[发明专利]一种OpenStack开源云用户的安全认证方法

摘要

本发明提出了一种OpenStack开源云用户的安全认证方法，用于解决现有技术中存在的认证成本高的技术问题，实现步骤为：认证服务器计算自己的公钥和私钥；用户计算自己的公钥和私钥；用户向认证服务器发送认证请求；认证服务器对用户的用户名和密码进行验证；认证服务器为用户颁发签名令牌；用户向资源服务器发送签名资源请求；资源服务器对签名令牌和签名资源请求合法性进行验证；资源服务器对用户的请求进行响应；用户对资源服务器发送的密文进行解密；用户对资源服务器响应的合法性进行验证；用户对随机数的合法性进行验证；资源服务器确认用户身份。本发明采用公钥算法对认证消息进行保密，且不依赖额外硬件，降低了成本。

主权项

1.一种OpenStack开源云用户的安全认证方法，其特征在于包括如下步骤：(1)认证服务器计算自己的公钥PKs和私钥SKs：(1a)认证服务器根据素数m确定有限域GF(2m)，并在GF(2m)上选择椭圆曲线E(a,b)，其中a、b表示椭圆曲线的系数；(1b)认证服务器选择椭圆曲线E(a,b)上的任意一点作为E(a,b)的基点P，并根据P的坐标计算P的素阶n；(1c)认证服务器根据P和n，计算自己的公钥PKs和私钥SKs，并将E(a,b)、P、n和PKs对外公开；(2)用户计算自己的公钥PKu和私钥SKu：用户根据P和n，计算自己的公钥PKu和私钥SKu；(3)用户向认证服务器发送认证请求信息：用户将自己的用户名、密码、公钥PKu发送给认证服务器；(4)认证服务器对用户的用户名和密码进行验证：认证服务器在服务器数据库中查询是否存在与接收到的用户名和密码相同的用户，若是，执行步骤(5)，否则认证失败；(5)认证服务器为用户颁发签名令牌Tokensign：(5a)认证服务器在服务器数据库中通过用户名查询用户注册时分配给用户的标识符Uid和用户权限Ur，并通过Uid、Ur和PKu构造令牌Token＝{Uid,Ur,PKu}；(5b)认证服务器采用基点P、素阶n和认证服务器私钥SKs，对Token进行签名，得到签名令牌Tokensign，并将Tokensign发送给用户；(6)用户向资源服务器发送签名资源请求Reqres：(6a)用户确定自己所需要的资源Res，并采用认证服务器私钥SKs、基点P和素阶n，通过认证服务器对Res进行签名，得到签名资源请求Ressign；(6b)用户选取随机数Numu，并采用Ressign、Numu和Tokensign构造资源请求Reqres＝{Numu,Ressign,Tokensign}，再将Reqres发送给资源服务器，同时将Numu存入资源服务器数据库，并将Numu状态标记为未接收；(7)资源服务器对Ressign和Tokensign合法性进行验证：资源服务器采用认证服务器的公钥PKs、基点P和素阶n，验证Tokensign和Ressign的合法性，若Tokensign和Ressign两个均合法，执行步骤(8)，否则认证失败；(8)资源服务器对用户的请求进行响应：(8a)资源服务器选取随机数Nums和Ks，并采用Nums、Ks和Numu构造资源响应Respon＝{Nums,Ks,Numu}，同时将Nums存入资源服务器数据库，并将Nums状态标记为未接收；(8b)资源服务器采用认证服务器的私钥SKs、基点P和素阶n，通过认证服务器对Respon进行签名，得到签名资源请求Responsign；(8c)资源服务器采用用户的公钥PKu、椭圆曲线E(a,b)、基点P和素阶n对Responsign进行加密，并将密文(C1,C2)发送给用户；(9)用户对资源服务器发送的密文(C1,C2)进行解密：用户采用自己的私钥SKu、椭圆曲线E(a,b)、基点P和素阶n对资源服务器发送的密文(C1,C2)进行解密，得到签名资源请求Responsign；(10)用户对Responsign的合法性进行验证：用户采用认证服务器的公钥PKs、基点P和素阶n，对Responsign的合法性进行验证，若合法，则从Responsign中提取Nums、Numu和Ks，并执行步骤(11)，否则认证失败；(11)用户对Numu的合法性进行验证：用户在本地数据库中查询Numu是否为用户发送给资源服务器且状态为未接收的随机数，若是，则将Nums发回资源服务器，同时在用户本地数据库中将Numu状态标记为已接收，否则认证失败；(12)资源服务器确认用户身份：资源服务器在资源服务器数据库中查询Nums是否为资源服务器发送给用户且状态为未接收的随机数，若是，则用户为Tokensign的合法所有者，同时在资源服务器数据库中将Nums的状态标记为已接收，否则认证失败。