一種云計(jì)算網(wǎng)絡(luò)中的終端登錄方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計(jì)算,特別涉及一種云計(jì)算網(wǎng)絡(luò)中的終端登錄方法。
【背景技術(shù)】
[0002]云計(jì)算中龐大的數(shù)據(jù)交易和各類信息服務(wù)的背后卻隱藏著雜亂繁多的賬戶管理問(wèn)題,使得數(shù)字身份無(wú)疑成為了關(guān)注焦點(diǎn)。近年來(lái)因?yàn)閿?shù)字身份泄露造成的侵犯?jìng)€(gè)人隱私案件時(shí)有發(fā)生。為了在云之間資源能安全共享,云彼此身份的合法性自然也成為重要的關(guān)注點(diǎn)。身份認(rèn)證作為信息安全的守衛(wèi),是云安全措施不可或缺的環(huán)節(jié)。
[0003]為了實(shí)現(xiàn)通用登錄,很多機(jī)制也在開發(fā)和使用當(dāng)中。其中一些是針對(duì)合作網(wǎng)站之間安全交換信息認(rèn)證和授權(quán)而開發(fā)的框架或協(xié)議,而另一些則是橫跨網(wǎng)站、應(yīng)用程序和設(shè)備而搭建的,將身份以及關(guān)系信息融為一體的構(gòu)架,但現(xiàn)有以上架構(gòu)構(gòu)造信任的高額成本和作為身份提供者的可信第三方可能存在單點(diǎn)失效問(wèn)題。
【發(fā)明內(nèi)容】
[0004]為解決上述現(xiàn)有技術(shù)所存在的問(wèn)題,本發(fā)明提出了一種云計(jì)算網(wǎng)絡(luò)中的終端登錄方法,包括:
[0005]首先,用戶連接到云平臺(tái)服務(wù)器后,獲取服務(wù)器加密后的元數(shù)據(jù)令牌,查詢?cè)摿钆茖?duì)服務(wù)器進(jìn)行認(rèn)證,
[0006]然后,云平臺(tái)的認(rèn)證模塊對(duì)用戶進(jìn)行認(rèn)證,將認(rèn)證結(jié)果發(fā)送至云平臺(tái)服務(wù)器。
[0007]優(yōu)選地,所述獲取服務(wù)器加密后的元數(shù)據(jù)令牌,查詢?cè)摿钆茖?duì)服務(wù)器進(jìn)行認(rèn)證,進(jìn)一步包括:
[0008]云平臺(tái)服務(wù)器首先生成一對(duì)密鑰SPK,SMK ;然后加密公鑰和自己的ID生成密文SCT ;接著把密鑰對(duì)SPK、SMK和元數(shù)據(jù)描述函數(shù)f作為輸入項(xiàng),生成元數(shù)據(jù)描述令牌;
[0009]當(dāng)認(rèn)證模塊得到令牌和SPK、SCT后,虛擬機(jī)調(diào)用查詢算法輸出元數(shù)據(jù)描述結(jié)果布爾值,如果為真,確定云平臺(tái)服務(wù)器為用戶所請(qǐng)求的服務(wù)器,否則,通知用戶停止通信;
[0010]所述云平臺(tái)的認(rèn)證模塊對(duì)用戶進(jìn)行認(rèn)證,將認(rèn)證結(jié)果發(fā)送至云平臺(tái)服務(wù)器,進(jìn)一步包括:
[0011]當(dāng)認(rèn)證模塊在云平臺(tái)服務(wù)器端被啟用后,云平臺(tái)服務(wù)器得到關(guān)于用戶的密文UCT和描述令牌UCK,作為兩個(gè)輸入?yún)?shù),調(diào)用解密過(guò)程進(jìn)行解密計(jì)算,如果得到用戶自己的ID值,則確定認(rèn)證模塊的擁有者即用戶是合法的;如果得到空字符,則拒絕提供服務(wù)。
[0012]優(yōu)選地,所述終端用戶是請(qǐng)求擴(kuò)充資源的另一個(gè)私有云PC,并且所述私有云PC請(qǐng)求當(dāng)前云平臺(tái)服務(wù)器的服務(wù)的身份認(rèn)證過(guò)程具體步驟包括:
[0013]Stepl:私有PC向云平臺(tái)服務(wù)器請(qǐng)求服務(wù);
