CN114884698B - 基于联盟链的Kerberos与IBC安全域间跨域认证方法 - Google Patents

Abstract

本发明涉及一种基于联盟链的Kerberos与IBC安全域间的跨域认证方法，该方法中安全域内的实体节点在发起跨域认证请求时，首先通过协议认证目标域实体身份信息，然后将实体的身份信息生成跨域证书存储到区块链上，认证信息在区块链上保证无法被篡改，且按照共识协议被多个跨域节点确认，实现实体认证信息存储的去中心化；安全域中实体节点请求认证一个已经经过跨域认证的实体节点时，为了提高认证效率，可以直接将跨域证书发送至目标实体节点，目标实体节点经过区块链验证合法性之后，即可完成实体身份的重认证服务。解决了Kerberos与IBC间跨域认证中心化模型复杂、认证信息管理困难等技术问题。

Description

基于联盟链的Kerberos与IBC安全域间跨域认证方法

技术领域

本发明涉及不同安全域实体间的跨域认证技术，具体为Kerberos域与IBC安全域间的首次认证技术、重认证技术和撤销认证技术。

背景技术

随着工业互联网技术以及网络信息安全技术的不断发展，工业互联网在我国智能制造领域的应用规模不断扩大。越来越多的制造企业、组织或者行业机构利用网络环境来构建其内部的安全信任域，由于各安全信任域采用不同的身份认证框架，互不兼容，并分属不同企业机构管理，使得不同的企业组织或机构间很难在已有认证框架下构建高效、安全的跨域信任关系，这在一定程度上阻碍了各制造企业组织间的信息交互的基础和前提。

各制造企业及组织机构为了使内部达成高效的实体(如用户、设备、工业复杂产品)认证管理，使用了不同的认证框架构建安全域。认证过程是通信双方进行数据共享和安全传输的前提，随着柔性生产、敏捷生产以及个性化生产等应用及技术需求的不断增加，在制造生产网络中跨域认证技术就显得尤为重要；然而，当前的跨域认证方法存在许多问题，主要包括：过于依赖中心化的第三方节点，异构信任域间认证困难，认证信息管理复杂。

发明内容

要解决的技术问题

针对Kerberos和PKI安全域的跨域节点难以实现安全可信认证技术问题，本发明提出了一种基于联盟链的Kerberos与IBC安全域间的跨域认证方法，为不同安全域间实体认证提安全提供服务。

技术方案

一种基于联盟链的Kerberos与IBC安全域间跨域认证方法，其特征在于步骤如下：

步骤1：构建联盟链认证环境

基于联盟链的跨域身份认证环境使用联盟链实现跨域认证场景，Kerberos安全域设定一个联盟链身份认证服务器BCAS作为联盟链中的认证服务节点，IBC安全域设定一个联盟链证书服务器BCCA；在IBC和Kerberos安全域中，每个安全域节点首先完成在本域中的身份认证及授权，安全域内节点认证具备中心化的特点，由认证服务节点授权节点间的身份认证；跨域节点具备去中心化的特点，由联盟链上各节点共同协商维护联盟链信息作为跨域身份认证的凭证；

步骤2：跨域认证初始化

首先在不同的安全域之间搭建Fabric联盟链网络，不同安全域为不同智能制造企业或者组织实体加入；联盟链网络环境初始化包括以下内容：生成系统初始化的相关配置文件、启动排序节点、设置BCCA及BCAS作为记账节点并启动、创建通道、安装并实例化链码；网络环境建立成功后，生成KDC及AS的跨域证书并上链存储，Kerberos与IBC安全域的实体初始化完成；

步骤3：Kerberos到IBC跨域首次认证方法

Kerberos安全域中的节点首次发起跨域认证请求时，先向KDC服务器发送请求，KDC确认请求方身份，并向BCAS转发请求；BCAS查询联盟链账本中跨域证书信息，未找到接收方跨域证书，则向IBC域BCCA发起请求；IBC域BCCA接收到认证请求后，将认证请求转发给认证服务器AS，AS验证接收方身份，生成跨域证书发送到BCCA，BCCA上传跨域证书至联盟链；KDC服务器根据跨域证书验证接收方身份，分配传输密钥，完成整个跨域认证过程；

