技術領域

本發明屬于云計算領域，涉及一種云平臺的認證與接入方法及系統。

背景技術

云計算平臺主要是通過互聯網傳輸數據，然而互聯網卻是惡意攻擊經常發生的地方，要使用戶能夠放心的把個人和企業資料存放于云上，不僅需要法律法規約束云服務商不會查看到用戶信息，更需要可靠的安全技術手段來提高用戶對云計算環境的安全信心。在云時代，在數據集中計算和存儲的背景下，共用網絡平臺引入了新的私密性和用戶鑒權的安全需求，由此，云時代的安全接入主要是指跨共用網絡平臺的安全訪問，包含云-端互聯和云間互聯兩個方面，而云-端互聯即為本發明的應用場景。

傳統云-端互聯的安全接入大多只關注于云端內部資源的安全，而忽略了接入終端的安全，即傳統云-端互聯的安全接入大多為云端單向認證接入，但是，實際中，接入終端的安全與否對云平臺及整個網絡的安全性影響很大，所以在云-端互聯的應用場景中，對接入終端安全性的認證變得甚為重要。

本發明以云-端互聯為應用場景，提供一種用戶端和云平臺服務器之間進行雙向身份認證的方法及系統。

發明內容

本發明提供一種云平臺的認證與接入方法及系統，其可解決用戶端和云平臺服務器之間進行雙向身份認證的問題，更進一步地保障云平臺及整個網絡的安全。

一種云平臺的認證與接入方法，包括：

A用戶端發出連接請求給云平臺服務器，云平臺服務器返回一個隨機報文R1和云平臺服務器數字證書，云平臺服務器保留該隨機報文R1；

B用戶端接收到所述云平臺服務器數字證書和隨機報文R1后，檢查該云平臺服務器數字證書是否由自己信賴的CA簽發且在有效期內，若是，則執行步驟C；若否，則認證接入失敗；

C用戶端用用戶私鑰對隨機報文R1進行數字簽名，產生一個隨機報文R2，將隨機報文R1的數字簽名、用戶數字證書和隨機報文R2一并發給所述云平臺服務器，本地保留隨機報文R2；

D云平臺服務器接收到隨機報文R1的數字簽名、用戶數字證書和隨機報文R2后，檢查該用戶數字證書是否由自己信賴的CA簽發且在有效期內，若是，則執行步驟E；若否，則認證接入失敗；

E云平臺服務器通過用戶數字證書獲得用戶公鑰，解密隨機報文R1的數字簽名，判斷用戶身份能否被認證；若能，則執行F；若不能，則認證接入失敗；

F云平臺服務器用云平臺服務器私鑰對隨機報文R2進行數字簽名，將隨機報文R2的數字簽名發送給用戶端；

G用戶端接收到隨機報文R2的數字簽名后，通過云平臺服務器數字證書獲得云平臺服務器公鑰，解密隨機報文R2的數字簽名，判斷云平臺服務器身份能否被認證；若能，則表明通過雙向身份認證，執行H；若不能，則認證接入失敗；

H用戶端發出接入請求，云平臺服務器響應接入請求，用戶端接入云平臺服務器。

一種云平臺的認證與接入系統，包括用戶端和云平臺服務器：

用戶端包括連接請求發送單元，用于發出連接請求給云平臺服務器；

云平臺服務器包括數據發送單元，用于接收到用戶端發出的連接請求時，發送一個隨機報文R1和云平臺服務器數字證書給用戶端，并保留隨機報文R1；

用戶端還包括檢查單元，用于接收到云平臺服務器發送單元發送的數據后，檢查云平臺服務器數字證書是否由自己信賴的CA簽發且在有效期內，若是，則發出數字簽名和數據發送的消息；若否，則發出認證接入失敗的消息；

用戶端還包括數字簽名和數據發送單元，用于當接收到用戶端檢查單元發出的數字簽名和數據發送的消息時，用用戶私鑰對隨機報文R1進行數字簽名，產生一個隨機報文R2，將隨機報文R1的數字簽名、用戶數字證書和隨機報文R2一并發給云平臺服務器，本地保留隨機報文R2；

云平臺服務器還包括檢查單元，用于接收到用戶端數字簽名和數據發送單元發送的隨機報文R1的數字簽名、用戶數字證書和隨機報文R2后，檢查該用戶數字證書是否由自己信賴的CA簽發且在有效期內，若是，則發出解密和判斷的消息；若否，則發出認證接入失敗的消息。

云平臺服務器還包括解密和判斷單元，用于當接收到云平臺服務器檢查單元發出的解密和判斷的消息時，通過用戶數字證書獲得用戶公鑰，解密隨機報文R1的數字簽名，判斷用戶身份能否被認證；若能，則發出數字簽名和簽名發送的消息；若不能，則發出認證接入失敗的消息；