一種高效的移動(dòng)云服務(wù)環(huán)境下隱私保護(hù)認(rèn)證協(xié)議

熊 玲 ，彭代淵 ，彭 圖 ，梁宏斌

（1. 西南交通大學(xué)信息科學(xué)與技術(shù)學(xué)院，四川 成都 611756；2. 北京理工大學(xué)軟件學(xué)院，北京 100081；3. 西南交通大學(xué)交通運(yùn)輸與物流學(xué)院，四川 成都 611756；4. 西南交通大學(xué)綜合交通運(yùn)輸智能化國(guó)家地方聯(lián)合工程實(shí)驗(yàn)室，四川 成都 611756）

近年來(lái)，隨著無(wú)線通信技術(shù)飛速發(fā)展，手機(jī)、筆記本、iPad等移動(dòng)終端設(shè)備已經(jīng)成為人們生活中必不可少的部分[1-2]. 移動(dòng)云服務(wù)（mobile cloud computing，MCC）融合了云計(jì)算服務(wù)、移動(dòng)通信設(shè)備和傳統(tǒng)互聯(lián)網(wǎng)技術(shù)，因此能夠便捷靈活地實(shí)現(xiàn)傳統(tǒng)云服務(wù)在移動(dòng)互聯(lián)網(wǎng)中的擴(kuò)展和應(yīng)用，為用戶提供了更加自由、方便和靈活的服務(wù)，移動(dòng)云服務(wù)引起了業(yè)界的又一次產(chǎn)業(yè)變革[3]. 然而，移動(dòng)云服務(wù)運(yùn)行在無(wú)線網(wǎng)絡(luò)這種開(kāi)放的環(huán)境下，攻擊者更加容易發(fā)起各種攻擊[4]，為了防止惡意的攻擊者訪問(wèn)服務(wù)，互相認(rèn)證是移動(dòng)云服務(wù)環(huán)境下最基本的安全需求，同時(shí)由于用戶的身份信息會(huì)暴露用戶的位置、習(xí)慣等，移動(dòng)云服務(wù)環(huán)境下的隱私保護(hù)越來(lái)越受人們關(guān)注，因此，設(shè)計(jì)適用于移動(dòng)云服務(wù)環(huán)境下具有隱私保護(hù)的認(rèn)證協(xié)議迫在眉睫[5-6].

移動(dòng)用戶通過(guò)移動(dòng)終端訪問(wèn)多個(gè)不同的云服務(wù)，按照傳統(tǒng)的單服務(wù)器認(rèn)證方式[7-10]，用戶登錄不同的移動(dòng)云服務(wù)提供者時(shí)需要輸入多個(gè)不同的用戶名和口令，多個(gè)口令使得用戶難以記憶且容易造成混淆，為了方便，用戶通常選擇相同的口令，這種方式存在安全隱患，同時(shí)，每個(gè)云服務(wù)提供者需要?jiǎng)?chuàng)建一個(gè)用戶的數(shù)據(jù)庫(kù)，增加管理負(fù)擔(dān)，造成資源浪費(fèi).單點(diǎn)登錄（single sign-on，SSO）機(jī)制[11-15]有效地解決了該問(wèn)題，用戶只需登錄一次就可以訪問(wèn)多個(gè)服務(wù)提供者，而不需要重復(fù)輸入多次用戶名和口令[11].SSO給我們生活帶來(lái)了極大的方便，但是目前多數(shù)的 SSO，比如 Passport[12]，OpenID[13]和 SAML[14]等，每次認(rèn)證都需要一個(gè)可信的第三方參與，當(dāng)用戶數(shù)量增多時(shí)，可能會(huì)造成可信第三方的通信瓶頸[5-6]，其次，由于每次認(rèn)證都需要與可信第三方通信，可信第三方能夠知道用戶的行蹤，從而泄露了用戶隱私[15].除此之外，當(dāng)前大多SSO認(rèn)證方案需要通過(guò)SSL（secure sockets layer）或者 TLS （transport layer security）建立通信連接，然而，SSL或者TLS計(jì)算和通信代價(jià)都非常高，并不適用資源有限的移動(dòng)云服務(wù)環(huán)境.

為了解決上述問(wèn)題，2015年Tsai和Lo[5]基于多服務(wù)器認(rèn)證機(jī)制設(shè)計(jì)了一個(gè)適用于移動(dòng)云服務(wù)環(huán)境的協(xié)議，該協(xié)議聲稱能夠滿足隱私保護(hù)和互相認(rèn)證，且只需用戶注冊(cè)一次，便可訪問(wèn)多個(gè)服務(wù)提供者，每次認(rèn)證過(guò)程不需要可信第三方參與，并且協(xié)議沒(méi)有使用計(jì)算復(fù)雜度高的SSL或TLS協(xié)議. Tsai和Lo的方案[5]發(fā)表后，引起了眾多學(xué)者研究和分析[6,16-19]，首先，Jiang等[6]指出該方案存在嚴(yán)重的安全缺陷，不能提供互相認(rèn)證，同時(shí)存在一些設(shè)計(jì)缺陷，包括生物特征錯(cuò)誤使用，錯(cuò)誤口令指紋登錄，沒(méi)有用戶撤銷功能. 隨后出現(xiàn)了一系列攻擊和改進(jìn)方案[16-19]. He等[16]于2016年提出基于身份的簽名技術(shù)改進(jìn)的方案，該方案能夠提供各種安全功能，并能抗擊各種現(xiàn)有攻擊. 然而，分析發(fā)現(xiàn)，由于該方案在登錄前沒(méi)有驗(yàn)證口令是否正確，因此不能抵抗由于輸錯(cuò)口令而引起的錯(cuò)誤口令登錄攻擊，同時(shí)，該方案存在一些小得設(shè)計(jì)缺陷，包括沒(méi)有考慮用戶撤銷和重注冊(cè)，沒(méi)有考慮口令修改. 文獻(xiàn)[17]在文獻(xiàn)[5]的基礎(chǔ)上增加密鑰確認(rèn)完成互相認(rèn)證，但增加了計(jì)算代價(jià)，此外，文獻(xiàn)[17]的3個(gè)認(rèn)證因子分別為：智能卡、口令Wi、生物特征fi，智能卡中存儲(chǔ)了驗(yàn)證表 Vi= h（Di||Wi||Hb（fi）），其中：Di為身份標(biāo)志；Hb( )為哈希函數(shù). 顯然，若智能卡和生物特征丟失，攻擊者可以成功猜測(cè)用戶的口令，從而不能達(dá)到真正的三因子安全. 并且該方案也沒(méi)有考慮用戶撤銷和重注冊(cè)功能. 文獻(xiàn)[18]采用簽密技術(shù)實(shí)現(xiàn)互相認(rèn)證，該方案具有可證明安全性，然而與文獻(xiàn)[17]一樣，文獻(xiàn)[18]同樣不能提供三因子安全，并且文獻(xiàn)[18]在移動(dòng)端使用了兩次映射到域上的hash運(yùn)算，使得計(jì)算效率明顯降低. 文獻(xiàn)[19]設(shè)計(jì)了一個(gè)匿名認(rèn)證協(xié)議，但該方案使用條件非?？量?，要求用戶必須合法守信，否則惡意用戶可以假冒任何服務(wù)器和其他用戶. 因?yàn)橐苿?dòng)端存儲(chǔ) ＜ （DS1，PK1），（DS2，PK2）， · · ·, （ DSi，PKi）， · · ·＞ ，PKi為用戶和服務(wù)提供者共享的秘密值，方案主要通過(guò)PKi進(jìn)行認(rèn)證和協(xié)商，然而用戶的移動(dòng)設(shè)備中存儲(chǔ)所有服務(wù)提供者的PKi，惡意的用戶可以任意假冒服務(wù)提供者和其他用戶.

綜上所述，本文設(shè)計(jì)一種適用于移動(dòng)云服務(wù)環(huán)境高效的具有隱私保護(hù)的認(rèn)證協(xié)議. 主要貢獻(xiàn)如下：

（1） 抗錯(cuò)誤口令登錄和修改攻擊和多因子安全是密碼協(xié)議中非常重要的兩個(gè)安全屬性，然而很少有協(xié)議同時(shí)滿足兩個(gè)安全屬性，如上述協(xié)議[5,16-19]中均不能同時(shí)滿足這兩個(gè)安全屬性，本文利用Wang等[20-23]提出的fuzzy verifier方法，設(shè)計(jì)能同時(shí)滿足抗錯(cuò)誤口令攻擊和多因子安全的方案.

（2） 上述移動(dòng)云服務(wù)環(huán)境的協(xié)議[5,16-18]在移動(dòng)終端均使用計(jì)算復(fù)雜度高的映射到域上的hash運(yùn)算，且文獻(xiàn)[18]使用兩次. 然而通過(guò)分析發(fā)現(xiàn)用普通的hash函數(shù)得到的比特序列對(duì)秘密值的比特序列進(jìn)行消息掩蓋保護(hù)能達(dá)到同樣的安全效果. 因此，本文未使用映射到域上的hash函數(shù)，計(jì)算效率明顯提高.

（3） 本文設(shè)計(jì)一種新的適用于移動(dòng)云服務(wù)環(huán)境的隱私保護(hù)認(rèn)證方案，可證明安全技術(shù)證明新方案是安全的. 此外，新方案解決了現(xiàn)有改進(jìn)方案中的安全問(wèn)題，安全對(duì)比表明新方案具有更高的安全功能，計(jì)算效率對(duì)比表明，與近期方案[5,16-18]相比新方案的計(jì)算效率顯著提高.

1 預(yù)備知識(shí)

1.1 安全模型

基于文獻(xiàn)[5,16]建立適合本文方案的安全模型.該安全模型定義為攻擊者A和挑戰(zhàn)者ζ的游戲，假定用戶Ui和服務(wù)器Sj之間有概率多項(xiàng)式時(shí)間攻擊者 A，Ui∈U，Sj∈S，i，j = 1，2， · · ·, U 為用戶集合，S為移動(dòng)云服務(wù)提供者集合，ΠU，s為用戶預(yù)言機(jī)，用于會(huì)話s中與移動(dòng)云服務(wù)提供者交互，ΠS，s為移動(dòng)云服務(wù)提供者預(yù)言機(jī)，用于會(huì)話s中與用戶交互的預(yù)言機(jī). 攻擊者A可以進(jìn)行下列詢問(wèn)：

hi（mi）：該詢問(wèn)模擬 hash函數(shù)，A 發(fā)起詢問(wèn)，ζ生成隨機(jī)數(shù)hi∈，并將其返回給A.

Register（D）：該詢問(wèn)模擬A作為一個(gè)合法的用戶向智能卡生成中心（smart card generated center，SGC）申請(qǐng)注冊(cè)，A發(fā)送身份標(biāo)識(shí)D，ζ返回移動(dòng)存儲(chǔ)設(shè)備中的秘密信息.

Send（C，s，C′，M）：該詢問(wèn)模擬攻擊者 A的主動(dòng)攻擊，A假冒參與方C′發(fā)送消息M給另一個(gè)參與方C的預(yù)言機(jī)ΠC，s，預(yù)言機(jī)按照協(xié)議的規(guī)定執(zhí)行協(xié)議，并將結(jié)果返回給攻擊者A. 如P′ 和M為空，則表示用戶發(fā)起一個(gè)新的會(huì)話.

Reveal（s）：該詢問(wèn)模擬已知會(huì)話攻擊，返回會(huì)話s中用戶和移動(dòng)云服務(wù)提供者之間的會(huì)話密鑰.

Corrupt（Di，Wi）：該詢問(wèn)模擬口令 Wi丟失攻擊，返回用戶Di的口令.

Corrupt（Di，Mi）：該詢問(wèn)模擬移動(dòng)設(shè)備 Mi丟失攻擊，返回移動(dòng)設(shè)備中存儲(chǔ)的秘密參數(shù).

Corrupt（Sj）：該詢問(wèn)模擬惡意服務(wù)提供者攻擊.

Test（Ui，Sj，s）：該詢問(wèn)模擬會(huì)話密鑰的語(yǔ)義安全性，如果測(cè)試會(huì)話沒(méi)有計(jì)算出會(huì)話密鑰，則輸出“⊥”，終止該詢問(wèn)，否則，隨機(jī)選擇一個(gè)比特b∈{0,1}，拋擲一枚硬幣，若硬幣正面朝上，b = 0，返回真實(shí)的會(huì)話密鑰；否則，b = 1，從密鑰空間中選擇一個(gè)隨機(jī)數(shù)，將其返回. 攻擊者需要輸出0或1作為結(jié)果. 注意：攻擊者A只能進(jìn)行一次詢問(wèn).

匹配會(huì)話和安全認(rèn)證密鑰交換協(xié)議定義如下：

定義 1匹配會(huì)話：如果會(huì)話實(shí)例 ΠU，s和 ΠS，s′為接受狀態(tài)，且 s′ = s，pidU= S，pidS= U，則稱 ΠU，s和ΠS，s′為匹配會(huì)話，其中 pidU和 pidS表示參與協(xié)議另一交互方的身份標(biāo)識(shí).

定義2安全的認(rèn)證協(xié)議：如果下面的安全屬性成立，則本文協(xié)議為安全的認(rèn)證協(xié)議：

（1） ΠU，s和 ΠS，s為匹配會(huì)話；

（2） ΠU，s接受 A 為 ΠS，s發(fā)生的概率是可忽略的；

（3） ΠS，s接受 A 為 ΠU，s發(fā)生的概率是可忽略的；

（4） 如果會(huì)話是新鮮的，且 ΠU，s和 ΠS，s是匹配會(huì)話，它們有共同的會(huì)話密鑰，且會(huì)話密鑰和隨機(jī)數(shù)是不可區(qū)分的；

（5） 當(dāng)A獲取移動(dòng)設(shè)備，并得到移動(dòng)設(shè)備中的秘密參數(shù)，則A成功猜測(cè)口令的概率是可忽略的.

注意 ΠU，s和 ΠS，s互相接受，且沒(méi)有進(jìn)行 Reveal詢問(wèn)，則稱為新鮮會(huì)話.

1.2 安全需求

移動(dòng)云服務(wù)應(yīng)用于公開(kāi)的無(wú)線網(wǎng)絡(luò)環(huán)境，這使得移動(dòng)云服務(wù)環(huán)境具有更高的安全需求. 除了文獻(xiàn)[16]指出安全需求之外，移動(dòng)云服務(wù)環(huán)境的認(rèn)證協(xié)議還應(yīng)滿足如下的安全需求：

（1） 防止錯(cuò)誤口令登錄或修改攻擊：用戶登錄階段應(yīng)能有效地檢測(cè)口令的正確性，防止無(wú)效的登錄引起額外的通信和計(jì)算代價(jià). 同時(shí)修改口令時(shí)應(yīng)驗(yàn)證舊口令的正確性，因?yàn)殄e(cuò)誤的口令修改會(huì)破壞移動(dòng)設(shè)備的秘密參數(shù)，使用戶無(wú)法再登錄[24].

（2） 友好的用戶口令修改策略：用戶能自由修改口令，修改時(shí)不需要遠(yuǎn)程服務(wù)提供者參與[9,20-24].

（3） 雙因子安全：雙因子安全為泄露用戶兩個(gè)認(rèn)證因子中任何一個(gè)不會(huì)影響協(xié)議的安全性[20-24]. 本文協(xié)議兩個(gè)認(rèn)證因子為口令和移動(dòng)設(shè)備，若口令或移動(dòng)設(shè)備丟失（假設(shè)攻擊者得到移動(dòng)設(shè)備，能夠獲取移動(dòng)設(shè)備中的秘密參數(shù)）不會(huì)影響認(rèn)證方案的安全.

（4） 有效的用戶撤銷和重注冊(cè)機(jī)制：實(shí)際使用中，會(huì)有移動(dòng)設(shè)備丟失或被盜的情況，所以應(yīng)考慮用戶撤銷策略，確保用戶發(fā)現(xiàn)移動(dòng)設(shè)備丟失時(shí)，向SGC發(fā)起撤銷申請(qǐng)，SGC處理后原來(lái)移動(dòng)設(shè)備中的秘密參數(shù)值不可以再用來(lái)訪問(wèn)服務(wù). 另外，若惡意的攻擊者知道用戶的身份標(biāo)識(shí)，并利用該標(biāo)識(shí)向SGC申請(qǐng)注冊(cè)，SGC按照協(xié)議的規(guī)定給注冊(cè)者發(fā)送秘密參數(shù)，則惡意的攻擊者可以假冒用戶. 因此，移動(dòng)云服務(wù)環(huán)境中應(yīng)考慮相同用戶身份重注冊(cè)機(jī)制[6,25-26].

2 本文方案

2.1 初始化階段

（1） SGC選擇兩個(gè)階為q的群G1和G2，以及雙線性對(duì) e：G1× G1→G2，g = e（P，P）其中 P 為G1的生成元.

（2） SGC 生成隨機(jī)數(shù) sk∈Z?q，計(jì)算 Pk=sk·P，sk作為系統(tǒng)主密鑰，Pk作為公開(kāi)密鑰.

（3） SGC選擇5個(gè)安全的hash函數(shù)，分別為h0，h1，h3，h4：{0，1}*→Zq，h2：{0，1}*→{ 0 ，1，···，1 023 }，其中l(wèi)為G1域中元素的長(zhǎng)度.

（4） SGC 保存主密鑰 sk，并公開(kāi)參數(shù){q，G1，G2，e，h0，h1，h2，h3，h4，P，Pk，g}.

2.2 注冊(cè)階段

當(dāng)用戶Ui想訪問(wèn)移動(dòng)云服務(wù)提供者Sj的時(shí)候，Ui和Sj必須向SGC申請(qǐng)注冊(cè)，Ui注冊(cè)過(guò)程如圖1所示.

圖1 用戶注冊(cè)階段Fig.1 User registration phase

具體流程如下：

（1） Ui生成隨機(jī)數(shù) bi，選擇身份標(biāo)識(shí) Di和口令Wi，計(jì)算 Ci= h0（Di||Wi||bi），將身份標(biāo)識(shí) Di和 Ci通過(guò)安全信道發(fā)送給SGC.

（2） SGC首先驗(yàn)證Di是否存在用戶信息表中，若存在，SGC拒絕注冊(cè)申請(qǐng)，否則，SGC利用sk計(jì)算

式中：T為Ui的使用期限.

然后SGC更新用戶信息表，將{Di，T}存入用戶信息表中，將Fi、V和T通過(guò)安全信道發(fā)送給Ui.

（3） Ui收到 Fi、V 和 T 后，將其和 bi存儲(chǔ)于移動(dòng)設(shè)備中.

移動(dòng)云服務(wù)提供者Sj注冊(cè)過(guò)程如下：

（1） 將Sj身份標(biāo)識(shí)Dj通過(guò)安全信道發(fā)送給SGC.

（2） SGC首先驗(yàn)證Dj是否在云服務(wù)提供者信息表中，若存在，SGC拒絕注冊(cè)申請(qǐng)，否則，SGC利用主密鑰sk計(jì)算，將{Dj}存入云服務(wù)提供者信息表中，將Kj通過(guò)安全信道發(fā)送給Sj.

（3） Sj收到Ki后，將其存儲(chǔ)于安全的存儲(chǔ)區(qū).

2.3 認(rèn)證階段

用戶訪問(wèn)移動(dòng)云服務(wù)提供者，互相認(rèn)證密鑰協(xié)商過(guò)程如圖2所示，具體流程如下：

圖2 用戶認(rèn)證階段Fig.2 User authentication phase.

（1） Ui輸入 Di和口令 Wi，計(jì)算 Ci= h0（Di||Wi||bi），Ki= Fi⊕Ci，V′ = h2（h3（Ki||Ci）），驗(yàn)證 V′ 和 V 是否相等，若不相等，則拒絕認(rèn)證登錄，否則，計(jì)算Ki=Fi⊕Ci，向 Sj發(fā)送登錄請(qǐng)求.

（2） Sj生成隨機(jī)數(shù) y∈，計(jì)算 Y = gy，將其發(fā)送給Ui.

（3） Ui生成隨機(jī)數(shù) x∈，計(jì)算 X = gx，Kij=h3（Y||X||Yx），R1= xPk+ h1（Dj）xP，ω = h4（Di||Dj||Y||X||Kij||R1），Ei= （x + ω）Ki，CT= （Di||T||Ei）⊕h0（Kij），然后將{R1，CT}發(fā)送給Sj.

（4） Sj收到{R1，CT}后，計(jì)算 X = e（R1，Kj），Kij=h3（Y||X||Xy），Di||T||Ei= CT⊕h0（Kij），ω = h3（Di||Dj||Y||X||Kij||R1），然后，Sj驗(yàn)證等式 e（Ei，h1（Di）P + Pk） =Xgω是否成立，若不成立，則拒絕登錄請(qǐng)求，否則Sj計(jì)算 V1= h4（Dj||Di||Y||Kij||R1||X），并將其發(fā)送給 Ui.

（5） Ui計(jì)算 V′1= h4（Dj||Di||Y||Kij||R1||X），驗(yàn)證其與收到的V1是否相等. 若不相等則終止會(huì)話，否則Ui確認(rèn)Sj是合法的移動(dòng)云服務(wù)提供者.

2.4 口令修改階段

用戶Ui更換的口令的具體步驟如下：

步驟 1Ui輸入 Di和 Wi到移動(dòng)設(shè)備，移動(dòng)設(shè)備計(jì)算計(jì)算 Ci= h0（Di||Wi||bi），Ki=Fi⊕Ci，V′ =h2（h3（Ki||Ci）），驗(yàn)證 V′和 V 是否相等，若不相等，則說(shuō)明身份標(biāo)識(shí)或口令驗(yàn)證失敗，移動(dòng)設(shè)備拒絕口令修改需求.

步驟2用戶輸入新口令，智能卡計(jì)算=h0（Di||||bi）， V?= h2（h3（Ki||）），= Fi⊕Ci⊕.

步驟3最后，用戶用和V更新智能卡中的Fi和V.

2.5 用戶撤銷階段

當(dāng)用戶發(fā)現(xiàn)移動(dòng)設(shè)備丟失，向SGC申請(qǐng)撤銷，SGC驗(yàn)證用戶身份后，立即通報(bào)所有的服務(wù)提供者.原來(lái)舊的身份標(biāo)識(shí)將列入黑名單.

3 安全性分析

3.1 可證明安全

假定安全模型定義為一個(gè)攻擊者A和挑戰(zhàn)者ζ的游戲，首先給出兩個(gè)數(shù)學(xué)困難問(wèn)題[5,16,27].

定義 3 k-CAA （collusion attack algorithm with k-traitors）問(wèn)題：給定 k 個(gè) e1,e2,···,ek∈ Z?q以及 k +2 個(gè) P，計(jì)算

·P e0? {e1,e2,···,ek} 是不可行的，其中 ，并且sk是中未知的元素.

定義 4 k-mBIDH （modified bilinear inverse diffie-hellman with k value）問(wèn)題：定 k 個(gè)e1,e2,···,ek∈

引理1安全的用戶認(rèn)證：如果hash函數(shù)（h0，h1，h3，h4）是理想的隨機(jī)函數(shù)且 ΠS，s是接受狀態(tài)，則在本文方案中沒(méi)有一個(gè)多項(xiàng)式攻擊者能夠以不可忽略的概率成功假冒用戶.

證明 假設(shè)攻擊者A能夠以不可忽略的概率?成功地假冒用戶完成認(rèn)證，則一定有一個(gè)挑戰(zhàn)者ζ能夠以不可忽略的概率解決k-CAA問(wèn)題.

給定 k-CAA 問(wèn)題{（ e1,e2,···,ek∈q），P，sk·P,挑戰(zhàn)者 ζ的任務(wù)是計(jì)算. ζ發(fā)送系統(tǒng)參數(shù){q，G1，G2，e，h0，h1，h2，h3，h4，P，PK，g}給 A. 假定挑戰(zhàn)者的身份標(biāo)識(shí)為D0. 則ζ可以與A進(jìn)行如下詢問(wèn)：

（1） h1（Di）：h1（Di）詢問(wèn)維護(hù)一個(gè)列表 Lh1，該列表初始化為空. ζ驗(yàn)證Di是否在 Lh1中. 如果在，ζ返回它對(duì)應(yīng)的值 hi給 A. 否則，如果 Di= D0，將h1(D0||T)← e0，否則將 h1(Di||T)← ei. 則，ζ將元組（Di，hi）存儲(chǔ)于表 Lh1中，并將 hi返回給 A.

（2） hi（mi）：hi（mi），i = 0，3，4 維護(hù)一個(gè)列表 Lhi，該列表初始化為空. ζ驗(yàn)證mi是否在 Lhi中.如果在，ζ返回它對(duì)應(yīng)的值hi給A. 否則，ζ生成一個(gè)隨機(jī)數(shù)hi，將元組（mi，hi）存儲(chǔ)于表 Lhi中，并將 hi返回給 A.

（3） Register（Di）：在該詢問(wèn)中，ζ維護(hù)一個(gè)列表LR，該列表初始化為空. 當(dāng) A詢問(wèn) Di時(shí)，ζ驗(yàn)證Di是否存在表 LR中. 如果存在，ζ返回 Di給 A. 否則，ζ操作如下：

① 如果 Di= D0，ζ記 h1(Di||T)=e0， Ki=⊥ ，將元組（Di，e0）和（Di，Ki）分別存儲(chǔ)于 Lh1和 LR中. ζ將Di返回給A.

② 如果 Di≠ D0， ζ 記 h1(Di||T)=ei，將元組（Di||T，ei）和（Di，Ki）分別存儲(chǔ)于 Lh1和 LR中.ζ將Di返回給A.

（4） Send（Ui，s，Sj，M）：當(dāng)該詢問(wèn)發(fā)起時(shí)，ζ首先驗(yàn)證Sj和M是否為空. 如果是，ζ根據(jù)協(xié)議的規(guī)定發(fā)起登錄申請(qǐng). 否則ζ驗(yàn)證Ui= D0是否相等，如果不相等，ζ根據(jù)協(xié)議的規(guī)定返回{R1，CT}給A，否則，ζ終止游戲.

（5） Send（Sj，s，Ui，M）：ζ根據(jù)協(xié)議的規(guī)定將執(zhí)行后的結(jié)果返回給A.

（6） Reveal（s）：ζ返回會(huì)話 s的 Kij給 A.

（7） Corrupt（Di，Wi）：ζ返回身份標(biāo)識(shí)為 Di的用戶口令Wi給A.

（8） Corrupt（Di，Mi）：ζ返回（Fi，Vi，T）給 A.

（9） Corrupt（Sj）：ζ返回 Sj的狀態(tài)給 A.

基于以上詢問(wèn)，如果A能成功地偽造消息{R1，CT}，則A能夠成功地假冒用戶完成認(rèn)證. 則根據(jù)偽造引理[16,27]，A通過(guò)選擇另一個(gè)隨機(jī)預(yù)言機(jī)h1偽造另一個(gè)合法的消息{R1，C′T}，從而得到新的 ω′和 E′i，則可得到下面兩個(gè)等式：

由式（1）和式（2）可得：

由式（3）可得：

由式（4）可得， ( ω -ω′)-1(Ei-) 就是 k-CAA問(wèn)題的解.下面給出 ζ 得到k-CAA問(wèn)題的概率，為了方便理解，定義了以下4個(gè)事件：

B1：ζ知道A攻擊自己的事件，假設(shè)在k+1次會(huì)話中A至少攻擊一次，ζ不知道A攻擊的是誰(shuí)，直到Send詢問(wèn)終止.因此該事件發(fā)生的概率為P(B1) =，其中，qs表示Send詢問(wèn)的次數(shù).

B2：A成功地假冒挑戰(zhàn)者的事件.

B3：h1（D0||T）從 Lh1表正確地獲取.

B4：h4（Di||Dj||Y||X||Kij||R1）從表 Lh4中正確獲取.

可以得到：

其中： qh1和 qh4分別為h1詢問(wèn)和h4詢問(wèn)的訪問(wèn)次數(shù).

因此， ζ 獲到k-CAA問(wèn)題的概率如下：

顯然，ζ得到k-CAA問(wèn)題的概率是不可忽略的，因?yàn)?是不可忽略的. 這是矛盾的假設(shè). 綜上所述，不存在概率多項(xiàng)式時(shí)間攻擊者能夠以不可忽略的概率假冒一個(gè)合法的用戶.

引理 2安全移動(dòng)云服務(wù)提供者認(rèn)證：如果hash 函數(shù)（h0，h1，h3，h4）是理想的隨機(jī)函數(shù)且 ΠU，s是接受狀態(tài)，則本文方案中沒(méi)有一個(gè)多項(xiàng)式攻擊者能夠以不可忽略的概率成功假冒移動(dòng)云服務(wù)器提供者.

證明假設(shè)攻擊者A能夠以不可忽略的概率?成功地假冒移動(dòng)云服務(wù)提供者完成認(rèn)證，則一定有一個(gè)挑戰(zhàn)者 ζ 能夠以不可忽略的概率解決k-mBIDH問(wèn)題.

給 定 k-mBIDH問(wèn) 題{（ e1,e2,···,ek∈），P，挑戰(zhàn)者ζ的任務(wù)是計(jì)算 e (P,P)y/(sk+e0). ζ發(fā)送系統(tǒng)參數(shù){q，G1，G2，e，h0，h1，h2，h3，h4，P，Pk，g}給 A. 假定挑戰(zhàn)者的身份標(biāo)識(shí)為D0. 則ζ可以與A進(jìn)行hi（i =0，1，3，4）詢問(wèn)，Register詢問(wèn)、Reveal詢問(wèn)以及Corrupt詢問(wèn)，這些詢問(wèn)和引理1證明中的詢問(wèn)相似，其他詢問(wèn)如下：

（1） Send（Ui，s，Sj，M）：ζ根據(jù)協(xié)議的規(guī)定將執(zhí)行后的結(jié)果返回給A.

（2） Send（Sj，s，Ui，M）：ζ驗(yàn)證 Sj= D0是否成立，如果不成立，ζ根據(jù)協(xié)議的規(guī)定將執(zhí)行后的結(jié)果返回給A；否則，ζ終止游戲.

基于以上假設(shè)，如果A能夠成功的偽造V1，則A能夠成功地仿冒服務(wù)提供者完成認(rèn)證. 有下面兩種情況可以成功偽造V1.

Case 1A不知道X的值能夠正確地猜測(cè)V1.這種情況發(fā)生的概率等于hash函數(shù)發(fā)生碰撞的概率，概率為，其中l(wèi)為hash函數(shù)h4的輸出長(zhǎng)度.

Case 2A通過(guò)h4詢問(wèn)獲得X. 這意味著X是k-mBIDH問(wèn)題的解.下面給出 ζ 得到k-mBIDH問(wèn)題的概率，與引理1相同，為了方便理解，定義了以下4個(gè)事件：

B1：ζ知道A在攻擊自己的事件.

B2：A成功地假冒挑戰(zhàn)者的事件.

B3：h3（Y||X||Xy）從 Lh3表正確地獲取.

B4：h4（Dj||Di||Y||Kij||R1||X）從表 Lh4中正確獲取.

可以得到：

其中：qh3為h3詢問(wèn)的訪問(wèn)次數(shù).

因此，ζ獲到k-mBIDH問(wèn)題的概率如式（6）.

由于?是不可忽略的，ζ得到k-mBIDH問(wèn)題的概率是不可忽略的. 顯然這是矛盾的假設(shè). 綜上所述，不存有概率多項(xiàng)式時(shí)間攻擊者能夠以不可忽略的概率假冒一個(gè)合法的移動(dòng)云服務(wù)提供者.

引理 3安全的密鑰協(xié)商：如果hash函數(shù)（h0，h1，h3，h4）是理想的隨機(jī)函數(shù)，且 ΠU，s和 ΠS，s是接受狀態(tài)，則在本文方案中沒(méi)有一個(gè)多項(xiàng)式攻擊者能夠以不可忽略的概率成功區(qū)分會(huì)話密鑰Kij和隨機(jī)數(shù).

證明攻擊者 A 可以發(fā)起 hi（i = 0，1，3，4）詢問(wèn)、Register詢問(wèn)、Send詢問(wèn)、Corrupt詢問(wèn)和 Test詢問(wèn)，ζ隨機(jī)選擇一個(gè) b ∈{0,1} . 如果b = 1，ζ返回會(huì)話密鑰Kij給A，否則，ζ返回一個(gè)隨機(jī)數(shù)給A. 根據(jù)引理1和引理2證明，如果A能夠成功地區(qū)分Kij和一個(gè)隨機(jī)數(shù)，則A必然能夠解決k-CAA問(wèn)題或kmBIDH問(wèn)題. 顯然這是矛盾的假設(shè). 所以，不存有概率多項(xiàng)式時(shí)間攻擊者能夠以不可忽略的概率成功地區(qū)分會(huì)話密鑰Kij和隨機(jī)數(shù).

定理 1如果 hash 函數(shù)（h0，h1，h3，h4）是理想的隨機(jī)函數(shù)，k-CAA問(wèn)題和k-mBIDH問(wèn)題是困難的，且 ΠU，s和 ΠS，s是接受狀態(tài)，則本文方案是安全的.

證明根據(jù)引理1可知，如果k-CAA問(wèn)題是困難的，則不存在概率多項(xiàng)式時(shí)間攻擊者能夠成功假冒用戶完成認(rèn)證. 根據(jù)引理2可知，如果k-mBIDH問(wèn)題是困難的，則不存在概率多項(xiàng)式時(shí)間攻擊者能夠成功假冒服務(wù)提供者完成認(rèn)證. 根據(jù)引理3可知，如果k-CAA問(wèn)題和k-mBIDH問(wèn)題是困難的，則不存在多項(xiàng)式攻擊者能夠以不可忽略的概率成功區(qū)分會(huì)話密鑰Kij和隨機(jī)數(shù). 除此之外，如果攻擊者發(fā)起Corrupt（Di, Mi）詢問(wèn)，則攻擊者可以獲取移動(dòng)設(shè)備中的秘密參數(shù)（Fi，Vi，T），此時(shí)攻擊者能夠成功猜測(cè)口令的概率為1 024/|DPW| ，其中，|DPW|為口令空間[18-21]，顯然這是可以忽略的. 綜上所述定義2成立，所以定理1成立.

3.2 安全需求分析

（1） 互相認(rèn)證

根據(jù)引理1和引理2可知，不存在概率多項(xiàng)式時(shí)間攻擊者能夠成功假冒用戶或者服務(wù)提供者完成認(rèn)證. 因此，如果用戶和移動(dòng)云服務(wù)提供者均為接受狀態(tài)，則與其通信的參與者確實(shí)是他所宣稱的身份.

（2） 用戶匿名和不可追蹤

本文協(xié)議中，用協(xié)議的會(huì)話密鑰保護(hù)用戶的身份標(biāo)識(shí)Di，根據(jù)引理3可知，不存在概率多項(xiàng)式時(shí)間攻擊者能夠成功地區(qū)分會(huì)話密鑰和隨機(jī)數(shù)，除了通信雙方，任何第三方無(wú)法獲取會(huì)話密鑰，因此，任何第三方無(wú)法獲取用戶的Di，從而保證了用戶的隱私安全. 此外，協(xié)商的會(huì)話密鑰為Kij= h3（Y||X||Yx），而X = gx和Y = gy是新鮮的，因此每次會(huì)話產(chǎn)生的Kij是獨(dú)立的，所以攻擊者無(wú)法追蹤用戶.

（3） 雙因子安全

雙因子安全是指用戶的兩個(gè)認(rèn)證因子中有一個(gè)因子泄露了，不會(huì)對(duì)協(xié)議造成安全威脅. 本文協(xié)議中，用戶的兩個(gè)因子分別為口令和移動(dòng)設(shè)備，當(dāng)口令丟失時(shí)，沒(méi)有移動(dòng)設(shè)備攻擊者無(wú)法從公開(kāi)的信道上傳輸?shù)南⒅谢謴?fù)Ki，從而無(wú)法完成認(rèn)證和密鑰協(xié)商. 另一方面，當(dāng)用戶的移動(dòng)設(shè)備丟失時(shí)，假設(shè)此時(shí)用戶能夠獲取移動(dòng)設(shè)備中的秘密參數(shù)（Fi，Vi，T）、Fi= Ki⊕Ci、V = h2（h3（Ki||Ci））、Ci= h0（Di||Wi||bi），此時(shí)攻擊者仍然無(wú)法成功猜測(cè)口令，因?yàn)榇嬖趞DPW|/1 024個(gè)候選口令滿足等式，因此本文協(xié)議可以提供雙因子安全.

（4） 用戶撤銷和重注冊(cè)

當(dāng)用戶的移動(dòng)設(shè)備丟失或被盜時(shí)，用戶需要向SGC申請(qǐng)重新注冊(cè)，并報(bào)備設(shè)備已經(jīng)丟失，之前的身份標(biāo)識(shí)和秘密參數(shù)值已經(jīng)不能再使用，當(dāng)用戶申請(qǐng)撤銷后，用戶重新申請(qǐng)注冊(cè)時(shí)需要使用一個(gè)新的身份標(biāo)識(shí)，將原來(lái)的身份標(biāo)識(shí)劃入黑名單，并廣播給系統(tǒng)中的每個(gè)移動(dòng)云服務(wù)提供者. 同時(shí)，本文協(xié)議在注冊(cè)時(shí)，SGC 產(chǎn)生秘密值 Ki= 1/（sk+ h1（Di||T））P 時(shí)增加期限T，在期限T內(nèi)Ki有效，過(guò)期需要重新注冊(cè)，所以用戶若是不知道自己的移動(dòng)設(shè)備丟失，在期限T過(guò)后，攻擊者無(wú)法使用移動(dòng)設(shè)備.

（5） 錯(cuò)誤口令登錄修改攻擊

本文協(xié)議中，移動(dòng)設(shè)備中存儲(chǔ)了驗(yàn)證信息V =h2（h3（Ki||Ci））和 Ci= h0（Di||Wi||bi），每次用戶登錄和修改口令，都需要驗(yàn)證輸入的口令是否正確，如果輸入錯(cuò)誤的口令，則移動(dòng)設(shè)備拒絕登錄或修改口令，因此本文協(xié)議可以抗錯(cuò)誤口令登錄、修改引起的拒絕服務(wù)攻擊.

3.3 安全功能對(duì)比

表1將本文方案與最近相關(guān)方案[5,16-18]進(jìn)行安全功能對(duì)比，結(jié)果表明本文方案可抗上述所有攻擊.

表1 安全功能對(duì)比結(jié)果Tab.1 Comparison of security functionality

4 計(jì)算性能分析

由于本方案和He等[16]方案所使用的密碼算法一致，則繼續(xù)沿用He等方案中算法操作的運(yùn)行時(shí)間，移動(dòng)端使用的設(shè)備參數(shù)情況為：Samsung Galaxy S5，四核2.45 GHz處理器，2 GB內(nèi)存，操作系統(tǒng)為Google Andriod 4.4.2. 服務(wù)器端使用的設(shè)備參數(shù)情況為：Dell計(jì)算機(jī)，型號(hào)：I5-4460S，2.90 GHz處理器，4 GB內(nèi)存，操作系統(tǒng)為Window 8. He等方案相關(guān)操作的運(yùn)行時(shí)間如表2所示.

表2 相關(guān)操作運(yùn)行時(shí)間Tab.2 Running time of related operations ms

表 2中：Tbp為雙線性對(duì)的執(zhí)行時(shí)間；Tsm為G1域中點(diǎn)乘的操作時(shí)間；Tmtp為hash函數(shù)H的操作時(shí)間；Tpa為G1域中點(diǎn)加的操作時(shí)間；Texp為G2域中指數(shù)的操作時(shí)間；Tmul為G2域中乘法的操作時(shí)間；Th為一般的hash函數(shù)操作時(shí)間.

表2表明映射到域上的hash函數(shù)H的運(yùn)行時(shí)間最長(zhǎng). 本文方案使用一般的hash函數(shù)h0替代H，掩蓋保護(hù)時(shí)將Ki轉(zhuǎn)換成二進(jìn)制比特序列，登錄時(shí)，將二進(jìn)制比特序列轉(zhuǎn)換成G1域上的大整數(shù)即可.具體實(shí)現(xiàn)過(guò)程為：注冊(cè)時(shí)移動(dòng)設(shè)備存儲(chǔ)的值為Fi=BigIntToBit(Ki)⊕h0(Di||Wi||bi)，登錄時(shí)計(jì)算 Ki= BitTo-BigInt(Fi⊕h0(Di||Wi||bi)). 其中 BigIntToBit( )為大整數(shù)轉(zhuǎn)換為比特序列的函數(shù)，BitToBigInt( )為比特序列轉(zhuǎn)換為大整數(shù)的函數(shù)，這兩個(gè)函數(shù)的計(jì)算代價(jià)非常小，幾乎可以忽略不計(jì)，因此本文方案有效地改進(jìn)了計(jì)算效率.

表3將本文方案與最近相關(guān)方案[5,16-18]進(jìn)行計(jì)算性能對(duì)比，對(duì)比結(jié)果表明本文方案的實(shí)現(xiàn)速度最高.

表3 計(jì)算性能對(duì)比Tab.3 Comparison of computation cost ms

5 結(jié)束語(yǔ)

隨著無(wú)線通信技術(shù)的發(fā)展，移動(dòng)設(shè)備成為生活中必不可少的部分，移動(dòng)云服務(wù)已經(jīng)成為非常受歡迎的網(wǎng)絡(luò)服務(wù)，認(rèn)證和隱私保護(hù)是訪問(wèn)移動(dòng)云服務(wù)的最基本的安全需求. 本文在He等改進(jìn)方案的基礎(chǔ)上設(shè)計(jì)了一個(gè)高效的適用于移動(dòng)云服務(wù)環(huán)境的隱私保護(hù)認(rèn)證協(xié)議. 安全性分析結(jié)果表明，本文設(shè)計(jì)的方案能夠提供各種安全需求并能抗現(xiàn)有的各種攻擊，性能分析結(jié)果表明，本文協(xié)議具有更高效的計(jì)算性能和通信性能. 在以后的工作中，我們將致力于更加高效的、更加實(shí)用化的移動(dòng)云服務(wù)環(huán)境隱私保護(hù)認(rèn)證協(xié)議研究.