CN1805341A - 跨安全域的网络认证和密钥分配方法 - Google Patents

Abstract

本发明公开了一种跨安全域的网络认证和密钥分配方法，采用基于令牌的单点登录，将一个验证服务器和若干应用服务器组成每个安全域，针对用户可能接入多个不同安全域中的应用服务器的需求，进行认证和密钥分配，其过程为：首先用户在本安全域内进行身份认证，获取与另一安全域中的应用服务器通信的服务令牌；接着用户在要接入的安全域中验证服务令牌，获得与应用服务器联机的服务；最后用户对应用服务器进行身份认证。实现该方法的系统包括客户接入子系统、应用服务子系统及一台验证服务器，该一台验证服务器完成用户身份认证和服务授权两项功能。本发明简化了网络认证过程，具有安全性和高效性，适用于分布式网络环境中跨安全域的认证和密钥分配。

Description

跨安全域的网络认证和密钥分配方法

技术领域

本发明属于通信网络安全技术领域，具体地说是一种适用于多种分布式网络环境的跨安全域的基于令牌的单点登录方法，它为用户接入分布式网络提供了只需进行一次身份认证，即可实现到对多个系统进行访问的跨安全域的认证和密钥分配服务，保证分布式协同工作的安全性和有效性。

背景技术

随着分布式网络的普及应用，网络接入安全问题也越来越受到关注。认证是网络接入安全的关键技术，它对于防止恶意攻击，保护合法用户的权益有极其重要的作用。认证包括两层含义：其一是身份认证，即确认网络中各通信主体身份的真实性，也就是验证信息的发送者是真正的，而不是假冒的；其二是信息完整性认证，即确认信息在传输和存储过程中未被窜改，重放等。以上两个方面都是一个安全的认证系统所要解决的问题。迄今，人们提出了许多网络认证协议，例如，互联网工程任务组IETF以征求意见稿形式RFC发布的影响较大、使用范围较广的认证系统有：美国麻省理工学院开发的Kerberos认证系统、美国前数字设备公司设计的SPX认证模型和德国Karlsruhe大学的欧洲系统研究所EISS研制的指数安全系统TESS。这些认证协议大部分在安全性和可行性方面不能令人满意，而且密钥的分配和管理也是一个严重的问题。

Kerberos系统是一种为TCP/IP网络设计的以可信任的第三方为基础的认证系统，最初是为校园网提供密钥分发和认证服务而开发的，现已广泛使用于分布式网络中。其最根本的缺陷是采用对称密码体制，不能提供抗否认认证机制并易于遭受口令猜测攻击；其次，Kerberos系统采用时戳防止重放攻击，较难实现系统中所有时钟同步并且在许可证有效时间内，重放攻击有可能奏效；再次，Kerberos认证中心KDC要保存大量共享密钥，给密钥管理带来了诸多问题。

SPX认证模型是美国前数字设备公司DEC在1993年提出的分布式系统安全体系DSSA中的认证和密钥分发系统DASS的模型，采用公钥密码体制，具有较高的安全性。其局限性是：(1)复杂度过高，不易实现；(2)采用键入口令的方式联机，尽管对口令进行了散列运算提高了安全性，但口令猜测攻击的威胁并未根除，特别当用户选择的口令不够强时，口令猜测攻击更有成功的可能；(3)SPX模型中时戳的使用方法同Kerberos系统类似，也要保持系统的时钟同步，防止重放攻击的能力较差。由于数字设备公司DEC的倒闭，SPX认证模型的研究丧失了技术支持力量，使其发展停滞不前。

指数安全系统TESS是基于离散指数本原元的一些相关的密码机制的工具集系统，它需要一个可信任的第三方提供证书服务。指数安全系统TESS使用基于身份的密码体制，简单而高效，给管理上带来很多便利之处。但由于TESS系统还未能证明多个非法用户合谋攻击方面所需要求解的方程组的难度相当于某个已知的难题，所以发展TESS系统取决于基于身份的密码方案的深入研究，同时其在平台移植，推广方面也有不少困难。因此指数安全系统TESS在一段时期内主要仍是学术界的课题。

