服務(wù)器獲得認(rèn)證數(shù)據(jù)集后���,輸入云平臺(tái)服務(wù)器提供的私鑰SKPr和解密過程��,虛擬機(jī)執(zhí)行解密操作��。成功解密后����,認(rèn)證數(shù)據(jù)集啟動(dòng)完整性自檢,將計(jì)算出的值與之前已經(jīng)保存在保密策略中的值對(duì)比����,符合則啟用認(rèn)證數(shù)據(jù)集。如果完整性自檢失敗����,則啟用自我保護(hù)策略的完全刪除策略,終斷認(rèn)證���。
[0034]3)認(rèn)證數(shù)據(jù)集認(rèn)證階段
[0035]云平臺(tái)服務(wù)器對(duì)用戶的認(rèn)證通過后��,如果云平臺(tái)服務(wù)器無需查看用戶屬性信息���,根據(jù)具體保密策略立即刪除EAT�����,并將Sg作為簽名交給云平臺(tái)服務(wù)器保存���,云平臺(tái)服務(wù)器返回接收信息給認(rèn)證模塊�����,表示允許使用服務(wù)���。當(dāng)用戶再次請(qǐng)求該相同的服務(wù)時(shí)���,云平臺(tái)服務(wù)器只需要返回簽名Sg,認(rèn)證模塊驗(yàn)證簽名即可表示認(rèn)證該云平臺(tái)服務(wù)器�。若云平臺(tái)服務(wù)器需要繼續(xù)查看用戶的屬性信息,輸入私鑰SKpr到虛擬機(jī)�,解密EAT。保密策略中會(huì)根據(jù)情況將多余的信息刪除���。云平臺(tái)服務(wù)器得到信息后進(jìn)一步認(rèn)證�。認(rèn)證通過后發(fā)送接收信息給認(rèn)證模塊��,如果沒有通過則返回拒絕信息��。
[0036]匿名認(rèn)證:
[0037]本方案��,在兩個(gè)階段運(yùn)用了前面介紹的兩種不同的元數(shù)據(jù)加密概念�����,首先實(shí)現(xiàn)云平臺(tái)服務(wù)器向用戶進(jìn)行匿名認(rèn)證,然后完成認(rèn)證模塊向云平臺(tái)服務(wù)器認(rèn)證用戶的合法身份���。
[0038]第一階段:云平臺(tái)服務(wù)器向用戶進(jìn)行認(rèn)證
[0039]云平臺(tái)服務(wù)器首先生成一對(duì)密鑰SPK����,SMK ;然后加密公鑰和自己的ID生成密文SCT ;接著把密鑰對(duì)SPK���、SMK和元數(shù)據(jù)描述函數(shù)f作為輸入項(xiàng)�����,生成元數(shù)據(jù)描述令牌�����。
[0040]當(dāng)認(rèn)證模塊得到令牌和SPK����、SCT后���,虛擬機(jī)調(diào)用查詢算法輸出元數(shù)據(jù)描述結(jié)果布爾值。如果為真,則表示云平臺(tái)服務(wù)器為所請(qǐng)求的服務(wù)器���,進(jìn)行下一步通信�,否則��,用戶立即停止通信���,以防釣魚網(wǎng)站或其他虛假服務(wù)器帶來的安全威脅����。
[0041]第二階段:認(rèn)證模塊向云平臺(tái)服務(wù)器證明用戶身份
[0042]同理����,該階段加密時(shí)輸入的參數(shù)增加了云平臺(tái)服務(wù)器聲明的屬性條件I。不同之處在于�,當(dāng)認(rèn)證模塊在云平臺(tái)服務(wù)器端被啟用后,云平臺(tái)服務(wù)器將得到密文UCT和UCKdtS兩個(gè)輸入?yún)?shù)�,調(diào)用解密過程進(jìn)行解密計(jì)算。如果得到用戶自己的ID值�,則表明認(rèn)證模塊的擁有者是合法的;如果得到空字符���,則拒絕提供服務(wù)����。當(dāng)用戶向某云平臺(tái)服務(wù)器再次請(qǐng)求服務(wù)時(shí),可以選擇在第二步的加密過程中使用Sg替代服務(wù)器的ID��。這樣��,云平臺(tái)服務(wù)器解密UTKf后����,把結(jié)果值與之前保存的Sg進(jìn)行對(duì)比,如果一致則可以判定請(qǐng)求者是合法的�。
