一种基于代理重签名的跨域身份认证方法,某用户注册成为若干个信任域的注册用户后,请求申请证书和注册为代理者,审核后,所有CA收到注册用户的信息,为注册用户公钥生成证书并颁发给该注册用户,其成为代理者,生成所代理的证书签证机关间的重签名密钥;第一用户向异域第二用户发送消息时,发送自己的证书,第二用户将该证书发给代理者,代理者用该证书的根CA公钥验证该证书,用重签名密钥和第二用户所在域的CA的公钥生成第二用户所在域的CA对第一用户的临时证书,发给第二用户,第二用户比较自己的公钥和临时证书携带公钥相等,两用户可直接通信。该认证方法保证安全保密通信的同时,缩短证书验证路径,提高验证效率,实现双向认证。
【技术实现步骤摘要】
本专利技术属于网络安全
,涉及一种跨域身份认证方法,尤其涉及一种基于代理重签名的跨域身份认证方法。
技术介绍
跨域认证的目的是允许用户访问跨多个域的多个用户,而不需要重新认证。也就是用户在一个web站点登录,一旦认证通过,用户再次访问同信任域时,不需要再次对该用户进行认证就可以访问相应的资源。目前大部分身份认证平台采用传统的用户名和口令组合认证机制,这种技术存在两个主要的弊端:一是安全系数低,很容易被截取和监听;二是如果不同平台使用统一的用户名和密码,很容易造成用户身份信息的泄露。在传统静态网络上,基于PKI/CA的跨域身份认证研究已经取得了较好的结果。但是,现有基于PKI/CA的跨域身份认证技术中,信任路径构造复杂,甚至会出现路径无法构造的情况,大大影响了跨域身份认证技术的应用范围。此外,证书验证时需要从待验证书一直检测到根证书,层层递推,导致验证路径过长、验证效率较低。身份认证是任何保密通信系统最为关键的问题之一。安全有效的密钥管理是保证身份认证系统安全性的基础。在现有的网络环境中,由于网络被划分成了不同的信任域,分别由各自的CA来认证管理,因此当异域用户通信时,无法直接使用诸如PKI公钥证书等传统身份认证技术。因为在这类身份认证方案中,需要实时地进行证书状态验证或者定期地发布证书废除列表。
技术实现思路
本专利技术的目的是提供一种基于代理重签名的跨域身份认证方法,在保证保密通信的前提下,提高验证效率,实现不同信任域用户之间的快捷通信。为实现上述目的,本专利技术所采用的技术方案是:一种基于代理重签名的跨域身份认证方法,具体按以下步骤进行:步骤1:某用户在若干个信任域中进行注册,每个信任域的证书签证机关均为该用户生成公钥和私钥,该公钥以证书的形式保存在用户端,该私钥用现有的AES加密算法加密后以密文形式保存在本地;该用户成为所申请注册的若干个信任域的注册用户,然后该注册用户向证书注册机构提出申请证书的请求,同时请求注册成为代理者,证书注册机构收到该注册用户的请求后,对请求信息进行审核,审核通过,则将该注册用户的信息发送给该注册用户已注册并申请代理的所有证书签证机关,收到证书注册机构发送的该注册用户信息的证书签证机关为本证书签证机关给该注册用户生成的公钥生成证书,并将该生成的证书颁发给该注册用户,该注册用户成为所申请代理证书签证机关的代理者,代理者生成所代理的证书签证机关间的重签名密钥,并保存在表中;重签名密钥这样生成:代理者输入当前时段i,代理者首先选择一个随机数发送给第一用户,然后第一用户利用第i时段的私钥skA,i计算并发送rki,2=rki,1skA,i(modn)给第二用户,接着第二用户利用第i时段的私钥skB,i计算并发送rki,3=skB,i/rki,2(modn)给代理者,最后代理者利用rki,1生成第i时段的代理重签名密钥;步骤2:当一个信任域的第一用户要向另一个信任域的第二用户发送消息时,第一用户将自己的证书发送给第二用户,第二用户收到第一用户的证书后,发现彼此的证书是不同证书签证机关颁发的,表明第一用户和第二用户是不同域的用户,此时,第二用户就把第一用户的证书发送给代理者,代理者收到第一用户发送的第二用户的证书后,先用该证书的根证书签证机关公钥验证该证书的合法性,然后用重签名密钥和第二用户所在信任域的证书签证机关的公钥生成第二用户所在信任域的证书签证机关对第一用户的临时证书,即对第一用户的证书重签名,之后代理者把临时证书发送给第二用户,第二用户收到该临时证书后,用自己的公钥和收到的临时证书上所携带的公钥进行比较,验证第一用户的身份,若第二用户的公钥和第一用户的临时证书的公钥相等,第二用户能够确信第一用户是合法用户,则第二用户和第一用户可直接通信;同理,当第二用户访问第一用户时,以同样的方法进行身份认证,实现双向身份认证。本专利技术跨域身份认证方法在加入了半可信第三方(即代理者)的情况下,通过保护数据完整性与数据机密性的方法,实现了用户公私钥对的安全分配与确认,获得并确认了对方用户的公钥证书以后,可以实现与对方的安全通信,避免了传统PKI/CA身份认证方法中的证书路径过长的问题,有效提高了验证效率。本专利技术跨域身份认证方法适用于诸如电子商务,车载通信,电子政务的内外网用户身份认证或者在云计算上的身份认证以及网上银行等领域具有重要的应用价值。附图说明图1是本专利技术身份认证方法的原理示意图。图2是本专利技术身份认证方法实际应用的原理示意图。具体实施方式下面结合附图和具体实施方式对本专利技术进行详细说明。本专利技术提供的基于代理重签名的身份认证方法,使处于不同信任域的两个用户进行通信时,通过代理者将异域用户证书转换成为本域的临时证书,完成身份认证,保证通信双方的身份的合法性,同时,在不同信任域用户间通信的情况下,为进行身份认证、数据保密等安全方案提供可靠的证书信息。该认证方法具体按以下步骤进行:步骤1:某用户在若干个信任域中进行注册,每个信任域的证书签证机关(CA)均为该用户生成公钥和私钥,该私钥,公钥(式中,n=pq表示有限域中元素的个数,其中p=2p1+1,q=2q1+1,这里p1和q1是两个大素数;T表示签名的总周期;x是用户从有限域中选取的随机数),该公钥以证书的形式保存在用户端,采用现有的AES加密算法对该私钥加密后以密文形式保存在本地;该用户成为所申请注册的若干个信任域的注册用户,然后该注册用户向证书注册机构(RA)提出申请证书的请求,同时请求注册成为代理者,并按要求填写和提交相关信息,例如,他必须填写隶属于哪个CA,以及其他身份信息;RA收到该注册用户的请求后,对请求信息进行审核,比如检查用户所申请的CA及注册用户自身的份信息是否有效,如果审核通过,则将该注册用户的信息发送给该注册用户已注册并申请代理的所有CA,收到RA发送的该注册用户信息的CA为本CA给该注册用户生成的公钥生成证书,并将该生成的证书颁发给该注册用户,该注册用户成为所申请代理CA的代理者,代理者生成所代理的CA间的重签名密钥,并保存在表中;重签名密钥这样生成:代理者输入当前时段i,代理者首先选择一个随机数发送给用户A,然后用户A利用第i时段的私钥skA,i计算并发送rki,2=rki,1skA,i(modn)给用户B(rki,2是辅助计算而引入的变量,没有实际含义)接着用户B利用第i时段的私钥skB,i计算并发送rki,3=skB,i/rki,2(modn)(rki,3是辅助计算而引入的变量,没有实际含义)本文档来自技高网...
【技术保护点】
一种基于代理重签名的跨域身份认证方法,其特征在于,该认证方法具体按以下步骤进行:步骤1:某用户在若干个信任域中进行注册,每个信任域的证书签证机关均为该用户生成公钥和私钥,该公钥以证书的形式保存在用户端,该私钥用现有的AES加密算法加密后以密文形式保存在本地;该用户成为所申请注册的若干个信任域的注册用户,然后该注册用户向证书注册机构提出申请证书的请求,同时请求注册成为代理者,证书注册机构收到该注册用户的请求后,对请求信息进行审核,审核通过,则将该注册用户的信息发送给该注册用户已注册并申请代理的所有证书签证机关,收到证书注册机构发送的该注册用户信息的证书签证机关为本证书签证机关给该注册用户生成的公钥生成证书,并将该生成的证书颁发给该注册用户,该注册用户成为所申请代理证书签证机关的代理者,代理者生成所代理的证书签证机关间的重签名密钥,并保存在表中;重签名密钥这样生成:代理者输入当前时段i,代理者首先选择一个随机数发送给第一用户,然后第一用户利用第i时段的私钥skA,i计算并发送rki,2= rki,1skA,i(modn)给第二用户,接着第二用户利用第i时段的私钥skB,i计算并发送rki,3= skB,i/rki,2 (modn)给代理者,最后代理者利用rki,1生成第i时段的代理重签名密钥步骤2:当一个信任域的第一用户要向另一个信任域的第二用户发送消息时,第一用户将自己的证书发送给第二用户,第二用户收到第一用户的证书后,发现彼此的证书是不同证书签证机关颁发的,表明第一用户和第二用户是不同域的用户,此时,第二用户就把第一用户的证书发送给代理者,代理者收到第一用户发送的第二用户的证书后,先用该证书的根证书签证机关公钥验证该证书的合法性,然后用重签名密钥和第二用户所在信任域的证书签证机关的公钥生成第二用户所在信任域的证书签证机关对第一用户的临时证书,即对第一用户的证书重签名,之后代理者把临时证书发送给第二用户,第二用户收到该临时证书后,用自己的公钥和收到的临时证书上所携带的公钥进行比较,验证第一用户的身份,若第二用户的公钥和第一用户的临时证书的公钥相等,第二用户能够确信第一用户是合法用户,则第二用户和第一用户可直接通信;同理,当第二用户访问第一用户时,以同样的方法进行身份认证,实现双向身份认证。...
【技术特征摘要】
1.一种基于代理重签名的跨域身份认证方法,其特征在于,该认证方法具体按以下步
骤进行:
步骤1:某用户在若干个信任域中进行注册,每个信任域的证书签证机关均为该用户生
成公钥和私钥,该公钥以证书的形式保存在用户端,该私钥用现有的AES加密算法加密后以
密文形式保存在本地;该用户成为所申请注册的若干个信任域的注册用户,然后该注册用
户向证书注册机构提出申请证书的请求,同时请求注册成为代理者,证书注册机构收到该
注册用户的请求后,对请求信息进行审核,审核通过,则将该注册用户的信息发送给该注册
用户已注册并申请代理的所有证书签证机关,收到证书注册机构发送的该注册用户信息的
证书签证机关为本证书签证机关给该注册用户生成的公钥生成证书,并将该生成的证书颁
发给该注册用户,该注册用户成为所申请代理证书签证机关的代理者,代理者生成所代理
的证书签证机关间的重签名密钥,并保存在表中;
重签名密钥这样生成:代理者输入当前时段i,代理者首先选择一个随机数发
送给第一用户,然后第一用户利用第i时段的私钥skA,i计算并发送rki,2=rki,1skA,i(modn)
给第二用户,接着第二用户利用第i时段的私钥skB,i计算并发送rki,3=skB,i/rki,2(modn)
给代理者,最后代理者利用rki,1生成第i时段的代理重签名密钥步
骤2:当一个信任域的第一用户要向另一个信任域的第二用户发送消息时,第一用户将自己
的证书发送给第二用户,第二用户收到第一用户的证书后,发现彼此的证书是不同证书签
证机关颁发的,表明第一用户和第二用户是不同域的用户,此时,第二用户就把第一用户的
证书发送给代理者,代理者收到第一用户发送的第二用户的证书后,先用该证书的根证书
签证机关公钥验证该证书的合法性,然后用重签名密钥和第二用户所在信任域的证书签证
机关的公钥生成第二用户所在信任域的证书签证机关对第一用户的临时证书,即对第一用
户的证书重签名,之后代理者把临时证书发送给第二用户,第二用户收到该临时证书后,用
自己的公钥和收到的临时证书上所携带的公钥进行比较,验证第一用户的身份,若第二用
户的公钥和第一用户的临时证书的公钥相等,第二用...
【专利技术属性】
技术研发人员:杨小东,康步荣,高国娟,邓云霞,李亚楠,李臣意,杨苗苗,张灵刚,周其旭,
申请(专利权)人:西北师范大学,
类型:发明
国别省市:甘肃;62
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。