1 引言

云计算是一种基于因特网提供存储和计算等资源的新兴服务模式.借助于云服务,企业、组织和个人用户能够方便快捷地进行海量数据计算和数据存储共享等操作.但是,云服务提供商CSP(cloud service provider)首先需要对使用云服务的企业、组织和个人用户的身份进行认证,确定其正确性和合法性.否则,未申请注册或购买云服务的用户均可以使用云服务,从而一方面给CSP带来巨大的服务响应负担和严重的经济损失,同时合法用户可能会因没有得到及时的服务响应而造成计算结果和存储信息的丢失.同时,申请使用云服务的用户也需要对CSP的身份进行认证,否则黑客或恶意组织可以通过假冒CSP获取用户账号和隐私等重要信息,给用户带来严重的经济损失和信息泄露的威胁.因此,需要对CSP和使用云服务的用户的身份进行安全认证,确保二者身份的合法性和正确性.同时,云计算基于多种部署模式和服务模式为海量用户能够提供多种不同类型的服务,而这些服务可能来自不同的管理域,如果采用 基于服务的身份认证机制,势必会造成认证过程的繁琐^[1];此外,用户也会在不同的工作域(比如企业内部工作域和外部云工作域)中随时切换身份,如果每个工作域各自建立云用户身份管理机制,用户身份就会出现多重性,从而使用户认证和访问变得异常复杂^[2-4].因此,与传统计算模式相比,云环境下的身份认证还需要考虑云用户身份管理的问题,通过建立身份管理机制来实现不同域内用户身份信息的唯一性,从而提高用户的使用体验和解决不同域内用户身份同步的问题.

在云环境中,由于企业、组织和个人用户可以利用包括PC(personal computer)、PDA(personal digital assistant)、Laptop和手机在内的终端设备来访问使用云服务,因此身份认证不仅涉及云端和终端设备之间的安全连接,还需要考虑用户与云端之间的安全连接.这是因为用户才是CSP的最终服务对象,终端设备只是用户的使用工具和服务平台.如图 1所示,云端用于认证用户身份的结点服务器和用户终端设备均嵌入TPM(trusted platform module)安全芯片来完成远程认证过程.虽然利用TPM芯片可以在服务器与终端设备之间建立可信连接^[5],但如果用于实现用户认证过程,就会出现安全问题.这是因为如果用户使用的终端设备存在恶意软件,那么攻击者就可以通过篡改认证结果而欺骗用户,即不能将可信路径连接从终端设备安全地延伸到用户.此外,云环境下的用户可以使用任意终端设备来访问和使用云服务,如果用户利用TPM加密存储密钥或其他数据在某台终端设备,当其试图在其他终端设备上使用时,就需要进行数据迁移操作,而这会给用户带来复杂的操作过程甚至造成用户的隐私泄露.因此,实现云端与用户之间的身份认证一方面需要保证认证结果的真实性,另一方面需要支持用户可以利用任意终端设备来完成身份认证过程.

1.1 相关工作

近年来,国内外学者针对云环境下的身份认证问题已作了大量研究.文献^{[2, 6-13]}均采用基于证书的公钥密码体制^[14]来解决用户与云端之间的身份认证问题.虽然采用公钥证书能够正确地实现云环境下的身份认证过程,但公钥证书的管理和维护会消耗巨大的计算资源^[15];其次,用户使用的终端设备的安全性没有得到保障;另外云用户的身份管理问题也没有得到有效解决.文献^[16-25]基于身份ID的密码体制^[26]提出了用户和云端之间的身份认证方案.与公钥密码体制相比,基于身份ID的密码体制无需公钥证书的存在,从而解决了证书管理的问题.同时,文献^{[16, 17, 19, 20, 23]}分别通过建立身份管理机制解决了云环境下用户身份唯一性的问题.但是由于第三方PKG(private key generator)的引入,上述方案产生了密钥托管问题^[15];同时如果PKG存在恶意行为,那么它就可以利用任何用户的私钥而伪造签名,达到欺骗验证方的目的;此外,与文献^{[2, 6-13]}相同,文献^[16-25]也存在无法保证终端设备安全可信的问题.

Al-Riyamal和Perterson于2003年提出了无证书公钥密码体制^[27].它不仅避免了传统公钥密码体制的证书管理问题,而且解决了基于身份的密码体制的密钥托管问题.因此,与传统公钥密码体制和基于身份的密码体制相比,无证书公钥密码体制具有效率高和安全性强的优点.考虑到云计算具有资源共享和支持用户多种接入方式等特点,同时使用云服务的用户数量巨大,因此无证书公钥密码体制更加适合解决用户和云端之间的身份认证问题.文献^{[28, 29]}基于无证书密码体制提出了用户和云端之间的匿名身份认证方案.方案提出的身份认证过程均是通过验证由通信方身份ID和公钥值等信息生成的哈希值是否正确来实现的,攻击者通过中间人攻击就可以轻易攻破认证过程.此外,方案采用的是基于密钥的单因子认证过程;同时也没有考虑终端设备平台的安全问题,因此也就无法保证认证结果的真实性.

此外,根据富士通研究所作出的调查^[30],88%的用户担心自己存储在云端的数据会被非授权访问.为了保证访问数据的用户的身份合法性,需要建立更加安全的用户认证机制,即文献^[31]提出的多因子认证模式.因此,综上所述,针对现有工作在实现用户和云端之间的身份认证时所存在的问题和不足,本文基于PTPM(portable TPM)^{[32, 33]}和无证书公钥签名算法,提出了一种支持云端与用户之间的双向身份认证方案.具体贡献如下:

(1) 首次将PTPM和无证书公钥签名算法相结合来解决云环境下用户和云端之间的身份认证问题;

(2) 基于分层ID树结构建立了包括用户和云端在内的身份管理机制,实现了任意通信实体身份唯一性的目标;

(3) 利用PTPM保证了终端平台的安全可信和云端与用户之间认证结果的真实正确;

(4) 实现了云端与用户之间“口令+密钥”的双因子认证过程;

(5) 支持用户利用任意终端设备来完成与云端的双向身份认证过程.

1.2 本文结构

本文第2节介绍方案所用到的相关基础知识.第3节详细描述本文提出的身份认证方案.第4节给出方案的安全性证明.第5节针对现有工作和本文方案进行对比分析.第6节给出结论.

2 相关基础知识 2.1 安全性理论假设

本方案的安全性基于CDH(computational Diffie-Hellman)问题的困难性,相关定义如下^[34].

定义1. CDH问题.已知a,b$a,b\xleftarrow{R}\mathbb{Z}_p^*.$是生成元,给定(g,g^a,g^b),计算g^ab.

这里,a,b$\mathbb{Z}_q^*$表示从符合均匀分布的$\mathbb{Z}_q^*$中选取元素a和b.

定义2. CDH假设.在概率多项式时间内算法B解决CDH问题的概率为

$Ad{v_{CDH}}(B){\rm{ = }}Pr[{g^{ab}} \leftarrow B(g,{g^a},{g^b})],$

若$Ad{v_{CDH}}(B)$可忽略,则称CDH问题是困难的.

2.2 安全模型

本文设计提出的身份认证方案借鉴了无证书公钥签名算法的思想,因此根据文献^[27]所定义的安全攻击模型,本文方案的安全性需要考虑如下两类敌手.

外部敌手A_I: A_I代表普通第三方攻击者,A_I不具有系统主密钥,但可以使用任意值替换用户公钥;

内部敌手A_II: A_II代表恶意KGC(key generating centre),A_II具有系统主密钥,但不允许替换用户公钥.

2.3 PTPM

文献^[35]提到Intel公司于2002年首次提出了便携式TPM(portable TPM)的概念.与TPM相同,PTPM也具有安全存储、密钥生成及数据签名等功能.根据文献^{[32, 33]}中的描述,由于PTPM通过USB接口或PC卡接口与终端设备通信,因此可以将可信计算平台的信任基础从平台本身转移到用户本身.每个用户都可以拥有标识自己身份的PTPM,并可用于一台或多台终端设备上.此外,文献^[32]实现的PTPM硬件模块还具有微型液晶窗口,这样就可以保证操作过程中计算结果的真实性和正确性.因此,用户利用PTPM一方面可以构建终端平台的可信链,实现对终端平台的完整性度量^[36];另一方面,用户可以将密钥等重要数据安全存储在PTPM内,实现用户利用任意终端设备来完成身份认证的目的.

需要说明的是,由于本文研究的重点是云端与用户之间的身份认证问题,因此对于TPM和PTPM如何保证云端认证节点服务器和用户终端平台的安全可信就不再进行讨论研究.在后面认证方案的介绍中,可以认为云端与用户在进行身份认证时,已经利用文献^{[32, 33]}分别实现了基于TPM和PTPM的终端平台完整性度量过程.

3 身份认证方案设计 3.1 总体架构

如图 2所示,用户持有PTPM硬件模块,云端认证节点服务器嵌入TPM安全芯片.用户与云端之间的双向身份认证过程包括图 2(a)所示的用户注册和图 2(b)所示的登录认证两个阶段.

在注册阶段,用户u_i首先输入口令pw_i和身份ID_i等信息,然后利用PTPM计算得到注册请求信息Reg_req;认证节点服务器收到用户的注册请求信息Reg_req后,首先根据身份ID_i查询用户u_i是否已注册,然后输入KGC和u_i的公钥并利用TPM计算验证由pw_i和ID_i等信息生成的签名值是否正确,待验证正确后,认证节点服务器存储用户u_i的注册信息,并发送相应的注册响应信息Reg_res给u_i;在收到注册响应信息Reg_res后,u_i首先输入KGC和认证节点服务器的公钥并利用PTPM来验证认证节点服务器的签名值是否正确,如果正确则输出注册成功标志并存储认证节点服务器的身份ID_auth和秘密值等信息.

在认证阶段,用户u_i首先发送包括ID_i、H₂(ID_i||pw_i)和${g^{{r_i}}}$等认证请求信息Auth_req给认证节点服务器;在验

证收到的H₂(ID_i||pw_i)值正确后,认证节点服务器首先计算HMAC_k(${g^{{r_i}}}$),其中HMAC运算所使用的密钥k取决于用户和认证节点服务器在注册阶段生成的秘密信息值,然后认证节点服务器发送ID_auth、HMAC_k(${g^{{r_i}}}$)和${g^{{r_j}}}$等认证响应信息Auth_res给u_i;u_i在计算验证所收到的HMAC_k(${g^{{r_i}}}$)值的正确性后,就完成了对认证节点服务器身份的认证,同时还需要计算HMAC_k(${g^{{r_j}}}$)作为响应信息;而认证节点服务器通过验证u_i发送的HMAC_k(${g^{{r_j}}}$)值是否正确来完成对用户u_i身份的认证,同时为了让u_i确认已通过认证,还需要再次发送$HMA{C_k}({({g^{{r_i}}})^{{r_j}}}||I{D_{auth}})$值给u_i,该HMAC值基于之前双方生成的随机数和ID_auth而计算得到;最终用户u_i在利用PTPM验证$HMA{C_k}({({g^{{r_i}}})^{{r_j}}}||I{D_{auth}})$值的正确性后,输出验证成功标志到PTPM的显示窗口.

由于云环境中的用户可以使用任意终端设备来访问使用云服务,因此就出现了图 3(a)所示的单用户利用多个终端设备和图 3(b)所示的多用户利用一台终端设备来完成用户与云端之间的身份认证过程.

3.2 算法描述 3.2.1 系统建立

给定安全参数K,选取K比特长的大素数p.假设G₁和G₂均是阶为p的乘法循环群,g是G₁的生成元.双线性映射e:${G_1} \times {G_1} \to {G_2}.$选择抗碰撞哈希函数H₁,H₂,H₁:${\{ 0,1\} ^*} \to $G₁,H₂:${\{ 0,1\} ^*} \to $G₁.系统公开全局参数params为(G₁,G₂,e,p,g,H₁,H₂).

3.2.2 身份ID生成

本文基于文献^[23]提出的分层ID树结构来定义云环境中用户、云服务器等角色的身份ID值.整个分层结构由2层构成,根结点是KGC,即生成用户部分私钥的第三方密钥生成中心;叶子结点表示在云端注册的终端用户和云端认证结点服务器.显然,分层ID树结构中的所有结点都有唯一的名称,从而实现了用户和云端服务器身份唯一性的目标.假设用户u_i的身份ID_i=DN₀||DN_i,云端认证结点服务器server_auth的身份ID_auth =DN₀||DN_server,其中,DN₀,DN_i,DN_server分别表示KGC、u_i和server_auth在分层ID树结构中所定义的名称,“||”表示字符串的拼接操作.

3.2.3 密钥生成

根据无证书公钥密码体制的思想,方案中叶子结点node_i的密钥生成过程如下所述:

(1) node_i选取x_i$\xleftarrow{R}\mathbb{Z}_q^*$作为秘密值,计算并公开公钥pk_i=${g^{{x_i}}}.$

(2) KGC选取S₀$\xleftarrow{R}\mathbb{Z}_q^*$,S₀为KGC的主密钥,计算并公开公钥pk_KGC=${g^{{s_0}}}.$给定分层ID结构中的每个叶子结点node_i,KGC首先获取node_i对应的身份ID_i和pk_i值,接着计算Q_i=H₁(ID_i),最后KGC利用Q_i计算并发送${({g^{{x_i}}})^{{s_0}}}{Q_i}^{{s_0}}$给node_i.

(3) node_i首先通过计算${{{{({g^{{x_i}}})}^{{s_0}}}{Q_i}^{{s_0}}} \over {{{({g^{{s_0}}})}^{{x_i}}}}}$获得KGC生成的部分私钥${Q_i}^{{s_0}},$然后通过查询分层ID树结构获取身份ID_i,计算Q_i=H₁(ID_i)并验证${Q_i}^{{s_0}}$值的正确性:$e({Q_i}^{{s_0}},g)\mathop = \limits^? e({Q_i},p{k_{KGC}})$,如果相等则生成私钥sk_i=(${Q_i}^{{s_0}}$,x_i).

在后面的叙述过程中,用户u_i的公私钥对分别表示为sk_i=($,x_i),pk_i=$而云端认证结点服务器server_auth的公私钥对分别表示为sk_server=($,x_j),pk_server=$

3.2.4 用户注册

(1) 用户u_i输入ID_i和口令值pw_i,利用PTPM首先计算H₂(ID_i||pw_i);然后选取S_i$\xleftarrow{R}\mathbb{Z}_q^*$计算${g^{{S_i}}}$和V=H₂(ID_i||pw_i)${g^{{S_i}}};$最后u_i发送注册请求Reg_req=(ID_i,${g^{{S_i}}}{V^{{x_i}}}{Q_i}^{{s_0}}$,H₂(ID_i||pw_i))给云端认证结点服务器server_auth.

(2) server_auth收到Reg_req后,首先根据已注册用户信息表T_register来查询ID_i是否存在,如果没有,则计算${Q'_i}$=H₁(ID_i),然后验证${V^{{x_i}}}{Q_i}^{{s_0}}$值的正确性:$e({V^{{x_i}}}{Q_i}^{{s_0}},g)\mathop = \limits^? e({H_2}\left( {I{D_i}||p{w_i}} \right){g^{{S_i}}},{g^{{x_i}}}) \cdot e({Q'_i},p{k_{KGC}})$,如果相等server_auth选取S_j$\xleftarrow{R}\mathbb{Z}_q^*$并利用TPM计算${g^{{S_j}}}$,将ID_i,S_j,${g^{{S_i}}}$和H₂(ID_i||pw_i)存储到T_register,然后利用TPM计算W= ${H_2}(I{D_{auth}}||p{k_j}){g^{{S_j}}}$并发送注册响应信息Reg_res=(ID_auth,${g^{{S_j}}}{W^{{x_j}}}{Q_j}^{{s_0}})$给u_i;否则返回注册失败标志给u_i.如果T_register已存储该ID_i值,则返回已注册标志给u_i.

(3) u_i收到注册响应信息Reg_res后,首先利用PTPM计算${Q'_j}$=H₁(ID_auth)和${H_2}(I{D_{auth}}||p{k_j})$,然后计算${H_2}(I{D_{auth}}||p{k_j}){g^{{S_j}}}$并通过判断等式$e({W^{{x_j}}}{Q_j}^{{s_0}},g)\mathop = \limits^? e({H_2}(I{D_{auth}}||p{k_j}){g^{{S_j}}},p{k_j}) \cdot e({Q'_j},p{k_{KGC}})$是否成立来验证${W^{{x_j}}}{Q_j}^{{s_0}}$值的正确性.如果相等表示u_i在server_auth处成功注册,PTPM输出注册成功标志到显示窗口,同时u_i存储ID_auth,S_i和${g^{{S_j}}};$否则输出注册失败标志.

3.2.5 登录认证

(1) 用户u_i首先输入ID_i和pw_i,并利用PTPM计算H₂(ID_i||pw_i),同时选取r_i$\xleftarrow{R}\mathbb{Z}_q^*$并计算${g^{{r_i}}}$,然后PTPM发送登录认证请求Auth_req=(ID_i,H₂(ID_i||pw_i),${g^{{r_i}}}$)给server_auth.

(2) server_auth收到信息Auth_req后,首先根据ID_i查询T_register存储的H₂(ID_i||pw_i)值与收到的是否相等,如果不等,server_auth返回口令错误信息给u_i;否则server_auth首先获取ID_i对应的S_j和${g^{{S_i}}}$值,利用TPM计算${({g^{{S_i}}})^{{S_j}}};$然后选取r_j$\xleftarrow{R}\mathbb{Z}_q^*$并利用TPM计算D₁=HMAC_k(${g^{{r_i}}}$)和${g^{{r_j}}},$其中k=${g^{{S_i}{S_j}}};$最后发送Auth_res=(ID_auth,${g^{{r_j}}}$,D₁)给u_i.

(3) u_i收到server_auth返回的信息Auth_res后,首先根据收到的ID_auth值查询获得对应的S_i和${g^{{S_j}}},$然后利用PTPM分别计算k′=${({g^{{S_j}}})^{{S_i}}}$和${D'_1} = HMA{C_{k'}}({g^{{r_i}}}),$验证D₁与${D'_1}$是否相等.如果相等表示u_i完成了对server_auth身份的认证,然后利用PTPM计算${D_2} = HMA{C_{k'}}({g^{{r_j}}})$并发送给server_auth;否则验证server_auth身份失败,u_i终止验证过程.

(4) server_auth利用TPM计算${D'_2} = HMA{C_k}({g^{{r_j}}})$并与D₂进行比较.如果相等表示server_auth完成了对u_i身份的认证,然后server_auth利用TPM计算${D_3} = HMA{C_k}({({g^{{r_i}}})^{{r_j}}}||I{D_{auth}})$并发送给u_i;否则验证u_i身份失败,server_auth终止验证过程.

(5) u_i利用PTPM计算${D'_3} = HMA{C_{k'}}({({g^{{r_j}}})^{{r_i}}}||I{D_{auth}})$并与收到的D₃进行比较.如果相等,PTPM输出验证成功标志到显示窗口;否则输出验证失败标志.

完成上述身份认证过程后,u_i和server_auth就可以利用会话密钥$s{k_{auth \leftrightarrow i}}$=${g^{{S_i}{S_j}}}{g^{{r_i}{r_j}}}$来进行后续信息交互过程.

3.2.6 口令更新

假设u_i需要将原有口令pw_i更新为$p{w'_i},$那么u_i首先利用PTPM分别计算${H_2}(I{D_i}||p{w'_i})$、New_pw=$s{k_{auth \leftrightarrow i}}$×${H_2}(I{D_i}||p{w'_i})$和${({g^{{r_j}}})^{{S_i}}},$然后发送口令更新请求Update_pw=(ID_i,New_pw,${({g^{{r_j}}})^{{S_i}}}$)给server_auth,其中,x表示群G₁上的乘法运算.待server_auth收到update_pw后,首先根据ID_i查询存储的${g^{{S_i}}}$值并利用TPM计算${({g^{{S_i}}})^{{r_j}}},$判断${({g^{{r_j}}})^{{S_i}}}$与${({g^{{S_i}}})^{{r_j}}}$是否相等.如果不等终止口令更新过程;否则利用TPM计算${{Ne{w_{pw}}} \over {s{k_{auth \leftrightarrow i}}}}$得到${H_2}(I{D_i}||p{w'_i}),$通过查询ID_i将H₂(ID_i||pw_i)替换为${H_2}(I{D_i}||p{w'_i}).$

3.3 方案特点

本文提出的身份认证方案解决了云环境下云端与用户之间身份认证的问题.方案特点主要体现在:

(1) 在密钥生成阶段,用户获取KGC生成的部分私钥不需要用户和KGC之间建立安全信道,更符合云环境下公开通信的实际应用要求;

(2) 所有数据计算过程均在TPM或PTPM内完成,二者硬件的安全性确保了计算结果的正确和存储安全;

(3) 用户利用PTPM存储密钥等信息,由于PTPM具有携带方便的特点,用户就可以利用任意终端设备来完成注册和登录认证过程;

(4) 基于HMAC算法实现了身份认证过程,在保证认证结果正确性的同时,显著提高了认证双方的计算效率.

4 安全性证明

本文设计提出的身份认证方案是基于无证书公钥签名算法,同时根据第3.2节对方案算法的介绍,由于登录认证阶段的安全取决于HMAC算法的密钥值k=${g^{{S_i}{S_j}}},$而HMAC算法的安全性已在文献^[37]中得到证明.因此,只要攻击者在之前的用户注册阶段能够计算获得k,那么就可以认为能够攻破本文提出的身份认证方案.而k值的安全性依赖于用户和云端之间利用无证书公钥签名算法完成用户注册的过程.如第2.2节所述,无证书公钥签名算法的攻击模型包括两种类型敌手,因此需要分别针对这两类敌手的攻击能力来给出方案的安全性证明过程.

定理1. 假设CDH在群G₁上成立,对于攻击敌手A_I来说,本文方案基于Random Oracle模型在适应性选择消息攻击下具有不可伪造性(EUF-CMA).即如果任何外部敌手A_I在时间t_I内,以优势e_I对散列函数H₁、H₂、秘密值生成、公钥生成、KGC生成部分私钥、公钥替换和签名生成等Oracle最多进行${q_{{H_1}}}$次,${q_{{H_2}}}$次,q_sv次,q_pk次,q_part次,q_pkp次和q_S次问询后能够伪造签名,则存在算法B_I,能够在时间t₁内以优势e₁攻破群G₁上的CDH问题.其中,

$\eqalign{ & {\varepsilon _1} \ge {{{{({q_{part}} + {q_S})}^{{q_{part}} + {q_S}}}{\varepsilon _I}} \over {{q_{{H_1}}}{{({q_{part}} + {q_S} + 1)}^{{q_{part}} + {q_S} + 1}}}}, \cr & {t_1} \le {t_I} + ({q_{{H_1}}} + {q_{part}} + {q_S}){T_{{G_1}}} + {q_{{H_2}}} + {q_{sv}} + {q_{pk}}, \cr} $

${T_{{G_1}}}$表示群G₁上的1次指数运算时间.

证明:以算法B_I为挑战者,选取a,b$\buildrel R \over \longrightarrow $$_p^*.$给定(g,g^a,g^b),B_I与敌手A_I进行如下EUF-CMA攻击游戏来获得g^ab,这里a,b均对B_I未知.

(1) 系统建立.B_I发送公开的系统参数(G₁,G₂,e,p,g,H₁,H₂,pk_KGC)给A_I,其中,pk_KGC=g^a.B_I控制Random Oracle H₁和H₂,同时维护初始状态为空的散列值列表H₁^list和H₂^list,对于A_I的散列Oracle问询响应过程如下:

H₁问询. A_I请求身份ID_i的H₁值问询.假设Y_i∈{0,1},其中,Pr[Y_i=1]=a.对于每次问询(ID_i,Y_i),B_I选取r$\xleftarrow{R}\mathbb{Z}_p^*.$如果Y_i=1定义H₁(ID_i)=g^r;否则定义H₁(ID_i)=${({g^b})^r}$.最后将(ID_i,Y_i,H₁(ID_i))添加到列表H₁^list中,并以H₁(ID_i)为结果响应.

H₂问询. A_I请求身份ID_i和公钥pk_i的H₂值问询.如果列表H₂^list中存在元组(ID_i,pk_i,b),则返回预定义的输出值作为问询结果.否则,选取g$\buildrel R \over \longrightarrow $G₁,将(ID_i,g)添加到列表H₂^list中,并以g为结果响应.

(2) 阶段1. A_I发起一系列问询.B_I维护初始状态为空的公钥列表PK^list,响应如下:

① 公钥问询i.A_I选取ID_i,如果PK^list存在元组(ID_i,pk_i),返回pk_i作为结果响应;否则选取x_i$\buildrel R \over \longrightarrow _p^*,$计算公钥pk_i=${g^{{x_i}}}$并返回给A_I,并将(ID_i,x_i,pk_i)添加到列表PK^list中.

② 秘密值生成问询i.A_I选取ID_i,B_I提交ID_i给公钥问询Oracle,并返回x_i作为结果响应.

③ 部分私钥生成问询i.A_I请求身份ID_i的部分私钥值问询.A_I选取ID_i,如果在列表H₁^list中查询ID_i对应的 Y_i=1,则计算${({g^a})^r}$作为结果响应;否则返回^.

④ 公钥替换问询i.根据第1.2节敌手A_I的能力描述,A_I可以替换任何实体的公钥值.假设A_I替换ID_s的公钥值.首先A_I选取x_s$\buildrel R \over \longrightarrow _p^*,$并计算pk_s=${g^{{x_s}}},$然后发送(ID_s,x_s,pk_s)给B_I.B_I保存该元组值.

⑤ 签名生成问询i.A_I选取ID_i,如果在列表PK^list存在ID_i,通过秘密值生成问询得到ID_i的秘密值x_i,同时在列表H₁^list中查询ID_i对应的Y_i=1,则返回${U^{{x_i}}}{({g^a})^r},$这里U为ID_i在H₂^list中的输出值;否则返回⊥.

(3) 伪造. A_I结束阶段1的问询,输出目标ID_s和伪造签名d_s.B_I做出如下响应过程:

① 从H₁问询中得到ID_s的H₁值${({g^b})^r};$

② 输出伪造签名${\delta _s}{\rm{ = }}{U^{{x_s}}}{({g^{ab}})^r}.$

从而B_I能够通过计算${g^{ab}} = {({\delta _s}/{U^{{x_s}}})^{{r^{ - 1}}}}$得到g^ab,因为d_s、U、x_s和r对于B_I来说是已知的,如果A_I赢得EUF- CMA攻击游戏,则有:$e({U^{{x_s}}}{({g^{ab}})^r},g) = e(U,{g^{{x_s}}}) \cdot e({g^b}^r,{g^a}),$那么B_I能够攻破群G₁上的CDH问题.

现对B_I攻破群G₁上的CDH问题的概率进行分析:事件¬ppk_abort表示B_I没有停止A_I对部分私钥生成的问询,事件¬sign_abort表示B_I没有停止A_I对签名生成的问询,事件signErr表示生成目标ID_s的伪造签名d_s,事件Err_id表示列表H ₁^list存储ID_s,事件Err_yi表示Y_i=0,Succeed表示B_I攻破群G₁上的CDH问题.根据模拟过程描述,事件Succeed可以表示为¬ppk_abort∧¬sign_abort∧signErr∧Err_id∧Err_yi.

当Y_i=0时,B_I会停止A_I对部分私钥生成的问询.由于A_I最多进行q_part次部分私钥生成问询,因此Pr[¬ppk_abort]≥${(1 - \alpha )^{{q_{part}}}}.$

当Y_i=0时,B_I会停止A_I对签名生成的问询.由于A_I最多进行q_S次签名生成问询,因此Pr[¬sign_abort]≥${(1 - \alpha )^{{q_S}}}.$

如果Err=¬ppk_abort∧¬sign_abort∧Err_yi发生,那么A_I就认为模拟攻击和真实环境不可区分.由于A_I攻破方案的优势为e_I,因此Pr[signErr|Err]≥e_I.

由于A_I最多进行${q_{{H_1}}}$次H₁问询,因此Pr[Err_id]≥$1/{q_{{H_1}}}.$即:

$\eqalign{ & Pr[Succeed\left] { = Pr} \right[\neg pp{k_{abort}} \wedge sig{n_{abort}} \wedge signErr \wedge Er{r_{id}} \wedge Er{r_{yi}}] \cr & = Pr[\neg pp{k_{abort}} \wedge \neg sig{n_{abort}} \wedge Er{r_{yi}} \wedge signErr\left] {Pr} \right[Er{r_{id}}] \cr & = Pr\left[ {Err} \right]Pr\left[ {signErr|Err} \right]Pr\left[ {Er{r_{id}}} \right] \cr & = Pr[\neg \wedge pp{k_{abort}}\left] {Pr} \right[\neg sig{n_{abort}}\left] {Pr} \right[Er{r_{yi}}\left] {Pr} \right[signErr|Err\left] {Pr} \right[Er{r_{id}}] \cr & \ge {{{{(1 - \alpha )}^{{q_{part}}}}{{(1 - \alpha )}^{{q_S}}}\alpha {\varepsilon _I}} \over {{q_{{H_1}}}}} \cr & \ge {{{{(1 - \alpha )}^{{q_{part}} + {q_S}}}\alpha {\varepsilon _I}} \over {{q_{{H_1}}}}}. \cr} $

当$\alpha = {1 \over {{q_{part}} + {q_S} + 1}}$时,${{{{(1 - \alpha )}^{{q_{part}} + {q_S}}}\alpha {\varepsilon _I}} \over {{q_{{H_1}}}}}$存在最大值.因此B_I攻破群G₁上的CDH问题的概率为${\varepsilon _1} \ge {{{{({q_{part}} + {q_S})}^{{q_{part}} + {q_S}}}{\varepsilon _I}} \over {{q_{{H_1}}}{{({q_{part}} + {q_S} + 1)}^{{q_{_{part}}} + {q_S} + 1}}}}.$

根据模拟过程描述,针对每次H₁、KGC生成部分私钥和签名生成等问询,B_I需要分别额外进行1次群G₁上的指数运算,因此算法B_I的运行时间为t_I+$({q_{{H_1}}} + {q_{part}} + {q_S}){T_{{G_1}}} + {q_{{H_2}}} + {q_{sv}} + {q_{pk}}.$ □

定理2. 假设CDH在群G₁上成立,对于攻击敌手A_II来说,本文方案基于Random Oracle模型在适应性选择消息攻击下具有不可伪造性(EUF-CMA).即如果任何敌手A_II在时间t_II内,以优势e_II对散列函数H₁、H₂、秘密值生成、公钥生成、KGC生成部分私钥和签名生成等Oracle最多进行${q_{{H_1}}}$次,${q_{{H_2}}}$次,q_sv次,q_pk次,q_part次和q_S次问询后能够伪造签名,则存在算法B_II,能够在时间t₂内以优势e₂攻破群G₁上的CDH问题.其中,

${\varepsilon _2} \ge {{{{({q_{sv}} + {q_S})}^{{q_{sv}} + {q_S}}}{\varepsilon _{II}}} \over {{q_{{H_2}}}{{({q_{sv}} + {q_S} + 1)}^{{q_{sv}} + {q_S} + 1}}}},$

${t_2} \le {t_{II}} + ({q_{{H_2}}} + {q_S}){T_{{G_1}}} + {q_{{H_1}}} + {q_{sv}} + {q_{pk}}.$

证明:以算法B_II为挑战者,选取a,b$\buildrel R \over \longrightarrow $$\mathbb{Z}_p^*.$给定(g,g^a,g^b),B_II与敌手A_II进行如下EUF-CMA攻击游戏来获得g^ab,这里a,b均对B_II未知.

(1) 系统建立. B_II发送公开的系统参数(G₁,G₂,e,p,g,H₁,H₂,pk_KGC)给A_II,其中pk_KGC=${g^{{s_0}}}.$B_II控制Random Oracle H₁和H₂,同时维护初始状态为空的散列值列表H₁^list和H₂^list,对于A_II的散列Oracle问询响应过程如下:

H₁问询. A_II请求身份ID_i的H₁值问询.B_II计算Q_i=H₁(ID_i)并返回给A_II.

H₂问询. A_II请求身份ID_i和公钥pk_i的H₂值问询.假设Y_i∈{0,1},其中,Pr[Y_i=1]=a.对于每次问询(ID_i,pk_i,Y_i), B_II选取r$\xleftarrow{R}$$\mathbb{Z}_q^*$如果Y_i=1定义H₂(ID_i||pk_i)=g^r;否则定义H₂(ID_i||pk_i)=${({g^b})^r}.$最后将(ID_i,pk_i,Y_i,H₂(ID_i||pk_i))添加 到列表H₂^list中,并以H₂(ID_i||pk_i)为结果响应.

(2) 阶段1. A_II发起一系列问询.B_II维护初始状态为空的公钥列表PK^list,响应如下:

① 公钥问询i.A_II选取ID_i,如果PK^list存在元组(ID_i,pk_i),返回pk_i作为结果响应;否则选取x_i$\xleftarrow{R}$$\mathbb{Z}_p^*,$计算公钥pk_i=${g^{{x_i}}}$并返回给A_II,并将(ID_i,x_i,pk_i)添加到列表PK^list中.

② 秘密值生成问询i.A_II选取ID_i,B_II提交ID_i给公钥问询Oracle,并返回x_i作为结果响应.

③ 部分私钥生成问询i.A_II请求身份ID_i的部分私钥值问询.A_II选取ID_i,B_II计算${Q_i}^{{s_0}}$并返回给A_II.

④ 签名生成问询i.A_II选取ID_i,如果在列表H₂^list中查询ID_i对应的Y_i=1,则返回${({g^a})^r}{Q_i}^{{s_0}},$这里,a表示用户的私钥值;否则返回⊥.

(3) 伪造. A_II结束阶段1的问询,输出目标ID_s和伪造签名d_s.B_II做出如下响应过程:

① 从公钥生成问询中获得ID_s的公钥值g^a;

② 从秘密值生成问询中获得ID_s的秘密值a;

③ 从H₂问询中得到ID_s的H₂值${({g^b})^r};$

④ 输出伪造签名${\delta _s} = {({g^{ab}})^r}{Q_i}^{{s_0}}.$

从而B_II能够通过计算${g^{ab}} = {({\delta _s}/{Q_i}^{{s_0}})^{{r^{ - 1}}}}$得到g^ab,因为δ_s、${Q_i}^{{s_0}}$和r对于B_II来说是已知的,如果A_II赢得EUF- CMA攻击游戏,则有:$e({({g^{ab}})^r}{Q_i}^{{s_0}},g) = e({Q_i},{g^{{s_0}}}) \cdot e({g^b}^r,{g^a}),$那么B_II能够攻破群G₁上的CDH问题.

现对B_II攻破群G₁上的CDH问题的概率进行分析:事件¬sv_abort表示B_II没有停止A_II对秘密值生成的问询,事件¬sign_abort表示B_II没有停止A_II对签名生成的问询,事件signErr表示生成目标ID_s的伪造签名d_s,事件Err_id表示列表H₂^{l ist}存储ID_s,事件Err_yi表示Y_i=0,Succeed表示B_II攻破群G₁上的CDH问题.根据模拟过程描述,事件Succeed可以表示为¬sv_abort∧¬sign_abort∧signErr∧Err_id∧Err_yi.

当Y_i=0时,B_II会停止A_II对秘密值生成的问询.由于A_II最多进行q_sv次秘密值生成问询,因此Pr[¬sv_abort]≥${(1 - \alpha )^{{q_{sv}}}}.$

当Y_i=0时,B_II会停止A_II对签名生成的问询.由于A_II最多进行q_S次签名生成问询,因此Pr[¬sign_abort]≥ ${(1 - \alpha )^{{q_S}}}.$

如果Err=¬sv_abort∧¬sign_abort∧Err_yi发生,那么A_II就认为模拟攻击和真实环境不可区分.由于A_II攻破方案的优势为e_II,因此Pr[signErr|Err]≥e_II.

由于A_II最多进行${q_{{H_2}}}$次H₂问询,因此Pr[Err_id]≥$1/{q_{{H_2}}}.$即:

$\begin{matrix} Pr[Succeed\left] =Pr \right[\neg s{{v}_{abort}}\wedge \neg sig{{n}_{abort}}\wedge signErr\wedge Er{{r}_{id}}\wedge Er{{r}_{yi}}] \\ ~=Pr[\neg s{{v}_{abort}}\wedge \neg sig{{n}_{abort}}\wedge Er{{r}_{yi}}\wedge signErr\left] Pr \right[Er{{r}_{id}}] \\ \begin{align} & =Pr\left[ Err \right]Pr\left[ signErr|Err \right]Pr\left[ Er{{r}_{id}} \right] \\ & =Pr[\neg s{{v}_{abort}}\left] Pr \right[\neg sig{{n}_{abort}}\left] Pr \right[Er{{r}_{yi}}\left] Pr \right[signErr|Err\left] Pr \right[Er{{r}_{id}}] \\ & \ge \frac{{{(1-\alpha )}^{{{q}_{sv}}}}{{(1-\alpha )}^{{{q}_{S}}}}\alpha {{\varepsilon }_{II}}}{{{q}_{{{H}_{2}}}}} \\ & \ge \frac{{{(1-\alpha )}^{{{q}_{sv}}+{{q}_{S}}}}\alpha {{\varepsilon }_{II}}}{{{q}_{{{H}_{2}}}}}. \\ \end{align} \\ \end{matrix}$

当$\alpha =\frac{1}{{{q}_{sv}}+{{q}_{S}}+1}$时,$\frac{{{(1-\alpha )}^{{{q}_{sv}}+{{q}_{S}}}}\alpha {{\varepsilon }_{II}}}{{{q}_{{{H}_{2}}}}}$存在最大值.因此B_II攻破群G₁上的CDH问题的概率为

${{\varepsilon }_{2}}\ge \frac{{{({{q}_{sv}}+{{q}_{S}})}^{{{q}_{sv}}+{{q}_{S}}}}{{\varepsilon }_{II}}}{{{q}_{{{H}_{2}}}}{{({{q}_{sv}}+{{q}_{S}}+1)}^{{{q}_{sv}}+{{q}_{S}}+1}}}.$

根据模拟过程描述,针对每次H₂和签名生成等问询,B_II需要分别额外进行1次群G₁上的指数运算,因此算法B_II的运行时间为t_II+$({{q}_{{{H}_{2}}}}+{{q}_{S}}){{T}_{{{G}_{1}}}}+{{q}_{{{H}_{1}}}}+{{q}_{sv}}+{{q}_{pk}}.$ □

5 方案分析 5.1 效率分析

由于文献^{[28, 29]}和本文提出的方案均采用无证书公钥密码体制的思想来解决云端与用户之间的身份认证问题,因此本节给出这3种方案中用户和云端在计算和通信开销方面的性能分析.为了叙述方便,这里定义$EX{{P}_{{{G}_{1}}}}$表示群G₁上的指数运算,$EX{{P}_{{{G}_{2}}}}$表示群G₂上的指数运算,Pairing表示双线性对运算,${{H}_{{{G}_{1}}}}$表示群G₁上的哈希运算,H表示文献^{[28, 29]}中哈希值空间不是群G₁的哈希运算,${{M}_{{{G}_{1}}}}$表示群G₁上的乘(除)法运算,${{M}_{{{G}_{2}}}}$表示群G₂上的乘法运算,H_mac表示HMAC运算.这里需要补充说明的是,文献^{[28, 29]}方案还涉及到异或操作,由于其运算代价非常小,因此在计算开销时忽略不计.

5.1.1 计算开销

根据文献^[28]所述方案,在密钥生成阶段,用户和云端生成公私钥对均需要进行3次${{M}_{{{G}_{1}}}}$运算,同时为了验证PKG生成的部分私钥值的正确性,需要进行2次Pairing运算;在注册阶段,云端根据用户发送的身份ID来判断是否为授权用户,从而决定是否注册该用户ID,不涉及任何计算操作过程(虽然高效,但存在严重的安全漏洞);在认证阶段,用户进行4Pairing+${{M}_{{{G}_{1}}}}$+${{M}_{{{G}_{2}}}}$+2$EX{{P}_{{{G}_{2}}}}$+6H次运算,云端进行4Pairing+${{M}_{{{G}_{1}}}}$+${{M}_{{{G}_{2}}}}$+2$EX{{P}_{{{G}_{2}}}}$+6H+ ${{H}_{{{G}_{1}}}}$次运算.

对于文献^[29]所提出的方案,在密钥生成阶段,用户和云端生成公私钥对均需要进行1次${{M}_{{{G}_{1}}}}$运算,同时为了验证PKG生成的部分私钥值的正确性,需要进行2次Pairing运算;在注册阶段,与文献^[14]相同,不涉及任何计算操作过程;在认证阶段,用户进行$4Pairing+6{{M}_{{{G}_{1}}}}2EX{{P}_{{{G}_{2}}}}+6H$次运算,云端进行$3Pairing+5{{M}_{{{G}_{1}}}}+EX{{P}_{{{G}_{2}}}}+6H+2{{H}_{{{G}_{1}}}}$次运算.

下面重点分析文本方案的计算开销.在密钥生成阶段,用户和云端首先需要1次$EX{{P}_{{{G}_{1}}}}$运算来生成公钥,然后进行$EX{{P}_{{{G}_{1}}}}+{{M}_{{{G}_{1}}}}$次运算来获得KGC发送的部分私钥,最后通过${{H}_{{{G}_{1}}}}$+2Pairing次运算来验证收到的部分私钥的正确性.在用户注册阶段,用户首先进行${{H}_{{{G}_{1}}}}+2({{M}_{{{G}_{1}}}}+EX{{P}_{{{G}_{1}}}})$次运算来生成注册信息;然后云端进行3Pairing+${{M}_{{{G}_{1}}}}+{{M}_{{{G}_{2}}}}+{{H}_{{{G}_{1}}}}$次运算对注册信息完成验证,同时进行${{H}_{{{G}_{1}}}}+2({{M}_{{{G}_{1}}}}+EX{{P}_{{{G}_{1}}}})$ 次运算生成返回信息;最后用户进行3Pairing+${{M}_{{{G}_{1}}}}+2{{H}_{{{G}_{1}}}}$次运算对云端的返回信息进行验证.在登录认证阶段,用户首先进行$EX{{P}_{{{G}_{1}}}}+{{H}_{{{G}_{1}}}}$次运算来生成认证请求信息;然后云端进行2$EX{P_{{G_1}}}$+H_mac次运算生成认证信息;接着用户进行$EX{P_{{G_1}}}$+2H_mac次运算来对云端服务器的身份进行验证;云端再次进行$EX{P_{{G_1}}}$+2H_mac次运算来验证用户的身份;最终用户进行$EX{P_{{G_1}}}$+H_mac次运算来确定云端验证用户身份是否成功.当用户需要更新口令时,只需要进行$EX{P_{{G_1}}}$+${M_{{G_1}}}$+${H_{{G_1}}}$次运算就可以向云端发送口令更新信息,而云端也只需进行$EX{P_{{G_1}}} + {M_{{G_1}}}$次运算就可以完成口令更新过程.

下面给出文献^{[28, 29]}所述方案和本文提出的方案在用户和云端方面的计算开销对比,见表 1.通过表 1可知,在密钥生成阶段,与文献^{[28, 29]}方案相比,本文方案中用户和云端需要进行额外的2$EX{P_{{G_1}}} + {H_{{G_1}}}$次运算来获得KGC发送的部分私钥.虽然增加了计算过程,但不需要用户和KGC之间建立安全信道,因此更加符合云环境下公开通信的实际应用要求.其次,在注册阶段,虽然文献^{[28, 29]}方案不需要进行任何计算操作,但会带来巨大的安全漏洞,因为攻击者可以利用任意合法用户的ID来完成注册;同时由于用户注册是一次性的,因此本文方案注册过程中产生的计算开销对于用户和云端来说是可以接受的.在认证阶段,与文献^{[28, 29]}方案相比,本文方案由于没有涉及双线性对运算,计算效率得到了显著提高;同时考虑到用户和云端之间的认证过程可以进行多次,从而极大地减轻了用户和云端在认证过程中的计算负担.

5.1.2 通信开销

定义|K|表示安全参数K的长度,|p|表示${\mathbb{Z}_p}$中元素的长度,|id|表示用户身份ID的长度,|hmac|表示HMAC算法的信息长度.

根据文献^[28]所述方案,在注册阶段,用户只需要发送身份ID值,因此通信开销为|id|,而云端不需要返回任何消息给用户,因此没有通信开销;在认证阶段,用户发送给云端的信息长度为3|p|+|id|+2|K|,云端返回给用户的响应信息长度为2|p|+|id|+|K|.

对于文献^[29]所提出的方案,注册阶段的通信开销与文献^[28]方案相同;在认证阶段,用户发送给云端的信息长度为2|p|+|id|+|K|,云端返回给用户的响应信息长度为2|p|+|id|.

对于本文方案而言,在用户注册阶段,用户发送的注册信息包括ID_i,${g^{{S_i}}},$${V^{{x_i}}}{Q_i}^{{s_0}}$和H₂(ID_i||pw_i)总长度为3|p|+|id|;云端返回的信息包括ID_auth,${g^{{S_j}}}$和${W^{{x_j}}}{Q_j}^{{s_0}},$长度为2|p|+|id|.在登录认证阶段,用户发送的登录认证请求包括ID_i,H₂(ID_i||pw_i)和$,其长度为2|p|+|id|;服务器端返回的信息包括ID_auth,${g^{{r_j}}}$和 D₁,长度为|p|+|id|+|hmac|;然后用户发送|hmac|长度的信息给服务器端;最终服务器端发送|hmac|长度的信息给用户,用于确定云端验证用户身份是否成功.当用户需要更新口令时,用户发送的口令更新请求信息长度为2|p|+|id|.

下面给出文献^{[28, 29]}所述方案和本文提出的方案在用户和云端方面的通信开销对比,见表 2.由表 2可知,在用户注册阶段,与文献^{[28, 29]}方案相比,本文方案中的用户和云端需要给对方发送额外的信息来完成用户注册过程,但由于用户注册是一次性的,因此注册过程中的通信开销是可以接受的.在认证阶段,由于|hmac|值不可能大于|K|,因此与文献^{[28, 29]}方案相比,本文方案在认证过程中的通信开销至少保持不变.综上所述,对于用户和云端来说,本文方案所产生的通信开销代价是可以接受的.

5.2 其他性能分析

将文献^{[28, 29]}所述方案和本文方案在安全性能和灵活性上进行对比分析,其结果见表 3.

由表 3可知,与文献^{[28, 29]}方案相比,首先本文方案中用户和云端在获取KGC发送的部分私钥过程中不需要安全信道的建立;其次方案支持云端与用户之间“口令+密钥”的双因子认证过程;第三,利用PTPM保证了终端平台的安全可信和云端与用户之间认证结果的真实正确;最后本文方案基于Random Oracle模型在适应性选择消息攻击下具有不可伪造性.因此,本文方案的安全性能全面优于文献^{[28, 29]}方案.这里我们需要指出,文献^{[28, 29]}方案实现了用户和云端之间匿名认证的目标,同时,文献^{[4, 38, 39]}在解决云环境下的用户身份管理和访问控制等问题时也要求支持用户身份的匿名性.但本文在云环境下建立身份管理机制的基础上,主要解决如何安全有效地实现用户与云端之间身份认证的问题.对于用户身份匿名性的问题,可以作为后续工作来进行研究.

6 结束语

本文提出了基于PTPM和无证书公钥签名算法的身份认证方案.在实现用户和云端身份唯一性的基础上,一方面利用PTPM实现了终端平台的安全可信和云端与用户之间认证结果的真实正确的目标,同时支持用户利用任意终端设备来完成与云端的双向身份认证过程;另一方面基于无证书公钥签名算法解决了传统公钥密码体制的证书管理问题和基于身份的密码体制的密钥托管问题.最后对方案的安全性进行了理论证明;同时通过与现有方案的效率和其他性能对比分析,本文提出的方案不仅显著提高了用户和云端之间身份认证的计算效率,而且更能适应云环境下公开通信的实际应用要求.下一步工作是考虑跨域间的身份认证和防止用户身份隐私泄露等问题.