无线网络中基于k-假名集合的用户匿名身份认证协议专利检索-假名电脑零配件专利检索查询-专利查询网

积极推动地理标志专门立法

2022-03-10 地理标志，立法，知识产权
保护知识产权是对创新最大的激励

2022-03-10 保护知识产权，创新，激励
谢商华：加快制定知识产权基本法

2022-03-10 知识产权基本法
擦亮“双奥之城”品牌

2022-03-10 双奥，知识产权
让冰雪运动“热”力全开

2022-03-10 冰雪运动，知识产权
携手共奋进　走好强国路

2022-03-10 强国，知识产权
坚持创新引领　方能稳中求进

2022-03-10 创新，稳中求进，知识产权
答好“两张卷” 奋进新征程

2022-03-10 知识产权
专家解读政府工作报告中的创新和知识产权相关部署

2022-03-10 政府工作报告，创新，知识产权
今年政府工作报告指出：加强知识产权保护和运用

2022-03-10 政府工作报告，知识产权保护

无线网络中基于k-假名集合的用户匿名身份认证协议

阅读：1062发布：2020-05-20

IPRDB可以提供无线网络中基于k-假名集合的用户匿名身份认证协议专利检索，专利查询，专利分析的服务。并且本发明公开了无线网络中基于k-假名集合的用户匿名身份认证协议，在协议中，用户将包含自己真实身份标识的k-假名集合以及用真实用户共享密钥加密后的信息发送给认证服务器，认证服务器在遍历和计算k个用户信息的范围内完成对用户的认证，平均需要遍历的用户数量为同时给出了两种构造k-假名集合的方法。本发明引入k-假名集合基于共享密钥实现匿名认证，降低了用户和认证服务器在匿名认证时的资源消耗。，下面是无线网络中基于k-假名集合的用户匿名身份认证协议专利的具体信息内容。

权利要求

1.无线网络中基于k-假名集合的用户匿名身份认证协议，其特征在于，所述协议包括如下步骤：步骤1，由用户向认证服务器发送匿名认证请求；

步骤2，所述认证服务器收到用户的访问请求后，生成随机数N1，发送给用户；

步骤3，用户在接到N1后，首先生成一个随机数N2，然后计算第三条交互信息M1，M1的计算如下：M1＝HMAC(N1‖N2‖C‖Key‖k IDs)；

Key为用户和认证服务器之间128位的共享密钥；k IDs表示k个明文的用户标识，用户将k个明文的用户标识(包括真实认证的用户标识C)、随机数N2以及M1发送给认证服务器；

步骤4，认证服务器接收到来自用户的消息后，按照k-假名集合中用户标识的先后顺序遍历k个明文用户标识，并在数据库中查询用户对应的共享密钥，计算M′1，M′1的计算如下：M′1＝HMAC(N1‖N2‖C‖Key‖k IDs)；

步骤5，认证服务器检查是否有M′1等于M1，如果有M′1等于M1的情况，则认证服务器完成对用户的认证，并计算第四条交互信息M2并发送给用户，M2计算如下：M2＝HMAC(N2‖Key)；

步骤6，用户收到认证服务器发来的第四条交互信息M2后，根据本地存储的N2、Key计算M'2＝HMAC(N2‖Key)，并检查M'2是否与认证服务器发送的M2结果一致，如一致，则用户完成对认证服务器的认证；

步骤7，在用户完成对认证服务器的认证后，双方生成会话密钥SK，所述认证服务器端和用户的会话密钥SK如下式所示：SK＝PRNG(Key⊕N1⊕N2)；

其中“⊕”表示按比特的异或运算。

2.根据权利要求1所述的无线网络中基于k-假名集合的用户匿名身份认证协议，其特征在于，所述k个明文用户标识有两种形成方法：(1)用户自己生成其他k-1个用户标识；

(2)由认证服务器为用户统一分配形成k-假名集合时所需要的其他k-1个用户标识：认证服务器在用户注册时分配给用户n个用户标识，用户在认证过程中，根据自身的隐私需求决定k值，其中k≤n。

3.根据权利要求1所述的无线网络中基于k-假名集合的用户匿名身份认证协议，其特征在于，所述协议基于Dolev-Yao模型，即对攻击者的行为做出如下假设：(1)攻击者可以窃听和截获任意经过网络的消息；

(2)攻击者可以存储拦截到的或自己构造的消息；

(3)攻击者可以发送拦截到的或自己构造的消息；

(4)攻击者可以作为一个合法的用户参与协议的运行。

4.根据权利要求1所述的一种基于k-假名集合的用户匿名身份认证协议，其特征在于，所述协议基于加强的Dolev-Yao模型，即对攻击者的行为做出如下假设：(1)攻击者可以窃听和截获任意经过网络的消息；

(2)攻击者可以存储拦截到的或自己构造的消息；

(3)攻击者可以发送拦截到的或自己构造的消息；

(4)攻击者可以作为一个合法的用户参与协议的运行；

(5)攻击者可以具有发起求交集攻击的能力。

5.根据权利要求3所述的无线网络中基于k-假名集合的用户匿名身份认证协议，其特征在于，在Dolev-Yao模型下，用户每次形成的k-假名集合中k值以及k-假名集合中的用户可相同也可不同，用户可以根据所处的匿名认证环境的隐私需求设定k值，隐私需求越大时，设定k值越大。

6.根据权利要求4所述的无线网络中基于k-假名集合的用户匿名身份认证协议，其特征在于，在加强的Dolev-Yao模型下，由于攻击者具有求交集攻击的能力，用户每次形成的k-假名集合中k值以及k-假名集合中的用户必须相同，用户可根据不同匿名认证场景中的最高隐私需求来设定k值。

说明书全文

无线网络中基于k-假名集合的用户匿名身份认证协议

技术领域

[0001] 本发明涉及一种通信技术，具体涉及一种无线网络中基于k-假名集合的用户匿名身份认证协议。

背景技术

[0002] 互联网在给人们的生活带来便利的同时也引发了很多安全隐患，尤其是个人信息的泄露造成的不良影响十分广泛。因此，个人信息的保护日益引起人们的重视。在无线环境下的身份认证中，越来越多的用户为了保护自己的隐私信息，更倾向于匿名认证，以防攻击者获取用户的位置以得到更多的个人信息。

[0003] 当前的匿名认证方案可以分为两类：一类是基于非共享密钥；另一类是基于共享密钥。目前大量匿名认证方案集中利用非共享密钥实现匿名认证，但是使用非共享密钥进行匿名认证时，用户端需要进行非对称加解密等复杂的计算，资源消耗严重，不适用于计算能力有限的设备。如果采用共享密钥来实现用户的匿名性则需要对用户名进行加密，这样一来，认证服务器就不知道采用哪个密钥对用户名进行解密，难以实现匿名认证，这样一来，认证服务器就不知道采用哪个密钥对用户名进行解密，难以实现匿名认证，因此利用共享密钥实现匿名认证的方案较少。但目前一大部分身份认证是基于共享密钥的，因此，需要研究基于共享密钥的匿名认证方案。

[0004] 基于非共享密钥的匿名认证中，用户可以用认证服务器的公钥加密身份信息或利用椭圆曲线等数学方法实现匿名认证，此类匿名方案研究成果较多。但是这类方案计算量较大，公钥证书管理和存储的开销较高，方案的匿名认证效率不高。

[0005] 朱辉等在“基于身份的匿名无线认证方案”主要研究利用双线性对和椭圆曲线的相关特性提出了一种方案，家乡域认证服务器对访问域的签名验证后，利用自己的私钥计算由访问域认证服务器发送的消息得到用户身份信息完成对用户的认证，并将认证结果告知访问域认证服务器，从而实现了访问域认证服务器对用户的匿名认证。

[0006] Huang Jiun-Long等在“ABAKA:an anonymous batch authenticated and key agreement scheme for value-added services in vehicular Ad-Hoc networks”中服务中心为车辆节点和路边单元颁发签名证书，路边节点和车辆节点通过基于椭圆曲线数字签名非对称加密的双向认证算法对各自持有的证书进行认证。

[0007] Chim Tat-Wing 在“SPECS:secure and privacy enhancing communications schemes for VANETs”中采用群签名认证方案使用群体的名义进行匿名签名，验证时能够验证签名为群中成员所签，而不能确定具体是哪位成员所为，从而为群中成员提供匿名保护。

[0008] 罗长远等在“普适环境中基于一次性公钥的匿名认证方案”中提出一种基于身份的一次性公钥及签名算法，可信中心只需给用户生成一次私钥，用户每次签名时可以生成不同的公钥。用户的一次性公钥和签名中不包含身份信息，从而其他用户无法获得认证用户的真实身份，服务提供者通过验证一次性公钥是否合法以及签名是否成立完成对用户的认证。