[0014]Step2:云平臺(tái)服務(wù)器通過(guò)元數(shù)據(jù)加密過(guò)程,把服務(wù)器提供的密鑰對(duì)SPK、SMK和元數(shù)據(jù)描述函數(shù)f作為輸入項(xiàng),生成元數(shù)據(jù)描述令牌,用于匿名認(rèn)證;云平臺(tái)服務(wù)器將服務(wù)器令牌、公鑰SKpu,生成認(rèn)證數(shù)據(jù)集一起發(fā)送給PC ;
[0015]Step3:PC接受到認(rèn)證數(shù)據(jù)集后,傳送給認(rèn)證模塊,認(rèn)證執(zhí)行單元首先判定云平臺(tái)服務(wù)器是否為PC所請(qǐng)求的真實(shí)提供者,如果元數(shù)據(jù)判定結(jié)果為真,進(jìn)入下一步;若為假,則返回一個(gè)拒絕信息,中斷通信;
[0016]Step4:把服務(wù)器ID記錄到字典目錄中,如果該服務(wù)是PC第一次請(qǐng)求,則提供一個(gè)虛擬賬戶VID,并進(jìn)行數(shù)字簽名;如果該云平臺(tái)服務(wù)器曾被請(qǐng)求過(guò),根據(jù)服務(wù)器ID在目錄中查找到對(duì)應(yīng)的VID然后生成簽名Sg,接著將服務(wù)器ID發(fā)送到認(rèn)證模塊的認(rèn)證執(zhí)行單元;
[0017]Step5:認(rèn)證執(zhí)行單元收到服務(wù)器ID后,利用虛擬機(jī)中的元數(shù)據(jù)加密過(guò)程生成密文UCT和元數(shù)據(jù)描述令牌UTKf,存儲(chǔ)在元數(shù)據(jù)數(shù)據(jù)庫(kù)中并發(fā)送給云平臺(tái)服務(wù)器,向其認(rèn)證PC的身份;
[0018]St印6:云平臺(tái)服務(wù)器接受元數(shù)據(jù)數(shù)據(jù)庫(kù)后,驗(yàn)證結(jié)果值是否為自己的ID值,如果結(jié)果值相等,則PC合法,允許PC獲取資源;若獲取其他屬性信息,則返回給認(rèn)證模塊請(qǐng)求屬性驗(yàn)證信息;如果結(jié)果值不相等,云平臺(tái)服務(wù)器返回拒絕信息,并停止與請(qǐng)求者PC的交互;
[0019]Step7:當(dāng)認(rèn)證模塊收到屬性驗(yàn)證請(qǐng)求信息后,啟動(dòng)基于認(rèn)證數(shù)據(jù)集的認(rèn)證,生成認(rèn)證數(shù)據(jù)集發(fā)送給云平臺(tái)服務(wù)器;
[0020]St印8:云平臺(tái)服務(wù)器得到認(rèn)證數(shù)據(jù)集后首先用自己的私鑰解密,等待成功通過(guò)虛擬機(jī)執(zhí)行的完整性自檢后啟用,如果啟用失敗,則云平臺(tái)服務(wù)器重新發(fā)出請(qǐng)求;
[0021]Step9:啟用后,云平臺(tái)服務(wù)器得到PC的Sg和屬性加密公鑰Akpu,云平臺(tái)服務(wù)器使用公鑰解密用戶屬性信息,并驗(yàn)證屬性信息;
[0022]SteplO:云平臺(tái)服務(wù)器成功驗(yàn)證屬性信息后返回接收信息給認(rèn)證模塊,若驗(yàn)證失敗則返回拒絕信息;
[0023]Stepll:認(rèn)證模塊將接收信息傳送給PC ;
[0024]St印12:PC開始使用服務(wù)。
[0025]本發(fā)明相比現(xiàn)有技術(shù),具有以下優(yōu)點(diǎn):
[0026]本發(fā)明提出了一種云計(jì)算網(wǎng)絡(luò)中的終端登錄方法,不需要可信第三方,用戶和服務(wù)器之間彼此進(jìn)行不公開的認(rèn)證,不需要暴露隱私屬性信息,防止信息的泄露或篡改。
【附圖說(shuō)明】
[0027]圖1是根據(jù)本發(fā)明實(shí)施例的云計(jì)算網(wǎng)絡(luò)中的終端登錄方法的流程圖。
【具體實(shí)施方式】
[0028]下文與圖示本發(fā)明原理的附圖一起提供對(duì)本發(fā)明一個(gè)或者多個(gè)實(shí)施例的詳細(xì)描述。結(jié)合這樣的實(shí)施例描述本發(fā)明,但是本發(fā)明不限于任何實(shí)施例。本發(fā)明的范圍僅由權(quán)利要求書限定,并且本發(fā)明涵蓋諸多替代、修改和等同物。在下文描述中闡述諸多具體細(xì)節(jié)以便提供對(duì)本發(fā)明的透徹理解。出于示例的目的而提供這些細(xì)節(jié),并且無(wú)這些具體細(xì)節(jié)中的一些或者所有細(xì)節(jié)也可以根據(jù)權(quán)利要求書實(shí)現(xiàn)本發(fā)明。
[0029]本發(fā)明的一方面提供了一種云計(jì)算網(wǎng)絡(luò)中的終端登錄方法。圖1是根據(jù)本發(fā)明實(shí)施例的云計(jì)算網(wǎng)絡(luò)中的終端登錄方法流程圖。本發(fā)明通過(guò)匿私有云身份認(rèn)證方案,可以被嵌入如智能卡等微型硬件中,終端用戶獲得合法使用權(quán)后通過(guò)各種移動(dòng)設(shè)備來(lái)請(qǐng)求服務(wù)。終端用戶不用擔(dān)心自己身份隱私問(wèn)題,同時(shí)降低網(wǎng)絡(luò)負(fù)載,克服網(wǎng)絡(luò)延遲。
[0030]云身份認(rèn)證空間參與的角色包含:私有云平臺(tái)服務(wù)器、云終端用戶和云平臺(tái)認(rèn)證模塊。而云平臺(tái)認(rèn)證模塊包含了以下六個(gè)部分。
[0031]虛擬身份庫(kù):虛擬身份庫(kù)中包括簽名密鑰。簽名密鑰里存儲(chǔ)對(duì)用戶的虛擬賬戶VID進(jìn)行簽名保護(hù)的數(shù)字簽名Sg,Sg被發(fā)送到認(rèn)證執(zhí)行單元中去組建認(rèn)證數(shù)據(jù)集。認(rèn)證過(guò)程結(jié)束后,云平臺(tái)服務(wù)器將得到并選擇保存Sg。當(dāng)下一次被請(qǐng)求服務(wù)時(shí),即使云平臺(tái)服務(wù)器有認(rèn)證屬性的需求,終端用戶只需用Sg作為條件進(jìn)行元數(shù)據(jù)認(rèn)證,云平臺(tái)服務(wù)器把解密元數(shù)據(jù)得到的值跟之前存儲(chǔ)的Sg對(duì)比就能完成認(rèn)證了。這樣即提高了認(rèn)證效率也減少了暴露隱私信息的次數(shù)。
[0032]屬性庫(kù):屬性庫(kù)用于將用戶的個(gè)人隱私屬性信息收集起來(lái)并用密鑰數(shù)據(jù)庫(kù)提供的屬性加密私鑰AKpr加密,生成密文EAT保存其中,如:Email地址、電話號(hào)碼。認(rèn)證初始化過(guò)程中屬性庫(kù)將EAT發(fā)送給認(rèn)證執(zhí)行單元打包生成認(rèn)證數(shù)據(jù)集。在認(rèn)證過(guò)程中,如若云平臺(tái)服務(wù)器需要查看用戶的屬性信息ATT,則首先使用屬性加密公鑰AKpu解密獲取屬性信息。值得注意的是,用戶可以選擇提供給屬性庫(kù)全部或部分個(gè)人隱私信息,而不是由屬性庫(kù)自動(dòng)搜索用戶所擁有的所有屬性,這樣給了用戶更多權(quán)力來(lái)掌控自己的隱私。而且,由于云環(huán)境的動(dòng)態(tài)特性,用戶信息也可能變化,所以用戶想請(qǐng)求新的服務(wù)時(shí),需要添加新的屬性信息,這時(shí)可以通過(guò)屬性庫(kù)更新或是修改自己的屬性信息。
[0033]認(rèn)證執(zhí)行單元:認(rèn)證執(zhí)行單元的職責(zé)是生成非公開認(rèn)證的元數(shù)據(jù)描述令牌和認(rèn)證數(shù)據(jù)集。認(rèn)證階段首先認(rèn)證執(zhí)行單元首先會(huì)得到云平臺(tái)服務(wù)器發(fā)送的服務(wù)器令牌,然后調(diào)用虛擬機(jī)中的查詢算法描述元數(shù)據(jù)令牌的有效性來(lái)認(rèn)證云平臺(tái)服務(wù)器是否合法。然后認(rèn)證執(zhí)行單元還會(huì)利用得到的服務(wù)器ID及其他安全參數(shù)等為用戶生成自己的元數(shù)據(jù)描述令牌UTKf,讓云平臺(tái)服務(wù)器完成對(duì)用戶的身份匿名認(rèn)證。認(rèn)證執(zhí)行單元還負(fù)責(zé)生成屬性認(rèn)證所需的認(rèn)證數(shù)據(jù)集。
[0034]認(rèn)證數(shù)據(jù)集由五部分構(gòu)成:加密的屬性信息EAT、簽名的虛擬賬戶Sg、保密策略、屬性加密公鑰AKpu和基于虛擬機(jī)的信息摘要(包含認(rèn)證過(guò)程所必需的執(zhí)行代碼和算法)。保密策略中包括了認(rèn)證數(shù)據(jù)集在到達(dá)云平臺(tái)服務(wù)器后,啟用前后的一系列保密策略,通過(guò)虛擬機(jī)實(shí)施這些策略,完成認(rèn)證。整個(gè)認(rèn)證數(shù)據(jù)集打包后用云平臺(tái)服務(wù)器的公鑰加密,又添加了一道安全防線。
[0035]策略執(zhí)行單元:包括了各種保密策略和機(jī)制,如:完整性自檢、自刪除、生命周期、審計(jì)和日志等,還可以根據(jù)用戶應(yīng)用需求添加的策略來(lái)加強(qiáng)認(rèn)證安全。其中完整性自檢策略規(guī)定了定期檢查自我數(shù)據(jù)的完整性,確保數(shù)據(jù)沒(méi)有被惡意篡改或破壞。當(dāng)數(shù)據(jù)集到達(dá)云平臺(tái)服務(wù)器時(shí),也會(huì)啟用完整性自檢,成功通過(guò)后才能啟用認(rèn)證模塊。自刪除機(jī)制則包括兩種形式:
[0036]當(dāng)發(fā)現(xiàn)威脅或是惡意破壞的跡象,立即通過(guò)虛擬機(jī)啟動(dòng)自刪除所有數(shù)據(jù),以防隱私信息被竊或是篡改。或是認(rèn)證過(guò)程中,對(duì)于云平臺(tái)服務(wù)器沒(méi)有請(qǐng)求的屬性信息,視為多余隱私信息,把這部分信息消除掉,以防隱私安全問(wèn)題。而生命周期管理,制定了 VID的生成、配置、管理和撤消回收等。日志和審計(jì)制度則記錄認(rèn)證模塊運(yùn)行的情況,及時(shí)獲得危險(xiǎn)警告或故障通知等,以便描述或是事故處理。
[0037]虛擬機(jī):系統(tǒng)中(包括認(rèn)證模塊和云平臺(tái)服務(wù)器端)的虛擬機(jī)是一個(gè)執(zhí)行代碼的容器,含操作系統(tǒng)和一些基礎(chǔ)的系統(tǒng)代碼,同時(shí)裝載了加解密、查詢等算法和程序,用于加強(qiáng)實(shí)施保密策略,和執(zhí)行其他組件的任務(wù)。發(fā)送給云平臺(tái)服務(wù)器的認(rèn)證數(shù)據(jù)集和元數(shù)據(jù)數(shù)據(jù)庫(kù)都會(huì)分配虛擬機(jī)信息摘要,包含了執(zhí)行屬性認(rèn)證和匿名認(rèn)證過(guò)程所需的算法和代碼,來(lái)完成整個(gè)認(rèn)證過(guò)程。
[0038]密鑰數(shù)據(jù)庫(kù):存儲(chǔ)著供加解密屬性信息的密鑰,和認(rèn)證中元數(shù)據(jù)加密過(guò)程生成的密鑰。
[0039]雙向云身份認(rèn)證包含兩大機(jī)制:匿名認(rèn)證和屬性認(rèn)證。首先介紹這兩個(gè)機(jī)制的認(rèn)證細(xì)節(jié),然后分析具體場(chǎng)景下整個(gè)認(rèn)證流程。
[0040]屬性認(rèn)證:
[0041]I)認(rèn)證數(shù)據(jù)集生成階段
[0042]屬性庫(kù)根據(jù)云平臺(tái)服務(wù)器請(qǐng)求的屬性聲明來(lái)收集用戶對(duì)應(yīng)的屬性信息。然后利用密鑰數(shù)據(jù)庫(kù)提供的屬性加密私鑰AKpr,調(diào)用虛擬機(jī)執(zhí)行非對(duì)稱加密過(guò)程,生成EAT。如果云平臺(tái)服務(wù)器沒(méi)有發(fā)送明確的屬性請(qǐng)求,則將用戶允許的所有屬性信息加密,發(fā)送到認(rèn)證執(zhí)行單元。策略執(zhí)行單元選取相應(yīng)保密策略,如:完整性自檢、自刪除策略等。認(rèn)證執(zhí)行單元將EAT、保密策略、AKpu、Sg和虛擬機(jī)信息摘要五個(gè)部分一起用云