一种可信云计算环境中无证书跨域认证方法技术

本发明专利技术涉及一种可信云计算环境下无证书跨域认证的方法。本方法将无证书公钥密码技术引入到跨域认证中，在可信云计算中实现了可信跨域认证，属于云计算安全技术领域。本发明专利技术采用无证书公钥密码系统，解决了传统数字证书认证系统中的证书维护开销问题和基于身份的公钥密码系统的私钥托管的问题。在本发明专利技术中，用户公钥基于身份生成，用户的私钥由用户和中心认证服务器各自生成一部分，本发明专利技术摒弃了证书系统，减轻了认证系统的开销，同时保护了用户私钥。无证书密码系统采用双线性对运算，经过证明基于双线性对运算的安全假设具有很高的安全性。本发明专利技术采用无证书公钥密码系统进行身份认证和会话密钥的协商，保证了系统具有较高的安全性。

A certificateless cross domain authentication method in a trusted cloud computing environment

The invention relates to a method for certificateless cross domain authentication in a trusted cloud computing environment. This method introduces certificateless public key cryptography into cross domain authentication, and implements trusted cross domain authentication in trusted cloud computing, which belongs to the field of cloud computing security technology. The invention adopts the certificateless public key cryptography system to solve the problem of certificate maintenance overhead in the traditional digital certificate authentication system and the private key trusteeship of the identity based public key cryptography system. In the invention, the user identity based public key generated by the user, the user's private key and the central authentication server generates a part, the invention abandons the certificate system, reduce the authentication system overhead, while protecting the user's private key. The certificateless cryptosystem adopts bilinear pairing operation, and it is proved that the security assumption based on bilinear pairing is highly secure. The invention adopts the certificateless public key cryptosystem to authenticate the identity and negotiate the session key, thereby ensuring the system to have higher security.

【技术实现步骤摘要】
一种可信云计算环境中无证书跨域认证方法
本专利技术涉及一种可信云计算环境下无证书跨域认证的方法。本方法将无证书公钥密码技术引入到跨域认证中，在可信云计算中实现了可信跨域认证，属于云计算安全

技术介绍
自2006年谷歌公司提出“云计算”概念以来，云计算越来越受到业界的关注，云计算广义上就是基于“网络就是计算机”的思想，将互联网上的计算资源、存储资源整合在一起，形成大规模的资源池，使资源能够通过简洁的管理或交互过程进行快速地部署和释放，为远程计算机用户提供相应的服务，实现资源的按需分配。云计算已经成为未来互联网发展的一种趋势。随着云计算技术的深入应用，安全问题已经成为云计算发展面临的最大问题，成为信息安全领域研究的热点之一。可信计算的概念由可信计算组织（TrustComputingGroup，TCG）提出，主要手段是进行身份确认和使用加密等手段进行存储保护以及使用完整性度量机制进行对计算机系统进行完整性保护。云计算里的计算中心、数据中心、虚拟化等都依赖于各类计算机系统，云计算的工作模式使得安全、可靠、可信的问题更加突出，因此云计算更需要计算机的安全可信。只有确保云计算里计算机系本文档来自技高网...

【技术保护点】
一种可信云计算环境中无证书跨域认证方法，其特征在于：认证系统包括认证服务器A、认证服务器B、中心认证服务器S和用户C，其中认证服务器A和用户C属于可信域DOM1，认证服务器B属于可信域DOM2，中心认证服务器作为可信第三方独立于DOM1和DOM2；分为4个阶段，分别为：跨域认证请求阶段、请求转发阶段、用户可信认证阶段、跨域认证密钥分发阶段；阶段1：跨域认证请求阶段：可信域DOM1中的用户C向可信域DOM2中的认证服务器B发起跨域认证请求，包括用户C的唯一身份IDC、用户C的随机挑战NC、用户C的公钥用户C选择的临时公钥TC进入阶段2；阶段2：请求转发阶段：认证服务器B首先检查用户的ID，启动跨...

【技术特征摘要】
1.一种可信云计算环境中无证书跨域认证方法，其特征在于：认证系统包括认证服务器A、认证服务器B、中心认证服务器S和用户C，其中认证服务器A和用户C属于可信域DOM1，认证服务器B属于可信域DOM2，中心认证服务器作为可信第三方独立于DOM1和DOM2；分为4个阶段，分别为：跨域认证请求阶段、请求转发阶段、用户可信认证阶段、跨域认证密钥分发阶段；阶段1：跨域认证请求阶段：可信域DOM1中的用户C向可信域DOM2中的认证服务器B发起跨域认证请求，包括用户C的唯一身份IDC、用户C的随机挑战NC、用户C的公钥PKC、用户C选择的临时公钥TC进入阶段2；阶段2：请求转发阶段：认证服务器B首先检查用户的ID，启动跨域认证请求转发过程；认证服务器B将用户C的唯一身份IDC、用户C的随机挑战NC、认证服务器B的挑战NB、认证服务器B选择的临时公钥TB、认证服务器B的公钥PKB构造跨域认证请求MreqB，并对MreqB进行签名，然后转发至中心认证服务器S；中心认证服务器S收到认证请求包后，首先检查B的签名，检查通过以后，中心认证服务器S将跨域认证请求转发至认证服务器A，认证请求中包含中心认证服务器的挑战，请求转发阶段结束，进入阶段...

【专利技术属性】
技术研发人员：赵朋川，曾颖明，陈志浩，李红，王斌，
申请(专利权)人：中国航天科工集团第二研究院七〇六所，北京航天爱威电子技术有限公司，
类型：发明
国别省市：