CN103780618A - 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 - Google Patents
一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 Download PDFInfo
- Publication number
- CN103780618A CN103780618A CN201410028603.2A CN201410028603A CN103780618A CN 103780618 A CN103780618 A CN 103780618A CN 201410028603 A CN201410028603 A CN 201410028603A CN 103780618 A CN103780618 A CN 103780618A
- Authority
- CN
- China
- Prior art keywords
- territory
- user
- pki
- resource
- kerberos
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,其做法主要是:首先,利用基于公钥认证机制的分布式信任模型,在PKI域的认证中心CA与Kerberos域的认证服务器AS之间建立起第一级信任关系;在此基础上,由CA(或AS联合TGS)生成并分发外域用户访问本域资源的授权票据,并通过设计基于对称密钥密码体制的双向跨域认证及密钥协商协议,建立起外域用户访问本域资源之间的第二级信任关系。在满足各级安全需求的前提下,有效降低了终端计算量与通信量,可完全避免Kerberos域终端的公钥加解密运算,在动态分布式***跨异构域身份认证过程中具有良好的可实施性;身份认证的同时完成会话密钥协商,协议效率高。
Description
技术领域
本发明涉及信息安全技术领域中一种跨异构域的认证与密钥协商协议,可用于云计算及云存储网络、敏捷制造、虚拟组织等分布式***中用户跨异构域访问资源时的身份认证以及会话密钥协商。
背景技术
在云计算及云存储网络、敏捷制造、虚拟组织等分布式***中,资源、用户往往处于不同的信任域中,不同的信任域可能采用不同的认证机制,如基于非对称密码的PKI(公钥基础设施)认证机制、基于对称密码的Kerberos(私钥认证体制)认证机制以及基于身份或无证书公钥密码的认证机制。这些采用不同认证机制的不同信任域称为异构域。前两类认证机制因其理论安全性和成熟的技术标准已被广泛应用。在分布式***中,随时存在着用户跨域访问资源的活动,为保证资源的安全有效共享并满足异构域的互联互通,需要构造安全可行的跨异构域,身份认证及会话密钥协商方法(简称认证密钥协商)。PKI和Kerberos两类认证机制,因其理论安全性和成熟的技术标准已被广泛应用,因此,采用PKI认证机制的PKI(公钥基础设施)域与Kerberos认证机制的Kerberos(私钥认证体制)域之间的认证密钥协商显得尤为重要。现有的PKI域与Kerberos域之间的认证密钥协商方法主要有:
文献1“一种基于PKI技术的跨异构域认证模型”(姚瑶,王兴伟,蒋定德,周福才.东北大学学报,2011,32(5):638-641)采用桥权威机构组BCAG作为可信第三方实现PKI域和Kerberos域之间的交互认证,当用户跨域访问资源时,需要遵循资源所在域的认证方式完成身份认证,该方案能基本解决跨PKI域和Kerberos域之间的交互认证,但建立BCAG的开销巨大,不适合动态分布式***临时性、动态性、低成本的特点;另外,当Kerberos域用户访问PKI域资源时,需要采用公钥密码算法实现身份认证,导致计算及存储资源受限的Kerberos域用户难以胜任,在实际应用中可行性不高。
文献2“An inter-domain authentication scheme for pervasive computing environment”(LinYao,Lei Wang,Xiangwei Kong,Guowei Wu,Feng Xia.Computers and Mathematics withApplications,2010,60:234–244)提出了一个普适环境下的跨域认证与密钥协商协议,采用生物加密技术完成不同域中用户的双向认证,并采用签密技术实现通信双方的会话密钥分发。但该方案中,一方面,身份认证与密钥协商需分步实现,身份认证在1-7步骤实现,会话密钥协商在第8-12步骤实现,通信量较大;另一方面,该协议中各通信实体需要进行多次公钥加解密运算,访问者、被访问者、访问域的认证服务器、被访问域的认证服务器分别需要进行6、5、5、8次公钥加解密运算,计算量和通信量大,效率较低,并且对于采用对称密码算法的Kerberos域用户难以实现。
发明内容
本发明的目的是提供一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,该方法能有效适应多种安全域并存,终端计算能力参差不齐的动态分布式***环境。
本发明实现其发明目的所采用的第一种技术方案是:
一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,其步骤包括:首先,PKI(公钥基础设施)域中的认证中心CA与Kerberos(私钥认证体制)域中的认证服务器AS通过公钥证书进行交互认证;然后,Kerberos域的用户和PKI域的资源通过访问授权票据进行交互认证和会话密钥协商,其特征在于:
所述的Kerberos域的用户和PKI域的资源通过访问授权票据进行交互认证和会话密钥协商的具体方法是:
A1、访问授权票据请求
Kerberos域的用户向认证服务器AS提出跨域访问资源的认证请求,认证服务器AS对Kerberos域的用户身份进行认证,若认证未通过则转步骤A4;否则,向PKI域的认证中心CA发送访问授权票据请求;
A2、访问授权票据生成和发放
认证中心CA验证认证服务器AS的身份,若验证未通过则转步骤A4;否则,生成Kerberos域的用户访问PKI域的资源的会话密钥、包括该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给认证服务器AS;认证服务器AS解密出会话密钥和访问授权票据并验证其有效性,若验证不通过则转步骤A4;否则,将会话密钥和访问授权票据打包加密并发送给Kerberos域的用户;
A3、双向身份认证及会话密钥协商
Kerberos域的用户解密提取出会话密钥和访问授权票据,验证其有效性,若验证未通过则转步骤A4,否则将自己的身份信息用该会话密钥加密后并连同访问授权票据一起发送给PKI域的资源;PKI域的资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出用户的身份信息并验证用户身份的有效性,若验证未通过则转步骤A4,否则将自己的身份信息用该会话密钥加密发送给Kerberos域的用户;Kerberos域的用户用会话密钥解密出资源的身份信息并验证资源身份的有效性,若验证未通过则转步骤A4;否则,Kerberos域的用户利用该会话密钥安全访问PKI域的资源;
A4、终止会话。
与现有技术相比,本发明第一种技术方案的有益效果是:
本发明的这种技术方案适用于Kerberos域的用户访问PKI域的资源时的身份认证及会话密钥协商。
由于CA和AS作为认证服务器,具有较高的安全要求和较强的计算能力,而终端用户特别是Kerberos域用户计算能力较低,因此利用基于公钥证书的认证方式构建认证中心CA与认证服务器AS间的第一级信任关系。在此基础上,以认证中心CA与认证服务器AS作为各自域对外认证的信任锚节点,生成外域用户访问本域资源的访问授权票据,当Kerberos域用户访问PKI域资源时,由PKI域的认证中心CA生成Kerberos域用户访问PKI域资源的访问授权票据,并由用户所在的Kerberos域认证服务器AS安全转发给用户,进而建立起用户与被访问资源间的基于对称密钥密码体制的第二级信任关系。
总之,本发明的这种分级认证方案能有效适应动态分布式***异构性的特点,且满足不同信任域对计算能力与安全功能的不同需求;同时,在Kerberos域用户访问PKI域资源时,既保证了其安全性,又降低了计算复杂度。
上述的A1步骤中:
所述的Kerberos域的用户向认证服务器AS提出跨域访问PKI域资源的认证请求时的请求消息MA1为:
其中IDU表示用户的身份标识,IDS表示PKI域资源的身份标识,T1表示用户U产生的时间戳,kU,AS表示用户U和认证服务器AS的共享对称密钥,表示用共享对称密钥kU,AS对{IDU,IDS,T1}加密;
所述的认证服务器AS对Kerberos域的用户身份进行认证的具体做法是:
认证服务器AS接收到请求消息M1后,用kU,AS解密得到用户的解密身份标识ID’U、解密的时间戳T’1;当解密身份标识ID’U与请求消息M1中明文的用户的身份标识IDU一致且解密的时间戳T’1具有新鲜性,则认证通过,否则,认证不通过;
所述的认证服务器AS向PKI域的认证中心CA发送访问授权票据请求的具体做法是:
认证服务器AS产生新的时间戳T2,向资源所在域的认证中心CA发送访问授权票据请求MA2:
其中IDAS表示认证服务器的身份标识,IDCA表示认证中心的身份标识,表示认证服务器AS用私钥SKAS对消息{IDAS,IDCA,IDU,IDS,T2}的签名,表示用认证中心CA的公钥PKCA对消息加密;
上述的A2步骤中:
所述的认证中心CA验证认证服务器AS的身份的具体做法为:
认证中心CA收到MA2后,用私钥SKCA解密MA2,解密得到认证服务器AS的签名SIGNAS及时间戳T2,若验证签名SIGNAS正确,并且T2是具有新鲜性,则认证服务器AS的身份验证通过,否则验证不通过;
所述的认证中心CA生成Kerberos域的用户访问PKI域的资源的会话密钥、包括该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给认证服务器AS的具体做法为:
认证中心CA产生Kerberos域的用户和PKI域的资源之间的会话密钥kU,S及其使用期限lt(kU,S的起止时间),新的时间戳T3,认证中心CA为Kerberos域用户生成的用于访问PKI域资源的访问授权票据TKT,作为认证中心CA信任Kerberos域用户的凭证:
然后,认证中心CA生成消息MA3发送给认证服务器AS:
所述的认证服务器AS解密出会话密钥和访问授权票据并验证其有效性的具体做法是:
认证服务器AS用私钥SKAS解密MA3得到证认证中心CA签名及时间戳T3,验证的有效性和T3的新鲜性,若有效性且T3新鲜,,则验证通过,否则不通过;将解密得到的kU,S、lt、TKT连同认证服务器AS新产生的时间戳T4一起用Kerberos域用户和认证服务器AS之间的共享密钥kU,AS加密作为消息MA4发送给用户:
其中,HASH表示{IDU,IDS,kU,S,lt,TKT,T4}的哈希摘要值,表示用Kerberos域用户与认证服务器AS的共享对称密钥kU,AS对{IDU,IDS,kU,S,lt,TKT,T4,HASH}加密;
上述的A3步骤中:
所述的Kerberos域的用户解密提取出会话密钥和访问授权票据,验证其有效性的具体做法是:
Kerberos域用户用kU,AS解密MA4得到Kerberos域的用户身份信息ID’U、PKI域资源的身份信息ID’S及时间戳T’4,若解密出的Kerberos域的用户的身份信息ID’U及PKI域资源的身份信息ID’S与自己和PKI域资源的身份标志一致,并且T4具有新鲜性,则验证通过,并认为kU,S、lt、TKT有效,否则不通过。
所述的Kerberos域的用户将自己的身份信息用该会话密钥加密后并连同访问授权票据一起发送给PKI域的资源的具体做法是:
Kerberos域的用户产生新的时间戳T5连同自己的身份信息IDU用kU,S加密后,再加入TKT作为消息MA5发送给资源:
所诉的PKI域的资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出用户的身份信息并验证用户身份的有效性,其具体做法是:
PKI域的资源收到MA5后,首先用自己的私钥SKS解密TKT,得到认证中心CA的签名及有效期lt’,验证认证中心CA的签名是否正确以及lt’的是否有效。若验证通过,则认为解密TKT得到的kU,S有效并存储。然后,利用kU,S解密消息得到Kerberos域用户的身份标识ID’U以及时间戳T’5,验证ID’U是否和TKT中的IDU一致,并验证T’5是否具有新鲜性,若验证都通过则认为Kerberos域用户的身份是有效的。
所述的PKI域的资源将自己的身份信息用该会话密钥加密发送给Kerberos域用户,其作法是:
PKI域资源生成新的时间戳T6,用会话密钥kU,S加密{IDS,T6},向Kerberos域用户发送一条确认消息MA6:
所述的Kerberos域的用户用会话密钥解密出PKI域资源的身份信息并验证PKI域资源身份的有效性,具体作法是:
Kerberos域的用户收到MA6后,用会话密钥kU,S解密MA6,得到PKI域资源的身份标识ID’S以及时间戳T’6,若解密结果ID’S正确且T’6新鲜即可确认资源的有效性。随后,Kerberos域用户和PKI域资源之间即可利用会话密钥kU,S实现安全通信。
在Kerberos域用户访问PKI域资源时采用如上的具体做法,其优点是:
在第二级信任关系建立过程中,采用访问授权票据的方式可以实现用户和资源之间基于对称密码体制的双向认证。本方法各通信实体(用户U/资源S/认证服务器AS/认证中心CA)的公钥加解密运算次数分别为0/2/4/4次,而文献[1]中Kerberos域用户访问PKI域资源时各通信实体(用户U/资源S/认证服务器AS/认证中心CA)分别需要进行4/2/2/5次公钥加解密运算,文献[2]各通信实体(访问者A/被访问者B/访问域认证服务器SA/被访问域认证服务器SB)则分别需要进行6/5/5/8次公钥加解密运算。可以看出,本方法终端实体的公钥加解密运算量得到显著降低,尤其是Kerberos域终端实体(用户U)的公钥计算量减少为0。因此本方法在Kerberos域用户访问PKI域资源的交互认证过程中具有更好的可实施性。
由于在访问授权票据中不仅包含了认证和授权相关信息,还有经加密的安全会话密钥,在同一个逻辑步骤内实现了身份认证和会话密钥协商。相对于文献[1]只实现了身份认证,以及文献[2]中先在步骤1-7实现身份认证,再在步骤8-12实现会话密钥协商,本方法总共只需要6步骤即可实现身份认证与会话密钥协商,进一步降低了终端用户的计算量和通信量,简化了协议流程,具有更高的效率。
本发明实现其发明目的所采用的第二种技术方案是:
一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,其步骤包括:首先,PKI(公钥基础设施)域中的认证中心CA与Kerberos(私钥认证体制)域中的认证服务器AS通过公钥证书进行交互认证;然后,PKI域的用户和Kerberos域的资源通过访问授权票据进行交互认证和会话密钥协商;其特征在于:
所述的PKI域的用户和Kerberos域的资源通过访问授权票据进行交互认证的具体方法是:
B1、票据授予票据请求
PKI域的用户向认证中心CA提出跨域访问资源的请求,认证中心CA对PKI域的用户身份进行认证后,向Kerberos域的认证服务器AS提出访问Kerberos域资源的请求;
B2、票据授予票据生成和发放
认证服务器AS验证认证中心CA的身份,若验证不通过则转步骤B6;否则,生成PKI域的用户访问Kerberos域的票据授予服务器TGS的对称密钥、包含该对称密钥的票据授权票据,并打包加密发送给认证中心CA;认证中心CA解密出对称密钥和票据授权票据并验证其有效性,若验证不通过则转步骤B6;否则,将对称密钥和票据授权票据打包加密发送给PKI域的用户;
B3、访问授权票据请求
PKI域的用户解密提取出对称密钥和票据授权票据,验证票据授权票据和认证中心CA身份的有效性,若验证不通过则转步骤B6;否则,用该对称密钥加密自己的身份信息连同票据授予票据一起作为跨域访问Kerberos域资源的请求,发送给票据授予服务器TGS;
B4、访问授权票据生成和发放
票据授予服务器TGS解密获得对称密钥,用此对称密钥解密出PKI域用户的身份信息并对PKI域用户身份进行认证,若认证不通过则转步骤B6;否则,生成PKI域用户访问Kerberos域资源的会话密钥和包含该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给用户;
B5、双向身份认证及会话密钥协商:PKI域用户解密提取出会话密钥和访问授权票据,验证其有效性,若验证不通过则转步骤B6;否则,将自己的身份信息用该会话密钥加密后连同访问授权票据一起发送给Kerberos域资源;Kerberos域资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出PKI域用户的身份信息并验证PKI域用户身份的有效性,然后将自己的身份信息用该会话密钥加密发送给PKI域用户;PKI域用户用该会话密钥解密出资源的身份信息并验证资源身份的有效性后,若验证通过则可利用该会话密钥安全访问Kerberos域资源,否则转步骤B6;
B6、终止会话。
与现有技术相比,本发明第二种技术方案的有益效果是:
本发明的这种技术方案适用于PKI域的用户访问Kerberos域的资源时的身份认证及会话密钥协商。
由于CA和AS作为认证服务器,具有较高的安全要求和较强的计算能力,而终端用户特别是Kerberos域用户计算能力较低,因此利用基于公钥证书的认证方式构建认证中心CA与认证服务器AS间的第一级信任关系。在此基础上,以认证中心CA与认证服务器AS作为各自域对外认证的信任锚节点,生成外域用户访问本域资源的访问授权票据,当PKI域用户访问Kerberos域资源时,首先由Kerberos域的AS为用户生成访问TGS的票据授予票据,并由用户所在域的CA安全转发给用户,再由TGS生成用户访问资源的访问授权票据,进而建立起用户与被访问资源间的基于对称密钥密码体制的第二级信任关系。
总之,本发明的这种分级认证方案能有效适应动态分布式***异构性的特点,且满足不同信任域对计算能力与安全功能的不同需求;同时,在PKI域用户访问Kerberos域资源时,既保证了其安全性,又降低了计算复杂度。
上述的B1步骤中:
所述的PKI域的用户向认证中心CA提出跨域访问资源的请求,请求消息MB1为:
所述的认证中心CA对PKI域的PKI域用户身份进行认证后,向Kerberos域的认证服务器AS提出访问Kerberos域资源的请求,具体作法是:
认证中心CA收到MB1后,用私钥SKCA解密MB1,得到PKI域用户的签名SIGNU以及时间戳T1,验证SIGNU的有效性和T1的新鲜性。若验证通过,生成新的时间戳T2,向Kerberos域的认证服务器AS发送跨域认证请求消息MB2:
上述的B2步骤中:
所述的认证服务器AS验证认证中心CA的身份,若验证不通过则转步骤B6;否则,生成PKI域的用户访问Kerberos域的票据授予服务器TGS的对称密钥、包含该对称密钥的票据授权票据,并打包加密发送给认证中心CA,其具体做法是:
认证服务器AS收到MB2后,用自己的私钥SKAS解密MB2,得到证认证中心CA签名以及时间戳T2,验证的有效性和T2的新鲜性,若验证通过,认证服务器AS产生PKI域的用户和票据授予服务器TGS之间的对称密钥kU,TGS及其使用期限lt1(kU,TGS的起止时间),以及票据授予票据并生成消息MB3发送给认证中心CA:
其中,HASH1表示{IDU,kU,TGS,lt1}的哈希摘要值,表示用认证服务器AS和TGS之间的对称密钥kAS,TGS加密{IDU,kU,TGS,lt1,HASH1},表示用认证服务器AS的私钥SKAS对{IDAS,IDCA,IDU,IDS,kU,TGS,lt1,TGT,T3}签名,表示用认证中心CA的公钥PKCA对加密;
所述的认证中心CA解密出对称密钥和票据授权票据并验证其有效性,若验证不通过则转步骤(B6);否则,将对称密钥和票据授权票据打包加密发送给PKI域的用户,其具体作法是:
