[发明专利]基于标识的跨云安全认证系统和方法

说明书

本发明公开了一种基于标识的跨云安全认证系统和方法，主要解决云域内云服务提供商安全地管理用户的隐私数据问题。跨云安全认证系统引入分层标识模型，采用共享密钥环结构，用户身份标识唯一；用户能够摆脱一系列繁杂的证书操作，拓展了大型云网络环境。安全认证方法的实现是：用跨云安全认证系统设计用户与云服务提供商各自的公私钥对；发送及验证消息；密钥协商实现认证双方的标识认证。本发明建立跨云认证模型并基于无证书密钥协商协议，每一个环节均有安全保护，确保整个系统的安全性、可靠性。计算复杂度较低，满足云环境下的用户分属不同云域的认证及安全访问需求，更能适应不同云域只进行一次认证的实际应用要求。

技术领域

本发明属于密码学技术领域，特别涉及数字签名及跨域认证，具体是一种基于标识的跨云安全认证系统和方法，广泛应用于商业、政务、金融、军事等领域，尤其是云服务方面。

背景技术

云计算用户数量庞大，为了使用户能够放心地使用云服务资源，云服务提供商必须做到安全地管理用户的隐私数据，且服务系统的实体管理是否有效，将直接影响信息服务的安全性。针对这一问题，完备的标识认证机制显得尤为重要，认证问题是云环境信任的基础，只有解决了认证问题，用户才可以与云服务提供商实现双向信任关系，确保身份信息，提高云计算系统的安全性。因此，认证机制是建立信任环境、解决云安全问题的首要保障，而密码学作为该保障中最基本最有效的核心措施，可以为解决云计算安全问题提供可靠的技术支撑。目前，密码学体系中，针对标识认证系统的设计、实现、使用等大多数都是基于公钥密码体制。

公钥基础设施是在非对称加密技术基础上发展起来的，是一种被广泛使用的基于证书的公钥管理机制，它主要利用公钥技术和理论提供所需的加密和签名服务，解决网络中存在的安全问题，但当需要证书的用户数量不断增加时，面对大量证书持有者和证书依赖者，CA机构需要频繁重复运作，大大影响了系统的性能，这些缺点限制了PKI在互联网中的广泛使用。为了简化PKI系统带来的公钥证书管理问题，Shanmir研究出一种基于标识的公钥密码体制，它简化了证书的管理，可以脱离第三方认证机构进行独立验证，其主要优点是降低系统的管理成本，方便进行密钥管理操作，增加了系统的灵活性，相比于传统的基于证书的管理有着天然优势，但其并不适用于大型网络环境，且密钥在实施过程中由于私钥全部由PKG掌握，会造成密钥托管这个固有问题。2003年亚洲密码学会议上，Al-Riyami和Parerson首次提出了无证书公钥密码体制。该体制引入了与PKG功能类似的第三方机构---密钥生成中心KGC。但KGC只是为用户生成部分私钥，再由用户结合自己选择的随机秘密值产生最终的实际私钥，这样用户就可以通过公私钥对实现与其他人的加密解密通信。由于密钥生成中心不需要利用公钥证书来认证用户的公钥，从而基于证书的公钥密码体系中证书管理的问题得到了有效的解决，同时用户部分私钥来自于秘密值，KGC无法获取到用户完整的私钥，因此解决了IBC系统中存在的密钥托管的问题。