1.一種OpenStack開源云用戶的安全認證方法，其特征在于包括如下步驟：

(1)認證服務器計算自己的公鑰PK_s和私鑰SK_s：

(1a)認證服務器根據素數m確定有限域GF(2^m)，并在GF(2^m)上選擇橢圓曲線E(a,b)，其中a、b表示橢圓曲線的系數；

(1b)認證服務器選擇橢圓曲線E(a,b)上的任意一點作為E(a,b)的基點P，并根據P的坐標計算P的素階n；

(1c)認證服務器根據P和n，計算自己的公鑰PK_s和私鑰SK_s，并將E(a,b)、P、n和PK_s對外公開；

(2)用戶計算自己的公鑰PK_u和私鑰SK_u：

用戶根據P和n，計算自己的公鑰PK_u和私鑰SK_u；

(3)用戶向認證服務器發送認證請求信息：

用戶將自己的用戶名、密碼、公鑰PK_u發送給認證服務器；

(4)認證服務器對用戶的用戶名和密碼進行驗證：

認證服務器在服務器數據庫中查詢是否存在與接收到的用戶名和密碼相同的用戶，若是，執行步驟(5)，否則認證失敗；

(5)認證服務器為用戶頒發簽名令牌Token_sign：

(5a)認證服務器在服務器數據庫中通過用戶名查詢用戶注冊時分配給用戶的標識符U_id和用戶權限U_r，并通過U_id、U_r和PK_u構造令牌Token＝{U_id,U_r,PK_u}；

(5b)認證服務器采用基點P、素階n和認證服務器私鑰SK_s，對Token進行簽名，得到簽名令牌Token_sign，并將Token_sign發送給用戶；

(6)用戶向資源服務器發送簽名資源請求Req_res：

(6a)用戶確定自己所需要的資源Res，并采用認證服務器私鑰SK_s、基點P和素階n，通過認證服務器對Res進行簽名，得到簽名資源請求Res_sign；

(6b)用戶選取隨機數Num_u，并采用Res_sign、Num_u和Token_sign構造資源請求Req_res＝{Num_u,Res_sign,Token_sign}，再將Req_res發送給資源服務器，同時將Num_u存入資源服務器數據庫，并將Num_u狀態標記為未接收；

(7)資源服務器對Res_sign和Token_sign合法性進行驗證：

資源服務器采用認證服務器的公鑰PK_s、基點P和素階n，驗證Token_sign和Res_sign的合法性，若Token_sign和Res_sign兩個均合法，執行步驟(8)，否則認證失敗；

(8)資源服務器對用戶的請求進行響應：

(8a)資源服務器選取隨機數Num_s和K_s，并采用Num_s、K_s和Num_u構造資源響應Respon＝{Num_s,K_s,Num_u}，同時將Num_s存入資源服務器數據庫，并將Num_s狀態標記為未接收；

(8b)資源服務器采用認證服務器的私鑰SK_s、基點P和素階n，通過認證服務器對Respon進行簽名，得到簽名資源請求Respon_sign；

(8c)資源服務器采用用戶的公鑰PK_u、橢圓曲線E(a,b)、基點P和素階n對Respon_sign進行加密，并將密文(C₁,C₂)發送給用戶；

(9)用戶對資源服務器發送的密文(C₁,C₂)進行解密：

用戶采用自己的私鑰SK_u、橢圓曲線E(a,b)、基點P和素階n對資源服務器發送的密文(C₁,C₂)進行解密，得到簽名資源請求Respon_sign；

(10)用戶對Respon_sign的合法性進行驗證：

用戶采用認證服務器的公鑰PK_s、基點P和素階n，對Respon_sign的合法性進行驗證，若合法，則從Respon_sign中提取Num_s、Num_u和K_s，并執行步驟(11)，否則認證失敗；

(11)用戶對Num_u的合法性進行驗證：

用戶在本地數據庫中查詢Num_u是否為用戶發送給資源服務器且狀態為未接收的隨機數，若是，則將Num_s發回資源服務器，同時在用戶本地數據庫中將Num_u狀態標記為已接收，否則認證失敗；

(12)資源服務器確認用戶身份：

資源服務器在資源服務器數據庫中查詢Num_s是否為資源服務器發送給用戶且狀態為未接收的隨機數，若是，則用戶為Token_sign的合法所有者，同時在資源服務器數據庫中將Num_s的狀態標記為已接收，否則認證失敗。