認證方法

專利名稱：認證方法
技術領域：
本發明一般涉及通信系統中的安全性，并且更具體地說，涉及組網絡(group network)中基于口令的認證。
背景近年來，對稱為自組網(ad-hoc network)的動態組網絡的興趣愈來愈高，這種網絡基本上可在任何存在利用相同部件通信的兩個或更多節點的地方形成。網絡中的每個節點可充當一個路由器，為其它節點轉發數據包，或僅僅存在廣播通信。因此，自組網不需要集中控制機制并且可很迅速地形成、合并在一起以及實時地分成單獨的網絡，而不依賴固定的基礎結構。這種網絡的有利特征是可將比較小而簡單的設備用作節點，包括個人數字助理(PDA)、膝上型計算機和蜂窩電話。無線通信通常用于互連至少一些裝置，但網絡還可包括靜態和有線的節點。
自組網可包括局域網(LAN)(如同一建筑中為共享服務器資源而互連的工作站)以及由個人管理的組網絡(通常稱為個人區域網(PAN))。PAN一般與小的覆蓋范圍相關聯并且由擁有者附近的聯網個人裝置組成。一般來說，PAN節點是PDA、打印機、個人計算機、數字照相機、移動電話和MP3播放器，但網絡還可包括諸如制冷器和真空吸塵器之類的家用電器。PAN中的自組網通信可采用各種技術。例如，藍牙技術常常可以是一個PAN中的移動裝置之間進行無線通信的適當選擇。
將個人裝置互連到組網絡中導致一些明顯的優點。但是，它也具有這種網絡易受未授權侵入者攻擊的特征。其主要原因在于通信往往利用無線電頻率，所以容易竊聽。此外，便攜式裝置自然比較容易被偷。最終，如果不采取對策，則自組網性質意味著欺詐裝置進入網絡的風險很高。如果惡意侵入者作為組中的一員被通過，并且被允許發送指令給另外的組成員并訪問存儲在其中的秘密信息，則后果可能是例如被毀壞。因此，運行良好的安全性方案是對諸如PAN的組網絡將來廣泛普及至關重要的。具體地說，存在對用于排除非可信組成員的安全機制的需要，例如，通過取消被竊裝置的特權。
在PAN中，通常的每日用戶是組的管理者，并且用戶便利性是高度優先化的。因此，PAN安全機制如用戶認證機制和組成員撤消機制的最合乎需要的特性是它們是用戶友好的，最好基于簡單的用戶口。
根據眾所周知的基于口令對裝置進行認證的現有技術方法，口令的“散列值”被保存在裝置中。當口令被輸入到裝置時，確定對應的散列值。然后，裝置將此散列值與本地存儲的值進行比較，如果輸入口令正確，那么這兩個值將是完全相同的。一般來說，用戶立即得到某種表示認證是否成功的指示。
所描述的方法可應用于組網絡上，一般對所有組成員使用一個通用的口令以便實現簡單的網絡管理。但是，這種解決方案具有嚴重的缺陷，因為入侵組成員的任何人能夠檢索本地存儲的散列值并將其用于猜測和驗證正確的口令。由于口令往往相當短，例如為四個數字/字符，因此自動攻擊中嘗試所有可能口令往往是可行的。這說明了常規的基于口令的機制一個主要問題，即口令通常可借助保存在被竊裝置中的信息而被“逆向設計(reverse engineer)”。
因此，常規的電信系統的驗證裝置遠不能令人滿意，由此非常需要一種用于對組成員進行基于口令的認證的改進過程。

發明內容
本發明的總目的是提供一種用于組網絡的改進安全性方案。具體目的是提供一種對組成員進行基于口令的認證的改進機制。另一目的是實現對組成員的安全撤銷。
這些目的根據所附權利要求實現。
簡要地說，提出了一種對諸如自組網和PAN的組網絡中的裝置進行基于口令的認證的新方法。每個組成員配置一個認證令牌，該認證令牌通過口令創建，但無法用于重建口令，也不能用于驗證口令猜測是否正確。這可以例如通過使用輸入了共同秘密和口令的單向函數值的雙射加鎖函數來實現。認證涉及兩個裝置，輸入口令P的第一裝置以及發生認證的第二裝置。第一裝置根據第二裝置的身份標識、口令和它自己的認證令牌確定用于第二裝置的校驗令牌。這個校驗令牌被傳送到第二裝置，在第二裝置中，將校驗令牌與它的認證令牌進行比較。如果這些令牌匹配，則輸入口令是正確的并且認證成功。
最好，在使用后將口令以及在過程中產生的除各個裝置的認證令牌以外的所有主要參數都清除。以這種方式，一個裝置中包含的信息不允許檢索口令，從而取得高度的安全性。本發明提供的另一個主要優點是口令僅僅必須在認證事件期間在單個裝置中臨時暴露。
本發明的優選實施例包括對裝置進行更新并且可用于撤銷非可信裝置或用于變更口令等。還可能的是，在不變更口令的情況下排除一個組成員，這一點對用戶是方便的。本發明的其它實施例完成更新權的安全授權以及組成員之間的相互的(雙邊的)認證。此外，最好實現限制認證次數或頻率的策略，特別是在認證響應回傳給用戶的情況下。
根據本發明的其它方面，提供具有用于基于口令的認證的部件的通信系統和裝置，以及用于基于口令的認證的計算機程序產品。
附圖的簡要說明通過參考以下描述以及附圖，能夠最佳地理解本發明及其其它目的和優點，其中

