李學(xué)峰，張俊偉，馬建峰

?

UCAP：云計(jì)算中一種PCL安全的用戶認(rèn)證協(xié)議

李學(xué)峰1,2，張俊偉2，馬建峰2

（1. 青海廣播電視大學(xué)教育信息技術(shù)與資源建設(shè)中心，青海 西寧 810008；2. 西安電子科技大學(xué)計(jì)算機(jī)學(xué)院，陜西 西安 710071）

云計(jì)算利用網(wǎng)絡(luò)使IT服務(wù)變得彈性可變，如果用戶需要登錄到云端來(lái)使用服務(wù)與應(yīng)用，系統(tǒng)需要確保使用者的身份合法，才能為其服務(wù)。為此，提出一種面向云計(jì)算協(xié)議組合邏輯（PCL, protocol composition logic）安全的用戶認(rèn)證協(xié)議（UCAP）。UCAP引入了可信第三方，使用基于對(duì)稱加密密鑰的認(rèn)證方法，確保參與認(rèn)證雙方的相互認(rèn)證，實(shí)現(xiàn)協(xié)議會(huì)話的認(rèn)證性和密鑰機(jī)密性。協(xié)議主要分成2個(gè)階段：初始認(rèn)證階段，由可信第三方生成根會(huì)話密鑰后，認(rèn)證雙方相互認(rèn)證；重認(rèn)證階段，不需要可信第三方的參與，認(rèn)證雙方快速生成子會(huì)話密鑰并實(shí)現(xiàn)相互認(rèn)證。在協(xié)議組合邏輯模型下給出所提協(xié)議的形式化描述并利用順序組合證明方法分析了所提協(xié)議的安全屬性。同其他相關(guān)協(xié)議比較及實(shí)驗(yàn)分析表明，UCAP在不影響安全性的前提下，提高了用戶認(rèn)證的通信與計(jì)算效率，不但在重認(rèn)證階段不依賴可信第三方，而且整個(gè)過(guò)程不依賴可信第三方同步時(shí)鐘。

云計(jì)算；用戶認(rèn)證；協(xié)議組合邏輯；機(jī)密性；相互認(rèn)證

1 引言

基于互聯(lián)網(wǎng)技術(shù)的云計(jì)算模型被視為下一代IT技術(shù)，它以資源租用、應(yīng)用托管、服務(wù)外包為核心，迅速成為計(jì)算機(jī)技術(shù)發(fā)展的熱點(diǎn)[1]。云計(jì)算的開放性和復(fù)雜性決定了其安全性面臨著比傳統(tǒng)信息系統(tǒng)更為嚴(yán)峻的挑戰(zhàn)[2-3]。作為安全需求的第一道防線，身份認(rèn)證也面臨著新的挑戰(zhàn)與威脅，這就需要一個(gè)有效的身份認(rèn)證協(xié)議。

面對(duì)云計(jì)算安全威脅，需要采用加強(qiáng)身份認(rèn)證機(jī)制，即相互認(rèn)證等多種辦法，來(lái)保護(hù)云計(jì)算環(huán)境下的用戶數(shù)據(jù)。

云安全聯(lián)盟（CSA, cloud security alliance）在《云計(jì)算安全指南（3.0）》中提出了身份認(rèn)證即服務(wù)的概念，它包括云服務(wù)中的身份、權(quán)限及授權(quán)或訪問(wèn)管理中任何一部分的管理工作，身份認(rèn)證即服務(wù)也是安全即服務(wù)的一項(xiàng)重要內(nèi)容。當(dāng)用戶試圖訪問(wèn)云計(jì)算服務(wù)時(shí)，借助身份提供商（IdP, identity provider）的協(xié)助，完成與云服務(wù)提供商（CSP, cloud service provider）的認(rèn)證。因此，通過(guò)可信第三方（TTP, trusted third party）協(xié)助用戶與CSP相互認(rèn)證，對(duì)CSP來(lái)說(shuō)降低了安全成本，對(duì)用戶來(lái)說(shuō)能夠明確他們所獲得的安全服務(wù)，同時(shí)使CSP遵守清晰、一致的服務(wù)標(biāo)準(zhǔn)。

基于密碼技術(shù)的認(rèn)證協(xié)議從協(xié)議設(shè)計(jì)的角度可分為無(wú)信任管理中心和有信任管理中心這2類。在無(wú)信任管理中心認(rèn)證協(xié)議中，一般有基于口令[4-5]、基于用戶生物特征[6]、基于雙方持有秘密[7]的認(rèn)證協(xié)議；在有信任管理中心的認(rèn)證協(xié)議中，一般可以分為基于對(duì)稱密鑰的認(rèn)證協(xié)議[8-9]和基于非對(duì)稱密鑰的認(rèn)證協(xié)議[10-11]。通過(guò)分析可知，上述協(xié)議雖然存在一些不足，但采用有信任管理中心基于對(duì)稱加密的身份認(rèn)證機(jī)制是一個(gè)可取的辦法。

