(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210297901.6 (22)申请日 2022.03.25 (65)同一申请的已公布的文献号 申请公布号 CN 114401514 A (43)申请公布日 2022.04.26 (73)专利权人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 (72)发明人 徐国爱　刘凯俊　徐国胜　王晨宇　 曹强　 (74)专利代理 机构 北京风雅颂专利代理有限公 司 11403 专利代理师 王刚 (51)Int.Cl. H04L 9/32(2006.01) H04W 12/06(2021.01)(56)对比文件 WO 2018147673 A1,2018.08.16 CN 113115307 A,2021.07.13 US 20181246 00 A1,2018.0 5.03 王晨宇 等.面向多网关的无线传感器网络 多因素认证协议. 《计算机学报》 .2020,第43卷 (第4期), 审查员 门乐 (54)发明名称 面向无线体域网的多因素身份认证方法以 及相关设备 (57)摘要 本申请提供的面向无线体域网的多因素身 份认证方法， 在不传递用户隐私情况下， 实现用 户端、 网关节 点端和体域节点端的三端交互认证 与协商， 同时用复杂的加密算法生成用户端和体 域节点端的会话密钥。 此外， 网关节点端无需存 储大量注册用户的身份标识及用户口令， 只需存 储网关节 点端自身的相关参数， 极大减小存储空 间的消耗， 同时还可以实现有效验证用户合法身 份， 解决了多因素身份认证的安全问题和存储问 题。 权利要求书5页 说明书15页 附图3页 CN 114401514 B 2022.07.08 CN 114401514 B 1.一种面向无线体域网的多因素身份认证方法， 其特征在于， 应用于包括有用户端、 网 关节点端和体域节点端的多因素身份认证系统； 其中， 所述用户端存储有向所述网关节点 端注册后得到的智能卡， 所述智能卡包括第一验证参数、 第二验证参数、 用户伪随机身份、 生物特征恢复函数和匹配次数阈值； 所述网关节点端存储有网关长期密钥、 网关身份标识 和为体域节点端计算的体域秘密值； 所述体域节 点端存储有 所述网关节点端为体域节点端 计算的所述体域秘密值； 所述面向无线体域网的多因素身份认证方法， 包括： 所述用户端接收用户输入的预设用户名、 预设用户口令和生物特征， 并选择需要访 问 的所述体域节点端的体域身份标识以提取第一时间戳； 根据预设用户名、 预设用户口令、 生 物特征、 体域身份标识、 第一验证参数、 第二验证参数和用户伪随机身份， 得到第一请求信 息集； 发送用户伪随机身份、 第一请求信息集和第一时间戳至网关节点端； 所述网关节点端提取当前时间戳， 并根据 所述当前时间戳、 所述第一 时间戳、 所述用户 伪随机身份、 所述网关长期密钥和所述第一请求信息集进行恢复计算， 得到第一恢复数据 集； 响应于所述第一恢复数据集与所述第一请求信息集匹配， 生成第二随机数， 提取第二时 间戳； 根据所述第一恢复数据集、 所述网关长期密钥、 所述体域秘密值、 所述第二 随机数和 所述第二时间戳， 生成第二请求信息集； 发送所述第二请求信息集和所述第二时间戳至体 域节点端； 所述体域节点端提取当前时间戳， 并根据所述当前时间戳、 所述第二时间戳和所述体 域秘密值， 进 行恢复计算， 得到第二恢复数据集； 响应于所述第二恢复数据集与所述第二请 求信息集匹配， 生成第三随机数， 提取第三时间戳； 根据所述第三随机数生成会话密钥， 根 据所述第二恢复数据集和所述会话密钥， 生成第三请求信息集； 发送所述第三请求信息集 和所述第三时间戳至网关节点端； 所述网关节点端提取当前时间戳， 并根据 所述当前时间戳、 所述第三 时间戳、 所述第二 请求信息集和所述网关长期密钥， 进 行恢复计算， 得到第三恢复数据集； 响应于所述第三恢 复数据集与所述第三请求信息集匹配， 根据所述第三恢复数据集和所述体域秘密值， 为所 述用户端选择新的用户伪随机身份， 根据所述新的用户伪随机身份和所述网关长期密钥计 算新的第一恢复数据集， 根据所述新的第一恢复数据集和所述新的用户伪随机身份生成第 四请求信息集， 发送所述第四请求信息集至用户端； 所述用户端根据所述第一恢复数据集和所述第 四请求信息集， 进行恢复计算， 得到第 四恢复数据集； 响应于所述第四恢复数据集和所述第四请求信息集匹配， 则所述用户端与 所述体域节点端共享所述会话密钥， 完成多因素身份认证； 所述网关节点端选择一个网关长期密钥， 为体域节点端选择一个唯一的网关身份标 识， 网关节点端保存所述网关长期密钥， 并公开网关身份标识。 2.根据权利要求1所述的面向无线体域网的多因素身份认证方法， 其特征在于， 还包 括： 所述用户端接收用户输入的用户名和用户口令； 随机生成初始随机数， 根据所述用户 名、 所述用户口令和所述初始随机数， 生成初始验证参数； 并将所述初始验证参数发送至网 关节点端； 所述网关节点端为所述用户端选择用户伪随机身份和指纹密钥恢 复函数， 根据 所述网权　利　要　求　书 1/5 页 2 CN 114401514 B 2关长期密钥和所述用户伪随机身份计算第一中间验证值， 根据所述第一中间验证值和所述 初始验证参数计算第一验证参数， 将所述用户伪随机身份、 所述指纹密钥恢复函数、 所述第 一验证参数和匹配次数阈值存 储在智能卡中， 并将所述智能卡发送到所述用户端； 所述用户端接收用户输入的指纹信 息， 根据所述初始验证参数和所述第 一验证参数恢 复第一中间验证值， 根据所述用户输入的指纹信息和所述指纹密钥恢复函数计算第二中间 验证值， 根据所述用户名、 所述用户口令、 所述第一中间验证值和所述第二中间验证值计算 第二验证参数； 根据所述第一中间验证值和所述初始验证参数更新所述第一验证参数； 将 所述用户伪随机身份、 所述指纹密钥恢复函数、 所述更新后的第一验证参数、 所述第二验证 参数和所述匹配次数阈值存 储在智能卡中。 3.根据权利要求1所述的面向无线体域网的多因素身份认证方法， 其特征在于， 所述第 一请求信息集包括第一请求信息、 第二请求信息和第三请求信息； 则， 所述面向无线体域网的多因素身份认证方法包括： 所述用户端接收用户输入的预设用户名、 预设用户口令和生物特征， 并根据所述预设 用户名和所述预设用户口令恢复用户哈希值， 根据所述用户哈希值和所述第一验证参数恢 复第一中间验证值， 根据所述生物特征以及所述生物特征恢复函数恢复第二中间验证值， 根据所述预设用户名、 所述预设用户口令、 所述第一中间验证值和所述第二中间验证值计 算第二预设验证参数， 响应于所述第二预设验证参数与所述第二验证参数相匹配， 生成用 户公钥、 用户私钥和 第一随机数， 选择需要访问的所述体域节点端的体域身份标识， 提取第 一时间戳， 根据所述第一中间验证值、 所述用户公钥、 所述第一随机数、 所述第一时间戳、 所 述体域身份标识和所述用户伪随机身份生成第一请求信息、 第二请求信息和第三请求信 息， 发送所述用户伪随机身份、 所述第一请求信息、 所述第二请求信息、 所述第三请求信息 和所述第一时间戳至网关节点端。 4.根据权利要求3所述的面向无线体域网的多因素身份认证方法， 其特征在于， 所述第 一恢复数据集包括 随机时间戳函数值、 所述第一中间验证值、 所述用户公钥和所述体域身 份标识； 所述第二请求信息集包括第四请求信息、 第五请求信息和第六请求信息； 则， 所述面向无线体域网的多因素身份认证方法包括： 所述网关节点端提取当前时间戳， 响应于  所述当前时间戳与所述第一时间戳之间的 差值不大于预设的时间阈值， 根据所述用户伪随机身份、 所述网关长期密钥、 所述第一请求 信息和所述第二请求信息恢复得到随机时间戳函数值、 所述第一中间验证值、 所述用户公 钥和所述体域身份标识， 根据所述用户伪随机身份、 所述体域身份标识、 所述随机时间戳函 数值和所述用户公钥计算第三预设请求信息， 响应于  所述第三预设请求信息和所述第三 请求信息相匹配， 生成第二随机数， 提取第二时间戳， 根据所述网关长期密钥和所述体域身 份标识计算体域秘密值， 根据所述体域秘密值、 所述体域身份标识、 所述用户公钥、 所述第 二随机数、 所述随机时间戳函数值、 所述第一中间验证值和所述第二时间戳生成第四请求 信息、 第五请求信息和第六请求信息， 发送所述第四请求信息、 所述第五请求信息、 所述第 六请求信息和所述第二时间戳至体域节点端。 5.根据权利要求4所述的面向无线体域网的多因素身份认证方法， 其特征在于， 所述第 二恢复数据集包括所述 公钥、 所述第二随机数、 所述随机时间戳函数值、 所述第一中间验证 值和所述体域身份标识； 所述第三请求信息集包括第七请求信息、 第八请求信息、 第九请求权　利　要　求　书 2/5 页 3 CN 114401514 B 3