多云環境下基于智能卡的認證方案

趙森，甘慶晴，王曉明，余芳

（暨南大學信息科學技術學院，廣東 廣州 510632）

1 引言

隨著大數據時代的到來，許多企業都選擇運用多云服務對大數據進行存儲與處理。由于云計算環境構建于一種開放的架構和接口之上，因此，可以將多個內部或外部的云服務整合在一起提供協同服務，這種分布式的云計算被稱為“多云”（multicloud）[1]。在多云環境中，當云服務提供商擁有資源不足時，可以借用其他云的虛擬資源，如網絡、服務器、存儲、應用程序和服務。因此，多云服務可以為用戶提供更好的服務，減少數據丟失和傳輸阻塞等風險，還能解決供應商鎖定問題，從而使用戶獲得的服務性能得到改善。然而，多云服務在獲得快速發展的同時，也帶來許多安全問題，如多云環境下的用戶認證、訪問控制、數據隱私安全等。這些都給多云環境下的安全帶來巨大挑戰，使用傳統的安全機制很難應付復雜多變的環境。因此，多云環境下的安全問題已經是當今的研究熱點問題。

認證技術是信息安全的一個重要技術，而身份認證是保護多云安全的一個重要機制，有著舉足輕重的作用。身份認證是識別和證明一個主體是否就是它所聲稱的那個主體的過程，用于鑒別用戶的身份，限制非法用戶訪問系統資源。為了實現用戶與云服務器之間的雙向認證，已有許多安全認證方案被提出，如文獻[1～11]，但它們主要是針對單云服務構建的。在這些方案中，當用戶需要云服務時，首先需要在這個云注冊，從而獲得訪問云服務的密鑰和權力。在多云環境下，直接應用適合單云的認證方案，那么當用戶需要從多個云獲得不同的服務時，用戶就必須向多個云提交注冊信息，以便獲得訪問密鑰和權力。然而，用戶記住和管理多個訪問密鑰是件很困難的事，也是不安全的。更重要的是，隨著注冊云的個數增多，用戶需要保存的訪問密鑰就越多。例如，用戶使用智能卡或移動設備進行認證，那么智能卡或移動設備存儲的訪問密鑰就隨著注冊云的個數呈線性增長，這對存儲能力有限的智能卡或移動設備是不現實的。雖然利用第三方驗證用戶身份，可以降低用戶的存儲和計算費用，但要求所有的認證過程都需要第三方的參與，這必然增加了整個系統的通信費用和計算費用。同時，攻擊者可能采用拒絕服務攻擊等消耗第三方的資源，使第三方壓力倍增，容易造成服務崩潰。此時，當合法用戶想要獲取服務時，第三方不能及時響應用戶的請求。因此，基于單云環境下身份認證方案不能直接、高效地應用多云環境下的身份認證。

針對以上這些問題，提出了一種多云環境下基于智能卡的認證方案。所提方案不需要第三方參與認證，智能卡只需存儲2個訪問密鑰就可以實現與多個云之間的認證和訪問。所提方案解決了多云環境下智能卡存儲的訪問密鑰隨注冊云的個數增加而呈線性增長的問題，有效地減少了智能卡的存儲費用。利用 XOR同態函數和散列函數生成認證信息，有效降低了智能卡和云服務器的計算費用。此外，所提方案也不需要在多云端存儲任何用戶的信息，從而降低了云服務器的存儲和管理費用。安全性分析和性能分析表明，該方案能抵御多種攻擊，是一種安全且高效的方案。

2 相關工作

隨著云計算的不斷發展，基于云計算的認證方案也逐漸成為研究熱點之一，學者們在網絡用戶認證安全的基礎上，分析了云計算在信息安全領域中的特點，提出了一系列云環境下的安全認證方案[3～17]。其中，文獻[3]提出了一個在云環境下的身份認證方案，該方案是基于IBE（基于身份的加密）和IBS（基于身份的簽名）提出來的。文獻[4]采用盲簽名和雙線性對的方法實現了在云環境下的一個聯合身份認證方案。該方案與傳統方案相比，實現了用戶匿名性、防止追蹤以及隱私保護。通過分析，該方案在計算效率和安全性上有很大優勢，但在一些特定的云應用中，該方案也沒有很好地保護用戶隱私。其后，許多改進方案被提出，如文獻[5～7]。Choksi[8]從云環境下的安全和隱私保護技術的角度出發，對比分析了其他方案的特點，進而指出未來發展趨勢和后續研究方向。為了加強認證的安全性，文獻[9]提出了一個多層次認證方案，該方案利用多層結構認證實現訪問云服務控制，且能抵抗虛擬化的攻擊和內部攻擊。文獻[10]提出了一種基于云存儲的認證方案，該方案利用證書和身份的加密（IBC）對訪問云存儲的用戶進行身份驗證。隨后，文獻[11]提出了一個云環境下的多層次圖形密鑰認證方案，利用圖形密鑰實現用戶身份的認證。

針對多云環境下的身份認證模式，學術界已提出了不同的解決辦法和策略。文獻[12]提出了一個在多云環境下具有服務透明的用戶認證方案。在該方案中，定義一個云代理的多云模型，并提出了一個適用于該模型的認證協議。文獻[13]提出了一種保證匿名性的零知識認證協議。該協議能抵抗各種攻擊，可以作為一種安全協議在多云環境中使用。文獻[14]提出了一種將中央機構的秘密值秘密共享給參與主體的思想，并構建了一種混合云統一認證機制。在該方案中，認證中心的工作改由參與主體合作完成，并給出了跨域認證方案和會話密鑰協商方案。文獻[15]提出了一種基于Kerberos的混合云服務中跨云際認證的機制。在這種機制中，云終端采取基于身份認證的方式直接和私有云進行認證，憑借企業私有云發放的票據訪問企業存放在公有云中的數據。Bong等[16]提出了多云環境下的一種快速的用戶認證方法。該方案是基于票證的用戶認證，即用戶首先向云認證中心注冊，當申請云服務時，需要云認證中心進行身份認證，然后發放訪問票據。在這種機制中，云終端采取基于身份認證的方式直接和私有云進行認證，憑借企業私有云發放的票據訪問企業存放在公有云中的數據。然而，這些方案都需要第三方參與認證，整個系統的通信費用和計算費用較高，還存在單點瓶頸等問題。文獻[17]提出了一種分布式移動云計算服務的隱私認證方案，實現移動用戶訪問多個移動云的身份認證。該方案不需要第三方參與，且用戶端存儲的密鑰也是常量。但該方案是基于雙線性對的密碼系統和動態隨機數構造的，計算費用較高。

3 預備知識

3.1 散列函數

散列函數的輸入長度是變長的，但其輸出長度是固定的，該輸出值被稱為散列值。符號采用H(·)表示。散列函數具備以下幾點性質[18]。

1) 輸出長度固定性。任意長度的輸入，得到的輸出結果都是固定長度的。

2) 單向性。如果輸入信息為m，能計算出H(m)，但如果已知H(m)，則無法逆向計算出信息m，散列函數是單向不可逆的。

3) 抗碰撞性。對于任意一個輸入信息m，找出另一個任意信息m'使之滿足m≠m′，則不可能出現H(m)=H(m')的情況。

3.2 XOR同態函數

XOR同態函數指具有異或同態性質的偽隨機函數，它能增強對數據泄露的保護，保證數據的隱私性。它的屬性如下所示[19]。

命題1 對于一個XOR同態函數f，有

命題2 如k1和k2是置換密鑰，則

由于比特置換具有異或同態的性質，可以采用安全置換算法來保證方案的安全性。例如，著名洗牌算法[20]能產生均勻分布的序列。

4 方案設計

所提方案包括可信中心（T）、多云服務器（Sj）和多個用戶（Ui）?？尚胖行闹回撠熒上到y參數和用戶及云服務器的注冊，不參與用戶和多云服務器的認證。所提方案包括5個階段：注冊階段、登錄階段、認證階段、密碼更改階段和密碼撤銷階段。表1列出本文方案涉及的符號及其含義。

