PKI域内的用户访问IBC域内的资源的认证密钥协商方法技术

本发明专利技术公开了一种PKI域内的用户访问IBC域内的资源的认证密钥协商方法，其主要操作步骤是：A、申请访问：PKI域的用户向本域的认证服务器发出访问IBC域的资源的请求，PKI域认证服务器认证用户身份合法性后转发用户的访问请求给IBC域的认证服务器；B、生成用户索引并发送；C、双向身份认证以及协商会话密钥：会话密钥是由会话密钥的认证服务器部分和填充后的用户部分进行异或处理得到的；D、重认证：当会话密钥的用户部分超出其生命周期，但会话密钥的认证服务器部分仍在其生命周期中，若PKI域的用户仍需访问IBC域的资源，则可以进行快速重认证；E、中止会话。该方法能有效实现PKI域内的用户访问IBC域内的资源的认证密钥协商，其消耗资源少，安全性高。

Authenticated key agreement method for user accessing IBC domain resource in PKI domain

The authentication key negotiation method of the invention discloses a PKI domain user access IBC domain resources, its main steps are: A, application access: PKI domain user access to the IBC domain resources domain authentication server request, PKI domain authentication server authentication user identity legitimacy forwarding user access request to the IBC domain authentication server; B, user generated index and send; C, bidirectional identity authentication and key negotiation session: session key by the authentication server part of the session key and user part after filling or processing; D, re authentication: when the user exceeds the session key part the life cycle, but the authentication server part of the session key is still in its life cycle, if the PKI domain users still need to access the IBC domain resources, you can quickly re authentication, E; Stop session. This method can effectively realize the authenticated key agreement among users in IBC domain in PKI domain, which consumes less resources and has high security.

【技术实现步骤摘要】
PKI域内的用户访问IBC域内的资源的认证密钥协商方法
本专利技术属于信息通信中跨异构域认证与密钥协商

技术介绍
分布式的网络环境的各种应用，例如虚拟企业，即时通信系统等等，用户与其想要访问的信息资源往往都处于不同的信任域中。而不同的信任域可能会基于不同的密码体制，例如基于Kerberos的密码体制，基于PKI(公钥基础设施)的密码体制以及基于IBC(基于身份的密码技术)的密码体制等等。同构域之间的认证密钥协商方法已经有较多的研究，并且已形成标准并被广泛应用。用于PKI以及Kerberos两个域之间的认证密钥协商方法也有较多的研究。但PKI域的用户访问IBC域的资源时的认证密钥协商方法，却很少有人研究。而在分布式网络下的诸如虚拟企业，敏捷制造等应用场景下，PKI域的用户访问IBC域的资源的应用需求很多。现有的PKI域的用户访问IBC域的资源时的认证密钥协商文献只有：文献1“异构域的跨域授权”(孟欣,胡亮,初剑峰,等.异构信任域的跨域授权[J].吉林大学学报理学版,2010,48(1):89-93.)依托于PKI同构域之间的互信互联体系，采用身份映射，跨域授权两部分内容实现跨IBC与PKI域之间的可信互联。但是该文献中大量多次使用到证书，证书在传递，存储过程中都会消耗大量的资源，与人们当初设计IBC密码体制的初衷不符；采用身份映射的方式很不直接，在现实的应用中可行性不高。并且该文献只是用身份映射，信任传递的方式来实现认证的思想，没有具体的方案流程，只能算作是一种新的跨域授权的思想而不是一个可以直接实现的方案。
技术实现思路
本专利技术的目的是提供一种PKI域内的用户访问IBC域内的资源的认证密钥协商方法，该方法能有效实现PKI域内的用户访问IBC域内的资源的认证密钥协商，其消耗资源少，安全性高。本专利技术实现其专利技术目的所采用的技术方案是，一种PKI域内的用户访问IBC域内的资源的认证密钥协商方法，其操作步骤是：A、申请访问PKI域的用户U向PKI域的认证服务器CA发出访问IBC域的资源S的请求，PKI域认证服务器CA对PKI域的用户U的身份合法性进行认证；若认证未通过，则跳转至步骤E；否则，向IBC域认证服务器TA转发PKI域的用户U的访问请求；B、生成用户索引并发送IBC域认证服务器TA对PKI域认证服务器CA进行身份认证，若认证未通过，则跳转至步骤E；否则，IBC域认证服务器TA生成PKI域的用户U访问IBC域内资源S的会话密钥K的认证服务器部分k1，并生成会话密钥K的认证服务器部分k1对应的用户索引Na；且该用户索引Na为随机产生并与已有用户索引不相同；IBC域认证服务器TA利用自身私钥SKTA对IBC域认证服务器TA的身份标识IDTA、用户索引Na及会话密钥K的认证服务器部分k1，进行签名得到已签名消息Msign，再利用PKI域的用户U的公钥PKU对已签名消息Msign进行加密，得到用户接收消息MA2TA->U，并将用户接收消息MA2TA->U发送给PKI域的用户U；同时，IBC域认证服务器TA利用IBC域内资源S的公钥QS对已签名消息Msign进行加密，得到资源接收信息MA2TA->S，并将资源接收信息MA2TA->S发送给IBC域内的资源S；C、双向身份认证以及协商会话密钥C1、PKI域的用户U利用自身私钥SKU对IBC域认证服务器TA发来的用户接收消息MA2TA->U进行解密，得到IBC域认证服务器TA的身份标识IDTA、用户索引Na及会话密钥K的认证服务器部分k1；再利用IBC域认证服务器TA的身份标识IDTA，计算出IBC域认证服务器TA的公钥QTA，并用IBC域认证服务器TA的公钥QTA来验证签名的有效性，若验证未通过，则跳转至步骤E；否则，PKI域的用户U生成会话密钥K的用户部分k2，并将会话密钥K的用户部分k2首位处进行填充，使其与会话密钥K的认证服务器部分k1的位数相同，然后对会话密钥K的认证服务器部分k1和填充后的用户部分k2进行异或处理得到完整的会话密钥K；C2、IBC域内的资源S用自身私钥SS对B步骤中IBC域内认证服务器TA发送来的资源接收消息MA2TA->S进行解密，得到解密会话密钥K’的认证服务器部分K1＇以及对应的资源端用户索引Na'；C3、PKI域的用户U再利用IBC域内的资源S的身份标识IDS，计算出IBC域内的资源S的公钥QS，对会话密钥K的用户部分K2和用户索引Na进行加密，得到用户密文S-k2；同时,利用会话密钥K对IBC域内的资源S的身份标识IDS进行加密，得到身份标识密文S-ID；再将用户密文S-k2和身份标识密文S-ID一起发送给IBC域内的资源S；C4、IBC域内的资源S对收到的用户密文S-k2进行解密，得到资源端会话密钥K＇＇的用户部分K2＇＇以及用户端用户索引Na＇＇；再搜索出与用户端用户索引Na＇＇对应的检出解密会话密钥K＇＇＇的认证服务器部分K1＇＇＇；再将资源端会话密钥K＇＇的用户部分K2＇＇首位处进行填充，使其与检出解密会话密钥K＇＇＇的认证服务器部分K1＇＇＇的位数相同，然后对检出解密会话密钥K＇＇＇的认证服务器部分K1＇＇＇和填充后的用户部分K2＇＇进行异或处理得到完整的资源端会话密钥K＇＇；再用资源端会话密钥K＇＇解密收到的身份标识密文S-ID，得到IBC域内资源S的提取身份标识IDS'，将提取身份标识IDS'和IBC域的资源S的身份标识IDS进行验证，若二者不一致，则跳转至步骤E；否则，IBC域内的资源S用资源端会话密钥K＇＇对其身份标识IDS进行加密，得到IBC域内的资源S的资源端身份标识密文MA3S->U，并将其发送给PKI域的用户U；C5、PKI域的用户U用会话密钥K对收到的资源端身份标识密文MA3S->U进行解密，得到IBC域内的资源S的用户端身份标识IDS”，并验证IBC域内的资源S的用户端身份标识IDS”的有效性，若验证未通过，则跳转至步骤E；否则PKI域的用户U与IBC域的资源S的认证密钥协商完成，PKI域的用户U利用会话密钥K对IBC域的资源S进行安全访问；D、重认证当会话密钥K的认证服务器部分k1超出其生命周期时，IBC域认证服务器TA销毁B步骤中生成的与会话密钥K的认证服务器部分k1对应的用户索引Na；IBC域内的资源S销毁C2步骤中得到的与会话密钥K的认证服务器部分K1对应的用户索引Na；若PKI域的用户U不再访问IBC域的资源S，则跳转至步骤E；若PKI域的用户U仍需访问IBC域的资源S，则跳转至步骤A；当会话密钥K的用户部分k2超出其生命周期，但会话密钥K的认证服务器部分k1仍在其生命周期中，若PKI域的用户U不再访问IBC域的资源S时，则跳转至步骤E；若PKI域的用户U仍需访问IBC域的资源S，则跳转至步骤A或者进行快速重认证；E、中止会话。与现有技术相比，本专利技术的有益效果是：一、本专利技术给出了PKI域内的用户访问IBC域内的资源时的跨异构域认证密钥协商方法，使得PKI域内的用户能够安全的访问IBC域内的资源。二、会话密钥是由会话密钥的认证服务器部分和用户部分进行异或处理得到，较之单纯由认证服务器生成的会话密钥而言，其安全性得到大幅提高，并且增加本文档来自技高网...

【技术保护点】
一种PKI域内的用户访问IBC域内的资源的认证密钥协商方法，其操作步骤是：A、申请访问PKI域的用户U向PKI域的认证服务器CA发出访问IBC域的资源S的请求，PKI域认证服务器CA对PKI域的用户U的身份合法性进行认证；若认证未通过，则跳转至步骤E；否则，向IBC域认证服务器TA转发PKI域的用户U的访问请求；B、生成用户索引并发送IBC域认证服务器TA对PKI域认证服务器CA进行身份认证，若认证未通过，则跳转至步骤E；否则，IBC域认证服务器TA生成PKI域的用户U访问IBC域内资源S的会话密钥K的认证服务器部分k

【技术特征摘要】
1.一种PKI域内的用户访问IBC域内的资源的认证密钥协商方法，其操作步骤是：A、申请访问PKI域的用户U向PKI域的认证服务器CA发出访问IBC域的资源S的请求，PKI域认证服务器CA对PKI域的用户U的身份合法性进行认证；若认证未通过，则跳转至步骤E；否则，向IBC域认证服务器TA转发PKI域的用户U的访问请求；B、生成用户索引并发送IBC域认证服务器TA对PKI域认证服务器CA进行身份认证，若认证未通过，则跳转至步骤E；否则，IBC域认证服务器TA生成PKI域的用户U访问IBC域内资源S的会话密钥K的认证服务器部分k1，并生成会话密钥K的认证服务器部分k1对应的用户索引Na；且该用户索引Na为随机产生并与已有用户索引不相同；IBC域认证服务器TA利用自身私钥SKTA对IBC域认证服务器TA的身份标识IDTA、用户索引Na及会话密钥K的认证服务器部分k1，进行签名得到已签名消息Msign，再利用PKI域的用户U的公钥PKU对已签名消息Msign进行加密，得到用户接收消息MA2TA->U，并将用户接收消息MA2TA->U发送给PKI域的用户U；同时，IBC域认证服务器TA利用IBC域内资源S的公钥QS对已签名消息Msign进行加密，得到资源接收信息MA2TA->S，并将资源接收信息MA2TA->S发送给IBC域内的资源S；C、双向身份认证以及协商会话密钥C1、PKI域的用户U利用自身私钥SKU对IBC域认证服务器TA发来的用户接收消息MA2TA->U进行解密，得到IBC域认证服务器TA的身份标识IDTA、用户索引Na及会话密钥K的认证服务器部分k1；再利用IBC域认证服务器TA的身份标识IDTA，计算出IBC域认证服务器TA的公钥QTA，并用IBC域认证服务器TA的公钥QTA来验证签名的有效性，若验证未通过，则跳转至步骤E；否则，PKI域的用户U生成会话密钥K的用户部分k2，并将会话密钥K的用户部分k2首位处进行填充，使其与会话密钥K的认证服务器部分k1的位数相同，然后对会话密钥K的认证服务器部分k1和填充后的用户部分k2进行异或处理得到完整的会话密钥K；C2、IBC域内的资源S用自身私钥SS对B步骤中IBC域内认证服务器TA发送来的资源接收消息MA2TA->S进行解密，得到解密会话密钥K’的认证服务器部分K1＇以及对应的资源端用户索引Na'；C3、PKI域的用户U再利用IBC域内的资源S的身份标识IDS，计算出IBC域内的资源S的公钥QS，对会话密钥K的用户部分K2和用户索引Na进行加密，得到用户密文S-k2；同时,利用会话密钥K对IBC域内的资源S的身份标识IDS进行加密，得到身份标识密文S-ID；再将用户密文S-k2和身份标识密文S-ID一起发送给IBC域内的资源S；C4、IBC域内的资源S对收到的用...

【专利技术属性】
技术研发人员：张文芳，袁超，王小敏，
申请(专利权)人：西南交通大学，
类型：发明
国别省市：四川,51