亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

一種云計算網(wǎng)絡(luò)中的終端登錄方法

文檔序號:9219793閱讀:1048來源:國知局
一種云計算網(wǎng)絡(luò)中的終端登錄方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計算,特別涉及一種云計算網(wǎng)絡(luò)中的終端登錄方法。
【背景技術(shù)】
[0002]云計算中龐大的數(shù)據(jù)交易和各類信息服務的背后卻隱藏著雜亂繁多的賬戶管理問題,使得數(shù)字身份無疑成為了關(guān)注焦點。近年來因為數(shù)字身份泄露造成的侵犯個人隱私案件時有發(fā)生。為了在云之間資源能安全共享,云彼此身份的合法性自然也成為重要的關(guān)注點。身份認證作為信息安全的守衛(wèi),是云安全措施不可或缺的環(huán)節(jié)。
[0003]為了實現(xiàn)通用登錄,很多機制也在開發(fā)和使用當中。其中一些是針對合作網(wǎng)站之間安全交換信息認證和授權(quán)而開發(fā)的框架或協(xié)議,而另一些則是橫跨網(wǎng)站、應用程序和設(shè)備而搭建的,將身份以及關(guān)系信息融為一體的構(gòu)架,但現(xiàn)有以上架構(gòu)構(gòu)造信任的高額成本和作為身份提供者的可信第三方可能存在單點失效問題。

【發(fā)明內(nèi)容】

[0004]為解決上述現(xiàn)有技術(shù)所存在的問題,本發(fā)明提出了一種云計算網(wǎng)絡(luò)中的終端登錄方法,包括:
[0005]首先,用戶連接到云平臺服務器后,獲取服務器加密后的元數(shù)據(jù)令牌,查詢該令牌對服務器進行認證,
[0006]然后,云平臺的認證模塊對用戶進行認證,將認證結(jié)果發(fā)送至云平臺服務器。
[0007]優(yōu)選地,所述獲取服務器加密后的元數(shù)據(jù)令牌,查詢該令牌對服務器進行認證,進一步包括:
[0008]云平臺服務器首先生成一對密鑰SPK,SMK ;然后加密公鑰和自己的ID生成密文SCT ;接著把密鑰對SPK、SMK和元數(shù)據(jù)描述函數(shù)f作為輸入項,生成元數(shù)據(jù)描述令牌;
[0009]當認證模塊得到令牌和SPK、SCT后,虛擬機調(diào)用查詢算法輸出元數(shù)據(jù)描述結(jié)果布爾值,如果為真,確定云平臺服務器為用戶所請求的服務器,否則,通知用戶停止通信;
[0010]所述云平臺的認證模塊對用戶進行認證,將認證結(jié)果發(fā)送至云平臺服務器,進一步包括:
[0011]當認證模塊在云平臺服務器端被啟用后,云平臺服務器得到關(guān)于用戶的密文UCT和描述令牌UCK,作為兩個輸入?yún)?shù),調(diào)用解密過程進行解密計算,如果得到用戶自己的ID值,則確定認證模塊的擁有者即用戶是合法的;如果得到空字符,則拒絕提供服務。
[0012]優(yōu)選地,所述終端用戶是請求擴充資源的另一個私有云PC,并且所述私有云PC請求當前云平臺服務器的服務的身份認證過程具體步驟包括:
[0013]Stepl:私有PC向云平臺服務器請求服務;
[0014]Step2:云平臺服務器通過元數(shù)據(jù)加密過程,把服務器提供的密鑰對SPK、SMK和元數(shù)據(jù)描述函數(shù)f作為輸入項,生成元數(shù)據(jù)描述令牌,用于匿名認證;云平臺服務器將服務器令牌、公鑰SKpu,生成認證數(shù)據(jù)集一起發(fā)送給PC ;
[0015]Step3:PC接受到認證數(shù)據(jù)集后,傳送給認證模塊,認證執(zhí)行單元首先判定云平臺服務器是否為PC所請求的真實提供者,如果元數(shù)據(jù)判定結(jié)果為真,進入下一步;若為假,則返回一個拒絕信息,中斷通信;
[0016]Step4:把服務器ID記錄到字典目錄中,如果該服務是PC第一次請求,則提供一個虛擬賬戶VID,并進行數(shù)字簽名;如果該云平臺服務器曾被請求過,根據(jù)服務器ID在目錄中查找到對應的VID然后生成簽名Sg,接著將服務器ID發(fā)送到認證模塊的認證執(zhí)行單元;
