一种基于第三方服务的应用云安全认证方法

一种基于第三方服务的应用云安全认证方法
【专利摘要】本发明提供一种基于第三方服务的应用云安全认证方法，其具体步骤为：云用户向签名认证服务云提交请求服务信息，签名认证服务云接收云用户请求信息，向第三方目录认证服务云验证云用户证书的有效性，经过应用门户目录服务云签发密文用户登录令牌和数字信封，然后对应用门户目录服务云签发的密文用户登录令牌及数字信封进行认证服务签名，并回送给云用户，云用户对获取的密文用户登录令牌、数字信封及认证服务签名信息进行用户签名，然后提交给应用服务，请求相应的服务，应用服务验证后为云用户提供相应的服务。该一种基于第三方服务的应用云安全认证方法和现有技术相比，确保信息来源的真实性和不可抵赖性，加固了信息传输过程的安全性。
【专利说明】—种基于第三方服务的应用云安全认证方法
【技术领域】
[0001]本发明涉及云计算【技术领域】，具体的说是一种可应用于电子政务、电子商务、行业等云服务领域中并基于第三方服务的应用云安全认证方法。
【背景技术】
[0002]云计算作为一个新兴的网络应用模式，有非常好的应用和发展前景，而云计算作为一种新兴的商业模式，对它的研究还处于初级阶段，还有很多问题尚待解决，其安全问题尤为突出，而身份认证与访问控制管理正是云计算安全的主要问题之一，在云计算基础上提供的云服务，同样存在急需解决的安全问题，安全问题已成为云计算及云服务推广的一大阻碍，主要来源于数据共享带来的安全问题、访问者的身份不确定性和云服务提供商的超级特权导致的潜在危险。为此，根据云计算中数据存储、云服务和云用户群体的特点，第三方服务将是最佳的选择方案，云访问者需经过第三方身份认证，对不同访问主体采取不同访问控制策略，以提供分级的安全特性，使云服务提供商不再享有超级特权，使得云端数据访问者及访问安全无须依赖于服务器的绝对可信，为云计算提供了更为可靠的安全特性。

【发明内容】

[0003]本发明的技术任务是解决现有技术的不足，提供一种实用性强、基于第三方服务的应用云安全认证方法。
[0004]本发明的技术方案是按以下方式实现的，该一种基于第三方服务的应用云安全认证方法，其具体步骤为:
一、云用户向签名认证服务云提交请求服务信息；
二、签名认证服务云接收到云用户请求信息后，向第三方目录认证服务云验证云用户证书的有效性；
三、经过应用门户目录服务云签发密文用户登录令牌和数字信封，然后对应用门户目录服务云签发的密文用户登录令牌及数字信封进行认证服务签名；
四、步骤三中的密文用户登录令牌及数字信封回送给云用户，云用户对获取的密文用户登录令牌、数字信封及认证服务签名信息进行数字签名，作为登录应用服务云的临时唯一性请求信息,并将此请求提交给应用服务云,请求相应的服务；
五、应用服务云验证相应的签名及令牌信息，为云用户提供相应的服务；
六、如果用户超过一定时间未访问本服务时，用户状态置为停止，之后需重复一到五步骤重新登录。
[0005]所述步骤一中的云用户请求服务信息包括:用户数字证书、云用户请求登录应用门户信息。
[0006]所述步骤三的详细过程为:签名认证服务云将用户请求信息及令牌有效期提交给应用门户目录服务云，经过应用门户目录服务云权限验证，验证通过后将用户证书、令牌有效期、用户状态、应用门户信息后进行加密得密文用户登录令牌，同时采用应用门户目录服务公钥将会话密钥加密产生数字信封。
[0007]所述步骤三中的加密方法用会话密钥，采用SMUDES或3DES算法加密。
[0008]所述步骤四中的数字签名算法采用RSA、SM2或ECC算法。
[0009]所述步骤五的详细过程为:应用服务云收到用户请求信息，首先验证用户签名和签名认证服务云签名，然后打开数字信封，解密密文用户登录令牌，并再次用令牌中的用户证书验证云用户签名，核对令牌有效期，检测用户状态，比对应用门户信息，应用服务云所有验证通过，为用户开通应用权限，提供相应的服务。
[0010]本发明与现有技术相比所产生的有益效果是:
本发明的一种基于第三方服务的应用云安全认证方法解决现有应用云服务中身份认证、统一管理的问题，将签名认证服务云、第三方认证目录服务云、应用门户目录服务云和应用服务云相结合，实现了统一云认证和应用门户权限管理，为云用户提供了安全可信的第三方认证服务，真正解决了云服务安全方面的难题；整个云服务过程与第三方服务紧密结合，验证云用户身份的真实性、合法性，签名技术的应用确保信息来源的真实性和不可抵赖性，密文用户登录令牌和数字信封技术加固了信息传输过程的安全性，实用性强，易于推广。
【专利附图】

【附图说明】
[0011]附图1是本发明的安全认证方法模型图。
[0012]附图2是本发明的云用户令牌信息示意图。
【具体实施方式】
[0013]下面结合附图对本发明的一种基于第三方服务的应用云安全认证方法作详细说明。
[0014]如附图1、图2所示，现提供一种基于第三方服务的应用云安全认证方法，其具体步骤为:
一、云用户向签名认证服务云提交请求服务信息；
二、签名认证服务云接收到云用户请求信息后，向第三方目录认证服务云验证云用户证书的有效性；
三、经过应用门户目录服务云签发密文用户登录令牌和数字信封，然后对应用门户目录服务云签发的密文用户登录令牌及数字信封进行认证服务签名；
四、步骤三中的密文用户登录令牌及数字信封回送给云用户，云用户对获取的密文用户登录令牌、数字信封及认证服务签名信息进行数字签名，作为登录应用服务云的临时唯一性请求信息,并将此请求提交给应用服务云,请求相应的服务；
五、应用服务云验证相应的签名及令牌信息，为云用户提供相应的服务；
六、如果用户超过一定时间未访问本服务时，用户状态置为停止，之后需重复一到五步骤重新登录。
[0015]所述步骤一中的云用户请求服务信息包括:用户数字证书、云用户请求登录应用门户信息。[0016]所述步骤三的详细过程为:签名认证服务云将用户请求信息及令牌有效期提交给应用门户目录服务云，经过应用门户目录服务云权限验证，验证通过后将用户证书、令牌有效期、用户状态、应用门户信息后进行加密得密文用户登录令牌，同时采用应用门户目录服务公钥将会话密钥加密产生数字信封。
[0017]所述步骤三中的加密方法用会话密钥，采用SMUDES或3DES算法加密。
[0018]所述步骤四中的数字签名算法采用RSA、SM2或ECC算法。
[0019]所述步骤五的详细过程为:应用服务云收到用户请求信息，首先验证用户签名和签名认证服务云签名，然后打开数字信封，解密密文用户登录令牌，并再次用令牌中的用户证书验证云用户签名，核对令牌有效期，检测用户状态，比对应用门户信息，应用服务云所有验证通过，为用户开通应用权限，提供相应的服务。
[0020]其具体的实施过程为:
第I步，云用户向签名认证服务云发送请求信息(请求信息包括:云用户数字证书、云用户请求登录的应用服务云域名或服务ip地址)。
[0021]第2步，签名认证服务云将云用户请求信息发送到第三方认证目录服务云进行身份认证，如果数字证书被吊销、注销、挂失或过期均为无效证书，如果验证无效，则返回云用户无效的请求，云用户请求结束。
[0022]第3步，签名认证服务云将云用户请求信息发送到应用门户目录服务云进行权限验证，应用门户目录服务云首先验证云用户请求登录的应用服务云域名或服务ip地址是否正确，如果错误返回验证失败，如果正确应用门户目录服务云将云用户的请求信息包括:云用户证书、令牌有效期、用户状态(有效用户、未激活状态)、应用门户信息等信息进行加密(用会话密钥、采用SMl算法加密)，得密文用户登录令牌，同时采用应用门户目录服务公钥将会话密钥加密产生数字信封，将密文用户登录令牌和数字信封送回签名认证服务云。
[0023]第4步，签名认证服务云将应用门户目录服务云返回的密文用户登录令牌和数字信封进行数字签名(签名算法用RSA或SM2或ECC)，一并回送给云用户。
[0024]第5步，云用户对获取的密文用户登录令牌、数字信封及认证服务签名进行数字签名，作为登录应用服务云的临时唯一性请求信息，然后云用户向应用服务云发送请求服务信息。
[0025]第6步，应用服务云收到用户请求信息，首先验证用户签名和签名认证服务云签名，然后打开数字信封，解密密文用户登录令牌，验证用户应用门户信息匹配性，并再次用令牌中的用户证书验证云用户签名，核对令牌有效期，检测用户状态，如果所有信息验证通过，为用户开通应用权限(用户状态置为‘激活’)，提供相应的服务。
[0026]如果用户超过一定时间未访问应用服务云时，用户状态置为‘停止’，之后需重复
1-6步骤重新登录请求服务。
[0027]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种基于第三方服务的应用云安全认证方法，其特征在于，其具体步骤为: 一、云用户向签名认证服务云提交请求服务信息； 二、签名认证服务云接收到云用户请求信息后，向第三方目录认证服务云验证云用户证书的有效性； 三、经过应用门户目录服务云签发密文用户登录令牌和数字信封，然后对应用门户目录服务云签发的密文用户登录令牌及数字信封进行认证服务签名； 四、步骤三中的密文用户登录令牌及数字信封回送给云用户，云用户对获取的密文用户登录令牌、数字信封及认证服务签名信息进行数字签名，作为登录应用服务云的临时唯一性请求信息,并将此请求提交给应用服务云,请求相应的服务； 五、应用服务云验证相应的签名及令牌信息，为云用户提供相应的服务； 六、如果用户超过一定时间未访问本服务时，用户状态置为停止，之后需重复一到五步骤重新登录。
2.根据权利要求1所述的一种基于第三方服务的应用云安全认证方法，其特征在于，所述步骤一中的云用户请求服务信息包括:用户数字证书、云用户请求登录应用门户信息。
3.根据权利要求1所述的一种基于第三方服务的应用云安全认证方法，其特征在于，所述步骤三的详细过程为:签名认证服务云将用户请求信息及令牌有效期提交给应用门户目录服务云，经过应用门户目录服务云权限验证，验证通过后将用户证书、令牌有效期、用户状态、应用门户信息后进行加密得密文用户登录令牌，同时采用应用门户目录服务公钥将会话密钥加密产生数字信封。
4.根据权利要求3所述的一种基于第三方服务的应用云安全认证方法,其特征在于，所述步骤三中的加密方法用会话密钥，采用SMl、DES或3DES算法加密。
5.根据权利要求1所述的一种基于第三方服务的应用云安全认证方法，其特征在于，所述步骤四中的数字签名算法采用RSA、SM2或ECC算法。
6.根据权利要求1所述的一种基于第三方服务的应用云安全认证方法，其特征在于，所述步骤五的详细过程为:应用服务云收到用户请求信息，首先验证用户签名和签名认证服务云签名，然后打开数字信封，解密密文用户登录令牌，并再次用令牌中的用户证书验证云用户签名，核对令牌有效期，检测用户状态，比对应用门户信息，应用服务云所有验证通过，为用户开通应用权限，提供相应的服务。
【文档编号】H04L9/32GK103490899SQ201310446268
【公开日】2014年1月1日 申请日期:2013年9月27日 优先权日:2013年9月27日
【发明者】李秀芳, 于治楼, 罗清彩 申请人:浪潮齐鲁软件产业有限公司