[发明专利]终端认证云服务提供者的方法及系统、云服务提供者认证终端的方法及系统

说明书

本发明提供一种终端认证云服务提供者的方法，包括：依据谓词评估函数生成与终端有关的谓词评估令牌STK_f；生成包括所述谓词评估令牌STK_f与公钥SK_pu的数据包，所述数据包还包括指明所述云服务提供者身份的身份数据；将所述数据包发送到与所述云服务提供者有关的装置；在所述云服务提供者有关的装置处，依据谓词评估匿名判断函数对所接收的数据包进行解析，依据解析结果认证所述云服务提供者。还提供端认证云服务提供者的系统、云服务认证终端的方法及系统，以及双向云认证方法及系统。

技术领域

本发明涉及安全认证技术，具体而言，涉及云身份认证技术。

背景技术

现有的云身份认证技术主要采用联合身份认证机制，涉及到身份提供商(IDP)与服务提供商（SP）。这种情况下，多个SP共用一个IDP，在IDP失效的情况下，多个SP都将无法实现身份认证。此外，如果这个IDP受到攻击，就会造成数据泄露甚至系统瘫痪，导致巨额损失。

在联合身份认证过程中，通常只关注如何便捷实现对用户身份的认证，这就使用户面临网络钓鱼等危险。

发明内容

有鉴于此，本发明提供一种终端认证云服务提供者的方法，包括：依据谓词评估函数生成与终端有关的谓词评估令牌STK_f；生成包括所述谓词评估令牌STK_f与公钥SK_pu的数据包，所述数据包还包括指明所述云服务提供者身份的身份数据；将所述数据包发送到与所述云服务提供者有关的装置；在所述云服务提供者有关的装置处，依据谓词评估匿名判断函数对所接收的数据包进行解析，依据解析结果认证所述云服务提供者。

根据本发明的终端认证云服务提供者的方法，优选地，所述依据谓词评估函数生成与终端有关的谓词评估令牌STK_f包括：生成一对密钥SPK与SMSK；由所述一对密钥SPK与SMSK依据谓词评估函数生成与终端有关的谓词评估令牌STK_f。

根据本发明的又一方面，还提供一种云服务提供者认证终端的方法，包括：接收到来自终端的请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f；将密文UCT与谓词评估令牌UTK_f、与安全机制有关的数据SeP、以及公钥AK_pu一起用云服务提供者提供的公钥SK_pu生成安全主动约束包SAB；将所述安全主动约束包SAB提供给与云服务提供者有关的装置；通过所述云服务提供者提供的私钥解密所述安全主动约束包SAB；解密后的安全主动约束包SAB按照其中包括的与安全机制有关的数据SeP进行安全检查；在安全检查通过的情况下，从解密的所述安全主动约束包SAB取得密文UCT与谓词评估令牌UTK_f并解密UTK_f，在解密结果与所述认证用中间数据相同的情况下，认证通过。

按照本发明提供的云服务提供者认证终端的方法，可选地，所述认证用中间数据为云服务提供者的身份数据。

按照本发明提供的云服务提供者认证终端的方法，可选地，所述接收到来自终端的请求后，以谓词加密算法处理认证用中间数据，由此生成密文UCT与谓词评估令牌UTK_f包括：接收到来自终端的请求后，判断该云服务提供者是否是第一次认证该终端；如果是，则提供该终端虚拟身份，并基于该虚拟身份生成数字签名，同时，将该云服务提供者的身份数据作为认证用中间数据，以谓词加密算法处理该认证用中间数据，生成基于该身份数据的密文UCT与谓词评估令牌UTK_f；以及如果不是，则依据所述云服务提供者的身份数据获取该终端的数字签名，以谓词加密算法处理所述数字签名，由此生成基于所述数字签名的密文UCT与谓词评估令牌UTK_f。

根据本发明的又一示例，还提供一种双向云认证方法，用于终端与云服务提供者的互相认证，该方法包括：