[0017]Step5:認證執(zhí)行單元收到服務器ID后,利用虛擬機中的元數(shù)據(jù)加密過程生成密文UCT和元數(shù)據(jù)描述令牌UTKf,存儲在元數(shù)據(jù)數(shù)據(jù)庫中并發(fā)送給云平臺服務器,向其認證PC的身份;
[0018]St印6:云平臺服務器接受元數(shù)據(jù)數(shù)據(jù)庫后,驗證結(jié)果值是否為自己的ID值,如果結(jié)果值相等,則PC合法,允許PC獲取資源;若獲取其他屬性信息,則返回給認證模塊請求屬性驗證信息;如果結(jié)果值不相等,云平臺服務器返回拒絕信息,并停止與請求者PC的交互;
[0019]Step7:當認證模塊收到屬性驗證請求信息后,啟動基于認證數(shù)據(jù)集的認證,生成認證數(shù)據(jù)集發(fā)送給云平臺服務器;
[0020]St印8:云平臺服務器得到認證數(shù)據(jù)集后首先用自己的私鑰解密,等待成功通過虛擬機執(zhí)行的完整性自檢后啟用,如果啟用失敗,則云平臺服務器重新發(fā)出請求;
[0021]Step9:啟用后,云平臺服務器得到PC的Sg和屬性加密公鑰Akpu,云平臺服務器使用公鑰解密用戶屬性信息,并驗證屬性信息;
[0022]SteplO:云平臺服務器成功驗證屬性信息后返回接收信息給認證模塊,若驗證失敗則返回拒絕信息;
[0023]Stepll:認證模塊將接收信息傳送給PC ;
[0024]St印12:PC開始使用服務。
[0025]本發(fā)明相比現(xiàn)有技術(shù),具有以下優(yōu)點:
[0026]本發(fā)明提出了一種云計算網(wǎng)絡(luò)中的終端登錄方法,不需要可信第三方,用戶和服務器之間彼此進行不公開的認證,不需要暴露隱私屬性信息,防止信息的泄露或篡改。
【附圖說明】
[0027]圖1是根據(jù)本發(fā)明實施例的云計算網(wǎng)絡(luò)中的終端登錄方法的流程圖。
【具體實施方式】
[0028]下文與圖示本發(fā)明原理的附圖一起提供對本發(fā)明一個或者多個實施例的詳細描述。結(jié)合這樣的實施例描述本發(fā)明,但是本發(fā)明不限于任何實施例。本發(fā)明的范圍僅由權(quán)利要求書限定,并且本發(fā)明涵蓋諸多替代、修改和等同物。在下文描述中闡述諸多具體細節(jié)以便提供對本發(fā)明的透徹理解。出于示例的目的而提供這些細節(jié),并且無這些具體細節(jié)中的一些或者所有細節(jié)也可以根據(jù)權(quán)利要求書實現(xiàn)本發(fā)明。
[0029]本發(fā)明的一方面提供了一種云計算網(wǎng)絡(luò)中的終端登錄方法。圖1是根據(jù)本發(fā)明實施例的云計算網(wǎng)絡(luò)中的終端登錄方法流程圖。本發(fā)明通過匿私有云身份認證方案,可以被嵌入如智能卡等微型硬件中,終端用戶獲得合法使用權(quán)后通過各種移動設(shè)備來請求服務。終端用戶不用擔心自己身份隱私問題,同時降低網(wǎng)絡(luò)負載,克服網(wǎng)絡(luò)延遲。
[0030]云身份認證空間參與的角色包含:私有云平臺服務器、云終端用戶和云平臺認證模塊。而云平臺認證模塊包含了以下六個部分。
[0031]虛擬身份庫:虛擬身份庫中包括簽名密鑰。簽名密鑰里存儲對用戶的虛擬賬戶VID進行簽名保護的數(shù)字簽名Sg,Sg被發(fā)送到認證執(zhí)行單元中去組建認證數(shù)據(jù)集。認證過程結(jié)束后,云平臺服務器將得到并選擇保存Sg。當下一次被請求服務時,即使云平臺服務器有認證屬性的需求,終端用戶只需用Sg作為條件進行元數(shù)據(jù)認證,云平臺服務器把解密元數(shù)據(jù)得到的值跟之前存儲的Sg對比就能完成認證了。這樣即提高了認證效率也減少了暴露隱私信息的次數(shù)。
