CN107241345A - 基于UKey的云计算资源管理方法 - Google Patents

基于UKey的云计算资源管理方法 Download PDF

Info

Publication number
CN107241345A
CN107241345A CN201710527921.7A CN201710527921A CN107241345A CN 107241345 A CN107241345 A CN 107241345A CN 201710527921 A CN201710527921 A CN 201710527921A CN 107241345 A CN107241345 A CN 107241345A
Authority
CN
China
Prior art keywords
user
sour
cloud computing
certificate
ukey
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710527921.7A
Other languages
English (en)
Other versions
CN107241345B (zh
Inventor
李金库
王淑妮
罗林波
马建峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201710527921.7A priority Critical patent/CN107241345B/zh
Publication of CN107241345A publication Critical patent/CN107241345A/zh
Application granted granted Critical
Publication of CN107241345B publication Critical patent/CN107241345B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了基于UKey的云计算资源管理方法,本方法是用户身份认证和用户间资源的转让和授权管理。其中用户认证部分包括用户登录云平台***时的双向身份认证和用户对云计算资源访问和操作前的用户数字证书认证。用户完成基于UKey的双向认证登录***后,对云计算资源进行授权、转让以及授权撤销操作,极大提高了云计算资源管理的灵活性以及资源的利用率。本发明对云计算资源管理时采用的认证方式,极大增强了用户访问云计算资源的安全性。

