云安全认证作为云安全的基础,是云安全中其他安全策略实现其安全功能的保障。在目前的云安全认证方式中,广大云计算产品主要采用以数字证书为主要组成因素的传统认证方式。然而该认证方式由于其内在的请求、发送、校对等证书操作使得认证过程在通信和计算花费方面有较低的效率,增加了云终端的负担,限制了云终端的扩展性。且该认证方式还需要CA做大量的证书管理工作,包括证书的销毁、存储、备份、颁发等。针对此特点,本论文提出了一种基于身份的云安全认证机制,使用用户的有效标志符的杂凑值作为用户的公钥,把用户的公钥和身份有机结合起来,具有基于身份的公钥、免证书、短密钥尺寸、较少的通信交互次数等特点。该机制由双线性映射来实现,由BDHP(Bilinear Diffie-Hellman Problem)来保证其安全强度,且使用较少计算花费的异或操作来代替传统认证中的公钥操作进行会话密钥的协商。模拟实验数据显示,该机制的短密钥、较少交互,免证书等特点有效提高了目前云安全广泛使用的传统认证方式的效率。针对基于身份的云安全认证机制中的云终端密钥托管问题,我们提出了一种由云终端控制密钥的基于身份认证机制。在该机制中,云终端以云端产生的公钥／私钥对为输入,在云终端生成一对新的公钥／私钥对,云终端使用新公钥／私钥对和云端进行基于身份的认证。根据策略分析和模拟实验数据,该机制不仅克服了密钥托管问题,而且在增加较少开销的情况下,保留了基于身份的云安全认证机制的免证书、短密钥尺寸等优点。针对某些企业混合云中,用户访问公有云中数据时,直接和公有云端TA系统进行认证模式的低效性,我们还提出了一种基于Kerberos的跨云际认证模型。在该模型中,云终端使用“基于身份的云安全认证机制”或“云终端控制密钥的身份认证机制”直接和私有云进行认证,凭借企业私有云发放的票据访问企业存放在公有云中的数据。该模型实现了单点登录的功能,减轻了云终端的认证负担,降低了云终端的安全要求,有利于企业对数据的集中控制和存取策略的实时变化。