本發(fā)明公開了一種云環(huán)境下基于可信代理的異構(gòu)跨域認(rèn)證方法，通過引入一個(gè)可信的第三方認(rèn)證中心完成對(duì)用戶以及云服務(wù)提供商的高效率身份驗(yàn)證，計(jì)算會(huì)話密鑰安全頒發(fā)給用戶和云服務(wù)提供商，并且基于數(shù)學(xué)困難性問題使得惡意攻擊者無法獲得私密信息，保證通信的安全高效性來完成不同系統(tǒng)的跨域認(rèn)證。本發(fā)明具有高效性，安全性，防篡改性，易驗(yàn)證等特點(diǎn)，適合于需要用戶負(fù)載量大的網(wǎng)絡(luò)云服務(wù)器。

技術(shù)領(lǐng)域

本發(fā)明涉及云計(jì)算信息安全技術(shù)領(lǐng)域，尤其涉及一種云環(huán)境下基于可信代理的異構(gòu)跨域認(rèn)證方法。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)和云計(jì)算技術(shù)的發(fā)展可能存在多個(gè)不同的安全域，每個(gè)安全域內(nèi)設(shè)置有認(rèn)證服務(wù)器對(duì)域內(nèi)資源進(jìn)行管理，實(shí)現(xiàn)資源的按需分配同時(shí)為訪問資源的用戶提供可信認(rèn)證服務(wù)。云計(jì)算里的計(jì)算中心、數(shù)據(jù)中心、虛擬化等都依賴于各類計(jì)算機(jī)系統(tǒng)，云計(jì)算的工作模式使得安全、可靠、可信的問題更加突出，因此云計(jì)算更需要計(jì)算機(jī)的安全可信，云計(jì)算已經(jīng)成為未來互聯(lián)網(wǎng)發(fā)展的趨勢(shì)。

但是對(duì)于目前出現(xiàn)的層出不窮的攻擊者對(duì)跨域認(rèn)證過程中的不斷攻擊問題、增加服務(wù)器的計(jì)算負(fù)擔(dān)問題并且高效性問題，已經(jīng)成為安全領(lǐng)域研究的熱點(diǎn)。用戶希望供應(yīng)商對(duì)消息的傳遞不僅有高安全性, 而且希望在減少計(jì)算量的情況下能夠?qū)ο⑦M(jìn)行保密性和完整性、防篡改、高效的認(rèn)證，并且增加云服務(wù)器的工作效率同時(shí)確保云計(jì)算里計(jì)算機(jī)系統(tǒng)的安全可靠，才能確保云計(jì)算的安全性。對(duì)此，我們有必要設(shè)計(jì)一種高效，能夠在安全的通道中實(shí)現(xiàn)身份驗(yàn)證和跨域認(rèn)證的方法來減少服務(wù)器的計(jì)算。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)的不足，本發(fā)明所解決的技術(shù)問題是如何處理現(xiàn)有簽名和證書實(shí)現(xiàn)跨域認(rèn)證安全性因算法的復(fù)雜性而增加云服務(wù)器計(jì)算負(fù)擔(dān)的問題。

為解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案是一種云環(huán)境下基于可信代理的異構(gòu)跨域認(rèn)證方法，包括以下步驟：

(一)跨域認(rèn)證：可信CLC系統(tǒng)中的用戶U向可信PKI系統(tǒng)中的云服務(wù)提供商CSP發(fā)送跨域認(rèn)證請(qǐng)求消息，臨時(shí)身份，選取的隨機(jī)數(shù)(request，TID_U，w)，同時(shí)向第三方認(rèn)證中心CA發(fā)送驗(yàn)證身份和會(huì)話秘鑰協(xié)商參數(shù)Y消息(Test,Y)；云服務(wù)提供商CSP要對(duì)用戶U的身份進(jìn)行驗(yàn)證；

(二)云服務(wù)提供商CSP上傳驗(yàn)證用戶U的消息Test₁，會(huì)話參數(shù)Z，云服務(wù)提供商CSP的證書Cert_CSP到第三方認(rèn)證中心CA；

(三)第三方認(rèn)證中心CA安全接收用戶U發(fā)送的消息和云服務(wù)提供商CSP的驗(yàn)證消息，進(jìn)行身份驗(yàn)證并且計(jì)算Test₂和會(huì)話秘鑰K，若兩個(gè)身份驗(yàn)證都通過，發(fā)送消息(Test₂，K，result)到PKI所屬域中的認(rèn)證中心CA₁繼續(xù)執(zhí)行步驟，result返回結(jié)果通過則繼續(xù)，驗(yàn)證不通過為“⊥”；

(四)所屬PKI域認(rèn)證中心CA₁查看result，若驗(yàn)證不通過，返回“⊥”，否則把結(jié)果(Test₂，K，result)返回云服務(wù)提供商CSP, 云服務(wù)提供商CSP計(jì)算隨機(jī)數(shù)q為大素?cái)?shù)，驗(yàn)證用戶U的身份，若驗(yàn)證正確，云服務(wù)提供商CSP允許訪問請(qǐng)求并且接受會(huì)話秘鑰K，回應(yīng)用戶U消息；

(五)用戶U把CSP的驗(yàn)證身份消息Q＝Cert_CSPβ,β為CSP選取的隨機(jī)參數(shù)；計(jì)算的公式Q₁＝θβ,θ為U選取的隨機(jī)參數(shù)；臨時(shí)身份TID_u上傳第三方認(rèn)證中心CA，第三方認(rèn)證中心CA認(rèn)證用戶U的身份，若驗(yàn)證通過，計(jì)算和會(huì)話秘鑰K發(fā)送結(jié)果 (Q₂，K，result)到秘鑰發(fā)布中心KGC；

(六)秘鑰發(fā)布中心KGC驗(yàn)證result，結(jié)果不通過，返回“⊥”，否則發(fā)送消息給用戶U繼續(xù)執(zhí)行；