[发明专利]采用口令防火墙的身份认证系统

摘要

一种采用口令防火墙的身份认证系统，其初始化机制包括：进行初始化操作、建立帐号并注册口令、申请基于口令的私钥、计算基于口令的公钥、提取基于口令的私钥，用户身份认证机制包括：发出请求、产生质询码、计算消息、生成数字签名、应答码返回口令防火墙、计算用户的公钥、反向计算用户的口令、用户代理向口令认证服务器登录。本系统把防火墙物理/逻辑内侧的口令认证机制转换为防火墙物理/逻辑外侧的质询－应答认证机制，以克服口令认证的弱点，提升认证系统的安全性；质询－应答认证机制采用基于口令的数字签名，不依赖公钥基础设施提供签名公钥的鉴别服务；数字签名采用新颖、快速的算法，速度可比常规算法高出几百倍，便于在令牌中固化。

主权项

1.一种采用口令防火墙的身份认证系统，该系统物理/逻辑上包括口令防火墙、私钥产生器、用户端和口令认证服务器，该系统的认证机制由初始化机制(A)和用户身份认证机制(B)组成，其特征是：所述初始化机制(A)包括如下步骤：步骤(A1)，私钥产生器进行初始化操作，利用软件或硬件随机产生两个秘密大素数，分别记为p和q，用它们组成私钥产生器所需的主密钥，同时计算系统参数n＝pq，并将其公布；步骤(A2)，各个用户向口令认证服务器申请建立帐号并注册口令；步骤(A3)，各个用户利用已注册的口令，记为w，向私钥产生器申请基于口令的私钥；步骤(A4)，私钥产生器为用户口令随机添加一个后缀，记为v，并按如下公式为用户计算基于口令的公钥α：α＝h(v)w(mod n)，其中h是一个单向哈希函数；步骤(A5)，私钥产生器根据如下方程为用户提取基于口令的私钥β：α＝β^e(mod n)，其中e是一个参数，e≥2；所述用户身份认证机制(B)包括：步骤(B1)，用户在用户端向口令防火墙发出请求，要求进行身份认证；步骤(B2)，口令防火墙产生一个随机质询码R_s，发送给用户端；步骤(B3)，用户端产生另一个随机数R_u，并计算消息m＝{h(w，v)，ID_u，R_u，R_s}，其中ID_u是用户帐号，h(w，v)是口令及其后缀的哈希值；步骤(B4)，用户端以基于口令的私钥β、系统参数n以及消息m作为输入量，通过数字签名算法生成消息m的基于口令的数字签名；步骤(B5)，用户端将ID_u，R_u，R_s连同消息m基于口令的数字签名一起作为应答码返回给口令防火墙；步骤(B6)，口令防火墙以系统参数n、消息m及其基于口令的数字签名作为输入量，通过具有如下形式的数字签名验证算法从应答码中计算出该用户基于口令的公钥α：α＝f(m_h，s)(mod n)，其中m_h＝h(m)，代表被签名消息的哈希值，s为该消息的签名，f是一个单向陷门函数，其陷门就是用户私钥β，f和h的值域满足D(f)，D(h)⋐F,]]>其中F是某个数域，*是F上的乘法；步骤(B7)，口令防火墙根据步骤(A4)所用的从w计算α的公式，反向从基于口令的公钥α计算出该用户的口令w；步骤(B8)，口令防火墙内的用户代理再以算出的用户口令和用户提供的账号向口令认证服务器登录，若登录成功，则接受该用户，否则予以拒绝。