CN109756893B - 一种基于混沌映射的群智感知物联网匿名用户认证方法 - Google Patents

Abstract

一种基于混沌映射的群智感知物联网匿名用户认证方法，本发明涉及群智感知物联网匿名用户认证方法。本发明的目的是为了解决现有已有用户认证方法难以实现多种典型攻击的抵御，且计算开销或通信开销较大的问题。过程为：一、对用户进行注册；二、用户注册后，用户进行登录；用户登录时，若发现网络中存在盗取智能卡攻击，则执行五；用户登录时，若未发现网络中存在盗取智能卡攻击，则执行三；三、用户登录后，用户和服务器进行双向认证，建立用户与服务器间密钥，密钥建立后，若用户需要更改密码，执行四；若用户不需要更改密码，结束；四、用户对密码进行更改；五、撤销被盗取的智能卡。本发明用于群智感知物联网匿名用户认证领域。

Description

一种基于混沌映射的群智感知物联网匿名用户认证方法

技术领域

本发明涉及群智感知物联网匿名用户认证方法。

背景技术

群智感知是指以普通用户的手机、平板电脑、GPS等移动设备作为基本感知单元，通过移动互联网进行有意识或无意识的协作，实现感知任务分发与感知数据收集，完成大规模的、复杂的社会感知任务。群智感知充分发挥“人多力量大”的特点，将大量普通用户拧成一股绳，形成随时随地、无孔不入、与人们生活密切相关的感知系统。在群智感知中，完成复杂感知任务的参与者不需要拥有专业技能的人士，大量普通用户可以成为中坚力量，通过合理的协作来完成他们单独不可能或者说根本想不到要完成的任务。

物联网(IOT，The Internet of Things)，是一个基于互联网、传统电信网等信息载体，让所有能够被独立寻址的普通物理对象实现互联互通的网络。它具有普通对象设备化、自治终端互联化和普适服务智能化等3个主要特征。

随着无线通信和传感器技术的进步，市场上的智能手机、平板电脑、可穿戴设备、车载感知设备等移动终端的普及推动并促进了群智感知物联网系统(CIoTS)的应用进入全新的发展时代。目前，群智感知物联网已广泛应用于环境监测、智能交通、城市管理以及远程医疗等多个领域。为保护用户的私人信息，许多基于智能卡的认证和密钥协商方案相继提出，研究人员采用包括RSA密码系统的指数运算、椭圆曲线密码(ECC)上的点乘法，以及切比雪夫多项式的混沌哈希运算等不同加密方法以实现个域网络信息的安全保证。针对群智感知物联网系统实际特点，2013年，Lee等人提出了一种基于智能卡的认证和密钥协商方案，简称SAKA方案。该方案改进了会话密钥的格式，使得攻击者无法预先确定会话密钥，此外，该方案无需进行对称加密或解密操作，降低了计算开销。针对SAKA注册用户的私密参数在CIoTS中易于暴露的问题，2014年，Xu等人提出了基于椭圆曲线密码体制(ECC)的EAKA方案。该方案具有低通信开销、匿名性等优势，然而该方案易遭受多种网络攻击，安全性并不高。同年，Li等人在SAKA的基础上进行了优化，提出了SAUA方案，在继承了SAKA优势的同时弥补了SAKA易受网络攻击的安全性问题。但是，该方案计算开销和通信开销较高。随后，Xie等人分析了UAPA方案的不足，并提出了改进的IUAPA方案。UAPA方案采用生物特征、密码和智能卡三者结合的方式克服了重放攻击、模拟用户攻击等，然而UAPA方案不具有用户匿名性和前向安全性，改进后的IUAPA方案在一定程度上提高了网络的安全性，然而其计算开销和通信开销过大，无法满足CIoTS的要求。2016年，Wazid等人提出了基于三因素的用户认证及密钥协商方案(APTUA)，虽然能够抵御多种网络攻击，但APTUA的计算开销和通信开销仍过大。

研究表明，基于用户生物识别的方案的应用比传统的基于双因素密码的认证方案具有更高的安全性。此外，与传统加密方案相比，特别是RSA公钥密码体制或ECC公钥密码体制，基于混沌映射的用户认证方案具有更好的性能。

综上，已有用户认证方法难以实现多种典型攻击的抵御，且计算开销或通信开销较大。

发明内容

本发明的目的是为了解决现有已有用户认证方法难以实现多种典型攻击的抵御，且计算开销或通信开销较大的问题，而提出一种基于混沌映射的群智感知物联网匿名用户认证方法。

一种基于混沌映射的群智感知物联网匿名用户认证方法具体过程为：

步骤一、对用户进行注册；

步骤二、用户注册后，用户进行登录；

用户登录时，若发现网络中存在盗取智能卡攻击，则执行步骤五；

用户登录时，若未发现网络中存在盗取智能卡攻击，则执行步骤三；

步骤三、用户登录后，用户和服务器进行双向认证，建立用户与服务器间密钥，用户与服务器间密钥建立后，若用户需要更改密码，执行步骤四；若用户不需要更改密码，结束；

步骤四、用户对密码进行更改；

步骤五、撤销被盗取的智能卡。

本发明的有益效果为：

本发明立足群智感知物联网系统CIoTS的安全需求，针对已有用户认证方法难以实现多种典型攻击的抵御的问题，基于混沌映射机理，设计了一种轻量级的安全高效的用户认证方案。本发明提出了一种基于混沌映射的用户认证方案(CMAUS)，同时利用模糊提取的生物特征、密码和智能卡以实现面向CIoTS的安全性需求。本发明所提出的混沌映射匿名用户认证机制CMAUS可以有效地抵御CIoTS中的多种典型网络攻击。基于ROR模型的安全建构与分析，证明了本发明所提方案的会话密钥具有安全性。

本发明基于用户端和服务器端，进行用户登录；进行用户及服务器间的双向认证及建立用户与服务器间的密钥；对密码进行更改；合法用户U_i可以在本地用新登录口令

更新其旧登录口令

且无需再经过服务器S的认证。盗取智能卡撤销阶段，有效地抵御了智能卡盗取攻击。解决了大多数认证协议难以实现多种典型攻击的抵御，且计算开销或通信开销较大的问题。

此外，基于Pro Verif的仿真验证结果进一步证实了本发明所提方案CMAUS的安全性。最后，通过与其他现有的相关方案相对比，可以看出，本发明所提的认证方案CMAUS可以显著减少通信与计算开销，且具备较好的前向安全性，从而为未来CIoTS在泛在IoT领域的应用提供安全性保证。

本发明所提CMAUS方案中，用户端在登录和认证阶段所需的计算开销为9T_h+2T_cm+T_fe，而服务器端仅在认证阶段产生计算开销为5T_h+T_cm，因此，在登录和认证的过程中，用户端和服务器端的执行时间分别为109.2ms和23.52ms。上述的符号的含义及其在1024MB RAM的英特尔奔腾42600MHz处理器中执行时间如表6所示。从表5中可以看出，相较于现有的认证方案，所提CMAUS方案的在服务器端的计算开销最小，但用户端的计算开销要大于SAKA方案和SAUA方案。然而，显然这两种方案的功能性较低，且易于遭受多种安全攻击(如表6所示)。

附图说明

图1为本发明用户注册流程图；

图2为本发明登录和认证流程图；

图3为本发明使用Pro Verif1.93对进程进行仿真分析运行结果图。

具体实施方式

具体实施方式一：本实施方式一种基于混沌映射的群智感知物联网匿名用户认证方法具体过程为：

1数学模型

本发明将对所提出的用户认证方案将要采用的单向散列函数、切比雪夫混沌映射以及模糊提取建立相应的数学模型。

1.1具有抗碰撞性的单向散列函数

单向加密散列函数h:{0,1}^*→{0,1}ⁿ，又称单向Hash函数、杂凑函数，就是把任意长度的输入二进制字符串q∈{0,1}^*变化成固定长度的二进制字符串，输出的字符串称为该字符的散列值。单向散列函数h(·)的抗碰撞性能如下所示：

定义1抗碰撞性：任意攻击者A在运行时间t内存在冲突的优势概率如下所示：

其中，Pr[E]代表事件E发生的概率，

代表随机选择的字符串对(a,b)；

在运行时间t内，若存在足够小的正整数ε(ε＞0)，使得攻击者A的优势概率满足

则单向散列函数h(·)具有抗碰撞性；

1.2切比雪夫混沌映射

定义2：设n为整数，x代表取值为(-∞,+∞)的变量，则n阶切比雪夫多项式T_n(x):[-1,1]→[-1,1]为：

由上述定义2得出，切比雪夫多项式T_n(x):(-∞,+∞)→[-1,1]的迭代关系如下所示：

切比雪夫多项式具有半群性质，即T_rs(x)＝T_r(T_s(x))＝T_s(T_r(x))，

其中r和s为任意正整数；

定义3离散对数：对于任意给定的x和y，无法通过计算获得整数s使得T_s(x)＝y，称为基于混沌映射的离散对数问题(CMDLP)；

1.3生物特征识别与模糊提取

生物特征密钥(诸如虹膜、指纹、掌纹等)的唯一性使其被广泛应用于多种认证协议中。生物特征密钥具有难于伪造与分离、难以复制和共享、不易丢失或遗忘等优势；模糊提取是提取生物特征密钥的一种有效方法，利用概率生成函数从用户生物特征输入B中以容错方式生成随机私密字符串α和公共字符串β；当再次给出的生物特征输入B′非常接近B时，通过确定性恢复过程，可以由公共字符串β和B′共同恢复出B；

模糊提取是由Gen(·)和Rep(·)函数以及五元组(M,λ,τ,m,δ)定义的；五元组(M,λ,τ,m,δ)中，M＝{0,1}^v代表有限维生物特征数据点的度量空间，距离函数Δ:M×M→Z⁺用于计算生物特征输入B₁和B₂间的相似性；

λ为随机私密字符串α的长度，单位为比特；

τ为允许容错误差；

m代表度量空间M上的概率分布W的最小熵，攻击者A能猜测出一个随机变量的最大可能性称为最小熵，最小熵的定义如式(3)所示，

H_∞(Y)＝-log(max_yPr[Y＝y]) (3)

其中，max_yPr[Y＝y]表示随机变量Y的可预测性，H_∞(Y)表示随机变量Y对应的最小熵；

δ为概率分布W₁＝<α₁,β>和W₂＝<α₂,β>之间允许的最大统计距离；

Gen(·)是一个概率生成过程，通过概率生成过程，对于

输出公开字符串β和长度为λ的随机私密字符串α(α∈{0,1}^λ)，即<α,β>←Gen(B)，从而使得概率分布W₁＝(α₁,β)和W₂＝(α₂,β)之间的统计距离SD满足：SD(W₁,W₂)≤δ；

