一种可信云计算环境中无证书跨域认证方法

摘要

本发明涉及一种可信云计算环境下无证书跨域认证的方法。本方法将无证书公钥密码技术引入到跨域认证中，在可信云计算中实现了可信跨域认证，属于云计算安全技术领域。本发明采用无证书公钥密码系统，解决了传统数字证书认证系统中的证书维护开销问题和基于身份的公钥密码系统的私钥托管的问题。在本发明中，用户公钥基于身份生成，用户的私钥由用户和中心认证服务器各自生成一部分，本发明摒弃了证书系统，减轻了认证系统的开销，同时保护了用户私钥。无证书密码系统采用双线性对运算，经过证明基于双线性对运算的安全假设具有很高的安全性。本发明采用无证书公钥密码系统进行身份认证和会话密钥的协商，保证了系统具有较高的安全性。

说明书

技术领域

本发明涉及一种可信云计算环境下无证书跨域认证的方法。本方法将无证书公钥密码 技术引入到跨域认证中，在可信云计算中实现了可信跨域认证，属于云计算安全技术领域。

背景技术

自2006年谷歌公司提出“云计算”概念以来，云计算越来越受到业界的关注，云计 算广义上就是基于“网络就是计算机”的思想，将互联网上的计算资源、存储资源整合在 一起，形成大规模的资源池，使资源能够通过简洁的管理或交互过程进行快速地部署和释 放，为远程计算机用户提供相应的服务，实现资源的按需分配。云计算已经成为未来互联 网发展的一种趋势。

随着云计算技术的深入应用，安全问题已经成为云计算发展面临的最大问题，成为信 息安全领域研究的热点之一。

可信计算的概念由可信计算组织（Trust Computing Group，TCG）提出，主要手段是 进行身份确认和使用加密等手段进行存储保护以及使用完整性度量机制进行对计算机系 统进行完整性保护。云计算里的计算中心、数据中心、虚拟化等都依赖于各类计算机系统， 云计算的工作模式使得安全、可靠、可信的问题更加突出，因此云计算更需要计算机的安 全可信。只有确保云计算里计算机系统的安全可信，才能确保云计算的安全性，可信计算 正在成为云计算的安全基础。

而在可信云计算中，不同的云服务会形成不同的可信域，每个可信域内设置有认证服 务器对域内资源进行管理，为访问资源的用户提供可信认证服务，在云计算中，用户经常 会漫游到其他可信域中进行云计算资源的访问，这样就会存在跨域认证问题，因此有必要 设计一种高效的可信云计算环境中的跨域认证方法来实现用户在不同云可信域中的自由 访问。

发明内容

（1）发明目的

本发明的目的是提出一种可信云计算环境中无证书跨域认证的方法。它可用于解决可 信云计算环境中用户访问不同可信域中资源的跨域认证的问题，该方法要实现认证服务器 对跨域用户高效的可信认证，同时实现认证服务器和跨域用户会话密钥的协商。

（2）技术方案

为了达到上述目的，本发明在可信网络连接的基础上结合无证书公钥密码技术开展工 作，其技术方案如下：

本发明，一种可信云计算环境中无证书跨域认证方法，包括3个可信域共4个实体， 如图1所示。认证系统包括认证服务器A、认证服务器B、中心认证服务器S和用户C， 其中认证服务器A和用户C属于可信域DOM1，认证服务器B属于可信域DOM2，中心 认证服务器作为可信第三方独立于DOM1和DOM2。当用户C要访问DOM2中的服务时， 需要向DOM2中的认证服务器B进行可信跨域认证。

本发明中采用无证书公钥密码体系，由中心认证服务器掌管系统的私钥，并为认 证服务器A和认证服务器B生成部分私钥，认证服务器A和认证服务器B自己选择部分 私钥并生成公钥，并向系统公布公钥。用户C对认证服务器B的跨域认证请求由中心认证 服务器传递给认证服务器A，在传递过程中，中心认证服务器利用无证书公钥密码技术完 成对认证服务器A和认证服务器B的身份认证，认证服务器A完成对用户C的可信认证 后将结果返回给中心认证服务器，如果认证通过，由中心认证服务器S向用户C发送跨域 认证的部分私钥，此时用户C利用自己的私钥和认证服务器B的公钥生成跨域访问的会话 密钥，认证服务器B同时利用自己的私钥和用户C的公钥生成与用户C一致的会话密钥， 完成整个跨域认证过程。

