技術領域

本發明涉及一種可信云計算環境下無證書跨域認證的方法。本方法將無證書公鑰密碼技術引入到跨域認證中，在可信云計算中實現了可信跨域認證，屬于云計算安全技術領域。

背景技術

自2006年谷歌公司提出“云計算”概念以來，云計算越來越受到業界的關注，云計算廣義上就是基于“網絡就是計算機”的思想，將互聯網上的計算資源、存儲資源整合在一起，形成大規模的資源池，使資源能夠通過簡潔的管理或交互過程進行快速地部署和釋放，為遠程計算機用戶提供相應的服務，實現資源的按需分配。云計算已經成為未來互聯網發展的一種趨勢。

隨著云計算技術的深入應用，安全問題已經成為云計算發展面臨的最大問題，成為信息安全領域研究的熱點之一。

可信計算的概念由可信計算組織（Trust?Computing?Group，TCG）提出，主要手段是進行身份確認和使用加密等手段進行存儲保護以及使用完整性度量機制進行對計算機系統進行完整性保護。云計算里的計算中心、數據中心、虛擬化等都依賴于各類計算機系統，云計算的工作模式使得安全、可靠、可信的問題更加突出，因此云計算更需要計算機的安全可信。只有確保云計算里計算機系統的安全可信，才能確保云計算的安全性，可信計算正在成為云計算的安全基礎。

而在可信云計算中，不同的云服務會形成不同的可信域，每個可信域內設置有認證服務器對域內資源進行管理，為訪問資源的用戶提供可信認證服務，在云計算中，用戶經常會漫游到其他可信域中進行云計算資源的訪問，這樣就會存在跨域認證問題，因此有必要設計一種高效的可信云計算環境中的跨域認證方法來實現用戶在不同云可信域中的自由訪問。

發明內容

（1）發明目的

本發明的目的是提出一種可信云計算環境中無證書跨域認證的方法。它可用于解決可信云計算環境中用戶訪問不同可信域中資源的跨域認證的問題，該方法要實現認證服務器對跨域用戶高效的可信認證，同時實現認證服務器和跨域用戶會話密鑰的協商。

（2）技術方案

為了達到上述目的，本發明在可信網絡連接的基礎上結合無證書公鑰密碼技術開展工作，其技術方案如下：

本發明，一種可信云計算環境中無證書跨域認證方法，包括3個可信域共4個實體，如圖1所示。認證系統包括認證服務器A、認證服務器B、中心認證服務器S和用戶C，其中認證服務器A和用戶C屬于可信域DOM1，認證服務器B屬于可信域DOM2，中心認證服務器作為可信第三方獨立于DOM1和DOM2。當用戶C要訪問DOM2中的服務時，需要向DOM2中的認證服務器B進行可信跨域認證。

本發明中采用無證書公鑰密碼體系，由中心認證服務器掌管系統的私鑰，并為認證服務器A和認證服務器B生成部分私鑰，認證服務器A和認證服務器B自己選擇部分私鑰并生成公鑰，并向系統公布公鑰。用戶C對認證服務器B的跨域認證請求由中心認證服務器傳遞給認證服務器A，在傳遞過程中，中心認證服務器利用無證書公鑰密碼技術完成對認證服務器A和認證服務器B的身份認證，認證服務器A完成對用戶C的可信認證后將結果返回給中心認證服務器，如果認證通過，由中心認證服務器S向用戶C發送跨域認證的部分私鑰，此時用戶C利用自己的私鑰和認證服務器B的公鑰生成跨域訪問的會話密鑰，認證服務器B同時利用自己的私鑰和用戶C的公鑰生成與用戶C一致的會話密鑰，完成整個跨域認證過程。

以下將結合附圖對所述的可信云計算環境中無證書跨域認證方法進行具體闡述，圖1為整個跨域認證的系統結構圖，圖2為跨域認證的流程圖。

如圖2所示，本方法共包含7個步驟，分為4個階段，分別為：跨域認證請求階段、請求轉發階段、用戶可信認證階段、跨域認證密鑰分發階段。

1.一種可信云計算環境中無證書跨域認證方法，其特征在于：

認證系統包括認證服務器A、認證服務器B、中心認證服務器S和用戶C，其中認證服務器A和用戶C屬于可信域DOM1，認證服務器B屬于可信域DOM2，中心認證服務器作為可信第三方獨立于DOM1和DOM2；

分為4個階段，分別為：跨域認證請求階段、請求轉發階段、用戶可信認證階段、跨域認證密鑰分發階段；

階段1：跨域認證請求階段：可信域DOM1中的用戶C向可信域DOM2中的認證服務器B發起跨域認證請求，包括用戶C的唯一身份ID_C、用戶C的隨機挑戰N_C、用戶C的公鑰用戶C選擇的臨時公鑰T_C進入階段2；