CN106657124B - 用于物联网的基于假名的匿名认证与密钥协商优化认证方法以及优化认证分析方法 - Google Patents

Abstract

本发明提出了一种用于物联网的基于假名的匿名认证与密钥协商优化认证方法以及优化认证分析方法，包括如下步骤：S1，用户和传感器节点分别向网关节点进行注册，针对用户和传感器节点的不同，分别采用不同的用户注册协议和传感器节点注册协议；S2，注册完成后，用户通过用户登陆协议、认证与密钥协商协议登陆到系统，并且在网关节点的协助下，与需要访问的传感器节点实现相互的认证以及协商共享的会话密钥。本发明实现了更好的匿名性，不可追溯性以及安全性。

Description

用于物联网的基于假名的匿名认证与密钥协商优化认证方法 以及优化认证分析方法

技术领域

本发明涉及计算机安全认证领域，尤其涉及一种用于物联网的基于假名的匿名认证与密钥协商优化认证方法以及优化认证分析方法。

背景技术

现有的MAAKA方案采用伪随机身份实现用户的匿名性，没能同时实现匿名性和不可追踪性，MAAKA方案中通过公钥算法避免对传感器节点的离线字典攻击，但是对于传感器节点来说，公钥算法计算开销和能量消耗太大，所以这就亟需本领域技术人员解决相应的技术问题。

发明内容

本发明旨在至少解决现有技术中存在的技术问题，特别创新地提出了一种用于物联网的基于假名的匿名认证与密钥协商优化认证方法以及优化认证分析方法。

为了实现本发明的上述目的，本发明提供了一种用于物联网的基于假名的匿名认证与密钥协商优化认证方法，包括如下步骤：

S1，用户和传感器节点分别向网关节点进行注册，针对用户和传感器节点的不同，分别采用不同的用户注册协议和传感器节点注册协议；

S2，注册完成后，用户通过用户登陆协议、认证与密钥协商协议登陆到系统，并且在网关节点的协助下，与需要访问的传感器节点实现相互的认证以及协商共享的会话密钥。

所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，优选的，还包括：

在用户注册协议和传感器节点注册协议工作之前，网关节点建立并公开系统参数params＝(G，q，g，Y)，其中，G是阶为q的循环群，g为G的生成元，Y＝g^x mod q为用户注册时GWN使用的公钥，

为其随机选择的私钥，Z为整数集合，假定在系统初始化阶段，用户U_i与网关节点共享了口令密码PW_i，传感器节点S_j与GWN共享了一个高熵的密码K_GWN-Sj。

所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，优选的，所述用户注册协议包括：

假定用户U_i与网关节点共享了口令密码PW_i，U_i的真实ID为ID_i。U_i按照如下协议向网关节点进行注册。

S1-1，U_i选择新的口令密码PW_i′，随机选择a，

其中，a，r_i为随机选择的私钥；计算A＝g^a mod q，A′＝Y^a mod q，其中A和A′为用户注册时网关节点的公钥，

和VI_i＝H(r_i||H(PW_i′||ID_i||r_i)||H(PW_i)||TPW_i||A||A′||TS₁)，将{ID_i，VI_i，TPW_i，A，TS₁}通过公开信道发送给网关节点，其中，TPW_i和VI_i是用户注册的认证参数、TS₁为当前时间戳；

S1-2，收到请求注册消息后，网关节点检查时间戳TS₁的有效性，若无效则终止；否则，计算A^*＝A^x mod q，其中，A^*是用户注册时网关节点使用的公钥，

验证等式

是否成立。若等式成立则继续，GWN为U_i分配群组号GID_i，计算AK_i＝H(K_GWN||ID_i||GID_i)，

然后将{PAK_i，GID_i，r_i}存入智能芯片卡中，清除所有的临时消息，并将智能芯片卡通过安全的方式递交给用户U_i；AK_i是用户登录阶段的认证密钥，PAK_i用于隐藏AK_i；

S1-3，智能芯片卡写入用户信息后完成注册。

所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，优选的，所述传感器节点注册协议包括：

假定传感器节点S_j与网关节点共享了一个高熵的密码K_GWN-Sj，S_j的真实ID为SID_j；

S-A，S_j计算VI_j＝H(K_GWN-Sj||SID_j||TS₂)，将{SID_j，VI_j，TS₂}通过公开信道发送给网关节点；

S-B，收到请求注册消息后，网关节点检查时间戳TS₂的有效性，若无效则终止；否则，验证等式VI_j＝H(K_GWN-Sj||SID_j||TS₂)是否成立，若等式成立则继续，网关节点为S_j分配群组号GSID_j，随机选择

