互联网技术的诞生和快速发展,使信息和数据呈爆发式增长,用户需要不断加大系统硬件投入以提升自己的计算能力和存储空间,但这种方式的服务能力有限、效率低下。此外,照高负载配置的服务器集群,在低负载时会造成资源的大量浪费和闲置,导致维护的成本较高。而云服务提供商通过将需求模块化和集中化,有效地提升了资源的利用率;用户获得服务便利性的同时,还通过按需付费的方式降低了成本。因此,以资源租用、应用托管、服务外包为核心的特点云计算技术一经提出,便获得了各界的广泛关注。身份认证是云计算安全的基础,主要为用户和云服务提供商的身份提供保证,阻止非法用户获取云资源。随着云计算技术的快速发展,其部署规模越来越大,用户需要频繁地在不同的可信域之间穿越。然而,传统的跨域身份认证技术无法满足云计算的安全需求。为了解决上述问题,本文以无证书密码体制和代理重签名体制为基础,结合双线性映射和PKI/CA体制的优势,提出了两个新型的云计算环境下大规模应用的跨域身份认证方案。(1)针对基于无证书签名技术的跨域身份认证方案无法满足匿名认证的不足,结合双线性映射提出了一种新的云端跨域认证方案。认证双方身份真实性由无证书签名的合法性和消息的有效性保证,并在完成双向跨域认证的同时完成会话密钥的协商。引入分层ID树结构和“口令+密钥”的双因子认证方式,确保了身份的唯一性,大大增强了方案的安全性。利用临时身份实现用户身份的匿名性,并对用户的恶意匿名行为具有可控性。分析结果表明,该方案在CK模型中是安全的,并能抵抗伪造、重放、替换攻击,其性能非常适用于云计算环境。(2)结合代理重签名技术与PKI/CA认证体制,提出了一种基于半可信代理者的云端跨域身份认证方案。在整个认证过程中,数字证书的合法性和认证消息的有效性可以确保双方身份的真实性,并在完成认证的同时交换各自的密钥协商参数,进一步确定通信的会话密钥;通过半可信代理者的证书转换功能,建立了域间的信任关系,从而有效避免了传统PKI体系在云计算环境下应用时的诸多安全问题。分析结果表明,该方案具有用户身份匿名性和匿名可控性,实现了对恶意用户的追溯。此外,会话密钥满足前/后向安全性等性质,并且攻击者利用重放攻击和替换攻击无法攻破其安全性。该方案保留了 PKI技术的优势,同时简化了交互认证过程,提高了云计算环境下跨域身份认证的效率。