專利名稱:一種基于信任的跨域認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域���,具體涉及一種基于信任的跨域認(rèn)證方法��。
背景技術(shù):
跨域認(rèn)證就是指在不同域內(nèi)登錄的客戶和服務(wù)器之間的認(rèn)證�����。近年來�,隨著信息 化的發(fā)展和信息安全的需要���,各部門�、行業(yè)����、地區(qū)����,分別建設(shè)了相應(yīng)的證書管理系統(tǒng)和身份 認(rèn)證體系�,處于不同域中的企業(yè)、機(jī)構(gòu)之間出現(xiàn)了更多的業(yè)務(wù)來往�,跨域的安全訪問成為了 大規(guī)模分布式環(huán)境,特別是多域環(huán)境下的必然需求���。目前���,一個域的實體在跨域訪問其他信任域的實體的時候�����,跨域認(rèn)證普遍采取的 方法是由受訪問的實體所在的信任域的認(rèn)證服務(wù)器直接對訪問實體進(jìn)行跨域身份認(rèn)證�。其 中,同構(gòu)域采用同種認(rèn)證體制的信任域�����,異構(gòu)域采用不同種類的認(rèn)證體制的信任域?,F(xiàn)有的 認(rèn)證體制有PKI (public Key Infrastructure,公開密鑰基礎(chǔ)設(shè)施)認(rèn)證體制、Kerberos認(rèn) 證體制��、IBC(Identity-Based Cryptography�����,基于身份的認(rèn)證體制)認(rèn)證體制等�����。對于跨同構(gòu)域的認(rèn)證���,比如基于PKI認(rèn)證體制的信任域A向基于PKI認(rèn)證體制的 信任域B進(jìn)行跨域認(rèn)證時�����,這時����,就需要建立一條從目標(biāo)證書到認(rèn)證方之間的一條或多條 候選的證書路徑���,證書路徑中的每個證書都要被檢查和驗證��,這樣�,交叉證書路徑處理的過 程就非常復(fù)雜,從而使認(rèn)證服務(wù)器在驗證非本域用戶的證書過程變得繁瑣和低效�����。對于跨異構(gòu)域的認(rèn)證��,由于不同的信任域���,那它們之間的認(rèn)證體制也不一樣����,不兼 容��,這就導(dǎo)致用戶的身份憑證形式不同�,例如PKI使用身份證書,Kerberos采用票據(jù)形式�����。 所以��,當(dāng)認(rèn)證服務(wù)器在直接驗證非本域身份憑證的時候����,認(rèn)證服務(wù)器需要對身份憑證的形 式進(jìn)行轉(zhuǎn)換,這樣���,就使得認(rèn)證服務(wù)器在驗證非本域的用戶憑證的過程也變得繁瑣��。
發(fā)明內(nèi)容
本發(fā)明針對跨域認(rèn)證中認(rèn)證服務(wù)器在驗證非本域用戶憑證式的繁瑣低效的問題��, 提供一種基于信任的跨域認(rèn)證方法�����。本發(fā)明解決其技術(shù)問題的關(guān)鍵點是在至少包括兩個信任域內(nèi)���,建立不同信任域 中的認(rèn)證服務(wù)器之間的基于公開密鑰基礎(chǔ)設(shè)施PKI認(rèn)證體系的信任關(guān)系,當(dāng)?shù)谝恍湃斡蛑?的第一實體跨域訪問第二信任域中的第二實體時���,跨域認(rèn)證方法包括以下步驟步驟1 第一個信任域中的第一認(rèn)證服務(wù)器對第一實體進(jìn)行身份認(rèn)證��,并將認(rèn)證 結(jié)果發(fā)送給第二信任域中的第二認(rèn)證服務(wù)器����;步驟2 第二認(rèn)證服務(wù)器利用預(yù)先建立的基于PKI認(rèn)證體系的信任關(guān)系驗證第一 認(rèn)證服務(wù)器是否合法�����,合法則執(zhí)行步驟3,否則結(jié)束�;步驟3 第二認(rèn)證服務(wù)器判斷接收到的認(rèn)證結(jié)果是否為認(rèn)證通過,是則表示跨域 認(rèn)證成功�,否則跨域認(rèn)證失敗。本發(fā)明方法的有益效果通過對不同的信任域中的認(rèn)證服務(wù)器之間建立基于PKI 認(rèn)證體系的信任關(guān)系��,不同信任域認(rèn)證服務(wù)器之間利用這種信任關(guān)系傳送認(rèn)證結(jié)果從而實現(xiàn)跨域認(rèn)證��,這樣就解決了跨同構(gòu)域認(rèn)證中交叉證書路徑處理復(fù)雜的問題���,及跨異構(gòu)域中 認(rèn)證服務(wù)器認(rèn)證不同形式的身份憑證時需要對身份憑證的形式進(jìn)行轉(zhuǎn)換的問題����,從而簡化 了跨域認(rèn)證流程��,提高了跨域認(rèn)證效率���。
具體實施例方式一種基于信任的跨域認(rèn)證方法包括如下步驟步驟(1)建立不同信任域中的認(rèn)證服務(wù)器之間基于PKI認(rèn)證體系的信任關(guān)系����。具 體方法為將不同信任域中的認(rèn)證服務(wù)器歸屬于基于PKI認(rèn)證體系中的同一個信任認(rèn)證中 心CA�,該信任認(rèn)證中心CA為每個認(rèn)證服務(wù)器頒發(fā)證書���,根據(jù)PKI認(rèn)證理論可知���,一個CA的 所有實體都自動信任該CA所簽發(fā)的所有證書��,這樣就建立起認(rèn)證服務(wù)器之間的信任關(guān)系 了����。這里�����,可以包含至少兩個信任域�����,相應(yīng)的��,認(rèn)證服務(wù)器的數(shù)量也有至少兩個��。其中實體 可以為用戶�����、應(yīng)用服務(wù)器等�。當(dāng)上述至少兩個信任域中的域A的實體a要跨域訪問域B的實體b時����,跨域認(rèn)證 的方法包括如下步驟步驟(2)實體a向?qū)嶓wb發(fā)送跨域訪問請求�。步驟(3)實體b將信任域B中的認(rèn)證服務(wù)器Bl的標(biāo)識發(fā)送給實體a。步驟⑷實體a向域A中的認(rèn)證服務(wù)器Al發(fā)送包含認(rèn)證服務(wù)器Bl的標(biāo)識的認(rèn)證 請求�����。步驟(5)域A的認(rèn)證服務(wù)器Al對實體a進(jìn)行身份認(rèn)證�����,將認(rèn)證結(jié)果依據(jù)上述認(rèn)證 服務(wù)器Bl的標(biāo)識發(fā)送給域B的認(rèn)證服務(wù)器Bl �;其中認(rèn)證服務(wù)器對本域內(nèi)的實體進(jìn)行身份認(rèn)證時,由于各信任域采用的認(rèn)證體制 不同(如有的用PKI����,有的用Kerberos等),認(rèn)證服務(wù)器根據(jù)其所屬域的認(rèn)證體制對域內(nèi)實 體進(jìn)行身份認(rèn)證�。這里,采用域A是PKI認(rèn)證體制的例子來說明認(rèn)證步驟���。此時���,認(rèn)證服務(wù)器Al可以 采用證書方式、口令方式����,或者證書方式與口令方式相結(jié)合的方式對實體a進(jìn)行身份認(rèn)證。 其中��,認(rèn)證服務(wù)器Al采用證書方式對實體a進(jìn)行身份認(rèn)證的過程舉例說明如下第一步實體a向認(rèn)證服務(wù)器Al發(fā)送認(rèn)證請求消息{實體a身份證書��,認(rèn)證服務(wù) 器Al公鑰加密的臨時密鑰����,臨時密鑰加密的實體a標(biāo)識和隨機(jī)數(shù)ru}。第二步認(rèn)證服務(wù)器Al收到消息后驗證實體a身份證書有效性和證書路徑���,驗證 失敗則拒絕��。驗證成功后查詢用戶是否已注冊���,未注冊則拒絕,已經(jīng)注冊則讀取實體a的用 戶信息����,解密出臨時密鑰從而解密出隨機(jī)數(shù)ru和實體a身份標(biāo)識并與實體a的身份證書聲 明比較是否一致,若一致則向?qū)嶓wa發(fā)送消息{實體a公鑰加密的本次會話的會話密鑰,會 話密鑰加密的認(rèn)證服務(wù)器的身份標(biāo)識�����,收到的隨機(jī)數(shù)ru���,認(rèn)證服務(wù)器Al產(chǎn)生的隨機(jī)數(shù)ra}�。第三步實體a收到消息后解密���,若看到自己發(fā)送出的隨機(jī)數(shù)ru則信任認(rèn)證服務(wù) 器Al����,并發(fā)送消息{用本次會話密鑰加密的由認(rèn)證服務(wù)器Al產(chǎn)生的隨機(jī)數(shù)ra}�。認(rèn)證服務(wù) 器Al收到消息后解密若看到自己產(chǎn)生的隨機(jī)數(shù)ra則信任實體a,認(rèn)證結(jié)果為認(rèn)證通過�,否 則認(rèn)證結(jié)果為未通過。認(rèn)證服務(wù)器Al采用口令方式對實體a進(jìn)行身份認(rèn)證的過程舉例說明如下第一步實體a向認(rèn)證服務(wù)器Al發(fā)送一個隨機(jī)數(shù)ru作為挑戰(zhàn)值��。
第二步認(rèn)證服務(wù)器Al收到實體a的挑戰(zhàn)值ru后產(chǎn)生對用戶的挑戰(zhàn)值ra��,然后 對ru�����、ra和口令鏈接求散列值,向?qū)嶓wa發(fā)送消息{挑戰(zhàn)值ra�,散列值}。第三步實體a收到消息后按相同方法求散列值�����,與收到的散列值比較�����,比較結(jié)果 不同則認(rèn)證結(jié)果為未通過��,相同則信任認(rèn)證服務(wù)器Al����,用會話密鑰對{認(rèn)證服務(wù)器前后產(chǎn) 生的隨機(jī)數(shù)ra和口令鏈接后的散列值}加密后發(fā)送給認(rèn)證服務(wù)器Al��,認(rèn)證服務(wù)器Al收到 消息后做散列值驗證��,若匹配則信任實體a��,認(rèn)證結(jié)果為認(rèn)證通過�。證書和口令相結(jié)合的認(rèn)證方式可以是先進(jìn)行證書方式認(rèn)證通過后再進(jìn)行口令方 式認(rèn)證,或先進(jìn)行口令方式認(rèn)證通過后再進(jìn)行證書方式認(rèn)證����。步驟(6)認(rèn)證服務(wù)器Bl利用預(yù)先建立的上述基于PKI認(rèn)證體系的信任關(guān)系驗證 認(rèn)證服務(wù)器Al是否合法���,合法則執(zhí)行步驟(7),否則結(jié)束����;驗證的方法可以是認(rèn)證服務(wù)器Bl通過驗證認(rèn)證服務(wù)器Al的證書來驗證認(rèn)證服務(wù) 器Al的合法性。步驟(7)認(rèn)證服務(wù)器Bl判斷接收到的認(rèn)證結(jié)果是否為認(rèn)證通過���,是則跨域認(rèn)證成 功�����,否則跨域認(rèn)證失敗���。通過在不同信任域中的認(rèn)證服務(wù)器之間建立基于PKI認(rèn)證體系的信任關(guān)系,不同 信任域中的兩個認(rèn)證服務(wù)器之間利用這種互相信任的關(guān)系傳送認(rèn)證結(jié)果實現(xiàn)跨域認(rèn)證����,從 而解決了跨同構(gòu)域認(rèn)證中交叉證書路徑處理復(fù)雜的問題,及跨異構(gòu)域中認(rèn)證服務(wù)器認(rèn)證不 同形式的身份憑證時需要對身份憑證的形式進(jìn)行轉(zhuǎn)換的問題���,從而簡化了跨域認(rèn)證流程��, 提高了跨域認(rèn)證效率�。
權(quán)利要求
一種基于信任的跨域認(rèn)證方法,其特征在于該方法包括如下步驟步驟(1)建立不同信任域中的認(rèn)證服務(wù)器之間基于PKI認(rèn)證體系的信任關(guān)系����,具體方法為將不同信任域中的認(rèn)證服務(wù)器歸屬到基于PKI認(rèn)證體系中的同一個信任認(rèn)證中心CA,該信任認(rèn)證中心CA為每個認(rèn)證服務(wù)器頒發(fā)證書��;步驟(2)信任域A中的實體a向信任域B中的實體b發(fā)送跨域訪問請求�����;所述的信任域A和信任域B為不同的信任域����;所述的實體為用戶或應(yīng)用服務(wù)器����;步驟(3)實體b將信任域B中的認(rèn)證服務(wù)器B1的標(biāo)識發(fā)送給實體a;所述的認(rèn)證服務(wù)器B1為信任域B中的任一一個認(rèn)證服務(wù)器���;步驟(4)實體a向信任域A中的認(rèn)證服務(wù)器A1發(fā)送包含認(rèn)證服務(wù)器B1的標(biāo)識的認(rèn)證請求���;所述的認(rèn)證服務(wù)器A1為信任域A中的任一一個認(rèn)證服務(wù)器�;步驟(5)認(rèn)證服務(wù)器A1對實體a進(jìn)行身份認(rèn)證����,將認(rèn)證結(jié)果依據(jù)認(rèn)證服務(wù)器B1的標(biāo)識發(fā)送給認(rèn)證服務(wù)器B1;步驟(6)認(rèn)證服務(wù)器B1利用預(yù)先建立的基于PKI認(rèn)證體系的信任關(guān)系驗證認(rèn)證服務(wù)器A1是否合法��,如果認(rèn)證服務(wù)器A1合法則執(zhí)行步驟(7)�,如果認(rèn)證服務(wù)器A1不合法,則結(jié)束認(rèn)證�����;步驟(7)認(rèn)證服務(wù)器B1判斷接收到的認(rèn)證結(jié)果是否為認(rèn)證通過�����,如果認(rèn)證結(jié)果為認(rèn)證通過�����,則跨域認(rèn)證成功���;如果認(rèn)證結(jié)果為認(rèn)證未通過則跨域認(rèn)證失敗�����。
全文摘要
本發(fā)明涉及一種基于信任的跨域認(rèn)證方法?,F(xiàn)有的方法兼容性差、效率低�����。本發(fā)明方法首先是第一個信任域中的第一認(rèn)證服務(wù)器對第一實體進(jìn)行身份認(rèn)證���,并將認(rèn)證結(jié)果發(fā)送給第二信任域中的第二認(rèn)證服務(wù)器�;然后第二認(rèn)證服務(wù)器利用預(yù)先建立的基于PKI認(rèn)證體系的信任關(guān)系驗證第一認(rèn)證服務(wù)器是否合法����,合法則繼續(xù)執(zhí)行����,否則結(jié)束;最后第二認(rèn)證服務(wù)器判斷接收到的認(rèn)證結(jié)果是否為認(rèn)證通過���,認(rèn)證結(jié)果為認(rèn)證通過則表示跨域認(rèn)證成功���,否則跨域認(rèn)證失敗。本發(fā)明方法簡化了跨域認(rèn)證流程�,提高了跨域認(rèn)證效率���。
文檔編號H04L9/32GK101888297SQ201010228998
公開日2010年11月17日 申請日期2010年7月16日 優(yōu)先權(quán)日2010年7月16日
發(fā)明者倪永軍, 吳卿, 唐明, 張奇鋒, 張忠民, 趙俊杰, 郁偉煒, 金恭華 申請人:浙江省人大常委會辦公廳信息中心