一种云环境下基于身份的统一身份认证方案研究

一种云环境下基于身份的统一身份认证方案研究

刘团奇;张浩军;赵志鹏

【摘要】提出了一种云环境下的基于身份密码体制的统一身份认证方案,在私钥分发的过程中使用了双线性对运算,显著降低了PKI体系中CA的负担,简化了CA对用户证书的管理,实现了云环境下不同类型用户的统一认证.方案在保证足够高的安全强度的同时,降低了计算开销.

【期刊名称】《中原工学院学报》

【年(卷),期】2015(026)004

【总页数】4页(P55-58)

【关键词】身份认证;基于身份密码体制;统一身份认证

【作者】刘团奇;张浩军;赵志鹏

【作者单位】河南工业大学,郑州450001;河南工业大学,郑州450001;河南工业大学,郑州450001

【正文语种】中文

【中图分类】TP39

在云计算技术快速发展的同时，越来越多的用户数据被存储在云端服务器中。用户与云服务器之间的双向认证是云环境下用户访问云服务器中数据或使用所需服务的重要前提

[1]。而虚拟化技术和用户对不同云服务器的频繁访问对身份认证技术提出了更高的要求。在公有云和私有云的复杂架构下，不同的云内部可能有不同的身份

认证系统，用户在访问不同的云服务时可能需要在相应系统中进行身份认证；而更加多样化的云服务使用户需要在不同的云服务器上进行身份认证。为了提供更好的用户体验，云服务通常会使用单点登录方式

[2-6]。Yan L提出了基于HIBC的身份认证模型

[7]，但该模型对根密钥的依赖性较强；Zhang Q K提出了云环境下的联

盟认证模型

[8]，但该模型密钥数量较多。本文提出了一种云环境下的基于身份密码体制(IBC)的统一身份认证方案，该方案能够显著降低PKI体系中CA的负担，简化CA对用户证书的管理。

基于身份密码体制一般是由离散对数难题和双线性对来进行构造的

[7-8]，相关难解问题如下：

定义1 离散对数问题，设群

G是一个

q阶群，给定(

P，

Q)∈

G，求一个整数

n∈

q*，使Q=nP。

定义2 双线性映射，群

G1、G2分别是q阶的循环加法群和循环乘法群，p是G1的一个生成元，

e:

G1×

G2→G2是双线性映射，e有以下性质

[9]：

(1)双线性。对任意

R、

S∈

G1，a、b∈q*，有e(Ra，Sb)=e(R，S)

ab；

(2)非退化性。存在

M、

N∈

G1，使e(M，N)≠1,1是G2的单位元；

(3)可计算性。存在有效的多项式算法，该算法对任意

R、

S∈

G1，可以计算e(R，S)。

本文借鉴了文献[9]中密钥协商过程中双线性映射的应用方法，将其应用于公有云环境下的私钥分发，在保证足够高的安全强度的前提下，降低了私钥分发的计算开

2.1 认证模型

作为一种安全的基础架构，PKI体系在实际应用中得到了快速发展。但PKI的证书验证过程比较繁琐，会造成一定的性能负担和网络延迟，在云计算环境下，PKI体系的这些劣势会更加显著地表现出来。本文设计了一种云环境下的基于身份密码体制(IBC)的统一身份认证方案，认证模型如图1所示。在公有云或私有云的内部使用IBC体系，云和云之间的认证由PKI体系负责。公有云或私有云中的用户通过认证代理访问其他云所提供的服务，用户可以分为3类：公有云中的普通用户、私有云中的用户和使用PKI体系认证的用户。3类用户在统一的身份认证方案下可以安全地使用身份认证服务。

2.2 符号构成

PK

S：S的公钥。

SK

S：S的私钥。

H()：安全的散列函数。

E

ab(m)：使用对称密码算法加密m。

D

ab(m)：使用对称密钥

ab解密m。

2.3 系统初始化

(1)云内IBC系统的建立：首先产生一个随机数

SK

S∈

Zq*,计算PK

S=

SK

Sg∈

G1，SK

S作为云S的主密钥，

PK

S作为公钥，云的认证代理服务器公布系统的参数

param= {

q,

G1,G2,g,p,PK

S,

H1,H2}。除了IBC系统之外，认证代理服务器同时运行PKI系统，拥有证

书和对应的私钥。其他云的参数选取过程同理。

(2)用户注册：用户U注册申请成为云S的用户时，U提交用户ID和口令P的散列值，

ID∈{0,1}

*,将用户的

ID和

p=

H

1(

P)保存在用户信息数据库中

[10]。

2.4 认证过程

用户按认证过程分为3类：公有云中的普通用户、私有云中的用户和使用PKI体系认证的用户。

2.4.1 公有云用户认证过程

(1)通过验证云的PKI证书，交换系统参数实现云和云信任关系的建立

[11]，任意的云A和云B之间的参数交换过程如下：

①AP

A→AP

B：

r

A,

Param_Req

云A的认证代理向云B的认证代理发送请求， r

A是云A产生的随机数。

②AP

B→AP

A：

cert

APB，

Param

B||

r

B||

r

A||

ID

A||

sigcert

B(

Param

B||