技術(shù)領(lǐng)域

本發(fā)明涉及云計算技術(shù)領(lǐng)域，具體的說是一種可應(yīng)用于電子政務(wù)、電子商務(wù)、行業(yè)等云服務(wù)領(lǐng)域中并基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法。

背景技術(shù)

云計算作為一個新興的網(wǎng)絡(luò)應(yīng)用模式,有非常好的應(yīng)用和發(fā)展前景，而云計算作為一種新興的商業(yè)模式,對它的研究還處于初級階段,還有很多問題尚待解決,其安全問題尤為突出,而身份認(rèn)證與訪問控制管理正是云計算安全的主要問題之一，在云計算基礎(chǔ)上提供的云服務(wù)，同樣存在急需解決的安全問題，安全問題已成為云計算及云服務(wù)推廣的一大阻礙，主要來源于數(shù)據(jù)共享帶來的安全問題、訪問者的身份不確定性和云服務(wù)提供商的超級特權(quán)導(dǎo)致的潛在危險。為此，根據(jù)云計算中數(shù)據(jù)存儲、云服務(wù)和云用戶群體的特點，第三方服務(wù)將是最佳的選擇方案，云訪問者需經(jīng)過第三方身份認(rèn)證，對不同訪問主體采取不同訪問控制策略，以提供分級的安全特性，使云服務(wù)提供商不再享有超級特權(quán)，使得云端數(shù)據(jù)訪問者及訪問安全無須依賴于服務(wù)器的絕對可信，為云計算提供了更為可靠的安全特性。

發(fā)明內(nèi)容

本發(fā)明的技術(shù)任務(wù)是解決現(xiàn)有技術(shù)的不足，提供一種實用性強、基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法。

本發(fā)明的技術(shù)方案是按以下方式實現(xiàn)的，該一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法，其具體步驟為：

一、云用戶向簽名認(rèn)證服務(wù)云提交請求服務(wù)信息；

二、簽名認(rèn)證服務(wù)云接收到云用戶請求信息后，向第三方目錄認(rèn)證服務(wù)云驗證云用戶證書的有效性；

三、經(jīng)過應(yīng)用門戶目錄服務(wù)云簽發(fā)密文用戶登錄令牌和數(shù)字信封，然后對應(yīng)用門戶目錄服務(wù)云簽發(fā)的密文用戶登錄令牌及數(shù)字信封進行認(rèn)證服務(wù)簽名；

四、步驟三中的密文用戶登錄令牌及數(shù)字信封回送給云用戶，云用戶對獲取的密文用戶登錄令牌、數(shù)字信封及認(rèn)證服務(wù)簽名信息進行數(shù)字簽名，作為登錄應(yīng)用服務(wù)云的臨時唯一性請求信息，并將此請求提交給應(yīng)用服務(wù)云，請求相應(yīng)的服務(wù)；

五、應(yīng)用服務(wù)云驗證相應(yīng)的簽名及令牌信息，為云用戶提供相應(yīng)的服務(wù)；

六、如果用戶超過一定時間未訪問本服務(wù)時，用戶狀態(tài)置為停止，之后需重復(fù)一到五步驟重新登錄。

所述步驟一中的云用戶請求服務(wù)信息包括：用戶數(shù)字證書、云用戶請求登錄應(yīng)用門戶信息。

所述步驟三的詳細(xì)過程為：簽名認(rèn)證服務(wù)云將用戶請求信息及令牌有效期提交給應(yīng)用門戶目錄服務(wù)云，經(jīng)過應(yīng)用門戶目錄服務(wù)云權(quán)限驗證，驗證通過后將用戶證書、令牌有效期、用戶狀態(tài)、應(yīng)用門戶信息后進行加密得密文用戶登錄令牌，同時采用應(yīng)用門戶目錄服務(wù)公鑰將會話密鑰加密產(chǎn)生數(shù)字信封。

所述步驟三中的加密方法用會話密鑰，采用SM1、DES或3DES算法加密。

所述步驟四中的數(shù)字簽名算法采用RSA、SM2或ECC算法。

所述步驟五的詳細(xì)過程為：應(yīng)用服務(wù)云收到用戶請求信息，首先驗證用戶簽名和簽名認(rèn)證服務(wù)云簽名，然后打開數(shù)字信封，解密密文用戶登錄令牌，并再次用令牌中的用戶證書驗證云用戶簽名，核對令牌有效期，檢測用戶狀態(tài)，比對應(yīng)用門戶信息，應(yīng)用服務(wù)云所有驗證通過，為用戶開通應(yīng)用權(quán)限，提供相應(yīng)的服務(wù)。?

本發(fā)明與現(xiàn)有技術(shù)相比所產(chǎn)生的有益效果是：

本發(fā)明的一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法解決現(xiàn)有應(yīng)用云服務(wù)中身份認(rèn)證、統(tǒng)一管理的問題，將簽名認(rèn)證服務(wù)云、第三方認(rèn)證目錄服務(wù)云、應(yīng)用門戶目錄服務(wù)云和應(yīng)用服務(wù)云相結(jié)合，實現(xiàn)了統(tǒng)一云認(rèn)證和應(yīng)用門戶權(quán)限管理，為云用戶提供了安全可信的第三方認(rèn)證服務(wù)，真正解決了云服務(wù)安全方面的難題；整個云服務(wù)過程與第三方服務(wù)緊密結(jié)合，驗證云用戶身份的真實性、合法性，簽名技術(shù)的應(yīng)用確保信息來源的真實性和不可抵賴性，密文用戶登錄令牌和數(shù)字信封技術(shù)加固了信息傳輸過程的安全性，實用性強，易于推廣。

附圖說明

附圖1是本發(fā)明的安全認(rèn)證方法模型圖。

附圖2是本發(fā)明的云用戶令牌信息示意圖。

具體實施方式

下面結(jié)合附圖對本發(fā)明的一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法作詳細(xì)說明。

如附圖1、圖2所示，現(xiàn)提供一種基于第三方服務(wù)的應(yīng)用云安全認(rèn)證方法，其具體步驟為：

一、云用戶向簽名認(rèn)證服務(wù)云提交請求服務(wù)信息；

二、簽名認(rèn)證服務(wù)云接收到云用戶請求信息后，向第三方目錄認(rèn)證服務(wù)云驗證云用戶證書的有效性；

三、經(jīng)過應(yīng)用門戶目錄服務(wù)云簽發(fā)密文用戶登錄令牌和數(shù)字信封，然后對應(yīng)用門戶目錄服務(wù)云簽發(fā)的密文用戶登錄令牌及數(shù)字信封進行認(rèn)證服務(wù)簽名；