圖1是能夠使用本發明的例示性組網絡的示意圖；圖2是根據本發明的例示性實施例的組網絡的基本組件的示意圖；圖3說明根據本發明的例示性實施例對組成員的認證；圖4說明根據本發明的優選實施例的認證和更新；圖5說明根據本發明的優選實施例在一個組網絡中的認證和更新；圖6是根據本發明的認證方法和優選實施例的流程圖；圖7說明根據本發明的例示性實施例形成組網絡的初始建立過程；圖8說明根據本發明的例示性實施例如何向組網絡增加一個新成員；以及圖9說明根據本發明的例示性實施例的更新權授權。
詳細說明在所有附圖中，相同的參考數字用于類似或對應的單元。
圖1是能夠使用本發明的一個例示性組網絡的示意圖。顯示了一個相當小的網絡100，包括PDA 12-1、膝上型計算機12-2和蜂窩電話12-3，構成所謂的無線個人區域網(WPAN)。其它個人裝置可包括在PAN中，如打印機、MP3播放器、數字照相機和各種家用電器(制冷器、真空吸塵器等)。事實上，本發明不限于PAN，而是可用于任何類型的組網絡，包括以自組網方式連接的其它組。這種自組網的典型特性是，一些裝置僅僅在通信會話期間或在與網絡的其余部分非常靠近時是網絡的一部分。
根據本發明的組網絡包括與共同口令如PIN碼相關聯的至少兩個節點。組通常由單個用戶管理，但也可以由兩個或更多用戶如同一家庭成員同享一個口令。節點能夠如圖1所示通過無線連接互連，例如利用藍牙或紅外線技術，或者電纜連接以及組合的無線/有線網絡都是常見的。
圖2是根據本發明的例示性組網絡的基本組件的示意圖。圖示了一個由四個分別具有身份標識IDi，i＝1，...，4的裝置/單元22構成并由用戶23處理的網絡。每個裝置配置了完全相同的組密鑰KG，以便使用眾所周知的常規的認證技術在組內安全通信。這個密鑰主要在裝置在用戶干預最少的情況下進行通信時使用，例如當它們需要自動彼此連接時。借助KG，裝置能夠驗證它們屬于同一組網絡。還可存在各個密鑰對Ki，j(未顯示)，i＝1，...，4，并且j＝1，...，4，以便允許組的兩個特定成員之間的安全通信。密鑰KG和ki，j一般在建立/初始握手過程期間安裝在裝置中。用戶具有用于管理組網絡的口令P。組中的所有裝置因此與同一口令P相關聯。
除了裝置之間“自動”發生認證之外，在有些情況下，用戶需要向一個特定的裝置驗證他自己。為了實現根據本發明的基于口令的用戶認證，組中的各裝置具有唯一的認證令牌Ri(圖2中i＝1，...，4)。一般地，各個認證令牌Ri保存在對應的裝置中，最好受防篡改保護，但也存在一個或多個Ri存儲在外部的情況，例如在安全服務器中，在需要為認證目的從安全服務器檢索所述一個或多個Ri時。對認證令牌進行分配，使得沒有單獨的認證令牌本身允許檢索口令，也不提供驗證猜測的口令是正確的部件。最好，認證令牌絕對不會揭示任何有關口令的信息。因此，Ri是口令P的單向函數，并且最好還取決于令牌秘密S，它是分別與口令P和認證令牌Ri都不相關的基本組密鑰/秘密。然后，各個認證令牌Ri按照以下參考圖7和8所述的方式，由相同的令牌秘密S和口令P建立。現在，簡要說明根據本發明優選實施例的Ri、S和P之間的關系。
認證令牌Ri(i＝1，2，...，n，對于n個裝置的一組)是Hi和令牌秘密S的加鎖函數E的結果Ri＝E(Hi，S)Hi又由下式給出Hi＝f(IDiII P)即口令P和各個裝置身份標識IDi的單向函數f。II表示串級聯。
加鎖函數E是第二輸入中的雙射函數，其反函數表示為D(D＝E-1)，它意味著令牌秘密S可以通過下式來解鎖S＝D(Hi，Ri)所描述的關系可用于根據本發明的安全的基于口令的認證。
基于口令的認證圖3說明根據本發明的例示性實施例對組成員的認證。本發明的基本思想在于，利用組中的一個裝置對一個或多個其它組成員進行認證。在所示實例中，用戶33希望對裝置j 32-2執行動作，比如發送撤銷指令，為此，他的明確授權需要得到驗證。用戶選擇組網絡中的另一成員即裝置i 32-1來處理認證并在這個裝置輸入口令P。然后，裝置I按照以下步驟利用它自己的認證令牌Ri和口令的組合來將令牌秘密S解鎖i)Hi＝f(IDiII P)ii)S＝D(Hi，Ri)之后，裝置i利用S和P來創建用于裝置j的校驗令牌Mjiii)Hj＝f(IDjII P)iv)Mj＝E(Hj，S)校驗令牌Mj表示如果用戶輸入正確的口令則應該在裝置j上可用的認證令牌。Mj發送給裝置j，最好借助密鑰對ki，j加以保護，在裝置j將Mj與裝置j的實際認證令牌Rj進行比較。如果Mj等于Rj，則認證成功地完成并且用戶能夠得到裝置j的信任。另一方面，萬一Mj不同于Rj，則認證失敗并且裝置j不聽從來自裝置i的要求顯式用戶授權的指令。然而，它仍可以接受其它類型的消息。在一些情況下，適當的是，讓裝置j 32-2通過發送認證響應消息34(如圖3中虛線箭頭所示)，從而將認證比較結果傳遞到裝置i 32-1。
所述過程可有利地用于一個裝置i對組中的幾個裝置的認證，或者甚至對所有其它組成員的認證。以上步驟iii和iv對每個裝置j(j＝1，...，n，并且j≠i)重復。
