CN111935067A - 一种基于云计算技术的企业用户身份认证系统 - Google Patents

Abstract

本发明涉及云计算企业用户认证技术领域，且公开了一种基于云计算技术的企业用户身份认证系统，包括：运行有用户身份认证系统软件且部署在云计算架构内的云认证服务器CAS_V，部署在云计算架构内且用于对外提供服务的云计算服务器CCS_Pj，运行有用户身份认证系统软件且部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i；运行在云认证服务器CAS_V上的用户身份认证系统对对部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i的身份进行安全认证，只有本地服务器LS_i或计算机终端PCT_i的身份通过了用户身份认证系统的安全认证，才允许本地服务器LS_i或计算机终端PCT_i访问云计算服务器CCS_Pj。本发明解决了在云计算环境中如何保证企业用户身份认证安全的问题。

Description

一种基于云计算技术的企业用户身份认证系统

技术领域

本发明涉及云计算企业用户认证技术领域，具体为一种基于云计算技术的企业用户身份认证系统。

背景技术

用户数据在云计算环境中进行传输和存储时，用户本身对于自身数据在云中的安全风险并没有实际的控制能力，数据安全完全依赖于服务商。云计算服务商在对外提供服务的过程中，如果身份认证管理机制存在缺陷，或者身份认证管理系统存在安全漏洞，则可能导致企业用户的账户密码被仿冒，从而使得非法用户堂而皇之地对企业数据进行窃取。因此如何保证不同企业用户的身份认证安全，是保证用户数据安全的第一道屏障。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供一种基于云计算技术的企业用户身份认证系统，以解决在云计算环境中如何保证企业用户身份认证安全的问题。

(二)技术方案

为实现上述目的，本发明提供如下技术方案：

一种基于云计算技术的企业用户身份认证系统，包括：运行有用户身份认证系统软件且部署在云计算架构内的云认证服务器CAS_V，部署在云计算架构内且用于对外提供服务的云计算服务器CCS_Pj，运行有用户身份认证系统软件且部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i；

本地服务器LS_i或计算机终端PCT_i与云计算服务器CCS_Pj进行通信连接，云计算服务器CCS_Pj与云认证服务器CAS_V进行通信连接，云认证服务器CAS_V在用户身份认证系统与本地服务器LS_i或计算机终端PCT_i；

运行在云认证服务器CAS_V上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i的身份进行安全认证，该认证方法包括以下步骤：

步骤一：本地服务器LS_i或计算机终端PCT_i在云认证服务器CAS_V的用户身份认证系统上进行用户注册，具体包括：

①用户身份认证系统生成参数：p是一个大素数、q是p-1的一个素因子、且g,h是

中的两个q阶生成元、向本地服务器LS_i或计算机终端PCT_i公开参数(p,q,g,h)；

②本地服务器LS_i或计算机终端PCT_i随机选择w,r∈Z_q、选择2n(n≥1)个随机数w₁,w₂,…,w_n，r₁,r₂,…,r_n，使得h＝g^wh^rmod p，

其中i＝1,2,…,n；

步骤二：用户身份认证系统对本地服务器LS_i或计算机终端PCT_i进行安全认证，具体的认证过程为：

①本地服务器LS_i或计算机终端PCT_i选择两个随机数α_i∈Z_q和β_i∈Z_q，计算

发送x_i给用户身份认证系统，其中i＝1,2,…,n；

②用户身份认证系统选择一个随机数c返回给给本地服务器LS_i或计算机终端PCT_i；

③本地服务器LS_i或计算机终端PCT_i在接收到用户身份认证系统返回的数值c之后，开始计算s_i＝α_i-cw_i(mod q)和t_i＝β_i-cr_i(mod q)，发送s_i给用户身份认证系统，其中i＝1,2,…,n；

④用户身份认证系统验证等式

是否成立；

如果等式成立，则用户身份认证系统通过本地服务器LS_i或计算机终端PCT_i的身份认证。

优选的，所述云认证服务器CAS_V的用户身份认证系统对部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i的身份进行安全认证，只有本地服务器LS_i或计算机终端PCT_i的身份通过了用户身份认证系统的安全认证，才允许本地服务器LS_i或计算机终端PCT_i访问云计算服务器CCS_Pj。

