一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法
【專利摘要】本發(fā)明提供一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法��,其具體步驟為:云用戶向簽名認(rèn)證服務(wù)云提交請求服務(wù)信息�����,簽名認(rèn)證服務(wù)云接收云用戶請求信息�,向第三方目錄認(rèn)證服務(wù)云驗證云用戶證書的有效性,經(jīng)過應(yīng)用門戶目錄服務(wù)云簽發(fā)密文用戶登錄令牌和數(shù)字信封,然后對應(yīng)用門戶目錄服務(wù)云簽發(fā)的密文用戶登錄令牌及數(shù)字信封進(jìn)行認(rèn)證服務(wù)簽名���,并回送給云用戶���,云用戶對獲取的密文用戶登錄令牌、數(shù)字信封及認(rèn)證服務(wù)簽名信息進(jìn)行用戶簽名��,然后提交給應(yīng)用服務(wù)����,請求相應(yīng)的服務(wù),應(yīng)用服務(wù)驗證后為云用戶提供相應(yīng)的服務(wù)�。該一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法和現(xiàn)有技術(shù)相比,確保信息來源的真實性和不可抵賴性����,加固了信息傳輸過程的安全性。
【專利說明】—種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計算【技術(shù)領(lǐng)域】�,具體的說是一種可應(yīng)用于電子政務(wù)、電子商務(wù)��、行業(yè)等云服務(wù)領(lǐng)域中并基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法�����。
【背景技術(shù)】
[0002]云計算作為一個新興的網(wǎng)絡(luò)應(yīng)用模式�����,有非常好的應(yīng)用和發(fā)展前景���,而云計算作為一種新興的商業(yè)模式�����,對它的研究還處于初級階段��,還有很多問題尚待解決���,其安全問題尤為突出,而身份認(rèn)證與訪問控制管理正是云計算安全的主要問題之一����,在云計算基礎(chǔ)上提供的云服務(wù),同樣存在急需解決的安全問題����,安全問題已成為云計算及云服務(wù)推廣的一大阻礙,主要來源于數(shù)據(jù)共享帶來的安全問題��、訪問者的身份不確定性和云服務(wù)提供商的超級特權(quán)導(dǎo)致的潛在危險。為此�����,根據(jù)云計算中數(shù)據(jù)存儲��、云服務(wù)和云用戶群體的特點�,第三方服務(wù)將是最佳的選擇方案,云訪問者需經(jīng)過第三方身份認(rèn)證���,對不同訪問主體采取不同訪問控制策略����,以提供分級的安全特性�,使云服務(wù)提供商不再享有超級特權(quán),使得云端數(shù)據(jù)訪問者及訪問安全無須依賴于服務(wù)器的絕對可信��,為云計算提供了更為可靠的安全特性�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的技術(shù)任務(wù)是解決現(xiàn)有技術(shù)的不足,提供一種實用性強(qiáng)�����、基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法����。
[0004]本發(fā)明的技術(shù)方案是按以下方式實現(xiàn)的,該一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法�����,其具體步驟為:
一����、云用戶向簽名認(rèn)證服務(wù)云提交請求服務(wù)信息;
二���、簽名認(rèn)證服務(wù)云接收到云用戶請求信息后�,向第三方目錄認(rèn)證服務(wù)云驗證云用戶證書的有效性��;
三�、經(jīng)過應(yīng)用門戶目錄服務(wù)云簽發(fā)密文用戶登錄令牌和數(shù)字信封,然后對應(yīng)用門戶目錄服務(wù)云簽發(fā)的密文用戶登錄令牌及數(shù)字信封進(jìn)行認(rèn)證服務(wù)簽名���;
四��、步驟三中的密文用戶登錄令牌及數(shù)字信封回送給云用戶�����,云用戶對獲取的密文用戶登錄令牌����、數(shù)字信封及認(rèn)證服務(wù)簽名信息進(jìn)行數(shù)字簽名,作為登錄應(yīng)用服務(wù)云的臨時唯一性請求信息,并將此請求提交給應(yīng)用服務(wù)云,請求相應(yīng)的服務(wù)���;
