终端认证云服务提供者的方法及系统、云服务提供者认证终端的方法及系统

摘要

本发明提供一种终端认证云服务提供者的方法，包括：依据谓词评估函数生成与终端有关的谓词评估令牌STK

说明书

技术领域

 本发明涉及安全认证技术，具体而言，涉及云身份认证技术。 

背景技术

 现有的云身份认证技术主要采用联合身份认证机制，涉及到身份提供商(IDP)与服务提供商（SP）。这种情况下，多个SP共用一个IDP，在IDP失效的情况下，多个SP都将无法实现身份认证。此外，如果这个IDP受到攻击，就会造成数据泄露甚至系统瘫痪，导致巨额损失。 

 在联合身份认证过程中，通常只关注如何便捷实现对用户身份的认证，这就使用户面临网络钓鱼等危险。 

  

发明内容

有鉴于此，本发明提供一种终端认证云服务提供者的方法，包括：依据谓词评估函数生成与终端有关的谓词评估令牌STK_f；生成包括所述谓词评估令牌STK_f与公钥SK_pu的数据包，所述数据包还包括指明所述云服务提供者身份的身份数据；将所述数据包发送到与所述云服务提供者有关的装置；在所述云服务提供者有关的装置处，依据谓词评估匿名判断函数对所接收的数据包进行解析，依据解析结果认证所述云服务提供者。 

根据本发明的终端认证云服务提供者的方法，优选地，所述依据谓词评估函数生成与终端有关的谓词评估令牌STK_f包括：生成一对密钥SPK与SMSK；由所述一对密钥SPK与SMSK依据谓词评估函数生成与终端有关的谓词评估令牌STK_f。 

根据本发明的又一方面，还提供一种云服务提供者认证终端的方法，包括：接收到来自终端的请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f；将密文UCT与谓词评估令牌UTK_f、与安全机制有关的数据SeP、以及公钥AK_pu一起用云服务提供者提供的公钥SK_pu生成安全主动约束包SAB；将所述安全主动约束包SAB提供给与云服务提供者有关的装置；通过所述云服务提供者提供的私钥解密所述安全主动约束包SAB；解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据SeP进行安全检查；在安全检查通过的情况下，从解密的所述安全主动约束包SAB取得密文UCT与谓词评估令牌UTK_f并解密UTK_f，在解密结果与所述认证用中间数据相同的情况下，认证通过。 

按照本发明提供的云服务提供者认证终端的方法，可选地，所述认证用中间数据为云服务提供者的身份数据。 

按照本发明提供的云服务提供者认证终端的方法，可选地，所述接收到来自终端的请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f包括：接收到来自终端的请求后，判断该云服务提供者是否是第一次认证该终端；如果是，则提供该终端虚拟身份，并基于该虚拟身份生成数字签名，同时，将该云服务提供者的身份数据作为认证用中间数据，以谓词加密算法处理该认证用中间数据，生成基于该身份数据的密文UCT与谓词评估令牌UTK_f；以及如果不是，则依据所述云服务提供者的身份数据获取该终端的数字签名，以谓词加密算法处理所述数字签名，由此生成基于所述数字签名的密文UCT与谓词评估令牌UTK_f。 

根据本发明的又一示例，还提供一种双向云认证方法，用于终端与云服务提供者的互相认证，该方法包括： 

终端认证云服务提供者，包括：依据谓词评估函数生成与终端有关的谓词评估令牌STK_f；生成包括所述谓词评估令牌STK_f与公钥SK_pu的数据包，所述数据包还包括指明所述云服务提供者身份的身份数据；将所述数据包发送到与所述云服务提供者有关的装置；在所述云服务提供者有关的装置处，依据谓词评估匿名判断函数对所接收的数据包进行解析，依据解析结果认证所述云服务提供者；以及

云服务提供者认证终端，包括：接收到来自终端的请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f；将密文UCT与谓词评估令牌UTK_f、以及与安全机制有关的数据SeP、以及公钥AK_pu一起用云服务提供者提供的公钥SK_pu加密生成安全主动约束包SAB；将所述安全主动约束包SAB发送到与云服务提供者有关的装置；通过所述云服务提供者提供的私钥解密所述安全主动约束包SAB；解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据SeP进行安全检查；在安全检查通过的情况下，从解密的所述安全主动约束包SAB取得密文UCT与谓词评估令牌UTK_f并解密UTK_f，在解密结果与所述认证用中间数据相同的情况下，认证通过。

根据本发明的双向云认证方法，优选地，所述依据谓词评估函数生成与终端有关的谓词评估令牌STK_f包括：生成一对密钥SPK与SMSK；由所述一对密钥SPK与SMSK依据谓词评估函数生成与终端有关的谓词评估令牌STK_f。 

根据本发明的双向云认证方法，可选地，所述认证用中间数据为云服务提供者的身份数据。 

根据本发明的双向云认证方法，可选地，所述接收到来自终端的请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f包括：接收到来自终端的请求后，判断该云服务提供者是否是第一次认证该终端；如果是，则提供该终端虚拟身份，并基于该虚拟身份生成数字签名，同时，将该云服务提供者的身份数据作为认证用中间数据，以谓词加密算法处理该认证用中间数据，生成基于该身份数据的密文UCT与谓词评估令牌UTK_f；以及如果不是，则依据所述云服务提供者的身份数据获取该终端的数字签名，以谓词加密算法处理所述数字签名，由此生成基于所述数字签名的密文UCT与谓词评估令牌UTK_f。 

根据本发明的又一示例，还提供一种终端认证云服务提供者的系统，包括：终端数据包生成模块，其配置成依据谓词评估函数生成与终端有关的谓词评估令牌STK_f，及生成包括所述谓词评估令牌STK_f与公钥SK_pu的数据包，所述数据包还包括指明所述云服务提供者身份的身份数据；发送模块，其配置成发送所述数据包；第一认证模块，其配置成接收所述发送模块发送的数据包，并依据谓词评估匿名判断函数对所接收的数据包进行解析，依据解析结果认证所述云服务提供者。 

根据本发明的终端认证云服务提供者的系统，优选地，所述终端数据包生成模块包括：密钥对生成单元，用于一对密钥SPK与SMSK；令牌生成单元，用于由所述一对密钥SPK与SMSK依据谓词评估函数生成与终端有关的谓词评估令牌STK_f；数据包生成单元，生成包括谓词评估令牌STK_f与公钥SK_pu的数据包，该数据包还包括指明云服务提供者身份的身份数据。 

根据本发明的又一示例，还提供一种云服务提供者认证终端的系统，包括：第一处理模块，其在接收来自终端的请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f；SAB生成模块，其用于将密文UCT与谓词评估令牌UTK_f、以及与安全机制有关的数据SeP、以及公钥AK_pu一起用云服务提供者提供的公钥SK_pu加密生成安全主动约束包SAB，并将该安全主动约束包SAB发送到与云服务提供者有关的装置；解密模块，其用于通过私钥解密所述安全主动约束包SAB，其中，解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据SeP进行安全检查；第二处理模块，其在安全检查通过的情况下，从解密的所述安全主动约束包SAB取得密文UCT与谓词评估令牌UTK_f并解密UTK_f，并将解密结果与所述认证用中间数据进行比较，如果比较结果相同，则认证通过。 

根据本发明示例的云服务提供者认证终端的系统，可选地，所述认证用中间数据为云服务提供者的身份数据。 

根据本发明示例的云服务提供者认证终端的系统，可选地，所述第一处理模块包括：判断单元，其用于在接收到来自终端的请求后，判断该云服务提供者是否是第一次认证该终端；第一处理单元，其用于在判断单元的结果为是的情况下，向该终端提供虚拟身份，并基于该虚拟身份生成数字签名，同时，以谓词加密算法处理在该终端第一次向所述云服务提供者进行请求时作为认证用中间数据的所述服务提供者的身份数据，由此生成基于所述身份数据的密文UCT与谓词评估令牌UTK_f；及第二处理单元，其用于在判断单元的结果为不是的情况下，依据所述云服务提供者的身份数据获取该终端的数字签名，以谓词加密算法处理所述数字签名，由此生成基于所述数字签名的密文UCT与谓词评估令牌UTK_f。 

根据本发明的又一示例，还提供一种双向云认证系统，用于终端与云服务提供者的互相认证，所述双向云认证系统包括： 

终端认证云服务提供者的系统，其包括：终端数据包生成模块，其配置成依据谓词评估函数生成与终端有关的谓词评估令牌STK_f，及生成包括所述谓词评估令牌STK_f与公钥SK_pu的数据包，所述数据包还包括指明所述云服务提供者身份的身份数据；发送模块，其配置成发送所述数据包；第一认证模块，其配置成接收所述发送模块发送的数据包，并对所接收的数据包进行解析，依据解析结果认证所述云服务提供者；以及

云服务提供者认证终端的系统，其包括：第一处理模块，其在接收到来自终端的请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f；SAB生成模块，其用于将密文UCT与谓词评估令牌UTK_f、以及与安全机制有关的数据SeP、以及公钥AK_pu一起用云服务提供者提供的公钥SK_pu加密生成安全主动约束包SAB，并将该安全主动约束包SAB发送到与云服务提供者有关的装置；解密模块，其用于通过私钥解密所述安全主动约束包SAB，其中，解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据SeP进行安全检查；第二处理模块，其在安全检查通过的情况下，从解密的所述安全主动约束包SAB取得密文UCT与谓词评估令牌UTK_f并解密UTK_f，并将解密结果与所述认证用中间数据进行比较，如果比较结果相同，则认证通过。

该双向云认证系统，优选地，所述终端数据包生成模块包括：密钥对生成单元，用于一对密钥SPK与SMSK；令牌生成单元，用于由所述一对密钥SPK与SMSK依据谓词评估函数生成与终端有关的谓词评估令牌STK_f；数据包生成单元，生成包括谓词评估令牌STK_f与公钥SK_pu的数据包，该数据包还包括指明云服务提供者身份的身份数据。 

该双向云认证系统，可选地，所述认证用中间数据为云服务提供者的身份数据。 

该双向云认证系统，可选地，所述第一处理模块包括：判断单元，其用于在接收到来自终端的请求后，判断该云服务提供者是否是第一次认证该终端；第一处理单元，其用于在判断单元的结果为是的情况下，向该终端提供虚拟身份，并基于该虚拟身份生成数字签名，同时，将该云服务提供者的身份数据作为认证用中间数据，以谓词加密算法处理该认证用中间数据，生成基于该身份数据的密文UCT与谓词评估令牌UTK_f；及第二处理单元，其用于在判断单元的结果为不是的情况下，依据所述云服务提供者的身份数据获取该终端的数字签名，以谓词加密算法处理所述数字签名，由此生成基于所述数字签名的密文UCT与谓词评估令牌UTK_f。 

附图说明

   图1是根据本发明的示例的终端认证云服务提供者的方法的流程图。 

 图2是根据本发明一个示例的云服务提供者认证终端的方法的流程图。 

 图3是根据本发明又一个示例的云服务提供者认证终端的方法的流程图。 

  图4是根据本发明示例的终端认证云服务提供者的系统的结构框图。 

  图5是根据本发明一个示例的云服务提供者认证终端的系统的结构框图。 

  图6是根据本发明又一个示例的云服务提供者认证终端的系统的结构框图。 

  图7是根据本发明的示例的双向云认证系统的结构示意图。 

  

