(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210663925.9 (22)申请日 2022.06.13 (71)申请人 中国电子科技 集团公司第三十 研究 所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 赵伟　张晶　张文政　刘涛　夏喆　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 刘世权 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种具有可验证属性的多因子认证系统及 方法 (57)摘要 本发明公开了一种具有可验证属性的多因 子认证系统及方法， 该系统包括用户U、 注册中心 RC、 认证服务器S和 智能传感设备SD。 本发明通过 在用户登录阶段， 使用可验证秘密共享技术将用 户的私钥skU分布式存储于n个认证因子中， 使认 证因子D具有可验证属性， 能够抵抗敌手发起的 设备攻击； 使用模糊提取器将用户生物特征提取 并转换为密码学密钥， 防止生物信息被窃取； 使 用伪随机函数保证了用户口令pw和认证设备中 私密信息的安全性。 在密钥协商阶段， 使用2 轮通 信实现了认证实体间的相互认证， 确保了认证的 实时性； 与传统的认证方案相比， 具有更高的通 信效率， 同时具有密钥不可区分性和前向安全 性， 能够有效抵抗重放、 伪装、 中间人、 窃听等多 种已知攻击 。 权利要求书3页 说明书7页 附图2页 CN 115242435 A 2022.10.25 CN 115242435 A 1.一种具有可验证属性的多因子认证系统， 其特征在于， 包括用户U、 注册中心RC、 认证 服务器S和智能传感设备S D； 其中： 所述用户U与认证服务器S进行双向通信并主动发起认证请求， 用于与智能传感设备SD 建立安全的认证信道， 所述用户U拥有n个认证因子D， 所述认证因子D包括口令pw、 认证设备 和生物特 征Bio， 用户U使用认证因子D完成身份认证以访问患者的医疗数据； 所述注册中心RC为受信 任的实体， 用于用户U和认证服务器S的注册， 产生用户U和认证 服务器S的公私钥对， 所述注册中心RC还用于将所有认证因子D与用户U的私钥skU关联， 完 成认证因子D的注 册； 认证服务器S用于接收用户U发送的认证信息， 管理智能传感设备SD的认证过程， 承担 认证过程中智能传感设备S D的部分计算任务； 智能传感设备SD为患者穿戴的医疗设备， 用于收集患者的生理信息； 所述智能设备SD 还用于与 认证服务器S进 行双向通信， 接收认证服务器S发送的认证信息， 与用户U完成相互 认证并获取会话密钥K。 2.一种具有可验证属性的多因子认证方法， 其特征在于， 用于如权利要求1所述的具有 可验证属性的多因子认证系统， 所述方法包括以下步骤： S1： 注册中心RC初始化； S2： 认证因子D、 认证服 务器S和用户U在注 册中心RC执 行注册过程； S3： 用户U利用认证因子D进行登录； S4： 用户U利用认证消息与认证服务器S进行密钥协商， 并建立用户U与智能传感设备的 通信信道。 3.如权利要求2所述的具有可验证属性的多因子认证方法， 其特征在于， 所述步骤S1具 体包括： S11： 根据安全参数k， 注册中心RC生成3个阶为素数q的循环群G＝<g>， G1＝<g1>， G2＝<g2 >， 1个G1到G2的双线性映射e： G1×G1→G2； S12： 注册中心RC选取两个值域分别为{0， 1}1和G1的哈希函数H和 H′， 其中l为会话密钥 的长度， 初始化伪随机 函数Fs(x)＝H(x， H ′(x)s)， s为伪随机 函数的密钥； 选取两个哈希函数 H0： G×G→K和H1： R×{0， 1}*→G， 其中K为会话密钥空间， R为随机数空间， 初始化AKE协议； S13： 注册中心RC返回公开 参数pp＝(G， G1， G2， e， q， g， Fs(x)， H0， H1)。 4.如权利要求3所述的具有可验证属性的多因子认证方法， 其特征在于， 所述步骤S2， 具体包括： S21： 认证因子D注册， 将用户选取的口令pw， 生物特征Bio， n个随机数{s1，…， sn}发送给 注册中心RC； 注册中心RC使用模糊提取器(Fuzzy  Extractor)将生物特征Bio转换为秘密字 符串R， 设置f(1)＝s1，…， f(n)＝sn， f(n+1)＝R， 使用拉格朗日插值法生成t ‑1阶多项式f(x) ＝α0+α1x+…+αt‑1xt‑1， 其中t为门限值， 注 册中心RC将秘密份额si分别存储于认证设备Di中； S22： 认证服务器S注册， 认证服务器S选取私钥kS并传输给注册中心RC， 注册中心RC生成 认证服务器S的公钥KS， 并选取智能设备S D与认证服 务器S之间的对称密钥KSD； S23： 用户U注册， 注册中心RC设置伪随机函数的密钥s＝f(0)， 并计算用户的私钥kU＝Fs (pw)＝H(pw， H ′(pw)f(0))和公钥KU， 然后将KU传输给用户； RC发布多项式f(x)所有系数αi的权　利　要　求　书 1/3 页 2 CN 115242435 A 2承诺 5.如权利要求4所述的具有可验证属性的多因子认证方法， 其特征在于， 所述步骤S3， 具体包括： S31： 用户U使用口令pw执行登录操作， 选取随机数r， 计算α ＝H ′(pw)r∈G1， 选取任意t个 (t≤n)认证设备， 将βDi发给认证设备； S32： 认证设备Di收到α后， 使用秘密份额si计算 将βDi返回 给用户U； S33： 用户验证设备Di是否使用正确的秘密份额进行回复， 用户使用公开的承诺值Ci计 算 如果 成立， 说明用户将接受设备Di 的回复； 否则， 认为设备Di被敌手控制； S34： 如果认证设备回复的信息 通过验证， 用户U计算 私钥kU＝Fs(pw)＝H(pw， ( αf(0))1/r)， 其中 λi是拉格朗日系数。 6.如权利要求5所述的具有可验证属性的多因子认证方法， 其特征在于， 所述步骤S4， 具体包括： S41： 秘钥处 理； S42： 用户U发起认证； S43： 封装 会话秘钥； S44： 用户U生成会话秘钥。 7.如权利要求6所述的具有可验证属性的多因子认证方法， 其特征在于， 所述步骤S41， 具体包括： S411： 令用户U的私钥kU＝(b， a)， 公钥KU＝(x0， x1)， 初始化计数器ctrU＝0； 其中， kU＝b| |a， |b|＝1bit， xb＝ga， x1‑b∈G， ||表示连接符号， |b|表示b的长度； S412： 令认证服务器S的私钥kS＝(d， c)， 公钥KS＝(y0， y1)， 初始化计数器ctrS＝0； 其中， kS＝d||c， |d|＝1bit， yd＝gc， y1‑d∈G。 8.如权利要求7所述的具有可验证属性的多因子认证方法， 其特征在于， 所述步骤S42， 具体包括： S421： 用户U选取随机数u1， u2∈Zq， 计算 计数器ctrU值增加1， 设 置认证消息m1＝(U， S， ct rU， U1， U2)； S422： 用户U选取随机数tU∈R， 计算y＝H1(tU， m1)， 令kU＝(z0， z1)； 然后生成签名σ1＝ (tU， z0， z1， π )并将(m1， σ1)发给认证服务器S， 其 中zb＝ga， z1‑b∈G， π←ZPrv(b， a； x0， x1； y， y， z0， z1)， ZPrv是一个通用的签名方案 。 9.如权利要求8所述的具有可验证属性的多因子认证方法， 其特征在于， 所述步骤S43， 具体包括： S431： 如果ctrU＞ctrS且ZVfy( π， x0， x1， y， y， z0， z1)＝1， 服务器接受消息(m1， σ1)， 并同步 状态ctrS＝ctrU， 其中ZVfy是ZPrv 对应的签名验证算法；权　利　要　求　书 2/3 页 3 CN 115242435 A 3