以下将结合附图对所述的可信云计算环境中无证书跨域认证方法进行具体阐述，图1 为整个跨域认证的系统结构图，图2为跨域认证的流程图。

如图2所示，本方法共包含7个步骤，分为4个阶段，分别为：跨域认证请求阶段、 请求转发阶段、用户可信认证阶段、跨域认证密钥分发阶段。

1.一种可信云计算环境中无证书跨域认证方法，其特征在于：

认证系统包括认证服务器A、认证服务器B、中心认证服务器S和用户C，其中认证服 务器A和用户C属于可信域DOM1，认证服务器B属于可信域DOM2，中心认证服务器作为 可信第三方独立于DOM1和DOM2；

分为4个阶段，分别为：跨域认证请求阶段、请求转发阶段、用户可信认证阶段、跨 域认证密钥分发阶段；

阶段1：跨域认证请求阶段：可信域DOM1中的用户C向可信域DOM2中的认证服务器 B发起跨域认证请求，包括用户C的唯一身份ID_C、用户C的随机挑战N_C、用户C的公钥 用户C选择的临时公钥T_C进入阶段2；

阶段2：请求转发阶段：认证服务器B首先检查用户的ID，启动跨域认证请求转发过 程；认证服务器B将用户C的唯一身份ID_C、用户C的随机挑战N_C、认证服务器B的挑战 N_B、认证服务器B选择的临时公钥T_B、认证服务器B的公钥构造跨域认证请求 并对进行签名，然后转发至中心认证服务器S；中心认证服务器S收到认证 请求包后，首先检查B的签名，检查通过以后，中心认证服务器S将跨域认证请求转发至 认证服务器A，认证请求中包含中心认证服务器的挑战，请求转发阶段结束，进入阶段3；

阶段3：用户可信认证阶段：认证服务器A收到中心认证服务器S发送的认证请求后， 启动对用户C的可信认证，可信认证过程遵循可信网络连接TNC协议，在可信网络连接中 认证服务器A完成对用户C的身份认证、用户认证和完整性认证；认证成功后，认证服务 器A将认证结果resp、用户C的随机挑战N_C和中心认证服务器S的N_S进行签名发送给中 心认证服务器S；

阶段4：跨域认证密钥分发阶段：中心认证服务器S首先对比由认证服务器A转发的 用户C进行跨域访问的随机挑战和由认证服务器B转发的用户C进行跨域访问的随机挑战 是否一致，对比认证服务器A签名的N_S和生成的N_S是否一致，然后根据可信认证结果 resp，为用户C生成部分私钥D_C，连同认证服务器B的挑战N_B、认证服务器B选择的 临时公钥T_B、认证服务器B的公钥加密转发给认证服务器A，认证服务器A收到后 进行解密；

认证服务器A收到后进行解密然后将解密结果传送给用户C；最后，用户C利用自己 的私钥D_C和认证服务器B的公钥生成跨域资源访问的会话密钥，认证服务器B利用 自己的私钥和用户C的公钥生成与用户C生成的会话密钥一致的密钥，至此用户C 完成了跨域的可信认证和跨域资源访问会话密钥的协商。

（3）优点及功效

本发明是可信云计算环境中的无证书跨域认证方法，其优点和功效是：1）采用无证 书公钥密码系统，解决了传统数字证书认证系统中的的证书维护开销问题和基于身份的公 钥密码系统的私钥托管的问题。在本发明中，用户公钥基于身份生成，用户的私钥由用户 和中心认证服务器各自生成一部分，本发明摒弃了证书系统，减轻了认证系统的开销，同 时保护了用户私钥。2）安全性高，无证书密码系统采用双线性对运算，经过证明基于双 线性对运算的安全假设具有很高的安全性。本发明采用无证书公钥密码系统进行身份认证 和会话密钥的协商，保证了系统具有较高的安全性。

附图说明

图1跨域认证系统结构图。

图2跨域认证流程图。

图中主要符号和标记说明如下表。

表1符号含义对照表

具体实施方式

以下将结合附图对本方法的具体实施方式进行详细阐述。

本方法用到的主要的密码学知识及安全假设说明：

1.双线性对：设G₁、G₂是椭圆曲线中阶为质数q的加法循环群和乘法循环群，P为G₁的生成元，并且G₁上的离散对数问题是难解的，则两个群之间的双线性映射e:G₁×G₁→G₂满足以下性质：

