CN108848074A - 基于域代理信任值的信息服务实体跨域认证方法 - Google Patents

基于域代理信任值的信息服务实体跨域认证方法 Download PDF

Info

Publication number
CN108848074A
CN108848074A CN201810550433.2A CN201810550433A CN108848074A CN 108848074 A CN108848074 A CN 108848074A CN 201810550433 A CN201810550433 A CN 201810550433A CN 108848074 A CN108848074 A CN 108848074A
Authority
CN
China
Prior art keywords
domain
user
agency
behalf
entity
Prior art date
Application number
CN201810550433.2A
Other languages
English (en)
Other versions
CN108848074B (zh
Inventor
马文平
高阳
Original Assignee
西安电子科技大学
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 西安电子科技大学 filed Critical 西安电子科技大学
Priority to CN201810550433.2A priority Critical patent/CN108848074B/zh
Publication of CN108848074A publication Critical patent/CN108848074A/zh
Application granted granted Critical
Publication of CN108848074B publication Critical patent/CN108848074B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0823Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0876Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communication including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communication including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本发明公开一种基于域代理信任值的信息服务实体跨域认证方法,主要解决当前跨域认证过程中,计算复杂度高,通信开销大和基于公钥基础设施证书管理复杂的问题,其技术方案为:采用基于身份的签名算法验证用户身份的合法性,使用连接算子,连接从域代理的交易信息表中提取的直接信任向量,用合并算子合并多条推荐路径上的信任向量,从而判断域代理之间是否相互信任。本发明克服了现有技术在跨域认证过程中,基于公钥基础设施认证体系证书管理复杂,计算复杂度高,通信开销大的问题,在保证域代理之间认证准确度的同时提高了跨域认证过程的实用性和高效性。

Description

基于域代理信任值的信息服务实体跨域认证方法

技术领域

[0001] 本发明属于通信技术领域,更进一步涉及网络通信技术领域中的一种基于域代理 DA (Domain agent)信任值的信息服务实体ISE (Information System Entity)跨域认证方 法。本发明可在资源受限的分布式的网络环境下,通过计算域代理之间的信任值,建立信任 域之间的信任关系,为一个信任域的用户跨域访问信息服务实体的资源提供安全保障。

背景技术

[0002] 建立域代理之间的信任关系是提高网络中用户个人信息的保密性和安全性的重 要步骤,跨域认证是指不同域的域代理之间相互认证的技术和过程。近年来,随着密码学理 论、模糊集合理论在跨域认证领域应用的不断深入,许多新的方法和思想被应用于跨域认 证。在其中,跨信任域的认证框架主要有公钥基础设施PKI (Public Key Infrastructure) 认证框架和基于身份的公钥密码体制IBC (Identity-Based Cryptography)认证框架,这些 方法能够有效的实现跨域的认证。但是PKI认证框架的证书管理开销较大,且当跨域访问资 源过于繁重时容易造成认证中心网络瓶颈的问题,IBC认证框架要求不同的域使用相同的 系统参数,这在工程上显然是不切实际的。因此,想要实现安全高效的跨域认证,仍然有很 多需要改进的地方。

[0003] 浙江省人大常委会办公厅信息中心在其申请的专利文献“一种基于信任的跨域认 证方法”(申请号201010228998.2,申请公布号CN 101888297A)中提出了一种基于信任的跨 域认证方法。该方法的步骤是,首先根据各个信任域采用的认证体制,第一信任域的第一认 证服务器采用证书、口令或者证书和口令相结合的方式对第一实体进行身份验证,并将认 证结果发送给第二认证服务器。然后将不同信任域的认证服务器归属到基于PKI认证体系 中的同一信任认证中心CA (Center Agent),该信任认证中心CA为每个认证服务器颁发证 书,这样就建立起认证服务器之间的信任关系,第二认证服务器利用预先建立的基于PKI认 证体系的信任关系验证第一服务器的合法性。最后,第二认证服务器根据判断的认证结果 再决定跨域认证是否成功,认证结果为认证通过则表示跨域验证成功,否则为失败。该方法 存在的不足之处有两个,第一,由于该方法没有考虑第二信任域中第二认证服务器对第二 实体的身份认证,忽略了第二信任域的第二实体也可能具有欺骗性,在第一信任域的第一 实体访问第二信任域的第二实体过程中会引起信息的泄露的问题。第二,该方法使用PKI认 证体系建立信任域之间信任关系,而PKI认证体系的缺点是,当信任域较多时认证服务器证 书的管理开销很大,跨域认证的效率低。

[0004] 西南交通大学在其申请的专利文献“IBC域内的用户访问PKI域内的资源的认证密 钥协商方法”(申请号201710081516.7,公开号106789042A)中公开了一种IBC域的用户访问 PKI域的资源的认证密钥协商方法。该方法的步骤是,首先利用哈希值的运算和基于椭圆曲 线的点乘运算计算用户的临时身份,IBC域的用户使用IBC域的认证服务器的公钥采用基于 身份的加密操作向本域的认证服务器发送访问PKI域的资源的请求,IBC域认证服务器通过 认证用户的合法性后转发用户的访问请求给PKI域认证服务器。然后PKI域认证服务器对 IBC域认证服务器进行身份的合法性认证,生成访问授权票据并发送给IBC域的用户。最后 使用基于身份的加解密算法实现IBC域的用户和PKI域的资源的双向身份认证,从而建立协 商会话密钥,其中会话密钥是由会话密钥的认证服务器部分和填充后的用户部分进行异或 处理得到的。该方法存在的不足之处是,由于该方法中包括多次身份的验证和基于身份的 加解密,而身份的验证和基于身份的加解密使用了双线对和基于椭圆曲线点乘的运算,双 线性对和点乘运算的时间复杂度太高,从而使得跨域认证的时间效率降低,增大通信开销。

发明内容

[0005] 本发明的目的在于针对上述现有技术的不足,提出基于域代理信任值的信息服务 实体跨域认证方法,以解决跨域认证过程中基于公钥基础设施认证体系证书管理复杂,时 间效率低和通信开销过大的问题。

[0006] 实现本发明目的的思路是,采用基于身份的签名算法向本域的域代理证明用户是 本域的合法用户,将收到请求消息域代理中对目标域代理的每个直接信任向量,用连接算 子连接为一个推荐信任向量,用合并算子将多条推荐路径上的推荐信任向量合成为一个信 任向量,计算域代理之间的信任向量,实现域间的双向信任评估,将信任评估的结果发送给 用户域中的发送请求的用户,用户域中发送请求的用户决定与实体域中的信息服务实体是 否建立安全通信。

[0007] 本发明的具体步骤包括如下:

[0008] (1)发送认证请求:

[0009] (Ia)利用身份签名算法,用户域中发送请求的用户对消息进行签名,得到消息的 杂凑值和签名消息;

[0010] (Ib)用户域内发送请求的用户将消息、消息的杂凑值和签名消息发送给用户域的 域代理;

[0011] (Ic)用户域的域代理验证用户的身份是否合法,若是,则执行步骤(2),否则,中止 认证;

[0012] (2)用户域的域代理对实体域的域代理进行信任评估:

[0013] (2a)将用户域的域代理作为发送方,实体域的域代理作为请求方,利用双向信任 响应的方法,得到关于实体域的域代理的各个直接信任向量;

[0014] (2b)按照下式,计算用户域的域代理对实体域的域代理的直接推荐信任向量:

Figure CN108848074AD00071

[0016] 其中,

Figure CN108848074AD00072

表示用户域的域代理对实体域的域代理的直接推荐信任向量,

Figure CN108848074AD00073

表示用 户域的域代理对其中一个收到请求消息的域代理的直接信任向量,

Figure CN108848074AD00074

表示其中一个收到请 求消息的域代理对实体域的域代理的直接信任向量,表示连接操作;

Figure CN108848074AD00075

[0017] (2c)按照下式,用户域的域代理对实体域的域代理的间接推荐信任向量:

Figure CN108848074AD00076

[0019]其中,

Figure CN108848074AD00077

表示用户域的域代理对实体域的域代理的间接推荐信任向量,

Figure CN108848074AD00078

表示用 户域的域代理对其中一个收到请求消息的域代理的直接信任向量,

Figure CN108848074AD00079

表示其中一个收到请 求消息的域代理对其交易信息表中的一个域代理的直接信任向量,

Figure CN108848074AD000710

表示收到请求消息域 代理交易信息表中的一个域代理对用实体域的域代理的直接信任向量,

Figure CN108848074AD00081

表示连接操作; [0020] (2d)按照下式,计算用户域的域代理对实体域的域代理的推荐信任向量:

Figure CN108848074AD00082

[0022] 其中:

Figure CN108848074AD00083

表示用户域的域代理对实体域的域代理的推荐信任向量,

Figure CN108848074AD00084

表示用户域 的域代理对实体域的域代理的直接推荐信任向量,

Figure CN108848074AD00085

表示用户域的域代理对实体域的域 代理的间接推荐信任向量,表示合并操作;

Figure CN108848074AD00086

[0023] (2e)按照下式,计算用户域的域代理对实体域的域代理的综合信任向量:

Figure CN108848074AD00087

[0025] 其中:

Figure CN108848074AD00088

表示用户域的域代理对实体域的域代理的综合信任向量,

Figure CN108848074AD00089

表示用户域 的域代理对实体域的域代理的直接信任向量,

Figure CN108848074AD000810

表示用户域的域代理对实体域的域代理 的推荐信任向量,

Figure CN108848074AD000811

表示合并操作;

[0026] (2f)判断用户域的域代理对实体域的域代理的综合信任向量的最大分量是否大 于0.5,若是,执行步骤(2f),否则,执行步骤(6);

[0027] (2g)将用户域的域代理对实体域的域代理信任评估的结果,发送给用户域中的发 送请求用户;

[0028] (3)实体域的域代理对用户域的域代理进行信任评估:

[0029] (3a)将实体域的域代理作为发送方,用户域的域代理作为验证方,利用双向信任 响应的方法,得到关于用户域域代理的各个直接信任向量;

[0030] (3b)按照下式,计算实体域的域代理对用户域的域代理的直接推荐信任向量:

Figure CN108848074AD000812

[0032] 其中,

Figure CN108848074AD000813

表示实体域的域代理对用户域的域代理的直接推荐信任向量,

Figure CN108848074AD000814

表示实 体域的域代理对其中一个收到请求消息的域代理的直接信任向量,

Figure CN108848074AD000815

表示其中一个收到请 求消息的域代理对用户域的域代理的直接信任向量,表示连接操作;

Figure CN108848074AD000816

[0033] (3c)按照下式,实体域的域代理对用户域的域代理的间接推荐信任向量:

Figure CN108848074AD000817

[0035] 其中,

Figure CN108848074AD000818

表示实体域的域代理对用户域的域代理的间接推荐信任向量,

Figure CN108848074AD000819

表示实 体域的域代理对其中一个收到请求消息的域代理的直接信任向量,

Figure CN108848074AD000820

表示其中一个收到请 求消息的域代理对其交易信息表中的一个域代理的直接信任向量,

Figure CN108848074AD000821

表示收到请求消息域 代理交易信息表中的一个域代理对用户域的域代理的直接信任向量,

Figure CN108848074AD000822

表示连接操作;

[0036] (3d)按照下式,计算实体域的域代理对实体域的域代理的推荐信任向量:

Figure CN108848074AD000823

[0038] 其中

Figure CN108848074AD000824

表示实体域的域代理对用户域的域代理的推荐信任向量,

Figure CN108848074AD000825

表示实体域 的域代理对用户域的域代理的直接推荐信任向量,

Figure CN108848074AD000826

表示实体域的域代理对用户域的域代 理的间接推荐信任向量,

Figure CN108848074AD000827

表示合并操作;

[0039] (3e)按照下式,计算实体域的域代理对用户域的域代理的综合信任向量:

Figure CN108848074AD000828

[0041] 其中,

Figure CN108848074AD00091

表示实体域的域代理对用户域的域代理的综合信任向量,

Figure CN108848074AD00092

表示实体域 的域代理对用户域的域代理的直接信任向量,

Figure CN108848074AD00093

表示实体域的域代理对用户域的域代理 的推荐信任向量,表示合并操作;

Figure CN108848074AD00094

[0042] (3f)判断实体域的域代理对用户域的域代理的综合信任向量的最大分量是否大 于0.5,若是,执行步骤(3f),否则,执行步骤(6);

[0043] (3g)将实体域的域代理对用户域的域代理信任评估的结果,发送给用户域中的发 送请求的用户;

[0044] (4)判断用户域与实体域是否满足相互信任条件,若是,则执行步骤(5),否则,执 行步骤⑹;

[0045] (5)用户域中发送请求的用户访问实体域中的信息服务实体;

[0046] ⑹用户域中发送请求的用户拒绝访问实体域中的信息服务实体。

[0047] 本发明与现有的技术相比具有以下优点:

[0048] 第一,由于本发明通过评估域代理之间的信任度,实现域之间的双向认证,克服了 现有技术在实现域代理之间的认证时,基于公钥基础设施认证体系证书管理复杂的问题, 使得本发明在实现域代理之间的认证过程中具有高效性的优点。

[0049] 第二,由于本发明通过评估域代理之间的信任度,实现域之间的双向信任,克服了 现有技术在基于身份的跨域认证过程,事先确定不同的域使用相同的系统参数,从而导致 实用性差的问题,使得本发明在实现跨域认证的过程中具有高实用性的优点。

[0050] 第三,由于本发明使用了一次基于身份的签名验证算法,克服了现有技术在跨域 认证过程中,使用大量基于椭圆曲线点乘和双线对运算,从而造成时间复杂度高和认证过 程复杂的问题,使得本发明在跨域认证的过程中具有计算量少,通信开销低的优点。

附图说明

[0051] 图1为本发明的流程图;

[0052] 图2为本发明仿真实验结果图。

具体实施方式

[0053] 下面结合附图对本发明做进一步的描述。

[0054] 参照图1,本发明的具体实施步骤做进一步的描述。

[0055] 步骤1,发送认证请求:

[0056] 利用身份签名算法,用户域中发送请求的用户对消息进行签名,得到消息的杂凑 值和签名消息。

[0057] 所述的消息包括用户域中发送请求的时间戳、用户的身份标识、实体域中被访问 的信息服务实体的身份标识。

[0058] 所述的身份签名算法的具体步骤如下:

[0059] 第1步,将用户域中发送请求的时间戳、用户的身份标识、实体域中被访问的信息 服务实体的身份标识组成消息;

[0060] 第2步,使用密码杂凑函数,将消息转化成一个杂凑值;

[0061] 第3步,密钥生成中心产生一个随机数作为系统的主密钥,se [1,N-1],其中,s表 示由密钥生成中心产生的随机数,e表示属于符号,N表示一个乘法循环群的阶数;

[0062] 第4步,密钥生成中心随机选择并公开一个字节,将所选字节作为用户的私钥生成 函数识别符;

[0063] 第5步,按照下式,生成用户域中发送请求用户的私钥:

Figure CN108848074AD00101

[0065] 其中,d表示用户域中发送请求用户的私钥,P表示N阶乘法循环群的生成元,s表示 基于身份的密码体制系统的主密钥,H(ID| |i)表示用哈希函数将输入的用户域中发送请求 用户的身份标识ID和用户私钥生成函数识别符i连接的比特串输出为一个整数;

[0066] 第6步,按照下式,生成用户域中发送请求用户的公钥:

Figure CN108848074AD00102

[0068] 其中,Q表示用户域中发送请求用户的公钥,H(ID| I i)表示用哈希函数将输入的用 户域中发送请求用户的身份标识ID和用户私钥生成函数识别符i连接的比特串输出为一个 整数,P表示N阶乘法循环群的生成元,s表示基于身份的密码体制系统的主密钥;

[0069] 第7步,发送请求的用户产生一个随机数,1彡r彡N-I,r表示由发送请求用户产生 的随机数,N表示一个乘法循环群的阶数;

