0 引言

在云计算发展的推动下，数据传输工程的安全性问题日益突出，数据的丢失、窃取等事件层出不穷，为了保证多区域数据传输的机密性，需要对云共享系统提供身份认证^[1]，其认证的机制有口令认证和PKI体系数字认证，前者方法简单，安全性差；后者秘钥长、计算时间长、认证过程复杂，扩展性差，不利于数据的共享。

本文在云存储共享架构的基础上，实现不同域实体间的身份认证及参数交换，最后与其他方案进行对比。

1 云共享机制安全架构

本文设计的基于云共享机制的安全架构如图 1所示，采用分层的系统架构，通过根私钥生成器RPKG生成子私钥生成器PKG，并进行注册。子PKG进行所在区域实体的注册，并生成实体密钥。根据港口的地理位置不同，将云系统分成不同子区域，然后将不同的港口信息存储在对应区域的云端。每个区域的云服务器由子PKG、代理服务器和用户集组成。在进行不同港口的数据共享时，首先要解决的问题就是用户身份认证，本文引入了代理服务器，用户会将对称加密后的数据存储在云端，然后利用自己的公钥加密文件，将此文件存储到代理服务器，在此服务器上运行的加密文件是基于身份代理加密的，当用户申请共享文件时，会将加密文件的密钥转换成授权的公钥进行解密文件，从而实现文件的共享^[2]。

1）PKG注册

1）PKG将用户所提供的身份信息传送给RPKG，然后生成公钥 ${Q_{pkg}} = (I{D_{pkg}},T)$ ，式中ID_pkg 是PKG所提供的身份认证信息，T是时间节点，表示此公钥的有效截止日期。

2）RPKG计算 ${K_{pkg}} = G({S_{Rpkg}},{Q_{pkg}})$ ，式中K_pkg 是PKG的私钥，S_Rpkg 是主密钥，G（）代表了获取私钥的算法。

3）RPKG生成的向量是 ${{V}} = ({K_{pkg}},{P_{rpkg}},{Q_{pkg}})$ ，其中P_rpkg 和Q_rpkg 分别是RPKG的参数和公钥。RPKG将此向量通过安全协议与PKG相绑定。

2）实体注册

在整个云共享系统实体是系统中的用户、云端服务器、代理服务器和子PKG，通过实体注册可以实现子PKG对用户和云服务器的授权。

1）获取不同区域对应的身份信息给对应与中的PKG，然后生成公钥 ${Q_{en}} = (I{D_{En}},T)$ ，式中ID_En 是实体的身份信息，T是时间节点，表示此公钥的有效截止日期。

2）利用PKG来获取 ${K_{en}} = G({S_{pkg}},{Q_{en}})$ ，式中K_en 是本区域的私钥，S_pkg 是PKG的主密钥，G（）是提取私钥的算法。

3）PKG生成向量 ${{V}} = ({K_{en}},{P_{pkg}},{Q_{pkg}})$ ，式中P_pkg 是PKG的参数，Q_pkg 是其公钥，PKG会将此向量与云共享中的实体进行绑定。

2 身份认证协议设计

在多区域港口中，实体港口A和B是处于M和N不同区域的，如下图所示，要实现港口A和B之间的通信，必须要先进行身份认证和私钥协商。

其实现过程如下所描述：

1）实体A发送消息M给实体B，此消息是实体A的公钥、所在港口区域的PKG。

2）实体获取到实体A发送的消息后，根据ID_pkg-m 来判断是否与自己处于同一区域，然后通过PKG间的身份认证，B会将消息 $({\{ {Q_b},M,M({K_{bn}},M)\} _{{Q_{pkg - n}}}})$ 发给PKG-N，PKG-N进行B的身份认证，解密得到M，利用同区域身份认证的ID_pkg-n 与PKG-M进行身份认证交换得到公共参数。在得到公共参数后，利用同一区域实体认证协议，给实体B回复消息 $({\{ N,{[N]_{{K_{pkg - n}}}},M({K_{bn}},N)\} _{{Q_b}}})$ ，式中 $N = ({[{P_n}]_{{K_{pkg - n}}}},,{[{Q_{pkg - n}}]_{{K_{pkg - m}}}},{[{P_m}]_{{K_{pkg - n}}}},{P_m})$ ，P_n 和P_m 分别是PKG-N和PKG-M的公共参数。

3）在得到PKG-N的解密消息，要验证N的完整性，再进行PKG-M的身份认证，获取P_m 和P_n 以及签名，同时得到PKG对Q_pkg-n 的签名 ${[{Q_{pkg - n}}]_{{K_{pkg - m}}}}$ ，在确认没有问题后，验证P_m 和P_n 的完整性，再生成随机数R₁，利用Q_a 和P_m 进行消息加密，然后将加密后的消息 $({\{ {P_n},{[{P_n}]_{{K_{pkg - n}}}},{Q_{pkg - n}},{[{Q_{pkg - n}}]_{{K_{pkg - m}}}},{R_1}\} _{{Q_a},{P_m}}})$ 发送给实体A。

4）A在得到消息后进行解密，校验Q_pkg-n ，并且验证P_n 的完整性，得到随机数R₂，将 ${\{ {R_1},{R_2}\} _{{Q_b},{P_n}}}$ 发给实体B。

5）实体B对消息进行解密，得到随机数R₁，R₂，通过R₁来验证A的身份，得到随机数R₃、会话密钥SK和完整的验证密钥VK，然后将消息 $({\{ {R_2},{R_3},SK,VK\} _{{Q_a}{P_m}}})$ 发送给实体A。

6）A对B发送过来的消息进行解密，得到R₂，R₃，SK，VK，然后A根据R₂来验证B的身份，并利用SK对R₃进行加密，使用VK得到加密的MAC码，最后将消息 $({\{ {R_3}\} _{SK}},M(VK,{\{ {R_3}\} _{SK}}))$ 发送给B。

7）实体B计算 $M(VK,{\{ {R_3}\} _{SK}})$ ，并验证其完整性，解密得到R₃，看其是否等于之前的值，若相等，则说明实体A收到了正确的SK和VK，实体B通过发送 $({\{ ''OK''\} _{SK}},M(VK,{\{ ''OK''\} _{SK}}))$ 告诉实体A可以进行数据通信了。

3 实验结果分析

云存储中的数据量非常大，并且涉及到的实体非常多，身份认证的效率会影响系统的扩展性。本文就不同区域港口身份认证与Cao^[3]中协议进行了效率对比实验。

从表 1的实验数据可以看出，本文所采用的身份验证过程中加密、解密以及签名的次数要小于Cao中认证方法，但是计算Mac码的次数要多于Cao中认证方法，但是此操作的计算量要小于加密的。同时，本文身份认证方法的通信要好于Cao中认证方法。由此可知，本文采用的身份认证方法认证效率高，计算量小，扩展性强。

4 结语

本文针对多区域港口信息共享中存在的数据安全问题进行了研究，首先本文建立了云共享机制安全系统，并给出了系统架构，然后设计了不同区域不同实体间的身份认证协议，以此来确保不同区域的不同实体之间的通信安全。最后将本文设计的身份认证算法与Cao中的认证方法进行对比，实验结果表明，本文算法认证效率高、计算速度快，具有较强的实用性。