CN113765658A - 分布式云计算架构中物联网设备的认证和密钥协商协议方法 - Google Patents

Abstract

本发明一种分布式云计算架构中物联网设备的认证和密钥协商协议方法。该方法包括注册阶段、登录阶段以及认证和密钥协商阶段；认证和密钥协商阶段包括：第一次握手过程：用户U_i通过其物联网设备向云服务器S_m发送登录消息，S_m接收到登录消息后，计算其自身的身份验证条件，并身份验证条件和登录消息发送至控制服务器CS；第二次握手过程：CS接收到来自S_m的消息后，验证U_i和S_m的合法性，若二者合法，则分别为U_i和S_m生成其自身的身份验证条件，并发送至S_m；第三次握手过程：S_m选择与其自身相关的身份验证条件来验证CS，并将另一种身份验证条件发送至U_i的物联网设备；第四次握手过程：U_i的物联网设备根据身份验证条件验证CS的合法性，若CS通过验证，U_i、S_m和CS最终协商得到一个共享密钥SK＝h(N_m||N_CS||N_i)。

Description

分布式云计算架构中物联网设备的认证和密钥协商协议方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种用于分布式云计算架构中多个物联网设备之间的高效认证和密钥协商协议设计方法。

背景技术

近年来，物联网(IoT)设备，如传感器设备、RFID标签、执行器和智能终端，越来越多地应用于日常生活中，为人们提供便利的生活。在智慧城市建设过程中，物联网设备的主要功能在异构无线环境中互联互通，设备可以持续监控和分析来自城市中各种应用数据，以实现智慧城市智能决策过程的实时自动化。然而，众所周知，物联网设备资源受限，而智慧城市中的数据量巨大，一般会随着数据和设备呈指数级增长，因此，需要一个标准平台集中处理大量异构的数据和设备。为了处理由各种物联网设备生成的如此庞大的数据库存储库，云计算是一种有效的解决方案。目前，云提供商提供了多种类型的云服务，例如软件即服务云(SaaS)(例如IBM LotusLive)、平台即服务(PaaS)(例如Google AppEngine)和基础设施即服务(IaaS)(例如亚马逊网络服务)。

但是，随着物联网和云计算在智慧城市的广泛应用，可能会遇到各种安全和隐私挑战，其中最基本的问题是各个应用设备之间的相互认证，例如参与用户、物联网设备、分布式服务器、数据控制中心等。在图1中，我们简单给出了一个场景：假设一个云计算服务商已经搭建了一个覆盖整个智慧城市的分布式私有云环境，在智慧城市运营过程中，有许多物联网设备需要把实时产生的应用数据上传到距离它最近的私有云服务中，而各个分布式私有云服务经过初步的计算，再把数据汇聚到云服务中心，即数据控制中心，经过云服务中心的高速计算和智能调度，实现各个设备的之间实时通信感知，以提供高质量的服务。该场景中主要涉及三个主要实体：云计算提供商，即数据控制中心，单个分布式私有云服务器和每个支持物联网的设备终端。而在这个过程中，分布式私有云服务器中一般存储来自物联网设备的隐私信息，只有合法用户才能访问敏感信息，这就需要实现两个实体间的相互认证。同样的，还有分布式私有服务器与数据控制中心之间，都需要实现之间的相互认证。此外，在各个设备之间实现相互认证后，由于相互的通信数据大多通过开放的互联网来传递，为了保证数据的机密性，还需要在三个实体实现相互认证后，生成一个共享秘钥，用来加密接下来的通信流量。

最近，已经提出了许多与物联网和分布式云计算集成的身份验证协议，用于大规模物联网网络的安全访问控制。2018年，Amin等人(文献1“R.Amin,N.Kumar,G.P.Biswas,R.Iqbal,and V.Chang,A light weight authentication protocol for IoT-enableddevices in distributed Cloud Computing environment,Future Generation ComputerSystems,vol.78,pp.01”)提出了一种分布式云计算环境中物联网设备的认证协议，指出Xue等人和Chuang等人分别提出的两种认证协议中的许多安全漏洞。然而，Kang等人(文献2：Kang B,Han Y,Qian K,et al.Analysis and Improvement on an AuthenticationProtocol for IoT-Enabled Devices in Distributed Cloud Computing Environment[J].Mathematical Problems in Engineering,2020,2020(2):1-6)发现Amin等人协议容易受到伪造攻击，并改进了协议。但是，通过研究大量的认证协议，发明人进一步发现了对Kang等人的协议的离线密码猜测攻击，即恶意用户可以轻松获取主控服务器的主密钥，主密钥是整个***的关键参数，可能造成整个***的所有信息被泄露。

另外，由于这些协议是为物联网设备之间通信设计的，而众所周知，此类设备是基于嵌入式开发的，一般计算资源和存储资源都很有限，而在实际使用过程中，通信的实时性要求很高，数据运行效率要快，如果采用主流的加密算法，都很难满足需要。因此，设计这些协议在保证通信的机密性的同时，也需要考虑协议实现的计算复杂度。

发明内容

为了满足智慧城市中基于物联网的分布式云架构下各应用设备之间的相互认证和加密通信，本发明提供一种用于分布式云计算架构中物联网设备的高效认证和密钥协商协议设计方法。

本发明提供一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，包括注册阶段、登录阶段以及认证和密钥协商阶段，所述认证和密钥协商阶段包括：

第一次握手过程：用户U_i通过其物联网设备向云服务器S_m发送登录消息，云服务器S_m接收到用户U_i的登录消息后，计算其自身的身份验证条件，并将其自身的身份验证条件和用户U_i的登录消息发送至控制服务器CS；

第二次握手过程：控制服务器CS接收到来自云服务器S_m的消息后，验证用户U_i和云服务器S_m的合法性，若二者合法，则分别为用户U_i和云服务器S_m生成其自身的身份验证条件，并将生成的两种身份验证条件发送至云服务器S_m；

第三次握手过程：云服务器S_m从接收到的两种身份验证条件中选择与其自身相关的身份验证条件来验证控制服务器CS，并将另一种身份验证条件发送至用户U_i的物联网设备；

