面向无线体域网的多因素身份认证方法以及相关设备技术

本申请提供的面向无线体域网的多因素身份认证方法，在不传递用户隐私情况下，实现用户端、网关节点端和体域节点端的三端交互认证与协商，同时用复杂的加密算法生成用户端和体域节点端的会话密钥。此外，网关节点端无需存储大量注册用户的身份标识及用户口令，只需存储网关节点端自身的相关参数，极大减小存储空间的消耗，同时还可以实现有效验证用户合法身份，解决了多因素身份认证的安全问题和存储问题。题。题。

【技术实现步骤摘要】
面向无线体域网的多因素身份认证方法以及相关设备


[0001]本申请涉及信息安全
，尤其涉及一种面向无线体域网的多因素身份认证方法以及相关设备。

技术介绍

[0002]无线体域网（Wireless body area networks，WBANs)，作为一种非常有前途的无线传感器网络，因其在提高医疗服务质量方面的可预见潜力而受到越来越多的关注。例如，通过无线体域网，医护人员可以从患者身上穿戴的体域传感器节点获取患者的身体参数，并给与实时诊断和治疗。然而，无线体域网通信的开放性无疑会导致攻击者非法入侵，这一方面会干扰医护人员的诊断和治疗，另一方面也会泄露患者个人的重要和敏感的生理数据。现有的基于口令的三因素用户身份认证协议普遍存在严重的安全问题和存储问题，例如：无法抵抗基于智能卡或者移动设备的离线口令猜测攻击、无法抵抗基于公开信道的离线口令猜测攻击、匿名性问题、前向安全性问题、无法有效抵抗内部用户仿冒攻击、无法有效抵抗节点捕获攻击、无法有效抵抗会话密钥临时参数泄露攻击以及通常大量用户向网关进行成功注册之后，网关节点端需存储大量用户的身份标识以及相关验证参数，极容易消耗网关节点端有限的存储空间等问题。