认证中心CA收到MB3后,用自己的私钥SKCA解密MB3,得到认证服务器AS签名以及时间戳T’3,验证认证服务器AS签名是否正确,并验证T’3是否具有新鲜性;验证通过后,取出kU,TGS、lt1、TGT,并产生的新的时间戳T4,生成消息MB4发送给PKI域的用户:
上述的B3步骤中:
所述的PKI域的用户解密提取出对称密钥和票据授权票据,验证票据授权票据和认证中心CA身份的有效性,其具体作法是:
所述的PKI域中用户用该对称密钥加密自己的身份信息连同票据授予票据一起作为跨域访问资源的请求,发送给票据授予服务器TGS,具体作法是:
PKI域中用户产生新产生的时间戳T5,生成消息MB5发送给票据授予服务器TGS:
上述的B4步骤中:
所述的票据授予服务器TGS解密获得对称密钥,用此对称密钥解密出用户的身份信息并对用户身份进行认证,其具体作法是:
票据授予服务器TGS收到MB5后,首先用AS与TGS之间的共享密钥kAS,TGS解密票据授予票据TGT,然后计算{IDU,kU,TGS,lt1}的哈希值,验证是否与收到的HASH1相等;如果相等,则认为对称密钥kU,TGS有效,并用该密钥解密得到PKI域用户的身份标识ID’U,验证ID’U与收到的IDU是否一致,并验证T’5是否具有新鲜性,若验证通过,则证明PKI域用户的真实性及票据的有效性;
所述的票据授予服务器TGS生成用户访问Kerberos域资源的会话密钥和包含该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给PKI域用户,具体做法是:
其中,TKT中的HASH2表示对{IDU,kU,S,lt2}的哈希值,表示用票据授予票据TGS和Kerberos域资源的共享密钥对{IDU,kU,S,lt2,HASH2}加密,MB6中的HASH3表示{IDS,kU,S,lt2,T6}的哈希值;
上述的B5步骤中:
所述的PKI域用户解密提取出会话密钥和访问授权票据,验证其有效性,具体作法是:
用户收到MB6后,用kU,TGS解密并得到时间戳T’6以及哈希值HASH’,验证T’6是否具有新鲜性,然后计算{IDS,kU,S,lt2,T6}的哈希值,验证该值是否与解密得到的HASH’相等;若相等则认为会话密钥kU,S有效并保存用于与资源进行交换;
所述的用户将自己的身份信息用该会话密钥加密后连同访问授权票据一起发送给资源,其发送的消息为MB7:
所述的Kerberos域资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出PKI域用户的身份信息并验证用户身份的有效性,然后将自己的身份信息用该会话密钥加密发送给PKI域用户,其具体作法是:
资源收到消息MB7后,用kTGS,S解密访问授权票据TKT,得到哈希值HASH’2,然后计算{IDU,kU,S,lt2}的哈希值,验证其是否与HASH’2相等,若相等则认为kU,S有效;进而用kU,S解密,得到PKI域用户的身份标识的ID’U以及时间戳T’7,验证ID’U是否与TKT中的IDU一致,并验证T’7的新鲜性;若验证通过,资源生成新的时间戳T8,用会话密钥kU,S加密{IDS,T8},向PKI域用户发送一条确认消息:
所述的PKI域用户用该会话密钥解密出资源的身份信息并验证Kerberos域资源身份的有效性后,若验证通过则可利用该会话密钥安全访问Kerberos域资源,其具体做法是:
PKI域用户收到MB8后用会话密钥kU,S解密MB8,得到Kerberos域资源的身份标识IDS′以及时间戳T’8,验证IDS′是否正确,并验证T’8是否具有新鲜性,若验证通过则认为Kerberos域资源S的身份有效。在有效期lt2内,PKI域用户和Kerberos域资源之间利用会话密钥kU,S实现安全通信。
在PKI域用户访问Kerberos资源时采用如上的具体做法,其优点是:
在第二级信任关系建立过程中,采用访问授权票据的方式可以实现用户和资源之间基于对称密码体制的双向认证。本方法各通信实体(用户U/资源S/认证服务器AS/认证中心CA)的公钥加解密运算次数分别为3/0/4/5次,而文献[1]中PKI域用户访问Kerberos域资源时各通信实体(用户U/资源S/认证服务器AS/认证中心CA)分别需要进行2/0/2/0次公钥加解密运算,文献[2]各通信实体(访问者A/被访问者B/访问域认证服务器SA/被访问域认证服务器SB)则分别需要进行6/5/5/8次公钥加解密运算。可以看出,本方法终端实体的公钥加解密运算量得到显著降低,尤其是Kerberos域终端实体(资源S)的公钥计算量减少为0。因此本方法在PKI域用户访问Kerberos域资源的交互认证过程中具有更好的可实施性。
本方法由于在访问授权票据中不仅包含了认证和授权相关信息,还有经加密的安全会话密钥,在同一个逻辑步骤内实现了身份认证和会话密钥协商。相对于文献[1]只实现了身份认证,以及文献[2]中先在步骤1-7实现身份认证,再在步骤8-12实现会话密钥协商,本方法总共只需要8步骤即可实现身份认证与会话密钥协商,进一步降低了终端用户的计算量和通信量,简化了协议流程,具有更高的效率。因此,本方法能够利用更少的计算和通信资源实现与现有方法等价甚至更高的安全保障。
下面结合具体实施方式对本发明作进一步详细说明。
具体实施方式
实施例1
一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,其步骤包括:首先,PKI(公钥基础设施)域中的认证中心CA与Kerberos(私钥认证体制)域中的认证服务器AS通过公钥证书进行交互认证;然后,Kerberos域的用户和PKI域的资源通过访问授权票据进行交互认证和会话密钥协商。
本例的Kerberos域的用户和PKI域的资源通过访问授权票据进行交互认证和会话密钥协商的具体方法是:
A1、访问授权票据请求
Kerberos域的用户向认证服务器AS提出跨域访问资源的认证请求,认证服务器AS对Kerberos域的用户身份进行认证,若认证未通过则转步骤A4;否则,向PKI域的认证中心CA发送访问授权票据请求;
A2、访问授权票据生成和发放
认证中心CA验证认证服务器AS的身份,若验证未通过则转步骤A4;否则,生成Kerberos域的用户访问PKI域的资源的会话密钥、包括该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给认证服务器AS;认证服务器AS解密出会话密钥和访问授权票据并验证其有效性,若验证不通过则转步骤A4;否则,将会话密钥和访问授权票据打包加密并发送给Kerberos域的用户;
A3、双向身份认证及会话密钥协商
Kerberos域的用户解密提取出会话密钥和访问授权票据,验证其有效性,若验证未通过则转步骤A4,否则将自己的身份信息用该会话密钥加密后并连同访问授权票据一起发送给PKI域的资源;PKI域的资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出用户的身份信息并验证用户身份的有效性,若验证未通过则转步骤A4,否则将自己的身份信息用该会话密钥加密发送给Kerberos域的用户;Kerberos域的用户用会话密钥解密出资源的身份信息并验证资源身份的有效性,若验证未通过则转步骤A4;否则,Kerberos域的用户利用该会话密钥安全访问PKI域的资源;
A4、终止会话。
本例的A1步骤中:
所述的Kerberos域的用户向认证服务器AS提出跨域访问PKI域资源的认证请求时的请求消息MA1为:
其中IDU表示用户的身份标识,IDS表示资源的身份标识,T1表示用户U产生的时间戳,kU,AS表示用户U和认证服务器AS的共享对称密钥,表示用共享对称密钥kU,AS对{IDU,IDS,T1}加密;
本例的认证服务器AS对Kerberos域的用户身份进行认证的具体做法是:
认证服务器AS接收到请求消息M1后,用kU,AS解密得到用户的解密身份标识ID’U、解密的时间戳T’1;当解密身份标识ID’U与请求消息M1中明文的用户的身份标识IDU一致且解密的时间戳T’1具有新鲜性,则认证通过,否则,认证不通过;
本例的认证服务器AS向PKI域的认证中心CA发送访问授权票据请求的具体做法是:
认证服务器AS产生新的时间戳T2,向资源所在域的认证中心CA发送访问授权票据请求MA2:
其中IDAS表示认证服务器的身份标识,IDCA表示认证中心的身份标识,表示认证服务器AS用私钥SKAS对消息{IDAS,IDCA,IDU,IDS,T2}进行签名,表示用认证中心CA的公钥PKCA对消息加密;
本例的A2步骤中:
本例的认证中心CA验证认证服务器AS的身份的具体做法为:
认证中心CA收到MA2后,用私钥SKCA解密MA2,解密得到认证服务器AS的签名SIGN’AS及时间戳T’2,若验证签名SIGN’AS正确,并且T’2是具有新鲜性,则认证服务器AS的身份验证通过,否则验证不通过;
本例的认证中心CA生成Kerberos域的用户访问PKI域的资源的会话密钥、包括该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给认证服务器AS的具体做法为:
认证中心CA产生Kerberos域的用户和PKI域的资源之间的会话密钥kU,S及其使用期限lt(kU,S的起止时间),新的时间戳T3,认证中心CA为Kerberos域用户生成的用于访问PKI域资源的访问授权票据TKT,作为认证中心CA信任Kerberos域用户的凭证:
然后,认证中心CA生成消息MA3发送给认证服务器AS:
本例的认证服务器AS解密出会话密钥和访问授权票据并验证其有效性的具体做法是:
认证服务器AS用私钥SKAS解密MA3得到证认证中心CA签名及时间戳T’3,当解密得到的证认证中心CA签名正确且时间戳T’3具有新鲜性,则验证通过,否则不通过;将解密得到的kU,S、lt、TKT连同认证服务器AS新产生的时间戳T4一起用Kerberos域用户和认证服务器AS之间的共享密钥kU,AS加密作为消息MA4发送给用户:
其中,HASH表示{IDU,IDS,kU,S,lt,TKT,T4}的哈希摘要值,表示用Kerberos域用户与认证服务器AS的共享对称密钥kU,AS对{IDU,IDS,kU,S,lt,TKT,T4,HASH}加密;
本例的A3步骤中:
本例的Kerberos域的用户解密提取出会话密钥和访问授权票据,验证其有效性的具体做法是:
Kerberos域用户用kU,AS解密MA4得到Kerberos域的用户身份信息ID’U、PKI域资源的身份信息ID’S及时间戳T’4,若解密出的Kerberos域的用户的身份信息ID’U及PKI域资源的身份信息ID’S与自己和PKI域资源的身份标志一致,并且T4具有新鲜性,则验证通过,并认为kU,S、lt、TKT有效,否则不通过。
本例的Kerberos域的用户将自己的身份信息用该会话密钥加密后并连同访问授权票据一起发送给PKI域的资源的具体做法是:
Kerberos域的用户产生新的时间戳T5连同自己的身份信息IDU用kU,S加密后,再加入TKT作为消息MA5发送给资源:
所诉的PKI域的资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出用户的身份信息并验证用户身份的有效性,其具体做法是:
PKI域的资源收到MA5后,首先用自己的私钥SKS解密TKT,得到认证中心CA的签名及有效期lt’,验证认证中心CA的签名是否正确以及lt’的是否有效。若验证通过,则认为解密TKT得到的kU,S有效并存储。然后,利用kU,S解密消息得到Kerberos域用户的身份标识ID’U以及时间戳T’5,验证ID’U是否和TKT中的IDU一致,并验证T’5是否具有新鲜性,若验证都通过则认为Kerberos域用户的身份是有效的。
本例的PKI域的资源将自己的身份信息用该会话密钥加密发送给Kerberos域用户,其作法是:
PKI域资源生成新的时间戳T6,用会话密钥kU,S加密{IDS,T6},向Kerberos域用户发送一条确认消息MA6:
本例的Kerberos域的用户用会话密钥解密出PKI域资源的身份信息并验证PKI域资源身份的有效性,具体作法是:
Kerberos域的用户收到MA6后,用会话密钥kU,S解密MA6,得到PKI域资源的身份标识ID’S以及时间戳T’6,若解密结果ID’S正确且T’6新鲜即可确认资源的有效性,在有效期lt’内,Kerberos域用户和PKI域资源之间利用会话密钥kUxS实现安全通信。
本例的方法适用于Kerberos域用户访问PKI域资源的认证与密钥协商。
实施例2
一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,其步骤包括:首先,PKI(公钥基础设施)域中的认证中心CA与Kerberos(私钥认证体制)域中的认证服务器AS通过公钥证书进行交互认证;然后,PKI域的用户和Kerberos域的资源通过访问授权票据进行交互认证和会话密钥协商;其特征在于:
本例的PKI域的用户和Kerberos域的资源通过访问授权票据进行交互认证的具体方法是:
B1、票据授予票据请求
PKI域的用户向认证中心CA提出跨域访问资源的请求,认证中心CA对PKI域的用户身份进行认证后,向Kerberos域的认证服务器AS提出访问Kerberos域资源的请求;
B2、票据授予票据生成和发放
认证服务器AS验证认证中心CA的身份,若验证不通过则转步骤B6;否则,生成PKI域的用户访问Kerberos域的票据授予服务器TGS的对称密钥、包含该对称密钥的票据授权票据,并打包加密发送给认证中心CA;认证中心CA解密出对称密钥和票据授权票据并验证其有效性,若验证不通过则转步骤B6;否则,将对称密钥和票据授权票据打包加密发送给PKI域的用户;
B3、访问授权票据请求
PKI域的用户解密提取出对称密钥和票据授权票据,验证票据授权票据和认证中心CA身份的有效性,若验证不通过则转步骤B6;否则,用该对称密钥加密自己的身份信息连同票据授予票据一起作为跨域访问Kerberos域资源的请求,发送给票据授予服务器TGS;
B4、访问授权票据生成和发放
票据授予服务器TGS解密获得对称密钥,用此对称密钥解密出PKI域用户的身份信息并对PKI域用户身份进行认证,若认证不通过则转步骤B6;否则,生成PKI域用户访问Kerberos域资源的会话密钥和包含该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给用户;
B5、双向身份认证及会话密钥协商:PKI域用户解密提取出会话密钥和访问授权票据,验证其有效性,若验证不通过则转步骤B6;否则,将自己的身份信息用该会话密钥加密后连同访问授权票据一起发送给Kerberos域资源;Kerberos域资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出PKI域用户的身份信息并验证PKI域用户身份的有效性,然后将自己的身份信息用该会话密钥加密发送给PKI域用户;PKI域用户用该会话密钥解密出资源的身份信息并验证资源身份的有效性后,若验证通过则可利用该会话密钥安全访问Kerberos域资源,否则转步骤B6;
B6、终止会话。
本例的B1步骤中:
本例的PKI域的用户向认证中心CA提出跨域访问资源的请求,请求消息MB1为:
本例的认证中心CA对PKI域的PKI域用户身份进行认证后,向Kerberos域的认证服务器AS提出访问Kerberos域资源的请求,具体作法是:
认证中心CA收到MB1后,用私钥SKCA解密MB1,得到PKI域用户的签名SIGN’U以及时间戳T’1,验证PKI域用户的签名SIGN’U是否正确,并验证T’1是否具有新鲜性;验证通过后,生成新的时间戳T2,向Kerberos域的认证服务器AS发送跨域认证请求,请求的消息为MB2:
本例的B2步骤中:
本例的认证服务器AS验证认证中心CA的身份,若验证不通过则转步骤B6;否则,生成PKI域的用户访问Kerberos域的票据授予服务器TGS的对称密钥、包含该对称密钥的票据授权票据,并打包加密发送给认证中心CA,其具体做法是:
认证服务器AS收到MB2后,用自己的私钥SKAS解密MB2,得到证认证中心CA签名以及时间戳T’2,验证CA的签名是否正确并验证时间戳T’2是否具有新鲜性,验证通过后,认证服务器AS产生PKI域的用户和票据授予服务器TGS之间的对称密钥kU,TGS及其使用期限lt1(kU,TGS的起止时间)及票据授予票据生成消息MB3发送给认证中心CA:
其中,HASH1表示{IDU,kU,TGS,lt1}的哈希摘要值,表示用认证服务器AS和TGS之间的对称密钥kAS,TGS加密表示用认证服务器AS的私钥SKAS对{IDAS,IDCA,IDU,IDS,kU,TGS,lt1,TGT,T3}签名,表示用认证中心CA的公钥PKCA对加密;
本例的认证中心CA解密出对称密钥和票据授权票据并验证其有效性,若验证不通过则转步骤(B6);否则,将对称密钥和票据授权票据打包加密发送给PKI域的用户,其具体作法是:
认证中心CA收到MB3后,用自己的私钥SKCA解密MB3,得到认证服务器AS签名以及时间戳T’3,验证认证服务器AS签名是否正确,并验证T’3是否具有新鲜性;验证通过后,取出kU,TGS、lt1、TGT,并产生的新的时间戳T4,生成消息MB4发送给PKI域的用户:
本例的B3步骤中:
本例的PKI域的用户解密提取出对称密钥和票据授权票据,验证票据授权票据和认证中心CA身份的有效性,其具体作法是:
PKI域用户收到MB4后,用自己的私钥SKU解密MB4得到认证中心CA的签名以及时间戳T’4,验证认证中心CA的签名是否正确,及T’4是否具有新鲜性。
本例的PKI域中用户用该对称密钥加密自己的身份信息连同票据授予票据一起作为跨域访问资源的请求,发送给票据授予服务器TGS,具体作法是:
PKI域中用户产生新产生的时间戳T5,生成消息MB5发送给票据授予服务器TGS:
其中,表示用对称密钥kU,TGS对{IDU,IDS,T5}加密;
本例的B4步骤中:
本例的票据授予服务器TGS解密获得对称密钥,用此对称密钥解密出用户的身份信息并对用户身份进行认证,其具体作法是:
票据授予服务器TGS收到MB5后,首先用AS与TGS之间的共享密钥kAS,TGS解密票据授予票据TGT,然后计算{IDU,kU,TGS,lt1}的哈希值,验证是否与收到的HASH1相等;如果相等,则认为对称密钥kU,TGS有效,并用该密钥解密{IDU,IDS,T5}kU,TGS,得到PKI域用户的身份标识ID’U,验证ID’U与收到的IDU是否一致,并验证T’5是否具有新鲜性,若验证通过,则证明PKI域用户的真实性及票据的有效性;
本例的票据授予服务器TGS生成用户访问Kerberos域资源的会话密钥和包含该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给PKI域用户,具体做法是:
其中,TKT中的HASH2表示对{IDU,kU,S,lt2}的哈希值,表示用票据授予票据TGS和Kerberos域资源的共享密钥对{IDU,kU,S,lt2,HASH2}加密,MB6中的HASH3表示{IDS,kU,S,lt2,T6}的哈希值;
本例的B5步骤中:
本例的PKI域用户解密提取出会话密钥和访问授权票据,验证其有效性,具体作法是:
用户收到MB6后,用kU,TGS解密并得到时间戳T’6以及哈希值HASH’,验证T’6是否具有新鲜性,然后计算{IDS,kU,S,lt2,T6}的哈希值,验证该值是否与解密得到的HASH’相等;若相等则认为会话密钥kU,S有效并保存用于与资源进行交换;
本例的用户将自己的身份信息用该会话密钥加密后连同访问授权票据一起发送给资源,其发送的消息为MB7:
本例的Kerberos域资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出PKI域用户的身份信息并验证用户身份的有效性,然后将自己的身份信息用该会话密钥加密发送给PKI域用户,其具体作法是:
资源收到消息MB7后,用kTGS,S解密访问授权票据TKT,得到哈希值HASH’2,然后计算{IDU,kU,S,lt2}的哈希值,验证其是否与HASH’2相等,若相等则认为kU,S有效;进而用kU,S解密得到PKI域用户的身份标识的ID’U以及时间戳T’7,验证ID’U是否与TKT中的IDU一致,并验证T’7的新鲜性;若验证通过,资源生成新的时间戳T8,用会话密钥kU,S加密{IDS,T8},向PKI域用户发送一条确认消息:
本例的PKI域用户用该会话密钥解密出资源的身份信息并验证Kerberos域资源身份的有效性后,若验证通过则可利用该会话密钥安全访问Kerberos域资源,其具体做法是:
PKI域用户收到MB8后用会话密钥kU,S解密MB8,得到Kerberos域资源的身份标识IDS′以及时间戳T’8,验证IDS′是否正确,并验证T’8是否具有新鲜性,若验证通过则认为Kerberos域资源S的身份有效。在有效期lt2内,PKI域用户和Kerberos域资源之间利用会话密钥kU,S实现安全通信。
本例的方法适用于PKI域用户访问Kerberos域资源的认证与密钥协商。
Claims (4)
1.一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,其步骤包括:首先,PKI(公钥基础设施)域中的认证中心CA与Kerberos(私钥认证体制)域中的认证服务器AS通过公钥证书进行交互认证;然后,Kerberos域的用户和PKI域的资源通过访问授权票据进行交互认证和会话密钥协商,其特征在于:
所述的Kerberos域的用户和PKI域的资源通过访问授权票据进行交互认证和会话密钥协商的具体方法是:
A1、访问授权票据请求
Kerberos域的用户向认证服务器AS提出跨域访问资源的认证请求,认证服务器AS对Kerberos域的用户身份进行认证,若认证未通过则转步骤A4;否则,向PKI域的认证中心CA发送访问授权票据请求;
A2、访问授权票据生成和发放
认证中心CA验证认证服务器AS的身份,若验证未通过则转步骤A4;否则,生成Kerberos域用户访问PKI域资源的会话密钥、包括该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给认证服务器AS;认证服务器AS解密出会话密钥和访问授权票据并验证其有效性,若验证不通过则转步骤A4;否则,将会话密钥和访问授权票据打包加密并发送给Kerberos域的用户;
A3、双向身份认证及会话密钥协商
Kerberos域用户解密提取出会话密钥和访问授权票据,验证其有效性,若验证未通过则转步骤A4,否则将自己的身份信息用该会话密钥加密后并连同访问授权票据一起发送给PKI域资源;PKI域资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出用户的身份信息并验证Kerberos域用户身份的有效性,若验证未通过则转步骤A4,否则将自己的身份信息用该会话密钥加密发送给Kerberos域用户;Kerberos域用户用会话密钥解密出资源的身份信息并验证资源身份的有效性,若验证未通过则转步骤A4;否则,Kerberos域用户利用该会话密钥安全访问PKI域资源;
A4、终止会话。
2.根据权利要求1所述的一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,其特征在于:
所述的A1步骤中:
所述的Kerberos域用户向认证服务器AS提出跨域访问PKI域资源的认证请求时的请求消息MA1为:
其中IDU表示Kerberos域用户的身份标识,IDS表示PKI域资源的身份标识,T1表示Kerberos域用户产生的时间戳,kU,AS表示Kerberos域用户和认证服务器AS的共享对称密钥,表示用对称密钥kU,AS 对{IDU,IDS,T1}加密;
所述的认证服务器AS对Kerberos域用户身份进行认证的具体做法是:
认证服务器AS接收到请求消息M1后,用kU,AS解密得到Kerberos域用户的解密身份标识ID’U、解密的时间戳T’1;当解密身份标识ID’U与请求消息MA1中明文的Kerberos域用户的身份标识IDU一致且解密的时间戳T’1具有新鲜性,则认证通过,否则,认证不通过;
所述的认证服务器AS向PKI域的认证中心CA发送访问授权票据请求的具体做法是:
认证服务器AS产生新的时间戳T2,向PKI域资源所在域的认证中心CA发送访问授权票据请求MA2:
其中IDAS表示认证服务器的身份标识,IDCA表示认证中心的身份标识,表示认证服务器AS用私钥SKAS对消息{IDAS,IDCA,IDU,IDS,T2}的签名,表示用认证中心CA的公钥PKCA对消息加密;
所述的A2步骤中:
所述的认证中心CA验证认证服务器AS的身份的具体做法为:
认证中心CA收到MA2后,用私钥SKCA解密MA2,解密得到认证服务器AS的签名SIGNAS及时间戳T2,若验证签名SIGNAS正确,并且T2是具有新鲜性,则认证服务器AS的身份验证通过,否则验证不通过;
所述的认证中心CA生成Kerberos域的用户访问PKI域的资源的会话密钥、包括该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给认证服务器AS的具体做法为:
认证中心CA产生Kerberos域的用户和PKI域的资源之间的会话密钥kU,S及其使用期限lt(kU,S的起止时间),新的时间戳T3,认证中心CA为Kerberos域用户生成的用于访问PKI域资源的访问授权票据TKT,作为认证中心CA信任Kerberos域用户的凭证:
然后,认证中心CA生成消息MA3发送给认证服务器AS:
所述的认证服务器AS解密出会话密钥和访问授权票据并验证其有效性的具体做法是:
认证服务器AS用私钥SKAS解密MA3得到证认证中心CA签名及时间戳T3,验证的有效性和T3的新鲜性,若有效性且T3新鲜,,则验证通过,否则不通过;将解密得到的kU,S、lt、TKT连同认证服务器AS新产生的时间戳T4一起用Kerberos域用户和认证服务器AS之间的共享密钥kU,AS加密作为消息MA4发送给用户:
其中,HASH表示{IDU,IDS,kU,S,lt,TKT,T4}的哈希摘要值,表示用Kerberos域用户与认证服务器AS的共享对称密钥kU,AS对{IDU,IDS,kU,S,lt,TKT,T4,HASH}加密;
所述的A3步骤中:
所述的Kerberos域的用户解密提取出会话密钥和访问授权票据,验证其有效性的具体做法是:
Kerberos域用户用kU,AS解密MA4得到Kerberos域的用户身份信息ID’U、PKI域资源的身份信息ID’S及时间戳T’4,若解密出的ID’U及自己的身份标识IDU一致,ID’S与和PKI域资源的身份标志IDS一致,并且T’4具有新鲜性,则验证通过,并认为kU,S、lt、TKT有效,否则不通过。
所述的Kerberos域的用户将自己的身份信息用该会话密钥加密后并连同访问授权票据一起发送给PKI域的资源的具体做法是:
Kerberos域的用户产生新的时间戳T5连同自己的身份信息IDU用kU,S加密后,再加入TKT作为消息MA5发送给资源:
所诉的PKI域的资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出用户的身份信息并验证用户身份的有效性,其具体做法是:
PKI域的资源收到MA5后,首先用自己的私钥SKS解密TKT,得到认证中心CA的签名及有效期lt,验证和lt的有效性。若验证通过,则认为解密TKT得到的kU,S有效并存储。然后,利用kU,S解密消息得到Kerberos域用户的身份标识ID’U以及时间戳T’5,验证ID’U是否和TKT中的IDU一致,并验证T’5是否具有新鲜性,若验证都通过则认为Kerberos域用户的身份有效;
所述的PKI域的资源将自己的身份信息用该会话密钥加密发送给Kerberos域用户,其作法是:
PKI域资源生成新的时间戳T6,用会话密钥kU,S加密{IDS,T6},向Kerberos域用户发送一条确认消息MA6:
所述的Kerberos域的用户用会话密钥解密出PKI域资源的身份信息并验证PKI域资源身份的有效性,具体作法是:
Kerberos域的用户收到MA6后,用会话密钥kU,S解密MA6,得到PKI域资源的身份标识ID’S以及时间戳T’6,若解密结果ID’S正确且T’6新鲜即可确认资源的有效性。随后,Kerberos域用户和PKI域资源之间可利用会话密钥kU,S实现安全通信。
3.一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,其步骤包括:首先,PKI(公钥基础设施)域中的认证中心CA与Kerberos(私钥认证体制)域中的认证服务器AS通过公钥证书进行交互认证;然后,PKI域的用户和Kerberos域的资源通过访问授权票据进行交互认证和会话密钥协商,其特征在于:
所述的PKI域的用户和Kerberos域的资源通过访问授权票据进行交互认证的具体方法是:
B1、票据授予票据请求
PKI域的用户向认证中心CA提出跨域访问资源的请求,认证中心CA对PKI域的用户身份进行认证后,向Kerberos域的认证服务器AS提出访问Kerberos域资源的请求;
B2、票据授予票据生成和发放
认证服务器AS验证认证中心CA的身份,若验证不通过则转步骤B6;否则,生成PKI域的用户访问Kerberos域的票据授予服务器TGS的对称密钥、包含该对称密钥的票据授权票据,并打包加密发送给认证中心CA;认证中心CA解密出对称密钥和票据授权票据并验证其有效性,若验证不通过则转步骤B6;否则,将对称密钥和票据授权票据打包加密发送给PKI域的用户;
B3、访问授权票据请求
PKI域的用户解密提取出对称密钥和票据授权票据,验证票据授权票据和认证中心CA身份的有效性,若验证不通过则转步骤B6;否则,用该对称密钥加密自己的身份信息连同票据授予票据一起作为跨域访问Kerberos域资源的请求,发送给票据授予服务器TGS;
B4、访问授权票据生成和发放
票据授予服务器TGS解密获得对称密钥,用此对称密钥解密出PKI域用户的身份信息并对PKI域用户身份进行认证,若认证不通过则转步骤B6;否则,生成PKI域用户访问Kerberos域资源的会话密钥和包含该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给用户;