计算AK_j＝H(K_GWN||SID_j||GSID_j)，

VI_GWN＝H(r_j||GSID_j||AK_j||K_GWN-Sj||SID_j||TS₃)，然后将{PAK_j，VI_GWN，TS₃}发送给S_j；

S-C，收到{PAK_j，VI_GWN，TS₃}后，S_j检查时间戳TS₃的有效性，若无效则返回S-A重新提交注册申请；否则，计算

验证等式

是否成立，若等式成立则存储

作为其认证私钥，清除K_GWN-Sj及其它临时消息，完成注册。

所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，优选的，所述S2包括：

S2-1，用户U_i将智能芯片卡插入读卡器，输入ID_i和PW_i′；智能芯片卡计算

然后随机产生k_i∈K^κ，其中，K^κ表示密钥材料的集合，创建会话标识SSID_i，计算

C_i＝H(SSID_i||AK_i||k_i||ID_i||SID_j||GID_i||PK_i||TS₄)，将{SSID_i，GID_i，PK_i，C_i，TS₄}发送给网关节点；

S2-2，收到{SSID_i，GID_i，PK_i，C_i，TS₄}后，网关节点检查时间戳TS₄的有效性，若无效则终止；否则，查找用户组GID_i，提取该群组中用户身份{ID_t|t＝(1，…，l)}，分别计算AK_t＝H(K_GWN||ID_t||GID_i)，

检查ID_t是否等于

若存在

则验证等式

是否成立，若等式不成立，则终止；否则，用户组GID_i中存在ID_t＝ID_i通过验证，取得正确的(k_i||ID_i||SID_j)，然后创建新的会话标识SSID_G，计算AK_j＝H(K_GWN||SID_j||GSID_j)，

C_G1＝H(SSID_G||AK_j||SID_j||GID_i||k_i||GSID_j||PK_G1||TS₅)，将{SSID_G，GSID_j，PK_G1，C_G1，TS₅}通过广播形式发送出去。

所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，优选的，所述S2还包括：

S2-3，广播域中的传感器节点收到{SSID_G，GSID_j，PK_G1，C_G1，TS₅}后，首先检查自己是否属于群组GSID_j，非群组成员直接丢弃该数据包(或者进行转发，这取决于传感器网络的路由策略)；每个群组成员SID_t首先检查时间戳TS₅的有效性，计算

检查自己的身份标识是否等于

若不相等则终止；当目标节点S_j正确接收该数据包后，按照上式计算

然后验证等式

是否成立，C是认证消息摘要，若等式不成立则终止，否则随机产生k_j∈K^κ，计算

将{SSID_G，PK_j，C_j，TS₆}发送给GWN；最后，利用密钥导出函数h(*)计算共享的会话密钥

所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，优选的，所述S2还包括：

S2-4，收到{SSID_G，PK_j，C_j，TS₆}后，GWN检查时间戳TS₆的有效性，若无效则终止；否则，查询匹配会话SSID_G和SSID_i，计算

检查

与匹配会话中的相应参数是否一致，然后验证等式

是否相等，若验证通过，则计算

将{SSID_i，PK_G2，C_G2，TS₇}发送给用户U_i。

所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，优选的，所述S2还包括：

S2-5，用户U_i收到{SSID_i，PK_G2，C_G2，TS₇}后，计算

验证等式

是否相等，若相等则完成认证，计算会话密钥

最后，U_i计算

将{C_ij，TS₈}发送给S_j；

S2-6，收到{C_ij，TS₈}后，S_j检查TS₈的有效性，验证等式

是否相等，完成会话密钥确认。

本发明还公开一种用于物联网的基于假名的匿名认证与密钥协商优化认证分析方法，包括如下步骤：

根据五种推理规则将权利要求1中的优化认证方法进行证明，如果认证与密钥协商方案满足目标需求，那么满足相互认证性，并协商一致的会话密钥。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

本发明方案实现了更强的匿名性。实现了用户和传感器节点的不可追溯性，从而避免了针对智能芯片卡的离线字典攻击。本发明方案通过向传感器节点写入高熵、且足够大的初始密钥，不采用口令密码，可以抵抗敌手的离线字典攻击，从而避免在传感器节点端使用公钥算法。

本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1是本发明流程示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。

在本发明的描述中，需要理解的是，术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明的描述中，除非另有规定和限定，需要说明的是，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是机械连接或电连接，也可以是两个元件内部的连通，可以是直接相连，也可以通过中间媒介间接相连，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

如图1所示，本发明公开一种用于物联网的基于假名的匿名认证与密钥协商优化认证方法，包括如下步骤：

S1，用户和传感器节点分别向网关节点进行注册，针对用户和传感器节点的不同，分别采用不同的用户注册协议和传感器节点注册协议；

S2，注册完成后，用户通过用户登陆协议、认证与密钥协商协议登陆到系统，并且在网关节点的协助下，与需要访问的传感器节点实现相互的认证以及协商共享的会话密钥。

用户和传感器节点分别向GWN进行注册，针对用户和传感器节点，分别采用不同的注册协议。首先，GWN建立并公开系统参数params＝(G，q，g，Y)，其中，G是阶为q的循环群，g为G的生成元，Y＝g^x mod q为用户注册时GWN使用的公钥，

为其随机选择的私钥。假定在系统初始化阶段，用户U_i与GWN共享了口令密码PW_i，传感器节点S_j与GWN共享了一个高熵的密码K_GWN-Sj。我们注意到，传感器节点在初始化的时候可以直接写入一个高熵、且足够大的密钥K_GWN-Sj，不采用口令密码，可以抵抗敌手的离线字典攻击，从而避免在传感器节点端使用公钥算法。为了便于记忆，用户只能采用较弱(非高熵)的口令密码。

(1)用户注册协议

假定用户U_i与GWN共享了口令密码PW_i，U_i的真实ID为ID_i。U_i按照如下协议向GWN进行注册。

①U_i选择新的口令密码PW_i′，随机选择a，

计算A＝g^a mod q，A′＝Y^a modq，

和VI_i＝H(r_i||H(PW_i′||ID_i||r_i)||H(PW_i)||TPW_i||A||A′||TS₁)，将{ID_i，VI_i，TPW_i，A，TS₁}通过公开信道发送给GWN。其中，TS₁为当前时间戳。

②收到请求注册消息后，GWN检查时间戳TS₁的有效性，若无效则终止；否则，计算A^*＝A^x mod q，

验证等式

是否成立。若等式成立则继续，GWN为U_i分配群组号GID_i，计算AK_i＝H(K_GWN||ID_i||GID_i)，

然后将{PAK_i，GID_i，r_i}存入智能芯片卡中，清除所有的临时消息，并将智能芯片卡通过安全的方式递交给用户U_i。

③用户收到智能芯片卡后完成注册。

(2)传感器节点注册协议

假定传感器节点S_j与GWN共享了一个高熵的密码K_GWN-Sj，S_j的真实ID为SID_j。

①S_j计算VI_j＝H(K_GWN-Sj||SID_j||TS₂)，将{SID_j，VI_j，TS₂}通过公开信道发送给GWN。

②收到请求注册消息后，GWN检查时间戳TS₂的有效性，若无效则终止；否则，验证等式VI_j＝H(K_GWN-Sj||SID_j||TS₂)是否成立，若等式成立则继续，GWN为S_j分配群组号GSID_j，随机选择

计算AK_j＝H(K_GWN||SID_j||GSID_j)，

VI_GWN＝H(r_j||GSID_j||AK_j||K_GWN-Sj||SID_j||TS₃)，然后将{PAK_j，VI_GWN，TS₃}发送给S_j。

③收到{PAK_j，VI_GWN，TS₃}后，S_j检查时间戳TS₃的有效性，若无效则返回第一步重新提交注册申请；否则，计算

验证等式

是否成立，若等式成立则存储

作为其认证私钥，清除K_GWN-Sj及其它临时消息，完成注册。

(3)用户登陆、认证与密钥协商阶段

注册完成后，用户可以通过用户登陆协议、认证与密钥协商协议登陆到系统中来，并且在GWN的协助下，与需要访问的传感器节点实施相互的认证以及协商共享的会话密钥。现有方案将用户登陆协议作为一个独立的阶段，其主要功能是通过智能芯片卡校验用户所输入的用户名和口令密码是否正确，以确保实际登陆者与该卡持有者身份相符，完成登陆者的身份验证。在传统方案中，用户登陆协议是一种针对用户名和口令密码的可验证算法。考虑到智能芯片卡可能丢失或者被盗，敌手可以通过监控智能芯片卡功耗情况来窃取其存储的信息，进而利用登陆协议实施针对用户口令的离线字典攻击。本发明方案采用将登陆协议和认证密钥协商协议合二为一，具体步骤描述如下。

①用户U_i将智能芯片卡插入读卡器，输入ID_i和PW_i′；智能芯片卡计算

然后随机产生k_i∈K^κ(K^κ表示密钥材料的集合)，创建会话标识SSID_i，计算

C_i＝H(SSID_i||AK_i||k_i||ID_i||SID_j||GID_i||PK_i||TS₄)，将{SSID_i，GID_i，PK_i，C_i，TS₄}发送给GWN。

②收到{SSID_i，GID_i，PK_i，C_i，TS₄}后，GWN检查时间戳TS₄的有效性，若无效则终止；否则，查找用户组GID_i，提取该群组中用户身份{ID_t|t＝(1，…，l)}，分别计算AK_t＝H(K_GWN||ID_t||GID_i)，

检查ID_t是否等于

若存在

则验证等式

是否成立，若等式不成立，则终止；否则，用户组GID_i中存在ID_t＝ID_i通过验证，取得正确的(k_i||ID_i||SID_j)，然后创建新的会话标识SSID_G，计算AK_j＝H(K_GWN||SID_j||GSID_j)，

C_G1＝H(SSID_G||AK_j||SID_j||GID_i||k_i||GSID_j||PK_G1||TS₅)，将{SSID_G，GSID_j，PK_G1，C_G1，TS₅}通过广播形式发送出去。

③广播域中的传感器节点收到{SSID_G，GSID_j，PK_G1，C_G1，TS₅}后，首先检查自己是否属于群组GSID_j，非群组成员直接丢弃该数据包(或者进行转发，这取决于传感器网络的路由策略)；每个群组成员SID_t首先检查时间戳TS₅的有效性，计算

检查自己的身份标识是否等于

若不相等则终止；当目标节点S_j正确接收该数据包后，按照上式计算

然后验证等式

是否成立，若等式不成立则终止，否则随机产生k_j∈K^κ，计算

将{SSID_G，PK_j，C_j，TS₆}发送给GWN。最后，利用密钥导出函数h(*)计算共享的会话密钥

④收到{SSID_G，PK_j，C_j，TS₆}后，GWN检查时间戳TS₆的有效性，若无效则终止；否则，查询匹配会话SSID_G和SSID_i，计算

检查

与匹配会话中的相应参数是否一致，然后验证等式

是否相等，若验证通过，则计算

将{SSID_i，PK_G2，C_G2，TS₇}发送给用户U_i。

⑤用户U_i收到{SSID_i，PK_G2，C_G2，TS₇}后，计算

验证等式

是否相等，若相等则完成认证，计算会话密钥

最后，U_i计算

将{C_ij，TS₈}发送给S_j。

⑥收到{C_ij，TS₈}后，S_j检查TS₈的有效性，验证等式

是否相等，完成会话密钥确认。

用户登陆、认证与密钥协商过程如图1。图1中忽略了部分认证细节，例如，GWN从用户组GID_i中筛选用户真实身份的过程。

认证安全性分析

包含三种类型的基本元素：X/Y表示命题；P/Q表示参与协议的实体；K表示密钥。部分命题逻辑简要描述如下。

P|≡X：P相信X；

#(X)：X是新鲜的；

P收到了X；

P|～X：P曾经发送过X；

X是由P控制的；

(X)：X的哈希值；

(X，Y)：X和Y分别是(X，Y)的一个部分；

(X)_K：X的基于密钥K的哈希值；

<X，Y>_Y：X与Y组合；

P和Q使用共享的密钥K通信；

SK：当前会话的会话密钥。

下面对本发明需要用到的推理规则说明如下。

Rule 1.

P相信P和Q共享了密钥K，并且P收到了基于密钥K的X的哈希值，那么，P相信Q曾经发送过X；

Rule 2.

P相信X是新鲜的，那么，P相信(X，Y)是新鲜的；

Rule 3.

P相信X是新鲜的，并且P相信Q曾经发送过X，那么，P相信Q相信X；

Rule 4.

P相信Q相信(X，Y)，并且P相信X是由Q控制的，那么，P相信X。

Rule 5.

P相信Q相信(X，Y)，那么，P相信Q相信X。

由于本发明协议使用到了可信第三方的角色，因此，对BAN逻辑稍加扩展，引入实体对可信第三方的信任规则。

P是一个可信第三方。

Rule 6.

P相信Q相信X，并且P相信Q是可信的第三方，那么，P相信X。

定理1：如果认证与密钥协商方案满足如下目标，那么该方案满足相互认证性，并协商了一致的会话密钥。

Goal 1.

Goal 2.

Goal 3.

Goal 4.

证明：初始假设定义如下。

A₁.U_i|≡#(TS₄)；

A₂.U_i|≡#(TS₇)；

A₃.U_i|≡#(k_i)；

A₄.

A₅.

A₆.GWN|≡#(TS₄)；

A₇.GWN|≡#(TS₅)；

A₈.GWN|≡#(TS₆)；

A₉.GWN|≡#(TS₇)；

A₁₀.

A₁₁.

A₁₂.S_j|≡#(TS₅)；

A₁₃.S_j|≡#(TS₆)；

A₁₄.S_j|≡#(TS₈)；

A₁₅.S_j|≡#(k_j)；

A₁₆.

A₁₇.

认证协议消息传输理想功能定义如下。

Msg 1.U_i→GWN：

Msg 1表明：U_i期望与S_j通过共享密钥k_i进行通信，并且k_i是由U_i控制的。

Msg 2.GWN→S_j：

Msg 2表明：通过对Msg 1的验证，GWN相信U_i期望与S_j通过共享密钥k_i进行通信，并且GWN相信k_i作为U_i与S_j共享的密钥。

Msg 3.S_j→GWN：

Msg 3表明：通过对Msg 2的验证，S_j相信k_i作为U_i与S_j共享的密钥；同时，S_j期望与U_i通过共享密钥k_j进行通信，并且k_j是由S_j控制的。

Msg 4.GWN→U_i：

Msg 4表明：通过对Msg 3的验证，GWN相信S_j相信k_i作为U_i与S_j共享的密钥；同时，GWN相信S_j期望与U_i通过共享密钥k_j进行通信，并且GWN相信k_j作为U_i与S_j共享的密钥。

Msg 5.U_i→S_j：

Msg 5表明：通过对Msg 4的验证，U_i相信k_i和k_j作为U_i与S_j共享的密钥。

下面我们利用BAN逻辑方法证明本发明方案满足给定的安全目标。

根据Msg 1。

B₁：

根据B₁、A₁₀、Rule 1。

B₂：

根据B₂、A₆、Rule 2、Rule 3。

B₃：

根据B₃、Rule 4、Rule 5。

B₄：

B₅：

根据Msg 2、B₄、B₅。

B₆：

根据B₆、A₁₆、Rule 1。

B₇：

根据B₇、A₁₂、Rule 2、Rule 3。

B₈：

根据B₈、A₁₇、Rule 5、Rule 6。

B₉：

B₁₀：

因为

根据A₁₅、B₁₀。

B₁₁：

Goal 3

根据Msg 3、B₉、B₁₀。

B₁₂：

根据B₁₂、A₁₁、Rule 1。

B₁₃：

根据B₁₃、A₈、Rule 2、Rule 3。

B₁₄：

根据B₁₄、Rule 4、Rule5。

B₁₅：

B₁₆：

B₁₇：

根据Msg 4、B₁₅、B₁₆、B₁₇。

B₁₈：

根据B₁₈、A₄、Rule 1。

B₁₉：

根据B₁₉、A₂、Rule 2、Rule 3。

B₂₀：

根据B₂₀、A₅、Rule 5、Rule 6。

B₂₁：

B₂₂：

B₂₃：

因为根据A₃、B₂₁、B₂₂、B₂₃。

B₂₄：

Goal 2

B₂₅：

Goal 1

根据Msg 5、A₃、B₂₃。

B₂₆：

根据B₂₆、B₁₁、Rule 1。

B₂₇：

根据B₂₇、A₁₄、Rule 2、Rule 3。

B₂₇：

根据B₂₇、Rule 4、Rule 5。

B₂₈：

根据B₂₈、B₉、B₁₁。

B₂₉：

Goal 4

状态B₂₅(Goal 1)、B₂₄(Goal 2)、B₁₁(Goal 3)、B₂₉(Goal 4)表明本发明方案满足相互认证性，并协商了一致的会话密钥。

本发明方案中，传感器节点只知道用户的组ID，并不能准确地识别与之通信的用户。传感器节点对用户的认证是通过可信第三方GWN的保证来实现。

本发明方案实现了更强的匿名性。

GWN为每个用户U_i分配一个伪随机身份PID_i，从而隐藏U_i的真实身份ID_i。但是，与之通信的传感器节点S_j能识别用户的真实身份。由于传感器节点通常部署在无人监控甚至是敌对者(比如军事应用领域)的区域，容易被敌手劫持，因此，敌手可以通过腐化传感器节点来识别用户的真实身份。本发明方案采用伪随机的群组ID隐藏用户的真实身份，GWN将用户U_i分配到一个群组GID_i中，公开信道中仅发送U_i的群组ID，U_i的真实身份通过加密发送，并且仅允许GWN识别用户的真实身份，与U_i通信的传感器节点S_j仅仅知道是用户组GID_i中的某个用户与之实现了认证并且共享了会话密钥，用户的真实身份由GWN认证并向S_j提供保证。因此，本发明方案实现了强的匿名性(非单一假名)，除非密钥泄露，否则敌手只能将会话定位到某个用户群体的标识，并且该群体中的所有成员身份只有GWN知道。即使敌手腐化了传感器节点，也仅能获取用户组ID，进一步确保了用户的匿名性。

现有技术方案没有实现传感器节点的匿名性，其认证阶段的最后一条消息中，节点S_j的真实身份SID_j在公开信道上通过明文发送，因此不具有匿名性。本发明方案中，采用了与用户相同的处理方式，GWN将节点S_j分配到一个节点组GSID_j中，公开信道中仅发送S_j的群组ID，其真实身份通过加密发送，从而实现了传感器节点的匿名性。

本发明方案采用基于群组的方法，公开信道上仅发送用户(或者传感器节点)的群组ID，其真实ID通过加密发送，敌手仅能将会话归类到群组(用户群组或是传感器节点的群组)，而不能定位到每个具体的身份，实现了用户和传感器节点的不可追溯性。

在登陆阶段，智能芯片卡仅仅根据用户的输入计算一个认证私钥AK′，然后通过认证协议利用GWN验证AK′的有效性，从而间接验证用户输入的ID和口令密码。当智能芯片卡丢失或者被盗，敌手无法对智能芯片卡进行离线字典攻击。因为智能芯片卡并不对用户输入的ID和口令密码进行本地验证，通过输入的ID和口令密码计算得到的AK′也不进行本地验证，因此，在没有GWN在线参与的情况下，敌手无法判断AK′的正确性，从而避免了针对智能芯片卡的离线字典攻击。

本发明方案通过向传感器节点写入高熵、且足够大的初始密钥，不采用口令密码，可以抵抗敌手的离线字典攻击，从而避免在传感器节点端使用公钥算法。

用户和传感器节点之间通过GWN实现了相互认证，并且不存在离线字典攻击窃取用户和传感器节点的认证私钥，因此，攻击者无法仿冒用户或传感器节点以及实施中间人攻击。

安全性方面：首先，现有技术不满足双向认证性，具体来说，用户不能认证传感器节点的身份。在现有方案中，用户对传感器节点的认证是通过GWN对节点的认证间接实现，在Farash方案中，虽然实现了GWN对节点的认证，但是，用户并未告知GWN期望进行通信的节点身份(即，在用户发送给GWN的认证消息M1/M2/M3中不包含传感器节点的身份)，并且GWN也未向用户通告实际通过认证的节点的身份(即，在GWN发回给用户的确认消息M6/M8中也不包含传感器节点的身份)。因此，任何传感器节点截获了报文(M1/M2/M3/T1)均可以向GWN提交并完成认证，而用户不能确定通过GWN认证的传感器节点的身份。其次，现有技术不满足传感器节点的匿名性和不可追溯性。上述方案中，传感器节点的身份通过明文形式在公开信道上传输，因此不满足匿名性和不可追溯性；用户真实身份虽然不公开发送，但是每次认证均使用单一假名，不满足用户的不可追溯性。再次，现有技术不满足对用户智能芯片卡的离线字典攻击。尽管上述方案均声称能防止对用户智能芯片卡的离线字典攻击，但是，由于上述方案在登录阶段都实现了用户口令的本地验证，那么，攻击者拿到智能芯片卡后，只要能够获取智能芯片卡中存储的信息，就能够实施离线字典攻击。现有技术可以通过监控智能芯片卡的能量消耗来获取其存储的信息，因此，上述方案不能防止对用户智能芯片卡的离线字典攻击。本发明方案在登录阶段对用户口令的验证需要GWN在线参与，即不在客户端实现用户口令的本地验证，可以有效防止对用户智能芯片卡的离线字典攻击。此外，由于不能防止对智能芯片卡的离线字典攻击，那么，现有技术方案也不满足对用户的仿冒攻击和中间人攻击。

本发明方案使用到的部分符号进行说明，其它临时符号在协议描述中定义。

U_i：代表一个访问传感器的用户。

GWN：代表网关节点。

S_j：代表一个传感器节点。

ID_i，GID_i：分别表示用户U_i的真实ID和用户组ID。

SID_j，GSID_j：分别表示传感器节点S_j的真实ID和节点组ID。

K_GWN，K_GWN-Sj：分别表示GWN的主密钥以及GWN与传感器节点S_j共享的临时密钥。

AK_i，AK_j：分别表示用户U_i和传感器节点S_j的认证密钥。

TS_i：代表时间戳。

PW_i：表示用户U_i的口令密钥。

k_i，k_j：表示分别由用户U_i和传感器节点S_j随机产生的密钥材料，用于生成会话密钥。

SSID_i，SSID_G：分别表示由U_i和GWN选定的会话ID。

H(*)：表示抗碰撞的哈希函数。

||：表示两个消息连接符。

表示异或运算。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。

Claims (7)