對分配裝置I的唯一嚴格要求是它必須具有一個輸入裝置等，如鍵盤，用于接收口令。由于配置動作能夠在任何時候和任何地方被調用，因此它們最好應該可以從屬于組中的任何裝置調用。所以，在本發明的一個優選實施例中，各個組成員設有簡單的輸入單元，使其能夠充當像上面的裝置i的認證者。
口令P和S最好應該在使用后盡快被清除，從而它們僅僅在裝置i中臨時暴露。在最優選的實施例中，除了各個認證令牌Ri，參與認證過程的所有參數，包括P、S和像Hi的中間參數，在不再需要時都被刪除。
本發明的基于口令的認證具有一些主要優點。口令只須在認證過程期間在組中的一個裝置暴露。這意味著與口令在各個單元被暴露的常規認證相比改善相當大的口令管理以及安全性。此外，單個組成員的信息，即，它的認證令牌不允許檢索或蠻力搜索口令。這意味著不可能從單個竊取的裝置通過使用其中的信息來獲得口令。一個裝置也不可能在不知道口令的情況下用來“愚弄”另一個裝置。
認證和更新認證的目的通常是發送更新信息如撤銷信息或新口令到一個或幾個組成員。在這種情形下，更新過程以圖4和5所示的方式結合到認證過程中。
圖4說明根據本發明的優選實施例，用裝置i 42-1對裝置j 42-2進行認證和更新。如上，用戶43在裝置i輸入組網絡的口令P。如果用戶希望變更口令和/或從組中除去一個或幾個裝置，則還將新口令P′和/或撤銷信息45如非可信裝置列表輸入到裝置i。在裝置i通過上述步驟i和ii確定令牌秘密S。但是，在這種情況下，在實際認證和更新階段之前，需要一些附加的準備。首先，最好通過常規的隨機值產生部件來創建新的令牌秘密S′。S′和P′然后在裝置I按照以下公式用于創建其本身的新認證令牌Ri′v)Hi′＝f(IDiII P′)vi)Ri′＝E(Hi′，S′)保存在裝置I中(或外部)的認證令牌Ri替換為新的認證令牌Ri′。
用于認證的校驗令牌Mj根據上述步驟iii和iv創建，但此時還確定裝置j的新認證令牌Rj′vii)Hj′＝f(IDjII P′)viii)Rj′＝E(Hj′，S′)之后，將校驗令牌Mj從裝置i傳送到裝置j，在裝置j，按上述方式執行Mj和Ri之間的認證比較。在圖4中，可選的是，從裝置j發送認證響應消息44以表示認證結果。只有在令牌匹配并且認證由此成功的情況下，裝置j才同意由裝置i更新。在這種情況下，更新信息可以成功地傳送到裝置j。最好還將密鑰對ki，j或者另一安全機制用于此信息傳送。
給裝置j的更新信息包括新認證令牌Ri′以及還可能包括撤銷信息和/或新的組密鑰KG′。撤銷信息最好被保護，并且可包括包含要排出的裝置的撤銷列表或仍是組的部分的裝置的等效組定義列表。通過這種列表，能夠指令裝置j忽略非可信裝置。此外，列表尤其在一些可信裝置還沒有用新組密鑰KG′更新的情況下，在一段更新期內特別有用，因此，裝置能夠證明擁有特定組密鑰的事實不足以區分可信和非可信裝置。如果更新涉及諸如撤銷的組定義措施，則新組密鑰KG′一般包括在更新信息中。
為變更口令P、從組中除去非可信成員，或者同時完成口令變更和撤銷，可有利地應用上述過程。如果用戶不希望改變口令，則在以上等式中，P′等于P。本發明能夠在不變更口令的情況下允許撤銷裝置的事實構成本發明的另一有利特征。用戶省去了每次重新定義組網絡時必須創造一個新口令并記住新口令的麻煩，這簡化了組的管理。
圖5圖示了根據本發明的例示性實施例在組網絡中進行的認證和更新。在圖示的實例中，組管理者53通過上述機制利用身份標識為ID2，的裝置52-2對其它裝置52-1、52-3、52-4進行認證和更新。因此，將口令P、P′和撤銷信息55輸入裝置52-2，裝置52-2對每個裝置j (j＝1，3，4)重復步驟iii、iv、vii和viii，以獲得各校驗令牌和更新信息。新口令P′就像先前的口令P，僅在裝置52-2中暴露，并且連同除新認證令牌Ri′(i＝1，2，3，4)之外的所有參數一起，最好在使用后立即刪除。
通常，更新過程由組管理者以上述方式發起。組網絡中的一個裝置通過發送請求到另一個裝置來發起更新的解決方案也屬于本發明的范圍。在一個實施例中，在例如一個不活動期之后接通的單元自動詢問來自至少兩個其它單元的適當的更新信息。
圖6是根據本發明具有綜合更新的認證方法的優選實施例的流程圖。首先，組網絡中的所有單元在步驟S1都配置了各自的認證令牌。認證令牌的分配涉及使用組的口令P，但這是以使沒有任何單獨的認證令牌可用于重新創建口令的方式完成的。當組成員在此分配階段接收到它們的認證令牌時，實際認證階段可以通過在第一單元輸入用戶選擇的口令來發起。第一單元在步驟S2確定用于第二單元(具體為需要被認證的單元)的校驗令牌。校驗令牌可靠地傳送到第二單元，在第二單元，將該校驗令牌與分配給此單元的認證令牌進行比較(步驟S3)。成功認證的要求是這些令牌完全匹配。萬一不是這種情況，則認證失敗(步驟S4)并且第二單元不會信賴第一單元的管理者。
另一方面，完全相同的令牌表示成功地驗證了輸入口令。在這種情況下，第二單元接受被第一單元更新。然后，在步驟S5在第一單元創建更新信息，包括用于第二單元的新認證令牌。在步驟S6，產生的更新信息被轉送第二單元，可能與第一單元不加變化地轉發的更新信息一起。此轉送可響應發自第二單元的認證響應消息而啟動。或者，步驟S5以及可能還有S6在步驟S3的比較之前的較早階段執行。步驟S5能夠例如與步驟S2中的校驗令牌確定操作同時進行，不管怎樣，成功的認證比較總是要求第二單元接受被第一單元更新。在最后的步驟S7，用于驗證過程的所有參數，除了認證令牌以外均從組網絡中清除，包括口令。
上述用于基于口令的認證的機制可以作為在組網絡中實現的計算機程序產品來實現。計算機程序產品可以是例如包括用于執行圖6所示步驟的程序方法的可執行軟件模塊。
現在開始解釋本發明的主要原則，下面將描述本發明的具體特征及實施例。
分配認證令牌在實際認證階段以前，認證令牌Ri(對于n個裝置組成的組，i＝1，2，...，n)必須分配給組中的所有裝置。
在初始的創建階段，例如在形成新的組網絡時，在整個系統中傳播認證令牌Ri以及最好還有組密鑰KG。參考圖7，所述裝置之一72-1在這里被選作“分配裝置”，它創建自己的認證令牌以及其余所有裝置72-2、72-3的認證令牌。在用戶73輸入口令P到分配裝置72-1時，分配過程正常地啟動。此裝置最好利用隨機值生成函數產生用于組的令牌秘密S。然后，對于每個其它裝置72-2、72-3，裝置72-1按照以下步驟(j＝2，3)計算認證令牌
ix)Hj＝f(IDjII P)x)Rj＝E(Hj，S)在優選實施例中，認證令牌R2、R3經安全連接發送給對應裝置，比如通過利用密鑰對K1，2、k1，3以及以防篡改方式存儲在其中。但是，在某些情況下這些密鑰ki，j在初始建立時不可用。于是，裝置在初始階段最好通過有線鏈路、紅外線鏈路或短距離無線線路通信，以使竊聽困難。此初始階段可包括確立所述密鑰。或者，可由用戶/管理員人工輸入密鑰到裝置中。
在向已有組網絡中添加一個新裝置時，可以使用類似的分配過程，如圖8所示。假定用戶83希望添加一個新裝置82-4到組網絡。他于是將口令P輸入到另一個裝置82-2，該另一個裝置82-2已經是組中的一員，并且與認證令牌R2相關聯。此認證令牌R2連同P和ID2一起用于在裝置82-2按照以下步驟(i＝2，j＝4)將S解鎖并計算R4xi)Hi＝f(IDiII P)xii)S＝D(Hi，Ri)xiii)Hj＝f(IDjII P)xiv)Rj＝E(Hj，S)利用密鑰對K2，4將R4從裝置82-2有利地安全發送到裝置82-4。應該強調，用戶可選擇組中任何適合的裝置82-1、82-2、82-3來為新裝置分配認證令牌。具體地說，此分配裝置82-2不必與執行初始認證令牌傳播的分配裝置(圖7中的72-1)完全相同。
此外，除認證令牌以外參與分配過程的所有參數最好在使用后都被清除。
加鎖函數E根據本發明，用于確定認證令牌Ri的加鎖函數E可以不同方式實現。但是，為了在上述分配和認證階段檢索S，在第二輸入中E必須是雙射的，即，有可能轉換成為逆“解鎖”函數D。
在一個優選實施例中，加鎖函數E是對稱的塊加密函數，例如熟知的現有技術函數，像DES、AES、Blowfish或簡單的逐位異或。但是，其它實施例可基于不對稱函數，例如ElGamal加密E(x,y)=gxymodpD(x,y)=g-xymodp]]>其中p是適當的素數并且g是Zp*的大子組的發生器。有關提及的加密函數以及一般的密碼術的更多信息可參考例如CRC出版社出版的，由A.J.Menezes、P.C.van Oorschot和S.C.Vanstone所著的“應用密碼術冊(Handbook of Applied Cryptography)”。
加鎖函數中利用的基本特性是對于每一個可能的口令P′，存在一個S′，如果P′是正確的，則S′將產生認證令牌Ri。因此，不可能使用Ri作為正確猜出的口令的“證據”。更精確地說，給定一個候選P′，則可容易地驗證值S′＝D(f(IDiII P′)，Ri)具有此性質，因為E(f(IDiII P′)，S′)＝Ri。
另一概括以上方法的途徑是使用稱為基于口令的秘密共享的新插值法。加鎖函數于是設為E(x，S)＝ax+S(a≠0)它對應于斜率為a、截距為S的直線。仍參考加鎖函數的線條解釋，基本思想是在各個裝置和用戶分別擁有確定其所需的關鍵的一部分信息的意義上，在各個裝置和用戶之間共享該線條(即到E)的秘密。由于直線由兩個點唯一確定，因此可通過在裝置中提供線上一個點的信息(通過Ri)來實現秘密共享，而獲得另一點需要用戶口令P。