（1）双线性性：e(aP,bQ)=e(P,Q)^ab，对所有的P,Q∈G₁;a,b∈Z都成立；

（2）非退化性：存在P,Q∈G₁，使得e(P,Q)≠1；

（3）可计算性：对于P,Q∈G₁，存在有效的算法计算e(P,Q)。

2.本方法假设中心认证服务器S为可信第三方，能够准确的响应每个请求，中心认证 服务器S选择s∈Z作为系统的主密钥，并且公开整个系统的公共参数 H,H₁,e:G₁×G₁→G₂，基点P∈G₁以及系统公钥P₀=sP。认证服务器A和认证服务器B 在线下向中心服务器S申请部分私钥D_A和D_B，其中D_A=sQ_A,Q_A=H₁(ID_A)∈G₁，ID_A为 代表认证服务器A的身份唯一标识；D_B=sQ_B,Q_B=H₁(ID_B)∈G₁，ID_B为代表认证服务器 B的身份唯一标识。同时，认证服务器A选择x_A作为私钥，并生成公钥对 <X_A=x_AP,Y_A=x_AP₀>向中心认证服务器公布；认证服务器B选择x_B作为私钥，并生成公 钥对<X_B=x_BP,Y_B=x_BP₀>向中心认证服务器公布。

见图1，为本发明认证系统架构模型图。

见图2，本发明分为跨域认证请求阶段、请求转发阶段、用户可信认证阶段和跨域认 证密钥分发阶段。

阶段1：跨域认证请求阶段：本阶段对应图2中的步骤①，可信域DOM1中的用户C 向可信域DOM2中的认证服务器B发起跨域认证请求，认证请求中包含用户C的公钥和 挑战，进入阶段2。

阶段2：请求转发阶段：本阶段对应图2中的步骤②和步骤③，认证服务器B首先检 查用户的ID，启动跨域认证请求转发过程。认证服务器B将用户C的跨域访问请求和认 证服务器B生成的公钥，用认证服务器B的私钥进行签名，然后转发至中心认证服务器S。 中心认证服务器S收到认证请求包后，首先检查B的签名，检查通过以后，中心认证服务 器S将跨域认证请求转发至认证服务器A，认证请求中包含中心认证服务器的挑战，请求 转发阶段结束，进入阶段3。

阶段3：用户可信认证阶段：本阶段对应图2中的步骤④和步骤⑤。认证服务器A收 到中心认证服务器S发送的认证请求后，启动对用户C的可信认证，可信认证过程遵循可 信计算组织（TCG）的可信网络连接（TNC）协议，在可信网络连接中认证服务器A完成 对用户C的身份认证、用户认证和完整性认证。认证结束后进入阶段4。认证成功后，认 证服务器A将认证结果和用户C发起跨域访问时产生的随机挑战签名后发送给中心认证服 务器。

阶段4：跨域认证密钥分发阶段：本阶段对应图2中的步骤⑥和步骤⑦。中心认证 服务器收到认证结果后，首先验证签名，然后对比由认证服务器A转发的用户C的随机挑 战和由认证服务器B转发的随机挑战是否一致。然后中心认证服务器S为用户C生成的部 分私钥，并在步骤⑥中将生成的部分私钥连同认证服务器B的公钥进行加密后发送给认证 服务器A；认证服务器A收到后进行解密然后将结果利用在阶段3中建立的安全通道安全 传送给用户C。

最后，用户C利用自己的私钥和认证服务器B的公钥生成跨域资源访问的会话密钥， 认证服务器B利用自己的私钥和用户C的公钥生成与用户C生成的会话密钥一直的密钥， 至此用户C完成了跨域的可信认证和跨域资源访问会话密钥的协商。

其详细执行过程如下：

1.跨域认证请求阶段

本阶段包括图2中的步骤①，可信域DOM1中的用户C要访问可信域DOM2中资源， 向可信域DOM2中的认证服务器B发送跨域认证请求跨域认证请求包括用 户C的唯一身份ID_C、用户C的随机挑战N_C、用户C的公钥PK_C=x_CP（其中x_C∈Z为 用户C选择的私钥）、T_C=aP（其中a∈Z为用户选择的临时私密数）。

2.请求转发阶段

本阶段包括图2中的步骤②和步骤③。在步骤②中，认证服务器B将用户C的跨域认 证请求认证服务器B的挑战N_B、T_B=bP（b∈Z为认证服务器B选择的临时私密 数）、公钥PK_B=x_BP构造跨域认证请求并对进行签名，签名过程如下：

