CN111130758A

CN111130758A - 一种适用于资源受限设备的轻量级匿名认证方法

Info

Publication number: CN111130758A
Application number: CN202010078328.0A
Authority: CN
Inventors: 丁旭阳; 谢盈; 王筱翔; 王骞; 王志波; 张小松
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2020-02-03
Filing date: 2020-02-03
Publication date: 2020-05-08
Anticipated expiration: 2040-02-03
Also published as: CN111130758B

Abstract

本发明提供了一种适用于资源受限设备的轻量级匿名认证方法，该方法采用信息系统模型实现，所述信息系统模型包括网络管理中心、受限设备和信息中心三个实体，具体包括步骤：设定系统参数、注册、签名、验证和密钥确认。本发明可适用于计算资源受限的设备。本发明的匿名认证方法，在认证端只需要执行一次椭圆曲线点乘运算，与以往的基于椭圆曲线的匿名认证方法相比，在保证安全性的同时进一步减少了计算资源与通信资源的开销，从而更适用于资源受限设备，降低了设备对计算能力的要求。

Description

一种适用于资源受限设备的轻量级匿名认证方法

技术领域

本发明属于信息安全领域，具体涉及一种适用于资源受限设备的轻量级匿名认证方法。

背景技术

身份认证是保护计算机系统和数据安全的一道重要屏障，但是信息技术的快速发展使传统身份认证手段暴露出一些弊端，用户在认证时容易暴露过多的身份信息或属性信息。因此，同时保护用户的认证性和隐私性成为了信息安全领域中的关键问题。匿名认证技术可以在用户进行身份认证的同时使用户保持匿名，从而保障认证用户的隐私安全，所以该技术可以同时实现匿名认证与隐私保护。但是，传统的匿名认证方法主要基于双线性对实现，而双线性对的运算较大地提高了认证的计算开销，使得传统的匿名认证方法无法应用于各类信息系统中集成和使用的大量计算资源受限设备，如传感器、摄像头、移动手机等。因此，亟需一种适用于资源受限设备的轻量级匿名认证方法。

发明内容

本发明所要解决的技术问题是提出一种适用于资源受限设备的轻量级匿名认证方法，解决信息系统中大量使用的计算资源受限设备对传统匿名认证方法的限制问题，以同时实现匿名认证、隐私保护与会话密钥生成。

本发明提出了一种适用于资源受限设备的轻量级匿名认证方法，该方法包括认证双方的互认证、认证用户的匿名与认证结束后会话密钥的生成。

本发明降低了设备对计算能力的要求；同时，本发明的认证过程中仅使用了一次点乘运算，从而进一步减少了计算开销。因此，本发明可适用于计算资源受限的设备。

本发明采用信息系统模型实现，该信息系统模型包括三个实体：

网络管理中心(Network Management Center)：充当密钥生成中心，负责信息网中受限设备与信息中心的注册。它类似于可信第三方，并且管理整个信息网，负责公共参数的初始化。

受限设备(Restricted Equipment)：计算资源受限的通信终端，在访问信息中心并与信息中心交换数据之前，应先向网络管理中心注册，并预先加载公共参数。

信息中心(Information Center)：具有大量计算和存储资源的云服务器，负责接收受限设备传输的信息并提供相应服务。信息中心也应先向网络管理中心注册，并预先加载公共参数。

本发明提出的一种适用于资源受限设备的轻量级匿名认证方法具体包括下列步骤：

步骤S1：网络管理中心设定系统参数，包括：选择素数q，生成q阶循环群G，并选择循环群G的一个p阶生成元，记为P，其中，群的阶是指群中元素的个数，元素P的阶指pP＝O,(p+1)P＝P；定义两个安全哈希函数H₁和H₂，其中H₁从{0,1}^*×G映射到

H₂从

映射到

其中{0,1}^*表示任意比特长的二进制序列组成的集合，

表示有限域Z_q＝{0,1,...,q＝1}去掉元素零所得到的有限域；定义一个带密钥的安全哈希函数MAC，MAC从

映射到

定义在有限域F_q上的椭圆曲线函数为y²＝x³+ax+b mod q，记为E/F_q；其中，E是椭圆曲线elliptic curve的符号；这里写的是椭圆曲线函数的通用方程，参数a和b需要满足4a³+27b²≠0；这里的F_q等同与前面的Z_q，椭圆曲线中一般用F_q表示；网络管理中心随机选取

作为网络管理中心的私钥，并计算网络管理中心的公钥Q_N＝s_NP。

公开系统参数{q,F_q,E/F_q,G,P,H₁,H₂,MAC,Q_N}。

步骤S2：受限设备加载公共参数，并向网络管理中心注册，具体包括；受限设备从网络管理中心获取公开系统参数并加载；随机选取

作为受限设备的私钥，并计算受限设备的公钥Q_E＝s_EP；计算受限设备身份ID_E的哈希值H₁(ID_E)，并与受限设备的公钥Q_E一起发送给网络管理中心。

网络管理中心利用带密钥的哈希函数

其与H₁的区别在于额外输入了一个参数s_N，对同一个消息输入不同的s_N得到消息的哈希值不同，计算受限设备索引

受限设备索引在认证过程中可隐藏受限设备身份；并利用受限设备索引Ind_E与私钥s_N计算部分私钥

将索引Ind_E与部分私钥D_E发送给受限设备；网络管理中心保存受限设备权重Right、受限设备索引Ind_E与受限设备公钥Q_E，其中，受限设备权重Right是由网络管理中心选择的一个值，表明受限设备在网络环境中的重要程度与易受攻击的程度，不参与实际运算；受限设备公钥Q_E是利用椭圆曲线上的点乘操作计算出来的。

设备验证等式D_EP＝Ind_E ^-1Q_N是否成立，若成立，则认为受限设备注册成功，保存索引Ind_E与部分私钥D_E；否则输出拒绝。

步骤S3：信息中心加载公共参数，并向网络管理中心注册，具体包括：信息中心从网络管理中心获取公开系统参数并加载；随机选取

作为信息中心的私钥，并计算信息中心的公钥Q_C＝s_CP，并公开信息中心的公钥Q_C；计算信息中心身份ID_C的哈希值H₁(ID_C)，发送给网络管理中心。

网络管理中心将保存的受限设备权重Right、受限设备索引Ind_E与受限设备公钥Q_E发送给信息中心，信息中心接收并保存。

步骤S4：受限设备向信息中心进行匿名认证，并生成会话密钥，具体包括：获取信息中心的公钥Q_C；从有限域

中随机选取参数t，计算消息T＝tQ_C；利用消息T与时间戳t_c计算混淆消息h＝H₁(T,t_c)；利用混淆消息h加密受限设备索引Ind_E得到密文

其中

表示逐比特异或操作；计算验证消息r＝H₁(Ind_E,T,Q_E,t_c)；计算用来传递随机参数t的中间消息v＝t/(r+Ind_ED_E)；计算签名σ＝t^-1(s_E+hD_E)。

将密文c、验证消息r、中间消息v、签名σ和时间戳t_c发送给信息中心。

步骤S5：信息中心验证认证方签名，生成会话密钥，并利用会话密钥产生确认消息，证明自身身份并表示已完成密钥生成，具体包括：计算包含随机参数t的中间消息ω＝v(rP+Q_N)＝tP；利用自己的私钥计算消息T'＝s_Cω；利用消息T'与时间戳t_c计算混淆消息h'＝H₁(T',t_c)；利用混淆消息h'解密密文c得到受限设备索引

首先，信息中心检查数据库，验证已保存的信息中是否存在相同的Ind_E，若是，继续进行认证；否则，输出认证失败。

其次，利用与已保存的受限设备索引Ind_E对应的设备公钥Q_E，验证等式H₁(Ind_E,T',Q_E,t_c)＝r是否成立，若是，继续进行认证；否则，输出认证失败。

然后，利用本次认证中计算的消息T'、混淆消息h'、保存的设备索引Ind_E、认证方公钥Q_E、信息中心私钥s_C、网络管理中心公钥Q_N验证等式

是否成立，若是，本次认证成功，继续生成会话密钥；否则，输出认证失败。

最后，这一步结束后信息中心的计算操作就全部完成了，利用本次认证中计算的消息T'、混淆消息h'计算本次会话密钥key＝H₂(h',T')，利用会话密钥key生成确认消息K＝MAC_key(h')，与前面的

函数类似，其与H₁的区别在于额外输入了一个参数key，对同一个消息输入不同的key得到消息的哈希值不同。

信息中心将确认消息K发送给受限设备。

步骤S6：受限设备验证确认消息，以确定双方的会话密钥相同，具体包括：受限设备利用本次认证中产生的消息T、混淆消息h计算本次会话密钥key'＝H₂(h,T)。

验证等式K＝MAC_key'(h)是否成立，若是，设备完成对信息中心身份的认证，并确定信息中心已产生相同的会话密钥；否则，输出拒绝本次认证，MAC_key'与H₁的区别在于额外输入了一个参数key'，对同一个消息输入不同的key'得到消息的哈希值不同。

本发明的匿名认证方法，在认证端只需要执行一次椭圆曲线点乘运算，与以往的基于椭圆曲线的匿名认证方法相比，本方法在保证安全性的同时进一步减少了计算资源与通信资源的开销，从而更适用于资源受限设备。

附图说明

图1是本发明的信息系统模型示意图

图2是本发明的受限设备注册操作流程图

图3是本发明的信息中心注册操作流程图

图4是本发明的签名操作流程图

图5是本发明的验证操作流程图

图6是本发明的密钥确认操作流程图

具体实施方式

下面结合附图及实施例对本发明的方案做进一步的描述。

本发明的提出的一种适用于资源受限设备的轻量级匿名认证方法，该方法采用信息系统模型实现，所述信息系统模型包括以下三个实体，如图1所示：

该方法的执行步骤包括设定系统参数、注册、签名、验证和密钥确认：

网络管理中心设定公开系统参数，用于分别生成受限设备与信息中心的密钥对<s_E,Q_E>与<s_C,Q_C>，以及完成受限设备与信息中心的注册操作；

受限设备完成注册后，随机选择一个参数t，利用网络管理中心返回的设备索引Ind_E与部分私钥D_E、时间戳t_c和私钥s_E等信息构建包含随机参数t的中间消息，并生成本次认证的签名σ，发送中间消息与签名σ给信息中心。

信息中心利用接收到的中间消息恢复出设备索引Ind_E，利用注册时网络管理中心返回的设备索引Ind_E与公钥Q_E对中间消息进行验证，并验证本次认证的签名。认证完成后，信息中立利用中间消息计算会话密钥key，并利用会话密钥生成确认信息K。将确认消息K发送给受限设备，以实现双向认证与会话密钥的确认。

具体步骤描述如下：

(1)设定系统参数：

(1.1)选择素数q，生成q阶循环群G，并选择循环群G的一个p阶生成元，记为P，即群G为由p阶生成元P生成的循环群，其中，群的阶是指群中元素的个数，群的阶为素数q；元素P的阶指pP＝O,(p+1)P＝P；定义两个安全哈希函数H₁和H₂，其中H₁从{0,1}^*×G映射到

H₂从

映射到

其中{0,1}^*表示任意比特长的二进制序列组成的集合，

表示有限域Z_q＝{0,1,...,q-1}去掉元素零所得到的有限域；定义一个带密钥的安全哈希函数MAC，MAC从

映射到

定义在有限域F_q上的椭圆曲线函数为y²＝x³+ax+b mod q，记为E/F_q，其中，E是椭圆曲线elliptic curve的符号；这里写的是椭圆曲线函数的通用方程，参数a和b需要满足4a³+27b²≠0；这里的F_q等同与前面的Z_q，椭圆曲线中一般用F_q表示。

(1.2)网络管理中心随机选取

基于上述设定，得到的系统参数为{q,F_q,E/F_q,G,P,H₁,H₂,MAC,Q_N}，并公开这些系统参数。

通常系统参数由密钥生成中心设定并公开，本发明中由网络管理中心代替了密钥生成中心的功能。

(2)注册：

(2.1)如图2所示，受限设备从网络管理中心获取公开的系统参数并加载；随机选取受限设备的私钥

并计算受限设备的公钥Q_E＝s_EP，生成密钥对<s_E,Q_E>；计算受限设备身份ID_E的哈希值H₁(ID_E)，并与受限设备的公钥Q_E一起发送给网络管理中心。

(2.2)网络管理中心计算受限设备索引

与部分私钥

与H₁的区别在于额外输入了一个参数s_N，对同一个消息输入不同的s_N得到消息的哈希值不同；将受限设备索引Ind_E与部分私钥D_E发送给受限设备；网络管理中心保存受限设备权重Right、受限设备索引Ind_E与受限设备公钥Q_E，其中，Right应表明设备在网络环境中的重要程度与易受攻击的程度，不参与实际运算，实施例中可以简化为表示网络中第多少个进行注册的设备，即序号；Q_E＝s_EP，是椭圆曲线上的一个乘法运算。

(2.3)受限设备验证等式D_EP＝Ind_E ^-1Q_N是否成立，若成立，则认为受限设备注册成功，保存受限设备索引Ind_E与部分私钥D_E；否则输出拒绝。

(2.4)如图3所示，信息中心从网络管理中心获取公开的系统参数并加载；随机选取

作为信息中心的私钥，并计算信息中心的公钥Q_C＝s_CP，生成密钥对<s_C,Q_C>，并公开信息中心的公钥Q_C；计算信息中心身份ID_C的哈希值H₁(ID_C)，发送给网络管理中心。

(2.5)网络管理中心将保存的受限设备权重Right、受限设备索引Ind_E与受限设备公钥Q_E发送给信息中心，信息中心接收并保存，本实施例利用信息中心数据库保存这些信息。

(3)签名：

受限设备利用受限设备索引Ind_E和部分私钥D_E实现匿名认证，并生成身份认证的签名σ，如图4所示。

(3.1)获取信息中心的公钥Q_C，随机选取参数

计算消息T＝tQ_C；

(3.2)利用消息T与时间戳t_c计算混淆消息h＝H₁(T,t_c)；

(3.3)利用混淆消息h加密受限设备索引Ind_E得到密文

其中

表示逐比特异或操作；

(3.4)计算验证消息r＝H₁(Ind_E,T,Q_E,t_c)；

(3.5)计算用来传递随机参数t的中间消息v＝t/(r+Ind_ED_E)；

(3.6)计算签名σ＝t^-1(s_E+hD_E)，然后将密文c、验证消息r、中间消息v、签名σ和时间戳t_c发送给信息中心。

(4)验证：

信息中心接收到密文c、验证消息r、中间消息v、签名σ和时间戳t_c时，恢复中间消息与受限设备索引Ind_E，利用数据库，本实施例利用的是信息中心数据库保存的信息完成对匿名受限设备签名的认证，并生成确认信息，如图5所示。

(4.1)计算中间消息ω＝v(rP+Q_N)＝tP，恢复消息T'＝s_Cω；

(4.2)恢复混淆消息h'＝H₁(T',t_c)；

(4.3)解密密文c恢复受限设备索引

(4.4)检查信息中心数据库，验证已保存的信息中是否存在相同的Ind_E，若是，继续进行认证；否则，输出认证失败。

(4.5)验证等式H₁(Ind_E,T',Q_E,t_c)＝r是否成立，若是，继续进行认证；否则，输出认证失败。

(4.6)验证等式

(4.7)计算本次会话密钥key＝H₂(h',T')，生成确认消息K＝MAC_key(h')，并将确认消息K发送给受限设备，MAC_key与H₁的区别在于额外输入了一个参数key，对同一个消息输入不同的key得到消息的哈希值不同。

(5)密钥确认：

受限设备接收到确认消息K后，利用本次认证过程中的中间消息实现对信息中心的双向认证，并确认双方本次的会话密钥相同，如图6所示：

(5.1)计算会话密钥key'＝H₂(h,T)。

(5.2)验证等式K＝MAC_key'(h)是否成立，若是，设备完成对信息中心身份的认证，并确定信息中心已产生相同的会话密钥；否则，输出拒绝本次认证，MAC_key'与H₁的区别在于额外输入了一个参数key'，对同一个消息输入不同的key'得到消息的哈希值不同。

(5.3)完成本次匿名双向认证并开始接收服务。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围。凡采用等同替换或等效替换，这些变化是显而易见，一切利用本发明构思的发明创造均在保护之列。

Claims

1.一种适用于资源受限设备的轻量级匿名认证方法，其特征在于，该方法采用信息系统模型实现，所述信息系统模型包括以下三个实体：

网络管理中心(Network Management Center)：充当密钥生成中心，负责信息网中受限设备与信息中心的注册，其类似于可信第三方，并且管理整个信息网，负责公共参数的初始化；

受限设备(Restricted Equipment)：计算资源受限的通信终端，在访问信息中心并与信息中心交换数据之前，先向所述网络管理中心注册，并预先加载公共参数；

信息中心(Information Center)：具有大量计算和存储资源的云服务器，负责接收所述受限设备传输的信息并提供相应服务，所述信息中心先向所述网络管理中心注册，并预先加载公共参数；

该方法的具体步骤描述如下：

(1)设定系统参数：

H₂从

映射到

其中{0,1}^*表示任意比特长的二进制序列组成的集合，

映射到

定义在有限域F_q上的椭圆曲线函数为y²＝x³+ax+b mod q，记为E/F_q，其中，E是椭圆曲线elliptic curve的符号；这里写的是椭圆曲线函数的通用方程，参数a和b满足4a³+27b²≠0；这里的F_q等同与前面的Z_q，椭圆曲线中一般用F_q表示；

(1.2)网络管理中心随机选取

作为所述网络管理中心的私钥，并计算所述网络管理中心的公钥Q_N＝s_NP；

基于上述设定，得到的系统参数为{q,F_q,E/F_q,G,P,H₁,H₂,MAC,Q_N}，并公开这些系统参数；

(2)注册：

(2.1)所述受限设备从所述网络管理中心获取公开的系统参数并加载；随机选取受限设备的私钥

并计算受限设备的公钥Q_E＝s_EP，生成密钥对<s_E,Q_E>；计算受限设备身份ID_E的哈希值H₁(ID_E)，并与受限设备的公钥Q_E一起发送给网络管理中心；

(2.2)网络管理中心计算受限设备索引

与部分私钥

将受限设备索引Ind_E与部分私钥D_E发送给受限设备；网络管理中心保存受限设备权重Right、受限设备索引Ind_E与受限设备公钥Q_E，其中，Right表明设备在网络环境中的重要程度与易受攻击的程度，不参与实际运算；Q_E＝s_EP是椭圆曲线上的一个乘法运算；

(2.3)受限设备验证等式D_EP＝Ind_E ^-1Q_N是否成立，若成立，则认为受限设备注册成功，保存受限设备索引Ind_E与部分私钥D_E；否则输出拒绝；

(2.4)信息中心从网络管理中心获取公开的系统参数并加载；随机选取

作为信息中心的私钥，并计算信息中心的公钥Q_C＝s_CP，生成密钥对<s_C,Q_C>，并公开信息中心的公钥Q_C；计算信息中心身份ID_C的哈希值H₁(ID_C)，发送给网络管理中心；

(2.5)网络管理中心将保存的受限设备权重Right、受限设备索引Ind_E与受限设备公钥Q_E发送给信息中心，信息中心数据库接收并保存；

(3)签名：

受限设备利用受限设备索引Ind_E和部分私钥D_E实现匿名认证，并生成身份认证的签名σ；

(3.1)获取信息中心的公钥Q_C，随机选取参数

计算消息T＝tQ_C；

(3.2)利用消息T与时间戳t_c计算混淆消息h＝H₁(T,t_c)；

(3.3)利用混淆消息h加密受限设备索引Ind_E得到密文

其中

表示逐比特异或操作；

(3.4)计算验证消息r＝H₁(Ind_E,T,Q_E,t_c)；

(3.5)计算用来传递随机参数t的中间消息v＝t/(r+Ind_ED_E)；

(3.6)计算签名σ＝t^-1(s_E+hD_E)，然后将密文c、验证消息r、中间消息v、签名σ和时间戳t_c发送给信息中心；

(4)验证：

信息中心接收到密文c、验证消息r、中间消息v、签名σ和时间戳t_c时，恢复中间消息与受限设备索引Ind_E，利用信息中心数据库保存的信息完成对匿名受限设备签名的认证，并生成确认信息；

(4.1)计算中间消息ω＝v(rP+Q_N)＝tP，恢复消息T'＝s_Cω；

(4.2)恢复混淆消息h'＝H₁(T',t_c)；

(4.3)解密密文c恢复受限设备索引

(4.4)检查信息中心数据库，验证已保存的信息中是否存在相同的Ind_E，若是，继续进行认证；否则，输出认证失败；

(4.5)验证等式H₁(Ind_E,T',Q_E,t_c)＝r是否成立，若是，继续进行认证；否则，输出认证失败；

(4.6)验证等式

是否成立，若是，本次认证成功，继续生成会话密钥；否则，输出认证失败；

(4.7)计算本次会话密钥key＝H₂(h',T')，生成确认消息K＝MAC_key(h')，并将确认消息K发送给受限设备；

(5)密钥确认：

受限设备接收到确认消息K后，利用本次认证过程中的中间消息实现对信息中心的双向认证，并确认双方本次的会话密钥相同；

(5.1)计算会话密钥key'＝H₂(h,T)；

(5.2)验证等式K＝MAC_key'(h)是否成立，若是，设备完成对信息中心身份的认证，并确定信息中心已产生相同的会话密钥；否则，输出拒绝本次认证；

(5.3)完成本次匿名双向认证并开始接收服务。

2.根据权利要求1所述的适用于资源受限设备的轻量级匿名认证方法，其特征在于，所述步骤(1.2)中的网络管理中心代替了密钥生成中心设定并公开系统参数。

3.根据权利要求2所述的适用于资源受限设备的轻量级匿名认证方法，其特征在于，所述步骤(2.2)中的受限设备权重Right表示网络中第多少个进行注册的设备，即序号。