本发明专利技术提供了一种云计算网络中的终端登录方法,该方法包括:用户连接到云平台服务器后,获取服务器加密后的元数据令牌,查询该令牌对服务器进行认证,云平台的认证模块对用户进行认证,将认证结果发送至云平台服务器。本发明专利技术提出了一种云计算网络中的终端登录方法,不需要可信第三方,用户和服务器之间彼此进行认证,不需要暴露隐私属性信息,防止信息的泄露或篡改。
【技术实现步骤摘要】
本专利技术涉及云计算,特别涉及。
技术介绍
云计算中庞大的数据交易和各类信息服务的背后却隐藏着杂乱繁多的账户管理问题,使得数字身份无疑成为了关注焦点。近年来因为数字身份泄露造成的侵犯个人隐私案件时有发生。为了在云之间资源能安全共享,云彼此身份的合法性自然也成为重要的关注点。身份认证作为信息安全的守卫,是云安全措施不可或缺的环节。为了实现通用登录,很多机制也在开发和使用当中。其中一些是针对合作网站之间安全交换信息认证和授权而开发的框架或协议,而另一些则是横跨网站、应用程序和设备而搭建的,将身份以及关系信息融为一体的构架,但现有以上架构构造信任的高额成本和作为身份提供者的可信第三方可能存在单点失效问题。
技术实现思路
为解决上述现有技术所存在的问题,本专利技术提出了,包括:首先,用户连接到云平台服务器后,获取服务器加密后的元数据令牌,查询该令牌对服务器进行认证,然后,云平台的认证模块对用户进行认证,将认证结果发送至云平台服务器。优选地,所述获取服务器加密后的元数据令牌,查询该令牌对服务器进行认证,进一步包括:云平台服务器首先生成一对密钥SPK,SMK ;然后加密公钥和自己的ID生成密文SCT ;接着把密钥对SPK、SMK和元数据描述函数f作为输入项,生成元数据描述令牌;当认证模块得到令牌和SPK、SCT后,虚拟机调用查询算法输出元数据描述结果布尔值,如果为真,确定云平台服务器为用户所请求的服务器,否则,通知用户停止通信;所述云平台的认证模块对用户进行认证,将认证结果发送至云平台服务器,进一步包括:当认证模块在云平台服务器端被启用后,云平台服务器得到关于用户的密文UCT和描述令牌UCK,作为两个输入参数,调用解密过程进行解密计算,如果得到用户自己的ID值,则确定认证模块的拥有者即用户是合法的;如果得到空字符,则拒绝提供服务。优选地,所述终端用户是请求扩充资源的另一个私有云PC,并且所述私有云PC请求当前云平台服务器的服务的身份认证过程具体步骤包括:Stepl:私有PC向云平台服务器请求服务;Step2:云平台服务器通过元数据加密过程,把服务器提供的密钥对SPK、SMK和元数据描述函数f作为输入项,生成元数据描述令牌,用于匿名认证;云平台服务器将服务器令牌、公钥SKpu,生成认证数据集一起发送给PC ;Step3:PC接受到认证数据集后,传送给认证模块,认证执行单元首先判定云平台服务器是否为PC所请求的真实提供者,如果元数据判定结果为真,进入下一步;若为假,则返回一个拒绝信息,中断通信;Step4:把服务器ID记录到字典目录中,如果该服务是PC第一次请求,则提供一个虚拟账户VID,并进行数字签名;如果该云平台服务器曾被请求过,根据服务器ID在目录中查找到对应的VID然后生成签名Sg,接着将服务器ID发送到认证模块的认证执行单元;Step5:认证执行单元收到服务器ID后,利用虚拟机中的元数据加密过程生成密文UCT和元数据描述令牌UTKf,存储在元数据数据库中并发送给云平台服务器,向其认证PC的身份;St印6:云平台服务器接受元数据数据库后,验证结果值是否为自己的ID值,如果结果值相等,则PC合法,允许PC获取资源;若获取其他属性信息,则返回给认证模块请求属性验证信息;如果结果值不相等,云平台服务器返回拒绝信息,并停止与请求者PC的交互;Step7:当认证模块收到属性验证请求信息后,启动基于认证数据集的认证,生成认证数据集发送给云平台服务器;St印8:云平台服务器得到认证数据集后首先用自己的私钥解密,等待成功通过虚拟机执行的完整性自检后启用,如果启用失败,则云平台服务器重新发出请求;Step9:启用后,云平台服务器得到PC的Sg和属性加密公钥Akpu,云平台服务器使用公钥解密用户属性信息,并验证属性信息;SteplO:云平台服务器成功验证属性信息后返回接收信息给认证模块,若验证失败则返回拒绝信息;Stepll:认证模块将接收信息传送给PC ;St印12:PC开始使用服务。