具体实施方式

 现在参照附图描述本发明的示意性示例，相同的附图标号表示相同的元件。下文描述的各实施例有助于本领域技术人员透彻理解本发明，且意在示例而非限制。除非另有限定，文中使用的术语（包括科学、技术和行业术语）具有与本发明所属领域的技术人员普遍理解的含义相同的含义。 

图1是根据本发明的示例的终端认证云服务提供者的方法的流程图。在本发明的所有示例中，终端可以是任何可接入云服务网络的设备，如台式电脑、笔记本、及手持式电子设备（例如智能手机、平板电脑等）、服务器、在服务器包括多个独立主板的情况下可以是任一独立主板等。云服务提供者可以是运行在云端设备中的云服务应用，也可以是云端设备。 

在步骤100，依据谓词评估函数生成与终端有关的谓词评估令牌STK_f。作为示例，生成一对密钥SPK与SMSK；由该对密钥SPK与SMSK依据谓词评估函数生成谓词评估令牌STK_f，用于匿名认证。谓词加密（Predicate Encryption）技术是一项发展较为成熟的常规技术，本发明中所采用的谓词评估函数可以是本领域技术人员已知的任一种用于生成评估令牌的谓词评估函数，在此要注意的是，所选用的谓词评估函数有一个与其相对应的谓词评估匿名判断函数。 

在步骤102，终端生成包括谓词评估令牌STK_f与公钥SK_pu的数据包，该数据包还包括指明云服务提供者身份的身份数据。随后，在步骤104，将该数据包发送给与云服务提供者有关的装置。与云服务提供者有关的装置可以是云服务提供者所在的设备，也可以是独立于云服务者所在的设备但可与该云服务提供者所在的设备进行通信的设备。 

在步骤106，在该云服务提供者有关的装置处，依据谓词评估匿名判断函数对所接收的数据包进行解析，依据解析结果认证所述云服务提供者。该谓词评估匿名判断函数与前述谓词评估函数是相互对应的函数；并且，如果谓词评估匿名判断函数的解析结果为真，则云服务提供者通过认证，反之则没有通过认证。 

根据本发明的示例，步骤100、102以及104可分别由终端执行，或作为替代，也可由独立于终端的设备执行，只是该设备应该能与终端通信，即，该设备可接收终端发送的要认证云服务提供者的请求，并反馈认证结果给终端。与云服务提供者有关的装置是云服务提供者所在的设备时，步骤106在云服务提供者所在的设备执行，与云服务提供者有关的装置是独立于云服务者所在的设备但可与其通信的设备时，步骤106在该独立于云服务者所在的设备执行。 

 图1所示的终端认证云服务提供者的方法可实现为软件、硬件或软件与硬件的结合。无论是实现为软件、硬件还是软件与硬件的结合，如上所述，方法中的部分步骤（如步骤100、102及104）在终端执行或由独立于终端但可与终端通信的设备执行，而部分（如步骤106）在云服务提供者所在的设备执行或在可与云服务提供者所在的设备通信的设备执行。 

图2是根据本发明一个示例的云服务提供者认证终端的方法的流程图。在步骤200，接收到来自终端的认证请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f。在本示例中，认证用中间数据可以是云服务提供者的身份数据。在将要结合图3所描述的另一个示例中，认证用中间数据是针对用户终端虚拟身份的数字签名。步骤200可在云服务提供者所在的设备中执行；也可以在独立于云服务提供者所在设备但可与其通信的设备中执行。 

在图2所示的示例中，生成密文UCT与谓词评估令牌UTK_f后，在步骤202，将密文UCT与谓词评估令牌UTK_f、与安全机制有关的数据SeP、以及公钥AK_pu一起用云服务提供者提供的公钥SK_pu加密生成安全主动约束包SAB。与安全机制有关的数据SeP指明SAB要在解密过程中进行的安全检查，例如自我完整性检查以及在自我完整性检查没有通过的情况下是否要执行自我销毁的自我销毁机制。此外，为执行后续的安全性检查，一般都在SAB数据包中包括至少可执行SAB安全性检查及在检查不通过的情况下可执行自我销毁的虚拟机，本例中的SAB即包括这样的虚拟机。步骤202可在云服务提供者所在的设备中执行；也可以在独立于云服务提供者所在设备但可与其通信的设备中执行，与云服务提供者所在设备进行的通信旨在使云服务提供者知道认证结果。步骤202与步骤200可由同一设备执行也可由不同设备执行。 