[0009] 在3G网络中使用共享密钥实现匿名认证的主要方法是用户每次认证更换假名，新的假名在下一次认证时使用。认证服务器必须和用户存储的假名同步，否则用户不能正常认证。两者存储不同步时，需要用户用真名进行认证。由于网络问题或遭受去同步攻击会导致假名不同步，严重影响此类方案的性能。另外有一些方案在使用共享密钥进行匿名认证时，引入智能卡等其他硬件设备，降低了方案的实用性。

[0010] 朱建明等在“ID-based wireless authentication scheme with anonymity”提出一种利用哈希函数和智能卡实现用户匿名的方案.智能卡中存储着用户的身份以及单向哈希函数等信息，利用智能卡进行计算将用户的真实身份信息隐藏在计算结果。在协议所有的交换消息中，都没有出现用户真实身份，从而实现用户的匿名认证.但是此类方案中智能卡的引入降低了方案的实用性。

[0011] Safkhani M等在“On the traceability of tags in SUAP RFID authentication protocols”中主要研究RFID中标签与阅读器间的匿名认证问题.用户将共享密钥处理后的标签信息发送给认证服务器，最坏情况下认证服务器需要遍历计算数据库中存储的全部用户的共享密钥以及其他信息，按照与用户相同的方法对这些信息进行处理，并将结果与收到的信息进行对比，完成对匿名用户的认证。在RFID标签数量巨大的情况下，遍历计算整个数据库内信息会造成认证服务器资源的严重消耗，攻击者可以利用此点发起大量匿名认证请求，占用认证服务器资源，阻碍其他用户的正常认证。

发明内容

[0012] 为了解决利用共享密钥实现匿名认证时安全性弱以及性能低的问题，充分考虑到用户端存储和计算资源的有限性，提出了基于k-假名集合的匿名认证方案。本发明中用户将包含自己真实身份标识的k-假名集合以及用真实用户密钥加密后的信息发送给认证服务器，认证服务器在遍历k个用户信息的范围内完成对用户的认证，避免了用户和认证服务器资源的过度消耗，安全、高效地实现了用户的匿名认证。

[0013] 为了实现上述目的，本发明采用如下技术方案：

[0014] 无线网络中基于k-假名集合的用户匿名身份认证协议，包括如下步骤：

[0015] 步骤1，由用户向认证服务器发送匿名认证请求；

[0016] 步骤2，所述认证服务器收到用户的访问请求后，生成随机数N1，发送给用户；

[0017] 步骤3，用户在接到N1后，首先生成一个随机数N2，然后计算第三条交互信息M1，M1的计算如下：

[0018] M1＝HMAC(N1‖N2‖C‖Key‖k IDs)；

[0019] Key为用户和认证服务器之间128位的共享密钥；k IDs表示k个明文的用户标识，用户将k个明文的用户标识(包括真实认证的用户标识C)、随机数N2以及M1发送给认证服务器；

[0020] 步骤4，认证服务器接收到来自用户的消息后，按照k-假名集合中用户标识的先后顺序遍历k个明文用户标识，并在数据库中查询用户对应的共享密钥，计算M′1，M′1的计算如下：

[0021] M′1＝HMAC(N1‖N2‖C‖Key‖k IDs)；

[0022] 步骤5，认证服务器检查是否有M′1等于M1，如果有M′1等于M1的情况，则认证服务器完成对用户的认证，并计算第四条交互信息M2并发送给用户，M2计算如下：

[0023] M2＝HMAC(N2‖Key)；

[0024] 步骤6，用户收到认证服务器发来的第四条交互信息M2后，根据本地存储的N2、Key计算M'2＝HMAC(N2‖Key)，并检查M'2是否与认证服务器发送的M2结果一致，如一致，则用户完成对认证服务器的认证；

[0025] 步骤7，在用户完成对认证服务器的认证后，双方生成会话密钥SK，所述认证服务器端和用户的会话密钥SK如下式所示：

[0026] SK＝PRNG(Key⊕N1⊕N2)；

[0027] 其中“⊕”表示按比特的异或运算。

[0028] 需要说明的是，所述k个明文用户标识有两种形成方法：

[0029] (1)用户自己生成其他k-1个用户标识；

[0030] (2)由认证服务器为用户统一分配形成k-假名集合时所需要的其他k-1个用户标识：认证服务器在用户注册时分配给用户n个用户标识，用户在认证过程中，根据自身的隐私需求决定k值，其中k≤n。

