身份認(rèn)證方法、設(shè)備及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明實(shí)施例涉及互聯(lián)網(wǎng)技術(shù)�,尤其涉及一種身份認(rèn)證方法、設(shè)備及系統(tǒng)�����。
【背景技術(shù)】
[0002]在通信網(wǎng)絡(luò)中���,身份認(rèn)證是網(wǎng)絡(luò)信息安全的基礎(chǔ)�����。尤其在云計(jì)算環(huán)境下�����,共享的軟硬件資源和信息按需提供給用戶�,用戶通過(guò)云終端登錄遠(yuǎn)程的虛擬機(jī)����,因此,可靠�����、健壯身份認(rèn)證系統(tǒng)對(duì)于云計(jì)算環(huán)境尤為重要�。
[0003]目前,云計(jì)算環(huán)境通常采用智能卡(USB Key)認(rèn)證技術(shù)進(jìn)行身份認(rèn)證�,USB Key是一種USB接口的硬件設(shè)備���,內(nèi)置智能芯片。認(rèn)證過(guò)程如下:用戶將USB key插入云終端后����,云終端識(shí)別key,用戶在云終端中輸入登錄虛擬機(jī)(Virtual Machine,簡(jiǎn)稱:VM)的賬戶和密碼,并提交到VM���,請(qǐng)求建立連接����;VM接收到請(qǐng)求后�����,向云終端請(qǐng)求證書(shū)信息�;云終端證書(shū)讀取模塊將USBkey中的數(shù)字證書(shū),并將證書(shū)加密后發(fā)送給VM ;VM根據(jù)接收到的證書(shū)是否通過(guò)認(rèn)證來(lái)確定是否允許用戶登錄����。
[0004]可以看出,上述方法主要是對(duì)用戶身份的合法性及權(quán)限進(jìn)行了認(rèn)證����,然而�����,由于云計(jì)算環(huán)境的虛擬化�、共享性�,用戶失去了對(duì)自己使用的VM的完全控制�����,例如無(wú)法阻止管理員在非授權(quán)的情況下登錄并使用VM�����。而現(xiàn)有技術(shù)的身份認(rèn)證方法缺少用戶對(duì)VM的認(rèn)證��,因此安全性不夠高�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例提供一種身份認(rèn)證方法�、設(shè)備及系統(tǒng),以提身份認(rèn)證方法的安全性��。
[0006]第一方面����,本發(fā)明實(shí)施例提供一種身份認(rèn)證方法�����,包括:
[0007]云終端向主機(jī)的身份認(rèn)證模塊發(fā)送第一密鑰K1��,所述第一密鑰Kl由所述云終端的智能卡產(chǎn)生����;
[0008]所述主機(jī)的身份認(rèn)證模塊獲取所述云終端對(duì)應(yīng)的虛擬機(jī)的第二密鑰K2���,根據(jù)所述第二密鑰K2和所述第一密鑰Kl獲得第一組合密鑰�����,生成第一隨機(jī)數(shù)NI�����,并采用所述第一組合密鑰加密所述第一隨機(jī)數(shù)NI ;所述云終端接收所述主機(jī)的身份認(rèn)證模塊發(fā)送的第二密鑰K2和加密的第一隨機(jī)數(shù)NI ���;
[0009]所述云終端根據(jù)所述第二密鑰K2和自身保存的所述第一密鑰Kl獲得第二組合密鑰,采用所述第二組合密鑰解密所述加密的第一隨機(jī)數(shù)NI���,并采用所述第二組合密鑰對(duì)第一隨機(jī)數(shù)NI進(jìn)行再次加密�;
[0010]所述云終端向所述主機(jī)的身份認(rèn)證模塊發(fā)送再次加密的所述第一隨機(jī)數(shù)NI ;
[0011]所述主機(jī)的身份認(rèn)證模塊根據(jù)所述第一組合密鑰解密所述再次加密的第一隨機(jī)數(shù)NI����,確定解密得到的所述第一隨機(jī)數(shù)NI是否與初始生成的所述第一隨機(jī)數(shù)NI是否一致,若一致��,確定所述云終端通過(guò)認(rèn)證����;
[0012]所述云終端產(chǎn)生第二隨機(jī)數(shù)N2并采用所述第二組合密鑰加密所述第二隨機(jī)數(shù)N2 ��;
[0013]所述云終端向所述主機(jī)的身份認(rèn)證模塊發(fā)送經(jīng)過(guò)所述第二組合密鑰加密的所述第二隨機(jī)數(shù)N2 ����;
[0014]所述主機(jī)的身份認(rèn)證模塊根據(jù)所述第一組合密鑰解密所述加密的第二隨機(jī)數(shù)N2,并采用所述第一組合密鑰對(duì)第二隨機(jī)數(shù)N2進(jìn)行再次加密�����;
[0015]所述云終端接收所述主機(jī)的身份認(rèn)證模塊發(fā)送的所述再次加密的所述第二隨機(jī)數(shù)N2 �;
[0016]所述云終端根據(jù)所述第二組合密鑰解密所述再次加密的第二隨機(jī)數(shù)N2,確定解密得到的所述第二隨機(jī)數(shù)N2是否與初始生成的所述第二隨機(jī)數(shù)N2是否一致�,若一致�����,確定所述虛擬機(jī)通過(guò)認(rèn)證���。
[0017]在第一方面的第一種可能的實(shí)現(xiàn)方式中,在所述云終端向主機(jī)的身份認(rèn)證模塊發(fā)送第一密鑰Kl之前,還包括:
[0018]所述云終端向云認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求����;
[0019]當(dāng)認(rèn)證通過(guò)時(shí),所述云終端接收所述云認(rèn)證服務(wù)器發(fā)送的虛擬機(jī)列表��,并選擇一個(gè)虛擬機(jī)���;
[0020]所述云終端向所述云認(rèn)證服務(wù)器發(fā)送登錄所選擇的虛擬機(jī)的請(qǐng)求����,以使云管理服務(wù)器將所述選擇的虛擬機(jī)的鏡像下發(fā)到所述主機(jī)���,并將所述選擇的虛擬機(jī)對(duì)應(yīng)的第二密鑰K2通過(guò)安全通道遷移到所述主機(jī)中�����。
[0021]根據(jù)第一方面的第一種可能的實(shí)現(xiàn)方式�,在第二種可能的實(shí)現(xiàn)方式中,所述云終端向云認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求��,包括:
[0022]所述云終端向所述云認(rèn)證服務(wù)器發(fā)送用戶口令���;和\或��,
[0023]所述云終端提示用戶插入智能卡��,并將所述智能卡中的簽名信息和所述智能卡的公鑰數(shù)字證書(shū)發(fā)送給云認(rèn)證服務(wù)器��。
[0024]根據(jù)第一方面����、第一方面的第一種或第二種可能的實(shí)現(xiàn)方式�����,在第三種可能的實(shí)現(xiàn)方式中�����,在云終端向主機(jī)的身份認(rèn)證模塊發(fā)送第一密鑰Ki之前���,還包括:
[0025]云終端向所述主機(jī)上的虛擬機(jī)發(fā)送登錄請(qǐng)求���;
[0026]所述虛擬機(jī)將所述登錄請(qǐng)求轉(zhuǎn)發(fā)給所述主機(jī)的身份認(rèn)證模塊,或者��,所述主機(jī)的身份認(rèn)證請(qǐng)求捕獲模塊捕獲所述登錄請(qǐng)求�����,并將所述登錄請(qǐng)求轉(zhuǎn)發(fā)給所述主機(jī)的身份認(rèn)證模塊���。
[0027]根據(jù)第一方面�����、第一方面的第一種或第二種可能的實(shí)現(xiàn)方式�,在第四種可能的實(shí)現(xiàn)方式中��,在云終端向主機(jī)的身份認(rèn)證模塊發(fā)送智能卡中的第一密鑰Kl并請(qǐng)求認(rèn)證之前���,還包括:
[0028]云終端向所述主機(jī)上的虛擬機(jī)發(fā)送登錄請(qǐng)求���,以使所述主機(jī)捕獲所述登錄請(qǐng)求,并將所述登錄請(qǐng)求轉(zhuǎn)發(fā)給所述主機(jī)的身份認(rèn)證模塊。
[0029]根據(jù)第一方面����、第一方面的第一種至第四種可能的實(shí)現(xiàn)方式中的任意一種,在第五種可能的實(shí)現(xiàn)方式中���,在所述云終端根據(jù)所述第二組合密鑰解密所述再次加密的第二隨機(jī)數(shù)N2�,確定解密得到的所述第二隨機(jī)數(shù)N2是否與初始生成的所述第二隨機(jī)數(shù)N2是否一致���,若一致��,確定所述虛擬機(jī)通過(guò)認(rèn)證之后��,還包括:
[0030]若所述云終端確定所述虛擬機(jī)通過(guò)認(rèn)證���,則所述云終端向所述主機(jī)發(fā)送所述第二密鑰K2對(duì)應(yīng)的虛擬機(jī)通過(guò)認(rèn)證的消息;
[0031]所述主機(jī)采用所述第一組合密鑰解密所述虛擬機(jī)鏡像后����,啟動(dòng)所述虛擬機(jī)���。
[0032]根據(jù)第一方面的第五種可能的實(shí)現(xiàn)方式�����,在第六種可能的實(shí)現(xiàn)方式中����,在所述云終端向所述主機(jī)發(fā)送所述第二密鑰K2對(duì)應(yīng)的虛擬機(jī)通過(guò)認(rèn)證的消息,以使所述主機(jī)采用所述第一組合密鑰解密所述虛擬機(jī)鏡像后���,啟動(dòng)所述虛擬機(jī)之后��,還包括:
[0033]所述云終端向所述主機(jī)發(fā)送關(guān)閉所述虛擬機(jī)的請(qǐng)求���,以使所述主機(jī)采用所述第一組合密鑰加密所述虛擬機(jī)鏡像后,關(guān)閉所述虛擬機(jī)��。
[0034]根據(jù)第一方面��、第一方面的第一種至第六種可能的實(shí)現(xiàn)方式中的任意一種�����,在第七種可能的實(shí)現(xiàn)方式中:
[0035]所述主機(jī)根據(jù)虛擬機(jī)鏡像的標(biāo)志位確定所述虛擬機(jī)當(dāng)前是否處于加密狀態(tài)����。
[0036]在第一方面的第八種可能的實(shí)現(xiàn)方式中���,在所述云終端向主機(jī)的身份認(rèn)證模塊發(fā)送第一密鑰Kl之前,還包括:
[0037]所述主機(jī)接收云管理服務(wù)器在完成對(duì)所述云終端的認(rèn)證之后根據(jù)所述云終端選擇的虛擬機(jī)下發(fā)的虛擬機(jī)鏡像,并接收通過(guò)安全通道遷移的所述選擇的虛擬機(jī)對(duì)應(yīng)的第二密鑰K2�����。
[0038]根據(jù)第一方面��、第一方面的第一種至第八種可能的實(shí)現(xiàn)方式中的任意一種����,在第九種可能的實(shí)現(xiàn)方式中,所述第一密鑰Kl和所述第二密鑰K2均為對(duì)稱密鑰�����。
[0039]第二方面����,本發(fā)明實(shí)施例提供一種云終端,包括:
[0040]發(fā)送模塊���,用于向主機(jī)的身份認(rèn)證模塊發(fā)送第一密鑰K1����,所述第一密鑰Kl由所述云終端的智能卡產(chǎn)生��;
[0041]接收模塊����,用于接收所述主機(jī)的身份認(rèn)證模塊發(fā)送的第二密鑰K2和經(jīng)過(guò)第一組合密鑰加密的第一隨機(jī)數(shù)NI,其中��,所述第二密鑰K2對(duì)應(yīng)于所要連接的虛擬機(jī)��,所述第一組合密鑰為所述主機(jī)的身份認(rèn)證模塊通過(guò)獲取所述云終端對(duì)應(yīng)的虛擬機(jī)的第二密鑰K2�����,并根據(jù)所述第二密鑰K2和所述第一密鑰Kl獲得的����;
[0042]處理模塊,用于根據(jù)所述第二密鑰K2和自身保存的所述第一密鑰Kl獲得第二組合密鑰�,采用所述第二組合密鑰解密所述加密的第一隨機(jī)數(shù)NI,并采用所述第二組合密鑰對(duì)第一隨機(jī)數(shù)NI進(jìn)行再次加密�;
[0043]所述處理模塊,還用于產(chǎn)生第二隨機(jī)數(shù)N2并采用所述第二組合密鑰加密所述第二隨機(jī)數(shù)N2 ��;
[0044]所述發(fā)送模塊�,還用于向所述主機(jī)的身份認(rèn)證模塊發(fā)送經(jīng)過(guò)所述第二組合密鑰再次加密的所述第一隨機(jī)數(shù)NI和經(jīng)過(guò)所述第二組合密鑰加密的所述第二隨機(jī)數(shù)N2����,其中�,所述第一隨機(jī)數(shù)NI用于使所述主機(jī)的身份認(rèn)證模塊根據(jù)所述第一組合密鑰解密所述再次加密的第一隨機(jī)數(shù)NI,確定解密得到的所述第一隨機(jī)數(shù)NI是否與初始生成的所述第一隨機(jī)數(shù)NI是否一致���,若一致����,確定所述云終端通過(guò)認(rèn)證�����;
[0045]所述接收模塊還用于�,接收所述主機(jī)的身份認(rèn)證模塊根據(jù)所述第一組合密鑰解密所述加密的第二隨機(jī)數(shù)N2,并采用所述第一組合密鑰對(duì)第二隨機(jī)數(shù)N2進(jìn)行再次加密的所述第二隨機(jī)數(shù)N2;
[0046]所述處理模塊還用于����,根據(jù)所述第二組合密鑰解密所述再次加密的第二隨機(jī)數(shù)N2,確定解密得到的所述第二隨機(jī)數(shù)N2是否與初始生成的所述第二隨機(jī)數(shù)N2是否一致����,若一致,確定所述虛擬機(jī)通過(guò)認(rèn)證��。
[0047]在第二方面的第一種可能的實(shí)現(xiàn)方式中,還包括:
[0048]云認(rèn)證服務(wù)器認(rèn)證模塊����,用于向云認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求����;
[0049]選擇模塊,用于當(dāng)認(rèn)證通過(guò)時(shí)�����,接收所述云認(rèn)證服務(wù)器發(fā)送的虛擬機(jī)列表����,并選擇一個(gè)虛擬機(jī);
[0050]所述發(fā)送模塊還用于�,向所述云認(rèn)證服務(wù)器發(fā)送登錄所選擇的虛擬機(jī)的請(qǐng)求,以使云管理服務(wù)器將所述選擇的虛擬機(jī)的鏡像下發(fā)到所述主機(jī)���,并將所述選擇的虛擬機(jī)對(duì)應(yīng)的第二密鑰K2通過(guò)安全通道遷移到所述主機(jī)中���。
[0051]根據(jù)第二方面的第一種可能的實(shí)現(xiàn)方式,在第二種可能的實(shí)現(xiàn)方式中��,所述云認(rèn)證服務(wù)器認(rèn)證模塊具體用于:
[0052]所述云終端向所述云認(rèn)證服務(wù)器發(fā)送用戶口令;和\或���,
[0053]所述云終端提示用戶插入智能卡��,并將所述智能卡中的簽名信息和所述智能卡的公鑰數(shù)字證書(shū)發(fā)送給云認(rèn)證服務(wù)器����。
[0054]根據(jù)第二方面�����、第二方面的第一種或第二種可能的實(shí)現(xiàn)方式���,在第三種可能的實(shí)現(xiàn)方式中��,所述發(fā)送模塊還用于:
[0055]在向主機(jī)的身份認(rèn)證模塊發(fā)送智能卡中的第一密鑰Kl之前���,向所述主機(jī)上的虛擬機(jī)發(fā)送登錄請(qǐng)求,以使所述虛擬機(jī)將所述登錄請(qǐng)求轉(zhuǎn)發(fā)給所述主機(jī)的身份認(rèn)證模塊��。
[0056]根據(jù)第二方面��、第二方面的第一種或第二種可能的實(shí)現(xiàn)方式,在第四種可能的實(shí)現(xiàn)方式中����,所述發(fā)送模塊還用于:
[0057]在向主機(jī)的身份認(rèn)證模塊發(fā)送智能卡中的第一密鑰Kl之前,向所述主機(jī)上的虛擬機(jī)發(fā)送登錄請(qǐng)求��,以使所述主機(jī)捕獲所述登錄請(qǐng)求�����,并將所述登錄請(qǐng)求轉(zhuǎn)發(fā)給所述主機(jī)的身份認(rèn)證模塊�����。
[0058]根據(jù)第二方面����、第二方面的第一種至第四種可能的實(shí)現(xiàn)方式中的任意一種�,在第五種可能的實(shí)現(xiàn)方式中,所述發(fā)送模塊還用于:
[0059]在所述處理模塊確定所述第二密鑰K2對(duì)應(yīng)的虛擬機(jī)通過(guò)認(rèn)證之后����,向所述主機(jī)發(fā)送所述第二密鑰K2對(duì)應(yīng)的虛擬機(jī)通過(guò)認(rèn)證的消息,以使所述主機(jī)采用所述第一組合密鑰解密所述虛擬機(jī)鏡像后����,啟動(dòng)所述虛擬機(jī)��。
[0060]根據(jù)第二方面的第五種可能的實(shí)現(xiàn)方式���,在第六種可能的實(shí)現(xiàn)方式中,所述發(fā)送模塊還用于:
[0061]向所述主機(jī)發(fā)送關(guān)閉所述虛擬機(jī)的請(qǐng)求��,以使所述主機(jī)采用所述第一組合密鑰加密所述虛擬機(jī)鏡像后�,關(guān)閉所述虛擬機(jī)。
[0062]根據(jù)第二方面���、第二方面的第一種至第六種可能的實(shí)現(xiàn)方式中的任意一種�����,在第七種可能的實(shí)現(xiàn)方式中����,所述第一密鑰Kl和所述第二密鑰K2均為對(duì)稱密鑰���。
[0063]第三方面����,本發(fā)明實(shí)施例提供一種主機(jī),包括:身份認(rèn)證模塊和虛擬機(jī)管理VMM層�����,其中���,所述身份認(rèn)證模塊包括:
[0064]接收單元��,用于接收云終端發(fā)送的第一密鑰K1��,所述第一密鑰Kl由所述云終端的智能卡產(chǎn)生�����;
[0065]處理單元,用于獲取所述云終端對(duì)應(yīng)的虛擬機(jī)的第二密鑰K2�,根據(jù)所述第二密鑰K2和所述第一密鑰Kl獲得第一組合密鑰,生成第一隨機(jī)數(shù)NI�,并采用所述第一組合密鑰加密所述第一隨機(jī)數(shù)NI ;
[0066]發(fā)送單元��,用于向所述云終端發(fā)送經(jīng)過(guò)所述第一組合密鑰加密的所述第一隨機(jī)數(shù)NI和所述第二秘鑰K2 �;
[0067]所述接收單元,還用于接收所述云終端采用第二組合密鑰解密所述加密的第一隨機(jī)數(shù)N1�、并采用所述第二組合密鑰對(duì)第一隨機(jī)數(shù)NI進(jìn)行再次加密后發(fā)送所述第一隨機(jī)數(shù)NI和經(jīng)過(guò)所述第二組合密鑰加密的第二隨機(jī)數(shù)N2 ;其中,所述第二組合秘鑰為所述云終端根據(jù)所述第二密鑰K2和自身保存的所述第一密鑰Kl獲得的;
[0068]所述處理單元�����,還用于采用所述第一組合密鑰解密所述云終端發(fā)送的再次加密的第一隨機(jī)數(shù)NI���,確定解密得到的所述第一隨機(jī)數(shù)NI是否與初始生成的所述第一隨機(jī)數(shù)NI是否一致�����,若一致��,確定所述云終端通過(guò)認(rèn)證���;
[0069]所述處理單元,還用于根據(jù)所述第一組合密鑰解密所述加密的第二隨機(jī)數(shù)N2�����,并采用所述第一組合密鑰對(duì)第二隨機(jī)數(shù)N2進(jìn)行再次加密���;
[0070]所述發(fā)送單元��,還用于當(dāng)所述處理單元確定所述云終端通過(guò)認(rèn)證時(shí)�����,向所述云終端發(fā)送經(jīng)過(guò)所述第一組合密鑰再次加密的所述第二隨機(jī)數(shù)N2���,以使所述云終端根據(jù)所述第二組合密鑰解密所述再次加密的第二隨機(jī)數(shù)N2����,確定解密得到的所述第二隨機(jī)數(shù)N2是否與初始生成的所述第二隨機(jī)數(shù)N2是否一致����,若一致,確定所述虛擬機(jī)通過(guò)認(rèn)證����。
[0071]在第三方面的第一種可能的實(shí)現(xiàn)方式中,還包括:
[0072]虛擬機(jī)鏡像接收模塊����,用于接收云管理服務(wù)器在完成對(duì)所述云終端的認(rèn)證之后根據(jù)所述云終端選擇的虛擬機(jī)下發(fā)的虛擬機(jī)鏡像��;
當(dāng)前第1頁(yè)
1 2 3 4 5 6