CN114884698B - 基于联盟链的Kerberos与IBC安全域间跨域认证方法 - Google Patents
基于联盟链的Kerberos与IBC安全域间跨域认证方法 Download PDFInfo
- Publication number
- CN114884698B CN114884698B CN202210382540.5A CN202210382540A CN114884698B CN 114884698 B CN114884698 B CN 114884698B CN 202210382540 A CN202210382540 A CN 202210382540A CN 114884698 B CN114884698 B CN 114884698B
- Authority
- CN
- China
- Prior art keywords
- domain
- cross
- authentication
- ibc
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于联盟链的Kerberos与IBC安全域间的跨域认证方法,该方法中安全域内的实体节点在发起跨域认证请求时,首先通过协议认证目标域实体身份信息,然后将实体的身份信息生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现实体认证信息存储的去中心化;安全域中实体节点请求认证一个已经经过跨域认证的实体节点时,为了提高认证效率,可以直接将跨域证书发送至目标实体节点,目标实体节点经过区块链验证合法性之后,即可完成实体身份的重认证服务。解决了Kerberos与IBC间跨域认证中心化模型复杂、认证信息管理困难等技术问题。
Description
技术领域
本发明涉及不同安全域实体间的跨域认证技术,具体为Kerberos域与IBC安全域间的首次认证技术、重认证技术和撤销认证技术。
背景技术
随着工业互联网技术以及网络信息安全技术的不断发展,工业互联网在我国智能制造领域的应用规模不断扩大。越来越多的制造企业、组织或者行业机构利用网络环境来构建其内部的安全信任域,由于各安全信任域采用不同的身份认证框架,互不兼容,并分属不同企业机构管理,使得不同的企业组织或机构间很难在已有认证框架下构建高效、安全的跨域信任关系,这在一定程度上阻碍了各制造企业组织间的信息交互的基础和前提。
各制造企业及组织机构为了使内部达成高效的实体(如用户、设备、工业复杂产品)认证管理,使用了不同的认证框架构建安全域。认证过程是通信双方进行数据共享和安全传输的前提,随着柔性生产、敏捷生产以及个性化生产等应用及技术需求的不断增加,在制造生产网络中跨域认证技术就显得尤为重要;然而,当前的跨域认证方法存在许多问题,主要包括:过于依赖中心化的第三方节点,异构信任域间认证困难,认证信息管理复杂。
发明内容
要解决的技术问题
针对Kerberos和PKI安全域的跨域节点难以实现安全可信认证技术问题,本发明提出了一种基于联盟链的Kerberos与IBC安全域间的跨域认证方法,为不同安全域间实体认证提安全提供服务。
技术方案
一种基于联盟链的Kerberos与IBC安全域间跨域认证方法,其特征在于步骤如下:
步骤1:构建联盟链认证环境
基于联盟链的跨域身份认证环境使用联盟链实现跨域认证场景,Kerberos安全域设定一个联盟链身份认证服务器BCAS作为联盟链中的认证服务节点,IBC安全域设定一个联盟链证书服务器BCCA;在IBC和Kerberos安全域中,每个安全域节点首先完成在本域中的身份认证及授权,安全域内节点认证具备中心化的特点,由认证服务节点授权节点间的身份认证;跨域节点具备去中心化的特点,由联盟链上各节点共同协商维护联盟链信息作为跨域身份认证的凭证;
步骤2:跨域认证初始化
首先在不同的安全域之间搭建Fabric联盟链网络,不同安全域为不同智能制造企业或者组织实体加入;联盟链网络环境初始化包括以下内容:生成系统初始化的相关配置文件、启动排序节点、设置BCCA及BCAS作为记账节点并启动、创建通道、安装并实例化链码;网络环境建立成功后,生成KDC及AS的跨域证书并上链存储,Kerberos与IBC安全域的实体初始化完成;
步骤3:Kerberos到IBC跨域首次认证方法
Kerberos安全域中的节点首次发起跨域认证请求时,先向KDC服务器发送请求,KDC确认请求方身份,并向BCAS转发请求;BCAS查询联盟链账本中跨域证书信息,未找到接收方跨域证书,则向IBC域BCCA发起请求;IBC域BCCA接收到认证请求后,将认证请求转发给认证服务器AS,AS验证接收方身份,生成跨域证书发送到BCCA,BCCA上传跨域证书至联盟链;KDC服务器根据跨域证书验证接收方身份,分配传输密钥,完成整个跨域认证过程;
步骤4:IBC到Kerberos跨域首次认证方法
IBC安全域中的节点首次发起跨域认证请求时,先向BCCA服务器发送请求,BCCA服务器按照跨域协议认证过程向Kerberos域BCAS服务器发送请求,并将Kerberos域KDC服务器的跨域证书发送给AS,BCAS转发跨域认证请求,KDC验证请求认证信息后,为认证接收方生成跨域证书发送回BCAS,并存储到联盟链上,KDC生成传输密钥分发给AS和认证接收方,AS转发传输密钥至认证请求方,完成整个跨域认证过程;
步骤5:Kerberos到IBC跨域重认证方法
Kerberos安全域中的节点请求认证一个已经经过跨域认证的IBC节点时,首先向KDC发起请求,KDC依靠BCAS查询区块链信息获取接收方的跨域证书,验证跨域证书的有效性后,分配传输密钥,即可完成身份认证的重认证过程;
步骤6:IBC到Kerberos跨域重认证方法
IBC安全域中的实体节点请求认证一个已经经过跨域认证的Kerberos节点时,首先向BCCA请求跨域认证,BCCA查询到接收方跨域证书并检查有效性,从扩展项中读取KDC跨域证书号,直接向Kerberos域中的KDC服务器发起认证请求,KDC确认接收方身份,生成传输密钥并打包数据包分别传送给请求方和接收方,从而完成整个的跨域重认证过程;
步骤7:撤销认证方法
在联盟链中,区块数据一旦上链,无法进行更改,区块数据记录的是对跨域证书进行操作的过程,而最新的跨域认证证书存放在世界状态中;所述的跨域认证证书中,每一个跨域证书是否被撤销由证书中Revoke字段值来确定;若Revoke值为false,则表示此跨域证书可用;若Revoke值为true,表示此跨域证书已被撤销;对于每个域中实体证书的撤销认证,需要实体所在域的记账节点提供背书并提交,才能在整个联盟链中达成共识,完成整个撤销过程。
有益效果
本发明提出的一种基于联盟链的Kerberos与IBC安全域间跨域认证方法,基于联盟链技术实现异构域间对实体节点的安全认证,解决了Kerberos与IBC间跨域认证中心化模型复杂、认证信息管理困难等技术问题,采用多中心化的联盟链模型代替中心化的CA机构,在使用过程中计算量与通信量在各端消耗比较均衡,与以往的跨域身份认证技术相比,有良好的实用价值。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1基于联盟链的Kerberos及IBC跨域认证网络环境;
图2Kerberos域与IBC域跨域首次认证示意图;
图3Kerberos与IBC安全域间跨域重认证示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图和实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明提供了一种跨域方法,以实现Kerberos与IBC安全域间实体认证服务。Kerberos是一种目前被广泛使用的认证协议,其内部具有一个用于实体认证的认证服务器,为开放网络中的主体提供认证服务。基于身份的密码体制(Identity-BasedCryptography,IBC)认证框架,利用实体节点的标识信息作为公钥,用于签名验证和加密,而私钥生成中心(Private Key Generator,PKG)为实体节点公钥生成对应的私钥。基于以上两种方法的认证技术已得到广泛应用;然而在智能制造领域,随着柔性生产、敏捷生产以及个性化生产等应用及技术需求的不断增加,如何解决Kerberos与IBC安全域间的可靠跨域认证就显得尤为重要,为此,本发明提出了一种基于联盟链的Kerberos与IBC安全域间的跨域认证方法。
该方法中安全域内的实体节点在发起跨域认证请求时,首先通过协议认证目标域实体身份信息,然后将实体的身份信息生成跨域证书存储到区块链上,认证信息在区块链上保证无法被篡改,且按照共识协议被多个跨域节点确认,实现实体认证信息存储的去中心化;安全域中实体节点请求认证一个已经经过跨域认证的实体节点时,为了提高认证效率,可以直接将跨域证书发送至目标实体节点,目标实体节点经过区块链验证合法性之后,即可完成实体身份的重认证服务。
基于联盟链的Kerberos与IBC安全域间的跨域认证具体步骤如下:
步骤一:构建联盟链认证环境
基于联盟链的跨域身份认证环境使用联盟链实现跨域认证场景,Kerberos安全域设定一个联盟链身份认证服务器(BCAS)作为联盟链中的认证服务节点,IBC安全域设定一个联盟链证书服务器(BCCA)。在IBC和Kerberos安全域中,每个安全域节点首先完成在本域中的身份认证及授权,基于联盟链的实体跨域认证环境如图1所示。在本认证环境中,安全域内节点认证具备中心化的特点,由认证服务节点授权节点间的身份认证;然而,跨域节点具备去中心化的特点,由联盟链上各节点共同协商维护联盟链信息作为跨域身份认证的凭证。
步骤二:跨域认证初始化
本发明提出的基于联盟链的Kerberos与IBC跨域认证网络环境如图1所示,该方法中的网络实体主要有BCCA、BCAS、KDC、AS等。在跨域协议初始化过程中,首先在不同的安全域之间搭建Fabric联盟链网络,不同安全域为不同智能制造企业或者组织实体加入;联盟链网络环境初始化包括以下内容:生成系统初始化的相关配置文件、启动排序节点、设置BCCA及BCAS作为记账节点并启动、创建通道、安装并实例化链码。网络环境建立成功后,生成KDC及AS的跨域证书并上链存储,Kerberos与IBC安全域的实体初始化完成。
步骤三:Kerberos到IBC跨域首次认证方法
Kerberos安全域中的节点首次发起跨域认证请求时,先向KDC服务器发送请求,KDC确认请求方身份,并向BCAS转发请求;BCAS查询联盟链账本中跨域证书信息,未找到接收方跨域证书,则向IBC域BCCA发起请求;IBC域BCCA接收到认证请求后,将认证请求转发给认证服务器AS,AS验证接收方身份,生成跨域证书发送到BCCA,BCCA上传跨域证书至联盟链;KDC服务器根据跨域证书验证接收方身份,分配传输密钥,完成整个跨域认证过程。基于联盟链的Kerberos与IBC跨域首次认证方法示意图如图2所示,跨域认证方法中的符号含义如表1所示。Kerberos到IBC跨域首次认证方法具体描述如下:
表1 跨域认证方法中的符号含义
含义:Cker向KDC发送验证请求Request1,验证SIBC身份。其中,Cker表示Kerberos域身份认证请求方;N1(Cker→KDC)表示:跨域身份认证过程第一步N1为Cker向KDC发起请求;表示:Kerberos域请求方的身份信息;表示:IBC域认证接收方的身份信息;Request1表示:请求方向KDC发出的认证请求; 表示:对Request1三个参数利用对称密码算法DES进行加密。
含义:KDC验证Cker身份,向BCAS发送验证请求Request2,验证SIBC的身份。其中,N2(KDC→BCAS)表示:跨域身份认证过程第二步N2为KDC向BCAS发起请求;CertKDC表示:KDC服务器的域内认证证书;表示:IBC域认证接收方的身份信息;Request2表示:KDC向联盟链身份认证服务器发送验证请求; 表示:对CertKDC,Request2三个参数利用非对称密码算法SM2进行加密。
含义:BCAS解密N2,验证KDC身份合法,解析Request2请求,查询SIBC所在域的证书服务器在联盟链中位置,对和信任域参数M标记时间戳T1,与代理证书CertBCAS和认证请求Request3一起加密发至BCCA。其中,N3(BCAS→BCCA)表示:跨域身份认证过程第三步N3为BCAS向BCCA发起请求;CertBCAS表示:联盟链身份认证服务器的认证证书;CertKDC *表示:KDC服务器的跨域认证证书;text1表示:请求方的打包信息,包括IBC域认证接收方的身份信息域参数M、时间戳T1;Request3表示:BCAS向BCCA发送验证请求;EnSM2(CertBCAS,CertKDC *,text1,Request3)表示:对CertBCAS,CertKDC *,text1,Request3四个参数利用非对称密码算法SM2进行加密。
含义:BCCA解密N3,时间戳T1未过期则验证BCAS身份合法,解析Requeste3请求,检查CertKDC *有效时间是否过期,与Kerberos请求认证的参数信息和认证请求Request4一起加密发至AS。其中,N4(BCCA→AS)表示:跨域身份认证过程第四步N4为BCCA向AS发起请求;CertKDC *表示:KDC服务器的跨域认证证书;表示:IBC域认证接收方的身份信息;Request4表示:BCCA向AS发送验证请求;表示:对CertKDC *,Request4三个参数利用非对称密码算法SM9进行加密。
(5)N5(AS→BCCA):EnSM9(CertS *)
含义:AS解密N4,解析Kerberos域KDC跨域证书及请求方身份信息选取随机数作为安全参数,以SM9算法计算跨域系统参数及主密钥,为接收方生成跨域证书,将跨域系统参数写入扩展项中并发送回BCCA,BCCA收到跨域证书后,上传至联盟链。其中,N5(AS→BCCA)表示:跨域身份认证过程第五步N5为AS对BCCA的请求确认;CertS *表示:请求认证接收方的跨域证书,此证书包含了请求认证接收方在IBC域内的身份信息及公共参数;EnSM9(CertS *)表示:对CertS *利用非对称密码算法SM9进行加密。
含义:AS将生成的接收方跨域证书CertS *及接收方身份信息发送给KDC。其中:N6(AS→KDC)表示:跨域身份认证过程第六步N6为AS对KDC的请求确认;CertS *表示:请求认证接收方的跨域证书;表示:IBC域认证接收方的身份信息;表示:对CertS *,两个参数利用非对称密码算法SM2进行加密。
含义:AS将KDC跨域证书、SIBC的跨域证书和私钥发送给SIBC。其中:N7(AS→SIBC)表示:跨域身份认证过程第七步N7为AS对SIBC跨域证书信息同步;CertKDC *表示:KDC服务器的跨域认证证书;CertS *表示:请求认证接收方的跨域证书;sks表示:跨域认证时SIBC需要解密使用的私钥。EnSM9(CertKDC *,CertS *,sks)表示:对CertKDC *,CertS *,sks三个参数利用非对称密码算法SM9进行加密。
含义:KDC生成Cker和SIBC的传输密钥,向Cker加密传输两组信息,一组为传输密钥,另一组为使用SIBC公钥加密过的,KDC签名过的Cker的身份信息和传输密钥。其中,N8(KDC→Cker)表示:跨域身份认证过程第八步N8为KDC对请求方Cker的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方C的身份信息跨域传输密钥Key;SignKDC(text2)表示:用KDC服务器跨域证书私钥对text2进行签名;EnIBC(SignKDC(text2),text2)表示:用请求方的公钥对SignKDC(text2),text2两个参数利用非对称密码算法SM9进行加密;EnDES(Key,EnIBC(SignKDC(text2),text2))表示:对Key,EnIBC(SignKDC(text2),text2))两个参数利用对称密码算法DES进行加密。
请求方Cker接收到N8后,首先解析出传输密钥Key,在与接收方通信的过程中,使用传输密钥Key加密信息,接收方解析EnIBC(SignKDC(text2),text2)数据包,验证签名有效,请求方身份信息有效,得到传输密钥Key,完成Kerberos到IBC的跨域首次认证过程。
步骤四:IBC到Kerberos跨域首次认证方法
