終端認(rèn)證云服務(wù)提供者的方法及系統(tǒng)、云服務(wù)提供者認(rèn)證終端的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及安全認(rèn)證技術(shù)�,具體而言,涉及云身份認(rèn)證技術(shù)�����。
【背景技術(shù)】
[0002]現(xiàn)有的云身份認(rèn)證技術(shù)主要采用聯(lián)合身份認(rèn)證機(jī)制����,涉及到身份提供商(IDP)與服務(wù)提供商(SP)。這種情況下��,多個(gè)SP共用一個(gè)IDP����,在IDP失效的情況下,多個(gè)SP都將無法實(shí)現(xiàn)身份認(rèn)證。此外�,如果這個(gè)IDP受到攻擊,就會(huì)造成數(shù)據(jù)泄露甚至系統(tǒng)癱瘓�,導(dǎo)致巨額損失。
[0003]在聯(lián)合身份認(rèn)證過程中���,通常只關(guān)注如何便捷實(shí)現(xiàn)對用戶身份的認(rèn)證�,這就使用戶面臨網(wǎng)絡(luò)釣魚等危險(xiǎn)���。
[0004]
【發(fā)明內(nèi)容】
[0005]有鑒于此��,本發(fā)明提供一種終端認(rèn)證云服務(wù)提供者的方法�,包括:依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf ;生成包括所述謂詞評估令牌STKf與公鑰SKpu的數(shù)據(jù)包����,所述數(shù)據(jù)包還包括指明所述云服務(wù)提供者身份的身份數(shù)據(jù);將所述數(shù)據(jù)包發(fā)送到與所述云服務(wù)提供者有關(guān)的裝置���;在所述云服務(wù)提供者有關(guān)的裝置處,依據(jù)謂詞評估匿名判斷函數(shù)對所接收的數(shù)據(jù)包進(jìn)行解析���,依據(jù)解析結(jié)果認(rèn)證所述云服務(wù)提供者�����。
[0006]根據(jù)本發(fā)明的終端認(rèn)證云服務(wù)提供者的方法��,優(yōu)選地�����,所述依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf包括:生成一對密鑰SPK與SMSK ;由所述一對密鑰SPK與SMSK依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf����。
[0007]根據(jù)本發(fā)明的又一方面,還提供一種云服務(wù)提供者認(rèn)證終端的方法��,包括:接收到來自終端的請求后��,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù)��,由此生成密文UCT與謂詞評估令牌UTKf ;將密文UCT與謂詞評估令牌UTKf����、與安全機(jī)制有關(guān)的數(shù)據(jù)SeP、以及公鑰AKpu —起用云服務(wù)提供者提供的公鑰SKpu生成安全主動(dòng)約束包SAB ;將所述安全主動(dòng)約束包SAB提供給與云服務(wù)提供者有關(guān)的裝置�;通過所述云服務(wù)提供者提供的私鑰解密所述安全主動(dòng)約束包SAB ;解密后的安全主動(dòng)約束包SAB按照其中包括的與安全機(jī)制有關(guān)的數(shù)據(jù)SeP進(jìn)行安全檢查;在安全檢查通過的情況下��,從解密的所述安全主動(dòng)約束包SAB取得密文UCT與謂詞評估令牌UTKf并解密UTKf,在解密結(jié)果與所述認(rèn)證用中間數(shù)據(jù)相同的情況下�����,認(rèn)證通過�。
[0008]按照本發(fā)明提供的云服務(wù)提供者認(rèn)證終端的方法,可選地����,所述認(rèn)證用中間數(shù)據(jù)為云服務(wù)提供者的身份數(shù)據(jù)。
[0009]按照本發(fā)明提供的云服務(wù)提供者認(rèn)證終端的方法���,可選地��,所述接收到來自終端的請求后���,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù),由此生成密文UCT與謂詞評估令牌UTKf包括:接收到來自終端的請求后�,判斷該云服務(wù)提供者是否是第一次認(rèn)證該終端;如果是����,則提供該終端虛擬身份,并基于該虛擬身份生成數(shù)字簽名���,同時(shí)����,將該云服務(wù)提供者的身份數(shù)據(jù)作為認(rèn)證用中間數(shù)據(jù)�����,以謂詞加密算法處理該認(rèn)證用中間數(shù)據(jù)�����,生成基于該身份數(shù)據(jù)的密文UCT與謂詞評估令牌UTKf ���;以及如果不是���,則依據(jù)所述云服務(wù)提供者的身份數(shù)據(jù)獲取該終端的數(shù)字簽名,以謂詞加密算法處理所述數(shù)字簽名����,由此生成基于所述數(shù)字簽名的密文UCT與謂詞評估令牌UTKf。
[0010]根據(jù)本發(fā)明的又一示例��,還提供一種雙向云認(rèn)證方法����,用于終端與云服務(wù)提供者的互相認(rèn)證�,該方法包括:
終端認(rèn)證云服務(wù)提供者�����,包括:依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf ;生成包括所述謂詞評估令牌STKf與公鑰SKpu的數(shù)據(jù)包����,所述數(shù)據(jù)包還包括指明所述云服務(wù)提供者身份的身份數(shù)據(jù);將所述數(shù)據(jù)包發(fā)送到與所述云服務(wù)提供者有關(guān)的裝置���;在所述云服務(wù)提供者有關(guān)的裝置處����,依據(jù)謂詞評估匿名判斷函數(shù)對所接收的數(shù)據(jù)包進(jìn)行解析����,依據(jù)解析結(jié)果認(rèn)證所述云服務(wù)提供者;以及
云服務(wù)提供者認(rèn)證終端����,包括:接收到來自終端的請求后,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù)�����,由此生成密文UCT與謂詞評估令牌UTKf ;將密文UCT與謂詞評估令牌UTKf、以及與安全機(jī)制有關(guān)的數(shù)據(jù)SeP�����、以及公鑰AKpu —起用云服務(wù)提供者提供的公鑰SKpu加密生成安全主動(dòng)約束包SAB ;將所述安全主動(dòng)約束包SAB發(fā)送到與云服務(wù)提供者有關(guān)的裝置�����;通過所述云服務(wù)提供者提供的私鑰解密所述安全主動(dòng)約束包SAB ;解密后的安全主動(dòng)約束包SAB按照其中包括的與安全機(jī)制有關(guān)的數(shù)據(jù)SeP進(jìn)行安全檢查���;在安全檢查通過的情況下,從解密的所述安全主動(dòng)約束包SAB取得密文UCT與謂詞評估令牌UTKf并解密UTKf,在解密結(jié)果與所述認(rèn)證用中間數(shù)據(jù)相同的情況下�,認(rèn)證通過。
[0011]根據(jù)本發(fā)明的雙向云認(rèn)證方法��,優(yōu)選地��,所述依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf包括:生成一對密鑰SPK與SMSK ��;由所述一對密鑰SPK與SMSK依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf���。
[0012]根據(jù)本發(fā)明的雙向云認(rèn)證方法����,可選地,所述認(rèn)證用中間數(shù)據(jù)為云服務(wù)提供者的身份數(shù)據(jù)��。
[0013]根據(jù)本發(fā)明的雙向云認(rèn)證方法���,可選地�����,所述接收到來自終端的請求后����,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù)���,由此生成密文UCT與謂詞評估令牌UTKf包括:接收到來自終端的請求后����,判斷該云服務(wù)提供者是否是第一次認(rèn)證該終端����;如果是,則提供該終端虛擬身份�����,并基于該虛擬身份生成數(shù)字簽名,同時(shí)�,將該云服務(wù)提供者的身份數(shù)據(jù)作為認(rèn)證用中間數(shù)據(jù),以謂詞加密算法處理該認(rèn)證用中間數(shù)據(jù)�,生成基于該身份數(shù)據(jù)的密文UCT與謂詞評估令牌UTKf ;以及如果不是,則依據(jù)所述云服務(wù)提供者的身份數(shù)據(jù)獲取該終端的數(shù)字簽名�����,以謂詞加密算法處理所述數(shù)字簽名�,由此生成基于所述數(shù)字簽名的密文UCT與謂詞評估令牌 UTKf����。
[0014]根據(jù)本發(fā)明的又一示例,還提供一種終端認(rèn)證云服務(wù)提供者的系統(tǒng)�,包括:終端數(shù)據(jù)包生成模塊,其配置成依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf,及生成包括所述謂詞評估令牌STKf與公鑰SKpu的數(shù)據(jù)包�,所述數(shù)據(jù)包還包括指明所述云服務(wù)提供者身份的身份數(shù)據(jù);發(fā)送模塊�,其配置成發(fā)送所述數(shù)據(jù)包;第一認(rèn)證模塊�,其配置成接收所述發(fā)送模塊發(fā)送的數(shù)據(jù)包,并依據(jù)謂詞評估匿名判斷函數(shù)對所接收的數(shù)據(jù)包進(jìn)行解析���,依據(jù)解析結(jié)果認(rèn)證所述云服務(wù)提供者���。
[0015]根據(jù)本發(fā)明的終端認(rèn)證云服務(wù)提供者的系統(tǒng)���,優(yōu)選地,所述終端數(shù)據(jù)包生成模塊包括:密鑰對生成單元����,用于一對密鑰SPK與SMSK ;令牌生成單元,用于由所述一對密鑰SPK與SMSK依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf ;數(shù)據(jù)包生成單元�����,生成包括謂詞評估令牌STKf與公鑰SKpu的數(shù)據(jù)包���,該數(shù)據(jù)包還包括指明云服務(wù)提供者身份的身份數(shù)據(jù)��。
[0016]根據(jù)本發(fā)明的又一示例�,還提供一種云服務(wù)提供者認(rèn)證終端的系統(tǒng)��,包括:第一處理模塊����,其在接收來自終端的請求后����,以謂詞加密算法處理認(rèn)證用中間數(shù)據(jù)���,由此生成密文UCT與謂詞評估令牌UTKf ���;SAB生成模塊,其用于將密文UCT與謂詞評估令牌UTKf���、以及與安全機(jī)制有關(guān)的數(shù)據(jù)SeP�����、以及公鑰AKpu —起用云服務(wù)提供者提供的公鑰SKpu加密生成安全主動(dòng)約束包SAB,并將該安全主動(dòng)約束包SAB發(fā)送到與云服務(wù)提供者有關(guān)的裝置���;解密模塊�����,其用于通過私鑰解密所述安全主動(dòng)約束包SAB���,其中�,解密后的安全主動(dòng)約束包SAB按照其中包括的與安全機(jī)制有關(guān)的數(shù)據(jù)SeP進(jìn)行安全檢查����;第二處理模塊,其在安全檢查通過的情況下����,從解密的所述安全主動(dòng)約束包SAB取得密文UCT與謂詞評估令牌UTKf并解密UTKf,并將解密結(jié)果與所述認(rèn)證用中間數(shù)據(jù)進(jìn)行比較�����,如果比較結(jié)果相同��,則認(rèn)證通過���。
[0017]根據(jù)本發(fā)明示例的云服務(wù)提供者認(rèn)證終端的系統(tǒng)���,可選地,所述認(rèn)證用中間數(shù)據(jù)為云服務(wù)提供者的身份數(shù)據(jù)����。
[0018]根據(jù)本發(fā)明示例的云服務(wù)提供者認(rèn)證終端的系統(tǒng)����,可選地����,所述第一處理模塊包括:判斷單元,其用于在接收到來自終端的請求后���,判斷該云服務(wù)提供者是否是第一次認(rèn)證該終端����;第一處理單元�,其用于在判斷單元的結(jié)果為是的情況下,向該終端提供虛擬身份���,并基于該虛擬身份生成數(shù)字簽名,同時(shí)�����,以謂詞加密算法處理在該終端第一次向所述云服務(wù)提供者進(jìn)行請求時(shí)作為認(rèn)證用中間數(shù)據(jù)的所述服務(wù)提供者的身份數(shù)據(jù)���,由此生成基于所述身份數(shù)據(jù)的密文UCT與謂詞評估令牌UTKf ;及第二處理單元����,其用于在判斷單元的結(jié)果為不是的情況下,依據(jù)所述云服務(wù)提供者的身份數(shù)據(jù)獲取該終端的數(shù)字簽名���,以謂詞加密算法處理所述數(shù)字簽名�����,由此生成基于所述數(shù)字簽名的密文UCT與謂詞評估令牌UTKf�。
[0019]根據(jù)本發(fā)明的又一示例��,還提供一種雙向云認(rèn)證系統(tǒng)�����,用于終端與云服務(wù)提供者的互相認(rèn)證����,所述雙向云認(rèn)證系統(tǒng)包括:
終端認(rèn)證云