[发明专利]一种匿名认证方法及其应用

说明书

技术领域

本发明涉及无证书签名与匿名身份认证技术领域，具体地说是一种适用于无线体域网中保护客户端身份隐私及数据机密性的匿名认证方法。

背景技术

在一般匿名认证的网络模型中，主要存在两种参与方：客户端以及应用服务器。客户端向应用服务器请求服务时，应用服务器首先确认客户端身份是否合法，确认客户端身份合法后才能为该客户端提供服务，其中客户端为资源受限的设备，应用服务器端是资源相对充足的设备。此外，为了保护客户端的隐私，主要有两种匿名方式：第一种是弱匿名，即只对网络中的其他客户端进行匿名，而对应用服务器公开其身份信息；第二种是强匿名，即对网络的其他客户端进行匿名的同时对应用服务器也进行匿名。显然第二种身份匿名有更高的安全性。典型应用场景如图1所示。因此匿名认证以及密钥协商协议可以使客户端在公开网络中隐藏自己的身份，并将数据传输到特定的应用服务器端进行存储分析。

已有的一些匿名认证协议提供了相互认证和客户端强匿名性。这些方案中强匿名认证主要体现在：

1)服务器维护一个验证表，通过验证表来验证请求服务客户端的合法身份。但是验证表的维护不仅会增加服务器的存储代价，而且会存在信息不同步的风险。并且一旦验证表被攻破，攻击者可以伪装成任意合法的用户，无法保证相互认证。

2)引入可信的第三方，第三方可以是重签名者，将客户端的签名进行重签名，可以隐藏客户端的身份。但是第三方必须是完全可信的，使其在实际中的应用受到了一定的限制。

目前，在匿名认证方法中首先要保证相互认证以及客户端的隐私，并且由于客户端是资源受限的设备，还需要考虑客户端的开销。此外，这些匿名认证协议中没有考虑到客户端身份的可追踪性。即客户端的行为不当时无法追踪到客户端的真实身份，导致恶意的客户端仍然可以获得合法的服务。

发明目的

本发明为了解决上述现有技术存在的不足之处，提供一种匿名认证方法及其应用，以期能有效的解决现有无线体域网中客户端匿名认证过程中客户端计算代价高以及认证效率低的问题，同时能实现客户端身份可追踪，从而提高客户端的安全性。

本发明为解决技术问题所采用的技术方案是：

本发明一种匿名认证方法的特点是应用于由一个可信的密钥生成中心KGC、若干个客户端和若干个应用服务器所构成的无线体域网环境中；记任意一个客户端为C_i、任意一个应用服务器为S_j，所述匿名认证方法是按如下步骤进行：

步骤1、所述密钥生成中心KGC生成自身的公私钥和系统参数，并公开所述系统参数；同时为所有应用服务器生成公私钥，记任意一个应用服务器S_j的公钥和私钥为PK_j和sk_j；

步骤2、任意一个客户端C_i选择一个随机数并生成部分伪身份PID′_i后，将自身真实身份ID_i与所述部分伪身份PID′_i一起发送给所述密钥生成中心KGC；

步骤3、所述密钥生成中心KGC根据所接收到的客户端C_i的自身真实身份ID_i与部分伪身份PID′_i，并利用所述密钥生成中心KGC自身的私钥计算客户端C_i的另一部分伪身份PID″_i；由所述部分伪身份PID′_i和另一部分伪身份PID′_i构成所述客户端C_i完整的伪身份PID_i；

步骤4、所述密钥生成中心KGC为所述客户端C_i生成部分私钥s_i和公钥参数W_i，并将所述客户端C_i完整的伪身份PID_i、部分私钥s_i和公钥参数W_i通过安全信道一起发生给所述客户端C_i；

步骤5、所述客户端C_i根据所述系统参数和公钥参数W_i验证所接收到的部分私钥s_i的合法性，若验证合法，则接受所述部分私钥s_i并执行步骤6；否则，拒绝所述部分私钥s_i并返回步骤2；