技術(shù)領(lǐng)域

本發(fā)明屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域，更進(jìn)一步涉及中計(jì)算平臺的三層認(rèn)證系統(tǒng)及其方法，可用于對云平臺下用戶、云平臺服務(wù)器、虛擬機(jī)群的身份認(rèn)證，保護(hù)云計(jì)算平臺用戶的隱私和數(shù)據(jù)安全。

技術(shù)背景

伴隨著云計(jì)算的快速發(fā)展，越來越多的用戶將數(shù)據(jù)和應(yīng)用托管到了云端，但是云計(jì)算中的安全問題已成為目前阻礙云計(jì)算發(fā)展的最主要的問題之一。云計(jì)算具有多用戶、多層次、體系結(jié)構(gòu)龐大的特性，正是因?yàn)檫@些新特性使得云計(jì)算的安全有著其特殊性：1)云平臺用戶認(rèn)證的開放性特性，使得其認(rèn)證安全需求高；2)云平臺服務(wù)器的易偽造特性，使得云平臺認(rèn)證服務(wù)器需要對服務(wù)器進(jìn)行認(rèn)證；3)云平臺虛擬機(jī)的資源隔離特性，使得其認(rèn)證保密性要求高，并且保證內(nèi)部共享。

無錫成電科大科技發(fā)展有限公司申請的專利“一種云平臺的認(rèn)證與接入方法及系統(tǒng)”(申請?zhí)朇N201310139306.0申請公布號CN103312691A)公開了一種云平臺的認(rèn)證與接入方法及系統(tǒng)。該方法包括：檢查對端的數(shù)字證書是否是由本端信賴的CA簽發(fā)；對端用私鑰數(shù)字簽名，本端用與其對應(yīng)的公鑰解密數(shù)字簽名，以此來認(rèn)證對端身份。該發(fā)明對用戶和云平臺服務(wù)器進(jìn)行雙向身份認(rèn)證，通過雙向身份認(rèn)證，進(jìn)一步保障云平臺及整個(gè)網(wǎng)絡(luò)的安全。該方法存在的不足之處是對于提供服務(wù)的云平臺的認(rèn)證任務(wù)留給了缺乏權(quán)威性的用戶，所以認(rèn)證的結(jié)果同樣缺乏權(quán)威性。

武漢大學(xué)申請的專利“一種防止云平臺虛擬機(jī)非法啟動的鏡像加解密方法”(申請?zhí)朇N201310478092.X申請公開號CN103516728A)公開了一種防止云平臺虛擬機(jī)非法啟動的鏡像加解密方法。其特征在于：云管理服務(wù)器的密鑰管理中心為每個(gè)虛擬機(jī)的鏡像創(chuàng)建一個(gè)唯一的密鑰，并采用云管理服務(wù)器中TPM(Trusted?Platform?Module，可信賴平臺模塊)的SRK(Storage?Root?Key，存儲根密鑰)密鑰保護(hù)該密鑰；在云管理服務(wù)器下發(fā)虛擬機(jī)的鏡像時(shí)，將受云管理服務(wù)器中TPM保護(hù)的密鑰遷移至虛擬機(jī)運(yùn)行的計(jì)算節(jié)點(diǎn)上，然后利用計(jì)算節(jié)點(diǎn)上TPM的SRK密鑰保護(hù)該密鑰；虛擬機(jī)第一次啟動時(shí)正常啟動，在每次虛擬機(jī)關(guān)閉時(shí)，利用遷移到計(jì)算節(jié)點(diǎn)上的密鑰對虛擬機(jī)的鏡像進(jìn)行加密；之后虛擬機(jī)每次啟動時(shí)對已加密虛擬機(jī)的鏡像進(jìn)行解密。該方法的不足之處用戶的虛擬機(jī)的密碼由服務(wù)器掌握，從而使虛擬機(jī)密碼可信度下降，導(dǎo)致用戶數(shù)據(jù)保密性下降。

發(fā)明內(nèi)容

本發(fā)明的目的在于針對上述現(xiàn)有技術(shù)的不足，提出一種面向云計(jì)算平臺的三層認(rèn)證系統(tǒng)及方法，以提高了云計(jì)算平臺用戶層、服務(wù)器層和虛擬機(jī)層的安全性，保證用戶數(shù)據(jù)和隱私的安全性。

為了實(shí)現(xiàn)上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一.本發(fā)明的三層認(rèn)證系統(tǒng)

本發(fā)明的三層認(rèn)證系統(tǒng)包括用戶層認(rèn)證模塊、服務(wù)器層認(rèn)證模塊和虛擬機(jī)層認(rèn)證模塊，其特征在于：

所述用戶層次認(rèn)證模塊，包括：

用戶證書列表子模塊，用于認(rèn)證服務(wù)器存儲用戶的證書信息V；

分配子模塊，用于通過認(rèn)證服務(wù)器為用戶分配不同的角色，即用戶在云平臺操作時(shí)會選擇相應(yīng)的角色，用戶在對云平臺操作時(shí)是基于角色分配的，每個(gè)用戶擁有若干不同的角色，這些角色由認(rèn)證服務(wù)器分配；

USBkey子模塊，用于利用硬件USBkey存儲加密后的用戶證書信息V′，

所述的服務(wù)器層次認(rèn)證模塊，包括：

服務(wù)器證書列表子模塊，用于存儲服務(wù)器的證書信息W；

服務(wù)器認(rèn)證子模塊，用于主動對所有服務(wù)器中部署的證書進(jìn)行認(rèn)證，如果發(fā)現(xiàn)未認(rèn)證通過的服務(wù)器，則會禁止為該服務(wù)器提供服務(wù)；

所述的虛擬機(jī)層認(rèn)證模塊，包括：

虛擬機(jī)認(rèn)證子模塊，用于對用戶USBkey中提供的證書與虛擬機(jī)中部署的證書進(jìn)行匹配，以保證用戶能打開虛擬機(jī)；

虛擬機(jī)通信子模塊，用于在虛擬機(jī)之間進(jìn)行加密通信，通信內(nèi)容為E_n(meg)，其中n表示用戶虛擬機(jī)群組密鑰，meg表示虛擬機(jī)發(fā)送的消息。

二.本發(fā)明三層認(rèn)證方法

本發(fā)明的三層認(rèn)證方法，包括如下步驟：

(1)用戶層認(rèn)證步驟：

(1a)用戶通過瀏覽器打開云平臺界面，進(jìn)入用戶身份識別系統(tǒng)，如用戶已經(jīng)注冊則跳至1d)，否則執(zhí)行1b)；