申请/专利权人：西北工业大学

申请日：2021-11-05

公开（公告）日：2024-03-29

公开（公告）号：CN114036472B

主分类号：G06F21/31

分类号：G06F21/31;G06F21/44;G06F21/60;G06F16/27;G06F21/64

优先权：

专利状态码：有效-授权

法律状态：2024.03.29#授权;2022.03.01#实质审查的生效;2022.02.11#公开

摘要：本发明涉及一种联盟链的Kerberos及PKI安全域间的跨域认证方法，属于计算机安全技术领域。包括构建基于联盟链的Kerberos及PKI域间身份认证模型、Kerberos安全域到PKI安全域初次跨域身份认证、PKI安全域到Kerberos安全域初次跨域身份认证、Kerberos安全域到PKI安全域的跨域重身份认证。本发明以区块链模型作为基础，采用联盟链的共识机制，提出PKI域与Kerberos域间实体认证方法，使得跨域认证证书可以可靠、防篡改地存放在不同安全域中，在保证安全性、可靠性的同时实现了跨域的身份认证。

主权项：1.一种基于联盟链的Kerberos及PKI安全域间的跨域认证方法，其特征在于步骤如下：步骤1：构建基于联盟链的Kerberos及PKI域间身份认证模型PKI安全域指定一个区块链证书服务器BCCA作为联盟链中的认证节点域，Kerberos安全域指定一个区块链身份认证服务器BCAS作为联盟链中的认证节点域；在KPI安全域和Kerberos安全域中，每个域节点首先需要完成在本域中的身份认证及授权；步骤2：Kerberos安全域到PKI安全域初次跨域身份认证Kerberos安全域中的节点首次发起跨域认证请求时，先向KDC服务器发送请求，KDC通过协议认证目标域实体身份，将身份信息生成跨域证书存储到区块链上，认证信息在区块链上保证无法被篡改，且按照共识协议被多个跨域节点确认，实现身份认证信息存储的去中心化；1M1Cker-KDC:EnDESIDKer,IDPKI,Request1Cker向KDC发送验证请求Request1，验证SPKI身份；其中，Cker表示Kerberos域身份认证请求方；M1Cker-KDC表示：跨域身份认证过程第一步M1为Cker向KDC发起请求；IDKer表示：Kerberos域请求方的身份信息；IDPKI表示：PKI域资源的身份信息；Request1表示：请求方向KDC发出的验证请求；EnDESIDKer,IDPKI,Request1表示：对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密；2M2KDC-BCAS:EnSM2CKDC,IDPKI,Request2KDC验证Cker身份，向BCAS发送验证请求Request2，验证SPKI的身份；其中，M2KDC-BCAS表示：跨域身份认证过程第二步M2为KDC向BCAS发起请求；CKDC表示：KDC服务器的认证证书；IDPKI表示：PKI域资源的身份信息；Request2表示：KDC向区块链身份认证服务器发送验证请求；EnSM2CKDC,IDPKI,Request2表示：对CKDC,IDPKI,Request2三个参数利用非对称密码算法SM2进行加密；3M3BCAS-BCCA:EnBCCBCAS,CKDC,text1,Request3text1＝IDPKI||N||T1BCAS解密M2，验证KDC身份合法，解析Requeste2请求，查询SPKI所在域的证书服务器在联盟链中位置，对IDPKI和域参数N加盖时间戳T1，与代理证书CBCAS和认证请求Request2一起加密发至BCCA；其中，M3BCAS-BCCA表示：跨域身份认证过程第三步M3为BCAS向BCCA发起请求；CBCAS表示：区块链身份认证服务器的认证证书；CKDC表示：KDC服务器的认证证书；text1表示：请求方的打包信息，包括PKI域资源的身份信息IDPKI、域参数N、时间戳T1；Request3表示：BCAS向BCCA发送验证请求；EnBCCBCAS,CKDC,text1,Request3表示：对CBCAS,CKDC,text1,Request3四个参数利用区块链间加密算法进行加密；4M4BCCA-BCAS:EnBCCBCCA,CS*CS*＝CS||M||T2BCCA解密M3，时间戳有效则查询CBCAS的合法性，并查询S的域内证书，为S的证书加上域参数并加盖时间戳T2生成跨域证书，将跨域证书上链存储，并发送给BCAS；其中，M4BCCA-BCAS表示：跨域