CN102904896A - 车载自组织网络下基于生物加密技术的匿名认证方案 - Google Patents

Abstract

车载自组织网络下基于生物加密技术的匿名认证方案，属于信息安全技术领域，特别涉及到生物加密算法和MAC地址隐藏技术。其特征在于：生物加密技术将用户的生物模板和密钥有机地结合在一起生成生物密文，生物密文隐藏了生物特征和密钥的信息，代表用户的唯一身份；生物密文的生成具有单向性，并且生物信息和加密密钥相互独立；用户间在协商会话密钥的同时生成新的MAC地址，实现了后续的匿名通信。本发明的效果和益处在于：生物加密技术解决了生物模板的泄露问题，其密文生成的单向性使得攻击者无法只通过密钥来破解生物信息；MAC地址隐藏技术能够保护用户的真实身份，实现了匿名通信，其易被更新的特性保证了较高的服务质量。

Description

车载自组织网络下基于生物加密技术的匿名认证方案

技术领域

本发明属于信息安全技术领域，涉及到匿名认证方法，特别涉及到生物加密方法和MAC地址隐藏方法。

背景技术

移动自组织网络（Ad-hoc Network）是一种多跳的、无中心的、自组织的无线网络。整个网络没有固定的基础设施，每个节点都是移动的，并且能在特定的时空临时地、动态地保持与其他节点的联系。车载自组织网络（Vehicular Ad-hoc Network, VANET）是一种通过车与车、车与路边节点的相互通信构成的统一的无线通信网络。VANET是移动自组织网络在道路上的应用，它具有该网络的特点：自治性、动态变化的网络拓扑结构、有限的网络容量以及有限的物理安全等。其特殊的应用，如狭窄的道路、高密度的节点分布、节点的高速移动等直接影响VANET的信息传输能力，导致传输时丢包率增加、延迟增大。与传统的有线网络相比，VANET缺乏由固定的基础设施提供的安全保护，因此，VANET中的通信更容易遭到被动攻击和主动攻击。

在VANET下，用户（车辆）需要随时随地从大范围的服务提供商中获取需要的信息和特定的服务，而认证正是保护用户与服务提供商通信最为核心的措施。近年来，VANET下认证方案的研究正面临着如下两方面的巨大挑战：一方面，认证服务器（Authentication Server），用来储存认证信息，当用户提出认证请求时，由认证服务器负责相应，它需要根据用户的身份（例如ID号、密钥等）验证其合法性。这使得用户的隐私信息在通信过程中容易被暴露，一旦攻击者窃取到了VANET中某个车辆（用户）的身份信息，那么该节点的位置将被追踪，这将给用户带来极大的损失；另一方面，用户为了更好保护隐私性，在认证过程中希望提供尽可能少的身份信息，更倾向于维持匿名状态，但这却给认证通信的进行制造了障碍，因为认证服务器需要获取实体用户的身份信息。

如何在信息交换和隐私保护中寻求平衡点成为了当今认证方案研究的关键所在。在匿名认证技术中，用户能够匿名和服务提供商进行认证通信，获取必要的信息（如时间，地点，各种服务等），同时也隐藏了自身的真实身份。这极大的保护了认证的隐私性，并从另一方面提高了安全性。近年来，已经提出的VANET下的匿名认证方案大致可分为四类：组签名方案（group-signature scheme），随机沉默（random silence）技术，盲签名（blind signature）技术和假名认证技术（pseudonymous authentication）。

在组签名方案中，车辆节点被隐藏在一组节点中，每个车辆使用整个组的私钥进行签名以代表整个节点组。如果一个节点收到签名，它就会用组的公钥来验证签名的合法性，通过该机制签名者和验证者的真实身份得到了有效保护。其中近几年来较为典型的有Guo, J.方案（Guo, J. and Baugh, J.P. and Wang, S., A group signature based secure and privacy-preserving vehicular communication framework, 2007 Mobile Networking for Vehicular Environments, 2007, pp. 103-108.）以及国内浙江大学陈纯提出的方案（一种对漂移用户进行无线网络通用认证的方法，公开号：CN102045719A，公开日2011.05.04）,但两种方案都应用到了撤销用户名单对登陆请求信息进行组签名认证，而随着撤销用户数量的增加，签名和认证的消耗也逐渐增大。所以它们无法解决用户撤销验证过程中的高消耗问题。