1）计算r_B=e(bP,P)∈G₂；

2）计算$v_B=H(M_{{\mathrm{req}}_B},r_B)\in Z;$

3）计算U_B=v_BS_B+bP∈G₁，其中S_B=x_BD_B；

4）签名为<U_B,v_B>。

最后认证服务器B将和签名<U_B,v_B>发送给中心认证服务器S。中心认证服务器 S收到认证服务器B发送的认证请求后，首先验证签名，验证过程如下：

首先计算：

$r_B^{\prime }=e(U_B,P)·e{(Q_B,-Y_B)}^{v_B}$

根据双线性对的性质，得到：

$\left(\begin{array}{c}{r}_B^{\prime }=e(v_B{x}_B{\mathrm{sQ}}_B+\mathrm{bP},P)·e{(Q_B,-x_B\mathrm{sP})}^{v_B}\\ =e{(Q_B,P)}^{v_B{x}_{B}s}·e(\mathrm{bP},P)·e{(Q_B,P)}^{{-x}_B{\mathrm{sv}}_B}\\ =e(\mathrm{bP},P)\end{array}\right)$

然后计算：

$v_B^{\prime }=H(M_{{\mathrm{req}}_B},r_B^{\prime })$

如果v′_B=v_B，则验证成功。验证通过后中心认证服务器S将ID_C和随机挑战N_S发送给 认证服务器A。进入下一阶段。

3.用户可信认证阶段

认证服务器A收到中心认证服务器S转发的认证请求后，在中提取出ID_C，并 启动步骤④和步骤⑤，在步骤④中完成对用户C的可信认证，可信认证遵循可信计算组织 （TCG）提出的可信网络连接（TNC）协议，本发明不再叙述。在TNC中，认证服务器A 对用户C完成身份认证、用户认证和平台完整性认证。在认证成功的最后阶段用户C将发 起跨域认证请求中的随机挑战N_C发送给认证服务器A。在步骤⑤中，认证服务器A将认 证结果resp、用户C的随机挑战N_C和N_S进行签名发送给中心认证服务器S，签名过程同 阶段二，不再详细叙述。进步最后一个阶段。

4.跨域认证密钥分发阶段

中心认证服务器S首先对比由认证服务器A转发的用户C进行跨域访问的随机挑战和 由认证服务器B转发的用户C进行跨域访问的随机挑战是否一致，对比认证服务器A签 名的N_S和生成的N_S是否一致，然后根据可信认证结果resp，为用户C生成部分私钥 D_C=sQ_C,Q_C=H₁(ID_C)∈G₁，连同N_B、T_B和PK_B加密转发给认证服务器A，加密过程为：

$C=<\mathrm{dP},M_{{\mathrm{resp}}_S}\oplus H_2\left(e{(Q_A,Y_A)}^d\right)>=<U,V>$

认证服务器A收到后进行解密，解密过程为：

$\left(\begin{array}{c}{M}_{{\mathrm{resp}}_B}^{\prime }=V\oplus H_2\left(e(S_A,U)\right)\\ =V\oplus H_2\left(e(x_A{\mathrm{sQ}}_A,\mathrm{dP})\right)\\ =V\oplus H_2\left(e{(Q_A,x_A\mathrm{sP})}^d\right)\\ =V\oplus H_2\left(e{(Q_A,Y_A)}^d\right)\\ =M_{{\mathrm{resp}}_B}\end{array}\right)$

然后认证服务器A将通过与用户C在阶段3可信认证过程中建立的安全通道发 送给用户C。用户C生成跨域访问的会话密钥：

$\left(\begin{array}{c}{K}_C=e{(Q_B,P_0+{\mathrm{PK}}_B)}^a·e(D_C+x_C{Q}_C,T_B)\\ =e{(Q_B,\mathrm{sP}+x_{B}P)}^a·e({\mathrm{sQ}}_C+x_C{Q}_C,\mathrm{bP})\\ =e{(Q_B,P)}^{a(s+x_B)}·e{(Q_C,P)}^{b(s+x_C)}\end{array}\right)$

认证服务器B生成用户C跨域访问的会话密钥：

$\left(\begin{array}{c}{K}_B=e{(Q_C,P_0+{\mathrm{PK}}_C)}^b·e(D_B+x_B{Q}_B,T_C)\\ =e{(Q_C,\mathrm{sP}+x_{C}P)}^b·e({\mathrm{sQ}}_B+x_B{Q}_B,\mathrm{aP})\\ =e{(Q_C,P)}^{b(s+x_C)}·e{(Q_B,P)}^{a(s+x_B)}\end{array}\right)$

可以得到K_C=K_B，至此用户C的跨域认证结束，用户C可以利用生成的跨域认证会 话密钥在信任域DOM2中进行跨域的资源访问。