CN108574576A - 基于Kerberos 系统的跨云际认证方法 - Google Patents
基于Kerberos 系统的跨云际认证方法 Download PDFInfo
- Publication number
- CN108574576A CN108574576A CN201810385232.1A CN201810385232A CN108574576A CN 108574576 A CN108574576 A CN 108574576A CN 201810385232 A CN201810385232 A CN 201810385232A CN 108574576 A CN108574576 A CN 108574576A
- Authority
- CN
- China
- Prior art keywords
- client
- public cloud
- bill
- private clound
- session key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
Abstract
本发明公开了一种基于Kerberos系统的跨云际认证方法,应用于客户端对公有云的访问:步骤一:客户端以身份认证的方式直接和私有云进行认证,认证通过后进入步骤二,认证不通过,结束。步骤二:私有云对客户端发放访问公有云的票据以及与第二会话密钥,所述票据由公有云和私有云的共享密钥加密。步骤三:客户端将票据发送给公有云。步骤四:公有云用所述共享密钥解密票据得到第二会话密钥,并用第二会话密钥加密认证结束信息发送给客户端。所述认证方法不仅减轻了客户端直接和公有云进行认证带来比较大的负担,而且很大程度方便了企业对用户访问外部云中数据的集中控制和实时改变存取策略。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及基于Kerberos系统的跨云际认证方法。
背景技术
云计算安全问题是一个多层次并涉及到多研究领域的复杂问题。混合云环境下权限安全管理、跨云的资源数据访问等方面存在着严重的安全挑战,由此带来的身份认证、授权管理、传输控制等等问题更加严峻。
云安全环境下大致分为两种认证,单向认证:包括密码口令、PIN等。它是依靠用户所知道的某些信息作为认证的一种方式,该方式简单易用,但是容易遭受口令猜测攻击和截获攻击;用户所拥有的,包括识别令牌,ID卡等硬件设施,容易损坏、丢失和被盗、携带不便,且有硬件花费;用户所特有的,包括用户指纹、虹膜等生物识别方式;但是该方式中的唯一认证标识不能改变,限制了认证的灵活性。双向认证:比较熟知的认证技术有PKI体系结构,PKI 的基本要素依赖于数字证书,如SAP;虽然PKI能够使得依赖端方便地验证其他人的证书,但是在混合云环境下,当面临超大规模的证书持有者和证书依赖方时,建设满足大量用户访问的资料库系统,为巨大的用户群提供证书撤销服务,为所有的证书提供归档服务,系统过于庞大,将使得设计和实现的复杂程度迅速攀升,并且由于证书有固定的生命周期,当证书的生命周期比证书发布给资源的时间长时,如果证书不能及时被撤销,很容易受到攻击。因此企业对用户访问外云中的数据时,急需一种既方便又安全的认证方式。
发明内容
本发明的目的在于为企业用户提供一种既方便又安全的外部云认证访问方法。
为达到上述目的,本发明提供如下技术方案:
提供一种基于Kerberos系统的跨云际认证方法,应用于客户端对公有云的访问:步骤一:客户端以身份认证的方式直接和私有云进行认证,认证通过后进入步骤二,认证不通过,结束;步骤二:私有云对客户端发放访问公有云的票据以及第二会话密钥,票据由公有云和私有云的共享密钥加密;步骤三:客户端将票据发送给公有云;步骤四:公有云用共享密钥解密票据得到第二会话密钥,并用第二会话密钥加密认证结束信息发送给客户端。
其中,步骤一中所述的客户端以身份认证的方式直接和私有云进行认证包括,客户端向私有云发送要访问的公有云ID以及自己的客户端ID,私有云判断公有云ID以及客户端ID是否合法,认证通过,私有云和客户端生成二者之间的第一会话密钥,并进入下一步骤,认证不通过,结束。
其中,客户端以身份认证的方式直接和私有云进行认证具有有效期,私有云未在有效期内查看,直接结束。
其中,步骤二中私有云对客户端发放访问公有云的票据以及第二会话密钥,其中私有云将用第一会话密钥加密票据以及第二会话密钥,并回复给客户端。客户端收到私有云发送的消息后,客户端用第一会话密钥解密消息,获得票据和与第二会话密钥;
其中,步骤三中客户端将票据发送给公有云包括,客户端生成第二信息,第二信息包括客户端ID以及公有云ID,然后用第二会话密钥加密第二信息,并将票据和加密后的客户端第二信息的发送给公有云。
其中,步骤四还包括公有云收到票据和加密后的第二消息后,用公有云和私有云共享的共享密钥解密票据,并得到第二会话密钥以及票据中存储的客户端ID和公有云ID,然后公有云用得到的第二会话密钥解密第二信息,并得到第二信息中客户端ID和公有云ID,若第一身份信息与第二身份信息若不同,则结束,若相同则继续,然后公有云用第二会话密钥加密的认证结束信息发送给客户端,认证结束。
其中,认证结束信息为公有云ID。
本发明的有益效果在于:本发明的基于Kerberos系统的跨云际认证方法具有以下好处:基于Kerberos的混合云服务中跨云际认证的方法使得客户端采取基于身份认证的方式直接和私有云进行认证,凭借企业私有云发放的票据访问企业存放在公有云中的数据,有利于企业对公有云中数据的存取控制,不仅减轻了客户端直接和公有云进行认证带来比较大的负担,而且很大程度方便了企业对用户访问外部云中数据的集中控制和实时改变存取策略。
上述说明仅是本发明的基于Kerberos系统的跨云际认证的方法的概述,为了能够更清楚的了解本发明的技术手段,可依照说明书的内容予以实施,本发明的较佳实施例并配合附图说明如后。
附图说明
图1为本发明的Kerberos系统的跨云际认证工作过程。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明,但不能用来限制本发明的范围
参照图1所述,本发明的基于Kerberos系统的跨云际认证方法中主体包括:客户端私有云和公有云,下面以我们以企业的数据访问认证举例说明。
企业数据部分放在企业内的私有云中,部分放在企业外的公有云中,客户端想要访问公有云时,首先需要以身份认证的方式直接和私有云进行认证,凭借企业私有云发放的票据访问企业存放在公有云中的数据,上述认证过程采用 Kerberos系统。
所述kerberos系统认证过程如下,步骤一,客户端向私有云发送要访问的公有云ID以及自己的客户端ID,所述ID指身份信息或者名称信息或者地址信息,私有云判断公有云ID以及客户端ID是否合法,认证通过,私有云和客户端生成二者之间的第一会话密钥,并进入下一步骤,认证不通过,直接结束。
其中在步骤一中,私有云的服务端口处于一直处于监听的状态,并且在收到请求的同时开始计时,并且设置有效期X,X这里定义为5分钟,客服端提出的请求时间超过X,且私有云仍未查看,则不合法,直接结束。客户端的请求认证同时满足身份认证合法以及私有云查看时间在有效期X以内进入步骤二。
步骤二,私有云将第一信息用第一会话密钥加密回复给客户端。所述第一信息包括所述票据以及与公有云通信的第二会话密钥,所述票据包括客户端ID、公有云ID以及与公有云会话的第二会话密钥,且所述票据由公有云和私有云共享的共享密钥加密。
客户端接受到第一信息后,用第一会话密钥解密第一信息,获得票据和与公有云的第二会话密钥,然后进入步骤三;
步骤三,客户端生成第二信息,并用第二会话密钥加密第二信息,并将票据和加密后的第二信息的发送给公有云。所述的第二信息包括客户端ID和要访问的公有云ID。
公有云收到票据和加密后的第二消息后,用公有云和私有云共享的共享密钥解密票据,得到第二会话密钥以及票据中存储的客户端ID以及要访问的公有云ID,然后用第二会话密钥解密第二信息,并得另外一份客户端ID以及要访问的公有云ID,若票据中的ID信息与第二信息中的ID信息相同则进入下一步骤,如果不同则结束。
其中在步骤三中,票据被解密后,还得到有效期限Z;第二信息被解密后得到其被发送的时间,如果该发送的时间超过了有效期限Z,则认证结束,反正则进入下一步。
步骤四,公有云将公有云ID通过第二会话密钥加密发送给客户端,认信息认证结束,至此,客户端和公有云都己获取第二会话密钥,双方建立起来一个安全的通信通道。
与现有技术相对,本发明的基于Kerberos的跨云际认证方法具有以下好处: 基于Kerberos的混合云服务中跨云际认证的方法使得客户端采取基于身份认 证的方式直接和私有云进行认证,凭借企业私有云发放的票据访问企业存放在 公有云中的数据,有利于企业对公有云中数据的存取控制,不仅减轻了客户端 直接和公有云进行认证带来比较大的负担,而且很大程度方便了企业对用户访 问外部云中数据的集中控制和实时改变存取策略。
Claims (7)
1.一种基于Kerberos系统的跨云际认证方法,其特征在于:应用于客户端对公有云的访问:
步骤一:客户端以身份认证的方式直接和私有云进行认证,认证通过后进入步骤二,认证不通过,结束;
步骤二:私有云对客户端发放访问公有云的票据以及第二会话密钥,所述票据由公有云和私有云的共享密钥加密;
步骤三:客户端将票据发送给公有云;
步骤四:公有云用所述共享密钥解密票据得到第二会话密钥,并用第二会话密钥加密认证结束信息发送给客户端。
2.根据权利要求1所述的基于Kerberos系统的跨云际认证方法,其特征在于:步骤一中所述的客户端以身份认证的方式直接和私有云进行认证包括,客户端向私有云发送要访问的公有云ID以及自己的客户端ID,私有云判断公有云ID以及客户端ID是否合法,认证通过,私有云和客户端生成二者之间的第一会话密钥,并进入下一步骤,认证不通过,结束。
3.根据权利要求2所述的基于Kerberos系统的跨云际认证方法,其特征在于:所述的客户端以身份认证的方式直接和私有云进行认证具有有效期,私有云若未在有效期内查看,直接结束。
4.根据权利要求2或3所述的基于Kerberos系统的跨云际认证方法,其特征在于:步骤二中所述的私有云对客户端发放访问公有云的票据以及第二会话密钥,其中私有云将用第一会话密钥加密票据以及第二会话密钥,并回复给客户端。客户端收到私有云发送的消息后,客户端用第一会话密钥解密消息,获得票据和与第二会话密钥。
5.根据权利要求4所述的基于Kerberos系统的跨云际认证方法,其特征在于:步骤三中所述的客户端将票据发送给公有云包括,客户端生成第二信息,所述第二信息包括客户端ID以及公有云ID,然后用第二会话密钥加密第二信息,并将票据和加密后的客户端第二信息的发送给公有云。
6.根据权利要求5所述的基于Kerberos系统的跨云际认证方法,其特征在于:步骤四还包括公有云收到票据和加密后的第二消息后,用公有云和私有云共享的共享密钥解密票据,并得到第二会话密钥以及票据中存储的客户端ID和公有云ID,然后公有云用得到的第二会话密钥解密第二信息,并得到第二信息中客户端ID和公有云ID,若第一身份信息与第二身份信息不同,则结束,若相同则继续,然后公有云用第二会话密钥加密的认证结束信息发送给客户端,认证结束。
7.根据权利要求6所述的基于Kerberos系统的跨云际认证方法,其特征在于:所述认证结束信息为公有云ID。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810385232.1A CN108574576B (zh) | 2018-04-26 | 2018-04-26 | 基于Kerberos系统的跨云际认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810385232.1A CN108574576B (zh) | 2018-04-26 | 2018-04-26 | 基于Kerberos系统的跨云际认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108574576A true CN108574576A (zh) | 2018-09-25 |
| CN108574576B CN108574576B (zh) | 2021-05-28 |
Family
ID=63575354
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810385232.1A Active CN108574576B (zh) | 2018-04-26 | 2018-04-26 | 基于Kerberos系统的跨云际认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108574576B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587233A (zh) * | 2018-11-28 | 2019-04-05 | 深圳前海微众银行股份有限公司 | 多云容器管理方法、设备及计算机可读存储介质 |
| CN109922128A (zh) * | 2019-01-08 | 2019-06-21 | 中金数据(武汉)超算技术有限公司 | 一种适用于跨云业务部署环境的数据安全交互方法 |
| CN112291157A (zh) * | 2020-10-23 | 2021-01-29 | 翼集分电子商务(上海)有限公司 | 一种积分系统中基于混合云的智能业务访问控制中心 |
| CN112929374A (zh) * | 2021-02-09 | 2021-06-08 | 深圳阿帕云计算有限公司 | 一种基于云计算多因子双向动态认证加密系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
| CN104113412A (zh) * | 2013-04-22 | 2014-10-22 | 中国银联股份有限公司 | 基于PaaS平台的身份认证方法以及身份认证设备 |
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
-
2018
- 2018-04-26 CN CN201810385232.1A patent/CN108574576B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104113412A (zh) * | 2013-04-22 | 2014-10-22 | 中国银联股份有限公司 | 基于PaaS平台的身份认证方法以及身份认证设备 |
| CN103780618A (zh) * | 2014-01-22 | 2014-05-07 | 西南交通大学 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 解福: "云计算环境中认证与密钥协商关键技术研究", 《中国博士学位论文全文数据库信息科技辑》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587233A (zh) * | 2018-11-28 | 2019-04-05 | 深圳前海微众银行股份有限公司 | 多云容器管理方法、设备及计算机可读存储介质 |
| CN109587233B (zh) * | 2018-11-28 | 2021-08-17 | 深圳前海微众银行股份有限公司 | 多云容器管理方法、设备及计算机可读存储介质 |
| CN109922128A (zh) * | 2019-01-08 | 2019-06-21 | 中金数据(武汉)超算技术有限公司 | 一种适用于跨云业务部署环境的数据安全交互方法 |
| CN112291157A (zh) * | 2020-10-23 | 2021-01-29 | 翼集分电子商务(上海)有限公司 | 一种积分系统中基于混合云的智能业务访问控制中心 |
| CN112929374A (zh) * | 2021-02-09 | 2021-06-08 | 深圳阿帕云计算有限公司 | 一种基于云计算多因子双向动态认证加密系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108574576B (zh) | 2021-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107426157B (zh) | 一种基于数字证书以及ca认证体系的联盟链权限控制方法 | |
| CA2551113C (en) | Authentication system for networked computer applications | |
| KR101459802B1 (ko) | 암호화 증명의 재검증에 기반을 둔 인증 위임 | |
| CN100546245C (zh) | 跨安全域的网络认证和密钥分配方法 | |
| EP1927211B1 (en) | Authentication method and apparatus utilizing proof-of-authentication module | |
| CN103124269B (zh) | 云环境下基于动态口令与生物特征的双向身份认证方法 | |
| CN102420690B (zh) | 一种工业控制系统中身份与权限的融合认证方法及系统 | |
| McMahon | SESAME V2 public key and authorisation extensions to Kerberos | |
| CN108574576A (zh) | 基于Kerberos 系统的跨云际认证方法 | |
| CN107257334A (zh) | 用于Hadoop集群的身份认证方法 | |
| CN111931144A (zh) | 一种操作系统与业务应用统一安全登录认证方法及装置 | |
| CN105207776A (zh) | 一种指纹认证方法及系统 | |
| CN110378152B (zh) | 一种基于pkica认证及区块链技术的合同签订管理系统及方法 | |
| CA2482696A1 (en) | Challenge-based authentication without requiring knowledge of secret authentication data | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| Farouk et al. | Authentication mechanisms in grid computing environment: Comparative study | |
| CN116015669A (zh) | 一种基于区块链的物联网跨域协同认证方法 | |
| CN108512832A (zh) | 一种针对OpenStack身份认证的安全增强方法 | |
| US20150100777A1 (en) | Secure Federated Identity Service | |
| Smejkal et al. | Strong authentication using dynamic biometric signature | |
| Chen et al. | A Mobile Internet Multi-level Two-way Identity Authentication Scheme Based on Zero Trust | |
| Millman | Authentication and Authorization | |
| Bakare et al. | Improved Secure Biometric Authentication Protocol | |
| Wang et al. | Design and implementation of a safe Public Key Infrastructure | |
| Kanungo | Identity authentication in heterogeneous computing environments: a comparative study for an integrated framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |