1. 引言

云计算作为一种新兴的资源共享模式，充分利用了分布式计算 [1] 和虚拟资源管理等一些技术，并且整合了网络中大量的资源，为用户提供了存储、计算、软件以及平台等服务 [2] 也给用户带来极大的便利条件，但云计算的不断发展和普及，随之而来的则是安全 [3] 方面的问题。

云计算依照部署模型可分为：公有云、私有云、社区云和混合云四种类型 [4] 。混合云一般由多个云组成，每个云都有自己的用户身份管理系统。每个云中，有云内用户信任的认证服务器，提供用户注册等请求。而云间的资源共享要求，用户在访问自己所属云之外的其它云时，要考虑与不同云用户的身份认证 [5] 和密钥协商 [6] 。

针对云计算中存在的跨域认证 [7] 问题，Xu C等 [8] 基于零知识证明和密钥托管的思想提出了一个认证方案，该方法实现了匿名性和用户真实信息的追踪。Castiglione A等 [9] 基于盲签名实现了一个跨域认证方案来支持用户身份验证，保护用户身份信息。这个方案满足了匿名性，可以避免中间人攻击，服务器的欺骗攻击等。解福 [10] 实现了基于验证元客户端到客户端的跨域认证协议，能够抵御主动和被动攻击，但该协议的交互复杂。现有的方案需要在认证服务器上保存用户的身份信息或者用来验证身份的信息，因此存在证书管理问题。2003年，Al-Riyami和Paterson [11] 提出无证书的公钥密码体制，这一体制解决了密钥托管问题。

本文提出了一个基于无证书的跨域认证方案，并且在eCK模型 [12] 下证明了所提出协议的安全性。在本文的协议中，私钥由两部分组成，不存在密钥托管问题。经过一次交互就完成了用户认证和密钥协商，提高了协议的效率，用户认证部分也充分利用了云服务器的计算能力，适合于云计算环境。

2. 预备知识

2.1. 椭圆曲线上的双线性映射

双线性对 [13] 是两个循环群间的线性映射关系。设 $G_1$ 和 $G_2$ 分别是阶为q的加法循环群和乘法循环群，q是大素数，且在 $G_1$ 和 $G_2$ 中离散对数问题都是难解的。e是 $G_1\times G_1\to G_2$ 的双线性映射，要满足以下性质：

1) 双线性：对于任意 $P,Q\in G_1,a,b\in Z_q^{*}$ ，满足 $e\left(aP,bQ\right)=e{\left(P,Q\right)}^{ab}$ ；对于任意 $P_1,P_2,Q\in G_1$ ，有 $e\left(P_1+P_2,Q\right)=e\left(P_1,Q\right)\times e\left(P_2,Q\right)$ 。

2) 非退化性：若P是 $G_1$ 的生成元，则 $e\left(P,P\right)\in G_2$ 是 $G_2$ 的生成元，即 $e\left(P,P\right)\ne 1$ 。

3) 可计算性：有多项式时间算法可计算映射e。

2.2. 相关困难问题及假设

CDH(Computational Diffie-Hellman)问题：G为q阶的循环加法群，P为G的生成元，给定 $P,aP,bP\in G$ (其中 $a,b\in Z_q^{*}$ )，计算。

定义1：在安全参数λ 下多项式时间算法A解决CDH问题的优势为 $Ad{v}_A^{CDH}\left(\lambda \right)=\mathrm{Pr}\left[A\left(P,aP,bP\right)=abP|P\in G,a,b\in Z_q^{*}\right]$

定义2：CDH假设：对于任意多项式时间算法A ， $Ad{v}_A^{CDH}\left(\lambda \right)$ 是可忽略的。

2.3. 安全模型

针对无证书认证密钥交换协议，有两种类型的敌手 [14] 。敌手 $A_1$ 不知道系统主密钥，但是可以把任意协议参与者的公钥替换成自己所选的值。敌手 $A_2$ 知道系统所拥有的主密钥，但是不可以替换协议参与者的公钥。

${\prod }_{i,j}^s$ 表示参与者i和j的第s个会话。

Lippold [15] 等将传统的eCK模型扩展成为无证书下的eCK模型，该模型是通过挑战者C和敌手 $A\in \left\{A_1,A_2\right\}$ 之间进行的游戏来定义的。该游戏分成两个阶段：

阶段1：敌手可以以任何顺序进行以下查询。

Create(i)：C为身份是 $I{D}_i$ 的协议参与者i生成公钥和私钥对。

RevealMasterKey：C 把系统主密钥返回给敌手A。

RevealSessionKey( ${\prod }_{i,j}^s$ )：如果该会话已计算出会话密钥，则把该会话密钥返回，否则返回 $\perp$ 。

RevealPartialPrivateKey(i)：C把参与者i的部分私钥返回给敌手A。

RevealSecretValue(i)：C把参与者i的秘密值返回给敌手A。

ReplacePublicKey(i,pk)：C把参与者i的公钥更换为A所选的值pk。

RevealEphemeralKey( ${\prod }_{i,j}^s$ )：C把参与者i的临时密钥返回给A。

Send( ${\prod }_{i,j}^s$ ,m)：A向会话发送消息m，然后依据协议的执行得到相应的响应信息。

如果A认为第一个阶段的查询结束了，则A选一个新鲜会话，然后进行游戏的第二阶段，执行Test()查询。

阶段2：Test()：第一阶段询问结束，A选一个新鲜会话 ${\prod }_{i,j}^s$ 执行Test查询。随机选 $b\in \left\{0,1\right\}$ ，如果 $b=0$ ，则返给A会话密钥，如果 $b=1$ ，则在会话密钥空间里选一个随机的值返回给A。

在游戏的最后，A输出对b的猜测 $b^{\prime }$ ，如果 $b^{\prime }=b$ ，则A赢得游戏。A赢得该游戏的优势为，其中k为安全参数。

定义3：新鲜会话。为参与者i和j已经结束的会话。如果下面的条件都不成立，则称是新鲜的。

1) A查询了的会话密钥。

2) A查询了i拥有的部分私钥或秘密值和会话的临时密钥。

定义4：安全性。当认证密钥交换协议达到如下条件 [16] 时，则称该协议是安全的。

1) 若攻击者诚实的转发消息，且参与者接受该会话，则参与者能获得在会话密钥空间内均匀分布的密钥。

2) 对于任意的多项式时间敌手A，能够赢得游戏的概率是可忽略的。

3. 基于无证书的跨域认证方案

基于苏航等 [17] 的无证书方案设计和CDH假设，提出了本文的协议。

3.1. 方案设计

1) 系统初始化算法

选取满足安全常数λ的阶为q的椭圆曲线循环群 $G_1$ 和 $G_2$ ，即 $\left|q\right|=\lambda$ ， $G_1$ 的生成元为P。 $G_1$ 和 $G_2$ 分别是加法循环群和乘法循环群，e是 $G_1\times G_1\to G_2$ 的双线性映射。选取安全散列函数 $H_1:{\left\{0,1\right\}}^{*}\times G_1\to Z_q^{*}$ ， $H_2:G_1\to K$ ，其中K是会话密钥空间。

域A和域B分别选取 $s_A\in Z_q^{*}$ ， $s_B\in Z_q^{*}$ 作为系统主私钥即 $ms{k}_A=s_A$ ， $ms{k}_B=s_B$ ，计算公钥 $P_{pu{b}_A}=s_{A}P$ ， $P_{pu{b}_B}=s_{B}P$ 。域A和域B在各自域内公开系统参数 $param{s}_A=\left\{G_1,G_2,e,q,P,H_1,H_2,P_{pu{b}_A}\right\}$ 和 $param{s}_B=\left\{G_1,G_2,e,q,P,H_1,H_2,P_{pu{b}_B}\right\}$ 。

