An Enhanced Lightweight IoT-based Authentication Scheme in Cloud Computing Circumstances

Martínez-Peláez, Rafael; Toral-Cruz, Homero; Parra-Michel, Jorge R.; García, Vicente; Mena, Luis J.; Félix, Vanessa G.; Ochoa-Brust, Alberto

doi:10.3390/s19092098

开放式访问第条

云计算环境下一种增强的轻量级物联网认证方案

¹

路易斯安那州巴约拉萨大学信息科学系。墨西哥León 37150，Universidad 602

²

墨西哥切图马尔77019巴伊亚S/N大道金塔纳罗奥大学科学与工程系

^三

阿根廷华雷斯自治大学工程与计算机系。Joséde Jesús Macías Delgado 18100，Cd.Juárez 32310，墨西哥

⁴

锡纳罗亚政治大学计算机科学院联合会。墨西哥马扎特兰82199，Libre Mazatlán Higueras Km 3

⁵

Av.科利马大学机械工程系。墨西哥科利马333大学28040

^*

应向其寄送信件的作者。

传感器 2019,19(9), 2098;https://doi.org/10.3390/s19092098

收到的提交文件：2019年3月16日/修订日期：2019年4月15日/接受日期：2019年4月28日/发布日期：2019年5月6日

（本文属于特刊物联网身份验证和可信感知)

下载

浏览地物

版本注释

摘要

:

随着物联网和云计算的快速部署，有必要加强身份验证协议，以减少影响应用程序正确性能的攻击和安全漏洞。2019年，提出了一种新的云计算环境下基于物联网的轻量级身份验证方案。据作者介绍，他们的协议是安全的，可以抵抗非常著名的攻击。然而，当我们评估该协议时，我们发现了一些安全漏洞和缺点，使得该方案不安全。因此，我们提出了一个考虑登录、相互身份验证和密钥协议阶段的新版本，以增强安全性。此外，我们还包括一个子阶段，称为连接尝试证据，它提供了用户和服务器参与的证据。新方案达到了安全要求，抵抗了非常著名的攻击，改进了以前的工作。此外，性能评估表明，在注册和登录阶段，新方案比以前的身份验证协议需要更少的通信成本。

关键词：

身份验证;云计算;物联网;相互身份验证;会话密钥协议

图形摘要

1.简介

信息技术在过去几年里发展迅速，主要是开发新技术，重点是如何利用互联网。从这个意义上说，无线接入、高速连接、API和电子服务等创新已成功进入互联网领域。与此同时，研究人员和计算机专业人员开发了新的通信技术，如Wi-Fi、4G、5G、路由协议、LTE、蓝牙、RFID等，为用户提供了更广泛的范围。与此同时，技术成本逐年下降，使得每个人都可以通过平板电脑和智能手机等较小的设备访问互联网。

另一方面，随着互联网变得无处不在、速度更快，非技术社区、社交网络和协作服务越来越容易访问，出现了人工智能、大数据、云计算、无线传感器网络和物联网等新兴技术，使人们能够以更多的方式交流和分享兴趣。因此，这些新技术再次改变了世界，创造了新的商业机会，新的应用程序来提高安全性、舒适性和效率，减少了人力，以及收集和分析数据的新方法。

在这五项新兴技术中，物联网和云计算越来越与学术界和工业界相关。1999年，Ashton引入了物联网的概念[1]，定义为通过互联网连接物理对象（设备/传感器）[2]. 另一方面，云计算是由麦卡锡于1961年引入的[三]36年后，切拉帕在当前技术时代的场景中解释了这一概念[4]，定义为一种大规模分布式计算范式，它基于虚拟化、托管计算能力和专注于其核心业务的存储来推动许多公司的经济发展[三].

物联网应用程序分为以下类别[5,6]：（a）传感器互联网，这是一个由传感器组成的网络，用于收集和传输各类数据；（b）能源互联网（IoE），这是一个智能电网网络，用于分析和控制能源生产、消费、储存和分配；（c）机器对机器（M2M）通信是通过互联网连接的设备/传感器网络；和（d）车辆互联网（IoV），这是一个车辆网络，可以共享有关道路状态的信息。另一种分类是基于通信模型[7]：（a）机器对机器通信，包括多个连接的设备/传感器，在没有物理基础设施的情况下在它们之间交换数据；（b）机器到云通信，包括使用云服务器服务存储和处理数据的设备/传感器；以及（c）机器到网关通信，其中包括作为代理协作以扩展网络范围的设备/传感器。

就云计算而言，我们可以找到云提供商提供的四种部署模型。第一种类型称为公共云，在公共云中，任何人都可以通过开放的通信渠道获得服务和系统。第二种类型称为私有云，其中某些用户/员工或组织可以通过安全的通信渠道访问服务和系统。第三种类型称为社区云，其中云由多个组织共享。最后一种包括公共云和私有云以共享资源的类型称为混合云[4].

通过这些服务平台，云计算允许我们周围的一切相互连接，包括我们的生命迹象、个人和敏感数据，这些数据通过开放的通信渠道传递到不同的站点[8,9,10]. 这是可能的，因为设备/传感器会自动收集大量数据并将其存储在云服务器上[11,12,13,14]. 然而，这也代表了安全方面的一个重大劣势，因为存储在单个数据库中的大量个人和敏感数据可以在未经用户批准的情况下访问[9].

另一方面，物联网的主要优点，即普遍性，也是其主要缺点，因为它还需要有一个高度复杂的安全协议。据El-Hajj等人[6]和Ferrag等人[5]物联网安全要求包括身份验证、授权、完整性、机密性、不可否认性、可用性和隐私，以保护数据、节点和消息免受攻击。

因此，要解决这两种新兴技术的安全需求，就必须特别关注身份验证过程，因为这是抵御潜在攻击者的第一道防线。身份验证协议的目标是验证实体的身份，以确定他/她或设备/传感器是谁或其声称是什么人[5,6]. 因此，身份验证过程是安全Internet通信的关键组件。

从这个意义上讲，一个强认证协议需要实现以下两个目标：相互认证和会话密钥协商[15]. 此外，身份验证协议必须避免拒绝服务、伪造、并行会话、密码猜测、重放、智能卡丢失和stolen-verifier攻击[15]. 在任何认证协议的威胁模型中，对手或恶意用户具有计算能力，可以在较低的时间内计算复杂的操作，并控制公共通信信道捕获和存储任何消息。一般来说，安全威胁包括30多种攻击[5]. 然而，用于评估身份验证协议的最常见的攻击是人在中间、模拟和伪造以及重放攻击[5].

近年来，身份验证协议使用密码系统作为增强安全性的对策[5]. 主要的加密系统有散列函数、对称算法（AES）、非对称算法（RSA、D-H、ECC）、数字签名和基于ID的加密；其采用主要取决于设备/传感器的部署、计算能力和能耗。因此，需要更多计算能力的密码系统必须在需要高能耗的设备/传感器中实现。因此，我们致力于轻量级身份验证协议，它需要低计算操作。这样，Wang等人在2015年进行的研究[16]和2018年[17]有助于理解轻量级身份验证协议的安全需求、对手模型、方案类型和评估标准。

1.1. 相关工作

本文中，我们指的是需要低计算操作的轻量级身份验证方案，例如散列函数和排他OR操作。第一个轻量级身份验证方案由Lamport于1981年提出[18]. Lamport引入了散列链的概念，通过开放的通信通道对远程用户进行身份验证。Lamport的方案由于其低计算成本而在实际实现中是可行的，然而，该方案要求服务器维护一个验证表，从而使其容易窃取个人数据。1990年，Hwang等人[19]提出了一种无验证表的方案。后来，Lin等人[20]提出了一种基于非对称ElGamal算法的认证方案，以改善Li等人在[21]. 自1990年以来，提出了几种身份验证方案，以增强以前的安全性。这些方案旨在n个用户和单个服务器。

后来，Liao等人[22]提出了一种多服务器环境下的身份验证方案。然而，Liao等人的方案容易受到内部攻击、伪装攻击、服务器欺骗攻击和注册中心欺骗攻击[23]. Xiang等人[23]针对Liao等人方案的安全缺陷，提出了一种新的身份验证方案。然而，Martínez-Peláez等人[24]证明了祥等人的方案是不安全的。两年后，Kim等人[25]评估了Martínez-Pelláez等人发现安全漏洞的方案。同年，Li等人[26]对Sood等人提出的方案进行了评估[27]发现它不安全。然后，Xue等人[28]证明了Li等人的方案的安全漏洞。后来，Amin等人[1]提出了一种身份验证方案，弥补了Xue等人方案的安全缺陷。尽管如此，Challa等人[29]证明Amin等人的方案容易受到内幕人士和冒充攻击。

2019年，Zhou等人[30]提出了一种基于哈希函数和排他-or操作的方案，用于在大规模物联网和云计算部署中提供身份验证。他们解释说，阿明等人的方案无法抵抗离线猜测攻击。他们还声称，他们的计划是安全的，不会受到众所周知的攻击。

1.2. 贡献

在这项工作中，我们回顾了Zhou等人提出的方案[30]并指出该方案存在安全漏洞和不足，使其不安全。特别是，该方案容易受到内部人、重播和用户模拟攻击。此外，该方案不能提供相互认证，也不能保护密钥。因此，本文的主要贡献是对Zhou等人提出的认证方案进行了改进，实现了以下安全特性：相互认证和会话密钥协商。此外，我们的建议保持用户的匿名性，以防窃听，并要求登录阶段。

另一方面，在Zhou等人的安全方案中，服务器或用户都不知道对方是否是系统的合法成员。因此，该方案包括一个称为连接尝试证据的新子阶段，该子阶段提供了识别身份验证请求参与者的元素。此子阶段补充了中包含的身份验证阶段[30].

本文的其余部分组织如下：第2节介绍了Zhou等人的方案概述，特别是注册和认证阶段，并包含了基于[5,6,15]. 新提案的解释见第3节安全分析和性能评估见第4节。结论见第5节.

2.周氏方案审查及安全性分析

首先，我们简要介绍了Zhou等人在年提出的方案的注册和认证阶段[30]. 然后，我们进行了安全分析，以解释在他们的方案中发现的缺陷和漏洞。

2.1. 注册阶段

此阶段分为用户注册和云服务器注册子阶段。

2.1.1. 用户注册子阶段

在这个子阶段中，用户(

{U型}_{我}

)由控制服务器注册(反恐精英). 之间的沟通

{U型}_{我}

和反恐精英是通过一个安全的渠道。此子阶段涉及的步骤如下：

第1步：

{U型}_{我}

选择身份

(我 {D类}_{我})

，伪身份

(P（P） 我 {D类}_{我})

，密码

(P（P） 周_{我})

和nonce

({b条}_{我})

.然后，

{U型}_{我}

计算

H（H） {P（P）}_{我} = 小时 (P（P） 周_{我} ∥ {b条}_{我})

并发送注册请求消息

{M（M）}_{1} = {我 {D类}_{我}, P（P） 我 {D类}_{我}}

到反恐精英是

小时 (\cdot)

是单向散列函数，

∥

表示串联操作和

\oplus

表示排他或操作。

步骤2：收到注册请求消息后

{M（M）}_{1}

,反恐精英验证是否

我 {D类}_{我}

是否有效。如果那样的话

我 {D类}_{我}

无效，注册过程将被关闭。另一方面，

C S公司

计算

C_{1}^{*} = 小时 (P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司} ∥ x个)

和

C_{2}^{*} = 小时 (我 {D类}_{我} ∥ x个)

.然后，反恐精英商店

我 {D类}_{我}

并发送注册响应消息

{M（M）}_{2} = {C_{1}, C_{2}, 我 {D类}_{C S公司}}

到

{U型}_{我}

.

步骤3：收到注册响应消息后

{M（M）}_{2}

,

{U型}_{我}

计算

C_{1} = C_{1}^{*} \oplus H（H） {P（P）}_{我}

,

C_{2} = C_{2}^{*} \oplus 小时 (我 {D类}_{我} ∥ H（H） {P（P）}_{我})

和

C_{三} = {b条}_{我} \oplus 小时 (我 {D类}_{我} ∥ P（P） 周_{我})

、和商店

(C_{1}, C_{2}, C_{三}, P（P） 我 {D类}_{我}, 我 {D类}_{C S公司})

在他的智能卡上。

此时，用户注册子阶段结束

{U型}_{我}

由注册

C S公司

.

2.1.2. 云服务器注册子阶段

在这个子阶段中，服务器

({S公司}_{j个})

由控制服务器注册

(C S公司)

.双方的沟通

{S公司}_{j个}

和反恐精英是通过一个安全的通信通道。此子阶段涉及的步骤如下：

第1步：

{S公司}_{j个}

选择身份

(S公司 我 {D类}_{j个})

和伪身份

(P（P） S公司 我 {D类}_{j个})

.然后，

{S公司}_{j个}

发送注册请求消息

{M（M）}_{三} = {S公司 我 {D类}_{j个}, P（P） S公司 我 {D类}_{j个}}

到反恐精英.

步骤2：收到注册请求消息后

{M（M）}_{三}

,反恐精英计算

{B类}_{1} = 小时 (P（P） S公司 我 {D类}_{j个} ∥ 我 {D类}_{C S公司} ∥ x个)

和

{B类}_{2} = 小时 (S公司 我 {D类}_{j个} ∥ x个)

.然后，

C S公司

商店

S公司 我 {D类}_{j个}

并发送注册响应消息

{M（M）}_{4} = {{B类}_{1}, {B类}_{2}, 我 {D类}_{C S公司}}

到

{S公司}_{j个}

.

步骤3：之后

{S公司}_{j个}

接收注册响应消息

{M（M）}_{4}

,

{S公司}_{j个}

商店

({B类}_{1}, {B类}_{2}, S公司 我 {D类}_{j个}, P（P） S公司 我 {D类}_{j个}, 我 {D类}_{C S公司})

.

至此，云服务器注册子阶段结束

{S公司}_{j个}

由注册

C S公司

.

2.2. 身份验证阶段

此阶段分为以下步骤，详细信息如所示图1:

步骤1：此步骤由调用

{U型}_{我}

，当她/他想获得由提供的服务时

{S公司}_{j个}

.

{U型}_{我}

插入他/她的智能卡并给他/她的钥匙

我 {D类}_{我}

和

P（P） 周_{我}

然后，智能卡生成一个随机数

({第页}_{U型})

和新伪身份

(P（P） 我 {D类}_{我}^{n个 e（电子） w个})

.之后，

{U型}_{我}

计算

{b条}_{我} = C_{三} \oplus 小时 (我 {D类}_{我} ∥ P（P） 周_{我})

,

H（H） {P（P）}_{我} = 小时 (P（P） 周_{我} ∥ {b条}_{我})

,

C_{1}^{*} = C_{1} \oplus H（H） {P（P）}_{我}

,

C_{2}^{*} = C_{2} \oplus 小时 (我 {D类}_{我} ∥ H（H） {P（P）}_{我})

,

{D类}_{1} = C_{1}^{*} \oplus {第页}_{U型}

,

{D类}_{2} = 小时 (P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司} ∥ {第页}_{U型}) \oplus 我 {D类}_{我}

,

{D类}_{三} = C_{2}^{*} \oplus 小时 (我 {D类}_{我} ∥ H（H） {P（P）}_{我}) \oplus P（P） 我 {D类}^{n个 e（电子） w个} \oplus 小时 ({第页}_{U型} ∥ 我 {D类}_{我})

、和

{D类}_{4} = 小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我} ∥ P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ {第页}_{U型} ∥ {D类}_{三})

.然后，

{U型}_{我}

发送身份验证请求消息

{M（M）}_{5} = {P（P） 我 {D类}_{我}, {D类}_{1}, {D类}_{2}, {D类}_{三}, {D类}_{4}}

到

{S公司}_{j个}

通过开放的沟通渠道。

步骤2：此步骤由调用

{S公司}_{j个}

。收到身份验证请求消息后

{M（M）}_{5}

,

{S公司}_{j个}

选择新的伪身份

(P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个})

和一个随机数

({第页}_{S公司})

.然后，

{S公司}_{j个}

计算

{D类}_{5} = {B类}_{1} \oplus {第页}_{S公司}

,

{D类}_{6} = 小时 ({第页}_{S公司} ∥ P（P） S公司 我 {D类}_{j个} ∥ 我 {D类}_{C S公司}) \oplus S公司 我 {D类}_{j个}

,

{D类}_{7} = {B类}_{2} \oplus P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个} \oplus 小时 ({第页}_{S公司} ∥ S公司 我 {D类}_{j个})

、和

{D类}_{8} = 小时 (S公司 我 {D类}_{j个} ∥ P（P） S公司 我 {D类}_{j个} ∥ P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个} ∥ {第页}_{S公司} ∥ {D类}_{7})

最后，

{S公司}_{j个}

发送身份验证请求消息

{M（M）}_{6} = {P（P） 我 {D类}_{我}, {D类}_{1}, {D类}_{2}, {D类}_{三}, {D类}_{4}, P（P） S公司 我 {D类}_{j个}, {D类}_{5}, {D类}_{6}, {D类}_{7}, {D类}_{8}}

到

C S公司

通过开放的沟通渠道。

步骤3：此步骤由调用

C S公司

。收到身份验证请求消息时

{M（M）}_{6}

,

C S公司

计算

{第页}_{U型} = {D类}_{1} \oplus 小时 (P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司} ∥ x个)

,

我 {D类}_{我} = {D类}_{2} \oplus 小时 ({第页}_{U型} ∥ P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司})

、和

P（P） 我 {D类}_{我}^{n个 e（电子） w个} = {D类}_{三} \oplus 小时 (我 {D类}_{我} ∥ x个) \oplus 小时 ({第页}_{U型} ∥ 我 {D类}_{我})

.然后，

C S公司

检查是否

我 {D类}_{我}

和

{D类}_{4}

是否有效。如果验证过程失败，

C S公司

关闭通信。另一方面，

C S公司

计算

{第页}_{S公司} = {D类}_{5} \oplus 小时 (P（P） S公司 我 {D类}_{j个} ∥ 我 {D类}_{C S公司} ∥ x个)

,

S公司 我 {D类}_{j个} = {D类}_{6} \oplus 小时 ({第页}_{S公司} ∥ P（P） S公司 我 {D类}_{j个} ∥ 我 {D类}_{C S公司})

、和

P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个} = {D类}_{7} \oplus 小时 (S公司 我 {D类}_{j个} ∥ x个) \oplus 小时 ({第页}_{S公司} ∥ S公司 我 {D类}_{j个})

。接下来，

C S公司

检查是否

S公司 我 {D类}_{j个}

和

{D类}_{8}

是否有效。如果验证过程失败，

C S公司

关闭通信。另一方面，

C S公司

选择一个随机数

({第页}_{C S公司})

并计算会话密钥

S公司 {K（K）}_{C S公司} = 小时 ({第页}_{U型} \oplus {第页}_{S公司} \oplus {第页}_{S公司 C})

。稍后，

C S公司

计算

{D类}_{9} = 小时 (P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个} ∥ 我 {D类}_{C S公司} ∥ x个) \oplus 小时 ({第页}_{S公司} ∥ P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个})

,

{D类}_{10} = 小时 (P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个} ∥ {第页}_{S公司} ∥ P（P） S公司 我 {D类}_{j个}) \oplus ({第页}_{U型} \oplus {第页}_{C S公司})

,

= 小时 (S公司 {K（K）}_{C S公司} ∥ {D类}_{9} ∥ {D类}_{10} ∥ 小时 (S公司 我 {D类}_{j个} ∥ x个))

,

{D类}_{12} = 小时 (P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ 我 {D类}_{c 秒} ∥ x个) \oplus 小时 ({第页}_{U型} ∥ P（P） 我 {D类}_{我}^{n个 e（电子） w个})

,

{D类}_{13} = 小时 (P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ {第页}_{U型} ∥ P（P） 我 {D类}_{我}) \oplus ({第页}_{S公司} \oplus {第页}_{S公司 C})

、和

{D类}_{14} = 小时 (S公司 {K（K）}_{C S公司} ∥ {D类}_{12} ∥ {D类}_{13} ∥ 小时 (我 {D类}_{我} ∥ x个))

最后，

C S公司

发送

{M（M）}_{7} = {{D类}_{9}, {D类}_{10}, {D类}_{11}, {D类}_{12}, {D类}_{13}, {D类}_{14}}

到

{S公司}_{j个}

通过开放的沟通渠道。

步骤4：此步骤由调用

{S公司}_{j个}

。但正在接收身份验证响应消息

{M（M）}_{7}

,

{S公司}_{j个}

计算

({第页}_{U型} \oplus {第页}_{C S公司}) = {D类}_{10} \oplus 小时 (P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个} ∥ {第页}_{S公司} ∥ P（P） S公司 我 {D类}_{j个})

和

S公司 {K（K）}_{S公司} = 小时 ({第页}_{S公司} \oplus {第页}_{U型} \oplus {第页}_{C S公司})

.然后，

{S公司}_{j个}

检查是否

{D类}_{11}

是否正确。如果验证过程正确，

{S公司}_{j个}

计算

{B类}_{1}^{n个 e（电子） w个} = {D类}_{9} \oplus 小时 ({第页}_{S公司} ∥ P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个})

并替换

{B类}_{1}, P（P） S公司 我 {D类}_{j个}

具有

{B类}_{1}^{n个 e（电子） w个}, P（P） S公司 我 {D类}_{j个}^{n个 e（电子） w个}

最后，

{S公司}_{j个}

发送

{M（M）}_{8} = {{D类}_{12}, {D类}_{13}, {D类}_{14}}

到

{U型}_{我}

通过开放的沟通渠道。

步骤5：此步骤由调用

{U型}_{我}

。收到身份验证响应消息后

{M（M）}_{8}

,

{U型}_{我}

计算

({第页}_{S公司} \oplus {第页}_{S公司 C}) = {D类}_{13} \oplus 小时 (P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ {第页}_{U型} ∥ P（P） 我 {D类}_{我})

和

S公司 {K（K）}_{U型} = 小时 ({第页}_{U型} \oplus {第页}_{S公司} \oplus {第页}_{C S公司})

.然后，

{U型}_{我}

检查是否

{D类}_{14}

.是否正确。如果验证过程正确，

{U型}_{我}

计算

C_{我}^{n个 e（电子） w个} = {D类}_{12} \oplus 小时 ({第页}_{U型} ∥ P（P） 我 {D类}_{我}^{n个 e（电子） w个}) \oplus H（H） {P（P）}_{我}

并替换

C_{1}, P（P） 我 {D类}_{我}

具有

C_{1}^{n个 e（电子） w个}, P（P） 我 {D类}_{我}^{n个 e（电子） w个}

.

2.3. 安全漏洞

在本小节中，我们解释了Zhou等人在[30]. 安全分析基于[5,6,15]. 通过这些工作，我们进行了安全分析。在本部分中，我们假设攻击者具有以下能力[31,32]:

攻击者是系统的合法成员，这意味着他/她是由反恐精英他/她有所有的安全参数。
攻击者可以控制公共通信信道，从而可以截获、插入、存储、删除或修改任何消息。
攻击者具有连接到公共通信信道的高计算能力。

2.3.1. 内幕攻击

当恶意用户拥有足够的知识来攻击敏感数据或整个系统时，就会发生此攻击。在这种情况下，攻击者知道

C_{2}^{*} = 小时 (我 {D类}_{我} ∥ x个)

，计算依据

C S公司

在用户注册阶段。根据Zhou等人的说法。，

C S公司

使用相同的密钥

(x个)

注册用户和服务器，以便他/她可以找到

x个

从

C_{2}^{*}

，穷尽搜索所有可能的随机数

年

直到

小时 (我 {D类}_{我} ∥ 年) = C_{2}^{*} = 小时 (我 {D类}_{我} ∥ x个

)知道的密钥

C S公司

。此攻击是可能的，因为攻击者知道

我 {D类}_{我}

和

C_{2}^{*}

.

2.3.2. 人在中间的攻击

当攻击者控制了公共通信信道，为他/她提供了监听两个实体之间对话的可能性时，就会发生这种攻击。在这种情况下，攻击者可以截获身份验证请求消息

{M（M）}_{5} = {P（P） 我 {D类}_{我}, {D类}_{1}, {D类}_{2}, {D类}_{三}, {D类}_{4}}

发送自

{U型}_{我}

到

{S公司}_{j个}

。在此情况下，攻击者可以实现以下主动攻击。

重播攻击

攻击者可以传输最后一条身份验证请求消息

{M（M）}_{5}

发送至

{S公司}_{j个}

在任何特定的时间和地点

{U型}_{我}

。攻击描述如下：

步骤1:攻击者至少有一条身份验证请求消息

{M（M）}_{5}

由发送

{U型}_{我}

到

{S公司}_{j个}

攻击者知道

我 {D类}_{C S公司}

和

x个

.

步骤2：攻击者发送身份验证请求消息

{M（M）}_{5}^{第页 e（电子） 第页 我 一 年}

到

{S公司}_{j个}

。该消息包含先前通信中传输的相同信息。

步骤3：攻击者使用

我 {D类}_{C S公司}

,

x个

和

P（P） 我 {D类}_{我}

计算

C_{1}^{*} = 小时 (P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司} ∥ x个)

,

{第页}_{U型} = {D类}_{1} \oplus 小时 (P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司} ∥ x个)

,

我 {D类}_{我} = {D类}_{2} \oplus 小时 ({第页}_{U型} ∥ P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司})

、和

P（P） 我 {D类}_{我}^{n个 e（电子） w个} = {D类}_{三} \oplus 小时 (我 {D类}_{我} ∥ x个) \oplus 小时 ({第页}_{U型} ∥ 我 {D类}_{我})

.

步骤4：之后

C S公司

验证的真实性

我 {D类}_{我}

和

{D类}_{4}

,

C S公司

计算并发送

{D类}_{12} = 小时 (P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ 我 {D类}_{c 秒} ∥ x个) \oplus 小时 ({第页}_{U型} ∥ P（P） 我 {D类}_{我}^{n个 e（电子） w个})

,

{D类}_{13} = 小时 (P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ {第页}_{U型} ∥ P（P） 我 {D类}_{我}) \oplus ({第页}_{S公司} \oplus {第页}_{S公司 C})

、和

{D类}_{14} = 小时 (S公司 {K（K）}_{C S公司} ∥ {D类}_{12} ∥ {D类}_{13} ∥ 小时 (我 {D类}_{我} ∥ x个))

.

步骤5：收到身份验证响应消息时

{M（M）}_{8}

，攻击者计算

({第页}_{S公司} \oplus {第页}_{S公司 C}) = {D类}_{13} \oplus 小时 (P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ {第页}_{U型} ∥ P（P） 我 {D类}_{我})

和

S公司 {K（K）}_{U型} = 小时 ({第页}_{U型} \oplus {第页}_{S公司} \oplus {第页}_{C S公司})

.

因此，攻击者可以成功发起重播攻击。

用户模拟攻击

攻击者可以计算有效的身份验证请求消息，其中包含要通过身份验证的正确参数

C S公司

。攻击描述如下：

步骤1：攻击者知道

我 {D类}_{C S公司}

,

x个

和

P（P） 我 D类

因此，他/她计算

C_{1}^{*} = 小时 (P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司} ∥ x个)

.

步骤2：攻击者恢复

{第页}_{U型}

从

{D类}_{1}

计算

{第页}_{U型} = {D类}_{1} \oplus 小时 (P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司} ∥ x个)

.

步骤3：攻击者有足够的信息来恢复敏感数据，如下所示

我 {D类}_{我} = {D类}_{2} \oplus 小时 ({第页}_{U型} ∥ P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司})

和

P（P） 我 {D类}_{我}^{n个 e（电子） w个} = {D类}_{三} \oplus 小时 (我 {D类}_{我} ∥ x个) \oplus 小时 ({第页}_{U型} ∥ 我 {D类}_{我})

.

步骤4：从这一点出发，攻击者计算虚假身份验证请求消息，如下所示：

{D类}_{1}^{如果 一 k个 e（电子）} = C_{1}^{*} \oplus {第页}_{U型}^{如果 一 k个 e（电子）}

,

{D类}_{2}^{如果 一 k个 e（电子）} = 小时 (P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ 我 {D类}_{C S公司} ∥ {第页}_{U型}^{如果 一 k个 e（电子）}) \oplus 我 {D类}_{我}

,

{D类}_{三}^{如果 一 k个 e（电子）} = C_{2}^{*} \oplus P（P） 我 {D类}_{我}^{如果 一 k个 e（电子）} \oplus 小时 ({第页}_{U型}^{如果 一 k个 e（电子）} ∥ 我 {D类}_{我})

、和

{D类}_{4}^{如果 一 k个 e（电子）} = 小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ P（P） 我 {D类}_{我}^{如果 一 k个 e（电子）} ∥ {第页}_{U型}^{如果 一 k个 e（电子）} ∥ {D类}_{三}^{如果 一 k个 e（电子）})

.

步骤5：攻击者发送虚假身份验证请求消息

{M（M）}_{5}^{如果 一 k个 e（电子）} = {P（P） 我 {D类}_{我}^{n个 e（电子） w个}, {D类}_{1}^{如果 一 k个 e（电子）}, {D类}_{2}^{如果 一 k个 e（电子）}, {D类}_{三}^{如果 一 k个 e（电子）}, {D类}_{4}^{如果 一 k个 e（电子）}}

到

{S公司}_{j个}

.之后

{S公司}_{j个}

完成流程，

{S公司}_{j个}

发送身份验证请求消息

{M（M）}_{6} = {P（P） 我 {D类}_{我}^{n个 e（电子） w个}, {D类}_{1}^{如果 一 k个 e（电子）}, {D类}_{2}^{如果 一 k个 e（电子）}, {D类}_{三}^{如果 一 k个 e（电子）}, {D类}_{4}^{如果 一 k个 e（电子）}, P（P） S公司 我 {D类}_{j个}, {D类}_{5}, {D类}_{6}, {D类}_{7}, {D类}_{8}}

到

C S公司

。收到身份验证请求消息时

{M（M）}_{6}

,

C S公司

执行以下验证过程

{D类}_{4}^{如果 一 k个 e（电子）}

计算

小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ P（P） 我 {D类}_{我}^{如果 一 k个 e（电子）} ∥ {第页}_{U型}^{如果 一 k个 e（电子）} ∥ {D类}_{三}^{如果 一 k个 e（电子）})

和验证

{D类}_{4}^{如果 一 k个 e（电子）} ? = 小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我}^{n个 e（电子） w个} ∥ P（P） 我 {D类}_{我}^{如果 一 k个 e（电子）} ∥ {第页}_{U型}^{如果 一 k个 e（电子）} ∥ {D类}_{三}^{如果 一 k个 e（电子）})

很明显，

{D类}_{4}^{如果 一 k个 e（电子）}

将通过验证过程，因为它包含原始

我 {D类}_{我}

最后一个

P（P） 我 {D类}_{我}^{n个 e（电子） w个}

.

2.4. 安全缺陷

在本小节中，我们揭示了Zhou等人的方案中缺乏安全要求[30]. 安全分析基于[5,6,15]. 根据这些引用，我们初始化了安全分析。

2.4.1. 未能提供相互身份验证

Zhou等人提出的方案不提供相互认证。这个

C S公司

验证的身份

{U型}_{我}

和

{S公司}_{j个}

在认证阶段的第三步中；然而，用户和服务器都不验证彼此的身份。此外，身份验证请求消息

{M（M）}_{5}

和

{M（M）}_{6}

不包含建立关系的信息

{U型}_{我}

和

{S公司}_{j个}

作为试图联系的证据。

2.4.2. 无法保护密钥

在Zhou等人提出的方案中

C S公司

使用相同的密钥

(x个)

注册用户和服务器。此外，密钥通过以下方式隐藏

C_{1}^{*} = 小时 (P（P） 我 {D类}_{我} ∥ 我 {D类}_{C S公司} ∥ x个)

和

C_{2}^{*} = 小时 (我 {D类}_{我} ∥ x个)

; 然而，攻击者可以恢复它，原因有三。

第一个原因与以下事实有关：

C S公司

使用相同的密钥注册每个用户和每个服务器，增加了找到正确值的可能性

x个

第二个原因与攻击者知道

我 {D类}_{C S公司}

和

P（P） 我 {D类}_{我}

; 这意味着，每个用户都知道三个安全参数中的两个，从而减少了查找的熵

x个

，以多项式时间表示。最后，哈希函数的低执行时间使得可以在多项式时间内找到密钥，具体来说，使用

C_{2}^{*} = 小时 (我 {D类}_{我} ∥ x个)

因为攻击者知道

我 {D类}_{我}

.

3.建议方案

在本节中，我们将介绍云计算环境中基于物联网的轻量级身份验证方案的新版本。该方案包括相互身份验证和密钥协议，为访问任何云服务器提供强大的安全性。该方案包括以下阶段：

注册是通过

C S公司

创建系统每个成员的安全参数。此阶段对于用户和服务器是必需的。参与者之间的通信是通过一个安全通道进行的，以避免窃听。

登录是通过

{U型}_{我}

访问他/她的安全参数

S公司 C_{U型}

.

{U型}_{我}

需要插入他/她

S公司 C_{U型}

、和输入

我 {D类}_{我}

和

P（P） 周_{我}

.然后，

S公司 C_{U型}

计算并验证

{U型}_{我}

.如果验证过程正确，

{U型}_{我}

将身份验证请求消息发送到

{S公司}_{j个}

通过开放的沟通渠道。

身份验证是通过

C S公司

执行以下验证过程

{U型}_{我}

和

{S公司}_{j个}

此外，

C S公司

验证两个实体是否都希望建立安全通信。

关键协议是以下过程

C S公司

计算的会话密钥

{U型}_{我}

和

{S公司}_{j个}

。会话密钥是唯一的。

相互身份验证是通过

{U型}_{我}

和

{S公司}_{j个}

验证彼此的合法性。在这种情况下，

{U型}_{我}

向发送挑战

{S公司}_{j个}

如果回答正确，

{U型}_{我}

我知道这一点

{S公司}_{j个}

是系统的成员。

表1总结了我们整个提案中使用的符号。

3.1. 注册阶段

此阶段包括用户注册和服务器注册。

3.1.1. 用户注册子阶段

此子阶段由初始化

{U型}_{我}

什么时候想成为系统的一部分。每个步骤的详细信息如所示图2.

第1步：

{U型}_{我}

插入他/她

S公司 C_{我}

插入设备并键入他/她

我 {D类}_{我}

和

P（P） 周_{我}

.然后，

S公司 C_{我}

生成随机nonce

({n个}_{U型})

，获取当前时间戳值

({T型}_{U型})

并计算：

P（P） 我 {D类}_{我} = 小时 ({T型}_{U型} ∥ {n个}_{U型})

(1)

{U型}_{我} \Rightarrow C S公司 : {M（M）}_{1} = {我 {D类}_{我}, P（P） 我 {D类}_{我}}

公式（1）用于计算每个用户的伪身份。

步骤2：收到注册请求消息后

{M（M）}_{1}

,

C S公司

验证的有效性

我 {D类}_{我}

.如果

我 {D类}_{我}

有效，

C S公司

计算：

C_{1} = 小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我})

(2)

C_{2} = 小时 (P（P） 我 {D类}_{我} ∥ 小时 (我 {D类}_{C S公司} ∥ x个) ∥ 小时 (我 {D类}_{C S公司} ∥ 年)) \oplus 小时 (我 {D类}_{C S公司} ∥ x个) \oplus 小时 (我 {D类}_{C S公司} ∥ 年)

(3)

C_{三} = 小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我} ∥ 小时 (我 {D类}_{C S公司} ∥ x个) ∥ 小时 (我 {D类}_{C S公司} ∥ 年)) \oplus P（P） 我 {D类}_{我} \oplus 小时 (x个 ∥ 年)

(4)

S公司 T型 O（运行） R（右） E类 S公司 C_{1} 我 n个 一 d日 一 t吨 一 b条 一 秒 e（电子）

C S公司 \Rightarrow {U型}_{我} : {M（M）}_{2} = {C_{2}, C_{三}}

C S公司

寄存器

{U型}_{我}

通过方程式（2）。等式（3）和（4）是用于未来身份验证的安全参数。

步骤3：收到注册响应消息后

{M（M）}_{2}

,

S公司 C_{我}

计算：

C_{4} = 小时 (我 {D类}_{我} ∥ P（P） 周_{我} ∥ 小时 ({n个}_{U型}))

(5)

S公司 T型 O（运行） R（右） E类 S公司 P（P） 我 {D类}_{我}, C_{2}, C_{三}, C_{4}, 小时 ({n个}_{U型}) 我 n个 S公司 C_{我}

S公司 C_{我}

使用公式（5）计算本地用户身份验证参数，并存储从

C S公司

。用户注册子阶段结束。

3.1.2. 云服务器注册

此子阶段由每个

{S公司}_{j个}

以便成为系统的一部分。每个步骤的详细信息如所示图3.

第1步：

{S公司}_{j个}

生成随机nonce

{n个}_{S公司}

，获取当前时间戳值

{T型}_{S公司}

并计算：

P（P） S公司 我 {D类}_{j个} = 小时 ({T型}_{S公司} ∥ {n个}_{S公司})

(6)

{S公司}_{j个} \Rightarrow C S公司 : {M（M）}_{三} = {S公司 我 {D类}_{j个}, P（P） S公司 我 {D类}_{j个}}

公式（6）用于计算每个服务器的伪身份。

步骤2：收到注册请求消息后

{M（M）}_{三}

,

C S公司

验证的有效性

S公司 我 {D类}_{j个}

.如果

S公司 我 {D类}_{j个}

是正确的，

C S公司

计算：

{B类}_{1} = 小时 (S公司 我 {D类}_{j个} ∥ P（P） S公司 我 {D类}_{j个})

(7)

{B类}_{2} = 小时 (P（P） S公司 我 {D类}_{j个} ∥ 小时 (我 {D类}_{C S公司} ∥ z（z）) ∥ 小时 (我 {D类}_{C S公司} ∥ 年)) \oplus 小时 (我 {D类}_{C S公司} ∥ z（z）) \oplus 小时 (我 {D类}_{C S公司} ∥ 年)

(8)

{B类}_{三} = 小时 (S公司 我 {D类}_{j个} ∥ P（P） S公司 我 {D类}_{j个} ∥ 小时 (我 {D类}_{C S公司} ∥ z（z）) ∥ 小时 (我 {D类}_{C S公司} ∥ 年)) \oplus P（P） S公司 我 {D类}_{j个} \oplus 小时 (z（z） ∥ 年)

(9)

S公司 T型 O（运行） R（右） E类 S公司 {B类}_{1} 我 n个 一 d日 一 t吨 一 b条 一 秒 e（电子）

C S公司 \Rightarrow {S公司}_{j个} : {M（M）}_{4} = {{B类}_{2}, {B类}_{三}}

C S公司

寄存器

{S公司}_{j个}

通过方程式（7）。等式（8）和（9）是用于未来身份验证的安全参数。

步骤3：收到注册响应消息后

{M（M）}_{4}

,

{S公司}_{j个}

商店

{B类}_{2}

和

{B类}_{三}

.

3.2. 登录阶段

一次

{U型}_{我}

已注册，

{U型}_{我}

可以通过启动登录阶段连接到云的任何服务器。详细信息如所示图4.

步骤1：为了启动身份验证阶段，

{U型}_{我}

必须首先完成登录阶段。首先，

{U型}_{我}

插入

S公司 C_{我}

和钥匙

我 {D类}_{我}^{*}

和

P（P） 周_{我}^{*}

.

第二步：然后，

S公司 C_{我}

计算和检查：

C_{4}^{*} = 小时 (我 {D类}_{我}^{*} ∥ P（P） 周_{我}^{*} ∥ 小时 ({n个}_{U型})) ? = C_{4}

(10)

方程式（10）用于验证

{U型}_{我}

通过

S公司 C_{我}

用于访问提供的安全参数

{S公司}_{j个}

.

步骤3：如果验证过程正确，

S公司 C_{我}

生成随机nonce

{n个}_{U型}^{n个 e（电子） w个}

，获取当前时间戳值

{T型}_{U型}^{n个 e（电子） w个}

并计算：

{D类}_{1} = C_{2} \oplus 我 {D类}_{我}

(11)

{D类}_{2} = C_{三} \oplus 小时 ({T型}_{U型}^{n个 e（电子） w个} ∥ 我 {D类}_{我}) \oplus 小时 ({n个}_{u个}^{n个 e（电子） w个})

(12)

{U型}_{我} \to {S公司}_{j个} : {M（M）}_{5} = {{T型}_{U型}^{n个 e（电子） w个}, {D类}_{1}, P（P） 我 {D类}_{我}, {D类}_{2}}

方程式（11）和（12）包含

{U型}_{我}

将由使用的信息

C S公司

以验证其合法性。最后，

{U型}_{我}

发送用户身份验证请求消息

{M（M）}_{5}

到

{S公司}_{j个}

通过开放的沟通渠道。

步骤4：收到用户身份验证请求消息后

{M（M）}_{5}

,

{S公司}_{j个}

生成随机随机随机数

{n个}_{S公司}^{n个 e（电子） w个}

，获取当前时间戳值

{T型}_{S公司}^{n个 e（电子） w个}

并计算：

{D类}_{三} = {B类}_{2} \oplus S公司 我 {D类}_{j个}

(13)

{D类}_{4} = {B类}_{三} \oplus 小时 ({T型}_{S公司}^{n个 e（电子） w个} ∥ S公司 我 {D类}_{j个}) \oplus 小时 ({n个}_{S公司}^{n个 e（电子） w个})

(14)

{D类}_{5} = 小时 (P（P） 我 {D类}_{我} ∥ {T型}_{U型}^{n个 e（电子） w个} ∥ S公司 我 {D类}_{j个} ∥ P（P） S公司 我 {D类}_{j个} ∥ {T型}_{S公司}^{n个 e（电子） w个})

(15)

{S公司}_{j个} \to C S公司 : {M（M）}_{6} = {{T型}_{U型}^{n个 e（电子） w个}, {D类}_{1}, P（P） 我 {D类}_{我}, {D类}_{2}, {T型}_{S公司}^{n个 e（电子） w个}, {D类}_{三}, P（P） S公司 我 {D类}_{j个}, {D类}_{4}, {D类}_{5}}

方程式（13）和（14）包含

{S公司}_{j个}

将由使用的信息

C S公司

以验证其合法性。方程式（15）包含以下信息

{U型}_{我}

和

{S公司}_{j个}

作为其连接企图的证据。最后，

{S公司}_{j个}

发送身份验证请求消息

{M（M）}_{6}

到

C S公司

通过开放的沟通渠道。

3.3. 身份验证阶段

该阶段分为三个子阶段。用户身份验证、服务器身份验证和连接尝试证据的详细信息如所示图5.

3.3.1. 用户身份验证

步骤1：收到身份验证请求消息时

{M（M）}_{6}

,

C S公司

通过以下方式检查消息的新鲜度

{T型}_{U型}^{n个 e（电子） w个}

如果验证过程是肯定的，

C S公司

计算：

C_{2}^{*} = 小时 {(P（P） 我 {D类}_{我}^{*} ∥ 小时 (我 {D类}_{C S公司} ∥ x个) ∥ 小时 (我 {D类}_{C S公司} ∥ 年))}^{*} \oplus 小时 (我 {D类}_{C S公司} ∥ x个) \oplus 小时 (我 {D类}_{C S公司} ∥ 年)

哪里

P（P） 我 {D类}_{我}^{*}

是的伪身份

{U型}_{我}

包含在消息中

{M（M）}_{2}

.

C S公司

计算的

C_{2}^{*}

使用

P（P） 我 {D类}_{我}^{*}

和方程式（3）。

第二步：

C S公司

验证的合法性

{U型}_{我}

通过

C_{1}

如下：

{D类}_{1} = C_{2}^{*} \oplus 我 {D类}_{我} {D类}_{1} = 小时 {(P（P） 我 {D类}_{我}^{*} ∥ 小时 (我 {D类}_{C S公司} ∥ x个) ∥ 小时 (我 {D类}_{C S公司} ∥ 年))}^{*} \oplus 小时 (我 {D类}_{C S公司} ∥ x个) \oplus 小时 (我 {D类}_{C S公司} ∥ 年) \oplus 我 {D类}_{我} 我 {D类}_{我}^{*} = 小时 {(P（P） 我 {D类}_{我}^{*} ∥ 小时 (我 {D类}_{C S公司} ∥ x个) ∥ 小时 (我 {D类}_{C S公司} ∥ 年))}^{*} \oplus 小时 (我 {D类}_{C S公司} ∥ x个) \oplus 小时 (我 {D类}_{C S公司} ∥ 年) \oplus {D类}_{1}

(16)

C_{1}^{*} = 小时 (我 {D类}_{我}^{*} ∥ P（P） 我 {D类}_{我}) ? = C_{1}

(17)

方程式（16）用于恢复

我 {D类}_{我}^{*}

从

{D类}_{1}

方程式（17）用于验证

{U型}_{我}

使用

我 {D类}_{我}^{*}

和

C_{1}

.如果验证过程正确，

C S公司

继续下一步；否则，

C S公司

最终确定流程。

第三步：验证

{U型}_{我}

,

C S公司

恢复

小时 ({n个}_{U型}^{n个 e（电子） w个})

如下：

小时 {({n个}_{U型}^{n个 e（电子） w个})}^{*} = 小时 {(我 {D类}_{我}^{*} ∥ P（P） 我 {D类}_{我}^{*} ∥ 小时 (我 {D类}_{C S公司} ∥ x个) ∥ 小时 (我 {D类}_{C S公司} ∥ 年))}^{*} \oplus P（P） 我 {D类}_{我}^{*} \oplus 小时 (x个 ∥ 年) \oplus 小时 {({T型}_{U型}^{n个 e（电子） w个} ∥ 我 {D类}_{我}^{*})}^{*} \oplus {D类}_{2}

(18)

方程式（18）用于恢复

小时 {({n个}_{U型}^{n个 e（电子） w个})}^{*}

从

{D类}_{2}

.

第4步：

C S公司

计算

C_{1}^{n个 e（电子） w个}

具有

{T型}_{U型}^{n个 e（电子） w个}

和

小时 {({n个}_{U型}^{n个 e（电子） w个})}^{*}

使用方程式（19）。然后，

C S公司

更新

C_{1}

在数据库中：

C_{1}^{n个 e（电子） w个} = 小时 (我 {D类}_{我} ∥ 小时 ({T型}_{U型}^{n个 e（电子） w个} ∥ C_{1} ∥ 小时 ({n个}_{U型}^{n个 e（电子） w个})))

(19)

3.3.2. 服务器身份验证

步骤1：完成用户身份验证过程后，

C S公司

通过以下方式检查消息的新鲜度

{T型}_{S公司}^{n个 e（电子） w个}

.

步骤2：如果验证过程是肯定的，

C S公司

验证的合法性

{S公司}_{j个}

如下：

{D类}_{三} = {B类}_{2} \oplus S公司 我 {D类}_{j个} {B类}_{2} = 小时 {(P（P） S公司 我 {D类}_{j个}^{*} ∥ 小时 (我 {D类}_{C S公司} ∥ z（z）) ∥ 小时 (我 {D类}_{C S公司} ∥ 年))}^{*} \oplus 小时 (我 {D类}_{C S公司} ∥ z（z）) \oplus 小时 (我 {D类}_{C S公司} ∥ 年) \oplus S公司 我 {D类}_{j个} S公司 我 {D类}_{j个}^{*} = 小时 {(P（P） S公司 我 {D类}_{j个}^{*} ∥ 小时 (我 {D类}_{C S公司} ∥ z（z）) ∥ 小时 (我 {D类}_{C S公司} ∥ 年))}^{*} \oplus 小时 (我 {D类}_{C S公司} ∥ z（z）) \oplus 小时 (我 {D类}_{C S公司} ∥ 年) \oplus {D类}_{三}

(20)

{B类}_{1}^{*} = 小时 (S公司 我 {D类}_{j个}^{*} ∥ P（P） S公司 我 {D类}_{j个}^{*}) ? = {B类}_{1}

(21)

方程式（20）用于恢复

S公司 我 {D类}_{j个}^{*}

从

{D类}_{三}

，使用

P（P） S公司 我 {D类}_{j个}^{*}

.然后，

C S公司

计算方程（21），得到

{B类}_{1}^{*}

并将其与

{B类}_{1}

.如果验证过程正确，

C S公司

继续该过程，否则，

C S公司

最终确定流程。

第三步：验证

{S公司}_{j个}

,

C S公司

恢复

小时 ({n个}_{S公司}^{n个 e（电子） w个})

如下：

小时 {({n个}_{S公司}^{n个 e（电子） w个})}^{*} = 小时 {(S公司 我 {D类}_{j个}^{*} ∥ P（P） S公司 我 {D类}_{j个}^{*} ∥ 小时 (我 {D类}_{C S公司} ∥ z（z）) ∥ 小时 (我 {D类}_{C S公司} ∥ 年))}^{*} \oplus P（P） S公司 我 {D类}_{j个}^{*} \oplus 小时 (z（z） ∥ 年) \oplus 小时 ({T型}_{S公司}^{n个 e（电子） w个} ∥ S公司 我 {D类}_{j个}^{*}) \oplus {D类}_{4}

(22)

最后，方程式（22）用于恢复

小时 {({n个}_{S公司}^{n个 e（电子） w个})}^{*}

从

{D类}_{4}

.

3.3.3. 连接尝试的证据

第1步：

C S公司

证实了这一点

{U型}_{我}

希望与建立联系

{S公司}_{j个}

如下：

{D类}_{5}^{*} = 小时 {(P（P） 我 {D类}_{我}^{*} ∥ {T型}_{U型}^{n个 e（电子） w个} ∥ S公司 我 {D类}_{j个}^{*} ∥ P（P） S公司 我 {D类}_{j个}^{*} ∥ {T型}_{S公司}^{n个 e（电子） w个})}^{*} ? = {D类}_{5}

(23)

在这种情况下，

C S公司

有证据表明

{U型}_{我}

和

{S公司}_{j个}

需要注意的是，等式（23）需要新的时间戳

{U型}_{我}

和

{S公司}_{j个}

此外，

{D类}_{5}

包含

P（P） 我 {D类}_{我}

,

S公司 我 {D类}_{j个}

和

P（P） S公司 我 {D类}_{j个}

这表明了两个实体对建立安全通信的兴趣。

3.4. 关键协议阶段

该阶段分为三个子阶段。每个阶段的详细信息如所示图6.

3.4.1. 会话密钥创建

在这一子阶段，

C S公司

计算之间的会话密钥

{U型}_{我}

和

{S公司}_{j个}

如下：

第1步：

C S公司

生成随机nonce

{n个}_{C S公司}^{n个 e（电子） w个}

并计算会话密钥

S公司 {K（K）}_{U型 - S公司}

如下：

S公司 {K（K）}_{U型 - S公司} = 小时 (小时 ({n个}_{U型}^{n个 e（电子） w个}) \oplus 小时 ({n个}_{S公司}^{n个 e（电子） w个}) \oplus 小时 ({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个}))

(24)

方程式（24）用于计算会话密钥。会话密钥包含由生成的安全参数

{U型}_{我}

,

{S公司}_{j个}

和

C S公司

它代表了所有参与者之间的关系。

第二步：

C S公司

计算验证参数

{S公司}_{j个}

和

{U型}_{我}

如下：

{D类}_{6} = {B类}_{2} \oplus 小时 ({T型}_{S公司}^{n个 e（电子） w个} ∥ S公司 我 {D类}_{j个}) \oplus {T型}_{C S公司}^{n个 e（电子） w个}

(25)

{D类}_{7} = 小时 ({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 (S公司 我 {D类}_{j个} ∥ {T型}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 ({n个}_{U型}^{n个 e（电子） w个})

(26)

{D类}_{8} = C_{2} \oplus 小时 ({T型}_{U型}^{n个 e（电子） w个} ∥ 我 {D类}_{我}) \oplus {T型}_{C S公司}^{n个 e（电子） w个}

(27)

{D类}_{9} = 小时 ({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 (我 {D类}_{我} ∥ {T型}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 ({n个}_{S公司}^{n个 e（电子） w个})

(28)

哪里

{D类}_{6}

和

{D类}_{7}

是用于

{S公司}_{j个}

，同时

{D类}_{8}

和

{D类}_{9}

是用于

{U型}_{我}

方程式（25）至（28）包含由

C S公司

用于计算会话密钥。

第三步：

C S公司

计算挑战响应消息

{S公司}_{j个}

和

{U型}_{我}

如下：

{D类}_{10} = {E类}_{S公司 K（K）} (小时 ({n个}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 (S公司 我 {D类}_{j个} ∥ P（P） S公司 我 {D类}_{j个} ∥ {B类}_{2}))

(29)

{D类}_{11} = {E类}_{S公司 K（K）} (小时 ({n个}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我} ∥ C_{2}))

(30)

C S公司 \to {S公司}_{j个} : {M（M）}_{7} = {{D类}_{6}, {D类}_{7}, {D类}_{10}, {D类}_{8}, {D类}_{9}, {D类}_{11}}

C S公司

使用所述会话密钥为每个实体计算所述质询-响应消息；这意味着，合法参与者可以恢复安全参数来构造会话密钥。最后，

C S公司

发送身份验证响应消息

{M（M）}_{7}

到

{S公司}_{j个}

通过开放的沟通渠道。

3.4.2. 服务器会话密钥

步骤1：接收后

{M（M）}_{7}

,

{S公司}_{j个}

计算并验证

{M（M）}_{7}

:

{T型}_{C S公司}^{n个 e（电子） w个 *} = {B类}_{2} \oplus 小时 ({T型}_{S公司}^{n个 e（电子） w个} ∥ S公司 我 {D类}_{j个}) \oplus {D类}_{6}

(31)

方程式（31）用于提取

{T型}_{C S公司}^{n个 e（电子） w个 *}

从

{D类}_{6}

.

步骤2：如果

{M（M）}_{7}

是新鲜的，

{S公司}_{j个}

计算：

小时 {({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个})}^{*} \oplus 小时 {({n个}_{U型}^{n个 e（电子） w个})}^{*} = 小时 (S公司 我 {D类}_{j个} ∥ {T型}_{C S公司}^{n个 e（电子） w个}) \oplus {D类}_{7}

(32)

S公司 {K（K）}_{U型 - S公司}^{*} = 小时 (小时 {({n个}_{U型}^{n个 e（电子） w个})}^{*} \oplus 小时 ({n个}_{S公司}^{n个 e（电子） w个}) \oplus 小时 {({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个})}^{*})

小时 {({n个}_{C S公司}^{n个 e（电子） w个})}^{*} = 小时 ({n个}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 (S公司 我 {D类}_{j个} ∥ P（P） S公司 我 {D类}_{j个} ∥ {B类}_{2}) = {D类}_{S公司 {K（K）}^{*}} ({D类}_{10})

(33)

{S公司}_{j个} \to {U型}_{我} : {M（M）}_{8} = {{D类}_{8}, {D类}_{9}, {D类}_{11}}

此时，

{S公司}_{j个}

知道会话密钥

(S公司 {K（K）}_{U型 - S公司}^{*})

和价值观

小时 {({n个}_{C S公司}^{n个 e（电子） w个})}^{*}

最后，

{S公司}_{j个}

发送

{M（M）}_{8}

到

{U型}_{我}

通过开放的沟通渠道。

3.4.3. 用户会话密钥

步骤1：收到用户身份验证响应消息时

{M（M）}_{8}

,

{U型}_{我}

计算并验证

{M（M）}_{8}

:

{T型}_{C S公司}^{n个 e（电子） w个 *} = C_{2} \oplus 小时 ({T型}_{U型}^{n个 e（电子） w个} ∥ 我 {D类}_{我}) \oplus {D类}_{8}

(34)

步骤2：如果

{M（M）}_{8}

是新鲜的，

{U型}_{我}

计算：

小时 {({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个})}^{*} \oplus 小时 {({n个}_{S公司}^{n个 e（电子） w个})}^{*} = 小时 (我 {D类}_{我} ∥ {T型}_{C S公司}^{n个 e（电子） w个}) \oplus {D类}_{9}

(35)

S公司 {K（K）}_{U型 - S公司}^{*} = 小时 (小时 ({n个}_{U型}^{n个 e（电子） w个}) \oplus 小时 {({n个}_{S公司}^{n个 e（电子） w个})}^{*} \oplus 小时 {({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个})}^{*})

{D类}_{S公司 {K（K）}^{*}} ({D类}_{11}) = 小时 ({n个}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我} ∥ C_{2}) = 小时 {({n个}_{C S公司}^{n个 e（电子） w个})}^{*}

(36)

{U型}_{我}

知道会话密钥和值

小时 {({n个}_{C S公司}^{n个 e（电子） w个})}^{*}

.

3.5. 相互身份验证

第1步：

{U型}_{我}

发送质询消息

{M（M）}_{9}

到

{S公司}_{j个}

.

{M（M）}_{9}

包含

小时 ({n个}_{C S公司}^{n个 e（电子） w个})

作为其合法性的证明，并要求回复：

{U型}_{我} \to {S公司}_{j个} : {M（M）}_{9} = {{E类}_{S公司 K（K）} (小时 ({n个}_{C S公司}^{n个 e（电子） w个}) ∥ 秒 e（电子） 第页 v（v） e（电子） 第页 V（V） 一 我 u个 e（电子） (c 小时 一 我 我 e（电子） n个 克 e（电子）))}

步骤2：收到质询消息后

{M（M）}_{9}

,

{S公司}_{j个}

计算

小时 {({n个}_{C S公司}^{n个 e（电子） w个})}^{*} ∥ 秒 e（电子） 第页 v（v） e（电子） 第页 V（V） 一 我 u个 e（电子） (c 小时 一 我 我 e（电子） n个 克 e（电子）) = {D类}_{S公司 K（K）} ({M（M）}_{9})

(37)

小时 {({n个}_{C S公司}^{n个 e（电子） w个})}^{*} ? = 小时 ({n个}_{C S公司}^{n个 e（电子） w个})

(38)

{S公司}_{j个} \to {U型}_{我} : {M（M）}_{10} = {{E类}_{S公司 K（K）} (秒 e（电子） 第页 v（v） e（电子） 第页 V（V） 一 我 u个 e（电子） (小时 ({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 ({n个}_{U型}^{n个 e（电子） w个})))}

{S公司}_{j个}

我知道这一点

{U型}_{我}

是通过等式（37）和（38）请求用户身份验证的用户。然后，

{S公司}_{j个}

将响应发送到

{U型}_{我}

.

步骤3：收到消息后

{M（M）}_{10}

,

{U型}_{我}

计算并验证

{S公司}_{j个}

如下：

小时 {({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个})}^{*} \oplus 小时 ({n个}_{U型}^{n个 e（电子） w个}) = 秒 e（电子） 第页 v（v） e（电子） 第页 V（V） 一 我 u个 e（电子） (小时 ({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个}) \oplus 小时 ({n个}_{U型}^{n个 e（电子） w个})) = {D类}_{S公司 K（K）} ({M（M）}_{10})

(39)

小时 {({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个})}^{*} ? = 小时 ({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个})

(40)

最后，

{U型}_{我}

从恢复响应

{M（M）}_{10}

使用方程式（39）验证

{S公司}_{j个}

通过方程式（40）。

第4步：

{U型}_{我}

替换

P（P） 我 {D类}_{我}

,

小时 ({n个}_{U型})

、和

C_{4} = 小时 (我 {D类}_{我} ∥ P（P） 周_{我} ∥ 小时 ({n个}_{U型}))

具有

P（P） 我 {D类}_{我}^{n个 e（电子） w个} = (小时 ({T型}_{U型}^{n个 e（电子） w个} ∥ 小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我}) ∥ {n个}_{U型}^{n个 e（电子） w个}))

,

小时 ({n个}_{U型}^{n个 e（电子） w个})

、和

C_{4}^{n个 e（电子） w个} = 小时 (我 {D类}_{我} ∥ P（P） 周_{我} ∥ 小时 ({n个}_{U型}^{n个 e（电子） w个}))

分别是。

3.6. 密码更改阶段

什么时候？

{U型}_{我}

想要更改或更新他/她的密码，他/她需要键入他/她

我 {D类}_{我}

和

P（P） 周_{我}

.然后，

S公司 C_{我}

计算方程式（10）以验证其合法性。如果验证过程正确，

{U型}_{我}

钥匙

P（P） 周_{我}^{n个 e（电子） w个}

和

S公司 C_{我}

计算方程（40）：

C_{4}^{n个 e（电子） w个} = 小时 (我 {D类}_{我} ∥ P（P） 周_{我}^{n个 e（电子） w个} ∥ 小时 ({n个}_{u个}))

(41)

U型 P（P） D类 A类 T型 E类 S公司 C_{4}

4.安全分析和性能评估

在这一部分中，我们对我们的提案进行了安全分析和性能评估比较。安全分析包括非正式密码分析、会话密钥的安全性以及提高安全性的对策。性能评估包括与Zhou等人、Amin等人和Xue等人的方案进行计算和通信成本比较。

4.1. 非正式密码分析

在本小节中，我们使用非正式安全分析来分析我们提案的安全性。

4.1.1. 用户匿名

在我们的方案中，

{U型}_{我}

发送

P（P） 我 {D类}_{我} = 小时 ({T型}_{U型} ∥ {n个}_{U型})

到

{S公司}_{j个}

而不是

我 {D类}_{我}

以明文形式。此外，

P（P） 我 {D类}_{我}

在使用完成用户身份验证子阶段后更新

{T型}_{U型}^{n个 e（电子） w个}

和

{n个}_{U型}^{n个 e（电子） w个}

，保留每个用户的匿名身份。因此，当用户将身份验证请求消息发送到

{S公司}_{j个}

，的

P（P） 我 {D类}_{我}

会有所不同。此外，攻击者无法恢复

我 {D类}_{我}

从

P（P） 我 {D类}_{我}

,

{D类}_{1}

，或

{D类}_{2}

没有安全参数。因此，该方案提供了用户匿名性。

4.1.2. 离线用户身份和密码猜测攻击

在恶意用户获得

S公司 C_{我}

，他/她可以康复

P（P） 我 {D类}_{我}, C_{2}, C_{三}, C_{4}, 小时 ({n个}_{U型})

[33,34]. 但是，他/她无法从

C_{2}

因为没人知道x个,年,z（z）、和身份证件_反恐精英.来自

C_{三}

攻击者可以提取

P（P） 我 {D类}_{我}

它存储在哪个位置

S公司 C_{我}

。在这种情况下，他/她无法从中提取敏感数据

S公司 C_{我}

.

4.1.3. 特权内幕攻击

在我们的方案中，使用每个用户或云服务器的数据对安全参数进行了个性化设置，使得知道以下密钥的可能性更加复杂

C S公司

。如果恶意用户试图提取

x个

和

年

从

C_{2}

或

C_{三}

，他/她需要康复

小时 (我 {D类}_{C S公司} ∥ x个)

或

小时 (我 {D类}_{C S公司} ∥ 年)

根据方程式（3）或（4）：

C_{2} = 小时 (P（P） 我 {D类}_{我} ∥ 小时 (我 {D类}_{C S公司} ∥ x个) ∥ 小时 (我 {D类}_{C S公司} ∥ 年)) \oplus 小时 (我 {D类}_{C S公司} ∥ x个) \oplus 小时 (我 {D类}_{C S公司} ∥ 年)

C_{三} = 小时 (我 {D类}_{我} ∥ P（P） 我 {D类}_{我} ∥ 小时 (我 {D类}_{C S公司} ∥ x个) ∥ 小时 (我 {D类}_{C S公司} ∥ 年)) \oplus P（P） 我 {D类}_{我} \oplus 小时 (x个 ∥ 年)

但攻击者只知道

P（P） 我 {D类}_{我}

此外，

C S公司

不包括其

我 {D类}_{C S公司}

在任何消息中或以明文共享。因此，该方案抵抗了这种攻击。

4.1.4. 模拟攻击

如果攻击者获得

P（P） 我 {D类}_{我}, C_{2}, C_{三}, C_{4}, 小时 ({n个}_{U型})

从

S公司 C_{我}

[33,34]和

{M（M）}_{5} = {{T型}_{U型}^{n个 e（电子） w个}, {D类}_{1}, P（P） 我 {D类}_{我}, {D类}_{2}}

攻击者无法通过任何类型的安全参数组合创建有效的身份验证请求消息。在这种情况下，恶意用户计算

{D类}_{1}^{如果 一 k个 e（电子）} = C_{2} \oplus 我 {D类}_{我}^{如果 一 k个 e（电子）}

使用

我 {D类}_{我}^{如果 一 k个 e（电子）}

但他/她无法计算有效值

P（P） 我 {D类}_{我}

和

C_{三}

计算有效

{D类}_{2}

。因此，攻击者无法冒充合法用户。

4.1.5. 重播攻击

在此攻击中，恶意用户需要知道以前的身份验证请求消息

{M（M）}_{5} = {{T型}_{U型}^{n个 e（电子） w个}, {D类}_{1}, P（P） 我 {D类}_{我}, {D类}_{2}}

然而，我们的方案使用随机nonce

({n个}_{U型})

和时间戳

({T型}_{U型})

以避免重播攻击。控制服务器每次都会验证时间戳的新鲜度。

4.2. 会话密钥的安全性

身份验证方案的一个关键目的是建立会话密钥，因此应保护会话密钥不受已知密钥安全性和前向保密性的影响[22].

4.2.1. Known-key安全

在我们的方案中，

C S公司

每次验证正确时计算新的会话密钥。这意味着，

C S公司

使用新的随机nonce

({n个}_{U型}^{n个 e（电子） w个})

,

({n个}_{S公司}^{n个 e（电子） w个})

和

({n个}_{C S公司}^{n个 e（电子） w个})

，及其当前时间戳

({T型}_{C S公司}^{n个 e（电子） w个})

计算新的会话密钥，避免以前的会话密钥受损。如果攻击者知道

{M（M）}_{7} = {{D类}_{6}, {D类}_{7}, {D类}_{10}, {D类}_{8}, {D类}_{9}, {D类}_{11}}

，他/她无法计算有效的会话密钥

(S公司 {K（K）}_{U型 - S公司})

没有随机nonce和

C S公司 ’ 秒

时间戳。即使攻击者知道过去的会话密钥

(S公司 {K（K）}_{U型 - S公司}^{o个 我 d日})

，他/她无法通过任何类型的组合计算新的会话密钥。

4.2.2. 正向安全

在我们的方案中，

C S公司

计算会话密钥而不使用密钥

(x个, 年, z（z）)

，避免在攻击者知道密钥的情况下危及其安全性。让我们假设，攻击者知道

(x个, 年, z（z）)

，他/她无法计算正确的会话密钥，因为它不包含密钥。因此，攻击者无法创建有效的会话密钥。

4.3. 对策

4.3.1. 针对恶意用户的本地保护

在我们的方案中，

S公司 C_{我}

验证的合法性

{U型}_{我}

通过方程式（10）。这意味着

{U型}_{我}

必须通过身份验证

S公司 C_{我}

在它计算用户身份验证请求消息之前[22].

4.3.2. 相互身份验证

在我们的方案中，

{U型}_{我}

和

{S公司}_{j个}

验证对方是否是系统中的合法用户，并希望通过等式（37）到（40）建立安全通信。在这种情况下，

{U型}_{我}

向发送挑战

{S公司}_{j个}

用于执行相互身份验证过程。响应消息包含

({n个}_{C S公司}^{n个 e（电子） w个} ∥ {T型}_{C S公司}^{n个 e（电子） w个})

这代表了通信的新鲜。此外，

{U型}_{我}

知道相同的值，从而避免了人在其中的攻击。

4.3.3. 连接尝试的证据

在我们的方案中，

{S公司}_{j个}

计算

{D类}_{5}

，使用方程式（15），其中包含来自

{U型}_{我}

和

{S公司}_{j个}

，使

{D类}_{5}

.然后，

C S公司

验证之间的连接尝试

{U型}_{我}

和

{S公司}_{j个}

通过方程式（23）。此外，

C S公司

使用以下信息计算会话密钥

{U型}_{我}

,

{S公司}_{j个}

和

C S公司

.

4.4. 安全性比较

本小节从安全性的角度将所提出的方案与Zhou等人的方案、Amin等人的方案和Xue等人的方案进行了安全性比较。表2列出了比较结果。

根据表2很明显，以前的作品容易受到不同的攻击，无法在服务器和用户之间提供相互身份验证。此外，以前的工作没有提供连接尝试的证据。因此，我们的协议抵抗了非常著名的攻击，提供了连接尝试、相互身份验证和用户匿名的证据。

4.5. 计算成本比较

本小节从执行时间的角度，介绍了所提方案与Zhou等人的方案、Amin等人的方案和Xue等人的方案的性能评估。每个方案的评估基于以下考虑：

T型_小时表示哈希函数。
T型_S公司表示使用AES算法的加密/解密操作。
的执行时间T型_小时情况1:0.00517 ms[30]和情况2:0.0000328 ms[32].
的执行时间T型_S公司情况1:0.02148毫秒[30]和案例2:0.0214385 ms[32].

