The invention discloses an identification-based cross-cloud security authentication system and method, which mainly solves the problem that cloud service providers can safely manage user's privacy data in the cloud domain. Cross-cloud security authentication system introduces a hierarchical identification model, using a shared key ring structure, user identity is unique; users can get rid of a series of complex certificate operations, expanding the large-scale cloud network environment. The implementation of security authentication method is: using cross-cloud security authentication system to design public-private key pairs of users and cloud service providers; sending and verifying messages; key agreement to achieve authentication of the identity of both parties. The invention establishes a cross-cloud authentication model and is based on a certificateless key agreement protocol. Each link is securely protected to ensure the security and reliability of the whole system. The computational complexity is low, which meets the authentication and security access requirements of users belonging to different cloud domains in cloud environment, and is more suitable for the actual application requirements of only one authentication in different cloud domains.
【技术实现步骤摘要】
基于标识的跨云安全认证系统和方法
本专利技术属于密码学
,特别涉及数字签名及跨域认证,具体是一种基于标识的跨云安全认证系统和方法,广泛应用于商业、政务、金融、军事等领域,尤其是云服务方面。
技术介绍
云计算用户数量庞大,为了使用户能够放心地使用云服务资源,云服务提供商必须做到安全地管理用户的隐私数据,且服务系统的实体管理是否有效,将直接影响信息服务的安全性。针对这一问题,完备的标识认证机制显得尤为重要,认证问题是云环境信任的基础,只有解决了认证问题,用户才可以与云服务提供商实现双向信任关系,确保身份信息,提高云计算系统的安全性。因此,认证机制是建立信任环境、解决云安全问题的首要保障,而密码学作为该保障中最基本最有效的核心措施,可以为解决云计算安全问题提供可靠的技术支撑。目前,密码学体系中,针对标识认证系统的设计、实现、使用等大多数都是基于公钥密码体制。公钥基础设施是在非对称加密技术基础上发展起来的,是一种被广泛使用的基于证书的公钥管理机制,它主要利用公钥技术和理论提供所需的加密和签名服务,解决网络中存在的安全问题,但当需要证书的用户数量不断增加时,面对大量证书持有者和证书依赖者,CA机构需要频繁重复运作,大大影响了系统的性能,这些缺点限制了PKI在互联网中的广泛使用。为了简化PKI系统带来的公钥证书管理问题,Shanmir研究出一种基于标识的公钥密码体制,它简化了证书的管理,可以脱离第三方认证机构进行独立验证,其主要优点是降低系统的管理成本,方便进行密钥管理操作,增加了系统的灵活性,相比于传统的基于证书的管理有着天然优势,但其并不适用于大型网络环境,...
【技术保护点】
1.一种基于标识的跨云安全认证系统,涉及有认证中心、云间认证代理、云服务提供商以及云域内的用户,认证中心主要负责为每个云域颁发数字证书;云间认证代理对各个云域的证书实现管理;当用户加入云域的时候,需要向云服务提供商提供安全认证的标识信息,云域内用户以及云服务提供商均拥有各自的标识信息,通过认证双方信息发送及验证,实现共享密钥的协商和认证,其特征在于,云域为基于标识的层次模型,在云域的层次模型中,其最上层数据双向连接云间安全代理,最底层数据双向连接的是云域中的用户,层次模型自上向下第一层(level‑1)是根KGC(KGCr),代表每个云域,是云信赖的权威根,将每个云域内的安全参数发送给云间认证代理,第二层(level‑2)是子根KGC(KGCc),为其云域内的用户分配分层标识,子根分布有多个节点,运用共享密钥技术,组成环结构,每个节点对应于云服务提供商;底层(level‑3)是用户层,在基于标识的层次模型中,每个云内用户都有唯一的身份标识,该标识是用户加入云服务时注册的可分辨名称(DN),保证云内用户身份信息的唯一性;在云域的层次模型中,每一层的身份标识由自己的身份标识及以各上层标识共...
【技术特征摘要】
1.一种基于标识的跨云安全认证系统,涉及有认证中心、云间认证代理、云服务提供商以及云域内的用户,认证中心主要负责为每个云域颁发数字证书;云间认证代理对各个云域的证书实现管理;当用户加入云域的时候,需要向云服务提供商提供安全认证的标识信息,云域内用户以及云服务提供商均拥有各自的标识信息,通过认证双方信息发送及验证,实现共享密钥的协商和认证,其特征在于,云域为基于标识的层次模型,在云域的层次模型中,其最上层数据双向连接云间安全代理,最底层数据双向连接的是云域中的用户,层次模型自上向下第一层(level-1)是根KGC(KGCr),代表每个云域,是云信赖的权威根,将每个云域内的安全参数发送给云间认证代理,第二层(level-2)是子根KGC(KGCc),为其云域内的用户分配分层标识,子根分布有多个节点,运用共享密钥技术,组成环结构,每个节点对应于云服务提供商;底层(level-3)是用户层,在基于标识的层次模型中,每个云内用户都有唯一的身份标识,该标识是用户加入云服务时注册的可分辨名称(DN),保证云内用户身份信息的唯一性;在云域的层次模型中,每一层的身份标识由自己的身份标识及以各上层标识共同组成,上层的身份信息由下层实体进行验证及其保护。2.根据权利要求1所述的基于标识的跨云安全认证系统,其特征在于,所述云间安全代理,一是进行认证中心颁发的数字证书的管理,二是保存各个云域内由根KGCr生成的系统公开参数,实现系统中各个云域之间信息的传输。3.根据权利要求1所述的基于标识的跨云安全认证系统,其特征在于,所述云域层次模型子根的共享密钥环结构中,有n个节点,n≥0的正整数,门限值为k,0≤k≤n,子根KGC一旦受到攻击者的恶意攻击,子密钥个数必须达到门限值或者门限值以上,也就是说攻击者必须攻击至少k个子密钥才有可能获得主密钥,任何门限值以下个子密钥都无法恢复主密钥,因为k以下个方程式是不能够解开未知数为k的方程组的,而且攻击者即使能够伪造出k个子密钥,也必须完全保证这k个子密钥全部正确,保护主密钥的安全和系统安全性。4.一种基于标识的跨云安全认证方法,是在权利要求1-3任一所述的基于标识的跨云安全认证系统上实现,其特征在于,包括有以下步骤:步骤一:根据跨云安全认证系统,设计用户与云服务提供商各自的公私钥对;1.1)系统建立Setup:根据图1所示的安全认证系统,设置根KGC的公私钥对,以此来建立系统,执行系统初始化。根KGC通过产生一个随机数s作为系统主密钥,并根据公钥生成算法生成向所有用户公开的相对应的公钥,主密钥s可由根KGC保存,根KGC的公私钥对设置完成,系统就已建立,也实现了系统的初始化;...
【专利技术属性】
技术研发人员:马文平,赵茭茭,
申请(专利权)人:西安电子科技大学,
类型:发明
国别省市:陕西,61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。