[0032]屬性庫:屬性庫用于將用戶的個人隱私屬性信息收集起來并用密鑰數(shù)據(jù)庫提供的屬性加密私鑰AKpr加密,生成密文EAT保存其中,如:Email地址、電話號碼。認證初始化過程中屬性庫將EAT發(fā)送給認證執(zhí)行單元打包生成認證數(shù)據(jù)集。在認證過程中,如若云平臺服務器需要查看用戶的屬性信息ATT,則首先使用屬性加密公鑰AKpu解密獲取屬性信息。值得注意的是,用戶可以選擇提供給屬性庫全部或部分個人隱私信息,而不是由屬性庫自動搜索用戶所擁有的所有屬性,這樣給了用戶更多權(quán)力來掌控自己的隱私。而且,由于云環(huán)境的動態(tài)特性,用戶信息也可能變化,所以用戶想請求新的服務時,需要添加新的屬性信息,這時可以通過屬性庫更新或是修改自己的屬性信息。
[0033]認證執(zhí)行單元:認證執(zhí)行單元的職責是生成非公開認證的元數(shù)據(jù)描述令牌和認證數(shù)據(jù)集。認證階段首先認證執(zhí)行單元首先會得到云平臺服務器發(fā)送的服務器令牌,然后調(diào)用虛擬機中的查詢算法描述元數(shù)據(jù)令牌的有效性來認證云平臺服務器是否合法。然后認證執(zhí)行單元還會利用得到的服務器ID及其他安全參數(shù)等為用戶生成自己的元數(shù)據(jù)描述令牌UTKf,讓云平臺服務器完成對用戶的身份匿名認證。認證執(zhí)行單元還負責生成屬性認證所需的認證數(shù)據(jù)集。
[0034]認證數(shù)據(jù)集由五部分構(gòu)成:加密的屬性信息EAT、簽名的虛擬賬戶Sg、保密策略、屬性加密公鑰AKpu和基于虛擬機的信息摘要(包含認證過程所必需的執(zhí)行代碼和算法)。保密策略中包括了認證數(shù)據(jù)集在到達云平臺服務器后,啟用前后的一系列保密策略,通過虛擬機實施這些策略,完成認證。整個認證數(shù)據(jù)集打包后用云平臺服務器的公鑰加密,又添加了一道安全防線。
[0035]策略執(zhí)行單元:包括了各種保密策略和機制,如:完整性自檢、自刪除、生命周期、審計和日志等,還可以根據(jù)用戶應用需求添加的策略來加強認證安全。其中完整性自檢策略規(guī)定了定期檢查自我數(shù)據(jù)的完整性,確保數(shù)據(jù)沒有被惡意篡改或破壞。當數(shù)據(jù)集到達云平臺服務器時,也會啟用完整性自檢,成功通過后才能啟用認證模塊。自刪除機制則包括兩種形式:
[0036]當發(fā)現(xiàn)威脅或是惡意破壞的跡象,立即通過虛擬機啟動自刪除所有數(shù)據(jù),以防隱私信息被竊或是篡改?;蚴钦J證過程中,對于云平臺服務器沒有請求的屬性信息,視為多余隱私信息,把這部分信息消除掉,以防隱私安全問題。而生命周期管理,制定了 VID的生成、配置、管理和撤消回收等。日志和審計制度則記錄認證模塊運行的情況,及時獲得危險警告或故障通知等,以便描述或是事故處理。
[0037]虛擬機:系統(tǒng)中(包括認證模塊和云平臺服務器端)的虛擬機是一個執(zhí)行代碼的容器,含操作系統(tǒng)和一些基礎(chǔ)的系統(tǒng)代碼,同時裝載了加解密、查詢等算法和程序,用于加強實施保密策略,和執(zhí)行其他組件的任務。發(fā)送給云平臺服務器的認證數(shù)據(jù)集和元數(shù)據(jù)數(shù)據(jù)庫都會分配虛擬機信息摘要,包含了執(zhí)行屬性認證和匿名認證過程所需的算法和代碼,來完成整個認證過程。
[0038]密鑰數(shù)據(jù)庫:存儲著供加解密屬性信息的密鑰,和認證中元數(shù)據(jù)加密過程生成的密鑰。
[0039]雙向云身份認證包含兩大機制:匿名認證和屬性認證。首先介紹這兩個機制的認證細節(jié),然后分析具體場景下整個認證流程。
[0040]屬性認證:
[0041]I)認證數(shù)據(jù)集生成階段
[0042]屬性庫根據(jù)云平臺服務器請求的屬性聲明來收集用戶對應的屬性信息。然后利用密鑰數(shù)據(jù)庫提供的屬性加密私鑰AKpr,調(diào)用虛擬機執(zhí)行非對稱加密過程,生成EAT。如果云平臺服務器沒有發(fā)送明確的屬性請求,則將用戶允許的所有屬性信息加密,發(fā)送到認證執(zhí)行單元。策略執(zhí)行單元選取相應保密策略,如:完整性自檢、自刪除策略等。認證執(zhí)行單元將EAT、保密策略、AKpu、Sg和虛擬機信息摘要五個部分一起用云
當前第1頁1 2 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1