CN101888297A - 一种基于信任的跨域认证方法 - Google Patents
一种基于信任的跨域认证方法 Download PDFInfo
- Publication number
- CN101888297A CN101888297A CN 201010228998 CN201010228998A CN101888297A CN 101888297 A CN101888297 A CN 101888297A CN 201010228998 CN201010228998 CN 201010228998 CN 201010228998 A CN201010228998 A CN 201010228998A CN 101888297 A CN101888297 A CN 101888297A
- Authority
- CN
- China
- Prior art keywords
- authentication
- domain
- certificate server
- trust
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于信任的跨域认证方法。现有的方法兼容性差、效率低。本发明方法首先是第一个信任域中的第一认证服务器对第一实体进行身份认证,并将认证结果发送给第二信任域中的第二认证服务器;然后第二认证服务器利用预先建立的基于PKI认证体系的信任关系验证第一认证服务器是否合法,合法则继续执行,否则结束;最后第二认证服务器判断接收到的认证结果是否为认证通过,认证结果为认证通过则表示跨域认证成功,否则跨域认证失败。本发明方法简化了跨域认证流程,提高了跨域认证效率。
Description
技术领域
本发明属于网络安全领域,具体涉及一种基于信任的跨域认证方法。
背景技术
跨域认证就是指在不同域内登录的客户和服务器之间的认证。近年来,随着信息化的发展和信息安全的需要,各部门、行业、地区,分别建设了相应的证书管理系统和身份认证体系,处于不同域中的企业、机构之间出现了更多的业务来往,跨域的安全访问成为了大规模分布式环境,特别是多域环境下的必然需求。
目前,一个域的实体在跨域访问其他信任域的实体的时候,跨域认证普遍采取的方法是由受访问的实体所在的信任域的认证服务器直接对访问实体进行跨域身份认证。其中,同构域采用同种认证体制的信任域,异构域采用不同种类的认证体制的信任域。现有的认证体制有PKI(public Key Infrastructure,公开密钥基础设施)认证体制、Kerberos认证体制、IBC(Identity-Based Cryptography,基于身份的认证体制)认证体制等。
对于跨同构域的认证,比如基于PKI认证体制的信任域A向基于PKI认证体制的信任域B进行跨域认证时,这时,就需要建立一条从目标证书到认证方之间的一条或多条候选的证书路径,证书路径中的每个证书都要被检查和验证,这样,交叉证书路径处理的过程就非常复杂,从而使认证服务器在验证非本域用户的证书过程变得繁琐和低效。
对于跨异构域的认证,由于不同的信任域,那它们之间的认证体制也不一样,不兼容,这就导致用户的身份凭证形式不同,例如PKI使用身份证书,Kerberos采用票据形式。所以,当认证服务器在直接验证非本域身份凭证的时候,认证服务器需要对身份凭证的形式进行转换,这样,就使得认证服务器在验证非本域的用户凭证的过程也变得繁琐。
发明内容
本发明针对跨域认证中认证服务器在验证非本域用户凭证式的繁琐低效的问题,提供一种基于信任的跨域认证方法。
本发明解决其技术问题的关键点是:在至少包括两个信任域内,建立不同信任域中的认证服务器之间的基于公开密钥基础设施PKI认证体系的信任关系,当第一信任域中的第一实体跨域访问第二信任域中的第二实体时,跨域认证方法包括以下步骤:
步骤1:第一个信任域中的第一认证服务器对第一实体进行身份认证,并将认证结果发送给第二信任域中的第二认证服务器;
步骤2:第二认证服务器利用预先建立的基于PKI认证体系的信任关系验证第一认证服务器是否合法,合法则执行步骤3,否则结束;
步骤3:第二认证服务器判断接收到的认证结果是否为认证通过,是则表示跨域认证成功,否则跨域认证失败。
本发明方法的有益效果:通过对不同的信任域中的认证服务器之间建立基于PKI认证体系的信任关系,不同信任域认证服务器之间利用这种信任关系传送认证结果从而实现跨域认证,这样就解决了跨同构域认证中交叉证书路径处理复杂的问题,及跨异构域中认证服务器认证不同形式的身份凭证时需要对身份凭证的形式进行转换的问题,从而简化了跨域认证流程,提高了跨域认证效率。
具体实施方式
一种基于信任的跨域认证方法包括如下步骤:
步骤(1)建立不同信任域中的认证服务器之间基于PKI认证体系的信任关系。具体方法为:将不同信任域中的认证服务器归属于基于PKI认证体系中的同一个信任认证中心CA,该信任认证中心CA为每个认证服务器颁发证书,根据PKI认证理论可知,一个CA的所有实体都自动信任该CA所签发的所有证书,这样就建立起认证服务器之间的信任关系了。这里,可以包含至少两个信任域,相应的,认证服务器的数量也有至少两个。其中实体可以为用户、应用服务器等。
当上述至少两个信任域中的域A的实体a要跨域访问域B的实体b时,跨域认证的方法包括如下步骤:
步骤(2)实体a向实体b发送跨域访问请求。
步骤(3)实体b将信任域B中的认证服务器B1的标识发送给实体a。
步骤(4)实体a向域A中的认证服务器A1发送包含认证服务器B1的标识的认证请求。
步骤(5)域A的认证服务器A1对实体a进行身份认证,将认证结果依据上述认证服务器B1的标识发送给域B的认证服务器B1;
其中认证服务器对本域内的实体进行身份认证时,由于各信任域采用的认证体制不同(如有的用PKI,有的用Kerberos等),认证服务器根据其所属域的认证体制对域内实体进行身份认证。
这里,采用域A是PKI认证体制的例子来说明认证步骤。此时,认证服务器A1可以采用证书方式、口令方式,或者证书方式与口令方式相结合的方式对实体a进行身份认证。其中,认证服务器A1采用证书方式对实体a进行身份认证的过程举例说明如下:
第一步:实体a向认证服务器A1发送认证请求消息{实体a身份证书,认证服务器A1公钥加密的临时密钥,临时密钥加密的实体a标识和随机数ru}。
第二步:认证服务器A1收到消息后验证实体a身份证书有效性和证书路径,验证失败则拒绝。验证成功后查询用户是否已注册,未注册则拒绝,已经注册则读取实体a的用户信息,解密出临时密钥从而解密出随机数ru和实体a身份标识并与实体a的身份证书声明比较是否一致,若一致则向实体a发送消息{实体a公钥加密的本次会话的会话密钥,会话密钥加密的认证服务器的身份标识,收到的随机数ru,认证服务器A1产生的随机数ra}。
第三步:实体a收到消息后解密,若看到自己发送出的随机数ru则信任认证服务器A1,并发送消息{用本次会话密钥加密的由认证服务器A1产生的随机数ra}。认证服务器A1收到消息后解密若看到自己产生的随机数ra则信任实体a,认证结果为认证通过,否则认证结果为未通过。
认证服务器A1采用口令方式对实体a进行身份认证的过程举例说明如下:
第一步:实体a向认证服务器A1发送一个随机数ru作为挑战值。
第二步:认证服务器A1收到实体a的挑战值ru后产生对用户的挑战值ra,然后对ru、ra和口令链接求散列值,向实体a发送消息{挑战值ra,散列值}。
第三步:实体a收到消息后按相同方法求散列值,与收到的散列值比较,比较结果不同则认证结果为未通过,相同则信任认证服务器A1,用会话密钥对{认证服务器前后产生的随机数ra和口令链接后的散列值}加密后发送给认证服务器A1,认证服务器A1收到消息后做散列值验证,若匹配则信任实体a,认证结果为认证通过。
证书和口令相结合的认证方式可以是先进行证书方式认证通过后再进行口令方式认证,或先进行口令方式认证通过后再进行证书方式认证。
步骤(6)认证服务器B1利用预先建立的上述基于PKI认证体系的信任关系验证认证服务器A1是否合法,合法则执行步骤(7),否则结束;
验证的方法可以是认证服务器B1通过验证认证服务器A1的证书来验证认证服务器A1的合法性。
步骤(7)认证服务器B1判断接收到的认证结果是否为认证通过,是则跨域认证成功,否则跨域认证失败。
通过在不同信任域中的认证服务器之间建立基于PKI认证体系的信任关系,不同信任域中的两个认证服务器之间利用这种互相信任的关系传送认证结果实现跨域认证,从而解决了跨同构域认证中交叉证书路径处理复杂的问题,及跨异构域中认证服务器认证不同形式的身份凭证时需要对身份凭证的形式进行转换的问题,从而简化了跨域认证流程,提高了跨域认证效率。
Claims (1)
1.一种基于信任的跨域认证方法,其特征在于该方法包括如下步骤:
步骤(1)建立不同信任域中的认证服务器之间基于PKI认证体系的信任关系,具体方法为:将不同信任域中的认证服务器归属到基于PKI认证体系中的同一个信任认证中心CA,该信任认证中心CA为每个认证服务器颁发证书;
步骤(2)信任域A中的实体a向信任域B中的实体b发送跨域访问请求;所述的信任域A和信任域B为不同的信任域;所述的实体为用户或应用服务器;
步骤(3)实体b将信任域B中的认证服务器B1的标识发送给实体a;所述的认证服务器B1为信任域B中的任一一个认证服务器;
步骤(4)实体a向信任域A中的认证服务器A1发送包含认证服务器B1的标识的认证请求;所述的认证服务器A1为信任域A中的任一一个认证服务器;
步骤(5)认证服务器A1对实体a进行身份认证,将认证结果依据认证服务器B1的标识发送给认证服务器B1;
步骤(6)认证服务器B1利用预先建立的基于PKI认证体系的信任关系验证认证服务器A1是否合法,如果认证服务器A1合法则执行步骤(7),如果认证服务器A1不合法,则结束认证;
步骤(7)认证服务器B1判断接收到的认证结果是否为认证通过,如果认证结果为认证通过,则跨域认证成功;如果认证结果为认证未通过则跨域认证失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010228998 CN101888297A (zh) | 2010-07-16 | 2010-07-16 | 一种基于信任的跨域认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010228998 CN101888297A (zh) | 2010-07-16 | 2010-07-16 | 一种基于信任的跨域认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101888297A true CN101888297A (zh) | 2010-11-17 |
Family
ID=43074032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010228998 Pending CN101888297A (zh) | 2010-07-16 | 2010-07-16 | 一种基于信任的跨域认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101888297A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013135170A1 (zh) * | 2012-03-12 | 2013-09-19 | 西安西电捷通无线网络通信股份有限公司 | 身份认证方法、装置及系统 |
| CN104081714A (zh) * | 2012-01-25 | 2014-10-01 | 思科技术公司 | 网络调解多装置共享认证 |
| CN105915530A (zh) * | 2016-05-23 | 2016-08-31 | 西安交大捷普网络科技有限公司 | 域控网关的认证访问方法 |
| US9716707B2 (en) | 2012-03-12 | 2017-07-25 | China Iwncomm Co., Ltd. | Mutual authentication with anonymity |
| CN108075964A (zh) * | 2017-09-28 | 2018-05-25 | 中船黄埔文冲船舶有限公司 | 一种异构域环境下邮件系统部署方法 |
| CN108243145A (zh) * | 2016-12-23 | 2018-07-03 | 航天星图科技(北京)有限公司 | 一种多源身份认证方法 |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
| CN114036472A (zh) * | 2021-11-05 | 2022-02-11 | 西北工业大学 | 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 |
| CN114553527A (zh) * | 2022-02-22 | 2022-05-27 | 中国人民解放军78111部队 | 一种基于区块链的跨ca信任域的身份认证服务系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1545243A (zh) * | 2003-11-24 | 2004-11-10 | 华中科技大学 | 一种身份认证的方法和系统 |
| US20050114701A1 (en) * | 2003-11-21 | 2005-05-26 | International Business Machines Corporation | Federated identity management within a distributed portal server |
| CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
-
2010
- 2010-07-16 CN CN 201010228998 patent/CN101888297A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050114701A1 (en) * | 2003-11-21 | 2005-05-26 | International Business Machines Corporation | Federated identity management within a distributed portal server |
| CN1545243A (zh) * | 2003-11-24 | 2004-11-10 | 华中科技大学 | 一种身份认证的方法和系统 |
| CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104081714A (zh) * | 2012-01-25 | 2014-10-01 | 思科技术公司 | 网络调解多装置共享认证 |
| CN104081714B (zh) * | 2012-01-25 | 2018-01-16 | 思科技术公司 | 用于实现网络调解多装置共享认证的设备 |
| WO2013135170A1 (zh) * | 2012-03-12 | 2013-09-19 | 西安西电捷通无线网络通信股份有限公司 | 身份认证方法、装置及系统 |
| US9716707B2 (en) | 2012-03-12 | 2017-07-25 | China Iwncomm Co., Ltd. | Mutual authentication with anonymity |
| US10291614B2 (en) | 2012-03-12 | 2019-05-14 | China Iwncomm Co., Ltd. | Method, device, and system for identity authentication |
| CN105915530A (zh) * | 2016-05-23 | 2016-08-31 | 西安交大捷普网络科技有限公司 | 域控网关的认证访问方法 |
| CN108243145A (zh) * | 2016-12-23 | 2018-07-03 | 航天星图科技(北京)有限公司 | 一种多源身份认证方法 |
| CN108243145B (zh) * | 2016-12-23 | 2019-04-26 | 中科星图股份有限公司 | 一种多源身份认证方法 |
| CN108075964A (zh) * | 2017-09-28 | 2018-05-25 | 中船黄埔文冲船舶有限公司 | 一种异构域环境下邮件系统部署方法 |
| CN114036472A (zh) * | 2021-11-05 | 2022-02-11 | 西北工业大学 | 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 |
| CN114036472B (zh) * | 2021-11-05 | 2024-03-29 | 西北工业大学 | 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 |
| CN114553527A (zh) * | 2022-02-22 | 2022-05-27 | 中国人民解放军78111部队 | 一种基于区块链的跨ca信任域的身份认证服务系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101453476B (zh) | 一种跨域认证方法和系统 | |
| Yang et al. | Delegating authentication to edge: A decentralized authentication architecture for vehicular networks | |
| CN101888297A (zh) | 一种基于信任的跨域认证方法 | |
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| CN105141425B (zh) | 一种基于混沌映射的可保护身份的双向认证方法 | |
| US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| CN101902476B (zh) | 移动p2p用户身份认证方法 | |
| US9184917B2 (en) | Method and system for registering a DRM client | |
| CN106790261B (zh) | 分布式文件系统及用于其中节点间认证通信的方法 | |
| CN101442411A (zh) | 一种p2p网络中对等用户结点间的身份认证方法 | |
| CN103634265B (zh) | 安全认证的方法、设备及系统 | |
| CN103237038A (zh) | 一种基于数字证书的双向入网认证方法 | |
| CN105516119A (zh) | 基于代理重签名的跨域身份认证方法 | |
| CN103023911A (zh) | 可信网络设备接入可信网络认证方法 | |
| Chuang et al. | PPAS: A privacy preservation authentication scheme for vehicle-to-infrastructure communication networks | |
| CN101610514A (zh) | 认证方法、认证系统及认证服务器 | |
| CN114154125B (zh) | 云计算环境下区块链无证书的身份认证方案 | |
| Kravitz | Transaction immutability and reputation traceability: Blockchain as a platform for access controlled iot and human interactivity | |
| CN101610515A (zh) | 一种基于wapi的认证系统及方法 | |
| WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
| CN114884698A (zh) | 基于联盟链的Kerberos与IBC安全域间跨域认证方法 | |
| CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
| CN101192927A (zh) | 基于身份保密的授权与多重认证方法 | |
| Suresh et al. | A TPM-based architecture to secure VANET | |
| US9038143B2 (en) | Method and system for network access control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101117 |