身份认证过程第四步M4为BCCA对BCAS的请求确认；CBCCA表示：区块链证书服务器的认证证书；CS*表示：请求资源的跨域证书，此证书包含了请求资源在PKI域内的认证证书CS、PKI域的域参数M、跨域证书时间戳T2；EnBCCBCCA,CS*CS*＝CS||M||T2表示：对CBCCA,CS*两个参数利用区块链间加密算法进行加密；5M5BCCA-S:EnSM2CBCCA,CKDCBCCA将KDC证书发送给S，S将此证书放入可信任的证书列表中；其中：M5BCCA-S表示：跨域身份认证过程第五步M5为BCCA对访问资源S的证书列表更新；CBCCA表示：区块链证书服务器的认证证书；CKDC表示：KDC服务器的认证证书；EnSM2CBCCA,CKDC表示：对CBCCA,CKDC两个参数利用非对称密码算法SM2进行加密；6M6BCAS-KDC:EnSM2CBCAS,CS*BCAS将S的证书发给KDC，并为S的跨域证书写入区块链提供背书；其中，M6BCAS-KDC表示：跨域身份认证过程第六步M6为BCAS对KDC的请求确认；CBCAS表示：区块链身份认证服务器的认证证书；CS*表示：请求资源的跨域证书；EnSM2CBCAS,CS*表示：对CBCAS,CS*两个参数利用非对称密码算法SM2进行加密；7M7KDC-C:EnDESKey,SigPKItext2,text2text2＝IDC,KeyKDC生成C和S的传输密钥，向C加密传输两组信息，一组为传输密钥，另一组为使用S公钥加密过的，KDC签名过的C的身份信息和传输密钥；其中：M7KDC-C表示：跨域身份认证过程第七步M7为KDC对请求方的请求确认；Key表示：KDC生成的跨域传输密钥；text2表示：请求方C的身份信息、跨域传输密钥；SigPKItext2表示：用PKI域资源跨域证书提供的公钥对text2进行签名；EnDESKey,SigPKItext2,text2表示：对Key,SigPKItext2,text2三个参数利用对称密码算法DES进行加密；步骤3：PKI安全域到Kerberos安全域初次跨域身份认证PKI安全域中的节点首次发起跨域认证请求时，先向BCCA服务器发送请求，BCCA服务器按照协议认证过程与Kerberos域KDC服务器进行交互，获取认证信息后，生成跨域证书存储到区块链上，认证信息在区块链上保证无法被篡改，且按照共识协议被多个跨域节点确认，实现身份认证信息存储的去中心化；1M1C-BCCA:EnSM2IDKer,Request1CPKI向BCCA发送请求Request1，请求验证Kerberos域S的身份；其中，M1C-BCCA表示：跨域身份认证过程第一步M1为C向BCCA发起请求；IDPKI表示：PKI域资源的身份信息；Request1表示：请求方向BCCA发出的验证请求；EnSM2IDKer,Request1表示：对IDKer,Request1两个参数利用非对称密码算法SM2进行加密；2M2BCCA-BCAS:EnBCCBCCA,CC*,text1,Request2text1＝IDKer||N||T1BCCA检查本地数据库，没有找到S的证书信息，查询Sker所在域的证书服务器在联盟链中位置，对IDker和域参数N加盖时间戳T1，与代理证书CBCCA,C的跨域证书和认证请求Request2一起加密发至BCAS；其中，M2BCCA-BCAS表示：跨域身份认证过程第二步M2为BCCA向BCAS发起请求；CBCCA表示：区块链证书服务器的认证证书；CC*表示：请求方的跨域证书；text1表示：BCCA的打包信息，包括Kerberos域资源的身份信息IDKer、域参数N、时间戳T1；Request2表示：BCCA向BCAS发送验证请求；EnBCCBCCA,CC*,text1,Request2表示：对CBCCA,CC*，text1,Request2四个参数利用区块链间加密算法进行加密；3M3BCCA-C:EnSM2CBCAS,CKDC*在区块链中查询Sker所在域的KDC证书，并发送给C；其中，M3BCCA-C表示：跨域身份认证过程第三步M3为BCCA对C的请求确认；CBCAS表示：区块链身份认证服务器的认证证书；CKDC*表示：KDC服务器的跨域证书；EnSM2CBCAS,CKDC*表示：对CBCAS,CKDC*两个参数利用非对称密码算法SM2进行加密；4M4BCAS-KDC:EnSM2CBCAS,CC*,Request3BCAS将C的跨域证书发给KDC，并发出认证请求；其中，M4BCAS-KDC表示：跨域身份认证过程第四步M4为BCAS向KDC发起请求；CBCAS表示：区块链身份认证服务器的认证证书；CC*表示：请求方的跨域证书；Request3表示：BCAS向KDC发送验证请求；EnSM2CBCAS,CC*,Request3表示：对CBCAS,CC*，Request3三个参数利用非对称密码算法SM2进行加密；5M5KDC-C:EnSM2Key,SigBCtext2,text2,text2＝IDC,KeyKDC生成随机传输密钥，用自己的私钥和C的公钥加密C的身份信息和传输密钥，发送给C；其中，M5KDC-C表示：跨域身份认证过程第五步M5为KDC对C的请求确认；Key表示：KDC生成的跨域传输密钥；text2表示：请求方C的身份信息、跨域传输密钥；SigBCtext2表示：用区块链资源跨域证书提供的公钥对text2进行签名；EnSM2Key,SigBCtext2,text2表示：对Key,SigBCtext2，text2三个参数利用非对称密码算法进行加密；6M6KDC-S:EnDESKey,IDCKDC将C的身份信息和传输密钥加密传输给S；其中，M6KDC-S表示：跨域身份认证过程第六步M6为KDC向S发送认证信息；Key表示：KDC生成的跨域传输密钥；IDC表示：请求方C的身份信息；EnDESKey,IDC表示：对Key,IDC两个参数利用对称密码算法DES进行加密；步骤4：Kerberos安全域到PKI安全域的跨域重身份认证1M1Cker-KDC:EnDESIDKer,IDPKI,Request1Cker向KDC发送验证请求Request1，验证SPKI身份；其中，Cker表示Kerberos域身份认证请求方；M1Cker-KDC表示：跨域身份认证过程第一步M1为Cker向KDC发起请求；IDKer表示：Kerberos域请求方的身份信息；IDPKI表示：PKI域资源的身份信息；Request1表示：请求方向KDC发出的验证请求；EnDESIDKer,IDPKI,Request1表示：对IDKer,IDPKI,Request1三个参数利用对称密码算法DES进行加密；2M2KDC-S:EnSM2CKDC*,IDPKI,Request2KDC确认C的身份并直接向S发送请求，请求内容包括KDC的跨域证书；其中，M2KDC-S表示：跨域身份认证过程第二步M2为KDC向S发起请求；CKDC*表示：KDC服务器的跨域证书；IDPKI表示：PKI域资源的身份信息；Request2表示：KDC向S发送验证请求；EnSM2CKDC*,IDPKI,Request2表示：对CKDC*,IDPKI，Request2三个参数利用非对称密码算法进行加密；3M3S-KDC:EnSM2IDS,Cs*S收到请求后向BCCA查询区块链上KDC的跨域证书信息，验证无误后发送S的跨域证书到KDC；其中，M3S-KDC表示：跨域身份认证过程第三步M3为S对KDC的请求确认；IDS表示：资源S的身份信息；CS*表示：请求资源的跨域证书；EnSM2IDS,Cs*表示：对IDS,Cs*两个参数利用非对称密码算法进行加密；4M4KDC-BCAS:EnSM2Cs*,IDS,Request3KDC收到S返回的跨域证书，向BCAS验证跨域证书的有效性；其中，M4KDC-BCAS表示：跨域身份认证过程第四步M4为KDC向BCAS发起验证请求；CS*表示：请求资源的跨域证书；IDS表示：资源S的身份信息；Request3表示：KDC向BCAS发送验证请求；EnSM2Cs*,IDS,Request3表示：对Cs*,IDS，Request3三个参数利用非对称密码算法进行加密；5M5KDC-C:EnDESKey,SigPKItext2,text2text2＝IDC,KeyKDC生成C和S的传输密钥，向C加密传输两组信息，一组为传输密钥，另一组为使用S公钥加密过的，KDC私钥加密的C的身份信息和传输密钥；其中，M5KDC-C表示：跨域身份认证过程第五步M5为KDC对C的请求确认；Key表示：KDC生成的跨域传输密钥；text2表示：请求方C的身份信息、跨域传输密钥；SigPKItext2表示：用PKI域资源跨域证书提供的公钥对text2进行签名；EnDESKey,SigPKItext2,text2表示：对Key,SigPKItext2,text2三个参数利用对称密码算法DES进行加密。

全文数据：

权利要求：

百度查询： 西北工业大学 基于联盟链的Kerberos及PKI安全域间的跨域认证方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD