終端認(rèn)證云服務(wù)提供者的方法及系統(tǒng)、云服務(wù)提供者認(rèn)證終端的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及安全認(rèn)證技術(shù),具體而言,涉及云身份認(rèn)證技術(shù)。
【背景技術(shù)】
[0002]現(xiàn)有的云身份認(rèn)證技術(shù)主要采用聯(lián)合身份認(rèn)證機(jī)制,涉及到身份提供商(IDP)與服務(wù)提供商(SP)。這種情況下,多個(gè)SP共用一個(gè)IDP,在IDP失效的情況下,多個(gè)SP都將無法實(shí)現(xiàn)身份認(rèn)證。此外,如果這個(gè)IDP受到攻擊,就會(huì)造成數(shù)據(jù)泄露甚至系統(tǒng)癱瘓,導(dǎo)致巨額損失。
[0003]在聯(lián)合身份認(rèn)證過程中,通常只關(guān)注如何便捷實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證,這就使用戶面臨網(wǎng)絡(luò)釣魚等危險(xiǎn)。
[0004]
【發(fā)明內(nèi)容】
[0005]有鑒于此,本發(fā)明提供一種終端認(rèn)證云服務(wù)提供者的方法,包括:依據(jù)謂詞評(píng)估函數(shù)生成與終端有關(guān)的謂詞評(píng)估令牌STKf ;生成包括所述謂詞評(píng)估令牌STKf與公鑰SKpu的數(shù)據(jù)包,所述數(shù)據(jù)包還包括指明所述云服務(wù)提供者身份的身份數(shù)據(jù);將所述數(shù)據(jù)包發(fā)送到與所述云服務(wù)提供者有關(guān)的裝置;在所述云服務(wù)提供者有關(guān)的裝置處,依據(jù)謂詞評(píng)估匿名判斷函數(shù)對(duì)所接收的數(shù)據(jù)包進(jìn)行解析,依據(jù)解析結(jié)果認(rèn)證所述云服務(wù)提供者。
[0006]根據(jù)本發(fā)明的終端認(rèn)證云服務(wù)提供者的方法,優(yōu)選地,所述依據(jù)謂詞評(píng)估函數(shù)生成與終端有關(guān)的謂詞評(píng)估令牌STKf包括:生成一對(duì)密鑰SPK與SMSK ;由所述一對(duì)密鑰SPK與SMSK依據(jù)謂詞評(píng)估函數(shù)生成與終端有關(guān)的謂詞評(píng)估令牌STKf。
[0007]根據(jù)本發(fā)明的又一方面,還提供一種云服務(wù)提供者認(rèn)證終端的方法,包括:接收到來自終端的請(qǐng)求后,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù),由此生成密文UCT與謂詞評(píng)估令牌UTKf ;將密文UCT與謂詞評(píng)估令牌UTKf、與安全機(jī)制有關(guān)的數(shù)據(jù)SeP、以及公鑰AKpu —起用云服務(wù)提供者提供的公鑰SKpu生成安全主動(dòng)約束包SAB ;將所述安全主動(dòng)約束包SAB提供給與云服務(wù)提供者有關(guān)的裝置;通過所述云服務(wù)提供者提供的私鑰解密所述安全主動(dòng)約束包SAB ;解密后的安全主動(dòng)約束包SAB按照其中包括的與安全機(jī)制有關(guān)的數(shù)據(jù)SeP進(jìn)行安全檢查;在安全檢查通過的情況下,從解密的所述安全主動(dòng)約束包SAB取得密文UCT與謂詞評(píng)估令牌UTKf并解密UTKf,在解密結(jié)果與所述認(rèn)證用中間數(shù)據(jù)相同的情況下,認(rèn)證通過。
[0008]按照本發(fā)明提供的云服務(wù)提供者認(rèn)證終端的方法,可選地,所述認(rèn)證用中間數(shù)據(jù)為云服務(wù)提供者的身份數(shù)據(jù)。
[0009]按照本發(fā)明提供的云服務(wù)提供者認(rèn)證終端的方法,可選地,所述接收到來自終端的請(qǐng)求后,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù),由此生成密文UCT與謂詞評(píng)估令牌UTKf包括:接收到來自終端的請(qǐng)求后,判斷該云服務(wù)提供者是否是第一次認(rèn)證該終端;如果是,則提供該終端虛擬身份,并基于該虛擬身份生成數(shù)字簽名,同時(shí),將該云服務(wù)提供者的身份數(shù)據(jù)作為認(rèn)證用中間數(shù)據(jù),以謂詞加密算法處理該認(rèn)證用中間數(shù)據(jù),生成基于該身份數(shù)據(jù)的密文UCT與謂詞評(píng)估令牌UTKf ;以及如果不是,則依據(jù)所述云服務(wù)提供者的身份數(shù)據(jù)獲取該終端的數(shù)字簽名,以謂詞加密算法處理所述數(shù)字簽名,由此生成基于所述數(shù)字簽名的密文UCT與謂詞評(píng)估令牌UTKf。
[0010]根據(jù)本發(fā)明的又一示例,還提供一種雙向云認(rèn)證方法,用于終端與云服務(wù)提供者的互相認(rèn)證,該方法包括:
終端認(rèn)證云服務(wù)提供者,包括:依據(jù)謂詞評(píng)估函數(shù)生成與終端有關(guān)的謂詞評(píng)估令牌STKf ;生成包括所述謂詞評(píng)估令牌STKf與公鑰SKpu的數(shù)據(jù)包,所述數(shù)據(jù)包還包括指明所述云服務(wù)提供者身份的身份數(shù)據(jù);將所述數(shù)據(jù)包發(fā)送到與所述云服務(wù)提供者有關(guān)的裝置;在所述云服務(wù)提供者有關(guān)的裝置處,依據(jù)謂詞評(píng)估匿名判斷函數(shù)對(duì)所接收的數(shù)據(jù)包進(jìn)行解析,依據(jù)解析結(jié)果認(rèn)證所述云服務(wù)提供者;以及
云服務(wù)提供者認(rèn)證終端,包括:接收到來自終端的請(qǐng)求后,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù),由此生成密文UCT與謂詞評(píng)估令牌UTKf ;將密文UCT與謂詞評(píng)估令牌UTKf、以及與安全機(jī)制有關(guān)的數(shù)據(jù)SeP、以及公鑰AKpu —起用云服務(wù)提供者提供的公鑰SKpu加密生成安全主動(dòng)約束包SAB ;將所述安全主動(dòng)約束包SAB發(fā)送到與云服務(wù)提供者有關(guān)的裝置;通過所述云服務(wù)提供者提供的私鑰解密所述安全主動(dòng)約束包SAB ;解密后的安全主動(dòng)約束包SAB按照其中包括的與安全機(jī)制有關(guān)的數(shù)據(jù)SeP進(jìn)行安全檢查;在安全檢查通過的情況下,從解密的所述安全主動(dòng)約束包SAB取得密文UCT與謂詞評(píng)估令牌UTKf并解密UTKf,在解密結(jié)果與所述認(rèn)證用中間數(shù)據(jù)相同的情況下,認(rèn)證通過。
[0011]根據(jù)本發(fā)明的雙向云認(rèn)證方法,優(yōu)選地,所述依據(jù)謂詞評(píng)估函數(shù)生成與終端有關(guān)的謂詞評(píng)估令牌STKf包括:生成一對(duì)密鑰SPK與SMSK ;由所述一對(duì)密鑰SPK與SMSK依據(jù)謂詞評(píng)估函數(shù)生成與終端有關(guān)的謂詞評(píng)估令牌STKf。
[0012]根據(jù)本發(fā)明的雙向云認(rèn)證方法,可選地,所述認(rèn)證用中間數(shù)據(jù)為云服務(wù)提供者的身份數(shù)據(jù)。
[0013]根據(jù)本發(fā)明的雙向云認(rèn)證方法,可選地,所述接收到來自終端的請(qǐng)求后,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù),由此生成密文UCT與謂詞評(píng)估令牌UTKf包括:接收到來自終端的請(qǐng)求后,判斷該云服務(wù)提供者是否是第一次認(rèn)證該終端;如果是,則提供該終端虛擬身份,并基于該虛擬身份生成數(shù)字簽名,同時(shí),將該云服務(wù)提供者的身份數(shù)據(jù)作為認(rèn)證用中間數(shù)據(jù),以謂詞加密算法處理該認(rèn)證用中間數(shù)據(jù),生成基于該身份數(shù)據(jù)的密文UCT與謂詞評(píng)估令牌UTKf ;以及如果不是,則依據(jù)所述云服務(wù)提供者的身份數(shù)據(jù)獲取該終端的數(shù)字簽名,以謂詞加密算法處理所述數(shù)字簽名,由此生成基于所述數(shù)字簽名的密文UCT與謂詞評(píng)估令牌 UTKf。
[0014]根據(jù)本發(fā)明的又一示例,還提供一種終端認(rèn)證云服務(wù)提供者的系統(tǒng),包括:終端數(shù)據(jù)包生成模塊,其配置成依據(jù)謂詞評(píng)估函數(shù)生成與終端有關(guān)的謂詞評(píng)估令牌STKf,及生成包括所述謂詞評(píng)估令牌STKf與公鑰SKpu的數(shù)據(jù)包,所述數(shù)據(jù)包還包括指明所述云服務(wù)提供者身份的身份數(shù)據(jù);發(fā)送模塊,其配置成發(fā)送所述數(shù)據(jù)包;第一認(rèn)證模塊,其配置成接收所述發(fā)送模塊發(fā)送的數(shù)據(jù)包,并依據(jù)謂詞評(píng)估匿名判斷函數(shù)對(duì)所接收的數(shù)據(jù)包進(jìn)行解析,依據(jù)解析結(jié)果認(rèn)證所述云服務(wù)提供者。
[0015]根據(jù)本發(fā)明的終端認(rèn)證云服務(wù)提供者的系統(tǒng),優(yōu)選地,所述終端數(shù)據(jù)包生成模塊包括:密鑰對(duì)生成單元,用于一對(duì)密鑰SPK與SMSK ;令牌生成單元,用于由所述一對(duì)密鑰SPK與SMSK依據(jù)謂詞評(píng)估函數(shù)生成與終端有關(guān)的謂詞評(píng)估令牌STKf ;數(shù)據(jù)包生成單元,生成包括謂詞評(píng)估令牌STKf與公鑰SKpu的數(shù)據(jù)包,該數(shù)據(jù)包還包括指明云服務(wù)提供者身份的身份數(shù)據(jù)。
[0016]根據(jù)本發(fā)明的又一示例,還提供一種云服務(wù)提供者認(rèn)證終端的系統(tǒng),包括:第一處理模塊,其在接收來自終端的請(qǐng)求后,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù),由此生成密文UCT與謂詞評(píng)估令牌UTKf ;SAB生成模塊,其用于將密文UCT與謂詞評(píng)估令牌UTKf、以及與安全機(jī)制有關(guān)的數(shù)據(jù)SeP、以及公鑰AKpu —起用云服務(wù)提供者提供的公鑰SKpu加密生成安全主動(dòng)約束包SAB,并將該安全主動(dòng)約束包SAB發(fā)送到與云服務(wù)提供者有關(guān)的裝置;解密模塊,其用于通過私鑰解密所述安全主動(dòng)約束包SAB,其中,解密后的安全主動(dòng)約束包SAB按照其中包括的與安全機(jī)制有關(guān)的數(shù)據(jù)SeP進(jìn)行安全檢查;第二處理模塊,其在安全檢查通過的情況下,從解密的所述安全主動(dòng)約束包SAB取得密文UCT與謂詞評(píng)估令牌UTKf并解密UTKf,并將解密結(jié)果與所述認(rèn)證用中間數(shù)據(jù)進(jìn)行比較,如果比較結(jié)果相同,則認(rèn)證通過。
[0017]根據(jù)本發(fā)明示例的云服務(wù)提供者認(rèn)證終端的系統(tǒng),可選地,所述認(rèn)證用中間數(shù)據(jù)為云服務(wù)提供者的身份數(shù)據(jù)。
[0018]根據(jù)本發(fā)明示例的云服務(wù)提供者認(rèn)證終端的系統(tǒng),可選地,所述第一處理模塊包括:判斷單元,其用于在接收到來自終端的請(qǐng)求后,判斷該云服務(wù)提供者是否是第一次認(rèn)證該終端;第一處理單元,其用于在判斷單元的結(jié)果為是的情況下,向該終端提供虛擬身份,并基于該虛擬身份生成數(shù)字簽名,同時(shí),以謂詞加密算法處理在該終端第一次向所述云服務(wù)提供者進(jìn)行請(qǐng)求時(shí)作為認(rèn)證用中間數(shù)據(jù)的所述服務(wù)提供者的身份數(shù)據(jù),由此生成基于所述身份數(shù)據(jù)的密文UCT與謂詞評(píng)估令牌UTKf ;及第二處理單元,其用于在判斷單元的結(jié)果為不是的情況下,依據(jù)所述云服務(wù)提供者的身份數(shù)據(jù)獲取該終端的數(shù)字簽名,以謂詞加密算法處理所述數(shù)字簽名,由此生成基于所述數(shù)字簽名的密文UCT與謂詞評(píng)估令牌UTKf。
[0019]根據(jù)本發(fā)明的又一示例,還提供一種雙向云認(rèn)證系統(tǒng),用于終端與云服務(wù)提供者的互相認(rèn)證,所述雙向云認(rèn)證系統(tǒng)包括:
終端認(rèn)證云