[发明专利]一种基于PaaS的安全云计算方法和系统

摘要

本发明提供了一种基于PaaS的安全云计算方法和系统，该方法包括初始化客户端和PaaS平台服务器端的密钥，并将客户端身份信息注册到服务器中；服务器生成随机数并对用户口令进行加密得到加密口令；利用所述加密口令验证用户当前口令以对用户进行身份鉴别。本发明利用OTP进行身份认证，具有较高的运算速率，抵抗小数攻击和重放攻击，有效保证了安全性。

主权项

一种基于PaaS的安全云计算方法，用于在PaaS平台服务器中验证用户身份，其特征在于，包括：初始化客户端和PaaS平台服务器端的密钥，并将客户端身份信息注册到服务器中；服务器生成随机数，并利用该随机数对用户口令进行加密得到加密口令；在用户登录PaaS平台服务器之前，利用所述加密口令验证用户当前口令以对用户进行身份鉴别；所述初始化步骤进一步包括：生成客户端的公钥和私钥，分别为kUR和kUS；生成PaaS平台服务器的公钥和私钥，分别为kSR和kSS；其中，kUS和kSS是由素数测试法选出的两个模4同余3的素数；并且所述注册步骤进一步包括：交换客户端用户的公钥kUR和服务器的公钥kSR，并各自保存自己的私钥；客户端计算kSR×kUS,PaaS平台服务器端计算kUR×kSS,并且满足其中kSR×kUS＝kUR×kSS＝K，作为用户与服务器共同拥有的会话密钥；所述加密步骤进一步包括：服务器为用户创建一个用户信息条目，生成一个随机数R并发送给客户端；用户注册时，提供登录口令，并利用共同密钥K来加密所述口令得到加密口令K(pw)，使用所述随机数R与所述加密口令K(pw)进行一次散列运算得到a＝H(K(pw)||R),将散列结果a传递给服务器端，将其与用户ID、随机数R一同存入服务器数据库中；所述身份鉴别步骤进一步包括：1)用户登录到PaaS平台服务器，传送自己的身份标识ID，提供口令pw'，PaaS平台服务器接收到的用户传送来的ID，验证ID的有效性，如果ID无效，则拒绝用户登录，如果ID有效，进入步骤2)；2)根据用户ID查找相应的随机数R和当前鉴别口令a＝H(K(pw)||R),然后取出随机数R，利用共同的密钥K加密计算得出b＝K(a||R),并将b作为挑战传送给客户端；3)客户端对b进行解密即DK(b),得出a和R，并用公共的密钥K对口令pw'加密,得到K(pw')，然后连同随机数R做一次散列计算c＝H(K(pw')||R)，将结果与a进行比较，如果两者相等，进入步骤4)，若不相等，则判定用户非法，终止与服务器的会话；4)在验证通过后，客户端产生一个随机数R',然后和密码口令K(pw')再做一次散列计算得d＝H(K(pw')||R')，作为新的鉴别口令，将d和R做一次散列计算得到常量e＝H(d||R)，然后将散列结果连同生成的随机数R'及当前鉴别口令d利用公共的密钥K进行加密得f＝K(e||d||R'),将f传给PaaS平台服务器端；5)PaaS平台服务器端将f解密DK(f),得出d＝H(K(pw')||R')、e和R'，然后将存储在PaaS平台服务器端上的鉴别口令连同解密得到的随机数R'做一次散列计算得到H(a||R')，其中，a为H(K(pw)||R),将散列结果与客户端传来的常量e进行比较，若相等，则验证通过，用户身份得到验证，若验证失败，则结束本次与用户的会话；6)将本次鉴别口令d替换原来的鉴别口令a，将备份的随机数R替换为当前的随机数R'。