[0070] 第8步,按照下式,生成请求用户对消息的签名:

Figure CN108848074AD00103

[0072] 其中,S表示请求的用户对消息的签名,d表示发送请求用户的私钥,r表示发送请 求用户产生的随机数,h表示消息杂凑值,mod表示取余操作,

Figure CN108848074AD00104

表示取整操作。

[0073] 用户域内发送请求的用户将消息、消息的杂凑值和签名消息发送给用户域的域代 理。

[0074] 用户域的域代理验证用户的身份是否合法,若是,则执行步骤(2),否则,中止认 证。

[0075] 用户域的域代理按照下式计算消息杂凑值,将所计算出的消息杂凑值与收到的消 息杂凑值相等的发送请求用户判定为身份合法的用户:

Figure CN108848074AD00105

[0077] 其中,h2表示用户域的域代理计算的消息杂凑值,H2 (·)表示哈希函数,M1表示用 户域的域代理收到的消息,e(·)表示双线性对操作,Q表示发送请求用户的公钥,S1表示用 户域的域代理收到的签名消息,P表示生成乘法循环群的生成元,s表示由密钥生成中心产 生的随机数,h表示用户域的域代理收到的消息杂凑值。

[0078] 步骤2,用户域的域代理对实体域的域代理进行评估。

[0079] 将用户域的域代理作为发送方,实体域的域代理作为请求方,利用双向信任响应 的方法,得到关于实体域的域代理的各个直接信任向量。

[0080] 所述的双向信任响应的方法的具体步骤如下:

[0081] 第1步,用户域的域代理从自身存储的交易信息表中查找实体域的域代理的信息, 存在,则直接取出对实体域的域代理的直接信任向量;

[0082] 第2步,用户域的域代理将评估实体域的域代理的请求消息发送给交易信息表中 除实体域的域代理以外的其他域代理;

[0083] 第3步,收到请求消息域代理从其交易信息表中取出对实体域的域代理的直接信 任向量,并发送给用户域的域代理;

[0084] 第4步,收到请求消息的域代理将信任评估验证方的请求消息发送给其交易信息 表中除实体域的域代理以外的其他域代理;

[0085] 第5步,收到请求消息的域代理从自身的交易信息表中取出对实体域的域代理的 直接信任向量,并发送给该域代理的发送方,该域代理的发送方再发送给用户域的域代理。

[0086] 按照下式,计算用户域的域代理对实体域的域代理的直接推荐信任向量:

Figure CN108848074AD00111

[0088] 其中,

Figure CN108848074AD00112

表示用户域的域代理对实体域的域代理的直接推荐信任向量,

Figure CN108848074AD00113

表示用 户域的域代理对其中一个收到请求消息的域代理的直接信任向量,

Figure CN108848074AD00114

表示其中一个收到请 求消息的域代理对实体域的域代理的直接信任向量,

Figure CN108848074AD00115

表示连接操作。

[0089] 按照下式,用户域的域代理对实体域的域代理的间接推荐信任向量:

Figure CN108848074AD00116

[0091] 其中:

Figure CN108848074AD00117

表示用户域的域代理对实体域的域代理的间接推荐信任向量,

Figure CN108848074AD00118

表示用 户域的域代理对其中一个收到请求消息的域代理的直接信任向量:

Figure CN108848074AD00119

表示其中一个收到请 求消息的域代理对其交易信息表中的一个域代理的直接信任向量,

Figure CN108848074AD001110

表示收到请求消息域 代理交易信息表中的一个域代理对用实体域的域代理的直接信任向量,

Figure CN108848074AD001111

g示连接操作。

[0092] 按照下式,计算用户域的域代理对实体域的域代理的推荐信任向量:

Figure CN108848074AD001112

[0094] 其中,

Figure CN108848074AD001113

表示用户域的域代理对实体域的域代理的推荐信任向量,

Figure CN108848074AD001114

表示用户域 的域代理对实体域的域代理的直接推荐信任向量,

Figure CN108848074AD001115

:表示用户域的域代理对实体域的域代 理的间接推荐信任向量,

Figure CN108848074AD001116

表示合并操作。

[0095] 按照下式,计算用户域的域代理对实体域的域代理的综合信任向量:

Figure CN108848074AD001117

[0097] 其中,

Figure CN108848074AD001118

表示用户域的域代理对实体域的域代理的综合信任向量,

Figure CN108848074AD001119

表示用户域 的域代理对实体域的域代理的直接信任向量,

Figure CN108848074AD001120

表示用户域的域代理对实体域的域代理 的推荐信任向量,表示合并操作。

Figure CN108848074AD001121

[0098] 判断用户域的域代理对实体域的域代理的综合信任向量的最大分量是否大于 0.5,若是,执行步骤3,否则,执行步骤6。

[0099] 步骤3,实体域的域代理对用户域的域代理的信任度进行评估。

[0100] 将实体域的域代理作为发送方,用户域的域代理作为验证方,利用双向信任响应 的方法,得到关于用户域的域代理的各个直接信任向量。

[0101] 所述的双向信任响应的方法的具体步骤如下:

[0102] 第1步,实体域的域代理从自身存储的交易信息表中查找用户域的域代理的信息, 存在,则直接取出对用户域的域代理的直接信任向量;

[0103] 第2步,实体域的域代理将评估用户域的域代理的请求消息发送给交易信息表中 除用户域的域代理以外的其他域代理;

