一种基于信任的跨域认证方法
专利汇可以提供一种基于信任的跨域认证方法专利检索,专利查询,专利分析的服务。并且本 发明 涉及一种基于信任的跨域认证方法。现有的方法兼容性差、效率低。本发明方法首先是第一个信任域中的第一认证 服务器 对第一实体进行身份认证,并将认证结果发送给第二信任域中的第二认证服务器;然后第二认证服务器利用预先建立的基于PKI认证体系的信任关系验证第一认证服务器是否合法,合法则继续执行,否则结束;最后第二认证服务器判断接收到的认证结果是否为认证通过,认证结果为认证通过则表示跨域认证成功,否则跨域认证失败。本发明方法简化了跨域认证流程,提高了跨域认证效率。,下面是一种基于信任的跨域认证方法专利的具体信息内容。
1.一种基于信任的跨域认证方法,其特征在于该方法包括如下步骤:
步骤(1)建立不同信任域中的认证服务器之间基于PKI认证体系的信任关系,具体方法为:将不同信任域中的认证服务器归属到基于PKI认证体系中的同一个信任认证中心CA,该信任认证中心CA为每个认证服务器颁发证书;
步骤(2)信任域A中的实体a向信任域B中的实体b发送跨域访问请求;所述的信任域A和信任域B为不同的信任域;所述的实体为用户或应用服务器;
步骤(3)实体b将信任域B中的认证服务器B1的标识发送给实体a;所述的认证服务器B1为信任域B中的任一一个认证服务器;
步骤(4)实体a向信任域A中的认证服务器A1发送包含认证服务器B1的标识的认证请求;所述的认证服务器A1为信任域A中的任一一个认证服务器;
步骤(5)认证服务器A1对实体a进行身份认证,将认证结果依据认证服务器B1的标识发送给认证服务器B1;
步骤(6)认证服务器B1利用预先建立的基于PKI认证体系的信任关系验证认证服务器A1是否合法,如果认证服务器A1合法则执行步骤(7),如果认证服务器A1不合法,则结束认证;
步骤(7)认证服务器B1判断接收到的认证结果是否为认证通过,如果认证结果为认证通过,则跨域认证成功;如果认证结果为认证未通过则跨域认证失败。
技术领域
本发明属于网络安全领域,具体涉及一种基于信任的跨域认证方法。
背景技术
目前,一个域的实体在跨域访问其他信任域的实体的时候,跨域认证普遍采取的方法是由受访问的实体所在的信任域的认证服务器直接对访问实体进行跨域身份认证。其中,同构域采用同种认证体制的信任域,异构域采用不同种类的认证体制的信任域。现有的认证体制有PKI(public Key Infrastructure,公开密钥基础设施)认证体制、Kerberos认证体制、IBC(Identity-Based Cryptography,基于身份的认证体制)认证体制等。
对于跨同构域的认证,比如基于PKI认证体制的信任域A向基于PKI认证体制的信任域B进行跨域认证时,这时,就需要建立一条从目标证书到认证方之间的一条或多条候选的证书路径,证书路径中的每个证书都要被检查和验证,这样,交叉证书路径处理的过程就非常复杂,从而使认证服务器在验证非本域用户的证书过程变得繁琐和低效。
对于跨异构域的认证,由于不同的信任域,那它们之间的认证体制也不一样,不兼容,这就导致用户的身份凭证形式不同,例如PKI使用身份证书,Kerberos采用票据形式。所以,当认证服务器在直接验证非本域身份凭证的时候,认证服务器需要对身份凭证的形式进行转换,这样,就使得认证服务器在验证非本域的用户凭证的过程也变得繁琐。
发明内容
本发明解决其技术问题的关键点是:在至少包括两个信任域内,建立不同信任域中的认证服务器之间的基于公开密钥基础设施PKI认证体系的信任关系,当第一信任域中的第一实体跨域访问第二信任域中的第二实体时,跨域认证方法包括以下步骤:
步骤1:第一个信任域中的第一认证服务器对第一实体进行身份认证,并将认证结果发送给第二信任域中的第二认证服务器;
步骤2:第二认证服务器利用预先建立的基于PKI认证体系的信任关系验证第一认证服务器是否合法,合法则执行步骤3,否则结束;
步骤3:第二认证服务器判断接收到的认证结果是否为认证通过,是则表示跨域认证成功,否则跨域认证失败。
本发明方法的有益效果:通过对不同的信任域中的认证服务器之间建立基于PKI认证体系的信任关系,不同信任域认证服务器之间利用这种信任关系传送认证结果从而实现跨域认证,这样就解决了跨同构域认证中交叉证书路径处理复杂的问题,及跨异构域中认证服务器认证不同形式的身份凭证时需要对身份凭证的形式进行转换的问题,从而简化了跨域认证流程,提高了跨域认证效率。
具体实施方式
步骤(1)建立不同信任域中的认证服务器之间基于PKI认证体系的信任关系。具体方法为:将不同信任域中的认证服务器归属于基于PKI认证体系中的同一个信任认证中心CA,该信任认证中心CA为每个认证服务器颁发证书,根据PKI认证理论可知,一个CA的所有实体都自动信任该CA所签发的所有证书,这样就建立起认证服务器之间的信任关系了。这里,可以包含至少两个信任域,相应的,认证服务器的数量也有至少两个。其中实体可以为用户、应用服务器等。
当上述至少两个信任域中的域A的实体a要跨域访问域B的实体b时,跨域认证的方法包括如下步骤:
步骤(2)实体a向实体b发送跨域访问请求。
步骤(3)实体b将信任域B中的认证服务器B1的标识发送给实体a。
步骤(4)实体a向域A中的认证服务器A1发送包含认证服务器B1的标识的认证请求。
步骤(5)域A的认证服务器A1对实体a进行身份认证,将认证结果依据上述认证服务器B1的标识发送给域B的认证服务器B1;
其中认证服务器对本域内的实体进行身份认证时,由于各信任域采用的认证体制不同(如有的用PKI,有的用Kerberos等),认证服务器根据其所属域的认证体制对域内实体进行身份认证。
这里,采用域A是PKI认证体制的例子来说明认证步骤。此时,认证服务器A1可以采用证书方式、口令方式,或者证书方式与口令方式相结合的方式对实体a进行身份认证。其中,认证服务器A1采用证书方式对实体a进行身份认证的过程举例说明如下:
第一步:实体a向认证服务器A1发送认证请求消息{实体a身份证书,认证服务器A1公钥加密的临时密钥,临时密钥加密的实体a标识和随机数ru}。
第二步:认证服务器A1收到消息后验证实体a身份证书有效性和证书路径,验证失败则拒绝。验证成功后查询用户是否已注册,未注册则拒绝,已经注册则读取实体a的用户信息,解密出临时密钥从而解密出随机数ru和实体a身份标识并与实体a的身份证书声明比较是否一致,若一致则向实体a发送消息{实体a公钥加密的本次会话的会话密钥,会话密钥加密的认证服务器的身份标识,收到的随机数ru,认证服务器A1产生的随机数ra}。
第三步:实体a收到消息后解密,若看到自己发送出的随机数ru则信任认证服务器A1,并发送消息{用本次会话密钥加密的由认证服务器A1产生的随机数ra}。认证服务器A1收到消息后解密若看到自己产生的随机数ra则信任实体a,认证结果为认证通过,否则认证结果为未通过。
认证服务器A1采用口令方式对实体a进行身份认证的过程举例说明如下:
第一步:实体a向认证服务器A1发送一个随机数ru作为挑战值。
第二步:认证服务器A1收到实体a的挑战值ru后产生对用户的挑战值ra,然后对ru、ra和口令链接求散列值,向实体a发送消息{挑战值ra,散列值}。
第三步:实体a收到消息后按相同方法求散列值,与收到的散列值比较,比较结果不同则认证结果为未通过,相同则信任认证服务器A1,用会话密钥对{认证服务器前后产生的随机数ra和口令链接后的散列值}加密后发送给认证服务器A1,认证服务器A1收到消息后做散列值验证,若匹配则信任实体a,认证结果为认证通过。
证书和口令相结合的认证方式可以是先进行证书方式认证通过后再进行口令方式认证,或先进行口令方式认证通过后再进行证书方式认证。
步骤(6)认证服务器B1利用预先建立的上述基于PKI认证体系的信任关系验证认证服务器A1是否合法,合法则执行步骤(7),否则结束;
验证的方法可以是认证服务器B1通过验证认证服务器A1的证书来验证认证服务器A1的合法性。
步骤(7)认证服务器B1判断接收到的认证结果是否为认证通过,是则跨域认证成功,否则跨域认证失败。
通过在不同信任域中的认证服务器之间建立基于PKI认证体系的信任关系,不同信任域中的两个认证服务器之间利用这种互相信任的关系传送认证结果实现跨域认证,从而解决了跨同构域认证中交叉证书路径处理复杂的问题,及跨异构域中认证服务器认证不同形式的身份凭证时需要对身份凭证的形式进行转换的问题,从而简化了跨域认证流程,提高了跨域认证效率。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种智能密钥设备的工作方法 | 2020-08-09 | 6 |
| 自治公钥证书管理方法、系统及设备 | 2020-07-19 | 1 |
| 一种基于移动终端的CA证书实现方法 | 2021-06-19 | 2 |
| 一种基于云端多渠道协同生产二维码方法以及系统 | 2020-12-23 | 2 |
| 基于电子书的群组阅读方法、电子设备及计算机存储介质 | 2022-03-26 | 5 |
| 邮件加密方法、装置及计算机可读存储介质 | 2020-07-24 | 3 |
| 互动课堂实验室实现方法 | 2022-02-15 | 3 |
| 用于签发证书的格式不可知的系统和方法 | 2020-05-18 | 4 |
| 居民信息核对方法及系统 | 2021-10-09 | 1 |
| 一种支持应用软件检查第三方软件的证书的方法和装置 | 2021-02-04 | 1 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
