本發明涉及云端訪問權限技術領域，且公開了一種基于教育云的訪問授權系統，包括：運行有訪問授權系統軟件且架設在教育云平臺上的云認證服務器S_CA，運行有教育云平臺系統軟件的云服務器S_C，用于請求登錄用戶接入教育云平臺的終端設備；請求登錄用戶向教育云平臺發送登錄請求時，訪問授權系統開始對請求登錄用戶進行身份認證，若請求登錄用戶的身份通過了訪問授權系統的認證，則允許請求登錄用戶接入到與其身份權限對應的教育云網絡區域間內，但不允許請求登錄用戶接入到其身份權限以外的教育云網絡區域間內。本發明解決了教育云資源網絡的各區域間缺少安全邊界，訪問沒有進行細分控制的問題。

技術領域

本發明涉及云端訪問權限技術領域，具體為一種基于教育云的訪問授權系統。

背景技術

云計算在教育領域中的遷移稱之為“教育云”，是未來教育信息化的基礎架構，包括了教育信息化所必須的一切軟硬件資源。這些資源經虛擬化之后，向教育機構、教育從業人員和學員提供一個良好的平臺，該平臺的作用就是為教育領域提供云服務。教育云通過一個統一的、多樣化的平臺，讓教育部門、學校、老師、學生、家長及其他與教育相關的人士都能進入該平臺，扮演不同的角色，在這個平臺上融入教學、管理、學習、娛樂、交流等各類應用工具，讓“教育真正地實現信息化”。教育云擴展了教育深度、擴大了教育范圍，促進了學習方式轉變和提高學校信息化管理能力。

由于教育云服務框架內包括內外網及資源的跨網絡調用，不同級別人員對應不同的操作權限，類型相對復雜，所以其存在以下應用隱患：教育云資源網絡雖然從安全角度劃分了多個區域，但各區域間缺少安全邊界，訪問沒有進行細分控制。

發明內容

(一)解決的技術問題

針對現有技術的不足，本發明提供一種基于教育云的訪問授權系統，以解決教育云資源網絡的各區域間缺少安全邊界，訪問沒有進行細分控制的問題。

(二)技術方案

為實現上述目的，本發明提供如下技術方案：

一種基于教育云的訪問授權系統，包括：運行有訪問授權系統軟件且架設在教育云平臺上的云認證服務器S_CA，運行有教育云平臺系統軟件的云服務器S_C，用于請求登錄用戶接入教育云平臺的終端設備，該終端設備分別與云認證服務器S_CA和云服務器S_C進行通信連接；

訪問授權系統對請求登錄用戶的認證方法包括以下步驟：

(一)請求登錄用戶在訪問授權系統上進行用戶注冊，具體包括：

①訪問授權系統進行以下參數設置：選取模η＝μν，設定雙線性映射其中群G,G₁的階是η，生成元g∈G,是ν階子群，生成元h∈G_ν；

訪問授權系統向注冊用戶公開參數

②注冊用戶隨機選取(α,β)∈{0，1}×Z，計算σ＝g^αh^β，將σ發送給訪問授權系統；

(二)訪問授權系統對請求登錄用戶進行身份認證，具體包括：

①請求登錄用戶隨機選取κη，計算λ₁＝h^κ,λ₃＝g^κ，并且將(λ₁,λ₂,λ₃)發送給訪問授權系統；

②訪問授權系統驗證是否成立；

若上述等式均成立，則訪問授權系統通過請求登錄用戶的身份認證。