CN105978918B

CN105978918B - 一种适用于无线体域网通讯接入的双线性身份认证方法

Info

Publication number: CN105978918B
Application number: CN201610591959.6A
Authority: CN
Inventors: 郭东辉; 戴松松
Original assignee: Xiamen University
Current assignee: Xiamen University
Priority date: 2016-07-26
Filing date: 2016-07-26
Publication date: 2020-04-14
Anticipated expiration: 2036-07-26
Also published as: CN105978918A

Abstract

一种适用于无线体域网通讯接入的双线性身份认证方法，涉及无线体域网络安全。包括以下步骤：1)NM的***初始化，然后公布***参数；2)AP和C在NM处完成注册过程，C获得公钥Q_C和私钥S_C，AP获得公钥Q_AP和私钥S_AP；3)C生成随机数和时间戳，并结合私钥S_C和AP的公钥Q_AP构造消息1，向AP发送消息1；4)AP收到消息1，检查时间戳，利用私钥S_AP完成对C的认证；AP生成随机数和时间戳，并结合消息1,生成会话密钥和消息2，将消息2发送给C请求认证；5)C收到消息2，检查时间戳，结合C生成的随机数完成对AP的认证，再利用消息2生成会话密钥。可实现用户与应用服务提供商之间的双向认证。

Description

一种适用于无线体域网通讯接入的双线性身份认证方法

技术领域

本发明涉及无线体域网络安全，尤其是涉及一种适用于无线体域网通讯接入的双线性身份认证方法。

背景技术

随着传感器网络和无线通信的发展和进步,可穿戴式或植入式的传感器节点越来越普及,使得无线体域网络(WNAB；Wireless Body Area Network)广泛的应用于远程医疗保健和特殊人群护理等(^1.苌飞霸,尹军,颜乐先,彭润.一种可穿戴式无线体域网***的研究[J].生物医学工程与临床,2014(5):413-416，^2.马恒,陈军波,田军,陈心洁.基于体域网的个人健康监护***设计[J].测控技术,2015,34(1):24-27.)，无线体域网是无线传感网络(WSN；Wireless Sensor Network)分支之一。IEEE在2007年成立了IEEE 802 15.6工作小组,并于2012年发布IEEE 802 15.6标准，极大推动了无线体域网络的发展。无线体域网以人体为中心的网络,包含人体表面的可穿戴式(wearable)传感器或植入人体内部的植入式(implantable)传感器,以及一些可能的设备(如手机或电脑等)。

无线体域网也是物联网(IoT)医疗服务***的重要组成部分:通过人体表面或人体内的各种传感器节点,观测并收集人体的生理数据包括体温、血压、心率等,再将这些生理数据传送到医生、监护人员等相关人员的各种通信设备上，实现对体域网用户生理参数的实时分析和反馈,进而更好地监护病人、老年人或其他特殊人群,紧急情况可直接派出救护车。

无线体域网收集传送人体生理数据不可避免涉及个人隐私问题,需要具有高安全性的信息保护措施为这些数据提供保护,否则这些数据很有可能被第三方获得，作为信息保护的第一道屏障,身份认证可以防止伪装,篡改,在网络信息安全中起到了重要作用。同时,无线体域网的节点少、范围小、资源有限、高度敏感等特点都对数据加密和身份认证提出了新的挑战(^3.宫继兵,王睿,崔莉.体域网BSN的研究进展及面临的挑战[J].计算机研究与发展,2010,47(5):737-753，^4.高鹏,杨永健,杜占玮,吴方明.无线体域网隐私保护技术研究[J].计算机应用研究,2013,30(11):3209-3215.)，在传统公钥密码体制中,公钥和用户身份通常由证书权威中心(CA；Certificate Authority)颁发的公钥证书来绑定。而使用公钥证书整个网络具有过大的通讯量和管理负载。为了克服这个缺陷，基于身份的公钥密码体制中，用户的公钥就是其可公开的身份ID，这样在认证的过程中不需要证书的传递和验证。

因此，如何根据WBAN的特点和所要面临的安全威胁，来设计一种好的认证方法，已成为目前的研究热点。

发明内容

本发明的目的在于提供能实现用户与应用服务提供商之间的双向认证并产生会话密钥，基于椭圆曲线双线性对的一种适用于无线体域网通讯接入的双线性身份认证方法。

本发明涉及三个参与者:网络管理者(NM；network manager)、应用服务提供商(AP；application provider)和用户(C；Client)。