目前的适用于分布式网络的认证技术大多是基于用户名、口令的，用户必须在每个系统中都拥有一组独立的用户名和口令，在进入不同的系统时要重新提交自己的身份标识来认证身份。由于大量的用户名和口令不便于用户的记忆，为此用户往往采用简单信息作为口令或设置相同的口令，这就给安全带来巨大的隐患，为此，管理者就需要创建多个用户数据库，自然给管理造成不便和繁琐。为了解决这种两难问题，近几年研究人员提出了一种安全性更强、效率更高的认证机制-单点登录机制SSO，即用户只需要在网络中主动进行一次身份认证，随后便可以访问其被授权的所有网络资源，而不需要再主动参与其他的身份认证过程。

发明的内容

本发明的目的在于克服上述已有技术的不足，基于单点登录机制SSO，提供一种跨安全域的网络认证和密钥分配方法，以适用于多种分布式网络环境，提高网络安全域之间认证和密钥分配的效率和安全性。

本发明的目的是这样实现的：

本发明的密码体制采用公钥密码体制，各通信主体以公钥证书cert做为身份标识，由于公钥证书可以辨别真伪，可以防止攻击者冒充合法用户潜入网络，窃取网络资源。

本发明的技术关键是采用服务令牌Token将用户的身份认证和服务授权有机结合起来，在对用户授权校验的同时进行了密钥分配。其具体方法是采用基于令牌的单点登录，将一个验证服务器和若干应用服务器组成每个安全域，针对用户可能接入多个不同安全域中的应用服务器的服务需求，按如下过程进行认证和密钥分配：

(1)用户登录，即用户在本安全域内进行身份认证，获取与另一安全域中的应用服务器通信的服务令牌；

(2)授权校验和密钥分配，即用户在要接入的安全域中验证服务令牌，获得与应用服务器联机的服务；

(3)用户对应用服务器进行认证。

上述网络认证和密钥分配方法，其中所述的用户登录过程如下：

(1)用户C通过发送其本身的公钥证书cert_c和用其本身的私钥签名挑战信息 ${\{N_c,A_1\}}_{S_C}$ 来证明自己的身份，

式中，N_c是用户生成的一次性随机数，用于防止重放攻击；

      A₁是验证服务器的身份信息；

(2)验证服务器A₁校验用户C的公钥证书后，发送验证服务器的公钥证书cert_a1和用验证服务器私钥签名的挑战信息 ${\{N_c+1,C,N_{a_1}\}}_{S_{A_1}}$

式中，N_c+1是验证服务器A₁对用户发出的挑战信息N_c的响应，

      N_a1是验证服务器A₁对用户发出的挑战；

(3)用户C校验验证服务器A₁的公钥证书后，发送信息 ${\{S_2,{\{A_1,C,K_{\mathrm{rand}},N_{a_1}+1,N_c^{\′}\}}_{S_C}\}}_{K_{a_1}},$ 向验证服务器A₁请求服务令牌，

式中，K_rand是用户产生的随机的一次性对称密钥

      A₁、C表明K_rand的拥有者

      N_a1+1是对N_a1的响应

      N_c′是C对A₁再次发出的挑战

      S₂表明用户C要接入的应用服务器；

(4)验证服务器A₁给通过身份认证的用户C提供服务令牌Token_c，并根据用户C发送的信息S₂确定S₂所在安全域的验证服务器A₂，生成用户C与验证服务器A₂的共享会话密钥K_c，a2，并用K_rand加密发送给用户C，即发送给用户C的信息为：

${\mathrm{Token}}_c,{\{N_c^{\′}+1,A_2,C,K_{c,a_2}\}}_{K_{\mathrm{rand}}},$

式中， ${\mathrm{Token}}_c={\{A_1,C,K_{c,a_2},N_{a_1}^{\′},\mathrm{lifetime}\}}_{K_{a_1,a_2}}$

        A₂、C表明共享密钥K_c，a2的拥有者

        N_c′+1是一次性随机数对N_c′的响应

服务令牌Token_c采用验证服务器A₁、A₂共享的会话密钥K_a1，a2加密，该令牌中的A₁表明令牌是由验证服务器A₁发放的，C表明令牌的拥有者，N_a1′是验证服务器A₁再次生成的一次性随机数，lifetime表明令牌Token_c的生存期。