2) 用户部分私钥生成算法

域A内用户user向域A发出注册请求并发送自己的身份信息 $I{D}_U$ ，域A随机选 $g\in Z_q^{*}$ ，计算 $k=s_A+g{H}_1\left(I{D}_U\parallel gP\right)$ 并把它作为用户的部分私钥，并把 $\left\{gP,k\right\}$ 发送给user。

user验证 $kP=P_{pu{b}_A}+gP{H}_1\left(I{D}_U\parallel gP\right)$ ，相等则接收k。若等式不成立，则拒绝此部分私钥。

3) 用户公私钥生成算法

用户user随机选 $$ ，计算私钥 $d_U=k+x$ ，输出公钥 $p{k}_U:\left\{gP,xP\right\}$ 。

4) 密钥协商算法

用户user选择临时密钥 $t_U\in Z_q^{*}$ ，计算临时信息 $T_U=t_U{d}_{U}P$ ， ${T^{\prime }}_U=t_{U}P$ 。选随机数 $N_r$ ，同时用域B的公钥加密 $H_1\left(I{D}_U\parallel gP\right)$ 和随机数 $N_r$ ，得到 $e_U={\left\{H_1\left(I{D}_U\parallel gP\right),N_r\right\}}_{P_{pu{b}_B}}$ ，把 $T_U,{T^{\prime }}_U,e_U,p{k}_U$ 发送给域B。

域B解密 $e_U$ 得到 $H_1\left(I{D}_U\parallel gP\right)$ 和 $N_r$ 验证等式 $e\left(T_U,P\right)=e\left({T^{\prime }}_U,P_{pu{b}_A}\right)e\left(gP{H}_1\left(I{D}_U\parallel gP\right),{T^{\prime }}_U\right)e\left({T^{\prime }}_U,xP\right)$ ，验证通过则选择临时密钥 $t_B\in Z_q^{*}$ ， 计算临时信息 $T_B=t_B{s}_{B}P$ ，计算出会话密钥 $s{k}_B$ 后用该会话密钥加密 $N_r$ 得到 $e_B={\left\{N_r\right\}}_{s{k}_B}$ ，把 $\left\{T_B,e_B,P_{pu{b}_B}\right\}$ 发送给用户user。

用户user解密 $e_B$ 得到 ${N^{\prime }}_r$ ，确认和 ${N^{\prime }}_r$ 是不是相等，若相等，则可确定域B的身份，进而双方可用计算得到的会话密钥进行安全的通信。

用户user计算：

$k_{U_1}=d_U{T}_B+d_U{t}_U{s}_{B}P$

$k_{U_2}=t_U{d}_U{T}_B=t_U{t}_B{d}_U{s}_{B}P$

会话密钥 $s{k}_U=H_2\left(T_U\parallel T_B\parallel k_{U_1}\parallel k_{U_2}\right)$

域B计算：

$k_{B_1}=s_B{T}_U+t_B{s}_B\left(P_{pu{b}_A}+gP{H}_1\left(I{D}_U\parallel gP\right)+xP\right)$

$k_{B_2}=t_B{s}_B{T}_U=t_B{t}_U{s}_B{d}_{U}P$

会话密钥 $s{k}_B=H_2\left(T_U\parallel T_B\parallel k_{B_1}\parallel k_{B_2}\right)$

3.2. 正确性分析

1) 域B验证用户的正确性

$\begin{array}{c}e\left(T_U,P\right)=e\left(t_U{d}_{U}P,P\right)=e\left(t_U\left(k+x\right)P,P\right)\\ =e\left(t_U\left(s_A+g{H}_1\left(I{D}_U\parallel gP\right)+x\right)P,P\right)\\ =e\left(\left(t_U{s}_A+t_{U}g{H}_1\left(I{D}_U\parallel gP\right)+t_{U}x\right)P,P\right)\\ =e\left(t_U{s}_{A}P,P\right)e\left(t_{U}g{H}_1\left(I{D}_U\parallel gP\right)P,P\right)e\left(t_{U}xP,P\right)\\ =e{\left(P,P\right)}^{t_U{s}_A}e{\left(P,P\right)}^{t_{U}g{H}_1\left(I{D}_U\parallel gP\right)}e{\left(P,P\right)}^{t_{U}x}\end{array}$

