基于云环境CPK认证研究.docVIP

基于云环境CPK认证研究 　　摘 要： 从云计算的安全问题入手，引出了CPK认证系统和访问控制的概念，介绍了CPK认证的模式，通过分析比较CPK与PKI两种身份认证方法，探讨了CPK在云环境下的适用性，并对基于角色的访问控制模型作了详细的介绍，最后对基于角色的云平台访问控制构架的模型进行分析，提出了CPK认证方法与RBAC3访问控制模型相融合的方案。 　　关键词： CPK； 认证体系； 云计算； 访问控制； 基于角色的访问控制 　　中图分类号：TP309 文献标志码：A 文章编号：1006-8228（2017）08-06-04 　　Abstract： This paper begins with the security problem of cloud computing， to draw forth the concepts of CPK authentication system and access control， and introduces the CPK authentication mode. By comparing the CPK and PKI authentication methods， the applicability of CPK in cloud environment is discussed， and the role-based access control model is introduced in detail. Finally， the model of role-based cloud platform access control architecture is analyzed and the scheme which fuses the CPK authentication method and RBAC3 access control model is put forward. 　　Key words： CPK； certification system； cloud computing； access control； role-based access control 　　0 引言 　　云?算拥有庞大的用户数，然而云计算中数据的异地存储安全问题、用户隐私数据的保护、用户数据的安全以及用户身份验证等问题，是云计算发展过程中亟待于解决的问题。如何管理用户的隐私数据是一个十分复杂的问题，为此我们引入了CPK认证和访问控制的概念，CPK可以为无序的网络环境提供身份认证的技术，访问控制可以控制用户在访问过程中的权限，这样可以降低互联网泄密风险，为云计算提供一个安全的网络环境。 　　1 CPK简介 　　CPK标识认证算法是由我国学者南湘浩在1999年开始提出的[1]，2007年在欧洲密码年会上得到国际的认可。该算法建立在非对称加密算法的基础上，产生密钥对组合依据的理论是椭圆曲线密码学（Elliptic 　　Curve Cryptography， ECC）密钥复合定理[2]。以此来管理标识密钥的产生和密钥复合，CPK密码体制的安全性可大大提高。CPK密钥管理体制是基于椭圆离散对数问题构建的，根据该原理产生公、私钥矩阵，并将用户标识映射到矩阵上而生成大量的公、私钥对，由此实现大规模的密钥分发。相关学者通过对不同认证方式的分析比较， 认为CPK认证方式有独特的优势，是一种新型的认证技术。 　　CPK标识认证采用集中产生，分散管理的模式，其运行过程[3]如下。①注册中心接收来自用户的申请审核其是否为标识惟一的合法用户，审核通过后把用户ID标识交给CPK认证系统核心――密钥管理中心KMC。②密钥管理中心KMC联系负责产生密钥的密钥生成中心分发密钥。③密钥生成中心将用户标识映射成序列并基于公私钥矩阵来生成用户独有的公钥、私钥。④密钥管理中心KMC调配已生成用户的公钥私钥对，并将生成信息返还给证书注册中心。⑤证书注册中心将相关信息制作成ID证书，返回给用户，用户申请得到处理并结束。 　　2 CPK在云计算中的适用性 　　因PKI认证技术成熟且支撑设备完善，所以目前大多数认证系统的设计与实现是针对PKI进行。表1给出了对CPK与PKI一些主要功能的比较。 　　由表可知，PKI密钥采用分散产生，集中管理的模式，用户私钥由自身产生保存，公钥是计算机随机计算生成的一组数据，因此公钥的产生不具备规模性。它依赖于CA链进行认证，而LDAP目录库一直处于在线运行状态，维护量巨大。在CA的处理能力到达极限时，一旦核心CA出现失败，则整个PKI认证系统将毁于一旦，多层结构的CA信任度会在推移过程中逐渐淡化，用户数据的安全堪忧。 　　CPK公、私钥矩阵是基于椭圆曲线密码学建立，