云計算中的虛擬身份認證技術研究

引言

    云計算隨著IT技術的發展，通過大量不同的服務，例如虛擬化，軟件作為服務(SaaS)，基礎設施作為服務(IaaS)和平臺即服務(PaaS)，云計算已經演變。云計算將應用程序通過網絡傳遞作為服務，硬件和系統軟件保存在數據中心而不是客戶端上。云計算最基本的目的是為用戶提供極大的便利，無論何時何地使用網絡，用戶都可以處理、存儲、訪問云計算中的數據。另外，用戶不必關心處理的細節。總體來說，云計算可以分為3類，公共云、私有云、和混合云。

    云計算技術提供了很多優點：側如，虛擬環境信息共享，動態可擴展性、存儲實用工具、平臺和基礎設施的利用率、管理分布式計算能力甚至更多。但是，伴隨著云計算的也有很多問題存在，例如：性能，靈活性，互操作性，數據遷移以及平臺遷移。最重要的一點是安全，虛擬化安全，分布式計算安全，應用安全，認證管理安全，訪問控制安全以及虛擬身份認證安全。更進一步，身份和訪問控制管理是云計算的核心需求，因此虛擬身份認證成為云計算服務環境最重要的需求。

1 虛擬身份認證技術

    虛擬身份是由身份服務提供者為用戶分配的網絡身份。它代表用戶，是用戶的一個化名或者匿名。現有的虛擬身份認證技術都是基于C／S架構的。最流行的身份認證技術由Lamport在1981年提出。在這項技術中，服務器存儲了用戶密碼的哈希值，密碼表被用來驗證用戶的合法性，一旦密碼表被盜，系統就可能會遭到破壞。近年來基于智能卡的密碼認證也逐漸得到廣泛地應用，但其中一部分也遭到破解。

表1本文中用到的符號描述

    Shoup—Rubin提出的Bellare—Rogaway模型的拓展，基于第三方密鑰分配協議，利用智能卡存儲長期密鑰。在該模型中，智能卡用來防止破譯者，它假定智能卡是不可破解的。但該算法在兩個因素都被破壞時就能被破解。

    云計算是C／S架構的變種，成千上萬的客戶在大規模的使用相同架構。因此，它比傳統的客戶服務器網絡系統需要更強的認證。現有的虛擬用戶身份認證技術存在安全隱患。本文將提出一種加強的虛擬身份認證框架。

2 強虛擬身份認證算法

    本文中提到的符號如表1所示。

    在本節中描述了一個安全云算法，強虛擬身份認證算法也被提出。安全云框架有兩個優點：

    (1)該算法提供了一個額外的OOB(帶外)因素，這無疑比兩個因素的認證提供了更好的安全性。

    (2)兩個單獨的通信渠道，使得破譯者同時攻擊兩個變得非常困難。

    2．1算法的基本策略

    該算法的基本策略如下：

    (1)用戶在終端插入智能卡，輸入用戶ID和密碼(PW)。本地系通過智能卡、IP和PW統一驗證用戶的權限。

    (2)一旦本地驗證通過，用戶將登陸請求轉發給云服務器。

    (3)通過接收到的登陸請求，云服務器將發送針對指定用戶的驗證信息。

    (4)云服務器通過HTTP網關發送一次性密鑰到移動的網絡。

    (5)用戶驗證服務器并且發送基于智能卡、ID和一次性密鑰的信息

    (6)服務器通過步驟(5)中的數據驗證用戶的權限。

    2．2算法的三個階段和一個活動

    該算法一共包含三個階段和一個活動，三個階段分別為注冊階段，登陸階段，認證階段。一個活動被稱為更改密碼。

    2．2．1注冊階段

    在注冊階段，用戶需要通過提供相關的身份信息在服務器端注冊。服務器端處理用戶的數據并提供給用戶一個智能卡。過程如下：

    2．2．2登陸階段

    該階段在用戶登陸云端的時候被激活，用戶在接人云之前就被驗證了，過程描述如下：

    (1)A插入智能卡，并輸入ID和PW。

    (3)計算C=h(IllJ)，A—s：M1．A通過公共通道發送登陸請求信息M1到服務器，其中M1=<B，c>，請求信息。

    (4)與此同時，服務器生成K，計算B“=g(C+h(y))mod p,h(B”)，L=h(B”llK),h∞．服務器生成信息M2=<h(B“，h(L))>。

    (5)S—A：M2，S將M2通過公用通道傳送到A，同時S-A：K，s發送到A一次性密鑰。使用安全OOB通道將K發送到用戶的手機上。

    (6)接收到信息M：，A計算B7=Bg(-h(x))mod p,h(B’)，L*=h(B'llK)，h(L*)。

    (7)驗證兩個條件，h(B')=h(B'')，h(L*)=h(L)。如果兩個條件都為真，則進行下一步，否則終止登陸會話。

    (8)計算R=h(TIIB')，生成信息M3=<I，h(R)，T>，A—S：M3。A將M3通過公用通道發送到服務器端，其中T是用戶的時間戳。

    2．2．3認證階段

    認證階段在服務器端進行，服務器決定了用戶是否能登陸，過程描述如下：

    (1)驗證如果T‘-T≤T，如果為假，則拒絕會話。否則進行下一步。其中，T是最大的認證會話的合法時間差。T‘為服務器端的時間戳。

    (2)計算I’=h(IDIly)，R*=h(TIIB''）。

    (3)驗證h(R*)=h(R)，I’=I。如果兩個條件均為真，則進行下一步，否則終止登陸會話。

    2．2．4更改密碼

    更改密碼是一個友好的設置，在虛擬身份認證中也非常重要，它允許用戶在任何時候都可以修改，過程如下：

    (1)用戶在本地選擇更改密碼。

    (6)在智能卡中將J’替代J，x’替代x。

3 總結

    本文為云計算提出了一種強虛擬身份認證算法，例如身份管理，互相認證，會話密鑰，和用戶友好性等。本文提出的算法能夠抵抗重放攻擊，中間人攻擊和拒絕服務攻擊等。目前還處于初步研究階段，提供正式的安全證明協議框架是未來的研究目標。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：云計算中的虛擬身份認證技術研究

本文網址：http://m.hanmeixuan.com/html/support/1112189421.html