使用TTP協(xié)助通信雙方相互認(rèn)證，為避免重放攻擊，一般要求通信雙方與TTP時(shí)鐘保持同步，但在分布式云環(huán)境下，由于變化的和不可預(yù)見的網(wǎng)絡(luò)時(shí)延的特性，很難做到較好的時(shí)鐘同步。因此，需要避免時(shí)鐘同步的缺陷。

當(dāng)用戶與CSP完成認(rèn)證后，為了保證雙方會(huì)話的安全性，協(xié)議應(yīng)能快速更新會(huì)話密鑰。為減少運(yùn)行開銷且更好地適用云環(huán)境公開通信的應(yīng)用需求，更新會(huì)話密鑰時(shí)不需要TTP的參與。

另外，在云計(jì)算環(huán)境下所設(shè)計(jì)的協(xié)議需要保證其在獨(dú)立計(jì)算情況下是安全的，在網(wǎng)絡(luò)環(huán)境下的運(yùn)行也是安全的?；谶壿嫷膮f(xié)議組合（PCL, protocol composition logic）[12]模型是形式化證明協(xié)議安全屬性正確性的一種有效方法。目前，PCL已經(jīng)用于證明基于Differ-Hellman的密鑰交換和簽名的STS協(xié)議族[12]（如IKEv2協(xié)議等）、Needham-Schroeder協(xié)議族[13]（如Kerberos V5協(xié)議[14]）以及WLAN安全標(biāo)準(zhǔn)[15]（如IEEE802.11i協(xié)議[16]和4G無(wú)線安全接入方案[17]）等。

根據(jù)上述云計(jì)算身份認(rèn)證和協(xié)議安全性的需求，本文提出的用戶身份認(rèn)證協(xié)議具有以下特點(diǎn)：1) 滿足協(xié)議組合安全；2) 基于對(duì)稱加密的相互認(rèn)證；3) 可信第三方協(xié)助認(rèn)證；4) 不依賴時(shí)鐘同步；5) 支持快速密鑰更新，更新時(shí)不涉及TTP。

2 相關(guān)工作及PCL模型

2.1 相關(guān)工作

近年來(lái)，許多學(xué)者針對(duì)云環(huán)境下身份認(rèn)證的問(wèn)題做了大量工作。文獻(xiàn)[8-9]基于對(duì)稱密碼體制，解決了用戶認(rèn)證問(wèn)題，但該協(xié)議依賴時(shí)鐘同步，如果TTP或票據(jù)服務(wù)器任何一個(gè)服務(wù)終止，用戶將無(wú)法繼續(xù)認(rèn)證，且用戶身份認(rèn)證的計(jì)算開銷和通信開銷較大。文獻(xiàn)[18]采用基于公鑰的密碼體制解決了用戶與CSP之間的身份認(rèn)證問(wèn)題，但公鑰證書的管理和維護(hù)會(huì)消耗巨大的計(jì)算資源。文獻(xiàn)[19]面向云存儲(chǔ)提出基于口令的三方認(rèn)證密鑰交換協(xié)議，解決了數(shù)據(jù)接收方和數(shù)據(jù)發(fā)送方的認(rèn)證，但由于采用的混沌映射系統(tǒng)復(fù)雜性高，序列性質(zhì)不易控制。文獻(xiàn)[20-21]面向云計(jì)算數(shù)據(jù)存儲(chǔ)提出了基于橢圓曲線的認(rèn)證機(jī)制，與RSA方案相比，該機(jī)制有效降低了計(jì)算成本。文獻(xiàn)[22-23]面向云計(jì)算提出了基于分層身份管理的認(rèn)證思想，解決了證書管理問(wèn)題。文獻(xiàn)[24]面向云計(jì)算提出了基于身份的用戶認(rèn)證協(xié)議，雖然加強(qiáng)了用戶的安全屬性，但認(rèn)證過(guò)程仍需指數(shù)運(yùn)算。

上述文獻(xiàn)不能完全滿足前述云計(jì)算環(huán)境下身份認(rèn)證協(xié)議的特點(diǎn)。因此，本文基于身份認(rèn)證即服務(wù)的思想提出一種基于對(duì)稱加密的、由可信第三方協(xié)助的、支持快速密鑰更新的、可組合的身份認(rèn)證協(xié)議（UCAP）。該協(xié)議包含初始認(rèn)證和重認(rèn)證這2個(gè)階段。初始認(rèn)證階段：TTP分發(fā)相互認(rèn)證實(shí)體的根會(huì)話密鑰；重認(rèn)證階段：不需要TTP的參與，快速生成子會(huì)話密鑰。本文給出了UCAP的系統(tǒng)模型和方案描述，在PCL模型下描述了協(xié)議Cord演算、前提條件、不變量，并使用順序組合證明方法證明了協(xié)議的認(rèn)證性和機(jī)密性。最后與其他文獻(xiàn)方案進(jìn)行比較，結(jié)果顯示：與文獻(xiàn)[17,19]相比，UCAP不依賴同步時(shí)鐘；與文獻(xiàn)[17,19,21,24]相比，UCAP具有較高的計(jì)算效率、通信效率，且能快速生成子會(huì)話密鑰。

