[发明专利]一种基于PaaS的安全云计算方法和系统

说明书

技术领域

本发明涉及云计算，特别涉及一种云计算平台中的身份认证方法和系统。

背景技术

云计算具有超大规模、虚拟化、可靠安全等特点。对于网络运营商而言，可以使得运营成本和操作维护成本大大下降。在云计算环境下，一切资源都是可以运营的，都可以作为服务提供，包括应用程序、软件、平台、处理能力、存储、网络、计算资源以及其他基础设施等。PaaS(平台即服务)应用场景中，需要由客户端将应用程序上传到PaaS平台的应用程序节点中运行。应用程序节点即为真实的PaaS平台服务器主机或者IaaS层提供的虚拟主机。PaaS平台的应用程序节点通常是多租户形式的，会接收到来自于各种各样的客户端上传的应用程序，这些上传的应用程序不仅有可能对PaaS平台上运行这些应用程序的应用程序节点造成安全问题，企业只要通过互联网就可以使用这些服务，而令用户担心的是业务应用的安全性问题，在金融支付类的业务平台中尤其重要。因此，在设计PaaS应用系统时，身份鉴别作为门户在信息安全方面占有主导地位。已有的PaaS应用系统的身份认证采用基于CA体系的身份认证，但它必须以完整的CA体系为基础，成本较高，技术相当复杂，且对于认证机构的安全性及可靠性要求很高，不利于在云计算平台中推广使用。

因此，针对相关技术中所存在的上述问题，目前尚未提出有效的解决方案。

发明内容

为解决上述现有技术所存在的问题，本发明提出了一种基于PaaS的安全云计算方法，用于在PaaS平台服务器中验证用户身份，包括：

初始化客户端和PaaS平台服务器端的密钥，并将客户端身份信息注册到服务器中；

服务器生成随机数，并利用该随机数对用户口令进行加密得到加密口令；

在用户登录PaaS平台服务器之前，利用所述加密口令验证用户当前口令以对用户进行身份鉴别。

优选地，所述初始化步骤进一步包括：

生成客户端的公钥和私钥，分别为kUR和kUS；

生成PaaS平台服务器的公钥和私钥，分别为kSR和kSS；

其中，kUS和kSS是由素数测试法选出的两个模4同余3的素数；

并且所述注册步骤进一步包括：

交换客户端用户的公钥kUR和服务器的公钥kSR，并各自保存自己的私钥；

客户端计算kSR×kUS,PaaS平台服务器端计算kUR×kSS,并且满足其中kSR×kUS＝kUR×kSS＝K，作为用户与服务器共同拥有的会话密钥。

优选地，所述加密步骤进一步包括：

服务器为用户创建一个用户信息条目，生成一个随机数R并发送给客户端；

用户注册时，提供登录口令，并利用共同密钥K来加密所述口令得到加密口令K(pw)，

使用所述随机数R与所述加密口令K(pw)进行一次散列运算得到a＝H(K(pw)||R),

将散列结果a传递给服务器端，将其与用户ID、随机数R一同存入服务器数据库中。

优选地，所述身份鉴别步骤进一步包括：

1)用户登录到PaaS平台服务器，传送自己的身份标识ID，提供口令pw'，PaaS平台服务器接收到的用户传送来的ID，验证ID的有效性，如果ID无效，则拒绝用户登录，如果ID有效，进入步骤2)；

2)根据用户ID查找相应的随机数R和当前鉴别口令a＝H(K(pw)||R),然后取出随机数R，利用共同的密钥K加密计算得出b＝K(a||R),并将b作为挑战传送给客户端；

3)客户端对b进行解密即DK(b),得出a和R，并用公共的密钥K对口令pw'加密,得到K(pw')，然后连同随机数R做一次散列计算c＝H(K(pw')||R)，将结果与a进行比较，如果两者相等，进入步骤4)，若不相等，则判定用户非法，终止与服务器的会话；

4)在验证通过后，客户端产生一个随机数R',然后和密码口令K(pw')再做一次散列计算得d＝H(K(pw')||R')，作为新的鉴别口令，将d和R做一次散列计算得到常量e＝H(d||R)，然后将散列结果连同生成的随机数R'及当前鉴别口令d利用公共的密钥K进行加密得f＝K(e||d||R'),将f传给PaaS平台服务器端；