CN111884991A - 一种面向智能家居的用户可监管匿名身份认证方法 - Google Patents

Abstract

本发明公开了一种面向智能家居的用户可监管匿名身份认证方法。本发明涉及IFTTT服务器、用户、智能设备、应用服务器和区块链。本发明首先***进行初始化，生成***所需参数；然后，用户U和应用服务器向IS注册以及智能设备SD向用户U注册；接着，智能设备SD代表用户U访问应用服务器实现匿名双向认证，双向认证完毕后，应用服务器向区块链写入认证结果；最后用户U通过自己的私钥和IS‑认证密钥监管自己的智能设备SD，最终实现可监管的匿名认证协议。本发明引入区块链技术，构建用户可监管的智能设备访问外网时的匿名认证方法，利用区块链不可篡改的特性，用户可以随时通过区块链监管智能设备的所有行为，从而实现完全控制该智能设备。

Description

一种面向智能家居的用户可监管匿名身份认证方法

技术领域

本发明涉及匿名认证技术领域，具体涉及一种面向智能家居的用户可监管匿名身份认证方法。

背景技术

随着机器学习、人工智能技术的飞速发展，具备自治和保姆式服务的智能家居网正变得越来越普及。智能家居设备不仅可以感知家庭环境，而且可以自主的为家庭用户做出各种行为，如访问外网进行购买、订阅、请求帮助、能源分享等等，使得用户可以轻松享受生活。

在这种场景下，虽然已经有一些匿名身份认证技术被提出；但是，所提出的协议不能满足用户对智能设备代表用户执行的各种网络行为进行随时监管的需求。因此，本发明提出了智能家居网内智能设备代表用户访问外网服务场景下的、用户可监管的匿名认证方法，使得智能家居访问应用服务时的匿名性的同时允许用户监管。

发明内容

本发明主要针对先存在的匿名身份认证技术的不足，提供的一种一种面向智能家居的用户可监管匿名身份认证方法。本发明包括IFTTT服务器、用户、智能设备、应用服务器和区块链组件，各个组件交互步骤如下：

(1)***初始化；IFTTT服务器、用户和区块链分别初始化，生成***所需参数；

(2)用户和应用服务器分别向IFTTT服务器注册；获取各自的IS-认证密钥用以证明自己的真实性和合法性；

(3)智能设备向用户注册；智能设备在进行外网访问前，需要向用户进行注册，以获得用户的IS-认证密钥以及用户的身份ID；而用户端通过管理授权智能设备的ID和对应的公钥实现后续监管；

(4)智能设备代表用户访问应用服务器实现匿名双向认证；智能设备生成可供用户监管的公钥，并使用用户的IS-认证密钥和身份ID，向应用服务器发起认证请求，实现匿名的双向认证；

(5)认证结果上链；双向认证完毕后，应用服务器向区块链写入认证结果，将本次认证的智能设备的公钥和对所认证公钥的签名等信息以区块链业务交易的形式存储到区块链中；

(6)用户监管智能设备；用户通过自己的私钥SK_U解密属于自己智能设备产生的一次性公钥，然后利用自己的IS-认证密钥

解密出该智能设备和应用服务器通信的会话密钥从而实现完全监管。

进一步的，步骤(1)所述的初始化，具体如下：

IFTTT服务器初始化：为应用服务器和用户提供可信IS-认证密钥准备好参数；用户初始化：为内部的智能设备安全通信准备好参数；区块链初始化：基于双线性映射加密方案的参数，为所有用户和智能设备的监管准备好参数；具体实现如下：

1-1.用户U单独为家居网内智能设备初始化参数和公私钥对：

用户U首先选择一个大素数p_u，并在有限域

下选择一条椭圆曲线

接着，用户U选择一个阶为n_u的椭圆曲线

上的一个基点P_u，以及一个随机数x_u，计算Q_u＝x_u·P_u；然后，用户U秘密保存自己的私钥SK_U＝x_u；当智能设备注册时，用户将其公钥PK_U＝Q_u和参数{E_pu(a_u，b_u)，p_u，P_u}发给智能设备；