B5、双向身份认证及会话密钥协商:PKI域用户解密提取出会话密钥和访问授权票据,验证其有效性,若验证不通过则转步骤B6;否则,将自己的身份信息用该会话密钥加密后连同访问授权票据一起发送给Kerberos域资源;Kerberos域资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出PKI域用户的身份信息并验证PKI域用户身份的有效性,然后将自己的身份信息用该会话密钥加密发送给PKI域用户;PKI域用户用该会话密钥解密出资源的身份信息并验证资源身份的有效性后,若验证通过则可利用该会话密钥安全访问Kerberos域资源,否则转步骤B6;
B6、终止会话。
4.根据权利要求3所述的一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法,其特征在于:
所述的B1步骤中:
所述的PKI域的用户向认证中心CA提出跨域访问资源的请求,请求消息MB1为:
所述的认证中心CA对PKI域的PKI域用户身份进行认证后,向Kerberos域的认证服务器AS提出访问Kerberos域资源的请求,具体作法是:
认证中心CA收到MB1后,用私钥SKCA解密MB1,得到PKI域用户的签名SIGNU以及时间戳T1,验证SIGNU的有效性和T1的新鲜性。若验证通过,生成新的时间戳T2,向Kerberos域的认证服务器AS发送跨域认证请求消息MB2:
所述的B2步骤中:
所述的认证服务器AS验证认证中心CA的身份,若验证不通过则转步骤B6;否则,生成PKI域的用户访问Kerberos域的票据授予服务器TGS的对称密钥、包含该对称密钥的票据授权票据,并打包加密发送给认证中心CA,其具体做法是:
认证服务器AS收到MB2后,用自己的私钥SKAS解密MB2,得到证认证中心CA签名以及时间戳T2,验证的有效性和T2的新鲜性,若验证通过,认证服务器AS产生PKI域的用户和票据授予服务器TGS之间的对称密钥kU,TGS及其使用期限lt1(kU,TGS的起止时间),以及票据授予票据并生成消息MB3发送给认证中心CA:
其中,HASH1表示{IDU,kU,TGS,lt1}的哈希摘要值,表示用认证服务器AS和TGS之间的对称密钥kAS,TGS加密表示用认证服务器AS的私钥SKAS对{IDAS,IDCA,IDU,IDS,kU,TGS,lt1,TGT,T3}签名,表示用认证中心CA的公钥PKCA对加密;
所述的认证中心CA解密出对称密钥和票据授权票据并验证其有效性,若验证不通过则转步骤(B6);否则,将对称密钥和票据授权票据打包加密发送给PKI域的用户,其具体作法是:
认证中心CA收到MB3后,用自己的私钥SKCA解密MB3,得到认证服务器AS签名以及时间戳T’3,验证认证服务器AS签名是否正确,并验证T’3是否具有新鲜性;验证通过后,取出kU,TGS、lt1、TGT,并产生的新的时间戳T4,生成消息MB4发送给PKI域的用户:
所述的B3步骤中:
所述的PKI域的用户解密提取出对称密钥和票据授权票据,验证票据授权票据和认证中心CA身份的有效性,其具体作法是:
所述的PKI域中用户用该对称密钥加密自己的身份信息连同票据授予票据一起作为跨域访问资源的请求,发送给票据授予服务器TGS,具体作法是:
PKI域中用户产生新产生的时间戳T5,生成消息MB5发送给票据授予服务器TGS:
所述的B4步骤中:
所述的票据授予服务器TGS解密获得对称密钥,用此对称密钥解密出用户的身份信息并对用户身份进行认证,其具体作法是:
票据授予服务器TGS收到MB5后,首先用AS与TGS之间的共享密钥kAS,TGS解密票据授予票据TGT,然后计算{IDU,kU,TGS,lt1}的哈希值,验证是否与收到的HASH1相等;如果相等,则认为对称密钥kU,TGS有效,并用该密钥解密{IDU,IDS,T5}kU,TGS,得到PKI域用户的身份标识ID’U,验证ID’U与收到的IDU是否一致,并验证T’5是否具有新鲜性,若验证通过,则证明PKI域用户的真实性及票据的有效性;
所述的票据授予服务器TGS生成用户访问Kerberos域资源的会话密钥和包含该会话密钥的访问授权票据,再对会话密钥和访问授权票据打包加密,然后发送给PKI域用户,具体做法是:
其中,TKT中的HASH2表示对{IDU,kU,S,lt2}的哈希值,表示用票据授予票据TGS和Kerberos域资源的共享密钥对{IDU,kU,S,lt2,HASH2}加密,MB6中的HASH3表示{IDS,kU,S,lt2,T6}的哈希值;
所述的B5步骤中:
所述的PKI域用户解密提取出会话密钥和访问授权票据,验证其有效性,具体作法是:
用户收到MB6后,用kU,TGS解密并得到时间戳T’6以及哈希值HASH’,验证T’6是否具有新鲜性,然后计算{IDS,kU,S,lt2,T6}的哈希值,验证该值是否与解密得到的HASH’相等;若相等则认为会话密钥kU,S有效并保存用于与资源进行交换;
所述的用户将自己的身份信息用该会话密钥加密后连同访问授权票据一起发送给资源,其发送的消息为MB7:
所述的Kerberos域资源解密访问授权票据获得并存储会话密钥,再用该会话密钥解密出PKI域用户的身份信息并验证用户身份的有效性,然后将自己的身份信息用该会话密钥加密发送给PKI域用户,其具体作法是:
资源收到消息MB7后,用kTGS,S解密访问授权票据TKT,得到哈希值HASH’2,然后计算{IDU,kU,S,lt2}的哈希值,验证其是否与HASH’2相等,若相等则认为kU,S有效;进而用kU,S解密得到PKI域用户的身份标识的ID’U以及时间戳T’7,验证ID’U是否与TKT中的IDU一致,并验证T’7的新鲜性;若验证通过,资源生成新的时间戳T8,用会话密钥kU,S加密{IDS,T8},向PKI域用户发送一条确认消息:
所述的PKI域用户用该会话密钥解密出资源的身份信息并验证Kerberos域资源身份的有效性后,若验证通过则可利用该会话密钥安全访问Kerberos域资源,其具体做法是:
PKI域用户收到MB8后用会话密钥kU,S解密MB8,得到Kerberos域资源的身份标识IDS′以及时间戳T’8,验证IDS′是否正确,并验证T’8是否具有新鲜性,若验证通过则认为Kerberos域资源S的身份有效。在有效期lt2内,PKI域用户和Kerberos域资源之间利用会话密钥kU,S实现安全通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410028603.2A CN103780618B (zh) | 2014-01-22 | 2014-01-22 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410028603.2A CN103780618B (zh) | 2014-01-22 | 2014-01-22 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103780618A true CN103780618A (zh) | 2014-05-07 |
CN103780618B CN103780618B (zh) | 2016-11-09 |
Family
ID=50572448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410028603.2A Active CN103780618B (zh) | 2014-01-22 | 2014-01-22 | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103780618B (zh) |
Cited By (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104092702A (zh) * | 2014-07-22 | 2014-10-08 | 北京京东尚科信息技术有限公司 | 一种分布式***的网络安全验证方法和*** |
CN104618362A (zh) * | 2015-01-23 | 2015-05-13 | 华为技术有限公司 | 一种资源服务器和客户端交互会话消息的方法及装置 |
CN104660583A (zh) * | 2014-12-29 | 2015-05-27 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
CN106161033A (zh) * | 2015-04-28 | 2016-11-23 | 飞天诚信科技股份有限公司 | 一种交互式电子签名方法 |
CN106453313A (zh) * | 2016-10-15 | 2017-02-22 | 成都育芽科技有限公司 | 基于云计算平台的虚拟机安全验证***及方法 |
CN106789042A (zh) * | 2017-02-15 | 2017-05-31 | 西南交通大学 | Ibc域内的用户访问pki域内的资源的认证密钥协商方法 |
CN106790075A (zh) * | 2016-12-21 | 2017-05-31 | 上海云熵网络科技有限公司 | 用于udp传输的认证***及认证方法 |
CN106877996A (zh) * | 2017-02-16 | 2017-06-20 | 西南交通大学 | Pki域内的用户访问ibc域内的资源的认证密钥协商方法 |
CN107070642A (zh) * | 2016-12-26 | 2017-08-18 | 贵州银行股份有限公司 | 多品牌密码机异构资源池复用技术 |
CN107257334A (zh) * | 2017-06-08 | 2017-10-17 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
CN107465681A (zh) * | 2017-08-07 | 2017-12-12 | 成都汇智远景科技有限公司 | 云计算大数据隐私保护方法 |
CN107707360A (zh) * | 2017-11-10 | 2018-02-16 | 西安电子科技大学 | 物联网环境下的异构聚合签密方法 |
CN108449326A (zh) * | 2018-02-27 | 2018-08-24 | 淮阴工学院 | 一种异构可否认的认证方法和*** |
CN108574576A (zh) * | 2018-04-26 | 2018-09-25 | 中科边缘智慧信息科技(苏州)有限公司 | 基于Kerberos ***的跨云际认证方法 |
CN108768653A (zh) * | 2018-03-01 | 2018-11-06 | 如般量子科技有限公司 | 基于量子密钥卡的身份认证*** |
CN108989053A (zh) * | 2018-08-29 | 2018-12-11 | 武汉珈港科技有限公司 | 一种基于椭圆曲线的无证书公钥密码体制实现方法 |
CN109155732A (zh) * | 2016-04-11 | 2019-01-04 | 菲尼克斯电气公司 | 用于在第一网络设备(起始器)和第二网络设备(应答器)之间建立安全通信的方法和布置 |
CN109657478A (zh) * | 2018-12-20 | 2019-04-19 | 中国人民解放军战略支援部队信息工程大学 | 一种异构性的量化方法及*** |
CN109923830A (zh) * | 2016-11-04 | 2019-06-21 | 华为国际有限公司 | 用于配置无线网络接入设备的***和方法 |
CN110971404A (zh) * | 2019-12-04 | 2020-04-07 | 南昌大学 | 一种面向安全跨域通信的无证书群密钥协商方法 |
CN111447187A (zh) * | 2020-03-19 | 2020-07-24 | 重庆邮电大学 | 一种异构物联网的跨域认证方法 |
CN111539718A (zh) * | 2020-01-19 | 2020-08-14 | 南京邮电大学 | 一种基于侧链的区块链跨链身份认证方法 |
CN111682936A (zh) * | 2020-06-03 | 2020-09-18 | 金陵科技学院 | 一种基于物理不可克隆函数的Kerberos鉴权***和方法 |
CN112565189A (zh) * | 2020-11-04 | 2021-03-26 | 国网安徽省电力有限公司信息通信分公司 | 一种基于云计算数据安全的访问控制*** |
CN112583596A (zh) * | 2020-06-08 | 2021-03-30 | 四川大学 | 一种基于区块链技术的完全跨域身份认证方法 |
CN112653676A (zh) * | 2020-12-11 | 2021-04-13 | 中国人寿保险股份有限公司 | 一种跨认证***的身份认证方法和设备 |
CN112654042A (zh) * | 2020-12-24 | 2021-04-13 | 中国电子科技集团公司第三十研究所 | 基于轻量级ca的双向身份认证方法、计算机程序及存储介质 |
CN113114644A (zh) * | 2021-03-31 | 2021-07-13 | 杭州恒生数字设备科技有限公司 | 一种基于sip架构的多级跨域对称密钥管理*** |
CN113572767A (zh) * | 2018-05-03 | 2021-10-29 | 霍尼韦尔国际公司 | 用于加密交通工具数据服务交换的***和方法 |
CN113572603A (zh) * | 2021-07-21 | 2021-10-29 | 淮阴工学院 | 一种异构的用户认证和密钥协商方法 |
JP2021184308A (ja) * | 2017-07-04 | 2021-12-02 | 株式会社ソラコム | 機器をリモートで管理するための装置、方法及びそのためのプログラム |
CN114050932A (zh) * | 2021-11-10 | 2022-02-15 | 安徽健坤通信股份有限公司 | 分布式***的网络安全验证方法和*** |
CN114900300A (zh) * | 2022-06-20 | 2022-08-12 | 中国联合网络通信集团有限公司 | 云服务临时登录密钥认证方法、装置、设备及存储介质 |
-
2014
- 2014-01-22 CN CN201410028603.2A patent/CN103780618B/zh active Active
Non-Patent Citations (3)
Title |
---|
姚瑶: "一种基于 PKI 技术的跨异构域认证模型", 《东北大学 学报(自然科学版)》 * |
白睿: "网格跨域认证关键技术研究", 《中国优秀硕士学位论文全文数据库》 * |
顾文刚: "基于PKI的Kerberos跨域认证协议的实现与分析", 《计算机科学》 * |
Cited By (53)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104092702A (zh) * | 2014-07-22 | 2014-10-08 | 北京京东尚科信息技术有限公司 | 一种分布式***的网络安全验证方法和*** |
CN104092702B (zh) * | 2014-07-22 | 2017-05-31 | 北京京东尚科信息技术有限公司 | 一种分布式***的网络安全验证方法和*** |
CN104660583A (zh) * | 2014-12-29 | 2015-05-27 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
CN104660583B (zh) * | 2014-12-29 | 2018-05-29 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
CN104618362A (zh) * | 2015-01-23 | 2015-05-13 | 华为技术有限公司 | 一种资源服务器和客户端交互会话消息的方法及装置 |
CN104618362B (zh) * | 2015-01-23 | 2018-01-26 | 广州弘承持信电子商务有限公司 | 一种资源服务器和客户端交互会话消息的方法及装置 |
CN106161033B (zh) * | 2015-04-28 | 2019-03-05 | 飞天诚信科技股份有限公司 | 一种交互式电子签名方法 |
CN106161033A (zh) * | 2015-04-28 | 2016-11-23 | 飞天诚信科技股份有限公司 | 一种交互式电子签名方法 |
CN109155732B (zh) * | 2016-04-11 | 2021-05-25 | 菲尼克斯电气公司 | 在网络设备之间建立安全通信的方法和装置 |
US10938555B2 (en) | 2016-04-11 | 2021-03-02 | Phoenix Contact Gmbh & Co. Kg | Method and assembly for establishing a secure communication between a first network device (initiator) and a second network device (responder) |
CN109155732A (zh) * | 2016-04-11 | 2019-01-04 | 菲尼克斯电气公司 | 用于在第一网络设备(起始器)和第二网络设备(应答器)之间建立安全通信的方法和布置 |
CN106453313A (zh) * | 2016-10-15 | 2017-02-22 | 成都育芽科技有限公司 | 基于云计算平台的虚拟机安全验证***及方法 |
CN109923830A (zh) * | 2016-11-04 | 2019-06-21 | 华为国际有限公司 | 用于配置无线网络接入设备的***和方法 |
CN106790075A (zh) * | 2016-12-21 | 2017-05-31 | 上海云熵网络科技有限公司 | 用于udp传输的认证***及认证方法 |
CN107070642A (zh) * | 2016-12-26 | 2017-08-18 | 贵州银行股份有限公司 | 多品牌密码机异构资源池复用技术 |
CN107070642B (zh) * | 2016-12-26 | 2020-07-21 | 贵州银行股份有限公司 | 多品牌密码机异构资源池复用技术 |
CN106789042A (zh) * | 2017-02-15 | 2017-05-31 | 西南交通大学 | Ibc域内的用户访问pki域内的资源的认证密钥协商方法 |
CN106789042B (zh) * | 2017-02-15 | 2019-12-31 | 西南交通大学 | Ibc域内的用户访问pki域内的资源的认证密钥协商方法 |
CN106877996A (zh) * | 2017-02-16 | 2017-06-20 | 西南交通大学 | Pki域内的用户访问ibc域内的资源的认证密钥协商方法 |
CN106877996B (zh) * | 2017-02-16 | 2019-09-24 | 西南交通大学 | Pki域内的用户访问ibc域内的资源的认证密钥协商方法 |
CN107257334B (zh) * | 2017-06-08 | 2020-07-14 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
CN107257334A (zh) * | 2017-06-08 | 2017-10-17 | 中国电子科技集团公司第三十二研究所 | 用于Hadoop集群的身份认证方法 |
JP2021184308A (ja) * | 2017-07-04 | 2021-12-02 | 株式会社ソラコム | 機器をリモートで管理するための装置、方法及びそのためのプログラム |
CN107465681A (zh) * | 2017-08-07 | 2017-12-12 | 成都汇智远景科技有限公司 | 云计算大数据隐私保护方法 |