表1 本文方案涉及的符號及其含義

4.1 注冊階段

1) 用戶注冊

如果一個用戶想要訪問云端的數據，用戶需要先向可信中心注冊，注冊的步驟如下所示。

Step1用戶Ui選擇他的身份IDi、密碼PWi和一個隨機數α∈（p是一個大素數），并通過安全信道提交H(α||PWi)和IDi信息給可信中心T。

Step2 收到用戶注冊請求后，T選擇隨機數計算用戶的訪問密鑰為(fk(IDi) ,ki)和認證信息，并將壓入智能卡。

圖1 用戶注冊

Step3T通過安全信道發送智能卡給用戶Ui，智能卡中包含參數

Step4 收到智能卡后，用戶Ui輸入隨機數α進入智能卡，最終智能卡中包含的參數為

用戶注冊過程如圖1所示。

2) 云服務器注冊

云服務器Sj按以下步驟完成注冊。

Step1 云服務器Sj發送身份IDsj給可信中心T。

Step2 收到Sj注冊請求后，T選擇隨機數則服務密鑰為 (fk(IDsj),并通過安全通道發送給Sj，完成Sj的注冊。

云服務器注冊過程如圖2所示。

圖2 云服務器注冊過程

4.2 登錄階段

用戶登錄智能卡階段的步驟如下所示。

Step1 用戶Ui插入智能卡進入讀卡器，然后輸入他的身份IDi和密碼PWi。

然后，用戶發送一個登錄請求信息(Vi1,Vi2,Ti)到云服務器Sj。其中，Ti是時間戳。

4.3 認證階段

用戶與云服務器相互認證彼此的合法身份，并協商通信所需的會話密鑰，其步驟如下所示。

Step1 云服務器Sj在接收到信息(Vi1,Vi2,Ti)后，首先檢查時間戳Ti。如果時間戳Ti有效，則云服務器計算然后云服務器Sj驗證等式是否成立。如果等式不成立，則云服務器Sj拒絕認證請求。否則，云服務器Sj接收認證請求，并產生一個隨機數wj，計算

然后發送消息(Si1,Si2,Ts) 給用戶。同時，云服務器Sj可以計算出會話密鑰

Step2 接收到信息(Si1,Si2,Ts) 后，用戶Ui首先檢查時間戳Ts。如果時間戳Ts有效，則用戶Ui計算并驗證式(10)。

如果等式成立，則用戶認定云服務器是合法的。否則，用戶Ui認為消息(Si1,Si2,Ts) 不是服務器發送的合法信息。用戶可以計算出會話密鑰

與此同時，用戶Ui計算確認信息給云服務器。如式(11)所示。

Step3 收到(ρi,Ti′)，云服務器驗證

如果等式成立，則確認對方是具有身份標識IDi的合法用戶。

登錄和相互認證過程如圖3所示。

4.4 密碼更改階段

用戶Ui能在任何時間改變其密碼，更改密碼的步驟如下。

Step1 用戶Ui插入他的智能卡進入智能卡讀卡器，然后輸入用戶的身份IDi和密碼PWi。

Step2 智能卡計算

Step3 輸入新的密碼PWi′后，智能卡計算

4.5 密碼撤銷階段

當用戶注冊成功后，就具有更改密碼的權限，然而，如果當該用戶不想訪問某云服務器時，用戶需要進行密碼撤銷，并且該操作不影響用戶在其他云的訪問權限。為了實現該功能，對于每個云服務器需要進行初始化操作，具體步驟如下所示。

初始化。假設用戶Ui和云服務器Sj已成功注冊，并完成了登錄和相互認證過程，那么云服務器Sj將以合法用戶的身份ID構造函數Fj(x) = (x-ID1) (x-ID2)???(x-IDi-1)。

當有新用戶身份為IDi通過認證時，Sj更新函數Fj(x)為Fj′(x) =Fj(x)(x-IDi)，即

當用戶想要撤銷某個云服務器的密碼時，他能在任何時間內實現該操作，具體步驟如下所示。

Step1 用戶Ui插入他的智能卡進入智能卡讀卡器，然后輸入用戶的身份IDi和密碼PWi。

Step2 智能卡計算fk(IDi)=σi⊕H(α||PWi)，=H(fk(IDi)||IDi)，并驗證等式是否成立。如果等式成立，則用戶Ui允許密碼撤銷。否則，撤銷密碼階段終止。

圖3 登錄和相互認證過程

Step3云服務器Sj計算Fj(IDi) ，并驗證是否成立。如果等式成立，則用戶Ui允許密碼撤銷。否則，撤銷密碼階段終止。云服務器Sj計算

并用Fj′ (x)代替Fj(x)，云服務器Sj最終保存Fj′(x)，從而完成了用戶在該云服務器的密碼撤銷功能。

5 安全性分析

1) 雙向認證

所提方案能實現云服務器與用戶的雙向認證。在提出的方案中，每個用戶都擁有自己的訪問密鑰(fk(IDi) ,ki)，同樣每個云服務器也都擁有自己的服務密鑰(fk(IDsj),。申請服務的用戶只需用自己的訪問密鑰(fk(IDi) ,ki)從云服務器返回的信息(Si1,Si2)獲得λi=fki(IDi⊕ri)，并驗證λi是否是自己發出的身份驗證信息fki(IDi⊕ri)，就可以確認對方是否是用戶申請的合法云服務器Sj。因為只有合法云服務器才能使用自己的服務密鑰(fk(IDsj),)解出秘密驗證信息fki(IDi⊕ri)，并返回確認信息(Si1,Si2)。攻擊者或任何人都無法獲得服務密鑰(fk(IDsj),)，從而也就無法獲得秘密驗證信息fki(IDi⊕ri)，并生成合法的確認信息(Si1,Si2)。同理，云服務器Sj只需驗證用戶返回的信息ρi和自己生成的確認信息fk?(IDsj⊕wj)及會話密鑰ζisj的散列

j

值是否相等就可以確認對方是否為合法的用戶。

2) 不需存驗證表

在所提方案中，云服務器不需要存儲任何的用戶信息的驗證表，只需存儲自己的服務密鑰，降低了云服務器的存儲費用和管理費用。此外，即使攻擊者攻破云服務器，他仍然無法獲得任何用戶的信息。

3) 抵抗偽造攻擊

攻擊者或其他用戶要偽造一個合法用戶Ui申請云服務，他必須偽造一個合法的請求信息(Vi1,Vi2,Ti)，否則無法通過云服務器的驗證。然而，生成合法的請求信息(Vi1,Vi2,Ti)需要合法用戶Ui的訪問密鑰(fk(IDi) ,ki)，而攻擊者或其他用戶無法獲得Ui的訪問密鑰(fk(IDi) ,ki)。因此，他們也就無法偽造出合法的請求信息(Vi1,Vi2,Ti)。同理，攻擊者或其他服務器無法獲得云服務器Sj的服務密鑰(fk(IDsj),，因此，他們也無法偽造出合法的確認信息(Si1,Si2)。此外，從信息(Vi1,Vi2,Ti)或(Si1,Si2)也無法計算出訪問密鑰(fk(IDi) ,ki)和服務密鑰(fk(IDsj),。因此，所提方案能抵抗偽造攻擊。

4) 抵抗重放攻擊

在所提方案中，加入時間戳(Ti,Ts,Ti’) 檢查，從而能判斷是否是重放信息。如果一個攻擊者截獲用戶發給云服務器的請求信息(Vi1,Vi2,Ti) ，并修改時間戳，則云服務器通過驗證就可以發現偽造的時間戳。同理，用戶也可以通過驗證發現偽造的時間戳。因此，該方案可以抵抗重放攻擊。

5) 協商會話密鑰

在所提方案中，用戶和云服務器各自獨立計算一個共同的會話密鑰

6) 抵抗智能卡丟失攻擊

假設用戶的智能卡丟失了或被盜了，攻擊者可以從智能卡存儲的信息中提取出(σi,,α,H(·))。然后，如果攻擊者試圖利用這些信息更改用戶的密碼或登錄系統，那么他必須同時知道用戶的真實身份IDi和正確的密碼PWi。如果試圖密碼猜測攻擊，但用戶登錄智能卡的驗證次數會被預先設定（一般設置為3次）。如輸入密碼超過3次，就自動鎖死。因此，所提方案可以抵抗智能卡攻擊，是安全的。

7) 前向保密

前向保密意味著即使云服務器的私有密鑰被泄露，也不應該影響先前建立的會話密鑰的保密性。在本文所提方案中，用戶和云服務器獨立地計

然后，使用該會話密鑰來加密之后通信的數據分組，以確保通信是保密的。此外，會話密鑰是由隨機數和一個單向散列函數生成的。因此，會話密鑰在每次通信中都是不同的。且由單向散列函數的性質可知，攻擊者很難從被截取的消息中計算出會話密鑰。算會話密鑰

該會話密鑰包含2個隨機數(ri,wj)，每次會話過程中的隨機數都是不同的。因此，即使云服務器的私鑰被泄露也不可能破解用戶與云服務器先前的通信信息。

8) 抵抗內部攻擊

在注冊階段，用戶發送注冊信息(IDi,H(α||PWi))給可信中心T。其中，用戶的密碼并未將明文發送給可信中心，而是通過單向散列函數H(.)進行了保護，使T不可能知道用戶的密碼PWi和隨機數α，從而使用戶不受內部攻擊。因此，該方案可以抵抗內部攻擊。

9) 抵抗stolen-verifier攻擊和modification攻擊

10) 密碼更改的友好性

本文方案允許用戶在任何時間更改其密碼PWi。如果用戶想要改變他的密碼，首先他需要登錄智能卡。當登錄成功后，他可以輸入新的密碼，智能卡將為其重新計算并用(′)代替(最后智能卡包含公共參數′,α,H(.))。由于密碼更改階段是在智能卡上執行，不存在安全漏洞。

11) 安全的密碼撤銷

本文方案允許用戶在任何時間撤銷其在某云服務器中的密碼PWi。如果用戶想要撤銷他的密碼，首先他需要登錄智能卡。當登錄成功后，云服務器Sj需要先驗證是否成立。如果成立，說明用戶和云服務器完成了相互認證，具備密碼撤銷的權限，那么云服務器Sj執行相應的操作完成密碼撤銷。如果不成立，則說明該用戶沒有和云服務器相互認證，不具備密碼撤銷的權限，那么就無法執行撤銷密碼的操作。并且用戶撤銷了某一個云服務器的密碼，不影響該用戶在其他云服務器中的訪問權限。

6 性能分析

本節將從存儲費用、是否需要第三方參與認證、通信費用、計算費用等方面分析所提認證方案的性能，并將本文方案和已有方案進行對比，如表2所示。其中計算費用主要比較了認證過程中用戶和服務器的計算時間。

從存儲費用來說，本文方案中用戶只存儲訪問密鑰(fk(IDi) ,ki)，不隨著注冊云服務器增多而增多，且服務器也不需要存儲用戶的認證信息，只需存儲服務密鑰(fk(IDsj),以及用于實現密碼撤銷的函數Fj(x)。文獻[13～15,17]只需用戶存儲常量的秘密信息，所以文獻[13～15,17]和本文方案的存儲費用均為O(1)。但文獻[13～15]都需要第三方參與認證，而文獻[17]和本文方案不需要第三方參與認證。

從通信費用來說，由于第三方參與認證，云服務器在收到用戶的請求并經過相關處理后發送給第三方，第三方認證問題再將認證結果和會話秘鑰嵌入消息發回給云服務器，云服務器處理結果后提取出共享的密鑰發回用戶。因此，文獻[13～15]都需要產生4次通信。而文獻[17]和本文方案認證過程只需 3次通信。因此，文獻[17]和本文方案具有較低的通信費用，優于文獻[13～15]。

表2 本文方案與已有方案對比

從計算費用來說，所提方案利用 XOR同態函數和散列函數實現了用戶和多云之間的認證。沒有使用雙線性對等公鑰密碼技術，因此，計算費用非常低。而文獻[17]通過使用雙線性對進行認證，所以，本文方案比文獻[17]具有更低的計算費用。

7 結束語

身份認證作為多云服務的第一道安全保障，顯得尤為重要。本文通過智能卡和密碼雙因素保證用戶身份信息，并利用XOR同態函數和散列函數生成認證信息，從而有效降低了智能卡和云服務器的存儲費用和計算費用。通過安全分析和性能分析，證明了本文方案不僅是安全的，而且計算和存儲費用較小，更符合智能卡或移動設備使用的應用場景。

參考文獻：

[1]PATI M,RAO G R. Integrity verification in multi-cloud storage using cooperative provable data possession [J]. International Journal of Computer Science and Information Technologies(IJCSIT),2014,5(2):982-985.

[2]CHATURVEDI A,DAS A K,MISHRA D,et al. Design of a secure smart card-based multi-server authentication scheme[J]. Journal of Information Security and Applications,2016,30: 64-80.

[3]LI H,DAI Y,TIAN L,et al. Identity-based authentication for cloud computing[M]. Cloud Computing. Springer Berlin Heidelberg,2009:157-166.

[4]ZHANG Q,LI Y Z,SONG D J. et al. Alliance-authentication protocol in cloud computing environment[J]. China Communications,2012,7:42-54.

[5]CHEN T H,YEH H L. SHIH W K. An advanced ECC dynamic ID-based remote mutual authentication scheme for cloud computing[C]//5th FTRA International Conference on Multimedia and Ubiquitous Engineering (MUE). 2011: 155-159.

[6]YASSIN A,JIN H,IBRAHIM A,et al. A practical privacy-preserving password authentication scheme for cloud computing[C]//2012 IEEE 26th International Parallel and Distributed Processing Symposium Workshops and PhD Forum. 2012:21-25.

[7]JAIDHAR D. Enhanced mutual authentication scheme for cloud architecture[C]//2013 IEEE 3rd International Advance Computing Conference (IACC). 2013:70-77.

[8]CHOKSI S. Comparative study on authentication schemes for cloud computing[J]. International Journal of Engineering Development and Research(JIEDR),2014,2(2): 1-7.

[9]SINGH A,CHATTERJEE K. A secure multi-tier authentication scheme in cloud computing environment[C]//2015 International Conference on Circuit,Power and Computing Technologies (ICCPCT). 2015: 2-8.

[10]MEDHIOUB M,HAMDI M,KIM T. A new authentication scheme for cloud-based storage applications[C]//The 9th International Conference on Security of Information and Networks. 2016: 57-60.

[11]KAUR R,KAUR A. Enhancing authentication schemes for multi-level graphical password in cloud environment,communications on applied electronics (CAE)[C]// Foundation of Computer Science FCS.2016:12-18.

[12]LEE J,SON J,KIM H,et al. An authentication scheme for providing to user service transparency in multicloud environment[J]. Journal of the Korea Institute of Information Security and Cryptology,2013,23(6):1131-1141.

[13]KIM H,CHUNG H,KANG J. Zero-knowledge authentication for secure multi-cloud computing environments[C]//Advances in Computer Science and Ubiquitous Computing. Lecture Notes in Electrical Engineering,2015: 255-261.

[14]田俊峰,孫可輝. 基于 HIBC的云信任分散統一認證機制[J]. 計算機研究與發展,2015,52(7):1660-1671.TIAN J F,SUN K H. Trusted-distributed-based authentication mechanism using hierarchical identity-based cryptography[J]. Journal of Computer Research and Development,2015,52(7):1660-1671.

[15]周藝華,蒿金志,趙航. 混合云服務中的跨云際認證機制[J]. 計算機系統應用,2015,24(4):118-122.ZHOU Y H,HAO J Z,ZHAO H. Authentication mechanism of crossing clouds in hybrid cloud services[J]. Computer Systems and Applications,2015,24(4):118-122.

[16]BONG J,SUH Y,SHIN Y. Fast user authentication method considering mobility in multi-clouds[C]//2016 International Conference on Information Networking (ICOIN). 2016:445-448.

[17]TSAD J L,LO N W. A privacy-aware authentication scheme for distributed mobile cloud computing services[J]. IEEE Systems Journal,2015,9(3):1-11.

[18]CORON J S,DODIS Y,MALINAUD C,et al. Merkle-Damg?rd revisited: How to construct a hash function[C]//Advances in Cryptology-CRYPTO 2005. 2005: 430-448.

[19]REN S Q,TAN B H,SUNDARAM S,et al. Secure searching on cloud storage enhanced by homomorphic indexing[J]. Future Generation Computer Systems,2016,65: 102-110.

[20]ADE-IBIJOLA O. A simulated enhancement of Fisher-Yates algorithm for shuffling in virtual card games using domain-specific data structures[J]. International Journal of Computer Applications,2012,54(11):24-28.