摘 要：隨著物聯(lián)網(wǎng)應(yīng)用的日益普及，物聯(lián)網(wǎng)設(shè)備終端數(shù)量激增、種類多樣、層次復(fù)雜，常處于不可控的環(huán)境之中，因此，確保數(shù)據(jù)傳輸過(guò)程的安全性和隱私性至關(guān)重要。對(duì)基于物聯(lián)網(wǎng)架構(gòu)的智能家居服務(wù)進(jìn)行探討得出，啟用智能家居應(yīng)用需涉及多個(gè)方面，如用戶、云、物聯(lián)網(wǎng)智能集線器（the IoT smart hub，ISH）和智能設(shè)備，它們需要多方驗(yàn)證以進(jìn)行安全通信。由此提出了一種針對(duì)智能家居應(yīng)用的格上基于身份多方認(rèn)證密鑰協(xié)商協(xié)議，并證明在eCK模型下是安全的。其安全性可以歸約到環(huán)上帶誤差學(xué)習(xí)（ring learning with errors，RLWE）問(wèn)題的困難性，能夠抗量子計(jì)算攻擊。所提協(xié)議由一個(gè)格上基于身份的加密方案轉(zhuǎn)換而成，無(wú)須公鑰證書，避免了部署一個(gè)龐大的公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）。通過(guò)信息交互實(shí)現(xiàn)顯式認(rèn)證，且可具有一定的匿名性質(zhì)，與其他相關(guān)的后量子格上多方認(rèn)證密鑰協(xié)商協(xié)議方案相比，該協(xié)議在安全性和執(zhí)行效率方面更具優(yōu)勢(shì)。

關(guān)鍵詞： 智能家居；基于身份密碼；環(huán)上帶誤差學(xué)習(xí)；多方認(rèn)證密鑰協(xié)商協(xié)議；后量子密碼；匿名性

中圖分類號(hào)： TP309文獻(xiàn)標(biāo)志碼：A 文章編號(hào)： 1001－3695（2024）04－034－1191－07

doi： 10.19734/j.issn.1001－3695.2023.06.0341

Identity－based multiparty authenticated key agreement protocol for smart homes from lattice

Ni Liang Liu Xiaoyan Gu Bingke Zhang Yawei Zhou Hengsheng Wang Nianping2

Abstract：With the increasing popularity of IoT applications， the number of IoT device terminals is proliferating， the types are diverse， the levels are complex， and they are often in an uncontrollable environment， so it is critical to ensure the security and privacy of the data transmission process. This paper explored smart home services based on IoT architecture. Enabling smart home applications involved multiple parties， such as users， the cloud， ISH and smart devices， which required multi－party authentication for secure communication. This paper proposed a lattice－based multi－party authenticated key agreement protocol for smart home applications and proved that it was secure under the eCK model， and its security could be attributed to the difficulty of RLWE problem， which was resistant to quantum computing attacks. The proposed protocol is converted from an identity－based encryption scheme on lattice， does not require a public key certificate and avoids the deployment of a large PKI， achieves explicit authentication through message interaction， and can have a certain anonymity. Compared with other related post－quantum lattice－based multi－party authenticated key agreement protocol schemes， the proposed protocol is more advantageous in terms of security and execution efficiency.Key words：smart home; identity－based cryptography; ring learning with error; multi－party authentication key agreement protocol; post－quantum cryptography; anonymity

0 引言

隨著網(wǎng)絡(luò)通信技術(shù)與傳感技術(shù)的飛速發(fā)展，物聯(lián)網(wǎng)技術(shù)（IoT）［1］被廣泛應(yīng)用于智能家居領(lǐng)域，實(shí)現(xiàn)了人、機(jī)、物在任何時(shí)間、地點(diǎn)的信息交換與智能服務(wù)。傳感器、智能終端等大量設(shè)備呈指數(shù)形式接入網(wǎng)絡(luò)，并且設(shè)備數(shù)量繁多、種類多樣、層次復(fù)雜，不同應(yīng)用之間不可避免地產(chǎn)生信息交互、系統(tǒng)控制等業(yè)務(wù)需求，預(yù)計(jì)到2025年， 全球物聯(lián)網(wǎng)設(shè)備連接數(shù)將達(dá)到233億，其中我國(guó)將達(dá)到80億。這就致使網(wǎng)絡(luò)常處于不可控的環(huán)境中，大規(guī)模連接的物聯(lián)網(wǎng)設(shè)備很容易受到來(lái)自敵手的攻擊，特別是對(duì)于用于收集和傳輸敏感數(shù)據(jù)和信息的設(shè)備［2］，例如：智能門鎖、智能攝像頭等安全設(shè)備，可能造成強(qiáng)制開鎖和攝像等涉及財(cái)產(chǎn)、人身安全等高風(fēng)險(xiǎn)后果；智能中控，智能插座、電器、影音等設(shè)備系統(tǒng)，可能造成隱私竊取、系統(tǒng)破壞、遠(yuǎn)程控制等安全問(wèn)題。因此，解決物聯(lián)網(wǎng)中的安全與隱私問(wèn)題已成為信息安全研究中的關(guān)鍵。

在智能家居場(chǎng)景中，用戶需要通過(guò)手機(jī)登錄平臺(tái)登錄個(gè)人賬戶，手機(jī)登錄平臺(tái)將用戶信息匯聚到云服務(wù)， 同時(shí)智能集線器輔助云服務(wù)完成數(shù)據(jù)的處理與存儲(chǔ)，最終完成遠(yuǎn)程操控。 圖1顯示了一個(gè)典型的智能家居場(chǎng)景，它包括一個(gè)連接到互聯(lián)網(wǎng)的智能集線器（IoT smart hub，ISH），被連接到Wi－Fi或啟用ZigBee的設(shè)備上。ZigBee技術(shù)是一種基于IEEE 802.15.4的協(xié)議，用于需要低成本、低數(shù)據(jù)速率、低功耗和全雙工通信的應(yīng)用程序。圖1中，智能電表、智能溫度計(jì)、空調(diào)、冰箱、智能門鎖均啟用ZigBee并連接到智能集線器，其中智能電視、平板電腦和監(jiān)控?cái)z像頭通過(guò)Wi－Fi技術(shù)連接到智能集線器［3］。智能家居對(duì)會(huì)話密鑰的安全性具有更高的要求，傳輸?shù)臄?shù)據(jù)涉及財(cái)產(chǎn)和人身安全，若發(fā)生竊取，將發(fā)生難以想象的后果，因此設(shè)計(jì)和實(shí)現(xiàn)一個(gè)多方安全的認(rèn)證密鑰協(xié)商協(xié)議（authenticated key agreement protocol， AKA）［4］勢(shì)在必行，用于實(shí)現(xiàn)各方相互認(rèn)證， 并生成多方的共享密鑰，該共享密鑰后續(xù)會(huì)用于應(yīng)用數(shù)據(jù)的加密與認(rèn)證，為物聯(lián)網(wǎng)通信提供端到端的安全服務(wù)。

許多學(xué)者已經(jīng)提出了多種安全機(jī)制來(lái)處理物聯(lián)網(wǎng)環(huán)境下身份驗(yàn)證和密鑰協(xié)商的攻擊。2017年，Mahmood等人［5］提出了一種在患者、醫(yī)生和可信服務(wù)器之間基于對(duì)稱密鑰的安全認(rèn)證密鑰協(xié)商協(xié)議，利用橢圓曲線密碼學(xué)進(jìn)行安全通信，但該方案缺乏多方參與的認(rèn)證機(jī)制；此外，該安全方案采用了傳統(tǒng)的公鑰加密方案，需要由服務(wù)器進(jìn)行密鑰管理，用戶需要為每個(gè)安全會(huì)話從服務(wù)器獲取公鑰。2018年，Shen等人［6］針對(duì)智能家居系統(tǒng)傳輸數(shù)據(jù)的隱私性，在主網(wǎng)關(guān)的參與下，通過(guò)基于ECDH算法實(shí)現(xiàn)了智能設(shè)備和云服務(wù)提供商之間的會(huì)話密鑰生成，該程序確保了在傳輸過(guò)程中上傳數(shù)據(jù)的安全性，并防止惡意敵手監(jiān)視和修改數(shù)據(jù)。文獻(xiàn)［7］提出了一個(gè)能夠適應(yīng)大數(shù)據(jù)環(huán)境的智能城市安全系統(tǒng)的安全通信方案，包括注冊(cè)階段、密鑰協(xié)商、密鑰撤銷和數(shù)據(jù)傳輸，雖然該方案能達(dá)到較高的數(shù)據(jù)傳輸速率，但其采用大量的簽名算法和非對(duì)稱加密算法導(dǎo)致系統(tǒng)開銷很大。2018年，Gupta等人［8］使用簡(jiǎn)單的XOR和單向加密哈希函數(shù)在移動(dòng)終端和可穿戴傳感設(shè)備之間實(shí)現(xiàn)輕量級(jí)的相互認(rèn)證和密鑰協(xié)商協(xié)議，并使用ban邏輯提供了建立安全會(huì)話密鑰的證明。2019年，Kim等人［9］證明了文獻(xiàn)［8］無(wú)法承受用戶冒充、會(huì)話密鑰泄露和可穿戴設(shè)備被盜攻擊，并提出了一種使用可穿戴設(shè)備的安全和輕量級(jí)的相互身份驗(yàn)證和密鑰建立方案，以解決文獻(xiàn)［8］的安全缺陷。Jia等人［10］為解決云數(shù)據(jù)中心的傳輸時(shí)延問(wèn)題，提出了一個(gè)適用于無(wú)線醫(yī)療傳感器網(wǎng)絡(luò)環(huán)境中基于雙線性對(duì)的認(rèn)證密鑰協(xié)商協(xié)議，借助霧計(jì)算技術(shù)實(shí)現(xiàn)訪問(wèn)和存儲(chǔ)數(shù)據(jù)。2020年，Hajian等人［11］指出文獻(xiàn)［8］對(duì)特權(quán)內(nèi)部攻擊、傳感設(shè)備受損以及去同步攻擊是不安全的，并提出一種具有攻擊彈性和匿名密鑰協(xié)議的可擴(kuò)展醫(yī)療認(rèn)證協(xié)議，以克服現(xiàn)有方案的安全漏洞。2021年，Wu等人［12］指出文獻(xiàn)［11］未能實(shí)現(xiàn)本地口令驗(yàn)證和抵抗臨時(shí)密鑰泄露攻擊，在此基礎(chǔ)上提出改進(jìn)方案。Kaur等人［13］提出了一種適用于智能家居的雙因素認(rèn)證技術(shù)，但是該協(xié)議會(huì)話密鑰易泄露，不能抵抗模擬攻擊，Limbasiya等人［14］討論了一種用于多服務(wù)器醫(yī)療保健應(yīng)用程序的基于哈希的隱私保護(hù)認(rèn)證密鑰協(xié)商協(xié)議。但用于計(jì)算會(huì)話鍵的參數(shù)對(duì)所有會(huì)話都保持不變，那么所有會(huì)話的會(huì)話鍵都將保持不變，這與會(huì)話密鑰的正向保密相矛盾。文獻(xiàn)［15］討論了一種基于哈希的身份驗(yàn)證協(xié)議，以解決密鑰泄露的模擬攻擊。該協(xié)議成本較低，可以通過(guò)公共信道實(shí)現(xiàn)用戶的匿名性，但任何攻擊者都可以通過(guò)在登錄請(qǐng)求的傳輸參數(shù)之間執(zhí)行操作來(lái)啟動(dòng)跟蹤攻擊［16］。2022年，王菲菲等人［17］指出文獻(xiàn)［10，12］的缺陷，并提出了一個(gè)適用于智能醫(yī)療環(huán)境下的基于霧計(jì)算的三方認(rèn)證密鑰協(xié)商協(xié)議。2021年，文獻(xiàn)［18］采用了有效的格上身份加密（IBE）公鑰和基于安全哈希算法（SHA－3）加密方案，提出了能夠支持醫(yī)療保健服務(wù)的安全框架的輕量級(jí)多方認(rèn)證密鑰協(xié)商協(xié)議，但方案實(shí)施部分解析不詳細(xì)，缺乏有效的證明。綜上，如今網(wǎng)絡(luò)信息系統(tǒng)絕大多數(shù)利用的還是橢圓曲線公鑰體制ECC、RSA公鑰體制等經(jīng)典公鑰密碼體制，但隨著量子計(jì)算技術(shù)發(fā)展突飛猛進(jìn)［19～21］及其在解決大規(guī)模計(jì)算難題有巨大潛能，致使基于大整數(shù)分解問(wèn)題和離散對(duì)數(shù)問(wèn)題等經(jīng)典數(shù)論難題的經(jīng)典公鑰密碼體制的安全性將在可預(yù)期的將來(lái)被輕易破解，因此設(shè)計(jì)和部署可抗量子計(jì)算攻擊的后量子安全協(xié)議方案勢(shì)在必行。目前，后量子密碼中的格密碼算法因其在安全性、密鑰大小和計(jì)算復(fù)雜度上可達(dá)到較好平衡而被廣泛關(guān)注，其安全性可歸約到格上困難問(wèn)題的復(fù)雜性，基于格上的困難問(wèn)題［22，23］等已被數(shù)學(xué)證明可以抵御量子計(jì)算機(jī)的攻擊。然而，目前研究主要集中在格上口令認(rèn)證密鑰協(xié)商協(xié)議，其缺點(diǎn)也是很明顯的，口令的低熵性使其不能抵抗字典攻擊［24］，而且口令易忘記和丟失，這也會(huì)帶來(lái)潛在隱患?；谏矸莸拿艽a系統(tǒng)（identity－based cryptograph，IBC）［25］是一種以用戶的身份特征（如電子郵件、ID身份等）作為公鑰的非對(duì)稱公鑰密碼體系。因?yàn)槠鋺?yīng)用消除了公鑰證書，避免了龐大PKI的部署，簡(jiǎn)化了公鑰的管理，一直被學(xué)者應(yīng)用于認(rèn)證密鑰協(xié)商協(xié)議，但在方案設(shè)計(jì)上，當(dāng)前絕大多數(shù)方案仍是圍繞雙線性映射［21］設(shè)計(jì)，正式出版的后量子格上基于身份的AKA方案還非常少。

為了解決以上問(wèn)題，本文提出了一個(gè)能夠適應(yīng)智能家居環(huán)境的輕量級(jí)后量子基于身份多方認(rèn)證密鑰協(xié)商協(xié)議，其困難性依賴于格上的RLWE問(wèn)題，可以抵抗量子計(jì)算機(jī)攻擊。其特點(diǎn)如下：a）該協(xié)議在注冊(cè)階段輸入自己的生物特征和真實(shí)身份信息，云服務(wù)將用戶數(shù)據(jù)轉(zhuǎn)換為偽身份發(fā)送給用戶，并隱藏真實(shí)身份信息，用戶在登錄時(shí)使用偽身份，可以避免泄露真實(shí)身份信息，免受敵手竊取、冒用用戶身份；b）基于身份的密碼系統(tǒng)舍去公鑰證書，減免了復(fù)雜PKI的部署，使公鑰的管理更加便捷，具有非常重要的理論意義與使用價(jià)值；c）本協(xié)議為用戶、云服務(wù)和物聯(lián)網(wǎng)智能集線器都生成了一對(duì)臨時(shí)公私鑰，能夠抵抗密鑰泄露偽裝攻擊；d）數(shù)據(jù)信息以密文的形式進(jìn)行傳輸，通過(guò)信息交互完成多方身份認(rèn)證，共同協(xié)商出會(huì)話密鑰，防止其他未知用戶遠(yuǎn)程控制物聯(lián)網(wǎng)設(shè)備，并且在eCK模型［26］中進(jìn)行了嚴(yán)格的安全證明，實(shí)現(xiàn)了顯示認(rèn)證。

1 基礎(chǔ)知識(shí)

3.2 協(xié)議所具有的主要安全特性分析

本文ID－AKA協(xié)議基于RLWE困難問(wèn)題構(gòu)造而成，選取具有選擇明文攻擊下不可區(qū)分的（IND－CPA）安全性的格上基于身份的加密方案作為基本構(gòu)件，由此具有很好的安全性質(zhì)。

1）顯式認(rèn)證

協(xié)議選擇的共享機(jī)密（xU，xI，xS，xD）以密文的形式進(jìn)行傳輸，且用戶要驗(yàn)證σ′=？σ，確保了協(xié)議參與者已經(jīng)得到本次協(xié)商的會(huì)話密鑰且保證了協(xié)議參與者之外的任何實(shí)體都無(wú)法獲得正確的秘密信息。

2）抗內(nèi)部攻擊

用戶的偽身份標(biāo)識(shí)和真實(shí)身份信息存在唯一性，是登錄安全系統(tǒng)唯一的安全憑據(jù)。 如果一個(gè)合法的用戶U試圖提取其他人從服務(wù)器上獲得的信息，那么他必須登錄平臺(tái)以獲得他的憑證。但是，用戶U找不到其他用戶的安全憑據(jù)，因此，用戶U不能模擬其他用戶，系統(tǒng)能夠抵抗內(nèi)部攻擊。

3）抗臨時(shí)密鑰泄露攻擊

當(dāng)前客戶端兩方都持有臨時(shí)密鑰sk，協(xié)議參與方只要有一個(gè)臨時(shí)密鑰不泄露，敵手就不能獲得全部的秘密消息（xU，xI，xS，xD）；另外，即使敵手知道全部臨時(shí)密鑰sk，只要協(xié)議參與方的長(zhǎng)期私鑰不泄露，敵手就不能得到秘密消息（xU，xI，xS，xD），也就無(wú)法計(jì)算出會(huì)話密鑰SK；最后，由于每次會(huì)話的臨時(shí)密鑰sk都是動(dòng)態(tài)生成的，當(dāng)前會(huì)話的臨時(shí)私鑰泄露也不會(huì)影響到之前其他會(huì)話密鑰的安全性，所以ID－AKA協(xié)議在一定程度上也具有抗臨時(shí)密鑰泄露攻擊的能力［32］。

4）抗已知密鑰攻擊

在本文協(xié)議中，各方參與者計(jì)算出了會(huì)話密鑰SK=H1（xU，xI，xS，xD），然而敵手捕獲了數(shù)據(jù)信息，但由于哈希函數(shù)H（）的單向性，以及從χβ中隨機(jī)抽取的樣本r*、f*的新鮮度，這使得敵手即使知道一些數(shù)據(jù)信息和早期會(huì)話的會(huì)話密鑰，也無(wú)法計(jì)算其他會(huì)話的會(huì)話密鑰。

5）抗密鑰泄露偽裝攻擊

此性質(zhì)表明了協(xié)議一方的長(zhǎng)期私鑰泄露不能使敵手成功偽裝成這一方的參與者。具體地，即使協(xié)議一方的長(zhǎng)期私鑰sk泄露，敵手無(wú)法獲得臨時(shí)密鑰且每次的臨時(shí)密鑰都是動(dòng)態(tài)生成的，也無(wú)法獲取秘密消息（xU，xI，xS，xD）。如果說(shuō)設(shè)備D的長(zhǎng)期私鑰泄露，敵手試圖偽裝成設(shè)備D，但敵手不知道用戶U的偽身份標(biāo)識(shí)，敵手也就不能給用戶U傳輸以用戶D的偽身份標(biāo)識(shí)加密的密文，用戶U會(huì)根據(jù)解密信息驗(yàn)證xU=？xU，因此敵手不能成功偽裝成協(xié)議參與方建立會(huì)話密鑰。

6）完美前向安全

當(dāng)協(xié)議的私鑰泄露后，由于參數(shù)rU、rI、fU、fI的隨機(jī)性和臨時(shí)密鑰的動(dòng)態(tài)性，敵手無(wú)法獲得以前雙方協(xié)商出的會(huì)話密鑰。

7）匿名性

該安全方案對(duì)每個(gè)用戶都使用了偽標(biāo)識(shí)，因此，任何竊聽者都將無(wú)法識(shí)別用戶的真實(shí)身份。此外，系統(tǒng)中交換的消息使用基于格的IBE密碼系統(tǒng)進(jìn)行加密，從而保護(hù)其免受對(duì)手可能竊聽來(lái)自不安全信道的消息的攻擊。因此，該方案保護(hù)了系統(tǒng)中用戶的匿名性。

4 性能比較和分析

本章將本文方案與適用于物聯(lián)網(wǎng)環(huán)境的同類方案的安全性與計(jì)算開銷進(jìn)行對(duì)比，并討論了本文方案與其他協(xié)議的差異性。但同類方案大多數(shù)不是基于格密碼的，其中，基于雙線性對(duì)的文獻(xiàn)［10，12］相對(duì)較多，但易遭受臨時(shí)密鑰泄露攻擊、離線口令猜測(cè)攻擊等;基于哈希函數(shù)的文獻(xiàn)［8，11］存在較多安全隱患；相比于基于哈希函數(shù)的方案，基于橢圓曲線密碼系統(tǒng)的文獻(xiàn)［5］具有更好的安全特性，但未實(shí)現(xiàn)前向安全性。相比同類方案，本文方案是基于格密碼系統(tǒng)的，能夠構(gòu)建四方安全會(huì)話密鑰，實(shí)現(xiàn)抗臨時(shí)密鑰泄露攻擊、抗內(nèi)部攻擊和抵抗量子計(jì)算攻擊等安全屬性，并對(duì)已知攻擊是安全的。在本文方案中，用戶啟動(dòng)一個(gè)身份驗(yàn)證過(guò)程來(lái)共享安全會(huì)話密鑰，用戶身份必須在互聯(lián)網(wǎng)數(shù)據(jù)庫(kù)匹配得到，終端設(shè)備和物聯(lián)網(wǎng)智能集線器才能開始執(zhí)行更多計(jì)算。本文協(xié)議選取參數(shù)n=1024 bit，模數(shù)q=12289 bit，密文的尺寸為1 024 bit，真實(shí)身份信息和偽身份的比特長(zhǎng)度為32 bit，選取哈希函數(shù)SHA3－256對(duì)會(huì)話密鑰進(jìn)行實(shí)例化。其次對(duì)本文協(xié)議各參與方有關(guān)各種計(jì)算操作以及所花費(fèi)的時(shí)間進(jìn)行描述，定義Tg、Ts、Tpma、Th分別為離散高斯分布抽樣、DLP－IBE加解密算法操作、環(huán)上先乘后加操作、哈希函數(shù)操作，基于開源密碼庫(kù)MIRCAL，搭載11th Gen Intel CoreTM處理器，Windows 10系統(tǒng)實(shí)現(xiàn)相關(guān)密碼算法。實(shí)驗(yàn)結(jié)果顯示，Tg、Tpma、Th、Ts的計(jì)算結(jié)果分別為0.000 561 ms、0.000 029 ms、0.000 181 ms、0.215 000 ms［33］。在其他方案中，TM表示橢圓曲線點(diǎn)運(yùn)算，TH表示MD5哈希運(yùn)算，TP表示雙線性對(duì)運(yùn)算，TM、TP和TH的計(jì)算時(shí)間分別為2.165 ms、5.427 ms、0.007 ms［34］，異或運(yùn)算時(shí)間忽略不計(jì)。

在本文協(xié)議中，PKG系統(tǒng)將私鑰發(fā)給參與者之后，各參與者先執(zhí)行兩次Tg操作隨機(jī)抽樣r*、f*，執(zhí)行一次Tpma操作得到x*，接著再執(zhí)行DLP－IBE加密解密算法操作，最后執(zhí)行哈希函數(shù)操作，本文協(xié)議各計(jì)算開銷合計(jì)為T=8Tg+ 4Tpma+6Th+12Ts。相對(duì)來(lái)說(shuō)，文獻(xiàn)［10］執(zhí)行加密解密算法操作較多，且需要驗(yàn)證生物特征FPi、用戶U的秘密憑證Sci和簽名操作，導(dǎo)致時(shí)間和空間成本都有所增大。文獻(xiàn)［18］的計(jì)算開銷合計(jì)為T=4Tg+4Th+16Ts，雖然文獻(xiàn)［18］沒有執(zhí)行環(huán)上先乘后加操作，但總體來(lái)說(shuō)計(jì)算開銷還是較多。同類方案中，基于哈希函數(shù)計(jì)算開銷較少，但物聯(lián)網(wǎng)環(huán)境下數(shù)據(jù)具有高度敏感性，基于哈希函數(shù)不能滿足物聯(lián)網(wǎng)環(huán)境下的高安全性要求?；陔p線性對(duì)的計(jì)算開銷較高。基于橢圓曲線密碼系統(tǒng)的方案相比其他兩種具有更好的安全性，但與格密碼系統(tǒng)相比來(lái)說(shuō)，仍具有缺陷。各個(gè)方案計(jì)算開銷如表2所示。

數(shù)據(jù)信息以密文的形式進(jìn)行傳輸，本文方案通信開銷為768+768+1024+1024=3584 bit。由于文獻(xiàn)［18］沒有對(duì)生物特征FPi、用戶U的秘密憑證Sci和簽名信息等數(shù)據(jù)信息進(jìn)行詳細(xì)約束， 所以通信開銷無(wú)法計(jì)算，這里不再與文獻(xiàn)［18］進(jìn)行比較。通信開銷對(duì)比如表3所示。安全性能比較如表4所示。

由表4可知，本文協(xié)議能夠?qū)崿F(xiàn)顯式認(rèn)證（SF1）、抗內(nèi)部攻擊（SF2）、抗臨時(shí)密鑰泄露攻擊（SF3）、抗已知密鑰攻擊（SF4）、抗密鑰泄露偽裝攻擊（SF5）、完美前向安全（SF6）、匿名性（SF7）、抗量子攻擊（SF8）。與其他協(xié)議相比，本文協(xié)議具有更好的性能。

5 結(jié)束語(yǔ)

本文提出了一個(gè)能夠適應(yīng)智能家居環(huán)境的格上基于身份多方認(rèn)證密鑰協(xié)商協(xié)議，其安全性基于DLP－IBE和RLWE困難問(wèn)題的難解性，可抵抗量子計(jì)算機(jī)攻擊。該方案使用用戶唯一的偽身份標(biāo)識(shí)，不僅在一定程度上實(shí)現(xiàn)了用戶的匿名性，還能夠抵抗內(nèi)部攻擊，且引入臨時(shí)密鑰對(duì)抵抗密鑰泄露偽裝攻擊。在多方信息交互過(guò)程中，完成各方的身份認(rèn)證之后，共同協(xié)商出會(huì)話密鑰，并在eCK模型下進(jìn)行嚴(yán)格模擬攻擊的安全性證明，該方案運(yùn)用基于身份的密碼系統(tǒng)消除了公鑰證書，避免了部署龐大PKI，簡(jiǎn)化了公鑰的管理，降低了時(shí)間和空間的利用率。與現(xiàn)有方案相比，本文所構(gòu)造的能夠適用于智能家居環(huán)境的AKA協(xié)議具有較高的執(zhí)行效率和較強(qiáng)的安全性，在計(jì)算開銷和安全強(qiáng)度等方面都具有明顯的優(yōu)勢(shì)。

參考文獻(xiàn)：

［1］Schoder D. Introduction to the Internet of Things［M］// Hassan Q F. Internet of Things A to Z： Technologies and Applications. ［S.l.］： Wiley－IEEE Press，2018： 1－50.

［2］霍煒，張瓊露，歐嵬，等. 面向區(qū)塊鏈的物聯(lián)網(wǎng)終端跨域認(rèn)證方法綜述［J］. 計(jì)算機(jī)科學(xué)與探索，2023， 17 （9）： 1995－2014. （Huo Wei，Zhang Qionglu，Ou Wei，et al. Survey on blockchain－based cross－domain authentication for Internet of Things terminals［J］.Journal of Frontiers of Computer Science and Technology ，2023， 17 （9）： 1995－2014.）

［3］Sahu A K，Sharma S，Puthal D，et al. Secure authentication protocol for IoT architecture［C］// Proc of International Conference on Information Technology. Piscataway，NJ： IEEE Press，2017： 220－224.

［4］Diffie W，Hellman M E. New directions in cryptography［J］.IEEE Trans on Information Theory ，1976， 22 （6）： 644－654.

［5］Mahmood Z，Ning H，Ullah A，et al. Secure authentication and prescription safety protocol for telecare health services using ubiquitous IoT［J］.Applied Sciences ，2017， 7 （10）： 1069.

［6］Shen Jian，Wang Chen，Li Tong，et al. Secure data uploading scheme for a smart home system ［J］.Information Sciences ，2018， 453 ：186－197.

［7］Rathore M M，Paul A，Ahmad A，et al. Real－time secure communication for smart city in high－speed big data environment［J］.Future Generation Computer Systems ，2017， 83 ： 638－652.

［8］Gupta A，Tripathi M，Shaikh T J，et al. A lightweight anonymous user authentication and key establishment scheme for wearable devices［J］.Computer Networks ，2019， 149 ： 29－42.

［9］Kim M H，Lee J Y，Yu S J，et al. A secure authentication and key establishment scheme for wearable devices［C］// Proc of the 28th International Conference on Computer Communication and Networks. Piscataway，NJ： IEEE Press，2019： 1－2.

［10］Jia Xiaoying，He Debiao，Kumar N，et al. Authenticated key agreement scheme for fog－driven IoT healthcare system［J］.Wireless Networks ，2019， 25 ： 4737－4750.

［11］Hajian R，ZakeriKia S，Erfani S H，et al. SHAPARAK： scalable healthcare authentication protocol with attack－resilience and anonymous key－agreement［J］.Computer Networks ，2020， 183 ： article ID 107567.

［12］Wu T Y，Wang Tao，Lee Y Q，et al. Improved authenticated key agreement scheme for fog－driven IoT healthcare system［J］.Security and Communication Networks ，202 2021 ： article ID 6658041.

［13］Kaur D，Kumar D. Cryptanalysis and improvement of a two－factor user authentication scheme for smart home［J］.Journal of Information Security and Applications ，202 58 ： article ID 102787.

［14］Limbasiya T，Sahay S K，Sridharan B. Privacy－preserving mutual authentication and key agreement scheme for multi－server healthcare system［J］.Information Systems Frontiers ，202 23 ： 835－848.

［15］Haq I U，Wang Jian，Zhu Youwen，et al. An efficient hash－based authenticated key agreement scheme for multi－server architecture resi－lient to key compromise impersonation［J］.Digital Communication and Networks ，202 7 （1）： 140－150.

［16］Roy P K，Bhattacharya A.A group key－based lightweight mutual authentication and key agreement（MAKA） protocol for multi－server environment ［J］.The Journal of Supercomputing ，2022， 78 ： 5903－5930.

［17］王菲菲，汪定. 基于霧計(jì)算的智能醫(yī)療三方認(rèn)證與密鑰協(xié)商協(xié)議［J］. 軟件學(xué)報(bào)，2023， 34 （7）： 3272－3291. （Wang Feifei，Wang Ding. Fog computing－based three－party authentication and key agreement protocol for smart healthcare［J］.Journal of Software ，2023， 34 （7）： 3272－3291.）

［18］Shu A K，Sharma S，Puthal D，et al. Lightweight multi－party authentication and key agreement protocol in IoT－based e－h(huán)ealthcare service［J］.ACM Trans on Multimedia Computing Communications and Applications ，202 17 （2S）： article No.64.

［19］萬(wàn)赟. 2017年信息科學(xué)熱點(diǎn)回眸［J］. 科技導(dǎo)報(bào)，2018， 36 （1）： 91－97. （Wan Yun. Summary of hot research topics in information technology in 2017［J］.Science amp; Technology Review ，2018， 36 （1）： 91－97.）

［20］倪亮，張茜. 現(xiàn)代新型認(rèn)證密鑰協(xié)商協(xié)議若干問(wèn)題的研究［M］. 北京： 中國(guó)鐵道出版社，2020. （Ni Liang，Zhang Qian. Research on several issues in modern novel authenticated key agreement protocols［M］. Beijing： China Railway Publishing House Co.，Ltd.，2020.）

［21］Regev O. On lattices，learning with errors，random linear codes，and cryptography［C］// Proc of the 37th Annual ACM Symposium on Theory of Computing. New York： ACM Press，2005： 84－93.

［22］Lyubashevsky V，Peikert C，Regev O. On ideal lattices and learning with errors over rings［C］// Proc of Annual International Conference on the Theory and Application of Cryptographic Techniques.Berlin： Springer，2010： 1－23.

［23］廉歡歡，侯慧瑩，趙運(yùn)磊. 后量子基于驗(yàn)證元的三方口令認(rèn)證密鑰交換協(xié)議［J］. 通信學(xué)報(bào)，2022， 43 （4）： 95－106. （Lian Huanhuan，Hou Huiying，Zhao Yunlei. Post－quantum verifier－based three－party password authenticated key exchange protocol［J］.Journal on Communications ，2022， 43 （4）： 95－106.）

［24］Shamir A. Identity－based cryptosystems and signature schemes［C］// Proc of CRYPTO 84 on Advaances in Cryptology. Berlin： Springer，1985： 47－53.

［25］Smart N P. Identity－based authenticated key agreement protocol based on Weil pairing［J］.Electronics Letters ，2002， 38 （13）： 630－632.

［26］倪亮，陳恭亮，李建華. eCK模型的安全性分析［J］. 山東大學(xué)學(xué)報(bào)： 理學(xué)版，2013， 48 （7）： 46－50. （Ni Liang，Chen Gongliang，Li Jianhua. Security analysis of the eCK model［J］.Journal of Shandong University： Natural Science ，2013， 48 （7）： 46－50.）

［27］倪亮，王念平，谷威力，等. 基于格的抗量子認(rèn)證密鑰協(xié)商協(xié)議研究綜述［J］. 計(jì)算機(jī)科學(xué)，2020， 47 （9）： 293－303. （Ni Liang，Wang Nianping，Gu Weili，et al. Review of lattice－based anti－quantum authentication key agreement protocol［J］.Computer Science ，2020， 47 （9）： 293－303.）

［28］李子臣，謝婷，張卷美. 基于RLWE問(wèn)題的后量子口令認(rèn)證密鑰協(xié)商協(xié)議［J］. 電子學(xué)報(bào)，202 49 （2）： 260－267. （Li Zichen，Xie Ting，Zhang Juanmei. Post－quantum password authenticated key exchange protocol based on RLWE problem［J］.Journal of Electro－nics ，202 49 （2）： 260－267.）

［29］Boneh D，Raghunathan A，Segev G. Function－private identity－based encryption： hiding the function in functional encryption［C］// Proc of Annual Cryptology Conference. Berlin： Springer，2013： 461－478.

［30］Ducas L，Lyubashevsky V，Prest T. Efficient identity－based encryption over NTRU lattices［C］// Proc of the 20th International Conference on the Theory and Application of Cryptology and Information Security. Berlin： Springer，2014： 22－41.

［31］LaMacchia B，Lauter K，Mityagin A. Stronger security of authenticated key exchange［C］// Proc of International Conference on Provable Security. Berlin： Springer，2007： 1－16.

［32］Hvelmanns K，Kiltz E，Schge S，et al. Generic authenticated key exchange in the quantum random oracle model［C］// Proc of the 23rd IACR International Conference on Practice and Theory of Public－Key Cryptography. Cham： Springer，2020： 389－422.

［33］Aguilar－Melchor C，Barrier J，Guelton S，et al. NFLLIB： NTT－based fast lattice library［C］// Proc of Cryptographers ’ Track at the RSA Conference. Cham： Springer，2016： 341－356.

［34］He Debiao，Kumar N，Khan M K，et al. Efficient privacy－aware authentication scheme for mobile cloud computing services［J］.IEEE Systems Journal ，2018， 12 （2）： 1621－1631.

收稿日期：2023－06－18；修回日期：2023－08－16 基金項(xiàng)目：河南省科技攻關(guān)計(jì)劃資助項(xiàng)目（232102210134，182102210130）；國(guó)家留學(xué)基金資助項(xiàng)目（201908410281）；國(guó)家自然科學(xué)基金資助項(xiàng)目（61672031）；河南省高等學(xué)校重點(diǎn)科研項(xiàng)目（21A520053）

作者簡(jiǎn)介：倪亮（1975—），男，遼寧葫蘆島人，副教授，博士，CCF會(huì)員，主要研究方向?yàn)榫W(wǎng)絡(luò)安全和密碼學(xué)（niliang402@zut.edu.cn）；劉笑顏（1998—），女，碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與密碼學(xué)；谷兵珂（1996—），男，碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與密碼學(xué)；張亞偉（1997—），男，河南蘭考人，碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與密碼學(xué)；周恒昇（1997—），男，碩士研究生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與密碼學(xué)；王念平（1973—），男，教授，博士，主要研究方向?yàn)樾畔踩兔艽a學(xué).