CN114036472A - 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 - Google Patents

基于联盟链的Kerberos及PKI安全域间的跨域认证方法 Download PDF

Info

Publication number
CN114036472A
CN114036472A CN202111302663.5A CN202111302663A CN114036472A CN 114036472 A CN114036472 A CN 114036472A CN 202111302663 A CN202111302663 A CN 202111302663A CN 114036472 A CN114036472 A CN 114036472A
Authority
CN
China
Prior art keywords
domain
kdc
request
cross
pki
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111302663.5A
Other languages
English (en)
Other versions
CN114036472B (zh
Inventor
姚烨
朱怡安
李联
牛军涛
张黎翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Northwestern Polytechnical University
Original Assignee
Northwestern Polytechnical University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Northwestern Polytechnical University filed Critical Northwestern Polytechnical University
Priority to CN202111302663.5A priority Critical patent/CN114036472B/zh
Publication of CN114036472A publication Critical patent/CN114036472A/zh
Application granted granted Critical
Publication of CN114036472B publication Critical patent/CN114036472B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种联盟链的Kerberos及PKI安全域间的跨域认证方法,属于计算机安全技术领域。包括构建基于联盟链的Kerberos及PKI域间身份认证模型、Kerberos安全域到PKI安全域初次跨域身份认证、PKI安全域到Kerberos安全域初次跨域身份认证、Kerberos安全域到PKI安全域的跨域重身份认证。本发明以区块链模型作为基础,采用联盟链的共识机制,提出PKI域与Kerberos域间实体认证方法,使得跨域认证证书可以可靠、防篡改地存放在不同安全域中,在保证安全性、可靠性的同时实现了跨域的身份认证。

Description

基于联盟链的Kerberos及PKI安全域间的跨域认证方法
技术领域
本发明涉及不同实体间的跨域认证技术,具体为基于区块链技术,实现Kerberos安全域与PKI安全域之间认证技术。
背景技术
随着信息化和网络化的发展,当前已经进入大数据时代。随着大数据从概念走向价值,大数据安全与隐私问题日益突出。
在互联网中,分布式环境下数据的共享和交换需要安全的保证,跨域认证是实现大数据安全共享和交换的重要手段。区域链技术可以降低分布式环境下大数据共享和交换的成本,增强共享和交换的数据信任。
传统的身份认证技术一般采用基于中心化的CA机构,这种中心化的模式有一定的缺陷:中心化的管理使得身份信息存在被攻击或信息泄露的风险;各个组织对于身份信息的认证不能实现共享和兼容,难以解决跨域的身份认证实际应用场景。
发明内容
要解决的技术问题
本发明针对跨域身份认证难以管理,无法不同安全域之间身份信息共享以及域间认证无法兼容等技术问题,提出一种基于区块链的跨域身份认证技术,以实现域间身份的可信共享,保证跨域身份认证的可靠性、安全性以及兼容性。
技术方案
一种基于联盟链的Kerberos及PKI安全域间的跨域认证方法,其特征在于步骤如下:
步骤1:构建基于联盟链的Kerberos及PKI域间身份认证模型
PKI安全域指定一个区块链证书服务器BCCA作为联盟链中的认证节点域,Kerberos安全域指定一个区块链身份认证服务器BCAS作为联盟链中的认证节点域;在KPI安全域和Kerberos安全域中,每个域节点首先需要完成在本域中的身份认证及授权;
步骤2:Kerberos安全域到PKI安全域初次跨域身份认证
Kerberos安全域中的节点首次发起跨域认证请求时,先向KDC服务器发送请求,KDC通过协议认证目标域实体身份,将身份信息生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化;
(1)M1(Cker->KDC):EnDES(IDKer,IDPKI,Request1)
Cker向KDC发送验证请求Request1,验证SPKI身份;其中,Cker表示Kerberos域身份认证请求方;M1(Cker->KDC)表示:跨域身份认证过程第一步M1为Cker向KDC发起请求;IDKer表示:Kerberos域请求方的身份信息;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向KDC发出的验证请求;EnDES(IDKer,IDPKI,Request1)表示:对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密;
(2)M2(KDC->BCAS):EnSM2(CKDC,IDPKI,Request2)
KDC验证Cker身份,向BCAS发送验证请求Request2,验证SPKI的身份;其中,M2(KDC->BCAS)表示:跨域身份认证过程第二步M2为KDC向BCAS发起请求;CKDC表示:KDC服务器的认证证书;IDPKI表示:PKI域资源的身份信息;Request2表示:KDC向区块链身份认证服务器发送验证请求;EnSM2(CKDC,IDPKI,Request2)表示:对CKDC,IDPKI,Request2三个参数利用非对称密码算法SM2进行加密;
(3)M3(BCAS->BCCA):EnBC(CBCAS,CKDC,text1,Request3)text1=IDPKI||N||T1
BCAS解密M2,验证KDC身份合法,解析Requeste2请求,查询SPKI所在域的证书服务器在联盟链中位置,对IDPKI和域参数N加盖时间戳T1,与代理证书CBCAS和认证请求Request2一起加密发至BCCA;其中,M3(BCAS->BCCA)表示:跨域身份认证过程第三步M3为BCAS向BCCA发起请求;CBCAS表示:区块链身份认证服务器的认证证书;CKDC表示:KDC服务器的认证证书;text1表示:请求方的打包信息,包括PKI域资源的身份信息IDPKI、域参数N、时间戳T1;Request3表示:BCAS向BCCA发送验证请求;EnBC(CBCAS,CKDC,text1,Request3)表示:对CBCAS,CKDC,text1,Request3四个参数利用区块链间加密算法进行加密;
(4)M4(BCCA->BCAS):EnBC(CBCCA,CS *)CS *=CS||M||T2
BCCA解密M3,时间戳有效则查询CBCAS的合法性,并查询S的域内证书,为S的证书加上域参数并加盖时间戳T2生成跨域证书,将跨域证书上链存储,并发送给BCAS;其中,M4(BCCA->BCAS)表示:跨域身份认证过程第四步M4为BCCA对BCAS的请求确认;CBCCA表示:区块链证书服务器的认证证书;CS *表示:请求资源的跨域证书,此证书包含了请求资源在PKI域内的认证证书CS、PKI域的域参数M、跨域证书时间戳T2;EnBC(CBCCA,CS *)CS *=CS||M||T2表示:对CBCCA,CS *两个参数利用区块链间加密算法进行加密;
(5)M5(BCCA->S):EnSM2(CBCCA,CKDC)
BCCA将KDC证书发送给S,S将此证书放入可信任的证书列表中;其中:M5(BCCA->S)表示:跨域身份认证过程第五步M5为BCCA对访问资源S的证书列表更新;CBCCA表示:区块链证书服务器的认证证书;CKDC表示:KDC服务器的认证证书;EnSM2(CBCCA,CKDC)表示:对CBCCA,CKDC两个参数利用非对称密码算法SM2进行加密;
(6)M6(BCAS->KDC):EnSM2(CBCAS,CS *)
BCAS将S的证书发给KDC,并为S的跨域证书写入区块链提供背书;其中,M6(BCAS->KDC)表示:跨域身份认证过程第六步M6为BCAS对KDC的请求确认;CBCAS表示:区块链身份认证服务器的认证证书;CS *表示:请求资源的跨域证书;EnSM2(CBCAS,CS *)表示:对CBCAS,CS *两个参数利用非对称密码算法SM2进行加密;
(7)M7(KDC->C):EnDES(Key,SigPKI(text2),text2)text2=(IDC,Key)
KDC生成C和S的传输密钥,向C加密传输两组信息,一组为传输密钥,另一组为使用S公钥加密过的,KDC签名过的C的身份信息和传输密钥;其中:M7(KDC->C)表示:跨域身份认证过程第七步M7为KDC对请求方的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigPKI(text2)表示:用PKI域资源跨域证书提供的公钥对text2进行签名;EnDES(Key,SigPKI(text2),text2)表示:对Key,SigPKI(text2),text2三个参数利用对称密码算法DES进行加密;
步骤3:PKI安全域到Kerberos安全域初次跨域身份认证
PKI安全域中的节点首次发起跨域认证请求时,先向BCCA服务器发送请求,BCCA服务器按照协议认证过程与Kerberos域KDC服务器进行交互,获取认证信息后,生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化;
(1)M1(C->BCCA):EnSM2(IDKer,Request1)
CPKI向BCCA发送请求Request1,请求验证Kerberos域S的身份;其中,M1(C->BCCA)表示:跨域身份认证过程第一步M1为C向BCCA发起请求;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向BCCA发出的验证请求;EnSM2(IDKer,Request1)表示:对IDKer,Request1两个参数利用非对称密码算法SM2进行加密;
(2)M2(BCCA->BCAS):EnBC(CBCCA,CC *,text1,Request2)text1=IDKer||N||T1
BCCA检查本地数据库,没有找到S的证书信息,查询Sker所在域的证书服务器在联盟链中位置,对IDker和域参数N加盖时间戳T1,与代理证书CBCCA,C的跨域证书和认证请求Request2一起加密发至BCAS;其中,M2(BCCA->BCAS)表示:跨域身份认证过程第二步M2为BCCA向BCAS发起请求;CBCCA表示:区块链证书服务器的认证证书;CC *表示:请求方的跨域证书;text1表示:BCCA的打包信息,包括Kerberos域资源的身份信息IDKer、域参数N、时间戳T1;Request2表示:BCCA向BCAS发送验证请求;EnBC(CBCCA,CC *,text1,Request2)表示:对CBCCA,CC *,text1,Request2四个参数利用区块链间加密算法进行加密;
(3)M3(BCCA->C):EnSM2(CBCAS,CKDC *)
在区块链中查询Sker所在域的KDC证书,并发送给C;其中,M3(BCCA->C)表示:跨域身份认证过程第三步M3为BCCA对C的请求确认;CBCAS表示:区块链身份认证服务器的认证证书;CKDC *表示:KDC服务器的跨域证书;EnSM2(CBCAS,CKDC *)表示:对CBCAS,CKDC *两个参数利用非对称密码算法SM2进行加密;
(4)M4(BCAS->KDC):EnSM2(CBCAS,CC *,Request3)
BCAS将C的跨域证书发给KDC,并发出认证请求;其中,M4(BCAS->KDC)表示:跨域身份认证过程第四步M4为BCAS向KDC发起请求;CBCAS表示:区块链身份认证服务器的认证证书;CC *表示:请求方的跨域证书;Request3表示:BCAS向KDC发送验证请求;EnSM2(CBCAS,CC *,Request3)表示:对CBCAS,CC *,Request3三个参数利用非对称密码算法SM2进行加密;
(5)M5(KDC->C):EnSM2(Key,SigBC(text2),text2),text2=(IDC,Key)
KDC生成随机传输密钥,用自己的私钥和C的公钥加密C的身份信息和传输密钥,发送给C;其中,M5(KDC->C)表示:跨域身份认证过程第五步M5为KDC对C的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigBC(text2)表示:用区块链资源跨域证书提供的公钥对text2进行签名;EnSM2(Key,SigBC(text2),text2)表示:对Key,SigBC(text2),text2三个参数利用非对称密码算法进行加密;
(6)M6(KDC->S):EnDES(Key,IDC)
KDC将C的身份信息和传输密钥加密传输给S;其中,M6(KDC->S)表示:跨域身份认证过程第六步M6为KDC向S发送认证信息;Key表示:KDC生成的跨域传输密钥;IDC表示:请求方C的身份信息;EnDES(Key,IDC)表示:对Key,IDC两个参数利用对称密码算法DES进行加密;
步骤4:Kerberos安全域到PKI安全域的跨域重身份认证
(1)M1(Cker->KDC):EnDES(IDKer,IDPKI,Request1)
Cker向KDC发送验证请求Request1,验证SPKI身份;其中,Cker表示Kerberos域身份认证请求方;M1(Cker->KDC)表示:跨域身份认证过程第一步M1为Cker向KDC发起请求;IDKer表示:Kerberos域请求方的身份信息;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向KDC发出的验证请求;EnDES(IDKer,IDPKI,Request1)表示:对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密;
(2)M2(KDC->S):EnSM2(CKDC *,IDPKI,Request2)
KDC确认C的身份并直接向S发送请求,请求内容包括KDC的跨域证书;其中,M2(KDC->S)表示:跨域身份认证过程第二步M2为KDC向S发起请求;CKDC *表示:KDC服务器的跨域证书;IDPKI表示:PKI域资源的身份信息;Request2表示:KDC向S发送验证请求;EnSM2(CKDC *,IDPKI,Request2)表示:对CKDC *,IDPKI,Request2三个参数利用非对称密码算法进行加密;
(3)M3(S->KDC):EnSM2(IDS,Cs *)
S收到请求后向BCCA查询区块链上KDC的跨域证书信息,验证无误后发送S的跨域证书到KDC;其中,M3(S->KDC)表示:跨域身份认证过程第三步M3为S对KDC的请求确认;IDS表示:资源S的身份信息;CS *表示:请求资源的跨域证书;EnSM2(IDS,Cs *)表示:对IDS,Cs *两个参数利用非对称密码算法进行加密;
(4)M4(KDC->BCAS):EnSM2(Cs *,IDS,Request3)
KDC收到S返回的跨域证书,向BCAS验证跨域证书的有效性;其中,M4(KDC->BCAS)表示:跨域身份认证过程第四步M4为KDC向BCAS发起验证请求;CS *表示:请求资源的跨域证书;IDS表示:资源S的身份信息;Request3表示:KDC向BCAS发送验证请求;EnSM2(Cs *,IDS,Request3)表示:对Cs *,IDS,Request3三个参数利用非对称密码算法进行加密;
(5)M5(KDC->C):EnDES(Key,SigPKI(text2),text2)text2=(IDC,Key)
KDC生成C和S的传输密钥,向C加密传输两组信息,一组为传输密钥,另一组为使用S公钥加密过的,KDC私钥加密的C的身份信息和传输密钥;其中,M5(KDC->C)表示:跨域身份认证过程第五步M5为KDC对C的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigPKI(text2)表示:用PKI域资源跨域证书提供的公钥对text2进行签名;EnDES(Key,SigPKI(text2),text2)表示:对Key,SigPKI(text2),text2三个参数利用对称密码算法DES进行加密。
一种计算机系统,其特征在于包括:一个或多个处理器,计算机可读存储介质,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述的方法。
一种计算机可读存储介质,其特征在于存储有计算机可执行指令,所述指令在被执行时用于实现上述的方法。
一种计算机程序,其特征在于包括计算机可执行指令,所述指令在被执行时用于实现权利上述的方法。
有益效果
现有的跨域身份认证技术多是采用中心化的策略,由中心化的机构负责管理不同域之间的身份信息,中心化的管理容易导致信息被篡改或丢失,存在一定的安全风险。本发明基于区块链技术实现异构域间对可信节点的安全认证,解决了对称加密域与非对称加密域的跨域认证中心化模型复杂、认证信息安全管理困难的问题,采用多中心化的区块链模型代替中心化的CA机构,可以改善服务器端认证负载,使跨域重认证更加高效,具有良好的实用性。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1基于联盟链的Kerberos及PKI域间身份认证模型;
图2基于区块链的PKI域、Kerberos域身份首次认证技术;
图3基于区块链的PKI域、Kerberos域身份重认证技术。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明提出了一种跨域认证模型及方法,使得采用不同加密方式的两个安全域之间实现跨域认证。在非对称加密应用场景下,应用系统一般使用PKI构建安全安全框架;该技术通过构建一个可信的第三方CA中心,把用户的公钥和身份绑定在一起,采用数字证书完成身份认证,利用非对称密码学算法进行数据加密,具有比较高的安全性。在对称加密技术应用领域,Kerberos系统被广泛使用,该系统部署有一个用于身份认证的认证服务器,为开放网络中的主体提供认证服务,通信过程中数据采用会话密钥进行加密。然而,针对Kerberos与PKI这两个安全域之间实体相互认证问题,本发明提出一种可以PKI域与Kerberos域的可靠跨域方法,本发明以区块链模型作为基础,采用联盟链的共识机制,提出PKI域与Kerberos域间实体认证方法,使得跨域认证证书可以可靠、防篡改地存放在不同安全域中,在保证安全性、可靠性的同时实现了跨域的身份认证,本发明具体步骤如下。
步骤一:构建基于联盟链的Kerberos及PKI域间身份认证模型
本发明使用联盟链实现跨域认证应用场景,PKI安全域指定一个区块链证书服务器(BCCA)作为联盟链中的认证节点域,Kerberos安全域指定一个区块链身份认证服务器(BCAS)作为联盟链中的认证节点域。在KPI安全域和Kerberos安全域中,每个域节点首先需要完成在本域中的身份认证及授权;针对跨域认证场景,本发明需要实现跨域访问身份认证及区块同步,具体联盟链模型如图1所示,跨域节点具备去中心化的特点,由联盟链上各节点共同协商维护的区块链的信息作为跨域身份认证的凭证。
步骤二:Kerberos安全域到PKI安全域初次跨域身份认证
Kerberos安全域中的节点首次发起跨域认证请求时,先向KDC服务器发送请求,KDC通过协议认证目标域实体身份,将身份信息生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化。身份认证协议模型如图2所示。
本发明中符号含义如表1所示。
表1本发明中的符号含义
符号 含义
ID<sup>X</sup><sub>E</sub> X域内实体E的身份信息
C<sub>E</sub><sup>*</sup> 区块链跨域证书
C<sub>E</sub> PKI域认证证书
En<sub>K</sub><sup>DES,SM2,BC</sup>(M) Kerberos域、PKI域、区块链节点间加密算法
Sig<sub>K</sub><sup>DES,SM2,BC</sup>(M) Kerberos域、PKI域、区块链节点间签名算法
从Kerberos安全域到PKI安全域初次身份认证具体步骤如下:
(1)M1(Cker->KDC):EnDES(IDKer,IDPKI,Request1)
Cker向KDC发送验证请求Request1,验证SPKI身份;其中,Cker表示Kerberos域身份认证请求方;M1(Cker->KDC)表示:跨域身份认证过程第一步M1为Cker向KDC发起请求;IDKer表示:Kerberos域请求方的身份信息;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向KDC发出的验证请求;EnDES(IDKer,IDPKI,Request1)表示:对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密。
(2)M2(KDC->BCAS):EnSM2(CKDC,IDPKI,Request2)
KDC验证Cker身份,向BCAS发送验证请求Request2,验证SPKI的身份;其中,M2(KDC->BCAS)表示:跨域身份认证过程第二步M2为KDC向BCAS发起请求;CKDC表示:KDC服务器的认证证书;IDPKI表示:PKI域资源的身份信息;Request2表示:KDC向区块链身份认证服务器发送验证请求;EnSM2(CKDC,IDPKI,Request2)表示:对CKDC,IDPKI,Request2三个参数利用非对称密码算法SM2进行加密。
(3)M3(BCAS->BCCA):EnBC(CBCAS,CKDC,text1,Request3)text1=IDPKI||N||T1
BCAS解密M2,验证KDC身份合法,解析Requeste2请求,查询SPKI所在域的证书服务器在联盟链中位置,对IDPKI和域参数N加盖时间戳T1,与代理证书CBCAS和认证请求Request2一起加密发至BCCA;其中,M3(BCAS->BCCA)表示:跨域身份认证过程第三步M3为BCAS向BCCA发起请求;CBCAS表示:区块链身份认证服务器的认证证书;CKDC表示:KDC服务器的认证证书;text1表示:请求方的打包信息,包括PKI域资源的身份信息IDPKI、域参数N、时间戳T1;Request3表示:BCAS向BCCA发送验证请求;EnBC(CBCAS,CKDC,text1,Request3)表示:对CBCAS,CKDC,text1,Request3四个参数利用区块链间加密算法进行加密。
(4)M4(BCCA->BCAS):EnBC(CBCCA,CS *)CS *=CS||M||T2
BCCA解密M3,时间戳有效则查询CBCAS的合法性,并查询S的域内证书,为S的证书加上域参数并加盖时间戳T2生成跨域证书,将跨域证书上链存储,并发送给BCAS;其中,M4(BCCA->BCAS)表示:跨域身份认证过程第四步M4为BCCA对BCAS的请求确认;CBCCA表示:区块链证书服务器的认证证书;CS *表示:请求资源的跨域证书,此证书包含了请求资源在PKI域内的认证证书CS、PKI域的域参数M、跨域证书时间戳T2;EnBC(CBCCA,CS *)CS *=CS||M||T2表示:对CBCCA,CS *两个参数利用区块链间加密算法进行加密。
(5)M5(BCCA->S):EnSM2(CBCCA,CKDC)
BCCA将KDC证书发送给S,S将此证书放入可信任的证书列表中;其中:M5(BCCA->S)表示:跨域身份认证过程第五步M5为BCCA对访问资源S的证书列表更新;CBCCA表示:区块链证书服务器的认证证书;CKDC表示:KDC服务器的认证证书;EnSM2(CBCCA,CKDC)表示:对CBCCA,CKDC两个参数利用非对称密码算法SM2进行加密。
(6)M6(BCAS->KDC):EnSM2(CBCAS,CS *)
BCAS将S的证书发给KDC,并为S的跨域证书写入区块链提供背书;其中,M6(BCAS->KDC)表示:跨域身份认证过程第六步M6为BCAS对KDC的请求确认;CBCAS表示:区块链身份认证服务器的认证证书;CS *表示:请求资源的跨域证书;EnSM2(CBCAS,CS *)表示:对CBCAS,CS *两个参数利用非对称密码算法SM2进行加密。
(7)M7(KDC->C):EnDES(Key,SigPKI(text2),text2)text2=(IDC,Key)
KDC生成C和S的传输密钥,向C加密传输两组信息,一组为传输密钥,另一组为使用S公钥加密过的,KDC签名过的C的身份信息和传输密钥;其中:M7(KDC->C)表示:跨域身份认证过程第七步M7为KDC对请求方的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigPKI(text2)表示:用PKI域资源跨域证书提供的公钥对text2进行签名;EnDES(Key,SigPKI(text2),text2)表示:对Key,SigPKI(text2),text2三个参数利用对称密码算法DES进行加密。
步骤三:PKI安全域到Kerberos安全域初次跨域身份认证
PKI安全域中的节点首次发起跨域认证请求时,先向BCCA服务器发送请求,BCCA服务器按照协议认证过程与Kerberos域KDC服务器进行交互,获取认证信息后,生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化。身份认证协议模型如图2所示,本发明中的符号含义如表1所示。
PKI安全域到Kerberos安全域初次身份认证步骤具体如下:
(1)M1(C->BCCA):EnSM2(IDKer,Request1)
CPKI向BCCA发送请求Request1,请求验证Kerberos域S的身份;其中,M1(C->BCCA)表示:跨域身份认证过程第一步M1为C向BCCA发起请求;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向BCCA发出的验证请求;EnSM2(IDKer,Request1)表示:对IDKer,Request1两个参数利用非对称密码算法SM2进行加密。
(2)M2(BCCA->BCAS):EnBC(CBCCA,CC *,text1,Request2)text1=IDKer||N||T1
BCCA检查本地数据库,没有找到S的证书信息,查询Sker所在域的证书服务器在联盟链中位置,对IDker和域参数N加盖时间戳T1,与代理证书CBCCA,C的跨域证书和认证请求Request2一起加密发至BCAS;其中,M2(BCCA->BCAS)表示:跨域身份认证过程第二步M2为BCCA向BCAS发起请求;CBCCA表示:区块链证书服务器的认证证书;CC *表示:请求方的跨域证书;text1表示:BCCA的打包信息,包括Kerberos域资源的身份信息IDKer、域参数N、时间戳T1;Request2表示:BCCA向BCAS发送验证请求;EnBC(CBCCA,CC *,text1,Request2)表示:对CBCCA,CC *,text1,Request2四个参数利用区块链间加密算法进行加密。
(3)M3(BCCA->C):EnSM2(CBCAS,CKDC *)
在区块链中查询Sker所在域的KDC证书,并发送给C;其中,M3(BCCA->C)表示:跨域身份认证过程第三步M3为BCCA对C的请求确认;CBCAS表示:区块链身份认证服务器的认证证书;CKDC *表示:KDC服务器的跨域证书;EnSM2(CBCAS,CKDC *)表示:对CBCAS,CKDC *两个参数利用非对称密码算法SM2进行加密。
(4)M4(BCAS->KDC):EnSM2(CBCAS,CC *,Request3)
BCAS将C的跨域证书发给KDC,并发出认证请求;其中,M4(BCAS->KDC)表示:跨域身份认证过程第四步M4为BCAS向KDC发起请求;CBCAS表示:区块链身份认证服务器的认证证书;CC *表示:请求方的跨域证书;Request3表示:BCAS向KDC发送验证请求;EnSM2(CBCAS,CC *,Request3)表示:对CBCAS,CC *,Request3三个参数利用非对称密码算法SM2进行加密。
(5)M5(KDC->C):EnSM2(Key,SigBC(text2),text2),text2=(IDC,Key)
KDC生成随机传输密钥,用自己的私钥和C的公钥加密C的身份信息和传输密钥,发送给C;其中,M5(KDC->C)表示:跨域身份认证过程第五步M5为KDC对C的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigBC(text2)表示:用区块链资源跨域证书提供的公钥对text2进行签名;EnSM2(Key,SigBC(text2),text2)表示:对Key,SigBC(text2),text2三个参数利用非对称密码算法进行加密。
(6)M6(KDC->S):EnDES(Key,IDC)
KDC将C的身份信息和传输密钥加密传输给S;其中,M6(KDC->S)表示:跨域身份认证过程第六步M6为KDC向S发送认证信息;Key表示:KDC生成的跨域传输密钥;IDC表示:请求方C的身份信息;EnDES(Key,IDC)表示:对Key,IDC两个参数利用对称密码算法DES进行加密。
步骤四:Kerberos安全域到PKI安全域的跨域重身份认证
Kerberos安全域到PKI安全域的跨域重身份认证是指:当Kerberos安全域中某节点已经完成了到PKI安全域初次身份认证,由于通信或者应用需求,需要完成到PKI安全域二次及以上认证。
Kerberos域中的节点请求认证一个已经经过跨域认证的PKI节点时,就可以直接将跨域证书发送至目标节点,目标节点经过区块链验证合法性之后,即可完成身份认证的重认证过程。Kerberos安全域到PKI安全域的重身份认证模型如图3所示。Kerberos安全域到PKI安全域的重身份认证具体步骤如下:
(1)M1(Cker->KDC):EnDES(IDKer,IDPKI,Request1)
Cker向KDC发送验证请求Request1,验证SPKI身份;其中,Cker表示Kerberos域身份认证请求方;M1(Cker->KDC)表示:跨域身份认证过程第一步M1为Cker向KDC发起请求;IDKer表示:Kerberos域请求方的身份信息;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向KDC发出的验证请求;EnDES(IDKer,IDPKI,Request1)表示:对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密。
(2)M2(KDC->S):EnSM2(CKDC *,IDPKI,Request2)
KDC确认C的身份并直接向S发送请求,请求内容包括KDC的跨域证书;其中,M2(KDC->S)表示:跨域身份认证过程第二步M2为KDC向S发起请求;CKDC *表示:KDC服务器的跨域证书;IDPKI表示:PKI域资源的身份信息;Request2表示:KDC向S发送验证请求;EnSM2(CKDC *,IDPKI,Request2)表示:对CKDC *,IDPKI,Request2三个参数利用非对称密码算法进行加密。
(3)M3(S->KDC):EnSM2(IDS,Cs *)
S收到请求后向BCCA查询区块链上KDC的跨域证书信息,验证无误后发送S的跨域证书到KDC;其中,M3(S->KDC)表示:跨域身份认证过程第三步M3为S对KDC的请求确认;IDS表示:资源S的身份信息;CS *表示:请求资源的跨域证书;EnSM2(IDS,Cs *)表示:对IDS,Cs *两个参数利用非对称密码算法进行加密。
(4)M4(KDC->BCAS):EnSM2(Cs *,IDS,Request3)
KDC收到S返回的跨域证书,向BCAS验证跨域证书的有效性;其中,M4(KDC->BCAS)表示:跨域身份认证过程第四步M4为KDC向BCAS发起验证请求;CS *表示:请求资源的跨域证书;IDS表示:资源S的身份信息;Request3表示:KDC向BCAS发送验证请求;EnSM2(Cs *,IDS,Request3)表示:对Cs *,IDS,Request3三个参数利用非对称密码算法进行加密。
(5)M5(KDC->C):EnDES(Key,SigPKI(text2),text2)text2=(IDC,Key)
KDC生成C和S的传输密钥,向C加密传输两组信息,一组为传输密钥,另一组为使用S公钥加密过的,KDC私钥加密的C的身份信息和传输密钥;其中,M5(KDC->C)表示:跨域身份认证过程第五步M5为KDC对C的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigPKI(text2)表示:用PKI域资源跨域证书提供的公钥对text2进行签名;EnDES(Key,SigPKI(text2),text2)表示:对Key,SigPKI(text2),text2三个参数利用对称密码算法DES进行加密。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。

Claims (4)

1.一种基于联盟链的Kerberos及PKI安全域间的跨域认证方法,其特征在于步骤如下:
步骤1:构建基于联盟链的Kerberos及PKI域间身份认证模型
PKI安全域指定一个区块链证书服务器BCCA作为联盟链中的认证节点域,Kerberos安全域指定一个区块链身份认证服务器BCAS作为联盟链中的认证节点域;在KPI安全域和Kerberos安全域中,每个域节点首先需要完成在本域中的身份认证及授权;
步骤2:Kerberos安全域到PKI安全域初次跨域身份认证
Kerberos安全域中的节点首次发起跨域认证请求时,先向KDC服务器发送请求,KDC通过协议认证目标域实体身份,将身份信息生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化;
(1)M1(Cker->KDC):EnDES(IDKer,IDPKI,Request1)
Cker向KDC发送验证请求Request1,验证SPKI身份;其中,Cker表示Kerberos域身份认证请求方;M1(Cker->KDC)表示:跨域身份认证过程第一步M1为Cker向KDC发起请求;IDKer表示:Kerberos域请求方的身份信息;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向KDC发出的验证请求;EnDES(IDKer,IDPKI,Request1)表示:对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密;
(2)M2(KDC->BCAS):EnSM2(CKDC,IDPKI,Request2)
KDC验证Cker身份,向BCAS发送验证请求Request2,验证SPKI的身份;其中,M2(KDC->BCAS)表示:跨域身份认证过程第二步M2为KDC向BCAS发起请求;CKDC表示:KDC服务器的认证证书;IDPKI表示:PKI域资源的身份信息;Request2表示:KDC向区块链身份认证服务器发送验证请求;EnSM2(CKDC,IDPKI,Request2)表示:对CKDC,IDPKI,Request2三个参数利用非对称密码算法SM2进行加密;
(3)M3(BCAS->BCCA):EnBC(CBCAS,CKDC,text1,Request3)text1=IDPKI||N||T1
BCAS解密M2,验证KDC身份合法,解析Requeste2请求,查询SPKI所在域的证书服务器在联盟链中位置,对IDPKI和域参数N加盖时间戳T1,与代理证书CBCAS和认证请求Request2一起加密发至BCCA;其中,M3(BCAS->BCCA)表示:跨域身份认证过程第三步M3为BCAS向BCCA发起请求;CBCAS表示:区块链身份认证服务器的认证证书;CKDC表示:KDC服务器的认证证书;text1表示:请求方的打包信息,包括PKI域资源的身份信息IDPKI、域参数N、时间戳T1;Request3表示:BCAS向BCCA发送验证请求;EnBC(CBCAS,CKDC,text1,Request3)表示:对CBCAS,CKDC,text1,Request3四个参数利用区块链间加密算法进行加密;
(4)M4(BCCA->BCAS):EnBC(CBCCA,CS *)CS *=CS||M||T2
BCCA解密M3,时间戳有效则查询CBCAS的合法性,并查询S的域内证书,为S的证书加上域参数并加盖时间戳T2生成跨域证书,将跨域证书上链存储,并发送给BCAS;其中,M4(BCCA->BCAS)表示:跨域身份认证过程第四步M4为BCCA对BCAS的请求确认;CBCCA表示:区块链证书服务器的认证证书;CS *表示:请求资源的跨域证书,此证书包含了请求资源在PKI域内的认证证书CS、PKI域的域参数M、跨域证书时间戳T2;EnBC(CBCCA,CS *)CS *=CS||M||T2表示:对CBCCA,CS *两个参数利用区块链间加密算法进行加密;
(5)M5(BCCA->S):EnSM2(CBCCA,CKDC)
BCCA将KDC证书发送给S,S将此证书放入可信任的证书列表中;其中:M5(BCCA->S)表示:跨域身份认证过程第五步M5为BCCA对访问资源S的证书列表更新;CBCCA表示:区块链证书服务器的认证证书;CKDC表示:KDC服务器的认证证书;EnSM2(CBCCA,CKDC)表示:对CBCCA,CKDC两个参数利用非对称密码算法SM2进行加密;
(6)M6(BCAS->KDC):EnSM2(CBCAS,CS *)
BCAS将S的证书发给KDC,并为S的跨域证书写入区块链提供背书;其中,M6(BCAS->KDC)表示:跨域身份认证过程第六步M6为BCAS对KDC的请求确认;CBCAS表示:区块链身份认证服务器的认证证书;CS *表示:请求资源的跨域证书;EnSM2(CBCAS,CS *)表示:对CBCAS,CS *两个参数利用非对称密码算法SM2进行加密;
(7)M7(KDC->C):EnDES(Key,SigPKI(text2),text2)text2=(IDC,Key)
KDC生成C和S的传输密钥,向C加密传输两组信息,一组为传输密钥,另一组为使用S公钥加密过的,KDC签名过的C的身份信息和传输密钥;其中:M7(KDC->C)表示:跨域身份认证过程第七步M7为KDC对请求方的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigPKI(text2)表示:用PKI域资源跨域证书提供的公钥对text2进行签名;EnDES(Key,SigPKI(text2),text2)表示:对Key,SigPKI(text2),text2三个参数利用对称密码算法DES进行加密;
步骤3:PKI安全域到Kerberos安全域初次跨域身份认证
PKI安全域中的节点首次发起跨域认证请求时,先向BCCA服务器发送请求,BCCA服务器按照协议认证过程与Kerberos域KDC服务器进行交互,获取认证信息后,生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现身份认证信息存储的去中心化;
(1)M1(C->BCCA):EnSM2(IDKer,Request1)
CPKI向BCCA发送请求Request1,请求验证Kerberos域S的身份;其中,M1(C->BCCA)表示:跨域身份认证过程第一步M1为C向BCCA发起请求;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向BCCA发出的验证请求;EnSM2(IDKer,Request1)表示:对IDKer,Request1两个参数利用非对称密码算法SM2进行加密;
(2)M2(BCCA->BCAS):EnBC(CBCCA,CC *,text1,Request2)text1=IDKer||N||T1