五�����、應(yīng)用服務(wù)云驗證相應(yīng)的簽名及令牌信息��,為云用戶提供相應(yīng)的服務(wù)��;
六�����、如果用戶超過一定時間未訪問本服務(wù)時���,用戶狀態(tài)置為停止,之后需重復(fù)一到五步驟重新登錄��。
[0005]所述步驟一中的云用戶請求服務(wù)信息包括:用戶數(shù)字證書����、云用戶請求登錄應(yīng)用門戶信息����。
[0006]所述步驟三的詳細(xì)過程為:簽名認(rèn)證服務(wù)云將用戶請求信息及令牌有效期提交給應(yīng)用門戶目錄服務(wù)云����,經(jīng)過應(yīng)用門戶目錄服務(wù)云權(quán)限驗證�����,驗證通過后將用戶證書��、令牌有效期�����、用戶狀態(tài)�����、應(yīng)用門戶信息后進(jìn)行加密得密文用戶登錄令牌�,同時采用應(yīng)用門戶目錄服務(wù)公鑰將會話密鑰加密產(chǎn)生數(shù)字信封。
[0007]所述步驟三中的加密方法用會話密鑰��,采用SMUDES或3DES算法加密。
[0008]所述步驟四中的數(shù)字簽名算法采用RSA��、SM2或ECC算法����。
[0009]所述步驟五的詳細(xì)過程為:應(yīng)用服務(wù)云收到用戶請求信息,首先驗證用戶簽名和簽名認(rèn)證服務(wù)云簽名��,然后打開數(shù)字信封���,解密密文用戶登錄令牌�,并再次用令牌中的用戶證書驗證云用戶簽名��,核對令牌有效期����,檢測用戶狀態(tài),比對應(yīng)用門戶信息���,應(yīng)用服務(wù)云所有驗證通過�����,為用戶開通應(yīng)用權(quán)限���,提供相應(yīng)的服務(wù)����。
[0010]本發(fā)明與現(xiàn)有技術(shù)相比所產(chǎn)生的有益效果是:
本發(fā)明的一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法解決現(xiàn)有應(yīng)用云服務(wù)中身份認(rèn)證�����、統(tǒng)一管理的問題�����,將簽名認(rèn)證服務(wù)云�����、第三方認(rèn)證目錄服務(wù)云�����、應(yīng)用門戶目錄服務(wù)云和應(yīng)用服務(wù)云相結(jié)合�����,實現(xiàn)了統(tǒng)一云認(rèn)證和應(yīng)用門戶權(quán)限管理��,為云用戶提供了安全可信的第三方認(rèn)證服務(wù)��,真正解決了云服務(wù)安全方面的難題�����;整個云服務(wù)過程與第三方服務(wù)緊密結(jié)合�����,驗證云用戶身份的真實性��、合法性�,簽名技術(shù)的應(yīng)用確保信息來源的真實性和不可抵賴性,密文用戶登錄令牌和數(shù)字信封技術(shù)加固了信息傳輸過程的安全性�,實用性強(qiáng),易于推廣�。
【專利附圖】
【附圖說明】
[0011]附圖1是本發(fā)明的安全認(rèn)證方法模型圖。
[0012]附圖2是本發(fā)明的云用戶令牌信息示意圖�。
【具體實施方式】
[0013]下面結(jié)合附圖對本發(fā)明的一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法作詳細(xì)說明。
[0014]如附圖1�、圖2所示,現(xiàn)提供一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法�����,其具體步驟為:
一、云用戶向簽名認(rèn)證服務(wù)云提交請求服務(wù)信息�����;
二����、簽名認(rèn)證服務(wù)云接收到云用戶請求信息后,向第三方目錄認(rèn)證服務(wù)云驗證云用戶證書的有效性����;
三�����、經(jīng)過應(yīng)用門戶目錄服務(wù)云簽發(fā)密文用戶登錄令牌和數(shù)字信封��,然后對應(yīng)用門戶目錄服務(wù)云簽發(fā)的密文用戶登錄令牌及數(shù)字信封進(jìn)行認(rèn)證服務(wù)簽名����;
四、步驟三中的密文用戶登錄令牌及數(shù)字信封回送給云用戶���,云用戶對獲取的密文用戶登錄令牌��、數(shù)字信封及認(rèn)證服務(wù)簽名信息進(jìn)行數(shù)字簽名���,作為登錄應(yīng)用服務(wù)云的臨時唯一性請求信息,并將此請求提交給應(yīng)用服務(wù)云,請求相應(yīng)的服務(wù)�����;
五�、應(yīng)用服務(wù)云驗證相應(yīng)的簽名及令牌信息�,為云用戶提供相應(yīng)的服務(wù);
六�、如果用戶超過一定時間未訪問本服務(wù)時,用戶狀態(tài)置為停止�,之后需重復(fù)一到五步驟重新登錄。
[0015]所述步驟一中的云用戶請求服務(wù)信息包括:用戶數(shù)字證書�、云用戶請求登錄應(yīng)用門戶信息。[0016]所述步驟三的詳細(xì)過程為:簽名認(rèn)證服務(wù)云將用戶請求信息及令牌有效期提交給應(yīng)用門戶目錄服務(wù)云�,經(jīng)過應(yīng)用門戶目錄服務(wù)云權(quán)限驗證,驗證通過后將用戶證書����、令牌有效期、用戶狀態(tài)���、應(yīng)用門戶信息后進(jìn)行加密得密文用戶登錄令牌��,同時采用應(yīng)用門戶目錄服務(wù)公鑰將會話密鑰加密產(chǎn)生數(shù)字信封��。
[0017]所述步驟三中的加密方法用會話密鑰��,采用SMUDES或3DES算法加密��。
[0018]所述步驟四中的數(shù)字簽名算法采用RSA�、SM2或ECC算法。
[0019]所述步驟五的詳細(xì)過程為:應(yīng)用服務(wù)云收到用戶請求信息���,首先驗證用戶簽名和簽名認(rèn)證服務(wù)云簽名�����,然后打開數(shù)字信封�,解密密文用戶登錄令牌��,并再次用令牌中的用戶證書驗證云用戶簽名�,核對令牌有效期����,檢測用戶狀態(tài),比對應(yīng)用門戶信息,應(yīng)用服務(wù)云所有驗證通過��,為用戶開通應(yīng)用權(quán)限�,提供相應(yīng)的服務(wù)。
[0020]其具體的實施過程為:
第I步��,云用戶向簽名認(rèn)證服務(wù)云發(fā)送請求信息(請求信息包括:云用戶數(shù)字證書��、云用戶請求登錄的應(yīng)用服務(wù)云域名或服務(wù)ip地址)���。
[0021]第2步�����,簽名認(rèn)證服務(wù)云將云用戶請求信息發(fā)送到第三方認(rèn)證目錄服務(wù)云進(jìn)行身份認(rèn)證�����,如果數(shù)字證書被吊銷����、注銷���、掛失或過期均為無效證書���,如果驗證無效�,則返回云用戶無效的請求����,云用戶請求結(jié)束。
[0022]第3步�,簽名認(rèn)證服務(wù)云將云用戶請求信息發(fā)送到應(yīng)用門戶目錄服務(wù)云進(jìn)行權(quán)限驗證,應(yīng)用門戶目錄服務(wù)云首先驗證云用戶請求登錄的應(yīng)用服務(wù)云域名或服務(wù)ip地址是否正確�����,如果錯誤返回驗證失敗�����,如果正確應(yīng)用門戶目錄服務(wù)云將云用戶的請求信息包括:云用戶證書���、令牌有效期���、用戶狀態(tài)(有效用戶����、未激活狀態(tài))�、應(yīng)用門戶信息等信息進(jìn)行加密(用會話密鑰�����、采用SMl算法加密)��,得密文用戶登錄令牌��,同時采用應(yīng)用門戶目錄服務(wù)公鑰將會話密鑰加密產(chǎn)生數(shù)字信封�,將密文用戶登錄令牌和數(shù)字信封送回簽名認(rèn)證服務(wù)云。
[0023]第4步���,簽名認(rèn)證服務(wù)云將應(yīng)用門戶目錄服務(wù)云返回的密文用戶登錄令牌和數(shù)字信封進(jìn)行數(shù)字簽名(簽名算法用RSA或SM2或ECC)�����,一并回送給云用戶�。
[0024]第5步�,云用戶對獲取的密文用戶登錄令牌、數(shù)字信封及認(rèn)證服務(wù)簽名進(jìn)行數(shù)字簽名�����,作為登錄應(yīng)用服務(wù)云的臨時唯一性請求信息�����,然后云用戶向應(yīng)用服務(wù)云發(fā)送請求服務(wù)信息。
[0025]第6步��,應(yīng)用服務(wù)云收到用戶請求信息����,首先驗證用戶簽名和簽名認(rèn)證服務(wù)云簽名,然后打開數(shù)字信封���,解密密文用戶登錄令牌�����,驗證用戶應(yīng)用門戶信息匹配性�,并再次用令牌中的用戶證書驗證云用戶簽名�����,核對令牌有效期����,檢測用戶狀態(tài),如果所有信息驗證通過,為用戶開通應(yīng)用權(quán)限(用戶狀態(tài)置為‘激活’)�����,提供相應(yīng)的服務(wù)�����。
[0026]如果用戶超過一定時間未訪問應(yīng)用服務(wù)云時����,用戶狀態(tài)置為‘停止’�����,之后需重復(fù)
1-6步驟重新登錄請求服務(wù)�����。
[0027]以上所述僅為本發(fā)明的較佳實施例而已�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改��、等同替換和改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法�,其特征在于,其具體步驟為: 一�����、云用戶向簽名認(rèn)證服務(wù)云提交請求服務(wù)信息���; 二��、簽名認(rèn)證服務(wù)云接收到云用戶請求信息后�,向第三方目錄認(rèn)證服務(wù)云驗證云用戶證書的有效性��; 三��、經(jīng)過應(yīng)用門戶目錄服務(wù)云簽發(fā)密文用戶登錄令牌和數(shù)字信封�����,然后對應(yīng)用門戶目錄服務(wù)云簽發(fā)的密文用戶登錄令牌及數(shù)字信封進(jìn)行認(rèn)證服務(wù)簽名�; 四、步驟三中的密文用戶登錄令牌及數(shù)字信封回送給云用戶�����,云用戶對獲取的密文用戶登錄令牌、數(shù)字信封及認(rèn)證服務(wù)簽名信息進(jìn)行數(shù)字簽名�����,作為登錄應(yīng)用服務(wù)云的臨時唯一性請求信息,并將此請求提交給應(yīng)用服務(wù)云,請求相應(yīng)的服務(wù)��; 五����、應(yīng)用服務(wù)云驗證相應(yīng)的簽名及令牌信息�,為云用戶提供相應(yīng)的服務(wù); 六���、如果用戶超過一定時間未訪問本服務(wù)時��,用戶狀態(tài)置為停止����,之后需重復(fù)一到五步驟重新登錄�����。
2.根據(jù)權(quán)利要求1所述的一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法��,其特征在于,所述步驟一中的云用戶請求服務(wù)信息包括:用戶數(shù)字證書���、云用戶請求登錄應(yīng)用門戶信息�����。
3.根據(jù)權(quán)利要求1所述的一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法�����,其特征在于����,所述步驟三的詳細(xì)過程為:簽名認(rèn)證服務(wù)云將用戶請求信息及令牌有效期提交給應(yīng)用門戶目錄服務(wù)云�,經(jīng)過應(yīng)用門戶目錄服務(wù)云權(quán)限驗證,驗證通過后將用戶證書�、令牌有效期、用戶狀態(tài)����、應(yīng)用門戶信息后進(jìn)行加密得密文用戶登錄令牌,同時采用應(yīng)用門戶目錄服務(wù)公鑰將會話密鑰加密產(chǎn)生數(shù)字信封��。
4.根據(jù)權(quán)利要求3所述的一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法,其特征在于���,所述步驟三中的加密方法用會話密鑰�,采用SMl、DES或3DES算法加密��。
5.根據(jù)權(quán)利要求1所述的一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法����,其特征在于,所述步驟四中的數(shù)字簽名算法采用RSA��、SM2或ECC算法���。
6.根據(jù)權(quán)利要求1所述的一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法,其特征在于��,所述步驟五的詳細(xì)過程為:應(yīng)用服務(wù)云收到用戶請求信息���,首先驗證用戶簽名和簽名認(rèn)證服務(wù)云簽名�����,然后打開數(shù)字信封���,解密密文用戶登錄令牌����,并再次用令牌中的用戶證書驗證云用戶簽名�����,核對令牌有效期��,檢測用戶狀態(tài)���,比對應(yīng)用門戶信息��,應(yīng)用服務(wù)云所有驗證通過�����,為用戶開通應(yīng)用權(quán)限����,提供相應(yīng)的服務(wù)���。
【文檔編號】H04L9/32GK103490899SQ201310446268
【公開日】2014年1月1日 申請日期:2013年9月27日 優(yōu)先權(quán)日:2013年9月27日
【發(fā)明者】李秀芳, 于治樓, 羅清彩 申請人:浪潮齊魯軟件產(chǎn)業(yè)有限公司