2.2 PCL系統(tǒng)

PCL是一種支持協(xié)議屬性證明的Floyd-Hoare類型的邏輯推導(dǎo)模型，它由Cord演算、協(xié)議邏輯（包括語(yǔ)法和語(yǔ)義邏輯）、證明系統(tǒng)組成[12,14]。

協(xié)議組合邏輯是邏輯地證明網(wǎng)絡(luò)協(xié)議的安全屬性，使用Cord來(lái)描述協(xié)議行為。PCL提供了組合證明方法（compositional proof method）和抽象改進(jìn)方法（abstraction and refinement methodology）這2類可組合安全證明方法[12]。本文使用的術(shù)語(yǔ)、行為和串等相關(guān)語(yǔ)法、PCL邏輯語(yǔ)法、協(xié)議動(dòng)作公理可參考文獻(xiàn)[12]。

2.3 PCL組合證明方法

安全證明包含個(gè)體行為，保證屬性的局部論證和忠實(shí)的遵循協(xié)議誠(chéng)實(shí)主體的全局論證。多數(shù)協(xié)議證明使用式[]，它表示從狀態(tài)為真的狀態(tài)開始，在線程執(zhí)行動(dòng)作之后，也為真。協(xié)議組合邏輯PCL采用標(biāo)準(zhǔn)邏輯概念，提出認(rèn)證屬性是協(xié)議動(dòng)作之間的時(shí)間匹配關(guān)系，只推理誠(chéng)實(shí)主體的動(dòng)作即可證明攻擊下協(xié)議的安全性，并通過(guò)邏輯公理和模塊化推理方法支持復(fù)雜安全協(xié)議的組合推理，可以用來(lái)證明安全協(xié)議的認(rèn)證性和機(jī)密性等安全屬性。順序組合證明方法的主要思想是：首先分析子協(xié)議的安全性，并將前一步的證明分解為2個(gè)部分，一部分使用誠(chéng)信準(zhǔn)則（honest rule）證明協(xié)議的不變量，另一部分不使用honest rule，將不變量作為假設(shè)證明協(xié)議；接著在更弱的前提下，協(xié)議的安全屬性應(yīng)該能夠得到保證；然后應(yīng)用順序規(guī)則，將二者進(jìn)行順序組合；最后證明組合后的不變量對(duì)2個(gè)子協(xié)議都成立。由此可以得出，子協(xié)議的安全性在順序組合下得到保證。

3 系統(tǒng)模型及安全目標(biāo)

3.1 系統(tǒng)模型

本文方案的協(xié)議模型如圖1所示，模型主要由用戶、云服務(wù)提供商和可信第三方組成。

圖1 本文方案的協(xié)議模型

1) 用戶（User）：用戶需要與云服務(wù)提供商進(jìn)行數(shù)據(jù)交換或需要云服務(wù)提供商提供服務(wù)，可能是一個(gè)用戶或一個(gè)企業(yè)。在獲取會(huì)話密鑰后，經(jīng)過(guò)安全傳輸，用戶可以訪問(wèn)服務(wù)提供商提供的相關(guān)服務(wù)。

2) 云服務(wù)提供商（CSP）：CSP負(fù)責(zé)提供云解決方案，在與用戶協(xié)商會(huì)話密鑰后，與用戶建立會(huì)話，并提供相關(guān)服務(wù)。

3) 可信第三方（TTP）：TTP是一個(gè)可信實(shí)體，它總是行為誠(chéng)實(shí)的，并將得到用戶和云服務(wù)提供商的信任，即它按照協(xié)議規(guī)范做出反應(yīng)，而不會(huì)參與任何破壞其他主體安全的活動(dòng)，在TTP的幫助下，用戶和云服務(wù)提供商這2個(gè)主體之間即便完全不認(rèn)識(shí)，也可以實(shí)現(xiàn)相互認(rèn)證和安全傳輸。TTP主要負(fù)責(zé)生成參與主體的會(huì)話密鑰。

本文引入的TTP從密碼學(xué)協(xié)議設(shè)計(jì)角度上看，是邏輯存在的，在現(xiàn)實(shí)部署中，TTP可以租用，也可以由CSP自身維護(hù)，本文所指TTP在其他文獻(xiàn)中可能稱為PKG（private key generator）、KGC（key generate center）或KDC（key distribution center）。

3.2 敵手模型

1) TTP是可信的，并且不會(huì)泄露密鑰，也不會(huì)泄露與其他用戶間的共享長(zhǎng)期密鑰。

2) 信道被敵手控制，整個(gè)網(wǎng)絡(luò)通信環(huán)境是不可信的，敵手可以對(duì)數(shù)據(jù)流進(jìn)行修改或偽造。

3) 假設(shè)敵手不能攻破底層的密碼算法而獲取相關(guān)密鑰。

4) 假設(shè)敵手不能攻陷TTP。

3.3 安全目標(biāo)

總體來(lái)說(shuō)，本文有以下安全目標(biāo)：1) 確保長(zhǎng)期共享密鑰和會(huì)話密鑰的機(jī)密性和認(rèn)證性；2) 確保會(huì)話密鑰的機(jī)密性；3) 確保會(huì)話密鑰的時(shí)限性。

用戶、CSP預(yù)先與TTP安裝了長(zhǎng)期共享密鑰，在初始認(rèn)證階段有以下安全目標(biāo)。

1) 用戶、CSP與TTP進(jìn)行身份認(rèn)證以確保其認(rèn)證性。

2) TTP生成并分發(fā)根會(huì)話密鑰，會(huì)話密鑰具有機(jī)密性，即會(huì)話密鑰除TTP外僅由用戶、CSP共享。

3) 會(huì)話密鑰具有機(jī)密性。

在重認(rèn)證階段有以下安全目標(biāo)。

1) 用戶與CSP進(jìn)行相互認(rèn)證以確保認(rèn)證性。

2) CSP驗(yàn)證確保密鑰時(shí)限性。

3) 用戶與CSP更新子會(huì)話密鑰。

4) 確保更新后的會(huì)話密鑰具有機(jī)密性。

4 方案描述

UCAP涉及3個(gè)主體：用戶、CSP、TTP，分別用來(lái)表示，其中，分別和共享長(zhǎng)期會(huì)話密鑰E、E。在云計(jì)算環(huán)境中，與進(jìn)行安全傳輸時(shí)，必須要通過(guò)的許可才可以進(jìn)行下一個(gè)動(dòng)作，在本協(xié)議模型中，和為參與者，他們與分別共享長(zhǎng)期密鑰K、K，并約定一種對(duì)稱加密機(jī)制，E(·)表示使用密鑰執(zhí)行對(duì)稱加密操作。這時(shí)，需要參與云計(jì)算的每一方在注冊(cè)并與共享長(zhǎng)期會(huì)話密鑰。

本協(xié)議可分為2個(gè)階段，初始認(rèn)證階段（密鑰生成、認(rèn)證階段）和重認(rèn)證階段。具體描述如下。

4.1 初始認(rèn)證階段

假設(shè)和與的長(zhǎng)期共享密鑰由進(jìn)行管理，并且使用統(tǒng)一的對(duì)稱加密算法，例如AES或DES等。

1)將自己的標(biāo)識(shí)和加密信息發(fā)送給預(yù)期接收的對(duì)象，此時(shí)的加密信息是將用戶產(chǎn)生的隨機(jī)數(shù)R以及和的標(biāo)識(shí)用與的長(zhǎng)期共享密鑰E進(jìn)行加密。

2)把從接收到的加密信息連同自己產(chǎn)生的時(shí)間戳T的標(biāo)識(shí)、會(huì)話密鑰有效期限和共享的長(zhǎng)期共享密鑰進(jìn)行加密，再將加密結(jié)果和的標(biāo)識(shí)、的標(biāo)識(shí)以及產(chǎn)生的隨機(jī)數(shù)一起發(fā)送給可信第三方機(jī)構(gòu)。

(2)

3)在接收到來(lái)自的消息后解密，然后生成2個(gè)消息并保留產(chǎn)生的隨機(jī)數(shù)R，第一個(gè)消息由的標(biāo)識(shí)、與間的會(huì)話密鑰的隨機(jī)數(shù)R、的時(shí)間戳T以及會(huì)話密鑰有效期限組成，用和的長(zhǎng)期共享密鑰（E）對(duì)所有第一個(gè)消息進(jìn)行加密；第二個(gè)消息由的標(biāo)識(shí)、與間的會(huì)話密鑰、的時(shí)間戳T以及會(huì)話密鑰有效期組成，用和的長(zhǎng)期共享密鑰對(duì)所有第二個(gè)消息進(jìn)行加密，然后將這2個(gè)消息連同的隨機(jī)數(shù)一起發(fā)送給。

4)解密第一個(gè)消息，提取與間的會(huì)話密鑰，并確認(rèn)R的值是否與1)中的值一樣。發(fā)送2個(gè)消息給，第一個(gè)消息是從接收到的用E加密的消息，第二個(gè)消息是用與間的會(huì)話密鑰加密的的隨機(jī)數(shù)R。

5) 隨后，用它的密鑰解密消息，提取與間的會(huì)話密鑰密鑰有效期，并確認(rèn)R的值是否與2)中的值一致。

如果時(shí)間戳和隨機(jī)數(shù)都匹配，和就會(huì)相信對(duì)方的身份，并共享一個(gè)會(huì)話密鑰。協(xié)議中的時(shí)間戳僅相對(duì)于的時(shí)間，所以不需要同步時(shí)鐘，只需要檢查自己產(chǎn)生的時(shí)間戳即可。

