[发明专利]基于Kerberos系统的跨云际认证方法

说明书

本发明公开了一种基于Kerberos系统的跨云际认证方法，应用于客户端对公有云的访问：步骤一：客户端以身份认证的方式直接和私有云进行认证，认证通过后进入步骤二，认证不通过，结束。步骤二：私有云对客户端发放访问公有云的票据以及与第二会话密钥，所述票据由公有云和私有云的共享密钥加密。步骤三：客户端将票据发送给公有云。步骤四：公有云用所述共享密钥解密票据得到第二会话密钥，并用第二会话密钥加密认证结束信息发送给客户端。所述认证方法不仅减轻了客户端直接和公有云进行认证带来比较大的负担，而且很大程度方便了企业对用户访问外部云中数据的集中控制和实时改变存取策略。

技术领域

本发明涉及通信技术领域，具体而言，涉及基于Kerberos系统的跨云际认证方法。

背景技术

云计算安全问题是一个多层次并涉及到多研究领域的复杂问题。混合云环境下权限安全管理、跨云的资源数据访问等方面存在着严重的安全挑战，由此带来的身份认证、授权管理、传输控制等等问题更加严峻。

云安全环境下大致分为两种认证，单向认证:包括密码口令、PIN等。它是依靠用户所知道的某些信息作为认证的一种方式，该方式简单易用，但是容易遭受口令猜测攻击和截获攻击；用户所拥有的，包括识别令牌，ID卡等硬件设施，容易损坏、丢失和被盗、携带不便，且有硬件花费；用户所特有的，包括用户指纹、虹膜等生物识别方式；但是该方式中的唯一认证标识不能改变，限制了认证的灵活性。双向认证:比较熟知的认证技术有PKI体系结构，PKI的基本要素依赖于数字证书，如SAP；虽然PKI能够使得依赖端方便地验证其他人的证书，但是在混合云环境下，当面临超大规模的证书持有者和证书依赖方时，建设满足大量用户访问的资料库系统，为巨大的用户群提供证书撤销服务，为所有的证书提供归档服务，系统过于庞大，将使得设计和实现的复杂程度迅速攀升，并且由于证书有固定的生命周期，当证书的生命周期比证书发布给资源的时间长时，如果证书不能及时被撤销，很容易受到攻击。因此企业对用户访问外云中的数据时，急需一种既方便又安全的认证方式。

发明内容

本发明的目的在于为企业用户提供一种既方便又安全的外部云认证访问方法。

为达到上述目的，本发明提供如下技术方案：

提供一种基于Kerberos系统的跨云际认证方法，应用于客户端对公有云的访问：步骤一：客户端以身份认证的方式直接和私有云进行认证，认证通过后进入步骤二，认证不通过，结束；步骤二：私有云对客户端发放访问公有云的票据以及第二会话密钥，票据由公有云和私有云的共享密钥加密；步骤三：客户端将票据发送给公有云；步骤四：公有云用共享密钥解密票据得到第二会话密钥，并用第二会话密钥加密认证结束信息发送给客户端。

其中，步骤一中所述的客户端以身份认证的方式直接和私有云进行认证包括，客户端向私有云发送要访问的公有云ID以及自己的客户端ID，私有云判断公有云ID以及客户端ID是否合法，认证通过，私有云和客户端生成二者之间的第一会话密钥，并进入下一步骤，认证不通过，结束。

其中，客户端以身份认证的方式直接和私有云进行认证具有有效期，私有云未在有效期内查看，直接结束。

其中，步骤二中私有云对客户端发放访问公有云的票据以及第二会话密钥，其中私有云将用第一会话密钥加密票据以及第二会话密钥，并回复给客户端。客户端收到私有云发送的消息后，客户端用第一会话密钥解密消息，获得票据和与第二会话密钥。

其中，步骤三中客户端将票据发送给公有云包括，客户端生成第二信息，第二信息包括客户端ID以及公有云ID，然后用第二会话密钥加密第二信息，并将票据和加密后的客户端第二信息的发送给公有云。