[0043]此外,若終端用戶是請(qǐng)求擴(kuò)充資源的另一個(gè)私有云PC�,則請(qǐng)求云服務(wù)的身份認(rèn)證全過程具體步驟如下:
[0044]Stepl:PC向云平臺(tái)服務(wù)器請(qǐng)求服務(wù)。
[0045]St印2:云平臺(tái)服務(wù)器通過元數(shù)據(jù)加密過程���,把密鑰對(duì)SPK���、SMK和元數(shù)據(jù)描述函數(shù)f作為輸入項(xiàng),生成元數(shù)據(jù)描述令牌���,用于認(rèn)證���。云平臺(tái)服務(wù)器將服務(wù)器令牌�����、公鑰SKpu,生成認(rèn)證數(shù)據(jù)集一起發(fā)送給PC��。
[0046]Step3:PC接受到認(rèn)證數(shù)據(jù)集后�,傳送給認(rèn)證模塊,認(rèn)證執(zhí)行單元首先進(jìn)行元數(shù)據(jù)描述��,判定云平臺(tái)服務(wù)器是否為PC所請(qǐng)求的真實(shí)提供者����。如果元數(shù)據(jù)判定結(jié)果為真,進(jìn)入下一步��;為假��,則返回一個(gè)拒絕信息�,中斷通信。
[0047]St印4:虛擬身份庫把服務(wù)器ID記錄到字典目錄中����。如果該服務(wù)是PC第一次請(qǐng)求,虛擬身份庫會(huì)提供一個(gè)虛擬賬戶VID����,并數(shù)字簽名��;如果該云平臺(tái)服務(wù)器曾被請(qǐng)求過��,虛擬身份庫會(huì)根據(jù)服務(wù)器ID在目錄中查找到對(duì)應(yīng)的VID然后簽名生成Sg��。接著將服務(wù)器ID發(fā)送到認(rèn)證執(zhí)行單元����。
[0048]St印5:認(rèn)證執(zhí)行單元收到服務(wù)器ID后���,利用虛擬機(jī)中的元數(shù)據(jù)加密過程來處理�����,生成密文UCT和元數(shù)據(jù)描述令牌UTKf����,存儲(chǔ)在元數(shù)據(jù)數(shù)據(jù)庫中并發(fā)送給云平臺(tái)服務(wù)器��,向其認(rèn)證PC的身份�。
[0049]St印6:云平臺(tái)服務(wù)器接受元數(shù)據(jù)數(shù)據(jù)庫后,驗(yàn)證結(jié)果值是否為自己的ID值����。如果值相等��,則說明PC是合法的�����,此時(shí)如果云平臺(tái)服務(wù)器不需要額外的屬性信息驗(yàn)證,就可以直接返回同意信息����,允許PC獲取資源;若想獲取其他屬性信息�����,則返回給認(rèn)證模塊請(qǐng)求屬性驗(yàn)證信息�����。如果值不相等�,云平臺(tái)服務(wù)器返回拒絕信息,并停止與請(qǐng)求者PC的交互��。
[0050]Step7:當(dāng)認(rèn)證模塊收到屬性驗(yàn)證請(qǐng)求信息后�����,啟動(dòng)基于認(rèn)證數(shù)據(jù)集的認(rèn)證,生成認(rèn)證數(shù)據(jù)集發(fā)送給云平臺(tái)服務(wù)器�����。
[0051]StepS:云平臺(tái)服務(wù)器得到認(rèn)證數(shù)據(jù)集后首先用自己的私鑰解密��。等待成功通過虛擬機(jī)執(zhí)行的完整性自檢后啟用����。如果沒能啟用則說明認(rèn)證數(shù)據(jù)集被破壞,云平臺(tái)服務(wù)器重新發(fā)出請(qǐng)求���。
[0052]St印9:順利啟用后�,云平臺(tái)服務(wù)器將得到PC的Sg和屬性加密公鑰AKpu�。云平臺(tái)服務(wù)器使用公鑰解密EAT,驗(yàn)證屬性信息���。
[0053]SteplO:云平臺(tái)服務(wù)器成功驗(yàn)證屬性信息后返回接收信息給認(rèn)證模塊�����。驗(yàn)證失敗返回拒絕信息����。
[0054]Stepll:認(rèn)證模塊將接收信息傳送給PC。
[0055]St印12:PC開始使用服務(wù)���。
[0056]綜上所述��,本發(fā)明提出了一種云計(jì)算網(wǎng)絡(luò)中的身份認(rèn)證方法����,不需要可信第三方���,用戶和服務(wù)器之間彼此進(jìn)行認(rèn)證,不需要暴露隱私屬性信息����,防止信息的泄露或篡改。
[0057]顯然����,本領(lǐng)域的技術(shù)人員應(yīng)該理解,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算系統(tǒng)來實(shí)現(xiàn)���,它們可以集中在單個(gè)的計(jì)算系統(tǒng)上�,或者分布在多個(gè)計(jì)算系統(tǒng)所組成的網(wǎng)絡(luò)上,可選地��,它們可以用計(jì)算系統(tǒng)可執(zhí)行的程序代碼來實(shí)現(xiàn)�,從而,可以將它們存儲(chǔ)在存儲(chǔ)系統(tǒng)中由計(jì)算系統(tǒng)來執(zhí)行���。這樣���,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。
[0058]應(yīng)當(dāng)理解的是�����,本發(fā)明的上述【具體實(shí)施方式】?jī)H僅用于示例性說明或解釋本發(fā)明的原理���,而不構(gòu)成對(duì)本發(fā)明的限制�。因此���,在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改��、等同替換���、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。此外�,本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界��、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例���。
【主權(quán)項(xiàng)】
1.一種云計(jì)算網(wǎng)絡(luò)中的身份認(rèn)證方法�,用于私有云對(duì)用戶進(jìn)行身份認(rèn)證���,其特征在于,包括: 步驟一�����,生成認(rèn)證數(shù)據(jù)集�,所述認(rèn)證數(shù)據(jù)集包括加密后的用戶屬性信息和保密策略; 步驟二�����,云平臺(tái)服務(wù)器獲得所述認(rèn)證數(shù)據(jù)集,執(zhí)行解密操作��,對(duì)用戶進(jìn)行認(rèn)證����; 步驟三,若認(rèn)證通過����,根據(jù)所述保密策略刪除用戶屬性信息,返回接收信息給認(rèn)證模塊�,允許用戶使用服務(wù)。2.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,所述步驟一�,生成認(rèn)證數(shù)據(jù)集�����,所述認(rèn)證數(shù)據(jù)集包括加密后的用戶屬性信息和保密策略,進(jìn)一步包括: 云平臺(tái)的認(rèn)證模塊中的屬性庫根據(jù)云平臺(tái)服務(wù)器請(qǐng)求的屬性聲明來收集用戶對(duì)應(yīng)的屬性信息�����,然后利用認(rèn)證模塊的密鑰數(shù)據(jù)庫提供的屬性加密私鑰��,調(diào)用虛擬機(jī)執(zhí)行非對(duì)稱加密過程�,生成加密的用戶屬性信息,如果云平臺(tái)服務(wù)器沒有發(fā)送屬性請(qǐng)求���,則將用戶允許的所有屬性信息加密�,發(fā)送到認(rèn)證模塊的認(rèn)證執(zhí)行單元����,認(rèn)證模塊的策略執(zhí)行單元選取相應(yīng)保密策略,所述保密策略包括完整性自檢����、自刪除策略�,認(rèn)證執(zhí)行單元將加密的用戶屬性信息、保密策略�、屬性加密公鑰、簽名信息和虛擬機(jī)信息摘要五個(gè)部分一起用云平臺(tái)服務(wù)器提供的公鑰打包��,生成認(rèn)證數(shù)據(jù)集,并通過安全通道傳輸給云平臺(tái)服務(wù)器��。3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述步驟二���,云平臺(tái)服務(wù)器獲得所述認(rèn)證數(shù)據(jù)集����,執(zhí)行解密操作�����,對(duì)用戶進(jìn)行認(rèn)證�,進(jìn)一步包括: 云平臺(tái)服務(wù)器獲得認(rèn)證數(shù)據(jù)集后,輸入云平臺(tái)服務(wù)器提供的私鑰�����,虛擬機(jī)執(zhí)行解密操作��,成功解密后�,認(rèn)證數(shù)據(jù)集啟動(dòng)完整性自檢,將計(jì)算出的值與之前已經(jīng)保存在保密策略中的值對(duì)比���,若符合則啟用認(rèn)證數(shù)據(jù)集����。4.根據(jù)權(quán)利要求3所述的方法,其特征在于��,所述步驟三��,若認(rèn)證通過�����,根據(jù)所述保密策略刪除用戶屬性信息�,返回接收信息給認(rèn)證模塊,允許用戶使用服務(wù)���,進(jìn)一步包括: 云平臺(tái)服務(wù)器對(duì)用戶的認(rèn)證通過后����,如果云平臺(tái)服務(wù)器不查看用戶屬性信息����,根據(jù)具體保密策略立即刪除用戶屬性信息�,并將簽名信息交給云平臺(tái)服務(wù)器保存�����,云平臺(tái)服務(wù)器返回接收信息給認(rèn)證模塊�����,表示允許使用服務(wù)����,當(dāng)用戶再次請(qǐng)求該相同的服務(wù)時(shí)��,云平臺(tái)服務(wù)器只返回所述簽名���,認(rèn)證模塊驗(yàn)證簽名即可表示認(rèn)證該云平臺(tái)服務(wù)器�;若云平臺(tái)服務(wù)器需要查看用戶的屬性信息����,輸入云平臺(tái)服務(wù)器提供的私鑰到虛擬機(jī),解密用戶屬性信息�����,在保密策略中將多余的信息刪除����,云平臺(tái)服務(wù)器得到信息后進(jìn)一步認(rèn)證����,認(rèn)證通過后發(fā)送接收信息給認(rèn)證模塊����,如果沒有通過,則返回拒絕信息����。
【專利摘要】本發(fā)明提供了一種云計(jì)算網(wǎng)絡(luò)中的身份認(rèn)證方法,該方法包括:生成認(rèn)證數(shù)據(jù)集��,所述認(rèn)證數(shù)據(jù)集包括加密后的用戶屬性信息和保密策略��;云平臺(tái)服務(wù)器獲得所述認(rèn)證數(shù)據(jù)集����,執(zhí)行解密操作,對(duì)用戶進(jìn)行認(rèn)證�����;若認(rèn)證通過,根據(jù)所述保密策略刪除用戶屬性信息���,返回接收信息給認(rèn)證模塊,允許用戶使用服務(wù)�。本發(fā)明提出了一種云計(jì)算網(wǎng)絡(luò)中的身份認(rèn)證方法,不需要可信第三方��,用戶和服務(wù)器之間彼此進(jìn)行認(rèn)證����,不需要暴露隱私屬性信息,防止信息的泄露或篡改�。
【IPC分類】H04L29/08, H04L29/06
【公開號(hào)】CN104935608
【申請(qǐng)?zhí)枴緾N201510395427
【發(fā)明人】馬泳宇
【申請(qǐng)人】成都睿峰科技有限公司
【公開日】2015年9月23日
【申請(qǐng)日】2015年7月7日