CN107465681B (zh) * | 2017-08-07 | 2021-01-26 | 国网上海市电力公司 | 云计算大数据隐私保护方法 |
CN107707360B (zh) * | 2017-11-10 | 2020-09-08 | 西安电子科技大学 | 物联网环境下的异构聚合签密方法 |
CN107707360A (zh) * | 2017-11-10 | 2018-02-16 | 西安电子科技大学 | 物联网环境下的异构聚合签密方法 |
CN108449326A (zh) * | 2018-02-27 | 2018-08-24 | 淮阴工学院 | 一种异构可否认的认证方法和*** |
CN108449326B (zh) * | 2018-02-27 | 2021-03-16 | 淮阴工学院 | 一种异构可否认的认证方法和*** |
CN108768653A (zh) * | 2018-03-01 | 2018-11-06 | 如般量子科技有限公司 | 基于量子密钥卡的身份认证*** |
CN108574576B (zh) * | 2018-04-26 | 2021-05-28 | 中科边缘智慧信息科技(苏州)有限公司 | 基于Kerberos***的跨云际认证方法 |
CN108574576A (zh) * | 2018-04-26 | 2018-09-25 | 中科边缘智慧信息科技(苏州)有限公司 | 基于Kerberos ***的跨云际认证方法 |
CN113572767A (zh) * | 2018-05-03 | 2021-10-29 | 霍尼韦尔国际公司 | 用于加密交通工具数据服务交换的***和方法 |
CN113572767B (zh) * | 2018-05-03 | 2023-07-04 | 霍尼韦尔国际公司 | 用于加密交通工具数据服务交换的***和方法 |
CN108989053B (zh) * | 2018-08-29 | 2021-05-14 | 武汉珈港科技有限公司 | 一种基于椭圆曲线的无证书公钥密码体制实现方法 |
CN108989053A (zh) * | 2018-08-29 | 2018-12-11 | 武汉珈港科技有限公司 | 一种基于椭圆曲线的无证书公钥密码体制实现方法 |
CN109657478A (zh) * | 2018-12-20 | 2019-04-19 | 中国人民解放军战略支援部队信息工程大学 | 一种异构性的量化方法及*** |
CN109657478B (zh) * | 2018-12-20 | 2023-12-19 | 中国人民解放军战略支援部队信息工程大学 | 一种异构性的量化方法及*** |
CN110971404A (zh) * | 2019-12-04 | 2020-04-07 | 南昌大学 | 一种面向安全跨域通信的无证书群密钥协商方法 |
CN111539718A (zh) * | 2020-01-19 | 2020-08-14 | 南京邮电大学 | 一种基于侧链的区块链跨链身份认证方法 |
CN111447187A (zh) * | 2020-03-19 | 2020-07-24 | 重庆邮电大学 | 一种异构物联网的跨域认证方法 |
CN111682936A (zh) * | 2020-06-03 | 2020-09-18 | 金陵科技学院 | 一种基于物理不可克隆函数的Kerberos鉴权***和方法 |
CN111682936B (zh) * | 2020-06-03 | 2022-08-30 | 金陵科技学院 | 一种基于物理不可克隆函数的Kerberos鉴权方法 |
CN112583596A (zh) * | 2020-06-08 | 2021-03-30 | 四川大学 | 一种基于区块链技术的完全跨域身份认证方法 |
CN112565189A (zh) * | 2020-11-04 | 2021-03-26 | 国网安徽省电力有限公司信息通信分公司 | 一种基于云计算数据安全的访问控制*** |
CN112653676B (zh) * | 2020-12-11 | 2023-05-02 | 中国人寿保险股份有限公司 | 一种跨认证***的身份认证方法和设备 |
CN112653676A (zh) * | 2020-12-11 | 2021-04-13 | 中国人寿保险股份有限公司 | 一种跨认证***的身份认证方法和设备 |
CN112654042A (zh) * | 2020-12-24 | 2021-04-13 | 中国电子科技集团公司第三十研究所 | 基于轻量级ca的双向身份认证方法、计算机程序及存储介质 |
CN113114644A (zh) * | 2021-03-31 | 2021-07-13 | 杭州恒生数字设备科技有限公司 | 一种基于sip架构的多级跨域对称密钥管理*** |
CN113572603A (zh) * | 2021-07-21 | 2021-10-29 | 淮阴工学院 | 一种异构的用户认证和密钥协商方法 |
CN113572603B (zh) * | 2021-07-21 | 2024-02-23 | 淮阴工学院 | 一种异构的用户认证和密钥协商方法 |
CN114050932A (zh) * | 2021-11-10 | 2022-02-15 | 安徽健坤通信股份有限公司 | 分布式***的网络安全验证方法和*** |
CN114900300A (zh) * | 2022-06-20 | 2022-08-12 | 中国联合网络通信集团有限公司 | 云服务临时登录密钥认证方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN103780618B (zh) | 2016-11-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103780618B (zh) | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 | |
CN107919956B (zh) | 一种面向物联网云环境下端到端安全保障方法 | |
CN111953705B (zh) | 物联网身份认证方法、装置及电力物联网身份认证*** | |
CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
CN106506470B (zh) | 网络数据安全传输方法 | |
Wang et al. | Security analysis of a single sign-on mechanism for distributed computer networks | |
CN106789042B (zh) | Ibc域内的用户访问pki域内的资源的认证密钥协商方法 | |
CN108768652B (zh) | 一种可抗量子攻击的联盟区块链底层加密方法 | |
CN105141425B (zh) | 一种基于混沌映射的可保护身份的双向认证方法 | |
KR101730757B1 (ko) | 사용자에 의해 디바이스에 액세스하기 위한 방법 및 시스템 | |
CN105245326B (zh) | 一种基于组合密码的智能电网安全通信方法 | |
CN101212293B (zh) | 一种身份认证方法及*** | |
CN107852404A (zh) | 保密通信的相互认证 | |
CN103414559B (zh) | 一种云计算环境下的基于类ibe***的身份认证方法 | |
CN105049434B (zh) | 一种对等网络环境下的身份认证方法与加密通信方法 | |
CN114710275B (zh) | 物联网环境下基于区块链的跨域认证和密钥协商方法 | |
CN109243020A (zh) | 一种基于无证书的智能锁身份认证方法 | |
Chuang et al. | PPAS: A privacy preservation authentication scheme for vehicle-to-infrastructure communication networks | |
CN103684798A (zh) | 一种用于分布式用户服务间认证*** | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
Xie et al. | [Retracted] Provable Secure and Lightweight Vehicle Message Broadcasting Authentication Protocol with Privacy Protection for VANETs | |
CN108933659A (zh) | 一种智能电网的身份验证***及验证方法 | |
CN102098397A (zh) | 一种基于ZRTP密钥交换的VoIP媒体流可信传输的实现方法 | |
CN112468983B (zh) | 一种低功耗的电力物联网智能设备接入认证方法及其辅助装置 | |
WO2011152084A1 (ja) | 効率的相互認証方法、プログラム、及び装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20180920 Address after: 610000 No. 111 north section of two ring road, Jinniu District ring University, Chengdu, Sichuan. Patentee after: Sichuan Huachang Intelligent Technology Co., Ltd. Address before: 610031 No. two, section 111, ring road, Chengdu, Sichuan, China Patentee before: Southwest Jiaotong University |
|
TR01 | Transfer of patent right |