引言

    云計算隨著IT技術(shù)的發(fā)展，通過大量不同的服務(wù)，例如虛擬化，軟件作為服務(wù)(SaaS)，基礎(chǔ)設(shè)施作為服務(wù)(IaaS)和平臺即服務(wù)(PaaS)，云計算已經(jīng)演變。云計算將應(yīng)用程序通過網(wǎng)絡(luò)傳遞作為服務(wù)，硬件和系統(tǒng)軟件保存在數(shù)據(jù)中心而不是客戶端上。云計算最基本的目的是為用戶提供極大的便利，無論何時何地使用網(wǎng)絡(luò)，用戶都可以處理、存儲、訪問云計算中的數(shù)據(jù)。另外，用戶不必關(guān)心處理的細(xì)節(jié)。總體來說，云計算可以分為3類，公共云、私有云、和混合云。

    云計算技術(shù)提供了很多優(yōu)點：側(cè)如，虛擬環(huán)境信息共享，動態(tài)可擴(kuò)展性、存儲實用工具、平臺和基礎(chǔ)設(shè)施的利用率、管理分布式計算能力甚至更多。但是，伴隨著云計算的也有很多問題存在，例如：性能，靈活性，互操作性，數(shù)據(jù)遷移以及平臺遷移。最重要的一點是安全，虛擬化安全，分布式計算安全，應(yīng)用安全，認(rèn)證管理安全，訪問控制安全以及虛擬身份認(rèn)證安全。更進(jìn)一步，身份和訪問控制管理是云計算的核心需求，因此虛擬身份認(rèn)證成為云計算服務(wù)環(huán)境最重要的需求。

1 虛擬身份認(rèn)證技術(shù)

    虛擬身份是由身份服務(wù)提供者為用戶分配的網(wǎng)絡(luò)身份。它代表用戶，是用戶的一個化名或者匿名�，F(xiàn)有的虛擬身份認(rèn)證技術(shù)都是基于C／S架構(gòu)的。最流行的身份認(rèn)證技術(shù)由Lamport在1981年提出。在這項技術(shù)中，服務(wù)器存儲了用戶密碼的哈希值，密碼表被用來驗證用戶的合法性，一旦密碼表被盜，系統(tǒng)就可能會遭到破壞。近年來基于智能卡的密碼認(rèn)證也逐漸得到廣泛地應(yīng)用，但其中一部分也遭到破解。

表1本文中用到的符號描述

    Shoup—Rubin提出的Bellare—Rogaway模型的拓展，基于第三方密鑰分配協(xié)議，利用智能卡存儲長期密鑰。在該模型中，智能卡用來防止破譯者，它假定智能卡是不可破解的。但該算法在兩個因素都被破壞時就能被破解。

    云計算是C／S架構(gòu)的變種，成千上萬的客戶在大規(guī)模的使用相同架構(gòu)。因此，它比傳統(tǒng)的客戶服務(wù)器網(wǎng)絡(luò)系統(tǒng)需要更強的認(rèn)證�，F(xiàn)有的虛擬用戶身份認(rèn)證技術(shù)存在安全隱患。本文將提出一種加強的虛擬身份認(rèn)證框架。

2 強虛擬身份認(rèn)證算法

    本文中提到的符號如表1所示。

    在本節(jié)中描述了一個安全云算法，強虛擬身份認(rèn)證算法也被提出。安全云框架有兩個優(yōu)點：

    (1)該算法提供了一個額外的OOB(帶外)因素，這無疑比兩個因素的認(rèn)證提供了更好的安全性。

    (2)兩個單獨的通信渠道，使得破譯者同時攻擊兩個變得非常困難。

    2．1算法的基本策略

    該算法的基本策略如下：

    (1)用戶在終端插入智能卡，輸入用戶ID和密碼(PW)。本地系通過智能卡、IP和PW統(tǒng)一驗證用戶的權(quán)限。

    (2)一旦本地驗證通過，用戶將登陸請求轉(zhuǎn)發(fā)給云服務(wù)器。

    (3)通過接收到的登陸請求，云服務(wù)器將發(fā)送針對指定用戶的驗證信息。

    (4)云服務(wù)器通過HTTP網(wǎng)關(guān)發(fā)送一次性密鑰到移動的網(wǎng)絡(luò)。

    (5)用戶驗證服務(wù)器并且發(fā)送基于智能卡、ID和一次性密鑰的信息

    (6)服務(wù)器通過步驟(5)中的數(shù)據(jù)驗證用戶的權(quán)限。

    2．2算法的三個階段和一個活動

    該算法一共包含三個階段和一個活動，三個階段分別為注冊階段，登陸階段，認(rèn)證階段。一個活動被稱為更改密碼。

    2．2．1注冊階段

    在注冊階段，用戶需要通過提供相關(guān)的身份信息在服務(wù)器端注冊。服務(wù)器端處理用戶的數(shù)據(jù)并提供給用戶一個智能卡。過程如下：

    2．2．2登陸階段

    該階段在用戶登陸云端的時候被激活，用戶在接人云之前就被驗證了，過程描述如下：

    (1)A插入智能卡，并輸入ID和PW。

    (3)計算C=h(IllJ)，A—s：M1．A通過公共通道發(fā)送登陸請求信息M1到服務(wù)器，其中M1=<B，c>，請求信息。

    (4)與此同時，服務(wù)器生成K，計算B“=g(C+h(y))mod p,h(B”)，L=h(B”llK),h∞．服務(wù)器生成信息M2=<h(B“，h(L))>。

    (5)S—A：M2，S將M2通過公用通道傳送到A，同時S-A：K，s發(fā)送到A一次性密鑰。使用安全OOB通道將K發(fā)送到用戶的手機上。

    (6)接收到信息M：，A計算B7=Bg(-h(x))mod p,h(B’)，L*=h(B'llK)，h(L*)。

    (7)驗證兩個條件，h(B')=h(B'')，h(L*)=h(L)。如果兩個條件都為真，則進(jìn)行下一步，否則終止登陸會話。

    (8)計算R=h(TIIB')，生成信息M3=<I，h(R)，T>，A—S：M3。A將M3通過公用通道發(fā)送到服務(wù)器端，其中T是用戶的時間戳。

    2．2．3認(rèn)證階段

    認(rèn)證階段在服務(wù)器端進(jìn)行，服務(wù)器決定了用戶是否能登陸，過程描述如下：

    (1)驗證如果T‘-T≤T，如果為假，則拒絕會話。否則進(jìn)行下一步。其中，T是最大的認(rèn)證會話的合法時間差。T‘為服務(wù)器端的時間戳。

    (2)計算I’=h(IDIly)，R*=h(TIIB''）。

    (3)驗證h(R*)=h(R)，I’=I。如果兩個條件均為真，則進(jìn)行下一步，否則終止登陸會話。

    2．2．4更改密碼

    更改密碼是一個友好的設(shè)置，在虛擬身份認(rèn)證中也非常重要，它允許用戶在任何時候都可以修改，過程如下：

    (1)用戶在本地選擇更改密碼。

    (6)在智能卡中將J’替代J，x’替代x。

3 總結(jié)

    本文為云計算提出了一種強虛擬身份認(rèn)證算法，例如身份管理，互相認(rèn)證，會話密鑰，和用戶友好性等。本文提出的算法能夠抵抗重放攻擊，中間人攻擊和拒絕服務(wù)攻擊等。目前還處于初步研究階段，提供正式的安全證明協(xié)議框架是未來的研究目標(biāo)。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：云計算中的虛擬身份認(rèn)證技術(shù)研究

本文網(wǎng)址：http://www.oesoe.com/html/support/1112189421.html