BCCA检查本地数据库,没有找到S的证书信息,查询Sker所在域的证书服务器在联盟链中位置,对IDker和域参数N加盖时间戳T1,与代理证书CBCCA,C的跨域证书和认证请求Request2一起加密发至BCAS;其中,M2(BCCA->BCAS)表示:跨域身份认证过程第二步M2为BCCA向BCAS发起请求;CBCCA表示:区块链证书服务器的认证证书;CC *表示:请求方的跨域证书;text1表示:BCCA的打包信息,包括Kerberos域资源的身份信息IDKer、域参数N、时间戳T1;Request2表示:BCCA向BCAS发送验证请求;EnBC(CBCCA,CC *,text1,Request2)表示:对CBCCA,CC *,text1,Request2四个参数利用区块链间加密算法进行加密;
(3)M3(BCCA->C):EnSM2(CBCAS,CKDC *)
在区块链中查询Sker所在域的KDC证书,并发送给C;其中,M3(BCCA->C)表示:跨域身份认证过程第三步M3为BCCA对C的请求确认;CBCAS表示:区块链身份认证服务器的认证证书;CKDC *表示:KDC服务器的跨域证书;EnSM2(CBCAS,CKDC *)表示:对CBCAS,CKDC *两个参数利用非对称密码算法SM2进行加密;
(4)M4(BCAS->KDC):EnSM2(CBCAS,CC *,Request3)
BCAS将C的跨域证书发给KDC,并发出认证请求;其中,M4(BCAS->KDC)表示:跨域身份认证过程第四步M4为BCAS向KDC发起请求;CBCAS表示:区块链身份认证服务器的认证证书;CC *表示:请求方的跨域证书;Request3表示:BCAS向KDC发送验证请求;EnSM2(CBCAS,CC *,Request3)表示:对CBCAS,CC *,Request3三个参数利用非对称密码算法SM2进行加密;
(5)M5(KDC->C):EnSM2(Key,SigBC(text2),text2),text2=(IDC,Key)
KDC生成随机传输密钥,用自己的私钥和C的公钥加密C的身份信息和传输密钥,发送给C;其中,M5(KDC->C)表示:跨域身份认证过程第五步M5为KDC对C的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigBC(text2)表示:用区块链资源跨域证书提供的公钥对text2进行签名;EnSM2(Key,SigBC(text2),text2)表示:对Key,SigBC(text2),text2三个参数利用非对称密码算法进行加密;
(6)M6(KDC->S):EnDES(Key,IDC)
KDC将C的身份信息和传输密钥加密传输给S;其中,M6(KDC->S)表示:跨域身份认证过程第六步M6为KDC向S发送认证信息;Key表示:KDC生成的跨域传输密钥;IDC表示:请求方C的身份信息;EnDES(Key,IDC)表示:对Key,IDC两个参数利用对称密码算法DES进行加密;
步骤4:Kerberos安全域到PKI安全域的跨域重身份认证
(1)M1(Cker->KDC):EnDES(IDKer,IDPKI,Request1)
Cker向KDC发送验证请求Request1,验证SPKI身份;其中,Cker表示Kerberos域身份认证请求方;M1(Cker->KDC)表示:跨域身份认证过程第一步M1为Cker向KDC发起请求;IDKer表示:Kerberos域请求方的身份信息;IDPKI表示:PKI域资源的身份信息;Request1表示:请求方向KDC发出的验证请求;EnDES(IDKer,IDPKI,Request1)表示:对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密;
(2)M2(KDC->S):EnSM2(CKDC *,IDPKI,Request2)
KDC确认C的身份并直接向S发送请求,请求内容包括KDC的跨域证书;其中,M2(KDC->S)表示:跨域身份认证过程第二步M2为KDC向S发起请求;CKDC *表示:KDC服务器的跨域证书;IDPKI表示:PKI域资源的身份信息;Request2表示:KDC向S发送验证请求;EnSM2(CKDC *,IDPKI,Request2)表示:对CKDC *,IDPKI,Request2三个参数利用非对称密码算法进行加密;
(3)M3(S->KDC):EnSM2(IDS,Cs *)
S收到请求后向BCCA查询区块链上KDC的跨域证书信息,验证无误后发送S的跨域证书到KDC;其中,M3(S->KDC)表示:跨域身份认证过程第三步M3为S对KDC的请求确认;IDS表示:资源S的身份信息;CS *表示:请求资源的跨域证书;EnSM2(IDS,Cs *)表示:对IDS,Cs *两个参数利用非对称密码算法进行加密;
(4)M4(KDC->BCAS):EnSM2(Cs *,IDS,Request3)
KDC收到S返回的跨域证书,向BCAS验证跨域证书的有效性;其中,M4(KDC->BCAS)表示:跨域身份认证过程第四步M4为KDC向BCAS发起验证请求;CS *表示:请求资源的跨域证书;IDS表示:资源S的身份信息;Request3表示:KDC向BCAS发送验证请求;EnSM2(Cs *,IDS,Request3)表示:对Cs *,IDS,Request3三个参数利用非对称密码算法进行加密;
(5)M5(KDC->C):EnDES(Key,SigPKI(text2),text2)text2=(IDC,Key)
KDC生成C和S的传输密钥,向C加密传输两组信息,一组为传输密钥,另一组为使用S公钥加密过的,KDC私钥加密的C的身份信息和传输密钥;其中,M5(KDC->C)表示:跨域身份认证过程第五步M5为KDC对C的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息、跨域传输密钥;SigPKI(text2)表示:用PKI域资源跨域证书提供的公钥对text2进行签名;EnDES(Key,SigPKI(text2),text2)表示:对Key,SigPKI(text2),text2三个参数利用对称密码算法DES进行加密。
2.一种计算机系统,其特征在于包括:一个或多个处理器,计算机可读存储介质,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1所述的方法。
3.一种计算机可读存储介质,其特征在于存储有计算机可执行指令,所述指令在被执行时用于实现权利要求1所述的方法。
4.一种计算机程序,其特征在于包括计算机可执行指令,所述指令在被执行时用于实现权利要求1所述的方法。
CN202111302663.5A 2021-11-05 2021-11-05 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 Active CN114036472B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111302663.5A CN114036472B (zh) 2021-11-05 2021-11-05 基于联盟链的Kerberos及PKI安全域间的跨域认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111302663.5A CN114036472B (zh) 2021-11-05 2021-11-05 基于联盟链的Kerberos及PKI安全域间的跨域认证方法

Publications (2)

Publication Number Publication Date
CN114036472A true CN114036472A (zh) 2022-02-11
CN114036472B CN114036472B (zh) 2024-03-29

Family

ID=80136359

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111302663.5A Active CN114036472B (zh) 2021-11-05 2021-11-05 基于联盟链的Kerberos及PKI安全域间的跨域认证方法

Country Status (1)

Country Link
CN (1) CN114036472B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114884698A (zh) * 2022-04-12 2022-08-09 西北工业大学 基于联盟链的Kerberos与IBC安全域间跨域认证方法
CN115841330A (zh) * 2023-02-09 2023-03-24 国网数字科技控股有限公司 一种区块链跨域身份管理及控制系统和方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181620B1 (en) * 2001-11-09 2007-02-20 Cisco Technology, Inc. Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
CN101453476A (zh) * 2009-01-06 2009-06-10 中国人民解放军信息工程大学 一种跨域认证方法和系统
CN101888297A (zh) * 2010-07-16 2010-11-17 浙江省人大常委会办公厅信息中心 一种基于信任的跨域认证方法
CN108737436A (zh) * 2018-05-31 2018-11-02 西安电子科技大学 基于信任联盟区块链的跨域服务器身份认证方法
CN110958229A (zh) * 2019-11-20 2020-04-03 南京理工大学 一种基于区块链的可信身份认证方法
CN112883406A (zh) * 2021-03-24 2021-06-01 南京邮电大学 一种基于联盟链的远程医疗跨域认证方法
WO2021203797A1 (zh) * 2020-04-07 2021-10-14 南京邮电大学 基于联盟链的汽车维修数据存储方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181620B1 (en) * 2001-11-09 2007-02-20 Cisco Technology, Inc. Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
CN101453476A (zh) * 2009-01-06 2009-06-10 中国人民解放军信息工程大学 一种跨域认证方法和系统
CN101888297A (zh) * 2010-07-16 2010-11-17 浙江省人大常委会办公厅信息中心 一种基于信任的跨域认证方法
CN108737436A (zh) * 2018-05-31 2018-11-02 西安电子科技大学 基于信任联盟区块链的跨域服务器身份认证方法
CN110958229A (zh) * 2019-11-20 2020-04-03 南京理工大学 一种基于区块链的可信身份认证方法
WO2021203797A1 (zh) * 2020-04-07 2021-10-14 南京邮电大学 基于联盟链的汽车维修数据存储方法
CN112883406A (zh) * 2021-03-24 2021-06-01 南京邮电大学 一种基于联盟链的远程医疗跨域认证方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
周致成;李立新;李作辉;: "基于区块链技术的高效跨域认证方案", 计算机应用, no. 02, 10 February 2018 (2018-02-10), pages 18 - 22 *
张昊迪;刘国荣;汪来富;王帅;: "基于区块链技术的跨域身份认证机制研究", 广东通信技术, no. 07, 15 July 2018 (2018-07-15), pages 27 - 35 *
钱思杰;陈立全;王诗卉;: "基于改进PBFT算法的PKI跨域认证方案", 网络与信息安全学报, no. 04, 15 August 2020 (2020-08-15), pages 41 - 48 *
马晓婷;马文平;刘小雪;: "基于区块链技术的跨域认证方案", 电子学报, no. 11, 15 November 2018 (2018-11-15), pages 13 - 21 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114884698A (zh) * 2022-04-12 2022-08-09 西北工业大学 基于联盟链的Kerberos与IBC安全域间跨域认证方法
CN114884698B (zh) * 2022-04-12 2023-03-07 西北工业大学 基于联盟链的Kerberos与IBC安全域间跨域认证方法
CN115841330A (zh) * 2023-02-09 2023-03-24 国网数字科技控股有限公司 一种区块链跨域身份管理及控制系统和方法

Also Published As

Publication number Publication date
CN114036472B (zh) 2024-03-29

Similar Documents

Publication Publication Date Title
CN114615095B (zh) 区块链跨链数据处理方法、中继链、应用链及跨链网络
KR100860404B1 (ko) 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치
EP2984782B1 (en) Method and system for accessing device by a user
CN108768652B (zh) 一种可抗量子攻击的联盟区块链底层加密方法
CN111262692B (zh) 基于区块链的密钥分发系统和方法
CN113507458B (zh) 一种基于区块链的跨域身份认证方法
CN103780618A (zh) 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法
Al-Janabi et al. Public-key cryptography enabled kerberos authentication
JP2019537402A (ja) 量子鍵チップの発行方法、適用方法、発行プラットフォーム及びシステム
CN114884698B (zh) 基于联盟链的Kerberos与IBC安全域间跨域认证方法
CN114036472B (zh) 基于联盟链的Kerberos及PKI安全域间的跨域认证方法
CN113746632B (zh) 一种物联网系统多级身份认证方法
CN112487443A (zh) 一种基于区块链的能源数据细粒度访问控制方法
CN105516119A (zh) 基于代理重签名的跨域身份认证方法
US11038699B2 (en) Method and apparatus for performing multi-party secure computing based-on issuing certificate
WO2014069985A1 (en) System and method for identity-based entity authentication for client-server communications
CN111935213A (zh) 一种基于分布式的可信认证虚拟组网系统及方法
CN113872760A (zh) 一种sm9秘钥基础设施及安全系统
CN115514474A (zh) 一种基于云-边-端协同的工业设备可信接入方法
CN115002717A (zh) 一种基于区块链技术的车联网跨域认证隐私保护模型
Mao et al. BTAA: Blockchain and TEE Assisted Authentication for IoT Systems
CN109995723B (zh) 一种域名解析系统dns信息交互的方法、装置及系统
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
Aiash et al. An integrated authentication and authorization approach for the network of information architecture
CN113676330B (zh) 一种基于二级密钥的数字证书申请系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant