基于域代理信任值的信息服务实体跨域认证方法技术

本发明专利技术公开一种基于域代理信任值的信息服务实体跨域认证方法，主要解决当前跨域认证过程中，计算复杂度高，通信开销大和基于公钥基础设施证书管理复杂的问题，其技术方案为：采用基于身份的签名算法验证用户身份的合法性，使用连接算子，连接从域代理的交易信息表中提取的直接信任向量，用合并算子合并多条推荐路径上的信任向量，从而判断域代理之间是否相互信任。本发明专利技术克服了现有技术在跨域认证过程中，基于公钥基础设施认证体系证书管理复杂，计算复杂度高，通信开销大的问题，在保证域代理之间认证准确度的同时提高了跨域认证过程的实用性和高效性。

【技术实现步骤摘要】
基于域代理信任值的信息服务实体跨域认证方法
本专利技术属于通信
，更进一步涉及网络通信
中的一种基于域代理DA(Domainagent)信任值的信息服务实体ISE(InformationSystemEntity)跨域认证方法。本专利技术可在资源受限的分布式的网络环境下，通过计算域代理之间的信任值，建立信任域之间的信任关系，为一个信任域的用户跨域访问信息服务实体的资源提供安全保障。
技术介绍
建立域代理之间的信任关系是提高网络中用户个人信息的保密性和安全性的重要步骤，跨域认证是指不同域的域代理之间相互认证的技术和过程。近年来，随着密码学理论、模糊集合理论在跨域认证领域应用的不断深入，许多新的方法和思想被应用于跨域认证。在其中，跨信任域的认证框架主要有公钥基础设施PKI(PublicKeyInfrastructure)认证框架和基于身份的公钥密码体制IBC(Identity-BasedCryptography)认证框架，这些方法能够有效的实现跨域的认证。但是PKI认证框架的证书管理开销较大，且当跨域访问资源过于繁重时容易造成认证中心网络瓶颈的问题，IBC认证框架要求不同的域使用相同的系统参数，这在工程上显然是不切实际的。因此，想要实现安全高效的跨域认证，仍然有很多需要改进的地方。浙江省人大常委会办公厅信息中心在其申请的专利文献“一种基于信任的跨域认证方法”(申请号201010228998.2，申请公布号CN101888297A)中提出了一种基于信任的跨域认证方法。该方法的步骤是，首先根据各个信任域采用的认证体制，第一信任域的第一认证服务器采用证书、口令或者证书和口令相结合的方式对第一实体进行身份验证，并将认证结果发送给第二认证服务器。然后将不同信任域的认证服务器归属到基于PKI认证体系中的同一信任认证中心CA(CenterAgent)，该信任认证中心CA为每个认证服务器颁发证书，这样就建立起认证服务器之间的信任关系，第二认证服务器利用预先建立的基于PKI认证体系的信任关系验证第一服务器的合法性。最后，第二认证服务器根据判断的认证结果再决定跨域认证是否成功，认证结果为认证通过则表示跨域验证成功，否则为失败。该方法存在的不足之处有两个，第一，由于该方法没有考虑第二信任域中第二认证服务器对第二实体的身份认证，忽略了第二信任域的第二实体也可能具有欺骗性，在第一信任域的第一实体访问第二信任域的第二实体过程中会引起信息的泄露的问题。第二，该方法使用PKI认证体系建立信任域之间信任关系，而PKI认证体系的缺点是，当信任域较多时认证服务器证书的管理开销很大，跨域认证的效率低。西南交通大学在其申请的专利文献“IBC域内的用户访问PKI域内的资源的认证密钥协商方法”(申请号201710081516.7，公开号106789042A)中公开了一种IBC域的用户访问PKI域的资源的认证密钥协商方法。该方法的步骤是，首先利用哈希值的运算和基于椭圆曲线的点乘运算计算用户的临时身份，IBC域的用户使用IBC域的认证服务器的公钥采用基于身份的加密操作向本域的认证服务器发送访问PKI域的资源的请求，IBC域认证服务器通过认证用户的合法性后转发用户的访问请求给PKI域认证服务器。然后PKI域认证服务器对IBC域认证服务器进行身份的合法性认证，生成访问授权票据并发送给IBC域的用户。最后使用基于身份的加解密算法实现IBC域的用户和PKI域的资源的双向身份认证，从而建立协商会话密钥，其中会话密钥是由会话密钥的认证服务器部分和填充后的用户部分进行异或处理得到的。该方法存在的不足之处是，由于该方法中包括多次身份的验证和基于身份的加解密，而身份的验证和基于身份的加解密使用了双线对和基于椭圆曲线点乘的运算，双线性对和点乘运算的时间复杂度太高，从而使得跨域认证的时间效率降低，增大通信开销。