1-2.区块链平台为所有的用户初始化***公共参数

区块链平台为所有用户选定一个双线性群

生成元

并令P₁＝ψ(P₂)，同时选择函数

形成公共参数：

其中p为群

的阶，

为双线性映射函数——Weil配对算法；明文空间

密文空间

当智能设备注册时，用户将其从区块链平台获得的公共参数pp发给智能设备。

进一步的，步骤(2)和步骤(3)所述的注册其具体实现如下：

2-1.用户U_i通过IFTTT网关HG_ig向IFTTT服务器IS注册并获取IS-认证密钥

注册完成后，IS并不存储认证密钥

及任何用户相关信息；IFTTT网关HG_ig备份存储

信息，用以预防用户的智能手机丢失后的恢复；用户U_i则存储

其中EID_i为用户注册时预留的恢复

用的扩展信息生成的伪名，user_secret是存储认证相关的随机数对，V_L是为了实现本地用户密码验证的校验值；

所述的智能手机是指控制智能设备的客户端；

2-2.应用服务器S_j向IFTTT服务器IS注册并获取IS-认证密钥

注册完成后，应用服务器S_j存储

其中nonce_j＝(r_1j，r_2j)是注册时产生的随机数对，即r_1j和r_2j均为随机数，SID_j为对用户公开的身份；而IFTTT服务器IS并不存储

仅仅存储S_j的伪名及相关信息{rSID_j，mr_2j}，其中

同时将应用服务器的公钥

和私钥r_2j分别用PK_AS和SK_AS表示；

2-3.智能设备SD_t向用户U注册：

SD_t生成公私钥对：SD_t根据自己的身份标识tID∈{0，1}^*生成

接着生成随机数

生成私钥：

秘密保存，并计算

形成SD_t的公钥信息pk：

SD_t向用户U注册：

①智能设备发起请求，从用户U处获得公钥PK_U，参数

以及公共参数pp；

②SD_t使用用户的U的公钥PK_U执行基于椭圆曲线的加密消息

并发送给用户U；

③用户U收到RM1后，利用自己的私钥进行解密获得

用户根据智能设备的tID，重新计算其H₁运算的结果与

比对是否一致，来验证该智能设备是否属于自己的智能设备；如果一致，用户U首先保存好SD_t的公钥信息pk；并生成随机数μ₁，μ₂∈{0，1}^*，将要传输的IS-认证密钥

以及用户的身份rID_i，做如下计算：

r₂＝H₃(rID_i||μ₂)

回送{RM2，RM3}给智能设备SD_t，为方便后面描述简记RM2和RM3如下:RM2＝{RM2L，RM2R}，RM3＝{RM3L，RM3R}；

④SD_t收到后，使用私钥

以及RM2，计算出

接着，取出RM2的RM2R，进行如下操作，计算出

和μ′₁：

因为，

接着，SD_t使用

然后再计算r′₁P₁是否等于RM2L(即r₁P₁)，如果相等，则保存

否则终止；

SD_t用上面第③④步相同的计算，从RM3中取出rID_i并存储：

使用私钥

以及RM3，计算出

接着，取出RM3的RM3R，进行如下操作，计算出rID′_j和μ′₂：

因为，

接着，SD_t使用H₃(rID′_i||μ′₂)＝r′₂，然后再计算r′₂P₁是否等于RM3L(即r₂P₁)，如果相等，则保存rID_i，否则终止；

至此，智能设备存储自己的公钥信息pk，秘密保存存储

进一步的，步骤(4)所述的匿名双向认证，智能设备SD_t代表用户U向应用服务器AS访问时，每一次应用业务访问均生成一次性伪公钥(FPK)：

3-1智能设备SD_t生成一次性伪公钥FPK向服务器AS发起认证请求：

SD_t首先获取应用服务器的身份SID_j及相应的公钥PK_AS，并随机生成k以及点Q_t＝(x，y)，进行如下计算：

接着，SD_t生成随机数

P_pub＝t·P₁，生成一次性伪公钥

其中，

因为：

并生成伪公钥对应的私钥：FSK＝t·FPK，存储于本地用于完成后续的交互所需；

再者，计算mM₂＝PXor(M₂，Q_t)，mFPK＝PXor(FPK，Q_t)，mP_pub＝PXor(P_pub，Q_t)，V_u＝h(M₁||SID_j||FPK||P_pub||T₁)，V＝h(mM₂，M₃，mFPK，mP_pub，V_u，T₁)；

所述的PXor操作，具体如下：

定义1：PXor(A，B)；表示点A和点B的横纵坐标分别做异或

操作，即

定义2：PXor(a，B)；表示数a和点B的横纵坐标都做异或

操作，即

最后，SD_t发送{mM₂，M₃，mFPK，mP_pub，V_u，T₁，V}给应用服务器；需要说明的是当一次业务需要多次不同时间登录进行操作时，需要多次认证的话，Q_t是每次登录认证时随机生成的，其他的对应一次业务不变；

3-2.应用服务器AS认证智能设备SD_t

应用服务器收到后，首先检查T_now-T₁≤ΔT是否符合？其中T_now指AS收到信息的时刻，T₁指SD_t发送信息的时刻，ΔT指***设置的阈值；如果上述表达式结果符合条件，则计算h(mM₂，M₃，mFPK，mP_pub，V_u，T₁)并验证是否与收到V一致？若不一致，则终止认证；否则应用服务器首先用自己的私钥SK_AS从M₃中解密出

计算

FPK^*＝PXor(mFPK，Q_t ^*)，

以及

验证

如果相等，应用服务器认为该SD_t代表的用户为合法用户；接着，应用服务器计算HQ_t ^*＝(h(x^*)，h(y^*))，

最后将{M₄，T₂，h(M₄，T₂)}返回给智能设备SD_t；

3-3智能设备SD_t认证应用服务器AS并确认会话密钥

SD_t收到后，检查T′_now-T₂≤ΔT是否符合，其中T′_now指SD_t收到信息的时刻，F₂指AS发送信息的时刻，ΔT指***设置的阈值,若不符合终止认证，否则计算HQ_t′＝PXor(M₄，M₁)＝(x′，y′)，同时计算HQ_t＝(h(x)，h(y))，并判断HQ_t′＝HQ_t是否成立？如果成立则说明该应用服务器为IFTTT服务器认证的合法应用服务器，同时将h(M₁)作为本次通话的会话密钥；

接着，SD_t随机生成r，计算出

因为

同时，计算M₅＝PXor(HQ_t，Q_t),M₆＝PXor(r，Q_t)，mSign_FSK(FPK)＝PXor(Sign_FSK(FPK)，Q_t)，V＝h(M₅，M₆，mSign_FSK(FPK)，T₃)；

最后，向应用服务器回送{M₅，M₆，mSign_FSK(FPK)，T₃，V}；

3-4应用服务器AS确认会话密钥

应用服务器收到后，检查T″_now-T₃≤ΔT是否符合，其中T″_now指AS收到信息的时刻，T₃指SD_t发送信息的时刻，ΔT指***设置的阈值；如果上述表达式结果符合条件,接着验证h(M₅，M₆，mSign_FSK(FPK)，T₃)是否与V符合，若不符合终止认证，否则计算PXor(HQ_t ^*，Q_t ^*)是否与M₅相等？如果相等则说明智能设备SD_t已经认证完毕并已确定了本次会话密钥

同时认为Q_t ^*＝Q_t，然后计算r＝PXor(M₆，Q_t ^*),Sign_FSK(FPK)＝PXor(mSign_FSK(FPK)，Q_t ^*)，执行上链操作，详见权力要求5；上链操作完毕，应用服务器也将

作为本次通话的会话密钥，后续的业务流程将使用该密钥完成。

进一步的，认证结果上链保存特征实现如下：

认证结束时，应用服务器将身份认证结果写入到区块链中；区块链的交易是以应用服务器的公钥作为地址发出的交易，除了含有应用服务器的签名、身份SID_j外，必须包含智能设备SD_t的FPK,r，Sign_FSK(FPK),P_pub,Time1，其中Time1为交易生成时间，其与Sign_FSK(FPK)中隐含的T₃之间的距离必须小于ΔT，矿工验证才能通过，确认其为新鲜的真实认证交易；

4-1.认证结果交易上链

为了完成有效的业务监管，智能设备和应用服务器完成双向认证后，应用服务器发起Type为Auth的交易，即

其中Tcontent为：

{SID_j，FPK，r，Sign_FSK(FPK)，P_pub，Time1，

矿工收到该交易后，确认该交易是Auth类型，判断Tin中的前一交易T_pre和输入脚本

是否均为

如果不是就终止；否则首先使用FPK，r，P_pub，计算

然后再计算

矿工首先判断FPK^*是否等于FPK，接着判断Time1-T₃≤ΔT，其中ΔT是预留的传输时延的阈值；如果均满足，则验证签名

是否正确；如果三项验证均满足，矿工将该交易打包上链；上链完成后，应用服务器才确认此次认证成功，并确定此次业务的密钥为

4-2.认证后业务交易上链

当应用服务器和智能设备SD_t后续进行业务交互产生需要监管的数据时，其产生Type为Merch的交易，Tin是中的前一交易T_pre必须是Type为Auth的交易或者一个可以追溯到Auth交易的一个Merch交易；

如果该交易由应用服务器发起，可表示为：

其中Tcontent为：

{SID_j，FPK，r，P_pub，M，Sign_FSK(M)，Time1，

其中，M为应用服务器和智能设备SD_t的使用会话密钥加密的业务数据，其可以随时供应用服务器和智能设备查阅，同时方便用户U监管自己的智能设备；

为基于椭圆曲线算法的签名过程；Time为智能设备SD_t对业务内容进行签名的时间，Time1为交易生成时间。

如果该交易由智能设备SD_t发起，可表示为

其中Tcontent为：

同样的，M为应用服务器和智能设备SD_t的使用会话密钥加密的业务数据；

为基于椭圆曲线算法的签名过程；Time为应用服务器对业务内容进行签名的时间，Time1为交易生成时间；其中：

矿工收到应用服务器发起的业务交易后，首先根据Tin找到初始的Auth交易，如果没找到则退出，否则使用FPK，r，P_pub，计算

然后再计算

矿工首先判断M^*是否等于M，如果相等则进一步判断Time1-Time≤ΔT；其中ΔT是预留的传输时延的阈值；最后验证签名

是否正确；如果三项验证均满足，矿工将该交易打包上链；

矿工收到智能设备SD_t发起的交易验证过程同上，具体为：

矿工收到智能设备SD_t发起的业务交易后，同样先根据Tin找到初始的Auth交易，如果没找到则退出，否则使用PK_AS从

取出M^*和Time，并判断M^*是否等于M，如果相等则使用FPK，r，P_pub，计算

然后再计算

矿工首先判断

以及SID_j ^*＝SID_j，FPK^*＝FPK，r^*＝r，P_pub ^*＝P_pub，

如果均相等则进一步判断Time1^*-Time≤ΔT；其中ΔT是预留的传输时延的阈值；如果三项验证均满足，矿工将该交易打包上链。

进一步的，监管特征实现如下：

用户通过查询区块链交易，针对每个交易的FPK，首先使用自己的私钥SK_U进行解密，如果可以成功解密出

同时再使用

验证签名

一致的情况下，即可说明此交易的FPK是用户所属智能设备进行的操作，为进一步查阅其后续业务数据流，用户U使用自己的

进行

同时计算出h(M₁)为本次会话的会话密钥，从而可以解密后续业务数据的密文M进行监管。

本发明有益效果：

本发明引入区块链技术，构建用户可监管的智能设备访问外网时的匿名认证方法，利用区块链不可篡改的特性，用户可以随时通过区块链监管智能设备的所有行为，从而实现完全控制该智能设备。

附图说明

图1***模型图；

图2整体流程图；

具体实施方式

下面结合附图和实施例对本发明作进一步说明。

如图1和2所示，一种面向智能家居的用户可监管匿名身份认证方法，其特征在于包括IFTTT服务器、用户、智能设备、应用服务器和区块链组件，各个组件交互步骤如下：

1初始化在该过程中，IFTTT服务器初始化：为应用服务器和用户提供可信IS-认证密钥准备好参数；其次，用户初始化：为内部的智能设备安全通信准备好参数；最后，区块链初始化：基于双线性映射加密方案的参数，为所有用户和智能设备的监管准备好参数。

1-1用户U单独为家居网内智能设备初始化参数和公私钥对

用户U首先选择一个大素数p_u，并在有限域

下选择一条椭圆曲线

接着，U选择一个阶为n_u的椭圆曲线

上的一个基点P_u，以及一个随机数x_u，计算Q_u＝x_u·P_u。然后，U秘密保存自己的私钥SK_U＝x_u；当智能设备注册时，用户将其公钥PK_U＝Q_u和参数

发给智能设备。

1-2区块链平台为所有的用户初始化***公共参数

区块链平台为所有用户选定一双线性群

生成元

并令P₁＝ψ(P₂)，同时选择函数

形成公共参数：

其中p为群

的阶，

为双线性映射函数——Weil配对算法。明文空间

密文空间

当智能设备注册时，用户将其从区块链平台获得的公共参数pp发给智能设备。

2用户和应用服务器分别向IFTTT服务器注册用户和应用服务器均事先向IFTTT服务器注册并获得IS-认证密钥方可进行下一步。

2-1用户U_i通过IFTTT网关HG_ig向IFTTT服务器IS注册并获取IS-认证密钥

注册完成后，IS并不存储认证密钥

及任何用户相关信息；IFTTT网关HG_ig备份存储

信息，用以预防用户智能手机丢失时的恢复；用户U_i则存储

其中EID_i为用户注册时预留的恢复

用的扩展信息生成的伪名，user_secret是存储认证相关的随机数对，V_L是为了实现本地用户密码验证的校验值。

2-2应用服务器S_j向IFTTT服务器IS注册并获取IS-认证密钥

注册完成后，S_j存储

其中nonce_j＝(r_1j，r_2j)是注册时产生的随机数对，即r_1j和r_2j均为随机数，SID_j为对用户公开的身份；而IFTTT服务器IS并不存储

仅仅存储S_j的伪名及相关信息{rSID_j，mr_2j}，其中rSID_j＝h(SID_j||r_1j)，

为方便理解，将应用服务器的公钥

和私钥r_2j分别用PK_AS和SK_AS表示。

智能设备向用户注册：智能设备SD_t向用户U注册

3-1SD_t生成公私钥对：SD_t根据自己的身份标识tID∈{0，1}^*生成

接着生成随机数

生成私钥：

秘密保存，并计算

形成SD_t的公钥信息pk：

3-2 SD_t向用户U注册：

(1)智能设备发起请求，从用户U处获得公钥PK_U，参数{E_pu(a_u，b_u)，p_u，P_u}以及公共参数pp。

(2)SD_t使用用户的U的公钥PK_U执行基于椭圆曲线的加密消息

并发送给用户U。

(3)U收到RM1后，利用自己的私钥进行解密获得

用户根据智能设备的tID，重新计算其H₁运算的结果与

比对是否一致，来验证该智能设备是否属于自己的智能设备。如果一致，用户U首先保存好SD_t的公钥信息pk；并生成随机数μ₁，μ₂∈{0，1}^*，将要传输的IS-认证密钥

以及用户的身份rID_i，做如下计算：

r₂＝H₃(rID_i||μ₂)

回送{RM2，RM3}给智能设备SD_t，为方便后面描述简记RM2和RM3如下:RM2＝{RM2L，RM2R}，RM3＝{RM3L，RM3R}。

(4)SD_t收到后，使用私钥

以及RM2，计算出

接着，取出RM2的RM2R，进行如下操作，计算出

和μ′₁：

因为，

接着，SD_t使用

然后再计算r′₁P₁是否等于RM2L(即r₁P₁)，如果相等，则保存

否则终止。SD_t用上面第(3)(4)步相同的计算，从RM3中取出rID_i并存储。至此，智能设备存储自己的公钥信息pk，秘密保存存储

智能设备代表用户访问应用服务器实现匿名双向认证：智能设备SD_t代表用户向应用服务器AS访问时，每一次应用业务访问均生成伪公钥(FPK)：例如购买行为中的一个订单交易对应一个FPK；智能设备SD_t与应用服务器AS的匿名认证流程如表1所示。

表1 SD_t与AS匿名认证流程

4-1智能设备SD_t生成一次性业务公钥FPK向服务器AS发起认证请求

SD_t首先获取应用服务器的身份SID_j及相应的公钥PK_AS，并随机生成k以及点Q_t＝(x，y)，进行如下计算：

M₂＝k·rID_i，

接着，SD_t生成随机数

P_pub＝t·P₁，生成一次性公钥

其中，

因为：

并生成私钥：FSK＝t·FPK，存储于本地用于完成后续的交互所需。

再者，计算mM₂＝PXor(M₂，Q_t)，mFPK＝PXor(FPK，Q_t)，mP_pub＝PXor(P_pub，Q_t)，V_u＝h(M₁||SID_j||FPK||P_pub||T₁)，V＝h(mM₂，M₃，mFPK，mP_pub，V_u，T₁)。

最后，SD_t发送{mM₂，M₃，mFPK，mP_pub，V_u，T₁，V}给应用服务器；需要说明的是当一次业务需要多次不同时间登录进行操作时，需要多次认证的话，Q_t是每次登录认证时随机生成的，其他的对应一次业务不变。

4-2应用服务器AS认证智能设备SD_t

应用服务器收到后，首先检查T_now-T₁≤ΔT是否符合？其中T_now指AS收到信息的时刻，T₁指SD_t发送信息的时刻，ΔT指***设置的阈值；如果符合，则计算h(mM₂，M₃，mFPK，mP_pub，V_u，T₁)并验证是否与收到V一致？若不一致，则终止认证；否则应用服务器首先用自己的私钥SK_AS从M₃中解密出

计算

FPK^*＝PXor(mFPK，Q_t ^*)，

以及

验证

如果相等，应用服务器认为该SD_t代表的用户为合法用户；接着，应用服务器计算HQ_t ^*＝(h(x^*)，h(y^*))，

最后将{M₄，T₂，h(M₄，T₂)}返回给智能设备SD_t。

4-3智能设备SD_t认证应用服务器AS并确认会话密钥

SD_t收到后，检查T′_now-T₂≤ΔT是否符合，其中T′_now指SD_t收到信息的时刻，T₂指AS发送信息的时刻，ΔT指***设置的阈值,若不符合终止认证，否则计算HQ_t′＝PXor(M₄，M₁)＝(x′，y′)，同时计算HQ_t＝(h(x)，h(y))，并判断HQ_t′＝HQ_t是否成立？如果成立则说明该应用服务器为IFTTT服务器认证的合法应用服务器，同时将h(M₁)作为本次通话的会话密钥。

接着，SD_t随机生成r，计算出

因为

同时，计算M₅＝PXor(HQ_t，Q_t),M₆＝PXor(r，Q_t)，mSign_FSK(FPK)＝PXor(Sign_FSK(FPK)，Q_t)，V＝h(M₅，M₆，mSign_FSK(FPK)，T₃)。

最后，向应用服务器回送{M₅，M₆，mSign_FSK(FPK)，T₃，V}。

4-4应用服务器AS确认会话密钥

应用服务器收到后，检查T″_now-T₃≤ΔT是否符合，其中T″_now指AS收到信息的时刻，T₃指SD_t发送信息的时刻，ΔT指***设置的阈值；并验证h(M₅，M₆，mSign_FSK(FPK)，T₃)是否与V符合，若不符合终止认证，否则计算PXor(HQ_t ^*，Q_t ^*)是否与M₅相等？如果相等则说明智能设备SD_t已经认证完毕并已确定了本次会话密钥

同时认为Q_t ^*＝Q_t，然后计算r＝PXor(M₆，Q_t ^*),Sign_FSK(FPK)＝PXor(mSign_FSK(FPK)，Q_t ^*)，执行上链操作，详见权力要求5；上链操作完毕，应用服务器也将

作为本次通话的会话密钥，后续的业务流程将使用该密钥完成。

认证结果上链保存：SAA-DAES协议中用户可监管的认证交易格式T_x，描述如下所示：

Tid是交易标识；Ttype表示本交易的类型，为了实现用户全程监管,交易可以分为{Auth，Merch}两种类型，其中Auth表示Tcontent为认证结果，Merch表示Tcontent为交互业务记录；Tin表示交易的输入项，即交易成立前验证所需参数和智能合约(脚本)；Tout表示交易的输出项，即交易传递给下一交易生成验证时所需参数和智能合约(脚本)。为更清晰阐述，T_x格式可表示为表2。

表2认证交易T_x

其中，T_pre表示前一次交易；

是一个输入脚本，用于验证本交易有效性；ω是一个输出脚本，给出获取交易T_x中内容所需条件；PK_i，PK_j是交易发起者和交易接收者的公钥(地址)；对应的，SK_i是交易发起者的私钥。body包括T_pre，Ttype，Tcontent，PK_i，PK_j；σ表示交易发起者对该交易的签名；如果该交易是一个初始交易，那么它的输入前一交易和脚本为空，可用

表示。

认证结束时，应用服务器将身份认证结果写入到区块链中。区块链的交易是以应用服务器的公钥作为地址发出的交易，除了含有应用服务器的签名、身份SID_j外，必须包含智能设备SD_t的FPK,r，Sign_FSK(FPK),P_pub,Time1，其中Time1为交易生成时间，其与Sign_FSK(FPK)中隐含的T₃之间的距离必须小于ΔT，矿工验证才能通过，确认其为新鲜的真实认证交易；

5-1认证结果交易上链

为了完成有效的业务监管，智能设备和应用服务器完成双向认证后，应用服务器发起Type为Auth的交易，即

其中Tcontent为：

{SID_j，FPK，r，Sign_FSK(FPK)，P_pub，Time1，

矿工收到该交易后，确认该交易是Auth类型，判断Tin中的前一交易T_pre和输入脚本

是否均为

如果不是就终止；否则首先使用FPK，r，P_pub，计算

然后再计算

矿工首先判断FPK^*是否等于FPK，接着判断Time1-T₃≤ΔT(其中ΔT是预留的传输时延的阈值，防止重放攻击)；如果均满足，则验证签名

是否正确；如果三项验证均满足，矿工将该交易打包上链。上链完成后，应用服务器才确认此次认证成功，并确定此次业务的密钥为

5-2认证后业务交易上链

当应用服务器和智能设备SD_t后续进行业务交互产生需要监管的数据时，其产生Type为Merch的交易，Tin是中的前一交易T_pre必须是Type为Auth的交易或者一个可以追溯到Auth交易的一个Merch交易。

如果该交易由应用服务器发起，可表示为：

其中Tcontent为：

{SID_j，FPK，r，P_pub，M，Sign_FSK(M)，Time1，

如果该交易由智能设备SD_t发起，可表示为

其中Tcontent为：

需要说明的是，此时的M为应用服务器和智能设备SD_t的使用会话密钥加密的业务数据，其可以随时供应用服务器和智能设备查阅，同时方便用户U监管自己的智能设备。

矿工收到应用服务器发起的业务交易后，首先根据Tin找到初始的Auth交易，如果没找到则退出，否则使用FPK，r，P_pub，计算

然后再计算

矿工首先判断M^*是否等于M，接着判断Time1-Time≤ΔT(其中ΔT是预留的传输时延的阈值，防止重放攻击)；最后验证签名

是否正确；如果三项验证均满足，矿工将该交易打包上链。

矿工收到智能设备SD_t发起的交易验证过程如上，不做赘述。

用户监管智能设备：用户通过查询区块链交易，针对每个交易的FPK，首先使用自己的私钥SK_U进行解密，如果可以成功解密出

同时再使用

验证签名

一致的情况下，即可说明此交易的FPK是用户所属智能设备进行的操作，为进一步查阅其后续业务数据流，用户U使用自己的

进行

同时计算出h(M₁)为本次会话的会话密钥，从而可以解密后续业务数据的密文M进行监管。

Claims (6)

1.一种面向智能家居的用户可监管匿名身份认证方法，其特征在于包括IFTTT服务器、用户、智能设备、应用服务器和区块链组件，各个组件交互步骤如下：

(1)***初始化；IFTTT服务器、用户和区块链分别初始化，生成***所需参数；

(2)用户和应用服务器分别向IFTTT服务器注册；获取各自的IS-认证密钥用以证明自己的真实性和合法性；

(3)智能设备向用户注册；智能设备在进行外网访问前，需要向用户进行注册，以获得用户的IS-认证密钥以及用户的身份ID；而用户端通过管理授权智能设备的ID和对应的公钥实现后续监管；

(4)智能设备代表用户访问应用服务器实现匿名双向认证；智能设备生成可供用户监管的公钥，并使用用户的IS-认证密钥和身份ID，向应用服务器发起认证请求，实现匿名的双向认证；

(5)认证结果上链；双向认证完毕后，应用服务器向区块链写入认证结果，将本次认证的智能设备的公钥和对所认证公钥的签名等信息以区块链业务交易的形式存储到区块链中；

(6)用户监管智能设备；用户通过自己的私钥SK_U解密属于自己智能设备产生的一次性公钥，然后利用自己的IS-认证密钥

解密出该智能设备和应用服务器通信的会话密钥从而实现完全监管。

2.根据权利要求1所述的一种面向智能家居的用户可监管匿名身份认证方法，其特征在于步骤(1)所述的初始化，具体如下：

IFTTT服务器初始化：为应用服务器和用户提供可信IS-认证密钥准备好参数；用户初始化：为内部的智能设备安全通信准备好参数；区块链初始化：基于双线性映射加密方案的参数，为所有用户和智能设备的监管准备好参数；具体实现如下：

1-1.用户U单独为家居网内智能设备初始化参数和公私钥对：

用户U首先选择一个大素数p_u，并在有限域

下选择一条椭圆曲线

接着，用户U选择一个阶为n_u的椭圆曲线

上的一个基点P_u，以及一个随机数x_u，计算Q_u＝x_u·P_u；然后，用户U秘密保存自己的私钥SK_U＝x_u；当智能设备注册时，用户将其公钥PK_U＝Q_u和参数

发给智能设备；

1-2.区块链平台为所有的用户初始化***公共参数

区块链平台为所有用户选定一个双线性群

生成元

并令P₁＝ψ(P₂)，同时选择函数

形成公共参数：

其中p为群

的阶，

为双线性映射函数——Weil配对算法；明文空间

密文空间

当智能设备注册时，用户将其从区块链平台获得的公共参数pp发给智能设备。

3.根据权利要求2所述的一种面向智能家居的用户可监管匿名身份认证方法，其特征在于步骤(2)和步骤(3)所述的注册其具体实现如下：

2-1.用户U_i通过IFTTT网关HG_ig向IFTTT服务器IS注册并获取IS-认证密钥

注册完成后，IS并不存储认证密钥

及任何用户相关信息；IFTTT网关HG_ig备份存储

信息，用以预防用户的智能手机丢失后的恢复；用户U_i则存储

其中EID_i为用户注册时预留的恢复

用的扩展信息生成的伪名，user_secret是存储认证相关的随机数对，V_L是为了实现本地用户密码验证的校验值；

所述的智能手机是指控制智能设备的客户端；

2-2.应用服务器S_j向IFTTT服务器IS注册并获取IS-认证密钥

注册完成后，应用服务器S_j存储

其中nonce_j＝(r_1j，r_2j)是注册时产生的随机数对，即r_1j和r_2j均为随机数，SID_j为对用户公开的身份；而IFTTT服务器IS并不存储

仅仅存储S_j的伪名及相关信息{rSID_j，mr_2j}，其中rSID_j＝h(SID_j||r_1j)，

同时将应用服务器的公钥

和私钥r_2j分别用PK_AS和SK_AS表示；

2-3.智能设备SD_t向用户U注册：

SD_t生成公私钥对：SD_t根据自己的身份标识tID∈{0，1}^*生成

接着生成随机数

生成私钥：

秘密保存，并计算

形成SD_t的公钥信息pk：

SD_t向用户U注册：

①智能设备发起请求，从用户U处获得公钥PK_U，参数

以及公共参数pp；

②SD_t使用用户的U的公钥PK_U执行基于椭圆曲线的加密消息

并发送给用户U；

③用户U收到RM1后，利用自己的私钥进行解密获得

用户根据智能设备的tID，重新计算其H₁运算的结果与

比对是否一致，来验证该智能设备是否属于自己的智能设备；如果一致，用户U首先保存好SD_t的公钥信息pk；并生成随机数μ₁，μ₂∈{0，1}^*，将要传输的IS-认证密钥

以及用户的身份rID_i，做如下计算：

r₂＝H₃(rID_i||μ₂)

回送{RM2，RM3}给智能设备SD_t，为方便后面描述简记RM2和RM3如下：RM2＝{RM2L，RM2R}，RM3＝{RM3L，RM3R}；

④SD_t收到后，使用私钥

以及RM2，计算出

接着，取出RM2的RM2R，进行如下操作，计算出

和μ′₁：

因为，

接着，SD_t使用

然后再计算r′₁P₁是否等于RM2L(即r₁P₁)，如果相等，则保存

否则终止；

SD_t用上面第③④步相同的计算，从RM3中取出rID_i并存储：

使用私钥

以及RM3，计算出

接着，取出RM3的RM3R，进行如下操作，计算出rID′_i和μ′₂：

因为，

接着，SD_t使用H₃(rID′_i||μ′₂)＝r′₂，然后再计算r′₂P₁是否等于RM3L(即r₂P₁)，如果相等，则保存rID_i，否则终止；

至此，智能设备存储自己的公钥信息pk，秘密保存存储

4.根据权利要求3所述的一种面向智能家居的用户可监管匿名身份认证方法，其特征在于步骤(4)所述的匿名双向认证，智能设备SD_t代表用户U向应用服务器AS访问时，每一次应用业务访问均生成一次性伪公钥(FPK)：

3-1智能设备SD_t生成一次性伪公钥FPK向服务器AS发起认证请求：

SD_t首先获取应用服务器的身份SID_j及相应的公钥PK_AS，并随机生成k以及点Q_t＝(x，y)，进行如下计算：

M₂＝k·rID_i，

接着，SD_t生成随机数

P_pub＝t·P₁，生成一次性伪公钥

其中，

因为：

并生成伪公钥对应的私钥：FSK＝t·FPK，存储于本地用于完成后续的交互所需；

再者，计算mM₂＝PXor(M₂，Q_t)，mFPK＝PXor(FPK，Q_t)，mP_pub＝PXor(P_pub，Q_t)，V_u＝h(M₁||SID_j||FPK||P_pub||T₁)，V＝h(mM₂，M₃，mFPK，mP_pub，V_u，T₁)；

所述的PXor操作，具体如下：

定义1：PXor(A，B)；表示点A和点B的横纵坐标分别做异或

操作，即

定义2：PXor(a，B)；表示数a和点B的横纵坐标都做异或

操作，即

最后，SD_t发送{mM₂，M₃，mFPK，mP_pub，V_u，T₁，V}给应用服务器；需要说明的是当一次业务需要多次不同时间登录进行操作时，需要多次认证的话，Q_t是每次登录认证时随机生成的，其他的对应一次业务不变；

3-2.应用服务器AS认证智能设备SD_t

应用服务器收到后，首先检查T_now-T₁≤ΔT是否符合？其中T_now指AS收到信息的时刻，T₁指SD_t发送信息的时刻，ΔT指***设置的阈值；如果上述表达式结果符合条件，则计算h(mM₂，M₃，mFPK，mP_pub，V_u，T₁)并验证是否与收到V一致？若不一致，则终止认证；否则应用服务器首先用自己的私钥SK_AS从M₃中解密出

计算

以及

验证

如果相等，应用服务器认为该SD_t代表的用户为合法用户；接着，应用服务器计算HQ_t ^*＝(h(x^*)，h(y^*))，

最后将{M₄，T₂，h(M₄，T₂)}返回给智能设备SD_t；

3-3智能设备SD_t认证应用服务器AS并确认会话密钥

SD_t收到后，检查T′_now-T₂≤ΔT是否符合，其中T′_now指SD_t收到信息的时刻，T₂指AS发送信息的时刻，ΔT指***设置的阈值，若不符合终止认证，否则计算HQ_t′＝PXor(M₄，M₁)＝(x′，y′)，同时计算HQ_t＝(h(x)，h(y))，并判断HQ_t′＝HQ_t是否成立？如果成立则说明该应用服务器为IFTTT服务器认证的合法应用服务器，同时将h(M₁)作为本次通话的会话密钥；

接着，SD_t随机生成r，计算出

因为

同时，计算M₅＝PXor(HQ_t，Q_t)，M₆＝PXor(r，Q_t)，mSign_FSK(FPK)＝PXor(Sign_FSK(FPK)，Qt)，V＝h(M₅，M₆，mSign_FSK(FPK)，T₃)；

最后，向应用服务器回送{M₅，M₆，mSign_FSK(FPK)，T₃，V}；

3-4应用服务器AS确认会话密钥

应用服务器收到后，检查T″_now-T₃≤ΔT是否符合，其中T″_now指AS收到信息的时刻，T₃指SD_t发送信息的时刻，ΔT指***设置的阈值；如果上述表达式结果符合条件，接着验证h(M₅，M₆，mSign_FSK(FPK)，T₃)是否与V符合，若不符合终止认证，否则计算PXor(HQ_t ^*，Q_t ^*)是否与M₅相等？如果相等则说明智能设备SD_t已经认证完毕并已确定了本次会话密钥

同时认为Q_t ^*＝Q_t，然后计算r＝PXor(M₆，Q_t ^*)，Sign_FSK(FPK)＝PXor(mSign_FSK(FPK)，Q_t ^*)，执行上链操作，详见权力要求5；上链操作完毕，应用服务器也将

作为本次通话的会话密钥，后续的业务流程将使用该密钥完成。

5.根据权利要求4所述的一种面向智能家居的用户可监管匿名身份认证方法，其特征在于认证结果上链保存特征实现如下：

认证结束时，应用服务器将身份认证结果写入到区块链中；区块链的交易是以应用服务器的公钥作为地址发出的交易，除了含有应用服务器的签名、身份SID_j外，必须包含智能设备SD_t的FPK，r，Sign_FSK(FPK)，P_pub，Time1，其中Time1为交易生成时间，其与Sign_FSK(FPK)中隐含的T₃之间的距离必须小于ΔT，矿工验证才能通过，确认其为新鲜的真实认证交易；

4-1.认证结果交易上链

为了完成有效的业务监管，智能设备和应用服务器完成双向认证后，应用服务器发起Type为Auth的交易，即

其中Tcontent为：

矿工收到该交易后，确认该交易是Auth类型，判断Tin中的前一交易T_pre和输入脚本

是否均为

如果不是就终止；否则首先使用FPK，r，P_pub，计算

然后再计算

矿工首先判断FPK^*是否等于FPK，接着判断Time1-T₃≤ΔT，其中ΔT是预留的传输时延的阈值；如果均满足，则验证签名

是否正确；如果三项验证均满足，矿工将该交易打包上链；上链完成后，应用服务器才确认此次认证成功，并确定此次业务的密钥为

4-2.认证后业务交易上链

当应用服务器和智能设备SD_t后续进行业务交互产生需要监管的数据时，其产生Type为Merch的交易，Tin是中的前一交易T_pre必须是Type为Auth的交易或者一个可以追溯到Auth交易的一个Merch交易；

如果该交易由应用服务器发起，可表示为：

其中Tcontent为：

其中，M为应用服务器和智能设备SD_t的使用会话密钥加密的业务数据，其可以随时供应用服务器和智能设备查阅，同时方便用户U监管自己的智能设备；

为基于椭圆曲线算法的签名过程；Time为智能设备SD_t对业务内容进行签名的时间，Time1为交易生成时间。

如果该交易由智能设备SD_t发起，可表示为

其中Tcontent为：

同样的，M为应用服务器和智能设备SD_t的使用会话密钥加密的业务数据；

为基于椭圆曲线算法的签名过程；Time为应用服务器对业务内容进行签名的时间，Time1为交易生成时间；其中：

矿工收到应用服务器发起的业务交易后，首先根据Tin找到初始的Auth交易，如果没找到则退出，否则使用FPK，r，P_pub，计算

然后再计算

矿工首先判断M^*是否等于M，如果相等则进一步判断Time1-Time≤ΔT；其中ΔT是预留的传输时延的阈值；最后验证签名

是否正确；如果三项验证均满足，矿工将该交易打包上链；

矿工收到智能设备SD_t发起的交易验证过程同上，具体为：

矿工收到智能设备SD_t发起的业务交易后，同样先根据Tin找到初始的Auth交易，如果没找到则退出，否则使用PK_AS从

取出M^*和Time，并判断M^*是否等于M，如果相等则使用FPK，r，P_pub，计算

然后再计算

矿工首先判断M^**＝M，以及SID_j ^*＝SID_j，FPK^*＝FPK，r^*＝r，P_pub ^*＝P_pub，

如果均相等则进一步判断Time1*-Time≤ΔT；其中ΔT是预留的传输时延的阈值；如果三项验证均满足，矿工将该交易打包上链。

6.根据权利要求5所述的一种面向智能家居的用户可监管匿名身份认证方法，其特征在于监管特征实现如下：

用户通过查询区块链交易，针对每个交易的FPK，首先使用自己的私钥SK_U进行解密，如果可以成功解密出

同时再使用

验证签名

一致的情况下，即可说明此交易的FPK是用户所属智能设备进行的操作，为进一步查阅其后续业务数据流，用户U使用自己的

进行

同时计算出h(M₁)为本次会话的会话密钥，从而可以解密后续业务数据的密文M进行监管。

Images