定义1   n维Chebyshev多项式${T_n}(x):[ - 1, 1] \to $ $[ - 1, 1]$定义为${T_n}(x) = \cos (n\arccos (x))$，其中：n为整数，x为实数且$x \in [ - 1, 1]$。

定义2  令$n \in Z$，变量$x \in [ - 1, 1]$，Chebyshev多项式${T_n}(x):[ - 1, 1] \to [ - 1, 1]$的迭代关系式为${T_n}(x) = 2x{T_{n - 1}}(x) - {T_{n - 2}}(x)$，$n \geqslant 2$，且${T_0}(x)$=1，${T_1}(x)$=x。最初的几个Chebyshev多项式为${T_2}(x) = 2{x^2} - 1$，${T_3}(x) = 4{x^3} - 3x$，${T_4}(x) = 8{x^4} - 8{x^2} + $ $1$, …。

当$n > 1$，n维Chebyshev多项式${T_n}(x):[ - 1, 1] \to $ $[ - 1, 1]$是一个典型的混沌映射。该映射唯一绝对连续的不变测度为${f^*}(x) = 1/(\pi \sqrt {1 - {x^2}} )$。n维Chebyshev多项式的Lyaounov指数为$\ln n > 0$。当$n > 1$时，Chebyshev多项式即为Logistic映射。

定义3    Chebyshev多项式的半群属性定义为${T_n}(x) \equiv (2x{T_{n - 1}}(x) - {T_{n - 2}}(x))\bmod p$，其中$n > 1$，$x \in ( - \infty , + \infty )$，p是一个大素数，由半群性质可知Chebyshev多项式映射可转换为${T_r}({T_s}(x)) \equiv {T_{sr}}(x) \equiv $ ${T_s}({T_r}(x))\bmod p$，$s, r \in Z$。

扩展的Chebyshev多项式的两个问题被认为是多项式时间难解的。

定义4  离散对数问题(discrete logarithm problem, DLP)。给定x、y和p，找到一个整数r，使得$y = {T_r}(x)\bmod p$在计算上不可行。

定义5   计算Diffie-Hellman问题(computation Diffie-Hellman problem, CDHP)。给定x、${T_r}(x)$、${T_s}(x)$和p，无法计算${T_{rs}}(x)$。

该协议包含一个可信服务器S，一个信息发送者U_i和一个响应者U_j。U_i和U_j之间需要在S的帮助下协商一个安全的会话密钥。初始化阶段，U_i和U_j需要到服务器S上注册，获得一个有效的智能卡(smart card)，该注册阶段可在智能卡出厂时，一次设置完成，然后分发给用户使用。本文提出的协议包含注册、登录和密钥协商、密钥更新3个阶段。表 1列出了文中需要的变量和符号。

在协议运行前，由服务器为移动网络生成基本参数：一个大素数p，一个实数$z \in ( - \infty , + \infty )$，一个哈希函数h()和服务器的保密密钥X_s。

用户需在服务器处注册，才能成为网络中的合法用户。用户U_i输入其ID_i和密钥PW_i，同时产生一个随机数N_i。U_i使用哈希函数h₁()计算${f_i} = {h_1}({\text{P}}{{\text{W}}_i}||{N_i})$，随后将消息{ID_i, f_i}通过安全的通道发送给服务器S。

S计算${P_i} = h({\text{I}}{{\text{D}}_i}||{X_s})$和${e_i} = {P_i} \oplus {f_i}$，然后将信息{ID_i, e_i, x, p, h(), SPUB}写入一个smart card，并将该smart card通过一个安全的通信网络发送给U_i，其中SPUB =${T_{{X_s}}}(z)\bmod p$。

用户在收到smart card后，将h₁()、N_i和h(PW_i)加入到smart card中。至此，用户获得了自己的smart card。用户注册的过程如图 1所示。

图  1  用户注册阶段

当U_i要与其他移动用户进行通信时，执行如下操作。U_i插入他的smart card，输入密钥$\text{PW}{'_{i}} $。smart card计算h( $\text{PW}{'_{i}} $ )，并与自己存储的h(PW_i)进行比较，如果相等，smart card选择随机数kx和N₁，计算${f_i} = {h_1}({\text{P}}{{\text{W}}_i}||{N_i})$，${P_i} = {e_i} \oplus {f_i}$，${M_1} = {T_{{\text{kx}}}}(z)\bmod p$，${M_2} = {T_{{\text{kx}}}}({\text{SPUB}})\bmod p$和${t_1} = h({\text{I}}{{\text{D}}_i}||{\text{I}}{{\text{D}}_j}||{M_1}||{M_2}||$ ${P_i}||{N_1})$。其中N₁是一个自增长的随机数，通过一个随机数发生器生成，使得用户每次产生的随机数都比前一次的值大。由于用户和服务器都具有同一个随机数发生器函数，因此它们可以通过使用该随机数抵御重放攻击。

U_i将消息{ID_i, ID_j, M₁, t₁, N₁}发送给U_j。

U_j收到消息后，插入自己的smart card，然后输入PW_j。由smart card计算是否h(PW_j) = h(PW_j)。如果成立，smart card选择一个随机数ky和N₂，计算${f_j} = {h_1}({\text{P}}{{\text{W}}_j}||{N_j})$，${P_j} = {e_j} \oplus {f_j}$，${M_3} = {T_{{\text{ky}}}}(z)\bmod p$, ${M_4} = {T_{{\text{ky}}}}({\text{SPUB}})\bmod p$和${t_2} = h({\text{I}}{{\text{D}}_i}||{\text{I}}{{\text{D}}_j}||{M_3}||{M_4}||$ ${P_j}||{N_2})$，其中N₂是一个自增长的随机数。

U_j发送消息{ ID_i, ID_j, M₁, t₁, N₁, M₃, t₂, N₂}给S。

S收到消息后计算${P_i}^\prime = h({\text{I}}{{\text{D}}_i}||{X_s})$，${P_j}^\prime = h({\text{I}}{{\text{D}}_j}||$ ${X_s})$，${t'_1} = h({\text{I}}{{\text{D}}_i}||{\text{I}}{{\text{D}}_j}||{M_1}||{M'_2}||{P_i}^\prime ||{N_1})$，${t'_2} = h({\text{I}}{{\text{D}}_i}||$ ${\text{I}}{{\text{D}}_j}||{M_3}||{M'_4}||{P_j}^\prime ||{N_2})$，${M_2}^\prime = {T_{{X_s}}}({M_1})\bmod p = $${T_{{\text{kx}}}}$ $({T_{{X_s}}}(z))\bmod p = {T_{{\text{kx}}}}({\text{SPUB}})\bmod p$和${M_4}^\prime = {T_{{X_s}}}({M_3})$ $\bmod p = $${T_{{\text{ky}}}}({T_{{X_s}}}(z))\bmod p = {T_{{\text{ky}}}}({\text{SPUB}})\bmod p$。然后，S通过判断${t_1} = {t_1}^\prime $和${t_2} = {t_2}^\prime $，来确认U_i和U_j的身份。S 将N₁和N₂与对应用户的随机数发生器产生的随机数进行比较，来抵御重放攻击。S计算${t_3} = h({\text{I}}{{\text{D}}_j}||{M_2}||$${M_3}||{N_1})$，并发送消息{ID_j, M₃, t₃}给U_i，发送消息{ID_i, M₁, t₄}给U_j.

当U_i收到消息后，根据ID_j获得M₂和N₁，计算${t_3}^\prime = h({\text{I}}{{\text{D}}_j}||{M_2}||{M_3}||{N_1})$，通过判断${t_3} = {t_3}^\prime $来确认S和U_j的身份，如果成立，获得会话密钥K = ${T_{{\text{kx}}}}({M_3})\bmod p = {T_{{\text{kxky}}}}(z)\bmod p$。

当U_j收到消息后，同样根据ID_i获得M₄和N₂，计算${t'_4} = h({\text{I}}{{\text{D}}_i}||{M_1}||{M_4}||{N_2})$，并通过判断${t_4} = {t_4}^\prime $来确认S和U_i的身份，如果成立，获得会话密钥K = ${T_{{\text{kx}}}}({M_3})\bmod p = {T_{{\text{kxky}}}}(z)\bmod p$。协议的登陆和密钥协商过程如图 2所示。

图  2  协议登录和密钥协商过程

为了保证用户的安全，用户可根据需要更新自己的密钥。在密钥更新阶段，无需服务器的协助，每个合法用户都可以自主地改变密钥。

当用户需要更新密钥时，用户U_i插入他的smart card，输入旧密码$\text{PW}{'_{i}} $和一个新密码${\text{PW}}_i^*$。由smart card使用用户输入的旧密码计算h($\text{PW}{'_{i}} $)，并与其存储的h(PW_i)进行比较。如果相等，smart card根据卡里存储的N_i和e_i，计算${f_i} = {h_1}({\text{P}}{{\text{W}}_i}^\prime ||{N_i})$和${P_i} = {e_i} \oplus {f_i}$，并生成一个新的随机数$N_i^*$，再计算${f_i}^* = $ ${h_1}({\text{P}}{{\text{W}}_i}^*||{N_i}^*)$和${e_i}^* = {P_i} \oplus {f_i}^*$。最后smart card将N_i替换成$N_i^*$，h(PW_i)替换成h(${\text{PW}}_i^*$)，e_i替换成$e_i^*$，至此完成了密钥的更新。

本节将针对典型的攻击方式，采用非形式化的方式分析协议的安全性。

1) 密钥猜测攻击(on-line and off-line password guessing attack)：攻击者可以通过监听的方式，截获U_i、U_j和S之间传递的信息，并发起密钥猜测攻击。在本协议中，会话密钥$K = {T_{{\text{ky}}}}({M_1})\bmod p = $ ${T_{{\text{kx}}}}({M_3})\bmod p = {T_{{\text{kxky}}}}(z)\bmod p$，根据定义1.4和1.5，由于kx和ky并不包含在传递的消息内容中，因此即使攻击者获得了M₁和M₃，他也无法计算出会话密钥K。

2) 窃取smart card攻击(stolen smart card attack)：当攻击者窃取到合法用户的smart card后，他可以获得卡中存储的信息{ ID_i, e_i, x, p, SPUB, h(), h₁(), N_i, h(PW_i) }。但是，攻击者如果想冒充合法用户，他需要输入用户密钥PW_i，由smart card计算h(PW_i)，并与存储在智能卡中的值进行比较，只有比较相等smart card才继续执行协商协议。但是由于攻击者无法获得用户密钥PW_i，所以即使攻击者窃取了smart card也无法冒充合法用户。

当用户发现智w能卡丢失后，需要向服务器提出申请，通过服务器重新注册后，生成新的智能卡，旧的智能卡被撤销。

3) 重放攻击(replay attack)：在协议中，所有的消息都包含一个随机数N，而且该随机数是一个自增长的值。协议每执行一次，用户和服务器中对应该用户的随机数发生器都会同步产生一个随机数。如果有重放数据包，数据到到达后，用户和服务器可以通过数据包中的随机数，与自己对应的随机数进行对比，来发现重放攻击。

4) 已知密钥攻击(known-key security)：由于每次通信的会话密钥K =${T_{{\text{kykx}}}}(z)$都是由本次通信的随机数kx和ky计算获得，即使攻击者知道上次会话或将来会话的某个密钥，也无法推断出本次会话密钥。

5) 伪造和假冒攻击(forgery and impersonation attack)：如果一个攻击者冒充合法用户，他需要发送消息{ID_i, ID_j, M₁, t₁, N₁}，其中${t_1} = h({\text{I}}{{\text{D}}_i}||{\text{I}}{{\text{D}}_j}||$ ${M_1}||{M_2}||{P_i}||{N_1})$, ${P_i} = {e_i} \oplus {f_i}$和${f_i} = {h_1}({\text{P}}{{\text{W}}_i}||{N_i})$。但是攻击者无法获得用户密钥PW_i，因此他就无法冒充合法用户。

6) 中间人攻击(man-in-the-middle attack)：从上面分析可以发现，由于攻击者无法实现重放、伪造和假冒攻击，因此他也无法实施中间人攻击。

7) 特权用户攻击(privileged insider attack)：由于在协议中传递的消息不包含U_i和U_j的密钥，因此协议能够抵御特权用户攻击。

表 2列出了本协议与相关协议在安全性方面的比较结果。其中Yes表示，协议具有相应功能，或可以抵御对应攻击。

本节将本协议的执行效率与相关工作进行对比，结果显示本协议的通信和计算开销都较小。由于异或运算的计算量较少，在进行计算量评估时可忽略不计。表 3列出了本协议与相关协议^[18-25]在计算开销方面的比较结果，其中T_C、T_S和T_h分别表示Chebyshev多项式、对称加、解密运算和哈希函数的计算执行时间。

在3.2 GHz处理器3.0 G RAM环境下，T_h的执行时间是0.2 ms，T_S的执行时间是0.45 ms，T_C的执行时间是32.2 ms^[13]，表 4列出了本协议和相关协议^[18-25]的执行时间。

从上面分析结果可以发现，本协议具有较低的计算开销。与文献[25]提出的协议相比，本协议需要4次通信，而文献[25]中的协议需要8次，而且本协议不需要复杂的网络时钟同步技术。

本文基于扩展的混沌算法设计了一个适用于无线网络的三方用户认证和密钥协商协议。在可信第三方服务器的协助下，协议实现了双向用户的认证和密钥协商功能，而且协议提供了便捷的密钥更新机制，提高了用户密钥的安全性。通过安全性分析和效率分析可得出，与现有相关协议相比，本协议具有较高的安全性和较低的通信、计算开销，更适用于无线传感器网络。