本發明公開了一種基于標識的跨云安全認證系統和方法，主要解決云域內云服務提供商安全地管理用戶的隱私數據問題。跨云安全認證系統引入分層標識模型，采用共享密鑰環結構，用戶身份標識唯一；用戶能夠擺脫一系列繁雜的證書操作，拓展了大型云網絡環境。安全認證方法的實現是：用跨云安全認證系統設計用戶與云服務提供商各自的公私鑰對；發送及驗證消息；密鑰協商實現認證雙方的標識認證。本發明建立跨云認證模型并基于無證書密鑰協商協議，每一個環節均有安全保護，確保整個系統的安全性、可靠性。計算復雜度較低，滿足云環境下的用戶分屬不同云域的認證及安全訪問需求，更能適應不同云域只進行一次認證的實際應用要求。

技術領域

本發明屬于密碼學技術領域，特別涉及數字簽名及跨域認證，具體是一種基于標識的跨云安全認證系統和方法，廣泛應用于商業、政務、金融、軍事等領域，尤其是云服務方面。

背景技術

云計算用戶數量龐大，為了使用戶能夠放心地使用云服務資源，云服務提供商必須做到安全地管理用戶的隱私數據，且服務系統的實體管理是否有效，將直接影響信息服務的安全性。針對這一問題，完備的標識認證機制顯得尤為重要，認證問題是云環境信任的基礎，只有解決了認證問題，用戶才可以與云服務提供商實現雙向信任關系，確保身份信息，提高云計算系統的安全性。因此，認證機制是建立信任環境、解決云安全問題的首要保障，而密碼學作為該保障中最基本最有效的核心措施，可以為解決云計算安全問題提供可靠的技術支撐。目前，密碼學體系中，針對標識認證系統的設計、實現、使用等大多數都是基于公鑰密碼體制。

公鑰基礎設施是在非對稱加密技術基礎上發展起來的，是一種被廣泛使用的基于證書的公鑰管理機制，它主要利用公鑰技術和理論提供所需的加密和簽名服務，解決網絡中存在的安全問題，但當需要證書的用戶數量不斷增加時，面對大量證書持有者和證書依賴者，CA機構需要頻繁重復運作，大大影響了系統的性能，這些缺點限制了PKI在互聯網中的廣泛使用。為了簡化PKI系統帶來的公鑰證書管理問題，Shanmir研究出一種基于標識的公鑰密碼體制，它簡化了證書的管理，可以脫離第三方認證機構進行獨立驗證，其主要優點是降低系統的管理成本，方便進行密鑰管理操作，增加了系統的靈活性，相比于傳統的基于證書的管理有著天然優勢，但其并不適用于大型網絡環境，且密鑰在實施過程中由于私鑰全部由PKG掌握，會造成密鑰托管這個固有問題。2003年亞洲密碼學會議上，Al-Riyami和Parerson首次提出了無證書公鑰密碼體制。該體制引入了與PKG功能類似的第三方機構---密鑰生成中心KGC。但KGC只是為用戶生成部分私鑰，再由用戶結合自己選擇的隨機秘密值產生最終的實際私鑰，這樣用戶就可以通過公私鑰對實現與其他人的加密解密通信。由于密鑰生成中心不需要利用公鑰證書來認證用戶的公鑰，從而基于證書的公鑰密碼體系中證書管理的問題得到了有效的解決，同時用戶部分私鑰來自于秘密值，KGC無法獲取到用戶完整的私鑰，因此解決了IBC系統中存在的密鑰托管的問題。