陳書儀，劉亞麗，林昌露，李 濤，董永權(quán)

（1. 江蘇師范大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇徐州 221116；2. 福建師范大學(xué)福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室，福建福州 350007；3.河南省網(wǎng)絡(luò)密碼技術(shù)重點(diǎn)實(shí)驗(yàn)室，河南鄭州 450001）

1 引言

物聯(lián)網(wǎng)（the Internet of Things，IoT）是一種新型的網(wǎng)絡(luò)技術(shù)，它將各種信息傳感設(shè)備與互聯(lián)網(wǎng)相結(jié)合形成一個(gè)巨大的網(wǎng)絡(luò)，實(shí)現(xiàn)在任何時(shí)間、任何地點(diǎn)，人與設(shè)備的互聯(lián)互通. 物聯(lián)網(wǎng)中的任何一個(gè)設(shè)備可以定義為一個(gè)虛擬節(jié)點(diǎn)或物理節(jié)點(diǎn)，所有節(jié)點(diǎn)通過網(wǎng)絡(luò)相互連接并交換信息. 如圖1 所示，物聯(lián)網(wǎng)通常具有3 層架構(gòu)［1，2］，包括傳感層、網(wǎng)絡(luò)層和應(yīng)用層. 傳感層由具有各種傳感能力的物聯(lián)網(wǎng)節(jié)點(diǎn)組成；網(wǎng)絡(luò)層將傳感器的數(shù)據(jù)傳輸?shù)椒?wù)器；應(yīng)用層將傳感層得到的數(shù)據(jù)進(jìn)行處理，并實(shí)現(xiàn)具體的應(yīng)用. 物聯(lián)網(wǎng)節(jié)點(diǎn)之間通過開放信道實(shí)現(xiàn)交互，而開放的信息交互存在安全和隱私泄露問題. 目前，身份認(rèn)證是解決這些問題的關(guān)鍵技術(shù)之一.

圖1 物聯(lián)網(wǎng)的3層架構(gòu)

身份認(rèn)證在物聯(lián)網(wǎng)中具有廣泛的應(yīng)用. 張順等人［3］提出了一種無線體域網(wǎng)（Wireless Body Area Network，WBAN）場(chǎng)景下的認(rèn)證方案，該方案使用橢圓曲線技術(shù)實(shí)現(xiàn)了用戶和醫(yī)療中心的相互認(rèn)證.Fouda 等人［4］提出了一種面向智能電網(wǎng)的認(rèn)證方案，該方案使用聯(lián)合會(huì)話密鑰和哈希函數(shù)實(shí)現(xiàn)了分布式智能電表和智能設(shè)備之間的相互認(rèn)證. 房衛(wèi)東等人［5］在無線傳感器網(wǎng)絡(luò)（Wireless Sensor Network，WSN）場(chǎng)景下，使用生物特征標(biāo)識(shí)技術(shù)實(shí)現(xiàn)了用戶和傳感器節(jié)點(diǎn)之間的雙向認(rèn)證. 張文芳等人［6］在車聯(lián)網(wǎng)（Vehicular Ad Hoc Network，VANET）場(chǎng)景下提出一種基于無證書聚合簽名的匿名認(rèn)證與密鑰協(xié)商方案. 李濤等人［7］提出了一種基于雙物理不可克隆函數(shù)（Physical Unclonable Function，PUF）的無線射頻識(shí)別（Radio Frequency Identification，RFID）認(rèn)證方案，實(shí)現(xiàn)閱讀器與標(biāo)簽的雙向認(rèn)證.

大多數(shù)物聯(lián)網(wǎng)認(rèn)證方案是節(jié)點(diǎn)之間一對(duì)一的認(rèn)證方案，節(jié)點(diǎn)之間通過交互來驗(yàn)證身份信息. 然而這種認(rèn)證方案并不適用于物聯(lián)網(wǎng). 一方面，物聯(lián)網(wǎng)節(jié)點(diǎn)內(nèi)存小、功耗低的特性無法支持較大的通信開銷和復(fù)雜的計(jì)算；另一方面，物聯(lián)網(wǎng)的節(jié)點(diǎn)數(shù)量越來越多，認(rèn)證服務(wù)器無法同時(shí)處理大量的認(rèn)證請(qǐng)求. 越來越多的物聯(lián)網(wǎng)應(yīng)用需要有效地對(duì)大量節(jié)點(diǎn)進(jìn)行認(rèn)證，這種應(yīng)用場(chǎng)景需要一種新型的身份認(rèn)證方案，能夠同時(shí)一次驗(yàn)證一組節(jié)點(diǎn)的合法性，以節(jié)省成本和提高效率. 因此，需要設(shè)計(jì)面向物聯(lián)網(wǎng)的輕量級(jí)群組認(rèn)證方案.

群組認(rèn)證［8］是單個(gè)或多個(gè)驗(yàn)證者對(duì)一組成員的身份進(jìn)行認(rèn)證. 在物聯(lián)網(wǎng)場(chǎng)景下，群組認(rèn)證可以實(shí)現(xiàn)一次對(duì)一組節(jié)點(diǎn)的認(rèn)證，群組認(rèn)證模型相較于傳統(tǒng)認(rèn)證模型，更加適用于海量認(rèn)證請(qǐng)求的物聯(lián)網(wǎng)場(chǎng)景，它可以有效地解決節(jié)點(diǎn)資源受限的問題. 因此研究物聯(lián)網(wǎng)場(chǎng)景下的群組認(rèn)證方案對(duì)于解決目前物聯(lián)網(wǎng)中群體身份認(rèn)證問題具有重要的研究意義和實(shí)踐價(jià)值.

在實(shí)現(xiàn)群組認(rèn)證的方法中，Shamir秘密共享技術(shù)［9］是一種高效、低代價(jià)的方法.Harn［8］的方案將Shamir 秘密共享技術(shù)應(yīng)用于群組認(rèn)證上，相比于傳統(tǒng)的認(rèn)證方案，不需要每個(gè)節(jié)點(diǎn)之間進(jìn)行一對(duì)一的認(rèn)證，節(jié)約了計(jì)算和通信代價(jià). 然而Ahmadian 等人［10］指出Harn 的方案是不安全的，攻擊者可以通過線性子空間攻擊來偽造一個(gè)有效的認(rèn)證令牌，而不用恢復(fù)任何多項(xiàng)式，攻擊者可以在不被檢測(cè)到的情況下模擬一個(gè)組成員，從而通過身份認(rèn)證. 隨后，Chien［11］提出了一種基于雙線性配對(duì)的群組認(rèn)證方案，該方案的安全性基于橢圓曲線離散對(duì)數(shù)困難問題，每一輪群組認(rèn)證都使用不同的本原元加密私鑰，避免了群組認(rèn)證過程中受到重放攻擊.然而，Xia 等人［12］指出該方案無法抵抗偽造攻擊，由于拉格朗日系數(shù)公開可計(jì)算，攻擊者可以通過修改認(rèn)證令牌中的拉格朗日系數(shù)來生成一個(gè)新的有效令牌.Aydin 等人［13］在Harn 和Chien 的群組認(rèn)證方案基礎(chǔ)上，提出了一種輕量的群組認(rèn)證方案；在群組認(rèn)證時(shí)，組成員只進(jìn)行簡(jiǎn)單的累加運(yùn)算，具有較低的計(jì)算開銷，但是該方案仍無法抵抗偽造攻擊，攻擊者可以修改認(rèn)證令牌中的拉格朗日系數(shù)來重構(gòu)一個(gè)新的有效令牌從而通過群組認(rèn)證，而無須破解橢圓曲線離散對(duì)數(shù)困難問題，同時(shí)，該方案無法抵抗重放攻擊，攻擊者可以重放合法組成員的認(rèn)證令牌從而通過下一輪的群組認(rèn)證. 隨后，Xia 等人［12］提出使用匿名否決網(wǎng)絡(luò)算法（Anonymous Veto Networks，AV-net）解決令牌被篡改的問題，然而他的方案沒有考慮群組管理者欺騙的問題，群組管理者可能分發(fā)錯(cuò)誤的私鑰導(dǎo)致組成員無法通過群組認(rèn)證，同時(shí)，該方案在群組認(rèn)證階段使用雙線性配對(duì)，耗費(fèi)了更多的計(jì)算代價(jià).

綜合現(xiàn)有的群組認(rèn)證方案，現(xiàn)有研究工作存在以下問題.

（1）現(xiàn)有大多數(shù)的群組認(rèn)證方案計(jì)算代價(jià)高，無法適用于資源受限的物聯(lián)網(wǎng)場(chǎng)景. 物聯(lián)網(wǎng)傳感層的節(jié)點(diǎn)往往具有有限的內(nèi)存、嚴(yán)格的能量限制，而且處理能力非常有限. 因此，在身份認(rèn)證過程中，應(yīng)該盡可能減少物聯(lián)網(wǎng)節(jié)點(diǎn)上的計(jì)算開銷.

（2）現(xiàn)有大多數(shù)的基于秘密共享技術(shù)的群組認(rèn)證方案無法抵抗偽造攻擊，攻擊者可以通過修改認(rèn)證令牌中的拉格朗日系數(shù)來偽造一個(gè)合法令牌，從而通過群組認(rèn)證.

（3）現(xiàn)有大多數(shù)的群組認(rèn)證方案無法抵抗重放攻擊. 在物聯(lián)網(wǎng)場(chǎng)景下，物聯(lián)網(wǎng)節(jié)點(diǎn)之間通信的延時(shí)可能導(dǎo)致群組認(rèn)證未能一次通過，如果物聯(lián)網(wǎng)節(jié)點(diǎn)再次進(jìn)行群組認(rèn)證，攻擊者可以截取上一輪的認(rèn)證令牌進(jìn)行重放，從而通過群組認(rèn)證.

（4）現(xiàn)有群組認(rèn)證方案均沒有考慮群組管理者欺騙的問題，組成員全盤接受群組管理者分發(fā)的私鑰. 在物聯(lián)網(wǎng)場(chǎng)景下，群組管理者可能是網(wǎng)關(guān)或者其他具有高計(jì)算能力、高存儲(chǔ)能力的物聯(lián)網(wǎng)節(jié)點(diǎn)，然而，這些群組管理者可能給予部分合法組成員錯(cuò)誤的私鑰，導(dǎo)致這些組成員始終無法通過群組認(rèn)證.

在物聯(lián)網(wǎng)場(chǎng)景下，節(jié)點(diǎn)往往是動(dòng)態(tài)變化的，新節(jié)點(diǎn)可以加入網(wǎng)絡(luò)，舊節(jié)點(diǎn)可以離開網(wǎng)絡(luò). 例如：在無線體域網(wǎng)場(chǎng)景下，人體攜帶的醫(yī)學(xué)傳感器作為一組物聯(lián)網(wǎng)節(jié)點(diǎn)，根據(jù)病人的需求動(dòng)態(tài)變化［14］；在車聯(lián)網(wǎng)的場(chǎng)景下，同一區(qū)域的車作為一組物聯(lián)網(wǎng)節(jié)點(diǎn)，會(huì)駛?cè)牖蝰偝霎?dāng)前區(qū)域［15］. 然而，文獻(xiàn)［11～13］的群組認(rèn)證方案尚未考慮節(jié)點(diǎn)加入和撤出的情況，當(dāng)節(jié)點(diǎn)動(dòng)態(tài)變化時(shí)，新節(jié)點(diǎn)可以使用分配的私鑰通過群組認(rèn)證，撤出的節(jié)點(diǎn)無法利用原有的私鑰通過群組認(rèn)證，所以群組管理者需要更新節(jié)點(diǎn)的私鑰以實(shí)現(xiàn)權(quán)限的分配或撤銷.

綜上所述，設(shè)計(jì)一種適用于物聯(lián)網(wǎng)場(chǎng)景的、輕量的、安全的、可驗(yàn)證的、支持組成員動(dòng)態(tài)變化的群組認(rèn)證方案是亟待解決的問題.

為了解決現(xiàn)有群組認(rèn)證方案存在的以上問題，本文提出了一種面向物聯(lián)網(wǎng)的輕量級(jí)可驗(yàn)證群組認(rèn)證方案. 本文的主要貢獻(xiàn)如下.

（1）本文創(chuàng)新性地在物聯(lián)網(wǎng)場(chǎng)景下將私鑰可驗(yàn)證思想應(yīng)用于群組認(rèn)證方案，對(duì)群組管理者分發(fā)的私鑰進(jìn)行驗(yàn)證，有效地防止了群組管理者的欺騙行為.

（2）本文提出了一種基于秘密共享技術(shù)的輕量級(jí)群組身份認(rèn)證方案，克服了一對(duì)一身份認(rèn)證存在的局限性，可以用于物聯(lián)網(wǎng)分散式的群組身份認(rèn)證場(chǎng)景.

（3）本文支持組成員的動(dòng)態(tài)加入和撤出，群組管理者動(dòng)態(tài)地更新私鑰以實(shí)現(xiàn)組成員權(quán)限的分配或撤銷，而不需要為組內(nèi)所有組成員重新分配私鑰.

（4）本文方案滿足正確性、機(jī)密性，并且可以抵抗偽造、重放、冒充等惡意攻擊，具有較好的安全性.

（5）與現(xiàn)有典型的群組認(rèn)證方案相比，本文方案具有較低的計(jì)算開銷，滿足資源受限節(jié)點(diǎn)的輕量級(jí)群組認(rèn)證的需求. 更加適用于海量認(rèn)證請(qǐng)求的物聯(lián)網(wǎng)場(chǎng)景.

2 準(zhǔn)備工作

本節(jié)主要介紹本文方案所使用的理論基礎(chǔ)，并且給出了本文方案的安全性定義.

2.1 理論基礎(chǔ)

定義1（Shamir秘密共享方案［9］）秘密共享方案包含n個(gè)組成員{U1，U2，…，Un}和秘密擁有者D.D將秘密分發(fā)給n個(gè)組成員，至少k(k≤n)個(gè)組成員可以恢復(fù)秘密，其中k是恢復(fù)秘密的門限. 方案的具體步驟如下.

（1）初始化階段.在有限域Zq（q為大素?cái)?shù)）上，D選擇一個(gè)(k-1)次的多項(xiàng)式s作為秘密存儲(chǔ)在第一個(gè)系數(shù)a0中.

（2）秘密分發(fā)階段.秘密的擁有者根據(jù)組成員Ui的公開身份信息xi計(jì)算si=f(xi)(modq)作為組成員Ui的秘密份額，并把si通過秘密信道分發(fā)給組成員Ui，其中1 ≤i≤n.

（3）秘密重構(gòu)階段.當(dāng)組成員想要恢復(fù)秘密s，他們只需k個(gè)組成員的秘密份額便可以重構(gòu)出多項(xiàng)式f(x)=其中進(jìn)一步可以得到秘密s=f(0)=a0.

在此方案中，素?cái)?shù)q需要大于秘密s和組成員總數(shù)n并且公開，而隨機(jī)選擇的多項(xiàng)式系數(shù)a1，a2，…，ak-1是秘密信息，需要保密，在生成n個(gè)秘密份額后銷毀.

定義2（雙線性配對(duì)［16］）雙線性配對(duì)滿足映射e(·)：G1×G2→GT，其中G1和G2是階為q的加法循環(huán)群，GT是階為q的乘法循環(huán)群，雙線性配對(duì)滿足如下3 個(gè)性質(zhì).

（1）雙 線 性.對(duì) 于P1，P2∈G1，Q∈G2且a，b∈Zq，存在.

（2）非 退 化 性.對(duì) 于 任 意 點(diǎn)P∈G1，Q∈G2，有e(P，Q)≠1，反之亦然.

（3）可計(jì)算性.在多項(xiàng)式時(shí)間內(nèi)，對(duì)于所有(P，Q)∈G1×G2，e(P，Q)的值是可有效計(jì)算的.

2.2 安全性定義

在文獻(xiàn)［12］的基礎(chǔ)上，本節(jié)給出可驗(yàn)證群組認(rèn)證方案安全性證明的相關(guān)定義.

定義3（敵手模型）本文假設(shè)敵手分為內(nèi)部敵手AI和外部敵手AO，敵手的具體定義如下.

（1）內(nèi)部敵手AI假設(shè)參與群組認(rèn)證的人數(shù)為m，k≤m≤n，其中k是群組認(rèn)證人數(shù)的門限值，n是組成員數(shù)量，內(nèi)部敵手AI最多控制k-1個(gè)組成員，AI可以獲得這些組成員的私鑰和秘密信息，它的目的是獲取未被控制組成員的私鑰并且偽造認(rèn)證令牌通過群組認(rèn)證.

（2）外部對(duì)手AO外部敵手AO不擁有任何組成員的有效私鑰，它的目的是在未被檢測(cè)到的情況下冒充組成員.

定義4（通信模型）本文假設(shè)群組管理者（Group Mananger，GM）和每個(gè)組成員之間存在一個(gè)安全的信道，以便私鑰可以安全地分發(fā)而不會(huì)泄露，并且假設(shè)組成員都可以連接到一個(gè)廣播頻道，通過這個(gè)頻道發(fā)送的任何消息都可以在某些特定的時(shí)間范圍內(nèi)被其他組成員聽到.

定義5（可驗(yàn)證群組認(rèn)證模型）一個(gè)可驗(yàn)證群組認(rèn)證模型包括5 種算法：初始化算法Init(λ)、私鑰分發(fā)算法Dist({xi}i∈[1，n])、私鑰驗(yàn) 證算法Veri(si，params)、認(rèn)證令牌生成算法Comp(params，φ，{xi}i∈[1，m]，si)和群組認(rèn)證算法Auth(params，{ci，riP}i∈[1，m]).

（1）Init(λ)初始化算法由GM 運(yùn)行. 以安全參數(shù)λ作為輸入，系統(tǒng)參數(shù)params作為輸出.

（2）Dist({xi}i∈[1，n])私鑰分發(fā)算法由GM 運(yùn)行. 以組成員公開身份信息集合{xi}i∈[1，n]作為輸入，輸出組成員私鑰集合{si}i∈[1，n]，并通過安全信道發(fā)送給組成員.

（3）Veri(si，params)私鑰驗(yàn)證算法由每個(gè)組成員運(yùn)行. 將組成員私鑰si和系統(tǒng)參數(shù)params作為輸入，如果私鑰驗(yàn)證成功，則輸出1，否則輸出0.

（4）Comp(params，φ，{xi}i∈[1，m]，si)認(rèn)證令牌生成算法由每個(gè)參與群組認(rèn)證的組成員運(yùn)行. 假設(shè)參與群組認(rèn)證的組成員為{U1，U2，…，Um}，將系統(tǒng)參數(shù)params、會(huì)話索引φ、參與群組認(rèn)證組成員的公開身份信息集合{xi}i∈[1，m]和私鑰si作為輸入，輸出認(rèn)證令牌{ci，riP}.

（5）Auth(params，{ci，riP}i∈[1，m])群組認(rèn)證算法由每個(gè)參與群組認(rèn)證的組成員運(yùn)行. 將系統(tǒng)參數(shù)params 和一組認(rèn)證令牌{ci，riP}i∈[1，m]作為輸入，如果群組認(rèn)證成功，則輸出1，否則輸出0.

針對(duì)上述所定義的可驗(yàn)證群組認(rèn)證模型，要求其滿足以下正確性和安全性要求.

（1）正確性.如果參與群組認(rèn)證的組成員為{U1，U2，…，Um}，并且他們都是合法的組成員，則群組認(rèn)證通過. 形式上，如果滿足

群組認(rèn)證方案具有正確性. 在上述表達(dá)式中，Pr(X)表示事件X發(fā)生的概率.

（2）機(jī)密性.內(nèi)部敵手AI無法在群組認(rèn)證過程中獲得未被控制的組成員的任何秘密信息. 形式上，如果滿足

群組認(rèn)證方案具有機(jī)密性. 在上述表達(dá)式中，ViewAI(Realχ(λ，params))表示在實(shí)際運(yùn)行方案χ中內(nèi)部敵手AI的視圖，而ViewAI(SIMS(λ，params))表示以公共信息為輸入的模擬機(jī)S模擬的方案中AI的視圖，ε(λ)表示關(guān)于參數(shù)λ的可忽略的函數(shù).

（3）不可偽造性. 內(nèi)部敵手AI無法偽造認(rèn)證令牌通過群組認(rèn)證. 形式上，如果滿足

群組認(rèn)證方案具有不可偽造性. 在上述表達(dá)式中，UA表示由AI控制的組成員集合，滿足UA?U且|UA| ≤k-1.R表示用于請(qǐng)求群組認(rèn)證服務(wù)的模擬機(jī)，Z表示已請(qǐng)求會(huì)話的索引集合，ε(λ)表示關(guān)于參數(shù)λ的可忽略的函數(shù).

（4）不可冒充性.外部敵手AO無法冒充一個(gè)組成員. 形式上，如果滿足

群組認(rèn)證方案具有不可冒充性. 在上述表達(dá)式中，假定AO冒充組成員Uμ，μ?[1，m].

定義6（橢圓曲線離散對(duì)數(shù)困難問題［16］）假設(shè)E是有限域Zq上的橢圓曲線，Q，P是E上的點(diǎn)，滿足Q=kP，k∈Zq，則橢圓曲線離散對(duì)數(shù)困難問題是指：給定Q，P，求解出k是困難的.

3 本文方案

為了解決群組管理者由分發(fā)不合法私鑰給組成員而導(dǎo)致組成員群組認(rèn)證失敗的問題以及滿足資源受限的物聯(lián)網(wǎng)節(jié)點(diǎn)的群組認(rèn)證需求，本文提出一種面向物聯(lián)網(wǎng)的輕量級(jí)可驗(yàn)證群組認(rèn)證方案（Group Authentication Scheme with Verifiable Private Key，GASVPK）.

3.1 系統(tǒng)模型

群組認(rèn)證系統(tǒng)模型如圖2 所示. 系統(tǒng)模型包含兩種類型成員：群組管理者（Group Mananger，GM）和組成員.GM 負(fù)責(zé)設(shè)置以及更新系統(tǒng)參數(shù)，并通過秘密信道為組成員分發(fā)私鑰. 組成員通過無線信道通信，驗(yàn)證其他組成員的身份. 在物聯(lián)網(wǎng)場(chǎng)景下，GM可以是服務(wù)器、網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)施，組成員可以是智能電表、智能家居、智能穿戴等物聯(lián)網(wǎng)設(shè)備.

圖2 群組認(rèn)證系統(tǒng)模型

本文提出的GASVPK 方案假設(shè)GM 的身份是真實(shí)的，但是GM 可能欺騙某些組成員而分發(fā)錯(cuò)誤的私鑰，因此需要組成員在GM分發(fā)私鑰后驗(yàn)證私鑰的有效性.假設(shè)參與群組認(rèn)證的人數(shù)為m，k≤m≤n，k是群組認(rèn)證人數(shù)的門限，n是組成員的數(shù)量. 在群組認(rèn)證階段，GASVPK 方案最多可以容忍k-1 個(gè)內(nèi)部組成員相互勾結(jié).

3.2 GASVPK方案

GASVPK 方案分為以下6 個(gè)階段：初始化階段、私鑰分發(fā)階段、私鑰驗(yàn)證階段、認(rèn)證令牌生成階段、群組認(rèn)證階段和組成員動(dòng)態(tài)變化階段. GASVPK 方案的流程如圖3所示.

圖3 GASVPK方案流程圖

（1）初始化階段

輸入安全參數(shù)λ，GM選擇兩個(gè)階為大素?cái)?shù)q的加法循環(huán)群G1，G2和一個(gè)階為q的乘法循環(huán)群GT，P和R分別 是G1和G2的 生 成 元，選 擇 雙 線 性 配 對(duì)e(·)：G1×G2→GT，選擇一個(gè)k-1 次的秘密多項(xiàng)式f(x)=a0+a1x+…+ak-1xk-1(modq)，令秘密信息s=a0，計(jì)算Q=sP，vj=e(ajP，R)，j=0，1，…，k-1，選 擇 哈 希 函 數(shù)h(·)：{0，1}*→Zq，選 擇GM 的 公 私 鑰 對(duì){pkGM，skGM}，公 開參數(shù)

params=(G1，G2，GT，Q，R，P，{vj}j∈[0，k-1]，h(·)，e(·)，pkGM)

（2）私鑰分發(fā)階段

假設(shè)組U有n個(gè)組成員{U1，U2，…，Un}，群組管理者GM 根據(jù)組成員的公開身份信息xi計(jì)算si=f(xi)作為組成員的私鑰，并通過秘密信道將私鑰分發(fā)給組成員Ui，其中i=1，2，…，n.

（3）私鑰驗(yàn)證階段

組成員Ui在收到GM 分配的私鑰si后，驗(yàn)證等式是否成立以驗(yàn)證私鑰si是否有效. 如果等式成立，則接受私鑰si；如果等式不成立，則重新向GM請(qǐng)求私鑰si.

（4）認(rèn)證令牌生成階段

①GM 向組內(nèi)發(fā)送消息sigskGM(requestU，φ，t)，其中requestU是GM向組U發(fā)起的群組認(rèn)證請(qǐng)求，φ是當(dāng)前會(huì)話序號(hào)，t是接收時(shí)間的閾值，sigskGM(·)為GM 對(duì)消息的簽名. 隨后，GM更新會(huì)話序號(hào)φ.

②組成員使用pkGM驗(yàn)證GM 的簽名，驗(yàn)證成功則進(jìn)行第φ次會(huì)話. 假設(shè)參與群組認(rèn)證的組成員為{U1，U2，…，Um}，每 個(gè) 參 與 群 組 認(rèn) 證 的 組 成 員Ui(i=1，2，…，m)在組內(nèi)廣播zi=xi‖φ作為應(yīng)答消息.

③在t時(shí)間內(nèi)接收到應(yīng)答消息后，每個(gè)參與群組認(rèn)證的組成員Ui計(jì)算當(dāng)前會(huì)話標(biāo)識(shí)T=h(x1‖…‖xm‖φ)，選擇隨機(jī)數(shù)ri∈Zq，計(jì)算拉格朗日系數(shù)計(jì)算認(rèn)證令牌ci=si μiT+ri和riP，公開認(rèn)證令牌{ci，riP}.

（5）群組認(rèn)證階段

當(dāng)組成員Ui(i=1，2，…，m)在t時(shí)間內(nèi)收到其他組成員公開的認(rèn)證令牌，每個(gè)組成員驗(yàn)證等式是否成立以驗(yàn)證其他組成員的身份. 如果等式成立，則群組認(rèn)證通過；如果等式不成立，則群組認(rèn)證失敗，重新進(jìn)行下一輪群組認(rèn)證.

（6）組成員動(dòng)態(tài)變化階段

組成員動(dòng)態(tài)變化階段，組成員可以動(dòng)態(tài)地加入和撤出群組，GM 需要更新組成員的私鑰以分配或撤銷組成員的權(quán)限. 在下一輪群組認(rèn)證時(shí)，新加入的組成員可以使用分配的私鑰通過群組認(rèn)證，撤出的組成員無法利用原有的私鑰通過群組認(rèn)證.

①組成員加入

（a）假設(shè)Un+1想要加入組U={U1，U2，…，Un}，GM根據(jù)Un+1的公開身份信息xn+1計(jì)算sn+1=f(xn+1)作為組成員私鑰，并通過秘密信道將私鑰分發(fā)給Un+1.

（b）Un+1在收到GM 分配的私鑰sn+1后，驗(yàn)證等式是否成立以驗(yàn)證私鑰sn+1是否有效. 如果等式成立，則接受私鑰sn+1；如果等式不成立，則重新向GM請(qǐng)求私鑰sn+1.

②組成員撤出

（a）假設(shè)Un想要撤出組U={U1，U2，…，Un}，GM 選擇隨機(jī)數(shù)h∈Zq，更新秘密多項(xiàng)式f(x)和v1為

（b）群組管理者GM 通過秘密信道將h發(fā)送給組成員Ui，i=1，2，…，n-1，Ui驗(yàn)證等式v1e(hP，R)=v1'是否成立. 如果等式成立，則接受h；如果等式不成立，則重新向GM 請(qǐng)求h. 然后組成員Ui，i=1，2，…，n-1，更新私鑰si'=si+hxi.

組成員動(dòng)態(tài)地加入和撤出后，可以進(jìn)行群組認(rèn)證，具體步驟與階段（4）和階段（5）相似，此處就不再贅述.

4 GASVPK方案安全性證明和分析

本節(jié)將對(duì)GASVPK 方案的正確性、機(jī)密性、不可偽造性、不可冒充性做出形式化安全性證明，并且分析了方案可以抵抗重放攻擊和抵抗群組管理者欺騙.GASVPK 方案的安全性基于橢圓曲線離散對(duì)數(shù)困難問題［16］.

4.1 安全性證明

定理1GASVPK方案滿足正確性.

證明如果n個(gè)組成員中參與群組認(rèn)證的組成員為{U1，U2，…，Um}，k≤m≤n，k是群組認(rèn)證人數(shù)的門限.根據(jù)拉格朗日插值定理，秘密值，其中是拉格朗日系數(shù)，組成員的令牌ci=si μiT+ri，可以得到

假設(shè)Un+1加入組U={U1，U2，…，Un}，如果參與群組認(rèn)證的組成員為{U1，U2，…，Um，Un+1}，k-1 ≤m≤n.根據(jù)拉格朗日插值定理，秘密值sn+1μn+1，其中是拉格朗日系數(shù)，組成員的令牌ci=si μiT+ri，同理可以驗(yàn)證公式TQ成立.

假設(shè)Un撤出組U={U1，U2，…，Un}，如果參與群組認(rèn)證的組成員為{U1，U2，…，Um}，k≤m≤n-1. 組成 員Ui(i=1，2，…，m)的私鑰si'=f'(xi)=f(xi)+hxi，根據(jù)拉格朗日插值定理，秘密值，其 中μi=是拉格朗日系數(shù)，組成員的令牌ci'=si'μiT+ri，同理可以驗(yàn)證公式成立.

證畢.

定理2GASVPK方案滿足機(jī)密性.

證明設(shè)Realχ(λ，params)為實(shí)際運(yùn)行的方案χ，SIMS(λ，params)為一個(gè)把公開信息作為輸入的模擬機(jī)S模擬的方案，定理2 的證明由引理1 推出，兩種運(yùn)行方案如下.

（1）Realχ(λ，params)

①初始化階段

GM生成并輸出公開參數(shù)：

②私鑰分發(fā)階段

GM 計(jì)算私鑰si=f(xi)并且通過秘密信道發(fā)送給組成員. 假定內(nèi)部敵手AI至多知道k-1 個(gè)組成員的私鑰{s1，s2，…，sk-1}.

③私鑰驗(yàn)證階段

④認(rèn)證令牌生成階段

假設(shè)n個(gè)組成員中參與群組認(rèn)證的組成員為{U1，U2，…，Um}，k≤m≤n. 在第φ次會(huì)話中，每個(gè)參與群組認(rèn)證的組成員Ui選擇隨機(jī)數(shù)ri∈Zq，計(jì)算會(huì)話標(biāo)識(shí)T=h(x1‖…‖xm‖φ)和拉格朗日系，計(jì)算并公開認(rèn)證令牌ci=si μiT+ri和riP. 在這個(gè)階段，內(nèi)部敵手AI知道k-1 個(gè)組成員的私鑰{s1，s2，…，sk-1}、隨機(jī)數(shù)和所有公開的信息.

⑤群組認(rèn)證階段

（2）SIMS(λ，params)

①初始化階段模擬機(jī)S輸出公開參數(shù)：

②私鑰分發(fā)階段

S發(fā)送k-1 個(gè)組成員的私鑰{s1，s2，…，sk-1}給內(nèi)部敵手AI.

③私鑰驗(yàn)證階段

④認(rèn)證令牌生成階段

假設(shè)n個(gè)組成員中參與群組認(rèn)證的組成員為{U1，U2，…，Um}，k≤m≤n. 在 第φ次 會(huì) 話 中，S發(fā) 送{r1，r2，…，rk-1}給AI，然后S從Zq上隨機(jī)選擇選擇m-k個(gè)值{ck'，ck+1'，…，cm-1'}，計(jì)算cm'滿足公式公 開 認(rèn) 證 令 牌{c1，…，ck-1，ck'，…，cm'} 和

⑤群組認(rèn)證階段

證畢.

引理1如果存在內(nèi)部敵手AI，他能夠至多進(jìn)行Q次嘗試，并且能以不可忽略的概率ε區(qū)分出兩種運(yùn)行方案，則存在一種算法能夠以的優(yōu)勢(shì)解決橢圓曲線上離散對(duì)數(shù)困難問題.

證明如果存在內(nèi)部敵手AI，他能夠區(qū)分出兩種運(yùn)行方案，則他能夠區(qū)分出{ck，…，cm}和{ck'，…，cm'}，由于ci=si μiT+ri，則他能夠區(qū)分出兩種運(yùn)行方案的概率等同于AI可以獲得si和ri的值的概率，其中i=k，…，m.下面來計(jì)算AI可以獲得si和ri的概率.

根據(jù)拉格朗日插值定理，只有私鑰的個(gè)數(shù)不小于門限值k才可以重構(gòu)多項(xiàng)式，進(jìn)而獲得其他組成員的私鑰.AI至多知道k-1個(gè)私鑰{s1，s2，…，sk-1}，則他至少需要猜出多項(xiàng)式上一個(gè)點(diǎn)值，由于點(diǎn)值在Zq上是隨機(jī)分布的，所以AI猜出一個(gè)點(diǎn)值的概率約為1/q，所以，AI獲得si的值的概率至多為1/q. 假設(shè)AI能以ε'的概率解決橢圓曲線上離散對(duì)數(shù)困難問題，給定(P，riP)為群G1上離散對(duì)數(shù)困難問題的一個(gè)實(shí)例，AI能以ε'的概率求出ri的值，則AI獲得ri的值的概率為ε'.

綜上所述，AI可以獲得si和ri的概率ε≤ε'Q/q，其中Q是AI嘗試的次數(shù). 所以，AI可以區(qū)分出兩種運(yùn)行方案的概率ε≤ε'Q/q. 可以推出，AI解決橢圓曲線上離散對(duì)數(shù)困難問題的概率ε'≥εQ/q，其中ε為一個(gè)不可忽略的概率.

AI能以一個(gè)不可忽略的概率解決橢圓曲線上離散對(duì)數(shù)困難問題，這與定義6中的橢圓曲線上的離散對(duì)數(shù)困難性假設(shè)矛盾，所以AI無法區(qū)分出Realχ(λ，params)和SIMS(λ，params)，可以得到

其中，ε(λ)表示關(guān)于參數(shù)λ的可忽略的函數(shù). 因此，由定義5的安全性要求可知，GASVPK方案滿足機(jī)密性.

定理3GASVPK方案滿足不可偽造性.

證明假定X事件是指AI能夠從公開參數(shù)中預(yù)測(cè)出s，Y事件是指AI能夠通過詢問模擬機(jī)得知一些秘密信息，F(xiàn)事件是指成功偽造出未被控制組成員的認(rèn)證令牌，可以得到

首先，基于離散對(duì)數(shù)困難問題假設(shè)，可以得到Pr[X]＜ε1(λ)，其中，ε1(λ)表示關(guān)于參數(shù)λ的可忽略的函數(shù). 其次，定理2 證明了協(xié)議滿足機(jī)密性，不會(huì)泄露任何秘密信息給AI，且即使AI查詢模擬機(jī)多項(xiàng)式次數(shù)，他也不會(huì)知道任何秘密信息. 因此，可以得到，Pr[Y]＜ε2(λ)，ε2(λ)表示關(guān)于參數(shù)λ的可忽略的函數(shù). 最后，分析在這種情況，為了偽造出未被控制組成員的認(rèn)證令牌，AI需要猜出s，因?yàn)閟在Zq上是隨機(jī)分布的，所以AI猜出s的可能性為1/q，且AI可以嘗試多項(xiàng)式次數(shù)，可以得到，其中Q是AI嘗試的次數(shù). 綜合以上分析，可以得到

其中，ε(λ)表示關(guān)于參數(shù)λ的可忽略的函數(shù). 因此，由定義5 的安全性要求可知，GASVPK 方案滿足不可偽造性.

定理4GASVPK方案滿足不可冒充性.

證明假定X事件是指AO能夠從公開參數(shù)中預(yù)測(cè)出s和ri，i=1，…，m，F(xiàn)事 件 是 指AO成 功 冒 充 組 成 員Uμ，μ?[1，m]且不被發(fā)現(xiàn)，可以得到

首先，基于離散對(duì)數(shù)困難問題假設(shè)，可以得到Pr[X]＜ε1(λ)，其中，ε1(λ)表示關(guān)于參數(shù)λ的可忽略的函數(shù). 然后，分析Pr[F|Xˉ]的概率. 在這種情況下，AO需要輸 出 一 個(gè) 令 牌cμ滿 足{ci}i∈[1，m]是AO已知的其他參與者的認(rèn)證令牌集合，因?yàn)閟，ri在Zq上是隨機(jī)分布的，所以AO猜出的可能性為1/q，且AO可以嘗試多項(xiàng)式次數(shù)，可以得到其中Q是AO嘗試的次數(shù). 綜合以上分析，可以得到Pr[F]＜ε1(λ)+Q/q＜ε(λ)，其中，ε(λ)表示關(guān)于參數(shù)λ的可忽略的函數(shù). 因此，由定義5 的安全性要求可知，GASVPK方案滿足不可冒充性.

4.2 安全性分析

（1）抗重放攻擊

在GASVPK 方案中，GM 向組U發(fā)起群組認(rèn)證請(qǐng)求，其中包含會(huì)話序號(hào)φ，由于GM 每一輪都會(huì)更新φ，所以每一輪的φ是不同的，每一輪產(chǎn)生的會(huì)話標(biāo)識(shí)T=h(x1‖…‖xm‖φ)也是不同的. 即使兩輪參與群組認(rèn)證的組成員相同，敵手重放上一輪的消息也無法通過下一輪的群組認(rèn)證. 假設(shè)上一輪的會(huì)話序號(hào)為φ1，參與群組 認(rèn) 證 的 組 成 員 為{U1，U2，…，Um}，會(huì) 話 標(biāo) 識(shí)T1=h(x1‖…‖xm‖φ1)，組成員Ui的會(huì)話令牌為ci=si μiT1+ri和riP，假設(shè)下一輪的會(huì)話序號(hào)為φ2，φ2≠φ1，參與群組認(rèn)證的組 成員同樣為{U1，U2，…，Um}，會(huì)話標(biāo)識(shí)T2=h(x1‖…‖xm‖φ2)，組成員Ui的會(huì)話令牌為ci'=si μiT2+ri'和ri'P. 由于T1≠T2，敵手無法通過重放組成員Ui上一輪的會(huì)話令牌通過下一輪的群組認(rèn)證. 因此，GASVPK方案可以抵抗重放攻擊，提高了群組認(rèn)證的安全性.

（2）抗群組管理者欺騙

在GASVPK 方案中，組成員驗(yàn)證了私鑰的有效性，防止了群組管理者欺騙. 組成員Ui(i=1，…，m)利用公開參數(shù)vj=e(ajP，R)(j=0，1，…，k-1)驗(yàn)證等式e(siP，R)=當(dāng)組成員動(dòng)態(tài)變化時(shí)，假設(shè)Un+1加入組U={U1，U2，…，Un}，Un+1驗(yàn) 證 等 式；假設(shè)Un撤出組U={U1，U2，…，Un}，組成員Ui，i=1，…，n-1 驗(yàn)證等式v1e(hP，R)=v1'. 如果等式不成立，代表私鑰無效，群組管理者可能存在欺騙行為，組成員重新向群組管理者請(qǐng)求私鑰. 因此，GASVPK 方案較好地防止了群組管理者的欺騙行為.

5 性能分析與仿真分析

本節(jié)將從安全性和計(jì)算開銷兩個(gè)方面對(duì)GASVPK方案進(jìn)行性能分析，并與文獻(xiàn)［11～13，17，18］的群組認(rèn)證方案進(jìn)行對(duì)比分析. 同時(shí)，通過仿真實(shí)驗(yàn)實(shí)現(xiàn)GASVPK 方案、文獻(xiàn)［11～13，17，18］方案，并根據(jù)實(shí)驗(yàn)結(jié)果進(jìn)行計(jì)算開銷的對(duì)比分析.

5.1 性能分析

對(duì)于群組認(rèn)證方案，計(jì)算開銷是性能測(cè)量的重要指標(biāo)之一. 表1 給出了各種密碼運(yùn)算的名稱、對(duì)應(yīng)的英文以及運(yùn)算時(shí)間的符號(hào)表示.TEM為一次橢圓曲線點(diǎn)乘運(yùn)算的時(shí)間，TEA為一次橢圓曲線點(diǎn)加運(yùn)算的時(shí)間，Tmul，q為Zq上一次乘法運(yùn)算的時(shí)間，Tinv，q為Zq上一次逆運(yùn)算的時(shí)間，Tpair為一次雙線性配對(duì)運(yùn)算的時(shí)間，Thtp為一次哈希映射到點(diǎn)運(yùn)算的時(shí)間. 在性能評(píng)估中忽略哈希函數(shù)、加減法等運(yùn)算的時(shí)間，因?yàn)檫@些運(yùn)算與點(diǎn)乘等運(yùn)算相比，時(shí)間可以忽略不計(jì)，根據(jù)文獻(xiàn)［11］中的計(jì)算代價(jià)，TEM?1189Tmul，q，TEA?4.92Tmul，q，Tpair?5356Tmul，q，Tinv，q?240Tmul，q.

表1 密碼運(yùn)算時(shí)間的符號(hào)表示

設(shè)參與群組認(rèn)證的組成員個(gè)數(shù)為m，GASVPK 方案與文獻(xiàn)［11～13，17，18］方案中組成員的計(jì)算開銷如下.

在方案［11］中，Chien 計(jì)算了每個(gè)組成員在一次群組認(rèn)證中的計(jì)算開銷，但經(jīng)過分析并與作者溝通確認(rèn)，其算法中每個(gè)組成員需要(7m+12134)Tmul，q生成認(rèn)證令牌和驗(yàn)證組成員身份，另外在群組認(rèn)證開始，組成員之間需要協(xié)商一個(gè)點(diǎn)R，作者沒有給出具體的算法，設(shè)時(shí)間為Ta，所以每個(gè)組成員單次群組認(rèn)證實(shí)際耗費(fèi)(7m+12134)Tmul，q+Ta.

在方案［12］中，每個(gè)組成員需要(2m-2)Tmul，q+Tinv，q+3TEM+(m-1)TEA生成認(rèn)證令牌、(m-1)TEA+2Tpair驗(yàn)證組成員身份，所以每個(gè)組成員耗費(fèi)(2m-2)(Tmul，q+TEA)+Tinv，q+3TEM+2Tpair. 進(jìn)一步評(píng)估方案［12］的計(jì)算開銷，每個(gè)組成員單次群組認(rèn)證耗費(fèi)(12m+14507)Tmul，q.

在方案［13］中，每個(gè)組成員需要(2m-3)Tmul，q+Tinv，q+2TEM生成認(rèn)證令牌、(m-1)TEA驗(yàn)證組成員身份，所以每個(gè)組成員耗費(fèi)(2m-3)Tmul，q+Tinv，q+2TEM+(m-1)TEA. 進(jìn)一步評(píng)估方案［13］的計(jì)算開銷，每個(gè)組成員單次群組認(rèn)證耗費(fèi)(7m+2610)Tmul，q.

在方案［17］中，每個(gè)組成員需要2TEM+TEA+Thtp生成認(rèn)證令牌、3(m-1)TEA+3Tpair+Tmul，q+(m-1)Thtp驗(yàn)證組成員身份，所以每個(gè)組成員耗費(fèi)(3m-2)TEA+2TEM+3Tpair+Tmul，q+mThtp. 進(jìn)一步評(píng)估方案［17］的計(jì)算開銷，每個(gè)組成員單次群組認(rèn)證耗費(fèi)(15m+18437)Tmul，q+mThtp.

在方案［18］中，每個(gè)組成員需要TEM+Tmul，q生成認(rèn)證令牌、3TEM+2TEA驗(yàn)證組成員身份，由于該方案中組成員之間是一對(duì)一的認(rèn)證，每個(gè)組成員與剩余m-1 個(gè)組成員相互認(rèn)證，所以每個(gè)組成員耗費(fèi)(m-1)(4TEM+2TEA+Tmul，q). 進(jìn)一步評(píng)估方案［18］的計(jì)算開銷，每個(gè)組成員單次群組認(rèn)證耗費(fèi)(4767(m-1))Tmul，q.

在GASVPK 方案中，每個(gè)組成員需要(2m-1)Tmul，q+Tinv，q+TEM生成認(rèn)證令牌ci=si μiT+ri和riP、2TEM+mTEA驗(yàn)證組成員身份，所以每個(gè)組成員耗費(fèi)(2m-1)Tmul，q+Tinv，q+3TEM+mTEA. 進(jìn)一步評(píng)估GASVPK方案的計(jì)算開銷，每個(gè)組成員單次群組認(rèn)證耗費(fèi)(7m+3806)Tmul，q.

GASVPK 方案與文獻(xiàn)［11～13，17，18］方案的組成員計(jì)算開銷和安全性對(duì)比如表2 所示. 從表2 可以看出，與其他方案相比，GASVPK 方案支持私鑰的驗(yàn)證和組成員的動(dòng)態(tài)加入和撤出，抵抗偽造攻擊和重放攻擊，并且在群組認(rèn)證階段具有較低的計(jì)算開銷.

表2 6種方案的組成員計(jì)算開銷和安全性對(duì)比

5.2 仿真分析

本節(jié)通過仿真實(shí)驗(yàn)比較文獻(xiàn)［11～13，17，18］方案和GASVPK 方案的計(jì)算開銷. 在個(gè)人電腦（Win10 操作系統(tǒng)、主頻1.80GHz 的i5-8250 的處理器、內(nèi)存為8GB）利用MIRACL 庫實(shí)現(xiàn)了各個(gè)方案. 本文利用了橢圓曲線加密技術(shù)，而文獻(xiàn)［11，12，17］方案另外采用了雙線性配對(duì)技術(shù). 為了達(dá)到相同的測(cè)試環(huán)境，幾種方案都基于同一種支持雙線性配對(duì)的橢圓曲線，具體設(shè)置如下：由生成元P生成階為q的加法群，其中P為度為2 的超奇異橢圓曲線E：y2=x3-3x(modp)上的點(diǎn)，p為1536 比特的素?cái)?shù)，q為256比特的素?cái)?shù).

圖4 描述了GASVPK 方案在不同群組認(rèn)證人數(shù)和不同階段情況下所有組成員耗費(fèi)的總時(shí)間. 圖5 描述了GASVPK 方案兩輪群組認(rèn)證所有組成員耗費(fèi)的總時(shí)間. 圖6 描述了GASVPK 方案在組成員動(dòng)態(tài)變化階段，不同變化人數(shù)情況下GM 更新組成員權(quán)限耗費(fèi)的時(shí)間. 如果在群組認(rèn)證階段節(jié)點(diǎn)發(fā)生重放、篡改等攻擊導(dǎo)致一輪群組認(rèn)證未通過，無須重新運(yùn)行整個(gè)方案，組成員重新生成認(rèn)證令牌并進(jìn)行二輪群組認(rèn)證.

圖4 GASVPK方案所有組成員耗費(fèi)的總時(shí)間

圖5 GASVPK方案兩輪群組認(rèn)證所有組成員耗費(fèi)的總時(shí)間

圖6 GASVPK方案GM更新組成員權(quán)限耗費(fèi)的時(shí)間

GASVPK 方案與文獻(xiàn)［11～13，17，18］方案單次群組認(rèn)證每個(gè)組成員耗費(fèi)時(shí)間的對(duì)比如圖7 所示. 橫坐標(biāo)代表群組認(rèn)證的人數(shù)，縱坐標(biāo)表示每個(gè)組成員耗費(fèi)的時(shí)間. 由于方案［11］沒有給出協(xié)商共同秘密值的具體算法，因此默認(rèn)轉(zhuǎn)換當(dāng)前時(shí)間為共同秘密值，實(shí)際運(yùn)行時(shí)間會(huì)比圖7 中運(yùn)行時(shí)間更多. 文獻(xiàn)［13］方案與GASVPK計(jì)算時(shí)間相近，然而文獻(xiàn)［13］方案無法抵抗偽造和重放攻擊，不具備安全性.

圖7 六種方案單次群組認(rèn)證每個(gè)組成員耗費(fèi)時(shí)間的對(duì)比

綜上所述，性能分析和仿真分析表明，GASVPK 方案比文獻(xiàn)［11～13，17，18］方案具有更高的安全性和更低的計(jì)算開銷.

6 結(jié)束語

面向物聯(lián)網(wǎng)的輕量級(jí)群組認(rèn)證是解決物聯(lián)網(wǎng)各種應(yīng)用場(chǎng)景下多個(gè)設(shè)備間并行認(rèn)證的有效方法. 然而，現(xiàn)有群組認(rèn)證方案存在眾多安全隱患，沒有考慮群組管理者欺騙的情況，不支持組成員的動(dòng)態(tài)變化，并且計(jì)算代價(jià)相對(duì)較高，無法適用于物聯(lián)網(wǎng)節(jié)點(diǎn)資源受限的情況. 本文提出了一種面向物聯(lián)網(wǎng)的輕量級(jí)群組認(rèn)證方案GASVPK. 本方案創(chuàng)新性地在物聯(lián)網(wǎng)場(chǎng)景下對(duì)群組管理者分發(fā)的私鑰進(jìn)行驗(yàn)證，防止群組管理者的欺騙行為，并且支持組成員的動(dòng)態(tài)加入和撤出. 方案滿足正確性、機(jī)密性，并且可以抵抗偽造、重放、冒充等惡意攻擊. 與現(xiàn)有面向物聯(lián)網(wǎng)的群組認(rèn)證方案相比，本文方案具有更高的安全性和較低的計(jì)算開銷，更加適用于海量認(rèn)證請(qǐng)求的物聯(lián)網(wǎng)場(chǎng)景，可以有效地滿足物聯(lián)網(wǎng)場(chǎng)景下資源受限節(jié)點(diǎn)的輕量級(jí)群組認(rèn)證的需求.