所概括的基于口令的秘密共享可以按如下方式完成。對每個i創建E(Hi，S)，并將相應的認證令牌Ri設為Ri＝{x，E(x，S)，E(Hi，S)}(x≠Hi)其中x是對組中所有Ri均相等的隨機值。在這種情況下，Ri包含“線”E上的一個點的兩個座標(x，E(x，S))，但僅包含另一個點的一個座標(E(Hi，S))。剩余的座標(Hi)只可通過在裝置I上輸入口令P來確定，因為按照定義，它是P的單向函數Hi＝f(IDiII P)解鎖在此實例中通過以如下定義的解密函數D進行內插來完成D(Hi,Ri)=E(x,S)-x·E(x,S)-E(Hi,S)x-Hi]]>利用以上等式，如果已知P(并因此知道Hi)，則可檢索到令牌秘密S。
更新權的授權如果用戶開始對某一裝置進行更新，并且在盡管仍存在裝置需要更新的情況下由于某種原因無法繼續，則適當的是，根據本發明的另一實施例應用一個授權方案。于是，用戶選擇一個或多個被授權更新剩余裝置的組成員。這意味著更新通過從口令P所輸入到的原始更新裝置接收到更新權的中間裝置進行。
圖9示意性地說明本發明的一個例示性實施例，其中更新權從裝置i 92-1授權給兩個中間裝置q192-2和q292-3。根據以上步驟iii、iv、vii和viii，裝置i創建校驗令牌Mj和新認證令牌Rj′，用于非被更新裝置j 92-4。它發送Mj和包括Rj′的更新信息到兩個中間裝置q1和q2。在所示實例中，裝置q2遇到非被更新裝置j，并且在成功認證之后將更新信息轉發到該裝置。
為了增加快速可靠更新剩余裝置的可能性，適當的是，將等效的更新權授權給幾個中間裝置。首先能夠與特定的非被更新裝置通信的裝置執行對它的更新。可以不同方式處理另一授權更新裝置以后遇到此已經更新的裝置的情況。一種可能是指示被更新裝置忽略多次更新嘗試。另一可能是授權更新裝置認識到已經發生了更新，因此不再需要其它動作。下文中會描述實現此目的裝置。處理多次更新嘗試的最后方式將是簡單地允許這種多次更新嘗試。這將導致網絡中不必要的信令，但通常不會引起任何嚴重問題。
在提出的授權方案中，仍在原始更新裝置(圖9中的92-1)創建更新信息，而至少一部分更新信息經中間裝置傳送。結果，口令P仍僅需要在一個組成員處暴露。這構成了本發明的另一有利特征，并且允許這樣的實施例，其中，更新權授權包括授權進一步授權更新權的權利。換句話說，更新可通過兩個或更多中間裝置進行，導致一系列組成員參與更新過程。不管中間裝置的數量，口令P被限制在第一裝置，并且在這點上，維持了本發明的安全口令管理。
根據本發明的另一實施例，不論授權涉及單個中間裝置還是幾個裝置，更新權可有利地附帶一個時間戳。時間戳便于確定更新信息在中間裝置實際遇到更新權所涉及的裝置之一的時間點時是否仍有效。最好，時間戳包括生成標識IDG，表示更新信息所屬的更新代。出于比較目的，組中的裝置還具有IDG參數。在進行更新過程期間，一些裝置可以例如以新的生成標識IDG′更新，而另一些裝置仍與上面的IDG相關聯。裝置的生成標識IDG通常與組密鑰KG密切關聯，并且與組密鑰KG同時被更新。
借助于時間戳，裝置q在遇到它具有用于裝置j的更新信息的裝置j時，q可通過校驗更新信息是否屬于不同于裝置j的當前生成標識IDG的以后的生成標識，從而確定更新是否仍是所關心的。通過以所述方式記錄不同的更新事件，可識別并忽略延遲的更新事件。
更新權授權最好涉及由用戶就哪些組成員應該有權執行更新操作進行有效選擇，如上所述。但是，本發明也涵蓋由原更新裝置響應失敗或中斷的更新過程而自動發起授權的方案。
認證響應消息和更新策略根據本發明的基本原則，用戶輸入口令到裝置，該裝置與另一裝置對其進行驗證。第一裝置不知道認證結果，用戶也不知道。在一些情況下，可以期望接受/拒絕信號，并因此根據本發明的一些實施例(圖3、4和9的34；44；94)向第一裝置回送認證響應消息，以指示認證結果。在失敗的情況下，生成出錯審計記錄消息也可能是適當的。
認證響應消息的優點在于，使用戶有可能了解他是否輸入了正確的口令。但是，發送響應消息也引入了一個問題，因為它幾乎立即在竊取的裝置上顯示攻擊者嘗試的口令是否正確。因此，可能的是，攻擊者通過重復地發送信息到幾個非更新的裝置，從而嘗試許多不同的口令。為避免這種情況，最好在組網絡中的一些或所有裝置中實施控制認證的策略。這些策略可例如對口令嘗試次數施加限制。例如可指令每個裝置僅接受三次連續的口令嘗試。
還可以有針對口令嘗試頻度的策略，使得顯示給用戶的響應消息隨口令嘗試次數增加而以指數方式加以延遲。于是，攻擊者必須等待越來越久才能得到各口令嘗試的結果，使其幾乎不可能完成為發現正確口令在統計上所需的大量嘗試。這種延遲策略最好與對口令嘗試次數的限制相結合，但也可以單獨加以應用。
根據本發明的其它實施例，如果超過了預定的口令嘗試次數，則生成給用戶的告警信號。在攻擊單元上創建告警信號，并且最好一可創建適當的通信路徑，就將告警信號發送給一個或幾個其它組成員。當告警消息到達組管理員時，他可采取適當的措施，比如響應于此而發起撤銷操作。