在步骤204，将所述安全主动约束包SAB提供给与云服务提供者有关的装置。在此与云服务提供者有关的装置指的是后续执行解密过程的装置，后续执行解密过程的装置可以设置在云服务提供者所在的设备中，也可设置在其它设备中。 

在步骤206，在与云服务提供者有关的装置处，通过云服务提供者提供的私钥解密所述安全主动约束包SAB。随后在步骤208，解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据SeP，由SAB所包括的虚拟机进行安全检查。在此，该安全检查是自我完整性检查，即SAB检查其解密后的数据包是否完整。在安全检查通过的情况下，执行步骤210，从解密的安全主动约束包SAB中取得密文UCT与谓词评估令牌UTK_f，并解密UTK_f从而获得解密结果，将解密结果与云服务提供者的身份数据比较，如果相同，则通过认证，否则，未通过认证，终止与终端之间的沟通。在此，在SAB的自我完整性检查没有通过的情况下，本例中虚拟机会将SAB自我销毁。步骤208、210可与步骤206在同一装置执行，但不以此为限，在步骤208、210与步骤206在同一装置执行的情况下，该装置可将最后的认证结果提供给云服务提供者。 

此外，在本例及下文结合图3给出的示例中，可选地，为了进一步增加认证的安全性，在生成SAB数据包时还可包括涉及终端敏感信息的属性信息，具体需要将何种属性信息包括到该SAB数据包中，可根据云服务提供者的要求确定，而该要求例如可由云服务提供者在SAB数据包生成之前告知生成SAB的装置、设备或模块，由其收集并处理。在SAB包含了属性信息的情况下，在SAB解密后，获得终端的属性公钥AK_PU，并利用该公钥解开属性信息，由此，则进一步可验证属性信息。在这样的情况下，仅在属性信息验证成功且如图2的步骤210以及图3的步骤312中的认证通过的情况下，云服务提供者对终端的认证通过。 

图2所示的云服务提供者认证终端的方法可实现为软件、硬件或软件与硬件的结合。 

图3是根据本发明又一个示例的云服务提供者认证终端的方法的流程图，在该示例中，认证用中间数据在该云服务提供者第一次认证终端时是云服务提供者的身份数据，而在其他任意次的认证中，则为针对用户终端虚拟身份的数字签名。在步骤300，接收到来自终端的认证请求后，判断该云服务提供者是否是第一次对该终端进行认证，如果是，则进至步骤302a。在步骤302a，向该终端提供虚拟身份VID，并基于该虚拟身份生成数字签名Sg（VID），同时，将该云服务提供者的身份数据作为第一次认证用的认证用中间数据，以谓词加密算法处理该认证用中间数据，由此生成基于该身份数据的密文UCT与谓词评估令牌UTK_f；此外，在本步骤中，VID及Sg（VID）都将被存储，如下文将介绍到的，在该云服务提供者以后认证该终端时，都将该数字签名Sg（VID）作为认证用中间数据。步骤302a可在云服务提供者所在的设备中执行；还可以在独立于云服务提供者所在设备但可与其通信的设备中执行。 

如果步骤300中，接收到来自终端的认证请求后，判断该云服务提供者不是第一次认证该终端，则进至步骤302b。由于该云服务提供者第一次认证该终端时，已存储了VID及Sg（VID），因此在步骤302b中，以云服务提供者的身份数据作为索引，找到该终端的VID，进而找到该Sg（VID），以谓词加密算法处理作为认证用中间数据的Sg（VID），进而生成基于所述数字签名的密文UCT与谓词评估令牌UTK_f。作为实力，执行步骤302a与步骤302b可在同一设备执行。 