随机沉默技术意味着车辆节点能够随机地选择沉默时间和沉默地点，在这段时间内，节点不进行其他操作而只是更改其假名且不会暴露其隐私。随机沉默技术最初由Huang，L.提出（Huang, L. and Matsuura, K. and Yamane, H. and Sezaki, K., Enhancing wireless location privacy using silent period, Wireless Communications and Networking Conference, 2005, pp. 1187-1192.）用以保护移动用户的隐私。但是如果沉默时间太长，服务质量就会受到影响，所以该方案无法确保较高、较稳定的服务质量。

盲签名技术保证了签名内容的不可见性，且被签名的信息不能修改。近几年来比较有代表性的如Zhang, C.方案（Zhang, C. and Liu, R. and Ho, P.H. and Chen, A., A location privacypreserving authentication scheme in vehicular networks, IEEE Wireless Communications and Networking Conference, 2008, pp. 2543-2548.），它不仅能保护每个实体用户的身份，而且极大地降低了车辆节点与路边节点通信时被追踪的可能性。但这种方案在其复杂性和适用性方面还有极大的提升空间，因为其通信代价较高且用户无法灵活修改被签名的信息。华中科技大学的何娟（无线网络中基于盲签名的匿名认证机制的研究，硕士学位论文，华中科技大学，20090505）在现有的双线性对盲签名算法的基础上，针对其不适用与无线网络的不足之处，提出改进思想，实现两个适用于无线网络的实时追踪匿名认证协议，并构造实现实时追踪撤销子协议，在不暴露真实身份的情况下，通过签名的出示保证访问权限的可靠性，并保证了访问活动和身份的不可关联性，并实现签名规定次数的重复使用。

假名是一个用户或组用于特定应用的名称，其有别于用户的真实姓名。在VANET下，实体用户用假名来隐藏节点的真实身份，并能根据不同的应用改变自己的假名。针对假名认证技术，复旦大学的左益强（无线环境中身份匿名认证机制的研究，硕士学位论文，复旦大学，20030510）提出了一种无线网络下的假名系统，用户在该系统中能够自主更新与可信中心（CA）的保证书，从而实现了一种可多次使用的保证书。但其方案的基础是零知识证明协议，而零知识证明协议的应用瓶颈主要存在于执行效率和通信带宽两个方面，因此，该方案离真正的实用化阶段还有一段距离。Jiang, Y.等提出了一种更为有效的方案（Jiang, Y. andShi, M. and Shen, X. and Lin, C., BAT: A robust signature scheme for vehicular networks using binary authentication tree, IEEE Transactions on Wireless Communications, Vol. 8, No.4, 2009, pp. 1974-1983.），它利用二叉树存储大批量的签名信息，解决了其在严格要求的时间和空间下的应用瓶颈。这使得假名认证技术能够移植于其他类似批次的签名方案。然而，这种方案极大地依赖于路边节点的密度。由于在很多情况下发明人无法决定路边节点的密度，所以这种方案有其应用的局限性。因此，如何解决认证过程中大量信任证书的频繁更新与固定数量的路边节点之间的关系成为了假名认证技术健壮与否的关键。

在VANET下，实体用户的MAC（Medium Access Control）地址是设备在数据链路层上的唯一标识，采用6字节48bit，前24位是由生产厂家向IEEE申请的厂商地址，后24位由生产厂家自行拟定。攻击者根据MAC帧的头信息，对用户进行跟踪，就能够快速掌握网络流量的实时状况、网内应用及不同业务在不同时间段的使用情况。因此，对实体用户MAC地址的隐藏成为了VANET中乃至整个无线网络中保护位置隐私的一个重要研究领域。Lei, M.等（Lei, M. and Hong, X. and Vrbsky, S.V., Protecting Location Privacy with DynamicMac Address Exchanging in Wireless Networks, Global Telecommunications Conference,2007, pp. 49-53.）提出了无线网络下一种动态分配MAC地址的方案，实体用户进入特定的无线局域网络（WLAN）后，将会被分配新的MAC地址用来隐藏其真实身份。认证服务器还会定期更新用户的MAC地址，保护其不受攻击。这种动态的MAC地址分配方案也为本发明提供了理论基础。