IBC安全域中的节点首次发起跨域认证请求时,先向BCCA服务器发送请求,BCCA服务器按照跨域协议认证过程向Kerberos域BCAS服务器发送请求,并将Kerberos域KDC服务器的跨域证书发送给AS,BCAS转发跨域认证请求,KDC验证请求认证信息后,为认证接收方生成跨域证书发送回BCAS,并存储到联盟链上,KDC生成传输密钥分发给AS和认证接收方,AS转发传输密钥至认证请求方,完成整个跨域认证过程。基于联盟链的Kerberos与IBC跨域首次认证模型如图2所示,跨域认证方法中的符号含义如表1所示。IBC到Kerberos跨域首次认证方法具体描述如下:
含义:CIBC向BCCA发送请求Request1,请求验证Kerberos域Sker的身份。其中,N1 *(CIBC→BCCA)表示:跨域身份认证过程第一步N1 *为CIBC向BCCA发起请求;表示:Kerberos域认证接收方的身份信息;Request1表示:请求方向BCCA发出的认证请求;表示:对Request1两个参数利用非对称密码算法SM9进行加密。
含义:BCCA解密N1,验证CIBC身份合法,解析Request1请求,查询Sker所在域的证书服务器在联盟链中位置,对和信任域参数M标记时间戳T1,与代理证书CertBCCA、认证服务器跨域证书CertAS *和认证请求Request2一起加密发至BCAS。其中,N2 *(BCCA→BCAS)表示:跨域身份认证过程第二步N2 *为BCCA向BCAS发起请求;CertBCCA表示:联盟链认证服务器的认证证书;CertAS *表示:IBC域认证服务器的跨域认证证书;text1表示:请求方的打包信息,包括Kerberos域认证接收方的身份信息域参数M、时间戳T1;Request2表示:BCCA向BCAS发送认证请求;EnSM2(CertBCCA,CertAS *,text1,Request2)表示:对CertBCCA,CertAS *,text1,Request2四个参数利用非对称密码算法SM2进行加密。
含义:BCCA在联盟链中查询Sker所在域的KDC证书,并将此证书与请求方信息一同发送给AS。其中,N3 *(BCCA→AS)表示:跨域身份认证过程第三步N3 *为BCCA对AS进行信息同步;CertKDC *表示:KDC服务器的跨域证书;表示:IBC域认证发起方的身份信息;表示:对CertKDC *,两个参数利用非对称密码算法SM9进行加密。
含义:BCAS将IBC域中AS的跨域证书和接收方信息发给KDC,并发出认证请求。其中,N4 *(BCAS→KDC)表示:跨域身份认证过程第四步N4 *为BCAS向KDC发起认证请求;CertBCAS表示:联盟链身份认证服务器的认证证书;CertAS *表示:AS服务器的跨域认证证书;表示:Kerberos域认证接收方的身份信息;Request3表示:BCAS向KDC发送验证请求;表示:对CertBCAS,CertAS *,Request3四个参数利用非对称密码算法SM2进行加密。
(5)N5 *(KDC→BCAS):EnSM2(CertS *)
含义:KDC解密N4 *,解析IBC域AS跨域证书及认证接收方身份信息,验证接收方身份信息,为接收方生成跨域证书并发送回BCCA,BCCA收到跨域证书后,上传至联盟链。其中,N5 *(KDC→BCAS)表示:跨域身份认证过程第五步N5 *为KDC对BCAS的请求确认;CertS *表示:接收方的跨域证书;EnSM2(CertS *)表示:对CertS *利用非对称密码算法SM2进行加密。
含义:KDC生成传输密钥,对CIBC的身份信息和传输密钥进行签名,与接收方跨域证书一起发送给AS。其中,N6 *(KDC→AS)表示:跨域身份认证过程第六步N6 *为KDC对AS的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方CIBC的身份信息和跨域传输密钥Key;SignKDC(text2)表示:用KDC服务器与接收方S之间的密钥对text2进行签名;EnSM2(Key,SignKDC(text2),CertS *)表示:对Key,SignKDC(text2),CertS *三个参数利用非对称密码算法SM2进行加密。
(7)N7 *(AS→CIBC):EnSM9(Key,CertS *)
含义:AS解密N6 *,转发传输密钥Key和接收方跨域证书CertS *至请求方CIBC。其中,N7 *(AS→CIBC)表示:跨域身份认证过程第七步N7 *为AS对CIBC的请求确认;Key表示:KDC生成的跨域传输密钥;CertS *表示:接收方的跨域证书;EnSM9(Key,CertS *)表示:对Key,CertS *两个参数利用非对称密码算法SM9进行加密。
含义:KDC将CIBC的身份信息和传输密钥加密传输给SKer。其中,N8 *(KDC→SKer)表示:跨域身份认证过程第八步N8 *为KDC向SKer发送认证信息;Key表示:KDC生成的跨域传输密钥;表示:请求方CIBC的身份信息;表示:对Key,两个参数利用对称密码算法DES进行加密。
请求方收到N7 *后,解析出传输密钥Key;接收方收到N8 *后,解析出传输密钥Key。双方使用此传输密钥Key进行通信,完成IBC到Kerberos的首次认证过程。
步骤五:Kerberos到IBC跨域重认证方法
