移动云计算环境的匿名用户认证方法、系统及介质

本发明属于信息安全，尤其涉及一种移动云计算环境的匿名用户认证方法、系统及介质。

背景技术：

1、移动云计算作为云计算服务的一种，为移动智能手机和平板电脑等移动终端访问云服务提供了很大的便利。在移动云计算环境中，移动用户可以把自己的照片之类的敏感资料存至云服务器中，也可以使用云服务器提供的服务，或运行云服务器上的应用程序并把结果存在云服务器上。通过这种形式，移动终端可以按需和易扩展地使用更大的存储空间和更强的运算能力。然而，移动终端与云服务器之间的无线公共通信信道并不安全且易遭到黑客的拦截和攻击。另外，移动终端与云服务器之间往往跨越异构网络，并且不同网络的安全策略并不相同。这些问题使得如何在移动终端和云服务器之间建立安全高效的认证协议，确保在移动用户和云服务器之间实现身份真实性相互认证并生成会话密钥，以保证后续通信的安全成为迫切需要。

2、在早期，访问远程系统时使用的是仅仅依赖口令的简单机制，即如果用户输入的身份标识和口令与系统表格中的相应项是匹配的，那么用户就可以通过验证并可以访问系统。然而，这类仅仅利用口令这一单一因素的系统，容易受到攻击者开展的在线或离线口令猜测攻击。后来，为提高系统的安全性，研究人员提出了增加使用智能卡的认证协议，即移动用户输入身份标识和口令，并插入智能卡，读卡器验证通过后才能登录远程云服务器。另外，因为160位比特长度的椭圆曲线密码体制(ecc)密钥和一个1024位比特长度的rsa体制密钥强度是相同的，所以一些认证协议又采用了ecc以增强其认证过程的安全性。

3、2016年，南开大学著名密码学专家汪定教授通过对大量认证协议进行综合研究，提出了一个评估二因子(口令，智能卡)的标准(two birds with one stone：two-factorauthentication with security beyond conventional bound[j]，ieee transactionson dependable and secure computing，2016，no.4，pp.1-12)，对认证协议的发展有着极大的指导作用。汪定教授提出的衡量二因子认证协议是否安全的十二条标准如下：

4、(1)无口令验证表：在服务器中无需保存用于验证的用户口令。

5、(2)口令友好性：用户设置的口令应该容易记忆，用户可以自由设置并可以在本地修改。

6、(3)无口令泄露：用户的口令不能被服务器的管理员获取。

7、(4)无智能卡失窃攻击：即使攻击者获取了用户的智能卡，也不能根据智能卡的信息取得用户口令，也不能使用该智能卡假冒用户登录。

8、(5)防御已知的攻击：方案能防御基本的和复杂的攻击，如离线猜测攻击、重放攻击、不同步攻击、假冒攻击。

9、(6)可修复性：方案需要提供智能卡撤销操作。

10、(7)密钥协商功能：在认证过程中客户端和服务器能生成会话密钥以确保数据通信的安全。

11、(8)无时钟同步问题：方案不受时钟同步和时间延迟影响，即服务器不需要和智能卡所用的输入设备的时间进行同步。

12、(9)输入错误的及时检测：用户在登录时如果输入错误的口令，系统应该给出错误提示。

13、(10)双向认证：用户和服务器能够验证彼此的身份真实性。

14、(11)用户匿名性：该认证协议方案能够保护用户的身份和防止用户被攻击者跟踪。

15、(12)前向安全性：方案能提供完美的前向安全性。

16、随着移动终端的普及和人们对数据安全的重视程度的提升，研究人员对移动云计算环境下的用户认证和密钥协商协议进行了研究。he等人在文献1(he d，kumar n，khan mk，et al.efficient privacy-aware authentication scheme for mobile cloudcomputing services[j].ieee systems journal，2016，12(2)：1621-1631.)提出了一个用于云计算服务环境的认证协议，使用ecc运算、双线性运算和模指数运算，实现用户与云服务器之间的相互认证和密钥协商，具备较好的安全性。然而，该方案使用双线性对运算和模指数运算这种重量级密码学操作原语使得其运算量较大，不适合移动终端运算能力有限的实际情况，而且对于口令输入是否错误不作检查，而是在云服务器中才能发现错误的口令，还存在假冒攻击的风险。另外，he等人的方案也没有提供口令更改和智能卡撤销功能。amin等人在文献2(amin r，islam s k h，biswas g p，et al.a more secure and privacy-aware anonymous user authentication scheme for distributed mobile cloudcomputing environments[j].security and communication networks，2016，9(17)：4650-4666.)也提出了一个分布式移动云计算环境下的基于ecc的用户认证方案，并通过avispa协议仿真工具证明该协议是安全的。然而，该方案需要在用户移动终端和云服务器之间进行时钟同步，这在实际上不易实现。与he等人的方案相类似，amin等人的方案也不对用户输入的口令是否错误不作检查，而是在云服务器发现错误的口令后才终止本次用户登录，此时已耗费了一定的服务器资源。此外，该方案不提供移动终端的撤销功能，这意味着如果攻击者获取了用户丢失或失窃的移动终端，同时又收集了用户的一些信息，就可以展开口令离线猜测攻击。irshad等人在文献3(irshad a，chaudhry s a，alomari o a，etal.a novel pairing-free lightweight authentication protocol for mobile cloudcomputing framework[j].ieee systems journal，2020，15(3)：3664-3672.)提出了一个移动云计算环境下的轻量级认证方案，该方案没有运用耗费运算资源高的双线性对操作原语，而是运用耗费运算资源低的ecc运算和哈希运算，因而无论在运算耗费还是通信成本上都有一定的优势。但是，该方案无法抵御在线/离线猜测攻击和假冒攻击。特别地，如果攻击者随意发送一条登录请求消息m1给云服务器，后者不会对该消息的真伪进行判断，而是立即选择一个随机数进行多次ecc运算处理并返回一条响应消息m2，显然该方案易受分布式拒绝服务攻击。

