本發明提出了一種OpenStack開源云用戶的安全認證方法，用于解決現有技術中存在的認證成本高的技術問題，實現步驟為：認證服務器計算自己的公鑰和私鑰；用戶計算自己的公鑰和私鑰；用戶向認證服務器發送認證請求；認證服務器對用戶的用戶名和密碼進行驗證；認證服務器為用戶頒發簽名令牌；用戶向資源服務器發送簽名資源請求；資源服務器對簽名令牌和簽名資源請求合法性進行驗證；資源服務器對用戶的請求進行響應；用戶對資源服務器發送的密文進行解密；用戶對資源服務器響應的合法性進行驗證；用戶對隨機數的合法性進行驗證；資源服務器確認用戶身份。本發明采用公鑰算法對認證消息進行保密，且不依賴額外硬件，降低了成本。

技術領域

本發明屬于身份認證技術領域，涉及一種開源云用戶的安全認證方法，具體涉及一種基于公鑰的OpenStack開源云用戶的安全認證方法。

背景技術

OpenStack是目前最火的開源云平臺，由NASA(美國國家航空航天局)和Rackspace合作研發并發起的，以Apache許可證授權的自由軟件和開放源代碼項目。OpenStack是一個IaaS(Infrastructure as a Service)軟件，在云計算中主要負責虛擬機硬件資源的調度與分配。OpenStack由一系列獨立模塊構成，例如模塊有keystone(認證服務)、nova(計算服務)、cinder(塊存儲服務)、glance(鏡像服務)和neutron(網絡服務)等。其中keystone提供認證服務，負責對接入用戶的身份進行驗證并對用戶授權。

云計算中IaaS層主要為用戶提供虛擬機服務，當用戶需要使用云資源時，需要向keystone發送認證請求，即俗稱的登錄系統，服務器會根據用戶注冊時授予用戶的權限給用戶頒發一個令牌，然后用戶就可以使用這個令牌去請求對應的資源，對應的資源服務器可以通過令牌鑒別用戶的身份和權限，從而提供相應的服務。

傳統的OpenStack安全認證只提供認證流程，對于信息的保護，只建議在傳輸過程中使用TLS安全傳輸協議，除此之外未使用任何安全加密算法，一旦用戶信息泄露或者令牌被非法獲取，非法分子就能輕松獲得用戶的資源。針對這種情況，現有的改進方法是請求認證時使用特殊輔助硬件，該硬件用于保存用戶的私鑰以及數字證書，對用戶的身份認證需要借助里面的證書和秘鑰，如公布號為CN 106936760 A名稱為“一種登錄OpenStack云系統虛擬機的裝置和方法”中，用戶登錄系統需要使用USBKey(一種USB接口的硬件設備，內置智能芯片或者單片機，具有一定的存儲空間，可以存儲用戶的私鑰以及數字證書)，通過USBKey中保存的證書和秘鑰來保證用戶身份的合法性。該方法存在的不足之處在于，依賴硬件設備，增加了服務成本，而且用戶還需要額外保護此硬件設備，避免丟失或者被盜，同時每次請求都需要使用此設備，導致用戶使用不便。

發明內容

本發明的目的在于克服上述現有技術存在的缺陷，提出了一種OpenStack開源云用戶的安全認證方法，用于解決現有技術中存在的認證需要額外硬件設備導致認證成本高的技術問題。

本發明的技術思路是：通過對通信消息進行簽名，以防止通信消息被非法分子篡改，同時資源服務器利用令牌中保存的用戶公鑰對一個隨機數進行加密，如果資源請求者能解密此隨機數，則能證明資源請求者身份的合法性，從而在不借助額外硬件設備的情況下完成用戶身份認證。

根據上述技術思路，實現本發明目的采取的技術方案包含步驟如下：

(1)認證服務器計算自己的公鑰PK_s和私鑰SK_s：

(1a)認證服務器根據素數m確定有限域GF(2^m)，并在GF(2^m)上選擇橢圓曲線E(a,b)，其中a、b表示橢圓曲線的系數；

(1b)認證服務器選擇橢圓曲線E(a,b)上的任意一點作為E(a,b)的基點P，并根據P的坐標計算P的素階n；