Description

基于UKey的云计算资源管理方法
技术领域
本发明属于计算机科学与技术领域,具体涉及基于UKey的云计算资源管理方法。
背景技术
作为一种崭新的计算模式,云计算技术利用网络将各种不同类型的资源,包括计算资源(例如虚拟机)、存储资源(例如云存储空间)和网络资源(例如带宽)等以服务的方式按需提供给用户。为了使用这些资源,用户首先需要通过云计算平台的身份认证。传统云计算平台中的身认证机制通常采用口令的方式进行,安全性较差,而且不支持用户间资源的相互授权或转移,在资源的管理上欠缺灵活性。
在目前几种身份认证方式中,最常见的是使用用户名加口令的方式,但这也是最原始、安全性不高的身份确认方式,比较容易由于外部泄露等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被窃取。第二种是生物特征识别技术,该技术以人体唯一的生物特征为依据(包括指纹、声音、虹膜等),具有很好的安全性和有效性,但实现技术尚不成熟,在应用推广中受限制较多。第三种,也是现在电子政务和电子商务领域最流行的身份认证方式-基于USB Key(简称为UKey)的身份认证。USB Key结合了现代密码学技术、智能卡技术和USB技术,是新一代身份认证产品,具有PIN码和硬件双因子认证特点,同时带有安全的存储空间和处理芯片,实现加密算法。
如今,云计算技术快速普及,但传统云计算平台上用户不能使用USB Key进行身份认证,同时,对于云计算资源的管理集中在资源分配、资源调度的研究上。资源的合理调度、分配可以确保云平台中未使用资源的合理利用,但对已经分配给用户的云计算资源,则不能达到管理目的。
发明内容
本发明的目的在于克服上述不足,提供一种基于UKey的云计算资源管理方法,降低云平台上用户名、口令登录方式的安全风险,同时,实现用户间资源的转让和授权,提高资源管理的灵活性。
为了达到上述目的,本发明包括以下步骤:
步骤一,在UKey中导入客户端用户证书、私钥以及CA根证书;
步骤二,用户登录云计算平台服务器监测客户端用户请求,发送服务器端数字证书SCert到客户端,客户端接收服务器证书SCert,检测UKey硬件,进行硬件PIN码验证,客户端对接收到的服务器端证书进行验证,验证失败则结束访问,成功则继续;
步骤三,客户端通过相应浏览器控件读取UKey内用户数字证书Ccert,用户名以及密码,客户端调用控件加密模块Encrypt,使用UKey加密算法对用户名、密码进行加密,浏览器发送客户端用户证书CCert,加密后用户名Enuser以及密码Enpass到服务器进行验证,服务器调用验证模块对客户端用户身份进行验证,如果验证通过,允许用户使用资源,否则,提示用户验证失败;
步骤四,用户进行定向和非定向的转让、授权、撤销授权云计算资源操作。
所述步骤二中,客户端对接收到的服务器端证书进行验证的具体方法如下:
1)、客户端转化服务器证书SCert格式,获取证书未签名部分Utext;
2),根据摘要算法对Utext进行相应运算,获得摘要a;
3),获取服务器证书SCert签名部分Stext,读取UKey内CA根证书RCert,结合RCert对Stext进行解密运算,得到摘要a’;
4),比较摘要a以及a’,两者一致则服务器端证书合法。
所述步骤三中,客户端用户身份验证包括用户名、密码和数字证书验证,数字证书验证的具体方法如下:
1),服务器接收客户端数字证书CCert,转化为验证所需结构;
2),服务器读取根证书RCert,进行格式转化;
3),初始化证书存储区及证书校验上下文;
4),结合RCert验证客户端用户证书CCert的有效性和完整性。
所述步骤四中,用户进行定向转让和授权云计算资源的具体步骤如下:
1)获取用户选择类型Action值为D,D代表定向操作;
2)对用户云计算资源进行定向转让、授权管理步骤;
2a)客户端获取UKey内用户数字证书CCert发送到服务器进行验证;
2b)服务器获取根证书RCert对CCert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;
2c)获取用户名操作用户Auser,对象用户Buser,资源id号Sour_id;
2d)获取用户操作选择Chosen,如果Chosen值为S,S为授权操作,则跳转到步骤2e)~2g);如果Chosen值为T,T为转让操作,则执行步骤2h)~2i);
2e)读取Auser资源列表Sour_table,标记Sour_id资源为共享状态;
2f)添加Sour_id资源信息到Auser共享资源列表Sour_shared中,记录用户Buser信息;
2g)读取Buser资源列表Sour_table,添加Sour_id资源项,并标记为被授权状态;
2h)读取Auser资源列表Sour_table,删除Sour_id资源项;
2i)读取Buser资源列表Sour_table,添加Sour_id资源项。
所述步骤四中,用户进行非定向转让和授权云计算资源的具体步骤如下:
1)获取用户选择类型Action,Action值为R,R代表非定向操作;
2)对用户云计算资源进行非定向转让、授权管理步骤;
2a)客户端获取UKey内用户数字证书CCert发送到服务器进行验证;
2b)服务器获取根证书RCert对CCert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;
2c)获取用户名User信息,资源id号Sour_id;
2d)获取用户操作选择Chosen,如果Chosen值为S,S为授权操作,则执行步骤2e)~2g);如果Chosen值为T,T为转让操作,则跳转步骤2h)~2i);
2e)读取User资源列表Sour_table,标记Sour_id资源为共享状态;
2f)添加Sour_id资源信息到User共享资源列表Sour_shared;
2g)读取***授权资源列表Sys_Sourshared,添加Sour_id资源项;
2h)读取User资源列表Sour_table,删除Sour_id资源项;
2i)读取***资源列表Sys_Sourtable,添加Sour_id资源项。
所述步骤四中,用户进行定向撤销授权云计算资源的具体方法如下:
1)获取用户选择类型Action,Action值为D,D为定向操作;
2)用户云计算资源定向授权撤销管理;
2a)客户端获取UKey内用户数字证书CCert发送到服务器进行验证;
2b)服务器获取根证书RCert对CCert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;
2c)获取用户名Auser操作用户,Buser对象用户,资源id号Sour_id;
2d)读取用户Auser的相应资源列表Sour_shared,获取用户Buser信息;
2e)获取Sour_id状态,如果为空闲则执行步骤2f)~2h),如果为运行则结束操作;
2f)删除用户Auser资源列表Sour_shared中的Sour_id项信息;
2g)修改用户Auser资源列表Sour_table中Sour_id项标记,标记为可共享状态;
2h)获取Buser资源列表Sour_table,删除Sour_id项信息。
所述步骤四中,用户进行非定向撤销授权云计算资源的具体方法如下:
1)获取用户选择类型Action,Action值为R,R为非定向操作;
2)用户云计算资源非定向授权撤销管理;
2a)客户端获取UKey内用户数字证书CCert发送到服务器进行验证;
2b)服务器获取根证书RCert对CCert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;
2c)获取用户User信息,资源信息Sour_id;
2d)获取Sour_id资源状态,如果为空闲则执行步骤2e)~2g),如果为运行则结束操作;
2e)删除用户User资源列表Sour_shared中的Sour_id项信息;
2f)修改用户User资源列表Sour_table中Sour_id项,标记为可共享;
2g)删除***共享资源列表Sys_Sourshared中Sour_id资源项信息。
与现有技术相比,本发明具有以下有益效果:
本发明具有更强的安全性;传统云计算平台中采用用户名、口令认证方式,而本发明基于UKey进行用户身份认证,综合采用UKey、PIN码、数字证书、口令多重因子的强认证方式。用户在登录云平台***时,需要完成双向的数字证书认证,双方验证都成功后,客户端才能登录***,访问云计算资源。同时,选择将用户名、密码以及相关数字证书存储在UKey内部,避免网页输入和下载。本发明对云计算资源管理时采用的认证方式,极大增强了用户访问云计算资源的安全性。
进一步的,本发明具有更大的灵活性;现有的云计算资源管理主要集中在对云平台资源的资源分配、资源调度上,本发明提供了对用户已有云计算资源的转让、授权和撤销授权管理方法(支持定向和非定向两种授权/转让方式),提高了云计算资源管理的灵活性,以及资源的使用率。用户间资源相互授权和转让时,需要结合UKey完成对用户数字证书的认证,增强安全性。
附图说明
图1是本发明的流程图。
具体实施方式
下面结合附图对本发明做进一步说明。
本发明是在用户登录云计算平台***,访问云计算资源(比如虚拟机、云存储空间等)之前,首先完成基于UKey的双向身份认证,认证通过后,用户才可以使用相应资源。同时,针对用户已有的云计算资源,提供基于UKey认证的转让、授权以及授权撤销操作,用户经过授权后可将云计算资源进行共享使用或是直接转让给其他用户使用。
参照图1,本发明基于UKey对云计算资源进行管理,包括用户身份认证和用户间资源的转让和授权管理。其中用户认证部分包括用户登录云平台***时的双向身份认证和用户对云计算资源访问和操作前的用户数字证书认证。用户完成基于UKey的双向认证登录***后,对云计算资源进行授权、转让以及授权撤销操作。
一,UKey初始化步骤
步骤i,验证硬件PIN码,登入UKey;
用户在使用UKey硬件之前,需完成PIN码验证,验证通过后,登入UKey,继续后续操作;
步骤ii,导入客户端用户证书、私钥;
使用OpenSSL签发客户端证书,并将其导入UKey,用户在登录云平台***或是进行相关操作时,结合UKey内证书信息完成身份认证;
步骤iii,导入CA根证书;
使用OpenSSL创建CA根证书,导入UKey内部。客户端对接收到的服务器证书进行验证时结合该根证书进行。
二,用户登录云计算平台使用云计算资源步骤
参照图1,本部分的具体实现如下:
步骤1,用户打开浏览器,发送服务器访问请求;
B/S模式云平台***中,客户端用户通过浏览器发送访问请求,进行登录验证;
步骤2,服务器监测客户端用户请求,发送服务器端数字证书SCert到客户端;
用户在登录云计算平台时,需要对云计算平台服务器身份进行验证;
步骤3,客户端接收服务器证书SCert,检测UKey硬件,进行硬件PIN码验证;
每个客户端用户持有一个私人UKey硬件,登录云平台***前需要***并完成PIN验证,验证成功才能使用UKey;
步骤4,客户端通过浏览器控件结合UKey内CA根证书验证服务器证书SCert,验证失败则结束访问,成功则继续步骤5;
本发明为每个用户UKey中导入CA根证书,同时颁发客户端用户证书。CA根证书用于登录时验证服务器证书,用户证书用于登录和用户相关操作时进行身份认证。
(4a)客户端转化服务器证书SCert格式,获取证书未签名部分Utext;
(4b)根据摘要算法对Utext进行相应运算,获得摘要a;
(4c)获取服务器证书SCert签名部分Stext,读取UKey内CA根证书RCert,结合RCert对Stext进行解密运算,得到摘要a’;
(4d)比较摘要a以及a’,两者一致则服务器端证书合法;
步骤5,客户端通过相应浏览器控件读取UKey内用户数字证书Ccert,用户名以及密码;用户名和密码存储在UKey内,避免网页输入;
步骤6,客户端调用控件加密模块Encrypt,使用UKey加密算法,对用户名、密码进行加密;
UKey硬件内部包含加密芯片,结合UKey提供的加密算法,对保存在UKey内的用户账号信息进行加密后传输,提高信息的安全性;
步骤7,浏览器发送客户端用户证书CCert,加密后用户名Enuser,密码Enpass到服务器进行验证;
步骤8,服务器调用验证模块对客户端用户身份进行验证;
用户名、密码验证同传统方式相同。服务器端对用户数字证书进行验证,如果为受信任的CA所颁发,则用户身份合法,验证过程如下:
(8a)服务器接收客户端数字证书CCert,进行格式转化,客户端发送到服务器的为编码过的字符串形式证书,服务器验证时将其转化为所需格式;
(8b)服务器读取根证书RCert,进行格式转化。CA根证书以文件形式保存在服务器端,对客户端证书进行验证时结合给根证书进行;
(8c)初始化证书存储区及证书校验上下文,将需要验证的用户证书及CA根证书加入相应的证书存储区以及证书校验上下文中;
(8d)结合RCert验证客户端用户证书CCert的有效性和完整性;
有效性验证对证书的有效期进行检查,完整性主要对用户证书的CA签名部分进行验证;
步骤9,如果验证通过,允许用户使用资源,否则,提示验证失败。
三,用户间云计算资源转让和授权管理步骤
参照图1,本部分的具体实现如下:
步骤一,获取用户选择类型Action,如果Action值D,则执行步骤二;如果Action值为R,则执行步骤三;
本发明针对云计算资源管理,提供两种方式的用户间资源转让和授权操作。将用户选择类型定义为D或R值。D代表用户定向选择。转让和授权云计算资源时,可以指定具体对象用户。R代表非定向操作。用户在授权和转让相应资源后,由***对该云计算资源进行统一管理和分配,可以分配给任意用户使用;
步骤二,对用户云计算资源进行定向转让、授权管理;
本发明基于UKey进行用户间资源定向转让、授权管理。用户发送UKey内数字证书通过验证后,可以指定对象用户进行云计算资源的转让和授权。详细步骤如下:
(2a)基于UKey对用户身份进行认证。用户UKey内存储用户数字证书。通过浏览器控件读取用户证书发送到服务器端后,通过相应模块验证证书合法性,确保用户身份合法,提高资源管理的安全性。过程如下:
(2a1)客户端获取UKey内用户数字证书CCert发送到服务器进行验证。通过OpenSSL签发客户端用户证书,并将其导入到用户UKey内。浏览器控件内部实现证书读取功能;
(2a2)服务器获取根证书RCert对CCert进行合法性验证。验证成功继续,失败则结束用户操作;
服务器验证客户端证书有效期,颁发机构,CA签名等信息,确认用户证书是否为受信任机构所颁发。
(2b)获取用户名Auser(操作用户),Buser(对象用户),资源id号Sour_id;
(2c)获取用户操作选择Chosen。如果Chosen值为S(授权操作),则执行步骤(2d);如果Chosen值为T(转让操作),则执行步骤(2e);
(2d)对用户云计算资源进行定向共享管理。***为每个用户不同云计算资源维护相应的资源列表Sour_table和共享资源列表Sour_shared。Sour_table中记录用户已有的资源信息,Sour_shared中记录用户共享的资源信息,同时记录共享对象用户信息,用于撤销操作。共享步骤如下:
(2d1)读取Auser资源列表Sour_table,标记Sour_id资源为共享状态;用户将资源进行授权后标记为共享状态,共享后的资源可以进行撤销管理。
(2d2)添加Sour_id资源信息到Auser共享资源列表Sour_shared,记录用户Buser信息;用户选择撤销操作时,需要知道共享对象用户;
(2d3)读取Buser资源列表Sour_table,添加Sour_id资源项,并标记为被授权状态;用户对共享的资源只具有使用权,不能对其再次进行转让和授权操作。
(2e)用户云计算资源进行定向转让管理。定向转让后直接将相应云计算资源信息添加到转让对象用户资源列表中,转让后用户不再拥有该资源,不进行撤销管理。实现如下:
(2e1)读取Auser资源列表Sour_table,删除Sour_id资源项;
(2e2)读取Buser资源列表Sour_table,添加Sour_id资源项;
步骤三,对用户云计算资源进行非定向转让、授权管理步骤;
(3a)基于UKey对用户身份进行认证;
本步骤实现和步骤二的(2a)部分相同。
(3b)获取用户名User信息,资源id号Sour_id;
(3b)获取用户操作选择Chosen。如果Chosen值为S,则执行步骤(3c);如果Chosen值为T,则执行步骤(3d);
本专利方法中将用户操作选择定义为S,T,A三类。S代表授权操作,用户可将云计算资源进行共享;T代表转让,用户可将云计算资源进行转让处理;A代表撤销,用户可对已共享的资源进行撤销操作,结束共享。
(3c)对用户云计算资源进行非定向共享管理。非定向授权时,用户对资源进行共享时不指定对象用户,由***对共享的资源进行统一管理,随机分配。
(3c1)读取User资源列表Sour_table,标记Sour_id资源为共享状态。
(3c2)User共享资源列表Sour_shared中添加Sour_id资源信息。
(3c3)读取***授权资源列表Sys_Sourshared,添加Sour_id资源项。
(3d)用户云计算资源非定向转让管理:
(3d1)读取User相应资源列表Sour_table,删除Sour_id资源项。
(3d2)读取***资源列表Sys_Sourtable,添加Sour_id资源项。
四,用户撤销授权云计算资源步骤
用户对云计算资源进行授权共享后,可以进行相应的撤销操作,此时,获取到的用户操作类型为A(授权撤销)。经过撤销后,该资源不再进行共享。步骤如下:
步骤A,获取用户选择类型Action,如果Action值为D(定向操作),则执行步骤B;如果Action值为R(非定向操作),则执行步骤C;
步骤B,用户云计算资源定向授权撤销管理;
(B1)客户端获取UKey内用户数字证书CCert发送到服务器进行验证;客户端通过相应浏览器控件读取UKey内用户数字证书信息。
(B2)服务器获取根证书RCert对CCert进行合法性验证。验证成功继续步骤(B3),失败则结束用户操作;
(B3)获取用户名Auser(操作用户),Buser(对象用户),资源id号Sour_id;定向授权操作时,用户指定授权对象,并对相应信息进行保存。
(B4)读取用户Auser的相应资源列表Sour_shared,获取用户Buser信息;。
(B5)获取Sour_id状态,如果为空闲则执行步骤(B6)~(B8);如果为运行则结束操作;
(B6)删除用户Auser资源列表Sour_shared中的Sour_id项信息,执行撤销操作后,删除共享资源列表中的记录;
(B7)修改用户Auser资源列表Sour_table中Sour_id项标记,标记为可共享。标记为可共享状态的信息用户在后续使用中可以继续转让或授权;
(B8)获取Buser资源列表Sour_table,删除Sour_id项信息,Buser为用户授权时指定的对象用户;
步骤C,用户云计算资源非定向授权撤销管理;
(C1)客户端获取UKey内用户数字证书CCert发送到服务器进行验证。客户端通过浏览器控件获取UKey内证书信息;
(C2)服务器获取根证书RCert对CCert进行合法性验证。验证成功继续,失败则结束用户操作;
(C3)获取用户User信息,资源信息Sour_id。用户拥有不同的云计算资源,操作时需读取相应的资源列表信息;
(C4)获取Sour_id资源状态,如果为空闲则执行步骤(C5)~(C7);如果为运行则结束操作。执行撤销操作时,如果相关资源正在被使用,则不能执行此操作。资源在未使用状态下才能对其进行撤销管理;
(C5)删除用户User资源列表Sour_shared中的Sour_id项信息。删除资源信息后,资源则不再为共享状态,不再提供撤销操作;
(C6)修改用户User资源列表Sour_table中Sour_id项,标记为可共享状态;
(C7)删除***共享资源列表Sys_Sourshared中Sour_id资源项信息。非定向资源操作中,相关云计算资源由***统一维护管理。撤销时对***资源列表进行相应修改即可。

Claims (7)

1.基于UKey的云计算资源管理方法,其特征在于,包括以下步骤:
步骤一,在UKey中导入客户端用户证书、私钥以及CA根证书;
步骤二,用户登录云计算平台***,服务器监测客户端用户请求,发送服务器端数字证书SCert到客户端,客户端接收服务器证书SCert,检测UKey硬件,进行硬件PIN码验证,验证成功后,客户端对接收到的服务器端证书进行验证,验证失败则结束访问,成功则继续;
步骤三,客户端通过相应浏览器控件读取UKey内用户数字证书Ccert,用户名以及密码,调用控件加密模块Encrypt,使用UKey加密算法对用户名、密码进行加密;浏览器发送客户端用户证书CCert,加密后用户名Enuser以及密码Enpass到服务器进行验证,服务器调用验证模块对客户端用户身份进行验证,如果验证通过,允许用户使用资源,否则,提示用户验证失败;
步骤四,用户进行定向和非定向的转让、授权、撤销授权云计算资源操作。
2.根据权利要求1所述的基于UKey的云计算资源管理方法,其特征在于,所述步骤二中,客户端对接收到的服务器端证书进行验证的具体方法如下:
1)、客户端转化服务器证书SCert格式,获取证书未签名部分Utext;
2),根据摘要算法对Utext进行相应运算,获得摘要a;
3),获取服务器证书SCert签名部分Stext,读取UKey内CA根证书RCert,结合RCert对Stext进行解密运算,得到摘要a’;
4),比较摘要a以及a’,两者一致则服务器端证书合法。
3.根据权利要求1所述的基于UKey的云计算资源管理方法,其特征在于,所述步骤三中,客户端用户身份验证包括用户名、密码和数字证书验证,数字证书验证的具体方法如下:
1),服务器接收客户端数字证书CCert,转化为验证所需结构;
2),服务器读取根证书RCert,进行格式转化;
3),初始化证书存储区及证书校验上下文;
4),结合RCert验证客户端用户证书CCert的有效性和完整性。
4.根据权利要求1所述的基于UKey的云计算资源管理方法,其特征在于,所述步骤四中,用户进行定向转让和授权云计算资源的具体步骤如下:
1)获取用户选择类型Action值为D,D代表定向操作;
2)对用户云计算资源进行定向转让、授权管理步骤;
2a)客户端获取UKey内用户数字证书CCert发送到服务器进行验证;
2b)服务器获取根证书RCert对CCert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;
2c)获取用户名操作用户Auser,对象用户Buser,资源id号Sour_id;
2d)获取用户操作选择Chosen,如果Chosen值为S,S为授权操作,则跳转到步骤2e)~2g);如果Chosen值为T,T为转让操作,则执行步骤2h)~2i);
2e)读取Auser资源列表Sour_table,标记Sour_id资源为共享状态;
2f)添加Sour_id资源信息到Auser共享资源列表Sour_shared中,记录用户Buser信息;
2g)读取Buser资源列表Sour_table,添加Sour_id资源项,并标记为被授权状态;
2h)读取Auser资源列表Sour_table,删除Sour_id资源项;
2i)读取Buser资源列表Sour_table,添加Sour_id资源项。
5.根据权利要求1所述的基于UKey的云计算资源管理方法,其特征在于,所述步骤四中,用户进行非定向转让和授权云计算资源的具体步骤如下:
1)获取用户选择类型Action,Action值为R,R代表非定向操作;
2)对用户云计算资源进行非定向转让、授权管理步骤;
2a)客户端获取UKey内用户数字证书CCert发送到服务器进行验证;
2b)服务器获取根证书RCert对CCert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;
2c)获取用户名User信息,资源id号Sour_id;
2d)获取用户操作选择Chosen,如果Chosen值为S,S为授权操作,则执行步骤2e)~2g);如果Chosen值为T,T为转让操作,则跳转步骤2h)~2i);
2e)读取User资源列表Sour_table,标记Sour_id资源为共享状态;
2f)添加Sour_id资源信息到User共享资源列表Sour_shared;
2g)读取***授权资源列表Sys_Sourshared,添加Sour_id资源项;
2h)读取User资源列表Sour_table,删除Sour_id资源项;
2i)读取***资源列表Sys_Sourtable,添加Sour_id资源项。
6.根据权利要求1所述的基于UKey的云计算资源管理方法,其特征在于,所述步骤四中,用户进行定向撤销授权云计算资源的具体方法如下:
1)获取用户选择类型Action,Action值为D,D为定向操作;
2)用户云计算资源定向授权撤销管理;
2a)客户端获取UKey内用户数字证书CCert发送到服务器进行验证;
2b)服务器获取根证书RCert对CCert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;
2c)获取用户名Auser操作用户,Buser对象用户,资源id号Sour_id;
2d)读取用户Auser的相应资源列表Sour_shared,获取用户Buser信息;
2e)获取Sour_id状态,如果为空闲则执行步骤2f)~2h),如果为运行则结束操作;
2f)删除用户Auser资源列表Sour_shared中的Sour_id项信息;
2g)修改用户Auser资源列表Sour_table中Sour_id项标记,标记为可共享状态;
2h)获取Buser资源列表Sour_table,删除Sour_id项信息。
7.根据权利要求1所述的基于UKey的云计算资源管理方法,其特征在于,所述步骤四中,用户进行非定向撤销授权云计算资源的具体方法如下:
1)获取用户选择类型Action,如果Action值为R,代表非定向操作;
2)用户云计算资源非定向授权撤销管理;
2a)客户端获取UKey内用户数字证书CCert发送到服务器进行验证;
2b)服务器获取根证书RCert对CCert进行合法性验证,验证成功跳转到步骤2c),否则结束用户操作;
2c)获取用户User信息,资源信息Sour_id;
2d)获取Sour_id资源状态,如果为空闲则执行步骤2e)~2g),如果为运行则结束操作;
2e)删除用户User资源列表Sour_shared中的Sour_id项信息;
2f)修改用户User资源列表Sour_table中Sour_id项,标记为可共享;
2g)删除***共享资源列表Sys_Sourshared中Sour_id资源项信息。
CN201710527921.7A 2017-06-30 2017-06-30 基于UKey的云计算资源管理方法 Active CN107241345B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710527921.7A CN107241345B (zh) 2017-06-30 2017-06-30 基于UKey的云计算资源管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710527921.7A CN107241345B (zh) 2017-06-30 2017-06-30 基于UKey的云计算资源管理方法

