全機制有關(guān)的數(shù)據(jù)SeP�、以及公鑰AKpu —起用云服務(wù)提供者提供的公鑰SKpu加密生成安全主動約束包SAB ; 將所述安全主動約束包SAB發(fā)送到與云服務(wù)提供者有關(guān)的裝置�; 通過所述云服務(wù)提供者提供的私鑰解密所述安全主動約束包SAB ; 解密后的安全主動約束包SAB按照其中包括的與安全機制有關(guān)的數(shù)據(jù)SeP進行安全檢查�; 在安全檢查通過的情況下��,從解密的所述安全主動約束包SAB取得密文UCT與謂詞評估令牌UTKf并解密UTKf�,在解密結(jié)果與所述認證用中間數(shù)據(jù)相同的情況下�����,認證通過�。
7.如權(quán)利要求6所述的雙向云認證方法�����,其特征在于�,所述依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf包括: 生成一對密鑰SPK與SMSK ; 由所述一對密鑰SPK與SMSK依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf���。
8.如權(quán)利要求6所述的雙向云認證方法����,其特征在于�,所述認證用中間數(shù)據(jù)為云服務(wù)提供者的身份數(shù)據(jù)。
9.如權(quán)利要求6所述的雙向云認證方法�,其特征在于,所述接收到來自終端的請求后�,以謂詞加密算法處理認證用中間數(shù)據(jù)����,由此生成密文UCT與謂詞評估令牌UTKf包括: 接收到來自終端的請求后�����,判斷該云服務(wù)提供者是否是第一次認證該終端����; 如果是,則向該終端提供虛擬身份����,并基于該虛擬身份生成數(shù)字簽名,同時�����,將該云服務(wù)提供者的身份數(shù)據(jù)作為認證用中間數(shù)據(jù)���,以謂詞加密算法處理該認證用中間數(shù)據(jù)���,生成基于該身份數(shù)據(jù)的密文UCT與謂詞評估令牌UTKf ;其中,該終端自第二次起向該云服務(wù)提供者進行請求時�����,該該數(shù)字簽名將作為認證用中間數(shù)據(jù);以及 如果不是�����,則依據(jù)所述云服務(wù)提供者的身份數(shù)據(jù)獲取該終端的數(shù)字簽名���,以謂詞加密算法處理所述數(shù)字簽名,由此生成基于所述數(shù)字簽名的密文UCT與謂詞評估令牌UTKf����。
10.一種終端認證云服務(wù)提供者的系統(tǒng),其特征在于����,所述系統(tǒng)包括: 終端數(shù)據(jù)包生成模塊,其配置成依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf,及生成包括所述謂詞評估令牌STKf與公鑰SKpu的數(shù)據(jù)包�,所述數(shù)據(jù)包還包括指明所述云服務(wù)提供者身份的身份數(shù)據(jù); 發(fā)送模塊���,其配置成發(fā)送所述數(shù)據(jù)包����; 第一認證模塊,其配置成接收所述發(fā)送模塊發(fā)送的數(shù)據(jù)包����,并依據(jù)謂詞評估匿名判斷函數(shù)對所接收的數(shù)據(jù)包進行解析,依據(jù)解析結(jié)果認證所述云服務(wù)提供者��。
11.如權(quán)利要求10所述的終端認證云服務(wù)提供者的系統(tǒng)����,其特征在于,所述終端數(shù)據(jù)包生成模塊包括: 密鑰對生成單元�,用于一對密鑰SPK與SMSK ; 令牌生成單元���,用于由所述一對密鑰SPK與SMSK依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf �; 數(shù)據(jù)包生成單元�����,生成包括謂詞評估令牌STKf與公鑰SKpu的數(shù)據(jù)包,該數(shù)據(jù)包還包括指明云服務(wù)提供者身份的身份數(shù)據(jù)����。
12.—種云服務(wù)提供者認證終端的系統(tǒng),其特征在于,所述系統(tǒng)包括: 第一處理模塊�����,其在接收到來自終端的請求后�����,以謂詞加密算法處理認證用中間數(shù)據(jù)���,由此生成密文UCT與謂詞評估令牌UTKf �����; SAB生成模塊,其用于將密文UCT與謂詞評估令牌UTKf�����、以及與安全機制有關(guān)的數(shù)據(jù)SeP,以及公鑰AKpu —起用云服務(wù)提供者提供的公鑰SKpu加密生成安全主動約束包SAB���,并將該安全主動約束包SAB發(fā)送到與云服務(wù)提供者有關(guān)的裝置�; 解密模塊���,其用于通過私鑰解密所述安全主動約束包SAB�����,其中����,解密后的安全主動約束包SAB按照其中包括的與安全機制有關(guān)的數(shù)據(jù)SeP進行安全檢查; 第二處理模塊���,其在安全檢查通過的情況下����,從解密的所述安全主動約束包SAB取得密文UCT與謂詞評估令牌UTKf并解密UTKf����,并將解密結(jié)果與所述認證用中間數(shù)據(jù)進行比較,如果比較結(jié)果相同�����,則認證通過����。
13.如權(quán)利要求12所述的云服務(wù)提供者認證終端的系統(tǒng),其特征在于,所述認證用中間數(shù)據(jù)為云服務(wù)提供者的身份數(shù)據(jù)����。
14.如權(quán)利要求12所述的云服務(wù)提供者認證終端的系統(tǒng),其特征在于���,所述第一處理模塊包括: 判斷單元�����,其用于在接收到來自終端的請求后���,判斷該云服務(wù)提供者是否是第一次認證該終端; 第一處理單元����,其用于在判斷單元的結(jié)果為是的情況下,向該終端提供虛擬身份�����,并基于該虛擬身份生成數(shù)字簽名����,同時,將該云服務(wù)提供者的身份數(shù)據(jù)作為認證用中間數(shù)據(jù)�,以謂詞加密算法處理該認證用中間數(shù)據(jù),生成基于該身份數(shù)據(jù)的密文UCT與謂詞評估令牌UTKf;其中�,該終端自第二次起向該云服務(wù)提供者進行請求時,該該數(shù)字簽名將作為認證用中間數(shù)據(jù) '及 第二處理單元����,其用于在判斷單元的結(jié)果為不是的情況下,依據(jù)所述云服務(wù)提供者的身份數(shù)據(jù)獲取該終端的數(shù)字簽名��,以謂詞加密算法處理所述數(shù)字簽名����,由此生成基于所述數(shù)字簽名的密文UCT與謂詞評估令牌UTKf。
15.—種雙向云認證系統(tǒng),用于終端與云服務(wù)提供者的互相認證,所述雙向云認證系統(tǒng)包括: 終端認證云服務(wù)提供者的系統(tǒng)�,其包括: 終端數(shù)據(jù)包生成模塊,其配置成依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf,及生成包括所述謂詞評估令牌STKf與公鑰SKpu的數(shù)據(jù)包����,所述數(shù)據(jù)包還包括指明所述云服務(wù)提供者身份的身份數(shù)據(jù); 發(fā)送模塊�����,其配置成發(fā)送所述數(shù)據(jù)包�; 第一認證模塊����,其配置成接收所述發(fā)送模塊發(fā)送的數(shù)據(jù)包���,并依據(jù)謂詞評估匿名判斷函數(shù)對所接收的數(shù)據(jù)包進行解析�,依據(jù)解析結(jié)果認證所述云服務(wù)提供者���;以及 云服務(wù)提供者認證終端的系統(tǒng)����,其包括: 第一處理模塊�,其在接收來自終端的請求后,以謂詞加密算法處理認證用中間數(shù)據(jù)�����,由此生成密文UCT與謂詞評估令牌UTKf ����; SAB生成模塊,其用于將密文UCT與謂詞評估令牌UTKf����、以及與安全機制有關(guān)的數(shù)據(jù)SeP,以及公鑰AKpu —起用云服務(wù)提供者提供的公鑰SKpu生成安全主動約束包SAB,并將該安全主動約束包SAB發(fā)送到與云服務(wù)提供者有關(guān)的裝置����; 解密模塊,其用于通過私鑰解密所述安全主動約束包SAB���,其中�����,解密后的安全主動約束包SAB按照其中包括的與安全機制有關(guān)的數(shù)據(jù)SeP進行安全檢查����; 第二處理模塊�����,其在安全檢查通過的情況下��,從解密的所述安全主動約束包SAB取得密文UCT與謂詞評估令牌UTKf并解密UTKf����,并將解密結(jié)果與所述認證用中間數(shù)據(jù)進行比較,如果比較結(jié)果相同�����,則認證通過。
16.如權(quán)利要求15所述的雙向云認證系統(tǒng)���,其特征在于�,所述終端數(shù)據(jù)包生成模塊包括: 密鑰對生成單元��,用于一對密鑰SPK與SMSK ��; 令牌生成單元����,用于由所述一對密鑰SPK與SMSK依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf ; 數(shù)據(jù)包生成單元�,生成包括謂詞評估令牌STKf與公鑰SKpu的數(shù)據(jù)包,該數(shù)據(jù)包還包括指明云服務(wù)提供者身份的身份數(shù)據(jù)。
17.如權(quán)利要求15所述的雙向云認證系統(tǒng)��,其特征在于�,所述認證用中間數(shù)據(jù)為云服務(wù)提供者的身份數(shù)據(jù)。
18.如權(quán)利要求15所述的雙向云認證系統(tǒng),其特征在于,所述第一處理模塊包括: 判斷單元�����,其用于在接收到來自終端的請求后���,判斷該終端是否是第一次向所述云服務(wù)提供者進行請求����; 第一處理單元����,其用于在判斷單元的結(jié)果為是的情況下,向該終端提供虛擬身份�,并基于該虛擬身份生成數(shù)字簽名,同時����,將該云服務(wù)提供者的身份數(shù)據(jù)作為認證用中間數(shù)據(jù),以謂詞加密算法處理該認證用中間數(shù)據(jù)�����,生成基于該身份數(shù)據(jù)的密文UCT與謂詞評估令牌UTKf ;其中�����,該終端自第二次起向該云服務(wù)提供者進行請求時�,該該數(shù)字簽名將作為認證用中間數(shù)據(jù) '及 第二處理單元,其用于在判斷單元的結(jié)果為不是的情況下��,依據(jù)所述云服務(wù)提供者的身份數(shù)據(jù)獲取該終端的數(shù)字簽名,以謂詞加密算法處理所述數(shù)字簽名�,由此生成基于所述數(shù)字簽名的密文UCT與謂詞評估令牌UTKf。
【專利摘要】本發(fā)明提供一種終端認證云服務(wù)提供者的方法����,包括:依據(jù)謂詞評估函數(shù)生成與終端有關(guān)的謂詞評估令牌STKf;生成包括所述謂詞評估令牌STKf與公鑰SKpu的數(shù)據(jù)包��,所述數(shù)據(jù)包還包括指明所述云服務(wù)提供者身份的身份數(shù)據(jù)���;將所述數(shù)據(jù)包發(fā)送到與所述云服務(wù)提供者有關(guān)的裝置�����;在所述云服務(wù)提供者有關(guān)的裝置處����,依據(jù)謂詞評估匿名判斷函數(shù)對所接收的數(shù)據(jù)包進行解析�����,依據(jù)解析結(jié)果認證所述云服務(wù)提供者�����。還提供端認證云服務(wù)提供者的系統(tǒng)、云服務(wù)認證終端的方法及系統(tǒng)����,以及雙向云認證方法及系統(tǒng)。
【IPC分類】H04L9-32, H04L29-06, H04L9-30, H04L29-08
【公開號】CN104753879
【申請?zhí)枴緾N201310746278
【發(fā)明人】柴洪峰, 葉家煒, 何朔, 廖健, 楊陽, 曾劍平
【申請人】中國銀聯(lián)股份有限公司
【公開日】2015年7月1日
【申請日】2013年12月30日