17、专利文献cn 104702559 a公开了一种基于ecc的双因子身份认证协议，该技术中服务器使用私钥对用户的身份进行认证，用户使用智能卡上的注册信息对服务器进行认证。然而，用户发给服务器的登录消息中是以明文的形式发送用户身份标识，显然攻击者可以直接根据此标识对用户进行跟踪，导致用户隐私得不到保护。另外，该技术中用户和服务器的认证过程也没有生成会话密钥，不能对后续通信进行保护。

18、专利文献cn 104901809 a公开了一种基于口令和智能卡的远程认证协议方法，该方法运用椭圆曲线算法，结合计数组和鉴别码，实现用户和服务器的双向认证和生成会话密钥。然而，该方法并不能实现其声称的匿名性，因为用户每次登录时向服务器发出的登录请求消息中的参数r是一个固定值，因此攻击者可以据此参数判断多次不同的登录是由同一用户发起的，从而可以对用户进行跟踪。另外，该方法的口令修改阶段也是错误的，因为该智能卡中的参数其中s是服务器的私钥，为异或运算，m是服务器选择的随机数且没有让用户以某种手段获取，所以用户无法根据r求解出s的值，这导致口令修改阶段的步骤3)中的运算是无法执行的。实际上，该方案的设计使得用户无法在本地实现口令的修改，只能在远程服务器的帮助下修改口令，因此，该方法不能满足汪定教授提出衡量二因子认证协议是否安全的十二条标准中的第二条。

19、综合而言，目前有关文献中提出的用于移动云计算环境中的用户认证与密钥协商协议存在以下问题：

20、(1)运算资源耗费和通信成本较大，不适合在移动云计算环境的实际应用。

21、(2)在安全上还存在不少缺陷，还不能全面满足汪定教授提出的评估认证协议是否安全的十二条标准。

技术实现思路

1、本发明的目的在于针对目前移动云计算环境现有认证协议技术所存在的缺陷，提供一种性能更好、安全性更强的移动云计算环境的匿名用户认证方法、系统及介质。

2、为实现上述目的，本发明提出一种移动云计算环境的匿名用户认证方法，所述方法应用于匿名用户认证与密钥协商协议系统，所述系统包括移动终端和云服务器，所述方法包括以下步骤：

3、步骤s10，系统建立阶段：所述云服务器生成必要的参数，为用户注册和认证做准备；

4、步骤s20，注册阶段：所述移动终端在所述云服务器中注册为合法用户；

5、步骤s30，认证阶段：所述移动终端与所述云服务器之间通过三轮消息交换实现相互认证，并生成用于加密后续通信数据的会话密钥；

6、步骤s40，口令更新：在口令被泄露时，所述移动终端更改智能卡的口令；

7、步骤s50，智能卡撤销：在所述智能卡被攻击者获取时，用户撤销所述智能卡，防止所述智能卡被攻击者滥用。

8、本发明的进一步技术方案是，所述步骤s10包括：

9、步骤s101，所述云服务器选择基于有限域fp上的椭圆曲线eq，并建立基于eq的椭圆曲线加法群g，其中p和q是两个大质数，p为群g的生成元；

10、步骤s102，所述云服务器选择主密钥s并生成公钥kpub＝s·p；

11、步骤s103，所述云服务器发布系统参数{fp，eq/fp，p，p，kpub，g，h()}，其中h()为单向哈希函数；

12、步骤s104，所述云服务器选择一个整数m作为模数验证参数，其中24≤m≤28。

13、本发明的进一步技术方案是，所述步骤s20包括：

14、步骤s201，所述移动终端选择随机数ri，输入身份标识idi和口令pwi，计算rpwi＝h(ri||pwi)，并向所述云服务器发送注册请求消息{idi，rpwi}，其中||表示连接运算；

15、步骤s202，所述云服务器选择随机数bi，计算并把{d1，ids，h(·)，p，kpub，m}存入一个空白的智能卡，以及把(idi，ti，bi，scni)存入数据表中，其中ti为当前时间戳，ids为云服务器的标识，scni为智能卡卡号，之后，所述云服务器将该智能卡通过安全信道发给所述移动终端，其中表示异或运算；

16、步骤s203，所述移动终端收到所述智能卡后，计算并把d2存入卡中。

17、本发明的进一步技术方案是，所述步骤s30包括：

18、步骤s301，在所述智能卡插入读卡器，接收到所述身份标识idi和口令pwi后，所述智能卡计算rpwi*＝h(ri||pwi)，判断d2*与d2是否相等；如果d2*与d2不相等，终止本次会话；否则所述智能卡选择随机数rm，计算x1＝rm·p，x2＝rm·kpub，x3＝x1+x2，m2＝h(idi||x2||pidi)，并向所述云服务器发送登录请求消息{pidi，x1，m2}；

19、步骤s302，所述云服务器计算x2′＝s·x1，x3’＝x1+x2’，m2’＝h(idi’||x2’||pidi)，判断m2’与m2是否相等；如果m2’与m2不相等，则终止本次会话；否则所述云服务器通过idi’在数据表中检索(ti，bi，scni)，计算m1＝h(idi’||bi||ti||scni)mod m和判断m1’与m1是否相等；如果m1’与m1不相等，则终止本次会话；否则选择随机数rs，计算y＝rs·p，ks＝rs·x1，sks-m＝h(idi’||ids||x2′||y||ks)，m3＝h(idi’||ids||x1′||x2′||y||ks)，并向所述移动终端发送消息{y，m3}；

20、步骤s303，所述移动终端计算km＝rm·y，m3’＝h(idi||ids||x1||x2||y||km)，并判断m3’与m3是否相等；如果m3’与m3不相等，则终止本次会话；否则所述移动终端计算skm-s＝h(idi||ids||x2||y||km)，m4＝h(idi||ids||x2||km||skm-s)，并向所述云服务器发送{m4}；

21、步骤s304，所述云服务器计算m4’＝h(idi||ids||x2||ks||sks-m)，并判断m4’与m4是否相等，如果m4’与m4不相等，则终止本次会话；否则所述云服务器接受sks-m(＝skm-s)作为与所述移动终端之间的共享会话密钥。

22、本发明的进一步技术方案是，所述步骤s40包括：

23、步骤s401，移动用户插入智能卡，输入身份标识idi和口令pwi；

24、步骤s402，所述智能卡计算rpwi’＝h(ri||pwi)，并判断d2’和d2是否相等；如果不相等，则拒绝用户修改口令的请求，否则要求用户输入新口令pwinew；

25、步骤s403，所述智能卡计算rpwinew＝h(ri||pwinew)，并用(d1new，d2new)替换所述智能卡上的(d1，d2)。

26、本发明的进一步技术方案是，所述步骤s50包括：

27、步骤s501，移动用户把智能卡插入读卡器，输入身份标识idi和口令pwi，所述智能卡计算rpwi*＝h(ri||pwi)，判断d2*与d2是否相等，如果d2*与d2不相等，说明用户身份不合法，终止本次会话；

28、步骤s502，所述智能卡选择随机数rm，计算x1＝tm·p，x2＝rm·kpub，x3＝x1+x2，m2＝h(idi||x2||pidi)，并向所述云服务器发送智能卡撤销请求消息{pidi，x1，m2，revoke_request}；

29、步骤s503，所述云服务器接收到撤销智能卡请求消息后，计算x2′＝s·x1，x3’＝x1+x2’，m2’＝h(idi’||x2’||pidi)，并判断m2’是否与m2相等，如果m2’≠m2，终止本次会话，否则根据idi’查找(ti，bi，scni)，计算m1＝h(idi||bi||ti||scni)mod m，并判断m1’是否与m1相等，如果m1’≠m1，终止本次会话，否则说明该用户身份合法，此时所述云服务器把数据表中的(idi，ti，bi，scni)设为(idi，null，null，null)，其中null表示空。

30、为实现上述目的，本发明还提出一种移动云计算环境的匿名用户认证系统，所述系统包括移动终端、云服务器、存储器、处理器以及存储在所述处理器上的移动云计算环境的匿名用户认证程序，所述移动云计算环境的匿名用户认证程序被所述处理器运行时执行如上所述的方法的步骤。

31、为实现上述目的，本发明还提出一种计算机可读存储介质，所述计算机可读存储介质存储有移动云计算环境的匿名用户认证程序，所述移动云计算环境的匿名用户认证程序被处理器运行时执行如上所述的方法的步骤。

32、本发明移动云计算环境的匿名用户认证方法、系统及介质的有益效果是：本发明通过上述技术方案，用户注册阶段中无论是服务器还是用户对注册信息的处理均使用模糊验证技术，在认证阶段使用了椭圆曲线加密技术，使得攻击者在获取智能卡后打算通过在线或离线猜测攻击获取用户的身份标识和口令变得非常困难，既可以防御易被忽略的内部人攻击和智能卡失窃攻击，又提升了性能性和安全性，全面满足权威的认证协议安全评价标准。