本发明涉及私有云加密文件系统身份认证技术领域,具体为一种基于企业私有云加密文件系统的身份认证系统。
背景技术:
云计算是一种全新的数据资源交付和使用模式,它是指通过internet以按需、动态、易扩展的方法来获得所需的资源。云服务是基于云计算模式对外提供按需个性化的服务方式。根据企业对信息保密性的要求,在企业中一般采用私有云的架构来构建自己的云服务。越来越多的企业想拥有自己的私有云计算中心或数据中心来优化运营和节省资金。但是,由于私有云在安全技术方面的发展至今尚未成熟,限制了其在企业中的应用。所以在架构企业私有云平台时,有大量的安全问题需要考虑,尤其是企业私有云加密文件系统的认证安全问题。
身份认证是企业私有云加密文件系统安全运行的前提,在企业私有云加密文件系统的身份认证中,最早采用的是用户名和密码的口令认证,这种认证方式简单、速度快且不需要数字证书及其他配套设备,但存在较为严重的安全漏洞,容易出现外部泄露和口令猜测的问题,达不到企业私有云的安全要求,这种认证方式适用于对安全性要求不高的企业。
为进一步提高认证的安全性,提出了多种因素组合的认证方式,第一种采用了ip地址绑定和基于口令认证的多因素认证,该方案虽然提高了安全性,但是云终端在认证时只能使用相同的ip,不仅降低了认证的灵活性也不能实现对云端的认证;第二种将密钥和图案认证环结合提出一种“一次性口令”的多因素认证,这种方案虽然大大提高了认证的强度,但是也增加了开销,也未完成对云端的身份认证;第三种是以一次性口令环和金钥匙安全环为基础,增加了生物识别及加密等认证因素的认证方案,这样使认证的强度大幅度提高,但是仍没有解决对云端的身份认证问题。
技术实现要素:
(一)解决的技术问题
针对现有技术的不足,本发明提供一种基于企业私有云加密文件系统的身份认证系统,以解决目前的身份认证系统,在提高认证安全性的同时,无法完成对云端的身份认证的技术问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:
一种基于企业私有云加密文件系统的身份认证系统,包括:运行有身份认证系统软件的云存储服务器csds、云计算服务器ccsp,云计算服务器ccsp与云存储服务器csds进行通信连接;
上述基于企业私有云加密文件系统的身份认证系统的身份认证方法,具体包括以下步骤:
步骤一:云计算服务器ccsp在身份认证系统上进行用户注册,具体包括:
身份认证系统设定:xn+1=f(xn)=uxn(1-xn),其中u∈[0,4],xn∈(0,1);
令
序列{xn}由下式(1)、式(2)联立定义:
其中,a,xn∈(0,1-2-k],n=0,1,2,3…;
云计算服务器ccsp秘密选取一个初始值
身份认证系统将公布的xn存储在变量x中;
步骤二:身份认证系统对云计算服务器ccsp进行身份认证,具体的认证过程为:
①云计算服务器ccsp向身份认证系统发送idp和xn-i;
②身份认证系统把xn-i作为初始值,根据式(1)、式(2)确定的算法,迭代1次得到x′;
③若x′=x,则身份认证系统确认云计算服务器ccsp的身份。
进一步的,所述云计算服务器ccsp向云存储服务器csds发送访问请求时,身份认证系统对云计算服务器ccsp进行身份认证,只有当云计算服务器ccsp的身份通过了身份认证系统的认证,才允许云计算服务器ccsp访问云存储服务器csds。
进一步的,所述云计算服务器ccsp的身份通过了身份认证系统的认证之后,令计数器i加1,重复执行步骤①至步骤③t(t≥3)次。
进一步的,所述云存储服务器csds用于存储企业私有加密文件、响应用户请求及提供相应服务。
(三)有益的技术效果
与现有技术相比,本发明具备以下有益的技术效果:
本发明当云计算服务器ccsp向云存储服务器csds发送访问请求时,身份认证系统对云计算服务器ccsp进行身份认证,并且只有云计算服务器ccsp的身份通过了身份认证系统的认证,才允许云计算服务器ccsp访问云存储服务器csds;
如果存在不诚实的证明者云计算服务器ccs′p,没有掌握a,采用直接猜测xn-i的方法,则成功欺骗身份认证系统的概率为2/(2k-i-1),采用猜测a生成{xn}序列,则成功欺骗身份认证系统的概率为2/2k-1,故成功欺骗身份认证系统的概率为max{2/(2k-i-1),1/2k-1},并且当i增加时,身份认证系统能以绝对优势的概率拒绝云计算服务器ccs′p,即非法的云计算服务器ccs′p不能通过身份认证系统的身份认证;
云计算服务器ccsp作为证明者具有无限计算能力,身份认证系统作为验证者仅具有多项式计算能力,如果身份认证系统违背协议,并且能从别的途径获得信息,身份认证系统除了验证云计算服务器ccsp的身份以外,也无法从云计算服务器ccsp那里获得额外知识;
从而解决了目前的身份认证系统,在提高认证安全性的同时,无法完成对云端的身份认证的技术问题。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于企业私有云加密文件系统的身份认证系统,包括:运行有身份认证系统软件且用于存储企业私有加密文件、响应用户请求及提供相应服务的云存储服务器csds,运行有身份认证系统软件且用于访问云存储服务器csds的云计算服务器ccsp;
云计算服务器ccsp通过网络通信设备在身份认证系统上与云存储服务器csds进行通信连接;
当云计算服务器ccsp向云存储服务器csds发送访问请求时,身份认证系统对云计算服务器ccsp进行身份认证,并且只有当云计算服务器ccsp的身份通过了身份认证系统的认证,才允许云计算服务器ccsp访问云存储服务器csds;
上述基于企业私有云加密文件系统的身份认证系统的身份认证方法,具体包括以下步骤:
步骤一:云计算服务器ccsp在身份认证系统上进行用户注册,具体包括:
身份认证系统设定:xn+1=f(xn)=uxn(1-xn),其中u∈[0,4],xn∈(0,1);
令
序列{xn}由下式(1)、式(2)联立定义:
其中,a,xn∈(0,1-2-k],n=0,1,2,3…;
云计算服务器ccsp秘密选取一个初始值
身份认证系统将公布的xn存储在变量x中;
步骤二:身份认证系统对云计算服务器ccsp进行身份认证,具体的认证过程为:
①云计算服务器ccsp向身份认证系统发送idp和xn-i;
②身份认证系统把xn-i作为初始值,根据式(1)、式(2)确定的算法,迭代1次得到x′;
③若x′=x,则身份认证系统确认云计算服务器ccsp的身份,将x′的值赋给变量x,发送身份认证系统的idv,xn-i;
若x′≠x,则认证失败消息;
④云计算服务器ccsp接受认证成功的消息idv,xn-i之后,令计数器i加1,重复执行步骤①至步骤③t(t≥3)次;
在上述身份认证过程中,如果云计算服务器ccsp和身份认证系统按协议完成了全部步骤,那么身份认证系统总是能接受云计算服务器ccsp的身份证明,如果云计算服务器ccsp的身份是合法的,则身份认证系统以绝对优势的概率接受云计算服务器ccsp的身份认证;
在第i(0<i<n)次认证过程中,存在不诚实的证明者云计算服务器ccs′p,没有掌握a,采用直接猜测xn-i的方法,则成功欺骗身份认证系统的概率为2/(2k-i-1);
采用猜测a生成{xn}序列,则成功欺骗身份认证系统的概率为2/2k-1;
故成功欺骗身份认证系统的概率为max{2/(2k-i-1),1/2k-1},并且当i增加时,身份认证系统能以绝对优势的概率拒绝云计算服务器ccs′p;
云计算服务器ccsp作为证明者具有无限计算能力,身份认证系统作为验证者仅具有多项式计算能力,如果身份认证系统违背协议,并且能从别的途径获得信息,身份认证系统除了验证云计算服务器ccsp的身份以外,也无法从云计算服务器ccsp那里获得额外知识;
并且在第i(0<i<n)次认证过程时,已知xn-i和映射g,求a,xn-i-1的平均计算复杂度都为o(2k),而身份认证系统仅具有多项式计算能力,因此身份认证系统不可能得到a和序列{xn}的前n-i个元素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。