[发明专利]一种多服务器架构下的认证和密钥协商方法

权利要求书

1.一种多服务器架构下的认证和密钥协商方法，其特征在于，包括以下步骤：

步骤1：系统建立

系统建立时，选定密码学安全的hash函数h，选定安全的密钥导出函数KDF，并公开选定的函数，注册中心RC选择随机数x和y作为自己的主密钥；

步骤2：用户向注册中心RC注册

用户U_i选择身份ID_i，口令PW_i，提取生物特征值BIO_i，并计算P_i＝h(PW_i||BIO_i)，然后通过安全信道向注册中心RC提交身份ID_i和P_i；

注册中心RC收到ID_i和P_i以后，计算A_i＝h(ID_i||x)，C_i＝h(ID_i||h(x)||P_i)和并将存储了参数h(x)、h(y)、C_i和D_i的智能卡安全地提交给用户U_i，注册中心RC安全存储A_i；

每个服务器S_j选择身份SID_j并公开，注册中心RC计算Z_j＝h(h(y)||SID_j)，并按每个用户U_i计算X_ij＝h(A_i||SID_j)和Y_ij＝h(A_i||X_ij)，并将参数X_ij、Y_ij和Z_j通过安全信道提交给服务器S_j，参数X_ij和Y_ij一一对应存储；

步骤3：用户登录

当用户U_i试图登录服务器S_j时，插入用户智能卡，输入自己的身份ID_i、口令PW_i，提取生物特征值BIO_i，智能卡计算P_i＝h(PW_i||BIO_i)并验证h(ID_i||h(x)||P_i)＝C_i是否成立；如果成立，则用户U_i的合法性得到确认，如果不成立，则终止执行；

用户U_i的合法性得到确认后，智能卡计算产生一个随机数N₁，计算X_ij＝h(A_i||SID_j)，Y_ij＝h(A_i||X_ij)，M₁＝h(h(A_i||N₁)||Y_ij||N₁)，和并将登录请求G_ij、H_ij、AID_ij和M₁发送给服务器S_j；

步骤4：认证和密钥协商

收到用户U_i的登录请求后，服务器S_j计算和然后根据Y_ij确定对应的X_ij，计算和并计算验证h(h(A_i||N₁)||Y_ij||N₁)＝M₁是否成立；如果成立，则用户U_i的合法性得到确认；如果不成立，则终止执行；

用户U_i的合法性得到确认后，服务器S_j产生一个随机数N₂，计算返回信息M₂和M₃给用户端智能卡，同时，服务器S_j计算指定长度的会话密钥SK＝KDF(N₁||N₂||Y_ij||SID_j)；

用户端智能卡收到信息M₂和M₃后，计算并验证是否成立；如果成立，则计算指定长度的会话密钥SK＝KDF(N₁||N₂||Y_ij||SID_j)，并计算发送给服务器S_j；如果不成立，则终止运行；

服务器S_j检查是否成立；如果成立，即用户U_i和服务器S_j经过交互认证后协商得到会话密钥SK，用于接下来的通信加密；如果不成立，则终止运行。

2.如权利要求1所述的多服务器架构下的认证和密钥协商方法，其特征在于，还包括：

步骤5：用户口令修改

用户U_i需要将口令PW_i修改为PW_i'时，插入他的智能卡，输入自己的身份ID_i、口令PW_i，提取生物特征值BIO_i；智能卡计算P_i＝h(PW_i||BIO_i)并验证h(ID_i||h(x)||P_i)＝C_i是否成立；如果成立，则智能卡提醒用户输入新口令PW_i'；如果不成立，则终止执行；

用户输入新口令PW_i'后，智能卡计算C′_i＝h(ID_i||h(x)||P′_i)，并用C′_i和D′_i分别替换智能卡中的C_i和D_i。