表3总结了执行的操作

{U型}_{我}, {S公司}_{j个}

和

C S公司

在注册、登录和身份验证阶段。所需的执行时间

{U型}_{我}, {S公司}_{j个}

和

C S公司

在每个阶段，如所示表4.

发件人表3很容易看出，我们的方案比以前的工作需要更多的计算操作。然而，有必要在实际场景中计算执行时间。因此，我们使用了中描述的执行时间[30]和[32]比较每个方案的性能。执行时的结果如所示表4，很明显，执行时间取决于：（a）每个设备的特性，（b）密码库和（c）计算负载。在我们的方案中，

C S公司

是计算更多计算操作的参与者，因为我们假设其拥有的资源超过

{U型}_{我}

和

{S公司}_{j个}

此外，

{U型}_{我}

计算的计算操作比

{S公司}_{j个}

因为我们假设

{U型}_{我}

每天将请求少量连接；然而，

{S公司}_{j个}

将收到许多连接请求，考虑到大量用户，有必要

{S公司}_{j个}

计算很少的计算操作。根据总结的结果表4Amin等人提出了具有les计算操作的方案[1].

事实上，每个设备的执行时间必须考虑如下所示表4。使用案例2评估的计算操作比案例1提供更好的结果。在这种情况下，我们的方案所需的时间减少了40%，表现出可接受的性能，小于0.1862 ms[30].

图7显示了参与者和方案的计算成本比较。在本例中，我们使用了案例1的执行时间。我们的方案与以前的工作的主要区别是在身份验证阶段包含对称操作。对称操作用于在

{U型}_{我}

和

{S公司}_{j个}

，提高了所提方案的安全性。

4.6. 沟通-成本比较

在本小节中，我们从消息长度的角度比较了我们的方案与Zhou等人的方案、Amin等人的方案和Xue等人的方案的通信成本。对于传统比较，我们假设两种位长情况：

案例1：任何身份、密码、伪身份、时间戳、随机nonce和散列输出都是128位的。
案例2：任何身份、密码、伪身份、时间戳、随机nonce和散列输出都是256位。
对称加密的块长度为128位。

表5总结了方案期间每个实体的消息长度。

发件人表5我们清楚地看到，我们的方案需要与Zhou等人的方案相同的消息长度，即4352位或8704位。然而，我们的方案提供了相互身份验证和连接尝试的证据，这需要在参与者之间共享更多信息。如果我们逐阶段关注，我们的方案在注册阶段所需的消息长度比Zhou等人的方案要少，从而使我们的方案更有效。事实上，我们的建议在登录阶段所需的消息长度比以前的工作更少，从而提高了效率。在对所提出的方案进行性能评估后，可以确认该方案具有良好的性能。

5.结论

在这篇论文中，我们证明了Zhou等人的方案对于内部攻击、重放攻击和用户模仿攻击是不安全的。此外，我们发现了一些安全缺陷，使得Zhou等人提出的方案在云计算环境下对物联网不安全。因此，我们提出了一个新的方案来弥补Zhou等人方案的安全漏洞和缺陷。

新方案实现了相互身份验证和密钥协商，提供了对云服务器的安全访问。此外，该提案保持了用户身份的匿名性，以防窃听者窃听，为会话密钥提供了安全性，并包括一种挑战响应方法。此外，新方案包括一个称为证据连接尝试的子阶段，该子阶段向控制服务器证明用户和服务器之间的任何连接尝试。

此外，我们的性能评估表明，我们的方案不需要高计算能力或多条消息来达到安全要求。相反，在注册和登录阶段，所提出的方案比Zhou等人的、Amin等人的和Xue等人的方案需要更少的通信成本，并且考虑到方案中包含的安全特性，计算成本是可以接受的。因此，该方案满足了云计算环境下基于物联网的安全认证方案的安全要求，增强了以往工作的安全性。

作者贡献

概念化、R.M.P.和H.T.C。；方法论，R.M.P.、J.R.P.M.、V.G.和L.J.M。；形式分析，R.M.P。；书面原稿编制，V.G.F。；写作评论和编辑，A.O.B.所有作者都提供了批判性反馈，并在研究中进行了合作。

基金

这项研究没有得到外部资助。

利益冲突

作者声明没有利益冲突。

工具书类

阿明·R。；库马尔，N。；比斯瓦斯，G.P。；伊克巴尔，R。；Chang，V.分布式云计算环境中支持物联网的设备的轻量级身份验证协议。未来一代。计算。系统。 2018,78, 1005–1019. [谷歌学者] [交叉参考]
努拉，M。；Attiquezzman，M。；Gaedke，M.物联网的互操作性：分类和开放挑战。暴徒。Netw公司。申请。 2018. [谷歌学者] [交叉参考]
我·福斯特。；Zhao，Y。；Raicu，I。；Lu，S.云计算和网格计算360度比较。2008年11月12日至16日，美国德克萨斯州奥斯汀，网格计算环境研讨会论文集。[谷歌学者] [交叉参考]
Sova，P.云计算简介。IOSR J.计算。工程师。 2016,18, 101–103. [谷歌学者]
Ferrag，文学硕士。；洛杉矶马格拉拉斯。；Janicke，H。；姜杰。；Shu，L.物联网认证协议：综合调查。安全。Commun公司。Netw公司。 2017. [谷歌学者] [交叉参考]
El-Hajj，M。；Fadlallah，A。；查蒙，M。；Serhrouchni，A.物联网认证方案调查。传感器 2019,19, 1141. [谷歌学者] [交叉参考]
于伟（Yu，W.）。；梁，F。；何，X。；Grant Hatcher，W。；卢，C。；林，J。；Yang，X.关于物联网边缘计算的调查。IEEE接入 2017,6, 6900–6919. [谷歌学者] [交叉参考]
弗南德斯·梅莫（Fernández Maimó），L。；韦尔塔斯·塞尔德兰，A。；Perales Gómez，A.L。；F.J.加西亚·克莱门特。；韦默，J。；Lee，I.集成临床环境中的智能动态勒索软件传播检测和缓解。传感器 2019,19, 1114. [谷歌学者] [交叉参考]
贝克S.B。；Xiang，W。；Atkinson，I.智能医疗的物联网：技术、挑战和机遇。IEEE接入 2017,5, 26521–26544. [谷歌学者] [交叉参考]
Jang，Q。；马，J。；杨，C。；马，X。；沈杰。；Chaudhry，S.A.可穿戴健康监测系统的高效端到端认证协议。计算。选举人。工程师。 2017,63, 182–195. [谷歌学者] [交叉参考]
Zanella，A。；布依，N。；Castellani，A。；Vangelista，L。；Zorzi，M.智能城市物联网。IEEE互联网事物杂志。 2014,1, 22–32. [谷歌学者] [交叉参考]
佩雷拉，C。；Harold Liu，C。；贾亚瓦德纳，S。；Chen，M.《产业市场视角下的物联网调查》。IEEE接入 2015,2, 1660–1679. [谷歌学者] [交叉参考]
El-Sayed，H。；桑卡尔，S。；普拉萨德，M。；Puthal博士。；古普塔，A。；莫汉蒂，M。；Lin，C.T.Edge of things：分布式计算环境中边缘、物联网和云集成的大图。IEEE接入 2017,6, 1706–1717. [谷歌学者] [交叉参考]
姜强。；钱，Y。；马，J。；马，X。；程，Q。；Wei，F.云计算可穿戴设备的以用户为中心的三因素认证协议。国际法学委员会。系统。 2009,9，e3900。[谷歌学者] [交叉参考]
Madhusudhan，R。；Mittal，R.C.使用智能卡的基于动态身份的远程用户密码验证方案：综述。J·奈特。计算。申请。 2012,35, 1235–1248. [谷歌学者] [交叉参考]
王，D。；他，D。；王，P。；Chu，C.-H.分布式系统中的匿名双因素身份验证：某些目标是无法实现的。IEEE传输。可靠的安全。计算。 2015,12, 428–442. [谷歌学者] [交叉参考]
王，D。；Wang，P.一石二鸟：安全性超越传统界限的双因素认证。IEEE传输。可靠的安全。计算。 2018,15, 708–722. [谷歌学者] [交叉参考]
Lamport，L.使用不安全通信进行密码验证。Commun公司。ACM公司 1981,24, 770–772. [谷歌学者] [交叉参考] [绿色版本]
Hwang，T。；陈，Y。；Laih，C.S.无密码表的非交互式密码验证。1990年IEEE Region 10 Conference on Computer and Communication Systems会议记录，中国香港，1990年9月24日至27日。[谷歌学者]
林，L.C。；黄，M.S。；Li，L.H.一种新的多服务器架构远程用户身份验证方案。未来一代。计算。系统。 2003,19, 13–22. [谷歌学者] [交叉参考]
李，L。；林，L。；Hwang，M.S.一种使用神经网络的多服务器架构远程密码认证方案。IEEE传输。神经网络。 2001,12, 1498–1504. [谷歌学者] [公共医学]
Liao，Y.P。；Wang，S.S.一种用于多服务器环境的基于动态ID的安全远程用户认证方案。计算。站立。接口 2009,31, 24–29. [谷歌学者] [交叉参考]
湘，C。；Shih，W.K.多服务器环境下基于安全动态ID的远程用户身份验证方案的改进。计算。站立。接口 2009,31, 1118–1123. [谷歌学者] [交叉参考]
Martínez Peláez，共和党人。；Rico Novella，F。；萨蒂扎巴尔，C。；Pomykala，J.多服务器环境下高效安全的基于ID的动态远程用户认证方案，具有会话密钥协议。国际期刊网。安全。其应用。 2010,2, 106–116. [谷歌学者] [交叉参考]
Kim，M。；北帕克。；Won，D.多服务器环境下基于动态ID的会话密钥协商远程用户身份验证方案的安全改进。在安全、控制和系统工程的计算机应用; 施普林格：德国柏林/海德堡，2012年。[谷歌学者]
李，X。；熊，Y.P。；马，J。；Wang，W.D.使用智能卡的多服务器体系结构的高效安全的基于动态身份的认证协议。J·奈特。计算。申请。 2012,35, 763–769. [谷歌学者] [交叉参考]
苏德，S.K。；Sarje，A.K。；Singh，K.一种用于多服务器体系结构的基于动态身份的安全认证协议。J·奈特。计算。申请。 2011,34, 609–618. [谷歌学者] [交叉参考]
薛，K。；Hong，P。；Ma，C.一种轻量级的基于动态假名身份的认证和密钥协商协议，无需多服务器架构的验证表。J.计算。系统。科学。 2014,80, 195–206. [谷歌学者] [交叉参考] [绿色版本]
查拉，S。；达斯，A.K。；戈佩，P。；库马尔，N。；Wu，F。；Vasilakos，A.V.云辅助网络物理系统中认证密钥协议方案的设计和分析。未来一代。计算。系统。 2018. [谷歌学者] [交叉参考]
周，L。；李，X。；Yeh，K.H。；苏，C。；Chiu，W.云计算环境中基于物联网的轻量级认证方案。未来一代。计算。系统。 2019,91, 244–251. [谷歌学者] [交叉参考]
阿明·R。；Biswas，G.P.基于多网关的无线传感器网络中用于用户身份验证和密钥协商的安全轻量级方案。特设网络。 2016,36, 58–80. [谷歌学者] [交叉参考]
Wu，F。；徐，L。；库马里，S。；李，X。；沈，J。；Raymond Choo，K.K。；瓦齐德，M。；Das，A.K.物联网部署中多网关无线传感器网络的有效身份验证和密钥协商方案。J·奈特。计算。申请。 2017,89, 72–85. [谷歌学者] [交叉参考]
Kocher，P。；杰菲，J。；Jun，B.差分功率分析。在密码学进展; Wienner，M.，编辑。；施普林格：德国柏林，1999年；第388-397页。[谷歌学者]
梅塞格尔，T.S。；Dabbish，E.A。；Sloan，R.H.在电源分析攻击威胁下检查智能卡安全。IEEE传输。计算。 2002,51, 541–552. [谷歌学者] [交叉参考]

图1。Zhou等人方案的认证阶段。

图2。用户注册子阶段。

图3。服务器注册子阶段。

图4。登录阶段。

图5。用户身份验证、服务器身份验证和连接尝试子阶段的证据。

图6。关键协议和相互身份验证阶段。

图6。密钥协议和相互身份验证阶段。

图7。参与者的计算成本比较。

表1。拟议方案的符号。

符号	描述
${U型}_{我}$	用户
${S公司}_{j个}$	云服务器
$C S公司$	控制服务器
$S公司 C_{我}$	的智能卡 ${U型}_{我}$
$我 {D类}_{我}, S公司我 {D类}_{j个}, 我 {D类}_{C S公司}$	的标识 ${U型}_{我}$ , ${S公司}_{j个}$ , $C S公司$ 分别为
$P（P）我 {D类}_{我}, P（P） S公司我 {D类}_{j个}$	伪恒等式 ${U型}_{我}$ , ${S公司}_{j个}$ 分别为
$P（P）周_{我}$	的密码 ${U型}_{我}$
$x个, 年, z（z）$	的密钥 $C S公司 .$ 密钥是长整数
${n个}_{U型}, {n个}_{S公司}, {n个}_{C S公司}$	随机nonce of ${U型}_{我}$ , ${S公司}_{j个}$ , $C S公司$ 分别为
${T型}_{U型}, {T型}_{S公司}, {T型}_{C S公司}$	的时间戳 ${U型}_{我}$ , ${S公司}_{j个}$ , $C S公司$ 分别为
$S公司 {K（K）}_{U型 - S公司}$	会话密钥介于 ${U型}_{我}$ 和 ${S公司}_{j个}$
${E类}_{S公司 K（K）} (\cdot) / {D类}_{S公司 K（K）} (\cdot)$	对称加密/解密使用 $S公司 {K（K）}_{U型 - S公司}$
$小时 (\cdot)$	无冲突单向散列函数
$\oplus$	排他性OR操作
$∥$	串联操作
$\Rightarrow$	安全通信通道
$\to$	开放式沟通渠道

表2。安全性比较。

担保财产	Xue等人。	Amin等人。	Zhou等人。	我们的方案
提供连接尝试的证据	失败	失败	失败	成功
提供相互身份验证	失败	失败	失败	成功
提供用户匿名	失败			成功
抵抗模拟攻击	失败	失败	失败	成功
抵御离线用户身份/密码攻击	失败			成功
抵抗特权内幕攻击	失败	失败		成功
抵抗重播攻击			失败	成功

表3。性能比较。

阶段		Xue等人。	Amin等人。	Zhou等人。	我们的方案
登记处	${U型}_{我}$	$三 {T型}_{小时}$	$三 {T型}_{小时}$	$三 {T型}_{小时}$	$2 {T型}_{小时}$
	${S公司}_{j个}$	$0 {T型}_{小时}$	$0 {T型}_{小时}$	$0 {T型}_{小时}$	$1 {T型}_{小时}$
	$C S公司$	$4 {T型}_{小时}$	$4 {T型}_{小时}$	$4 {T型}_{小时}$	$12 {T型}_{小时}$
登录	${U型}_{我}$	$6 {T型}_{小时}$	$6 {T型}_{小时}$	$6 {T型}_{小时}$	$三 {T型}_{小时}$
	${S公司}_{j个}$	$三 {T型}_{小时}$	$1 {T型}_{小时}$	$三 {T型}_{小时}$	$三 {T型}_{小时}$
	$C S公司$	$0 {T型}_{小时}$	$0 {T型}_{小时}$	$0 {T型}_{小时}$	$0 {T型}_{小时}$
身份验证	${U型}_{我}$	$三 {T型}_{小时}$	$三 {T型}_{小时}$	$4 {T型}_{小时}$	$4 {T型}_{小时} + 三 {T型}_{秒}$
	${S公司}_{j个}$	$三 {T型}_{小时}$	$三 {T型}_{小时}$	$4 {T型}_{小时}$	$2 {T型}_{小时} + 三 {T型}_{秒}$
	$C S公司$	$14 {T型}_{小时}$	$10 {T型}_{小时}$	$19 {T型}_{小时}$	$21 {T型}_{小时} + 2 {T型}_{秒}$
总计		$36 {T型}_{小时}$	$30 {T型}_{小时}$	$43 {T型}_{小时}$	$48 {T型}_{小时} + 8 {T型}_{秒}$

表4。参与者的执行时间。

		Xue等人。			Amin等人。			Zhou等人。			我们的
		操作	案例1	案例2	操作	案例1	案例2	操作	案例1	案例2	操作	案例1	案例2
R（右）	${U型}_{我}$	第3小时	0.01551	0.0000984	第3小时	0.01551	0.0000984	第三	0.01551	0.0000984	第2小时	0.01034	0.0000656
	${S公司}_{j个}$	第0个	0	0	第0个	0	0	零	0	0	第1次	0.00517	0.0000328
	$C S公司$	第4名	0.02068	0.0001312	第4名	0.02068	0.0001312	第四节	0.02068	0.0001312	第12天	0.06204	0.0003936
L（左）	${U型}_{我}$	第6次	0.03102	0.0001968	第6次	0.03102	0.0001968	第6次	0.03102	0.0001968	第3小时	0.01551	0.0000984
	${S公司}_{j个}$	第3小时	0.01551	0.0000984	第一	0.00517	0.0000328	第3小时	0.01551	0.0000984	第3小时	0.01551	0.0000984
	$C S公司$	第0个	0	0	第0个	0	0	第0个	0	0	第0个	0	0
A类	${U型}_{我}$	第3小时	0.01551	0.0000984	第3小时	0.01551	0.0000984	第4名	0.02068	0.0001312	4Th+3T	0.08512	0.0644467
	${S公司}_{j个}$	第3小时	0.01551	0.0000984	第3小时	0.01551	0.0000984	第4名	0.02068	0.0001312	2Th+3T秒	0.07478	0.0643811
	$C S公司$	第十四	0.07238	0.0004592	第10次	0.0517	0.000328	第19天	0.09823	0.0006232	第21天+2T天	0.15153	0.0435658
总计		第36次	0.18612	0.0011808	第30天	0.1551	0.000984	第43次	0.22231	0.0014104	48支+8支	0.420000	0.173082

*R=注册阶段，L=登录阶段，A=身份验证阶段，Op=操作次数。

表5。通信成本比较。

		Xue等人。			Amin等人。			Zhou等人。			我们的方案
		长度	案例1	案例2	长度	案例1	案例2	长度	案例1	案例2	长度	案例1	案例2
R（右）	${U型}_{我}$	三	384	768	2	256	512	2	256	512	2	256	512
	${S公司}_{j个}$	2	256	512	2	256	512	2	256	512	2	256	512
	$C S公司$	2	256	512	三	384	768	6	768	1536	4	512	1024
	装货单		896	1792		896	1792		1280	2560		1024	2048
L（左）	${U型}_{我}$	6	768	1536	5	640	1280	5	640	1280	4	512	1024
	${S公司}_{j个}$	11	1408	2816	9	1152	2304	10	1280	2560	9	1152	2304
	$C S公司$	0	0	0	0	0	0	0	0	0	0	0	0
	装货单		2176	4352		1792	3584		1920	3840		1664	3328
A类	${U型}_{我}$	0	0	0	0	0	0	0	0	0	2	256	512
	${S公司}_{j个}$	2	256	512	2	256	512	三	384	768	5	640	1280
	$C S公司$	4	512	1024	4	512	1024	6	768	1536	6	768	1536
	装货单		768	1536		768	1536		1152	2304		1664	3328
	T型	30	3840	7680	27	3456	6912	34	4352	8704	34	4352	8704

*R=注册阶段，L=登录阶段，A=验证阶段，ST=小计，T=总计。

分享和引用

MDPI和ACS样式

Martínez-Pelláez，R。；托拉尔·克鲁兹，H。；Parra-Michel，J.R。；加西亚，V。；梅纳，L.J。；弗利克斯，V.G。；奥乔亚·布鲁斯特，A。云计算环境中一种增强的基于物联网的轻量级认证方案。传感器 2019,19, 2098.https://doi.org/10.3390/s19092098

AMA风格

Martínez-Pelláez R、Toral-Cruz H、Parra-Michel JR、García V、Mena LJ、Félix VG、Ochoa-Brust a。云计算环境中一种增强的基于物联网的轻量级认证方案。传感器. 2019; 19(9):2098.https://doi.org/10.3390/s19092098

芝加哥/图拉宾风格

马丁内斯·佩雷斯（Martínez-Pellaez）、拉斐尔（Rafael）、霍梅罗·托拉尔·克鲁斯（Homero Toral-Cruz）、豪尔赫·帕拉·米切尔（Jorge R.Parra-Michel）、维森特·加西亚（Vicente García）、路易斯·梅纳（Luis J.Mena）、瓦内萨·盖利斯（Vaness。2019.“云计算环境中基于物联网的增强轻量级认证方案”传感器19，编号9:2098。https://doi.org/10.3390/s19092098

请注意，从2016年第一期开始，该杂志使用文章编号而不是页码。请参阅更多详细信息在这里.

文章菜单

云计算环境下一种增强的轻量级物联网认证方案

摘要

1.简介

1.1. 相关工作

1.2. 贡献

2.周氏方案审查及安全性分析

2.1. 注册阶段

2.1.1. 用户注册子阶段

2.1.2. 云服务器注册子阶段

2.2. 身份验证阶段

2.3. 安全漏洞

2.3.1. 内幕攻击

2.3.2. 人在中间的攻击

2.4. 安全缺陷

2.4.1. 未能提供相互身份验证

2.4.2. 无法保护密钥

3.建议方案

3.1. 注册阶段

3.1.1. 用户注册子阶段

3.1.2. 云服务器注册

3.2. 登录阶段

3.3. 身份验证阶段

3.3.1. 用户身份验证

3.3.2. 服务器身份验证

3.3.3. 连接尝试的证据

3.4. 关键协议阶段

3.4.1. 会话密钥创建

3.4.2. 服务器会话密钥

3.4.3. 用户会话密钥

3.5. 相互身份验证

3.6. 密码更改阶段

4.安全分析和性能评估

4.1. 非正式密码分析

4.1.1. 用户匿名

4.1.2. 离线用户身份和密码猜测攻击

4.1.3. 特权内幕攻击

4.1.4. 模拟攻击

4.1.5. 重播攻击

4.2. 会话密钥的安全性

4.2.1. Known-key安全

4.2.2. 正向安全

4.3. 对策

4.3.1. 针对恶意用户的本地保护

4.3.2. 相互身份验证

4.3.3. 连接尝试的证据

4.4. 安全性比较

4.5. 计算成本比较

4.6. 沟通-成本比较

5.结论

作者贡献

基金

利益冲突

工具书类

分享和引用

文章指标

文章访问统计

更多信息

指导方针

MDPI计划

遵循MDPI