步骤4：IBC到Kerberos跨域首次认证方法

IBC安全域中的节点首次发起跨域认证请求时，先向BCCA服务器发送请求，BCCA服务器按照跨域协议认证过程向Kerberos域BCAS服务器发送请求，并将Kerberos域KDC服务器的跨域证书发送给AS，BCAS转发跨域认证请求，KDC验证请求认证信息后，为认证接收方生成跨域证书发送回BCAS，并存储到联盟链上，KDC生成传输密钥分发给AS和认证接收方，AS转发传输密钥至认证请求方，完成整个跨域认证过程；

步骤5：Kerberos到IBC跨域重认证方法

Kerberos安全域中的节点请求认证一个已经经过跨域认证的IBC节点时，首先向KDC发起请求，KDC依靠BCAS查询区块链信息获取接收方的跨域证书，验证跨域证书的有效性后，分配传输密钥，即可完成身份认证的重认证过程；

步骤6：IBC到Kerberos跨域重认证方法

IBC安全域中的实体节点请求认证一个已经经过跨域认证的Kerberos节点时，首先向BCCA请求跨域认证，BCCA查询到接收方跨域证书并检查有效性，从扩展项中读取KDC跨域证书号，直接向Kerberos域中的KDC服务器发起认证请求，KDC确认接收方身份，生成传输密钥并打包数据包分别传送给请求方和接收方，从而完成整个的跨域重认证过程；

步骤7：撤销认证方法

在联盟链中，区块数据一旦上链，无法进行更改，区块数据记录的是对跨域证书进行操作的过程，而最新的跨域认证证书存放在世界状态中；所述的跨域认证证书中，每一个跨域证书是否被撤销由证书中Revoke字段值来确定；若Revoke值为false，则表示此跨域证书可用；若Revoke值为true，表示此跨域证书已被撤销；对于每个域中实体证书的撤销认证，需要实体所在域的记账节点提供背书并提交，才能在整个联盟链中达成共识，完成整个撤销过程。

有益效果

本发明提出的一种基于联盟链的Kerberos与IBC安全域间跨域认证方法，基于联盟链技术实现异构域间对实体节点的安全认证，解决了Kerberos与IBC间跨域认证中心化模型复杂、认证信息管理困难等技术问题，采用多中心化的联盟链模型代替中心化的CA机构，在使用过程中计算量与通信量在各端消耗比较均衡，与以往的跨域身份认证技术相比，有良好的实用价值。

附图说明

附图仅用于示出具体实施例的目的，而并不认为是对本发明的限制，在整个附图中，相同的参考符号表示相同的部件。

图1基于联盟链的Kerberos及IBC跨域认证网络环境；

图2Kerberos域与IBC域跨域首次认证示意图；

图3Kerberos与IBC安全域间跨域重认证示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图和实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。此外，下面描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明提供了一种跨域方法，以实现Kerberos与IBC安全域间实体认证服务。Kerberos是一种目前被广泛使用的认证协议，其内部具有一个用于实体认证的认证服务器，为开放网络中的主体提供认证服务。基于身份的密码体制(Identity-BasedCryptography，IBC)认证框架，利用实体节点的标识信息作为公钥，用于签名验证和加密，而私钥生成中心(Private Key Generator，PKG)为实体节点公钥生成对应的私钥。基于以上两种方法的认证技术已得到广泛应用；然而在智能制造领域，随着柔性生产、敏捷生产以及个性化生产等应用及技术需求的不断增加，如何解决Kerberos与IBC安全域间的可靠跨域认证就显得尤为重要，为此，本发明提出了一种基于联盟链的Kerberos与IBC安全域间的跨域认证方法。

该方法中安全域内的实体节点在发起跨域认证请求时，首先通过协议认证目标域实体身份信息，然后将实体的身份信息生成跨域证书存储到区块链上，认证信息在区块链上保证无法被篡改，且按照共识协议被多个跨域节点确认，实现实体认证信息存储的去中心化；安全域中实体节点请求认证一个已经经过跨域认证的实体节点时，为了提高认证效率，可以直接将跨域证书发送至目标实体节点，目标实体节点经过区块链验证合法性之后，即可完成实体身份的重认证服务。

基于联盟链的Kerberos与IBC安全域间的跨域认证具体步骤如下：

步骤一：构建联盟链认证环境

基于联盟链的跨域身份认证环境使用联盟链实现跨域认证场景，Kerberos安全域设定一个联盟链身份认证服务器(BCAS)作为联盟链中的认证服务节点，IBC安全域设定一个联盟链证书服务器(BCCA)。在IBC和Kerberos安全域中，每个安全域节点首先完成在本域中的身份认证及授权，基于联盟链的实体跨域认证环境如图1所示。在本认证环境中，安全域内节点认证具备中心化的特点，由认证服务节点授权节点间的身份认证；然而，跨域节点具备去中心化的特点，由联盟链上各节点共同协商维护联盟链信息作为跨域身份认证的凭证。

步骤二：跨域认证初始化

本发明提出的基于联盟链的Kerberos与IBC跨域认证网络环境如图1所示，该方法中的网络实体主要有BCCA、BCAS、KDC、AS等。在跨域协议初始化过程中，首先在不同的安全域之间搭建Fabric联盟链网络，不同安全域为不同智能制造企业或者组织实体加入；联盟链网络环境初始化包括以下内容：生成系统初始化的相关配置文件、启动排序节点、设置BCCA及BCAS作为记账节点并启动、创建通道、安装并实例化链码。网络环境建立成功后，生成KDC及AS的跨域证书并上链存储，Kerberos与IBC安全域的实体初始化完成。

步骤三：Kerberos到IBC跨域首次认证方法

Kerberos安全域中的节点首次发起跨域认证请求时，先向KDC服务器发送请求，KDC确认请求方身份，并向BCAS转发请求；BCAS查询联盟链账本中跨域证书信息，未找到接收方跨域证书，则向IBC域BCCA发起请求；IBC域BCCA接收到认证请求后，将认证请求转发给认证服务器AS，AS验证接收方身份，生成跨域证书发送到BCCA，BCCA上传跨域证书至联盟链；KDC服务器根据跨域证书验证接收方身份，分配传输密钥，完成整个跨域认证过程。基于联盟链的Kerberos与IBC跨域首次认证方法示意图如图2所示，跨域认证方法中的符号含义如表1所示。Kerberos到IBC跨域首次认证方法具体描述如下：

表1 跨域认证方法中的符号含义

(1)

含义：C_ker向KDC发送验证请求Request₁，验证S_IBC身份。其中，C_ker表示Kerberos域身份认证请求方；N₁(C_ker→KDC)表示：跨域身份认证过程第一步N₁为C_ker向KDC发起请求；

表示：Kerberos域请求方的身份信息；

表示：IBC域认证接收方的身份信息；Request₁表示：请求方向KDC发出的认证请求；

表示：对

Request₁三个参数利用对称密码算法DES进行加密。

(2)

含义：KDC验证C_ker身份，向BCAS发送验证请求Request₂，验证S_IBC的身份。其中，N₂(KDC→BCAS)表示：跨域身份认证过程第二步N₂为KDC向BCAS发起请求；Cert_KDC表示：KDC服务器的域内认证证书；

表示：IBC域认证接收方的身份信息；Request₂表示：KDC向联盟链身份认证服务器发送验证请求；

表示：对Cert_KDC,

Request₂三个参数利用非对称密码算法SM2进行加密。

(3)

含义：BCAS解密N₂，验证KDC身份合法，解析Request₂请求，查询S_IBC所在域的证书服务器在联盟链中位置，对

和信任域参数M标记时间戳T₁，与代理证书Cert_BCAS和认证请求Request₃一起加密发至BCCA。其中，N₃(BCAS→BCCA)表示：跨域身份认证过程第三步N₃为BCAS向BCCA发起请求；Cert_BCAS表示：联盟链身份认证服务器的认证证书；Cert_KDC ^*表示：KDC服务器的跨域认证证书；text₁表示：请求方的打包信息，包括IBC域认证接收方的身份信息

域参数M、时间戳T₁；Request₃表示：BCAS向BCCA发送验证请求；En^SM2(Cert_BCAS,Cert_KDC ^*,text₁,Request₃)表示：对Cert_BCAS，Cert_KDC ^*，text₁，Request₃四个参数利用非对称密码算法SM2进行加密。

(4)

含义：BCCA解密N₃，时间戳T₁未过期则验证BCAS身份合法，解析Requeste₃请求，检查Cert_KDC ^*有效时间是否过期，与Kerberos请求认证的参数信息和认证请求Request₄一起加密发至AS。其中，N₄(BCCA→AS)表示：跨域身份认证过程第四步N₄为BCCA向AS发起请求；Cert_KDC ^*表示：KDC服务器的跨域认证证书；

表示：IBC域认证接收方的身份信息；Request₄表示：BCCA向AS发送验证请求；

表示：对Cert_KDC ^*，

Request₄三个参数利用非对称密码算法SM9进行加密。

(5)N₅(AS→BCCA):En^SM9(Cert_S ^*)

含义：AS解密N₄，解析Kerberos域KDC跨域证书及请求方身份信息

选取随机数作为安全参数，以SM9算法计算跨域系统参数及主密钥，为接收方生成跨域证书，将跨域系统参数写入扩展项中并发送回BCCA，BCCA收到跨域证书后，上传至联盟链。其中，N₅(AS→BCCA)表示：跨域身份认证过程第五步N₅为AS对BCCA的请求确认；Cert_S ^*表示：请求认证接收方的跨域证书，此证书包含了请求认证接收方在IBC域内的身份信息及公共参数；En^SM9(Cert_S ^*)表示：对Cert_S ^*利用非对称密码算法SM9进行加密。

(6)

含义：AS将生成的接收方跨域证书Cert_S ^*及接收方身份信息发送给KDC。其中：N₆(AS→KDC)表示：跨域身份认证过程第六步N₆为AS对KDC的请求确认；Cert_S ^*表示：请求认证接收方的跨域证书；

表示：IBC域认证接收方的身份信息；

表示：对Cert_S ^*，

两个参数利用非对称密码算法SM2进行加密。

(7)

含义：AS将KDC跨域证书、S_IBC的跨域证书和私钥发送给S_IBC。其中：N₇(AS→S_IBC)表示：跨域身份认证过程第七步N₇为AS对S_IBC跨域证书信息同步；Cert_KDC ^*表示：KDC服务器的跨域认证证书；Cert_S ^*表示：请求认证接收方的跨域证书；sk_s表示：跨域认证时S_IBC需要解密使用的私钥。En^SM9(Cert_KDC ^*,Cert_S ^*,sk_s)表示：对Cert_KDC ^*，Cert_S ^*，sk_s三个参数利用非对称密码算法SM9进行加密。

(8)

含义：KDC生成C_ker和S_IBC的传输密钥，向C_ker加密传输两组信息，一组为传输密钥，另一组为使用S_IBC公钥加密过的，KDC签名过的C_ker的身份信息和传输密钥。其中，N₈(KDC→C_ker)表示：跨域身份认证过程第八步N₈为KDC对请求方C_ker的请求确认；Key表示：KDC生成的跨域传输密钥；text₂表示：请求方C的身份信息

跨域传输密钥Key；Sign^KDC(text₂)表示：用KDC服务器跨域证书私钥对text₂进行签名；En^IBC(Sign^KDC(text₂)，text₂)表示：用请求方的公钥对Sign^KDC(text₂)，text₂两个参数利用非对称密码算法SM9进行加密；En^DES(Key,En^IBC(Sign^KDC(text₂)，text₂))表示：对Key，En^IBC(Sign^KDC(text₂)，text₂))两个参数利用对称密码算法DES进行加密。

请求方C_ker接收到N₈后，首先解析出传输密钥Key，在与接收方通信的过程中，使用传输密钥Key加密信息，接收方解析En^IBC(Sign^KDC(text₂)，text₂)数据包，验证签名有效，请求方身份信息有效，得到传输密钥Key，完成Kerberos到IBC的跨域首次认证过程。

步骤四：IBC到Kerberos跨域首次认证方法

IBC安全域中的节点首次发起跨域认证请求时，先向BCCA服务器发送请求，BCCA服务器按照跨域协议认证过程向Kerberos域BCAS服务器发送请求，并将Kerberos域KDC服务器的跨域证书发送给AS，BCAS转发跨域认证请求，KDC验证请求认证信息后，为认证接收方生成跨域证书发送回BCAS，并存储到联盟链上，KDC生成传输密钥分发给AS和认证接收方，AS转发传输密钥至认证请求方，完成整个跨域认证过程。基于联盟链的Kerberos与IBC跨域首次认证模型如图2所示，跨域认证方法中的符号含义如表1所示。IBC到Kerberos跨域首次认证方法具体描述如下：

(1)

含义：C_IBC向BCCA发送请求Request₁，请求验证Kerberos域S_ker的身份。其中，N₁ ^*(C_IBC→BCCA)表示：跨域身份认证过程第一步N₁ ^*为C_IBC向BCCA发起请求；

表示：Kerberos域认证接收方的身份信息；Request₁表示：请求方向BCCA发出的认证请求；

表示：对

Request₁两个参数利用非对称密码算法SM9进行加密。

(2)

含义：BCCA解密N₁，验证C_IBC身份合法，解析Request₁请求，查询S_ker所在域的证书服务器在联盟链中位置，对

和信任域参数M标记时间戳T₁，与代理证书Cert_BCCA、认证服务器跨域证书Cert_AS ^*和认证请求Request₂一起加密发至BCAS。其中，N₂ ^*(BCCA→BCAS)表示：跨域身份认证过程第二步N₂ ^*为BCCA向BCAS发起请求；Cert_BCCA表示：联盟链认证服务器的认证证书；Cert_AS ^*表示：IBC域认证服务器的跨域认证证书；text₁表示：请求方的打包信息，包括Kerberos域认证接收方的身份信息

域参数M、时间戳T₁；Request₂表示：BCCA向BCAS发送认证请求；En^SM2(Cert_BCCA,Cert_AS ^*,text₁,Request₂)表示：对Cert_BCCA，Cert_AS ^*，text₁，Request₂四个参数利用非对称密码算法SM2进行加密。

(3)

含义：BCCA在联盟链中查询S_ker所在域的KDC证书，并将此证书与请求方信息一同发送给AS。其中，N₃ ^*(BCCA→AS)表示：跨域身份认证过程第三步N₃ ^*为BCCA对AS进行信息同步；Cert_KDC ^*表示：KDC服务器的跨域证书；

表示：IBC域认证发起方的身份信息；

表示：对Cert_KDC ^*，

两个参数利用非对称密码算法SM9进行加密。

(4)

含义：BCAS将IBC域中AS的跨域证书和接收方信息发给KDC，并发出认证请求。其中，N₄ ^*(BCAS→KDC)表示：跨域身份认证过程第四步N₄ ^*为BCAS向KDC发起认证请求；Cert_BCAS表示：联盟链身份认证服务器的认证证书；Cert_AS ^*表示：AS服务器的跨域认证证书；

表示：Kerberos域认证接收方的身份信息；Request₃表示：BCAS向KDC发送验证请求；

表示：对Cert_BCAS，Cert_AS ^*，

Request₃四个参数利用非对称密码算法SM2进行加密。

(5)N₅ ^*(KDC→BCAS)：En^SM2(Cert_S ^*)

含义：KDC解密N₄ ^*，解析IBC域AS跨域证书及认证接收方身份信息，验证接收方身份信息，为接收方生成跨域证书并发送回BCCA，BCCA收到跨域证书后，上传至联盟链。其中，N₅ ^*(KDC→BCAS)表示：跨域身份认证过程第五步N₅ ^*为KDC对BCAS的请求确认；Cert_S ^*表示：接收方的跨域证书；En^SM2(Cert_S ^*)表示：对Cert_S ^*利用非对称密码算法SM2进行加密。

(6)

含义：KDC生成传输密钥，对C_IBC的身份信息和传输密钥进行签名，与接收方跨域证书一起发送给AS。其中，N₆ ^*(KDC→AS)表示：跨域身份认证过程第六步N₆ ^*为KDC对AS的请求确认；Key表示：KDC生成的跨域传输密钥；text₂表示：请求方C_IBC的身份信息和跨域传输密钥Key；Sign^KDC(text₂)表示：用KDC服务器与接收方S之间的密钥对text₂进行签名；En^SM2(Key,Sign^KDC(text₂),Cert_S ^*)表示：对Key，Sign^KDC(text₂)，Cert_S ^*三个参数利用非对称密码算法SM2进行加密。

(7)N₇ ^*(AS→C_IBC):En^SM9(Key,Cert_S ^*)

含义：AS解密N₆ ^*，转发传输密钥Key和接收方跨域证书Cert_S ^*至请求方C_IBC。其中，N₇ ^*(AS→C_IBC)表示：跨域身份认证过程第七步N₇ ^*为AS对C_IBC的请求确认；Key表示：KDC生成的跨域传输密钥；Cert_S ^*表示：接收方的跨域证书；En^SM9(Key,Cert_S ^*)表示：对Key，Cert_S ^*两个参数利用非对称密码算法SM9进行加密。

(8)

含义：KDC将C_IBC的身份信息和传输密钥加密传输给S_Ker。其中，N₈ ^*(KDC→S_Ker)表示：跨域身份认证过程第八步N₈ ^*为KDC向S_Ker发送认证信息；Key表示：KDC生成的跨域传输密钥；

表示：请求方C_IBC的身份信息；

表示：对Key,

两个参数利用对称密码算法DES进行加密。

请求方收到N₇ ^*后，解析出传输密钥Key；接收方收到N₈ ^*后，解析出传输密钥Key。双方使用此传输密钥Key进行通信，完成IBC到Kerberos的首次认证过程。

步骤五：Kerberos到IBC跨域重认证方法

Kerberos安全域中的节点请求认证一个已经经过跨域认证的IBC节点时，首先向KDC发起请求，KDC依靠BCAS查询区块链信息获取接收方的跨域证书，验证跨域证书的有效性后，分配传输密钥，即可完成身份认证的重认证过程。基于联盟链的Kerberos与IBC跨域重认证方法示意图如图3所示，跨域认证方法中的符号含义如表1所示。Kerberos到IBC跨域重认证方法具体描述如下：

(1)

含义：C_ker向KDC发送验证请求Request₁，验证S_IBC身份。其中，C_ker表示Kerberos域身份认证请求方；N₁(C_ker→KDC)表示：跨域身份认证过程第一步N₁为C_ker向KDC发起请求；

表示：Kerberos域请求方的身份信息；

表示：IBC域认证接收方的身份信息；Request₁表示：请求方向KDC发出的认证请求；

表示：对

Request₁三个参数利用对称密码算法DES进行加密。

(2)

含义：KDC验证C_ker身份，向BCAS发送验证请求Request₂，验证S_IBC的身份。其中，N₂(KDC→BCAS)表示：跨域身份认证过程第二步N₂为KDC向BCAS发起请求；Cert_KDC表示：KDC服务器的域内认证证书；

表示：IBC域认证接收方的身份信息；Request₂表示：KDC向联盟链身份认证服务器发送验证请求；

表示：对Cert_KDC,

Request₂三个参数利用非对称密码算法SM2进行加密。

(3)

含义：BCAS查询到接收方的跨域证书，将接收方跨域证书Cert_S ^*及接收方身份信息

发送给KDC。其中：N₃(BCAS→KDC)表示：跨域身份认证过程第三步N₃为BCAS对KDC的请求确认；Cert_S ^*表示：请求认证接收方的跨域证书；

表示：IBC域认证接收方的身份信息；

表示：对Cert_S ^*，

两个参数利用非对称密码算法SM2进行加密。

(4)

含义：KDC生成C_ker和S_IBC的传输密钥，向C_ker加密传输两组信息，一组为传输密钥，另一组为使用S_IBC公钥加密过的，KDC签名过的C_ker的身份信息和传输密钥。其中，N₄(KDC→C_ker)表示：跨域身份认证过程第四步N₄为KDC对请求方C_ker的请求确认；Key表示：KDC生成的跨域传输密钥；text₁表示：请求方C的身份信息

跨域传输密钥Key；Sign^KDC(text₁)表示：用KDC服务器跨域证书私钥对text₁进行签名；En^IBC(Sign^KDC(text₁)，text₁)表示：用请求方的公钥对Sign^KDC(text₁)，text₁两个参数利用非对称密码算法SM9进行加密；En^DES(Key,En^IBC(Sign^KDC(text₁)，text₁))表示：对Key，En^IBC(Sign^KDC(text₁)，text₁))两个参数利用对称密码算法DES进行加密。

请求方C_ker接收到N₄后，首先解析出传输密钥Key，在与接收方通信的过程中，使用传输密钥Key加密信息，接收方解析En^IBC(Sign^KDC(text₁)，text₁)数据包，验证签名有效，请求方身份信息有效，得到传输密钥Key，完成Kerberos到IBC的跨域重认证过程。

步骤六：IBC到Kerberos跨域重认证方法

IBC安全域中的实体节点请求认证一个已经经过跨域认证的Kerberos节点时，首先向BCCA请求跨域认证，BCCA查询到接收方跨域证书并检查有效性，从扩展项中读取KDC跨域证书号，直接向Kerberos域中的KDC服务器发起认证请求，KDC确认接收方身份，生成传输密钥并打包数据包分别传送给请求方和接收方，从而完成整个的跨域重认证过程。基于联盟链的Kerberos与IBC跨域重认证模型如图3所示，跨域认证方法中的符号含义如表1所示。IBC到Kerberos跨域重认证方法具体描述如下：

(1)

含义：C_IBC向BCCA发送请求Request₁，请求验证Kerberos域S_ker的身份。其中，N₁ ^*(C_IBC→BCCA)表示：跨域身份认证过程第一步N₁ ^*为C_IBC向BCCA发起请求；

表示：Kerberos域认证接收方的身份信息；Request₁表示：请求方向BCCA发出的认证请求；

表示：对

Request₁两个参数利用非对称密码算法SM9进行加密。

(2)

含义：BCCA解密N₁，验证C_IBC身份合法，解析Request₁请求，查询S_ker所在域的KDC服务器跨域证书，对

和信任域参数M标记时间戳T₁，与代理证书Cert_BCCA、认证服务器跨域证书Cert_AS ^*和认证请求Request₂一起加密发至KDC。其中，N₂ ^*(BCCA→KDC)表示：跨域身份认证过程第二步N₂ ^*为BCCA向KDC发起请求；Cert_BCCA表示：联盟链认证服务器的认证证书；Cert_C ^*表示：请求方的跨域认证证书；text₁表示：请求方的打包信息，包括Kerberos域认证接收方的身份信息

域参数M、时间戳T₁；Request₂表示：BCCA向BCAS发送认证请求；En^SM2(Cert_BCCA,Cert_C ^*,text₁,Request₂)表示：对Cert_BCCA，Cert_C ^*，text₁，Request₂四个参数利用非对称密码算法SM2进行加密。

(3)

含义：KDC生成传输密钥，对C_IBC的身份信息和传输密钥进行签名，与接收方跨域证书一起发送给C_IBC。其中，N₃ ^*(KDC→C_IBC)表示：跨域身份认证过程第三步N₃ ^*为KDC对C_IBC的请求确认；Key表示：KDC生成的跨域传输密钥；text₂表示：请求方C_IBC的身份信息和跨域传输密钥Key；Sign^KDC(text₂)表示：用KDC服务器与接收方S之间的密钥对text₂进行签名；En^SM2(Key,Sign^KDC(text₂),Cert_S ^*)表示：对Key，Sign^KDC(text₂)，Cert_S ^*三个参数利用非对称密码算法SM9进行加密。

(4)

含义：KDC将C_IBC的身份信息和传输密钥加密传输给S_Ker。其中，N₄ ^*(KDC→S_Ker)表示：跨域身份认证过程第四步N₄ ^*为KDC向S_Ker发送认证信息；Key表示：KDC生成的跨域传输密钥；

表示：请求方C_IBC的身份信息；

表示：对Key,

两个参数利用对称密码算法DES进行加密。

请求方收到N₃ ^*后，解析出传输密钥Key，验证KDC签名无误；接收方收到N₄ ^*后，解析出传输密钥Key。双方使用此传输密钥Key进行通信，完成IBC到Kerberos的重认证过程。

步骤七：撤销认证方法

在Kerberos安全域与IBC安全域间的跨域认证过程中，存储跨域证书至联盟链网络可以实现不同组织间达成证书数据的一致性。然而，当有安全域中实体失效或者退出认证域时，需要对已经注册的跨域证书进行撤销。在本技术中，仅删除本地的认证证书并不能完成实体证书的撤销，还需要将联盟链中的跨域认证证书一并进行撤销。

在联盟链中，区块数据一旦上链，无法进行更改，区块数据记录的是对跨域证书进行操作的过程，而最新的跨域认证证书存放在世界状态中。本发明设计的跨域认证证书中，每一个跨域证书是否被撤销由证书中Revoke字段值来确定。若Revoke值为false，则表示此跨域证书可用；若Revoke值为true，表示此跨域证书已被撤销。对于每个域中实体证书的撤销认证，需要实体所在域的记账节点提供背书并提交，才能在整个联盟链中达成共识，完成整个撤销过程。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明公开的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。

Claims (1)

1.一种基于联盟链的Kerberos与IBC安全域间跨域认证方法，其特征在于步骤如下：

步骤1：构建联盟链认证环境

基于联盟链的跨域身份认证环境使用联盟链实现跨域认证场景，Kerberos安全域设定一个联盟链身份认证服务器BCAS作为联盟链中的认证服务节点，IBC安全域设定一个联盟链证书服务器BCCA；在IBC和Kerberos安全域中，每个安全域节点首先完成在本域中的身份认证及授权，安全域内节点认证具备中心化的特点，由认证服务节点授权节点间的身份认证；跨域节点具备去中心化的特点，由联盟链上各节点共同协商维护联盟链信息作为跨域身份认证的凭证；

步骤2：跨域认证初始化

首先在不同的安全域之间搭建Fabric联盟链网络，不同安全域为不同智能制造企业或者组织实体加入；联盟链网络环境初始化包括以下内容：生成系统初始化的相关配置文件、启动排序节点、设置BCCA及BCAS作为记账节点并启动、创建通道、安装并实例化链码；网络环境建立成功后，生成KDC及AS的跨域证书并上链存储，Kerberos与IBC安全域的实体初始化完成；

步骤3：Kerberos到IBC跨域首次认证方法

Kerberos安全域中的节点首次发起跨域认证请求时，先向KDC服务器发送请求，KDC确认请求方身份，并向BCAS转发请求；BCAS查询联盟链账本中跨域证书信息，未找到接收方跨域证书，则向IBC域BCCA发起请求；IBC域BCCA接收到认证请求后，将认证请求转发给认证服务器AS，AS验证接收方身份，生成跨域证书发送到BCCA，BCCA上传跨域证书至联盟链；KDC服务器根据跨域证书验证接收方身份，分配传输密钥，完成整个跨域认证过程；

步骤4：IBC到Kerberos跨域首次认证方法

IBC安全域中的节点首次发起跨域认证请求时，先向BCCA服务器发送请求，BCCA服务器按照跨域协议认证过程向Kerberos域BCAS服务器发送请求，并将Kerberos域KDC服务器的跨域证书发送给AS，BCAS转发跨域认证请求，KDC验证请求认证信息后，为认证接收方生成跨域证书发送回BCAS，并存储到联盟链上，KDC生成传输密钥分发给AS和认证接收方，AS转发传输密钥至认证请求方，完成整个跨域认证过程；

步骤5：Kerberos到IBC跨域重认证方法

Kerberos安全域中的节点请求认证一个已经经过跨域认证的IBC节点时，首先向KDC发起请求，KDC依靠BCAS查询区块链信息获取接收方的跨域证书，验证跨域证书的有效性后，分配传输密钥，即可完成身份认证的重认证过程；

步骤6：IBC到Kerberos跨域重认证方法

IBC安全域中的实体节点请求认证一个已经经过跨域认证的Kerberos节点时，首先向BCCA请求跨域认证，BCCA查询到接收方跨域证书并检查有效性，从扩展项中读取KDC跨域证书号，直接向Kerberos域中的KDC服务器发起认证请求，KDC确认接收方身份，生成传输密钥并打包数据包分别传送给请求方和接收方，从而完成整个的跨域重认证过程；

步骤7：撤销认证方法

在联盟链中，区块数据一旦上链，无法进行更改，区块数据记录的是对跨域证书进行操作的过程，而最新的跨域认证证书存放在世界状态中；所述的跨域认证证书中，每一个跨域证书是否被撤销由证书中Revoke字段值来确定；若Revoke值为false，则表示此跨域证书可用；若Revoke值为true，表示此跨域证书已被撤销；对于每个域中实体证书的撤销认证，需要实体所在域的记账节点提供背书并提交，才能在整个联盟链中达成共识，完成整个撤销过程。

Images