优选的，所述数组(w_i,r_i)为本地服务器LS_i或计算机终端PCT_i的私有密钥PSK_i。

优选的，所述数值c的取值范围为{1,2}。

(三)有益的技术效果

与现有技术相比，本发明具备以下有益的技术效果：

1.本发明为了在云计算环境中保证企业用户身份认证安全，当本地服务器LS_i或计算机终端PCT_i向云计算服务器CCS_Pj发送给访问请求时，运行在云认证服务器CAS_V上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i的身份进行安全认证，并且只有本地服务器LS_i或计算机终端PCT_i的身份通过了用户身份认证系统的安全认证，才允许本地服务器LS_i或计算机终端PCT_i访问云计算服务器CCS_Pj；

上述认证协议是基于“挑战-应答”方式进行的，作为验证者的用户身份认证系统可以通过产生的随机数c决定s_i，每次交互时s_i是随机的，当监听者想要冒充证明者本地服务器LS_i或计算机终端PCT_i时它无法确定收到的“挑战”是什么，很难取得验证者用户身份认证系统的信任；

在认证协议的过程中，本地服务器LS_i或计算机终端PCT_i没有泄露自己的数值(w_i,r_i)这一私有密钥PSK_i知识，本地服务器LS_i或计算机终端PCT_i通过将自己的私有密钥PSK_i隐藏在所发送的随机数x_i之中而防止知识的泄露，即使攻击者截获到传输内容也不能从中获取任何私有密钥PSK_i信息；

从而解决了在云计算环境中如何保证企业用户身份认证安全的问题。

具体实施方式

下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种基于云计算技术的企业用户身份认证系统,包括：运行有用户身份认证系统软件且部署在云计算架构内的云认证服务器CAS_V，部署在云计算架构内且用于对外提供服务的云计算服务器CCS_Pj，运行有用户身份认证系统软件且部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i；

本地服务器LS_i或计算机终端PCT_i通过网络通信设备与云计算服务器CCS_Pj进行通信连接，云计算服务器CCS_Pj通过网络通信设备与云认证服务器CAS_V进行通信连接，云认证服务器CAS_V通过网络通信设备在用户身份认证系统与本地服务器LS_i或计算机终端PCT_i；

为了在云计算环境中保证企业用户身份认证安全，当本地服务器LS_i或计算机终端PCT_i向云计算服务器CCS_Pj发送给访问请求时，运行在云认证服务器CAS_V上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i的身份进行安全认证，只有本地服务器LS_i或计算机终端PCT_i的身份通过了运行在云认证服务器CAS_V上的用户身份认证系统的安全认证，才允许本地服务器LS_i或计算机终端PCT_i访问云计算服务器CCS_Pj；

运行在云认证服务器CAS_V上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i的身份进行安全认证，该认证方法包括以下步骤：

步骤一：本地服务器LS_i或计算机终端PCT_i在云认证服务器CAS_V的用户身份认证系统上进行用户注册，具体包括：

①用户身份认证系统生成参数：让p是一个大素数，q是p-1的一个素因子，且g,h是

中的两个q阶生成元；

用户身份认证系统向本地服务器LS_i或计算机终端PCT_i公开参数p,q,g,h；

②本地服务器LS_i或计算机终端PCT_i随机选择w,r∈Z_q、选择2n(n≥1)个随机数w₁,w₂,…,w_n，r₁,r₂,…,r_n，使得h＝g^wh^rmod p，

其中i＝1,2,…,n；

其中，(w_i,r_i)为本地服务器LS_i或计算机终端PCT_i的私有密钥PSK_i；

步骤二：运行在云认证服务器CAS_V上的用户身份认证系统对本地服务器LS_i或计算机终端PCT_i进行安全认证，具体的认证过程为：

①本地服务器LS_i或计算机终端PCT_i选择两个随机数α_i∈Z_q和β_i∈Z_q，计算

发送x_i给用户身份认证系统，其中i＝1,2,…,n；

②用户身份认证系统选择一个随机数c∈{1,2}，发送数值c给本地服务器LS_i或计算机终端PCT_i；

③本地服务器LS_i或计算机终端PCT_i在接收到用户身份认证系统返回的数值c之后，开始计算s_i＝α_i-cw_i(modq)和t_i＝β_i-cr_i(modq)，发送s_i给用户身份认证系统，其中i＝1,2,…,n；

④用户身份认证系统验证等式

是否成立；

如果等式成立，证明本地服务器LS_i或计算机终端PCT_i知悉数值(w_i,r_i)这一私有密钥PSK_i，则用户身份认证系统通过本地服务器LS_i或计算机终端PCT_i的身份认证；

上述认证协议是基于“挑战-应答”方式进行的，作为验证者的用户身份认证系统可以通过产生的随机数c决定s_i，每次交互时s_i是随机的，当监听者想要冒充证明者本地服务器LS_i或计算机终端PCT_i时它无法确定收到的“挑战”是什么，很难取得验证者用户身份认证系统的信任；

在认证协议的过程中，本地服务器LS_i或计算机终端PCT_i没有泄露自己的数值(w_i,r_i)这一私有密钥PSK_i知识，本地服务器LS_i或计算机终端PCT_i通过将自己的私有密钥PSK_i隐藏在所发送的随机数x_i之中而防止知识的泄露，即使攻击者截获到传输内容也不能从中获取任何私有密钥PSK_i信息。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (4)

1.一种基于云计算技术的企业用户身份认证系统，其特征在于，包括：运行有用户身份认证系统软件且部署在云计算架构内的云认证服务器CAS_V，部署在云计算架构内且用于对外提供服务的云计算服务器CCS_Pj，运行有用户身份认证系统软件且部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i；

本地服务器LS_i或计算机终端PCT_i与云计算服务器CCS_Pj进行通信连接，云计算服务器CCS_Pj与云认证服务器CAS_V进行通信连接，云认证服务器CAS_V在用户身份认证系统与本地服务器LS_i或计算机终端PCT_i；

运行在云认证服务器CAS_V上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i的身份进行安全认证，该认证方法包括以下步骤：

步骤一：本地服务器LS_i或计算机终端PCT_i在云认证服务器CAS_V的用户身份认证系统上进行用户注册，具体包括：

①用户身份认证系统生成参数：p是一个大素数、q是p-1的一个素因子、且g,h是

中的两个q阶生成元、向本地服务器LS_i或计算机终端PCT_i公开参数(p,q,g,h)；

②本地服务器LS_i或计算机终端PCT_i随机选择w,r∈Z_q、选择2n(n≥1)个随机数w₁,w₂,…,w_n，r₁,r₂,…,r_n，使得h＝g^wh^rmodp，

其中i＝1,2,…,n；

步骤二：用户身份认证系统对本地服务器LS_i或计算机终端PCT_i进行安全认证，具体的认证过程为：

①本地服务器LS_i或计算机终端PCT_i选择两个随机数α_i∈Z_q和β_i∈Z_q，计算

发送x_i给用户身份认证系统，其中i＝1,2,…,n；

②用户身份认证系统选择一个随机数c返回给给本地服务器LS_i或计算机终端PCT_i；

③本地服务器LS_i或计算机终端PCT_i在接收到用户身份认证系统返回的数值c之后，开始计算s_i＝α_i-cw_i(modq)和t_i＝β_i-cr_i(modq)，发送s_i给用户身份认证系统，其中i＝1,2,…,n；

④用户身份认证系统验证等式

是否成立；

如果等式成立，则用户身份认证系统通过本地服务器LS_i或计算机终端PCT_i的身份认证。

2.根据权利要求1所述的基于云计算技术的企业用户身份认证系统，其特征在于，所述云认证服务器CAS_V的用户身份认证系统对部署在企业用户信息系统内的本地服务器LS_i或计算机终端PCT_i的身份进行安全认证，只有本地服务器LS_i或计算机终端PCT_i的身份通过了用户身份认证系统的安全认证，才允许本地服务器LS_i或计算机终端PCT_i访问云计算服务器CCS_Pj。

3.根据权利要求2所述的基于云计算技术的企业用户身份认证系统，其特征在于，所述数组(w_i,r_i)为本地服务器LS_i或计算机终端PCT_i的私有密钥PSK_i。

4.根据权利要求3所述的基于云计算技术的企业用户身份认证系统，其特征在于，所述数值c的取值范围为{1,2}。