α₁和α₂代表长度为λ的二进制字符串，其中λ＝m-2log(1/δ)+O(1)；Rep(·)是确定性恢复，

且满足Δ(B,B′)≤τ，若<α,β>←Gen(B)，则有Rep(B′,β)＝α；

总的来说，通过概率生成函数Gen(B)输出随机私密字符串α＝h(B)和公开字符串

若B和B′满足Δ(B,B′)≤τ，则对于生物特征B′，Rep(B′,β)根据公开字符串β生成字符串α′，即

其中I_e(·)为编码函数，I_d(·)为解码函数；

2基于混沌映射的用户认证方案

结合上述数学模型，本发明所提出基于混沌映射和生物特征的用户认证(CMAUS)主要包括以下五个步骤，所用到的符号含义如表1所示。

表1CMAUS中主要符号含义

步骤一、对用户进行注册；

CMAUS首先需要进行注册，合法用户可从服务器S获取其智能卡SC。U_i与S之间的通信是在安全信道上进行的，具体过程如图1所示：

步骤二、用户注册后，用户进行登录；

用户登录时，若发现网络中存在盗取智能卡攻击，则执行步骤五；

用户登录时，若未发现网络中存在盗取智能卡攻击，则执行步骤三；

步骤三、用户登录后，用户和服务器进行双向认证，建立用户与服务器间密钥，用户与服务器间密钥建立后，若用户需要更改密码，执行步骤四；若用户不需要更改密码，结束；

S接收到U_i的登录请求消息L_msg后，开始进行双向认证，认证后U_i和S建立共享会话密钥，用于安全通信。该阶段的具体过程如下所示：

步骤四、用户对密码进行更改；

合法用户U_i可以在本地用新登录口令

更新其旧登录口令

且无需再经过服务器S的认证。

步骤五、撤销被盗取的智能卡。

若攻击者获得用户智能卡SC，可通过功率分析攻击获得卡中所有信息。因此，攻击者可以通过离线口令猜测攻击或智能卡盗取攻击，冒充合法用户登录到服务器。此时，必须为用户提供新的智能卡，且服务器应具备辨别盗用卡与新颁卡的能力。

具体实施方式二：本实施方式与具体实施方式一不同的是，所述步骤一中对用户进行注册；具体过程为：

CMAUS首先需要进行注册，合法用户可从服务器S获取其智能卡SC。U_i与S之间的通信是在安全信道上进行的，具体过程如图1所示：

步骤一一、任意用户U_i选择用户U_i身份标识ID_i、登录口令PW_i、个人生物特征B_i以及128比特的随机数b；

步骤一二、利用模糊提取中的概率生成过程，用户U_i生成函数(α_i,β_i)＝Gen(B_i)，对用户U_i身份标识ID_i、登录口令PW_i、个人生物特征B_i和128比特的随机数b进行加密，得到掩码的登录口令RPWi＝h(h(ID_i||PW_i)||α_i)和用户U_i的身份证书C＝h(h(ID_i||PW_i||b)||α_i)；

其中，α_i为用户U_i的生物特征私钥，β_i为公共恢复参数，Gen(·)是一个概率生成过程；||表示级联；

用户U_i通过安全信道向服务器S发送注册请求消息R_msg:<ID_i,C>；

步骤一三、服务器S在接收到用户U_i发送的R_msg后，服务器S选择一个1024比特的随机数mk作为服务器S私密主密钥，mk仅对该服务器S已知；

随后，服务器S选择一个128比特的随机数r，利用服务器S的私密主密钥mk、随机数r对用户U_i的ID_i进行加密，得到加密后的ID_i的散列值

和中间参数

式中，

表示异或运算符；

基于X，服务器S生成T_mk(X)，服务器将参数{D₁,T_mk(X)}嵌入到用户智能卡SC中，通过安全信道颁发给用户U_i；

同时，服务器S将数据对<ID_i,SN_i,r>存储在服务器S数据库中；

其中SN_i为智能卡SC的身份标识或序列号；T_mk(X)为切比雪夫多项式；

步骤一四、用户U_i在收到智能卡SC后，计算

及f_i＝h(RPW_i||b)；

式中，D₂为中间参数，f_i为注册验证参数；

最终，用户U_i将β_i、D₂、f_i、Gen(·)、Rep(·)和τ存储于智能卡SC中；

其中Rep(·)为确定性恢复函数，τ为Rep(·)函数中允许的误差容限参数。

其它步骤及参数与具体实施方式一相同。

具体实施方式三：本实施方式与具体实施方式一或二不同的是，所述步骤二中用户注册后，用户进行登录；具体过程为：

用户U_i需登录系统访问服务器S，过程如下：

步骤二一、用户U_i在移动用户端(例如手机、电脑等)插入智能卡SC，并输入用户U_i身份ID_i，登录口令PW_i以及个人生物特征B′_i；

用户的智能卡SC利用存储的β_i，通过确定性恢复过程计算α′_i＝Rep(B′_i,β_i)，RPW′_i＝h(h(ID_i||PW_i)||α′_i)并生成

式中，α′_i为个人生物特征B′_i的私钥，b′为待验证注册参数；RPW′_i为掩码的登录口令；

步骤二二、基于步骤一，用户的智能卡SC计算f′_i＝h(RPW′_i||b′)，并验证f′_i＝f_i是否成立；

式中，f′_i为待验证注册参数；

若f′_i＝f_i不成立，则立即终止登录过程；

若f′_i＝f_i成立，则表明用户所输入的身份ID_i、登录口令PW_i和生物特征信息B′_i正确，随后，SC计算

其中C′＝h(h(ID_i||PW_i||b′)||α_i)，由f′_i＝f_i得b′＝b，则C′＝C，所以

式中，C′为待验证用户U_i的身份证书；

步骤二三、用户的智能卡SC生成128比特的随机数u，根据随机数u和X生成切比雪夫多项式T_u(X)，SC基于T_mk(X)和T_u(X)生成用户端的协商密钥KA＝T_u(T_mk(X))；

随后，用户的智能卡SC再次生成128比特的随机数RN_u，并做如下计算：

和M_u＝h(ID_i||X||KA||RN_u||TS₁)；

其中，TS₁为用户U_i系统当前的时间戳，M₁为中间参数，DID_i为带有协商密钥信息的ID_i，h(KA)为用户端的协商密钥的散列值，M_u为登录验证参数；

最终，用户U_i通过公共信道将登陆请求L_msg:{DID_i,T_u(X),M₁,M_u,TS₁}发送给服务器S。

其它步骤及参数与具体实施方式一或二相同。

具体实施方式四：本实施方式与具体实施方式一至三之一不同的是，所述步骤三中用户登录后，用户和服务器进行双向认证，建立用户与服务器间密钥；具体过程为：

S接收到U_i的登录请求消息L_msg后，开始进行双向认证，认证后U_i和S建立共享会话密钥，用于安全通信。该阶段的具体过程如下所示：

步骤三一、服务器S在

时刻接收到用户登录消息并验证

是否成立；

式中，ΔT为最大传输时延；

若不成立，服务器S将立即终止用户认证；

若成立，服务器S计算KA′＝T_mk(T_u(X))和

若KA′＝KA，则ID′_i＝ID_i；

式中，KA′为服务器端生成的协商密钥，ID′_i为待验证的用户身份ID，h(KA′)为服务器端生成的协商密钥的散列值；

在服务器S的数据库中搜索数据对<ID_i,r>，若存在数据对<ID_i,r>，则服务器S将利用参数r、ID′_i以及私密主密钥mk，生成

及

将M₁的表达式

代入

中得M₂＝RN_u；

式中，X′为待验证的加密后的ID_i的散列值，M₂为中间参数，TS₁为用户和服务器的当前时间戳；

利用参数(ID′_i,X′,KA′,M₂)和服务器接收到的TS₁，服务器S计算M₃＝h(ID′_i||X′||KA′||M₂||TS₁)；

随后，服务器S验证M₃＝M_u是否成立；

若不成立，则拒绝用户U_i的登录请求；

若成立，服务器S接受用户U_i的登录请求，并认为用户U_i为合法用户，执行步骤三二；

式中，TS₁为用户和服务器的当前时间戳，M₃为待验证登录参数；

步骤三二、服务器S选择一个128比特的随机数RN_s，生成时间戳TS₂，根据RN_s和TS₂计算

SK_su＝h(X′||KA′||TS₁||TS₂||M₂||RN_s)以及相应的M_s＝h(ID_i||SK_su||M₂||RN_s||TS₁||TS₂)；

服务器S将通过公共信道向用户U_i发送认证请求A_msg:{M₄,M_s,TS₂}；

式中，SK_su为服务器S与用户U_i之间的共享私密密钥，M₄为中间参数，M_s为验证参数；

步骤三三、在时刻

用户U_i接收到服务器S的认证请求消息A_msg后，用户U_i的智能卡SC验证

是否成立；

若不成立，则终止服务器认证；若成立，则用户的智能卡SC计算

式中，M₅为中间参数；

步骤三四、用户U_i利用参数(TS₂,M₂,KA)，计算用户U_i与服务器S的当前共享会话密钥：SK_us＝h(X||KA||TS₁||TS₂||RN_u||M₅)，用户U_i计算M₆＝h(ID_i||SK_us||RN_u||M₅||TS₁||TS₂)，验证M₆＝M_s是否成立；

如果成立，用户U_i则认为服务器S为可靠的服务器；同时验证并建立当前会话密钥SK_us(＝SK_su)；若用户需要更改密码，则执行步骤四；

登录和认证过程的具体流程如图2所示。

如果不成立，则用户终止与服务器建立密钥；

式中，M₆为待验证参数。

其它步骤及参数与具体实施方式一至三之一相同。

具体实施方式五：本实施方式与具体实施方式一至四之一不同的是，所述步骤四中用户对密码进行更改；具体过程为：

合法用户U_i可以在本地用新登录口令

更新其旧登录口令

且无需再经过服务器S的认证。

步骤四一、用户U_i在移动用户端(例如手机、电脑等)插入智能卡SC，并输入用户U_i身份ID_i，原始登录口令

和想要更换的新登录口令

用户U_i同时输入用户U_i的生物特征B_i；

步骤四二、用户的智能卡SC生成(α_i,β_i)＝Gen(B_i)，并做如下计算：

以及

式中，

为更换后的掩码的登录口令，D′₁为中间参数，D′₂为中间参数，

为更换后的注册验证参数；

步骤四三、用户的智能卡SC将D₁更新为D′₁，D₂更新为D′₂，f_i更新为

其它步骤及参数与具体实施方式一至四之一相同。

具体实施方式六：本实施方式与具体实施方式一至五之一不同的是，所述步骤五中撤销被盗取的智能卡；具体过程为：

若攻击者获得用户智能卡SC，可通过功率分析攻击获得卡中所有信息。因此，攻击者可以通过离线口令猜测攻击或智能卡盗取攻击，冒充合法用户登录到服务器。此时，必须为用户提供新的智能卡，且服务器应具备辨别盗用卡与新颁卡的能力。本发明提出的撤销盗取智能卡方案具体步骤如下：

步骤五一、用户U_i选择身份ID_i、登录口令PW_i，同时在给定移动用户端输入个人生物特征B_i；用户U_i计算

式中，

为新的生物特征私钥，

为新的公共恢复参数；

步骤五二、用户U_i生成128比特的随机数b′，计算

用户U_i通过安全信道向服务器S提交<ID_i,C^*>；

式中，C^*为用户的新身份证书；

步骤五三、服务器S读取新智能卡的序列号SN′_i，并选择1024比特的随机数r′，计算

和

服务器S将{D′₁,T_mk(X′)}嵌入到新的智能卡SC_new中，并通过安全信道将新的智能卡SC_new颁发给用户U_i，再将数据库中原有的(ID_i,SN_i,r)更新为(ID_i,SN′_i,r′)；

步骤五四、用户U_i接收到由服务器S颁发的新的智能卡SC_new后，计算

以及f′_i＝h(D′₂)＝h(RPW_i||b′)；

最终，用户U_i将参数

存入到智能卡SC_new中。

其它步骤及参数与具体实施方式一至五之一相同。

具体实施方式七：本实施方式与具体实施方式一至六之一不同的是，所述步骤一二中模糊提取为：

模糊提取是由Gen(·)和Rep(·)函数以及五元组(M,λ,τ,m,δ)定义的；

五元组(M,λ,τ,m,δ)中，M＝{0,1}^v代表有限维生物特征数据点的度量空间，距离函数Δ:M×M→Z⁺用于计算生物特征输入B₁和B₂间的相似性；v代表维度；Z+为正整数集合；

λ为随机生物特征私钥α的长度，单位为比特；

τ为允许容错误差；

m代表度量空间M上的概率分布W的最小熵；

δ为概率分布W₁＝<α₁,β>和W₂＝<α₂,β>之间允许的最大统计距离；

W₁、W₂为2个概率分布；α₁、α₂为生物特征私钥，β为公共恢复参数；

Gen(·)是一个概率生成过程，通过概率生成过程，对于

输出公共恢复参数β和长度为λ的随机生物特征私钥α，α∈{0,1}^λ，即<α,β>←Gen(B)，从而使得概率分布W₁＝(α₁,β)和W₂＝(α₂,β)之间的统计距离SD满足：SD(W₁,W₂)≤δ；

B为个人生物特征，其中λ＝m-2log(1/δ)+O(1)；

式中，O(1)为复杂度；

Rep(·)是确定性恢复，

且满足Δ(B,B′)≤τ，若<α,β>←Gen(B)，则有Rep(B′,β)＝α；

B′为个人生物特征；

总的来说，通过概率生成函数Gen(B)输出随机私密字符串α＝h(B)和公共恢复参数

若B和B′满足Δ(B,B′)≤τ，则对于生物特征B′，Rep(B′,β)根据公共恢复参数β生成生物特征私钥α′，即

其中I_e(·)为编码函数，I_d(·)为解码函数，Δ(B,B′)为距离函数。

其它步骤及参数与具体实施方式一至六之一相同。

采用以下实施例验证本发明的有益效果：

实施例一：

本实施例具体是按照以下步骤制备的：

1常见攻击的抵御

本节将通过重放攻击、中继攻击、智能卡盗用攻击以及离线密码猜测攻击验证CMAUS抵御典型安全攻击的能力以及前向安全性和用户匿名性。

1.1重放攻击和中继攻击

重放攻击指攻击者发送目的服务器已接收过的分组，从而在身份认证过程中破坏认证的正确性。而在中继攻击中，攻击者将尝试修改登录或认证消息^[15]。在所提CMAUS方案中，攻击者无法重放登录消息L_msg，这是因为当

服务器S将忽略此登录消息，其中，ΔT为最大传输时延。为了防止重放攻击，服务器S同时存储了数据对(ID_i,T_u(X))。由于重放消息中T′_u(X)的与原始的T_u(X)相同，因此，S将确认重放消息并丢弃该登录请求。此外，由于用户的登录消息中包含散列值M_u＝H(ID_i||X||KA||RN_u||TS₁)，如此攻击者无法修改任何发送的参数。在认证阶段中，对原始参数的任何修改都会导致发送参数和接收到的散列值不匹配，从而导致验证失败。同理，攻击者也不能重放或修改服务器的认证消息。因此，CMAUS能既能够够抵御重放攻击，又能够抵御中继攻击。

1.2智能卡盗取攻击

假设用户U_i的智能卡丢失或被盗，则攻击者A可通过功率分析攻击从其存储器中获取所有存储的参数信息。而在所提出的CMAUS中，用户的身份ID_i、密码PW_i以及生物特征密钥α_i并非直接存储于智能卡SC中，而是以D₁的形式存储于SC中，

因此，攻击者需同时得到所有参数才可获取用户的ID_i、PW_i或生物特征密钥α_i，这显然是不可行的。此外，由

中，攻击者亦无法获取ID_i，PW_i或α_i。而RPW_i则被随机数b遮掩。同理，攻击者无法从f_i＝H(RPW||b)中获取ID_i，PW_i或α_i。因此，所提方案可抵御智能卡盗用攻击。与此同时，由于单向散列函数的防碰撞特性，使得所提方案能够抵御离线密码猜测攻击。

1.3前向安全性

前向安全意味着即使当前密钥被泄露，过去的会话密钥也不会受到影响。在所提用户认证方案认证及密钥建立阶段中，会话密钥的计算方式为：SK_su＝h(X′||KA′||TS₁||TS₂||M₂||RN_s)＝h(X||KA||TS₁||TS₂||RN_u||M₅)＝SK_us。其中RN_u，RN_s，TS₁和TS₂为随机生成的参数且对于每个会话来说具有唯一性。。对于每个会话来说，其会话密钥均具有新鲜性和唯一性，一旦会话结束，该会话的密钥也将失效。因此，攻击者无法从当前会话密钥中获取计算之前的会话密钥的任何私密信息。此外，在会话密钥建立之前，U_i和S已完成相互认证。因此，所建立的会话密钥以及通过该会话密钥加密的所有通信消息能够抵御不同类型的攻击。综上所述，所提方案具有前向安全性。

1.4用户匿名性

用户匿名性要求除了用户本身和服务器S之外的任何第三方都不能获取用户的身份信息。所提方案具有用户的匿名性，因为攻击者无法从任何窃听的注册或认证消息中获取用户的身份ID_i。假设在登录过程中，攻击者A拦截了用户的登录消息{DID_i,T_u(X),M₁,M_u,TS₁}。由3.2可知，M₁和M_u中包含随机数r，RN_u和TS₁，且在加密的过程中，采用了具有防碰撞性能的单向散列函数，因此，对于攻击者来说，从窃听的登录消息中推导出用户的身份ID_i在计算上是不可行的。同理，攻击者无法从拦截的认证消息{M₄,M_s,TS₂}中获取ID_i。综上所述，所提方案实现了用户匿名性。

2安全性验证

本发明将利用基于Pi演算的Pro Verif验证工具，对所提CMAUS方案会话密钥的安全性进行验证。对用户U_i和服务器S的注册、登录和认证流程进行了编码处理。首先对编码函数进行了定义，如表3所示：

表2Pro Verif中的函数定义

所提方案的主要消息序列如下所示：

消息1：U->S:(DID,Tu(X),M1,Mu,TS1)；

消息2：S->U:(M4,Ms,TS2)。

所提方案将被分为两个进程执行，即用户进程和服务器进程：process！U|S。用户的进程代表了U的状态，U计算D2、fi、KA、M1、DID和Mu，并通过公共信道将消息(DID,Tu(X),M1,Mu,TS1)发送给服务器。随后，U接收到消息(M4,Ms,TS2)，计算M5、SK和Ms。U的具体进程如程序1所示：

程序1用户进程

认证过程中，服务器的进程代表了S的状态，S验证从U收到的消息(DID,Tu(X),M1,Mu,TS1)的可靠性，计算并通过公共信道向U发送消息(M4,Ms,TS2)，S的具体进程如程序2所示：

程序2服务器进程

使用Pro Verif1.93对上述进程进行仿真分析，得到的结果如图3所示，可以得到如下的观察结果：

RESULT inj-event(UserAuthed(id))＝＝>inj-event(UserStarted(id))istrue.

RESULT not attacker(SK′)is true.

RESULT not attacker(SK)is true.

因此，综上所述，所提的CMAUS方案通过了Pro Verif1.93的安全认证。

3性能对比

本发明将从通信开销、计算开销以及安全性和功能性三个方面，对所提CMAUS方案与现有的用户认证方案(EAKA方案、SAKA方案、SAUA方案和IUAPA方案)的性能进行对比分析。

3.1通信开销

对比所提CMAUS方案与现有的5种认证方案的通信开销，如表3所示。考虑到注册过程的一次性，该进程的通信开销可忽略不计。故仅需考虑登录和认证阶段所产生的通信开销。假设ID_i、哈希运算以及ECC运算所占长度均为160b，随机数、对称密钥加密/解密过程以及切比雪夫运算所占比特数为128b，时间戳所占的长度为32b，则所提CMAUS方案的通信开销为892b，其中，在登录阶段，登录消息L_msg需要160b+128b+160b+160b+32b＝640b的通信开销，而在认证阶段中，认证消息A_msg仅需要160b+160b+32b＝352b的通信开销。从表3中可以看出，EAKA方案的通信开销最低，但该方案的安全性能较低(如表6所示)。在所有方案中，所提的CMAUS方案比特传输开销相对适中，且具有一定的安全性。

表3通信开销

3.2计算开销

表5中对比了现有认证方案与所提方案在登录和认证阶段的计算开销，其中的符号含义如表4所示。对于所有给定的方案，分别列出了用户端和服务器端的计算开销。XOR运算、级联运算的计算开销可忽略不计。本发明所提CMAUS方案中，用户端在登录和认证阶段所需的计算开销为9T_h+2T_cm+T_fe，而服务器端仅在认证阶段产生计算开销为5T_h+T_cm，因此，在登录和认证的过程中，用户端和服务器端的执行时间分别为109.2ms和23.52ms。上述的符号的含义及其在1024MB RAM的英特尔奔腾42600MHz处理器中执行时间如表6所示。从表5中可以看出，相较于现有的认证方案，所提CMAUS方案的在服务器端的计算开销最小，但用户端的计算开销要大于SAKA方案和SAUA方案。然而，显然这两种方案的功能性较低，且易于遭受多种安全攻击(如表6所示)。

表4符号含义

表5计算开销对比

3.3安全性和功能性分析

表6对所有方案的功能性和抵御不同的安全攻击的能力进行了详细地比较。其中“Y”代表能够抵御攻击或能够提供安全性，“N”代表不能够抵御攻击或不能够提供安全性。大多数现有的用户认证方案并没有包含撤销被盗的智能卡的阶段，因此易手智能卡盗用攻击。综合表3、表5和表6可以看出，虽然EAKA方案的通信开销较小，但其计算开销过大，且安全性不高，并不适用于TMIS系统。而SAKA方案和SAUA方案的计算开销虽然相对较低，但这两种方案的通信开销较高，同时无法抵御多种网络攻击。IUAPA方案、APTUA方案与所提CMAUS方案均能够抵御多种网络攻击，而IUAPA方案并不具备用户匿名性和前向安全性等性能，APTUA方案虽具备一定的功能性，但其通信开销和计算开销较大。综上所述，相较于上述5中认证方案，所提CMAUS方案在提高了用户认证过程的安全性的同时，功能性也有一定的提高。

表6安全性能对比

本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，本领域技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (6)

1.一种基于混沌映射的群智感知物联网匿名用户认证方法，其特征在于：所述方法具体过程为：

步骤一、对用户进行注册；

步骤二、用户注册后，用户进行登录；

用户登录时，若发现网络中存在盗取智能卡攻击，则执行步骤五；

用户登录时，若未发现网络中存在盗取智能卡攻击，则执行步骤三；

步骤三、用户登录后，用户和服务器进行双向认证，建立用户与服务器间密钥，用户与服务器间密钥建立后，若用户需要更改密码，执行步骤四；若用户不需要更改密码，结束；

步骤四、用户对密码进行更改；

步骤五、撤销被盗取的智能卡；

所述步骤一中对用户进行注册；具体过程为：

步骤一一、任意用户U_i选择用户U_i身份标识ID_i、登录口令PW_i、个人生物特征B_i以及128比特的随机数b；

步骤一二、利用模糊提取中的概率生成过程，用户U_i生成函数(α_i,β_i)＝Gen(B_i)，对用户U_i身份标识ID_i、登录口令PW_i、个人生物特征B_i和128比特的随机数b进行加密，得到掩码的登录口令RPW_i＝h(h(ID_i||PW_i)||α_i)和用户U_i的身份证书C＝h(h(ID_i||PW_i||b)||α_i)；

其中，α_i为用户U_i的生物特征私钥，β_i为公共恢复参数，Gen(·)是一个概率生成过程；||表示级联；h(·)为单向散列函数；

用户U_i通过安全信道向服务器S发送注册请求消息R_msg:<ID_i,C>；

步骤一三、服务器S在接收到用户U_i发送的R_msg后，服务器S选择一个1024比特的随机数mk作为服务器S私密主密钥，mk仅对该服务器S已知；

随后，服务器S选择一个128比特的随机数r，利用服务器S的私密主密钥mk、随机数r对用户U_i的ID_i进行加密，得到加密后的ID_i的散列值

和中间参数

式中，

表示异或运算符；

基于X，服务器S生成T_mk(X)，服务器将参数{D₁,T_mk(X)}嵌入到用户智能卡SC中，通过安全信道颁发给用户U_i；

同时，服务器S将数据对<ID_i,SN_i,r>存储在服务器S数据库中；

其中SN_i为智能卡SC的身份标识或序列号；T_mk(X)为切比雪夫多项式；

步骤一四、用户U_i在收到智能卡SC后，计算

及f_i＝h(RPW_i||b)；

式中，D₂为中间参数，f_i为注册验证参数；

最终，用户U_i将β_i、D₂、f_i、Gen(·)、Rep(·)和τ存储于智能卡SC中；

其中Rep(·)为确定性恢复函数，τ为Rep(·)函数中允许的误差容限参数。

2.根据权利要求1所述一种基于混沌映射的群智感知物联网匿名用户认证方法，其特征在于：所述步骤二中用户注册后，用户进行登录；具体过程为：

步骤二一、用户U_i在移动用户端插入智能卡SC，并输入用户U_i身份ID_i，登录口令PW_i以及个人生物特征B′_i；

用户的智能卡SC利用存储的β_i，通过确定性恢复过程计算α_i′＝Rep(B_i′,β_i)，RPW_i′＝h(h(ID_i||PW_i)||α_i′)并生成

式中，α_i′为个人生物特征B_i′的私钥，b′为待验证注册参数；RPW_i′为掩码的登录口令；

步骤二二、基于步骤一，用户的智能卡SC计算f_i′＝h(RPW_i′||b′)，并验证f_i′＝f_i是否成立；

式中，f_i′为待验证注册参数；

若f_i′＝f_i不成立，则立即终止登录过程；

若f_i′＝f_i成立，则表明用户所输入的身份ID_i、登录口令PW_i和生物特征信息B_i′正确，随后，SC计算

其中C′＝h(h(ID_i||PW_i||b′)||α_i)，由f_i′＝f_i得b′＝b，则C′＝C，所以

式中，C′为待验证用户U_i的身份证书；

步骤二三、用户的智能卡SC生成128比特的随机数u，根据随机数u和X生成切比雪夫多项式T_u(X)，SC基于T_mk(X)和T_u(X)生成用户端的协商密钥KA＝T_u(T_mk(X))；

随后，用户的智能卡SC再次生成128比特的随机数RN_u，并做如下计算：

和M_u＝h(ID_i||X||KA||RN_u||TS₁)；

其中，TS₁为用户U_i系统当前的时间戳，M₁为中间参数，DID_i为带有协商密钥信息的ID_i，h(KA)为用户端的协商密钥的散列值，M_u为登录验证参数；

最终，用户U_i通过公共信道将登陆请求L_msg:{DID_i,T_u(X),M₁,M_u,TS₁}发送给服务器S。

3.根据权利要求2所述一种基于混沌映射的群智感知物联网匿名用户认证方法，其特征在于：所述步骤三中用户登录后，用户和服务器进行双向认证，建立用户与服务器间密钥；具体过程为：

