面向智能電網(wǎng)移動(dòng)終端的輕量級(jí)認(rèn)證方案

鄧建鋒,肖 焯,黃寶鑫,張麗娟,胡厚鵬

(1.南方電網(wǎng)數(shù)字電網(wǎng)研究院有限公司,廣州 510700;2.南方電網(wǎng)貴州電力科學(xué)研究院,貴陽 550002)

0 引 言

智能電網(wǎng)是新一代電網(wǎng)的智能化,實(shí)現(xiàn)了“發(fā)—輸—配—儲(chǔ)—用”的電力系統(tǒng)全生命周期以及各環(huán)節(jié)的信息化、自動(dòng)化和互動(dòng)化[1]。隨著智能電網(wǎng)系統(tǒng)的逐步完善,移動(dòng)終端在智能電網(wǎng)中的應(yīng)用也越來越普及,其便攜性決定了它在智能電網(wǎng)中可以應(yīng)用于多種場(chǎng)景,在獲取信息和傳遞信息等方面有顯著優(yōu)勢(shì)。與此同時(shí),傳統(tǒng)移動(dòng)終端在通信時(shí)因缺少足夠的安全保障措施招致多種安全威脅。例如,攻擊者可以通過簡(jiǎn)單的竊聽輕松攔截消息,然后發(fā)起攻擊獲取用戶的隱私信息。因此,在移動(dòng)終端信息交換之前,必須進(jìn)行身份認(rèn)證,以確保與合法實(shí)體的安全通信。

近年來,諸多學(xué)者在智能電網(wǎng)移動(dòng)終端認(rèn)證方向進(jìn)行了深入研究。為解決通信實(shí)體間的身份認(rèn)證問題,2018年,Cheon等[2]提出了一種高效的線性同態(tài)認(rèn)證加密方案,保證了針對(duì)竊聽和偽造攻擊的安全性。2019年,Zhang等[3]提出了一種用于智能電網(wǎng)的輕量級(jí)匿名認(rèn)證和密鑰協(xié)商方案,實(shí)現(xiàn)了智能電表與服務(wù)提供商之間的快速相互認(rèn)證,同時(shí)保證了智能電表的匿名性和不可追溯性。賴啟超等[4]提出了一個(gè)基于身份信息驗(yàn)證的可靠數(shù)據(jù)聚合方案,該方案支持批量驗(yàn)證,能夠?qū)⑺杏脩趄?yàn)證所需的雙線性對(duì)運(yùn)算次數(shù)降低到一個(gè)常數(shù)。Srinivas等[5]設(shè)計(jì)了一種基于時(shí)間憑證的匿名輕量級(jí)用戶身份驗(yàn)證機(jī)制,該機(jī)制有能力抵抗各種已知的針對(duì)被動(dòng)/主動(dòng)對(duì)手的攻擊。2020年,Ali等[6]表明Srinivas等的方案無法抵抗可追溯性和被盜驗(yàn)證者攻擊,因此,他們使用輕量級(jí)對(duì)稱密鑰原語和臨時(shí)憑證,提出了一種改進(jìn)方案,在保持輕量級(jí)的同時(shí)提供了針對(duì)許多已知攻擊的安全性,包括可追溯性和被盜驗(yàn)證器。Iqbal等[7]首先為基于軟件定義網(wǎng)絡(luò) SDN 的智能家居提出了一種新的隱私保護(hù)安全架構(gòu)。隨后,基于所提出的安全體系結(jié)構(gòu)核心基礎(chǔ)設(shè)計(jì)了匿名輕量級(jí)身份驗(yàn)證機(jī)制。Gaba等[8]提出了一種健壯且輕量級(jí)的相互認(rèn)證方案,方案中使用了隱式證書并在智能環(huán)境中實(shí)現(xiàn)智能設(shè)備之間的相互認(rèn)證和密鑰協(xié)商,保護(hù)分布式智能環(huán)境免受未經(jīng)授權(quán)的濫用。Ding等[9]設(shè)計(jì)了一種智能電網(wǎng)環(huán)境下高效的基于身份的計(jì)量數(shù)據(jù)聚合方案,支持收集器對(duì)電力數(shù)據(jù)的批量驗(yàn)證,提高了計(jì)算效率,并且不損害采集數(shù)據(jù)的機(jī)密性。但是協(xié)議中用戶身份的匿名化也讓可信第三方追蹤電力數(shù)據(jù)的真實(shí)來源變得困難。2021年, Yang等[10]提出了一種新的基于區(qū)塊鏈的身份驗(yàn)證方案,方案提出的框架結(jié)合了區(qū)塊鏈技術(shù)和模塊化平方根算法來實(shí)現(xiàn)有效的身份驗(yàn)證過程。2022年,Chaudhry等[11]提出了一種使用橢圓曲線和對(duì)稱密鑰加密以及單向消息身份驗(yàn)證操作的智能電網(wǎng)基礎(chǔ)設(shè)施的輕量級(jí)身份驗(yàn)證方案,通過在智能電表和鄰居區(qū)域網(wǎng)絡(luò)網(wǎng)關(guān)之間僅交換兩條消息來完成身份驗(yàn)證過程。Sureshkumar等[12]在電動(dòng)汽車入網(wǎng)(vehicle-to-grid,V2G)網(wǎng)絡(luò)環(huán)境中引入了霧服務(wù)器來實(shí)現(xiàn)并行管理,但是整個(gè)協(xié)議由于在登錄和認(rèn)證階段頻繁地使用哈希函數(shù)運(yùn)算,導(dǎo)致計(jì)算開銷非常大。

本文設(shè)計(jì)了一種基于桶移位物理不可克隆功能(barrel shifter physical unclonable function,BS-PUF)的智能電網(wǎng)移動(dòng)終端的輕量級(jí)認(rèn)證方案,并在協(xié)議中加入“數(shù)字指紋”。物理不可克隆功能是資源受限設(shè)備實(shí)現(xiàn)輕量級(jí)安全身份驗(yàn)證的重要因素。此外,考慮到智能電網(wǎng)節(jié)點(diǎn)的資源受限特性和對(duì)延遲的低容忍特性,認(rèn)證方案應(yīng)盡可能降低計(jì)算和通信成本。本文方案具有如下特點(diǎn)。

1)匿名性。將移動(dòng)終端身份標(biāo)識(shí)符與可信機(jī)構(gòu)共享的臨時(shí)密鑰生成隨機(jī)假名,實(shí)現(xiàn)身份的匿名性。移動(dòng)終端在各次認(rèn)證中使用的假名之間沒有關(guān)聯(lián)關(guān)系,具有不可連接性,避免了敏感信息泄露。

2)高效性?；跈E圓曲線構(gòu)造認(rèn)證協(xié)議,實(shí)現(xiàn)協(xié)議的輕量化;利用BS-PUF[13-14]的物理特性實(shí)現(xiàn)設(shè)備秘密信息的零存儲(chǔ),減少密鑰管理的成本。

3)動(dòng)態(tài)性。用戶口令可離線進(jìn)行動(dòng)態(tài)更新,提高口令的安全性,可有效抵抗離線字典攻擊。

4)可靠性。結(jié)合密碼學(xué)與BS-PUF,實(shí)現(xiàn)雙因素安全,若移動(dòng)終端沒有內(nèi)置的BS-PUF與用戶輸入的密碼,則無法完成認(rèn)證流程。

1 相關(guān)基礎(chǔ)

1.1 困難問題假設(shè)

設(shè)G1是由素?cái)?shù)q和生成元P構(gòu)成的橢圓曲線群,下面將對(duì)下列棘手問題進(jìn)行介紹。

1.2 認(rèn)證與密鑰協(xié)商安全模型

認(rèn)證協(xié)議中共有3類參與者:移動(dòng)終端M、可信機(jī)構(gòu)TA和電力網(wǎng)關(guān)GW。

2 方案設(shè)計(jì)

本方案包括3個(gè)實(shí)體:移動(dòng)終端(M)、電力網(wǎng)關(guān)(GW)和可信機(jī)構(gòu)(TA)。M作為認(rèn)證主體,發(fā)起認(rèn)證請(qǐng)求,進(jìn)入電力網(wǎng)關(guān)系統(tǒng)。GW是一種固定設(shè)備,用于采集信息和信息轉(zhuǎn)發(fā)。TA則是可信機(jī)構(gòu),負(fù)責(zé)核驗(yàn)認(rèn)證雙方身份,并輔助認(rèn)證。在M與GW均部署獨(dú)一無二的BS-PUF,通過模糊處理器(fuzzy extractor,FE)進(jìn)行噪聲處理,并通過橢圓曲線密碼技術(shù)為移動(dòng)終端生成隨機(jī)假名,借此實(shí)現(xiàn)移動(dòng)終端的匿名性。M進(jìn)入GW的轄區(qū)時(shí),M與GW會(huì)進(jìn)行雙向認(rèn)證的流程,在過程中需要TA的輔助,并在認(rèn)證通過后生成會(huì)話密鑰。M通過GW與TA進(jìn)行交互,不同的移動(dòng)終端由不同的電力網(wǎng)關(guān)單元負(fù)責(zé),實(shí)現(xiàn)了雙向安全認(rèn)證與密鑰協(xié)商,如圖1所示,與本方案相關(guān)的符號(hào)如表1所示。

表1 認(rèn)證協(xié)議符號(hào)定義Tab.1 Definition of certification protocol symbols

圖1 認(rèn)證場(chǎng)景圖Fig.1 Authentication scenario map

認(rèn)證過程主要包括以下4個(gè)階段:系統(tǒng)初始化、注冊(cè)、認(rèn)證和密碼更新。

2.1 系統(tǒng)初始化

2.2 注冊(cè)

2.2.1 移動(dòng)終端注冊(cè)

移動(dòng)終端注冊(cè)詳細(xì)步驟如下。

3)移動(dòng)終端Mi收到來自TA挑戰(zhàn)xi之后,將會(huì)計(jì)算挑戰(zhàn)xi的響應(yīng)值fmi=PUFmi(xi),并通過模糊提取器(fuzzy extractor,FE)處理響應(yīng)值fmi,即(kmi,pmi)=Gen(fmi),其中,kmi是秘密值與pmi是輔助值。然后,結(jié)合用戶輸入的密碼PWi,計(jì)算GWi=(xi‖MIDi)⊕h(PWi),M0=h0(MIDi‖kmi‖PWi‖GWi),并存儲(chǔ)(GWi,M0)。最后,將輔助值pmi發(fā)送給TA。

4)TA存儲(chǔ){MIDi,pmi}。

2.2.2 電力網(wǎng)關(guān)單元注冊(cè)

GW注冊(cè)詳細(xì)步驟如下。

2)TA檢查GIDj是否已注冊(cè),若已注冊(cè),則拒絕請(qǐng)求。否則,存儲(chǔ){GIDj,UQj,pGj}。

2.3 認(rèn)證階段

移動(dòng)終端Mi通過TA與GWi達(dá)成雙向認(rèn)證,如圖2所示,并協(xié)商出會(huì)話密鑰。具體詳細(xì)步驟如下。

Mi GWj TA用戶輸入PWi(xi‖MIDi)=GWih(PWi)fax=PUFmi(xi)(kmi,pmi=Gen(fmi)Ni={Gi,GMIDi,GIDi,f′mi,RSi,Vi,Ti}→計(jì)算并驗(yàn)證M1=M1選擇隨機(jī)數(shù)r1計(jì)算R1=r1PB=(Bx,By)=r1Sfmi-Gj=PUFmi(GIDj)GMIDi=MIDiBxRS1=fmi-Gjh1(By)f?mi=fmih1(pmi)V1=h0(MIDi‖GIDj‖IDt‖kmi‖RS1‖R1‖T1‖Bx)驗(yàn)證T1與GIDjfGi-m=fGi=PUFGi(GIDj)(kG,PGi)=Gen(fGi-mi)C=(Cx,Cy)=kGi·SRS2=fGi-mh1(Cy)N2={N1,RS1,V2,T2}→V2=h0(RS2‖T2‖Cx‖f?Gi-mi‖kQ‖V1)N1={Keym,Keya,Keyt-a,V1,V1,T1}←驗(yàn)證T3fmi-Gj=Keygjh1(Cx)keyt=Keyt-Gjh0(Cx)計(jì)算并驗(yàn)證V+i=+V1KGj-mi=PUFGj(fmi-Gj)KeyR-mi=Keyrh0(KGj-mi)SK=h2(keyr‖KGj-mi‖GMIDi‖GIDj)Vs=h0(keyr‖V4‖T4‖SK) 驗(yàn)證T2B=(Bx,By)=s·R1MIDi=GMIDiBxfmi-Gj=RS1h1(By)根據(jù)VIDi可搜索得到Pmik?mi=Rep(fmi,pmi)計(jì)算并驗(yàn)證V+i=+Vi同理V+2=+V1選擇隨機(jī)數(shù)r3Keyr=h0(Cx‖Bx‖r3)Keymi=fCj-mih1(Cy)KeyT-Gi=keyrh0(Cx)V3=h0(keyr‖KeyCr‖Cx‖T3)V4=h0(keyr‖Keymi‖k?mi‖T3) N4={Keymi,KeyN-mi,V4,V5,T3,T4}←驗(yàn)證T4fGj-mi=Keymih1(kmi)Kki-Gj=PUFmi(fGj-mi)keyr=KeyR-mih0(mGj-mi)計(jì)算并驗(yàn)證V+4=V4SK=h2(keyr‖Kmi-Gj‖GMIDi‖GIDj)計(jì)算并驗(yàn)證V+4=+V4

2.4 密碼離線更新

用戶PWi可實(shí)現(xiàn)離線更新,只需要根據(jù)新的PWi值更新(GWi,Mi)。用戶PWi離線更新詳細(xì)步驟如下。

1)用戶Ui發(fā)送當(dāng)前密碼與更改密碼請(qǐng)求〈PWi,reqchangepw〉到移動(dòng)終端Mi。

3)移動(dòng)終端Mi向用戶發(fā)送輸入新密碼請(qǐng)求reqnewpw。

3 方案分析

將對(duì)文中所提出的方案進(jìn)行安全性分析,以及對(duì)比其他方案進(jìn)行性能分析。

3.1 正確性證明

利用BAN邏輯[15](一種形式化邏輯分析方法)對(duì)本文協(xié)議進(jìn)行正確性證明。

3.1.1 建立證明目標(biāo)

目標(biāo)1

(1)

目標(biāo)2

(2)

目標(biāo)3

(3)

目標(biāo)4

(4)

3.1.2 協(xié)議的簡(jiǎn)化模型

將本文提出的方案通過以下方式轉(zhuǎn)換為理想形式。

消息1(Mi→Gj):

G1,GMIDi,GIDj,T1

消息2(Mi→TA):

消息3(Gj→TA):

RS2,V2,T2

消息4(TA→Gj):

keyGj,keyr-Gj,V3,T3

消息5(TA→Mi):

keymi,keyr-mi,V4,R3,T3

消息6(Gj→Mi):

V5,T4

3.1.3 協(xié)議的初始化假設(shè)

A1:Mi|≡#(r1)

(5)

A2:Gj|≡#(r2)

(6)

A3:Mi|≡#(fmi-Gj)

(7)

A4:Gj|≡#(fGj-mi)

(8)

(9)

(10)

(11)

(12)

(13)

(14)

(15)

(16)

A13:Vi|≡Gj|?fGj-mi

(17)

A14:Gj|≡Mi|?fmi-Gj

(18)

(19)

(20)

A17:Mi|≡TA?keyr

(21)

A18:Gj|≡TA?keyr

(22)

詳細(xì)步驟如下。

根據(jù)消息6,有

Mi?{V5,T4}

(23)

根據(jù)消息接收規(guī)則有

(24)

根據(jù)A15和消息含義規(guī)則有

(25)

根據(jù)消息新鮮性規(guī)則有

(26)

根據(jù)臨時(shí)值校驗(yàn)規(guī)則有

(27)

根據(jù)信念規(guī)則有

(28)

至此,目標(biāo)2證明完畢。

根據(jù)A13和管轄規(guī)則有

Mi|≡{KGj-mi,keyr,GMIDi,GIDj}

(29)

根據(jù)式會(huì)話密鑰規(guī)則有

(30)

至此,目標(biāo)1證明完畢。

根據(jù)消息1與消息6有

Gj?{GMIDi,GIDj,keyGj,keyr-Gj,V3,T3}

(31)

根據(jù)A12與消息含義規(guī)則有

Gj|≡TA|～{GMIDi,GIDj,fmi-Gj,keyr}

(32)

根據(jù)消息新鮮性規(guī)則有

Gj|≡TA|～#{GMIDi,GIDj,fmi-Gj,keyr}

(33)

根據(jù)臨時(shí)值校驗(yàn)規(guī)則有

Gj|≡TA|≡{GMIDi,GIDj,fmi-Gj,keyr}

(34)

根據(jù)A18和管轄規(guī)則有

Gj|≡{GMIDi,GIDj,fmi-Gj,keyr}

(35)

根據(jù)A16和消息含義原則有

Gj|≡Mi|～{GMIDi,GIDj,KGj-mi,keyr}

(36)

根據(jù)A2和臨時(shí)值驗(yàn)證規(guī)則有

Gj|≡Mi|≡{GMIDi,GIDj,KGj-mi,keyr}

(37)

根據(jù)A4、式(3.14)與會(huì)話密鑰規(guī)則有

(38)

至此,目標(biāo)3證明完畢。

根據(jù)消息接收規(guī)則有

(39)

根據(jù)臨時(shí)值驗(yàn)證規(guī)則有

(40)

至此,目標(biāo)4證明完畢。

最后得出結(jié)論,在本文提出的協(xié)議中,Mi與Gj分別與第三方TA進(jìn)行身份驗(yàn)證,并通過TA傳輸有效信息,產(chǎn)生會(huì)話密鑰SK。

3.2 安全性證明

本節(jié)利用eCK模型[16](擴(kuò)展CK模型,賦予敵手最強(qiáng)攻擊能力的安全模型)對(duì)本文方案進(jìn)行分析,具體分析由定理1及其證明給出。

定理1在隨機(jī)預(yù)言模型中,假設(shè)PPT敵手在時(shí)間t內(nèi)對(duì)協(xié)議P進(jìn)行查詢挑戰(zhàn),其中,包括qhSM3()查詢,qsSend()查詢,qeExecute()查詢。p為協(xié)議中選擇的大素?cái)?shù)。因此,有

(41)

(42)

(43)

GameG1:在本輪游戲中,將會(huì)模擬SM3 oracleHi(i=0,1,2)、PUF oraclesPUFD(PUFviorPUFrj)。

(44)

GameG2:在本輪游戲中,排除了G1模擬中發(fā)生碰撞的情況。碰撞發(fā)生情況分為2種:①直接進(jìn)行SM3查詢時(shí),輸出結(jié)果發(fā)生碰撞;②消息記錄{N1,N2,N3,N4}可能發(fā)生的碰撞。根據(jù)生日悖論,可知發(fā)生碰撞的概率是可忽略的。因此,有

Δ1=|Adv2(A)-Adv1(A)|≤

(45)

(46)

(47)

因此,有

(48)

(49)

(50)

(51)

綜合得出

6ECCDH+8puf

(52)

此處將本文方案與協(xié)議C-G方案[17]、M-H方案[18]、S-S方案[19]在安全屬性方面進(jìn)行比較,如表2所示。C-G方案未實(shí)現(xiàn)用戶匿名性,并只依賴于檢查隨機(jī)數(shù)來抵御重放攻擊。M-H方案中通過隨機(jī)數(shù)實(shí)現(xiàn)方案的匿名性,但由于參與消息驗(yàn)證的私密參數(shù)DIDi或DIDj直接存儲(chǔ)在硬件設(shè)備與CS的數(shù)據(jù)庫中,當(dāng)列表失竊時(shí),敵手可以順利偽裝為合法用戶。同理,該方案也不能抵擋側(cè)信道攻擊。S-S方案同樣未實(shí)現(xiàn)匿名性以及移動(dòng)終端不可追蹤性,并在該方案中,將認(rèn)證秘密信息存儲(chǔ)于防篡改設(shè)備中,具有一定安全隱患。

表2 安全特性對(duì)比Tab.2 Comparison of safety characteristics

3.3 性能分析

將本文方案與現(xiàn)有相似方案在計(jì)算開銷與通信開銷方面進(jìn)行對(duì)比,進(jìn)一步對(duì)所提方案進(jìn)行分析。

首先,將本文方案與C-G方案[17]、M-H方案[18]、S-S方案[19]和J-Z方案[20]進(jìn)行計(jì)算復(fù)雜度的對(duì)比,結(jié)果如表3所示,其中,Ta表示執(zhí)行橢圓曲線點(diǎn)加的計(jì)算時(shí)間,TPUF表示執(zhí)行PUF運(yùn)算的時(shí)間,TH表示執(zhí)行Hash函數(shù)的時(shí)間,Tbp表示雙線性配對(duì)的執(zhí)行時(shí)間,TSE表示執(zhí)行對(duì)稱加密的計(jì)算時(shí)間,TP表示執(zhí)行橢圓曲線的點(diǎn)乘運(yùn)算時(shí)間。本文方案以及J-Z方案、S-S方案主要采用的是Hash計(jì)算、點(diǎn)乘和PUF運(yùn)算,相對(duì)而言本方案所需的計(jì)算量更少,且目標(biāo)RSU所需要的計(jì)算量更少,可輕松應(yīng)對(duì)多移動(dòng)終端認(rèn)證的情況。C-G方案與M-H方案除上述運(yùn)算之外,還需要另外執(zhí)行非對(duì)稱加密以及雙線性配對(duì)操作,計(jì)算復(fù)雜度更高。

其次,基于模擬實(shí)驗(yàn)將提出方案與C-G方案[17]、M-H方案[18]、S-S方案[19]和J-Z方案[20]進(jìn)行計(jì)算耗時(shí)對(duì)比,結(jié)果如圖3所示。模擬實(shí)驗(yàn)采用了如下幾臺(tái)設(shè)備:筆記本電腦(華碩,英特爾i5-4200H 2.8 GHz 處理器、8 Gyte內(nèi)存、Windows 10 X64)模擬Mi;臺(tái)式電腦(AMD R7-1700X 3.8Gh處理器、16 Gyte內(nèi)存、Windows 10 64操作系統(tǒng))模擬算力強(qiáng)于Mi的目標(biāo)方。PUF模擬:在MSP430單片機(jī)上用798 mHz的CPU對(duì)128位仲裁器PUF電路進(jìn)行仿真。由于可信機(jī)構(gòu)TA/CCS算力強(qiáng)大,因此,第三方的計(jì)算時(shí)間不做對(duì)比,僅對(duì)比執(zhí)行時(shí)間較長的認(rèn)證雙方。

表3 計(jì)算復(fù)雜度對(duì)比Tab.3 Comparison of calculation complexity

圖3 計(jì)算開銷對(duì)比圖Fig.3 Comparison chat of computing overhead

最后比較了本文方案和C-G方案[17]、M-H方案[18]、S-S方案[19]和J-Z方案[20]的通信成本,結(jié)果如表4所示。

表4 通信開銷對(duì)比Tab.4 Comparison of communication expenses

假設(shè)身份、隨機(jī)數(shù)、PUF質(zhì)詢和響應(yīng)長度均為128 bits,哈希輸出結(jié)果為256 bits,時(shí)間戳長度為32 bits,橢圓曲線點(diǎn)的長度和雙線性映射結(jié)果均為512 bits,并使用|ID|、|PUF|、|H|、|P|、|T|、|bp|分別表示身份標(biāo)識(shí)符、PUF、Hash函數(shù)、橢圓曲線點(diǎn)乘結(jié)果、時(shí)間戳所需通信開銷和雙線性配對(duì)結(jié)果的長度。本文方案?jìng)鬏斚?|ID|+9|PUF|+8|H|+2|P|+6|T|=4 928 bits。與本文方案結(jié)構(gòu)模型類似的M-H的方案,傳輸消息包括3|ID|+6|H|+10|P|+5|T|=7 200 bits。而在C-G方案、S-S方案與J-Z方案中的3個(gè)方案,需要TA作為中轉(zhuǎn),進(jìn)而減少了部分通信開銷。在C-G方案中,傳輸消息包括5|ID|+4|H|+4|PUF|+6|bp|+5|P|=6 272 bits。在S-S方案中,傳輸消息的總計(jì)為3|ID|+4|P|+|T|=2 464 bits。在J-Z方案中,傳輸?shù)南?|ID|+10|H|+2|PUF|+|P|+6|T|=3 904 bits。但綜上所述,本方案在移動(dòng)終端稍微增加通信開銷的前提下實(shí)現(xiàn)了系統(tǒng)安全。

4 結(jié)束語

針對(duì)智能電網(wǎng)的高效認(rèn)證和隱私保護(hù)需求,提出了一種基于BS-PUF的智能電網(wǎng)移動(dòng)終端輕量級(jí)認(rèn)證方案。該方案采用橢圓曲線進(jìn)行構(gòu)造,有效降低了計(jì)算復(fù)雜度;通過BS-PUF實(shí)現(xiàn)認(rèn)證過程免存儲(chǔ)敏感認(rèn)證信息,提高了系統(tǒng)安全性;基于雙因素的認(rèn)證模式,保證了協(xié)議的可靠性;加入了口令離線更新機(jī)制,有效降低字典攻擊風(fēng)險(xiǎn)。最后,通過形式化安全證明及仿真實(shí)驗(yàn)分析表明,本文方案具有良好的安全性和實(shí)用性。