一种基于云计算技术的企业用户身份认证系统[发明专利]

(12)发明专利申请

(10)申请公布号 CN 111935067 A(43)申请公布日 2020.11.13

(21)申请号 202010522581.0(22)申请日 2020.06.10

(71)申请人 陈瑞安

地址 362000 福建省泉州市德化县雷锋镇

潘祠村85号(72)发明人 陈瑞安　(51)Int.Cl.

H04L 29/06(2006.01)H04L 9/32(2006.01)H04L 29/08(2006.01)

权利要求书1页 说明书4页

CN 111935067 A(54)发明名称

一种基于云计算技术的企业用户身份认证系统

(57)摘要

本发明涉及云计算企业用户认证技术领域，且公开了一种基于云计算技术的企业用户身份认证系统，包括：运行有用户身份认证系统软件且部署在云计算架构内的云认证服务器CASV，部署在云计算架构内且用于对外提供服务的云计算服务器CCSPj，运行有用户身份认证系统软件且部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi；运行在云认证服务器CASV上的用户身份认证系统对对部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi的身份进行安全认证，只有本地服务器LSi或计算机终端PCTi的身份通过了用户身份认证系统的安全认证，才允许本地服务器LSi或计算机终端PCTi访问云计算服务器CCSPj。本发明解决了在云计算环境中如何保证企业用户身份认证安全的问题。

CN 111935067 A

权　利　要　求　书

1/1页

1.一种基于云计算技术的企业用户身份认证系统，其特征在于，包括：运行有用户身份认证系统软件且部署在云计算架构内的云认证服务器CASV，部署在云计算架构内且用于对外提供服务的云计算服务器CCSPj，运行有用户身份认证系统软件且部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi；

本地服务器LSi或计算机终端PCTi与云计算服务器CCSPj进行通信连接，云计算服务器CCSPj与云认证服务器CASV进行通信连接，云认证服务器CASV在用户身份认证系统与本地服务器LSi或计算机终端PCTi；

运行在云认证服务器CASV上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi的身份进行安全认证，该认证方法包括以下步骤：

步骤一：本地服务器LSi或计算机终端PCTi在云认证服务器CASV的用户身份认证系统上进行用户注册，具体包括：

①用户身份认证系统生成参数：p是一个大素数、q是p-1的一个素因子、且g,h是

中的

两个q阶生成元、向本地服务器LSi或计算机终端PCTi公开参数(p,q,g,h)；

②本地服务器LSi或计算机终端PCTi随机选择w,r∈Zq、选择2n(n≥1)个随机数w1,w2,…,wn，r1,r2,…,rn，使得h＝gwhrmodp，

其中i＝1,2,…,n；

步骤二：用户身份认证系统对本地服务器LSi或计算机终端PCTi进行安全认证，具体的认证过程为：

①本地服务器LSi或计算机终端PCTi选择两个随机数αi∈Zq和βi∈Zq，计算

发送xi给用户身份认证系统，其中i＝1,2,…,n；

②用户身份认证系统选择一个随机数c返回给给本地服务器LSi或计算机终端PCTi；③本地服务器LSi或计算机终端PCTi在接收到用户身份认证系统返回的数值c之后，开始计算si＝αβ发送si给用户身份认证系统，其中i＝1,i-cwi(modq)和ti＝i-cri(modq)，2,…,n；

④用户身份认证系统验证等式

是否成立；

如果等式成立，则用户身份认证系统通过本地服务器LSi或计算机终端PCTi的身份认证。

2.根据权利要求1所述的基于云计算技术的企业用户身份认证系统，其特征在于，所述云认证服务器CASV的用户身份认证系统对部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi的身份进行安全认证，只有本地服务器LSi或计算机终端PCTi的身份通过了用户身份认证系统的安全认证，才允许本地服务器LSi或计算机终端PCTi访问云计算服务器CCSPj。

3.根据权利要求2所述的基于云计算技术的企业用户身份认证系统，其特征在于，所述数组(wi,ri)为本地服务器LSi或计算机终端PCTi的私有密钥PSKi。

4.根据权利要求3所述的基于云计算技术的企业用户身份认证系统，其特征在于，所述数值c的取值范围为{1,2}。

2

CN 111935067 A

说　明　书

一种基于云计算技术的企业用户身份认证系统

1/4页

技术领域

[0001]本发明涉及云计算企业用户认证技术领域，具体为一种基于云计算技术的企业用户身份认证系统。

背景技术[0002]用户数据在云计算环境中进行传输和存储时，用户本身对于自身数据在云中的安全风险并没有实际的控制能力，数据安全完全依赖于服务商。云计算服务商在对外提供服务的过程中，如果身份认证管理机制存在缺陷，或者身份认证管理系统存在安全漏洞，则可能导致企业用户的账户密码被仿冒，从而使得非法用户堂而皇之地对企业数据进行窃取。因此如何保证不同企业用户的身份认证安全，是保证用户数据安全的第一道屏障。发明内容[0003](一)解决的技术问题[0004]针对现有技术的不足，本发明提供一种基于云计算技术的企业用户身份认证系统，以解决在云计算环境中如何保证企业用户身份认证安全的问题。[0005](二)技术方案

[0006]为实现上述目的，本发明提供如下技术方案：[0007]一种基于云计算技术的企业用户身份认证系统，包括：运行有用户身份认证系统软件且部署在云计算架构内的云认证服务器CASV，部署在云计算架构内且用于对外提供服务的云计算服务器CCSPj，运行有用户身份认证系统软件且部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi；

[0008]本地服务器LSi或计算机终端PCTi与云计算服务器CCSPj进行通信连接，云计算服务器CCSPj与云认证服务器CASV进行通信连接，云认证服务器CASV在用户身份认证系统与本地服务器LSi或计算机终端PCTi；

[0009]运行在云认证服务器CASV上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi的身份进行安全认证，该认证方法包括以下步骤：[0010]步骤一：本地服务器LSi或计算机终端PCTi在云认证服务器CASV的用户身份认证系统上进行用户注册，具体包括：

[0011]

①用户身份认证系统生成参数：p是一个大素数、q是p-1的一个素因子、且g,h是

中的两个q阶生成元、向本地服务器LSi或计算机终端PCTi公开参数(p,q,g,h)；[0012]②本地服务器LSi或计算机终端PCTi随机选择w,r∈Zq、选择2n(n≥1)个随机数w1,w2,…,wn，r1,r2,…,rn，使得h＝gwhrmod p，

[0013]

其中i＝1,2,…,n；

步骤二：用户身份认证系统对本地服务器LSi或计算机终端PCTi进行安全认证，具体的认证过程为：

[0014]①本地服务器LSi或计算机终端PCTi选择两个随机数αi∈Zq和β计算i∈Zq，

3

CN 111935067 A

说　明　书

发送xi给用户身份认证系统，其中i＝1,2,…,n；

2/4页

[0015]

②用户身份认证系统选择一个随机数c返回给给本地服务器LSi或计算机终端

PCTi；

[0016]

③本地服务器LSi或计算机终端PCTi在接收到用户身份认证系统返回的数值c之

后，开始计算si＝α q)和ti＝β q)，发送si给用户身份认证系统，其中ii-cwi(modi-cri(mod＝1,2,…,n；

④用户身份认证系统验证等式

是否成立；

[0017][0018]

如果等式成立，则用户身份认证系统通过本地服务器LSi或计算机终端PCTi的身份

认证。

优选的，所述云认证服务器CASV的用户身份认证系统对部署在企业用户信息系统

内的本地服务器LSi或计算机终端PCTi的身份进行安全认证，只有本地服务器LSi或计算机终端PCTi的身份通过了用户身份认证系统的安全认证，才允许本地服务器LSi或计算机终端PCTi访问云计算服务器CCSPj。[0020]优选的，所述数组(wi,ri)为本地服务器LSi或计算机终端PCTi的私有密钥PSKi。[0021]优选的，所述数值c的取值范围为{1,2}。[0022](三)有益的技术效果[0023]与现有技术相比，本发明具备以下有益的技术效果：

[0024]1.本发明为了在云计算环境中保证企业用户身份认证安全，当本地服务器LSi或计算机终端PCTi向云计算服务器CCSPj发送给访问请求时，运行在云认证服务器CASV上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi的身份进行安全认证，并且只有本地服务器LSi或计算机终端PCTi的身份通过了用户身份认证系统的安全认证，才允许本地服务器LSi或计算机终端PCTi访问云计算服务器CCSPj；[0025]上述认证协议是基于“挑战-应答”方式进行的，作为验证者的用户身份认证系统可以通过产生的随机数c决定si，每次交互时si是随机的，当监听者想要冒充证明者本地服务器LSi或计算机终端PCTi时它无法确定收到的“挑战”是什么，很难取得验证者用户身份认证系统的信任；

[0026]在认证协议的过程中，本地服务器LSi或计算机终端PCTi没有泄露自己的数值(wi,ri)这一私有密钥PSKi知识，本地服务器LSi或计算机终端PCTi通过将自己的私有密钥PSKi隐藏在所发送的随机数xi之中而防止知识的泄露，即使攻击者截获到传输内容也不能从中获取任何私有密钥PSKi信息；

[0027]从而解决了在云计算环境中如何保证企业用户身份认证安全的问题。

具体实施方式

[0028]下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

[0029]一种基于云计算技术的企业用户身份认证系统,包括：运行有用户身份认证系统

4

[0019]

CN 111935067 A

说　明　书

3/4页

软件且部署在云计算架构内的云认证服务器CASV，部署在云计算架构内且用于对外提供服务的云计算服务器CCSPj，运行有用户身份认证系统软件且部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi；

[0030]本地服务器LSi或计算机终端PCTi通过网络通信设备与云计算服务器CCSPj进行通信连接，云计算服务器CCSPj通过网络通信设备与云认证服务器CASV进行通信连接，云认证服务器CASV通过网络通信设备在用户身份认证系统与本地服务器LSi或计算机终端PCTi；[0031]为了在云计算环境中保证企业用户身份认证安全，当本地服务器LSi或计算机终端PCTi向云计算服务器CCSPj发送给访问请求时，运行在云认证服务器CASV上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi的身份进行安全认证，只有本地服务器LSi或计算机终端PCTi的身份通过了运行在云认证服务器CASV上的用户身份认证系统的安全认证，才允许本地服务器LSi或计算机终端PCTi访问云计算服务器CCSPj；

[0032]运行在云认证服务器CASV上的用户身份认证系统对部署在企业用户信息系统内的本地服务器LSi或计算机终端PCTi的身份进行安全认证，该认证方法包括以下步骤：[0033]步骤一：本地服务器LSi或计算机终端PCTi在云认证服务器CASV的用户身份认证系统上进行用户注册，具体包括：

[0034]①用户身份认证系统生成参数：让p是一个大素数，q是p-1的一个素因子，且g,h是中的两个q阶生成元；

[0035][0036]

用户身份认证系统向本地服务器LSi或计算机终端PCTi公开参数p,q,g,h；

②本地服务器LSi或计算机终端PCTi随机选择w,r∈Zq、选择2n(n≥1)个随机数w1,

其中i＝1,2,…,n；

w2,…,wn，r1,r2,…,rn，使得h＝gwhrmod p，

[0037]

其中，(wi,ri)为本地服务器LSi或计算机终端PCTi的私有密钥PSKi；

[0038]步骤二：运行在云认证服务器CASV上的用户身份认证系统对本地服务器LSi或计算机终端PCTi进行安全认证，具体的认证过程为：

[0039]①本地服务器LSi或计算机终端PCTi选择两个随机数αi∈Zq和β计算i∈Zq，

发送xi给用户身份认证系统，其中i＝1,2,…,n；

②用户身份认证系统选择一个随机数c∈{1,2}，发送数值c给本地服务器LSi或计算机终端PCTi；

[0041]③本地服务器LSi或计算机终端PCTi在接收到用户身份认证系统返回的数值c之后，开始计算si＝αβ发送si给用户身份认证系统，其中i＝i-cwi(modq)和ti＝i-cri(modq)，1,2,…,n；

[0042][0043]

[0040]

④用户身份认证系统验证等式是否成立；

如果等式成立，证明本地服务器LSi或计算机终端PCTi知悉数值(wi,ri)这一私有

密钥PSKi，则用户身份认证系统通过本地服务器LSi或计算机终端PCTi的身份认证；[0044]上述认证协议是基于“挑战-应答”方式进行的，作为验证者的用户身份认证系统可以通过产生的随机数c决定si，每次交互时si是随机的，当监听者想要冒充证明者本地服务器LSi或计算机终端PCTi时它无法确定收到的“挑战”是什么，很难取得验证者用户身份认

5

CN 111935067 A

说　明　书

4/4页

证系统的信任；

[0045]在认证协议的过程中，本地服务器LSi或计算机终端PCTi没有泄露自己的数值(wi,ri)这一私有密钥PSKi知识，本地服务器LSi或计算机终端PCTi通过将自己的私有密钥PSKi隐藏在所发送的随机数xi之中而防止知识的泄露，即使攻击者截获到传输内容也不能从中获取任何私有密钥PSKi信息。

[0046]尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

6