【技术实现步骤摘要】
移动云服务环境中具有隐私保护的认证和访问控制方法
[0001]本专利技术涉及云计算
,特别涉及一种移动云服务环境中具有隐私保护的认证和访问控制方法。
技术介绍
[0002]随着云计算技术的成熟和市场的推广,云计算服务在各种应用中发挥着越来越重要的作用,特别是在线文件存储、云备份、流媒体服务等。由于云计算服务的经济性、灵活性和可扩展性,越来越多的企业和个人租用云服务计算作为一种服务来支持他们的业务。目前,云服务环境通常由一个注册中心、大量用户和几个服务提供商组成。通常情况下,远程用户在使用或访问一个服务提供商中的服务之前都需要进行注册。显然,在每个服务提供商上注册不同的账户并维护相应的凭据和授权列表是非常繁琐的。因此,用户使用单一凭据以不同的访问等级访问不同的服务提供商的认证和分级访问一体化方法是一个严峻的挑战。
[0003]针对这一挑战,研究者提出了一系列统一认证和访问控制方案,主要包括单点登陆、多服务器认证、基于证书的访问控制、基于区块链的访问控制:OAuth(Open Authorization)是一种典型的单点登陆认证标准,其依赖安全套接字协议(SSL,Secure Sockets Layer)和安全传输层协议(TLS,Transport Layer Security)来传输消息。然而安全套接字协议或安全传输层协议实现的计算成本很高,不适合终端资源有限的移动云服务环境。此外,这类单点登陆方式总是需要一个可信的第三方来帮助认证。若处理认证请求达到一定量级,那么可信第三方处理能力将成为瓶颈。
...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.移动云服务环境中具有隐私保护的认证和访问控制方法,其特征在于:包括以下步骤:系统初始化阶段:注册中心协商初始化系统的参数{G,q,P,PK,h0,h1,h2,h3,h4},并向移动云服务环境中所有的服务提供商和用户发布系统的参数;服务提供商注册阶段:服务提供商向注册中心提供相关信息以申请注册,若注册成功,则注册中心给服务提供商返回相关参数;用户注册阶段:新的用户需要访问服务提供商时,向注册中心提供相关信息以申请注册,若注册成功,则注册中心给用户返回相关参数;认证和授权阶段:用户需要访问服务提供商所提供的服务资源时,服务资源对用户的身份进行认证,并对用户的访问权限进行授权;用户访问权限更新阶段:用户需要更新对服务资源的访问权限时,用户向注册中心提交权限更新请求,注册中心更新用户的访问权限后,更新该用户的相关参数并发送给用户,用户更新智能卡中的相关参数;用户口令更新阶段:用户需要更新口令时,用户使用旧的口令向智能卡确认身份后,更新智能卡中新的口令的相关参数。2.根据权利要求1所述的移动云服务环境中具有隐私保护的认证和访问控制方法,其特征在于:所述系统初始化阶段中,注册中心协商初始化系统的参数{G,q,P,PK,h0,h1,h2,h3,h4},并向移动云服务环境中所有的服务提供商和用户发布系统的参数的步骤,包括:注册中心RC协商选择一个阶数为q的椭圆曲线加法循环群G,P为G的生成元;注册中心RC协商确定5个安全哈希函数,分别为h0、h1、h2、h3、h4,有:h0:{0,1}
*
→
{0,1}
l
h1:{0,1}
*
→
Z
*q
h2:{0,1}
*
→
{0,1,2,...,1023}h3:{0,1}
*
→
{0,1}
l
h4:{0,1}
*
→
{0,1}
l
其中,l是h0、h3、h4的输出,h0、h3、h4将输入的任意长度的二进制串转换成固定长度的输出二进制串,l为输出二进制串的长度;h1中Z
*q
表示集合{0,1,2,...,q
‑
1},将输入的任意长度的二进制串转换为集合Z
