一種可信云計(jì)算環(huán)境中無(wú)證書跨域認(rèn)證方法
【專利摘要】本發(fā)明涉及一種可信云計(jì)算環(huán)境下無(wú)證書跨域認(rèn)證的方法�。本方法將無(wú)證書公鑰密碼技術(shù)引入到跨域認(rèn)證中,在可信云計(jì)算中實(shí)現(xiàn)了可信跨域認(rèn)證��,屬于云計(jì)算安全【技術(shù)領(lǐng)域】�����。本發(fā)明采用無(wú)證書公鑰密碼系統(tǒng)��,解決了傳統(tǒng)數(shù)字證書認(rèn)證系統(tǒng)中的證書維護(hù)開(kāi)銷問(wèn)題和基于身份的公鑰密碼系統(tǒng)的私鑰托管的問(wèn)題���。在本發(fā)明中����,用戶公鑰基于身份生成���,用戶的私鑰由用戶和中心認(rèn)證服務(wù)器各自生成一部分����,本發(fā)明摒棄了證書系統(tǒng)���,減輕了認(rèn)證系統(tǒng)的開(kāi)銷��,同時(shí)保護(hù)了用戶私鑰�。無(wú)證書密碼系統(tǒng)采用雙線性對(duì)運(yùn)算,經(jīng)過(guò)證明基于雙線性對(duì)運(yùn)算的安全假設(shè)具有很高的安全性�����。本發(fā)明采用無(wú)證書公鑰密碼系統(tǒng)進(jìn)行身份認(rèn)證和會(huì)話密鑰的協(xié)商���,保證了系統(tǒng)具有較高的安全性。
【專利說(shuō)明】—種可信云計(jì)算環(huán)境中無(wú)證書跨域認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種可信云計(jì)算環(huán)境下無(wú)證書跨域認(rèn)證的方法��。本方法將無(wú)證書公鑰密碼技術(shù)引入到跨域認(rèn)證中��,在可信云計(jì)算中實(shí)現(xiàn)了可信跨域認(rèn)證�����,屬于云計(jì)算安全【技術(shù)領(lǐng)域】�����。
【背景技術(shù)】
[0002]自2006年谷歌公司提出“云計(jì)算”概念以來(lái)����,云計(jì)算越來(lái)越受到業(yè)界的關(guān)注,云計(jì)算廣義上就是基于“網(wǎng)絡(luò)就是計(jì)算機(jī)”的思想,將互聯(lián)網(wǎng)上的計(jì)算資源���、存儲(chǔ)資源整合在一起�,形成大規(guī)模的資源池���,使資源能夠通過(guò)簡(jiǎn)潔的管理或交互過(guò)程進(jìn)行快速地部署和釋放���,為遠(yuǎn)程計(jì)算機(jī)用戶提供相應(yīng)的服務(wù),實(shí)現(xiàn)資源的按需分配����。云計(jì)算已經(jīng)成為未來(lái)互聯(lián)網(wǎng)發(fā)展的一種趨勢(shì)。
[0003]隨著云計(jì)算技術(shù)的深入應(yīng)用�����,安全問(wèn)題已經(jīng)成為云計(jì)算發(fā)展面臨的最大問(wèn)題���,成為信息安全領(lǐng)域研究的熱點(diǎn)之一����。
[0004]可信計(jì)算的概念由可信計(jì)算組織(Trust Computing Group, TCG)提出���,主要手段是進(jìn)行身份確認(rèn)和使用加密等手段進(jìn)行存儲(chǔ)保護(hù)以及使用完整性度量機(jī)制進(jìn)行對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行完整性保護(hù)�����。云計(jì)算里的計(jì)算中心�����、數(shù)據(jù)中心�����、虛擬化等都依賴于各類計(jì)算機(jī)系統(tǒng)�,云計(jì)算的工作模式使得安全�����、可靠����、可信的問(wèn)題更加突出,因此云計(jì)算更需要計(jì)算機(jī)的安全可信��。只有確保云計(jì)算里計(jì)算機(jī)系統(tǒng)的安全可信�����,才能確保云計(jì)算的安全性,可信計(jì)算正在成為云計(jì)算的安全基礎(chǔ)�����。
[0005]而在可信云計(jì)算中����,不同的云服務(wù)會(huì)形成不同的可信域,每個(gè)可信域內(nèi)設(shè)置有認(rèn)證服務(wù)器對(duì)域內(nèi)資源進(jìn)行管理�,為訪問(wèn)資源的用戶提供可信認(rèn)證服務(wù),在云計(jì)算中����,用戶經(jīng)常會(huì)漫游到其他可信域中進(jìn)行云計(jì)算資源的訪問(wèn),這樣就會(huì)存在跨域認(rèn)證問(wèn)題��,因此有必要設(shè)計(jì)一種高效的可信云計(jì)算環(huán)境中的跨域認(rèn)證方法來(lái)實(shí)現(xiàn)用戶在不同云可信域中的自由訪問(wèn)�。
【發(fā)明內(nèi)容】
[0006](I)發(fā)明目的
[0007]本發(fā)明的目的是提出一種可信云計(jì)算環(huán)境中無(wú)證書跨域認(rèn)證的方法。它可用于解決可信云計(jì)算環(huán)境中用戶訪問(wèn)不同可信域中資源的跨域認(rèn)證的問(wèn)題���,該方法要實(shí)現(xiàn)認(rèn)證服務(wù)器對(duì)跨域用戶高效的可信認(rèn)證����,同時(shí)實(shí)現(xiàn)認(rèn)證服務(wù)器和跨域用戶會(huì)話密鑰的協(xié)商。
[0008](2)技術(shù)方案
[0009]為了達(dá)到上述目的����,本發(fā)明在可信網(wǎng)絡(luò)連接的基礎(chǔ)上結(jié)合無(wú)證書公鑰密碼技術(shù)開(kāi)展工作,其技術(shù)方案如下:
[0010]本發(fā)明����,一種可信云計(jì)算環(huán)境中無(wú)證書跨域認(rèn)證方法,包括3個(gè)可信域共4個(gè)實(shí)體��,如圖1所示��。認(rèn)證系統(tǒng)包括認(rèn)證服務(wù)器A��、認(rèn)證服務(wù)器B�����、中心認(rèn)證服務(wù)器S和用戶C�����,其中認(rèn)證服務(wù)器A和用戶C屬于可信域D0M1��,認(rèn)證服務(wù)器B屬于可信域D0M2�����,中心認(rèn)證服務(wù)器作為可信第三方獨(dú)立于DOMl和D0M2�。當(dāng)用戶C要訪問(wèn)D0M2中的服務(wù)時(shí),需要向D0M2中的認(rèn)證服務(wù)器B進(jìn)行可信跨域認(rèn)證�����。
[0011]本發(fā)明中采用無(wú)證書公鑰密碼體系�����,由中心認(rèn)證服務(wù)器掌管系統(tǒng)的私鑰���,并為認(rèn)證服務(wù)器A和認(rèn)證服務(wù)器B生成部分私鑰�,認(rèn)證服務(wù)器A和認(rèn)證服務(wù)器B自己選擇部分私鑰并生成公鑰��,并向系統(tǒng)公布公鑰����。用戶C對(duì)認(rèn)證服務(wù)器B的跨域認(rèn)證請(qǐng)求由中心認(rèn)證服務(wù)器傳遞給認(rèn)證服務(wù)器A,在傳遞過(guò)程中��,中心認(rèn)證服務(wù)器利用無(wú)證書公鑰密碼技術(shù)完成對(duì)認(rèn)證服務(wù)器A和認(rèn)證服務(wù)器B的身份認(rèn)證����,認(rèn)證服務(wù)器A完成對(duì)用戶C的可信認(rèn)證后將結(jié)果返回給中心認(rèn)證服務(wù)器�����,如果認(rèn)證通過(guò)���,由中心認(rèn)證服務(wù)器S向用戶C發(fā)送跨域認(rèn)證的部分私鑰,此時(shí)用戶C利用自己的私鑰和認(rèn)證服務(wù)器B的公鑰生成跨域訪問(wèn)的會(huì)話密鑰��,認(rèn)證服務(wù)器B同時(shí)利用自己的私鑰和用戶C的公鑰生成與用戶C 一致的會(huì)話密鑰���,完成整個(gè)跨域認(rèn)證過(guò)程����。
[0012]以下將結(jié)合附圖對(duì)所述的可信云計(jì)算環(huán)境中無(wú)證書跨域認(rèn)證方法進(jìn)行具體闡述���,圖1為整個(gè)跨域認(rèn)證的系統(tǒng)結(jié)構(gòu)圖,圖2為跨域認(rèn)證的流程圖����。
[0013]如圖2所示,本方法共包含7個(gè)步驟����,分為4個(gè)階段�,分別為:跨域認(rèn)證請(qǐng)求階段�、請(qǐng)求轉(zhuǎn)發(fā)階段、用戶可信認(rèn)證階段��、跨域認(rèn)證密鑰分發(fā)階段�。
[0014]1.一種可信云計(jì)算環(huán)境中無(wú)證書跨域認(rèn)證方法,其特征在于:
[0015]認(rèn)證系統(tǒng)包括認(rèn)證服務(wù)器A�����、認(rèn)證服務(wù)器B�、中心認(rèn)證服務(wù)器S和用戶C,其中認(rèn)證服務(wù)器A和用戶C屬于可信域DOMl���,認(rèn)證服務(wù)器B屬于可信域D0M2���,中心認(rèn)證服務(wù)器作為可信第三方獨(dú)立于DOMl和D0M2 ;
[0016]分為4個(gè)階段�,分別為:跨域認(rèn)證請(qǐng)求階段、請(qǐng)求轉(zhuǎn)發(fā)階段���、用戶可信認(rèn)證階段�����、跨域認(rèn)證密鑰分發(fā)階段�����;
[0017]階段1:跨域認(rèn)證請(qǐng)求階段:可信域DOMl中的用戶C向可信域D0M2中的認(rèn)證服務(wù)器B發(fā)起跨域認(rèn)證請(qǐng)求����,包括用戶C的唯一身份ID。����、用戶C的隨機(jī)挑戰(zhàn)N。��、用戶C的公鑰P人用戶C選擇的臨時(shí)公鑰T����。進(jìn)入階段2;
[0018]階段2:請(qǐng)求轉(zhuǎn)發(fā)階段:認(rèn)證服務(wù)器B首先檢查用戶的ID,啟動(dòng)跨域認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)過(guò)程�;認(rèn)證服務(wù)器B將用戶C的唯一身份ID。����、用戶C的隨機(jī)挑戰(zhàn)N。���、認(rèn)證服務(wù)器B的挑戰(zhàn)
Nb���、認(rèn)證服務(wù)器B選擇的臨時(shí)公鑰TB、認(rèn)證服務(wù)器B的公鑰P各構(gòu)造跨域認(rèn)證請(qǐng)求,并
對(duì)進(jìn)行簽名����,然后轉(zhuǎn)發(fā)至中心認(rèn)證服務(wù)器S ;中心認(rèn)證服務(wù)器S收到認(rèn)證請(qǐng)求包后,首
先檢查B的簽名���,檢查通過(guò)以后����,中心認(rèn)證服務(wù)器S將跨域認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器A����,認(rèn)證請(qǐng)求中包含中心認(rèn)證服務(wù)器的挑戰(zhàn),請(qǐng)求轉(zhuǎn)發(fā)階段結(jié)束�,進(jìn)入階段3 ;
[0019]階段3:用戶可信認(rèn)證階段:認(rèn)證服務(wù)器A收到中心認(rèn)證服務(wù)器S發(fā)送的認(rèn)證請(qǐng)求后����,啟動(dòng)對(duì)用戶C的可信認(rèn)證�����,可信認(rèn)證過(guò)程遵循可信網(wǎng)絡(luò)連接TNC協(xié)議��,在可信網(wǎng)絡(luò)連接中認(rèn)證服務(wù)器A完成對(duì)用戶C的身份認(rèn)證���、用戶認(rèn)證和完整性認(rèn)證;認(rèn)證成功后�����,認(rèn)證服務(wù)器A將認(rèn)證結(jié)果resp��、用戶C的隨機(jī)挑戰(zhàn)N��。和中心認(rèn)證服務(wù)器S的Ns進(jìn)行簽名發(fā)送給中心認(rèn)證服務(wù)器S �;
[0020]階段4:跨域認(rèn)證密鑰分發(fā)階段:中心認(rèn)證服務(wù)器S首先對(duì)比由認(rèn)證服務(wù)器A轉(zhuǎn)發(fā)的用戶C進(jìn)行跨域訪問(wèn)的隨機(jī)挑戰(zhàn)和由認(rèn)證服務(wù)器B轉(zhuǎn)發(fā)的用戶C進(jìn)行跨域訪問(wèn)的隨機(jī)挑戰(zhàn)是否一致,對(duì)比認(rèn)證服務(wù)器A簽名的Ns和生成的Ns是否一致�,然后根據(jù)可信認(rèn)證結(jié)果resp,為用戶C生成部分私鑰D。��,連同認(rèn)證服務(wù)器B的挑戰(zhàn)Nb�、認(rèn)證服務(wù)器B選擇的臨時(shí)公鑰TB���、認(rèn)證服務(wù)器B的公鑰P #加密轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器A,認(rèn)證服務(wù)器A收到后進(jìn)行解密�����;
[0021]認(rèn)證服務(wù)器A收到后進(jìn)行解密然后將解密結(jié)果傳送給用戶C ;最后��,用戶C利用自己的私鑰Dc和認(rèn)證服務(wù)器B的公鑰P泰生成跨域資源訪問(wèn)的會(huì)話密鑰��,認(rèn)證服務(wù)器B利用自己的私鑰和用戶C的公鑰P S生成與用戶C生成的會(huì)話密鑰一致的密鑰�,至此用戶C完成了跨域的可信認(rèn)證和跨域資源訪問(wèn)會(huì)話密鑰的協(xié)商���。
[0022](3)優(yōu)點(diǎn)及功效
[0023]本發(fā)明是可信云計(jì)算環(huán)境中的無(wú)證書跨域認(rèn)證方法�,其優(yōu)點(diǎn)和功效是:1)采用無(wú)證書公鑰密碼系統(tǒng)����,解決了傳統(tǒng)數(shù)字證書認(rèn)證系統(tǒng)中的的證書維護(hù)開(kāi)銷問(wèn)題和基于身份的公鑰密碼系統(tǒng)的私鑰托管的問(wèn)題。在本發(fā)明中����,用戶公鑰基于身份生成,用戶的私鑰由用戶和中心認(rèn)證服務(wù)器各自生成一部分��,本發(fā)明摒棄了證書系統(tǒng),減輕了認(rèn)證系統(tǒng)的開(kāi)銷��,同時(shí)保護(hù)了用戶私鑰����。2)安全性高,無(wú)證書密碼系統(tǒng)采用雙線性對(duì)運(yùn)算���,經(jīng)過(guò)證明基于雙線性對(duì)運(yùn)算的安全假設(shè)具有很高的安全性����。本發(fā)明采用無(wú)證書公鑰密碼系統(tǒng)進(jìn)行身份認(rèn)證和會(huì)話密鑰的協(xié)商���,保證了系統(tǒng)具有較高的安全性��。
【專利附圖】
【附圖說(shuō)明】
[0024]圖1跨域認(rèn)證系統(tǒng)結(jié)構(gòu)圖���。
[0025]圖2跨域認(rèn)證流程圖。
[0026]圖中主要符號(hào)和標(biāo)記說(shuō)明如下表�����。
[0027]表1符號(hào)含義對(duì)照表
【權(quán)利要求】
1.一種可信云計(jì)算環(huán)境中無(wú)證書跨域認(rèn)證方法���,其特征在于: 認(rèn)證系統(tǒng)包括認(rèn)證服務(wù)器A����、認(rèn)證服務(wù)器B、中心認(rèn)證服務(wù)器S和用戶C��,其中認(rèn)證服務(wù)器A和用戶C屬于可信域DOMl�,認(rèn)證服務(wù)器B屬于可信域D0M2�,中心認(rèn)證服務(wù)器作為可信第三方獨(dú)立于DOMl和D0M2 ; 分為4個(gè)階段�����,分別為:跨域認(rèn)證請(qǐng)求階段����、請(qǐng)求轉(zhuǎn)發(fā)階段、用戶可信認(rèn)證階段�����、跨域認(rèn)證密鑰分發(fā)階段��; 階段1:跨域認(rèn)證請(qǐng)求階段:可信域DOMl中的用戶C向可信域D0M2中的認(rèn)證服務(wù)器B發(fā)起跨域認(rèn)證請(qǐng)求���,包括用戶C的唯一身份ID�。、用戶C的隨機(jī)挑戰(zhàn)N��。��、用戶C的公鑰P S���、用戶C選擇的臨時(shí)公鑰Tc進(jìn)入階段2 �����; 階段2:請(qǐng)求轉(zhuǎn)發(fā)階段:認(rèn)證服務(wù)器B首先檢查用戶的ID�,啟動(dòng)跨域認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)過(guò)程�;認(rèn)證服務(wù)器B將用戶C的唯一身份ID。���、用戶C的隨機(jī)挑戰(zhàn)N�。�����、認(rèn)證服務(wù)器B的挑戰(zhàn)Nb��、認(rèn)證服務(wù)器B選擇的臨時(shí)公鑰TB、認(rèn)證服務(wù)器B的公鑰P #構(gòu)造跨域認(rèn)證請(qǐng)求風(fēng)'�����,并對(duì) 進(jìn)行簽名��,然后轉(zhuǎn)發(fā)至中心認(rèn)證服務(wù)器S ;中心認(rèn)證服務(wù)器S收到認(rèn)證請(qǐng)求包后��,首先檢查B的簽名��,檢查通過(guò)以后��,中心認(rèn)證服務(wù)器S將跨域認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)至認(rèn)證服務(wù)器A����,認(rèn)證請(qǐng)求中包含中心認(rèn)證服務(wù)器的挑戰(zhàn)���,請(qǐng)求轉(zhuǎn)發(fā)階段結(jié)束���,進(jìn)入階段3 ; 階段3:用戶可信認(rèn)證階段:認(rèn)證服務(wù)器A收到中心認(rèn)證服務(wù)器S發(fā)送的認(rèn)證請(qǐng)求后��,啟動(dòng)對(duì)用戶C的可信認(rèn)證�,可信認(rèn)證過(guò)程遵循可信網(wǎng)絡(luò)連接TNC協(xié)議���,在可信網(wǎng)絡(luò)連接中認(rèn)證服務(wù)器A完成對(duì)用戶C的身份認(rèn)證、用戶認(rèn)證和完整性認(rèn)證�����;認(rèn)證成功后���,認(rèn)證服務(wù)器A將認(rèn)證結(jié)果resp��、用戶C的隨機(jī)挑戰(zhàn)N�����。和中心認(rèn)證服務(wù)器S的Ns進(jìn)行簽名發(fā)送給中心認(rèn)證服務(wù)器S ���; 階段4:跨域認(rèn)證密鑰分發(fā)階段:中心認(rèn)證服務(wù)器S首先對(duì)比由認(rèn)證服務(wù)器A轉(zhuǎn)發(fā)的用戶C進(jìn)行跨域訪問(wèn)的隨機(jī)挑戰(zhàn)和由認(rèn)證服務(wù)器B轉(zhuǎn)發(fā)的用戶C進(jìn)行跨域訪問(wèn)的隨機(jī)挑戰(zhàn)是否一致,對(duì)比認(rèn)證服務(wù)器A簽名的Ns和生成的Ns是否一致��,然后根據(jù)可信認(rèn)證結(jié)果resp����,為用戶C生成部分私鑰D。,連同認(rèn)證服務(wù)器B的挑戰(zhàn)Nb���、認(rèn)證服務(wù)器B選擇的臨時(shí)公鑰TB���、認(rèn)證服務(wù)器B的公鑰P本加密轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器A,認(rèn)證服務(wù)器A收到后進(jìn)行解密���; 認(rèn)證服務(wù)器A收到后進(jìn)行解密然后將解密結(jié)果傳送給用戶C ;最后��,用戶C利用自己的私鑰Dc和認(rèn)證服務(wù)器B的公鑰P #生成跨域資源訪問(wèn)的會(huì)話密鑰���,認(rèn)證服務(wù)器B利用自己的私鑰和用戶C的公鑰P表生成與用戶C生成的會(huì)話密鑰一致的密鑰,至此用戶C完成了跨域的可信認(rèn)證和跨域資源訪問(wèn)會(huì)話密鑰的協(xié)商�。
【文檔編號(hào)】H04L9/08GK103546567SQ201310518309
【公開(kāi)日】2014年1月29日 申請(qǐng)日期:2013年10月28日 優(yōu)先權(quán)日:2013年10月28日
【發(fā)明者】趙朋川, 曾穎明, 陳志浩, 李紅, 王斌 申請(qǐng)人:中國(guó)航天科工集團(tuán)第二研究院七〇六所, 北京航天愛(ài)威電子技術(shù)有限公司