Kerberos安全域中的节点请求认证一个已经经过跨域认证的IBC节点时,首先向KDC发起请求,KDC依靠BCAS查询区块链信息获取接收方的跨域证书,验证跨域证书的有效性后,分配传输密钥,即可完成身份认证的重认证过程。基于联盟链的Kerberos与IBC跨域重认证方法示意图如图3所示,跨域认证方法中的符号含义如表1所示。Kerberos到IBC跨域重认证方法具体描述如下:
含义:Cker向KDC发送验证请求Request1,验证SIBC身份。其中,Cker表示Kerberos域身份认证请求方;N1(Cker→KDC)表示:跨域身份认证过程第一步N1为Cker向KDC发起请求;表示:Kerberos域请求方的身份信息;表示:IBC域认证接收方的身份信息;Request1表示:请求方向KDC发出的认证请求; 表示:对Request1三个参数利用对称密码算法DES进行加密。
含义:KDC验证Cker身份,向BCAS发送验证请求Request2,验证SIBC的身份。其中,N2(KDC→BCAS)表示:跨域身份认证过程第二步N2为KDC向BCAS发起请求;CertKDC表示:KDC服务器的域内认证证书;表示:IBC域认证接收方的身份信息;Request2表示:KDC向联盟链身份认证服务器发送验证请求; 表示:对CertKDC,Request2三个参数利用非对称密码算法SM2进行加密。
含义:BCAS查询到接收方的跨域证书,将接收方跨域证书CertS *及接收方身份信息发送给KDC。其中:N3(BCAS→KDC)表示:跨域身份认证过程第三步N3为BCAS对KDC的请求确认;CertS *表示:请求认证接收方的跨域证书;表示:IBC域认证接收方的身份信息;表示:对CertS *,两个参数利用非对称密码算法SM2进行加密。
含义:KDC生成Cker和SIBC的传输密钥,向Cker加密传输两组信息,一组为传输密钥,另一组为使用SIBC公钥加密过的,KDC签名过的Cker的身份信息和传输密钥。其中,N4(KDC→Cker)表示:跨域身份认证过程第四步N4为KDC对请求方Cker的请求确认;Key表示:KDC生成的跨域传输密钥;text1表示:请求方C的身份信息跨域传输密钥Key;SignKDC(text1)表示:用KDC服务器跨域证书私钥对text1进行签名;EnIBC(SignKDC(text1),text1)表示:用请求方的公钥对SignKDC(text1),text1两个参数利用非对称密码算法SM9进行加密;EnDES(Key,EnIBC(SignKDC(text1),text1))表示:对Key,EnIBC(SignKDC(text1),text1))两个参数利用对称密码算法DES进行加密。
请求方Cker接收到N4后,首先解析出传输密钥Key,在与接收方通信的过程中,使用传输密钥Key加密信息,接收方解析EnIBC(SignKDC(text1),text1)数据包,验证签名有效,请求方身份信息有效,得到传输密钥Key,完成Kerberos到IBC的跨域重认证过程。
步骤六:IBC到Kerberos跨域重认证方法
IBC安全域中的实体节点请求认证一个已经经过跨域认证的Kerberos节点时,首先向BCCA请求跨域认证,BCCA查询到接收方跨域证书并检查有效性,从扩展项中读取KDC跨域证书号,直接向Kerberos域中的KDC服务器发起认证请求,KDC确认接收方身份,生成传输密钥并打包数据包分别传送给请求方和接收方,从而完成整个的跨域重认证过程。基于联盟链的Kerberos与IBC跨域重认证模型如图3所示,跨域认证方法中的符号含义如表1所示。IBC到Kerberos跨域重认证方法具体描述如下:
含义:CIBC向BCCA发送请求Request1,请求验证Kerberos域Sker的身份。其中,N1 *(CIBC→BCCA)表示:跨域身份认证过程第一步N1 *为CIBC向BCCA发起请求;表示:Kerberos域认证接收方的身份信息;Request1表示:请求方向BCCA发出的认证请求;表示:对Request1两个参数利用非对称密码算法SM9进行加密。
含义:BCCA解密N1,验证CIBC身份合法,解析Request1请求,查询Sker所在域的KDC服务器跨域证书,对和信任域参数M标记时间戳T1,与代理证书CertBCCA、认证服务器跨域证书CertAS *和认证请求Request2一起加密发至KDC。其中,N2 *(BCCA→KDC)表示:跨域身份认证过程第二步N2 *为BCCA向KDC发起请求;CertBCCA表示:联盟链认证服务器的认证证书;CertC *表示:请求方的跨域认证证书;text1表示:请求方的打包信息,包括Kerberos域认证接收方的身份信息域参数M、时间戳T1;Request2表示:BCCA向BCAS发送认证请求;EnSM2(CertBCCA,CertC *,text1,Request2)表示:对CertBCCA,CertC *,text1,Request2四个参数利用非对称密码算法SM2进行加密。
含义:KDC生成传输密钥,对CIBC的身份信息和传输密钥进行签名,与接收方跨域证书一起发送给CIBC。其中,N3 *(KDC→CIBC)表示:跨域身份认证过程第三步N3 *为KDC对CIBC的请求确认;Key表示:KDC生成的跨域传输密钥;text2表示:请求方CIBC的身份信息和跨域传输密钥Key;SignKDC(text2)表示:用KDC服务器与接收方S之间的密钥对text2进行签名;EnSM2(Key,SignKDC(text2),CertS *)表示:对Key,SignKDC(text2),CertS *三个参数利用非对称密码算法SM9进行加密。
