[发明专利]一种适用于资源受限设备的轻量级匿名认证方法

权利要求书

1.一种适用于资源受限设备的轻量级匿名认证方法，其特征在于，该方法采用信息系统模型实现，所述信息系统模型包括以下三个实体：

网络管理中心(Network Management Center)：充当密钥生成中心，负责信息网中受限设备与信息中心的注册，并且管理整个信息网，负责系统参数的初始化；

受限设备(Restricted Equipment)：计算资源受限的通信终端，在访问信息中心并与信息中心交换数据之前，先向所述网络管理中心注册，并预先加载系统参数；

信息中心(Information Center)：具有大量计算和存储资源的云服务器，负责接收所述受限设备传输的信息并提供相应服务，所述信息中心先向所述网络管理中心注册，并预先加载系统参数；

该方法的具体步骤描述如下：

(1)设定系统参数：

(1.1)选择素数q，生成q阶循环群G，并选择循环群G的一个p阶生成元，记为P，即群G为由p阶生成元P生成的循环群，其中，群的阶是指群中元素的个数，群的阶为素数q；生成元P的阶是指满足等式pP＝O,(p+1)P＝P的数p，生成元P即为元素P；定义两个安全哈希函数H₁和H₂，其中H₁从{0,1}^*×G映射到H₂从映射到其中{0,1}^*表示任意比特长的二进制序列组成的集合，表示有限域Z_q＝{0,1,...,q-1}去掉元素零所得到的有限域；定义一个带密钥的安全哈希函数MAC，MAC从映射到定义在有限域F_q上的椭圆曲线函数为y²＝x³+ax+b mod q，记为E/F_q，其中，E是椭圆曲线elliptic curve的符号；这里写的是椭圆曲线函数的通用方程，参数a和b满足4a³+27b²≠0；这里的F_q等同于前面的Z_q，椭圆曲线中用F_q表示；

(1.2)网络管理中心随机选取作为所述网络管理中心的私钥，并计算所述网络管理中心的公钥Q_N＝s_NP；

基于上述设定，得到的系统参数为{q,F_q,E/F_q,G,P,H₁,H₂,MAC,Q_N}，并公开这些系统参数；

(2)注册：

(2.1)所述受限设备从所述网络管理中心获取公开的系统参数并加载；随机选取受限设备的私钥并计算受限设备的公钥Q_E＝s_EP，生成密钥对s_E,Q_E＞；计算受限设备身份ID_E的哈希值H₁(ID_E)，并与受限设备的公钥Q_E一起发送给网络管理中心；

(2.2)网络管理中心计算受限设备索引与部分私钥其中，与H₁的区别在于额外输入了一个参数s_N，对同一个消息输入不同的s_N得到消息的哈希值不同；将受限设备索引Ind_E与部分私钥D_E发送给受限设备；网络管理中心保存受限设备权重Right、受限设备索引Ind_E与受限设备公钥Q_E，其中，Right表明设备在网络环境中的重要程度与易受攻击的程度，不参与实际运算；Q_E＝s_EP是椭圆曲线上的一个乘法运算；

(2.3)受限设备验证等式是否成立，若成立，则认为受限设备注册成功，保存受限设备索引Ind_E与部分私钥D_E；否则输出拒绝；

(2.4)信息中心从网络管理中心获取公开的系统参数并加载；随机选取作为信息中心的私钥，并计算信息中心的公钥Q_C＝s_CP，生成密钥对s_C,Q_C＞，并公开信息中心的公钥Q_C；计算信息中心身份ID_C的哈希值H₁(ID_C)，发送给网络管理中心；

(2.5)网络管理中心将保存的受限设备权重Right、受限设备索引Ind_E与受限设备公钥Q_E发送给信息中心，信息中心数据库接收并保存；

(3)签名：

受限设备利用受限设备索引Ind_E和部分私钥D_E实现匿名认证，并生成身份认证的签名σ；

(3.1)获取信息中心的公钥Q_C，随机选取参数计算消息T＝tQ_C；

(3.2)利用消息T与时间戳t_c计算混淆消息h＝H₁(T,t_c)；

(3.3)利用混淆消息h加密受限设备索引Ind_E得到密文其中表示逐比特异或操作；

(3.4)计算验证消息r＝H₁(Ind_E,T,Q_E,t_c)；

(3.5)计算用来传递随机参数t的中间消息v＝t/(r+Ind_ED_E)；

(3.6)计算签名σ＝t^-1(s_E+hD_E)，然后将密文c、验证消息r、中间消息v、签名σ和时间戳t_c发送给信息中心；

(4)验证：

信息中心接收到密文c、验证消息r、中间消息v、签名σ和时间戳t_c时，恢复中间消息与受限设备索引Ind_E，利用信息中心数据库保存的信息完成对匿名受限设备签名的认证，并生成确认信息；

(4.1)计算中间消息ω＝v(rP+Q_N)＝tP，恢复消息T'＝s_Cω；

(4.2)恢复混淆消息h'＝H₁(T',t_c)；

(4.3)解密密文c恢复受限设备索引

(4.4)检查信息中心数据库，验证已保存的信息中是否存在相同的Ind_E，若是，继续进行认证；否则，输出认证失败；

(4.5)验证等式H₁(Ind_E,T',Q_E,t_c)＝r是否成立，若是，继续进行认证；否则，输出认证失败；

(4.6)验证等式是否成立，若是，本次认证成功，继续生成会话密钥；否则，输出认证失败；

(4.7)计算本次会话密钥key＝H₂(h',T')，生成确认消息K＝MAC_key(h')，并将确认消息K发送给受限设备，其中，MAC_key与H₁的区别在于额外输入了一个参数key，对同一个消息输入不同的key得到消息的哈希值不同；

(5)密钥确认：

受限设备接收到确认消息K后，利用本次认证过程中的中间消息实现对信息中心的双向认证，并确认双方本次的会话密钥相同；

(5.1)计算会话密钥key'＝H₂(h,T)；

(5.2)验证等式K＝MAC_key'(h)是否成立，若是，设备完成对信息中心身份的认证，并确定信息中心已产生相同的会话密钥；否则，输出拒绝本次认证，其中，MAC_key'与H₁的区别在于额外输入了一个参数key'，对同一个消息输入不同的key'得到消息的哈希值不同；

(5.3)完成本次匿名双向认证并开始接收服务。

2.根据权利要求1所述的适用于资源受限设备的轻量级匿名认证方法，其特征在于，所述步骤(2.2)中的受限设备权重Right表示网络中第多少个进行注册的设备，即序号。