上述网络认证和密钥分配方法，其中所述的授权校验和密钥分配过程如下：

(1)用户C通过提交服务令牌Token_c、身份信息及一次性随机数N_c″，向应用服务器S₂发出服务请求；

(2)应用服务器S₂将用户的服务令牌Token_c送回所在安全域的验证服务器A₂校验，同时向验证服务器A₂发送应用服务器S₂的公钥证书cert_s2以及用应用服务器S₂的私钥K_s2 ^-1签名的信息N_c″、S₂、C、N_s2；

(3)验证服务器A₂生成用户C和应用服务器S₂的共享会话密钥K_c，s2并发放给应用服务器S₂，同时使用用户C和验证服务器A₂共享的会话密钥K_c，a2加密会话密钥K_c，s2生成一个密钥副本 ${\{N_c^{\′\′}-1,C,S_2,K_{c,s_2}\}}_{k_{c,a_2}},$ 由应用服务器S₂转发给用户C。

上述网络认证和密钥分配方法，其中所述的用户对应用服务器的认证过程如下：

(1)应用服务器S₂向用户C转发所述的密钥副本 ${\{N_c^{\′\′}-1,C,S_2,K_{c,s_2}\}}_{K_{c,a_2}},$ 并且采用K_c，s2加密数据域N_c″+1、S₂、C、N_s2′作为信任状来相互印证，证明自己的身份；

(2)用户C收到所述的密钥副本后进行解密，获得与应用服务器S₂的共享会话密钥K_c，s2，再采用该共享会话密钥对信息N_s2+1进行加密，完成用户C和应用服务器S₂的双向认证，该N_s2′+1是用户C对应用服务器S₂发出的挑战信息N_s2′的响应。

实现上述方法的跨安全域的网络认证和密钥分配系统，包括：一台验证服务器和客户接入子系统、应用服务子系统。其中，一台验证服务器：用于完成对用户的身份认证和服务授权两项功能，并生成用户和应用服务器的会话密钥；客户接入子系统，用于完成将用户接入到验证服务器上；应用服务子系统，用于完成在收到用户的服务请求时，将用户的服务令牌送回验证服务器验证，并使用验证服务器生成的会话密钥，给用户提供服务。

本发明具有如下优点：

(1)本发明由于采用单点登录机制，使用户在网络接入过程中只需要进行一次身份认证，克服了分散认证的缺陷，保证认证的安全性和高效性。

(2)本发明由于使用令牌将身份认证和服务授权有机结合，实现了用户跨安全域的安全访问，同时免除由验证服务器存储其与用户的共享密钥，有效提高验证服务器的性能。

(3)本发明由于采用公钥证书替代用户名和口令作为通信主体的身份标识，避免了单钥密码体制下的口令猜测攻击。

(4)本发明由于通过发送公钥证书和用私钥签名的挑战信息来证明发方的身份，攻击者不知道发方的私钥而不能伪造其签名，因而有效防止攻击者窃取发方的公钥证书而进行的假冒攻击。

(5)本发明由于使用一次性随机数代替时戳来防止攻击者重放消息，同时避免了保持系统中所有时钟同步的问题；且在签名消息中绑定收方的身份信息，防止收方重放消息。

(6)本发明由于对会话密钥等重要信息均采用适当的密钥加密发送，保证了信息的机密性；同时采用先签名后加密的方法防止攻击者窜改消息，保证了信息的完整性。

附图说明

图1是本发明的系统示意图

图2是本发明的认证过程图

具体实施方式

以下参照附图对本发明作进一步详细描述。

参照图1，本发明的跨安全域网络认证和密钥分配系统包括：一台验证服务器和客户接入子系统、应用服务子系统。其中，客户接入子系统，由用户和代理服务器构成；应用服务子系统，由若干应用服务器组成。该系统的工作过程为：

首先，在客户接入子系统中，用户通过代理服务器接入到验证服务器上，并向验证服务器转发用户的公钥证书和用数字签名的用户身份信息，该代理服务器在认证过程中只起到“透传”作用，对用户的认证工作由验证服务器完成。

其次，验证服务器在收到用户的公钥证书和用数字签名的用户身份信息后，对用户的身份进行验证，即验证服务器校验用户的公钥证书是否已由证书权威机构CA或CA链签名以及证书是否在其生存期内，该验证可以通过检查周期性更新的证书撤销列表CRL或直接向证书权威机构CA查询实现；校验用户的身份后，验证服务器对通过身份认证的用户进行服务授权，即验证服务器给通过身份认证的用户发放一个服务令牌。

最后，用户凭借服务令牌向应用服务子系统中的某一应用服务器提出服务请求，该应用服务器将用户的服务令牌送回验证服务器校验真伪。验证服务器将为通过校验的用户和应用服务器生成它们共享的会话密钥，并将该会话密钥发送给应用服务器，应用服务器再将此会话密钥传送给用户；之后，用户就可使用该会话密钥与应用服务器进行通信，获得应用服务器提供的服务。此外，如有必要，用户也可以通过校验应用服务器的公钥证书来对应用服务器的身份进行验证，从而完成用户和应用服务器的双向认证。

上述系统可以构成一个分布式网络中的安全域，当用户登录网络时，用户与其所要通信的应用服务器分属于两个不同的安全域，这种不同安全域之间的认证和密钥分配可通过图2所述的认证和密钥分配方法进行。

参照图2，本发明的跨安全域之间的认证和密钥分配方法，按如下过程进行：

一.用户登录，即用户在它所在的安全域1内进行身份认证，获取与另一安全域2中的应用服务器通信的服务授权。用户登录的步骤为：

1.用户C通过发送它的公钥证书cert_c和用它的私钥签名的挑战信息 ${\{N_c,A_1\}}_{S_C}$ 来证明自己的身份，用数学方式可表示为：C→A₁： ${\mathrm{cirt}}_c,{\{N_c,A_1\}}_{S_C}.$ 其中，挑战信息中的N_c是用户生成的一次性随机数，用于防止重放攻击；A₁是安全域1的验证服务器的身份信息，用于防止A₁重放消息来欺骗第三方。数字签名可以确认消息的发送者是用户，防止攻击者窃取用户的公钥证书进行假冒攻击。

2.安全域1的验证服务器A₁校验用户C的公钥证书后，发送验证服务器的公钥证书cert_a1和用验证服务器私钥签名的挑战信息 ${\{N_c+1,C,N_{a_1}\}}_{S_{A_1}},$ 用数学方式可表示为：A₁→C：； ${\mathrm{cert}}_{a_1},{\{N_c+1,C,N_{a_1}\}}_{S_{a_1}}.$ 其中，N_c+1是验证服务器A₁对用户发出的挑战信息N_c的响应；N_a1是验证服务器A₁向用户发出的挑战信息；C表明信息的接收方是用户，可防止重放攻击；这两步均采用挑战一响应的方式发送信息来防止重放攻击。

3.用户C校验安全域1的验证服务器A₁的公钥证书后，向验证服务器A₁请求服务令牌，用户先使用它的私钥K_c ^-1对发送的信息进行数字签名，再使用验证服务器A₁的公钥K_a1对信息进行加密，因此只有验证服务器A₁才能查看信息息并且数字签名认证了用户C的身份，用数学方式可表示为：C→A₁： ${{\{S}_2,{\{A_1,C,K_{\mathrm{rand}},N_{a_1}+1,N_c^{\′}\}}_{S_C}\}}_{K_{a_1}}.$ 其中，签名消息中的K_rand是用户产生的随机的一次性对称密钥，它将被验证服务器A₁使用，用于对验证服务器A₁发给用户的响应消息进行加密；A₁、C表明K_rand的拥有者；N_a1+1是用户对验证服务器的一次性随机数N_a1的响应；N_c′是用户C对验证服务器A₁再次发出的挑战；加密消息中的S₂表明用户C要接入的应用服务器。

4.安全域1的验证服务器A₁给通过身份认证的用户C提供服务令牌Token_c，并根据用户C发送的信息S₂确定S₂所在安全域的验证服务器A₂，生成用户C与验证服务器A₂的共享会话密钥K_c，a2，并用K_rand加密该共享会话密钥K_c，a2发送给用户C，用数学方式可表示为：A₁→C： ${\mathrm{Token}}_c,{\{N_c^{\′}+1,A_2,C,K_{c,a_2}\}}_{K_{\mathrm{rand}}}.$ 加密消息中的A₂、C表明共享密钥K_c，a2的拥有者；N_c′+1是验证服务器A₁对用户发出的一次性随机数N_c′的响应。令牌Token_c的内容用数学式表示为： ${\mathrm{Token}}_c={\{A_1,C,K_{c,a_2},N_{a_1}^{\′},\mathrm{lifetime}\}}_{K_{a_1,a_2}}.$ 令牌中的A₁表明令牌的发放者是验证服务器A₁；C表明令牌的拥有者是用户；N_a1′是验证服务器A₁再次生成的一次性随机数；lifetime表明令牌Token_c的生存期，即令牌的有效时间范围。服务令牌Token_c采用验证服务器A₁、A₂共享的会话密钥K_a1，a2加密，用户不能解读信息，防止用户重建令牌。用户C与验证服务器A₂的共享会话密钥K_c，a2保存在令牌上，验证服务器A₁不保存，从而减轻了验证服务器A₁的负担。

二.授权校验和密钥分配，用户在要接入的安全域2中验证服务令牌，以获得与应用服务器联机的服务。授权校验和密钥分配的步骤依照用户登录过程步骤的次序为：

5.用户通过提交自身的服务令牌Token_c、身份信息C及一次性随机数N_c″，向安全域2中的应用服务器S₂发出服务请求，用数学方式可表示为：C→S₂：Token_c，C，N_c″。

6.安全域2中的应用服务器S₂将用户的服务令牌Token_c送回所在安全域的验证服务器A₂校验，同时发送应用服务器S₂的公钥证书cert_s2以及用应用服务器S₂的私钥K_s2 ^-1签名的信息 ${\{{\mathrm{Token}}_c,N_c^{\′\′},S_2,C,N_{s_2}\}}_{S_{S_2}}$ 来证明身份。公钥证书和数字签名相结合，防止攻击者进行假冒攻击，用数学方式可表示为：S₂→A₂： ${\mathrm{cert}}_{s_2},{\{{\mathrm{Token}}_c,N_c^{\′\′},S_2,C,N_{s_2}\}}_{S_{S_2}}.$ 其中，签名消息中的S₂确认了消息发送者是应用服务器S₂；Token_c、C、N_c″是应用服务器S₂向验证服务器A₂转发的用户发给它自身的消息；N_s2是应用服务器S₂生成的一次性随机数，用于防止重放攻击。

7.安全域2中的验证服务器A₂生成用户C和应用服务器S₂的共享会话密钥K_c，s2并发放给应用服务器S₂，同时使用用户C和验证服务器A₂共享的会话密钥K_c，a2加密会话密钥K_c，s2生成一个密钥副本 ${\{N_c^{\′\′}-1,C,S_2,K_{c,s_2}\}}_{k_{c,a_2}},$ 该密钥副本由应用服务器S₂转发给用户C。验证服务器A₂先使用自己的私钥K_a2 ^-1对信息进行签名，再使用应用服务器S₂的公钥K_s2对信息进行加密，保证了发方的不可否认性并且防止收方假冒，用数学式表示为：A₂→S₂： ${\{{\mathrm{cert}}_{a_2},{\{{\{N_c^{\′\′}-1,C,S_2,K_{c,s_2}\}}_{k_{c,a_2}},C,S_2,N_{s_2}\}}_{S_{A_2}}\}}_{K_{s_2}}.$ 其中，密钥副本 ${\{N_c^{\′\′}-1,C,S_2,K_{c,s_2}\}}_{k_{c,a_2}}$ 采用用户C和验证服务器A₂的共享密钥K_c，a2加密，只能由用户C解读，防止应用服务器S₂窜改消息；密钥副本中的C、S₂表明共享密钥K_c，s2的拥有者是用户和应用服务器S₂；N_c″-1是验证服务器A₂对用户C发出的挑战N_c″的响应。签名消息中的C、S₂表明了共享密钥K_c，s2的拥有者是用户和应用服务器S₂；N_s2+1是验证服务器A₂对应用服务器S₂发出的一次性随机数N_s2的响应。签名消息和公钥证书cert_a2共同证明了验证服务器A₂的身份。

三.用户对安全域2中的应用服务器S₂进行认证，认证步骤依照用户登录过程与授权校验和密钥分配过程步骤的次序为：

8.应用服务器S₂向用户C转发密钥副本 ${\{N_c^{\′\′}-1,C,S_2,K_{c,s_2}\}}_{K_{c,a_2}},$ 并且采用K_c，s2加密信息 ${\{N_c^{\′\′}+1,S_2,C,N_{s_2}^{\′}\}}_{K_{c,s_2}}$ 作为信任状来相互印证，证明自己的身份，用数学式可表示为：S₂→C： ${\{N_c^{\′\′}-1,C,S_2,K_{c,s_2}\}}_{K_{c,a_2}},$ ${\{N_c^{\′\′}+1,S_2,C,N_{s_2}^{\′}\}}_{K_{c,s_2}}.$ 其中，S₂和C表明共享密钥K_c，s2的拥有者是用户和应用服务器S₂；N_c″+1是应用服务器S₂对用户C发出的一次性随机数N_c″的响应；N_s2′是应用服务器S₂向用户C发出的再次挑战。

9.用户C收到密钥副本，并解密获得用户与应用服务器S₂的共享会话密钥K_c，s2。采用该共享会话密钥K_c，s2对信息N_s2′+1进行加密，完成用户C和应用服务器S₂的双向认证，用数学式可表示为：C→S₂： ${\{N_{s_2}^{\′}+1\}}_{K_{c,s_2}}.$ 其中，N_s2′+1是用户C对应用服务器S₂发出的挑战信息N_s2′的响应。

上述用户登录过程中的步骤1和步骤2只有在用户登录时执行，若用户需要接入多个不同安全域的应用服务器时，只需从步骤3开始执行。用户登录时所在安全域1的验证服务器A₁通过步骤3中的信息S₂判断用户要接入哪个安全域，并为用户发送用户与该域验证服务器A₂共享的会话密钥K_c，a2和服务令牌Token_c。若用户需要获取同一安全域的不同服务器的服务时，不用再申请其他的服务授权，只需从步骤5开始执行。

本发明实施过程中所使用的符号解释如下：

C：用户；

cert_c：用户的公钥证书；

A₁、S₁：安全域1中的验证服务器和应用服务器；

A₂、S₂：安全域2中的验证服务器和应用服务器；

cert_a1、cert_a2：安全域1中的验证服务器、安全域2中的验证服务器的公钥证书；

cert_s2：安全域2中的应用服务器的公钥证书；

K_ca、K_ca ^-1：证书授权机构的公钥和私钥；

K_c、K_c ^-1：用户的公钥和私钥；

K_s2、K_s2 ^-1：安全域2中的应用服务器的公钥和私钥；

K_a1、K_a1 ^-1：安全域1中的验证服务器A₁的公钥和私钥；

K_a2、K_a2 ^-1：安全域2中的验证服务器A₂的公钥和私钥；

K_a1，a2：验证服务器A₁和A₂的共享会话密钥；

K_c，a2用户和安全域2中的验证服务器A₂的共享会话密钥；

K_c，s2：用户和安全域2中的应用服务器S₂的共享会话密钥；

K_rand：用户生成的随机的一次性对称密钥；

T_okenc：验证服务器A₁授予用户C的服务令牌；

N_c、N_c′、N_c″：用户生成的一次性随机数：

N_a1、N_a1′：安全域1中的验证服务器A₁生成的一次性随机数；

N_s2、N_s2′：安全域2中的应用服务器S₂生成的一次性随机数；

{M}_k：用密钥K加密消息M；

{M}_SC：使用用户C的私钥K_c ^-1对M的数字签名；

{M}_SA1：用验证服务器A₁的私钥K_a1 ^-1对M的数字签名；

{M}_SA2：用验证服务器A₂的私钥K_a2 ^-1对M的数字签名；

{M}_SS2：用应用服务器S₂的私钥K_s2 ^-1对M的数字签名；

lifetime：Token_c的生存期；

数学式中的逗号表示：连接符。

Claims (6)

1.一种跨安全域的网络认证和密钥分配方法，其特征在于采用基于令牌的单点登录，将一个验证服务器和若干应用服务器组成每个安全域，针对用户可能接入多个不同安全域中的应用服务器的服务需求，进行认证和密钥分配，其过程如下；