在步骤304，将密文UCT与谓词评估令牌UTK_f、与安全机制有关的数据SeP、以及公钥AK_pu一起用云服务提供者提供的公钥SK_pu加密，生成安全主动约束包SAB。与安全机制有关的数据SeP指明SAB在解密过程中进行的安全检查的种类，例如自我完整性检查以及在自我完整性检查没有通过的情况下是否要进行自我销毁的自我销毁机制。此外，为执行后续的安全性检查，一般SAB数据包中包括至少可执行SAB安全性检查及在检查不通过的情况下可执行自我销毁的虚拟机，本例中SAB即包括这样的虚拟机。 

在步骤306，将所述安全主动约束包SAB提供给与云服务提供者有关的装置。在此与云服务提供者有关的装置指的是后续执行解密过程的装置，后续执行解密过程的装置可以设置在云服务提供者所在的设备中，也可设置在其它设备中。 

在步骤308，在与云服务提供者有关的装置处，通过云服务提供者提供的私钥解密所述安全主动约束包SAB。随后在步骤310，解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据SeP，由SAB所包括的虚拟机进行安全检查。在此，该安全检查是自我完整性检查，即SAB检查其解密后的数据包是否完整。在安全检查通过的情况下，执行步骤312，从解密的安全主动约束包SAB中取得密文UCT与谓词评估令牌UTK_f，并解密UTK_f从而获得解密结果，在此，如果密文UCT与谓词评估令牌UTK_f是在步骤302a生成的，则将解密结果与云服务提供者的身份数据比较，如果相同，则通过认证，否则，未通过认证，终止与终端之间的沟通；如果密文UCT与谓词评估令牌UTK_f是在步骤302b生成的，则将解密结果与数字签名Sg(VID)比较，如果相同，则通过认证，否则，未通过认证，终止与终端之间的沟通。 

与图2的示例类似，本例中，在SAB的自我完整性检查没有通过的情况下，虚拟机会将SAB自我销毁。 

根据本发明，还提供一种双向云认证方法，该方法用于终端与服务提供者之间的互相认证。在该认证中，终端认证云服务提供者的过程与图1所示例的方法相同，在图1所示的终端对云服务提供者的认证通过之后，则进行云服务提供者对终端的认证，而云服务提供者对终端的认证过程可采用如图2所示的方法，也可采用如图3所示的方法。无论是哪一种，在最终云服务提供者对终端认证通过的情况下，即完成了云服务提供者与终端的相互认证。可替代地，也可首先进行云服务提供者对终端的认证，再通过之后，再进行终端对云服务提供者的认证。考虑到上文中已经结合图1，图2与图3描述了终端认证云服务提供者以及云服务提供者的过程，在此对于基于它们的双向云认证方法就不再详细描述。 

图4是根据本发明示例的终端认证云服务提供者的系统的结构框图。如图所示，该终端认证云服务提供者的系统包括终端数据包生成模块40，发送模块42，以及第一认证模块44。终端数据包生成模块40配置成依据谓词评估函数生成与终端有关的谓词评估令牌STK_f，及生成包括谓词评估令牌STK_f与公钥SK_pu的数据包，该数据包还包括指明云服务提供者身份的身份数据。作为具体示例，终端数据包生成模块40包括密钥对生成单元400，其设置成生成一对密钥SPK与SMSK；令牌生成单元402，其用于由所述一对密钥SPK与SMSK依据谓词评估函数生成与终端有关的谓词评估令牌STK_f；以及，数据包生成单元404，其设置成生成包括谓词评估令牌STK_f与公钥SK_pu的数据包，该数据包还包括指明云服务提供者身份的身份数据。发送模块42将生成的数据包发送给第一认证模块44。作为示例，终端数据包生成模块40与发送模块都可设置在终端，也可设置在独立于终端但与该终端有关联的设备中，该独立于终端的设备至少可与该终端通信，即接收终端认证云服务提供者的请求，并反馈认证结果给终端。第一认证模块44对所接收的数据包依据谓词评估匿名判断函数进行解析，依据解析结果认证该云服务提供者是否合法。其中，谓词评估匿名判断函数与谓词评估函数为相互对应的函数。如果第一认证模块44以谓词评估匿名判断函数为基础所进行的解析，其结果为真，则云服务提供者通过认证，反之，云服务提供者没有通过认证。第一认证模块44可以设置在云服务提供者所在的设备，也可设置在与云服务提供者所在的设备有关联的设备，该有关联的设备可将认证结果发送给该云服务提供者。 

图4所示的终端认证云服务提供者的系统可实现为软件、硬件或软件与硬件的结合。无论是实现为软件、硬件还是软件与硬件的结合，该系统如上所述，可将一部分（如终端数据包生成模块40与发送模块42）设置在终端或设置在独立于终端的设备，又一部分（如第一认证模块44）设置在云服务提供者所在的设备或可与云服务提供者所在的设备通信的设备。 

 图5是根据本发明又一个示例的云服务提供者认证终端的系统的结构框图。如图所示，该云服务提供者认证终端的系统包括第一处理模块50，SAB生成模块52，解密模块54，第二处理模块56。第一处理模块50在接收到来自终端的请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f。在本例中，认证用中间数据是云服务提供者的身份数据。第一处理模块50可设置在云服务提供者所在的设备，还可以设置在独立于云服务提供者所在设备但可与其通信的设备中。SAB生成模块52将密文UCT与谓词评估令牌UTKf、与安全机制有关的数据SeP、以及公钥AK_pu一起用云服务提供者提供的公钥SK_pu加密生成安全主动约束包SAB，并将该SAB发送给与云服务提供者有关的装置。与安全机制有关的数据SeP指明SAB在解密过程中进行的安全检查的种类，例如自我完整性检查以及在自我完整性检查没有通过的情况下是否要自我销毁的自我销毁机制。此外，为执行后续的安全性检查，一般都在SAB数据包中包括至少可执行SAB安全性检查及在检查不通过的情况下可执行自我销毁的虚拟机，本例中的SAB包括这样的虚拟机。SAB生成模块52可与第一处理模块50设置在同一设备中。解密模块54通过云服务提供者提供的私钥解密所述安全主动约束包SAB，并使解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据进行安全检查；具体而言，解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据SeP，由SAB所包括的虚拟机进行安全检查。在此，该安全检查是自我完整性检查，即SAB检查其解密后的数据包是否完整。第二处理模块56从解密的安全主动约束包SAB中取得密文UCT与谓词评估令牌UTK_f，并解密UTK_f从而获得解密结果，将解密结果与云服务的身份数据比较，如果相同，则通过认证，否则，未通过认证，终止与终端之间的沟通。在此，在SAB的自我完整性检查没有通过的情况下，本例中虚拟机会将SAB自我销毁。 

 图6是根据本发明又一个示例的云服务提供者认证终端的系统的结构框图。根据该示例，该云服务提供者认证终端的系统包括第一处理模块60，SAB生成模块62，解密模块64，第二处理模块66。第一处理模块60包括判断单元600、第一处理单元602与第二处理单元604。判断单元600用于在接收到来自终端的请求后，判断云服务提供者是否是第一次认证该终端，第一处理单元602在判断单元600的结果为是的情况下，向该终端提供虚拟身份，并基于该虚拟身份生成数字签名Sg（VID），同时，将该云服务提供者的身份数据作为该第一次认证用的认证用中间数据，以谓词加密算法处理该认证用中间数据，由此生成基于该身份数据的密文UCT与谓词评估令牌UTK_f；此外，VID及Sg（VID）都将被存储，如下文将介绍到的，在该云服务提供者以后认证该终端时，都将该数字签名Sg（VID）作为认证用中间数据。第二处理单元604用于在判断单元的结果为不是的情况下，以该云服务提供者的身份数据作为索引，找到该终端的VID，进而找到该Sg（VID），由此以谓词加密算法处理作为认证用中间数据的Sg（VID），生成基于该数字签名的密文UCT与谓词评估令牌UTK_f。 

SAB生成模块62将密文UCT与谓词评估令牌UTKf、与安全机制有关的数据SeP、以及公钥AK_pu一起用云服务提供者提供的公钥SK_pu加密生成安全主动约束包SAB，并将该SAB发送给云服务提供者。与安全机制有关的数据SeP指明SAB在解密过程中进行的安全检查的种类，例如自我完整性检查以及在自我完整性检查没有通过的情况下是否要自我销毁的自我销毁机制。此外，为执行后续的安全性检查，一般都在SAB数据包中再包括至少可执行SAB安全性检查及在检查不通过的情况下可执行自我销毁的虚拟机，本例中的SAB包括这样的虚拟机。SAB生成模块62可与第一处理模块60设置在同一设备中。解密模块64通过云服务提供者提供的私钥解密所述安全主动约束包SAB，并且使解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据进行安全检查；具体而言，解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据SeP，由SAB所包括的虚拟机进行安全检查。在此，该安全检查是自我完整性检查，即SAB检查其解密后的数据包是否完整。第二处理模块66从解密的安全主动约束包SAB中取得密文UCT与谓词评估令牌UTK_f，并解密UTK_f从而获得解密结果。在密文UCT与谓词评估令牌UTK_f由第一处理单元602生成的情况下，第二处理模块66将解密结果与云服务提供者的身份数据比较，如果相同，则通过认证，否则，未通过认证，终止与终端之间的沟通；在密文UCT与谓词评估令牌UTK_f由第二处理单元604生成的情况下，第二处理模块66将解密结果与数字签名比较，如果相同，则通过认证，否则，未通过认证，终止与终端之间的沟通。在此，在SAB的自我完整性检查没有通过的情况下，本例中虚拟机会将SAB自我销毁。 

本发明还提供一种双向云认证系统，用于终端与云服务提供者之间的互相认证。图7是根据本发明的双向云认证系统的示意框图。该双向云认证系统包括终端认证云服务提供者的系统7a以及云服务提供者认证终端的系统7b。终端认证云服务提供者的系统7a与图4所示的终端认证云服务提供者的系统相同，不再赘述。按照本发明的一个示例，云服务提供者认证终端的系统7b可采用图5所示的云服务提供者认证终端的系统，不再详细描述。按照本发明的又一个示例，云服务提供者认证终端的系统7b还可采用图6所示的云服务提供者认证终端的系统。一般而言在终端认证云服务提供者的系统7a的认证结果云服务提供者通过认证的情况下，再由云服务提供者认证终端的系统7b进行云服务提供者对终端的认证。但也可是在云服务提供者认证终端的系统7b进行了云服务提供者对终端的认证之后，由终端认证云服务提供者的系统7a进行终端对云服务者的认证。 

采用如本发明所述的系统或执行如本发明所述的方法，不象常规技术那样只有云服务提供者对终端的认证，而使云服务提供者与终端可实现双向认证，由此避免了网络钓鱼这种情况的发生。认证过程中，谓词评估、SAB技术、以及自我销毁机制的采用有效防止了数据窃取。认证过程中采用公钥加密，使得小数攻击无法奏效。此外，谓词加密、虚拟帐号的采用也保证了匿名性，防止了服务商或攻击者对用户访问的跟踪，也防止了多个服务提供商通过联合解密窃取终端用户信息这种情况的发生。在本发明提供的技术方案中，用户与云提供商直接进行认证，而不需要第三方，这避免了云服务提供者对某一身份提供商的以来，有利于云服务提供商的扩展以及资源互享。