$\begin{array}{l}e\left({T^{\prime }}_U,P_{pu{b}_A}\right)e\left(gP{H}_1\left(I{D}_U\parallel gP\right),{T^{\prime }}_U\right)e\left({T^{\prime }}_U,xP\right)\\ =e\left(t_{U}P,s_{A}P\right)e\left(gP{H}_1\left(I{D}_U\parallel gP\right),t_{U}P\right)e\left(t_{U}P,xP\right)\\ =e{\left(P,P\right)}^{t_U{s}_A}e{\left(P,P\right)}^{t_{U}g{H}_1\left(I{D}_U\parallel gP\right)}e{\left(P,P\right)}^{t_{U}x}\end{array}$

2) 协议的正确性

协议正确，则需证明用户user和域B计算得到了相同的会话密钥，即证明 $s{k}_U=s{k}_B$ 。

用户user的计算如下：

$k_{U_1}=d_U{T}_B+d_U{t}_U{s}_{B}P=d_U{t}_B{s}_{B}P+d_U{t}_U{s}_{B}P=\left(t_B+t_U\right)d_U{s}_{B}P$

域B的计算如下：

$\begin{array}{c}{k}_{B_1}=s_B{T}_U+t_B{s}_B\left(P_{pu{b}_A}+gP{H}_1\left(I{D}_U\parallel gP\right)+xP\right)=s_B{T}_U+t_B{s}_B\left(kP+xP\right)\\ =s_B{T}_U+t_B{s}_B{d}_{U}P=s_B{t}_U{d}_{U}P+t_B{s}_B{d}_{U}P=\left(t_U+t_B\right)d_U{s}_{B}P\end{array}$

由计算结果可知，用户user和域B能得到一样的会话密钥。

3.3. 安全性证明

下面给出本文提出的协议在eCK模型下的安全性的证明， $H_1$ 和 是随机预言机。

引理1：由于CDH问题是困难问题，则本文协议在 $A_1$ 的攻击下是安全的。

证明：假设 $A_1$ 能 以不可忽略的优势赢得2.3节中定义的游戏。那么挑战者C可以利用 $A_1$ 的能力解决CDH问题。C随机选 $P_0\in G_1$ ，设置 $P_0$ 为协商用户所在域(域A)的公钥，并令 $P_{pu{b}_A}=P_0$ 。令域A内全局系统参数为 $\left\{G_1,G_2,e,q,P,H_1,H_2,P_0\right\}$ ，并把该参数发给 $A_1$ 。

令 $n_0$ 为参与方可拥有的最多会话数， $n_1$ 为最多激活的用户数， $n_2$ 为最多进行的哈希询问次数。令 $Ad{v}_C^{CDH}$ 为C 解决CDH问题的优势。为了解决CDH问题，给定CDH挑战 $U=uP$ ， $V=vP\left(u,v\in Z_q^{*}\right)$ 和一个预言机DDH(*,*,*)，C 的任务是计算 $CDH\left(U,V\right)=uvP$ 。C 模拟2.3节中定义的游戏，在游戏中C要回答 $A_1$ 的所有询问。

在游戏开始前，C 随机选 $u\in \left\{1\cdots n_1\right\}$ ，代表参与跨域认证的用户。随机选 $t\in \left\{1\cdots n_0\right\}$ ，选择作为Test会话。

将敌手攻击的情况 [18] 分为以下几种来讨论：

1) 不知道用户的部分私钥和域B的临时密钥。

Create(i)：C维护一个初始为空的列表 $L_C$ ，其中存储的元组格式为 $\left(I{D}_i,k_i,G_i,x_i,P_i\right)$ ，如果 $i=u$ ，C随机选 $x_i,h_i\in Z_q^{*}$ ，计算 $G_i=\left(U-P_0\right)h_i^{-1}$ ， $P_i=x_{i}P$ ，设置，并在 $L_C$ 中存储 $\left(I{D}_i,\perp ,G_i,x_i,P_i\right)$ ，在 $L_{H_1}$ 中存储 $\left(I{D}_i,G_i,h_i\right)$ 。如果 $i\ne u$ ，随机选 $k_i,x_i,h_i\in Z_q^{*}$ ，计算 $G_i=\left(k_{i}P-P_0\right)h_i^{-1}$ ， $P_i=x_{i}P$ ， 设置 $H_1\left(I{D}_i\parallel G_i\right)=h_i$ ，并在 $L_C$ 中存储 $\left(I{D}_i,k_i,G_i,x_i,P_i\right)$ ，在 $L_{H_1}$ 中存储。

$H_1\left(I{D}_i,G_i\right)$ 询问：C维护一个初始为空的列表 $L_{H_1}$ ，其中存储的元组格式为 $\left(I{D}_i,G_i,h_i\right)$ 。如果 $\left(I{D}_i,G_i\right)$ 在 $L_{H_1}$ 中，则返回 $h_i$ 给 $h_i$ 。否则随机选择 $h_i\in Z_q^{*}$ 返回给 $A_1$ ，并在 $L_{H_1}$ 中存储 $\left(I{D}_i,G_i,h_i\right)$ 。

询问：C维护一个初始为空的列表 $L_{H_2}$ ，记录的元组格式为 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ 。如果查询的元组在 $L_{H_2}$ 中，则返回 $sk$ 给 $A_1$ 。否则按如下操作：

如果 $i=u$ ，C 在列表 $L_S$ 中找形如 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 的元祖，若找到，则计算

$\overline{Z_1}=Z_1-x_i\left(T_B+t_i{P}_{pu{b}_B}\right)$

$\overline{Z_2}=Z_2-x_i{t}_i{T}_B$

C 检查分别输入， $\left(P_0+G_i{H}_1\left(I{D}_i\parallel G_i\right),t_i{T}_B,\overline{Z_2}\right)$ ，DDH预言机是否输出1。如果 $Z_1$ 和 $Z_2$ 计算正确，在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ， $sk$ 为 $L_S$ 中的值。如果计算错误，则随机选 $sk\in K$ ，在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ，并返回给 $A_1$ 。

如果 $i\ne u$ ，在列表 $L_S$ 中找形如 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 的元祖，若找到，则在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ， $sk$ 为 $L_S$ 中的值。否则随机选，在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ，并返回 $sk$ 给 $A_1$ 。

RevealMasterKey：C 停止模拟。

RevealSessionKey( ${\prod }_{i,j}^s$ )：如果 ${\prod }_{i,j}^s={\prod }_{u,B}^t$ ，则C 停止模拟，否则把会话密钥 $sk$ 返回给 $A_1$ 。

RevealPartialPrivateKey(i)：如果 $i=u$ ，则C停止模拟，否则把部分私钥 $k_i$ 返回给 $A_1$ 。

RevealSecretValue(i)：C查找 $L_C$ 列表，若找到形如 $\left(I{D}_i,\ast ,\ast ,\ast ,\ast \right)$ 的元组，则返回 $x_i$ 给 $A_1$ 。否则执行Create(i)，返回 $x_i$ 给 $A_1$ 。

ReplacePublicKey(i,pk)：C查找 $L_C$ 列表，若找到形如 $\left(I{D}_i,\ast ,\ast ,\ast ,\ast \right)$ 的元组，则替换 $x_i$ 和 $P_i$ 为 $$ 和 ${P^{\prime }}_i$ ，其中 $pk={P^{\prime }}_i$ ， ${P^{\prime }}_i={x^{\prime }}_{i}P$ 。若没有找到，则执行Create(i)，再替换 $x_i$ 和 $P_i$ 为和 ${P^{\prime }}_i$ 。

RevealEphemeralKey(i)：如果 ${\prod }_{i,j}^s={\prod }_{u,B}^t$ ，则C停止模拟，否则C发送临时密钥给。

Send( ${\prod }_{i,j}^s$ ,m)：C维护一个初始为空的列表 $L_S$ ，其中存储的元组格式为 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 。

如果 ${\prod }_{i,j}^s={\prod }_{u,B}^t$ ，则返回 $T_B=V$ 给 $A_1$ 。

如果 $i=u$ ，C 随机选择 $t_i\in Z_q^{*}$ ，并计算

$\overline{Z_1}=Z_1-x_i\left(T_B+t_i{P}_{pu{b}_B}\right)$

$\overline{Z_2}=Z_2-x_i{t}_i{T}_B$

C 检查分别输入， $\left(P_0+G_i{H}_1\left(I{D}_i\parallel G_i\right),t_i{T}_B,\overline{Z_2}\right)$ ，DDH预言机是否输出1，如果 $Z_1$ 和 $Z_2$ 计算正确，则在 $L_S$ 中记录 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ ， $sk$ 为 $L_{H_2}$ 中的值。否则，随机选，在 $L_S$ 中存储 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 。

如果 $i\ne u$ ，则按协议规则进行回答。

Test()：如果 ${\prod }_{i,j}^s={\prod }_{u,B}^t$ ，则C停止模拟，否则，C随机选 $sk\in K$ ，并把 $sk$ 返回给 $A_1$ 。

假设 $A_1$ 能够 赢该游戏，那么 $A_1$ 一定计算出了准确的 $Z_1$ 和 $Z_2$ 。C 有 $\frac{1}{n_2}$ 的概率在 $L_{H_2}$ 中找到正确的元组。 C 计算：

$\overline{Z_2}=Z_2-x_i{t}_i{T}_B=t_{i}CDH\left(U,V\right)$

$CDH\left(U,V\right)=t_i^{-1}\left(Z_2-x_i{t}_{i}V\right)$

则 C 解决CDH问题的优势 $Ad{v}_C^{CDH}\ge \frac{1}{n_0{n}_1{n}_2}Ad{v}_{A_1}$ ，C以不可忽略的优势解决了CDH问题，这与CDH假设冲突。

2) 不知道用户的临时密钥和域B的临时密钥。

Create(i)：C 维护一个初始为空的列表 $L_C$ ，其中存储的元组格式为 $\left(I{D}_i,k_i,G_i,x_i,P_i\right)$ ，C 随机选 $k_i,x_i,h_i\in Z_q^{*}$ ，计算 $G_i=\left(k_{i}P-P_0\right)h_i^{-1}$ ，，设置 $H_1\left(I{D}_i\parallel G_i\right)=h_i$ ，并在 $L_C$ 中存储 $\left(I{D}_i,k_i,G_i,x_i,P_i\right)$ ，在 $L_{H_1}$ 中存储 $\left(I{D}_i,G_i,h_i\right)$ 。

$H_2\left(I{D}_i,T_i,T_B,Z_1,Z_2\right)$ 询问：C 维护一个初始为空的列表 $L_{H_2}$ ，其中存储的元组格式为 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ 。如果查询的元组在 $L_{H_2}$ 中，则返回 $sk$ 给 $A_1$ 。否则按如下操作：

C 在列表 $L_S$ 中找形如 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 的元祖，若找到，则计算

$\overline{Z_1}=Z_1-\left(k_i+x_i\right)T_B$

C 检查分别输入， $\left(T_i,T_B,Z_2\right)$ ，DDH预言机是否输出1。如果 $Z_1$ 和 $Z_2$ 计算正确，在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ， $$ 为 $L_S$ 中的值。如果计算错误，则随机选 $sk\in K$ ，在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ，并返回给 $A_1$ 。

若没有找到，则随机选 $sk\in K$ ，在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ，并返回 $sk$ 给 $A_1$ 。

RevealPartialPrivateKey(i)：C 查找列表 $L_C$ ，把相应的部分私钥 $k_i$ 返回给 $A_1$ 。

RevealEphemeralKey()：如果 ${\prod }_{i,j}^s={\prod }_{u,B}^t$ ，或者 ${\prod }_{i,j}^s={\prod }_{B,u}^t$ ，则C 停止模拟，否则C 发送临时密钥给 $A_1$ 。

Send( ${\prod }_{i,j}^s$ ,m)：C维护一个初始为空的列表 $L_S$ ，其中存储的元组格式为 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 。

如果 ${\prod }_{i,j}^s={\prod }_{u,B}^t$ ，C返回 $T_i=U$ 给 $A_1$ ，如果 ${\prod }_{i,j}^s={\prod }_{B,u}^t$ ，则返回 $T_B$ 给 $A_1$ 。否则按协议规则进行回答。

除以上询问外，其它情况和1)中相同。

假设 $A_1$ 能够 赢该游戏，则 $A_1$ 一定计算出了准确的 $Z_1$ 和 $Z_2$ 。C有 $\frac{1}{n_2}$ 的概率在 $L_{H_2}$ 中找到正确的元组。 $CDH\left(U,V\right)=Z_2$ 。

则 C 解决CDH问题的优势 $Ad{v}_C^{CDH}\ge \frac{1}{n_0{n}_1{n}_2}Ad{v}_{A_1}$ ，C以不可忽略的优势解决了CDH问题，这与CDH假设冲突。

引理2：由于CDH问题是困难问题，则本文协议在 $A_2$ 的攻击下是安全的。

证明：假设 $A_2$ 能 以不可忽略的优势 $Ad{v}_{A_2}$ 赢得2.3节中定义的游戏。那么挑战者C可以利用 $A_2$ 的能力解决CDH问题。

C随机选 $s\in Z_q^{*}$ ，设置 $sP$ 作为用户所在域(域A)的系统公钥，并发送s给 $A_2$ 。其它参数的设置和引理1的证明相同。

将敌手攻击的情况分为以下几种来讨论：

不知道用户的私有秘密值和域B的临时密钥。

Create(i)：C 维护一个初始为空的列表 $L_C$ ，其中存储的元组格式为，如果 $i=u$ ，C 随机选 $g_i,h_i\in Z_q^{*}$ ，计算 $G_i=g_{i}P$ ， $P_i=U$ ， $k_i=s+g_i{h}_i$ ，设置 $H_1\left(I{D}_i\parallel G_i\right)=h_i$ ，并在 $L_C$ 中存储 $\left(I{D}_i,k_i,G_i,\perp ,P_i\right)$ ，在 $L_{H_1}$ 中存储 $\left(I{D}_i,G_i,h_i\right)$ 。如果 $i\ne u$ ，随机选 $x_i,g_i,h_i\in Z_q^{*}$ ，计算 $G_i=g_{i}P$ ， $P_i=x_{i}P$ ， $k_i=s+g_i{h}_i$ ，设置 $H_1\left(I{D}_i\parallel G_i\right)=h_i$ ，并在 $L_C$ 中存储 $\left(I{D}_i,k_i,G_i,x_i,P_i\right)$ ，在 $L_{H_1}$ 中存储 $\left(I{D}_i,G_i,h_i\right)$ 。

$H_2\left(I{D}_i,T_i,T_B,Z_1,Z_2\right)$ 询问：C 维护一个初始为空的列表 $L_{H_2}$ ，其中存储的元组格式为 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ 。如果查询的元组在 $L_{H_2}$ 中，则返回 $sk$ 给 $$ 。否则按如下操作：

如果 $i=u$ ，C 在列表 $L_S$ 中找形如 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 的元祖，若找到，则计算

$\overline{Z_1}=Z_1-k_i\left(T_B+t_i{P}_{pu{b}_B}\right)$

$\overline{Z_2}=Z_2-k_i{t}_i{T}_B$

C检查分别输入 $\left(P_i,T_B+t_i{P}_{pu{b}_B},\overline{Z_1}\right)$ ， $\left(P_i,t_i{T}_B,\overline{Z_2}\right)$ ，DDH预言机是否输出1。如果 $Z_1$ 和 $Z_2$ 计算正确，在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ， $sk$ 为 $L_S$ 中的值。如果计算错误，则随机选 $sk\in K$ ，在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ，并返回 $sk$ 给 $A_2$ 。

如果 $i\ne u$ ，在列表 $L_S$ 中找形如 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 的元祖，若找到，则在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ， $sk$ 为 $L_S$ 中的值。否则随机选 $sk\in K$ ，在 $L_{H_2}$ 中存储 $\left(I{D}_i,T_i,T_B,Z_1,Z_2,sk\right)$ ，并返回 $sk$ 给 $A_2$ 。

RevealMasterKey：C把主私钥返回给 $A_2$ 。

RevealPartialPrivateKey(i)：C把部分私钥 $k_i$ 返回给 $A_2$ 。

RevealSecretValue(i)：如果 $i=u$ ，则停止模拟，否则C查找 $L_C$ 列表，若找到形如 $\left(I{D}_i,\ast ,\ast ,\ast ,\ast \right)$ 的元组，则返回 $x_i$ 给 $A_2$ 。否则执行Create(i)，返回 $x_i$ 给 $A_2$ 。

Send( ${\prod }_{i,j}^s$ ,m)：C维护一个初始为空的列表 $L_S$ ，记录的元组格式为 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 。

如果 ${\prod }_{i,j}^s={\prod }_{u,B}^t$ ，则返回 $T_B=V$ 给 $A_2$ 。

如果 $i=u$ ，C随机选择 $t_i\in Z_q^{*}$ ，并计算

$\overline{Z_1}=Z_1-k_i\left(T_B+t_i{P}_{pu{b}_B}\right)$

$\overline{Z_2}=Z_2-k_i{t}_i{T}_B$

C检查分别输入 $\left(P_i,T_B+t_i{P}_{pu{b}_B},\overline{Z_1}\right)$ ， $\left(P_i,t_i{T}_B,\overline{Z_2}\right)$ ，DDH预言机是否输出1。如果 $Z_1$ 和 $Z_2$ 计算正确，则在 $L_S$ 中记录 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ ， $sk$ 为 $L_{H_2}$ 中的值。否则，随机选 $sk\in K$ ，在 $L_S$ 中存储 $\left(I{D}_i,T_i,T_B,p{k}_i,sk\right)$ 。

如果 $i\ne u$ ，则按协议规则进行回答。

除以上询问外，其它情况和引理1的证明1)中相同。

假设 $A_2$ 能够 赢得该游戏，则 $A_2$ 一定计算出了准确的 $Z_1$ 和 $Z_2$ 。C有 $\frac{1}{n_2}$ 的概率在 $L_{H_2}$ 中找到正确的元组。C计算：

$\overline{Z_2}=Z_2-k_i{t}_i{T}_B=t_{i}CDH\left(U,V\right)$

$CDH\left(U,V\right)=t_i^{-1}\left(Z_2-k_i{t}_{i}V\right)$

则C解决CDH问题的优势 $Ad{v}_C^{CDH}\ge \frac{1}{n_0{n}_1{n}_2}Ad{v}_{A_2}$ ，C以不可忽略的优势解决了CDH问题，这与CDH假设冲突。

剩余情况和引理1类似。

由以上引理的证明，可知本文所提出的协议在eCK模型下是安全的。

4. 性能分析与比较

本文协议和文献 [8] [10] 的协议在构造上有差别，所以从方案的交互次数、加解密次数方面比较了这

三个方案。

和文献 [8] 和文献 [10] 相比，本文解决了密钥托管问题，而且交互次数和加解密次数都相应的减少。文献 [8] 基于零知识证明实现了方案的匿名性和可追踪性，但是缺乏对所提出方案详细的安全性证明。文献 [10] 所提出协议的参与方有四方，交互过于复杂，且对于方案的安全性也是给出了相应的分析缺乏详尽的证明。分析说明，本文的方案保证了安全性的同时，还降低了开销。

5. 结语

本文基于无证书提出了一个云计算下的跨域认证密钥交换协议。实现了用户的跨域认证，降低了服务器的压力，充分保证了用户的密钥安全，与同类协议相比(表1)，提高了认证和密钥协商的效率。

基金项目

国家自然科学基金(10007016201201)。

参考文献