專(zhuān)利名稱(chēng):秘密資料下載方法
技術(shù)領(lǐng)域:
本發(fā)明是關(guān)于秘密信息下載的協(xié)定,尤其對(duì)于在非安全的通訊管道(比如網(wǎng)際網(wǎng)路)下載秘密金匙(privatekey)的狀況��。
金匙管理的功能對(duì)于電腦及網(wǎng)路安全而言是非常重要的�。如何記得并保管秘密金匙,或甚至如個(gè)人的公開(kāi)金匙(public key)對(duì)于很多需要安全的應(yīng)用是必要的�����,通常對(duì)一個(gè)使用者而言如果沒(méi)有任何輔助的設(shè)備�����,如晶片卡(IC card)而去記得如此長(zhǎng)串的秘密金匙是很困難的����,但藉由晶片卡(IC card)是必須有額外的花費(fèi)����,比如需要讀卡機(jī)(IC cardreaders)以及其他系統(tǒng)的開(kāi)發(fā)����,并且使用者仍必須記得攜帶晶片卡(ICcard)。
1994年Novell所發(fā)展出來(lái)的Net Ware version 4目錄服務(wù)(DirectoryService)功能中����,也提供了金匙管理的功能,Net Ware version 4讓使用者們能夠藉由遠(yuǎn)端的伺服器下載他們的秘密金匙�,這個(gè)協(xié)定不需要額外的硬件,就可以讓使用者很方便地下載秘密金匙或甚至如個(gè)人的公開(kāi)金匙����,使用者只要記住自己的密碼�����,能夠藉由遠(yuǎn)端且支援這個(gè)協(xié)定伺服器以便取得他們的秘密資訊��。
下面會(huì)簡(jiǎn)單介紹Net Ware version 4協(xié)定�����。在支援此協(xié)定的金匙伺服器(key server)儲(chǔ)存有每一使用者的秘密金匙,任一公開(kāi)金匙�,或有需要的話(huà)連使用者的秘密資訊亦可。每一使用者���,比如是“A”��,有自己的密碼Pa����,通常是一個(gè)弱金匙(weak key)����,通常也容易被記憶。伺服器為使用者“A”選擇一亂數(shù)‘SALT’���,然后儲(chǔ)存以下的信息{IDa��,Xa=b(Pa����,SALTa)����,SALTa�,Z={SKa}Pa}�,其中h()為雜湊函數(shù),比如使用SHA(Secure Hash Standard�����,安全標(biāo)準(zhǔn)雜湊函數(shù))���,{SKa}Pa的意義為利用傳統(tǒng)方式以Pa為加密金匙(encryptionkey)將信息Ska加密�����。而使用亂數(shù)‘SALT’的意義是為減少萬(wàn)一不同使用者選擇同一個(gè)密碼��。
NetWare協(xié)定的目的在于讓使用者“A”從金匙伺服器下載自己的受保護(hù)秘密金匙{SKa}Pa�����,這個(gè)協(xié)定(NetWare version 4)的步驟介紹如下1.A→SIDa2.S→ASALTa,rs����,PKs其中rs為伺服器選擇的整數(shù)亂數(shù)�,PKs為伺服器的公開(kāi)金匙����,用在現(xiàn)代公開(kāi)金匙基礎(chǔ)下的加密系統(tǒng),比如采用RSA(Rivest�,Shamir,andAdleman)system系統(tǒng)�。
3.A→SEPKS(Y,ra)其中為使用者選擇的整數(shù)亂數(shù)�����,Y=h(Xa���,rs)��,且EPKS(m)的意義為利用PKs為公開(kāi)金匙將信息“m”加密��。需注意的是使用者“A”在本步驟中需要使用自己的密碼��,然而使用自己的密碼Pa為了安全的理由不會(huì)傳送到伺服器�。
4.S→A{zra}Y接下來(lái)使用者“A”針對(duì){zra}Y解密��,因?yàn)槭褂谜摺癆”知道Y��,Pa,以及ra��。
Perlman-Kaufman也提出另一個(gè)協(xié)定����,以讓使用者們能夠記住自己的密碼由伺服器下載他們的秘密金匙但不需傳送自己的密碼到伺服器。其中有一個(gè)為Perlman-Kaufman四個(gè)步驟的協(xié)定如同上述所提到的NetWare velrsion 4協(xié)定�,而Perlman-Kaufman又提出一種效率較NetWarevelrsion 4協(xié)定佳的兩個(gè)步驟的協(xié)定,然而Perlman���,Kaufman兩個(gè)步驟的協(xié)定很容易遭到無(wú)法偵測(cè)到的線(xiàn)上密碼猜測(cè)攻擊(on-line passwardguessing attack)�����。
有關(guān)Perlman-Kaufman協(xié)定����,請(qǐng)參考文章“R.Perlman and C.KaufrnanSecure password based protocol for downloading a private key�����,Proc.of the 1999 Network and Distributed System Security Symp.���,theNDSS‘99�����,F(xiàn)ebruary 1999”本發(fā)明的目的在于發(fā)展一種改善秘密信息的下載方法�����,此新提出的協(xié)定較NetWare version 4協(xié)定有效率��,且較Perlman-Kaufman兩個(gè)步驟的協(xié)定更安全����。
為了達(dá)成上述的目的�,根據(jù)本發(fā)明在非安全的通訊管道中一種私密資料下載方法伺服端儲(chǔ)存的信息包括使用者的ID;使用者的X’值�,其中X’值是由包括以Pa及ID為參數(shù)的雜湊函數(shù)所求出,而Pa為使用者的密碼被加密的秘密信息��;伺服器的秘密金匙SKs���;伺服器的公開(kāi)金匙PKs�,其中PKs=aSKsmod p�����,p是先宣告的質(zhì)數(shù),SKs與(p-1)互質(zhì)����;該私密資料下載方法包括下列步驟存使用者端計(jì)算下列值X值,以X’值使用的公式一致�����;V值��,是以包括X值及PKsra值��,并包括模P(module p operation)的運(yùn)算所計(jì)算求出�����,其中ra為一個(gè)整數(shù)亂數(shù)�����;K值�,由以包括Ra為參數(shù)的雜湊函數(shù)所計(jì)算出,其中Ra=aramodp����;傳送ID�����,V,K到伺服器端���;在伺服器端從使用者端取得ID�����,V值以及K值后�,計(jì)算下列值����;計(jì)算Ra’值,Ra’=(PKsramod p)(SKs^-1)���,其中(SKs^-1)為SKsmodulo(P-1)的乘法反元素���,而(PKsramod p)是藉由V值以及X’值所求出;以及如果K=K’則傳送加密的秘密信息給使用者�。
其中X=h(Pa,ID),h()為雜湊函數(shù)����。
其中V=X+PKsramod p,因此PKsramod p能夠被(V-X)所計(jì)算出來(lái)�。
其中V=X+PKsramod p,因此PKsramod p能夠被(V-X)所計(jì)算出來(lái)�。
其中K=h(Ra),h()為雜湊函數(shù)���。
其中a是模p的原根�。
其中加密的秘密信息是由Pa所加密��。
其中加密的秘密信息還被Ra所加密�。
本發(fā)明一種伺服器檢查使用者身份的方法,是用于在非安全的通訊管道中����,伺服器端儲(chǔ)存的信息包括使用者的ID;使用者的X’值�����,其中X’值是由包括以Pa及ID為參數(shù)的雜湊函數(shù)所求出����,而Pa為使用者的密碼�����;被加密的秘密信息�����;伺服器的秘密金匙SKs;伺服器的公開(kāi)金匙PKs���,其中PKs=αSKsmod p��,p是先宣告的質(zhì)數(shù)�,SKs與(p-1)互質(zhì)����;其中伺服器收到由使用者所傳送的下列值使用者ID;V值�����,是以包括X值及PKsra值��,并包括模p(module p operation)的運(yùn)算所計(jì)算求出,其中ra為一個(gè)整數(shù)亂數(shù)�����,且X值與X’值使用的公式一致�;K值,由以包括Ra為參數(shù)的雜湊函數(shù)所計(jì)算出����,其中Ra=αramodp;其特征在于�,該伺服器檢查使用者身份的方法包括下列步驟。
從使用者端取得ID��,V值以及K值后����,計(jì)算下列值;計(jì)算Ra’值�����,Ra’=(PKsramodp)(SKs^-1)����,其中(SKs^-1)為SKsmodulo(p-1)的乘法反元素���,而(PKsramod p)是藉由V值以及X’值所求出;以及如果K=K’則使用者身份可被確認(rèn)����。
其中X=h(Pa,ID)��,h()為雜湊函數(shù)�。
其中V=X+PKsramod p,因此PKsramod p能夠被(V-X)所計(jì)算出來(lái)���。
其中V=X+PKsramod p,因此PKsramod p能夠被(V-X)所計(jì)算出來(lái)��。
其中K=h(Ra)�����,h()為雜湊函數(shù)��。
其中a是模p的原根�。
為進(jìn)一步說(shuō)明本發(fā)明的目的及功效,以下結(jié)合附圖對(duì)本發(fā)明作一詳細(xì)描述���,其中
圖1是根據(jù)本發(fā)明描述使用者端與伺服器端的方法步驟�。
雖然協(xié)定可用于一般性下載秘密信息的狀況,但在實(shí)施例中是以如同上述所討論的先前技術(shù)一樣���,是以下載秘密金匙為例�,一個(gè)根據(jù)本發(fā)明的兩個(gè)步驟的秘密金匙下載方法介紹如下1.使用者→伺服器ID�,V,K2.伺服器→使用者{Z}Ra請(qǐng)一并參考圖1并參照下述的說(shuō)明以了解本發(fā)明的方法步驟下面介紹的秘密信息下載方法使用者也是選擇自己的密碼Pa��,但是亂數(shù)‘sALT’則不需要而以使用者自己的ID(身份辨識(shí)碼)取代�����,伺服器在其安全的系統(tǒng)下儲(chǔ)存以下的信息{ID���,X’=h(Pa�����,ID)�����,Z={SKu}Pa}�����,其中h()為雜湊函數(shù)�,比如使用SHA(Secure Hash Standard,安全標(biāo)準(zhǔn)雜湊函數(shù))��;SKu使用者自己的秘密金匙����;{SKu}Pa的意義為利用傳統(tǒng)方式以Pa為加密金匙(encryption key)將信息SKu加密。
由于伺服器的設(shè)定是在協(xié)定開(kāi)始應(yīng)用且在安全的設(shè)定下之前�����,因此可假設(shè)伺服器的公開(kāi)金匙(PKs)可先被取得���,假設(shè)伺服器的公開(kāi)金匙由如下的式子所得出PKs=aSKsmod p,其中p是先宣告的質(zhì)數(shù)SKs是伺服器的秘密金匙且與(p-1)互質(zhì)���;a是模p的原根(primitive root modulo p)��,這個(gè)條件會(huì)使得當(dāng)兩個(gè)使用者自己的秘密金匙不相同時(shí)����,則他們的公開(kāi)金匙也會(huì)不同。
在使用者端步驟10計(jì)算X=h(Pa�,ID).因?yàn)槭褂谜咧雷约旱腜a及ID,所以X可被求出��;步驟11選擇一個(gè)整數(shù)亂數(shù)ra����;步驟12計(jì)算PKsramod p,伺服器的公開(kāi)金匙��,PKs���,可事先取得���;步驟13計(jì)算V=X+PKsramod p;步驟14計(jì)算Pa=αramodp�����;步驟15計(jì)算K=h(Ra)����;and步驟16傳送ID,V�,K到伺服器�����。
在伺服器端伺服器從使用者端取得ID���,V值以及K值后,伺服器開(kāi)始執(zhí)行下面的步驟步驟20計(jì)算Ra’=(V-X’)(SKs^-1)����,其中(SKs^-1)為SKs modulo(p-1)的乘法反元素(multiplicativeinverseof SKs modulo(p-1))。因?yàn)閂-X’=PKsramod p=(αSKsmod p)ramod p=(αramod p)SKsmod p=RasKsmod p����;本步驟所使用到的公式在數(shù)學(xué)領(lǐng)域是廣泛被知道的,有關(guān)使用到的公式的詳細(xì)說(shuō)明可以參考“K.H.Rosen����,Elementary numbertheory.Reading,Addison-Wesley�����,MA�,1988”for details��。
步驟21計(jì)算K’=h(Ra’)?��;步驟22計(jì)算是否K=K’��?����;以及步驟23如果是的話(huà)則傳送(Z)Ra.
步驟20—22是在檢查使用者身份,如果K=K’則Ra=Ra’��,因此代表X=X’����,此意義即代表隱藏(embedded)于X的密碼Pa是正確的。
在使用者端使用者端取得{Z}Ra后����,使用者端開(kāi)始執(zhí)行下面的步驟步驟30從(Z)Ra解出得到Z,因?yàn)樵诓襟E14為已知的�����;步驟31從Z解出得到秘密信息����,因?yàn)槭褂谜咧繮a�����。
雖然本發(fā)明是藉由實(shí)施例來(lái)解釋?zhuān)枳⒁獾氖?,上述僅為實(shí)施例��,而非限制于實(shí)施例���。有很多的變化或可能的修改但不脫離本發(fā)明基本架構(gòu)�,皆應(yīng)為本專(zhuān)利所主張的權(quán)利范圍��,而應(yīng)以專(zhuān)利申請(qǐng)范圍為準(zhǔn)����。
一些簡(jiǎn)易的修改舉例如下對(duì)于求出X’值或X值的唯一限制是使用包括以Pa及ID為參數(shù)的雜湊函數(shù)即可,只要求出X’值或X值使用的公式一致即可���,比如X’值或X值可由公式“h(PaID)”求出�����。
當(dāng)V值等于“X-PKsramod p”而非等于如實(shí)施例的“X+PKsramod p時(shí)候�,則在步驟20����,Ra’=(V+X’)(SKs^-1)?��;蛘呷绻诓襟E12計(jì)算(x+PKsra)mod p���,而讓V值等于“(X+PKsra)mod p”,則可由(V-X’)modp計(jì)算求出PKsramodp���。
在步驟15��,如果令K=h(Ra�,ID)�,則步驟21K’=h(Ra,ID)��。
權(quán)利要求
1.一種私密資料下載方法�����,用于在非安全的通訊管道中使用端與伺服端之間���,伺服端儲(chǔ)存的信息包括使用者的ID����;使用者的X’值,其中X’值是由包括以Pa及ID為參數(shù)的雜湊函數(shù)所求出���,而Pa為使用者的密碼被加密的秘密信息�����;伺服器的秘密金匙SKs伺服器的公開(kāi)金匙PKs�����,其中PKs=aSKsmod p���,p是先宣告的質(zhì)數(shù),SKs與(p-1)互質(zhì)���;其特征在于�,該私密資料下載方法包括下列步驟在使用者端計(jì)算下列值X值�����,以X’值使用的公式一致;V值����,是以包括X值及PKsra值��,并包括模P的運(yùn)算所計(jì)算求出����,其中ra為一個(gè)整數(shù)亂數(shù);K值�����,由以包括Ra為參數(shù)的雜湊函數(shù)所計(jì)算出���,其中Ra=aramodp���;傳送ID,V�����,K到伺服器端�����;在伺服器端從使用者端取得ID,V值以及K值后�,計(jì)算下列值;計(jì)算Ra’值�,Ra’=(PKsramod p)(SKs^-1),其中(SKs^-1)為SKsmodulo(P-1)的乘法反元素�����,而(PKsramod p)是藉由V值以及X’值所求出��;以及如果K=K’則傳送加密的秘密信息給使用者���。
2.根據(jù)權(quán)利要求1所述的私密資料下載方法����,其特征在于��,其中X=h(Pa����,ID),h()為雜湊函數(shù)�����。
3.根據(jù)權(quán)利要求1所述的私密資料下載方法,其特征在于�����,其中V=X+PKsramod p�����,因此PKsramod p能夠被(V-X)所計(jì)算出來(lái)���。
4.根據(jù)權(quán)利要求1所述的私密資料下載方法,其特征在于�,其中V=X+PKsramod p,因此PKsramod p能夠被(V-X)所計(jì)算出來(lái)�。
5.根據(jù)權(quán)利要求1所述的私密資料下載方法,其特征在于�����,其中K=h(Ra)�����,h()為雜湊函數(shù)。
6.根據(jù)權(quán)利要求1所述的私密資料下載方法�����,其特征在于���,其中a是模p的原根����。
7.根據(jù)權(quán)利要求1所述的私密資料下載方法����,其特征在于,其中加密的秘密信息是由Pa所加密���。
8.根據(jù)權(quán)利要求7所述的私密資料下載方法�,其特征在于�����,其中加密的秘密信息還被Ra所加密�����。
9.一種伺服器檢查使用者身份的方法,是用于在非安全的通訊管道中��,伺服器端儲(chǔ)存的信息包括使用者的ID�����;使用者的X’值����,其中X’值是由包括以Pa及ID為參數(shù)的雜湊函數(shù)所求出,而Pa為使用者的密碼���;被加密的秘密信息;伺服器的秘密金匙SKs�;伺服器的公開(kāi)金匙PKs,其中PKs=αSKsmod p���,p是先宣告的質(zhì)數(shù)���,SKs與(p-1)互質(zhì);其中伺服器收到由使用者所傳送的下列值使用者ID�����;V值,是以包括X值及PKsra值�,并包括模p(module p operation)的運(yùn)算所計(jì)算求出,其中ra為一個(gè)整數(shù)亂數(shù)����,且X值與X’值使用的公式一致;K值�,由以包括Ra為參數(shù)的雜湊函數(shù)所計(jì)算出,其中Ra=αramodp��;其特征在于���,該伺服器檢查使用者身份的方法包括下列步驟����。從使用者端取得ID����,V值以及K值后,計(jì)算下列值�;計(jì)算Ra’值,Ra’=(PKsramod p)(SKs^-1)����,其中(SKs^-1)為SKsmodulo(p-1)的乘法反元素�����,而(PKsramod p)是藉由V值以及X’值所求出���;以及如果K=K’則使用者身份可被確認(rèn)。
10.根據(jù)權(quán)利要求9所述的伺服器檢查使用者身份的方法���,其特征在于��,其中X=h(Pa�,ID)�,h()為雜湊函數(shù)。
11.根據(jù)權(quán)利要求9所述的伺服器檢查使用者身份的方法�,其特征在于,其中V=X+PKsramod p����,因此pKsramod p能夠被(V—X)所計(jì)算出來(lái)�。
12.根據(jù)權(quán)利要求9所述的伺服器檢查使用者身份的方法,其特征在于�����,其中V=X+PKsramod p,因此PKsramod p能夠被(V—X)所計(jì)算出來(lái)��。
13.根據(jù)權(quán)利要求9所述的伺服器檢查使用者身份的方法���,其特征在于�,其中K=h(Ra)����,h()為雜湊函數(shù)。
14.根據(jù)權(quán)利要求9所述的伺服器檢查使用者身份的方法�,其特征在于,其中a是模p的原根����。
全文摘要
一種在非安全的通訊管道中私密資料下載方法,可讓使用者們能夠記住自己的密碼由伺服器下載他們的秘密金匙,但使用者不需傳送自己的密碼到伺服器;這個(gè)協(xié)定包含兩個(gè)步驟的傳送但非常安全,在第一步驟是由使用者傳送ID,V,K到伺服器端,在伺服器端收到這些值后,伺服器有辦法確認(rèn)使用者是否為真,其中伺服器端儲(chǔ)存有以Pa及ID為參數(shù)的雜湊函數(shù)所運(yùn)算的值。
文檔編號(hào)G06F7/00GK1330311SQ0010929
公開(kāi)日2002年1月9日 申請(qǐng)日期2000年6月21日 優(yōu)先權(quán)日2000年6月21日
發(fā)明者顏嵩銘, 歐陽(yáng)瑞臨, 李逸元 申請(qǐng)人:財(cái)團(tuán)法人資訊工業(yè)策進(jìn)會(huì)