机密钥k₁和k₂，相等则对智能卡C验证成功，随后用存储在后台服务器S_B中的共享函数f()更新随机密钥k₁，k₂。

其中，f()函数按照以下方法更新k₁和k₂：

其中h()是单向加密哈希函数，h(ID_C)是对智能卡的唯一标识符ID_C取摘要。

在本方法中，智能卡C通过比较消息

中的k₁、k₂与智能卡C中存储的随机密钥k₁、k₂验证后台服务器S_B的合法性。同样，后台服务器S_B通过比较消息

中的ID_C、k₁、k₂与后台服务器S_B中存储的唯一标识符ID_C和随机密钥k₁、k₂验证智能卡C的合法性。因此，本方法中包含智能卡C和后台服务器S_B之间的身份验证。

就该实施例而言，攻击者侦听智能卡和后台服务器之间的通信之后，在有效时间范围窗口中重新发送在智能卡C和后台服务器S_B之间传输的捕获消息，启动并行会话以模仿合法用户登录后台服务器。攻击者无法创建有效的新登录消息，因为每个新会话的随机密钥k₁和k₂都是新的。因此，本方法对于并行会话攻击是安全的。

如果攻击者窃听发现

他无法获得唯一标识符ID_C的值，因为他不知道共享密钥K和随机密钥k₁，k₂。由于后台服务器S_B存储唯一标识符ID_C，后台服务器S_B可以通过唯一标识符ID_C判断E_K((k₁||k₂||ID_C)||

和智能卡C之间的连接，以防止伪造和重放。因此，后台服务器S_B可以检测并防止伪造和重放攻击。

如果攻击者窃听到智能卡的输出

在下一次认证会话中，他就不能假装成合法读者，因为随机密钥k₁和k₂在每个会话中都会发生变化。使用AES加密算法对消息加密，即使输出被攻击者捕获，智能卡唯一标识号ID_C和随机密钥k₁，k₂也受到保护。因此，本方法不容易被窃听。

在另一个实施例中，所述身份认证方法还包括密码更新步骤，所述密码更新步骤进一步包括，用户需要更改密码时，用户将智能卡C插入读卡器R_C中并输入用户密码P，智能卡C比较该用户密码P是否等于存储在智能卡C中的用户密码P′，如果不相等则拒绝更改密码的请求，智能卡C和读卡器R_C之间没有数据交换；若相等，则用户可输入新的用户密码P′_n，智能卡C用该新的用户密码P′_n代替智能卡C内存储的用户密码P′，密码更改完成。

在另一个实施例中，所述改进的ECC签名方法具体是指：

步骤1)、发送端A选择随机数k，k∈[1，p-1]；

步骤2)、计算r＝kG(x，y)＝(x₁，y₁)，如果r＝0，返回到步骤1)；

步骤3)、计算消息m的摘要，即h＝H(m)；

步骤4)、计算s＝k-hrd_A，若s＝0，转到步骤1)；

步骤5)、将(r，s)作为签名附在m之后发送给接收端B；

其中，p是质数；G(x，y)是椭圆曲线上的一个基点；r是对消息m签名的一部分；h是消息m的摘要；H()表示哈希函数；dA是发送端A的私钥；s是对消息m签名的另一部分；(r，s)为消息m的签名。

就该实施例而言，使用改进的ECC签名方法，无需进行模逆操作，可以减少运算负担，提高效率。此外，先对消息m取摘要，再对摘要进行签名和验签，这样做的优势在于提高了计算速度，因为摘要的长度小于明文消息m的长度，在计算s的时候节约了时间，而且这样做也提高了签名的安全性，因为单向哈希函数不可逆，即使攻击者获得了消息m的摘要，也无法从中解出消息m。

在另一个实施例中，改进的ECC验证签名具体是指：

1)接收端B先判断r和s是否是区间[1，p-1]内的整数，若任何一个检验失败，则拒绝签名，否则继续；

2)计算h′＝H(m)；

3)计算r′＝sG(x，y)+h′rQ_A；

4)当且仅当r′＝r时接受签名，否则拒绝签名；

其中，p是质数；G(x，y)是椭圆曲线上的一个基点；r′是对消息m签名的一部分；h′是消息m的摘要；s是对消息m签名的另一部分；(r，s)为消息m的签名；H()表示哈希函数；Q_A是发送端A的公钥。

就该实施例而言，使用改进的ECC验证签名方法，无需进行模逆操作，可以减少运算负担，提高效率。

在另一个实施例中，给出了本方法和其他认证方案的效率和安全性的比较。

表1是本方法与其它方案之间的效率比较。在表1中，T_e、T_h、T_m和T_a分别是求幂、哈希、椭圆曲线乘法和椭圆曲线点的加减法运算所需的时间，T_AES是本方法中AES加解密运算所需的时间。通常，这些运算的时间复杂度可以粗略地表示为T_e＞T_h＞＞T_m＞T_a。从表1可以看出，本方法的时间复杂度在各方案中较低。

表2是本方法与其它方案的安全性比较，由表2可以看出，本方法可以抵抗表中列出的所有攻击，具有更高的安全性。

表1

表2

尽管以上结合附图对本发明的实施方案进行了描述，但本发明并不局限于上述的具体实施方案和应用领域，上述的具体实施方案仅仅是示意性的、指导性的，而不是限制性的。本领域的普通技术人员在本说明书的启示下和在不脱离本发明权利要求所保护的范围的情况下，还可以做出很多种的形式，这些均属于本发明保护之列。

Claims

1.一种基于智能卡的身份认证方法，包括注册步骤、登录步骤和认证步骤，其中，

认证步骤包括，登录成功之后，认证智能卡C与后台服务器S_B的合法性，其中，所述随机密钥k₁，k₂使用改进的ECC签名方法进行数字签名，同时使用共享密钥K通过AES加密算法对数字证书、随机密钥k₁，k₂及签名进行整体加密，并在智能卡C对后台服务器S_B认证成功后以及后台服务器S_B对智能卡C认证成功后均要更新随机密钥k₁，k₂；

所述认证步骤进一步包括：

步骤1、后台服务器S_B用自身私钥

通过改进的ECC签名方法对随机密钥k₁，k₂签名得到

用共享密钥K通过AES加密算法对随机密钥k₁，k₂，

和后台服务器S_B的证书

和后台服务器S_B的证书

步骤4、读卡器R_C直接将接收到的密文

转发给后台服务器S_B；

2.根据权利要求1所述的方法，所述注册步骤进一步包括：

所述智能卡C是后台服务器S_B使用唯一标识符ID_C、共享密钥K、用户密码P′和两个随机密钥k₁，k₂对智能卡C进行个性化设置后通过安全通道向用户发送的；

其中，用户密码P′不存储在后台服务器S_B的数据库中，而是存储在智能卡C中，智能卡C和后台服务器S_B的数据库中都存储了所述两个随机密钥k₁，k₂、唯一标识符ID_C和作为共享密钥的AES加密密钥K。

3.根据权利要求1所述的方法，所述登录步骤进一步包括：

用户输入用户密码P，智能卡C比较该用户密码P是否等于存储在智能卡C中的用户密码P′，如果不相等则智能卡C拒绝登录请求且该智能卡C和读卡器R_C之间没有数据交换，否则读卡器R_C向后台服务器S_B发送登录请求。

4.根据权利要求1所述的方法，其中，在智能卡C上加入了硬件函数对随机密钥进行更新操作。

5.根据权利要求1所述的方法，所述身份认证方法还包括密码更新步骤，所述密码更新步骤进一步包括，用户需要更改密码时，用户将智能卡C插入读卡器R_C中并输入用户密码P，智能卡C比较该用户密码P是否等于存储在智能卡C中的用户密码P′，如果不相等则拒绝更改密码的请求，智能卡C和读卡器R_C之间没有数据交换；若相等，则用户可输入新的用户密码P′_n，智能卡C用该新的用户密码P′_n代替智能卡C内存储的用户密码P′，密码更改完成。

6.根据权利要求1所述的方法，其中，所述改进的ECC签名方法具体是指：

步骤1)、发送端A选择随机数k，k∈[1，p-1]；

步骤2)、计算r＝kG(x，y)，如果r＝0，返回到步骤1)；

步骤3)、计算消息m的摘要，即h＝H(m)；

步骤4)、计算s＝k-hrd_A，若s＝0，转到步骤1)；

步骤5)、将(r，s)作为签名附在m之后发送给接收端B；

其中，p是质数；G(x，y)是椭圆曲线上的一个基点；r是对消息m签名的一部分；h是消息m的摘要；H()表示哈希函数；d_A是发送端A的私钥；s是对消息m签名的另一部分；(r，s)为消息m的签名。

7.根据权利要求1所述的方法，其中，改进的ECC验证签名具体是指：

2)计算h′＝H(m)；

3)计算r′＝sG(x，y)+h′rQ_A；

4)当且仅当r′＝r时接受签名，否则拒绝签名；