对于一个用户身份认证协议，即使用于生成会话SK的临时秘密泄露，如各方用于直接计算SK的随机数泄露，仍能保证SK的安全，则称其能抵抗KSSTI攻击。另外，在实际场景中，攻击者极有可能注册成为合法用户与节点进行通信，由此获取系统中其他会话中的秘密信息，如文献[15,20]均存在此类注册合法用户攻击问题。由此可见若未考虑上述两种攻击，协议将不能保证生成会话秘钥的安全性。因此本文对文献[6,25]提出的安全模型做出增强，将KSSTI攻击和注册合法用户攻击加入其评价标准中。

外网用户访问网内传感器节点的场景中攻击者具有如下能力：

C1: 攻击者能够在公开信道中任意监听、截获、注入实体间交互的信息；

C2: 攻击者知道用户ID空间D_ID和密码空间D_pw，可以穷举该空间中的所有元素；

C3: 在n因素保证安全的协议中，攻击者可以获得任意n-1因素；

C4: 攻击者能够得到之前协商的所有对称秘钥；

C5: 在评估前向安全时攻击者能够得到所有的长期秘密；

C6: 攻击者可以攻击部分节点获取其全部的秘密；

C7: 攻击者能够注册成合法用户或合法节点同网内实体交互。

本节给出本文所使用的评价标准，该标准包含11条评价指标，其中将KSSTI攻击加入到S4条，新增S11抗注册合法用户攻击，具体如下。

S1: 无口令验证表，要求网关和传感器节点上不应该存储用户信息相关的验证表；

S2: 口令友好性，要求用户能在本地更改用户口令；

S3: 口令安全性，用户口令不能被内部特权管理员获取或计算出来；

S4: 抗各类已知攻击，协议能够抵抗仿冒攻击、离线字典猜测攻击、重放攻击、中间人攻击、平行会话攻击、验证表丢失攻击、节点捕获攻击、网关绕过攻击、未知密钥共享攻击和已知密钥攻击、KSSTI攻击、智能卡丢失攻击；

S5: 可修复性，要求协议支持智能卡撤销及传感器节点动态加入；

S6: 建立会话秘钥，协商完成后用户与传感器节点之间建立会话秘钥；

S7: 无时钟同步，避免因时钟同步产生的延迟影响系统的运行；

S8: 双向认证，通信的双方需要相互认证身份的合法性；

S9: 用户匿名性，要求协议能保证用户的不可追踪性；

S10: 前向安全属性，要求协议的长期秘密暴露对之前协商的会话安全性无影响；

S11: 抗注册合法用户攻击，攻击者无法通过注册合法用户来提高攻击优势。

本文用到的符号及其含义如表1所示。

表 1  符号描述

符号	描述		符号	描述
Ui / GWN / SNj	用户i / 网关节点 / 传感器节点j		SK	对称秘钥
IDi / SIDj	Ui的身份号 / SNj的 身份号		h(·)	一种安全的哈希 函数
Gen(·)	生物特征生成函数		PWi	Ui的密码
Rep(·)	生物特征恢复函数		Bioi	Ui的生物特征
|| / ⊕	连接操作 / 异或操作		SCi	Ui的智能卡
	安全信道			公共信道

1) 注册合法用户攻击

A注册完合法用户后，通过在登录认证过程中截取{M₈, M₉, M₁₀, M₁₁}，由此可计算 ${K_{\text{GWN-S}}} = {M_8} \oplus {{\text{ID}}_i}$ 。A访问每个传感器节点则可以获取所有SN_j和GWN之间的共享秘密参数K_GWN-S以及SID_j，进而发起步骤2)～5)所述攻击。

2) 用户欺骗攻击

① A记录所有发往GWN的{M₂,M₄,M₅,M₆,M₇}，记录GWN发出的所有{M₈,M₉,M₁₀,M₁₁}，对于某个SN_j收到的{M₈,M₉,M₁₀,M₁₁}，计算 ${ {\text{ID}}_i^\prime } = {K_{{\text{GWN-}}S}} \oplus {M_8}$ ， ${r_g^\prime } = h({{\text{ID}}_i}||{K_{{\text{GWN-}}S}}) \oplus M_9$ ， ${r_i^\prime } = {r_g^\prime } \oplus M_{10}$ 。对于每一组{M₂,M₄,M₅,M₆,M₇}，计算 $ {M_1^\prime } = {M_5} \oplus {r_i^\prime } $ ， ${M_6^\prime } = h({{\text{ID}}_i^\prime }||{r_i^\prime }) \oplus {\text{SID}}_j$ ， ${M_7^\prime } = h({M_1^\prime }||{\text{SID}}_j||M_3||{r_i^\prime })$ 。若 ${M_6^\prime } = M_6$ 且 ${M_7^\prime } = M_7$ ，则该组{M₈,M₉,M₁₀,M₁₁}为用户U_i访问SN_j时所发送的消息，并且GWN发送的消息为当前验证的{M₈,M₉,M₁₀,M₁₁}。

② A通过如下方式伪造GWN的返回消息：选择随机数r_j、r_g计算 ${\text{SK}}_{{\rm{GWN}}} = h({{\text{ID}}_i^\prime }||{\text{SID}}_j||{r_i^\prime }||r_g||r_j)$ ， $M_{14} = {M_1^\prime } \oplus r_g$ ， $M_{15} = {r_i^\prime } \oplus r_j$ ， $M_{16} = h({{\text{ID}}_i^\prime }||{\text{SK}}_{\rm{GWN}}||r_g||r_j)$ 。A发送{M₁₄,M₁₅,M₁₆}给U_i。

③ 用户U_i收到{M₁₄,M₁₅,M₁₆}后，计算 ${r_g^\prime } = M_{14} \oplus M_1$ ， ${r_j^\prime } = M_{15} \oplus r_i$ ， ${\text{SK}}_i = h({\text{ID}}_i||{\text{SID}}_j||r_i||{r_g^\prime }||{r_j^\prime })$ ， ${M_{16}^\prime } = h({\text{ID}}_i||{\text{SK}}_i||{r_g^\prime }||{r_j^\prime })$ 。若 ${M_{16}^\prime } = M_{16}$ ，则用户U_i接受此次SK_i。

3) 用户伪装攻击

A监听用户U_i和SN_j执行一轮完整协商，A执行步骤①获取用户的M₁、ID_i，执行如下过程伪造用户与GWN进行通信：A选取随机数s、r_i，计算 $M_2 = sP$ ， $M_3 = sX$ ， $M_4 = {\text{ID}}_i \oplus M_3$ ， $M_5 = M_1 \oplus r_i$ ， $M_6 = h({\text{ID}}_i||r_i) \oplus {\text{SID}}_j$ ， $M_7 = h(M_1||{\text{SID}}_j|| M_3||r_i)$ ，A发送{M₂,M₄,M₅,M₆,M₇}给GWN，GWN验证后接受当前消息并按照协议运行，则A伪装用户成功。

4) 前向安全问题

A记录GWN发送给SN_j的所有{M₈,M₉,M₁₀,M₁₁}和{M₁₂,M₁₃}，计算 ${\text{ID}}_i = M_8 \oplus {K_{{\text{GWN-}}S}}$ ， $r_g = h({\text{ID}}_i||K_{{\text{GWN-}}S}) \oplus M_9$ ， $r_i = r_g \oplus M_{10}$ ， $r_j = M_{12} \oplus K_{{\text{GWN-}}S}$ ， ${\text{SK}} = h({\text{ID}}_i||{\text{SID}}_j||r_i||r_g||r_j)$ ，则该协议不具备前向安全属性。

5) 离线字典猜测攻击

A得到智能卡且通过恶意扫描器得到用户的生物特征Bio_i，则可进行离线字典猜测攻击。A执行步骤①获取用户的ID_i，获取智能卡中的A_i，从用户密码空间中猜测密码 ${{\text{PW}}_i^\prime } $ 并计算 $c_i = f(\delta \oplus {\text{Bio}}_i)$ ， ${A_i^\prime } = h({\text{ID}}_i||h({{\text{PW}}_i^\prime }||a_i)||c_i)$ ，其中f(·)对应表1中的Rep(·)函数，若 ${A_i^\prime } = A_i$ 则密码正确。故A可进行离线字典猜测攻击。

6) 内部攻击

A在注册阶段得到用户发送的RPW_i，并且攻击者得到用户智能卡中的a_i，则攻击者可猜测 ${{\rm{PW}}_i^\prime }$ ，若 $ h({{\rm{PW}}_i^\prime }||a_i) = {\rm{RPW}}_i $ ，则A猜中用户的密码，该攻击有效。

KSSTI攻击主要用于当计算SK的秘密参数仅只有临时秘密参数时，因此在协议设计时SK的参数需要同时具备长期秘密值和临时秘密值才可避免此类攻击。

1) 场景1的KSSTI攻击

① 场景1中， ${\text{SK}} = h({K_1}\left| {\left| {{K_3}} \right|} \right|{K_4}||{\text{SID}}_j^k)$ ，其中 ${K_1} = {r_i} {P_k}$ ， ${K_3} = {r_j} {P_k}$ ， ${K_4} = {r_j} {K_1}$ 。由于 $ {P}_{k} $ , $ {Y}_{k} $ 是系统参数，可通过智能卡获取，攻击者A在获得 ${r_i},{r_j}$ 临时秘密值后，进而可以计算出 ${K_1},{K_3},{K_4}$ 。

② 通过公开信道得到M₂, EID_j，其中 ${M_2} = {\text{ID}}_i^k \oplus h({K_1}||{K_2})$ ， ${\text{EI}}{{\text{D}}_j} = {\text{SID}}_j^k \oplus h({\text{ID}}_i^k||{K_2})$ ，进而敌手可以进行如下计算 ${K_2} = {r_i}{Y_k}$ ， ${\text{ID}}_i^k = {M_2} \oplus h({K_1}|| {K_2})$ ， ${\text{SID}}_j^k = {\text{EI}}{{\text{D}}_j} \oplus h({\text{ID}}_i^k||{K_2})$ 。最终敌手A获得了SK的所有参数。

2) 场景2的KSSTI攻击

场景2中， ${\text{SK}} = h({K_4}\left| {\left| {{K_6}} \right|} \right|{K_7}||{\text{SID}}_j^2)$ ，其中 ${K_4} = {r_{12}} {P_2}$ ， ${K_7} = {r_j} {P_2}$ ，由于 ${P_2}$ , ${K_6}$ , ${\text{SID}}_j^2$ 可分别通过MSG₄，MSG₈，MSG₂获得，攻击者A在进一步获得 ${r_i},{r_j}$ 临时秘密值后，进而可以计算出 ${K_4},{K_7}$ 。最终敌手A获得了SK的所有参数。

从前面的分析可看出，文献[16]的协议存在内部攻击、注册合法用户攻击、无前向安全性等缺点；文献[20]的协议存在KSSTI攻击，如果提出的认证协议能够实现以下G1和G2目标。 $G1:{\rm{S}}{{\rm{N}}_j}\left| \equiv \right. {U_i}\underleftrightarrow {{\rm{sk}}}{\rm{S}}{{\rm{N}}_j} $ ， $G2:{U_i}\left| \equiv \right.{\rm{S}}{{\rm{N}}_j}\underleftrightarrow {{\rm{sk}}}{U_i} $ ，则表示正确地实现了相互认证与会话密钥协商。

本文将从以下6个方面着重考虑满足S3、S4中的离线字典攻击、KSSTI攻击和S9、S10和S11标准的协议构建方法。

1) 更换存入智能卡中的随机数使协议满足S3。

2) 智能卡对用户验证合法性时使用Fuzzy-verifier和Honey words^[25]方法保证攻击者无法进行离线字典猜测攻击，也不能进行在线字典猜测攻击。

3) 向SN_j传递U_i秘密的相关信息，如下文协议中的S_i；向U_i传递SN_j秘密的相关信息，如下文协议中的S_j。可以看出S_i, S_j不能直接保证随机数暴露的情况下SK的安全性，进而抵抗KSSTI攻击。

4) 采用更换用户标识符的方法使协议满足S9。

5) U_i和SN_j之间利用Diffie-Hellman问题构建对称秘钥，使协议满足S10。

6) GWN和SN_j之间传递消息的验证秘密值随用户的不同而变化，以此防止注册用户攻击，使协议满足S11，进而防止用户欺骗攻击和用户伪装攻击。

GWN选定秘密值X_GWN, E(Fp), P, h(·)，公开E(Fp), P, h(·)，保存X_GWN。

GWN为节点选定独特的SID_j，计算 ${K_{{\text{GWN-}}S}} = h(S{\text{ID}}_j||{X_{{\text{GWN}}}})$ ，在传感器节点中存储{SID_j, K_GWN-S}。

如图1所示，用户输入ID_i、PW_i、Bio_i，选择随机数a、b'，计算： ${\text{Gen}}({\text{Bio}}_i) = (\delta _i,\tau _i)$ ， ${\text{PID}}_i = h ({\text{ID}}_i|| \delta _i||a)$ ， ${{\text{RPW}}_i^\prime } = h({\text{PW}}_i|| \delta _i||b')$ 。 $U_i \Rightarrow {\text{GWN}:\{ {\rm{PID}}}_i, {{\text{RPW}}_i^\prime }\}$ 。

GWN收到后计算 $X_i = h({\text{PID}}_i{\text{||}}X_{\text{GWN}})$ ， ${B_i^\prime } = X_i \oplus h({{\text{RPW}}_i^\prime }||{\text{PID}}_i)$ 。GWN在数据库中存入 $\{ {\text{PID}}_i, {\text{Honey\_List = 0}}\} $ 。 $ \text{GWN}\Rightarrow U_i:智能卡\text{SC}_i:\left\{{B_i}^{\prime }\right\} $ 。

用户计算 $X_i = {B_i^\prime } \oplus h({{\text{RPW}}_i^\prime }||{\text{PID}}_i)$ 。选择随机数b，计算 ${\text{RPW}}_i = h({\text{PW}}_i||\delta _i||b)$ ， $B_i = X_i \oplus h({\text{RPW}}_i||{\text{PID}}_i)$ ，fuzzy-verifier: $A_i = h({\text{PID}}_i||{\text{RPW}}_i){\text{mod }}{{n}}_0$ ，n₀为[2⁶−2⁸]的整数，然后向智能卡SC_i中写入：a、b、B_i、A_i、P。

图  1  用户注册

如图2所示，用户输入ID_i、PW_i、Bio_i。智能卡计算 ${\delta _i^*} = {\text{Rep(Bio}}_i,\tau _i{\text{)}}$ ， ${{\text{PID}}_i^*} = h({\text{ID}}_i||{\delta _i^*}||a)$ ， ${{\text{RPW}}_i^*} = h({\text{PW}}_i||{\delta _i^*}||b)$ ， ${A_i^*} = h({{\text{PID}}_i^*}||{{\text{RPW}}_i^*})$ mod n₀。比较 ${A_i^*}? = A_i$ ，相等则继续，否则终止。计算 $X_i = B_i \oplus h ({{\text{RPW}}_i^*}|| {{\text{PID}}_i^*})$ 。选择随机数a_new、r_i，计算 $M_1 = {r_i}P$ ， ${\text{PID}}_{\rm{new}} = h({\text{ID}}||{\delta _i^*}||a_{\text{new}})$ ， $M_2 = h(M_1||$ $X_i) \oplus ({\text{PID}}_{\rm{new}}|| {\rm{SID}}_j)$ ， $M_3 = h (X_i||{\text{PID}}_{\rm{new}}||{\rm{SID}}_j)$ 。 $U_i$ $ \to {\text{GWN:\{ PID}}_j,M_1, M_2,M_3{\text{\} }}$ 。

图  2  用户登录及认证

GWN收到后计算 $X_i = h({\text{PID}}_i||X_{\text{GWN}})$ ， ${\text{PID}}_{{\text{new}}}^*|| {{\text{SID}}_j^*} = M_2 \oplus h(M_1||X_i)$ ， ${M_3^*} = h(X_i||$ ${\text{PID}}_{{\text{new}}}^*||{{\text{SID}}_j^*})$ ，比较 ${M_3^*}? = M_3$ ：1)若不成立，结束会话，令 ${\text{Honey\_List = Honey\_List}} + 1$ 。若Honey_List大于阈值，则冻结用户，用户必须重新注册。2)若成立，令 ${\text{Honey\_List = }}0$ 。GWN选择随机数r_g，计算 $K_{{\text{GWN-}}S} = h({{\text{SID}}_j^*}||X_{\text{GWN}})$ ， $S_i = h(X_i||M_1)$ ， $M_4 = r_g \oplus h(K_{{\text{GWN-}}S}||M_1)$ ， $M_5 = S_i \oplus $ $h(r_g||K_{{\text{GWN-}}S}||M_1)$ ， $M_6 = h(r_g|| {{\text{SID}}_j^*}||M_1||S_i)$ 。 ${\text{GWN}} \to {\text{SN}}_j:\{ M_1,M_4,M_5,M_6\} $ 。

SN_j收到后，计算 ${r_g^*} = M_4 \oplus h(K_{{\rm{GWN}}{\text{-}}S}||M_1)$ ， ${S_i^*} = M_5 \oplus h({r_g^*}||K_{{\text{GWN-}}S}||M_1)$ ， ${M_6^*} = h({r_g^*}||{\text{SID}}_j||M_1||{S_i^*})$ ，比较 ${M_6^*}? = M_6$ ，不相等则拒绝，否则继续。SN_j选择r_j，计算 $M_7 = {r_j}P$ ， $S_j = h(K_{{\text{GWN-}}S}||M_7)$ ， $K_1 = {r_j^*}M_1$ ， ${\text{SK = }}h(M_1||M_7||K_1||{\text{SID}}_j||{r_g^*}||{S_i^*}||S_j)$ ， $M_8 = h({\text{SID}}_j|| {\text{SK||}} M_7||M_1||{r_g^*})$ ， $M_9 = h({\text{SID}}_j||M_7||M_8||K_{{\text{GWN-}}S}||{r_g^*})$ ， ${\text{SN}}_j \to {\text{GWN:}}$ ${\text{\{ }}M_7,M_8,M_9{\text{\} }}$ 。

GWN计算 ${M_9^*} = h({{\text{SID}}_j^*}||M_7||M_8||K_{{\text{GWN-}}S}||r_g)$ ，比较 ${M_9^*}? = M_9$ ，不相等则终止，否则继续。计算 $S_j = h(K_{{\text{GWN-}}S}||M_7)$ ， $X_{\text{new }}= h({{\text{PID}}_{{\text{new}}}}^*||X_{\text{GWN}}||)$ ， $M_{10} = X_{\text{new}} \oplus h(M_1||X_i)$ ， $M_{11} = r_g \oplus h(h(M_1||X_i)||X_{\text{new}})$ ， $M_{12} = X_{\text{new}} \oplus S_j$ ， $M_{13} = h(M_7||r_g||{{\text{SID}}_j^*}||{\text{PID}}||M_8||S_j)$ 。用 ${{\text{PID}}_{{\text{new}}}}^*$ 替换数据库中的 ${\text{PID}}_i$ ，将错误次数置零。 ${\text{GWN}} \to U_{i}:$ $\{ M_7,M_8,M_{10},M_{11},M_{12},M_{13}\} $ 。

U_i计算 ${X_{{\text{new}}}}^* = M_{10} \oplus h(M_1 \oplus X_i)$ ， ${r_g^*} = M_{11} \oplus h(h (M_1||X_i)||{X_{{\text{new}}}}^*)$ ， ${S_j}^* = {M_{12}} \oplus {X_{{\text{new}}}}^*$ ， ${M_{13}^*} = h(M_7||{r_g^*}||{\text{SID}}_j|| {\text{PID}}||M_8||{S_j^*})$ ，比较 $M_{13}? = {M_{13}^*}$ ，相等则进行下列计算： $K_1 = {r_i^*}M_7$ ， $S_i = h(X_i||M_1)$ ， ${\text{SK}} = h(M_1||M_7||K_1|| {\text{SID}}_j||{r_g^ * }||S_i||{S_j^ * })$ ， ${M_8^ * } = h({\text{SID}}_j||{\text{SK}}||M_7||M_1||{r_g^ * })$ ，比较 ${M_8^ * }? = M_8$ ，相等则进行下列计算： $B_{\text{new}} = X_{\text{new}} \oplus h ({\text{RPW}}_i||{\text{PID}}_{\rm{new}})$ ， $A_{\text{new }}=h({\text{PID}}_{\rm{new}}||{\rm{RPW}}_i)\bmod n_0$ ，用A_new、B_new、a_new替换智能卡中的A_i、B_i、a。

用户输入ID_i、PW_i、Bio_i。智能卡计算 ${\delta _i}^ * = {\text{Rep}}({\text{Bi}}{{\text{o}}_i},{\tau _i})$ ， ${\text{PI}}{{\text{D}}_i}^ * = h({\text{I}}{{\text{D}}_i}^ * ||{\delta _i}^ * ||a)$ ， ${\text{RP}}{{\text{W}}_i}^ * = h({\text{P}}{{\text{W}}_i}^ * || {\delta _i}^ * ||b)$ ， ${A_i}^ * = h({\text{PI}}{{\text{D}}_i}^ * ||{\text{RP}}{{\text{W}}_i}^ * ){\text{mod}}$ ${n_0}$ 。比较 ${A_i}^*? = {A_i}$ ，相等则继续，否则终止。输入新的密码PW_new，选择新的随机数b_new，计算 ${\text{RP}}{{\text{W}}_{{\text{new}}}} = h({\text{I}}{{\text{D}}_i},{\delta _i}^ * ,a)$ ， ${A_{{\text{new}}}} = h({\text{PI}}{{\text{D}}_i}^*||{\text{RP}}{{\text{W}}_{{\text{new}}}})$ $\bmod {n_0}$ ， ${B_{{\text{new}}}} = {B_i} \oplus h({\text{RP}}{{\text{W}}_{{\text{new}}}}|| {\text{PID}})$ ，用A_new、B_new、b_new替换A_i、B_i、b。 ${A_{{\text{new}}}} = h({\text{PI}}{{\text{D}}_i}^ * ||{\text{RP}}{{\text{W}}_{{\text{new}}}})\bmod {n_0}$ ， ${B_{{\text{new}}}} = {B_i} \oplus h({\text{RP}}{{\text{W}}_{{\text{new}}}}||{\text{PID}})$ ，用A_new、 ${B_{{\text{new}}}}$ 、b_new替换A_i、B_i、b。

本节将用BAN逻辑对协议正确性进行验证。协议的正确性指的是协议执行完后，用户U_i和传感器节点SN_j共享一个新鲜的会话密钥SK。BAN逻辑用到的符号和规则定义如表2所示。为了便于使用BAN逻辑对协议进行分析，现将协议的消息理想化为如下消息。

1)消息1： ${U_i} \to {\text{GWN}} : {\text{PI}}{{\text{D}}_i},{M_1},{M_2},{M_3} : < {M_1},$ ${\text{SI}}{{\text{D}}_j} > {X_{{U_i}}}$

2)消息2： $ \text{GWN} \to {\text{SN}}_{j} : {M}_{1},{M}_{4},{M}_{5},{M}_{6} : < {r}_{g}, {\text{SID}}_{j} ,$ ${U_i}\left| \equiv \right.{M_1} > {K_{{\text{GWN-}}S}}$

3)消息3： ${\text{S}}{{\text{N}}_j} \to {\text{GWN}}:{M_7},{M_8},{M_9}: < {\text{SI}}{{\text{D}}_j},{M_7},$ ${r_g} > {K_{{\text{GWN-}}S}}$

4)消息4： ${\text{GWN}} \to {U_i} :{M_7},{M_8},{M_9},{M_{10}},{M_{11}},{M_{12}},$ ${M_{13}} : < {\text{SI}}{{\text{D}}_j},{\text{S}}{{\text{N}}_j}| \equiv {M_1},{\text{S}}{{\text{N}}_j}| \equiv {M_7},{r_g} > {X_{{U_i}}}$

根据3.4节协议内容初始化假设：

A1： ${\text{GWN}}| \equiv {U_i}\mathop {\overset {{X_{{U_i}}}} \longleftrightarrow }\limits^{} {\text{GWN}}$

A2： ${\text{GWN}}| \equiv \# \left( {{M_1}} \right)$

A3： $ \text{GWN}\left|\equiv {U}_{i}\right|\Rightarrow < {M}_{1}，{\text{SID}}_{j} > $

A4： ${\text{S}}{{\text{N}}_j}| \equiv {\text{GWN}}\overset {{K_{{\rm{GWN}}{\text{-}}S}}} \longleftrightarrow {\text{S}}{{\text{N}}_j}$

A5： ${\text{S}}{{\text{N}}_j}| \equiv \# \left( {{M_1}} \right)$

A6： $ {\text{SN}}_{j}\left|\equiv \text{GWN}\right|\Rightarrow < {r}_{g}，{\text{SID}}_{j}，{U}_{i}|\equiv {M}_{1} > $

A7： ${\text{S}}{{\text{N}}_j}\left| { \equiv {{{U}}_i}} \right| \Rightarrow {{{U}}_i}\overset {{\text{SK}}} \longleftrightarrow {\text{S}}{{\text{N}}_j}$

A8： ${\text{GWN}}| \equiv {\text{GWN}}\overset {{{\text{K}}_{{\text{GWN}}{\text{-}}{\text{S}}}}} \longleftrightarrow {\text{S}}{{\text{N}}_j}$

A9： ${\text{GWN}}| \equiv \# \left( {{{{M}}_7}} \right)$

A10： ${U_i}| \equiv {U_i}\overset {{X_{{U_i}}}} \longleftrightarrow {\text{GWN}}$

A11： ${U_i}| \equiv \# \left( {{M_7}} \right)$

A12： ${U_i}\left| { \equiv {\text{GWN}}} \right| \Rightarrow < {\text{SI}}{{\text{D}}_j},{\text{S}}{{\text{N}}_j}\left| { \equiv {M_1},{\text{S}}{{\text{N}}_j}} \right| \equiv {M_7},$ ${r_g} > $

A13： ${U_i}\left| { \equiv {\text{S}}{{\text{N}}_j}} \right| \Rightarrow {U_i}\overset {{\text{SK}}} \longleftrightarrow {\text{S}}{{\text{N}}_j}$

如果提出的认证协议能够实现以下目标，那么所提协议正确实现了相互认证与会话密钥协商。

G1： ${\text{S}}{{\text{N}}_j}| \equiv {U_i}\overset {{\text{SK}}} \longleftrightarrow {\text{S}}{{\text{N}}_j}$

G2： ${U_i}| \equiv {\text{S}}{{\text{N}}_j}\overset {{\text{SK}}} \longleftrightarrow {U_i}$

BAN逻辑形式化分析如下。

从消息1，得到：

根据式(1)、A1、应用消息含义规则，得到：

根据式(2)、A2、应用随机数验证规则，得到：

根据式(3)、A3、应用仲裁规则，得到：

从消息2，得到：

根据式(5)、A4、应用消息含义规则，得到：

根据式(6)、A5、应用随机数验证规则，得到：

根据式(7)、A6、应用仲裁规则，得到：

根据式(8)、应用信念规则，得到：

根据式(9)、 ${\text{SK}} = h({M_1}||{M_7}||{r_j}^*{M_1}||{\text{S}}{{\text{N}}_j}|| {r_g}|| {S_i}||{S_j})$ 、应用会话秘钥规则，得到：

从消息3，得到：

根据式(11)、A8、应用消息含义规则，得到：

根据式(12)、A9、应用随机数验证规则，得到：

根据式(13)、A10、应用仲裁规则，得到：

从消息4，得到：

根据式(15)、A10、应用消息含义规则，得到：

根据式(16)、A11、应用随机数验证规则，得到：

根据式(17)、A12、应用仲裁规则，得到：

根据式(18)，应用信念规则，得到：

根据式(19)、 ${\text{SK}} = h({M_1}||{M_7}||{K_1}||{\text{SI}}{{\text{D}}_j}||{r_g}|| {S_i}||{S_j})$ 、应用会话秘钥规则，得到：

从式(10)和式(20)可以看出该文协议满足安全目标，用户U_i和传感器节点SN_j都相信彼此之间共享一个新鲜的会话密钥SK。

用户匿名性要求攻击者无法根据交互信息得到用户的ID或无法从多个会话中分析出属于某个用户产生的会话。用户和SN_j协商过程产生的交互信息和用户ID相关的消息为PID和M₂，攻击者在缺少X_i的情况下无法从M₂中解析出PID_new，故无法通过PID_new解析ID的相关信息。由于单向函数h的存在，攻击者在得到PID后无法反向解析出ID等信息。另一方面，攻击者在一次会话中能监听到用户当前所用PID，但在缺少X_i的情况下，无法解析用户下次使用的PID_new，故攻击者无法分辨同一用户使用的两次PID。故本协议具有用户匿名性。

本协议基于DH问题设计用户和SN_j的对称秘钥产生过程。本协议中 ${\text{SK}} = h({M_1}||{M_7}||{K_1}||{\text{SI}}{{\text{D}}_j}||{r_g}|| {S_i}||{S_j})$ ，攻击者在得到所有长期秘密后，可以解析出M₁、M₇、SID_j、r_g、S_i、S_j信息。由于存在Diffie-Hellman问题，在缺少临时秘密r_i和r_j的情况下，攻击者无法计算出K₁。由于单向哈希函数h的存在，在不知道K₁的情况下无法解析SK，故本协议具有前向安全属性。

攻击者在得到智能卡和用户生物信息后，从用户身份空间D_ID和用户密码空间D_PW中猜测(ID^*,PW^*)，计算 ${\delta _i}^* = {\text{Rep(Bi}}{{\text{o}}_i},{\tau _i}{\text{)}}$ ， ${\text{PI}}{{\text{D}}_i}^* = h({\text{I}}{{\text{D}}_i}^*|| {\delta _i}^*||a)$ ， ${\text{RP}}{{\text{W}}_i}^* = h({\text{P}}{{\text{W}}_i}^*||{\delta _i}^*||b)$ ， ${A_i}^* = h({\text{PI}}{{\text{D}}_i}^*||{\text{RP}}{{\text{W}}_i}^*) \bmod {n_0}$ 。通过比较A_i^*与A_i是否相等判断猜测的PW和ID是否正确。假设 $\left| {{D_{{\text{ID}}}}} \right| = \left| {{D_{{\text{PW}}}}} \right| = {10^6}, {n_0} = {2^8}$ ，则符合该等式的(ID^*,PW^*)对有 $\dfrac{{\left| {{D_{{\rm{ID}}}}} \right| * \left| {{D_{{\text{PW}}}}} \right|}}{{{n_0}}} \approx {2^{32}}$ 个，攻击者只能采取线上同GWN交互的方式确认此次猜测的(ID^*,PW^*)是否正确，但由于GWN用户校验次数Honey_List不能超过阈值，故在有限次的线上猜测过程中，猜对用户的身份和密码的概率可以忽略，故本协议能抵御离线字典攻击。

攻击者在注册阶段得到用户的(PID_i,RPW_i')，若攻击者又获得了用户的智能卡以及生物特征Bio_i，则只能通过RPW_i'猜测用户的密码。攻击者在密码空间D_PW中猜测PW^*后，通过计算 ${\delta _i} = {\text{Rep}}({\text{Bi}}{{\text{o}}_i},{\tau _i})$ ， ${\text{RP}}{{\text{W}}_i}^\prime = h({\text{P}}{{\text{W}}_i}||{\delta _i}||b')$ ，验证PW^*猜测是否正确。由于智能卡在注册完成后，已将b'替换成了b，使攻击者无法通过智能卡得到b'，也不能通过RPW_i'猜测用户的密码，故本协议能抵御内部攻击。

在该攻击中，攻击者得到用于产生会话秘钥SK的所有随机秘密。在本协议中，攻击者能得到r_g、r_i、r_j，可监听通信过程中的所有消息。用户和SN_j产生的 $ {\text{SK}} = h({M_1}||{M_7}||{K_1}||{\text{SI}}{{\text{D}}_i}|| {r_g}|| {S_i}||{S_j}) $ ，通过计算或监听得到M₁、M₇、K₁，但计算S_i的途径只有两个：直接通过 ${S_i} = h({X_i}||{M_1})$ 计算，但攻击者缺少X_i，故此种计算方法不可行；通过 ${S_i} = {M_5} \oplus h({r_g}||{K_{{\text{GWN-}}S}}||{M_1})$ 计算，但缺少K_GWN-S的情况下也无法计算S_i。故攻击者无法计算出S_i。同理，攻击者也无法计算出S_j、SID_j。由于单向哈希函数h的存在，攻击者在缺少S_i、S_j、SID_j的情况下无法计算本次协商的会话秘钥SK，故本协议能抵抗KSSTI攻击。

在该攻击中，攻击者通过注册合法用户访问传感器节点的方法试图破解其他用户和该传感器节点协商的秘钥或其他有用信息，该种攻击是否有效主要看攻击者能否通过协商获取GWN和SN_j之间认证的秘密的相关信息。在本协议中，攻击者注册成合法用户，同SN_j协商后，获得当前合法用户所能得到的消息(如r_g)，并窃听信道传输的内容(如M₄)，计算 $h({K_{{\text{GWN-}}S}}||{M_1}) = {M_4} \oplus {r_g}$ ，但由于单向哈希函数h的存在无法进一步计算出K_GWN-S。本协议中，每次协商K_GWN-S连接用户产生的临时消息M₁后，通过哈希函数产生加密消息的秘钥，故不同的用户协商过程中，GWN用以加密和SN_j之间秘密的秘钥h(K_GWN-S||M₁)是不同的，攻击者无法通过此种攻击计算出任何能破解其他合法用户协商的有用信息，故本协议能够抵抗注册合法用户攻击。

从安全性和性能两方面对相关协议进行对比分析，结果如表3和表4所示。表3对比了几种相关协议的安全性，“是”表示能够满足对应的安全属性或者能够抵抗对应的攻击，可以看出该文协议能够克服已有文献的安全风险。表4进行了计算量和通信量的对比，其中将该文协议与对比协议所使用的各参数长度及密码学原语进行如下统一：时间戳和身份标识的比特串长度均为128 bit，哈希原语为SHA-128(记为T_h)、椭圆曲线标量乘原语为ECC-160(记为T_m)、生物特征恢复函数原语为Rep(.)^[26](记为T_R)、对称加解密为AES-128(记为T_S)。在进行计算量对比时， $ \oplus $ 和||操作时间忽略不计，上述原语T_h、T_m、T_R、T_S在1024 MB RAM 的 Intel Pentium4 2600 MHz 处理器上执行一次所花费的时间为T_h=0.5 ms、T_m=63.08 ms、T_R≈T_m、T_S=8.7 ms^[27-28]。经过对比表明，该文协议在保证更高安全等级的同时，计算量与其他协议相比适中，这是因为协议使用了椭圆曲线标量乘，而椭圆曲线标量乘的计算开销要明显高于哈希运算及对称加密。此外，在通信量上与其他协议相比适中。

本文指出文献[16]协议不能抵抗合法用户攻击、用户欺骗攻击、用户伪装攻击、离线字典攻击等安全性问题。为确保高安全场景下WSN的安全通信，该文将KSSTI攻击和注册合法用户攻击加入安全模型，提出了一种三因素安全增强身份认证协议，实现了用户和传感器节点两端的安全会话密钥协商。最后采用了BAN逻辑和非形式化分析的方法对所提协议进行安全分析，结果表明本文协议能够满足该增强安全模型中的所有评价标准。与已有相关文献相比，本文给出的增强安全模型安全等级更高。此外，本文协议计算量和通信量适中，适合应用在对安全等级要求更高的场景中。