技术实现思路
本专利技术的目的在于针对上述现有技术的不足，提出基于域代理信任值的信息服务实体跨域认证方法，以解决跨域认证过程中基于公钥基础设施认证体系证书管理复杂，时间效率低和通信开销过大的问题。实现本专利技术目的的思路是，采用基于身份的签名算法向本域的域代理证明用户是本域的合法用户，将收到请求消息域代理中对目标域代理的每个直接信任向量，用连接算子连接为一个推荐信任向量，用合并算子将多条推荐路径上的推荐信任向量合成为一个信任向量，计算域代理之间的信任向量，实现域间的双向信任评估，将信任评估的结果发送给用户域中的发送请求的用户，用户域中发送请求的用户决定与实体域中的信息服务实体是否建立安全通信。本专利技术的具体步骤包括如下：(1)发送认证请求：(1a)利用身份签名算法，用户域中发送请求的用户对消息进行签名，得到消息的杂凑值和签名消息；(1b)用户域内发送请求的用户将消息、消息的杂凑值和签名消息发送给用户域的域代理；(1c)用户域的域代理验证用户的身份是否合法，若是，则执行步骤(2)，否则，中止认证；(2)用户域的域代理对实体域的域代理进行信任评估：(2a)将用户域的域代理作为发送方，实体域的域代理作为请求方，利用双向信任响应的方法，得到关于实体域的域代理的各个直接信任向量；(2b)按照下式，计算用户域的域代理对实体域的域代理的直接推荐信任向量：其中，表示用户域的域代理对实体域的域代理的直接推荐信任向量，表示用户域的域代理对其中一个收到请求消息的域代理的直接信任向量，表示其中一个收到请求消息的域代理对实体域的域代理的直接信任向量，表示连接操作；(2c)按照下式，用户域的域代理对实体域的域代理的间接推荐信任向量：其中，表示用户域的域代理对实体域的域代理的间接推荐信任向量，表示用户域的域代理对其中一个收到请求消息的域代理的直接信任向量，表示其中一个收到请求消息的域代理对其交易信息表中的一个域代理的直接信任向量，表示收到请求消息域代理交易信息表中的一个域代理对用实体域的域代理的直接信任向量，表示连接操作；(2d)按照下式，计算用户域的域代理对实体域的域代理的推荐信任向量：其中，表示用户域的域代理对实体域的域代理的推荐信任向量，表示用户域的域代理对实体域的域代理的直接推荐信任向量，表示用户域的域代理对实体域的域代理的间接推荐信任向量，表示合并操作；(2e)按照下式，计算用户域的域代理对实体域的域代理的综合信任向量：其中，表示用户域的域代理对实体域的域代理的综合信任向量，表示用户域的域代理对实体域的域代理的直接信任向量，表示用户域的域代理对实体域的域代理的推荐信任向量，表示合并操作；(2f)判断用户域的域代理对实体域的域代理的综合信任向量的最大分量是否大于0.5，若是，执行步骤(2f)，否则，执行步骤(6)；(2g)将用户域的域代理对实体域的域代理信任评估的结果，发送给用户域中的发送请求用户；(3)实体域的域代理对用户域的域代理进行信任评估：(3a)将实体域的域代理作为发送方，用户域的域代理作为验证方，利用双向信任响应的方法，得到关于用户域域代理的各个直接信任向量；(3b)按照下式，计算实体域的域代理对用户域的域代理的直接推荐信任向量：其中，表示实体域的域代理对用户域的域代理的直接推荐信任向量，表示实体域的域代理对其中一个收到请求消息的域代理的直接信任向量，表示其中一个收到请求消息本文档来自技高网...

【技术保护点】
1.一种基于域代理信任值的信息服务实体跨域认证方法，其特征在于，将收到请求消息域代理中对目标域代理的每个直接信任向量，用连接算子连接为一个推荐信任向量，用合并算子将多条推荐路径上的推荐信任向量合成为一个信任向量；该方法的具体步骤包括如下：(1)发送认证请求：(1a)利用身份签名算法，用户域中发送请求的用户对消息进行签名，得到消息的杂凑值和签名消息；(1b)用户域内发送请求的用户将消息、消息的杂凑值和签名消息发送给用户域的域代理；(1c)用户域的域代理验证用户的身份是否合法，若是，则执行步骤(2)，否则，中止认证；(2)用户域的域代理对实体域的域代理进行信任评估：(2a)将用户域的域代理作为发送方，实体域的域代理作为请求方，利用双向信任响应的方法，得到关于实体域的域代理的各个直接信任向量；(2b)按照下式，计算用户域的域代理对实体域的域代理的直接推荐信任向量：

【技术特征摘要】
1.一种基于域代理信任值的信息服务实体跨域认证方法，其特征在于，将收到请求消息域代理中对目标域代理的每个直接信任向量，用连接算子连接为一个推荐信任向量，用合并算子将多条推荐路径上的推荐信任向量合成为一个信任向量；该方法的具体步骤包括如下：(1)发送认证请求：(1a)利用身份签名算法，用户域中发送请求的用户对消息进行签名，得到消息的杂凑值和签名消息；(1b)用户域内发送请求的用户将消息、消息的杂凑值和签名消息发送给用户域的域代理；(1c)用户域的域代理验证用户的身份是否合法，若是，则执行步骤(2)，否则，中止认证；(2)用户域的域代理对实体域的域代理进行信任评估：(2a)将用户域的域代理作为发送方，实体域的域代理作为请求方，利用双向信任响应的方法，得到关于实体域的域代理的各个直接信任向量；(2b)按照下式，计算用户域的域代理对实体域的域代理的直接推荐信任向量：其中，表示用户域的域代理对实体域的域代理的直接推荐信任向量，表示用户域的域代理对其中一个收到请求消息的域代理的直接信任向量，表示其中一个收到请求消息的域代理对实体域的域代理的直接信任向量，表示连接操作；(2c)按照下式，用户域的域代理对实体域的域代理的间接推荐信任向量：其中，表示用户域的域代理对实体域的域代理的间接推荐信任向量，表示用户域的域代理对其中一个收到请求消息的域代理的直接信任向量，表示其中一个收到请求消息的域代理对其交易信息表中的一个域代理的直接信任向量，表示收到请求消息域代理交易信息表中的一个域代理对用实体域的域代理的直接信任向量，表示连接操作；(2d)按照下式，计算用户域的域代理对实体域的域代理的推荐信任向量：其中，表示用户域的域代理对实体域的域代理的推荐信任向量，表示用户域的域代理对实体域的域代理的直接推荐信任向量，表示用户域的域代理对实体域的域代理的间接推荐信任向量，表示合并操作；(2e)按照下式，计算用户域的域代理对实体域的域代理的综合信任向量：其中，表示用户域的域代理对实体域的域代理的综合信任向量，表示用户域的域代理对实体域的域代理的直接信任向量，表示用户域的域代理对实体域的域代理的推荐信任向量，表示合并操作；(2f)判断用户域的域代理对实体域的域代理的综合信任向量的最大分量是否大于0.5，若是，执行步骤(2g)，否则，执行步骤(6)；(2g)将用户域的域代理对实体域的域代理信任评估的结果，发送给用户域中的发送请求用户；(3)实体域的域代理对用户域的域代理进行信任评估：(3a)将实体域的域代理作为发送方，用户域的域代理作为验证方，利用双向信任响应的方法，得到关于用户域的域代理的各个直接信任向量；(3b)按照下式，计算实体域的域代理对用户域的域代理的直接推荐信任向量：其中，表示实体域的域代理对用户域的域代理的直接推荐信任向量，表示实体域的域代理对其中一个收到请求消息的域代理的直接信任向量，表示其中一个收到请求消息的域代理对用户域的域代理的直接信任向量，表示连接操作；(3c)按照下式，实体域的域代理对用户域的域代理的间接推荐信任向量：其中，表示实体域的域代理对用户域的域代理的间接推荐信任向量，表示实体域的域代理对其中一个收到请求消息的域代理的直接信任向量，表示其中一个收到请求消息的域代理对其交易信息表中的一个域代理的直接信任向量，表示收到请求消息域代理交易信息表中的一个域代理对用户域的域代理的直接信任向量，表示连接操作；(3d)按照下式，计算实体域的域代理对实体域的域代理的推荐信任向量：其中，表示实体域的域代理对用户域的域代理的推荐信任向量，表示实体域的域代理对用户域的域代理的直接推荐信任向量，表示实体域的域代理对用户域的域代理的间接推荐信任向量，表示合并操作；(3e)按照下式，计算实体域的域代理对用户域的域代理的综合信任向量：其中，表示实体域的域代理对用户域的域代理的综合信任向量，表示实体域的域代理对用户域的域代理的直接信任向量，表示实体域的域代理对用户域的域代理的推荐信任向量，表示合并操作；(3f)判断实体域的域代理对用户域的域代理的综合信任向量的最大分量是否...

【专利技术属性】
技术研发人员：马文平，高阳，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西,61