技术实现思路

[0003]有鉴于此，本申请的目的在于提出一种面向无线体域网的多因素身份认证以及相关设备。
[0004]基于上述目的，本申请提供了一种面向无线体域网的多因素身份认证，应用于包括有用户端、网关节点端和体域节点端的多因素身份认证系统；其中，所述用户端存储有向所述网关节点端注册后得到的智能卡，所述智能卡包括第一验证参数、第二验证参数、用户伪随机身份、生物特征恢复函数和匹配次数阈值；所述网关节点端存储有网关长期密钥、网关身份标识和为体域节点端计算的体域秘密值；所述体域节点端存储有所述网关节点端为体域节点端计算的所述体域秘密值；所述面向无线体域网的面向无线体域网的多因素身份认证，包括：所述用户端接收用户输入的预设用户名、预设用户口令和生物特征，并选择需要访问的所述体域节点端的体域身份标识以提取第一时间戳；根据预设用户名、预设用户口令、生物特征、体域身份标识、第一验证参数、第二验证参数和用户伪随机身份，得到第一请求信息集；发送用户伪随机身份、第一请求信息集和第一时间戳至网关节点端；所述网关节点端提取当前时间戳，并根据所述当前时间戳、所述第一时间戳、所述用户伪随机身份、所述网关长期密钥和所述第一请求信息集进行恢复计算，得到第一恢复数据集；响应于所述第一恢复数据集与所述第一请求信息集匹配，生成第二随机数，提取第二时间戳；根据所述第一恢复数据集、所述网关长期密钥、所述体域秘密值、所述第二随机数和所述第二时间戳，生成第二请求信息集；发送所述第二请求信息集和所述第二时间戳
至体域节点端；所述体域节点端提取当前时间戳，并根据所述当前时间戳、所述第二时间戳和所述体域秘密值，进行恢复计算，得到第二恢复数据集；响应于所述第二恢复数据集与所述第二请求信息集匹配，生成第三随机数，提取第三时间戳；根据所述第三随机数生成会话密钥，根据所述第二恢复数据集和所述会话密钥，生成第三请求信息集；发送所述第三请求信息集和所述第三时间戳至网关节点端；所述网关节点端提取当前时间戳，并根据所述当前时间戳、所述第三时间戳、所述第二请求信息集和所述网关长期密钥，进行恢复计算，得到第三恢复数据集；响应于所述第三恢复数据集与所述第三请求信息集匹配，根据所述第三恢复数据集和所述体域秘密值，为所述用户端选择新的用户伪随机身份，根据所述新的用户伪随机身份和所述网关长期密钥计算新的第一恢复数据集，根据所述新的第一恢复数据集和所述新的用户伪随机身份生成第四请求信息集，发送所述第四请求信息集至用户端；所述用户端根据所述第一恢复数据集和所述第四请求信息集，进行恢复计算，得到第四恢复数据集；响应于所述第四恢复数据集和所述第四请求信息集匹配，则所述用户端与所述体域节点端共享所述会话密钥，完成多因素身份认证。
[0005]基于同一专利技术构思，本申请提供了一种多因素身份认证系统，包括：用户端、网关节点端和体域节点端的多因素身份认证系统；其中，所述用户端存储有向所述网关节点端注册后得到的智能卡，所述智能卡包括第一验证参数、第二验证参数、用户伪随机身份、生物特征恢复函数和匹配次数阈值；所述网关节点端存储有网关长期密钥、网关身份标识和为体域节点端计算的体域秘密值；所述体域节点端存储有所述网关节点端为体域节点端计算的所述体域秘密值；所述用户端被配置为接收用户输入的预设用户名、预设用户口令和生物特征，并选择需要访问的所述体域节点端的体域身份标识以提取第一时间戳；根据预设用户名、预设用户口令、生物特征、体域身份标识、第一验证参数、第二验证参数和用户伪随机身份，得到第一请求信息集；发送用户伪随机身份、第一请求信息集和第一时间戳至网关节点端；所述网关节点端被配置为提取当前时间戳，并根据所述当前时间戳、所述第一时间戳、所述用户伪随机身份、所述网关长期密钥和所述第一请求信息集进行恢复计算，得到第一恢复数据集；响应于所述第一恢复数据集与所述第一请求信息集匹配，生成第二随机数，提取第二时间戳；根据所述第一恢复数据集、所述网关长期密钥、所述体域秘密值、所述第二随机数和所述第二时间戳，生成第二请求信息集；发送所述第二请求信息集和所述第二时间戳至体域节点端；所述体域节点端被配置为提取当前时间戳，并根据所述当前时间戳、所述第二时间戳和所述体域秘密值，进行恢复计算，得到第二恢复数据集；响应于所述第二恢复数据集与所述第二请求信息集匹配，生成第三随机数，提取第三时间戳；根据所述第三随机数生成会话密钥，根据所述第二恢复数据集和所述会话密钥，生成第三请求信息集；发送所述第三请求信息集和所述第三时间戳至网关节点端；所述网关节点端被配置为提取当前时间戳，并根据所述当前时间戳、所述第三时间戳、所述第二请求信息集和所述网关长期密钥，进行恢复计算，得到第三恢复数据集；响应于所述第三恢复数据集与所述第三请求信息集匹配，根据所述第三恢复数据集和所述体
域秘密值，为所述用户端选择新的用户伪随机身份，根据所述新的用户伪随机身份和所述网关长期密钥计算新的第一恢复数据集，根据所述新的第一恢复数据集和所述新的用户伪随机身份生成第四请求信息集，发送所述第四请求信息集至用户端；所述用户端被配置为根据所述第一恢复数据集和所述第四请求信息集，进行恢复计算，得到第四恢复数据集；响应于所述第四恢复数据集和所述第四请求信息集匹配，则所述用户端与所述体域节点端共享所述会话密钥，完成多因素身份认证。
[0006]基于同一专利技术构思，本申请还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行上述任意一项所述的面向无线体域网的多因素身份认证。
[0007]从上面所述可以看出，本申请提供的面向无线体域网的多因素身份认证以及相关设备，在不传递用户隐私情况下，实现用户端、网关节点端和体域节点端的三端交互认证与协商，同时用复杂的加密算法生成用户端和体域节点端的会话密钥。此外，网关节点端无需存本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向无线体域网的多因素身份认证方法，其特征在于，应用于包括有用户端、网关节点端和体域节点端的多因素身份认证系统；其中，所述用户端存储有向所述网关节点端注册后得到的智能卡，所述智能卡包括第一验证参数、第二验证参数、用户伪随机身份、生物特征恢复函数和匹配次数阈值；所述网关节点端存储有网关长期密钥、网关身份标识和为体域节点端计算的体域秘密值；所述体域节点端存储有所述网关节点端为体域节点端计算的所述体域秘密值；所述面向无线体域网的面向无线体域网的多因素身份认证方法，包括：所述用户端接收用户输入的预设用户名、预设用户口令和生物特征，并选择需要访问的所述体域节点端的体域身份标识以提取第一时间戳；根据预设用户名、预设用户口令、生物特征、体域身份标识、第一验证参数、第二验证参数和用户伪随机身份，得到第一请求信息集；发送用户伪随机身份、第一请求信息集和第一时间戳至网关节点端；所述网关节点端提取当前时间戳，并根据所述当前时间戳、所述第一时间戳、所述用户伪随机身份、所述网关长期密钥和所述第一请求信息集进行恢复计算，得到第一恢复数据集；响应于所述第一恢复数据集与所述第一请求信息集匹配，生成第二随机数，提取第二时间戳；根据所述第一恢复数据集、所述网关长期密钥、所述体域秘密值、所述第二随机数和所述第二时间戳，生成第二请求信息集；发送所述第二请求信息集和所述第二时间戳至体域节点端；所述体域节点端提取当前时间戳，并根据所述当前时间戳、所述第二时间戳和所述体域秘密值，进行恢复计算，得到第二恢复数据集；响应于所述第二恢复数据集与所述第二请求信息集匹配，生成第三随机数，提取第三时间戳；根据所述第三随机数生成会话密钥，根据所述第二恢复数据集和所述会话密钥，生成第三请求信息集；发送所述第三请求信息集和所述第三时间戳至网关节点端；所述网关节点端提取当前时间戳，并根据所述当前时间戳、所述第三时间戳、所述第二请求信息集和所述网关长期密钥，进行恢复计算，得到第三恢复数据集；响应于所述第三恢复数据集与所述第三请求信息集匹配，根据所述第三恢复数据集和所述体域秘密值，为所述用户端选择新的用户伪随机身份，根据所述新的用户伪随机身份和所述网关长期密钥计算新的第一恢复数据集，根据所述新的第一恢复数据集和所述新的用户伪随机身份生成第四请求信息集，发送所述第四请求信息集至用户端；所述用户端根据所述第一恢复数据集和所述第四请求信息集，进行恢复计算，得到第四恢复数据集；响应于所述第四恢复数据集和所述第四请求信息集匹配，则所述用户端与所述体域节点端共享所述会话密钥，完成多因素身份认证。2.根据权利要求1所述的面向无线体域网的多因素身份认证方法，其特征在于，还包括：所述用户端接收用户输入的用户名和用户口令；随机生成初始随机数，根据所述用户名、所述用户口令和所述初始随机数，生成初始验证参数；并将所述初始验证参数发送至网关节点端；所述网关节点端为所述用户端选择用户伪随机身份和指纹密钥恢复函数，根据所述网关长期密钥和所述用户伪随机身份计算第一中间验证值，根据所述第一中间验证值和所述初始验证参数计算第一验证参数，将所述用户伪随机身份、所述指纹密钥恢复函数、所述第
一验证参数和匹配次数阈值存储在智能卡中，并将所述智能卡发送到所述用户端；所述用户端接收用户输入的指纹信息，根据所述初始验证参数和所述第一验证参数恢复第一中间验证值，根据所述用户输入的指纹信息和所述指纹密钥恢复函数计算第二中间验证值，根据所述用户名、所述用户口令、所述第一中间验证值和所述第二中间验证值计算第二验证参数；根据所述第一中间验证值和所述初始验证参数更新所述第一验证参数；将所述用户伪随机身份、所述指纹密钥恢复函数、所述更新后的第一验证参数、所述第二验证参数和所述匹配次数阈值存储在智能卡中。3.根据权利要求1所述的面向无线体域网的多因素身份认证方法，其特征在于，所述第一请求信息集包括第一请求信息、第二请求信息和第三请求信息；则，所述面向无线体域网的多因素身份认证包括：所述用户端接收用户输入的预设用户名、预设用户口令和生物特征，并根据所述预设用户名和所述预设用户口令恢复用户哈希值，根据所述用户哈希值和所述第一验证参数恢复第一中间验证值，根据所述生物特征以及所述生物特征恢复函数恢复第二中间验证值，根据所述预设用户名、所述预设用户口令、所述第一中间验证值和所述第二中间验证值计算第二预设验证参数，响应于所述第二预设验证参数与所述第二验证参数相匹配，生成用户公钥、用户私钥和第一随机数，选择需要访问的所述体域节点端的体域身份标识，提取第一时间戳，根据所述第一中间验证值、所述用户公钥、所述第一随机数、所述第一时间戳、所述体域身份标识和所述用户伪随机身份生成第一请求信息、第二请求信息和第三请求信息，发送所述用户伪随机身份、所述第一请求信息、所述第二请求信息、所述第三请求信息集和所述第一时间戳至网关节点端。4.根据权利要求3所述的面向无线体域网的多因素身份认证方法，其特征在于，所述第一恢复数据集包括随机时间戳函数值、所述第一中间验证值、所述用户公钥和所述体域身份标识；所述第二请求信息集包括第四请求信息、第五请求信息和第六请求信息；则，所述面向无线体域网的多因素身份认证包括：所述网关节点端提取当前时间戳，响应与所述当前时间戳与所述第一时间戳之间的差值不大于预设的时间阈值，根据所述用户伪随机身份、所述网关长期密钥、所述第一请求信息和所述第二请求信息恢复得到随机时间戳函数值、所述第一中间验证值、所述用户公钥和所述体域身份标识，根据所述用户伪随机身份、所述体域身份标识、所述随机时间戳函数值和所述用户公钥计算第三预设请求信息，响应与所述第三预设请求信息和所述第三请求信息相匹配，生成第二随机数，提取第二时间戳，根据所述网关长期密钥和所述体域身份标识计算体域秘密值，根据所述体域秘密值、所述体域身份标识、所述用户公钥、所述第二随机数、所述随机时间戳函数值、所述第一中间验证值和所述第二时间戳生成第四请求信息、第五请求信息和第六请求信息，发送所述第四请求信息、所述第五请求信息、所述第六请求信息和所述第二时间戳至体域节点端。5.根据权利要求4所述的面向无线体域网的多因素身份认证方法，其特征在于，所述第二恢复数据集包括所述公钥、所述第二随机数、所述随机时间戳函数值、所述第一中间验证值和所述体域身份标识；所述第三请求信息集包括第四请求信息、第五请求信息和第六请求信息；则，所述面向无线体域网的多因素身份认证包括：
所述体域节点端提取当前时间戳，响应与所述当前时间戳与所述第二时间戳之间的差值不大...

【专利技术属性】
技术研发人员：徐国爱，刘凯俊，徐国胜，王晨宇，曹强，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：