CN116156491B - 基于无线体域网的群匿名认证方法 - Google Patents

Abstract

本发明涉及基于无线体域网的群匿名认证方法，包括步骤：网关节点发布系统参数，将用户分组后利用中国剩余定理为各个用户组分配密钥；新的传感器节点开发时，网关节点向其分发安全参数和密钥；用户想访问传感器节点时，需向网关节点申请注册，注册成功后网关节点向其分发安全参数和密钥；当用户需要访问传感器节点时，用户需要与传感器之间进行相互认证，在认证过程中，采用群匿名技术保护用户的隐私；用户若要更改新的口令，则更新智能卡中的相关参数。本发明解决匿名认证密钥协商协议存在异步攻击的问题，实现互相认证、前向安全、用户匿名等攻击。

Description

基于无线体域网的群匿名认证方法

技术领域

本发明涉及通信处理技术领域，特别涉及一种基于无线体域网的群匿名认证方法。

背景技术

随着网络与信息技术的飞速发展，无线通信和传感器设计技术的进步，以及世界平均年龄的增加和许多国家人口老龄化的出现，无线体域网（WBAN）在现代远程医疗环境中发挥着重要作用。无线体域网主要由作为用户的服务提供商、传感器节点、网关节点三个实体组成。无线体域网是一个可信第三方，负责生成系统安全参数和会话密钥，并且有足够的计算资源作为用户和传感器节点之间的必要接口；传感器节点是嵌入或佩戴在患者以内或周围的设备，用于监测患者的健康数据（如体温、心率和其他身体数据）；用户使用智能卡直接从所需的传感器节点获取实时信息。

实际应用中，由于无线体域网的开放性和移动性，数据传输常常处于不安全的环境中，导致传输的消息容易被恶意的攻击者截获，并对其进行插入、删除、修改等操作，并且在通信过程中，用户的身份信息是通过明文形式传输的，攻击者可以根据数据发送的时间和频率访问用户的隐私。此外，由于传感器节点很容易获取，攻击者可以得到传感器节点的长期密钥。这样，攻击者则可以根据传感器节点的长期密钥和用户以前的通信消息计算出以前的会话密钥，从而获取用户的历史数据。因此，无法保证前向安全。

为了解决这些问题，国内外研究学者们设计了许多无线体域网环境中的匿名认证协议，但是这系列的方法应用于现实场景中时，由于传感器节点体积小、电池容量低、硬件资源有限，还受到内存空间和计算能力等资源的限制，因此在实现系统功能的同时，还应考虑密钥算法的复杂度。应用轻量级算法可以有效改善由于算法复杂度过高导致的计算开销问题。然而，目前大多数无线体域网环境中的轻量级密钥认证协商协议不能同时满足用户匿名、前向安全以及抗异步攻击。

由于无线体域网中的传感器节点属于资源限制设备，通常选择使用轻量级密码协议，如仅使用分组密码算法、hash函数以及异或运算等轻量级密码原语。然而，目前研究提出的利用分组密码算法等轻量级密码原语设计具有前向安全的匿名认证协议是非常困难的，这是因为达到该安全目标会引起异步攻击。

发明内容

本发明的目的在于解决具有前向安全的匿名认证密钥协商协议存在异步攻击的问题，提供一种基于无线体域网的群匿名认证方法，实现用户匿名认证，抵抗传感器节点被攻击。

为了实现上述发明目的，本发明实施例提供了以下技术方案：

基于无线体域网的群匿名认证方法，包括以下步骤：

系统初始化阶段：网关节点发布安全哈希函数，并利用中国剩余定理将用户分组后计算各个用户组的密钥；

传感器节点注册阶段：部署新的传感器节点时，向网关节点申请注册，注册后网关节点给传感器节点返回相关参数；

用户注册阶段：新的用户需要访问传感器节点之前，向网关节点申请注册，注册后网关节点给用户返回相关参数；

用户与传感器节点相互认证阶段：用户需要访问传感器节点的健康数据时，通过网关节点完成用户与传感器之间的相互认证；

用户口令更新阶段：用户若要更改新的口令，则更新智能卡中的相关参数。

与现有技术相比，本发明的有益效果：

（1）相互认证：用户和网关节点之间的认证通过计算用户的真实身份来达到相互认证，显然，若没有K_ui和k_j，则攻击者无法伪造用户或传感器节点的合法身份来验证信息，而在传感器节点和网关节点之间的通信中，传感器节点与网关节点验证V₂*、V₃*与接收到的V₂、V₃是否相等来完成相互认证，同样的，若没有r_k，任何人都无法伪造合法的认证消息。

（2）用户匿名：用户匿名主要包括用户身份匿名和用户不可追踪性，用户匿名指攻击者不能通过在公开信道上传输的消息猜出用户的真实身份，用户不可追踪性是指攻击者不能通过公开信道上传输的多条消息确定是否是同一用户发送的。在通信中，使用群假名GID_s替代真实的用户ID，使用群密钥kg_s对Au_j进行加密，这样对后续用户、传感器节点、网关节点之间的通信都起到了信息保护。在认证过程中，网关节点可以通过该群假名找到对应的群密钥kg_s和Z_s，然后对Au_j进行解密，使用中国剩余定理计算ID_st+j=Au_j mod Z_s，从而获得用户真实的身份ID_st+j。由于是群假名，攻击者只能得到消息发送者属于某个用户组，但不知道具体是哪一个用户组。同时，对于组内中用户，虽然能得到该发送者对应的Au_j，但由于Au_j也是{ID_j,ID_t+j,ID_2t+j,...,ID_(m-1)t+j}的解，同组用户仍然不能得知用户真实的ID。

（3）前向安全：前向安全是认证密钥协商协议中必须要考虑的重要属性，即若通信参与方的长期密钥泄漏，攻击者不会得到通信参与方之前协商的会话密钥。本方案中假定攻击者已经获得了K_ui和r_k，攻击者仍然无法恢复R₂，这是因为每次会话结束后，r_k都会更新，即r_k=H₁(r_k||ID_snk)，由于安全哈希函数具有单向性，攻击者即使获取了当前的密钥，也不能计算出以前会话所使用的密钥，从而保证了前向安全性。

（4）抗异步攻击：在本方案中，由于在每次通信过程中用户都使用一个群假名GID_s进行通信，并且加上了时间戳来验证消息的新鲜性，因此可以抵抗异步攻击。

（5）双因子安全：在本方案中，假设攻击者获得了用户口令而伪造合法用户，并且获得了智能卡SC中的秘密信息，由于存在|DPW/1024|，其中|DPW|是密码空间，攻击者仍然猜不出正确的口令，因此可以提供双因子安全。

（6）抵抗错误口令和更新攻击：在本方案中，如果输入错误的口令，智能卡将会计算V_ui`，并与V_ui进行比较，能够快速的监测错误登录和更新攻击。

（7）抵抗智能卡丢失攻击：在本方案中，假设攻击者获得了智能卡中的秘密信息{GID_s,kg_s,F_i,V_ui}，攻击者猜测候选值PW_i`，并计算P<sub>ui</sub>`、V_ui`，然后确定V<sub>ui</sub>`与存储的V_ui是否相等，如果相等，攻击者就得到了正确的PW_i，否则将一直重复上述步骤。此外，安全哈希函数H₂的数量是1024，因此攻击者无法确定是哪个候选口令是对应用户的正确口令，从理论和时间上证明，这种模糊的验证方法可以有效抵抗智能卡丢失攻击。

（8）抵抗内部攻击：在用户注册阶段，用户向网关节点发送的不是口令PW_i，而是P_ui，网关节点并不知道随机数b_i，在这个过程中，由于安全哈希函数的单向性，内部人员无法猜测出正确的PW_i，因此本方案能抵抗内部攻击。

（9）抵抗传感器节点欺骗攻击：在本方案中，如果恶意的传感器节点想伪造一个合法的用户或者其他传感器节点，则必须伪造身份验证信息V₁=H₃(R₁||K_ui||GID_s||T)和V₃=H₃(ID_i||ID_snk||R₂||GS_k)，显然，传感器节点只有自己的长期密钥，没有其他传感器节点或用户的长期密钥，因此传感器节点无法假冒合法用户或者其他合法的传感器节点，因此，本方案可以抵抗传感器节点欺骗攻击。

（10）抵抗中间人攻击：在本方案中，在公共信道中传输的消息受到k_j、K_ui和r_k的保护，没有这些秘密值，任何人都无法伪造合法的身份验证消息，因此，本方案可以抵抗中间人攻击。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明无线体域网系统模块示意图；

图2为本发明实施例步骤1中Au_j与GID_s的对应关系图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性，或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。另外，术语“相连”、“连接”等可以是元件之间直接相连，也可以是经由其他元件的间接相连。

实施例1：

本发明所涉及的无线体域网系统如图1所示包括四个部分：传感器节点SN_k、用户U_i、网关节点GWN、智能卡SC。其中，SN_k表示第k个传感器节点，1≤k≤K，负责收集和监测患者的健康数据；U_i表示第i个用户，1≤i≤N，如医院、医生，用户U_i使用智能卡从所需的传感器节点SN_k处获取患者实时的健康数据；网关节点GWN是一个可信的第三方，负责生成系统安全参数，并且有足够的计算资源作为用户U_i和传感器节点SN_k之间的必要安全接口。

本发明通过下述技术方案实现：

在系统初始化阶段，网关节点GWN初始化生成系统安全参数，并发布。

在传感器节点注册阶段，当部署新的传感器节点SN_k时，需要在网关节点GWN中申请注册，注册后给传感器节点SN_k返回相关参数。

在用户注册阶段，当新的用户U_i想要直接访问传感器节点SN_k时，需要向网关节点GWN提交注册申请，注册后给用户U_i返回相关参数。

在用户与传感器节点相互认证阶段，当用户U_i想要直接访问传感器阶段SN_k时，需保证它们之间的相互认证。

在用户口令更新阶段，如果用户U_i想要更改新的口令，则需要更新智能卡SC中的相关参数。

详细来说，一种基于无线体域网的群匿名认证方法，包括以下步骤（需要说明的是，下述步骤之间没有严格的顺序关系，特别是步骤2、步骤3可以交换顺序，步骤4、步骤5可以交换顺序）：

步骤1，网关节点发布安全哈希函数，并利用中国剩余定理将用户分组后计算各个用户组的密钥。

本步骤为系统初始化阶段，网关节点GWN协商4个安全哈希函数，分别为H₀、H₁、H₂、H₃，有：

H₀:{0,1}^*→{0,1}⁵¹²

H₁:{0,1}^*→{0,1}²⁵⁶

H₂:{0,1}^*→{0,1,...,1023}

H₃{0,1}^*→{0,1}¹⁶⁰

其中，H₀将输入的任意长度的二进制串转换为长度为512的二进制串输出；H₁将输入的任意长度的二进制串转换为长度为256的二进制串输出；H₂将输入的任意长度的二进制串转换为集合{0,1,...,1023}中的任意一个元素作为输出；H₃将输入的任意长度的二进制串转换为长度为160的二进制串输出。

本方案采用中国剩余定理来解决无线体域网中用户匿名问题，网关节点GWN中预设有N个用户，即U₁,U₂,...,U_N，各个用户的身份为ID₁,ID₂,...,ID_N，每t个用户为一个用户组，共有m=N/t个组（假设N是t的倍数）。设第s个用户组{U_s1,U_s2,…U_st}共同拥有群假名GID_s，群密钥kg_s，s∈m。网关节点GWN选择m个两两互素的整数Z₁,Z₂,...,Z_m，利用中国剩余定理计算：

得到Au₁={ID₁,ID_t+1,ID_2t+1,...,ID_(m-1)t+1}的同余方程解，每一个Au_j都对应一个密钥k_j，j∈t，对应关系请参见图2，对应关系表如表1所示。

表1

在通信中使用群假名GID_s替代用户真实的ID，使用群密钥kg_s对Au_j进行加密，从而实现匿名。在认证过程中，网关节点GWN可以通过群假名找到对应的密钥kg_s和Z_s，然后对Au_j进行解密，使用中国剩余定理计算ID_st+j=Au_j mod Z_s，从而获得用户的真实身份ID_st+j。由于使用的是群假名，攻击者只能得到消息发送者属于某个用户组，但不知道具体是哪个用户组。同时，对于组内用户，虽然能得到该发送者对应的Au_j，但由于Au_j也是{ID_j,ID_t+j,ID_2t+j,...,ID_(m-1)t+j}的解，同组用户仍然不能得知用户真实的ID。

步骤2，部署新的传感器节点时，向网关节点申请注册，注册后网关节点给传感器节点返回相关参数。

本步骤为传感器节点注册阶段，传感器节点SN_k通过安全信道将其真实身份ID_snk发送给网关节点GWN，网关节点GWN收到ID_snk后，首先检查ID_snk在传感器节点身份信息表中是否存在，如果存在，则拒绝该注册请求；否则，网关节点GWN随机生成一个随机数r_k，初始化序列号SG_k=GS_k=0。

网关节点GWN将元信息{r_k,ID_snk,GS_k}添加到传感器节点身份信息表中，并通过安全信道将{SG_k,r_k}发送给传感器节点SN_k。传感器节点SN_k接收到{SG_k,r_k}后将其秘密存储起来。

步骤3，新的用户需要访问传感器节点之前，向网关节点申请注册，注册后网关节点给用户返回相关参数。

本步骤为用户注册阶段，用户U_i生成自身的口令PW_i，并随机生成一个随机数b_i，计算哈希值P_ui=H₀(PW_i||b_i)，其中||表示连接符，通过安全信道将{P_ui}发送给网关节点GWN。

网关节点GWN接收到{P_ui}后，由于在初始化阶段已经生成了N个ID，即ID₁,ID₂,...,ID_N，从中随机选择一个还未被使用的ID_i分配给当前注册用户U_i，通过分配的ID_i可以知道对应的群假名GID_s和Au_j，以及对应的群密钥kg_s和密钥k_j。接下来网关节点GWN选取一个随机数o_i，计算哈希值K_ui=H₁(ID_i||k_j||o_i)，计算密文F_i=P_ui⊕(K_ui||Au_j)，计算哈希值V_ui=H₃(H₂(K_ui||Au_j||P_ui)) ，⊕表示异或符号。网关节点GWN将元信息{GID_s,ID_i,o_i}添加到用户身份信息表中，并将{GID_s,kg_s,F_i,V_ui}存储到智能卡SC中。

最后，网关节点GWN通过安全信道将智能卡SC发送给用户U_i。用户U_i收到智能卡SC后，将随机数b_i存储到智能卡SC中。

步骤4，用户需要访问传感器节点的健康数据时，通过网关节点完成用户与传感器之间的相互认证。

本步骤为用户与传感器节点相互认证阶段，用户U_i将口令PW_i输入智能卡SC中，智能卡SC计算哈希值P_ui*=H₀(b_i||PW_i)，计算K_ui||Au_j=F_i⊕P_ui*，计算哈希值V_ui*=H₃(H₂(K_ui||Au_j||P_ui*))，比较V_ui*与存储的V_ui是否相等，若不相当，则拒绝用户U_i登录请求；否则，智能卡SC允许用户U_i登录请求。接着，智能卡SC计算密文CT₁=Au_j⊕H₀(GID_s||kg_s||T)，T为当前时间戳，随机生成一个随机数R₁，计算密文CT₂=(R₁||ID_snk)⊕(GID_s||Au_j||K_ui||T)，计算哈希值V₁=H₃(R₁||K_ui||GID_s||T)。智能卡SC通过安全信道将元信息{GID_s,CT₁,CT₂,V₁,T}发送给网关节点GWN。

当网关节点GWN接收到用户U_i的智能卡SC发送的元信息后，首先验证当前时间戳T是否新鲜，若不新鲜，则网关节点GWN将终止回话；否则，网关节点GWN通过接收到的群假名GID_s找到对应的群密钥kg_s，计算Au_j=CT₁⊕H₀(GID_s||kg_s||T)，计算ID_i=Au_j mod Z_s，得到用户U_i的真实ID_i，计算哈希值K_ui=H₁(ID_i||k_j||o_i)，计算R₁||ID_snk=CT₂⊕H₀(GID_s||Au_j||K_ui||T)，计算哈希值V₁`=H<sub>3</sub>(R<sub>1</sub>||K<sub>ui</sub>||GID<sub>s</sub>|T)，比较V<sub>1</sub>`与V₁是否相等，如果不相等，则网关节点GWN拒绝此会话；如果相等，则网关节点GWN随机选择一个会话密钥R₂，计算密文CT₃=(R₂||ID_i)⊕H₀(GS_k||ID_snk||r_k)，计算哈希值V₂=H₃(R₂||ID_i||ID_snk||GS_k||r_k)。随后，网关节点GWN更新随机数r_k=H₁(r_k||ID_snk)，使序列号GS_k=GS_k+1，通过公共信道将元信息{GS_k,CT₃,V₂}发送给传感器节点SN_k。

传感器节点SN_k接收到元信息后，首先检查等式1≤GS_k-SG_k≤B是否成立，其中B是由特定应用环境确定的阈值，如果不成立，则传感器节点SN_k拒绝此会话；否则，传感器节点SN_k设置随机数r_k*=r_k，并计算x次r_k*=H₁(ID_snk||r_k*)，x=GS_k-SG_k-1，计算R₂||ID_i=CT₃⊕H₀(r_k*||(GS_k-1)||ID_snk)，计算哈希值V₂*=H₃(R₂||ID_i||ID_snk||(GS_k-1)||r_k*)。比较V₂*与V₂是否相等，如果不相等，则传感器节点SN_k拒绝此会话；否则，传感器节点SN_k计算哈希值V₃=H₃(ID_i||ID_snk||R₂||GS_k)，并更新随机数r_k=H₁(r_k*||ID_snk)，使SG_k=GS_k。最后，传感器节点SN_k向网关节点GWN发送元信息{ID_snk,V₃}。

网关节点GWN计算哈希值V₃*=H₃(ID_i||ID_snk||R₂||GS_k)，比较V₃*与V₃是否相等，如果不相等，则网关节点GWN拒绝此会话；否则，网关节点GWN计算密文CT₄=(R₂||ID_i)⊕H₀(ID_snk||R₁||K_ui||Au_j)，计算哈希值V₄=H₃(R₂||R₁||ID_i||ID_snk)，将元信息{CT₄,V₄}发送给用户U_i。

用户U_i收到元信息{CT₄,V₄}后，计算(R₂||ID_i)=CT₄⊕H₀(ID_snk||R₁||K_ui||Au_j)，计算哈希值V₄*=H₃(R₂||R₁||ID_i||ID_snk)，比较V₄*与V₄是否相等，如果不相等，则用户U_i拒绝此会话；否则，用户U_i与传感器节点SN_k会话成功。

步骤5，用户若要更改新的口令，则更新智能卡中的相关参数。

本步骤为用户口令更新阶段，用户U_i向智能卡SC输入原始的口令PW_i，智能卡SC计算哈希值P_ui=H₀(b_i||PW_i)，计算K_ui||Au_j=F_i⊕P_ui，计算哈希值V_ui`=H<sub>3</sub>(H<sub>2</sub>(K<sub>ui</sub>||Au<sub>j</sub>||P<sub>ui</sub>*))，比较V<sub>ui</sub>`与V_ui是否相等，如果不相等，则智能卡SC拒绝本次更新请求；否则，用户U_i向智能卡输入新的口令PW_i*。

智能卡SC计算哈希值P_ui`=H<sub>0</sub>(PW<sub>i</sub>*||b<sub>i</sub>)，计算密文F<sub>i</sub>`=P_ui⊕(K_ui||Au_j)，计算哈希值V_ui``=H<sub>3</sub>(H<sub>2</sub>(K<sub>ui</sub>||A<sub>ui</sub>||P<sub>ui</sub>`))。最后，智能卡SC存储更新的口令PW<sub>i</sub>*，并使用F<sub>i</sub>`和V<sub>ui</sub>``替换F_i和V_ui。

实施例2：

本实施例在实施例1的基础上验证计算和通信性能，本方案通过一台搭载特尔酷睿i7-10700H CPU@2.90GHz RAM@1GB win10操作系统的电脑模拟用户，一台搭载特尔酷睿i7-10700H CPU @2.90GHz RAM@16GB CentOS操作系统的电脑模拟网关节点。一台搭载特尔酷睿i7-10700H CPU @2.90GHz RAM@16GB CentOS操作系统的电脑模拟传感器节点。由于初始化阶段、用户注册阶段、传感节点注册阶段、口令更新阶段工作的频率不高，因此本实验关注哈希运算的比较。使用T_h来表示一般哈希运算的时间复杂度，T_A表示对称加密和解密操作的时间复杂度，从表2显示了度量计算成本的符号及其运行时间。

表2

通过实验可知，用户U_i花费的时间复杂度为6T_h，网关节点花费的时间复杂度为10T_h，而传感器节点花费的时间复杂度为4T_h，总共的时间复杂度为20T_h≈0.203ms，由此可知，本方案的计算开销在可接受的范围内，并且保证了最强的安全性。

对于通信成本，将本方案的通信成本与最近相关方案Wang、shuai、Xiong、Fotouhi、Xiong、Li的通信成本进行比较，为了进行令人信服的比较，假设身份的比特长度(GID_s,ID_snk),时间戳T，序列号(SG_k,GS_k)，随机数R₁、会话密钥R₂和安全哈希函数H₃输出分别为64、24、32、32、256和160bits，为了计算CT₂=(R₁|| ID_snk)⊕H₀(GID_s||Au_j||K_ui||T)，截取H₀输出的高192位以保护(R₁||ID_snk)。因此，CT₂的比特长度是192比特。在本方案中，{GID_s,CT₁,CT₂,V₁,T},{GS_k,CT₂,V₂},{ID_snk,V₃}和{C₃,V₄}分别需要(64+192+32+24+160+32)=504，(32+256+64+160)=512，(64+160)=224，(256+160)=416，加上这四个值，总通信成本为1656位，如表3所示。

表3

而在通信效率中，从表3可以看出，本方案仅需要话费的通信成本为1656位，相较于其他方案，大幅度缩短了通信开销，展现出高性能、高效率的优点，更适合用于无线体域网环境中。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (5)

1.基于无线体域网的群匿名认证方法，其特征在于：包括以下步骤：

系统初始化阶段：网关节点发布安全哈希函数，并利用中国剩余定理将用户分组后计算各个用户组的密钥；

所述系统初始化阶段中，网关节点发布安全哈希函数，并利用中国剩余定理将用户分组后计算各个用户组的密钥的步骤，包括：

网关节点GWN协商4个安全哈希函数，分别为H₀、H₁、H₂、H₃，有：

H₀:{0,1}^*→{0,1}⁵¹²

H₁:{0,1}^*→{0,1}²⁵⁶

H₂:{0,1}^*→{0,1,...,1023}

H₃{0,1}^*→{0,1}¹⁶⁰

其中，H₀将输入的任意长度的二进制串转换为长度为512的二进制串输出；H₁将输入的任意长度的二进制串转换为长度为256的二进制串输出；H₂将输入的任意长度的二进制串转换为集合{0,1,...,1023}中的任意一个元素作为输出；H₃将输入的任意长度的二进制串转换为长度为160的二进制串输出；

网关节点GWN中预设有N个用户U₁,U₂,...,U_N，各个用户的身份为ID₁,ID₂,...,ID_N，每t个用户为一个用户组，共有m=N/t个组；第s个用户组{U_s1,U_s2,…U_st}共同拥有群假名GID_s，群密钥kg_s，s∈m；

网关节点GWN选择m个两两互素的整数Z₁,Z₂,...,Z_m，利用中国剩余定理计算：

得到Au₁={ID₁,ID_t+1,ID_2t+1,...,ID_(m-1)t+1}的同余方程解，每一个Au_j对应一个密钥k_j，j∈t，Au_j为{ID_j,ID_t+j,ID_2t+j,...,ID_(m-1)t+j}的解；使用群假名GID_s替代用户真实的ID，使用群密钥kg_s对Au_j进行加密；

传感器节点注册阶段：部署新的传感器节点时，向网关节点申请注册，注册后网关节点给传感器节点返回相关参数；

用户注册阶段：新的用户需要访问传感器节点之前，向网关节点申请注册，注册后网关节点给用户返回相关参数；

用户与传感器节点相互认证阶段：用户需要访问传感器节点的健康数据时，通过网关节点完成用户与传感器之间的相互认证；

用户口令更新阶段：用户若要更改新的口令，则更新智能卡中的相关参数。

2.根据权利要求1所述的基于无线体域网的群匿名认证方法，其特征在于：所述传感器节点注册阶段中，部署新的传感器节点时，向网关节点申请注册，注册后网关节点给传感器节点返回相关参数的步骤，包括：

传感器节点SN_k通过安全信道将其真实身份ID_snk发送给网关节点GWN，网关节点GWN收到ID_snk后，检查ID_snk在传感器节点身份信息表中是否存在，如果存在，则拒绝该注册请求；否则，网关节点GWN随机生成一个随机数r_k，初始化序列号SG_k=GS_k=0；

网关节点GWN将元信息{r_k,ID_snk,GS_k}添加到传感器节点身份信息表中，并通过安全信道将{SG_k,r_k}发送给传感器节点SN_k；传感器节点SN_k接收到{SG_k,r_k}后将其秘密存储起来。

3.根据权利要求2所述的基于无线体域网的群匿名认证方法，其特征在于：所述用户注册阶段中，新的用户需要访问传感器节点之前，向网关节点申请注册，注册后网关节点给用户返回相关参数的步骤，包括：

用户U_i生成自身的口令PW_i，并随机生成一个随机数b_i，计算哈希值P_ui=H₀(PW_i||b_i)，其中||表示连接符，通过安全信道将{P_ui}发送给网关节点GWN；

网关节点GWN接收到{P_ui}后，从ID₁,ID₂,...,ID_N中随机选择一个还未被使用的ID_i分配给当前注册用户U_i，通过分配的ID_i得到对应的群假名GID_s和Au_j，以及对应的群密钥kg_s和密钥k_j；网关节点GWN选取一个随机数o_i，计算哈希值K_ui=H₁(ID_i||k_j||o_i)，计算密文F_i=P_ui⊕(K_ui||Au_j)，计算哈希值V_ui=H₃(H₂(K_ui||Au_j||P_ui))，⊕表示异或符号；网关节点GWN将元信息{GID_s,ID_i,o_i}添加到用户身份信息表中，并将{GID_s,kg_s,F_i,V_ui}存储到智能卡SC中；

网关节点GWN通过安全信道将智能卡SC发送给用户U_i；用户U_i收到智能卡SC后，将随机数b_i存储到智能卡SC中。

4.根据权利要求3所述的基于无线体域网的群匿名认证方法，其特征在于：所述用户与传感器节点相互认证阶段中，用户需要访问传感器节点的健康数据时，通过网关节点完成用户与传感器之间的相互认证的步骤，包括：

用户U_i将口令PW_i输入智能卡SC中，智能卡SC计算哈希值P_ui*=H₀(b_i||PW_i)，计算K_ui||Au_j=F_i⊕P_ui*，计算哈希值V_ui*=H₃(H₂(K_ui||Au_j||P_ui*))，比较V_ui*与存储的V_ui是否相等，若不相当，则拒绝用户U_i登录请求；否则，智能卡SC允许用户U_i登录请求；智能卡SC计算密文CT₁=Au_j⊕H₀(GID_s||kg_s||T)，T为当前时间戳，随机生成随机数R₁，计算密文CT₂=(R₁||ID_snk)⊕(GID_s||Au_j||K_ui||T)，计算哈希值V₁=H₃(R₁||K_ui||GID_s||T)；智能卡SC通过安全信道将元信息{GID_s,CT₁,CT₂,V₁,T}发送给网关节点GWN；

网关节点GWN接收到用户U_i的智能卡SC发送的元信息后，验证当前时间戳T是否新鲜，若不新鲜，则网关节点GWN将终止回话；否则，网关节点GWN通过接收到的群假名GID_s找到对应的群密钥kg_s，计算Au_j=CT₁⊕H₀(GID_s||kg_s||T)，计算ID_i=Au_j mod Z_s，得到用户U_i的真实ID_i，计算哈希值K_ui=H₁(ID_i||k_j||o_i)，计算R₁||ID_snk=CT₂⊕H₀(GID_s||Au_j||K_ui||T)，计算哈希值V₁`=H<sub>3</sub>(R<sub>1</sub>||K<sub>ui</sub>||GID<sub>s</sub>|T)，比较V<sub>1</sub>`与V₁是否相等，如果不相等，则网关节点GWN拒绝此会话；如果相等，则网关节点GWN随机选择会话密钥R₂，计算密文CT₃=(R₂||ID_i)⊕H₀(GS_k||ID_snk||r_k)，计算哈希值V₂=H₃(R₂||ID_i||ID_snk||GS_k||r_k)；网关节点GWN更新随机数r_k=H₁(r_k||ID_snk)，使序列号GS_k=GS_k+1，通过公共信道将元信息{GS_k,CT₃,V₂}发送给传感器节点SN_k；

传感器节点SN_k接收到元信息后，检查等式1≤GS_k-SG_k≤B是否成立，其中B是由特定应用环境确定的阈值，如果不成立，则传感器节点SN_k拒绝此会话；否则，传感器节点SN_k设置随机数r_k*=r_k，并计算x次r_k*=H₁(ID_snk||r_k*)，x=GS_k-SG_k-1，计算R₂||ID_i=CT₃⊕H₀(r_k*||(GS_k-1)||ID_snk)，计算哈希值V₂*=H₃(R₂||ID_i||ID_snk||(GS_k-1)||r_k*)；比较V₂*与V₂是否相等，如果不相等，则传感器节点SN_k拒绝此会话；否则，传感器节点SN_k计算哈希值V₃=H₃(ID_i||ID_snk||R₂||GS_k)，并更新随机数r_k=H₁(r_k*||ID_snk)，使SG_k=GS_k；最后，传感器节点SN_k向网关节点GWN发送元信息{ID_snk,V₃}；

网关节点GWN计算哈希值V₃*=H₃(ID_i||ID_snk||R₂||GS_k)，比较V₃*与V₃是否相等，如果不相等，则网关节点GWN拒绝此会话；否则，网关节点GWN计算密文CT₄=(R₂||ID_i)⊕H₀(ID_snk||R₁||K_ui||Au_j)，计算哈希值V₄=H₃(R₂||R₁||ID_i||ID_snk)，将元信息{CT₄,V₄}发送给用户U_i；

用户U_i收到元信息{CT₄,V₄}后，计算(R₂||ID_i)=CT₄⊕H₀(ID_snk||R₁||K_ui||Au_j)，计算哈希值V₄*=H₃(R₂||R₁||ID_i||ID_snk)，比较V₄*与V₄是否相等，如果不相等，则用户U_i拒绝此会话；否则，用户U_i与传感器节点SN_k会话成功。

5.根据权利要求4所述的基于无线体域网的群匿名认证方法，其特征在于：所述用户口令更新阶段中，用户若要更改新的口令，则更新智能卡中的相关参数的步骤，包括：

用户U_i向智能卡SC输入原始的口令PW_i，智能卡SC计算哈希值P_ui=H₀(b_i||PW_i)，计算K_ui||Au_j=F_i⊕P_ui，计算哈希值V_ui`=H<sub>3</sub>(H<sub>2</sub>(K<sub>ui</sub>||Au<sub>j</sub>||P<sub>ui</sub>*))，比较V<sub>ui</sub>`与V_ui是否相等，如果不相等，则智能卡SC拒绝本次更新请求；否则，用户U_i向智能卡输入新的口令PW_i*；

智能卡SC计算哈希值P_ui`=H<sub>0</sub>(PW<sub>i</sub>*||b<sub>i</sub>)，计算密文F<sub>i</sub>`=P_ui⊕(K_ui||Au_j)，计算哈希值V_ui``=H<sub>3</sub>(H<sub>2</sub>(K<sub>ui</sub>||A<sub>ui</sub>||P<sub>ui</sub>`))；智能卡SC存储更新的口令PW<sub>i</sub>*，并使用F<sub>i</sub>`和V<sub>ui</sub>``替换F_i和V_ui。

Images