[发明专利]一种面向智能家庭的具有隐私保护特性的身份认证方法

权利要求书

1.一种面向智能家庭的具有隐私保护特性的身份认证方法，其特征在于：

首先在ITFFF家庭网关和IFTTT服务器之间建立安全通道；

再者设计一个互认证协议，该协议允许IFTTT家庭网关和远程用户通过IFTTT服务器互相认证，而且IFTTT服务器不能跟踪监控用户访问行为；

该方法有三个阶段：系统初始化阶段、注册阶段、认证和密钥协商阶段，具体如下：

阶段A：系统初始化阶段；

IFTTT服务器初始化：采用ECC算法，生成私钥x和公共参数{p，E_p，P，P_s，n，H₁(·)}，并发布公共参数；

IFTTT家庭网关初始化：预配置公共参数{p，E_p，P，P_s，n，H₁(·)}和序列号SN_j；采用ECC算法，生成私钥x_j和公共参数存储公共参数；

阶段B：注册阶段：

家庭网关注册阶段：IFTTT家庭网关注册到IFTTT服务器，确认身份rID_j和秘密H₁(SN_j||x)；

用户注册阶段：用户注册到IFTTT家庭网关，面对面的方式配置用户IDuID_j和初始认证会话秘钥

阶段C：认证和密钥协商阶段；

家庭网关登录阶段：IFTTT家庭网关登录IFTTT服务器，互认证之后，协商一个会话秘钥IFTTT服务器将家庭网关HG_j标记为在线；在密钥协商互认证阶段：用户和IFTTT家庭网关通过IFTTT服务器互相认证，协商一个新的会话秘钥这对攻击者和IFTTT服务器都是私密的；而且，最后一个会话密钥涉及相互身份验证以防止冒充攻击；

至此，密钥协商互认证程序完成，用户的智能手机SP_i直接通过会话秘钥发送远程控制信息到家庭网关HG_j或从家庭网关HG_j收到信息；

阶段A系统初始化阶段，具体实现如下：

IFTTT服务器初始化：当IFTTT服务器启动时，首先在有限域F_p上选取一条椭圆曲线E_p，其中p为大素数；再者，选取一个安全单向散列函数H₁(·)；然后，取E_p上一个基点P，阶为n，私钥x，然后计算P_s＝x*P作为公钥；S私有x，发布{p，E_p，P，P_s，n，H₁(·)}；S定义为IFTTT服务器；

IFTTT家庭网关初始化：假设家庭网关HG_j已经配置了公共参数{p，E_p，P，P_s，n，H₁(·)}和序列号SN_j；当HG_j启动时，取一个安全单向散列函数H₂(·)和一条有限域上的椭圆曲线其中p_j为大素数；再取上的一个基点P_j，阶n_j，私钥x_j，然后计算作为公钥；HG_j私有x_j，存储公共参数

阶段B注册阶段，具体实现如下：

1)家庭网关注册阶段：

步骤HGR1：HG_j产生随机数rID_j、r_j，计算mr1＝r_j*P_s，mr2＝r_j*P，B₃＝H₁(mr2)||SN_j||rID_j；然后发送M1＝{mr2，B₁，B₂，B₃，T1}到S；

步骤HGR2：S计算mr1*＝x*mr2，从B₁、B₂获得然后检查是否成立，如果不成立，终止进程；反之，S判定mr1＝mr1^*，并通过自己的有效数据库找到SN_j；如果SN_j存在，计算B₅＝H₁(SN_j||x)||SN_j||rID_j||mr1；返回M₂＝{B₄，B₅}到HG_j；S存储rID_j作为家庭网关的身份，存储H₁(SN_j||x)作为家庭网关的秘密；

步骤HGR3：当HG_j收到M₂，从B₄中提取检查等式若等式成立，HG_j得到然后提取自身专有硬件地址MAC_j，计算否则，关闭进程；最后，HG_j存储(rID_j，R_j)；

2)用户注册阶段：

步骤UR1：当用户U_i注册到HG_j时，HG_j产生随机数rC_j作为注册码，在屏幕上显示U_i，然后发送rID_j和公共参数到用户智能手机上；

步骤UR2：U_i设置密码和用户名，表示为PW_i，UN_i；用户手动输入PW_i、UN_i、rC_j到智能手机SP_i中；然后，SP_i检索其硬件地址MAC_i，计算w＝H₂(PW_i||UN_i)，ep＝w*P_j，C₃＝H₂(ep||u||rC_j)，M₃＝{ep，C₁，C₂，C₃}，将M₃发送到HG_j；

步骤UR3：收到M₃，HG_j首先计算cp^*＝x_j*ep，然后从C₁、C₂获得u^*、并检查等式若不相等，进程终止；反之，HG_j认为u＝u^*，并计算uID_i＝H₂(u)，存储同时返回到SP_i；

步骤UR4：收到M₄，SP_i如HG_j一样计算uID_i、若M₄有效，计算存储

阶段C认证和密钥协商阶段，具体实现如下：

①家庭网关登录阶段

步骤HGL1：HG_j通过MAC_j从R_j恢复H₁(SN_j||x)，产生随机数r_j，计算mr1＝r_j*P_s，mr2＝r_j*P，B₃＝H₁(mr2||H₁(SN_j||x)||rID_j||T₁)，M₅＝{mr2，B₁，B₂，B₃，T₁}，然后将M₅发送到S；T_i为当前的时间戳，i＝1，2......；

步骤HGL2：S首先根据条件检验T₁的及时性，ΔT表示最大传输延迟时间，是M₅的到达时间；如果T₁满足，S计算mr1*＝x*mr2，通过B₁、B₂计算得到rID_j^*、然后检验等式若相等，S得到rID_j^*＝rID_j、mr1*＝mr1，然后产生一个随机数r，计算B₅＝H₁(mr1||H₁(SN_j||x)||rID_j||r||T₂)，M₆＝{B₄，B₅，T₂}，把M₆发送到HG_j；该次会话，S把加入到数据库中；

步骤HGL3：HG_j根据条件检验T₂的及时性，是M₆的到达时间.如果满足，HG_j提取r^*，判断H₁(mr1||H₁(SN_j||x)||rID_j||r^*||T₂)＝B₅；如果相等，HG_j认为r^*＝r，计算并安全存储

②密钥协商互认证阶段

从前面阶段可知，S私有x，公共参数{p，E_p，P，P_s，n，H₁(·)}，数据库中存储HG_j私有x_j，公共参数对U_i存储对S存储和S的公共参数；U_i记忆中有{UN_i，PW_i}，其SP_i存储和HG_j的公共参数，具体步骤如下：

步骤AUKA1：U_i输入用户名UN_i和密码PW_i，SP_i计算w＝H₂(PW_i||UN_i)，通过w从计算出uID_i、SP_i产生随机数r_i，计算e＝r_i*P_j、M₇＝{rID_j，e，O₁，O₂，O₃，T₁}，将M₇发送到S；

步骤AUKA2：S首先根据条件检验T₁的及时性，ΔT表示最大传输延迟时间，是M₇的到达时间；若条件成立，S找到rID_j，然后转发到HG_j；

步骤AUKA3：收到M₇密文mM₇，HG_j首先计算然后检验H₁(M₇)；若其相等，则根据条件检验T₁的及时性，ΔT′＞2ΔT表示最大传输延迟时间，是mM₇的到达时间；若条件成立，HG_j计算c^*＝x_j*e，从O₁、O₂中恢复uID_i^*、检验等式是否成立，若不成立，进程结束；反之，HG_j认为uID_i^*＝uID_i、再检验与数据库中是否相等，若相等，则产生随机数r_j，计算M₈＝{O₄，O₅，T₂}；之后，将发送到S；同时计算更新

步骤AUKA4：S计算得到M₈，检验H₁(M₈)，若其相等，则根据条件检验T₂的及时性，是mM₈的到达时间；若成立，则转发M₈到SP_i；

步骤AUKA5：SP_i首先根据条件检验T₁的及时性，是M₈的到达时间；若条件成立，则SP_i用H₂(c)从M₈中的O₄提取r_j^*，检验等式若成立，则SP_i认为c＝c^*、r_j^*＝r_j，计算更新之后，计算更新至此，密钥协议互认证程序完成，SP_i直接通过发送远程控制信息或从HG_j收到信息。