CN107342859B - 一种匿名认证方法及其应用 - Google Patents

Abstract

本发明公开一个可追踪匿名认证方法及其应用，包括1、可信密钥生成中心生成系统参数，应用服务器的公私钥以及客户端的部分公私钥；2、任意一个客户端生成离线参数和在线签名；3、应用服务器对在线签名进行验证，并生成认证码发送给客户端；4、客户端对认证码进行验证，并得到应用服务器的后续服务。5、发生纠纷时，应用服务器将客户端的伪身份提交给密钥生成中心，密钥生成中心可以揭示客户端的真实身份。本发明能有效解决现有无线体域网络中匿名认证过程中客户端计算代价高以及应用服务器认证效率低的问题，同时实现客户端的身份可追踪，提高客户端的隐私性。

Description

一种匿名认证方法及其应用

技术领域

本发明涉及无证书签名与匿名身份认证技术领域，具体地说是一种适用于无线体域网中保护客户端身份隐私及数据机密性的匿名认证方法。

背景技术

在一般匿名认证的网络模型中，主要存在两种参与方：客户端以及应用服务器。客户端向应用服务器请求服务时，应用服务器首先确认客户端身份是否合法，确认客户端身份合法后才能为该客户端提供服务，其中客户端为资源受限的设备，应用服务器端是资源相对充足的设备。此外，为了保护客户端的隐私，主要有两种匿名方式：第一种是弱匿名，即只对网络中的其他客户端进行匿名，而对应用服务器公开其身份信息；第二种是强匿名，即对网络的其他客户端进行匿名的同时对应用服务器也进行匿名。显然第二种身份匿名有更高的安全性。典型应用场景如图1所示。因此匿名认证以及密钥协商协议可以使客户端在公开网络中隐藏自己的身份，并将数据传输到特定的应用服务器端进行存储分析。

已有的一些匿名认证协议提供了相互认证和客户端强匿名性。这些方案中强匿名认证主要体现在：

1)服务器维护一个验证表，通过验证表来验证请求服务客户端的合法身份。但是验证表的维护不仅会增加服务器的存储代价，而且会存在信息不同步的风险。并且一旦验证表被攻破，攻击者可以伪装成任意合法的用户，无法保证相互认证。

2)引入可信的第三方，第三方可以是重签名者，将客户端的签名进行重签名，可以隐藏客户端的身份。但是第三方必须是完全可信的，使其在实际中的应用受到了一定的限制。

目前，在匿名认证方法中首先要保证相互认证以及客户端的隐私，并且由于客户端是资源受限的设备，还需要考虑客户端的开销。此外，这些匿名认证协议中没有考虑到客户端身份的可追踪性。即客户端的行为不当时无法追踪到客户端的真实身份，导致恶意的客户端仍然可以获得合法的服务。

发明目的

本发明为了解决上述现有技术存在的不足之处，提供一种匿名认证方法及其应用，以期能有效的解决现有无线体域网中客户端匿名认证过程中客户端计算代价高以及认证效率低的问题，同时能实现客户端身份可追踪，从而提高客户端的安全性。

本发明为解决技术问题所采用的技术方案是：

本发明一种匿名认证方法的特点是应用于由一个可信的密钥生成中心KGC、若干个客户端和若干个应用服务器所构成的无线体域网环境中；记任意一个客户端为C_i、任意一个应用服务器为S_j，所述匿名认证方法是按如下步骤进行：

步骤1、所述密钥生成中心KGC生成自身的公私钥和系统参数，并公开所述系统参数；同时为所有应用服务器生成公私钥，记任意一个应用服务器S_j的公钥和私钥为PK_j和sk_j；

步骤2、任意一个客户端C_i选择一个随机数并生成部分伪身份PID′_i后，将自身真实身份ID_i与所述部分伪身份PID′_i一起发送给所述密钥生成中心KGC；

步骤3、所述密钥生成中心KGC根据所接收到的客户端C_i的自身真实身份ID_i与部分伪身份PID′_i，并利用所述密钥生成中心KGC自身的私钥计算客户端C_i的另一部分伪身份PID″_i；由所述部分伪身份PID′_i和另一部分伪身份PID′_i构成所述客户端C_i完整的伪身份PID_i；

步骤4、所述密钥生成中心KGC为所述客户端C_i生成部分私钥s_i和公钥参数W_i，并将所述客户端C_i完整的伪身份PID_i、部分私钥s_i和公钥参数W_i通过安全信道一起发生给所述客户端C_i；

步骤5、所述客户端C_i根据所述系统参数和公钥参数W_i验证所接收到的部分私钥s_i的合法性，若验证合法，则接受所述部分私钥s_i并执行步骤6；否则，拒绝所述部分私钥s_i并返回步骤2；

步骤6、所述客户端C_i选择一个随机数作为自身的秘密值x_i，并利用所述秘密值x_i生成所述客户端C_i的部分公钥PK_i；由所述秘密值x_i与所述部分私钥s_i共同组成所述客户端C_i完整的私钥(x_i,s_i)；由所述部分公钥PK_i与所述公钥参数W_i共同组成所述客户端C_i完整的公钥(PK_i,W_i)；

步骤7、将所述客户端C_i准备向任一应用服务器发送消息之前的阶段作为所述客户端C_i的离线阶段；在所述离线阶段，所述客户端C_i利用式(1)-式(3)计算离线参数{X_i,X′_i,rand_i,y_i}：

b_i＝h₁(PID_i,X_i) (2)

y_i＝s_i+b_ix_i (3)

式(1)-式(3)中，X_i表示客户端C_i的签名验证参数，X′_i表示客户端C_i的身份验证参数，rand_i表示随机数，P表示椭圆曲线中的生成元，b_i表示客户端C_i的哈希值，h₁(·)表示哈希函数；y_i表示客户端C_i的离线签名；

步骤8、将所述客户端C_i确定向应用服务器S_j发送消息m的阶段作为所述客户端C_i的在线阶段；在所述在线阶段，所述客户端C_i根据所述消息m和离线参数{X_i,X′_i,rand_i,y_i}，利用式(4)和式(5)生成在线签名，并利用式(6)对所生成的在线签名进行加密：

h_i＝h₂(m,PID_i,X_i,t) (4)

σ_i＝rand_i+h_iy_i (5)

式(4)-式(6)中，t为一个变量，表示当前时间戳，h₂(·)表示另一个哈希函数；h_i表示另一个哈希值，σ_i表示客户端C_i的消息签名；||表示连接串符号，表示密钥为h(X′_i)的对称加密函数；Q_i表示客户端C_i的密文；

步骤9、所述客户端C_i将消息签名的参数{X_i,Q_i,t}发送给所述应用服务器S_j；

步骤10、若所述应用服务器S_j在一段时间内只接受到一个消息签名的参数，则执行步骤10.1；若接收到n个消息签名的参数，则执行步骤10.2；

步骤10.1、所述应用服务器S_j使用自身的私钥sk_j以及所接收到的消息签名的参数验证单个消息签名的有效性；若有效，则执行步骤11；否则，所述应用服务器S_j拒绝与相应客户端进行消息通讯；

步骤10.2、所述应用服务器S_j使用自身的私钥sk_j以及所接收到的n个消息签名的参数，利用批认证方法对n个消息签名进行批量验证有效性；若均有效，则执行步骤11；否则，所述应用服务器S_j拒绝与n个客户端进行消息通讯；

步骤11、所述应用服务器S_j根据密钥协商协议得到与所述客户端C_i共享的会话密钥key_i，并利用所述会话密钥key生成认证码及相关消息后发给所述客户端C_i；

步骤12、所述移动客户端C_i根据所述系统参数和相关消息得到所述会话密钥key_i，并利用所述会话密钥key_i对所述认证码进行验证；当验证通过时，利用所述会话密钥key_i得到所述应用服务器S_j的后续服务。

本发明所述的匿名认证方法的特点也在于，所述批认证方法是按如下步骤进行：

步骤10.2.1、所述应用服务器S_j逐一对每个消息签名参数中的验证时间戳t的有效性进行验证；若均有效，则直接执行步骤10.2.2；若发现存在无效的时间戳t，则丢弃无效的时间戳t所对应的消息签名的参数后，执行步骤10.2.2；

步骤10.2.2、假设有效的消息签名参数有d个，1＜d≤n；所述应用服务器S_j使用自身的私钥sk_j以及所接收到的d个消息签名参数中的签名验证参数X_i，利用式(7)计算得到身份验证参数X′_i，1≤i≤d；

X′_i＝sk_jX_i (7)

步骤10.2.3、所述应用服务器S_j利用身份验证参数X′_i计算密钥h(X_i′)的哈希值，利用所述密钥h(X′_i)的哈希值对消息签名参数中的密文Q_i进行解密，从而得到客户端C_i的身份参数(PID_i||σ_i||m||PK_i||W_i)；

步骤10.2.4、所述应用服务器S_j根据式(2)和式(4)重新计算哈希值h_i和b_i，并利用式(8)计算第三个哈希值a_i：

a_i＝h₁(PID_i,W_i) (8)