发明内容

本发明要解决的技术问题是针对VANET下认证过程中信息交换和隐私保护难以寻求平衡点的问题，克服组签名技术、随机沉默方案和盲签名方案存在的不足，提出一种基于生物加密的匿名认证方案，实现对实体用户的MAC地址隐藏。

本发明的技术方案是运用匿名认证和生物加密的方法实现对VANET下实体用户的MAC（Medium Access Control）地址隐藏，方案包括系统初始化、匿名认证和MAC地址隐藏三个阶段：系统初始化阶段中，每一个用户必须通过认证服务器（Authentication Server）注册成为一个合法有效的实体；匿名认证阶段中，认证服务器能够实现对系统中实体之间的认证；MAC地址隐藏阶段中，用户间协商用于后续通信的会话密钥和MAC地址。每个阶段的具体实现步骤如下：

系统初始化阶段

（1）认证服务器为用户（U）生成一对公钥（K_A）和私钥（

）。

（2）基于生物加密技术，认证服务器使用用户的生物特征信息和一个随机密钥Key_U，为用户生成生物加密后的密文（Bioscrypt_U），Bioscrypt_U代表用户的身份信息，存储Bioscrypt_U同时丢弃用户的生物特征信息，存储密钥哈希值h(Key_U)。

（3）认证服务器为每个用户生成一个序列号（ID_U）并将其保存。

（4）认证服务器为每个用户随机生成MAC地址，用于后续通信。

匿名认证阶段

机会路由实施于网络层，而用户间认证作用于应用层，因此机会路由的选路不会影响到系统的安全，用户的通信过程能够被视作端到端的通信过程，无需考虑机会路由的选路对系统安全造成的影响。当用户U₁与用户U₂需要通信，两者需要进行匿名认证，步骤如下：

（5）用户U₁向用户U₂发送如下消息：

$U_1\→U_2:h\left({\mathrm{ID}}_{U_1}\right)\left|\right|\{{\mathrm{Bioscrypt}}_{U_1},{\mathrm{face}}_{U_1},{\mathrm{rand}}_{U_1\left(0\right)}\}{K}_{\mathrm{AS}}.$

是用户U₁的

哈希值，

代表用户U₁的生物密文，

是人脸信息，

是用户U₁产生的随机数, ||是信息连接符，K_AS是认证服务器的公钥，

是使用K_AS加密后的信息。

（6）用户U₂向认证服务器发送如下消息：

$\begin{array}{c}{U}_2\→\mathrm{AS}:h\left({\mathrm{ID}}_{U_1}\right)\left|\right|\{{\mathrm{Bioscrypt}}_{U_1},{\mathrm{face}}_{U_1},{\mathrm{rand}}_{U_1\left(0\right)}\}{K}_{\mathrm{AS}}\left|\right|h\left({\mathrm{ID}}_{U_1}\right)\left|\right|\{{\mathrm{Bioscrypt}}_{U_2},\\ {\mathrm{face}}_{U_1},{\mathrm{rand}}_{U_2\left(0\right)}\}{K}_{\mathrm{AS}}.\end{array}$

（7）当认证服务器收到步骤6中的信息后，使用U₁的生物密文

和人脸信息

生成一个密钥，如果其哈希值等于初始化阶段中认证服务器为U₁生成的

，此时U₁被认定为合法用户；同理，认证服务器对U₂进行认证。

（8）若U₁和U₂为合法用户，认证服务器将向U₁和U₂发送如下消息：

$\mathrm{AS}\→U_1:h\left(h\left({\mathrm{ID}}_{U_1}\right)\right)\left|\right|\{{\mathrm{rand}}_{U_1\left(1\right)},{\mathrm{rand}}_{U_2\left(1\right)}\}{K}_{U_1}.$

$\mathrm{AS}\→U_2:h\left(h\left({\mathrm{ID}}_{U_2}\right)\right)\left|\right|\{{\mathrm{rand}}_{U_1\left(1\right)},{\mathrm{rand}}_{U_2\left(1\right)}\}{K}_{U_2}.$

MAC地址隐藏阶段

相互认证结束之后，一个新的会话密钥K将会基于AMP+协议生成，目的是保护U₁和U₂之间的通信。紧接着，U₁和U₂会协商出各自的MAC地址用于之后的匿名通信，具体生成步骤如下：

（9）U₂用替换

并计算

，V=S×G和

。其中

是一个随机数。随后，U₂向U₁发送如下消息：

$U_2\→U_1:h\left(S\right)\left|\right|\{Q_{u_2},{\mathrm{rand}}_{U_2\left(2\right)}\}V.$

（10）U₁计算出

和V=S×G，并通过解密步骤（9）中的消息获取

 且计算

出和，最后向U₂发送如下消息：

$U_1\→U_2:h\left(S\right)\left|\right|\{Q_{u_1},{\mathrm{rand}}_{U_1\left(2\right)}\}V.$

（11）U₂计算出 $e_2=h(Q_{U_1},Q_{U_1})$ ， $\mathrm{\ω}={({\mathrm{rand}}_{U_2\left(2\right)}\×e_1+S)}^{-1}({\mathrm{rand}}_{U_2\left(2\right)}+e_2)$ ， $K=h(Q_{U_1},\mathrm{\ω})$ 和 $M_1=h(Q_{U_2},K)$ ，随后向U₁发送如下消息：

$U_2\→U_1:h(h\left(S\right)\⊕S)\left|\right|\{M_1,{\mathrm{rand}}_{U_1\left(2\right)}\}V.$

（12）U₁计算 $e_2=h(Q_{U_2},Q_{U_1})$ ， $K^{\′}=h((Q_{U_2}+G\×e_2)\×{\tan d}_{U_1\left(2\right)})$ ，和 $M_1^{\′}=h(Q_{U_1},K^{\′})$ 。如果M＇₁=M₁成立，U₁就知道K＇等于K，并计算出

和，且其前48比特将被用来作为U₁的新的MAC地址。U₁随后U₂向传递如下消息：

$U_1\→U_2:h(h\left(S\right)\⊕S)\left|\right|M_2.$

（13）收到步骤（12）中的消息后，U₂将计算

。如果M＇₂=M₂成立，U₂ 就知道K＇等于K并计算出

，与之前类似，其后48比特将被用来作为U₂的新的MAC地址。

步骤（12）和（13）中，U₁和U₂能够判定对方是否已经共享公钥K，并且每个实体均能够获得新的MAC地址用于后续匿名通信。

本发明的效果和益处是：

首先，生物加密技术将用户的生物模板和密钥有机地结合在一起，解决了生物模板的泄露问题，且生物特征不需要明文存储，能够更好地保护用户的生物隐私；其次，在生物加密过程中，生物信息和加密密钥相互独立，并且生物密文的生成具有单向性，攻击者无法只通过密钥来破解生物信息，反之亦然，这大大提高了认证的安全性；最后，MAC地址隐藏技术能够保护用户的真实身份，实现了匿名通信，保证了通信过程中用户的隐私，而且MAC地址易被更新的特性保证了较高的服务质量。

附图说明

图1是车载组织网络下的认证系统结构图。

在图1中：

（1）认证服务提供商受到所有实体的完全信赖，而且它负责路边节点以及车辆节点的注册。认证服务提供商能够将它的管辖范围划分为几个区域。

（2）路边节点部署在两个区域之间的边界上。每个路边节点负责管理自己的所属区域。它通过有线或者无线连接于认证服务提供商取得联系。如果两个车辆节点存在于同一区域，他们能够通过路边节点进行通信。如果两个车辆存在于不同区域，通信分组将会通过路边节点进行多跳转发。

（3）在车辆节点层，移动用户能够相互之间通信以共享交通信息。

图2是本认证系统的逻辑层次图。

在图2中：发明人将系统划分成两个逻辑层：安全层和网络层，网络层是在发明人的视野范围之外的，它能够为安全层提供路由服务且对其透明可见。安全层基于假名方案能够提供匿名认证服务。

图3是在OpenStreetMap上截取的北京市部分区域图，用作实验数据的提取。

图4是本发明实施例所用区域道路的具体坐标范围图，由此得到beijing_2.osm.xml文件。

图5是运用sumo-gui转换后所得到的地区道路分布图。

图6是实施例一中某一时刻的平均匿名个数图。其中横坐标代表系统中的用户个数；纵坐标代表时间。

图7是实施例二中攻击者发动关联攻击成功的概率图。其中横坐标代表系统中的用户个数，纵坐标代表攻击者攻击成功的概率。

图8是实施例三中所得到的系统熵值图。其中横坐标代表系统中用户的个数，纵坐标代表系统熵值。

具体实施方式

以下结合技术方案和附图详细叙述本发明的具体实施例。

步骤1. 下载地图xml文件如图3所示。输入区域经纬坐标，如图4所示，得到beijing_2.osm.xml文件。

步骤2. 将地图xml文件转换为道路分布图.net.xml文件：

调用SUMO的netconvert工具，netconvert --osm-files beijing_2.osm.xml -o beijing2.net.xml 获得该地区的道路分布图，在sumo-gui显示该地区道路分布图如图5所示：

步骤3. 在道路分布图上生成随机车流文件：

调用如下命令：

randomTrips.py -n beijing2.net.xml -e 50 -o beijing2.rou.xml

步骤4. 在sumo-gui.exe进行模拟

运用MOVE （SUMO的一种可视化工具，其URL为:http://lens.csie.ncku.edu.tw/Joomla_version/index.php/research-projects/past/18-rapid-vanet）生成可视化sumo-gui实验的配置文件beijing2.sumo.cfg。

运用sumo生成模拟信息xml：

sumo –c beijing2.sumo.cfg –netstate-dump beijing2Netstate-dump.xml

步骤5. 提取实验数据

从实验过程中得到的beijing2.net.xml 和beijing2Netstate-dump.xml 计算出每一时刻，每个用户所处的位置，用于计算系统的用户平均匿名个数，熵值之类的性质。

下面介绍为验证本发明安全性能所设计的实施例：

实例一：用户平均匿名个数（Average Anonymity）的研究

实验目的：研究系统中用户的平均匿名个数，用户平均匿名个数越大，系统对用户的匿名安全保护越强。

实验介绍：本实验中，用户的平均匿名个数指的是在某一个时间点，网络中的任何一个用户能够找到多少个其他用户作为自身的匿名用户。即从攻击者的角度来看，如果当两个用户在距离较近时，同时与服务器进行MAC地址的协商，那么协商之后，由于二者都更换了MAC地址，因此攻击者无法从数据帧的MAC地址推测出当前数据包到底是发送给哪个用户。

用户平均匿名个数的计算方法如下：发明人假定网络中某一时刻用户的集合为U，对于其中的任何一个用户U_i，如果网络中存在其他用户U_j，使得两个用户之间的距离小于特定的阈值L，则发明人将U_i与U_j相互视做作对方匿名集合的成员。发明人计算在某一时刻U_i的匿名集合，集合的大小定义为size。因此用户平均匿名个数的计算方法为:某一时刻网络中所有用户的匿名集合size的平均值。发明人研究用户数量为50,60,70的时候，系统的平均匿名个数的情况，

如图6所示。

实验分析：从图6中能够看出，匿名集合的大小有先升后降的趋势，最终变为1。原因是当网络中只存在一个用户，或者用户无法找到其他用户作为自己的匿名集合，此时，该用户的平均匿名个数大小为1。因此在初始化阶段，由于系统中用户数量较少，因此难以建立起匿名集合，整个系统的平均匿名个数的大小为1。当用户逐渐增加后，每个用户能够建立起匿名集合，因此后续系统的平均匿名个数大小也逐渐增大。后来随着用户逐渐退出系统，系统的平均匿名个数逐渐减小到1。实验过程中，当用户数量为70的时候，系统的平均匿名个数大于用户数量为50和60的情况，这是因为用户数量越多，用户之间建立匿名集合的机会就越大。

实例二：用户被攻击概率的研究

实验目的：虽然使用MAC地址隐藏的方法能够保证攻击者无法从数据包的内容对信息进行，推断出用户的身份。但攻击者仍然能够根据用户所处的位置，分析出数据包的来源，进而推断出用户的真实身份。因此发明人研究攻击者在系统中进行关联攻击的成功的概率。

实验介绍：本实验侧重于研究攻击者的攻击成功率。在之前的分析中，发明人了解到使用MAC隐藏的方法能够使得外部攻击者无法关联用户的前后MAC地址，由此来保护用户的真实身份。本实验中，发明人着重研究攻击者不考虑MAC地址，单纯从用户的位置信息来关联用户身份的情况。例如，如果网络中的某个区域只有一个用户，那么无论该用户如何更换自己的MAC地址，攻击者仍然能够对前后同一个用户进行关联。

在本实验中，发明人着重研究用户数量为50,60,70的时候攻击者猜测出用户身份的概率的平均值。例如在一个区域内只有K个用户，那么攻击者猜测出该用户的身份的概率为1/K。发明人计算了所有时刻，网络中用户的被攻击的概率的平均值。最终作图如图7。

实验分析：从图7中能够看出，初始阶段，当网络中用户数量较少时，攻击者能够以1的概率分清用户的真实身份，这是由于当时用户的数量少，而且分散，因此攻击者能够关联出用户的真实身份。随着用户数量的增加攻击者攻击成功的概率逐渐下降。最后，随着用户逐渐退出网络，攻击者的攻击概率又恢复到1。图中可以看出，当用户数量为70时，攻击者攻击成功率最低。

实例三：系统的熵值（entropy）的研究

实验目的：使用熵值表示系统中的混乱程度，从侧面体现出系统对用户的保护程度，系统的混乱程度越高，说明用户不被攻击的概率越高。

实验介绍：本实验侧重于研究系统的熵值。系统的熵值的计算方法为：

。其中，p_i为某个时刻用户被攻击者成功攻击的概率，发明人研究用户数量为50,60,70的时候，系统的熵值，如图8所示。

实验分析：从图中能够看出，随着用户的数量的增加，系统的熵值增加，说明系统的混乱度增大。因此这种情况下，攻击者难以推断出用户的真实身份。但随着用户逐渐退出系统。系统的混乱程度逐渐降低，直到最后，混乱度降为0。当用户数量为70时，系统的熵值最大，混乱程度最高，对用户的保护程度也最高。

Claims (1)

1.车载自组织网络下基于生物加密技术的匿名认证方案，包括系统初始化、匿名认证和MAC地址隐藏三个阶段，系统初始化阶段中，每一个用户必须通过认证服务器注册成为一个合法有效的实体；匿名认证阶段中，认证服务器能够实现对系统中实体用户之间的认证；MAC地址隐藏阶段中，用户间协商用于后续通信的会话密钥和MAC地址，该方案的特征在于包括了以下步骤：

系统初始化阶段

（1）认证服务器为用户（U）生成一对公钥（K_A）和私钥（

）；

（2）基于生物加密技术，认证服务器使用用户的生物特征信息和一个随机密钥Key_U，为用户生成生物加密后的密文（Bioscrypt_U），Bioscrypt_U代表用户的身份信息，存储Bioscrypt_U同时丢弃用户的生物特征信息，存储密钥哈希值h(Key_U)；

（3）认证服务器为每个用户生成一个序列号（ID_U）并将其保存；

（4）认证服务器为每个用户随机生成MAC地址，用于后续通信；

匿名认证阶段

机会路由实施于网络层，而用户间认证作用于应用层，因此机会路由的选路不会影响到系统的安全，用户的通信过程能够被视作端到端的通信过程，无需考虑机会路由的选路对系统安全造成的影响；当用户U₁与用户U₂需要通信，两者需要进行匿名认证，步骤如下：

（5）用户U₁向用户U₂发送如下消息:

$U_1\→U_2:h\left({\mathrm{ID}}_{U_1}\right)\left|\right|\{{\mathrm{Bioscrypt}}_{U_1},{\mathrm{face}}_{U_1},{\mathrm{rand}}_{U_1\left(0\right)}\}{K}_{\mathrm{AS}},$