[0031] 需要说明的是，所述协议基于Dolev-Yao模型或基于加强的Dolev-Yao模型：

[0032] 当协议基于Dolev-Yao模型时，对攻击者的行为作出如下假设：

[0033] (1)攻击者可以窃听和截获任意经过网络的消息；

[0034] (2)攻击者可以存储拦截到的或自己构造的消息；

[0035] (3)攻击者可以发送拦截到的或自己构造的消息；

[0036] (4)攻击者可以作为一个合法的用户参与协议的运行。

[0037] 进一步地，在Dolev-Yao模型下，用户每次形成的k-假名集合中k值以及k-假名集合中的用户可相同也可不同，用户可以根据所处的匿名认证环境的隐私需求设定k值，隐私需求越大时，设定k值越大；

[0038] 当所述协议基于加强的Dolev-Yao模型，即对攻击者的行为做出如下假设：

[0039] (1)攻击者可以窃听和截获任意经过网络的消息；

[0040] (2)攻击者可以存储拦截到的或自己构造的消息；

[0041] (3)攻击者可以发送拦截到的或自己构造的消息；

[0042] (4)攻击者可以作为一个合法的用户参与协议的运行；

[0043] (5)攻击者可以具有发起求交集攻击的能力。

[0044] 进一步地，在加强的Dolev-Yao模型下，由于攻击者具有求交集攻击的能力，用户每次形成的k-假名集合中k值以及k-假名集合中的用户必须相同，用户可根据不同匿名认证场景中的最高隐私需求来设定k值。

[0045] 本发明的有益效果在于：引入k-假名集合进行匿名认证的概念，用户将包含自己真实身份标识的k-假名集合以及用真实用户密钥加密后的信息发送给认证服务器，认证服务器在遍历和计算k个用户信息的范围内即可完成对用户的认证，降低了用户和认证服务器在匿名认证时的资源消耗。

附图说明

[0046] 图1为查询追踪攻击示意图；

[0047] 图2为攻击者求交集示意图；

[0048] 图3为本发明的协议交互示意图；

[0049] 图4为性能分析实验拓扑示意图；

[0050] 图5为性能分析实验中不同k值下的认证时间；

[0051] 图6为性能分析实验中同时提出认证请求的用户数量对认证时间的影响。

具体实施方式

[0052] 以下将结合附图对本发明作进一步的描述，需要说明的是，本实施例以本技术方案为前提，给出了详细的实施方式和实施步骤，但并不限于本实施例。

[0053] 首先，对本协议所基于的假设进行说明：

[0054] 一、Dolev-Yao模型

[0055] Dolev-Yao攻击者模型广泛应用于安全协议的研究分析中，Dolev和Yao研究了主动攻击者的行为，主动攻击是指攻击者先窃听通信线路获取信息再尝试破解获取到的信息。模型中对攻击者的行为做出以下假设：

[0056] (1)攻击者可以窃听和截获任意经过网络的消息；

[0057] (2)攻击者可以存储拦截到的或自己构造的消息；

[0058] (3)攻击者可以发送拦截到的或自己构造的消息；

[0059] (4)攻击者可以作为一个合法的用户参与协议的运行。

[0060] 由上述描述可知，攻击者可以发起假冒攻击、重放攻击、拒绝服务攻击等攻击。在匿名认证中，攻击者的攻击目的是获取匿名认证中用户的真实身份或阻止用户进行正常认证。

[0061] 二、加强的Dolev-Yao攻击者模型

[0062] 在基于位置服务的隐私保护问题的研究中，提出一种查询追踪攻击。提出连续查询的用户必须不断地向数据库服务器提交自己的位置信息，即使用户将一个查询的精确位置隐匿成一个区域，攻击者还是可以通过把连续时间内的多个快照相联系，进而辨别出提出查询的用户。

[0063] 如图1所示，区域内有A至I共9个用户，在ti时刻，用户A进行查询时使用的k-匿名集合为A，B，C，D，E。即使攻击者观察到用户的匿名集合，也只能知道查询来自五个用户其中之一，但不确定具体是哪个用户。在ti+1时刻，攻击者再次观察到当前的匿名查询区域包括用户A，B，E，H，I。通过把ti和ti+1时刻的快照相联系，攻击者求解前两次匿名集合的交集可以猜出提出查询的用户为A，B或E。同样的，获得ti+2时刻的快照后，攻击者通过求三次匿名集合的交集可以最终确定提出查询的用户为A。此种联系多次快照确定目标用户的攻击方式即为求交集攻击。