本专利技术相比现有技术,具有以下优点:本专利技术提出了,不需要可信第三方,用户和服务器之间彼此进行不公开的认证,不需要暴露隐私属性信息,防止信息的泄露或篡改。【附图说明】图1是根据本专利技术实施例的云计算网络中的终端登录方法的流程图。【具体实施方式】下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描述。结合这样的实施例描述本专利技术,但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定,并且本专利技术涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本专利技术。本专利技术的一方面提供了。图1是根据本专利技术实施例的云计算网络中的终端登录方法流程图。本专利技术通过匿私有云身份认证方案,可以被嵌入如智能卡等微型硬件中,终端用户获得合法使用权后通过各种移动设备来请求服务。终端用户不用担心自己身份隐私问题,同时降低网络负载,克服网络延迟。云身份认证空间参与的角色包含:私有云平台服务器、云终端用户和云平台认证模块。而云平台认证模块包含了以下六个部分。虚拟身份库:虚拟身份库中包括签名密钥。签名密钥里存储对用户的虚拟账户VID进行签名保护的数字签名Sg,Sg被发送到认证执行单元中去组建认证数据集。认证过程结束后,云平台服务器将得到并选择保存Sg。当下一次被请求服务时,即使云平台服务器有认证属性的需求,终端用户只需用Sg作为条件进行元数据认证,云平台服务器把解密元数据得到的值跟之前存储的Sg对比就能完成认证了。这样即提高了认证效率也减少了暴露隐私信息的次数。属性库:属性库用于将用户的个人隐私属性信息收集起来并用密钥数据库提供的属性加密私钥AKpr加密,生成密文EAT保存其中,如:Email地址、电话号码。认证初始化过程中属性库将EAT发送给认证执行单元打包生成认证数据集。在认证过程中,如若云平台服务器需要查看用户的属性信息ATT,则首先使用属性加密公钥AKpu解密获取属性信息。值得注意的是,用户可以选择提供给属性库全部或部分个人隐私信息,而不是由属性库自动搜索用户所拥有的所有属性,这样给了用户更多权力来掌控自己的隐私。而且,由于云环境的动态特性,用户信息也可能变化,所以用户想请求新的服务时,需要添加新的属性信息,这时可以通过属性库更新或是修改自己的属性信息。认证执行单元:认证执行单元的职责是生成非公开认证的元数据描述令牌和认证数据集。认证阶段首先认证执行单元首先会得到云平台服务器发送的服务器令牌,然后调用虚拟机中的查询算法描述元数据令牌的有效性来认证云平台服务器是否合法。然后认证执行单元还会利用得到的服务器ID及其他安全参数等为用户生成自己的元数据描述令牌UTKf,让云平台服务器完成对用户的身份匿名认证。认证执行单元还负责生成属性认证所需的认证数据集。认证数据集由五部分构成:加密的属性信息EAT、签名的虚拟账户Sg、保密策略、属性加密公钥AKpu和基于虚拟机的信息摘要(包含认证过程所必需的执行代码和算法)。保密策略中包括了认证数据集在到达云平台服务器后,启用前后的一系列保密策略,通过虚拟机实施这些策略,完成认证。整个认证数据集打包后用本文档来自技高网...
【技术保护点】
一种云计算网络中的终端登录方法,用于私有云和终端用户进行双向身份认证,其特征在于,包括:首先,用户连接到云平台服务器后,获取服务器加密后的元数据令牌,查询该令牌对服务器进行认证,然后,云平台的认证模块对用户进行认证,将认证结果发送至云平台服务器。
【技术特征摘要】
【专利技术属性】
技术研发人员:马泳宇,
申请(专利权)人:成都睿峰科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。