[发明专利]云计算中跨域安全认证方法

说明书

本发明公开了一种云计算中跨域安全认证方法，其包括：源域客户端向源域认证服务器提交身份标识和目标域访问请求，源域认证服务器对源域客户端的身份标识进行验证；若验证通过，则源域认证服务器将源域客户端的身份标识和目标域访问请求转发至目标域认证服务器，目标域认证服务器将自身身份标识发送至源域认证服务器，源域认证服务器再将自身的身份标识和目标域认证服务器的身份标识发送至第三方认证服务器，第三方认证服务器对源域认证服务器的身份标识和目标域认证服务器的身份标识进行验证；若验证通过，则目标域认证服务器应答源域客户端的目标域访问请求。本发明中每一服务器管理维护的数据量减少，计算量减少，计算效率和安全性均得到提高。

技术领域

本发明涉及安全认证领域。更具体地说，本发明涉及一种云计算中跨域安全认证方法。

背景技术

随着网络技术和云计算技术的发展可能存在多个不同的安全域，每个安全域内设置有认证服务器对域内资源进行管理，实现资源的按需分配同时为访问资源的用户提供可信认证服务。云计算里的计算中心、数据中心、虚拟化等都依赖于各类计算机系统，云计算的工作模式使得安全、可靠、可信的问题更加突出，因此云计算更需要计算机的安全可信，云计算已经成为未来互联网发展的趋势。

对于目前出现的层出不穷的攻击者对跨域认证过程中的不断攻击问题、增加服务器的计算负担问题并且高效性问题，已经成为安全领域研究的热点。已有一些现有技术提出了改进方法，如通过在不同信任域中的认证服务器之间建立基于PKI认证体系的信任关系，不同信任域中的两个认证服务器之间利用这种互相信任的关系传送认证结果实现跨域认证，从而解决了跨同构域认证中交叉证书路径处理复杂的问题，及跨异构域中认证服务器认证不同形式的身份凭证时需要对身份凭证的形式进行转换的问题，减少了服务器工作量。然而上述改进技术为仅存两异构域时的跨域认证情形，若出现多个异构域时，每一异构域需要管理其他异构域的认证信息，那么每一异构域要维护的数据将十分复杂，给跨域身份认证的管理带来极大的不便。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

为了实现根据本发明的这些目的和其它优点，提供了一种云计算中跨域安全认证方法，其包括：

源域客户端向源域认证服务器提交身份标识和目标域访问请求，源域认证服务器对源域客户端的身份标识进行验证；

若源域客户端身份标识验证通过，则源域认证服务器将源域客户端的身份标识和目标域访问请求转发至目标域认证服务器，目标域认证服务器将自身身份标识发送至源域认证服务器，源域认证服务器再将源域认证服务器的身份标识和目标域认证服务器的身份标识发送至第三方认证服务器，第三方认证服务器对源域认证服务器的身份标识和目标域认证服务器的身份标识进行验证；及

若源域认证服务器的身份标识和目标域认证服务器的身份标识均验证通过，则目标域认证服务器应答源域客户端的目标域访问请求；

若源域认证服务器的身份标识或目标域认证服务器的身份标识验证未通过，则目标域认证服务器拒绝源域客户端的目标域访问请求；

若源域客户端身份标识验证未通过，则源域认证服务器拒绝源域客户端的目标域访问请求。

优选的是，所述源域认证服务器中储存有源域已注册客户端的身份标识和物理不可克隆函数激励响应对，源域认证服务器对源域客户端的身份标识进行验证的方法包括：

源域认证服务器查找源域已注册客户端的身份标识中是否有与源域客户端身份标识相同的身份标识；