相互驗證所提出的方法的另一個有利特征是它可加以擴展以允許雙向驗證，其中不僅向第二裝置認證第一裝置，而且同時向第一裝置認證第二裝置。通過這種相互認證，在組網絡中的一對裝置之間創建信任關系。
根據本發明，用于裝置i和裝置j之間進行相互驗證的機制的例示性實施方案在如下協議A和B中給出。兩個解決方案都涉及保護認證令牌Rj的附加安全措施，并且涉及基于在相應單元上產生的隨機值的臨時測試秘密。這引起表示認證令牌的參數之間的認證比較，即間接認證令牌之間的認證比較。裝置i就j之間的通信最好借助密鑰對Ki，j來加以保護。
協議A定義f(R，z)為一個適當的偽隨機函數，如密鑰為R輸入為z的AES，并且令II表示比特流的級聯。
裝置i 裝置j輸入口令P計算Mj創建隨機值xx →創建隨機值y設置a′＝f(Rj，x//y//IDi)設置b＝f(Rj，y//x//IDj)y，a′設置a＝f(Mj，x//y//IDi)校驗是否a′＝a如果是，則設置b′＝f(Mj，y//x//IDj)b′→校驗是否b′＝b如果是，則相互認證OK協議B定義p為一個適當的素數，并且g作為Zp的發生器，并且令II表示比特流的級聯。
裝置i 裝置j輸入口令P計算Mj創建隨機值x設置a＝Mjgxmod pa→創建隨機值y設置Z′＝(a/Rj)ymod p設置b＝Rjgymod p設置c＝HMAC(Z′mod p，a//b//IDj//txt1)←b，c，txt1設置Z′＝(b/Mj)xmod p計算c′＝HMAC(Z mod p，a//b//IDj//txt1)校驗是否c＝c′如果是，則設置d＝HMAC(Z mod p，a//b//IDi//txt2)d，txt2→計算d′＝HMAC(Z′mod p，a//b//IDi//txt2)校驗是否d＝d′如果是，則相互認證OK協議A解決方案的優點是非常簡單直接。然而，理論上它導致口令安全性在一定程度上降低，因為大量猜測可能獲得口令。在實踐中，這通常它在正常情況下不構成問題，并且在顧慮口令安全性時，可使用加密封裝的協議A。
在協議B中，認證令牌通過附加的安全性步驟隱藏。該過程基于交換兩個裝置共同的、由來自每個裝置的一個隨機值x和y確定的密鑰gxy。密鑰交換通過傳送參數a和b來進行。txt1和txt2是與a和b級聯的任意長度的文本串，用于形成單向函數HMAC的第二輸入參數。有關HMAC的更多信息，可參考IETF“HMAC，Keyed-Hashing for Message Authentication(HMAC，用于消息認證的加密散列)”(RFC 2104)。
關鍵操作在某些情況下，區分用戶需要認證的關鍵操作與組網絡中其它的次要操作是適當的。為此，本發明的優選實施例在組中的一些單元或所有單元中實施定義關鍵性操作的一些策略。一種方式將是簡單地使用從單元訪問的查找表。所述策略存儲在這些單元中，或者存儲在外部。
關鍵性操作包括要求更新組中一些裝置的操作如撤銷以及不涉及信息更新但仍需要認證的操作。后者通常適用于為訪問與高保密性需求相關的對象或服務而執行的操作，比如打開保險箱或從服務器檢索秘密信息。
盡管已經參考特定的例示實施例對本發明進行了描述，但應該強調，本發明還涵蓋與所公開特征的等效者以及本領域技術人員顯而易見的各種修改和變型。因此，本發明的范圍僅由所附權利要求書限定。
權利要求
1.一種在通信系統中的基于口令的認證方法，所述通信系統包括與一個共同口令相關聯的至少兩個單元(12；22；32；42；52；72；82；92)構成的組(100)，其特征在于如下步驟基于所述口令將各個認證令牌分配給各單元，使每個認證令牌由所述口令不可逆地確定；在第一單元(32-1；42-1；52-2；92-1)基于所述口令和所述第一單元的認證令牌確定用于第二單元(32-2；42-2；52-1，52-3、52-4；92-4)的校驗令牌；以及在所述第二單元，將所述校驗令牌與所述第二單元的認證令牌進行比較，以向所述第二單元認證所述第一單元。
2.如權利要求1所述的方法，其特征在于如下另一步驟在使用之后，刪除所述口令以及在所述認證過程中產生的除所述認證令牌以外的所有重要參數。
3.如權利要求1所述的方法，其特征在于以下另一步驟在所述第二單元(42-2；52-1，52-3、52-492-4)響應成功的認證而接受從所述第一單元(42-1；52-2；92-1)安全轉送的更新信息，至少一部分所述更新信息在所述第一單元創建。
4.如權利要求3所述的方法，其特征在于所述更新信息與非可信組成員的撤銷相關聯。
5.如權利要求3所述的方法，其特征在于所述更新信息與口令變更有關。
6.如權利要求3所述的方法，其特征在于所述更新信息是從如下組中選擇的新認證令牌、新組密鑰、組定義列表和撤銷列表(45；55；95)，包括它們的組合。
7.如權利要求3所述的方法，其特征在于將更新權授權給第三中間單元(92-2，92-3)，并且將所述第二單元(92-4)的所述更新信息的至少一部分發送給所述中間單元。
8.如權利要求7所述的方法，其特征在于所述更新信息伴隨有時間戳，用于在所述中間單元(92-2，92-3)遇到所述第二單元(92-4)時，確定所述更新信息是否仍然有效。
9.如權利要求7所述的方法，其特征在于所述更新權授權包括授權進一步授權更新權的權利。
10.如權利要求1所述的方法，其特征在于所述分配步驟又包括如下步驟在所述組中的分配單元(72-1；82-2)確定所述組共同的并且與所述口令不相關的令牌秘密；以及在所述分配單元基于所述令牌秘密和所述口令創建用于所述組中另一個單元(72-2，72-3；82-4)的認證令牌。
11.如權利要求10所述的方法，其特征在于所述確定所述令牌秘密的步驟涉及產生所述令牌秘密，作為初始建立過程的一部分。
12.如權利要求1所述的方法，其特征在于所述確定校驗令牌的步驟又包括如下步驟在所述第一單元(32-1；42-1；52-2；92-1)利用所述第一單元的認證令牌和所述口令檢索所述令牌秘密；以及在所述第一單元基于所述令牌秘密和所述口令創建用于所述第二單元(32-2；42-2；52-1，52-3，52-4；92-4)的校驗令牌。
13.如權利要求10或12所述的方法，其特征在于所述創建步驟涉及利用一個雙射加鎖函數，該雙射加鎖函數的輸入參數包括所述令牌秘密和所述口令的一個單向函數值。
14.如權利要求13所述的方法，其特征在于所述加鎖函數是對稱的加密函數。
15.如權利要求13所述的方法，其特征在于所述加鎖函數通過基于口令的秘密共享實現。
16.如權利要求1所述的方法，其特征在于在所述組中的至少一個單元中實施策略來限制認證嘗試的次數和/或頻率。
17.如權利要求1所述的方法，其特征在于如下另一步驟如果所述認證嘗試次數超過一個預定值，則產生告警信號。
18.如權利要求1所述的方法，其特征在于如下另一步驟從所述第二單元(32-2；42-2；92-4)發送認證響應消息(34；44；94)，以指示所述比較步驟的結果。
19.如權利要求1所述的方法，其特征在于進一步向所述第一單元(32-1；42-1；52-2；92-1)認證所述第二單元(32-2；42-2；52-1，52-3，52-4；92-4)，由此所述第一和第二單元互相彼此認證。
20.如權利要求19所述的方法，其特征在于如下步驟在所述第一和第二單元產生相應的隨機值；基于所述隨機值在所述第一和第二單元確定臨時測試秘密；以及在所述第一和第二單元之間交換所述臨時測試秘密，用于相互認證目的。
21.如權利要求1所述的方法，其特征在于需要認證的關鍵操作列舉在至少一個所述單元(12；22；32；42；52；72；82；92)中的策略中。
22.如權利要求3所述的方法，其特征在于在不活動一段預定時間之后接通的單元(42-2；52-1，52-3，52-4；92-4)自動地請求來自至少兩個其它單元的適當更新信息。
23.如權利要求1所述的方法，其特征在于所述單元組(100)構成個人區域網(PAN)。
24.如權利要求1所述的方法，其特征在于所述認證令牌以防篡改方式存儲在所述各個單元(12；22；32；42；52；72；82；92)中。
25.一種通信系統，包括由與一個共同口令相關聯的至少兩個單元(12；22；32；42；52；72；82；92)構成的組(100)以及用于基于口令認證的部件，其特征在于基于所述口令將各個認證令牌分配給所述組中的各個單元，使每個認證令牌由所述口令不可逆地確定的部件；用于在第一單元(32-1；42-1；52-2；92-1)基于所述口令和所述第一單元的認證令牌確定用于第二單元(32-2；42-2；52-1，52-3，52-4；92-4)的校驗令牌的部件；以及在所述第二單元將所述校驗令牌與所述第二單元的所述認證令牌進行比較，以向所述第二單元認證所述第一單元的部件。
26.如權利要求25所述的系統，其特征在于還包括在使用之后，刪除所述口令以及在所述認證過程中產生的除所述認證令牌以外的所有重要參數的部件。
27.如權利要求25所述的系統，其特征在于還包括用于從所述第一單元(42-1；52-2；92-1)安全地轉送更新信息到所述第二單元(42-2；52-1，52-3，52-4；92-4)的部件；以及用于在所述第二單元響應成功的認證而從所述第一單元接受更新信息的部件。
28.如權利要求27所述的系統，其特征在于所述更新信息與非可信組成員的撤銷相關聯。
29.如權利要求27所述的系統，其特征在于所述更新信息與口令變更有關。
30.如權利要求27所述的系統，其特征在于所述更新信息是從如下組中選擇的新認證令牌、新組密鑰、組定義列表、以及撤銷列表(45；55；95)，包括它們的組合。
31.如權利要求27所述的系統，其特征在于用于將更新權授權給第三中間單元(92-2，92-3)的部件，以及用于將所述第二單元(92-4)的所述更新信息的至少一部分發送給所述中間單元的部件。
32.如權利要求25所述的系統，其特征在于所述用于分配的部件又包括用于在所述組中的分配單元(72-1；82-2)確定所述組所共同的并且與所述口令不相關的令牌秘密的部件；以及用于在所述分配單元基于所述令牌秘密和所述口令創建用于所述組中另一個單元(72-2，72-3；82-4)的認證令牌的部件。
33.如權利要求25所述的系統，其特征在于所述用于確定所述校驗令牌的部件又包括用于在所述第一單元(32-1；42-1；52-2；92-1)利用所述第一單元的認證令牌和所述口令檢索所述令牌秘密的部件；以及用于在所述第一單元基于所述令牌秘密和所述口令創建用于所述第二單元(32-2；42-2；52-1，52-3，52-4；92-4)的校驗令牌的部件。
34.如權利要求32或33所述的系統，其特征在于所述用于創建的部件涉及一個雙射加鎖函數，該雙射加鎖函數的輸入參數包括所述令牌秘密和所述口令的一個單向函數值。
35.如權利要求25所述的系統，其特征在于在所述組中的至少一個單元中實施的策略用于限制認證嘗試的次數和/或頻率。
36.如權利要求25所述的系統，其特征在于還包括用于在所述認證嘗試次數超過一個預定值的情況下產生告警信號的部件。
37.如權利要求25所述的系統，其特征在于還包括用于從所述第二單元(34-2；42-2；92-4)發送認證響應消息(34；44；94)的部件。
38.如權利要求25所述的系統，其特征在于還包括用于在所述組中的兩個單元(12；22；32；42；52；72；82；92)之間的相互認證的部件。
39.如權利要求25所述的系統，其特征在于定義需要認證的的關鍵操作的策略。
40.如權利要求25所述的系統，其特征在于所述系統是個人區域網(PAN)。
41.一種屬于由與一個共同口令相關聯的至少兩個裝置構成的組(100)的裝置(12；22；32；42；52；72；82；92)，其包括用于基于口令認證的部件，其特征在于此第一裝置包括用于接收口令的部件；用于基于所述口令將各個認證令牌分配給所述組中的其它裝置(72-2，72-3；82-4)，使各個認證令牌由所述口令不可逆地確定的部件；用于基于所述口令和所述第一裝置(32-1；42-1；52-2；92-1)的認證令牌確定用于所述組中的第二裝置(32-2；42-2；52-1，52-3，52-4；92-4)的校驗令牌的部件；以及用于將所述校驗令牌傳送到所述第二裝置以向所述第二裝置進行認證的部件。
42.如權利要求41所述的裝置，其特征在于還包括在使用之后，刪除所述口令以及在所述認證過程中產生的除所述認證令牌以外的所有重要參數的部件。
43.如權利要求41所述的裝置，其特征在于還包括用于創建所述第二裝置(42-2；52-1，52-3，52-4；92-4)的更新信息的部件；以及向所述第二裝置安全地傳送更新信息的部件。
44.如權利要求43所述的裝置，其特征在于用于將更新權授權給一個中間裝置(92-2，92-3)的部件，以及用于將所述第二裝置(92-4)的所述更新信息發送給所述中間裝置的部件。
45.如權利要求41所述的裝置，其特征在于所述用于分配的部件又包括用于確定所述組所共同的并且與所述口令不相關的令牌秘密的部件；以及用于基于所述令牌秘密和所述口令創建用于所述組中另一個裝置(72-2，72-3；82-4)的認證令牌的部件。
46.如權利要求41所述的裝置，其特征在于所述用于確定所述校驗令牌的部件又包括用于利用所述第一裝置(32-1；42-1；52-2；92-1)的認證令牌和所述口令檢索所述令牌秘密的部件；以及用于基于所述令牌秘密和所述口令創建用于所述第二裝置(32-2；42-2；52-1，52-3，52-4；92-4)的校驗令牌的部件。
47.一種計算機程序產品，用于在由計算機執行時在通信系統中進行基于口令的認證，所述通信系統包括由與一個共同口令相關聯的至少兩個單元(12；22；32；42；52；72；82；92)構成的一個組(100)，其特征在于用于基于所述口令將各個認證令牌分配給所述組中的各個單元，使得各個認證令牌由所述口令不可逆地確定的程序模塊；用于在第一單元(32-1；42-1；52-2；92-1)基于所述口令和所述第一單元的認證令牌確定用于第二單元(32-2；42-2；52-1，52-3，52-4；92-4)的校驗令牌的程序模塊；以及用于在所述第二單元將所述校驗令牌與所述第二單元的所述認證令牌進行比較，以向所述第二單元認證所述第一單元的程序模塊。
全文摘要
本發明涉及組網絡中基于口令的認證。每個裝置(42)具有一個不可逆地基于口令的認證令牌。認證涉及輸入口令P的第一裝置(42－1)以及發生認證的第二裝置(42－2)。第一裝置根據口令及其自己的認證令牌R
文檔編號H04L29/06GK1765078SQ03826314
公開日2006年4月26日 申請日期2003年4月16日 優先權日2003年4月16日
發明者F·林德霍爾姆, M·奈斯倫德 申請人:艾利森電話股份有限公司