本发明包括以下步骤：

1)NM的***初始化，然后公布***参数；

2)AP和C在NM处完成注册过程，C获得公钥Q_C和私钥S_C，AP获得公钥Q_AP和私钥S_AP；

3)C生成随机数和时间戳，并结合私钥S_C和AP的公钥Q_AP构造消息1，向AP发送消息1；

4)AP收到消息1，检查时间戳，利用私钥S_AP完成对C的认证；AP生成随机数和时间戳，并结合消息1,生成会话密钥和消息2，将消息2发送给C请求认证；

5)C收到消息2，检查时间戳，结合C生成的随机数完成对AP的认证，再利用消息2生成会话密钥。

本发明的有益效果如下：

一、安全分析：

1，用户匿名性

用户的身份信息隐藏在消息中，攻击者没有C或AP的私钥，无法计算得到消息，因此也无法解密消息得到用户身份信息。

2，双向认证

本发明能实现双向认证。应用服务提供商AP能通过C发送的消息来认证C。C可以通过检查AP发送的消息来认证AP。

3，完全前向保密性

一个协议如果具有前向保密性，是指：如果参与实体的私钥被攻破并不影响以前的会话密钥的安全性。即便攻击者得到C和AP的私钥,也无法得到过去的会话密钥，因为每一次会话密钥的都需要C和AP各自产生的随机数。因此,本发明可以提供完全前向保密性。

4，已知密钥的安全性

已知密钥的安全性意味着：每两个通信实体之间的认证和密钥协商方法的运行产生唯一的密钥。在本发明中，每一次会话秘密都通过C和AP各自产生的随机数计算出来的。即便过去会话密钥泄露了，当前的密钥仍然是安全的。因此，本发明提供了已知密钥的安全性。

二、可以抵御的攻击：

1，重放攻击

C和AP双方分别通过检查相应时间戳的新鲜性来抵御重放攻击。

2，伪装攻击

AP和C之间的双向认证可以抵抗伪装攻击。

3，中间人攻击

中间人攻击是以积极窃听的形式为主，在受害者之间进行信息重放，并使他们相信他们正在通过专用的信道直接会话，事实上，整个会话的进行都是被攻击者所控制。在本发明中，如果一个攻击者想要假冒AP，然后与C交流，攻击者就必须发送有效信息。然而，因为没有AP的私钥，要提供有效的信息是困难的。同样的，如果一个攻击者想要假冒C与AP交流也是困难的。因此可以抵抗中间人攻击。

4，校验值丢失攻击

校验值丢失攻击意味着攻击者窃取了密码校验值，使得在认证过程中，可以直接用它伪装成合法用户。在本方法中，服务器不维护任何密码验证表。因此我们的协议能够抵抗校验值丢失攻击。

5，篡改攻击

对手试图在未经授权的方式下修改信息。这是一个对信息的完整性的攻击。在本发明中，AP能通过验证C发送的信息来发现篡改者。C能通过验证AP发送的信息来发现篡改者。因此，我们的协议能够抵抗篡改攻击。

附图说明

图1是本发明的注册阶段的流程图。

图2是本发明的认证阶段的流程图。

具体实施方式

以下实施例将结合附图详细说明本发明的实施方式。

本发明所要用到的符号,具体如下定义：

p，q：大素数；

G₁：阶为q的加群；

G₂：阶为q的乘群；

e：双线性映射e:G₁×G₁→G₂；

P：G₁的生成元；

h：安全hash函数h:{0,1}*→Z_q；

H：安全hash函数H:{0,1}*→G₁；

||：连接符；

ID_C：:无线体域网用户C的身份信息；

ID_AP：应用服务提供商AP的身份；

s_NM：网络管理者NM的私钥；

Q_NM：NM的公钥,Q_NM＝s_NM·P；

E_k(·)/D_k(·)$：密钥为k的加/解密；

本发明是一种适用于无线体域网通讯接入的双线性身份认证方法,本发明包括如下三个阶段：初始化阶段、注册阶段和认证阶段。其中“初始化阶段”包括WBAN中***参数建立；“注册阶段”则由网络管理者帮助应用服务提供商和无线体域网用户建立各自私钥；“认证阶段”应用服务提供商和无线体域网用户之间进行双向认证并建立会话密钥。

1)初始化阶段

网络管理者NM挑选私钥s_NM,计算其公钥Q_NM＝s_NM·P，并公布相应的***参数{q,G₁,G₂,e,P,h,H,Q_NM}。

2)注册阶段

本发明的注册阶段如图1所示。应用服务提供商AP向网络管理者NM提供身份信息ID_AP。网络管理者NM为应用服务提供商AP挑选私钥s_AP，计算公钥Q_AP＝s_AP·P，发送私钥s_AP给应用服务提供商AP，应用服务提供商AP保存s_AP，计算并保存公钥Q_AP＝s_AP·P。无线体域网用户C向网络管理者NM提供身份信息ID_C。NM计算Q_C＝H(ID_C),和S_C＝s_NM×Q_C,将S_C发送给用户C，作为用户C的私钥。

3)认证阶段

本发明的认证阶段如图2所示。

步骤1：C随机选取r₁并生成时间戳T₁。计算R₁＝r₁·P，R₂＝r₁·Q_AP，K₁＝e(S_C，Q_AP)，A₁＝H(R₂||K₁)和Auch₁＝E_R1(ID_{C}||T₁||A₁)。C发送消息m₁＝{R₂,T₁,Auth₁}给AP。

步骤2：AP收到消息m₁,检查T₁的新鲜性。如果T₁不是新鲜的,AP拒绝认证请求；否则,AP计算R₃＝s^-1 _AP·R₂，通过解密Auch₁得到(ID_C||T₁||R₂||K₁)。再计算Q_C＝H(ID_C),K₂＝e(s_AP·Q_C,Q_NM)和A₂＝H(R₂||K₂)。检查Auch₁＝E_R3(ID_C||T₁||A₂)是否成立。如果不成立,AP拒绝认证请求；否则,AP随机选取r₂并生成时间戳T₂。再计算R₄＝r₂·P，R₅＝r₂·R₃和Auth₂＝h(T₁||R₂||T₂||K₂_{2})得到会话密钥S_C-AP＝h(T₁||R₃||T₂||K₂||R₅)。之后AP发送消息m₂＝{R₄,T₂,Auth₂}给C。

步骤3：收到消息m₂,C检查T₂的新鲜性。如果不是新鲜的,C拒绝认证请求；否则,C计算R₆＝r₁·R₄并检查Auch₂＝h(T₁||R₂||T₂||K₁)是否成立。如果不成立,C拒绝认证请求；否则,C计算得到会话密钥S_C-AP＝h(T₁||R₁||T₂||K₁||R₆)。

Claims

1.一种适用于无线体域网通讯接入的双线性身份认证方法，其特征在于包括以下步骤：

1)网络管理者的***初始化，然后公布***参数；***参数为{q,G₁,G₂,e,P,h,H,Q_NM}，其中，q表示大素数，G₁表示阶为q的加群，G₂表示阶为q的乘群，e表示双线性映射e:G₁×G₁→G₂，P表示G₁的生成元，h表示安全hash函数h:{0,1}*→Z_q，H表示安全hash函数H:{0,1}*→G₁，Q_NM表示NM的公钥,Q_NM＝s_NM·P，其中，s_NM表示网络管理者NM的私钥；

2)应用服务提供商和用户在网络管理者处完成注册过程，用户获得其公钥和私钥，其公/私钥为(Q_C，S_C)，其中，Q_C＝H(ID_C)，ID_C表示无线体域网用户C的身份信息，S_C＝s_NM×Q_C，应用服务提供商获得其公钥和私钥；其公/私钥为(Q_AP,s_AP)，其中，Q_AP＝s_AP·P；

3)用户生成的随机数和时间戳、并结合其私钥和应用服务提供商的公钥构造认证消息1，向应用服务提供商发送消息1；消息1为{R₂,T₁,Auth₁}，其中，R₁＝r₁·P，r₁为Z_q上的随机选择的整数，R₂＝r₁·Q_AP，K₁＝e(S_C，Q_AP)，A₁＝H(R₂||K₁)，Auch₁＝E_R1(ID_C||T₁||A₁)，||是连接符；·是椭圆曲线上的点乘运算；

4)应用服务提供商收到消息1，检查时间戳，利用其私钥完成对用户的认证；检查Auch₁＝E_R3(ID_C||T₁||A₂)，其中，R₃＝s^-1 _AP·R₂，Q_C＝H(ID_C),K₂＝e(s_AP·Q_C,Q_NM)，A₂＝H(R₂||K₂)；应用服务提供商生成随机数和时间戳，并结合消息1，生成会话密钥和认证消息2，将消息2发送给用户请求认证；会话密钥为S_C-AP＝h(T₁||R₃||T₂||K₂||R₅)，消息2为{R₄,T₂,Auth₂}，其中，R₄＝r₂·P，R₅＝r₂·R₃，Auth₂＝h(T₁||R₂||T₂||K₂)；

5)用户收到消息2，检查时间戳，再完成对应用服务提供商的认证，检查Auch₂＝h(T₁||R₂||T₂||K₁)，再利用消息2生成会话密钥，会话密钥为S_C-AP＝h(T₁||R₁||T₂||K₁||R₆)，其中R₆＝r₁·R₄。