[0104] 第3步,收到请求消息域代理从其交易信息表中取出对用户域的域代理的直接信 任向量,并发送给实体域的域代理;

[0105] 第4步,收到请求消息的域代理将信任评估用户域的域代理的请求消息发送给其 交易信息表中除用户域的域代理以外的其他域代理;

[0106] 第5步,收到请求消息的域代理从自身的交易信息表中取出对用户域的域代理的 直接信任向量,并发送给该域代理的发送方,该域代理的发送方再发送给实体域的域代理。

[0107] 按照下式,计算实体域的域代理对用户域的域代理的直接推荐信任向量:

Figure CN108848074AD00121

[0109]其中,

Figure CN108848074AD00122

:表示实体域的域代理对用户域的域代理的直接推荐信任向量,

Figure CN108848074AD00123

表示实 体域的域代理对其中一个收到请求消息的域代理的直接信任向量,

Figure CN108848074AD00124

表示其中一个收到请 求消息的域代理对用户域的域代理的直接信任向量,

Figure CN108848074AD00125

表示连接操作;

[oho]按照下式,实体域的域代理对用户域的域代理的间接推荐信任向量:

Figure CN108848074AD00126

[0112] 其中,

Figure CN108848074AD00127

表示实体域的域代理对用户域的域代理的间接推荐信任向量,

Figure CN108848074AD00128

表示实 体域的域代理对其中一个收到请求消息的域代理的直接信任向量,

Figure CN108848074AD00129

表示其中一个收到请 求消息的域代理对其交易信息表中的一个域代理的直接信任向量,

Figure CN108848074AD001210

表示收到请求消息域 代理交易信息表中的一个域代理对用户域的域代理的直接信任向量,表示连接操作。

Figure CN108848074AD001211

[0113] 按照下式,计算实体域的域代理对实体域的域代理的推荐信任向量:

[ _

Figure CN108848074AD001212

— _

[0115] 其中,

Figure CN108848074AD001213

表示实体域的域代理对用户域的域代理的推荐信任向量,

Figure CN108848074AD001214

表示实体域 的域代理对用户域的域代理的直接推荐信任向量,

Figure CN108848074AD001215

表示实体域的域代理对用户域的域代 理的间接推荐信任向量,表示合并操作。

Figure CN108848074AD001216

[0116] 按照下式,计算实体域的域代理对用户域的域代理的综合信任向量:

Figure CN108848074AD001217

[0118] 其中,

Figure CN108848074AD001218

:表示实体域的域代理对用户域的域代理的综合信任向量,

Figure CN108848074AD001219

表示实体域 的域代理对用户域的域代理的直接信任向量,

Figure CN108848074AD001220

表示实体域的域代理对用户域的域代理的 推荐信任向量,

Figure CN108848074AD001221

表示合并操作。

[0119] 判断实体域的域代理对用户域的域代理的综合信任向量的最大分量是否大于 〇. 5,执行步骤4,否则,执行步骤6。

[0120] 步骤4,用户域中的发送请求的用户判断用户域与实体域是否满足相互信任条件, 若是,执行步骤5,否则,执行步骤6。

[0121] 所述相互信任条件是指同时满足以下两个条件的情形:

[0122] 条件1,用户域的域代理对实体域的域代理的综合信任向量的最大分量大于0.5;

[0123] 条件2,用户域域代理对实体域的域代理的综合信任向量的最大分量大于0.5。

[0124] 步骤5,用户域中发送请求的用户访问实体域中的信息服务实体。

[0125] 步骤6,用户域中发送请求的用户拒绝访问实体域中的信息服务实体。

[0126] 本发明的效果可以通过下述仿真实验得到验证。

[0127] !•仿真条件:

[0128] 本发明的仿真实验条件为:MATLAB R2016a,3.20GHz 的 Intel Pentium ⑻ Dual-Core CPU,内存8G,Windows7旗舰版。

[0129] 2.仿真内容:

[0130] 本发明的仿真实验是采用本发明的合并连接算子和现有信任评估技术的普通算 子的计算推荐信任向量最大分量的方法,对本发明所选取的各个域代理的直接信任向量进 行推荐信任向量最大分量的计算。将采用本发明的合并连接算子所计算的推荐信任向量的 最大分量,与使用现有信任评估技术的普通算子计算的推荐信任向量的最大分量进行对 比,得到如图2所示的两条曲线。

[0131] 3.仿真结果分析:

[0132] 图2是本发明的合并连接算子与现有信任评估技术的普通算子计算推荐信任向量 的最大分量随推荐域代理数量变化的曲线图,其中,图2中的横坐标表示推荐域代理的数 量,纵坐标表示推进信任向量的最大分量。图2中以实线表示采用本发明的合并连接算子计 算的推荐信任向量的最大分量曲线,图2中以虚线表示采用现有信任评估技术的普通算子 计算的推荐信任向量的最大分量曲线。

[0133] 由图2可见,在横坐标表示的相同数量推荐域代理的条件下,采用本发明的合并连 接算子计算的推荐信任向量的最大分量,比现有信任评估技术的普通算子计算的推荐信任 向量的最大分量小很多,说明采用本发明的合并连接算子比现有信任评估技术的普通算子 的信任评估更加精确。

[0134] 由以上的仿真结果表明:本发明由于采用连接算子,连接从域代理的交易信息表 中提取的直接信任向量,用合并算子合并多条推荐路径上的信任向量,以便计算精确的推 荐信任向量最大分量,从而有效的评估了域代理之间的信任度,提高了域代理之间认证的 准确度,实现了用户对信息服务实体安全有效的跨域认证。

Claims (6)

  1. I. 一种基于域代理信任值的信息服务实体跨域认证方法,其特征在于,将收到请求消 息域代理中对目标域代理的每个直接信任向量,用连接算子连接为一个推荐信任向量,用 合并算子将多条推荐路径上的推荐信任向量合成为一个信任向量;该方法的具体步骤包括 如下: (1)发送认证请求: (la) 利用身份签名算法,用户域中发送请求的用户对消息进行签名,得到消息的杂凑 值和签名消息; (lb) 用户域内发送请求的用户将消息、消息的杂凑值和签名消息发送给用户域的域代 理; (lc) 用户域的域代理验证用户的身份是否合法,若是,则执行步骤(2),否则,中止认 证; ⑵用户域的域代理对实体域的域代理进行信任评估: (2a)将用户域的域代理作为发送方,实体域的域代理作为请求方,利用双向信任响应 的方法,得到关于实体域的域代理的各个直接信任向量; (2b)按照下式,计算用户域的域代理对实体域的域代理的直接推荐信任向量:
    Figure CN108848074AC00021
    其中,
    Figure CN108848074AC00022
    表示用户域的域代理对实体域的域代理的直接推荐信任向量,表示用户域
    Figure CN108848074AC00023
    的域代理对其中一个收到请求消息的域代理的直接信任向量,表示其中一个收到请求消
    Figure CN108848074AC00024
    息的域代理对实体域的域代理的直接信任向量,
    Figure CN108848074AC00025
    表示连接操作; (2c)按照下式,用户域的域代理对实体域的域代理的间接推荐信任向量:
    Figure CN108848074AC00026
    其中,
    Figure CN108848074AC00027
    表示用户域的域代理对实体域的域代理的间接推荐信任向量:
    Figure CN108848074AC00028
    表示用户域 的域代理对其中一个收到请求消息的域代理的直接信任向量,表示其中一个收到请求消
    Figure CN108848074AC00029
    息的域代理对其交易信息表中的一个域代理的直接信任向量,
    Figure CN108848074AC000210
    表示收到请求消息域代理 交易信息表中的一个域代理对用实体域的域代理的直接信任向量,表示连接操作;
    Figure CN108848074AC000211
    (2d)按照下式,计算用户域的域代理对实体域的域代理的推荐信任向量:
    Figure CN108848074AC000212
    其中,
    Figure CN108848074AC000213
    表示用户域的域代理对实体域的域代理的推荐信任向量,
    Figure CN108848074AC000214
    表示用户域的域 代理对实体域的域代理的直接推荐信任向量,
    Figure CN108848074AC000215
    表示用户域的域代理对实体域的域代理的 间接推荐信任向量,
    Figure CN108848074AC000216
    表示合并操作; (2e)按照下式,计算用户域的域代理对实体域的域代理的综合信任向量:
    Figure CN108848074AC000217
    其中,
    Figure CN108848074AC000218
    表示用户域的域代理对实体域的域代理的综合信任向量
    Figure CN108848074AC000219
    表示用户域的域 代理对实体域的域代理的直接信任向量,
    Figure CN108848074AC000220
    表示用户域的域代理对实体域的域代理的推 荐信任向量,表示合并操作;
    Figure CN108848074AC000221
    (2f)判断用户域的域代理对实体域的域代理的综合信任向量的最大分量是否大于
    0.5,若是,执行步骤(2g),否则,执行步骤(6); (2g)将用户域的域代理对实体域的域代理信任评估的结果,发送给用户域中的发送请 求用户; ⑶实体域的域代理对用户域的域代理进行信任评估: (3a)将实体域的域代理作为发送方,用户域的域代理作为验证方,利用双向信任响应 的方法,得到关于用户域的域代理的各个直接信任向量; (3b)按照下式,计算实体域的域代理对用户域的域代理的直接推荐信任向量:
    Figure CN108848074AC00031
    其中,
    Figure CN108848074AC00032
    表示实体域的域代理对用户域的域代理的直接推荐信任向量,表示实体域
    Figure CN108848074AC00033
    的域代理对其中一个收到请求消息的域代理的直接信任向量,表示其中一个收到请求消
    Figure CN108848074AC00034
    息的域代理对用户域的域代理的直接信任向量:
    Figure CN108848074AC00035
    表示连接操作; (3c)按照下式,实体域的域代理对用户域的域代理的间接推荐信任向量:
    Figure CN108848074AC00036
    其中,
    Figure CN108848074AC00037
    表示实体域的域代理对用户域的域代理的间接推荐信任向量,
    Figure CN108848074AC00038
    表示实体域 的域代理对其中一个收到请求消息的域代理的直接信任向量:
    Figure CN108848074AC00039
    表示其中一个收到请求消 息的域代理对其交易信息表中的一个域代理的直接信任向量,表示收到请求消息域代理
    Figure CN108848074AC000310
    交易信息表中的一个域代理对用户域的域代理的直接信任向量,表示连接操作;
    Figure CN108848074AC000311
    (3d)按照下式,计算实体域的域代理对实体域的域代理的推荐信任向量:
    Figure CN108848074AC000312
    其中,
    Figure CN108848074AC000313
    表示实体域的域代理对用户域的域代理的推荐信任向量,
    Figure CN108848074AC000314
    表示实体域的域 代理对用户域的域代理的直接推荐信任向量,
    Figure CN108848074AC000315
    表示实体域的域代理对用户域的域代理的 间接推荐信任向量,
    Figure CN108848074AC000316
    表示合并操作; (3e)按照下式,计算实体域的域代理对用户域的域代理的综合信任向量:
    Figure CN108848074AC000317
    其中,
    Figure CN108848074AC000318
    :表示实体域的域代理对用户域的域代理的综合信任向量,
    Figure CN108848074AC000319
    表示实体域的域 代理对用户域的域代理的直接信任向量,
    Figure CN108848074AC000320
    表示实体域的域代理对用户域的域代理的推 荐信任向量,表示合并操作;
    Figure CN108848074AC000321
    (3f)判断实体域的域代理对用户域的域代理的综合信任向量的最大分量是否大于 0.5,若是,执行步骤(3g),否则,执行步骤(6); (3g)将实体域的域代理对用户域的域代理信任评估的结果,发送给用户域中的发送请 求的用户; (4)判断用户域与实体域是否满足相互信任条件,若是,则执行步骤(5),否则,执行步 骤⑹; ⑸用户域中发送请求的用户访问实体域中的信息服务实体; ⑹用户域中发送请求的用户拒绝访问实体域中的信息服务实体。
  2. 2.根据权利要求1所述的基于域代理信任值的信息服务实体跨域认证方法,其特征在 于,步骤(Ia)中所述的消息包括用户域中发送请求的时间戳、用户的身份标识、实体域中被 访问的信息服务实体的身份标识。
  3. 3. 根据权利要求1所述的基于域代理信任值的信息服务实体跨域认证方法,其特征在 于,步骤(Ia)中所述身份签名算法的具体步骤如下: 第一步,使用密码杂凑函数,将消息转化成一个杂凑值; 第二步,密钥生成中心产生一个随机数作为系统的主密钥,se[l,N_l],其中,s表示由 密钥生成中心产生的随机数,e表示属于符号,N表示一个乘法循环群的阶数; 第三步,密钥生成中心随机选择并公开一个字节,将所选字节作为用户的私钥生成函 数识别符; 第四步,按照下式,生成用户域中发送请求用户的私钥:
    Figure CN108848074AC00041
    其中,d表示用户域中发送请求用户的私钥,P表示N阶乘法循环群的生成元,s表示基于 身份的密码体制系统的主密钥,H(ID| |i)表示用哈希函数将输入的用户域中发送请求用户 的身份标识ID和用户私钥生成函数识别符i连接的比特串输出为一个整数; 第五步,按照下式,生成用户域中发送请求用户的公钥:
    Figure CN108848074AC00042
    其中,Q表示用户域中发送请求用户的公钥,H(ID I I i)表示用哈希函数将输入的用户域 中发送请求用户的身份标识ID和用户私钥生成函数识别符i连接的比特串输出为一个整 数,P表示N阶乘法循环群的生成元,s表示基于身份的密码体制系统的主密钥; 第六步,发送请求的用户产生一个随机数,1彡r彡N-I,r表示由发送请求用户产生的随 机数,N表示一个乘法循环群的阶数; 第七步,按照下式,生成请求用户对消息的签名:
    Figure CN108848074AC00043
    其中,S表示请求的用户对消息的签名,d表示发送请求用户的私钥,r表示发送请求用 户产生的随机数,h表示消息杂凑值,mod表示取余操作,[·]表示取整操作。
  4. 4. 根据权利要求1所述的基于域代理信任值的信息服务实体跨域认证方法,其特征在 于,步骤(Ic)中所述的用户的身份合法是指,按照下式,用户域的域代理计算消息杂凑值, 将用户域的域代理所计算出的消息杂凑值与用户域的域代理收到的消息杂凑值相等的发 送请求用户判定为身份合法的用户:
    Figure CN108848074AC00044
    其中,h2表示用户域的域代理计算的消息杂凑值,H2 (·)表示哈希函数,M1表示用户域 的域代理收到的消息,e (·)表示双线性对操作,Q表示发送请求用户的公钥,S1表示用户域 的域代理收到的签名消息,P表示生成乘法循环群的生成元,s表示由密钥生成中心产生的 随机数,h表示用户域的域代理收到的消息杂凑值。
  5. 5. 根据权利要求1所述的基于域代理信任值的信息服务实体跨域认证方法,其特征在 于,步骤(2a)、步骤(3a)中所述的双向信任响应的方法的具体步骤如下: 第一步,请求方从自身存储的交易信息表中查找验证方的信息,存在,则直接取出对验 证方的直接信任向量; 第二步,请求方将评估验证方的请求消息发送给交易信息表中除验证方以外的其他域 代理; 第三步,收到请求消息域代理从其交易信息表中取出对验证方的直接信任向量,并发 送给请求方; 第四步,收到请求消息的域代理将评估验证方的请求消息发送给其交易信息表中除验 证方以外的其他域代理; 第五步,收到请求消息的域代理从自身的交易信息表中取出对验证方的直接信任向 量,并发送给该域代理的发送方,该域代理的发送方再发送给请求方。
  6. 6.根据权利要求1所述的基于域代理信任值的信息服务实体跨域认证方法,其特征在 于,步骤⑷中所述相互信任条件是指同时满足以下两个条件的情形: 条件1,用户域的域代理对实体域的域代理的综合信任向量的最大分量大于〇. 5; 条件2,用户域的域代理对实体域的域代理的综合信任向量的最大分量大于0.5。
CN201810550433.2A 2018-05-31 2018-05-31 基于域代理信任值的信息服务实体跨域认证方法 CN108848074B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810550433.2A CN108848074B (zh) 2018-05-31 2018-05-31 基于域代理信任值的信息服务实体跨域认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810550433.2A CN108848074B (zh) 2018-05-31 2018-05-31 基于域代理信任值的信息服务实体跨域认证方法

Publications (2)

Publication Number Publication Date
CN108848074A true CN108848074A (zh) 2018-11-20
CN108848074B CN108848074B (zh) 2020-06-16

Family

ID=64211037

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810550433.2A CN108848074B (zh) 2018-05-31 2018-05-31 基于域代理信任值的信息服务实体跨域认证方法

Country Status (1)

Country Link
CN (1) CN108848074B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111368315A (zh) * 2020-03-02 2020-07-03 广东财经大学 基于分布式协同信任管理框架的大数据信任管理系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1805341A (zh) * 2006-01-11 2006-07-19 西安电子科技大学 跨安全域的网络认证和密钥分配方法
CN101753565A (zh) * 2009-12-08 2010-06-23 东南大学 计算机网络中跨信任域信任关系的构建方法
CN102055769A (zh) * 2010-12-29 2011-05-11 北京理工大学 一种基于格的网格环境下多信任域认证系统
US9191201B1 (en) * 2013-06-14 2015-11-17 Riverbed Technology, Inc. Optimizing secure communications
CN105282160A (zh) * 2015-10-23 2016-01-27 绵阳师范学院 基于信誉的动态访问控制方法
CN105516119A (zh) * 2015-12-03 2016-04-20 西北师范大学 基于代理重签名的跨域身份认证方法
CN105681349A (zh) * 2016-03-17 2016-06-15 西安电子科技大学 空间信息网络中域间信任建立及多级安全关联方法
US20160241536A1 (en) * 2015-02-13 2016-08-18 Wepay, Inc. System and methods for user authentication across multiple domains

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1805341A (zh) * 2006-01-11 2006-07-19 西安电子科技大学 跨安全域的网络认证和密钥分配方法
CN101753565A (zh) * 2009-12-08 2010-06-23 东南大学 计算机网络中跨信任域信任关系的构建方法
CN102055769A (zh) * 2010-12-29 2011-05-11 北京理工大学 一种基于格的网格环境下多信任域认证系统
US9191201B1 (en) * 2013-06-14 2015-11-17 Riverbed Technology, Inc. Optimizing secure communications
US20160241536A1 (en) * 2015-02-13 2016-08-18 Wepay, Inc. System and methods for user authentication across multiple domains
CN105282160A (zh) * 2015-10-23 2016-01-27 绵阳师范学院 基于信誉的动态访问控制方法
CN105516119A (zh) * 2015-12-03 2016-04-20 西北师范大学 基于代理重签名的跨域身份认证方法
CN105681349A (zh) * 2016-03-17 2016-06-15 西安电子科技大学 空间信息网络中域间信任建立及多级安全关联方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
杨晓辉,王虹,江丽军,常思远: ""一种基于信任度量的Web服务跨域访问控制模型"", 《山东大学学报(理学版)》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111368315A (zh) * 2020-03-02 2020-07-03 广东财经大学 基于分布式协同信任管理框架的大数据信任管理系统

Also Published As

Publication number Publication date
CN108848074B (zh) 2020-06-16

Similar Documents

Publication Publication Date Title
US9160530B2 (en) Method and apparatus for verifiable generation of public keys
Das et al. Biometrics-based privacy-preserving user authentication scheme for cloud-based industrial Internet of Things deployment
Horng et al. b-SPECS+: Batch verification for secure pseudonymous authentication in VANET
CN106961336B (zh) 一种基于sm2算法的密钥分量托管方法和系统
CN103763631B (zh) 认证方法、服务器和电视机
Liu et al. Achieving reliable and secure services in cloud computing environments
Zhang et al. Efficient ID-based public auditing for the outsourced data in cloud storage
CN103780618B (zh) 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法
US8705735B2 (en) Implicit certificate scheme
CN102318258B (zh) 基于身份的认证密钥协商协议
US7574600B2 (en) System and method for combining user and platform authentication in negotiated channel security protocols
US7366905B2 (en) Method and system for user generated keys and certificates
Mandt et al. Certificateless authenticated two-party key agreement protocols
US20140337619A1 (en) Derived Certificate based on Changing Identity
US8108678B1 (en) Identity-based signcryption system
EP1391073B1 (en) Method and system for increasing security of a secure connection
Zhao et al. A novel mutual authentication scheme for Internet of Things
US8433897B2 (en) Group signature system, apparatus and storage medium
Liao et al. A novel multi-server remote user authentication scheme using self-certified public keys for mobile clients
US8527777B2 (en) Cryptographic proofs in data processing systems
JP4709815B2 (ja) 認証方法および装置
Chen et al. A round-and computation-efficient three-party authenticated key exchange protocol
Khalid et al. Cloud based secure and privacy enhanced authentication & authorization protocol
JP5205398B2 (ja) 鍵認証方式
WO2013180412A1 (ko) 비밀키 생성 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant