摘要:当前基于用户名和口令的认证协议已难以满足日益增长的安全需求. 具体而言, 用户选择不同口令访问不同在线服务, 极大地增加了用户记忆负担; 此外, 口令认证安全性低, 面临许多已知攻击. 为了解决此类问题, 基于PS (Pointcheval-Sanders)签名提出一个以用户为中心的双因子认证密钥协商协议UC-2FAKA. 首先, 为防止认证因子泄露, 基于PS签名构造口令和生物特征双因子凭证, 并以零知识证明的方式向服务提供商(service provider, SP)验证身份; 其次, 采用以用户为中心的单点登录(single sign on, SSO)架构, 用户可以通过向身份提供商(identity provider, IDP)注册请求身份凭证来向不同的SP登录, 避免IDP和SP跟踪或链接用户; 再次, 采用Diffie-Hellman密钥交换认证SP身份并协商通信密钥, 保证后续的通信安全; 最后, 对所提出协议进行全面的安全性分析和性能对比, 结果表明所提出协议能够抵御各种已知攻击, 且所提出协议在通信开销和计算开销上表现更优.