技術領域

本發明涉及云計算，特別涉及一種云計算網絡中的身份認證方法。

背景技術

云計算中龐大的數據交易和各類信息服務的背后卻隱藏著雜亂繁多的賬戶管理問題，使得數字身份無疑成為了關注焦點。近年來因為數字身份泄露造成的侵犯個人隱私案件時有發生。為了在云之間資源能安全共享，云彼此身份的合法性自然也成為重要的關注點。身份認證作為信息安全的守衛，是云安全措施不可或缺的環節。

為了實現通用登錄，很多機制也在開發和使用當中。其中一些是針對合作網站之間安全交換信息認證和授權而開發的框架或協議，而另一些則是橫跨網站、應用程序和設備而搭建的，將身份以及關系信息融為一體的構架，但現有以上架構構造信任的高額成本和作為身份提供者的可信第三方可能存在單點失效問題。

發明內容

為解決上述現有技術所存在的問題，本發明提出了一種云計算網絡中的身份認證方法，包括：

步驟一，生成認證數據集，所述認證數據集包括加密后的用戶屬性信息和保密策略；

步驟二，云平臺服務器獲得所述認證數據集，執行解密操作，對用戶進行認證；

步驟三，若認證通過，根據所述保密策略刪除用戶屬性信息，返回接收信息給認證模塊，允許用戶使用服務。

優選地，所述步驟一，生成認證數據集，所述認證數據集包括加密后的用戶屬性信息和保密策略，進一步包括：

云平臺的認證模塊中的屬性庫根據云平臺服務器請求的屬性聲明來收集用戶對應的屬性信息，然后利用認證模塊的密鑰數據庫提供的屬性加密私鑰，調用虛擬機執行非對稱加密過程，生成加密的用戶屬性信息，如果云平臺服務器沒有發送屬性請求，則將用戶允許的所有屬性信息加密，發送到認證模塊的認證執行單元，認證模塊的策略執行單元選取相應保密策略，所述保密策略包括完整性自檢、自刪除策略，認證執行單元將加密的用戶屬性信息、保密策略、屬性加密公鑰、簽名信息和虛擬機信息摘要五個部分一起用云平臺服務器提供的公鑰打包，生成認證數據集，并通過安全通道傳輸給云平臺服務器。

優選地，所述步驟二，云平臺服務器獲得所述認證數據集，執行解密操作，對用戶進行認證，進一步包括：

云平臺服務器獲得認證數據集后，輸入云平臺服務器提供的私鑰，虛擬機執行解密操作，成功解密后，認證數據集啟動完整性自檢，將計算出的值與之前已經保存在保密策略中的值對比，若符合則啟用認證數據集。

優選地，所述步驟三，若認證通過，根據所述保密策略刪除用戶屬性信息，返回接收信息給認證模塊，允許用戶使用服務，進一步包括：

云平臺服務器對用戶的認證通過后，如果云平臺服務器不查看用戶屬性信息，根據具體保密策略立即刪除用戶屬性信息，并將簽名信息交給云平臺服務器保存，云平臺服務器返回接收信息給認證模塊，表示允許使用服務，當用戶再次請求該相同的服務時，云平臺服務器只返回所述簽名，認證模塊驗證簽名即可表示認證該云平臺服務器；若云平臺服務器需要查看用戶的屬性信息，輸入云平臺服務器提供的私鑰到虛擬機，解密用戶屬性信息，在保密策略中將多余的信息刪除，云平臺服務器得到信息后進一步認證，認證通過后發送接收信息給認證模塊，如果沒有通過，則返回拒絕信息。

本發明相比現有技術，具有以下優點：

本發明提出了一種云計算網絡中的身份認證方法，不需要可信第三方，用戶和服務器之間彼此進行不公開的認證，不需要暴露隱私屬性信息，防止信息的泄露或篡改。

附圖說明

圖1是根據本發明實施例的云計算網絡中的身份認證方法的流程圖。

具體實施方式

下文與圖示本發明原理的附圖一起提供對本發明一個或者多個實施例的詳細描述。結合這樣的實施例描述本發明，但是本發明不限于任何實施例。本發明的范圍僅由權利要求書限定，并且本發明涵蓋諸多替代、修改和等同物。在下文描述中闡述諸多具體細節以便提供對本發明的透徹理解。出于示例的目的而提供這些細節，并且無這些具體細節中的一些或者所有細節也可以根據權利要求書實現本發明。

本發明的一方面提供了一種云計算網絡中的身份認證方法。圖1是根據本發明實施例的云計算網絡中的身份認證方法流程圖。本發明通過匿私有云身份認證方案，可以被嵌入如智能卡等微型硬件中，終端用戶獲得合法使用權后通過各種移動設備來請求服務。終端用戶不用擔心自己身份隱私問題，同時降低網絡負載，克服網絡延遲。

云身份認證空間參與的角色包含：私有云平臺服務器、云終端用戶和云平臺認證模塊。而云平臺認證模塊包含了以下六個部分。