*q
中的任意一个元素作为输出;h2将输入的任意长度的二进制串转换为集合{0,1,2,...,1023}中的任意一个元素作为输出;注册中心RC选择一个系统私钥sk,计算系统公钥PK=sk
·
P,并向移动云服务环境中所有的服务提供商和用户发布系统的参数{G,q,P,PK,h0,h1,h2,h3,h4}。3.根据权利要求2所述的移动云服务环境中具有隐私保护的认证和访问控制方法,其特征在于:所述服务提供商注册阶段中,服务提供商向注册中心提供相关信息以申请注册,若注册成功,则注册中心给服务提供商返回相关参数的步骤,包括:服务提供商SPr
j
的服务资源S
j
选择一个唯一的身份信息ID
sj
和可定制的服务权限映射表PM
sj
,并将身份信息ID
sj
和服务权限映射表PM
sj
通过安全通道发送给注册中心RC;其中,SPr
j
表示第j个服务提供商,1≤j≤m;注册中心RC收到身份信息ID
sj
后,检测服务资源S
j
的身份信息ID
sj
在服务身份信息表中是否已存在,如果存在,则拒绝本次注册请求;否则,注册中心RC随机生成一个随机整数
sw
j
,计算SP
j
=sw
j
·
P,其中SP
j
作为服务资源S
j
的公钥;计算身份信息ID
sj
拼接公钥SP
j
的哈希值为HID
sj
=h1(ID
sj
||SP
j
),SK
j
=sw
j
+sk
·
HID
sj mod q,其中SK
j
为服务资源S
j
的私钥,||为连接符,mod q为取模运算;注册中心RC选择一个随机数K
j
作为服务资源S
j
的共享密钥,将一组元信息{ID
sj
,PM
sj
,SP
j
,K
j
}插入到服务身份信息表中,将一组元信息{KS
j
,SP
j
,K
j
}通过安全通道发送给服务资源S
j
;服务资源S
j
将来自注册中心RC发送的元信息{KS
j
,SP
j
,K
j
}进行存储。4.根据权利要求3所述的移动云服务环境中具有隐私保护的认证和访问控制方法,其特征在于:所述用户注册阶段中,新的用户需要访问服务提供商时,向注册中心提供相关信息以申请注册,若注册成功,则注册中心给用户返回相关参数的步骤,包括:用户U
i
选择唯一的身份信息ID
i
、口令PW
i
和访问权限集合,其中,U
i
表示第i个用户,1≤i≤n,SET
ID
表示各个服务资源的身份信息ID
s1
,ID
s2
,...,ID
sm
,SET
P
表示用户U
i
在各个服务资源的访问权限P1,P2,...,P
m
;用户U
i
选择一个随机数b
i
,利用安全哈希函数h0进行加密,计算密文C
i
=h0(ID
i
||PW
i
||b
i
);用户U
i
通过安全通道将一组元信息{PI,ID
i
,C
i
}和个人信息发送给注册中心RC;注册中心RC收到用户U
i
发送的元信息{PI,ID
i
,C
i
}后,检测用户U
i
的身份信息ID
i
在用户身份信息表中是否已存在,如果存在,则拒绝本次注册请求;否则,注册中心RC通过个人信息确认访问权限集合PI的访问权限,注册中心RC确认后的用户U
i
的访问权限集合为PI`;注册中心RC根据用户U
i
的访问权限集合PI`与各服务资源S
j
的共享密钥K
j
为用户U
i
构造一颗权限树MT
i
,并得出权限树MT
i
的根值Rt;注册中心RC随机生成一个随机整数w
i
,计算Gw
i
=w
i
·
P,其中Gw
i
作为用户U
i
的公钥;计算哈希值HID
i
=h1(ID
i
||Gw
i
||Rt||LT
i
),KU
i
=w
i
+sk
·
HID
i mod q,其中KU
i
为用户U
i
的私钥,LT
i
为对用户U
i
的服务时限;注册中心RC计算密文F
i
=C
i
⊕
(KU
i
||Gw
i
||MT
i
||LT
i
),并为智能卡SC设置本地验证信息Ver=h3(h2(KU
i
||Gw
i
||MT
i
||LT
i
||C
i
));注册中心RC将一组元信息{ID
i
,Gw
i
,LT
i
,MT
i
}插入用户身份信息表中,将一组元信息{F
i
,Ver,PI,S
lt
}通过安全通道发送给用户U
i
,其中集合;用户U
i
将接收到的元信息{ID
i
,Gw
i
,LT
i
,MT
i
}安全存储到智能卡SC中。5.根据权利要求4所述的移动云服务环境中具有隐私保护的认证和访问控制方法,其特征在于:所述认证和授权阶段中,用户需要访问服务提供商所提供的服务资源时,服务资源对用户的身份进行认证,并对用户的访问权限进行授权的步骤,包括:用户U
i
向智能卡SC输入身份信息ID
i
和口令PW
i
以认证自身的身份,智能卡SC利用安全哈希函数h0计算密文C
i
=h0(ID
i
||PW
i
||b
i
),通过本地存储的C
i
⊕
F
i
取出用户U
i
的私钥KU
i
、公钥Gw
i
、权限树MT
i
以及服务时限LT
i
,计算本地验证信息Ver`=h3(h2(KU
i
||Gw
i
||MT
i
||LT
i
||C
i
)),验证Ver`与Ver是否相等,若不相等,则禁止用户U
i
访问服务资源S
j
;否则,智能卡SC获取用户U
i
对服务资源S
j
的访问路径PT={Au1,Au2,...,Au
a
};智能卡SC选择一个会话随机数rx,计算会话新鲜数x=h1(rx||KU
i
),通过x
·
P=X在公开信道传送X;通过智能卡SC存储的集合S
lt
取出需要访问的服务资源S
j
的身份信息ID
sj
和对应的公钥SP
j
,通过安全哈希函数h1取其哈希值为h
si
,利用公钥SP
j
与会话新鲜数x构造会话密钥k=x
·
(SP
j
+h
si
·
PK);用安全哈希函数h1计算(ID
i
,ID
sj
,P
j
,X,k,T1)的摘要值为h
i
=h1(ID
i
|
|ID
sj
||P
j
||X||k||T1),P
j
为用户U
i
对第j个服务资源的访问权限,T1为当前的时间戳;利用私钥KU
i
对摘要值h
i
进行签名得到签名信息δ
i
=KU
i
+x
·
h
i mod q,将用户Ui的信息异或操作至密文CT中,CT=(ID
i
||δ
i
||Gw
i
||P
j
||PT||LT
i
)
⊕
h0(ID
sj
||k||T1);智能卡SC给出用户U
i
的用户验证值V1=h3(ID
i
||ID
sj
||δ
i
||Gw
i
||P
j
||PT||LT
i
||k||T1),用户U
i
通过公开信道将一组元信息{T1,X,CT,V1}发送给服务资源S
j
;服务资源S
j
接收到元信息{T1,X,CT,V1}后,检查时间戳T1的新鲜性,若已过期,则验证失败;否则,通过服务资源S
j
的私钥KS
j
计算会话密钥k`=KS
j
·
X,通过身份信息ID
sj
、会话密钥k`和时间戳T1从CT中取出需要验证的用户相关信息,即身份信息ID
i
、签名信息δ
i
、公钥Gw
i
、访问权限P
j
、访问路径PT、服务时限LT
i
,CT
⊕
h0(ID
sj
||k`||T1)=ID
i
||δ
i
||Gw
i
||P
j
||PT||LT
i
;计算V1`=h3(ID
i
||ID
sj
||δ
i
||Gw
i
||P
j
||PT||LT
i
技术研发人员:熊玲,王俊凯,刘杨,牛宪华,刘志才,陈鹏,陈娟,
申请(专利权)人:西华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。