第四次握手过程：用户U_i的物联网设备根据接收到的身份验证条件验证控制服务器CS的合法性，若控制服务器CS通过验证，用户U_i、云服务器S_m和控制服务器CS最终协商得到一个共享密钥SK＝h(N_m||N_CS||N_i)；其中，N_m表示第一次握手过程中由云服务器S_m所生成的一个128位的随机数，N_CS表示第二次握手过程中由控制服务器CS所生成的一个128位的随机数，N_i表示用户U_i在登录上云服务器S_m后所生成的一个至少128位的随机数；

其中，在上述的四次握手过程中，只要用户U_i、云服务器S_m和控制服务器CS中的任何一方未能通过身份验证，则会话结束。

进一步地，所述第一次握手过程中，云服务器S_m接收到用户U_i的登录消息后，还包括：

云服务器S_m检查条件TS_m-TS_i<△T是否成立，若成立，云服务器S_m计算其自身的身份验证条件，具体包括：云服务器S_m生成一个128位的随机数N_m并计算

K_i＝h(N_m||BS_m||PID_i||G_i||TS_m)；

对应地，所述云服务器S_m将其自身的身份验证条件和用户U_i的登录消息发送至控制服务器CS具体为：云服务器S_m将<J_i,K_i,PSID_m,G_i,F_i,Z_i,PID_i,TS_i,TS_m>发送到控制服务器CS；

其中，<G_i,F_i,Z_i,PID_i,TS_i>表示用户U_i的登录消息，<J_i,K_i,PSID_m,TS_m>表示云服务器S_m的身份验证条件，TS_m表示云服务器S_m的当前时间戳，TS_i表示用户U_i的物联网设备的当前时间戳，△T表示设定的时间阈值，BS_m表示云服务器S_m与控制服务器CS之间的对称密钥，PID_i表示用户U_i的伪身份标识，PSID_m表示云服务器S_m的伪身份标识，B_m、J_i、K_i、G_i、F_i和Z_i均表示中间运算结果，h(·)表示哈希函数，||表示拼接操作。

进一步地，所述第二次握手过程中，控制服务器CS接收到来自云服务器S_m的消息后，还包括：控制服务器CS检查条件TS_CS-TS_m<△T是否成立，若成立，则验证用户U_i和云服务器S_m的合法性；

对应地，所述验证用户U_i和云服务器S_m的合法性，若二者合法，则分别为用户U_i和云服务器S_m生成其自身的身份验证条件，并将生成的两种身份验证条件发送至云服务器S_m，具体包括：

步骤A1：控制服务器CS计算

D_i＝h(PID_i||x)

步骤A2：控制服务器CS检查条件

是否成立，若成立，则控制服务器CS验证用户U_i合法；

步骤A3：控制服务器CS计算

BS_m＝h(PSID_m||SID_m||y)

步骤A4：控制服务器CS检查条件

是否成立，若成立，则控制服务器CS验证云服务器S_m合法；

步骤A5：控制服务器CS生成一个128位的随机数N_CS并计算

SK_CS＝h(N_i||N_m||N_CS)

步骤A6：通过公共信道将<P_CS,Q_CS,R_CS,V_CS>发送至云服务器S_m；

其中，TS_CS表示控制服务器CS的当前时间戳，x表示仅为控制服务器CS所知用于验证用户U_i的密钥，ID_i表示用户U_i的真实身份标识，SID_m表示云服务器S_m的真实身份标识，SK_CS表示控制服务器CS端生成的共享密钥，R_CS和V_CS表示控制服务器CS为云服务器S_m生成的身份验证条件，P_CS和Q_CS表示控制服务器CS为用户U_i生成的身份验证条件，D_i表示物联网设备和控制服务器CS之间的对称密钥，

和

分别表示用于验证用户U_i和云服务器S_m的合法性且数据传输完整性的参数，

表示异或运算。

进一步地，所述第三次握手过程具体包括：

首先，云服务器S_m计算

W_m＝h(BS_m||N_m)

然后，云服务器S_m检查条件

是否成立，若成立，云服务器S_m验证控制服务器CS通过，并将<P_CS,Q_CS>发送至用户U_i的物联网设备；

其中，SK_m表示云服务器S_m端生成的共享密钥，W_m表示中间运算结果，

表示用于验证控制服务器CS的身份真实性的参数；

进一步地，所述第四次握手过程具体包括：

首先，用户U_i的物联网设备计算

L_i＝h(N_i||D_i||F_i)

SK_i＝h(N_m||N_CS||N_i)

然后，用户U_i的物联网设备检查条件

是否成立，若成立，用户U_i确认控制服务器CS是真实的；

其中，L_i表示中间运算结果，SK_i表示用户U_i的物联网设备端生成的共享密钥，

分别表示用于验证控制服务器CS的身份真实性的参数。

进一步地，所述注册阶段，分为云服务器注册阶段和用户注册阶段；其中：所述云服务器注册阶段，具体包括：

云服务器S_m将注册消息<SID_m,d>发送到控制服务器CS；其中，SID_m表示云服务器S_m的真实身份标识，d是随机数；

控制服务器CS在接收到来自云服务器S_m的注册消息后，计算PSID_m＝h(SID_m||d)，BS_m＝h(PSID_m||SID_m||y)，并通过安全通道将<BS_m>发回云服务器S_m；其中，PSID_m表示云服务器S_m的伪身份标识，y表示仅为控制服务器CS所知用于验证云服务器S_m的密钥，BS_m表示云服务器S_m与控制服务器CS之间的对称密钥，h(·)表示哈希函数；

云服务器S_m将秘密参数<BS_m,d>存储到内存中。

进一步地，所述用户注册阶段，具体包括：

用户U_i选择所需的真实身份标识ID_i和密码P_i进入其物联网设备；

物联网设备收集用户U_i的生物特征B_i，并生成一个随机数b来计算PID_i＝h(ID_i||b)，

和

其中，PID_i表示用户U_i的伪身份标识，A_i和Ω_i均表示中间运算结果，

表示异或运算；

物联网设备将注册消息<ID_i,PID_i,A_i>通过安全通道发送至控制服务器CS；

控制服务器CS在接收到来自物联网设备的注册消息后，验证ID_i的真实性，若ID_i是非法的，控制服务器CS将拒绝用户U_i的注册；否则，控制服务器CS计算C_i＝h(PID_i||A_i)，D_i＝h(PID_i||x)和

其中，x表示仅为控制服务器CS所知用于验证用户U_i的密钥，D_i表示物联网设备和控制服务器CS之间的对称密钥，C_i和E_i均表示中间运算结果；

控制服务器CS将数据<C_i,E_i,h(·)>写入智能卡，并通过专用通信将其传递给用户U_i；

用户U_i获得智能卡后，将其***物联网设备，并再次向物联网设备输入ID_i和P_i，以便通过物联网设备向智能卡写入Ω_i，智能卡记录信息<C_i,Ω_i,E_i,h(·)>。

进一步地，所述登录阶段，具体包括：

当用户U_i想要从云服务器S_m获取信息，用户U_i将智能卡***物联网设备，并提供

P_i ^*和

其中，

P_i ^*和

分别表示用户U_i实际输入的身份标识、密码和生物特征；

物联网设备计算

和

检查条件

是否成立，若成立，则用户U_i是真实的，否则，拒绝用户U_i的登录；

若用户U_i是真实的，物联网设备生成一个至少128位的随机数N_i，并计算

PID_i＝h(ID_i||b)

G_i＝h(PID_i||SID_m||N_i||TS_i||D_i)

其中，TS_i是物联网设备的当前时间戳，SID_m是云服务器S_m的真实身份标识，G_i、F_i和Z_i均表示中间运算结果；

物联网设备通过公共信道将<G_i,F_i,Z_i,PID_i,TS_i>传输到云服务器S_m。

进一步地，还包括：密码更改阶段，具体包括：

用户U_i将智能卡***物联网设备，然后提供

P_i ^*和

其中，

P_i ^*和

分别表示用户U_i实际输入的身份标识、密码和生物特征；

物联网设备计算

和

检查条件

是否成立，若成立，提示用户U_i输入新密码P_i ^new，并生成一个随机数

否则，拒绝用户U_i的密码更改；

接着，物联网设备计算

物联网设备将智能卡中的原始记录值<C_i,Ω_i,E_i>替换为

进一步地，还包括：身份更改阶段，具体包括：用户U_i通过安全通道重新注册到控制服务器CS。

本发明的有益效果：

1、本发明方案是轻量级的协议认证，更适用于计算和存储有限的物联网终端设备。考虑到智慧城市构建过程中，接入云服务器的物联网终端计算资源和存储能力有限，而实时性要求高的特征，本发明方案设计过程中只使用异或运算和哈希运算，充分提高执行效率，满足该环境的需要；

2、本方案充分考虑通信的机密性。一方面，采用匿名身份的登陆方式，充分保护用户的身份信息；另一方面，在用户登陆认证过程中，也协商一个共享密钥，用于加密后续的通信数据，抵抗中间人获取通信信息；

3、抵抗离线密码猜测攻击。本发明方案在设计时充分考虑三个参与主体之间的身份认证，以抵抗恶意攻击者通过冒充身份攻击后，进而进行离线密码猜测攻击。例如，在云服务器注册阶段，通过计算PSID_m＝h(SID_m||d)和BS_m＝h(PSID_m||SID_m||y)，确保云服务器的身份SID_m绑定到控制服务器的私钥y，从而恶意攻击者若采取冒充身份攻击，则必须获得控制服务器的私钥y，这是不可能的。而且，由于d是云服务器随机产生的，能够大大增加攻击者进行离线口令猜测攻击的成本。

附图说明

图1为本发明实施例提供的智慧城市中基于物联网的分布式云架构示意图；

图2为本发明实施例提供的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法的流程图；

图3为本发明实施例提供的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法中前三个阶段的流程图；

图4为本发明实施例提供的分布式云计算架构中物联网设备的认证和密钥协商协议方法的部分HLPSL仿真代码；

图5为本发明实施例提供的SPDL中控制服务器CS角色的代码描述；

图6为本发明实施例提供的AVISPA工具在四个后端分析下的仿真结果；

图7为本发明实施例提供的Scyther工具的模拟结果。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了满足智慧城市中基于物联网的分布式云架构下各应用设备之间的相互认证和加密通信，本发明基于轻量级动态匿名身份，设计了一种使用智能卡的安全认证和密钥协商方案，该方案被证明是高效和安全的。当前场景涉及3个主要实体：控制服务器CS、云服务器S_m和每个支持物联网的物联网设备；其中物联联网设备属于用户U_i。

本发明实施例提供的分布式云计算架构中物联网设备的认证和密钥协商协议方法分为5个阶段：(1)注册阶段，(2)登录阶段，(3)认证和密钥协商阶段，(4)密码更改阶段，(5)身份更新阶段。其中，第(3)阶段是本发明方法的核心所在。需要说明的是，后两个阶段可以根据应用场景的需要选择是否进行增删。

作为一种可实施方式，如图2所示，本发明实施例中的认证和密钥协商阶段包括以下步骤：

第一次握手过程：用户U_i通过其物联网设备向云服务器S_m发送登录消息，云服务器S_m接收到用户U_i的登录消息后，计算其自身的身份验证条件，并将其自身的身份验证条件和用户U_i的登录消息发送至控制服务器CS；

具体地，云服务器S_m接收到用户U_i的登录消息后，还包括：云服务器S_m检查条件TS_m-TS_i<△T是否成立，若成立，云服务器S_m计算其自身的身份验证条件，具体包括：云服务器S_m生成一个128位的随机数N_m并计算

K_i＝h(N_m||BS_m||PID_i||G_i||TS_m)；

对应地，所述云服务器S_m将其自身的身份验证条件和用户U_i的登录消息发送至控制服务器CS具体为：云服务器S_m将<J_i,K_i,PSID_m,G_i,F_i,Z_i,PID_i,TS_i,TS_m>发送到控制服务器CS；

其中，<G_i,F_i,Z_i,PID_i,TS_i>表示用户U_i的登录消息，<J_i,K_i,PSID_m,TS_m>表示云服务器S_m的身份验证条件，TS_m表示云服务器S_m的当前时间戳，TS_i表示用户U_i的物联网设备的当前时间戳，△T表示设定的时间阈值，BS_m表示云服务器S_m与控制服务器CS之间的对称密钥，PID_i表示用户U_i的伪身份标识，PSID_m表示云服务器S_m的伪身份标识，B_m、J_i、K_i、G_i、F_i和Z_i均表示中间运算结果，h(·)表示哈希函数，||表示拼接操作。

第二次握手过程：控制服务器CS接收到来自云服务器S_m的消息后，验证用户U_i和云服务器S_m的合法性，若二者合法，则分别为用户U_i和云服务器S_m生成其自身的身份验证条件，并将生成的两种身份验证条件发送至云服务器S_m；

具体地，所述第二次握手过程中，控制服务器CS接收到来自云服务器S_m的消息后，还包括：控制服务器CS检查条件TS_CS-TS_m<△T是否成立，若成立，则验证用户U_i和云服务器S_m的合法性；

对应地，所述验证用户U_i和云服务器S_m的合法性，若二者合法，则分别为用户U_i和云服务器S_m生成其自身的身份验证条件，并将生成的两种身份验证条件发送至云服务器S_m，具体包括：

步骤A1：控制服务器CS得到消息<J_i,K_i,PSID_m,G_i,F_i,Z_i,O_i,PID_i,TS_i,TS_m>之后，控制服务器CS计算

D_i＝h(PID_i||x)

步骤A2：控制服务器CS检查条件

是否成立，若成立，则控制服务器CS验证用户U_i合法；否则，控制服务器CS终止会话；

步骤A3：用户U_i合法性被验证通过后，控制服务器CS计算

BS_m＝h(PSID_m||SID_m||y)

步骤A4：控制服务器CS检查条件

是否成立，若成立，则控制服务器CS验证云服务器S_m合法；若不成立，控制服务器CS认为云服务器S_m非法，终止会话；

步骤A5：云服务器S_m合法性被验证通过后，控制服务器CS生成一个128位的随机数N_CS并计算

SK_CS＝h(N_i||N_m||N_CS)

步骤A6：通过公共信道将<P_CS,Q_CS,R_CS,V_CS＞发送至云服务器S_m；

其中，TS_CS表示控制服务器CS的当前时间戳，x表示仅为控制服务器CS所知用于验证用户U_i的密钥，ID_i表示用户U_i的真实身份标识，SID_m表示云服务器S_m的真实身份标识，SK_CS表示控制服务器CS端生成的共享密钥，R_CS和V_CS表示控制服务器CS为云服务器S_m生成的身份验证条件，P_CS和Q_CS表示控制服务器CS为用户U_i生成的身份验证条件，D_i表示物联网设备和控制服务器CS之间的对称密钥，

和

分别表示用于验证用户U_i和云服务器S_m的合法性且数据传输完整性的参数，

表示异或运算。

第三次握手过程：云服务器S_m从接收到的两种身份验证条件中选择与其自身相关的身份验证条件来验证控制服务器CS，并将另一种身份验证条件发送至用户U_i的物联网设备；

具体地，首先，云服务器S_m从控制服务器CS接收到消息<P_CS,Q_CS,R_CS,V_CS＞之后，云服务器S_m计算

W_m＝h(BS_m||N_m)

然后，云服务器S_m检查条件

是否成立，若成立，云服务器S_m验证控制服务器CS通过，并将<P_CS,Q_CS＞发送至用户U_i的物联网设备；

其中，SK_m表示云服务器S_m端生成的共享密钥，W_m表示中间运算结果，

表示用于验证控制服务器CS的身份真实性的参数；

第四次握手过程：用户U_i的物联网设备根据接收到的身份验证条件验证控制服务器CS的合法性，若控制服务器CS通过验证，用户U_i、云服务器S_m和控制服务器CS最终协商得到一个共享密钥SK＝h(N_m||N_CS||N_i)；其中，N_m表示第一次握手过程中由云服务器S_m所生成的一个128位的随机数，N_CS表示第二次握手过程中由控制服务器CS所生成的一个128位的随机数，N_i表示用户U_i在登录上云服务器S_m后所生成的一个至少128位的随机数。

具体地，首先，用户U_i的物联网设备从云服务器S_m接收到消息<P_CS,Q_CS>之后，用户U_i的物联网设备计算

L_i＝h(N_i||D_i||F_i)

SK_i＝h(N_m||N_CS||N_i)

然后，用户U_i的物联网设备检查条件

是否成立，若成立，用户U_i确认控制服务器CS是真实的；

最后，用户U_i、云服务器S_m和控制服务器CS这3个参与者协商得到一个共享密钥SK＝h(N_m||N_CS||N_i)。

其中，L_i表示中间运算结果，SK_i表示用户U_i的物联网设备端生成的共享密钥，Q^* _CS分别表示用于验证控制服务器CS的身份真实性的参数。

需要说明的是，在上述的四次握手过程中，只要用户U_i、云服务器S_m和控制服务器CS中的任何一方未能通过身份验证，则会话结束。

从上述实施例可以看出，最终，整个身份验证路径(U_i→S_m→CS→S_m→U_i)被建立。同时，协商得到了共享密钥SK，该共享密钥SK用以加密用户U_i和云服务器S_m之间的后续通信流量。

在进入认证和密钥协商阶段之前，还需要先进行注册、登录，作为一种可实施方式，本发明实施例中的注册阶段，分为云服务器注册阶段和用户注册阶段；

在注册阶段，控制服务器CS会预先随机产生两个高熵数x和y，其中，x用作仅为CS所知的用于验证所有用户U_i的密钥，y用作仅为CS所知的用于验证所有云服务器S_m的密钥。然后，任何云服务器S_m和用户U_i都可以注册到CS。

所述云服务器注册阶段，具体包括以下步骤：

云服务器S_m将注册消息<SID_m,d>发送到控制服务器CS；其中，SID_m表示云服务器S_m的真实身份标识，d是随机数；

控制服务器CS在接收到来自云服务器S_m的注册消息<SID_m,d>后，计算PSID_m＝h(SID_m||d)，BS_m＝h(PSID_m||SID_m||y)，并通过安全通道将<BS_m>发回云服务器S_m；其中，PSID_m表示云服务器S_m的伪身份标识，y表示仅为控制服务器CS所知用于验证云服务器S_m的密钥，BS_m表示云服务器S_m与控制服务器CS之间的对称密钥，h(·)表示哈希函数；

云服务器S_m将秘密参数<BS_m,d>存储到内存中。

所述用户注册阶段，具体包括：

当用户U_i希望向控制服务器CS注册时，用户U_i选择所需的真实身份标识ID_i和密码P_i进入其物联网设备(如读卡器)；

物联网设备收集用户U_i的生物特征B_i，并生成一个随机数b来计算PID_i＝h(ID_i||b)，

和

其中，PID_i表示用户U_i的伪身份标识，A_i和Ω_i均表示中间运算结果，

表示异或运算；

物联网设备将注册消息<ID_i,PID_i,A_i>通过安全通道发送至控制服务器CS；

控制服务器CS在接收到来自物联网设备的注册消息后，验证ID_i的真实性，若ID_i是非法的，控制服务器CS将拒绝用户U_i的注册；否则，控制服务器CS计算C_i＝h(PID_i||A_i)，D_i＝h(PID_i||x)和

其中，x表示仅为控制服务器CS所知用于验证用户U_i的密钥，D_i表示物联网设备和控制服务器CS之间的对称密钥，C_i和E_i均表示中间运算结果；

控制服务器CS将数据<C_i,E_i,h(·)>写入智能卡，并通过专用通信将其传递给用户U_i；

用户U_i获得智能卡后，将其***物联网设备，并再次向物联网设备输入ID_i和P_i，以便通过物联网设备向智能卡写入Ω_i，智能卡记录信息<C_i,Ω_i,E_i,h(·)>

需要说明的是，注册阶段中的“安全通道”可以是因特网密钥交换协议版本2或安全套接字层协议(SSL)。

作为一种可实施方式，本发明实施例中的登录阶段，具体包括：

当用户U_i想要从云服务器S_m获取信息，用户U_i将智能卡***物联网设备，并提供

P_i ^*和

其中，

P_i ^*和

分别表示用户U_i实际输入的身份标识、密码和生物特征；

物联网设备计算

和

检查条件

是否成立，若成立，则用户U_i是真实的，否则，拒绝用户U_i的登录；

若用户U_i是真实的，物联网设备生成一个至少128位的随机数N_i，并计算

PID_i＝h(ID_i||b)

G_i＝h(PID_i||SID_m||N_i||TS_i||D_i)

其中，TS_i是物联网设备的当前时间戳，SID_m是云服务器S_m的真实身份标识，G_i、F_i和Z_i均表示中间运算结果；

之后，物联网设备通过公共信道将<G_i,F_i,Z_i,PID_i,TS_i>传输到云服务器S_m。

到此为止，前三个阶段的详细实现如图3所示。

作为一种可实施方式，本发明实施例中的密码更改阶段(每当用户U_i想要更新他/她的密码而不与控制服务器CS通信时，就会调用此阶段)，具体包括：

用户U_i将智能卡***物联网设备，然后提供

P_i ^*和

其中，

P_i ^*和

分别表示用户U_i实际输入的身份标识、密码和生物特征；

物联网设备计算

和

检查条件

是否成立，若成立，提示用户U_i输入新密码P_i ^new，并生成一个随机数

否则，拒绝用户U_i的密码更改；

接着，物联网设备计算

最后，物联网设备将智能卡中的原始记录值<C_i,Ω_i,E_i>替换为

从该实施例中可以看出，用户U_i使用智能卡本地更新密码是非常方便和快速的。

一个合法的用户U_i更新他的身份ID_i是很实际的，比如身份已经过期。但是由于控制服务器CS需要验证用户的ID_i的真实性，作为一种可实施方式，本发明实施例中的身份更改阶段，具体包括：用户U_i通过安全通道重新注册到控制服务器CS。

为了验证本发明协议方法的安全性和其他性能，下述内容主要从以下三方面进行了分析：(1)使用密码相关知识利用启发式分析本发明方案如何抵抗冒充身份攻击；(2)利用Scyther和AVISPA这两个安全协议分析工具模拟本发明方案的实现过程，证明本发明方案能够抵抗主流的攻击过程；(3)简要介绍本发明协议与其他协议的性能比较。

1、安全性分析

本小节主要利用密码学的知识，详细分析了本发明方案中U_i、S_m和CS之间的认证路径，以防范最常见的冒充身份攻击。

(1)在云服务器注册阶段，S_m与CS之间的相互身份验证，S_m与CS协商产生一个值BS_m＝h(PSID_m||SID_m||y)，该值可视为S_m和CS的对称密钥，因为值BS_m只能由S_m和CS计算。因此，S_m和CS可以在身份验证阶段通过对称密钥BS_m实现相互身份验证，例如Kerberos协议身份验证。此外，由于身份SID_m和伪身份PSID_m都与控制服务器CS的机密号y绑定，因此CS将对S_m的两个身份进行身份验证。因此，我们的协议可以在身份验证阶段实现S_m和CS之间的相互身份验证。

为方便描述，本发明采用以下符号进行标记：

在身份验证阶段：

(2)U_i和CS之间的相互身份验证

为了避免在控制服务器CS上记录U_i的身份和密码信息，CS在注册阶段将智能卡分发给U_i。智能卡在本发明协议中记录值<C_i,E_i,h(·)＞。

首先，作为唯一知道ID_i，B_i和P_i的U_i可以计算PID_i＝h(ID_i||b)和

用于登录物联网设备，智能卡中记录的C_i值主要用于验证U_i。所以，采用以下符号标记它：

在用户登录阶段：

上述符号表示：借助智能卡中记录的关键参数值C_i，物联网设备可以验证U_i。另一方面，用户显然信任自己的物联网设备。

其次，当U_i登录设备时，设备会计算

和PID_i＝h(ID_i||b)。智能卡中记录的值E_i可以看作是物联网设备与CS之间身份验证过程中的中间数据。一方面，只有U_i使用B_i和P_i登录物联网设备，设备才能使用数据Ei计算

另一方面，只有知道x和PID_i的CS才能计算D_i＝h(PID_i||x)，然后使用数据E_i计算

因此，物联网设备和CS可以在用户登录阶段借助智能卡实现相互认证。所以，采用以下符号标记它：

在用户登录阶段：

再次，当U_i登录到物联网设备时，该物联网设备可以使用值E_i计算D_i。然后，值D_i可以是作为物联网设备和CS的对称密钥，因为只有物联网设备和CS才能计算值D_i。因此，物联网设备和CS可以在认证阶段通过对称密钥D_i实现相互认证。所以，采用以下符号标记它：

在认证阶段：

根据符号(2)、符号(3)和符号(4)，我们可以推导出以下符号(5)：

在认证阶段：

上面的符号意味着：在智能卡的帮助下，身份为ID_i的U_i可以在认证阶段与CS实现相互认证。

此外，在收到U_i注册消息后，CS应该验证U_i的身份ID_i的真实性。当身份ID_i被确认为合法时，CS将执行后续操作并向U_i传递智能卡。然后，当U_i登录到支持物联网的设备时，设备通过哈希函数计算PID_i＝h(ID_i||b)，这表明伪身份PID_i与真实身份ID_i绑定，值b受智能卡中Ω_i记录的保护。因此，U_i的标识ID_i由U_i的伪标识PID_i间接控制，该伪标识与操作D_i＝h(PID_i||x)的控制服务器CS的机密号x绑定。因此，采用以下符号进行标记：

在身份验证阶段：

(3)U_i和S_m之间的相互身份验证：

就像上面第(2)部分的分析一样，可以在这一部分用以下符号来标记

在身份验证阶段：

由于值N_i和SID_m是由对称密钥D_i加密和传输的，其中

和

在身份验证阶段：

因为值N_m是由对称密钥BS_m加密和传输的，其中

在身份验证阶段：

由于值

由秘密值N_i和D_i加密和传输，其中

在身份验证阶段：

由于值

由秘密值BS_m和N_m加密和传输，其中

因此，可以用以下符号来推断：

在身份验证阶段：

如符号(11)所示，本发明协议通过CS的中介实现了U_i和S_m之间的相互认证。此外，这三方共享相同的会话密钥SK＝h(N_m||N_CS||N_i)。因此，可以断言本发明协议能够有效地抵抗冒充身份攻击。

2、使用Scyther和AVISPA进行仿真分析

在本小节中，定义攻击者的能力并讨论本发明协议的安全性分析。基于对抗模型，使用AVISPA(无限状态***的自动验证)和Scyther的安全协议分析工具来证明该协议可以防御现有的各种攻击。

2.1对抗模型

参考Dolev-Yao对手威胁模型，给出威胁攻击模型。

Dolev-Yao对手威胁模型的详细描述如下：

(1)攻击者可以窃听和拦截所有通过网络的消息；

(2)攻击者可以存储和发送截获的或自建的消息；

(3)攻击者可以作为合法主体参与协议的运行；

(4)功率分析或边信道攻击可以帮助攻击者提取存储在用户智能卡中的秘密信息。

2.2使用安全协议分析工具模拟本发明协议

2.2.1仿真代码说明

使用仿真工具的第一步是用形式语言描述目标协议。本节介绍AVISPA工具形式语言HLPSL(高级协议规范语言)和Scyther工具形式语言SPDL(安全协议描述语言)来模拟本发明协议。

(1)本发明协议的HLPSL模拟代码：本发明协议的HLPSL模拟代码涉及5个角色：“角色用户”模拟真实用户U_i；“角色服务器”模拟云服务器S_m；“角色控制服务器”模拟控制服务器CS；“角色会话”代表四次交互握手的角色；“角色环境”代表有入侵者的高层角落；“角色目标”代表模拟的目的。下面只简单介绍用户角色、环境角色和安全目标的部分HLPSL描述，如图4所示。

在图4(a)中，用户角色过程描述了开始使用的参数、初始状态和转换。“转换”表示接受信息和发送响应信息。“Channel(dy)”表示攻击方式为Dolev-Yao攻击模型，攻击者可以控制协议的网络。例如，攻击者可以拦截、窃取、修改、重放协议中通道上传输的信息，甚至冒充协议中的合法角色执行操作发起攻击。

图4(b)展示了角色环境和安全目标。高级角色过程包括全局常量和一个或多个会话的混合角色过程。其中，入侵者可能冒充合法用户运行某些角色进程。还有一些句子描述了入侵者在初始状态下已知的知识，一般包括代理的名称、其他代理共享的所有密钥以及所有已知的功能。对于安全目标的HLPSL建模，我们只给出支持机密性和认证两个目标之一的HLPSL的机密性目标。为了保密，目标实例指示在声明的角色中哪些值是保密的。如果不能实现，则说明入侵者获得了机密值，可以成功攻击协议。对于身份验证，主要目的是验证身份伪装攻击，在上一节的安全性分析中，具体演示本发明协议如何抵抗这种常见的攻击。

(2)本发明协议的SPDL仿真代码：与HLPSL类似，本发明协议的SPDL仿真代码包括3个角色：“角色U”模拟真实用户U_i；“角色S”模拟云服务器S_m；“角色CS”模拟服务器控制CS。这里以控制服务器CS角色为例介绍SPDL代码，如图5所示。定义会话协议所需的变量后，本发明协议的完整实现由CS中发生的事件集合表示。"send"和"recv"事件表示CS分别发送消息和接收消息。Scyther工具的优点之一是它可以灵活地描述目标属性，无论是变量的机密性还是某个主体对另一个主体的认证。Scyther工具可以对用户感兴趣的安全属性进行分析和验证。目标属性的描述是通过“claim”事件完成的，可以用来描述角色的认证和变量的机密性。

2.2.2仿真结果

本节使用两种形式分析工具展示了本发明协议的模拟结果。在ubuntu操作***的虚拟机中构建了AVISPA(2006/02/13版本)和Scyther(v1.1.3)。图6显示了AVISPA提供的所有四个后端分析工具的结果，以模拟所有实体的提议协议。OFMC、CL-AtSe和SATMC模块的测试结果表明本发明协议是安全的(SUMMARY SAFE)，这意味着它可以达到预期的安全目标；TA4SP验证模型表示INCONCLUSIVE，因为当前TA4SP模块不支持单向哈希函数，并且当前版本可以提供No ATTACK TRACE的结果。在使用Scyther工具模拟协议时，也使用Dolev-Yao攻击模型，分析参数中的最小执行轮数设置为3。Scyther工具的模拟结果如图7所示。图7.(a)显示了Scyther工具在Dolev-Yao模型下对我们协议的形式分析的攻击路径。我们的协议消息的可达性分析报告如图7(b)所示的。测试结果表明，本发明协议在该模型下不存在任何攻击威胁。因此，可以断言本发明协议可以抵抗各种常见的攻击，例如内部攻击、重放攻击、会话密钥披露者攻击等。

3、性能比较

下文中，在对安全功能和计算性能的抵抗力方面具体将本发明协议与其他两个协议(分别为文献1和文献2)进行比较。表2列出了物联网设备和云服务器的强大身份验证协议的9项一般安全要求。表2中的结果表明本发明协议的优势在于用户可审计性、简单安全的密码更改、抵抗离线密码猜测攻击、抵抗假冒攻击和生物特征保护。

此外，表3显示了在本发明协议与其他相关协议的每个阶段中，哈希函数和异或XOR操作所花费的次数。从最后一行的总计数可以看出，本发明协议使用哈希函数和XOR的次数最少。因此，它更适合应用程序资源受限和数据密集型的环境，例如智慧城市中的物联网设备。

表2新协议与相关协议的安全功能比较

表3新方案与其他相关方案的操作比较

H:哈希函数；X:异或运行

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，包括注册阶段、登录阶段以及认证和密钥协商阶段，其特征在于，所述认证和密钥协商阶段包括：

第一次握手过程：用户U_i通过其物联网设备向云服务器S_m发送登录消息，云服务器S_m接收到用户U_i的登录消息后，计算其自身的身份验证条件，并将其自身的身份验证条件和用户U_i的登录消息发送至控制服务器CS；

第二次握手过程：控制服务器CS接收到来自云服务器S_m的消息后，验证用户U_i和云服务器S_m的合法性，若二者合法，则分别为用户U_i和云服务器S_m生成其自身的身份验证条件，并将生成的两种身份验证条件发送至云服务器S_m；

第三次握手过程：云服务器S_m从接收到的两种身份验证条件中选择与其自身相关的身份验证条件来验证控制服务器CS，并将另一种身份验证条件发送至用户U_i的物联网设备；

第四次握手过程：用户U_i的物联网设备根据接收到的身份验证条件验证控制服务器CS的合法性，若控制服务器CS通过验证，用户U_i、云服务器S_m和控制服务器CS最终协商得到一个共享密钥SK＝h(N_m||N_CS||N_i)；其中，N_m表示第一次握手过程中由云服务器S_m所生成的一个128位的随机数，N_CS表示第二次握手过程中由控制服务器CS所生成的一个128位的随机数，N_i表示用户U_i在登录上云服务器S_m后所生成的一个至少128位的随机数；

其中，在上述的四次握手过程中，只要用户U_i、云服务器S_m和控制服务器CS中的任何一方未能通过身份验证，则会话结束。

2.根据权利要求1所述的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，其特征在于，所述第一次握手过程中，云服务器S_m接收到用户U_i的登录消息后，还包括：

云服务器S_m检查条件TS_m-TS_i<△T是否成立，若成立，云服务器S_m计算其自身的身份验证条件，具体包括：云服务器S_m生成一个128位的随机数N_m并计算

K_i＝h(N_m||BS_m||PID_i||G_i||TS_m)；

对应地，所述云服务器S_m将其自身的身份验证条件和用户U_i的登录消息发送至控制服务器CS具体为：云服务器S_m将<J_i,K_i,PSID_m,G_i,F_i,Z_i,PID_i,TS_i,TS_m发送到控制服务器CS；

其中，<G_i,F_i,Z_i,PID_i,TS_i>表示用户U_i的登录消息，<J_i,K_i,PSID_m,TS_m>表示云服务器S_m的身份验证条件，TS_m表示云服务器S_m的当前时间戳，TS_i表示用户U_i的物联网设备的当前时间戳，△T表示设定的时间阈值，BS_m表示云服务器S_m与控制服务器CS之间的对称密钥，PID_i表示用户U_i的伪身份标识，PSID_m表示云服务器S_m的伪身份标识，B_m、J_i、K_i、G_i、F_i和Z_i均表示中间运算结果，h(·)表示哈希函数，||表示拼接操作。

3.根据权利要求2所述的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，其特征在于，所述第二次握手过程中，控制服务器CS接收到来自云服务器S_m的消息后，还包括：控制服务器CS检查条件TS_CS-TS_m<△T是否成立，若成立，则验证用户U_i和云服务器S_m的合法性；

对应地，所述验证用户U_i和云服务器S_m的合法性，若二者合法，则分别为用户U_i和云服务器S_m生成其自身的身份验证条件，并将生成的两种身份验证条件发送至云服务器S_m，具体包括：

步骤A1：控制服务器CS计算

D_i＝h(PID_i||x)

步骤A2：控制服务器CS检查条件

是否成立，若成立，则控制服务器CS验证用户U_i合法；

步骤A3：控制服务器CS计算

BS_m＝h(PSID_m||SID_m||y)

步骤A4：控制服务器CS检查条件

是否成立，若成立，则控制服务器CS验证云服务器S_m合法；

步骤A5：控制服务器CS生成一个128位的随机数N_CS并计算

SK_CS＝h(N_i||N_m||N_CS)

步骤A6：通过公共信道将<P_CS,Q_CS,R_CS,V_CS>发送至云服务器S_m；

其中，TS_CS表示控制服务器CS的当前时间戳，x表示仅为控制服务器CS所知用于验证用户U_i的密钥，ID_i表示用户U_i的真实身份标识，SID_m表示云服务器S_m的真实身份标识，SK_CS表示控制服务器CS端生成的共享密钥，R_CS和V_CS表示控制服务器CS为云服务器S_m生成的身份验证条件，P_CS和Q_CS表示控制服务器CS为用户U_i生成的身份验证条件，D_i表示物联网设备和控制服务器CS之间的对称密钥，

和

分别表示用于验证用户U_i和云服务器S_m的合法性且数据传输完整性的参数，

表示异或运算。

4.根据权利要求3所述的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，其特征在于，所述第三次握手过程具体包括：

首先，云服务器S_m计算

W_m＝h(BS_m||N_m)

然后，云服务器S_m检查条件

是否成立，若成立，云服务器S_m验证控制服务器CS通过，并将〈P_CS,Q_CS>发送至用户U_i的物联网设备；

其中，SK_m表示云服务器S_m端生成的共享密钥，W_m表示中间运算结果，

表示用于验证控制服务器CS的身份真实性的参数。

5.根据权利要求4所述的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，其特征在于，所述第四次握手过程具体包括：

首先，用户U_i的物联网设备计算

L_i＝h(N_i||D_i||F_i)

SK_i＝h(N_m||N_CS||N_i)

然后，用户U_i的物联网设备检查条件

是否成立，若成立，用户U_i确认控制服务器CS是真实的；

其中，L_i表示中间运算结果，SK_i表示用户U_i的物联网设备端生成的共享密钥，

分别表示用于验证控制服务器CS的身份真实性的参数。

6.根据权利要求1所述的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，其特征在于，所述注册阶段，分为云服务器注册阶段和用户注册阶段；其中：所述云服务器注册阶段，具体包括：

云服务器S_m将注册消息〈SID_m,d>发送到控制服务器CS；其中，SID_m表示云服务器S_m的真实身份标识，d是随机数；

控制服务器CS在接收到来自云服务器S_m的注册消息后，计算PSID_m＝h(SID_m||d)，BS_m＝h(PSID_m||SID_m||y)，并通过安全通道将〈BS_m>发回云服务器S_m；其中，PSID_m表示云服务器S_m的伪身份标识，y表示仅为控制服务器CS所知用于验证云服务器S_m的密钥，BS_m表示云服务器S_m与控制服务器CS之间的对称密钥，h(·)表示哈希函数；

云服务器S_m将秘密参数<BS_m,d>存储到内存中。

7.根据权利要求6所述的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，其特征在于，所述用户注册阶段，具体包括：

用户U_i选择所需的真实身份标识ID_i和密码P_i进入其物联网设备；

物联网设备收集用户U_i的生物特征B_i，并生成一个随机数b来计算PID_i＝h(ID_i||b)，

和

其中，PID_i表示用户U_i的伪身份标识，A_i和Ω_i均表示中间运算结果，

表示异或运算；

物联网设备将注册消息〈ID_i,PID_i,A_i>通过安全通道发送至控制服务器CS；

控制服务器CS在接收到来自物联网设备的注册消息后，验证ID_i的真实性，若ID_i是非法的，控制服务器CS将拒绝用户U_i的注册；否则，控制服务器CS计算C_i＝h(PID_i||A_i)，D_i＝h(PID_i||x)和

其中，x表示仅为控制服务器CS所知用于验证用户U_i的密钥，D_i表示物联网设备和控制服务器CS之间的对称密钥，C_i和E_i均表示中间运算结果；

控制服务器CS将数据<C_i,E_i,h(·)>写入智能卡，并通过专用通信将其传递给用户U_i；

用户U_i获得智能卡后，将其***物联网设备，并再次向物联网设备输入ID_i和P_i，以便通过物联网设备向智能卡写入Ω_i，智能卡记录信息<C_i,Ω_i,E_i,h(·)>。

8.根据权利要求7所述的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，其特征在于，所述登录阶段，具体包括：

当用户U_i想要从云服务器S_m获取信息，用户U_i将智能卡***物联网设备，并提供

P_i ^*和

其中，

P_i ^*和

分别表示用户U_i实际输入的身份标识、密码和生物特征；

物联网设备计算

和

检查条件

是否成立，若成立，则用户U_i是真实的，否则，拒绝用户U_i的登录；

若用户U_i是真实的，物联网设备生成一个至少128位的随机数N_i，并计算

PID_i＝h(ID_i||b)

G_i＝h(PID_i||SID_m||N_i||TS_i||D_i)

其中，TS_i是物联网设备的当前时间戳，SID_m是云服务器S_m的真实身份标识，G_i、F_i和Z_i均表示中间运算结果；

物联网设备通过公共信道将<G_i,F_i,Z_i,PID_i,TS_i>传输到云服务器S_m。

9.根据权利要求1所述的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，其特征在于，还包括：密码更改阶段，具体包括：

用户U_i将智能卡***物联网设备，然后提供

P_i ^*和

其中，

P_i ^*和

分别表示用户U_i实际输入的身份标识、密码和生物特征；

物联网设备计算

和

检查条件

是否成立，若成立，提示用户U_i输入新密码P_i ^new，并生成一个随机数

否则，拒绝用户U_i的密码更改；

接着，物联网设备计算

物联网设备将智能卡中的原始记录值<C_i,Ω_i,E_i>替换为

10.根据权利要求8所述的一种分布式云计算架构中物联网设备的认证和密钥协商协议方法，其特征在于，还包括：身份更改阶段，具体包括：

用户U_i通过安全通道重新注册到控制服务器CS。

Images