Document
拖动滑块完成拼图
首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

基于联盟链的Kerberos及PKI安全域间的跨域认证方法 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:西北工业大学

摘要:本发明涉及一种联盟链的Kerberos及PKI安全域间的跨域认证方法,属于计算机安全技术领域。包括构建基于联盟链的Kerberos及PKI域间身份认证模型、Kerberos安全域到PKI安全域初次跨域身份认证、PKI安全域到Kerberos安全域初次跨域身份认证、Kerberos安全域到PKI安全域的跨域重身份认证。本发明以区块链模型作为基础,采用联盟链的共识机制,提出PKI域与Kerberos域间实体认证方法,使得跨域认证证书可以可靠、防篡改地存放在不同安全域中,在保证安全性、可靠性的同时实现了跨域的身份认证。

主权项:1.一种基于联盟链的Kerberos及PKI安全域间的跨域认证方法,其特征在于步骤如下:步骤1:构建基于联盟链的Kerberos及PKI域间身份认证模型PKI安全域指定一个区块链证书服务器BCCA作为联盟链中的认证节点域,Kerberos安全域指定一个区块链身份认证服务器BCAS作为联盟链中的认证节点域;在KPI安全域和Kerberos安全域中,每个域节点首先需要完成在本域中的身份认证及授权;步骤2:Kerberos安全域到PKI安全域初次跨域身份认证Kerberos安全域中的节点首次发起跨域认证请求时,先向KDC服务器发送请求,KDC通过协议认证目标域实体身份,将身份信息生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化;1M1Cker-KDC:EnDESIDKer,IDPKI,Request1Cker向KDC发送验证请求Request1,验证SPKI身份;其中,Cker表示Kerberos域身份认证请求方;M1Cker-KDC表示:跨域身份认证过程第一步M1为Cker向KDC发起请求;IDKer表示:Kerberos域请求方的身份信息;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向KDC发出的验证请求;EnDESIDKer,IDPKI,Request1表示:对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密;2M2KDC-BCAS:EnSM2CKDC,IDPKI,Request2KDC验证Cker身份,向BCAS发送验证请求Request2,验证SPKI的身份;其中,M2KDC-BCAS表示:跨域身份认证过程第二步M2为KDC向BCAS发起请求;CKDC表示:KDC服务器的认证证书;IDPKI表示:PKI域资源的身份信息;Request2表示:KDC向区块链身份认证服务器发送验证请求;EnSM2CKDC,IDPKI,Request2表示:对CKDC,IDPKI,Request2三个参数利用非对称密码算法SM2进行加密;3M3BCAS-BCCA:EnBCCBCAS,CKDC,text1,Request3text1=IDPKI||N||T1BCAS解密M2,验证KDC身份合法,解析Requeste2请求,查询SPKI所在域的证书服务器在联盟链中位置,对IDPKI和域参数N加盖时间戳T1,与代理证书CBCAS和认证请求Request2一起加密发至BCCA;其中,M3BCAS-BCCA表示:跨域身份认证过程第三步M3为BCAS向BCCA发起请求;CBCAS表示:区块链身份认证服务器的认证证书;CKDC表示:KDC服务器的认证证书;text1表示:请求方的打包信息,包括PKI域资源的身份信息IDPKI、域参数N、时间戳T1;Request3表示:BCAS向BCCA发送验证请求;EnBCCBCAS,CKDC,text1,Request3表示:对CBCAS,CKDC,text1,Request3四个参数利用区块链间加密算法进行加密;4M4BCCA-BCAS:EnBCCBCCA,CS*CS*=CS||M||T2BCCA解密M3,时间戳有效则查询CBCAS的合法性,并查询S的域内证书,为S的证书加上域参数并加盖时间戳T2生成跨域证书,将跨域证书上链存储,并发送给BCAS;其中,M4BCCA-BCAS表示:跨域身份认证过程第四步M4为BCCA对BCAS的请求确认;CBCCA表示:区块链证书服务器的认证证书;CS*表示:请求资源的跨域证书,此证书包含了请求资源在PKI域内的认证证书CS、PKI域的域参数M、跨域证书时间戳T2;EnBCCBCCA,CS*CS*=CS||M||T2表示:对CBCCA,CS*两个参数利用区块链间加密算法进行加密;5M5BCCA-S:EnSM2CBCCA,CKDCBCCA将KDC证书发送给S,S将此证书放入可信任的证书列表中;其中:M5BCCA-S表示:跨域身份认证过程第五步M5为BCCA对访问资源S的证书列表更新;CBCCA表示:区块链证书服务器的认证证书;CKDC表示:KDC服务器的认证证书;EnSM2CBCCA,CKDC表示:对CBCCA,CKDC两个参数利用非对称密码算法SM2进行加密;6M6BCAS-KDC:EnSM2CBCAS,CS*BCAS将S的证书发给KDC,并为S的跨域证书写入区块链提供背书;其中,M6BCAS-KDC表示:跨域身份认证过程第六步M6为BCAS对KDC的请求确认;CBCAS表示:区块链身份认证服务器的认证证书;CS*表示:请求资源的跨域证书;EnSM2CBCAS,CS*表示:对CBCAS,CS*两个参数利用非对称密码算法SM2进行加密;7M7KDC-C:EnDESKey,SigPKItext2,text2text2=IDC,KeyKDC生成C和S的传输密钥,向C加密传输两组信息,一组为传输密钥,另一组为使用S公钥加密过的,KDC签名过的C的身份信息和传输密钥;其中:M7KDC-C表示:跨域身份认证过程第七步M7为KDC对请求方的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigPKItext2表示:用PKI域资源跨域证书提供的公钥对text2进行签名;EnDESKey,SigPKItext2,text2表示:对Key,SigPKItext2,text2三个参数利用对称密码算法DES进行加密;步骤3:PKI安全域到Kerberos安全域初次跨域身份认证PKI安全域中的节点首次发起跨域认证请求时,先向BCCA服务器发送请求,BCCA服务器按照协议认证过程与Kerberos域KDC服务器进行交互,获取认证信息后,生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化;1M1C-BCCA:EnSM2IDKer,Request1CPKI向BCCA发送请求Request1,请求验证Kerberos域S的身份;其中,M1C-BCCA表示:跨域身份认证过程第一步M1为C向BCCA发起请求;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向BCCA发出的验证请求;EnSM2IDKer,Request1表示:对IDKer,Request1两个参数利用非对称密码算法SM2进行加密;2M2BCCA-BCAS:EnBCCBCCA,CC*,text1,Request2text1=IDKer||N||T1BCCA检查本地数据库,没有找到S的证书信息,查询Sker所在域的证书服务器在联盟链中位置,对IDker和域参数N加盖时间戳T1,与代理证书CBCCA,C的跨域证书和认证请求Request2一起加密发至BCAS;其中,M2BCCA-BCAS表示:跨域身份认证过程第二步M2为BCCA向BCAS发起请求;CBCCA表示:区块链证书服务器的认证证书;CC*表示:请求方的跨域证书;text1表示:BCCA的打包信息,包括Kerberos域资源的身份信息IDKer、域参数N、时间戳T1;Request2表示:BCCA向BCAS发送验证请求;EnBCCBCCA,CC*,text1,Request2表示:对CBCCA,CC*,text1,Request2四个参数利用区块链间加密算法进行加密;3M3BCCA-C:EnSM2CBCAS,CKDC*在区块链中查询Sker所在域的KDC证书,并发送给C;其中,M3BCCA-C表示:跨域身份认证过程第三步M3为BCCA对C的请求确认;CBCAS表示:区块链身份认证服务器的认证证书;CKDC*表示:KDC服务器的跨域证书;EnSM2CBCAS,CKDC*表示:对CBCAS,CKDC*两个参数利用非对称密码算法SM2进行加密;4M4BCAS-KDC:EnSM2CBCAS,CC*,Request3BCAS将C的跨域证书发给KDC,并发出认证请求;其中,M4BCAS-KDC表示:跨域身份认证过程第四步M4为BCAS向KDC发起请求;CBCAS表示:区块链身份认证服务器的认证证书;CC*表示:请求方的跨域证书;Request3表示:BCAS向KDC发送验证请求;EnSM2CBCAS,CC*,Request3表示:对CBCAS,CC*,Request3三个参数利用非对称密码算法SM2进行加密;5M5KDC-C:EnSM2Key,SigBCtext2,text2,text2=IDC,KeyKDC生成随机传输密钥,用自己的私钥和C的公钥加密C的身份信息和传输密钥,发送给C;其中,M5KDC-C表示:跨域身份认证过程第五步M5为KDC对C的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigBCtext2表示:用区块链资源跨域证书提供的公钥对text2进行签名;EnSM2Key,SigBCtext2,text2表示:对Key,SigBCtext2,text2三个参数利用非对称密码算法进行加密;6M6KDC-S:EnDESKey,IDCKDC将C的身份信息和传输密钥加密传输给S;其中,M6KDC-S表示:跨域身份认证过程第六步M6为KDC向S发送认证信息;Key表示:KDC生成的跨域传输密钥;IDC表示:请求方C的身份信息;EnDESKey,IDC表示:对Key,IDC两个参数利用对称密码算法DES进行加密;步骤4:Kerberos安全域到PKI安全域的跨域重身份认证1M1Cker-KDC:EnDESIDKer,IDPKI,Request1Cker向KDC发送验证请求Request1,验证SPKI身份;其中,Cker表示Kerberos域身份认证请求方;M1Cker-KDC表示:跨域身份认证过程第一步M1为Cker向KDC发起请求;IDKer表示:Kerberos域请求方的身份信息;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向KDC发出的验证请求;EnDESIDKer,IDPKI,Request1表示:对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密;2M2KDC-S:EnSM2CKDC*,IDPKI,Request2KDC确认C的身份并直接向S发送请求,请求内容包括KDC的跨域证书;其中,M2KDC-S表示:跨域身份认证过程第二步M2为KDC向S发起请求;CKDC*表示:KDC服务器的跨域证书;IDPKI表示:PKI域资源的身份信息;Request2表示:KDC向S发送验证请求;EnSM2CKDC*,IDPKI,Request2表示:对CKDC*,IDPKI,Request2三个参数利用非对称密码算法进行加密;3M3S-KDC:EnSM2IDS,Cs*S收到请求后向BCCA查询区块链上KDC的跨域证书信息,验证无误后发送S的跨域证书到KDC;其中,M3S-KDC表示:跨域身份认证过程第三步M3为S对KDC的请求确认;IDS表示:资源S的身份信息;CS*表示:请求资源的跨域证书;EnSM2IDS,Cs*表示:对IDS,Cs*两个参数利用非对称密码算法进行加密;4M4KDC-BCAS:EnSM2Cs*,IDS,Request3KDC收到S返回的跨域证书,向BCAS验证跨域证书的有效性;其中,M4KDC-BCAS表示:跨域身份认证过程第四步M4为KDC向BCAS发起验证请求;CS*表示:请求资源的跨域证书;IDS表示:资源S的身份信息;Request3表示:KDC向BCAS发送验证请求;EnSM2Cs*,IDS,Request3表示:对Cs*,IDS,Request3三个参数利用非对称密码算法进行加密;5M5KDC-C:EnDESKey,SigPKItext2,text2text2=IDC,KeyKDC生成C和S的传输密钥,向C加密传输两组信息,一组为传输密钥,另一组为使用S公钥加密过的,KDC私钥加密的C的身份信息和传输密钥;其中,M5KDC-C表示:跨域身份认证过程第五步M5为KDC对C的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigPKItext2表示:用PKI域资源跨域证书提供的公钥对text2进行签名;EnDESKey,SigPKItext2,text2表示:对Key,SigPKItext2,text2三个参数利用对称密码算法DES进行加密。

全文数据:

权利要求:

百度查询: 西北工业大学 基于联盟链的Kerberos及PKI安全域间的跨域认证方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。