没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
2013 年 8 月 Journal on Communications August 2013
第 34 卷第 Z1 期
通 信 学 报
Vol.34
No. Z1
分布式文件交互系统节点身份认证方案
何文才
1,2
,杜敏
1,2
,陈志伟
1,2
,刘培鹤
1
,韩妍妍
1
(1. 北京电子科技学院 通信工程系,北京 100070;2. 西安电子科技大学 通信工程学院,陕西 西安 710071)
摘 要:基于分布式云存储系统利用椭圆曲线和散列函数等内容,提出了一种云环境下的双向身份认证方案,实
现双向认证过程。新方案的优点在于产生对通信双方公正的会话密钥,同时设计了 2 种不同类型的认证: 本地网
内认证和跨网络认证。最后对该方案进行了安全性和性能分析,证明了本方案具有很强的安全性,能够保护用户
的隐私性和抗抵赖性,且具有较低的计算量。该方案满足云存储在通信环境中的需求。
关键词:分布式文件系统;身份认证;云存储;双向认证
中图分类号:TP391 文献标识码:A 文章编号:1000-436X(2013)Z1-0014-07
Scheme of node identify authentication in
distributed file interaction system
HE Wen-cai
1,2
, DU Min
1,2
, CHEN Zhi-wei
1,2
, LIU Pei-he
1
, HAN Yan-yan
1
(1. Department of Telecommunications Engineering, Beijing Electronic Science & Technology Institute, Beijing 100070, China;
2. School of
Telecommunications Engineering, Xidian University, Xi′an 710071, China)
Abstract: Under the mutual identity authentication, a scheme based on distributed cloud storage system was proposed,
using symmetric encryption algorithm and hash function to realize bidirectional authentication process. Advantages of the
novel project are to produce fair session key to both communications, and design the two different types of authentication:
within the network and across a network authentication. Then the security of this scheme was analyzed. The scheme is
more secure than the former ones and it can protect the privacy of users and non-repudiation, and has lower computa-
tional cost. Therefore, this scheme can meet the demand of cloud storage communication environments.
Key words: distributed file system; identify authentication; cloud storage; date interaction
1 引言
传统的分布式文件系统在存储容量和性能上存
在瓶颈,云存储
[1]
可以提供一个巨大的存储空间,主
要解决海量数据的存储问题,是一种超大规模的复
杂分布式文件系统。在分布式文件系统数据交互的
过程中,对节点进行身份认证是保证网络安全和管
理的重要内容,是保证数据安全可靠传输的基础。
云存储是实现在线存储的一种新型存储模式,
在安全云存储系统中,分布式文件交互系统是实现
内部管理和对外服务的基础。大规模的数据访问
时,充分利用网络中节点互相关联的特性,把用户
安全认证管理和访问控制的责任分摊到多个节点
上,这样就能大大降低单个节点的负担,同时也减
少了通信节点间因身份认证而带来的巨大开销。
从存储系统的技术需求和发展来看,文件系统
是构建云存储系统的重要部分,其优势在于可降低
硬件存储设备、维护费用、灵活的应用模式以及高
度自动处理过程
[2,3]
。无论是从安全性还是从费用支
忖的角度来看,用户与存储节点之间实现双向认证是
必不可少的。目前针对云存储系统安全性的研究主要
集中在存储安全性和传输安全性等方面,关于用户身
收稿日期:2013-07-03
基金项目:国家重点基础研究发展计划(“973”计划)基金资助项目(2007CB31120);国家密码发展基金密码理论课题
基
金资助项目
Foundation Items: The National Basic Research Program of China (973 Program) (2007CB31120); The Cryptography Basic D
e-
velopment Fund of China on Cryptographic Theory
doi:10.3969/j.issn.1000-436x.2013.z1.003
第 Z1 期 何文才等:分布式文件交互系统节点身份认证方案 ·15·
份认证的研究不是很多。身份认证是实现云服务平台
安全体系的重要机制,是整个安全体系的基础,为云
服务平台用户身份的真实性提供安全保证
[4]
。
面对云存储中复杂的应用环境,传统的基于用
户名和口令的认证方式已经不能满足云存储环境中
多种认证场景的安全需求。基于挑战与应答一次性
口令的OTP(one-time password)认证中
[5]
,用户每次
在向服务器发起认证的时候,所用的随机数和信息
都是以明文形式传送,因此在传输过程中无法抵挡
中间人的假冒攻击。OpenID
[6]
技术能够有效地解决
上述问题,但是OpenID技术的标准认证协议中并没
有认证云服务的身份,也没有对云服务请求的身份
信息进行细粒度授权,会导致因身份的数据空间不
同造成资源不可访问的现象
[7]
。基于安全确认标记语
言(SAML)的单点登录方案与OpenID协议十分类似,
可以灵活地设计自动发现机制
[8]
,但SAML只满足较
少的互相信任的安全域内部署单点登录方案,很难构
建一般用途的管理工具,具有一定的局限性。
针对现有方案的缺陷,为了解决分布式文件系
统中用户和云服务器之间的双向认证问题,本文基
于椭圆曲线离散对数问题提出了一种新的分布式
交互系统中的节点身份认证模型,并建立了节点之
间的双向认证关系。分析了方案的安全性,降低了
通信转发过程中的复杂度。
2 分布式文件交互系 统节点的身份认证模
型设计
2.1 椭圆曲线加密算法
有限域
q
F
表示含有
q
个元素,且
q
为素数,
3
q
>
,
取
,
q
a b F
∈
,使得
3 2
4 27 0
a b
+ ≠
。由参数
,
a b
定义
q
F
上的椭圆曲线方程为:
2 3
(mod )
y x ax b p
= + +
和曲
线参数
( , , , , , )
T q a b G n h
=
,其中,
1(mod )
qt n
≠
,
1
≤
20
t ≤
,
G
设为该椭圆曲线的基点;
G
的阶为
n
,
n
为素数;
h
为椭圆曲线上点个数
m
与阶
n
相除的整
数部分,
4
h
≤
;
q nh
≠
。
椭圆曲线方程的一个无穷远点(记为
0
)和所有
正整数解
( , )
x y
可以组成一个集合,记为
( )
q
E F
。设
( )
q
P E F
∈
,若
P
周期很大,即
0
P P P
+ + + =
…
(共
有
n
个
P
相加)成立的最小正整数
n
存在;若
n
不存
在,则
P
为无限阶。事实上,在有限域上定义的椭圆
曲
线上所有点的阶
n
都存在,并且
( )
q
O E F
∈
,一定
存在一个正整数
m
,满足
Q mp P P P
= = + + +
…
(共
有
m
个
P
相加),可转换为
log
p
m Q
=
。
( )
q
E F
对点的“
+
”运算形成一个
Abel
群,相
关它的离散对数问题是难解的,且
Q mp
=
(或
log
p
m Q
=
),其中,
Q
、
p
为椭圆曲线在
( )
q
E F
上
的点,
m
为小于点
P
的阶。给定
m
和
P
,可以计算
出
Q
;但给定
Q
和
P
,求
m
是难解的,这是椭圆曲
线加密算法的离散对数问题。
椭圆曲线加密算法的特点是不存在计算椭圆曲
线有理点群的离散对数问题的指数算法,这就意味着
在同等安全的前提下,椭圆曲线密码体制可以选择更
小的参数,执行更快的运行速度,满足了云存储中节
点间大量身份认证和密钥协商中的加解密需求。
2.2 分布式文件交互系统节点结构
作者把分布式云存储网络中的用户节点定义为
2
类:一类是用户交互数据在分布式存储的一个局域网
内的节点,如服务器
A
下的用户,需要与节点
1
, ,
n
A A
…
进行数据交互,此时
1
, ,
n
A A
…
便称为内部节
点。另一类是用户需要交互的数据在另一个服务器下
的存储节点上,此类存储节点不能与用户直接通信,
需要借助服务器的转发,例如,服务器
A
下的用户,
需要与服务器
B
或
C
下的节点进行数据交互,此类存
储节点称为外部节点。当与内部节点进行数据交互
时,需要对其进行内部认证;当用户与外部节点进行
数据交互时,需要对其进行外部认证。
本节首先阐述了如图
1
所示的云存储模型的
密钥协商机制,再介绍内部认证和外部认证的详
细步骤。
图 1 基于分布式的云存储系统模型
剩余6页未读,继续阅读
资源评论
weixin_38608873
- 粉丝: 6
- 资源: 979
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功