Publications (2)

Publication Number Publication Date
CN107241345A true CN107241345A (zh) 2017-10-10
CN107241345B CN107241345B (zh) 2020-07-17

Family

ID=59991771

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710527921.7A Active CN107241345B (zh) 2017-06-30 2017-06-30 基于UKey的云计算资源管理方法

Country Status (1)

Country Link
CN (1) CN107241345B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566407A (zh) * 2017-10-20 2018-01-09 哈尔滨工程大学 一种基于USBkey的双向认证数据安全传输与存储方法
CN109391615A (zh) * 2018-09-27 2019-02-26 深圳互联先锋科技有限公司 一种服务器免密登录方法及***
CN109660530A (zh) * 2018-12-08 2019-04-19 公安部第三研究所 一种基于硬件证书的信息安全防护方法
CN110659471A (zh) * 2019-09-23 2020-01-07 江苏恒宝智能***技术有限公司 一种云环境中的身份认证登录方法
CN111083132A (zh) * 2019-12-11 2020-04-28 北京明朝万达科技股份有限公司 一种具有敏感数据的web应用的安全访问方法及***
CN111597546A (zh) * 2020-07-24 2020-08-28 北京志翔科技股份有限公司 一种云桌面共享方法、装置、***和存储介质
CN111831998A (zh) * 2020-07-28 2020-10-27 武汉市测绘研究院 一种离线状态下bs应用服务绑定硬件码的身份验证方法
WO2022088808A1 (zh) * 2020-10-28 2022-05-05 苏州浪潮智能科技有限公司 双因子认证方法、装置、计算机设备及存储介质
CN114884982A (zh) * 2022-03-28 2022-08-09 江苏徐工工程机械研究院有限公司 一种基于云服务的多矿山用户在线管理方法及***
CN115086090A (zh) * 2022-08-23 2022-09-20 远江盛邦(北京)网络安全科技股份有限公司 基于UKey的网络登录认证方法及装置

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102420692A (zh) * 2011-12-28 2012-04-18 广州杰赛科技股份有限公司 一种基于云计算的客户终端USBKey安全认证方法及其***
CN102571359A (zh) * 2012-04-06 2012-07-11 上海凯卓信息科技有限公司 基于智能卡的云桌面认证方法
CN102651775A (zh) * 2012-03-05 2012-08-29 国家超级计算深圳中心(深圳云计算中心) 基于云计算的多租户共享对象管理的方法、设备及***
US20140122873A1 (en) * 2012-10-31 2014-05-01 Steven W. Deutsch Cryptographic enforcement based on mutual attestation for cloud services
EP2731310A1 (en) * 2012-11-08 2014-05-14 Samsung Electronics Co., Ltd. User authentication method using self-signed certificate of web server, client device and electronic device including web server performing the same
CN104184743A (zh) * 2014-09-10 2014-12-03 西安电子科技大学 面向云计算平台的三层认证***及认证方法
CN104333542A (zh) * 2014-10-23 2015-02-04 张勇平 一种云计算访问控制***及方法
CN104468532A (zh) * 2014-11-19 2015-03-25 成都卫士通信息安全技术有限公司 一种跨多级网络边界的网络资源访问接入控制方法
CN104811455A (zh) * 2015-05-18 2015-07-29 成都卫士通信息产业股份有限公司 一种云计算身份认证方法
CN105100076A (zh) * 2015-07-03 2015-11-25 浪潮电子信息产业股份有限公司 一种基于USB Key的云数据安全***
CN105187217A (zh) * 2015-09-16 2015-12-23 成都三零凯天通信实业有限公司 一种双因子身份认证方法及装置
CN106790064A (zh) * 2016-12-20 2017-05-31 北京工业大学 可信根服务器‑云计算服务器模型中双方进行通信的方法

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102420692A (zh) * 2011-12-28 2012-04-18 广州杰赛科技股份有限公司 一种基于云计算的客户终端USBKey安全认证方法及其***
CN102651775A (zh) * 2012-03-05 2012-08-29 国家超级计算深圳中心(深圳云计算中心) 基于云计算的多租户共享对象管理的方法、设备及***
CN102571359A (zh) * 2012-04-06 2012-07-11 上海凯卓信息科技有限公司 基于智能卡的云桌面认证方法
US20140122873A1 (en) * 2012-10-31 2014-05-01 Steven W. Deutsch Cryptographic enforcement based on mutual attestation for cloud services
EP2731310A1 (en) * 2012-11-08 2014-05-14 Samsung Electronics Co., Ltd. User authentication method using self-signed certificate of web server, client device and electronic device including web server performing the same
CN104184743A (zh) * 2014-09-10 2014-12-03 西安电子科技大学 面向云计算平台的三层认证***及认证方法
CN104333542A (zh) * 2014-10-23 2015-02-04 张勇平 一种云计算访问控制***及方法
CN104468532A (zh) * 2014-11-19 2015-03-25 成都卫士通信息安全技术有限公司 一种跨多级网络边界的网络资源访问接入控制方法
CN104811455A (zh) * 2015-05-18 2015-07-29 成都卫士通信息产业股份有限公司 一种云计算身份认证方法
CN105100076A (zh) * 2015-07-03 2015-11-25 浪潮电子信息产业股份有限公司 一种基于USB Key的云数据安全***
CN105187217A (zh) * 2015-09-16 2015-12-23 成都三零凯天通信实业有限公司 一种双因子身份认证方法及装置
CN106790064A (zh) * 2016-12-20 2017-05-31 北京工业大学 可信根服务器‑云计算服务器模型中双方进行通信的方法

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566407B (zh) * 2017-10-20 2020-07-28 哈尔滨工程大学 一种基于USBkey的双向认证数据安全传输与存储方法
CN107566407A (zh) * 2017-10-20 2018-01-09 哈尔滨工程大学 一种基于USBkey的双向认证数据安全传输与存储方法
CN109391615A (zh) * 2018-09-27 2019-02-26 深圳互联先锋科技有限公司 一种服务器免密登录方法及***
CN109660530A (zh) * 2018-12-08 2019-04-19 公安部第三研究所 一种基于硬件证书的信息安全防护方法
CN110659471A (zh) * 2019-09-23 2020-01-07 江苏恒宝智能***技术有限公司 一种云环境中的身份认证登录方法
CN111083132B (zh) * 2019-12-11 2022-02-18 北京明朝万达科技股份有限公司 一种具有敏感数据的web应用的安全访问方法及***
CN111083132A (zh) * 2019-12-11 2020-04-28 北京明朝万达科技股份有限公司 一种具有敏感数据的web应用的安全访问方法及***
CN111597546A (zh) * 2020-07-24 2020-08-28 北京志翔科技股份有限公司 一种云桌面共享方法、装置、***和存储介质
CN111831998A (zh) * 2020-07-28 2020-10-27 武汉市测绘研究院 一种离线状态下bs应用服务绑定硬件码的身份验证方法
WO2022088808A1 (zh) * 2020-10-28 2022-05-05 苏州浪潮智能科技有限公司 双因子认证方法、装置、计算机设备及存储介质
CN114884982A (zh) * 2022-03-28 2022-08-09 江苏徐工工程机械研究院有限公司 一种基于云服务的多矿山用户在线管理方法及***
CN114884982B (zh) * 2022-03-28 2023-11-07 江苏徐工工程机械研究院有限公司 一种基于云服务的多矿山用户在线管理方法及***
CN115086090A (zh) * 2022-08-23 2022-09-20 远江盛邦(北京)网络安全科技股份有限公司 基于UKey的网络登录认证方法及装置

Also Published As

Publication number Publication date
CN107241345B (zh) 2020-07-17

Similar Documents

Publication Publication Date Title
CN107241345A (zh) 基于UKey的云计算资源管理方法
US7185194B2 (en) System and method for distributed group management
CN108964885B (zh) 鉴权方法、装置、***和存储介质
US8438385B2 (en) Method and apparatus for identity verification
CN110572258B (zh) 一种云密码计算平台及计算服务方法
KR100785715B1 (ko) 로그인 시스템 및 방법
CN110932870B (zh) 一种量子通信服务站密钥协商***和方法
CN101129014B (zh) 用于建立多个会话的***和方法
TW200810488A (en) Policy driven, credential delegation for single sign on and secure access to network resources
US8397281B2 (en) Service assisted secret provisioning
CN103701919A (zh) 远程登录方法与***
CN101951603A (zh) 一种无线局域网接入控制方法及***
CN108881222A (zh) 基于pam架构的强身份认证***及方法
CN107948156A (zh) 一种基于身份的封闭式密钥管理方法及***
CN108809633B (zh) 一种身份认证的方法、装置及***
US20080181401A1 (en) Method of Establishing a Secure Communication Link
CN109981680A (zh) 一种访问控制实现方法、装置、计算机设备及存储介质
CN102404112A (zh) 一种可信终端接入认证方法
JP2001523407A (ja) 二つのエンティティの相互認証方法
CN117081736A (zh) 密钥分发方法、密钥分发装置、通信方法及通信装置
CN114499876B (zh) 基于区块链以及NB-IoT芯片的物联网数据存证方法
CN101990751A (zh) 基于认证和密钥协商(aka)机制认证对于使能kerberos应用的用户访问的方法和装置
CN107786978B (zh) 基于量子加密的nfc认证***
CN112383401B (zh) 一种提供身份鉴别服务的用户名生成方法及***
CN206878870U (zh) 一种安全的单点登录访问***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant