云计算是一种继网格计算、分布式计算和对等计算之后的新型计算模式，将大量网络存储资源，计算资源和软件资源统一调度以构成一个计算资源池向云用户提供按需服务^[1].用户海量的数据信息被存储在云服务提供商的数据中心，且多个用户共享云端的各种资源，文献[2]探讨了网络终端安全评估方法与技术，阐述了保证网络终端安全的重要性，当然确保云端服务器的安全性也不容忽视，因此构建一种云端用户与云服务器的之间的安全有效的身份认证机制显得尤其重要^[3].近年来，学者提出了不少基于云计算环境下的身份认证协议^[4-10]，但其中许多认证协议存在着不足之处.云计算环境是一种分布式网络环境，在其中实现全局时钟同步需要有特定的全局时钟服务器和相应的时钟同步协议，不仅实现困难，而且成本高昂.文献[11]方案中使用时间戳来抵抗重放攻击，但是带来了时钟同步问题.文献[12]方案中用户身份标识在不安全信道上明文传输，攻击者可以截获用户身份标识，并以此获得用户的隐私信息.文献[13]从不同角度论述保证网络用户信息隐私的重要性.文献[14]也详细阐述了保护用户匿名性的必要性，并建议使用动态用户身份标识.文献[15]中方案安全性存在着一些问题，不能抵抗云端用户的合谋攻击和free rider行为.云服务器可能需要在同一时间对云计算平台下的大量用户进行认证，保证认证协议的高效率是必须考虑的一个因素，文献[16-17]方案满足高安全性的要求，效率上却存在不足.

本文在分析已有方案的基础之上，针对云计算服务的特点提出了一种适应于云计算环境下的匿名身份认证协议，协议中使用双线性对构造用户动态身份，引入随机数代替时间戳，解决时钟同步问题，云用户和云端服务器之间实现双向认证，共同协商会话密钥，保证云用户和云服务器之间的合法认证.

1 预备知识 1.1 双线性对

设G₁是椭圆曲线群中阶为素数q的加法循环群，G₂是与G₁同阶乘法循环群，P是G₁的生成元，称e：G₁×G₁→G₂是一个双线性映射，如果它满足以下性质^[18]：

(1) 对称性：给定元素P、Q、R∈G₁，a, b∈Z_q^*有e(aP, bQ) = e(P, Q)ab;

(2) 非退化性：存在元素Q，R∈G₁，使得e(Q, R)≠1_G1，其中，1_G1是群G₂的单位元；

(3) 可计算性：对任意的元素Q，R∈G₁，存在一个有效的算法可计算e(Q, R).

1.2 ECDL问题

椭圆曲线离散对数(ECDL)问题：设E是定义在F_p上的椭圆曲线，P∈E(F_p), α∈Z_q.已知aP, P, 求a是困难的^[19].

1.3 符号标识

本文所用到的符号标识如下：

p, q:大素数，如q|p-1；

U_i:云用户i；

ID_i:云用户身份标识；

PW_i:云用户i的口令；

CS:云服务器；

SC:智能卡；

id_i：用户i临时身份标识；

IU_i:用户i真实身份标识索引；

SK：会话密钥；

h():安全的哈希函数；

||:字符串连接运算符；

⊕:字符串异或运算符.

2 匿名认证协议

本文认证协议的场景模型如图 1所示，云用户通过安全信道向云服务器注册，通过普通信道与服务器实现交互认证.协议包括以下阶段：初始化阶段，注册阶段，登录阶段，认证阶段，更改口令阶段.

2.1 初始化阶段

CS选择G₁, G₂, e, p, 使其满足双线性对的要求.选择G₁的生成元P，秘密值x∈Z_p^*和单向哈希函数h():{0, 1}^*->G₁.计算P_ub = x×P；x作为CS私钥秘密保存.公开系统参数{G₁, G₂, e, p, P, P_ub, h()}.

2.2 注册阶段

注册阶段是整个方案的必不可少的阶段，只有注册成功的云用户才能通过云服务器的认证.首先，云用户通过安全通道向云服务器提供注册信息.注册成功后，云服务器会发放相应的智能卡给云用户，其中，智能卡存储与用户相关的信息.具体步骤如下：

(1) 云用户U_i选择身份标识ID_i，口令PW_i和随机数b，计算PW_i⊕b，通过安全通道发送{ID_i，PW_i⊕b}给云服务器CS.

(2) CS收到{ID_i，PW_i⊕b}，在表 1中查询ID_i的唯一性，如果表 1中存在ID_i，表明ID_i已经被注册，拒绝U_i注册请求，否则，选择一随机数n_i，计算A_i = h(ID_ix mod p)⊕PW_i⊕b，B_i =h(ID_i⊕PW_i⊕b), K_i=(PW_i⊕b) -1 × x × n_i × ID_i，IU_i = e(n_i × ID_i , P_ub).

(3) CS将参数{K_i, A_i, B_i, p, h(), P_ub, P, e}存入智能卡SC中，并通过安全信道把SC发放给云用户U_i.

(4) 用户收到智能卡后，把b存到智能卡中，智能卡的参数为{K_i, A_i, B_i, p, h(), P_ub, P, e，b}.

2.3 登录阶段

云用户把SC插入终端读卡器，输入ID_i和PW_i，智能卡计算并比较h(ID_i⊕PW_i⊕b)与B_i是否相等, 若不相等，则终止连接，否则，执行以下操作：

SC选择随机数c < p-1, N₁, 计算：d=A_i⊕PW_i⊕b, C_i=h(ID_i)^cmod p, D_i=C_i×d mod p. W_i=h(ID_i||D_i||N₁), E=c×P_ub，R=c×P，id_i=(PW_i⊕b)/(N₁⊕R+c)×K_i, 发送{id_i, C_i, N₁，E，W_i}至CS.

2.4 认证阶段

云服务器和云用户依据该阶段的中间认证信息来判断对方的合法性.云服务器和云用户之间进行多次交互认证.若有任意一方发现对方的认证信息有误，则终止认证连接，详细执行步骤如下：

(1) CS收到{id_i, C_i, N₁，E，W_i}后，计算R^* = x-1×E, IU_i=e(id_i, (N₁⊕R^*)×P + R^*), 以IU_i为索引检查表 1，若存在以IU_i为索引的ID_i，CS则取出ID_i，并通过认证.若不存在以IU_i为索引的ID_i，CS终止登录请求，否则，继续执行下面步骤.

(2) CS计算d^*=h(ID_i^x mod p), D_i^*= C_i × d^*mod p，W_i^* = h(ID_i||D_i^*||N₁), CS验证W_i^*与W_i是否相等，若不等，则拒绝，否则，CS产生随机数N₂，计算T_i = d^*⊕N₂，V_i = h(ID_i||d^*||T_i||N₂), 发送{id_i, T_i, V_i}至U_i.

(3) U_i收到{id_i, T_i, V_i}后，检查id_i有效性，然后计算N₂^* = d⊕T_i，V_i^* = h(ID_i||d||T_i||N₂^*)，比较V_i^*与V_i，若不相等，终止连接，否则，发送h(ID_i||N₁||N₂^*)至CS.

(4) 云服务器验证h(ID_i| |N₁||N₂)与h(ID_i||N₁||N₂^*)是否相等，若相等，云用户合法，否则，拒绝连接.

(5) 云用户和云服务器计算会话密钥SK=h(ID_i⊕N₁⊕N₂^*)=h(ID_i⊕N₁⊕N₂).

2.5 更改口令阶段

当云用户U_i需要更改口令时，需要执行以下步骤：

(1) U_i把智能卡SC插入终端，输入身份标识ID_i，旧口令PW_i.

(2) SC计算并比较h(ID_i⊕PW_i⊕b)与B_i是否相等, 若不相等，则终止连接，否则，提示用户输入新口令PW_i^new，计算A_i^new=A_i⊕PW_i⊕PW_i^new，B_i^new=h(ID_i⊕PW_i^new⊕b), K_i^new=K_i×(PW_i⊕b)×(PW_i^new⊕b)^-1.

(3) SC用A_i^new，B_i^new, K_i^new，分别替换A_i，B_i，K_i.

3 安全性和效率分析 3.1 正确性证明

认证阶段步骤(1)的等式IU_i=e(id_i, (N₁⊕R^*)×P+R^*)成立，证明如下：

e(id_i, (N₁⊕R^*)×P+R^*)=

e((PW_i⊕b)×(N₁⊕R+c)^-1×K_i, (N₁⊕R^*)×P+x^-1×c×x×P)=

e((PW_i⊕b)×(N₁⊕R+c)^-1×K_i, ((N₁⊕R^*)+c)×P)=

e((PW_i⊕b)×(N₁⊕(c×P)+c)^-1×K_i×(N₁⊕(x^-1×c×x×P)+c), P)=

e((PW_i⊕b)×(PW_i⊕b)^-1×x×n_i×ID_i, P) =

e(x×n_i×ID_i, P)=e(n_i×ID_i, x×P)=e(n_i×ID_i, P_ub)=IU_i

3.2 安全性分析

保证用户匿名性.云用户在网络中传输的信息不包含ID_i的明文，通过引入随机数和双线性对构造用户临时身份id_i，用户的每次会话都使用不同的id_i，改进方案中，由于e的非退化性，IU_i=e(n_i×ID_i, P_ub)唯一确定一个用户ID_i，只有知道CS密钥x，才能计算出IU_i, 进而找到用户真实身份ID_i.否则，计算出IU_i的难度相当于解ECDL问题.攻击者很难计算出用户的真实身份ID_i，也就无法根据用户ID_i了解更多的私密信息，因此保证了用户的匿名性.

抵抗重放攻击.攻击者可能通过重放截获的信息{id_i, C_i, N₁，E，W_i}来发起新的认证.但是在认证阶段步骤(3)，由于无法获得CS密钥x和ID_i, 因此不能构造有效认证信息h(ID_i||N₁||N₂^*), CS在步骤(4)验证时会拒绝认证请求，改进方案使用随机数Nonce代替时间戳，解决了时钟同步的问题，同时可以有效地抵御重放攻击.

实现双向认证.CS首先通过计算IU_i=e(id_i, (N₁⊕R^*)×P+R^*)找到用户真实ID_i实现初步认证，然后CS计算d^*=h(ID_i^x mod p)，T_i = d^*⊕N₂发送给{id_i, T_i, V_i}用户，用户通过验证T_i和T_i^*是否相等来判断CS的合法性，只有在知道S私钥x的情况下才能计算出d^*=h(ID_i^x mod p).如果相等，可证明服务器是真正的服务器，在认证阶段的步骤3, CS判断用户发送的h(ID_i||N₁||N₂^*)的真实性，只有知道用户的ID_i和PW_i，h(ID_i||N₁||N₂^*)才能被服务器正确地验证，因为ID_i和PW_i只有合法用户U_i知道，所以可证明用户是合法的，由此实现了双向认证.

抵抗智能卡丢失攻击.用户在使用智能卡时，需要提交正确的用户标识ID_i^*和口令PW_i^*，智能卡验证h(ID_i^*⊕PW_i^*⊕b)与B_i是否相等，只有验证通过才能发起认证连接.如果攻击者穷举用户ID_i和PW_i，由于ID_i和PW_i都是未知的，攻击者成功的可能性极小，同时智能卡对用户口令的登录验证具有记录功能，当口令错误累计次数到达设定的上限值后将自动锁死，从而防止了此类攻击.

抵抗假冒攻击.如果攻击者要假冒用户，则需要构造出认证信息{id_i, C_i, N₁，E，W_i}来发起连接，而id_i的计算需要知道用户的PW_i，显然是行不通的，同时，在认证阶段的步骤3，h(ID_i||N₁||N₂^*)的计算需要知道用户的ID_i，而ID_i在方案中没有明文传输，攻击者无法获得PW_i和ID_i，假冒用户是不可行的.如果攻击者要冒充云端服务器，方案中计算用户的临时身份索引IU_i和d^*=h(ID_i^x mod p)都需要知道CS的私钥，云端服务器的私钥秘密保存，这就防止了攻击者实施此类攻击.

抵抗内部攻击.云用户在注册阶段发送的注册信息是{ID_i，PW_i⊕b}，其中用户口令PW_i经过异或运算，利用随机数进行了保护，即使云服务器端恶意人员能够接触到{ID_i，PW_i⊕b}，但仍不能获取云用户口令的明文.

实现前向安全性.云用户和云服务器在通过双向认证后，共同计算出会话密钥SK=h(ID_i⊕N₁⊕N₂^*)=h(ID_i⊕N₁⊕N₂)，由于N₁，N₂分别是云用户和云服务器产生的随机数，这保证了云用户每次会话的密钥SK不相同，即使攻击者截获了SK，但仍不能根据SK计算出以前的和以后的会话密钥.从而实现了方案的前向安全性.

3.3 效率分析

文献[12]和文献[20]分别对身份认证方案的指数操作，双线性对操作，乘除法操作计算时间进行了测试.针对异或运算、Hash运算、加密解密运算计算时间.本文使用C语言，基于Microsoft Visual C+ + 6.0平台对以上运算时间进行了测试，如图 2所示.具体计算机硬件参数为处理器Intel(R) Pentium(R) 4 CPU，主频2 GHz，内存256 G，内存1 G.各类运算的平均计算时间如表 2所示.分析可知，本文协议总的处理时间为13T_h+24T_⊕+19T_m+3T_e+2T_b.其中初始化阶段和注册阶段2T_h+6T_⊕+6T_m+1T_e+1T_b.登录认证阶段10T_h+11T_⊕+10T_m+2T_e+1T_b.口令更改阶段1T_h+7T_⊕+3T_m. 表 3将本文协议与几个典型的身份认证方案在总的处理时间上做出了对比，可以看出，文中所提出的协议与其他方案相比，能够抵抗常见的攻击，不但具有更高安全性，同时在效率方面也有一定的优势.

4 结语

本文所提方案使用双线性对构造用户动态身份，防止用户身份泄露带来的不安全问题，同时采用随机数代替时间戳，在能抵抗重放攻击的同时，避免了时钟同步问题，通过理论分析证明了方案的正确性和安全性，同时，从时间复杂度角度对方案的效率做了评估，与已有的方案相比，有一定的优势，可以适用于对安全性要求较高的分布式云计算环境中.