步骤10.2.5、所述应用服务器S_j随机选择一组向量{e₁,e₂,....,e_i,....,e_d}，其中，e_i表示第i个向量，并有e_i∈[1,2^l]，l为指数；再利用式(9)验证d个消息签名的有效性，若式(9)成立，则表示d个消息签名有效，否则表示d个消息签名无效；

式(9)中，P_pub为所述密钥生成中心KGC的公钥。

本发明一种匿名认证方法的应用的特点是，所述批认证方法应用于身份追踪过程中，并按如下步骤进行：

步骤13、所述应用服务器S_j将解密得到的客户端C_i的身份参数(PID_i||σ_i||m||PK_i||W_i)中的伪身份PID_i提交给所述密钥生成中心KGC；

步骤14、所述密钥生成中心KGC根据自身私钥s，并利用式(10)计算所述客户端C_i的真实身份ID_i，从而揭示所述客户端C_i的真实身份：

与现有的匿名认证技术相比，本发明的有益效果体现在：

1.相对于已有方法来说，本发明使用在线离线签名以及批认证技术，降低了客户端的计算代价以及签名效率，应用服务器的认证代价，提高了匿名认证方法的时效性。同时密钥生成中心生成客户端的伪身份，可以由此追踪到客户端的真实身份，提高了客户端的安全性。

2.本发明中客户端产生的签名只有客户端指定的应用服务器才能进行验证，即使签名消息被攻击者截获，攻击者也无法验证签名的合法性，进而无法得到签名者的身份，从而提高了客户端的安全性。

3.本发明中通过引入在线离线技术，在离线阶段可以预先计算一些复杂的运算，相对于已有工作来说，能够有效降低了计算能力有限的客户端的计算代价，从而在一定程度上提高了签名效率。

4.本发明中应用服务器同时收到多条验证消息时，可以使用批认证技术同时验证签名的有效性，从而降低了应用服务器端验证的开销。

5.本发明中密钥生成中心使用自身私钥生成客户端的部分伪身份。在出现纠纷时，密钥生成中心可以根据伪身份计算出客户端的真实身份，提高了客户端的安全性。

附图说明

图1为本发明应用场景图；

图2为本发明的网络模型图；

图3为本发明的消息签名及认证的详细流程图。

具体实施方式

如图1所示，一种匿名认证方法实施于若干个客户端和若干个应用服务器构成的无线体域网环境中。该应用环境中具体的实体模型如图2所示为：①密钥生成中心KGC。主要负责初始化生成系统参数，为应用服务器生成公私钥对以及为客户端生成伪身份和部分私钥等。②任意一个客户端C_i。一般为移动智能设备，如智能手机，数字管家等。特点为可移动，方便携带，存储空间有限，计算能力低。请求服务之前需要到KGC处注册，并获取相关安全参数。③任意一个应用服务器S_j。为客户端提供远程服务，如健康监护、远程医疗诊断等。该方法是按如下步骤进行

步骤1、密钥生成中心KGC生成自身的公私钥和系统参数，并公开系统参数；同时为所有应用服务器生成公私钥，记任意一个应用服务器S_j的公钥和私钥为PK_j和sk_j；

(1.1)密钥生成中心KGC初始化系统参数，输入的安全参数为λ，其中大素数p是按照如下步骤生成：

a)确定大素数p的位长d；根据具体的安全需求，设定安全参数λ＝1024，则在椭圆曲线密码ECC体制中d＝160；

b)随机生成1个位长为d比特的末位为1的奇数q；如160比特Solinas素数q＝2¹⁵⁹+2¹⁷+1；

c)采用素数检测方法判断q是否为素数。若是，则令q＝12pr-1；否则重新执行步骤b)。

(1.2)密钥生成中心KGC定义一个阶为q的循环加法群G，生成元组{F_p,E/F_p,G,P}。定义4个安全的hash函数：

(1.3)密钥生成中心KGC选取一个随机数令P_pub＝sP。设定应用服务器S_j的私钥为sk_S,公钥为PK_S＝sk_SP。

(1.4)密钥生成中心KGC将{E,E/F_p,P,G,q,h,h₁,h₂,h₃}作为系统公共参数，并将这些参数预设到所有客户端和应用服务器。

步骤2、任意一个客户端C_i选择一个随机数并生成部分伪身份PID′_i后，将自身真实身份ID_i与部分伪身份PID′_i一起发送给密钥生成中心KGC；

(2.1)客户端C_i随机选取计算PID′_i＝r_iP。

(2.2)然后客户端向密钥生成中心KGC提交自己的真实身份ID_i∈{0,1}^*(如电子邮箱、身份证号等)和PID′_i。

步骤3、密钥生成中心KGC根据所接受到的客户端C_i的自身真实身份ID_i与部分伪身份PID′_i，并利用密钥生成中心KGC自身的私钥计算客户端C_i的另一部分伪身份PID″_i；由部分伪身份PID′_i和另一部分伪身份PID″_i构成客户端C_i完整的伪身份PID_i；

(3.1)密钥生成中心KGC检验所述客户端身份C_i的合法性。若合法，则密钥生成中心KGC计算

(3.2)结合接收到的部分伪身份PID′_i，客户端C_i完整的伪身份为PID_i＝{PID′_i,PID″_i}。

步骤4、密钥生成中心KGC为客户端C_i生成部分私钥s_i和公钥参数W_i，并将客户端C_i完整的伪身份PID_i、部分私钥s_i和公钥参数W_i通过安全信道一起发生给客户端C_i；

(4.1)密钥生成中心KGC随机选择计算W_i＝w_iP,a_i＝h₁(PID_i,W_i),s_i＝w_i+a_is。将{PID_i,W_i,s_i}通过安全信道传送给客户端C_i；这里，SSL(安全套接字协议，SecureSockets Layer)和TLS(传输层安全协议，Transport Layer Security)可以确保消息在网络中安全的传送，使用其中任意一个来建立安全信道。

步骤5、客户端C_i根据系统参数和公钥参数W_i验证所接收到的部分私钥s_i的合法性，若验证合法，则接受部分私钥s_i并执行步骤6；否则，拒绝部分私钥s_i并返回步骤2；

(5.1)收到{PID_i,W_i,s_i}后，客户端C_i首先通过公式(1)来验证部分密钥的合法性：

如果等式成立，客户端C_i接受s_i作为用户部分私钥，W_i作为公钥参数。

步骤5中密钥的安全性基于离散对数(discrete logarithmproblem，DLP)：给定元素aP∈G，求解

步骤6、客户端C_i选择一个随机数作为自身的秘密值x_i，并利用秘密值x_i生成客户端C_i的部分公钥PK_i；由秘密值x_i与部分私钥s_i共同组成客户端C_i完整的私钥(x_i,s_i)；由部分公钥PK_i与公钥参数W_i共同组成客户端C_i完整的公钥(PK_i,W_i)；

(6.1)客户端C_i随机选择计算PK_i＝x_iP。

(6.2)客户端C_i的完整私钥(x_i,s_i)，完整公钥(PK_i,W_i)。

步骤7、将客户端C_i准备向任一应用服务器发送消息之前的阶段作为客户端C_i的离线阶段；在离线阶段，客户端C_i利用式(1)-式(3)计算离线参数{X_i,X′_i,rand_i,y_i}：

b_i＝h₁(PID_i,X_i) (2)

y_i＝s_i+b_ix_i (3)

式(1)-式(3)中，X_i表示客户端C_i的签名验证参数，X′_i表示客户端C_i的身份验证参数，rand_i表示随机数，P表示椭圆曲线中的生成元，b_i表示客户端C_i的哈希值，h₁(·)表示哈希函数；y_i表示客户端C_i的离线签名；其中，离线计算阶段可以在资源充足的设备上进行计算，生成一系列的离线参数{X_i,X′_i,rand_i,y_i}进行存储。客户端每次可以选取一组参数，这样可以有效减少客户端的存储代价。具体实施如图3中步骤3所示；

步骤8、将客户端C_i确定向应用服务器S_j发送消息m的阶段作为客户端C_i的在线阶段；在在线阶段，客户端C_i根据消息m和离线参数{X_i,X′_i,rand_i,y_i}，利用式(4)和式(5)生成在线签名，并利用式(6)对所生成的在线签名进行加密：

h_i＝h₂(m,PID_i,X_i,t) (4)

σ_i＝rand_i+h_iy_i (5)

式(4)-式(6)中，t为一个变量，表示当前时间戳，h₂(·)表示另一个哈希函数；h_i表示另一个哈希值，σ_i表示客户端C_i的消息签名；||表示连接串符号，表示密钥为h(′_i)的对称加密函数；Q_i表示客户端C_i的密文；具体实施如图3中步骤4所示；

步骤8中的签名(X_i,σ_i)的不可伪造性可以规约到DLP问题。在第一类敌手下，签名的伪造形式可为：X_i＝rand_iP，h_i＝h₂(m,PID_i,X_i,t)，σ_i＝rand_i+h_iy_i，得到σ_i与原签名形式相同，所以利用分叉引理，当两个伪造的原始签名(m,X_i,σ_i),满足m＝m^*，时，挑战者可以计算σ_i＝rand_i+h_i(w_i+a_ia+b_ix_i)，由推出所以得到等式由此可以解决DLP，所以原始签名不可伪造。

在第二类敌手下，签名的伪造形式可为：X_i＝rand_iP，h_i＝h₂(m,PID_i,X_i,t)，σ_i＝rand_i+h_iy_i，得到σ_i与原签名形式相同，所以利用分叉引理，当两个伪造的原始签名(m,X_i,σ_i),满足m＝m^*，时，挑战者可以计算σ_i＝rand_i+h_i(w_i+a_ia+b_ia)，由推出所以得到等式由此可以解决DLP，所以原始签名不可伪造。

步骤9、客户端C_i将消息签名的参数{X_i,Q_i,t}发送给应用服务器S_j；

步骤10、若应用服务器S_j在一段时间内只接受到一个消息签名的参数，则执行步骤10.1；若接收到n个消息签名的参数，则执行步骤10.2；

步骤10.1、应用服务器S_j使用自身的私钥sk_j以及所接收到的消息签名的参数验证单个消息签名的有效性；若有效，则执行步骤11；否则，应用服务器S_j拒绝与相应客户端进行消息通讯；

(10.1.1)收到{X_i,Q_i,t}后，首先检查t′-t≤Δt是否成立。若不成立，则认为消息已经失效，丢弃该消息；如果成立，执行(10.1.2)。

(10.1.2)应用服务器S_j计算X′_i＝sk_SX_i，然后解密发送的Q_i得(PID_i||σ_i||m||PK_i||W_i)。然后计算h_i＝h₂(m,PID_i,X_i,t_i),a_i＝h₁(PID_i,W_i)，b_i＝h(PID_i,X_i)。最后验证等式是否成立，若式(9)成立，则表示消息签名有效，否则表示消息签名无效；

步骤10.2、应用服务器S_j使用自身的私钥sk_j以及所接收到的n个消息签名的参数，利用批认证方法对n个消息签名进行批量验证有效性；若均有效，则执行步骤11；否则，应用服务器S_j拒绝与n个客户端进行消息通讯；

步骤10.2.1、应用服务器S_j逐一对每个消息签名参数中的验证时间戳t的有效性进行验证t′-t≤Δt是否成立；若均成立，则直接执行步骤10.2.2；若发现存在无效的时间戳t，则丢弃无效的时间戳t所对应的消息签名的参数后，执行步骤10.2.2；

步骤10.2.2、假设有效的消息签名参数有d个，1＜d≤n；应用服务器S_j使用自身的私钥sk_j以及所接收到的d个消息签名参数中的签名验证参数X_i，利用式(7)计算得到身份验证参数X′_i，1≤i≤d；

X′_i＝sk_jX_i (7)

步骤10.2.3、应用服务器S_j利用身份验证参数X′_i计算密钥h(X′_i)的哈希值，利用密钥h(X′_i)的哈希值对消息签名参数中的密文Q_i进行解密，从而得到客户端C_i的身份参数(PID_i||σ_i||m||PK_i||W_i)；

步骤10.2.4、应用服务器S_j根据式(2)和式(4)重新计算哈希值h_i和b_i，并利用式(8)计算第三个哈希值a_i：

a_i＝h₁(PID_i,W_i) (8)

步骤10.2.5、应用服务器S_j随机选择一组向量{e₁,e₂,....,e_i,....,e_d}，其中，e_i表示第i个向量，并有e_i∈[1,2^l]，l为指数；再利用式(9)验证d个消息签名的有效性，若式(9)成立，则表示d个消息签名有效，否则表示d个消息签名无效；

式(9)中，P_pub为密钥生成中心KGC的公钥。

步骤10.2.5中公式(9)的正确性在于：

步骤11、应用服务器S_j根据密钥协商协议得到与客户端C_i共享的会话密钥key_i，并利用会话密钥key_i生成认证码及相关消息后发给客户端C_i；

(11.1)应用服务器S_j选择一个随机数rand′_i，计算D_i＝rand′_iP，K_i＝rand′_iX_i。利用式(10)计算客户端C_i的会话密钥key_i：

key_i＝h₃(X_i,X′_i,D_i,K_i) (10)

式(10)中，h₃(·)表示第三个哈希函数；D_i表示会话密钥key_i的验证参数：K_i表示对称参数，且K_i＝rand′_iX_i；

(11.2)利用会话密钥key_i和验证参数D_i生成认证码MAC_key(D_i)，并将验证参数D_i和认证码发送给客户端C_i进行验证；

步骤11中的会话密钥安全性基于CDH问题。采用Diffie-Hellman密钥协商方式，而Diffie-Hellman密钥协商协议的安全性基于CDH问题。

步骤12、客户端C_i根据系统参数和相关消息得到会话密钥key_i，并利用会话密钥key_i对认证码进行验证；当验证通过时，从而能利用会话密钥key_i得到应用服务器S_j的服务。

(12.1)客户端C_i根据验证参数D_i和随机数rand_i，利用式(11)计算对称参数K_i′：

K′_i＝rand_iD_i (11)

(12.2)客户端C_i根据验证参数D_i和对称参数K′_i，利用式(12)计算会话密钥key_i：

key_i＝h₃(X_i,X′_i,D_i,K′_i) (12)

(12.3)客户端C_i利用会话密钥key_i对认证码进行解密，得到验证参数D′_i，并将解密得到的验证参数D′_i和接收到的验证参数D_i进行比较验证；若相同，则将会话密钥key_i作为客户端C_i与应用服务器S_j之间的会话密钥，否则，拒绝会话密钥key_i。

步骤13、发生纠纷时，应用服务器S_j将解密得到的客户端C_i的身份参数(PID_i||σ_i||m||PK_i||W_i)中的伪身份PID_i提交给密钥生成中心KGC；

步骤14、密钥生成中心KGC根据自身私钥s，并利用式(13)计算客户端C_i的真实身份ID_i，从而揭示客户端C_i的真实身份：

下面通过实施例中的匿名认证中安全性需求，计算代价、存储代价以及通信代价来进一步详细说明本发明。

实施例：

对于基于验证表的匿名认证协议，如Liu的方案。对于基于假名池的方案，如Zhao的方案。为了提供与1024bits的RSA相同等级的安全性，采用定义在超奇异曲线E/F_P:y²＝x³+x上的Tate配对e:G₁×G₁→G₂。q＝2¹⁵⁹+2¹⁷+1是160-bit的Solonas素数，p＝12qr-1是512-bit素数，用户的身份信息和时间戳均为32bits。对于基于ECC的协议，采用定义在F₂₁₆₃上的Koblitz椭圆曲线y²＝x³+a·x²+b，其中在a＝1,b是任意163-bit素数的情况下可以达到相同等级的安全性。其中一些主要的密码学操作符号表示如下：

T_e表示执行一次双线性对操作的时间，T_E表示执行一次模幂操作的时间，T_m→bp表示执行一次双线性对中的模乘操作的时间，T_m→ecc表示执行一次ECC中的模乘操作的时间。使用MIRACL密码函数库，在Windows XPOS系统，PIV 3-GHz处理器环境中，得到各个密码学操作的时间：T_e＝96.20，T_E＝53.85，T_m→bp＝30.67，T_m→ecc＝3.99。

a)安全性需求比较

将本发明的认证过程满足的安全性需求与已有实施例进行对比。由表1可见，本发明满足相互认证，前向安全性，不可链接性，会话密钥建立，可追踪以及无密钥托管安全需求，具有比Liu,Zhao方法更高的安全性。

b)计算代价比较

将本发明中的认证过程客户端产生主要的计算代价以及应用服务器验证代价与已有实施例进行对比。由表2，3所示，在Liu等人安全级别较高的第二个方案中，生成消息的签名需要1个幂操作以及4个双线性对中标乘操作，因此，Liu等人的第二个方案中客户端所需要的主要计算代价为4T_m→bp+1TE＝176.53ms。在Zhao等人的方案中，生成消息的签名需要3个ECC中的模乘操作，因此，Zhao等人的客户端所需要的主要代价为3T_m→ecc＝11.97ms。本发明使用在线离线签名技术，生成消息的签名只需要1个ECC中的模乘操作，所以本发明的客户端主要计算代价为1T_m→ecc＝3.99ms，比Zhao和Liu方法的计算代价低。其中n表示请求消息数。

c)通信代价比较

将本发明中的认证过程通信代价与已有实施例进行对比。在Liu等人安全级别较高的第二个方案中，客户端需要发送{v,U,t_c,T′,I′}给应用服务器，服务器发送MAC_key(v)，其中U,T′,I′是G₁中的元素，t_c是时间戳。因此，Liu等人的第二个方案中通信代价为1024*3+32+160＝3264bits。在Zhao等人的方案中，客户端需要发送给应用服务器，服务器返回给客户端，其中为G群中的一个元素，其中为G群中的一个元素，为有限域上的一个元素。因此，Zhao等人方案的通信代价为160*5+32+64+32＝928bits。本发明中，客户端需要发送{X_i,Q_i,t}应用服务器，服务器返回{D_i,MAC_key(D_i)}给客户端，X_i是G群中的一个元素，其中所以本发明的通信代价为160*7+32＝1152bits。比Liu方法的通信代价低，比Zhao方案的通信代价要稍高。

d)存储代价比较

将本发明中的产生主要的存储代价与已有实施例进行对比。在Liu等人安全级别较高的第二个方案中客户端存储其中是G₁中的元素，所以客户端的存储代价为1024*2+64＝2112bits。应用服务器端存储s_AP和其中分别是G₁，G₂中的元素，n表示客户端的个数，所以服务器端的存储代价为160+(1024+512)*n＝160+1536n。在Zhao等人的方案中，客户端需要存储假名池中的内容其中是G中的元素，m表示假名池的长度。所以客户端的存储代价为64+(160*3)m＝(480m+64)bits。服务器端存储S_s，所以服务器端的存储代价为160bits。在本发明中，客户端需要存储以及离线参数{X_i,X′_i,c_i,s}，所以客户端的存储代价为160*3m+160*4＝480m+640bit，服务器端存储sk_S，所以服务器端的存储代价为160bits。

表1：实施例安全性对比

表2：实施例客户端计算代价对比

表3：实施例应用端计算代价对比

综上，本发明客户端的计算代价比Liu，Zhao方法低。通信代价比Zhao方法稍高，比Liu的方案要低。本发明的客户端的存储代价相比Zhao方法基本持平，比Liu的方案要高。但是，本发明实现了客户端身份可追踪，提高了客户端的安全性。所以，本发明很好的解决了现有无线体域网中客户端匿名认证过程中存储代价和计算代价高以及认证效率低的问题，而且能提供更高的安全性。

Claims (3)

1.一种匿名认证方法，其特征是应用于由一个可信的密钥生成中心KGC、若干个客户端和若干个应用服务器所构成的无线体域网环境中；记任意一个客户端为C_i、任意一个应用服务器为S_j，所述匿名认证方法是按如下步骤进行：

步骤1、所述密钥生成中心KGC生成自身的公私钥和系统参数，并公开所述系统参数；同时为所有应用服务器生成公私钥，记任意一个应用服务器S_j的公钥和私钥为PK_j和sk_j；

步骤2、任意一个客户端C_i选择一个随机数并生成部分伪身份PID′_i后，将自身真实身份ID_i与所述部分伪身份PID′_i一起发送给所述密钥生成中心KGC；

步骤3、所述密钥生成中心KGC根据所接收到的客户端C_i的自身真实身份ID_i与部分伪身份PID′_i，并利用所述密钥生成中心KGC自身的私钥计算客户端C_i的另一部分伪身份PID″_i；由所述部分伪身份PID′_i和另一部分伪身份PID″_i构成所述客户端C_i完整的伪身份PID_i；

步骤4、所述密钥生成中心KGC为所述客户端C_i生成部分私钥s_i和公钥参数W_i，并将所述客户端C_i完整的伪身份PID_i、部分私钥s_i和公钥参数W_i通过安全信道一起发生给所述客户端C_i；

步骤5、所述客户端C_i根据所述系统参数和公钥参数W_i验证所接收到的部分私钥s_i的合法性，若验证合法，则接受所述部分私钥s_i并执行步骤6；否则，拒绝所述部分私钥s_i并返回步骤2；

步骤6、所述客户端C_i选择一个随机数作为自身的秘密值x_i，并利用所述秘密值x_i生成所述客户端C_i的部分公钥PK_i；由所述秘密值x_i与所述部分私钥s_i共同组成所述客户端C_i完整的私钥(x_i,s_i)；由所述部分公钥PK_i与所述公钥参数W_i共同组成所述客户端C_i完整的公钥(PK_i,W_i)；

步骤7、将所述客户端C_i准备向任一应用服务器发送消息之前的阶段作为所述客户端C_i的离线阶段；在所述离线阶段，所述客户端C_i利用式(1)-式(3)计算离线参数{X_i,X′_i,rand_i,y_i}：

b_i＝h₁(PID_i,X_i) (2)

y_i＝s_i+b_ix_i (3)

式(1)-式(3)中，X_i表示客户端C_i的签名验证参数，X′_i表示客户端C_i的身份验证参数，rand_i表示随机数，P表示椭圆曲线中的生成元，b_i表示客户端C_i的哈希值，h₁(·)表示哈希函数；y_i表示客户端C_i的离线签名；

步骤8、将所述客户端C_i确定向应用服务器S_j发送消息m的阶段作为所述客户端C_i的在线阶段；在所述在线阶段，所述客户端C_i根据所述消息m和离线参数{X_i,X′_i,rand_i,y_i}，利用式(4)和式(5)生成在线签名，并利用式(6)对所生成的在线签名进行加密：

h_i＝h₂(m,PID_i,X_i,t) (4)

σ_i＝rand_i+h_iy_i (5)

式(4)-式(6)中，t为一个变量，表示当前时间戳，h₂(·)表示另一个哈希函数；h_i表示另一个哈希值，σ_i表示客户端C_i的消息签名；||表示连接串符号，表示密钥为h(X′_i)的对称加密函数；Q_i表示客户端C_i的密文；

步骤9、所述客户端C_i将消息签名的参数{X_i,Q_i,t}发送给所述应用服务器S_j；

步骤10、若所述应用服务器S_j在一段时间内只接受到一个消息签名的参数，则执行步骤10.1；若接收到n个消息签名的参数，则执行步骤10.2；

步骤10.1、所述应用服务器S_j使用自身的私钥sk_j以及所接收到的消息签名的参数验证单个消息签名的有效性；若有效，则执行步骤11；否则，所述应用服务器S_j拒绝与相应客户端进行消息通讯；

步骤10.2、所述应用服务器S_j使用自身的私钥sk_j以及所接收到的n个消息签名的参数，利用批认证方法对n个消息签名进行批量验证有效性；若均有效，则执行步骤11；否则，所述应用服务器S_j拒绝与n个客户端进行消息通讯；

步骤11、所述应用服务器S_j根据密钥协商协议得到与所述客户端C_i共享的会话密钥key_i，并利用所述会话密钥key_i 生成认证码及相关消息后发给所述客户端C_i；

步骤12、所述客户端C_i根据所述系统参数和相关消息得到所述会话密钥key_i，并利用所述会话密钥key_i对所述认证码进行验证；当验证通过时，利用所述会话密钥key_i得到所述应用服务器S_j的后续服务。

2.根据权利要求1所述的匿名认证方法，其特征是所述批认证方法是按如下步骤进行：

步骤10.2.1、所述应用服务器S_j逐一对每个消息签名参数中的验证时间戳t的有效性进行验证；若均有效，则直接执行步骤10.2.2；若发现存在无效的时间戳t，则丢弃无效的时间戳t所对应的消息签名的参数后，执行步骤10.2.2；

步骤10.2.2、假设有效的消息签名参数有d个，1＜d≤n；所述应用服务器S_j使用自身的私钥sk_j以及所接收到的d个消息签名参数中的签名验证参数X_i，利用式(7)计算得到身份验证参数X′_i，1≤i≤d；

X′_i＝sk_jX_i (7)

步骤10.2.3、所述应用服务器S_j利用身份验证参数X′_i计算密钥h(X′_i)的哈希值，利用所述密钥h(X′_i)的哈希值对消息签名参数中的密文Q_i进行解密，从而得到客户端C_i的身份参数(PID_i||σ_i||m||PK_i||W_i)；

步骤10.2.4、所述应用服务器S_j根据式(2)和式(4)重新计算哈希值h_i和b_i，并利用式(8)计算第三个哈希值a_i：

a_i＝h₁(PID_i,W_i) (8)

步骤10.2.5、所述应用服务器S_j随机选择一组向量{e₁,e₂,....,e_i,....,e_d}，其中，e_i表示第i个向量，并有e_i∈[1,2^l]，l为指数；再利用式(9)验证d个消息签名的有效性，若式(9)成立，则表示d个消息签名有效，否则表示d个消息签名无效；

式(9)中，P_pub为所述密钥生成中心KGC的公钥。

3.根据权利要求2所述的匿名认证方法，其特征是，所述批认证方法应用于身份追踪过程中，并按如下步骤进行：

步骤13、所述应用服务器S_j将解密得到的客户端C_i的身份参数(PID_i||σ_i||m||PK_i||W_i)中的伪身份PID_i提交给所述密钥生成中心KGC；

步骤14、所述密钥生成中心KGC根据自身私钥s，并利用式(10)计算所述客户端C_i的真实身份ID_i，从而揭示所述客户端C_i的真实身份：