1.一种用于物联网的基于假名的匿名认证与密钥协商优化认证方法，其特征在于，包括如下步骤：

S1，用户和传感器节点分别向网关节点GWN进行注册，针对用户和传感器节点的不同，分别采用不同的用户注册协议和传感器节点注册协议；

所述用户注册协议包括：

假定用户U_i与网关节点GWN共享了口令密码PW_i，U_i的真实ID为ID_i；U_i按照如下协议向网关节点进行注册；

S1-1，U_i选择新的口令密码PW_i′，随机选择a，r_i∈Z_q ^*，其中，a，r_i为随机选择的私钥；计算A＝g^a mod q，A′＝Y^a mod q，其中A和A′为用户注册时网关节点的公钥，

和VI_i＝H(r_i||H(PW_i′||ID_i||r_i)||H(PW_i)||TPW_i||A||A′||TS₁)，将{ID_i，VI_i，TPW_i，A，TS₁}通过公开信道发送给网关节点，其中，TPW_i和VI_i是用户注册的认证参数、TS₁为S1-1当前时间戳；G是阶为q的循环群，g为G的生成元，Y＝g^x mod q为用户注册时GWN使用的公钥，

S1-2，收到请求注册消息后，网关节点检查时间戳TS₁的有效性，若无效则终止；否则，计算A^*＝A^x mod q，其中，A^*是用户注册时网关节点使用的公钥，

验证等式VI_i＝H(r_i ^*||H(PW_i′||ID_i||r_i ^*)||H(PW_i)||TPW_i||A||A^*||TS₁)是否成立；若等式成立则继续，GWN为U_i分配群组号GID_i，计算AK_i＝H(K_GWN||ID_i||GID_i)，

然后将{PAK_i，GID_i，r_i}存入智能芯片卡中，清除所有的临时消息，并将智能芯片卡通过安全的方式递交给用户U_i；AK_i是用户登录阶段的认证密钥，PAK_i用于隐藏AK_i；其中K_GWN为GWN的主密钥；

S1-3，智能芯片卡写入用户信息后完成注册；

所述传感器节点注册协议包括：

假定传感器节点S_j与网关节点共享了一个高熵的密码K_GWN-Sj，S_j的真实ID为SID_j；

S-A，S_j计算VI_j＝H(K_GWN-Sj||SID_j||TS₂)，将{SID_j，VI_j，TS₂}通过公开信道发送给网关节点；VI_j是用户注册的认证参数；TS₂为S-A当前时间戳，

S-B，收到请求注册消息后，网关节点检查时间戳TS₂的有效性，若无效则终止；否则，验证等式VI_j＝H(K_GWN-Sj||SID_j||TS₂)是否成立，若等式成立则继续，网关节点为S_j分配群组号GSID_j，随机选择r_j∈Z_q ^*，计算AK_j＝H(K_GWN||SID_j||GSID_j)，

VI_GWN＝H(r_j||GSID_j||AK_j||K_GWN-Sj||SID_j||TS₃)，然后将{PAK_j，VI_GWN，TS₃}发送给S_j；AK_j表示传感器节点S_j的认证密钥，PAK_j用于隐藏AK_j，VI_GWN是网关节点GWN注册的认证参数；TS₃为S-B当前时间戳，

S-C，收到{PAK_j，VI_GWN，TS₃}后，S_j检查时间戳TS₃的有效性，若无效则返回S-A重新提交注册申请；否则，计算

验证等式VI_GWN＝H(r_j ^*||GSID_j ^*||AK_j ^*||K_GWN-Sj||SID_j||TS₃)是否成立，若等式成立则存储AK_j ^*作为其认证私钥，清除K_GWN-Sj及其它临时消息，完成注册；

S2，注册完成后，用户通过用户登陆协议、认证与密钥协商协议登陆到系统，并且在网关节点的协助下，与需要访问的传感器节点实现相互的认证以及协商共享的会话密钥。

2.根据权利要求1所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，其特征在于，还包括：

在用户注册协议和传感器节点注册协议工作之前，网关节点建立并公开系统参数params＝(G，q，g，Y)，其中，G是阶为q的循环群，g为G的生成元，Y＝g^x mod q为用户注册时GWN使用的公钥，x∈Z_q ^*为其随机选择的私钥，Z为整数集合，假定在系统初始化阶段，用户U_i与网关节点共享了口令密码PW_i，传感器节点S_j与GWN共享了一个高熵的密码K_GWN-Sj。

3.根据权利要求1所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，其特征在于，所述S2包括：

S2-1，用户U_i将智能芯片卡插入读卡器，输入ID_i和PW_i′；智能芯片卡计算

然后随机产生k_i∈K^κ，其中，K^κ表示密钥材料的集合，创建会话标识SSID_i，计算

C_i＝H(SSID_i||AK_i||k_i||ID_i||SID_j||GID_i||PK_i||TS₄)，将{SSID_i，GID_i，PK_i，C_i，TS₄}发送给网关节点；TS₄为S2-1当前时间戳；

S2-2，收到{SSID_i，GID_i，PK_i，C_i，TS₄}后，网关节点检查时间戳TS₄的有效性，若无效则终止；否则，查找用户组GID_i，提取该群组中用户身份{ID_t|t＝(1，…，l)}，分别计算AK_t＝H(K_GWN||ID_t||GID_i)，

检查ID_t是否等于ID_i ^*，若存在ID_t＝ID_i ^*，则验证等式C_i＝H(SSID_i||AK_t||k_i ^*||ID_i ^*||SID_j ^*||GID_i||PK_i||TS₄)是否成立，若等式不成立，则终止；否则，用户组GID_i中存在ID_t＝ID_i通过验证，取得正确的(k_i||ID_i||SID_j)，然后创建新的会话标识SSID_G，计算AK_j＝H(K_GWN||SID_j||GSID_j)，

C_G1＝H(SSID_G||AK_j||SID_j||GID_i||k_i||GSID_j||PK_G1||TS₅)，将{SSID_G，GSID_j，PK_G1，C_G1，TS₅}通过广播形式发送出去，TS₅为S2-2当前时间戳。

4.根据权利要求3所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，其特征在于，所述S2还包括：

S2-3，广播域中的传感器节点收到{SSID_G，GSID_j，PK_G1，C_G1，TS₅}后，首先检查自己是否属于群组GSID_j，非群组成员直接丢弃数据包，或者进行转发，这取决于传感器网络的路由策略；每个群组成员SID_t首先检查时间戳TS₅的有效性，计算

检查自己的身份标识是否等于SID_j ^*，若不相等则终止；当目标节点S_j正确接收该数据包后，按照上式计算(SID_j ^*||GID_i ^*||k_i ^*)，然后验证等式C_G1＝H(SSID_G||AK_j||SID_j ^*||GID_i ^*||k_i ^*||GSID_j||PK_G1||TS₅)是否成立，C是认证消息摘要，若等式不成立则终止，否则随机产生k_j∈K^κ，计算

C_j＝H(SSID_G||AK_j||k_i ^*||k_j||SID_j||GID_i ^*||GSID_j||PK_j||TS₆)，将{SSID_G，PK_j，C_j，

TS₆}发送给GWN；最后，利用密钥导出函数h(*)计算共享的会话密钥

TS₆为S2-3当前时间戳。

5.根据权利要求4所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，其特征在于，所述S2还包括：

S2-4，收到{SSID_G，PK_j，C_j，TS₆}后，GWN检查时间戳TS₆的有效性，若无效则终止；否则，查询匹配会话SSID_G和SSID_i，计算

检查(SID_j ^*，GID_i ^*)与匹配会话中的相应参数是否一致，然后验证等式

C_j＝H(SSID_G||AK_j||k_i||k_j ^*||SID_j ^*||GID_i ^*||GSID_j||PK_j||TS₆)是否相等，若验证通过，则计算

C_G2＝H(SSID_i||k_i||k_j ^*||AK_i||ID_i||SID_j||PK_G2||TS₇)，将{SSID_i，PK_G2，C_G2，TS₇}发送给用户U_i，TS₇为S2-4当前时间戳。

6.根据权利要求5所述的用于物联网的基于假名的匿名认证与密钥协商优化认证方法，其特征在于，所述S2还包括：

S2-5，用户U_i收到{SSID_i，PK_G2，C_G2，TS₇}后，计算

验证等式C_G2＝H(SSID_i||k_i||k_j ^*||AK_i||ID_i||SID_j||PK_G2||TS₇)是否相等，若相等则完成认证，计算会话密钥

最后，U_i计算C_ij＝H(SK_ij||k_i||k_j ^*||GID_i||SID_j||TS₈)，将{C_ij，TS₈}发送给S_j，TS₈为S2-5当前时间戳；

S2-6，收到{C_ij，TS₈}后，S_j检查TS₈的有效性，验证等式C_ij＝H(SK_ji||k_i||k_j ^*||GID_i||SID_j||TS₈)是否相等，完成会话密钥确认。

7.一种用于物联网的基于假名的匿名认证与密钥协商优化认证分析方法，其特征在于，包括如下步骤：

根据权利要求1-6任一项的优化认证方法进行证明，如果认证与密钥协商方案满足目标需求，那么满足相互认证性，并协商一致的会话密钥。

Images