4.2 重認(rèn)證階段

假設(shè)和完成了上述的協(xié)議，然后終止連接，如需重認(rèn)證則不必依賴，且能夠在3步之內(nèi)重認(rèn)證。

1)將在4.1節(jié)的3)中發(fā)給它的“票據(jù)密鑰”和一個(gè)新的隨機(jī)數(shù)與的標(biāo)識(shí)發(fā)送給云服務(wù)提供商。

重認(rèn)證過(guò)程可以多次重復(fù)，直到過(guò)期為止，另外，新的隨機(jī)數(shù)也防止了重放攻擊。

5 基于PCL的協(xié)議安全性分析

5.1 UCAP形式化描述

分別以角色執(zhí)行動(dòng)作Cord的描述，如表1所示。

5.2 前提條件、安全屬性和不變量

5.2.1 前提條件

UCAP方案包括這3個(gè)主體，且與分別有共享會(huì)話密鑰和，UCAP的2個(gè)階段的前提條件如表2所示。

5.2.2 安全屬性

UCAP中用來(lái)分配與間的會(huì)話密鑰及會(huì)話票據(jù)，其安全屬性包括認(rèn)證性和機(jī)密性。UCAP的2個(gè)階段的安全屬性如表3所示。

5.2.3 不變量

在UCAP中，利用PCL中的誠(chéng)實(shí)準(zhǔn)則，基于角色的協(xié)議動(dòng)作順序以及與的會(huì)話密鑰的不變量描述如表4所示。

表1 A、B、S角色執(zhí)行動(dòng)作Cord的描述

表2 UCAP的前提條件

表3 UCAP安全屬性

表4 UCAP的不變量

5.3 安全性證明

在UCAP第一階段、第二階段中，根據(jù)的Cord演算、前提條件、不變量，分別基于的角色進(jìn)行安全性證明，由于篇幅限制，本節(jié)只給出基于角色的證明過(guò)程，詳細(xì)證明過(guò)程參見附錄I和附錄II，基于角色的證明過(guò)程類似于角色的證明過(guò)程。

由于篇幅限制，定理1和定理2的證明過(guò)程見附錄I和附錄II。

定理3和定理4的證明過(guò)程與定理1和定理2的證明過(guò)程類似。

5.4 組合安全性

UCAP由1和2的協(xié)議順序組合而成，UCAP的證明使用PCL中順序組合的安全性證明方法。

證明 協(xié)議順序組合的安全性證明如下。

證畢。

其他參與方的證明過(guò)程與的證明過(guò)程類似，通過(guò)證明可以得出，UCAP方案在第一階段和第二階段具有相應(yīng)的安全屬性，順序組成形成UCAP整體方案時(shí)也具有相應(yīng)的安全屬性。接下來(lái)，通過(guò)定性與定量相結(jié)合的方法來(lái)對(duì)相關(guān)協(xié)議進(jìn)行比較。

表6 協(xié)議性能比較

6 相關(guān)協(xié)議比較

為了有效地說(shuō)明新協(xié)議UCAP的性能優(yōu)勢(shì)，從理論和實(shí)驗(yàn)這2個(gè)層面對(duì)上述協(xié)議參與方進(jìn)行了對(duì)比分析，分別如表5~表7和圖2所示。為統(tǒng)一比較，將文獻(xiàn)中所提協(xié)議進(jìn)行命名，其中，文獻(xiàn)[8]記為Kerberos，文獻(xiàn)[19]記為3PAKE，文獻(xiàn)[21]記為EPP，文獻(xiàn)[24]記為IDP。

表5從協(xié)議功能上對(duì)本文所提UCAP與其他相關(guān)協(xié)議進(jìn)行了總結(jié)，具體符號(hào)含義如下。

F1：TTP參與。

F2：依賴時(shí)鐘同步。

F3：快速生成會(huì)話密鑰，更新時(shí)不涉及TTP。

F4：基于對(duì)稱的認(rèn)證機(jī)制。

F5：相互認(rèn)證。

F6：密鑰建立。

F7：已知會(huì)話密鑰安全性。

F8：抵抗重放攻擊。

表5 協(xié)議功能及安全性比較

表6從協(xié)議性能上對(duì)本文所提UCAP與其他相關(guān)協(xié)議進(jìn)行了總結(jié)，其中，C為混沌映射操作、H為Hash操作、E/D為對(duì)稱加/解密操作、Ep/Dp為公鑰加/解密操作、Ec為橢圓曲線密鑰交換算法、G為概率生成操作、R為確定性復(fù)制操作、M為模運(yùn)算，IC為初始認(rèn)證、RC為重認(rèn)證，CN為通信輪次。

表7從協(xié)議計(jì)算時(shí)延上將UCAP和其他相關(guān)協(xié)議進(jìn)行了對(duì)比。實(shí)驗(yàn)時(shí)，在單機(jī)上測(cè)試協(xié)議計(jì)算、認(rèn)證時(shí)延，而不考慮發(fā)送消息時(shí)的傳輸時(shí)延。本機(jī)硬件環(huán)境為：CPU為i5，內(nèi)存為4 GB；軟件環(huán)境為：系統(tǒng)為Windows7；測(cè)試語(yǔ)言為C++。

表7 協(xié)議計(jì)算時(shí)延對(duì)比（單位為ms）

圖2在不同CPU主頻下對(duì)Kerberos、3PAKE、UCAP的認(rèn)證時(shí)延進(jìn)行了比較。

圖2 不同CPU主頻下的認(rèn)證時(shí)延

從表5~表7和圖2可以看出，與當(dāng)前主流的用戶認(rèn)證協(xié)議相比，在完成相同任務(wù)的情況下，新協(xié)議UCAP的應(yīng)用場(chǎng)景、通信效率和計(jì)算效率具有優(yōu)勢(shì)，具體分析如下。

1) 應(yīng)用場(chǎng)景

如表5所示，所比較協(xié)議均需要TTP參與，3PAKE和Kerberos協(xié)議需要和TTP同步時(shí)鐘。在快速生成會(huì)話密鑰時(shí)不需要TTP參與，只有UCAP可以實(shí)現(xiàn)，符合云環(huán)境下公開通信的應(yīng)用要求。

2) 通信效率

如表6所示，在IC階段的通信輪次上，UCAP最少，3PAKE、EPP、Kerberos協(xié)議居中，IDP最高。從總體上看計(jì)算開銷，UCAP最低，Kerberos協(xié)議次之，EPP和IDP較高。從用戶角度看，UCAP計(jì)算開銷最低，Kerberos協(xié)議次之，IDP最高。從TTP角度看，UCAP與3PAKE協(xié)議計(jì)算開銷相當(dāng)，TTP最高。從CSP角度看，Kerberos協(xié)議計(jì)算開銷最低，UCAP次之。從用戶、CSP、TTP這3個(gè)角色看，根據(jù)云計(jì)算的特點(diǎn)，CSP應(yīng)承載更多的計(jì)算開銷，用戶次之，TTP最少。除IDP、Kerberos協(xié)議外，其余協(xié)議均能滿足上述特點(diǎn)。在RC階段，除UCAP外，其余協(xié)議均需要TTP參與來(lái)完成密鑰更新。UCAP在密鑰更新過(guò)程中，僅需3輪通信即可完成密鑰更新，在通信效率上，與其他協(xié)議相比也具有較為明顯的優(yōu)勢(shì)。

3) 計(jì)算效率

如表7所示，新協(xié)議的計(jì)算負(fù)載要明顯低于其他協(xié)議，UCAP較Kerberos協(xié)議在用戶、CSP、TTP端的計(jì)算時(shí)延分別下降了57.65%、9.04%和66.67%，較3PAKE協(xié)議在用戶、CSP、TTP端的計(jì)算時(shí)延分別下降了34.32%、27.54%、35.79%。新協(xié)議UCAP各參與方的整體計(jì)算時(shí)延較Kerberos、3PAKE、EPP、IDP協(xié)議降低了51.41%、32.48%、83.94%、71.60%。由于協(xié)議EPP、IDP的計(jì)算時(shí)延較長(zhǎng)，圖2僅對(duì)Kerberos、3PAKE、UCAP各參與方的整體認(rèn)證時(shí)延進(jìn)行了比較。從圖2可以看出，隨著CPU主頻的提高，3個(gè)協(xié)議的認(rèn)證時(shí)延整體下降，但新協(xié)議UCAP具有更低的認(rèn)證時(shí)延。因此，基于對(duì)稱密鑰算法在實(shí)現(xiàn)通信雙方相互認(rèn)證的基礎(chǔ)上，提高了認(rèn)證雙方的計(jì)算效率。

4) 安全性分析

綜上所述，新協(xié)議UCAP在不失安全性的前提下，在應(yīng)用場(chǎng)景、通信效率與計(jì)算效率方面性能優(yōu)勢(shì)明顯。

7 結(jié)束語(yǔ)

在云計(jì)算環(huán)境中，安全問(wèn)題是一項(xiàng)極具挑戰(zhàn)的問(wèn)題[25]。針對(duì)參與云計(jì)算用戶認(rèn)證的安全問(wèn)題，本文在研究認(rèn)證協(xié)議的基礎(chǔ)上，面向云環(huán)境提出了一種安全的用戶認(rèn)證協(xié)議。該協(xié)議基于TTP分發(fā)根會(huì)話密鑰、CSP分發(fā)生成子會(huì)話密鑰的思想，使用對(duì)稱密鑰算法將協(xié)議方案分為2個(gè)階段，第一階段通過(guò)TTP實(shí)現(xiàn)用戶認(rèn)證及根會(huì)話密鑰的分發(fā)，第二階段不涉及TTP實(shí)現(xiàn)用戶認(rèn)證及子會(huì)話密鑰的生成，并且2個(gè)階段均不依賴TTP同步時(shí)鐘。在PCL模型下對(duì)UCAP進(jìn)行協(xié)議組合證明，證明結(jié)果表明，所提協(xié)議在PCL模型下具有密鑰機(jī)密性和會(huì)話認(rèn)證性。最后通過(guò)相關(guān)協(xié)議比較的結(jié)果表明：UCAP在不失安全性的前提下，降低了通信雙方的計(jì)算開銷，提高了通信效率，并且不依賴TTP同步時(shí)鐘，子會(huì)話密鑰的生成及用戶重認(rèn)證不需要TTP的參與，符合云環(huán)境下公開通信的需求。因此，在云計(jì)算環(huán)境中本文所提方案具有一定的應(yīng)用價(jià)值。

附錄I

定理1證明過(guò)程如下。

AN3,AA2,AP1(8) 式(8),,AF3(9) 式(8),,AF3(10) 式(8),AA1,P1(11) DEC,REC(12) 式(9)~式(11),AF1,ARP(13) 式(9),式(10),式(13),CP3(14) 式(14),PROJ,DEC,CP3(15) (16) ГUCAP(17) 式(12)~式(16)(18) 式(13),式(18),G1-3(19) 式(13),式(19),AF2(20) 式(8),式(9),AF2(21) (22) (23) 式(18),式(23),CP3(24) 式(24)(25) 式(25),(26) AA1,P1(27) 式(26),式(27),CP3(28) DEC,PROJ,(29) (30) (31) 式(31),(32) 式(13),式(19)~式(24),式(32)(33)

證畢。

附錄II

定理2證明過(guò)程如下。

P3(34) (35) ,AF2(36) 式(34)~式(36), AF1,ARP(37) (38) (39) 式(37)~式(39), Computes(40) 式(40)(41)

證畢。

定理3和定理4的證明過(guò)程類似于定理1和定理2。

[1] 林闖, 蘇文博, 孟坤, 等. 云計(jì)算安全: 架構(gòu), 機(jī)制與模型評(píng)價(jià)[J]. 計(jì)算機(jī)學(xué)報(bào), 2013, 36(9): 1765-1784.

LIN C, SU W B, MENG K, et al.Cloud computing security: architecture , mechanism and modeling[J]. Chinese Journal of Computers, 2013, 36(9): 1765-1784.

[2] KANDUKURI B R, RAKSHIT A. Cloud security issues[C]//IEEE International Conference on Services Computing. 2009: 517-520.

[3] XIAO Z, XIAO Y. Security and privacy in cloud computing[J]. IEEE Communications Surveys & Tutorials, 2013, 15(2): 843-859.

[4] BOYKO V, MACKENZIE P, PATEL S. Provably secure password-authenticated key exchange using Diffie-Hellman[C]// International Conference on the Theory and Applications of Cryptographic Techniques. 2000: 156-171.

[5] MACKENZIE P, PATEL S, SWAMINATHAN R. Password-authenticated key exchange based on RSA[C]//International Conference on the Theory and Application of Cryptology and Information Security. 2000: 599-613.

[6] BERTINO E, PACI F, FERRINI R, et al. Privacy-preserving digital identity management for cloud computing[J]. Bulletin of the Technical Committee on Data Engineering, 2009, 32(1): 21-27.

[7] BRAINARD J, JUELES A, KALISKI B S, et al. A new two-server approach for authentication with short secret[C]//The 12th Conference USENIX Security. 2003: 201-214.

[8] KOHL J, NEUMAN C. The Kerberos network authentication service (v5)[R]. 1993.

[9] HOJABRI M. Innovation in cloud computing: implementation of Kerberos version5 in cloud computing in order to enhance the security issues[C]//2013 International Conference on Information Communication and Embedded Systems (ICICES). 2013: 452-456.

[10] ZISSIS D, LEKKAS D. Addressing cloud computing security issues[J]. Future Generation Computer Systems, 2012, 28(3): 583-592.

[11] BINU S, MISBAHUDDIN M, RAJ P. A mobile based remote user authentication scheme without verifier table for cloud based services[C]//The Third International Symposium on Women in Computing and Informatics. 2015: 502-509.

[12] DATTA A. Security analysis of network protocols: compositional reasoning and complexity-theoretic foundations[D]. Stanford University, 2005.

[13] ZHNG J, MA J F, YANG C. Protocol derivation system for the needham-schroeder family[J]. Security and Communication Networks, 2015, 8(16): 2687-2703.

[14] DATTA A, DEREK A, MITCHELL J C, et al. Protocol composition logic (PCL)[J]. Electronic Notes in Theoretical Computer Science, 2007, 172: 311-358.

[15] ZHANG H, CHEN L. An efficient authentication protocol of WLAN and its security proof[C]//The 2008 International Conference on Communications and Networking. 2008: 1133-1137.

[16] HE C, SUNDARARAJAN M, DATTA A, et al. A modular correctness proof of IEEE 802.11i and TLS[C]//The 12th ACM conference on Computer and communications security. 2005: 2-15.

[17] 王麗麗, 馮濤, 馬建峰. 協(xié)議組合邏輯安全的4G無(wú)線網(wǎng)絡(luò)接入認(rèn)證方案[J]. 通信學(xué)報(bào), 2012, 33(4): 77-84.

WANG L L, FENG T, MA J F. Secure access authentication scheme for 4G wireless network based on PCL[J]. Journal on Communications, 2012, 33(4): 77-84.

[18] URIEN P, MARIE E, KIENNERT C. An innovative solution for cloud computing authentication: grids of EAP-TLS smart cards[C]//2010 Fifth International Conference on Digital Telecommunications (ICDT). 2010: 22-27.

[19] LI C T, LEE C W, SHEN J J.A secure three-party authenticated keyexchange protocol based on extended chaotic maps in cloud storage service[C]//The 2015 International Conference on Information Networking (ICOIN). 2015: 31-36.

[20] ZISSIS D, LEKKAS D. Addressing cloud computing security issues[J]. Future Generation Computer Systems, 2012, 28(3): 583-592.

[21] YIN X C, LIU Z G, LEE H J. An efficient and secured data storage scheme in cloud computing using ECC-based PKI[C]//2014 16th International Conference on Advanced Communication Technology(ICACT). 2014: 523-527.

[22] YAN L, RONG C, ZHAO G. Strengthen cloud computing security with federal identity management using hierarchical identity-based cryptography[C]//IEEE International Conference on Cloud Computing. 2009: 167-177.

[23] GOEL A, GUPTA G, BHUSHAN M, et al. Identity management in hybrid cloud[C]//2015 International Conference on Green Computing and Internet of Things (ICGCIoT). 2015: 1096-1100.

[24] YANG J H, LIN P Y. An ID-based user authentication scheme for cloud computing[C]// 2014 Tenth International Conference on Intelligent Information Hiding and Multimedia Signal (IIH-MSP). 2014: 98-101.

[25] QIAN L, LUO Z, DU Y, et al. Cloud computing: an overview[M]//Springer Berlin Heidelberg, 2009: 626-631.

UCAP: a PCL secure user authentication protocol in cloud computing

LI Xuefeng1,2, ZHANG Junwei2, MA Jianfeng2

1. Education Information Technology and Resource Construction Center, Qinghai Radio & Television University, Xining 810008, China 2. School of Computer Science & Technology, Xidian University, Xi’an 710071, China

As the combine of cloud computing and Internet breeds many flexible IT services, cloud computing becomes more and more significant. In cloud computing, a user should be authenticated by a trusted third party or a certification authority before using cloud applications and services. Based on this, a protocol composition logic (PCL) secure user authentication protocol named UCAP for cloud computing was proposed. The protocol used a symmetric encryption symmetric encryption based on a trusted third party to achieve the authentication and confidentiality of the protocol session, which comprised the initial authentication phase and the re-authentication phase. In the initial authentication phase, the trusted third party generated a root communication session key. In the re-authentication phase, communication users negotiated a sub session key without the trusted third party. To verify the security properties of the protocol, a sequential compositional proof method was used under the protocol composition logic model. Compared with certain related works, the proposed protocol satisfies the PCL security. The performance of the initial authentication phase in the proposed scheme is slightly better than that of the existing schemes, while the performance of the re-authentication phase is better than that of other protocols due to the absence of the trusted third party. Through the analysis results, the proposed protocol is suitable for the mutual authentication in cloud computing.

cloud computing, user authentication, protocol composition logic, confidentiality, mutual authentication

TP309

A

10.11959/j.issn.1000?436x.2018147

李學(xué)峰（1975?），男，安徽宿州人，青海廣播電視大學(xué)副教授，“西部之光”訪問(wèn)學(xué)者（在西安電子科技大學(xué)訪學(xué)），主要研究方向?yàn)槊艽a學(xué)、協(xié)議設(shè)計(jì)與形式化分析等。

張俊偉（1982?），男，陜西西安人，博士，西安電子科技大學(xué)副教授，主要研究方向?yàn)槊艽a學(xué)、網(wǎng)絡(luò)安全等。

馬建峰（1963?），男，陜西西安人，博士，西安電子科技大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)樾畔踩⒚艽a學(xué)與無(wú)線網(wǎng)絡(luò)安全等。

2017?07?05；

2018?07?01

張俊偉，jwzhangxd@126.com

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61472310, No.61372075）；國(guó)家高技術(shù)研究發(fā)展計(jì)劃（“863計(jì)劃”）基金資助項(xiàng)目（No.2015AA016007）；青海社會(huì)科學(xué)規(guī)劃課題基金資助項(xiàng)目（No.16034）

The National Natural Science Foundation of China (No.61472310, No.61372075), The National High Technology Research and Development Program of China (863 Program) (No.2015AA016007), The Social Science Planning Project of Qinghai (No.16034)