含义:KDC将CIBC的身份信息和传输密钥加密传输给SKer。其中,N4 *(KDC→SKer)表示:跨域身份认证过程第四步N4 *为KDC向SKer发送认证信息;Key表示:KDC生成的跨域传输密钥;表示:请求方CIBC的身份信息;表示:对Key,两个参数利用对称密码算法DES进行加密。
请求方收到N3 *后,解析出传输密钥Key,验证KDC签名无误;接收方收到N4 *后,解析出传输密钥Key。双方使用此传输密钥Key进行通信,完成IBC到Kerberos的重认证过程。
步骤七:撤销认证方法
在Kerberos安全域与IBC安全域间的跨域认证过程中,存储跨域证书至联盟链网络可以实现不同组织间达成证书数据的一致性。然而,当有安全域中实体失效或者退出认证域时,需要对已经注册的跨域证书进行撤销。在本技术中,仅删除本地的认证证书并不能完成实体证书的撤销,还需要将联盟链中的跨域认证证书一并进行撤销。
在联盟链中,区块数据一旦上链,无法进行更改,区块数据记录的是对跨域证书进行操作的过程,而最新的跨域认证证书存放在世界状态中。本发明设计的跨域认证证书中,每一个跨域证书是否被撤销由证书中Revoke字段值来确定。若Revoke值为false,则表示此跨域证书可用;若Revoke值为true,表示此跨域证书已被撤销。对于每个域中实体证书的撤销认证,需要实体所在域的记账节点提供背书并提交,才能在整个联盟链中达成共识,完成整个撤销过程。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (1)
1.一种基于联盟链的Kerberos与IBC安全域间跨域认证方法,其特征在于步骤如下:
步骤1:构建联盟链认证环境
基于联盟链的跨域身份认证环境使用联盟链实现跨域认证场景,Kerberos安全域设定一个联盟链身份认证服务器BCAS作为联盟链中的认证服务节点,IBC安全域设定一个联盟链证书服务器BCCA;在IBC和Kerberos安全域中,每个安全域节点首先完成在本域中的身份认证及授权,安全域内节点认证具备中心化的特点,由认证服务节点授权节点间的身份认证;跨域节点具备去中心化的特点,由联盟链上各节点共同协商维护联盟链信息作为跨域身份认证的凭证;
步骤2:跨域认证初始化
首先在不同的安全域之间搭建Fabric联盟链网络,不同安全域为不同智能制造企业或者组织实体加入;联盟链网络环境初始化包括以下内容:生成系统初始化的相关配置文件、启动排序节点、设置BCCA及BCAS作为记账节点并启动、创建通道、安装并实例化链码;网络环境建立成功后,生成KDC及AS的跨域证书并上链存储,Kerberos与IBC安全域的实体初始化完成;
步骤3:Kerberos到IBC跨域首次认证方法
Kerberos安全域中的节点首次发起跨域认证请求时,先向KDC服务器发送请求,KDC确认请求方身份,并向BCAS转发请求;BCAS查询联盟链账本中跨域证书信息,未找到接收方跨域证书,则向IBC域BCCA发起请求;IBC域BCCA接收到认证请求后,将认证请求转发给认证服务器AS,AS验证接收方身份,生成跨域证书发送到BCCA,BCCA上传跨域证书至联盟链;KDC服务器根据跨域证书验证接收方身份,分配传输密钥,完成整个跨域认证过程;
步骤4:IBC到Kerberos跨域首次认证方法
IBC安全域中的节点首次发起跨域认证请求时,先向BCCA服务器发送请求,BCCA服务器按照跨域协议认证过程向Kerberos域BCAS服务器发送请求,并将Kerberos域KDC服务器的跨域证书发送给AS,BCAS转发跨域认证请求,KDC验证请求认证信息后,为认证接收方生成跨域证书发送回BCAS,并存储到联盟链上,KDC生成传输密钥分发给AS和认证接收方,AS转发传输密钥至认证请求方,完成整个跨域认证过程;
步骤5:Kerberos到IBC跨域重认证方法
Kerberos安全域中的节点请求认证一个已经经过跨域认证的IBC节点时,首先向KDC发起请求,KDC依靠BCAS查询区块链信息获取接收方的跨域证书,验证跨域证书的有效性后,分配传输密钥,即可完成身份认证的重认证过程;
步骤6:IBC到Kerberos跨域重认证方法
IBC安全域中的实体节点请求认证一个已经经过跨域认证的Kerberos节点时,首先向BCCA请求跨域认证,BCCA查询到接收方跨域证书并检查有效性,从扩展项中读取KDC跨域证书号,直接向Kerberos域中的KDC服务器发起认证请求,KDC确认接收方身份,生成传输密钥并打包数据包分别传送给请求方和接收方,从而完成整个的跨域重认证过程;
步骤7:撤销认证方法
在联盟链中,区块数据一旦上链,无法进行更改,区块数据记录的是对跨域证书进行操作的过程,而最新的跨域认证证书存放在世界状态中;所述的跨域认证证书中,每一个跨域证书是否被撤销由证书中Revoke字段值来确定;若Revoke值为false,则表示此跨域证书可用;若Revoke值为true,表示此跨域证书已被撤销;对于每个域中实体证书的撤销认证,需要实体所在域的记账节点提供背书并提交,才能在整个联盟链中达成共识,完成整个撤销过程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210382540.5A CN114884698B (zh) | 2022-04-12 | 2022-04-12 | 基于联盟链的Kerberos与IBC安全域间跨域认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210382540.5A CN114884698B (zh) | 2022-04-12 | 2022-04-12 | 基于联盟链的Kerberos与IBC安全域间跨域认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114884698A CN114884698A (zh) | 2022-08-09 |
CN114884698B true CN114884698B (zh) | 2023-03-07 |
Family
ID=82670095
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210382540.5A Active CN114884698B (zh) | 2022-04-12 | 2022-04-12 | 基于联盟链的Kerberos与IBC安全域间跨域认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114884698B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116321159B (zh) * | 2023-01-14 | 2024-01-02 | 国网湖北省电力有限公司荆门供电公司 | 一种基于北斗通信服务的分散场站数据传输方法 |
CN115841330B (zh) * | 2023-02-09 | 2023-05-12 | 国网数字科技控股有限公司 | 一种区块链跨域身份管理及控制系统和方法 |
CN117240595A (zh) * | 2023-10-31 | 2023-12-15 | 浙江大学 | 一种支持多类信任体系的跨域身份认证方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2004229654A1 (en) * | 2003-11-18 | 2005-06-02 | Vintela, Inc. | Apparatus, system and method for facilitating authenticated communication between authentication realms |
CN107770195A (zh) * | 2017-11-27 | 2018-03-06 | 甘肃万维信息技术有限责任公司 | 基于云环境跨域身份认证系统及其使用方法 |
CN108737436A (zh) * | 2018-05-31 | 2018-11-02 | 西安电子科技大学 | 基于信任联盟区块链的跨域服务器身份认证方法 |
CN110958229A (zh) * | 2019-11-20 | 2020-04-03 | 南京理工大学 | 一种基于区块链的可信身份认证方法 |
CN112153608A (zh) * | 2020-09-24 | 2020-12-29 | 南通大学 | 一种基于侧链技术信任模型的车联网跨域认证方法 |
CN113824563A (zh) * | 2021-09-07 | 2021-12-21 | 电子科技大学 | 一种基于区块链证书的跨域身份认证方法 |
CN113935016A (zh) * | 2021-11-03 | 2022-01-14 | 北京邮电大学 | 命名数据网中基于区块链的可信访问与跨域认证方法 |
CN114036472A (zh) * | 2021-11-05 | 2022-02-11 | 西北工业大学 | 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10122701B2 (en) * | 2015-11-24 | 2018-11-06 | Red Hat, Inc. | Cross-domain single login |
-
2022
- 2022-04-12 CN CN202210382540.5A patent/CN114884698B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2004229654A1 (en) * | 2003-11-18 | 2005-06-02 | Vintela, Inc. | Apparatus, system and method for facilitating authenticated communication between authentication realms |
CN107770195A (zh) * | 2017-11-27 | 2018-03-06 | 甘肃万维信息技术有限责任公司 | 基于云环境跨域身份认证系统及其使用方法 |
CN108737436A (zh) * | 2018-05-31 | 2018-11-02 | 西安电子科技大学 | 基于信任联盟区块链的跨域服务器身份认证方法 |
CN110958229A (zh) * | 2019-11-20 | 2020-04-03 | 南京理工大学 | 一种基于区块链的可信身份认证方法 |
CN112153608A (zh) * | 2020-09-24 | 2020-12-29 | 南通大学 | 一种基于侧链技术信任模型的车联网跨域认证方法 |