[0064] 在匿名认证的应用背景中，攻击者可以发起求交集攻击即表示攻击者可以截获用户的多次认证信息，并可以将这些信息相关联，做进一步的处理和分析。若用户每次认证使用的k-假名集合整体不同或局部不同，则攻击者可以通过分析用户的认证集合提高确定真实认证用户的概率，如图2所示，真实认证用户B，在一定时间内，分别在不同区域连续认证，t1时刻进行匿名认证时所用k-假名集合为S1＝{A,B,C,D,E,F}，t2时刻的k-假名集合为S2＝{B,C,D,E,G,H}，t3时刻的k-假名集合为S3＝{A,B,F,L,M,N}。攻击者截获用户三次的认证消息后，通过分析认证信息的MAC(Media Access Control，介质访问控制)地址可以发现这些认证信息来自同一用户，但对每一次认证单独分析是无法确定真正的用户来自k-假名集合中的哪一个。若攻击者对三次k-假名集合求交集得到集合I＝{B}，则攻击者可知是由用户B提出的连续认证，可以完全确定真正发起认证的用户为B。攻击者的攻击目的是通过发起求交集攻击，获取匿名认证中进行认证的用户的真实身份以及对用户认证轨迹的追踪。

[0065] 基于上述描述，加强的Dolev-Yao攻击者模型即为在Dolev-Yao攻击者模型的基础上，攻击者拥有发起求交集攻击的能力。

[0066] 无线网络中基于k-假名集合的用户匿名身份认证协议，如图3所示，所述协议包括如下步骤：

[0067] step1用户→认证服务器

[0068] 首先由用户向认证服务器发送匿名认证请求，开始用户与认证服务器的相互认证过程。

[0069] step2认证服务器→用户

[0070] 认证服务器收到用户的访问请求后，生成随机数N1，发送给用户。认证服务器端为了提高处理认证请求的速度，可以在空闲时间提前生成一些随机数，并存储这些数据，当其收到认证请求时，直接分发存储的随机数给请求认证的用户。

[0071] step3用户→认证服务器

[0072] 用户在接到N1后，首先生成一个随机数N2，然后计算第三条交互信息M1，M1的计算如下：

[0073] M1＝HMAC(N1‖N2‖C‖Key‖k IDs)；

[0074] Key为用户和认证服务器之间128位的共享密钥；k IDs表示k个明文的用户标识，用户将k个明文用户标识(包括真实认证的用户标识C)、随机数N2以及M1发送给认证服务器；

[0075] step4认证服务器→用户

[0076] 认证服务器接收到来自用户的消息后，按照k-假名集合中用户标识的先后顺序遍历k个明文用户标识，并在数据库中查询用户对应的共享密钥，计算M′1，M′1的计算如下：

[0077] M′1＝HMAC(N1‖N2‖C‖Key‖k IDs)；

[0078] 检查是否有M′1等于M1：

[0079] 如果有M′1等于M1的情况，则认证服务器完成对用户的认证，并计算第四条交互信息M2，计算如下：

[0080] M2＝HMAC(N2‖Key)；

[0081] 将M2发送给用户，用户根据本地存储的N2、Key计算M'2＝HMAC(N2‖Key)，检查是否与认证服务器发送的M2结果一致，则用户完成对认证服务器的认证。在用户完成对认证服务器的认证后，双方生成会话密钥SK。认证服务器端和用户端的会话密钥为：SK＝PRNG(Key⊕N1⊕N2)；其中“⊕”表示按比特的异或运算。

[0082] 使用k-假名集合进行匿名认证的方案中，k个用户标识集的形成是至关重要的一个问题。在基于Dolev-Yao攻击者模型提出两种k-假名标识集的形成方法：

[0083] (1)用户自己生成其他k-1个用户标识。

[0084] 在Dolev-Yao模型下，攻击者无法将用户不同时间段内的认证信息进行联系分析，即不能发起求交集攻击，因此，每次认证的k值可根据用户当时的隐私需求设定，用户每次认证时使用的k-假名集合可相同也可不同。

[0085] 该方法的优点是：1)k-假名集合完全由用户自己来生成，比较容易实现；2)无需认证服务器辅助，避免认证服务器的资源消耗；3)可以根据不同的隐私需求来适应性的调整k值的大小。

[0086] 但该方法也存在以下两方面的不足：

[0087] 1)如果攻击者具有一定背景知识，它能够以较大概率从形成的k-假名集合中推断出真实认证的用户。

[0088] 例如在移动通信网中，用户每次认证都需要发送自己的国际移动用户识别码IMSI(International Mobile Subscriber Identiﬁcation Number)。IMSI是国际上唯一识别一个移动用户所分配的号码，它共有15位组成，包括移动国家码MCC(中国的用户的MCC统一为460)，移动网络码MNC(中国移动系统使用00、02、07)以及移动用户识别号码MSIN。如果用户不了解IMSI的结构而随意伪造，攻击者很容易识别出哪些用户标识是伪造的。如：用户伪造的一个中国用户的IMSI中的MCC不是460，那么攻击者就能够很容易识别出哪些是伪造的用户。这样就能够以较大的概率判断出真正的用户。而我们不能要求所有用户都能够了解IMSI的构造规则。

[0089] 2)如果用户自己所伪造的k-假名集合不恰当，会给网络的带来较大的开销。

[0090] 例如：在移动通信网中，如果用户所伪造的k-1个假的身份同该用户都不属于同一个家乡域，那么认证服务器需要分别到这k-1个用户的家乡网络中来获取其认证信息，这会给网络造成额外的负担。

[0091] 针对该方法的不足，我们提出了第二种构造k-假名用户标识集的方法。

[0092] (2)由认证服务器为用户统一分配形成k-假名集合时所需要的其他k-1个用户标识。认证服务器在用户注册时分配给用户n个用户标识。用户在认证过程中，根据自身的隐私需求决定k值，其中k≤n。

[0093] 用户每次匿名认证时，形成的k-假名集可相同也可不同。

[0094] 该方法的优点是：1)假名集的构造规则完全交给认证服务器来完成，用户不用关心如何构造合适的假名；2)认证服务器了解假名的构造规则，其构造的假名同真实的用户身份具有一致性，可以避免由用户随意构造所带来的问题。如：不恰当的IMSI的构造会导致攻击者容易推断出真实用户以及给网络带来额外压力的问题。

[0095] 但该方法的缺陷是：形成k-假名集合需要认证服务器的参与，增加了服务器的负担。

[0096] 上述两种方法各有利弊，用户可以根据自己所处认证场景选择形成k-假名集合的方法。

[0097] 在加强的Dolev-Yao模型下，攻击者可以根据截获的多条用户认证信息，发起求交集攻击，以更高的概率确定真实认证的用户身份。因此，在加强的Dolev-Yao模型下，形成k-假名集合的方法必须做出改进。

[0098] 求交集攻击主要是由于同一用户在其连续认证的过程中形成的匿名集合不同造成的。解决该问题最简单的方法是让连续认证的用户在初始认证时形成的匿名集与其以后认证过程中的匿名集合保持一致。如在图2的例子中，用户B在t1时刻形成的匿名集是{A,B,C,D,E,F}，则在t2,t3时刻匿名集合依然是{A,B,C,D,E,F}，攻击者无法再通过求交集攻击缩小确定真实认证用户的范围。

[0099] 因此，在加强的Dolev-Yao模型下，文中提出两种k-假名标识集的形成方法：

[0100] (1)与Dolev-Yao模型中k-假名用户标识集构造方法(1)相同，由用户自己生成其他k-1个用户标识。

[0101] 但在加强的Dolev-Yao模型下，攻击者可以发起求交集攻击，因此为了确保用户认证的匿名性，用户在每次认证时必须使用相同的k-假名集合，即保证假名集合的用户数量k值相同以及集合内的用户保持不变。用户可以根据连续认证中，不同匿名认证场景下的最高隐私需求来设定k值。

[0102] (2)与Dolev-Yao模型中方法(2)相同，在用户注册的时候由认证服务器为用户统一分配假名集合。

[0103] 但由于在加强的Dolev-Yao模型下攻击者可以发起求交集攻击，因此用户每次匿名认证时必须使用相同的假名集合。

[0104] 现对本协议的安全性和性能进行分析：

[0105] 一、安全性分析

[0106] 针对在Dolev-Yao模型以及加强的Dolev-Yao模型下提出的匿名认证方案—k-假名集合匿名认证，给出以下安全性分析。

[0107] (1)匿名成功率

[0108] 用户发送的k个明文用户标识中包含了用户的真实身份。但是攻击者即使截获认证信息，也无法确定具体哪个用户是真实认证的用户。攻击者猜中真实认证用户身份的概率为1/k，用户的匿名成功率用S表示，则：

[0109]

[0110] 用户在Dolev-Yao模型下可以根据用户不同的隐私需求调节k值，增强了方案的灵活性。用户的隐私需求越高时，设置的k值越大，则用户的匿名成功率越高；反之，设置的k值较小时，用户的匿名成功率较低。在加强的Dolev-Yao模型下为了抵抗求交集攻击，用户的假名集合k值保持不变。

[0111] (2)双向认证

[0112] 在step3中，用户向认证服务器发送M1，认证服务器在遍历k个用户共享的密钥，然后计算并验证M1，当遍历到真实用户的共享密钥的时候，M1验证成功，以此完成认证服务器对用户的认证。在step4中，认证服务器向用户发送M2，用户根据与认证服务器之间共享的密钥来计算并验证M2，以此来完成对认证服务器的认证。上述认证过程采用了挑战-应答机制，可以抵抗重放攻击。因此，方案实现了用户和认证服务器间的双向认证。

[0113] (3)前向保密性和后向保密性

[0114] 协议中会话密钥的生成取决于认证服务器和用户各自生成的随机数N1和N2，以及两者之间的共享密钥Key。由于N1和N2每次都是随机生成的，两次会话所生成的随机数没有任何关系，所以一次会话密钥的泄露不能够导致别的会话密钥被攻破，因此所提方案具有前向保密性和后向保密性。

[0115] (4)抗别名去同步攻击

[0116] 协议中未涉及更换别名的问题，因此无需考虑去同步攻击而导致的认证服务器和用户存储的别名不同步带来的安全问题。

[0117] 与GodorG等在“Hash-based mutual authentication protocol for low-cost RFID systems”的方案( 记作方案1)，Mun H 等在“Enhancement of anonymous authentication scheme in wireless sensor network”中的方案(记作方案2)，Yi Xiao-Luo等在“An gen2-based security authentication protocol for RFID system”中的方案(记作方案3)进行分析比较，参与比较的方案与本发明都采用共享密钥实现匿名认证。结果如下表1所示，“Y”代表满足相应属性，“N”代表不满足相应属性。

[0118] 表1

[0119]

[0120] 其中，方案2中借助智能卡实现协议的用户匿名性，硬件的引入使得没有安装该硬件的设备都无法使用此种认证方案，降低了方案的实用性。此外，方案2中在验证消息的新鲜性时使用了时间戳机制，但是多设备间可能存在时间不完全同步的问题，时间戳的使用会引入安全隐患。Safkhani M分析了方案2不能抵抗去同步攻击等其他攻击，但未给出改进方案。

[0121] 二、性能分析

[0122] 为了量化评估本发明的性能，我们搭建了测试床，用户端和认证服务器端采用相同配置的硬件：惠普台式机，其CPU为3.00GHZ Core2Duo，内存为2GB，操作系统为WindowsXP，采用C++语言建立套接字实现用户和认证服务器间的通信，编译环境为Microsoft Visual Studio2010，使用OpenSSL库中函数提供SHA-1操作。实验的拓扑图如图4所示。

[0123] 下面通过大量实验，从认证时间、计算量、通信量以及所需存储空间4个方面具体来分析本发明的性能。

[0124] (1)认证时间

[0125] 实验中我们考虑最坏的情况，即：真实用户的身份C在k-假名集合中的最后端。图5为实验中k分别为1，5，10，15，20时的认证时延，每个k值我们进行了40次的测试。k＝1实际是没有伪造假名，仅仅只有真实用户进行实名认证的过程。

[0126] 从表2中可以看出，k-假名集合中的用户数量k变化对认证时间的影响变化不大.这是因为小范围内k值的增加主要会带来两方面的影响：(1)通信量增加：每个用户的标识长度为32bits，增加少量用户标识对通信量所带来的影响可以忽略不计；(2)认证服务器的处理时间增加：k值增加会导致认证服务器增加搜索用户密钥的数量以及计算比较M1的工作量。但在数据库中搜索密钥给认证时间的增加是微乎其微的；比较M1主要涉及消息认证码的计算，其计算量的增加是很小的，所以对认证时间的增加非常有限。

[0127] 表2

[0128]

[0129] 在RFID的标签访问认证中，最坏情况下认证服务器需要遍历数据库内存储的所有标签的共享密钥，并对加密信息进行验证，测得当数据库内存储的标签数量为十万个时，认证所需时间为8.2秒。相比遍历整个数据库完成匿名认证，所提方案在最坏情况下只需遍历k个用户的信息即可完成匿名认证，效率明显提升。

[0130] 同时，对多个用户同时利用所提k假名集进行匿名认证所需认证时间进行了测试。将k值设定为15，某一用户的认证时间随同时提出认证请求的用户数量增加而引起的变化如图6所示，在这里不考虑背景流量。由图6可知，用户的认证时间随着同时提出认证请求的用户数量的增加呈近似线性增加的趋势。

[0131] 下面解释线性增长的合理性，认证时间主要由两部分组成：处理时间和通信时间。处理时间主要是认证服务器端认证用户时需对k个用户的信息进行遍历和计算，并与接收的用户消息做比对。通信时间主要指传输数据所花费的时间。在无线网络环境中，所有用户之间必须通过使用CSMA/CA(Carrier Sense Multiple Access/Collision Avoi-dance，载波感测多元存取/碰撞侦测)获取无线信道，由此导致的时延是不容小觑的。假设服务器的计算能力强大且可同时处理多个用户的认证请求，则同时请求认真的用户数量SU由m变成m+1时，原来m个用户的处理时间几乎不变。但是因为增加了一个用户同m个用户争抢信道，会导致原来m个用户中的每个用户的通信时间变长。假设当SU为m时，每个用户的平均认证时间为D，由新增加的一个用户导致的额外的通信时延为delta，那么对于原来的m个用户，每个用户的认证时间变为D+delta。对于新增加的用户，其认证时间大概与其余m个用户相同。因此，m+1个用户的平均认证时间为D+delta。

[0132] 根据Xu Dong-Xia在“An analytical model of MAC access delay in IEEE802.11eEDCA”文中所述可知，由于无线网络中的分布式协调功能DCF机制，当无线网络中每一个用户总是有固定大小的数据包要发送时，用户接入Wi-Fi的时间同用户数量呈近似线性关系，也就是说每增加一个用户就增加一个固定大小的通信时延，即：delta是一个固定值。因此，在实验中用户的平均认证时延与同时提出认证请求的用户数量之间大概呈线性关系。

[0133] (2)计算量

[0134] 在计算量方面与现有的匿名认证协议方案1、方案2、方案3进行比较，现有的方案均采用基于共享密钥的方法实现的匿名认证。所提方案用户只在step3和step4做了两次散列运算。

[0135] 假设方案1和方案3中存储的用户数量为n个，文中方案k-假名集合中的用户数量为k个，结果如表3所示。

[0136] 表3

[0137]

[0138] (3)通信量

[0139] 方案中随机数N1、N2为64bits，共享密钥Key为128bits，用户身份标识为32bits，散列运算采用SHA-1，处理之后的摘要长度为160bits，认证请求为字符串类型，大小为32bits，则方案的通信量如表4所示。

[0140] 表4

[0141]

[0142] (4)所需存储空间

[0143] 在两种攻击者模型下，用户和认证服务器都需要存储(用户的身份标识，共享密钥，会话密钥)三元组。在两种构造k-假名集合的方法中，用户端都需要存储k个用户身份标识，则用户端所需的存储空间为(288+k×32)bits；认证服务器存储的每个用户的个人信息为288bits，总的所需存储空间由服务器存储的用户数量决定。

[0144] 对于本领域的技术人员来说，可以根据以上的技术方案和构思，给出各种相应的改变和变形，而所有的这些改变和变形，都应该包含在本发明权利要求的保护范围之内。

标题	发布/更新时间	阅读量
基于动态假名的位置隐私保护方法-专利编号CN103618995B	2020-05-12	183
日语假名麻将扑克-专利编号CN86104107A	2020-05-11	390
一种带音乐功能的日语假名学习用游戏教具-专利编号CN108831255A	2020-05-13	458
基于客户机的假名-专利编号CN101523366A	2020-05-11	981
一种平假名和片假名的转换方法-专利编号CN101458569A	2020-05-11	150
基于动态假名的位置隐私保护方法-专利编号CN103618995A	2020-05-12	412
实现日语平假名、片假名和汉字混合输入的系统-专利编号CN1645297A	2020-05-12	457
一种基于VPKI的VANETs假名撤销系统及方法-专利编号CN110677256A	2020-05-12	839
假名麻将牌-专利编号CN2044887U	2020-05-11	1043
日语假名记忆挂历-专利编号CN203063319U	2020-05-13	483

无线网络中基于k-假名集合的用户匿名身份认证协议

无线网络中基于k-假名集合的用户匿名身份认证协议

技术领域

背景技术

发明内容

附图说明

具体实施方式

IPRDB

热门服务

关于我们

友情链接

联系方式