是用户U₁的

哈希值，

代表用户U₁的生物密文，

是人脸信息，是用户U₁产生的随机数, ||是信息连接符，K_AS是认证服务器的公钥，

是使用K_AS加密后的信息；

（6）用户U₂向认证服务器发送如下消息：

$\begin{array}{c}{U}_2\→\mathrm{AS}:h\left({\mathrm{ID}}_{U_1}\right)\left|\right|\{{\mathrm{Bioscrypt}}_{U_1},{\mathrm{face}}_{U_1},{\mathrm{rand}}_{U_1\left(0\right)}\}{K}_{\mathrm{AS}}\left|\right|h\left({\mathrm{ID}}_{U_1}\right)\left|\right|\{{\mathrm{Bioscrypt}}_{U_2},\\ {\mathrm{face}}_{U_1},{\mathrm{rand}}_{U_2\left(0\right)}\}{K}_{\mathrm{AS}};\end{array}$

（7）当认证服务器收到步骤6中的信息后，使用U₁的生物密文和人脸信息生成一个密钥，如果其哈希值等于初始化阶段中认证服务器为U₁生成的

，此时U₁被认定为合法用户，同理，认证服务器对U₂进行认证；

（8）若U₁和U₂为合法用户，认证服务器将向U₁和U₂发送如下消息：

$\mathrm{AS}\→U_1:h\left(h\left({\mathrm{ID}}_{U_1}\right)\right)\left|\right|\{{\mathrm{rand}}_{U_1\left(1\right)},{\mathrm{rand}}_{U_2\left(1\right)}\}{K}_{U_1},$

$\mathrm{AS}\→U_2:h\left(h\left({\mathrm{ID}}_{U_2}\right)\right)\left|\right|\{{\mathrm{rand}}_{U_1\left(1\right)},{\mathrm{rand}}_{U_2\left(1\right)}\}{K}_{U_2};$

MAC地址隐藏阶段

相互认证结束之后，一个新的会话密钥K将会基于AMP+协议生成，用于保护U₁和U₂之间的通信，同时U₁和U₂会协商出各自的MAC地址用于之后的匿名通信，具体生成步骤如下：

（9）U₂用

替换

并计算

，V=S×G和

，其中

是一个随机数，U₂向U₁发送如下消息：

$U_2\→U_1:h\left(S\right)\left|\right|\{Q_{u_2},{\mathrm{rand}}_{U_2\left(2\right)}\}V;$

（10）U₁计算出

和V=S×G，并通过解密步骤（9）中的消息获取

 且计算

出和

，最后向U₂发送如下消息：

$U_1\→U_2:h\left(S\right)\left|\right|\{Q_{u_1},{\mathrm{rand}}_{U_1\left(2\right)}\}V;$

（11）U₂计算出 $e_2=h(Q_{U_1},Q_{U_1})$ ， $\mathrm{\ω}={({\mathrm{rand}}_{U_2\left(2\right)}\×e_1+S)}^{-1}({\mathrm{rand}}_{U_2\left(2\right)}+e_2)$ ， $K=h(Q_{U_1},\mathrm{\ω})$ 和 $M_1=h(Q_{U_2},K)$ ，随后向U₁发送如下消息：

$U_2\→U_1:h(h\left(S\right)\⊕S)\left|\right|\{M_1,{\mathrm{rand}}_{U_1\left(2\right)}\}V;$

（12）U₁计算 $e_2=h(Q_{U_2},Q_{U_1})$ ， $K^{\′}=h((Q_{U_2}+G\×e_2)\×{\tan d}_{U_1\left(2\right)})$ ，和 $M_1^{\′}=h(Q_{U_1},K^{\′})$ ；如果M＇₁=M₁成立，U₁就知道K＇等于K，并计算出和

，且其前48比特将被用来作为U₁的新的MAC地址；U₁随后U₂向传递如下消息：

$U_1\→U_2:h(h\left(S\right)\⊕S)\left|\right|M_2;$

（13）收到步骤（12）中的消息后，U₂将计算

；如果M＇₂=M₂成立，U₂就知道K＇等于K并计算出，与之前类似，其后48比特将被用来作为U₂的新的MAC地址；

步骤（12）和（13）中，U₁和U₂能够判定对方是否已经共享公钥K，并且每个实体均能够获得新的MAC地址用于后续匿名通信。

Images