CN113824563A (zh) * | 2021-09-07 | 2021-12-21 | 电子科技大学 | 一种基于区块链证书的跨域身份认证方法 |
CN113935016A (zh) * | 2021-11-03 | 2022-01-14 | 北京邮电大学 | 命名数据网中基于区块链的可信访问与跨域认证方法 |
CN114036472A (zh) * | 2021-11-05 | 2022-02-11 | 西北工业大学 | 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 |
Non-Patent Citations (4)
Title |
---|
"Blockchain-Assisted Secure Device Authentication for Cross-Domain Industrial IoT";M. Shen et al.;《IEEE Journal on Selected Areas in Communications》;20200316;全文 * |
"Network & information system security risk assessment technology";Y. Ye;《2016 13th International Bhurban Conference on Applied Sciences and Technology (IBCAST)》;20160310;全文 * |
"云服务系统安全性检测技术及产品";姚烨;《科技成果》;20141201;全文 * |
"基于TLS协议的多证书跨域认证";于代荣等;《济南大学学报(自然科学版)》;20101001;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114884698A (zh) | 2022-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107919956B (zh) | 一种面向物联网云环境下端到端安全保障方法 | |
CN112003889B (zh) | 分布式跨链系统及跨链信息交互与系统访问控制方法 | |
JP6644894B2 (ja) | 複数の暗号システムとのデジタル証明書の使用 | |
CN108667616B (zh) | 基于标识的跨云安全认证系统和方法 | |
CN114884698B (zh) | 基于联盟链的Kerberos与IBC安全域间跨域认证方法 | |
CN111262692B (zh) | 基于区块链的密钥分发系统和方法 | |
CN111740989B (zh) | 一种面向区块链的物联网芯片轻量级数据加密方法 | |
CN110958229A (zh) | 一种基于区块链的可信身份认证方法 | |
CN106789042B (zh) | Ibc域内的用户访问pki域内的资源的认证密钥协商方法 | |
Toorani et al. | LPKI-a lightweight public key infrastructure for the mobile environments | |
CN110959163A (zh) | 能够在多个存储节点上安全存储大型区块链的计算机实现的系统和方法 | |
EP3360279B1 (en) | Public key infrastructure&method of distribution | |
WO2014069985A1 (en) | System and method for identity-based entity authentication for client-server communications | |
CN103905384A (zh) | 基于安全数字证书的嵌入式终端间会话握手的实现方法 | |
CN115514474A (zh) | 一种基于云-边-端协同的工业设备可信接入方法 | |
CN114710275A (zh) | 物联网环境下基于区块链的跨域认证和密钥协商方法 | |
CN114036472B (zh) | 基于联盟链的Kerberos及PKI安全域间的跨域认证方法 | |
KR100853182B1 (ko) | 다중 도메인에서 대칭키 기반 인증 방법 및 장치 | |
CN116599659B (zh) | 无证书身份认证与密钥协商方法以及系统 | |
CN110752934B (zh) | 拓扑结构下网络身份交互认证的方法 | |
Gu et al. | An efficient blockchain-based cross-domain authentication and secure certificate revocation scheme | |
Feng et al. | PBAG: A Privacy-Preserving Blockchain-Based Authentication Protocol With Global-Updated Commitment in IoVs | |
CN116684093A (zh) | 身份认证与密钥交换方法及系统 | |
CN116760530A (zh) | 一种电力物联终端轻量级认证密钥协商方法 | |
CN117241267B (zh) | 一种基于区块链适用于v2i场景下量子组密钥分发方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |