CN111818039B - 物联网中基于puf的三因素匿名用户认证协议方法 - Google Patents

Abstract

本发明公开一种物联网中基于PUF的三因素匿名用户认证协议方法，解决了物理克隆攻击等安全问题，实现包括：网关生成长期密钥用于节点、用户的注册以及密钥协商；节点给网关发送基于PUF的挑战和响应，网关生成认证凭证并将节点密钥发给节点，完成注册；用户将其身份标识符发给网关，网关生成用户动态身份标识符、用户密钥并发给用户，用户将其加密保存在智能卡中，完成注册；用户、网关和节点三方相互认证且密钥协商，形成物联网中基于PUF的三因素匿名用户认证协议方法。本发明基于三因素认证，能抵抗智能卡丢失、口令猜测攻击等；实现了用户与节点匿名性，计算量小、效率高，适用于资源有限的物联网节点，用于物联网安全通信。

Description

物联网中基于PUF的三因素匿名用户认证协议方法

技术领域

本发明属于物联网技术领域，主要涉及安全协议，具体是基于PUF的三因素匿名用户认证协议方法，可用于物联网中用户与节点的认证与密钥协商，属于信息安全领域中的物联网安全领域。

背景技术

物联网是在计算机互联网的基础上，利用RFID、无线数据通信等技术，构造一个覆盖世界上万事万物的“Internet of Things”。在这个网络中，各种集成化的微型传感器协作地实时监测、感知和收集各种环境或监测对象的信息，用户可以通过互联网远程访问这些感知到的信息。随着各种感知器件和信息技术的发展，物联网覆盖的范围越来越广泛，如军事、医疗、航空、家居、环境等，用户与节点交互产生的数据量也不断增多，其中的安全问题越来越被人关注。

在现有的物联网环境中，节点收集到的数据往往是隐私、敏感的，如在智慧医疗中，可穿戴设备可以收集病人的身体信息(如血压)，这些信息是高度隐私的远程医生可以访问这些信息从而监测病人身体状态信息。用户需要通过互联网远程访问物联网节点收集的数据，而互联网处于公共信道中，因此如何保证通信过程的数据安全是受到广泛关注。认证与密钥协商协议是保证用户与节点通信安全的重要机制。在物联网应用中，通过认证与密钥协商协议，用户、节点相互认证，最终协商一个秘密的会话密钥，该会话密钥为后续通信提供数据机密性和数据完整性等保护。

随着数据通信安全不断得到重视，许多研究人员对认证与密钥协商协议进行研究。Li等人提出了一个用于物联网的用户认证协议，使用了ECC(Elliptic CurveCryptograph)乘操作实现用户匿名性，也实现了基于智能卡、用户生物信息、口令的三因素认证。Challa等人提出了基于签名三因素匿名用户认证协议，运用了ECC加法、乘法操作，Li和Challa等人的协议使用的密码学原语ECC、签名属于公钥体系，提供了较好的安全性，但是这些密码学原语所需计算量大，无法达到轻量级的要求，同时也没有提供物理安全的。

无法提供匿名性和不可追踪性。Das等人提出了三因素匿名用户认证协议，但该协议无法抵抗追踪攻击、Stolen Verifier攻击，一个合法但不诚实的攻击者可以执行追踪攻击，同时也没有达到前向安全。Fan等人、Xue等人声称他们的协议通过高效的Hash和XOR操作能实现动态临时身份从而提供用户匿名性。但是，如果恶意用户与不诚实的节点合谋，Fan等人提出的协议无法提供匿名性。Xue等人的协议中用户身份也无法抵抗离线猜测攻击。

无法提供三因素认证。现有一些协议只能提供双因素认证，但是双因素认证机制比三因素认证安全性更低，无法抵抗在线/离线口令猜测攻击。

等人提出的基于口令、智能卡的轻量级的双因素认证协议，但是无法抵抗离线口令猜测攻击；Farash等人提出的双因素认证协议无法抵抗离线口令猜测攻击、智能卡丢失攻击等。

无法抵抗物理克隆攻击。Wazid等人和Banerjee等人提出三因素匿名认证协议均无法抵抗物理克隆攻击。在Banerjee等人提出了一个基于PUF三因素匿名用户认证协议，但是该协议无法抵抗Stolen Verifier攻击，一个内部特权攻击者可以利用Verfier表实现该攻击，计算用户与节点的会话密钥。为了使用物理不可克隆函数的性质(基于挑战、响应对)，在现有的基于物理不可克隆函数的协议中往往需要一个额外阶段来更新挑战、响应对，因此效率较低，同时一些协议在注册过程需要存储一系列挑战、响应对，这也增加了空间复杂度。

综上所述，现有文献中的用于物联网的认证协议存在一些的问题：

(1)现有协议安全性较低。如无法抵抗离线口令猜测攻击、物理克隆攻击等。

(2)现有协议所需计算量大，无法达到轻量级要求，不适用于物联网环境。

发明内容

针对现有物联网协议存在的问题，本发明提供了一种安全性更强、效率更高的基于PUF的三因素匿名用户认证与密钥协商协议方法。

本发明是物联网中基于PUF的三因素匿名用户认证协议方法，包含网关、用户和节点三个实体，节点收集环境数据，节点通过可信的网关连接到互联网，用户通过互联网访问节点收集的数据，用户、网关和节点相互认证产生会话密钥用于通信，其特征在于，包括有以下步骤：

(1)网关初始化：物联网网关GWN(Gate Way Node)选择一个长期密钥LTK(LongTerm Key)并秘密保存，选择密码学安全Hash函数h(·)、对称加密算法E_K[·]和解密算法D_K[·]、包含生成算法Gen(·)和重构算法Rep(·)的(d,λ)模糊提取器(Fuzzy Extractor)，并公开上述算法，长期密钥以及各种算法用于节点、用户的注册过程以及密钥协商过程；其中，(d,λ)模糊提取器包含生成算法和重构算法两部分，所述Gen(·)是一个概率算法，输入一个字符串R，计算得到一个秘密值k和辅助数据hd，(k,hd)＝Gen(R)；所述Rep(·)是一个确定性重构算法，利用hd以及R′恢复k，k＝Rep(R′,hd)，恢复值k等于秘密值k，其中字符串R与字符串R′的汉明距离最多为d，当模糊提取器输入R的最小熵为λ时，输出秘密值k为均匀分布；

(2)节点在网关上注册：节点S_j给网关GWN发送基于物理不可克隆函数PUF的挑战C_j和响应R_j，网关根据挑战C_j为节点S_j生成相应的凭证＜SID_j,C_j,hd_j,V_j＞并存储，同时利用长期密钥LTK生成节点密钥

并发送给节点S_j，完成节点在网关上的注册，且此过程在安全信道中进行；

(2.1)内置有物理不可克隆函数PUF的节点S_j随机生成一个挑战C_j，计算PUF响应R_j＝PUF(C_j)，将注册请求＜SID_j,C_j,R_j＞发送给网关GWN，其中SID_j为节点S_j的身份标识符；

(2.2)网关收到节点S_j的注册请求＜SID_j,C_j,R_j＞，计算

(k_j,hd_j)＝Gen(R_j)，V_j＝h(C_j||hd_j||k_j)和

将＜SID_j,C_j,hd_j,V_j＞秘密保存到自身数据库中，利用长期密钥LTK生成节点密钥

将

返回给节点S_j，节点S_j秘密存储节点密钥

其中，网关输入节点S_j的响应R_j，由模糊提取器生成算法Gen(·)计算得到响应R_j的秘密值k_j、响应R_j的辅助数据hd_j，辅助数据hd_j用于恢复秘密值k_j，V_j为用于验证恢复的k_j完整性的hash值，||表示字符串的级联；

(3)用户在网关上注册：用户U_i发送其身份标识符ID_i给网关GWN，网关利用长期私钥LTK为用户生成动态身份标识符DID_i、用户密钥

并发送给用户U_i，用户收到

利用身份标识符ID_i、口令PW_i和生物信息Bio_i运行模糊提取器生成算法Gen(·)将

加密为

并保存在用户智能卡SC_i中，完成用户在网关上注册；其中，用户身份标识符ID_i为电话号码或Email地址，生物信息Bio_i为指纹信息或人脸信息或虹膜信息，PW_i为容易记忆的字符串，且此过程在安全信道中进行；

(3.1)用户U_i将身份标识符ID_i发给网关GWN；

(3.2)网关GWN收到用户身份标识符ID_i，网关GWN计算用户U_i的动态身份标识符DID_i＝E_LTK[ID_i||x]、用户密钥

将消息

发送给用户U_i，其中x为用户网关随机数，长度为256或512位比特；

(3.3)用户U_i收到

用户U_i输入身份标识符ID_i、口令PW_i和生物信息Bio_i，利用模糊提取器算法Gen(·)计算

将

存入用户智能卡SC_i中；其中，用户U_i输入生物信息Bio_i，由模糊提取器生成算法Gen(·)计算得到生物信息Bio_i的秘密值σ_i、生物信息Bio_i的辅助数据τ_i，辅助数据τ_i用于恢复秘密值σ_i，用ID_i、PW_i的hash值加密辅助数据τ_i生成加密的辅助数据

用ID_i、PW_i、σ_i的hash值加密用户密钥

生成加密的用户密钥

用ID_i、σ_i、PW_i的hash值加密用户动态份标识符DID_i生成加密的用户动态身份标识符

C_i为用于验证用户U_i身份标识符ID_i、口令PW_i、动态身份标识符DID_i和用户密钥

的完整性的hash值，完成用户在网关注册；

(3.4)用户U_i在网关GWN注册完成之后，口令PW_i或生物信息Bio_i的更新：如果用户U_i认为口令PW_i已经泄露或需要更新生物信息Bio_i，用户U_i可以更新口令PW_i或生物信息Bio_i；

(4)用户、网关和节点三方相互认证且密钥协商：用户U_i输入身份标识符ID_i、口令PW_i和生物信息Bio_i从用户智能卡SC_i提取注册过程中存储的动态身份DID_i、用户密钥

把要通信的节点S_j的身份标识符SID_j加密并生成消息Msg₁，将消息Msg₁发送给网关GWN，网关收到消息Msg₁，网关完成对用户的认证，根据节点注册过程中提供的物理不可克隆函数信息并发送消息Msg₂给节点S_j告知节点用户的身份，节点S_j收到消息Msg₂并利用物理不可克隆函数完成对网关的认证，节点返回消息Msg₃给网关，网关收到消息Msg₃完成对节点的认证，最后网关发送消息Msg₄给用户，用户收到消息Msg₄并完成对网关的认证，最终用户、网关和节点间完成相互认证，协商一个相同的会话密钥SK＝h(ID_i||SID_j||r_g||r_j)用于通信，其中，r_g为网关生成会话随机数，r_j为节点生成会话随机数，此过程在公开信道中进行。

本发明解决了物联网中用户、网关和节点的认证过程的安全问题和效率问题，物联网中节点内存小、计算能力低且部署在公共场合，要保证协议是轻量级的，同时节点容易被敌手捕获并提取节点存储的密钥，要保证用户访问的是一个合法的节点，节点一旦被攻击，就会使得认证过程失效；用户与节点的通信信道为公开公开信道，要保证传输的信息的完整性、机密性，同时还需要保证用户、节点身份的匿名性和不可追踪性。

与现有技术相比，本发明优点和功效是：

效率高：因为物联网节点具有内存小、计算能力低等特点，本发明使用了高效的轻量级的密码学操作，如Hash和XOR等，使得整个过程的计算与存储要求都较低；在节点注册过程中，网关只需为每个节点存储一个认证凭证，这节省了网关存储空间，而每一次认证成功之后，节点将会生成新的挑战相应对

网关为节点生成新的认证凭证于用下一次通信，因此无需额外阶段更新挑战相应对，节省了通信开销。

安全性高：保证用户与节点的匿名性与不可追踪性；保证会话密钥的前向、后向安全性；抵抗物理克隆攻击、在线/离线口令猜测攻击、内部特权攻击；包括以下几点：

保证用户与节点的匿名性与不可追踪性：用户与节点通信为公开信道，敌手能捕获用户与节点的通信数据，如果不具备匿名性，敌手将能获得用户或节点额外信息。本发明中，用户在网关中注册，用户获得一个动态身份标识符DID_i(包含用户身份标识符ID_i)，只有网关才能解密得到用户真实的身份标识符ID_i，所以实现了用户匿名性，每一次认证成功之后用户的动态身份标识符将更新为

所以实现了不可追踪性；用户请求与节点通信时，会将节点身份标识符SID_j加密，所以实现了节点匿名性，网关与节点认证时会发送挑战C_j，而每一次认证成功之后将会生成新的挑战相应对

用于下一次通信，从而实现了节点不可追踪性。

抵抗物理克隆攻击：本发明中，节点注册过程中使用了物理不可克隆函数(PUF)，网关保存了节点的认证凭证，在认证过程中，网关根据保存的认证凭证对节点的PUF输出进行验证，一旦节点被物理克隆攻击，就导致节点的PUF变成新的PUF，输出新的响应，从而使节点在网关上的认证失败，保证了每一个节点的身份的唯一性抵抗了物理克隆攻击。

抵抗在线/离线口令猜测攻击：本发明使用三因素认证，用户只有在拥有智能卡、口令和生物信息的情况下才能登录认证，能有效抵抗在线/离线口令猜测攻击。

保证会话密钥的前向、后向安全性：会话密钥SK＝h(ID_i||SID_j||r_g||r_j)由随机数r_g、r_j计算得到，即使某次通信的会话密钥不慎泄露，也不会影响前后会话密钥的安全性，从而保证了会话密钥期间的独立性。

抵抗内部特权攻击：假设内部特权敌手可以获取用户注册时发送给网关的信息，同时敌手也获取到了用户的智能卡，但是敌手无法获取口令，从而不能得到用户存储在智能卡中的生物信息。

附图说明

附图用来提供对本发明的进一步理解，并构成说明书的一部分，与本发明的实例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是物联网应用通信架构图；

图2是本发明所设计的认证与密钥协商协议的节点注册流程图；

图3是本发明所设计的认证与密钥协商协议的用户注册流程图；

图4是本发明所设计的认证与密钥协商协议的用户、网关与节点认证与密钥协商流程图。

具体实施方式

实施例1

物联网是在计算机互联网的基础上，构成一个万物互联的世界，帮助人们做出更优的决策。在现有的物联网环境中，节点收集到的数据往往是隐私、敏感的。用户通过互联网远程访问物联网节点收集的敏感数据，而互联网处于公共信道中，因此如何保证通信过程的数据安全是非常重要的。认证与密钥协商协议是保证用户与节点通信安全的重要机制。如图1所示的物联网应用通信架构图，物联网是在计算机互联网的基础上，各种设备利用近场通信技术、无线数据通信等技术，组成了一个覆盖世界上万事万物的物联网系统，通过认证与密钥协商协议，用户、网关和节点相互认证，最终协商一个秘密的会话密钥，该会话密钥为后续通信提供数据机密性和数据完整性等保护。随着物联网通信安全得到重视，越来越多的研究学者对物联网中用户认证协议进行研究。但是现有协议还存在缺陷：一，现有协议安全性较低，无法满足物联网安全需求；二，现有协议所需计算量大，无法达到轻量级要求，不适用于物联网环境；针对上述问题，本发明经过研究提供了一种安全性更强、效率更高的基于PUF的三因素匿名用户认证与密钥协商协议方法。

本发明是物联网中基于PUF的三因素匿名用户认证协议方法，包含网关、用户和节点三个实体，节点收集环境数据，节点通过可信的网关连接到互联网，用户通过互联网访问节点收集的数据，用户、网关和节点相互认证产生会话密钥用于通信，参见图4，包括以下步骤。

(1)网关初始化：物联网网关GWN(Gate Way Node)选择一个长期密钥LTK(LongTerm Key)并秘密保存，选择密码学安全Hash函数h(·)、对称加密算法E_K[·]和解密算法D_K[·]、包含生成算法Gen(·)和重构算法Rep(·)的(d,λ)模糊提取器(Fuzzy Extractor)，并公开上述算法，长期密钥以及各种算法用于节点、用户的注册过程以及密钥协商过程；其中，(d,λ)模糊提取器包含生成算法和重构算法两部分，本发明中Gen(·)是一个概率算法，输入一个字符串R，计算得到一个秘密值k和辅助数据hd，(k,hd)＝Gen(R)，本发明中Rep(·)是一个确定性重构算法，利用hd以及R′恢复k，k＝Rep(R′,hd)，恢复值k等于秘密值k，其中字符串R与字符串R′的汉明距离最多为d，当模糊提取器输入R的最小熵为λ时，输出秘密值k为均匀分布。

(2)节点在网关上注册：参见图2，节点S_j给网关GWN发送基于物理不可克隆函数PUF的挑战C_j和R_j，网关根据挑战C_j为节点S_j生成相应的凭证＜SID_j,C_j,hd_j,V_j＞并存储，存储的目的是为之后的认证与密钥过程服务，同时利用长期密钥LTK生成节点密钥

并发送给节点S_j，完成节点在网关上的注册，且此过程在安全信道中进行。

(2.1)内置有物理不可克隆函数PUF的节点S_j随机生成一个挑战C_j，计算PUF响应R_j＝PUF(C_j)，通过安全信道将注册请求＜SID_j,C_j,R_j＞发送给网关GWN，其中SID_j为节点S_j的身份标识符。

(2.2)网关收到节点S_j的注册请求＜SID_j,C_j,R_j＞，计算

(k_j,hd_j)＝Gen(R_j)，V_j＝h(C_j||hd_j||k_j)和

将＜SID_j,C_j,hd_j,V_j＞秘密保存到自身数据库中，利用长期密钥LTK生成节点密钥

将

返回给节点S_j，节点S_j秘密存储节点密钥

其中，网关输入节点S_j的响应R_j，由模糊提取器生成算法Gen(·)计算得到响应R_j的秘密值k_j、响应R_j的辅助数据hd_j，辅助数据hd_j用于恢复秘密值k_j，V_j为用于验证恢复的k_j完整性的hash值，||表示字符串的级联。

(3)用户在网关上注册：参见图3，用户发送其身份标识符ID_i给网关GWN，网关利用长期密钥LTK为用户生成动态身份标识符DID_i、用户密钥

并发送给用户U_i，用户收到

利用身份标识符ID_i、口令PW_i和生物信息Bio_i模糊提取器生成算法Gen(·)将

加密为

并保存在用户智能卡SC_i中，完成用户在网关上注册；其中，用户身份标识符ID_i为电话号码或Email地址，生物信息Bio_i为指纹信息或人脸信息或虹膜信息，Bio_i是由生物信息采集装置采集的各种生物信息转化而成的比特串，PW_i为容易记忆的字符串，且此过程在安全信道中进行。

(3.1)用户U_i将身份标识符ID_i发给网关GWN。

(3.2)网关GWN收到用户身份标识符ID_i，网关GWN计算用户U_i的动态身份标识符DID_i＝E_LTK[ID_i||x]、用户密钥

将消息

发送给用户U_i，其中x为用户网关随机数，长度为256或512位比特；DID_i由网关用长期密钥LTK加密用户真正的身份标识符ID_i得到的，只有网关才能解密这个动态身份标识符DID_i，因此只有网关才能获得用户真正的身份标识符ID_i，所以实现了用户身份的匿名性，

为网关计算得到的用户密钥，用于用户的认证。

(3.3)收到

用户U_i输入身份标识符ID_i、口令PW_i和生物信息Bio_i，利用模糊提取器算法Gen(·)计算

(σ_i,τ_i)＝Gen(Bio_i)，

将

存入用户智能卡SC_i中；其中，用户U_i输入生物信息Bio_i，由模糊提取器生成算法Gen(·)计算得到生物信息Bio_i的秘密值σ_i、生物信息Bio_i的辅助数据τ_i，辅助数据τ_i用于恢复秘密值σ_i，用ID_i、PW_i的hash值加密辅助数据τ_i生成加密的辅助数据

用ID_i、PW_i、σ_i的hash值加密用户密钥

生成加密的用户密钥

用ID_i、σ_i、PW_i的hash值加密用户动态份标识符DID_i生成加密的用户动态身份标识符

C_i为用于验证用户U_i身份标识符ID_i、口令PW_i、动态身份标识符DID_i和用户密钥

的完整性的hash值，完成用户在网关注册；加密τ_i、

DID_i是为了抵抗丢失智能卡攻击，当敌手获得了智能卡，在没有口令、生物信息的情况下不能获得智能卡中的秘密信息，C_i用于用户登陆请求认证步骤(4.1)验证用户U_i身份标识符ID_i、口令PW_i、动态身份标识符DID_i和用户密钥

的完整性，确保智能卡中的内容没有被篡改，

表示异或操作。

(3.4)用户U_i在网关GWN注册完成之后，口令PW_i或生物信息Bio_i的更新：如果用户U_i认为口令PW_i已经泄露或需要更新生物信息Bio_i，用户U_i可以更新口令PW_i或生物信息Bio_i。

(4)用户、网关和节点三方相互认证且密钥协商：参见图4，用户U_i输入身份标识符ID_i、口令PW_i和生物信息Bio_i从用户智能卡SC_i提取注册过程中存储的动态身份DID_i、用户密钥

把要通信的节点身份标识符SID_j加密并生成消息Msg₁，将消息Msg₁发送给GWN，网关收到消息Msg₁，网关完成对用户的认证，根据节点注册过程中提供的物理不可克隆函数信息并发送消息Msg₂给节点S_j告知节点用户的身份，节点S_j收到消息Msg₂并利用物理不可克隆函数完成对网关的认证，节点返回消息Msg₃给网关，网关收到消息Msg₃完成对节点的认证，最后网关发送消息Msg₄给用户，用户收到消息Msg₄并完成对网关的认证，最终用户、网关和节点间完成相互认证，协商一个相同的会话密钥SK＝h(ID_i||SID_j||r_g||r_j)用于通信，其中，r_g为网关生成会话随机数，r_j为节点生成会话随机数，此过程在公开信道中进行。

本发明中物联网中基于PUF的三因素匿名用户认证协议方法利用三因素(智能卡、口令和生物信息)认证，利用物理不可克隆函数(PUF)和高效快速的对称密码体系、hash操作、异或(XOR)操作，构造了安全性更高和效率更好的物联网用户认证与密钥协商协议，本发明使用了三因素认证，用户只有在拥有智能卡、口令和生物信息的情况下才能登录认证，能有效抵抗在线/离线口令猜测攻击；用户在每次请求认证的时候使用了动态身份标识符DID_i(加密了用户身份标识符ID_i)，只有网关才能解密动态身份标识符DID_i得到用户真实的身份标识符ID_i，实现了用户匿名性，同时也会将节点身份标识符SID_j加密，实现了节点匿名性；本发明使用了物理不可克隆函数(PUF)，在注册过程中，网关保存了装备有PUF的节点的认证凭证，在认证过程中，网关根据保存的认证凭证对节点的PUF输出进行验证，一旦节点被物理克隆攻击，就导致节点的PUF变成新的PUF，输出新的响应，从而使节点在网关上的认证失败，从而保证了每一个节点的身份的唯一性，抵抗了物理克隆攻击；相比于现有研究方案，本发明安全性更高，本发明保证用户与节点的匿名性与不可追踪性，保证会话密钥的前向、后向安全性，可以抵抗物理克隆攻击、在线/离线口令猜测攻击、内部特权攻击。

实施例2

物联网中基于PUF的三因素匿名用户认证协议方法同实施例1，本发明步骤(1)中所述密码学安全Hash函数h(·)函数或为SHA系列算法或为国密SM3算法，当密码学安全Hash函数h(·)函数为SHA系列算法，输出长度为256或521比特；当密码学安全Hash函数h(·)函数为国密SM3算法，其输出长度为256比特；SHA系列算法由美国标准与技术研究所发布，是使用最广泛的Hash函数，安全性高，国密SM3由中国国家密码管理局发布，其安全性及效率与SHA-256相当，SHA系列算法或国密SM3算法用于消息认证码的生成与验证以及随机数的生成，安全性高、效率高(易于硬件实现)。对称加密算法(E_K[·]/D_K[·])或为AES系列算法或为国密SM1算法，当对称加密算法(E_K[·]/D_K[·])为AES系列算法时，其密钥长度为128、192或256比特，当对称加密算法(E_K[·]/D_K[·])为国密SM1算法时，其密钥长度为128比特；AES系列算法由美国标准与技术研究所发布，安全性高，算法易于各种硬件和软件实现，国密SM1算法是由国家密码管理局编制的一种商用密码，安全保密强度及相关软硬件实现性能与AES相当，广泛应用于电子政务、电子商务及国民经济的各个应用领域。

实施例3

物联网中基于PUF的三因素匿名用户认证协议方法同实施例1-2，本发明步骤(2.1)所述物理不可克隆函数PUF具有以下性质：1)对于同一个未经过篡改的具有PUF的节点，输入相同的挑战C，将会输出相同响应R；2)对于不同的PUF节点，输入相同的挑战C，将会输出不同的响应R，PUF使得节点不可克隆和不可篡改，任何的篡改会使得PUF成为一个全新的PUF′，一旦节点被克隆或篡改将不能成功认证。在注册过程中，网关保存了装备有PUF的节点的认证凭证，在认证过程中，网关根据保存的认证凭证对节点的PUF输出进行验证，一旦节点被物理克隆攻击，就导致节点的PUF变成新的PUF′，输出新的响应，从而使节点在网关上的认证失败，保证了每一个节点的身份的唯一性，抵抗了物理克隆攻击。

实施例4

物联网中基于PUF的三因素匿名用户认证协议方法同实施例1-3，本发明步骤(4)中所述的用户、网关节点三方相互认证且密钥协商，用户、节点已经在网关上完成注册，用户想要访问节点的数据，需要完成认证与密钥协商过程，参见图4：

(4.1)用户登陆请求认证：用户U_i将用户智能卡SC_i插入读卡器，输入其身份标识符ID_i，口令PW_i和生物信息Bio_i，智能卡SC_i计算

σ_i＝Rep(Bio_i,τ_i)，

并判断

是否成立；如果不成立，SC_i中断登录请求；若成立，SC_i获取当前时间戳T₁，根据通信节点S_j的身份标识符SID_j，计算

将Msg₁＝＜DID_i,M₁,T₁＞发送给GWN；这一步中，用户U_i输入其身份标识符ID_i，口令PW_i和生物信息Bio_i，从

中解密得到辅助数据τ_i，利用模糊提取器重构算法Rep(·)获得秘密值σ_i，再利用σ_i、PW_i、ID_i解密获得用户的动态身份标识符DID_i、用户密钥

最后通过验证

判断解密得到的DID_i、

是否正确，

是解密消息

的密钥，这个密钥只有网关和用户才能计算得到，保证了只有网关才能与用户完成认证，加入时间戳T₁是为了抵抗重放攻击。

(4.2)网关认证用户：网关收到Msg₁，获取当前时间戳T₁ ^*，计算|T₁ ^*-T₁|≤ΔT，ΔT表示最大可允许的时间间隔；如果不等式不成立，网关中断通信过程；如果不等式成立，网关利用长期密钥LTK计算

比较M₁中的T₁与Msg₁中的T₁；如果不相等，网关中断通信过程；反之，网关从数据库中查找＜SID_j,C_j,hd_j,V_j＞，生成一个网关生成随机数

获得当前时间戳T₂，计算

网关发送Msg₂＝＜C_j,M₂,M₃,T₂＞给节点S_j；这一步中，网关解密动态身份标识符DID_i计算得到用户真正的身份标识符ID_i，从而能计算用户的密钥

网关利用DID_i、

计算得到K_ug并解密

得到用户希望通信的节点的身份标识符SID_j，同时也完成了用户对网关的认证，网关根据节点的身份标识符SID_j在数据库中查找关于该节点的认证凭证＜SID_j,C_j,hd_j,V_j＞，只有没有遭受物理克隆攻击的节点才能计算得到V_j，所以本发明能够抵抗物理不可克隆攻击，节点用V_j和节点的密钥

计算密钥

用于加密

这个密钥只有网关与合法节点才能计算得到，用于节点认证网关，网关生成随机数

用于生成网关生成会话随机数r_g，随机数r_g用于生成会话密钥和新的挑战

(4.3)节点认证网关：节点S_j收到Msg₂，获取当前时间戳

计算

ΔT表示最大可允许的时间间隔；如果不等式不成立，节点中断通信过程；如果不等式成立，节点利用节点密钥

计算

利用模糊提取器算法Rep(·)和物理不可克隆函数PUF(·)计算

k_j＝Rep(PUF(C_j),hd_j)、V_j＝h(C_j||hd_j||k_j)和

最终计算

比较M₃中的T₂与Msg₂中的T₂；如果不相等，节点中断通信过程；反之，节点生成一个节点生成会话随机数r_j，获取当前时间戳T₃，计算生成一个新的挑战

生成新的响应

计算会话密钥

SK＝h(ID_i||SID_j||r_g||r_j)，M₄＝h(SK||r_j||r_g||T₃)，

将Msg₃＝＜M₅,T₃＞发送给网关；这一步中，节点利用密钥

获得辅助数据hd_j，利用模糊提取器算法Rep(·)和物理不可克隆函数PUF(·)恢复出秘密值k_j，从而可以计算得到V_j、K_gs，最终能解密M₃计算得到用户身份标识符ID_i、随机数r_g，完成了节点认证网关，节点生成新的挑战

新的响应

对(如同节点注册过程)是为了让网关更新该节点的认证凭证，这实现了节点不可追踪性，在现有协议中往往需要一个新的额外阶段来更新挑战、响应对，本发明不需要新的额外阶段来更新挑战、响应对，所以本发明提高了效率，同时因为在认证阶段更新挑战、响应对，相比与其他在节点注册过程中存储一系列挑战、响应对的现有协议，本发明中网关只需为每个节点存储一个认证凭证，本发明减少了存储空间，随机数r_j用于生成会话密钥。

(4.4)网关认证节点：网关收到Msg₃，获取当前时间戳T₃ ^*，计算|T₃ ^*-T₃|≤ΔT，ΔT表示最大可允许的时间间隔；若不等式不成立，网关中断通信；反之，网关利用步骤(4.2)计算得到的K_gs，计算

比较M₅中的T₃与Msg₅中的T₃；如果不相等，节点中断通信过程；反之，网关计算会话密钥SK＝h(ID_i||SID_j||r_g||r_j)，并检查

是否成立；如果不成立，网关中断通信过程；反之，网关计算

并用

代替原来的＜SID_j,C_j,hd_j,V_j＞，网关获得当前时间戳T₄，计算

M₆＝h(SK||r_j||r_g||T₄)，

将Msg₄＝＜M₇,T₄＞返回给用户；其中，网关已知K_gs，完成了网关认证节点，

为新生成的挑战，网关用模糊提取器生成算法输入新的响应

生成新的秘密值

新的辅助数据

用于验证

的完整性，

是新生成的用户动态身份标识符，所以用户每次认证的时候用户动态身份标识符

是不一样的，因此实现了用户不可追踪性。

(4.5)用户认证网关：用户收到Msg₄，获取当前时间戳

计算

ΔT表示最大可允许的时间间隔；如果不等式不成立，用户中断通信过程；反之，用户利用步骤(4.1)计算得到的K_ug，计算

比较M₇中的T₄与Msg₄中的T₄；若不相等，用户中断通信；反之，用户计算会话密钥SK＝h(ID_i||SID_j||r_g||r_j)，并检查

若不成立，用户中断通信过程；反之，SC_i计算

代替原来的加密的动态身份标识符

和C_i，此时，用户、网关和节点拥有相同的会话密钥SK＝h(ID_i||SID_j||r_g||r_j)，用户利用步骤(4.1)计算得到的K_ug，完成用户认证网关。

(4.6)用户、网关和节点三方认证以及密钥协商完成之后，口令PW_i或生物信息Bio_i的更新：如果用户U_i认为口令PW_i已经泄露或需要更新生物信息Bio_i，用户U_i可以更新口令PW_i或生物信息Bio_i。

本发明解决了物联网中用户、网关和节点的认证过程的安全问题和效率问题，物联网中节点内存小、计算能力低，本发明使用了对称密码体系、hash操作、异或(XOR)操作，相比于一些使用了公钥密码体系的方案，本发明具有效率高的优点，更加符合物联网应用的需求，同时本发明所使用的密码学安全Hash函数h(·)函数和对称加密算法(E_K[·]/D_K[·])也能满足物联网中安全性；在一些物联网应用中，节点部署在公共场合，节点容易被敌手捕获并提取节点存储的密钥，节点容易被物理克隆攻击，现存一些研究方案无法解决该问题或仍然存在其他问题(如需要一个新的额外阶段来更新挑战、响应对；在节点注册过程中存储一系列挑战、响应对)，因此要保证用户访问的是一个合法的节点，如果节点一旦被攻击，就会使得认证过程失效，本发明使用了物理不可克隆函数，在注册过程中，网关保存了装备有PUF的节点的认证凭证，在认证过程中，网关根据保存的认证凭证对节点的PUF输出进行验证，一旦节点被物理克隆攻击，就导致节点的PUF变成新的PUF′，输出新的响应，从而使节点在网关上的认证失败，保证了每一个节点的身份的唯一性，抵抗了物理克隆攻击。在现有协议中往往需要一个新的额外阶段来更新挑战、响应对，本发明不需要新的额外阶段来更新挑战、响应对，所以本发明提高了效率，同时因为在认证阶段更新挑战、响应对，相比与其他在节点注册过程中存储一系列挑战、响应对的现有协议，本发明中网关只需为每个节点存储一个认证凭证，减少了存储空间。用户与节点的通信信道为公开公开信道，要保证传输的信息的完整性、机密性，同时还需要保证用户、节点身份的匿名性和不可追踪性。本发明中使用了动态身份标识符DID_i(包含用户身份标识符ID_i)，只有网关才能解密得到用户真实的身份标识符ID_i，所以实现了用户匿名性，每一次认证成功之后用户的动态身份标识符将更新为

所以实现了不可追踪性；用户请求与节点通信时，会将节点身份标识符SID_j加密，所以实现了节点匿名性，网关与节点认证时会发送挑战C_j，而每一次认证成功之后将会生成新的挑战相应对

用于下一次通信，从而实现了节点不可追踪性。

实施例5

物联网中基于PUF的三因素匿名用户认证协议方法同实施例1-4，本发明步骤(4.2)所述的网关生成随机数

和步骤(4.3)中的节点生成会话随机数r_j，因为这些随机数是由密码学安全Hash函数h(·)函数计算而得，所以其长度与密码学安全Hash函数h(·)函数输出相同，均为256或512位比特串。网关生成会话随机数r_g由网关生成随机数

生成，保证了r_g的随机性，在每次认证的过程中，r_g用于计算新的挑战

实现节点的节点不可追踪性，同时r_g也用于计算动态身份标识符DID_i，用于产生新的计算动态身份标识符

实现了用户的匿名性和不可追踪性，会话密钥SK＝h(ID_i||SID_j||r_g||r_j)由随机数r_g、r_j计算得到，即使某次通信的会话密钥不慎泄露，也不会影响前后会话密钥的安全性，从而保证了会话密钥期间的独立性。

实施例6

物联网中基于PUF的三因素匿名用户认证协议方法同实施例1-5，本发明步骤(3.4)所述的用户U_i在网关GWN注册完成之后，口令PW_i或生物信息Bio_i的更新，步骤(4.6)所述的用户U_i在网关GWN注册完成之后，口令PW_i或生物信息Bio_i的更新，如果用户需要更新口令PW_i或生物信息Bio_i，执行以下步骤：口令PW_i或生物信息Bio_i更新；

用户U_i将智能卡SC_i插入读卡器并输入ID_i、PW_i和Bio_i，SC_i计算

σ_i＝Rep(Bio_i,τ_i)，

并判断

是否成立。如果不成立，SC_i中断登录请求；若成立，提示用户输入新的口令PW_i ^new和生物信息

用户重新采集自己的生物信息

并选择新的口令PW_i ^new，SC_i计算

SC_i将原来的信息

更新为

新的生物信息

生成新的秘密值

新的辅助数据

用ID_i、新的PW_i ^new的hash值加密辅助数据

生成加密的辅助数据

用ID_i、新的口令PW_i ^new、新的

的hash值加密用户密钥

生成新的加密的用户密钥

用ID_i、新的

新的PW_i ^new的hash值加密用户动态份标识符DID_i生成新的加密的用户动态身份标识符

用于验证用户U_i身份标识符ID_i、新的口令PW_i ^new、动态身份标识符DID_i和用户密钥

的完整性。

本发明涉及一种物联网中基于PUF的三因素匿名用户认证协议的建立方法，属于信息安全中的物联网安全领域。在本协议中，包含网关、用户和节点三个实体，通过以下步骤：(1)网关初始化，(2)用户向网关注册，(3)节点向网关注册，(4)用户、网关与节点认证，实现物联网环境下三因素匿名用户认证与密钥协商，建立会话密钥。本协议基于口令、智能卡、生物特征的三因素认证，能有效地抵抗智能卡丢失或被盗攻击、口令猜测攻击等；使用物理不可克隆函数，节点具有不可克隆和不可篡改的特点，能抵抗物理捕获攻击、物理克隆攻击等；实现了用户与节点匿名性，应用了轻量高效的密码学操作，如对称密码体系、Hash和XOR，适用于资源有限的物联网节点，保证通信安全。本发明中，如果用户U_i认为口令PW_i已经泄露或需要更新生物信息Bio_i，用户U_i可以更新口令PW_i或生物信息Bio_i，这为用户提供了更多的灵活性和方便性。

实施例7

物联网中基于PUF的三因素匿名用户认证协议方法同实施例1-6，本发明中步骤(4)中ΔT表示最大可允许的时间间隔，在消息中加入时间戳可以抵抗重放攻击。

简而言之，本发明的物联网中基于PUF的三因素匿名用户认证协议方法，解决了物理克隆攻击等安全问题，同时应用了效率高的密码学操作，相比于现有一些研究方案效率更高，包括以下步骤：(1)网关初始化，网关生成长期密钥以及公开各种算法(选择密码学安全Hash函数h(·)、对称加密算法E_K[·]和解密算法D_K[·])，这些算法用于节点、用户的注册过程以及密钥协商过程；(2)节点在网关上注册，节点内置物理不可克隆函数(PUF)，节点S_j给网关发送基于PUF的挑战C_j和R_j，网关为节点生成认证凭证并存储，生成节点密钥并发送给节点(3)用户在网关上注册，用户发送其身份标识符给网关，网关生成用户动态身份标识符、用户密钥并发送给用户，用户利用将口令、身份标识符、生物信息用户动态身份标识符、用户密钥保存在智能卡中；(4)用户、网关和节点三方相互认证且密钥协商，形成物联网中基于PUF的三因素匿名用户认证协议方法。本发明基于口令、智能卡、生物特征的三因素认证，能有效地抵抗智能卡丢失或被盗攻击、口令猜测攻击等；使用物理不可克隆函数，节点具有不可克隆和不可篡改的特点，能抵抗物理捕获攻击、物理克隆攻击等；实现了用户与节点匿名性，应用了轻量高效的密码学操作，如对称密码体系、Hash和XOR，计算量小、效率高，适用于资源有限的物联网节点，用于物联网安全通信。

Claims (6)

1.一种物联网中基于PUF的三因素匿名用户认证协议方法，包含网关、用户和节点三个实体，节点收集环境数据，节点通过可信的网关连接到互联网，用户通过互联网访问节点收集的数据，用户、网关和节点相互认证产生会话密钥用于通信，其特征在于，包括有以下步骤：

(1)网关初始化：物联网网关GWN选择一个长期密钥LTK并秘密保存，选择密码学安全Hash函数h(·)、对称加密算法E_K[·]和解密算法D_K[·]、包含生成算法Gen(·)和重构算法Rep(·)的(d,λ)模糊提取器FE，并公开上述算法，长期密钥以及各种算法用于节点、用户的注册过程以及密钥协商过程；其中，(d,λ)模糊提取器包含生成算法和重构算法两部分，所述Gen(·)是一个概率算法，输入一个字符串R，计算得到一个秘密值k和辅助数据hd，(k,hd)＝Gen(R)；所述Rep(·)是一个确定性重构算法，利用hd以及R′恢复k，k＝Rep(R′,hd)，恢复值k等于秘密值k，其中字符串R与字符串R′的汉明距离最多为d，当模糊提取器输入R的最小熵为λ时，输出秘密值k为均匀分布；

(2)节点在网关上注册：节点S_j给网关GWN发送基于物理不可克隆函数PUF的挑战C_j和响应R_j，网关根据挑战C_j为节点S_j生成相应的凭证＜SID_j,C_j,hd_j,V_j＞并存储，同时利用长期密钥LTK生成节点密钥

并发送给节点S_j，完成节点在网关上的注册，且此过程在安全信道中进行；

(2.1)内置有物理不可克隆函数PUF的节点S_j随机生成一个挑战C_j，计算PUF响应R_j＝PUF(C_j)，通过安全信道将注册请求＜SID_j,C_j,R_j＞发送给网关GWN，其中SID_j为节点S_j的身份标识符；

(2.2)网关收到节点S_j的注册请求＜SID_j,C_j,R_j＞，计算

(k_j,hd_j)＝Gen(R_j)，V_j＝h(C_j||hd_j||k_j)和

将＜SID_j,C_j,hd_j,V_j＞秘密保存到自身数据库中，利用长期密钥LTK生成节点密钥

将

返回给节点S_j，节点S_j秘密存储节点密钥

其中，网关输入节点S_j的响应R_j，由模糊提取器生成算法Gen(·)计算得到响应R_j的秘密值k_j、响应R_j的辅助数据hd_j，辅助数据hd_j用于恢复秘密值k_j，V_j为用于验证恢复的k_j完整性的hash值，||表示字符串的级联；

(3)用户在网关上注册：用户U_i发送其身份标识符ID_i给网关GWN，网关利用长期私钥LTK为用户生成动态身份标识符DID_i、用户密钥

并发送给用户U_i，用户收到

利用身份标识符ID_i、口令PW_i和生物信息Bio_i运行模糊提取器生成算法Gen(·)将

加密为

并保存在用户智能卡SC_i中，完成用户在网关上注册；其中，用户身份标识符ID_i为电话号码或为Email地址，生物信息Bio_i为指纹信息或人脸信息或虹膜信息，PW_i为容易记忆的字符串，且此过程在安全信道中进行；

(3.1)用户U_i将身份标识符ID_i发给网关GWN；

(3.2)网关GWN收到用户身份标识符ID_i，网关GWN计算用户U_i的动态身份标识符DID_i＝E_LTK[ID_i||x]、用户密钥

将消息

发送给用户U_i，其中x为用户网关随机数，长度为256或512位比特；

(3.3)用户U_i收到消息

用户U_i输入身份标识符ID_i、口令PW_i和生物信息Bio_i，利用模糊提取器算法Gen(·)计算

(σ_i,τ_i)＝Gen(Bio_i)，

将

存入用户智能卡SC_i中；其中，用户U_i输入生物信息Bio_i，由模糊提取器生成算法Gen(·)计算得到生物信息Bio_i的秘密值σ_i、生物信息Bio_i的辅助数据τ_i，辅助数据τ_i用于恢复秘密值σ_i，用ID_i、PW_i的hash值加密辅助数据τ_i生成加密的辅助数据

用ID_i、PW_i、σ_i的hash值加密用户密钥

生成加密的用户密钥

用ID_i、σ_i、PW_i的hash值加密用户动态份标识符DID_i生成加密的用户动态身份标识符

C_i为用于验证用户U_i身份标识符ID_i、口令PW_i、动态身份标识符DID_i和用户密钥

的完整性的hash值，完成用户在网关注册；

(3.4)用户U_i在网关GWN注册完成之后，口令PW_i或生物信息Bio_i的更新：如果用户U_i认为口令PW_i已经泄露或需要更新生物信息Bio_i，用户U_i可以更新口令PW_i或生物信息Bio_i；

(4)用户、网关和节点三方相互认证且密钥协商：用户U_i输入身份标识符ID_i、口令PW_i和生物信息Bio_i从用户智能卡SC_i提取注册过程中存储的动态身份DID_i、用户密钥

把要通信的节点S_j的身份标识符SID_j加密并生成消息Msg₁，将消息Msg₁发送给网关GWN，网关收到消息Msg₁，网关完成对用户的认证，根据节点注册过程中提供的物理不可克隆函数信息并发送消息Msg₂给节点S_j告知节点用户的身份，节点S_j收到消息Msg₂并利用物理不可克隆函数完成对网关的认证，节点返回消息Msg₃给网关，网关收到消息Msg₃完成对节点的认证，最后网关发送消息Msg₄给用户，用户收到消息Msg₄并完成对网关的认证，最终用户、网关和节点间完成相互认证，协商一个相同的会话密钥SK＝h(ID_i||SID_j||r_g||r_j)用于通信，其中，r_g为网关生成会话随机数，r_j为节点生成会话随机数，此过程在公开信道中进行。

2.根据权利要求1所述的物联网中基于PUF的三因素匿名用户认证协议方法，其特征在于：步骤(1)中所述密码学安全Hash函数h(·)函数或为SHA系列算法或为国密SM3算法，当密码学安全Hash函数h(·)函数为SHA系列算法，输出长度为256或521比特；当密码学安全Hash函数h(·)函数为国密SM3算法，其输出长度为256比特；对称加密算法E_K[·]和解密算法D_K[·]或为AES系列算法或为国密SM1算法，当对称加密算法E_K[·]和解密算法D_K[·]为AES系列算法时，其密钥长度为128、192或256比特，当对称加密算法E_K[·]和解密算法D_K[·]为国密SM1算法时，其密钥长度为128比特。

3.根据权利要求1所述的物联网中基于PUF的三因素匿名用户认证协议方法，其特征在于：步骤(2.1)所述物理不可克隆函数PUF具有以下性质：1)对于同一个未经过篡改的具有PUF的节点，输入相同的挑战C，将会输出相同响应R；2)对于不同的PUF节点，输入相同的挑战C，将会输出不同的响应R，PUF使得节点不可克隆和不可篡改，任何的篡改会使得PUF成为一个全新的PUF′，一旦节点被克隆或篡改将不能成功认证。

4.根据权利要求1所述的物联网中基于PUF的三因素匿名用户认证协议方法，其特征在于，步骤(4)中所述的用户、网关节点三方相互认证且密钥协商，用户、节点已经在网关上完成注册，用户想要访问节点的数据，需要完成认证与密钥协商过程，包括以下步骤：

(4.1)用户登陆请求认证：用户U_i将用户智能卡SC_i插入读卡器，输入其身份标识符ID_i，口令PW_i和生物信息Bio_i，智能卡SC_i计算

σ_i＝Rep(Bio_i,τ_i)，

并判断C′_i＝C_i是否成立；如果不成立，SC_i中断登录请求；若成立，SC_i获取当前时间戳T₁，根据通信节点S_j的身份标识符SID_j，计算

将Msg₁＝＜DID_i,M₁,T₁＞发送给GWN；这一步中，用户U_i输入其身份标识符ID_i，口令PW_i和生物信息Bio_i，从

中解密得到辅助数据τ_i，利用模糊提取器重构算法Rep(·)获得秘密值σ_i，再利用σ_i、PW_i、ID_i解密获得用户的动态身份标识符DID_i、用户密钥

最后通过验证C_i′＝C_i是否成立，判断解密得到的DID_i、

是否正确，如果成立，则解密得到的结果正确；反之，则不正确，SC_i中断登录请求；

是解密消息

的密钥；

(4.2)网关认证用户：网关收到Msg₁，获取当前时间戳

计算

ΔT表示最大可允许的时间间隔；如果不等式不成立，网关中断通信过程；如果不等式成立，网关利用长期密钥LTK计算

ID_i||x＝D_LTK[DID_i]，

比较M₁中的T₁与Msg₁中的T₁；如果不相等，网关中断通信过程；反之，网关从数据库中查找＜SID_j,C_j,hd_j,V_j＞，生成一个网关生成随机数

获得当前时间戳T₂，计算

网关发送Msg₂＝＜C_j,M₂,M₃,T₂＞给节点S_j，r_g为网关生成会话随机数，用于计算会话密钥；

(4.3)节点认证网关：节点S_j收到Msg₂，获取当前时间戳

计算

ΔT表示最大可允许的时间间隔；如果不等式不成立，节点中断通信过程；如果不等式成立，节点利用密钥

计算

利用模糊提取器算法Rep(·)和物理不可克隆函数PUF(·)计算

k_j＝Rep(PUF(C_j),hd_j)、V_j＝h(C_j||hd_j||k_j)和

最终计算

比较M₃中的T₂与Msg₂中的T₂；如果不相等，节点中断通信过程；反之，节点生成一个节点生成会话随机数r_j，获取当前时间戳T₃，计算生成一个新的挑战

生成新的响应

计算会话密钥

SK＝h(ID_i||SID_j||r_g||r_j)，M₄＝h(SK||r_j||r_g||T₃)，

将Msg₃＝＜M₅,T₃＞发送给网关；

(4.4)网关认证节点：网关收到Msg₃，获取当前时间戳

计算

ΔT表示最大可允许的时间间隔；若不等式不成立，网关中断通信；反之，网关利用步骤(4.2)计算得到的K_gs，计算

比较M₅中的T₃与Msg₅中的T₃；如果不相等，节点中断通信过程；反之，网关计算会话密钥SK＝h(ID_i||SID_j||r_g||r_j)，并检查M₄＝h(SK||r_j||r_g||T₃)是否成立；如果不成立，网关中断通信过程；反之，网关计算

并用

代替原来的＜SID_j,C_j,hd_j,V_j＞，网关获得当前时间戳T₄，计算

M₆＝h(SK||r_j||r_g||T₄)，

将Msg₄＝＜M₇,T₄＞返回给用户；其中，

为新生成的挑战，新的响应

生成新的秘密值

新的辅助数据

用于验证

的完整性，

是新生成的用户动态身份标识符；

(4.5)用户认证网关：用户收到Msg₄，获取当前时间戳

计算

ΔT表示最大可允许的时间间隔；如果不等式不成立，用户中断通信过程；反之，用户利用步骤(4.1)计算得到的K_ug，计算

比较M₇中的T₄与Msg₄中的T₄；若不相等，用户中断通信；反之，用户计算会话密钥SK＝h(ID_i||SID_j||r_g||r_j)，并检查M₆＝h(SK||r_j||r_g||T₄)，若不成立，用户中断通信过程；反之，SC_i计算

代替原来的加密的动态身份标识符

和C_i，此时，用户、网关和节点拥有相同的会话密钥SK＝h(ID_i||SID_j||r_g||r_j)，完成用户、网关和节点三方认证以及密钥协商；

(4.6)用户、网关和节点三方认证以及密钥协商完成之后，口令PW_i或生物信息Bio_i的更新：如果用户U_i认为口令PW_i已经泄露或需要更新生物信息Bio_i，用户U_i可以更新口令PW_i或生物信息Bio_i。

5.根据权利要求4所述的物联网中基于PUF的三因素匿名用户认证协议方法，其特征在于：步骤(4.2)所述的网关生成随机数

和步骤(4.3)中的节点生成会话随机数r_j均为256或512位比特串。

6.根据权利要1或权利要求4所述的物联网中基于PUF的三因素匿名用户认证协议方法，其特征在于：步骤(3.4)所述的用户U_i在网关GWN注册完成之后，口令PW_i或生物信息Bio_i的更新，步骤(4.6)所述的用户U_i在网关GWN注册完成之后，口令PW_i或生物信息Bio_i的更新，用户U_i可以更新口令PW_i或生物信息Bio_i，执行以下步骤：口令PW_i或生物信息Bio_i更新；

用户U_i将智能卡SC_i插入读卡器并输入ID_i、PW_i和Bio_i，SC_i计算

σ_i＝Rep(Bio_i,τ_i)，

并判断C′_i＝C_i是否成立，如果不成立，SC_i中断登录请求；若成立，提示用户输入新的口令

和生物信息

用户重新采集自己的生物信息

并选择新的口令PW_i ^new，SC_i计算

SC_i将原来的信息

更新为

新的生物信息

生成新的秘密值

新的辅助数据

用ID_i、新的PW_i ^new的hash值加密辅助数据

生成加密的辅助数据

用ID_i、新的口令PW_i ^new、新的

的hash值加密用户密钥

生成新的加密的用户密钥

用ID_i、新的

新的PW_i ^new的hash值加密用户动态份标识符DID_i生成新的加密的用户动态身份标识符

用于验证用户U_i身份标识符ID_i、新的口令PW_i ^new、动态身份标识符DID_i和用户密钥

的完整性。

Images