[发明专利]一种OpenStack开源云用户的安全认证方法

说明书

本发明提出了一种OpenStack开源云用户的安全认证方法，用于解决现有技术中存在的认证成本高的技术问题，实现步骤为：认证服务器计算自己的公钥和私钥；用户计算自己的公钥和私钥；用户向认证服务器发送认证请求；认证服务器对用户的用户名和密码进行验证；认证服务器为用户颁发签名令牌；用户向资源服务器发送签名资源请求；资源服务器对签名令牌和签名资源请求合法性进行验证；资源服务器对用户的请求进行响应；用户对资源服务器发送的密文进行解密；用户对资源服务器响应的合法性进行验证；用户对随机数的合法性进行验证；资源服务器确认用户身份。本发明采用公钥算法对认证消息进行保密，且不依赖额外硬件，降低了成本。

技术领域

本发明属于身份认证技术领域，涉及一种开源云用户的安全认证方法，具体涉及一种基于公钥的OpenStack开源云用户的安全认证方法。

背景技术

OpenStack是目前最火的开源云平台，由NASA(美国国家航空航天局)和Rackspace合作研发并发起的，以Apache许可证授权的自由软件和开放源代码项目。OpenStack是一个IaaS(Infrastructure as a Service)软件，在云计算中主要负责虚拟机硬件资源的调度与分配。OpenStack由一系列独立模块构成，例如模块有keystone(认证服务)、nova(计算服务)、cinder(块存储服务)、glance(镜像服务)和neutron(网络服务)等。其中keystone提供认证服务，负责对接入用户的身份进行验证并对用户授权。

云计算中IaaS层主要为用户提供虚拟机服务，当用户需要使用云资源时，需要向keystone发送认证请求，即俗称的登录系统，服务器会根据用户注册时授予用户的权限给用户颁发一个令牌，然后用户就可以使用这个令牌去请求对应的资源，对应的资源服务器可以通过令牌鉴别用户的身份和权限，从而提供相应的服务。

传统的OpenStack安全认证只提供认证流程，对于信息的保护，只建议在传输过程中使用TLS安全传输协议，除此之外未使用任何安全加密算法，一旦用户信息泄露或者令牌被非法获取，非法分子就能轻松获得用户的资源。针对这种情况，现有的改进方法是请求认证时使用特殊辅助硬件，该硬件用于保存用户的私钥以及数字证书，对用户的身份认证需要借助里面的证书和秘钥，如公布号为CN 106936760 A名称为“一种登录OpenStack云系统虚拟机的装置和方法”中，用户登录系统需要使用USBKey(一种USB接口的硬件设备，内置智能芯片或者单片机，具有一定的存储空间，可以存储用户的私钥以及数字证书)，通过USBKey中保存的证书和秘钥来保证用户身份的合法性。该方法存在的不足之处在于，依赖硬件设备，增加了服务成本，而且用户还需要额外保护此硬件设备，避免丢失或者被盗，同时每次请求都需要使用此设备，导致用户使用不便。

发明内容

本发明的目的在于克服上述现有技术存在的缺陷，提出了一种OpenStack开源云用户的安全认证方法，用于解决现有技术中存在的认证需要额外硬件设备导致认证成本高的技术问题。

本发明的技术思路是：通过对通信消息进行签名，以防止通信消息被非法分子篡改，同时资源服务器利用令牌中保存的用户公钥对一个随机数进行加密，如果资源请求者能解密此随机数，则能证明资源请求者身份的合法性，从而在不借助额外硬件设备的情况下完成用户身份认证。

根据上述技术思路，实现本发明目的采取的技术方案包含步骤如下：

(1)认证服务器计算自己的公钥PK_s和私钥SK_s：

(1a)认证服务器根据素数m确定有限域GF(2^m)，并在GF(2^m)上选择椭圆曲线E(a,b)，其中a、b表示椭圆曲线的系数；

(1b)认证服务器选择椭圆曲线E(a,b)上的任意一点作为E(a,b)的基点P，并根据P的坐标计算P的素阶n；