云环境下基于代理重签名的跨域身份认证方案

摘要

云计算是当前发展十分迅速的战略性新兴产业,但云计算面临着诸多关键性的安全问题,并且已经成为制约其发展的重要因素,其中身份认证问题首当其冲.身份认证是云计算安全的基础,为用户和云服务提供商的身份提供保证,阻止非法用户进入云系统,限制非法用户访问云资源.当前各类云服务已开始呈现出整合趋势,越来越多的云服务需要与其它异域的云服务互联,云服务提供商利用跨域身份认证机制来识别异域用户身份.目前大部分云计算平台采用用户名/口令组合认证,但这种认证方式存在两个主要的弊端:一是安全系数低,很容易被截取和监听;二是如果不同平台使用统一的用户名和密码,很容易造成用户身份信息的泄露.PKI(Public Key Infrastructure)为云计算环境下身份认证问题的解决提供了可行途径,是目前公认的保障网络社会安全的最佳体系,能在开放的网络环境中提供身份认证服务,确定信息网络空间中身份的唯一性、真实性和合法性,保护网络空间中各种主体的安全利益,已经广泛应用于电子商务、电子政务、网上银行等领域.但现有的基于PKI的跨域身份认证技术在可实施性、可扩展性、灵活性、互操作性和证书验证等方面都存在严重的不足,它在对可扩展性、动态性、开放性等方面都有较高要求的云计算环境中难以得到应用.针对现有基于PKI的跨域身份认证机制存在信任路径长、证书验证效率低、域间信任路径构建复杂等问题,利用代理重签名技术提出了一种云环境下的跨域身份认证方案,实现用户与云服务提供商之间的双向身份认证.用户与云服务提供商基于数字证书的合法性和认证消息的有效性完成双方身份的真实性鉴别,并在认证过程中协商了会话密钥;“口令+密钥”的双因子认证过程,进一步增强了跨域身份认证系统的安全性;通过半可信代理者直接建立域间的信任关系,避免了复杂的证书路径构建和验证过程,减少了信任路径长度.基于计算性Diffie-Hellman问题和哈希函数的抗碰撞性,在标准模型下对新方案的强不可伪造性和完备性进行了证明.分析结果表明,文中的跨域身份认证方案具有匿名性、会话密钥的前/后向安全性、匿名的可控性等性质,并能抵抗重放攻击和替换攻击;在保留PKI技术优势的同时,简化了交互认证过程,提高了跨域身份认证效率,其性能更适用于大规模的云计算环境.