一種云計(jì)算網(wǎng)絡(luò)中的登錄驗(yàn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計(jì)算����,特別涉及一種云計(jì)算網(wǎng)絡(luò)中的登錄驗(yàn)證方法。
【背景技術(shù)】
[0002]云計(jì)算中龐大的數(shù)據(jù)交易和各類(lèi)信息服務(wù)的背后卻隱藏著雜亂繁多的賬戶(hù)管理問(wèn)題����,使得數(shù)字身份無(wú)疑成為了關(guān)注焦點(diǎn)。近年來(lái)因?yàn)閿?shù)字身份泄露造成的侵犯?jìng)€(gè)人隱私案件時(shí)有發(fā)生�����。為了在云之間資源能安全共享�,云彼此身份的合法性自然也成為重要的關(guān)注點(diǎn)。身份認(rèn)證作為信息安全的守衛(wèi)��,是云安全措施不可或缺的環(huán)節(jié)����。
[0003]為了實(shí)現(xiàn)通用登錄,很多機(jī)制也在開(kāi)發(fā)和使用當(dāng)中���。其中一些是針對(duì)合作網(wǎng)站之間安全交換信息認(rèn)證和授權(quán)而開(kāi)發(fā)的框架或協(xié)議���,而另一些則是橫跨網(wǎng)站�、應(yīng)用程序和設(shè)備而搭建的�����,將身份以及關(guān)系信息融為一體的構(gòu)架��,但現(xiàn)有以上架構(gòu)構(gòu)造信任的高額成本和作為身份提供者的可信第三方可能存在單點(diǎn)失效問(wèn)題�����。
【發(fā)明內(nèi)容】
[0004]為解決上述現(xiàn)有技術(shù)所存在的問(wèn)題����,本發(fā)明提出了一種云計(jì)算網(wǎng)絡(luò)中的登錄驗(yàn)證方法,包括:
[0005]對(duì)終端用戶(hù)的虛擬賬戶(hù)進(jìn)行數(shù)字簽名��,將簽名保存在云平臺(tái)認(rèn)證模塊中的虛擬身份庫(kù)���;
[0006]將終端用戶(hù)的個(gè)人屬性信息用密鑰數(shù)據(jù)庫(kù)提供的屬性加密私鑰進(jìn)行加密�����,將加密后的屬性信息保存在云平臺(tái)認(rèn)證模塊中的屬性庫(kù)��;
[0007]云平臺(tái)認(rèn)證模塊中的認(rèn)證執(zhí)行單元利用所述簽名和加密后的屬性信息構(gòu)建認(rèn)證數(shù)據(jù)集���;
[0008]認(rèn)證執(zhí)行單元基于所述認(rèn)證數(shù)據(jù)集對(duì)私有云和終端用戶(hù)進(jìn)行雙向認(rèn)證。
[0009]優(yōu)選地��,所述虛擬身份庫(kù)中包括簽名密鑰���,簽名密鑰里存儲(chǔ)對(duì)用戶(hù)的虛擬賬戶(hù)VID進(jìn)行簽名保護(hù)的數(shù)字簽名Sg���,Sg被發(fā)送到認(rèn)證執(zhí)行單元中去組建認(rèn)證數(shù)據(jù)集,認(rèn)證過(guò)程結(jié)束后��,云平臺(tái)服務(wù)器將得到并選擇保存Sg����,當(dāng)下一次被請(qǐng)求服務(wù)時(shí),云平臺(tái)服務(wù)器把解密元數(shù)據(jù)得到的值跟之前存儲(chǔ)的Sg對(duì)比���,終端用戶(hù)只用Sg作為條件進(jìn)行元數(shù)據(jù)認(rèn)證��。
[0010]優(yōu)選地�����,所述屬性庫(kù)在認(rèn)證初始化過(guò)程中將加密后的用戶(hù)屬性信息EAT發(fā)送給認(rèn)證執(zhí)行單元打包生成認(rèn)證數(shù)據(jù)集��,在認(rèn)證過(guò)程中����,若云平臺(tái)服務(wù)器需要查看用戶(hù)的屬性信息ATT,則首先使用屬性加密公鑰AKpu解密獲取屬性信息�,用戶(hù)請(qǐng)求新的服務(wù)時(shí),通過(guò)屬性庫(kù)更新或是修改自己的屬性信息��。
[0011]優(yōu)選地����,所述認(rèn)證執(zhí)行單元生成認(rèn)證的元數(shù)據(jù)描述令牌和認(rèn)證數(shù)據(jù)集;認(rèn)證階段���,認(rèn)證執(zhí)行單元首先得到云平臺(tái)服務(wù)器發(fā)送的服務(wù)器令牌��,然后調(diào)用虛擬機(jī)中的查詢(xún)算法描述元數(shù)據(jù)令牌的有效性來(lái)認(rèn)證云平臺(tái)服務(wù)器是否合法�����,然后認(rèn)證執(zhí)行單元還會(huì)利用得到的服務(wù)器ID及其他安全參數(shù)等為用戶(hù)生成自己的元數(shù)據(jù)描述令牌�����,讓云平臺(tái)服務(wù)器完成對(duì)用戶(hù)的身份認(rèn)證�����;
[0012]所述認(rèn)證數(shù)據(jù)集由五部分構(gòu)成:加密的屬性信息EAT����、簽名的虛擬賬戶(hù)Sg��、保密策略���、屬性加密公鑰AKpu和基于虛擬機(jī)的信息摘要��,所述保密策略中包括了認(rèn)證數(shù)據(jù)集在到達(dá)云平臺(tái)服務(wù)器后��,啟用前后的一系列保密策略�,通過(guò)虛擬機(jī)實(shí)施這些策略����,完成認(rèn)證,在整個(gè)認(rèn)證數(shù)據(jù)集打包后�,用云平臺(tái)服務(wù)器的公鑰加密。
[0013]優(yōu)選地�,所述保密策略保存在策略執(zhí)行單元,所述策略包括完整性自檢�����、自刪除、生命周期���、審計(jì)和日志�,當(dāng)數(shù)據(jù)集到達(dá)云平臺(tái)服務(wù)器時(shí)�,啟用完整性自檢,成功通過(guò)后才能啟用認(rèn)證模塊��,自刪除機(jī)制包括:當(dāng)發(fā)現(xiàn)威脅或是惡意破壞的跡象�����,立即通過(guò)虛擬機(jī)啟動(dòng)自刪除所有數(shù)據(jù)��;或是在認(rèn)證過(guò)程中���,對(duì)于云平臺(tái)服務(wù)器沒(méi)有請(qǐng)求的屬性信息��,視為多余隱私信息而消除掉��,生命周期管理��,制定了虛擬賬戶(hù)的生成��、配置�、管理和撤消回收。
[0014]本發(fā)明相比現(xiàn)有技術(shù)��,具有以下優(yōu)點(diǎn):
[0015]本發(fā)明提出了一種云計(jì)算網(wǎng)絡(luò)中的登錄驗(yàn)證方法���,不需要可信第三方,用戶(hù)和服務(wù)器之間彼此進(jìn)行不公開(kāi)的認(rèn)證��,不需要暴露隱私屬性信息��,防止信息的泄露或篡改�。
【附圖說(shuō)明】
[0016]圖1是根據(jù)本發(fā)明實(shí)施例的云計(jì)算網(wǎng)絡(luò)中的登錄驗(yàn)證方法的流程圖。
【具體實(shí)施方式】
[0017]下文與圖示本發(fā)明原理的附圖一起提供對(duì)本發(fā)明一個(gè)或者多個(gè)實(shí)施例的詳細(xì)描述���。結(jié)合這樣的實(shí)施例描述本發(fā)明��,但是本發(fā)明不限于任何實(shí)施例���。本發(fā)明的范圍僅由權(quán)利要求書(shū)限定,并且本發(fā)明涵蓋諸多替代����、修改和等同物�����。在下文描述中闡述諸多具體細(xì)節(jié)以便提供對(duì)本發(fā)明的透徹理解����。出于示例的目的而提供這些細(xì)節(jié)����,并且無(wú)這些具體細(xì)節(jié)中的一些或者所有細(xì)節(jié)也可以根據(jù)權(quán)利要求書(shū)實(shí)現(xiàn)本發(fā)明。
[0018]本發(fā)明的一方面提供了一種云計(jì)算網(wǎng)絡(luò)中的登錄驗(yàn)證方法���。圖1是根據(jù)本發(fā)明實(shí)施例的云計(jì)算網(wǎng)絡(luò)中的登錄驗(yàn)證方法流程圖��。本發(fā)明通過(guò)匿私有云身份認(rèn)證方案���,可以被嵌入如智能卡等微型硬件中,終端用戶(hù)獲得合法使用權(quán)后通過(guò)各種移動(dòng)設(shè)備來(lái)請(qǐng)求服務(wù)����。終端用戶(hù)不用擔(dān)心自己身份隱私問(wèn)題,同時(shí)降低網(wǎng)絡(luò)負(fù)載���,克服網(wǎng)絡(luò)延遲��。
[0019]云身份認(rèn)證空間參與的角色包含:私有云平臺(tái)服務(wù)器�、云終端用戶(hù)和云平臺(tái)認(rèn)證模塊。而云平臺(tái)認(rèn)證模塊包含了以下六個(gè)部分�����。
[0020]虛擬身份庫(kù):虛擬身份庫(kù)中包括簽名密鑰���。簽名密鑰里存儲(chǔ)對(duì)用戶(hù)的虛擬賬戶(hù)VID進(jìn)行簽名保護(hù)的數(shù)字簽名Sg��,Sg被發(fā)送到認(rèn)證執(zhí)行單元中去組建認(rèn)證數(shù)據(jù)集。認(rèn)證過(guò)程結(jié)束后��,云平臺(tái)服務(wù)器將得到并選擇保存Sg�。當(dāng)下一次被請(qǐng)求服務(wù)時(shí),即使云平臺(tái)服務(wù)器有認(rèn)證屬性的需求���,終端用戶(hù)只需用Sg作為條件進(jìn)行元數(shù)據(jù)認(rèn)證��,云平臺(tái)服務(wù)器把解密元數(shù)據(jù)得到的值跟之前存儲(chǔ)的Sg對(duì)比就能完成認(rèn)證了�。這樣即提高了認(rèn)證效率也減少了暴露隱私信息的次數(shù)���。
[0021]屬性庫(kù):屬性庫(kù)用于將用戶(hù)的個(gè)人隱私屬性信息收集起來(lái)并用密鑰數(shù)據(jù)庫(kù)提供的屬性加密私鑰AKpr加密�����,生成密文EAT保存其中�����,如:Email地址��、電話號(hào)碼���。認(rèn)證初始化過(guò)程中屬性庫(kù)將EAT發(fā)送給認(rèn)證執(zhí)行單元打包生成認(rèn)證數(shù)據(jù)集��。在認(rèn)證過(guò)程中��,如若云平臺(tái)服務(wù)器需要查看用戶(hù)的屬性信息ATT�����,則首先使用屬性加密公鑰AKpu解密獲取屬性信息��。值得注意的是����,用戶(hù)可以選擇提供給屬性庫(kù)全部或部分個(gè)人隱私信息,而不是由屬性庫(kù)自動(dòng)搜索用戶(hù)所擁有的所有屬性�����,這樣給了用戶(hù)更多權(quán)力來(lái)掌控自己的隱私��。而且��,由于云環(huán)境的動(dòng)態(tài)特性����,用戶(hù)信息也可能變化,所以用戶(hù)想請(qǐng)求新的服務(wù)時(shí)����,需要添加新的屬性信息�����,這時(shí)可以通過(guò)屬性庫(kù)更新或是修改自己的屬性信息���。
[0022]認(rèn)證執(zhí)行單元:認(rèn)證執(zhí)行單元的職責(zé)是生成非公開(kāi)認(rèn)證的元數(shù)據(jù)描述令牌和認(rèn)證數(shù)據(jù)集�。認(rèn)證階段首先認(rèn)證執(zhí)行單元首先會(huì)得到云平臺(tái)服務(wù)器發(fā)送的服務(wù)器令牌�����,然后調(diào)用虛擬機(jī)中的查詢(xún)算法描述元數(shù)據(jù)令牌的有效性來(lái)認(rèn)證云平臺(tái)服務(wù)器是否合法。然后認(rèn)證執(zhí)行單元還會(huì)利用得到的服務(wù)器ID及其他安全參數(shù)等為用戶(hù)生成自己的元數(shù)據(jù)描述令牌UTKf���,讓云平臺(tái)服務(wù)器完成對(duì)用戶(hù)的身份匿名認(rèn)證�����。認(rèn)證執(zhí)行單元還負(fù)責(zé)生成屬性認(rèn)證所需的認(rèn)證數(shù)據(jù)集�����。
[0023]認(rèn)證數(shù)據(jù)集由五部分構(gòu)成:加密的屬性信息EAT�����、簽名的虛擬賬戶(hù)Sg�����、保密策略����、屬性加密公鑰AKpu和基于虛擬機(jī)的信息摘要(包含認(rèn)證過(guò)程所必需的執(zhí)行代碼和算法)����。保密策略中包括了認(rèn)證數(shù)據(jù)集在到達(dá)云平臺(tái)服務(wù)器后��,啟用前后的一系列保密策略��,通過(guò)虛擬機(jī)實(shí)施這些策略���,完成認(rèn)證。整個(gè)認(rèn)證數(shù)據(jù)集打包后用云平臺(tái)服務(wù)器的公鑰加密�����,又添加了一道安全防線�����。
[0024]策略執(zhí)行單元:包括了各種保密策略和機(jī)制�,如:完整性自檢、自刪除��、生命周期�、審計(jì)和日志等���,還可以根據(jù)用戶(hù)應(yīng)用需求添加的策略來(lái)加強(qiáng)認(rèn)證安全�����。其中完整性自檢策略規(guī)定了定期檢查自我數(shù)據(jù)的完整性��,確保數(shù)據(jù)沒(méi)有被惡意篡改或破壞�。當(dāng)數(shù)據(jù)集到達(dá)云平臺(tái)服務(wù)器時(shí),也會(huì)啟用完整性自檢�����,成功通過(guò)后才能啟用認(rèn)證模塊��。自刪除機(jī)制則包括兩種形式:
[0025]當(dāng)發(fā)現(xiàn)威脅或是惡意破壞的跡象���,立即通過(guò)虛擬機(jī)啟動(dòng)自刪除所有數(shù)據(jù)�,以防隱私信息被竊或是篡改����。或是認(rèn)證過(guò)程中��,對(duì)于云平臺(tái)服務(wù)器沒(méi)有請(qǐng)求的屬性信息��,視為多余隱私信息,把這部分信息消除掉����,以防隱私安全問(wèn)題。而生命周期管理��,制定了 VID的生成����、配置、管理和撤消回收等�����。日志和審計(jì)制度則記錄認(rèn)證模塊運(yùn)行的情況�����,及時(shí)獲得危險(xiǎn)警告或故障通知等�,以便描述或是事故處理。
[0026]虛擬機(jī):系統(tǒng)中(包括認(rèn)證模塊和云平臺(tái)服務(wù)器端)的虛擬機(jī)是一個(gè)執(zhí)行代碼的容器���,含操作系統(tǒng)和一些基礎(chǔ)的系統(tǒng)代碼��,同時(shí)裝載了加解密�����、查詢(xún)等算法和程序����,用于加強(qiáng)實(shí)施保密策略����,和執(zhí)行其他組件的任務(wù)。發(fā)送給云平臺(tái)服務(wù)器的認(rèn)證數(shù)據(jù)集和元數(shù)據(jù)數(shù)據(jù)庫(kù)都會(huì)分配虛擬機(jī)信息摘要���,包含了執(zhí)行屬性認(rèn)證和匿名認(rèn)證過(guò)程所需的算法和代碼����,來(lái)完成整個(gè)認(rèn)證過(guò)程�。
[0027]密鑰數(shù)據(jù)庫(kù):存儲(chǔ)著供加解密屬性信息的密鑰,和認(rèn)證中元數(shù)據(jù)加密過(guò)程生成的密鑰�。
[0028]雙向云身份認(rèn)證包含兩大機(jī)制:匿名認(rèn)證和屬性認(rèn)證。首先介紹這兩個(gè)機(jī)制的認(rèn)證細(xì)節(jié)�,然后分析具體場(chǎng)景下整個(gè)認(rèn)證流程。
[0029]屬性認(rèn)證:
[0030]I)認(rèn)證數(shù)據(jù)集生成階段
[0031]屬性庫(kù)根據(jù)云平臺(tái)服務(wù)器請(qǐng)求的屬性聲明來(lái)收集用戶(hù)對(duì)應(yīng)的屬性信息�。然后利用密鑰數(shù)據(jù)庫(kù)提供的屬性加密私鑰AKpr,調(diào)用虛擬機(jī)執(zhí)行非對(duì)稱(chēng)加密過(guò)程�,生成EAT。如果云平臺(tái)服務(wù)器沒(méi)有發(fā)送明確的屬性請(qǐng)求,則將用戶(hù)允許的所有屬性信息加密���,發(fā)送到認(rèn)證執(zhí)行單元����。策略執(zhí)行單元選取相應(yīng)保密策略�����,如:完整性自檢�、自刪除策略等。認(rèn)證執(zhí)行單元將EAT�����、保密策略����、AKpu、Sg和虛擬機(jī)信息摘要五個(gè)部分一起用云平臺(tái)服務(wù)器提供的公鑰SKPu打包�����,生成認(rèn)證數(shù)據(jù)集����,并通過(guò)安全通道傳輸給云平臺(tái)服務(wù)器��。
[0032]2)認(rèn)證數(shù)據(jù)集啟用階段
[0033]云平臺(tái)服務(wù)器獲得認(rèn)證數(shù)據(jù)集后��,輸入云平臺(tái)服務(wù)器提供的私鑰SKPr和解密過(guò)程,虛