步骤三一、服务器S在

时刻接收到用户登录消息并验证

是否成立；

式中，ΔT为最大传输时延；

若不成立，服务器S将立即终止用户认证；

若成立，服务器S计算KA′＝T_mk(T_u(X))和

若KA′＝KA，则ID_i′＝ID_i；

式中，KA′为服务器端生成的协商密钥，ID_i′为待验证的用户身份ID，h(KA′)为服务器端生成的协商密钥的散列值；

在服务器S的数据库中搜索数据对<ID_i,r>，若存在数据对<ID_i,r>，则服务器S将利用参数r、ID_i′以及私密主密钥mk，生成

及

将M₁的表达式

代入

中得M₂＝RN_u；

式中，X′为待验证的加密后的ID_i的散列值，M₂为中间参数，TS₁为用户和服务器的当前时间戳；

利用参数(ID′_i,X′,KA′,M₂)和服务器接收到的TS₁，服务器S计算M₃＝h(ID′_i||X′||KA′||M₂||TS₁)；

随后，服务器S验证M₃＝M_u是否成立；

若不成立，则拒绝用户U_i的登录请求；

若成立，服务器S接受用户U_i的登录请求，并认为用户U_i为合法用户，执行步骤三二；

式中，TS₁为用户和服务器的当前时间戳，M₃为待验证登录参数；

步骤三二、服务器S选择一个128比特的随机数RN_s，生成时间戳TS₂，根据RN_s和TS₂计算

SK_su＝h(X′||KA′||TS₁||TS₂||M₂||RN_s)以及相应的M_s＝h(ID_i||SK_su||M₂||RN_s||TS₁||TS₂)；

服务器S将通过公共信道向用户U_i发送认证请求A_msg:{M₄,M_s,TS₂}；

式中，SK_su为服务器S与用户U_i之间的共享私密密钥，M₄为中间参数，M_s为验证参数；

步骤三三、在时刻

用户U_i接收到服务器S的认证请求消息A_msg后，用户U_i的智能卡SC验证

是否成立；

若不成立，则终止服务器认证；若成立，则用户的智能卡SC计算

式中，M₅为中间参数；

步骤三四、用户U_i利用参数(TS₂,M₂,KA)，计算用户U_i与服务器S的当前共享会话密钥：SK_us＝h(X||KA||TS₁||TS₂||RN_u||M₅)，用户U_i计算M₆＝h(ID_i||SK_us||RN_u||M₅||TS₁||TS₂)，验证M₆＝M_s是否成立；

如果成立，用户U_i则认为服务器S为可靠的服务器；同时验证并建立当前会话密钥SK_us(＝SK_su)；执行步骤四；

如果不成立，则用户终止与服务器建立密钥；

式中，M₆为待验证参数。

4.根据权利要求3所述一种基于混沌映射的群智感知物联网匿名用户认证方法，其特征在于：所述步骤四中用户对密码进行更改；具体过程为：

步骤四一、用户U_i在移动用户端插入智能卡SC，并输入用户U_i身份ID_i，原始登录口令PW_i ^old和想要更换的新登录口令PW_i ^new；用户U_i同时输入用户U_i的生物特征B_i；

步骤四二、用户的智能卡SC生成(α_i,β_i)＝Gen(B_i)，并做如下计算：

RPW_i ^new＝h(h(ID_i||PW_i ^new)||α_i)、

以及f_i ^new＝h(RPW_i ^new||b)；

式中，RPW_i ^new为更换后的掩码的登录口令，D′₁为中间参数，D′₂为中间参数，f_i ^new为更换后的注册验证参数；

步骤四三、用户的智能卡SC将D₁更新为D′₁，D₂更新为D′₂，f_i更新为f_i ^new。

5.根据权利要求4所述一种基于混沌映射的群智感知物联网匿名用户认证方法，其特征在于：所述步骤五中撤销被盗取的智能卡；具体过程为：

步骤五一、用户U_i选择身份ID_i、登录口令PW_i，同时在给定移动用户端输入个人生物特征B_i；用户U_i计算

式中，

为新的生物特征私钥，

为新的公共恢复参数；

步骤五二、用户U_i生成128比特的随机数b′，计算

用户U_i通过安全信道向服务器S提交<ID_i,C^*>；

式中，C^*为用户的新身份证书；

步骤五三、服务器S读取新智能卡的序列号SN′_i，并选择1024比特的随机数r′，计算

和

服务器S将{D′₁,T_mk(X′)}嵌入到新的智能卡SC_new中，并通过安全信道将新的智能卡SC_new颁发给用户U_i，再将数据库中原有的(ID_i,SN_i,r)更新为(ID_i,SN′_i,r′)；

步骤五四、用户U_i接收到由服务器S颁发的新的智能卡SC_new后，计算

以及f_i′＝h(D′₂)＝h(RPW_i||b′)；

最终，用户U_i将参数

存入到智能卡SC_new中。

6.根据权利要求5所述一种基于混沌映射的群智感知物联网匿名用户认证方法，其特征在于：所述步骤一二中模糊提取为：

模糊提取是由Gen(·)和Rep(·)函数以及五元组(M,λ,τ,m,δ)定义的；

五元组(M,λ,τ,m,δ)中，M＝{0,1}^v代表有限维生物特征数据点的度量空间，距离函数Δ:M×M→Z⁺用于计算生物特征输入B₁和B₂间的相似性；v代表维度；Z⁺为正整数集合；

λ为随机生物特征私钥α的长度，单位为比特；

τ为允许容错误差；

m代表度量空间M上的概率分布W的最小熵；

δ为概率分布W₁＝<α₁,β>和W₂＝<α₂,β>之间允许的最大统计距离；

W₁、W₂为2个概率分布；α₁、α₂为生物特征私钥，β为公共恢复参数；

Gen(·)是一个概率生成过程，通过概率生成过程，对于

输出公共恢复参数β和长度为λ的随机生物特征私钥α，α∈{0,1}^λ，即<α,β>←Gen(B)，从而使得概率分布W₁＝(α₁,β)和W₂＝(α₂,β)之间的统计距离SD满足：SD(W₁,W₂)≤δ；

B为个人生物特征，其中λ＝m-2log(1/δ)+O(1)；

式中，O(1)为复杂度；

Rep(·)是确定性恢复，

且满足Δ(B,B′)≤τ，若<α,β>←Gen(B)，则有Rep(B′,β)＝α；

B′为个人生物特征；

通过概率生成函数Gen(B)输出随机私密字符串α＝h(B)和公共恢复参数

若B和B′满足Δ(B,B′)≤τ，则对于生物特征B′，Rep(B′,β)根据公共恢复参数β生成生物特征私钥α′，即

其中I_e(·)为编码函数，I_d(·)为解码函数，Δ(B,B′)为距离函数。

Images