(1)用户登录，即用户在本安全域内进行身份认证，获取与另一安全域中的应用服务器通信的服务令牌；

(2)授权校验和密钥分配，即用户在要接入的安全域中验证服务令牌，获得与应用服务器联机的服务；

(3)用户对应用服务器进行认证。

2.根据权利要求1所述的方法，其特征在于用户登录的过程如下：

(1)用户C通过发送其本身的公钥证书cert_c和用其本身的私钥签名挑战信息{N_c，A₁}_Sc来证明自己的身份，

式中，N_c是用户生成的一次性随机数，用于防止重放攻击；

A₁是验证服务器的身份信息；

(2)验证服务器A₁校验用户C的公钥证书后，发送验证服务器的公钥证书cert_a1和用验证服务器私钥签名的挑战信息{N_c+1，C，N_a1}_sA1，

式中，N_c+1是验证服务器A₁对用户发出的挑战信息N_c的响应，

N_a1是验证服务器A₁对用户发出的挑战；

(3)用户C校验验证服务器A₁的公钥证书后，发送信息{S₂，{A₁，C，K_rand，N_a1+1，N_c′}_Sc}_Ka1，向验证服务器A₁请求服务令牌，式中，K_rand是用户产生的随机的一次性对称密钥

A₁、C表明K_rand的拥有者

N_a1+1是对N_a1的响应

N_c′是C对A₁再次发出的挑战

S₂表明用户C要接入的应用服务器；

(4)验证服务器A₁给通过身份认证的用户C提供服务令牌Token_c，并根据用户C发送的信息S₂确定S₂所在安全域的验证服务器A₂，生成用户C与验证服务器A₂的共享会话密钥K_c，a2，并用K_rand加密发送给用户C，即发送给用户C的信息为：Token_c，{N_c′+1，A₂，C，K_c，a2}_Krand，

式中，Token_c＝{A₁，C，K_c，a2，N_a1′，lifetime}_Ka1，a2

A₂、C表明共享密钥K_c，a2的拥有者

N_c′+1是一次性随机数对N_c′的响应

服务令牌Token_c采用验证服务器A₁、A₂共享的会话密钥K_a1，a2加密，该令牌中A₁表明令牌是由验证服务器A₁发放的，C表明令牌的拥有者，N_a1′是验证服务器A₁再次生成的一次性随机数，lifetime表明令牌Token_c的生存期。

3.根据权利要求1所述的方法，其特征在于授权校验和密钥分配过程如下：

(1)用户C通过提交服务令牌Token_c、身份信息及一次性随机数N_c″，向应用服务器S₂发出服务请求；

(2)应用服务器S₂将用户的服务令牌Token_c送回所在安全域的验证服务器A₂校验，同时向验证服务器A₂发送应用服务器S₂的公钥证书cert_s2以及用应用服务器S₂的私钥K_s2 ^-1签名的信息N_c″、S₂、C、N_s2；

(3)验证服务器A₂生成用户C和应用服务器S2的共享会话密钥K_c，s2并发放给应用服务器S₂，同时使用用户C和验证服务器A₂共享的会话密钥K_c，a2加密会话密钥K_c，s2生成一个密钥副本{N_c″-1，C，S₂，K_c，s2}k_c，a2，由应用服务器S₂转发给用户C。

4.根据权利要求1所述的方法，其特征在于用户对应用服务器的认证过程如下：

(1)应用服务器S₂向用户C转发所述的密钥副本{N_c″-1，C，S₂，K_c，s2}_kc，a2，并且采用K_c，s2加密数据域N_c″+1、S₂、C、N_s2′作为信任状来相互印证，证明自己的身份；

(2)用户C收到所述的密钥副本后进行解密，获得与应用服务器S₂的共享会话密钥K_c，s2，再采用该共享会话密钥对信息N_s2′+1进行加密，完成用户C和应用服务器S₂的双向认证，该N_s2′+1是用户C对应用服务器S₂发出的挑战信息N_s2′的响应。

5.一种实现权利要求1方法的跨安全域网络认证和密钥分配系统，包括：

一台验证服务器：用于完成对用户的身份认证和服务授权两项功能，并生成用户和应用服务器的会话密钥；

客户接入子系统，用于完成将用户接入到验证服务器上；

应用服务子系统，用于完成在收到用户的服务请求时，将用户的服务令牌送回验证服务器验证，并使用验证服务器生成的会话密钥，给用户提供服务。

6.根据权利要求5所述的系统，其特征在于验证服务器通过令牌实现了对用户的身份认证和服务授权，首先通过检查周期性更新的证书撤销列表CRL或直接向证书权威机构CA查询来校验用户的公钥证书的真伪及有效性；之后，给通过身份认证的用户发放一个服务令牌，用户凭借此令牌可以访问系统中的任一应用服务器，而不需要再进行身份认证。

Images