【技术实现步骤摘要】
基于联盟链的Kerberos及PKI安全域间的跨域认证方法
[0001]本专利技术涉及不同实体间的跨域认证技术,具体为基于区块链技术,实现Kerberos安全域与PKI安全域之间认证技术。
技术介绍
[0002]随着信息化和网络化的发展,当前已经进入大数据时代。随着大数据从概念走向价值,大数据安全与隐私问题日益突出。
[0003]在互联网中,分布式环境下数据的共享和交换需要安全的保证,跨域认证是实现大数据安全共享和交换的重要手段。区域链技术可以降低分布式环境下大数据共享和交换的成本,增强共享和交换的数据信任。
[0004]传统的身份认证技术一般采用基于中心化的CA机构,这种中心化的模式有一定的缺陷:中心化的管理使得身份信息存在被攻击或信息泄露的风险;各个组织对于身份信息的认证不能实现共享和兼容,难以解决跨域的身份认证实际应用场景。
技术实现思路
[0005]要解决的技术问题
[0006]本专利技术针对跨域身份认证难以管理,无法不同安全域之间身份信息共享以及域间认证无法兼容等技术问题,提...
【技术保护点】
【技术特征摘要】
1.一种基于联盟链的Kerberos及PKI安全域间的跨域认证方法,其特征在于步骤如下:步骤1:构建基于联盟链的Kerberos及PKI域间身份认证模型PKI安全域指定一个区块链证书服务器BCCA作为联盟链中的认证节点域,Kerberos安全域指定一个区块链身份认证服务器BCAS作为联盟链中的认证节点域;在KPI安全域和Kerberos安全域中,每个域节点首先需要完成在本域中的身份认证及授权;步骤2:Kerberos安全域到PKI安全域初次跨域身份认证Kerberos安全域中的节点首次发起跨域认证请求时,先向KDC服务器发送请求,KDC通过协议认证目标域实体身份,将身份信息生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化;(1)M1(C
ker
‑
>KDC):En
DES
(ID
Ker
,ID
PKI
,Request1)C
ker
向KDC发送验证请求Request1,验证S
PKI
身份;其中,C
ker
表示Kerberos域身份认证请求方;M1(C
ker
‑
>KDC)表示:跨域身份认证过程第一步M1为C
ker
向KDC发起请求;ID
Ker
表示:Kerberos域请求方的身份信息;ID
PKI
表示:PKI域资源的身份信息;Request1表示:请求方向KDC发出的验证请求;En
DES
(ID
Ker
,ID
PKI
,Request1)表示:对ID
Ker
,ID
PKI
,Request1三个参数利用对称密码算法DES进行加密;(2)M2(KDC
‑
>BCAS):En
SM2
(C
KDC
,ID
PKI
,Request2)KDC验证C
ker
身份,向BCAS发送验证请求Request2,验证S
PKI
的身份;其中,M2(KDC
‑
>BCAS)表示:跨域身份认证过程第二步M2为KDC向BCAS发起请求;C
KDC
表示:KDC服务器的认证证书;ID
PKI
表示:PKI域资源的身份信息;Request2表示:KDC向区块链身份认证服务器发送验证请求;En
SM2
(C
KDC
,ID
PKI
,Request2)表示:对C
KDC
,ID
PKI
,Request2三个参数利用非对称密码算法SM2进行加密;(3)M3(BCAS
‑
>BCCA):En
BC
(C
BCAS
,C
KDC
,text1,Request3)text1=ID
PKI
||N||T1BCAS解密M2,验证KDC身份合法,解析Requeste2请求,查询S
PKI
所在域的证书服务器在联盟链中位置,对ID
PKI
和域参数N加盖时间戳T1,与代理证书C
BCAS
和认证请求Request2一起加密发至BCCA;其中,M3(BCAS
‑
>BCCA)表示:跨域身份认证过程第三步M3为BCAS向BCCA发起请求;C
BCAS
表示:区块链身份认证服务器的认证证书;C
KDC
表示:KDC服务器的认证证书;text1表示:请求方的打包信息,包括PKI域资源的身份信息ID
PKI
、域参数N、时间戳T1;Request3表示:BCAS向BCCA发送验证请求;En
BC
(C
BCAS
,C
KDC
,text1,Request3)表示:对C
BCAS
,C
KDC
,text1,Request3四个参数利用区块链间加密算法进行加密;(4)M4(BCCA
‑
>BCAS):En
BC
(C
BCCA
,C
S*
)C
S*
=C
S
||M||T2BCCA解密M3,时间戳有效则查询C
BCAS
的合法性,并查询S的域内证书,为S的证书加上域参数并加盖时间戳T2生成跨域证书,将跨域证书上链存储,并发送给BCAS;其中,M4(BCCA
‑
>BCAS)表示:跨域身份认证过程第四步M4为BCCA对BCAS的请求确认;C
BCCA
表示:区块链证书服务器的认证证书;C
S*
表示:请求资源的跨域证书,此证书包含了请求资源在PKI域内的认证证书C
S
、PKI域的域参数M、跨域证书时间戳T2;En
BC
(C
BCCA
,C
S*
)C
S*
=C
S
||M||T2表示:对C
BCCA
,C
S*
两个参数利用区块链间加密算法进行加密;(5)M5(BCCA
‑
>S):En
SM2
(C
BCCA
,C
KDC
)BCCA将KDC证书发送给S,S将此证书放入可信任的证书列表中;其中:M5(BCCA
‑
>S)表示:
跨域身份认证过程第五步M5为BCCA对访问资源S的证书列表更新;C
BCCA
表示:区块链证书服务器的认证证书;C
KDC
表示:KDC服务器的认证证书;En
SM2
(C
BCCA
,C
KDC
)表示:对C
BCCA
,C
KDC
两个参数利用非对称密码算法SM2进行加密;(6)M6(BCAS
‑
>KDC):En
SM2
(C
BCAS
,C
S*
)BCAS将S的证书发给KDC,并为S的跨域证书写入区块链提供背书;其中,M6(BCAS
‑
>KDC)表示:跨域身份认证过程第六步M6为BCAS对KDC的请求确认;C
BCAS
表示:区块链身份认证服务器的认证证书;C
S*
表示:请求资源的跨域证书;En
SM2
(C
BCAS
,C
S*
)表示:对C
BCAS
,C
S*
两个参数利用非对称密码算法SM2进行加密;(7)M7(KDC
‑
>C):En
DES
(Key,Sig
PKI
(text2),text2)text2=(ID
C
,Key)KDC生成C和S的传输密钥,向C加密传输两组信息,一组为传输密钥,另一组为使用S公钥加密过的,KDC签名过的C的身份信息和传输密钥;其中:M7(KDC
‑
>C)表示:跨域身份认证过程第七步M7为KDC对请求方的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;Sig
PKI
(text2)表示:用PKI域资源跨域证书提供的公钥对text2进行签名;En
DES
(Key,Sig
PKI
(text2),text2)表示:对Key,Sig
PKI
(text2),text2三个参数利用对称密码算法DES进行加密;步骤3:PKI安全域到Kerberos安全域初次跨域身份认证PKI安全域中的节点首次发起跨域认证请求时,先向BCCA服务器发送请求,BCCA服务器按照协议认证过程与Kerberos域KDC服务器进行交互,获取认证信息后,生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化;(1)M1(C
‑
>BCCA):En
SM2
(ID
Ker
,Request1)C
PKI
向BCCA发送请求Request1,请求验证Kerberos域S的身份;其中,M1(C
‑
>BCCA)表示:跨域身份认证过程第一步M1为C向BCCA发起请求;ID
PKI
表示:PKI域资源的身份信息;Request1表示:请求方向BCCA发出的验证请求;En
SM2
(ID
Ker
,Request1)表示:对ID
Ker
,Request1两个参数利用非对称密码算法SM2进行加密;(2)M2(BCCA
‑
>BCAS):En
BC
(C
BCCA
,C
C*
,text1,Request2)text1=ID
Ker
||N||T1BCC...
【专利技术属性】
技术研发人员:姚烨,朱怡安,李联,牛军涛,张黎翔,
申请(专利权)人:西北工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。