一種基于訪問授權(quán)票據(jù)的跨異構(gòu)域身份認(rèn)證及會話密鑰協(xié)商方法
【專利摘要】一種基于訪問授權(quán)票據(jù)的跨異構(gòu)域身份認(rèn)證及會話密鑰協(xié)商方法,其做法主要是:首先,利用基于公鑰認(rèn)證機(jī)制的分布式信任模型,在PKI域的認(rèn)證中心CA與Kerberos域的認(rèn)證服務(wù)器AS之間建立起第一級信任關(guān)系;在此基礎(chǔ)上,由CA(或AS聯(lián)合TGS)生成并分發(fā)外域用戶訪問本域資源的授權(quán)票據(jù),并通過設(shè)計基于對稱密鑰密碼體制的雙向跨域認(rèn)證及密鑰協(xié)商協(xié)議,建立起外域用戶訪問本域資源之間的第二級信任關(guān)系。在滿足各級安全需求的前提下,有效降低了終端計算量與通信量,可完全避免Kerberos域終端的公鑰加解密運(yùn)算,在動態(tài)分布式系統(tǒng)跨異構(gòu)域身份認(rèn)證過程中具有良好的可實(shí)施性;身份認(rèn)證的同時完成會話密鑰協(xié)商,協(xié)議效率高。
【專利說明】一種基于訪問授權(quán)票據(jù)的跨異構(gòu)域身份認(rèn)證及會話密鑰協(xié)商方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】中一種跨異構(gòu)域的認(rèn)證與密鑰協(xié)商協(xié)議,可用于云計算及云存儲網(wǎng)絡(luò)、敏捷制造、虛擬組織等分布式系統(tǒng)中用戶跨異構(gòu)域訪問資源時的身份認(rèn)證以及會話密鑰協(xié)商。
【背景技術(shù)】
[0002]在云計算及云存儲網(wǎng)絡(luò)、敏捷制造、虛擬組織等分布式系統(tǒng)中,資源、用戶往往處于不同的信任域中,不同的信任域可能采用不同的認(rèn)證機(jī)制,如基于非對稱密碼的PKI (公鑰基礎(chǔ)設(shè)施)認(rèn)證機(jī)制、基于對稱密碼的Kerberos (私鑰認(rèn)證體制)認(rèn)證機(jī)制以及基于身份或無證書公鑰密碼的認(rèn)證機(jī)制。這些采用不同認(rèn)證機(jī)制的不同信任域稱為異構(gòu)域。前兩類認(rèn)證機(jī)制因其理論安全性和成熟的技術(shù)標(biāo)準(zhǔn)已被廣泛應(yīng)用。在分布式系統(tǒng)中,隨時存在著用戶跨域訪問資源的活動,為保證資源的安全有效共享并滿足異構(gòu)域的互聯(lián)互通,需要構(gòu)造安全可行的跨異構(gòu)域,身份認(rèn)證及會話密鑰協(xié)商方法(簡稱認(rèn)證密鑰協(xié)商)。PKI和Kerberos兩類認(rèn)證機(jī)制,因其理論安全性和成熟的技術(shù)標(biāo)準(zhǔn)已被廣泛應(yīng)用,因此,采用PKI認(rèn)證機(jī)制的PKI (公鑰基礎(chǔ)設(shè)施)域與Kerberos認(rèn)證機(jī)制的Kerberos (私鑰認(rèn)證體制)域之間的認(rèn)證密鑰協(xié)商顯得尤為重要?,F(xiàn)有的PKI域與Kerberos域之間的認(rèn)證密鑰協(xié)商方法主要有:
[0003]文獻(xiàn)I “一種基于PKI技術(shù)的跨異構(gòu)域認(rèn)證模型”(姚瑤,王興偉,蔣定德,周福才.東北大學(xué)學(xué)報,2011,32(5):638-641)采用橋權(quán)威機(jī)構(gòu)組BCAG作為可信第三方實(shí)現(xiàn)PKI域和Kerberos域之間的交互認(rèn)證,當(dāng)用戶跨域訪問資源時,需要遵循資源所在域的認(rèn)證方式完成身份認(rèn)證,該方案能基本解決跨PKI域和Kerberos域之間的交互認(rèn)證,但建立BCAG的開銷巨大,不適合動態(tài)分布式系統(tǒng)臨時性、動態(tài)性、低成本的特點(diǎn);另外,當(dāng)Kerberos域用戶訪問PKI域資源時,需要采用公鑰密碼算法實(shí)現(xiàn)身份認(rèn)證,導(dǎo)致計算及存儲資源受限的Kerberos域用戶難以勝任,在實(shí)際應(yīng)用中可行性不高。
[0004]文獻(xiàn) 2 “An inter-domain authentication scheme for pervasive computingenvironment” (Lin Yao, Lei Wang, Xiangwei Kong, Guowei Wu, Feng Xia.Computers andMathematics with Applications, 2010,60:234 - 244)提出了一個普適環(huán)境下的跨域認(rèn)證與密鑰協(xié)商協(xié)議,采用生物加密技術(shù)完成不同域中用戶的雙向認(rèn)證,并采用簽密技術(shù)實(shí)現(xiàn)通信雙方的會話密鑰分發(fā)。但該方案中,一方面,身份認(rèn)證與密鑰協(xié)商需分步實(shí)現(xiàn),身份認(rèn)證在1-7步驟實(shí)現(xiàn),會話密鑰協(xié)商在第8-12步驟實(shí)現(xiàn),通信量較大;另一方面,該協(xié)議中各通信實(shí)體需要進(jìn)行多次公鑰加解密運(yùn)算,訪問者、被訪問者、訪問域的認(rèn)證服務(wù)器、被訪問域的認(rèn)證服務(wù)器分別需要進(jìn)行6、5、5、8次公鑰加解密運(yùn)算,計算量和通信量大,效率較低,并且對于采用對稱密碼算法的Kerberos域用戶難以實(shí)現(xiàn)。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是提供一種基于訪問授權(quán)票據(jù)的跨異構(gòu)域身份認(rèn)證及會話密鑰協(xié)商方法,該方法能有效適應(yīng)多種安全域并存,終端計算能力參差不齊的動態(tài)分布式系統(tǒng)環(huán)境。
[0006]本發(fā)明實(shí)現(xiàn)其發(fā)明目的所采用的第一種技術(shù)方案是:
[0007]—種基于訪問授權(quán)票據(jù)的跨異構(gòu)域身份認(rèn)證及會話密鑰協(xié)商方法,其步驟包括:首先,PKI (公鑰基礎(chǔ)設(shè)施)域中的認(rèn)證中心CA與Kerberos (私鑰認(rèn)證體制)域中的認(rèn)證服務(wù)器AS通過公鑰證書進(jìn)行交互認(rèn)證;然后,Kerberos域的用戶和PKI域的資源通過訪問授權(quán)票據(jù)進(jìn)行交互認(rèn)證和會話密鑰協(xié)商,其特征在于:
[0008]所述的Kerberos域的用戶和PKI域的資源通過訪問授權(quán)票據(jù)進(jìn)行交互認(rèn)證和會話密鑰協(xié)商的具體方法是:
[0009]Al、訪問授權(quán)票據(jù)請求
[0010]Kerberos域的用戶向認(rèn)證服務(wù)器AS提出跨域訪問資源的認(rèn)證請求,認(rèn)證服務(wù)器AS對Kerberos域的用戶身份進(jìn)行認(rèn)證,若認(rèn)證未通過則轉(zhuǎn)步驟A4 ;否則,向PKI域的認(rèn)證中心CA發(fā)送訪問授權(quán)票據(jù)請求;
[0011]A2、訪問授權(quán)票據(jù)生成和發(fā)放
[0012]認(rèn)證中心CA驗(yàn)證認(rèn)證服務(wù)器AS的身份,若驗(yàn)證未通過則轉(zhuǎn)步驟A4 ;否則,生成Kerberos域的用戶訪問PKI域的資源的會話密鑰、包括該會話密鑰的訪問授權(quán)票據(jù),再對會話密鑰和訪問授權(quán)票據(jù)打包加密,然后發(fā)送給認(rèn)證服務(wù)器AS ;認(rèn)證服務(wù)器AS解密出會話密鑰和訪問授權(quán)票據(jù)并驗(yàn)證其有效性,若驗(yàn)證不通過則轉(zhuǎn)步驟A4 ;否則,將會話密鑰和訪問授權(quán)票據(jù)打包加密并發(fā)送給Kerberos域的用戶;
[0013]A3、雙向身份認(rèn)證及會話密鑰協(xié)商
[0014]Kerberos域的用戶解密提取出會話密鑰和訪問授權(quán)票據(jù),驗(yàn)證其有效性,若驗(yàn)證未通過則轉(zhuǎn)步驟A4,否則將自己的身份信息用該會話密鑰加密后并連同訪問授權(quán)票據(jù)一起發(fā)送給PKI域的資源;PKI域的資源解密訪問授權(quán)票據(jù)獲得并存儲會話密鑰,再用該會話密鑰解密出用戶的身份信息并驗(yàn)證用戶身份的有效性,若驗(yàn)證未通過則轉(zhuǎn)步驟Α4,否則將自己的身份信息用該會話密鑰加密發(fā)送給Kerberos域的用戶;Kerberos域的用戶用會話密鑰解密出資源的身份信息并驗(yàn)證資源身份的有效性,若驗(yàn)證未通過則轉(zhuǎn)步驟A4;否則,Kerberos域的用戶利用該會話密鑰安全訪問PKI域的資源;
[0015]A4、終止會話。
[0016]與現(xiàn)有技術(shù)相比,本發(fā)明第一種技術(shù)方案的有益效果是:
[0017]本發(fā)明的這種技術(shù)方案適用于Kerberos域的用戶訪問PKI域的資源時的身份認(rèn)證及會話密鑰協(xié)商。
[0018]由于CA和AS作為認(rèn)證服務(wù)器,具有較高的安全要求和較強(qiáng)的計算能力,而終端用戶特別是Kerberos域用戶計算能力較低,因此利用基于公鑰證書的認(rèn)證方式構(gòu)建認(rèn)證中心CA與認(rèn)證服務(wù)器AS間的第一級信任關(guān)系。在此基礎(chǔ)上,以認(rèn)證中心CA與認(rèn)證服務(wù)器AS作為各自域?qū)ν庹J(rèn)證的信任錨節(jié)點(diǎn),生成外域用戶訪問本域資源的訪問授權(quán)票據(jù),當(dāng)Kerberos域用戶訪問PKI域資源時,由PKI域的認(rèn)證中心CA生成Kerberos域用戶訪問PKI域資源的訪問授權(quán)票據(jù),并由用戶所在的Kerberos域認(rèn)證服務(wù)器AS安全轉(zhuǎn)發(fā)給用戶,進(jìn)而建立起用戶與被訪問資源間的基于對稱密鑰密碼體制的第二級信任關(guān)系。[0019]總之,本發(fā)明的這種分級認(rèn)證方案能有效適應(yīng)動態(tài)分布式系統(tǒng)異構(gòu)性的特點(diǎn),且滿足不同信任域?qū)τ嬎隳芰εc安全功能的不同需求;同時,在Kerberos域用戶訪問PKI域資源時,既保證了其安全性,又降低了計算復(fù)雜度。
[0020]上述的Al步驟中:
[0021]所述的Kerberos域的用戶向認(rèn)證服務(wù)器AS提出跨域訪問PKI域資源的認(rèn)證請求時的請求消息Mai為:
[0022]
[0023]其中IDu表示用戶的身份標(biāo)識,IDs表示PKI域資源的身份標(biāo)識,T1表示用戶U產(chǎn)生的時間戳,k?,AS表示用戶U和認(rèn)證服務(wù)器AS的共享對稱密鑰,{嗎具孤傾表示用共享對稱密鑰1%,AS對UDu, IDs, TJ加密;
[0024]所述的認(rèn)證服務(wù)器AS對Kerberos域的用戶身份進(jìn)行認(rèn)證的具體做法是:
[0025]認(rèn)證服務(wù)器AS接收到請求消息M1后,用kUiAS解密叫?得到用戶的解密
身份標(biāo)識ID’ ?、解密的時間戳T’ !;當(dāng)解密身份標(biāo)識ID’ υ與請求消息M1中明文的用戶的身份標(biāo)識IDu —致且解密的時間戳Τ’ !具有新鮮性,則認(rèn)證通過,否則,認(rèn)證不通過;
[0026]所述的認(rèn)證服務(wù)器AS向PKI域的認(rèn)證中心CA發(fā)送訪問授權(quán)票據(jù)請求的具體做法是:
[0027]認(rèn)證服務(wù)器AS產(chǎn)生新的時間戳T2,向資源所在域的認(rèn)證中心CA發(fā)送訪問授權(quán)票據(jù)請求Ma2:
【權(quán)利要求】
1.一種基于訪問授權(quán)票據(jù)的跨異構(gòu)域身份認(rèn)證及會話密鑰協(xié)商方法,其步驟包括:首先,PKI (公鑰基礎(chǔ)設(shè)施)域中的認(rèn)證中心CA與Kerberos (私鑰認(rèn)證體制)域中的認(rèn)證服務(wù)器AS通過公鑰證書進(jìn)行交互認(rèn)證;然后,Kerberos域的用戶和PKI域的資源通過訪問授權(quán)票據(jù)進(jìn)行交互認(rèn)證和會話密鑰協(xié)商,其特征在于: 所述的Kerberos域的用戶和PKI域的資源通過訪問授權(quán)票據(jù)進(jìn)行交互認(rèn)證和會話密鑰協(xié)商的具體方法是: Al、訪問授權(quán)票據(jù)請求 Kerberos域的用戶向認(rèn)證服務(wù)器AS提出跨域訪問資源的認(rèn)證請求,認(rèn)證服務(wù)器AS對Kerberos域的用戶身份進(jìn)行認(rèn)證,若認(rèn)證未通過則轉(zhuǎn)步驟A4 ;否則,向PKI域的認(rèn)證中心CA發(fā)送訪問授權(quán)票據(jù)請求; A2、訪問授權(quán)票據(jù)生成和發(fā)放 認(rèn)證中心CA驗(yàn)證認(rèn)證服務(wù)器AS的身份,若驗(yàn)證未通過則轉(zhuǎn)步驟A4 ;否則,生成Kerberos域用戶訪問PKI域資源的會話密鑰、包括該會話密鑰的訪問授權(quán)票據(jù),再對會話密鑰和訪問授權(quán)票據(jù)打包加密,然后發(fā)送給認(rèn)證服務(wù)器AS ;認(rèn)證服務(wù)器AS解密出會話密鑰和訪問授權(quán)票據(jù)并驗(yàn)證其有效性,若驗(yàn)證不通過則轉(zhuǎn)步驟A4;否則,將會話密鑰和訪問授權(quán)票據(jù)打包加密并發(fā)送給Kerberos域的用戶; A3、雙向身份認(rèn)證及會話密鑰協(xié)商 Kerberos域用戶解密提取出會話密鑰和訪問授權(quán)票據(jù),驗(yàn)證其有效性,若驗(yàn)證未通過則轉(zhuǎn)步驟A4,否則將自己的身份信息用該會話密鑰加密后并連同訪問授權(quán)票據(jù)一起發(fā)送給PKI域資源;PKI域資源解密訪問授權(quán)票據(jù)獲得并存儲會話密鑰,再用該會話密鑰解密出用戶的身份信息并驗(yàn)證Kerberos域用戶身份的有效性,若驗(yàn)證未通過則轉(zhuǎn)步驟A4,否則將自己的身份信息用該會話密鑰加密發(fā)送給Kerberos域用戶;Kerberos域用戶用會話密鑰解密出資源的身份信息并驗(yàn)證資源身份的有效性,若驗(yàn)證未通過則轉(zhuǎn)步驟A4;否則,Kerberos域用戶利用該會話密鑰安全訪問PKI域資源; A4、終止會話。
2.根據(jù)權(quán)利要求1所述的一種基于訪問授權(quán)票據(jù)的跨異構(gòu)域身份認(rèn)證及會話密鑰協(xié)商方法,其特征在于: 所述的Al步驟中: 所述的Kerberos域用戶向認(rèn)證服務(wù)器AS提出跨域訪問PKI域資源的認(rèn)證請求時的請求消息M41為: MA1= \ ' ".A,A Itl ASI 其中IDu表示Kerberos域用戶的身份標(biāo)識,IDs表示PKI域資源的身份標(biāo)識,T1表示Kerberos域用戶產(chǎn)生的時間戳,ku;AS表示Kerberos域用戶和認(rèn)證服務(wù)器AS的共享對稱密鑰,、、表示用對稱密鑰ku,A/ UDu, IDs, TJ加密; 所述的認(rèn)證服務(wù)器AS對Kerberos域用戶身份進(jìn)行認(rèn)證的具體做法是: 認(rèn)證服務(wù)器AS接收到請求消息M1后,用Iiius解?丨〃(,〃m,得到Kerberos域用戶的解密身份標(biāo)識ID’?、解密的時間戳T1 ;當(dāng)解密身份標(biāo)識ID’?與請求消息Mai中明文的Kerberos域用戶的身份標(biāo)識IDu —致且解密的時間戳T’ i具有新鮮性,則認(rèn)證通過,否則,認(rèn)證不通過; 所述的認(rèn)證服務(wù)器AS向PKI域的認(rèn)證中心CA發(fā)送訪問授權(quán)票據(jù)請求的具體做法是:認(rèn)證服務(wù)器AS產(chǎn)生新的時間戳T2,向PKI域資源所在域的認(rèn)證中心CA發(fā)送訪問授權(quán)票據(jù)請求Ma2:
Ma2 =丨//),,//{.、,!1\, //)s, T2,SIGN^ },、、 其中IDas表示認(rèn)證服務(wù)器的身份標(biāo)識,IDca表示認(rèn)證中心的身份標(biāo)識,sign^表示認(rèn)證服務(wù)器AS用私鑰SKas對消息{IDas,IDca, IDu, IDs, T2I的簽名,[ID^JDrxJD,SIGNskJi^表示用認(rèn)證中心CA的公鑰PKca對消息 \II)^n)cx,II\ ,fJ)s,r:,S7GN~J_ ; 所述的A2步驟中: 所述的認(rèn)證中心CA驗(yàn)證認(rèn)證服務(wù)器AS的身份的具體做法為: 認(rèn)證中心CA收到Ma2后,用私鑰SKa解密MA2,解密得到認(rèn)證服務(wù)器AS的簽名SIGNas及時間戳T2,若驗(yàn)證簽名SIGNas正確,并且T2是具有新鮮性,則認(rèn)證服務(wù)器AS的身份驗(yàn)證通過,否則驗(yàn)證不通過; 所述的認(rèn)證中心CA生成Kerberos域的用戶訪問PKI域的資源的會話密鑰、包括該會話密鑰的訪問授權(quán)票據(jù),再對會話密鑰和訪問授權(quán)票據(jù)打包加密,然后發(fā)送給認(rèn)證服務(wù)器AS的具體做法為: 認(rèn)證中心CA產(chǎn)生Kerberos域的用戶和PKI域的資源之間的會話密鑰及其使用期限It Cku s的起止時間),新的時間戳T3,認(rèn)證中心CA為Kerberos域用戶生成的用于訪問PKI域資源的訪問授權(quán)票據(jù)TKT,作為認(rèn)證中心CA信任Kerberos域用戶的憑證:
TKi' = IIDca, ID1 ? k{ Signsk-、\rKs 其中,signSKcx表示用認(rèn)證中心CA的私鑰SKca對{IDca,IDu, ku;s, It}簽名,
[IDca,ID11,Arus,It,signSKcA}PKg 表示用 PKI 域資源的公鑰?KS 對{IDCA,IDv,kvsJt,signSKCJ 加密; 然后,認(rèn)證中心CA生成消息Ma3發(fā)送給認(rèn)證服務(wù)器AS: Mm = UDcx, IDxs, Il\; IDH,kv^ΤΚ?\T^SIGN^
其中,SIGNskcx 表示用認(rèn)證中心 CA 的私鑰 SKca 對{IDCA,IDas, IDu, IDs, ku;s, It, TKT, T3I簽名,丨〃立7燈的公鑰PUi
JlXAi 漢rj;.‘y/GW.v/w.j 加密; 所述的認(rèn)證服務(wù)器AS解密出會話密鑰和訪問授權(quán)票據(jù)并驗(yàn)證其有效性的具體做法是: 認(rèn)證服務(wù)器AS用私鑰SKas解密Ma3得到證認(rèn)證中心CA簽名及時間戳T3,驗(yàn)證SIGNSKCA的有效性和T3的新鮮性,若效性且T3新鮮,,則驗(yàn)證通過,否則不通過;將解密得到的ku,s、It、TKT連同認(rèn)證服務(wù)器AS新產(chǎn)生的時間戳T4 一起用Kerberos域用戶和認(rèn)證服務(wù)器AS之間的共享密鑰Icius加密作為消息Ma4發(fā)送給用戶:
3.一種基于訪問授權(quán)票據(jù)的跨異構(gòu)域身份認(rèn)證及會話密鑰協(xié)商方法,其步驟包括:首先,PKI (公鑰基礎(chǔ)設(shè)施)域中的認(rèn)證中心CA與Kerberos (私鑰認(rèn)證體制)域中的認(rèn)證服務(wù)器AS通過公鑰證書進(jìn)行交互認(rèn)證;然后,PKI域的用戶和Kerberos域的資源通過訪問授權(quán)票據(jù)進(jìn)行交互認(rèn)證和會話密鑰協(xié)商,其特征在于: 所述的PKI域的用戶和Kerberos域的資源通過訪問授權(quán)票據(jù)進(jìn)行交互認(rèn)證的具體方法是: B1、票據(jù)授予票據(jù)請求 PKI域的用戶向認(rèn)證中心CA提出跨域訪問資源的請求,認(rèn)證中心CA對PKI域的用戶身份進(jìn)行認(rèn)證后,向Kerberos域的認(rèn)證服務(wù)器AS提出訪問Kerberos域資源的請求; B2、票據(jù)授予票據(jù)生成和發(fā)放 認(rèn)證服務(wù)器AS驗(yàn)證認(rèn)證中心CA的身份,若驗(yàn)證不通過則轉(zhuǎn)步驟B6 ;否則,生成PKI域的用戶訪問Kerberos域的票據(jù)授予服務(wù)器TGS的對稱密鑰、包含該對稱密鑰的票據(jù)授權(quán)票據(jù),并打包加密發(fā)送給認(rèn)證中心CA ;認(rèn)證中心CA解密出對稱密鑰和票據(jù)授權(quán)票據(jù)并驗(yàn)證其有效性,若驗(yàn)證不通過則轉(zhuǎn)步驟B6 ;否則,將對稱密鑰和票據(jù)授權(quán)票據(jù)打包加密發(fā)送給PKI域的用戶; B3、訪問授權(quán)票據(jù)請求 PKI域的用戶解密提取出對稱密鑰和票據(jù)授權(quán)票據(jù),驗(yàn)證票據(jù)授權(quán)票據(jù)和認(rèn)證中心CA身份的有效性,若驗(yàn)證不通過則轉(zhuǎn)步驟B6 ;否則,用該對稱密鑰加密自己的身份信息連同票據(jù)授予票據(jù)一起作為跨域訪問Kerberos域資源的請求,發(fā)送給票據(jù)授予服務(wù)器TGS ; B4、訪問授權(quán)票據(jù)生成和發(fā)放 票據(jù)授予服務(wù)器TGS解密獲得對稱密鑰,用此對稱密鑰解密出PKI域用戶的身份信息并對PKI域用戶身份進(jìn)行認(rèn)證,若認(rèn)證`不通過則轉(zhuǎn)步驟B6 ;否則,生成PKI域用戶訪問Kerberos域資源的會話密鑰和包含該會話密鑰的訪問授權(quán)票據(jù),再對會話密鑰和訪問授權(quán)票據(jù)打包加密,然后發(fā)送給用戶; B5、雙向身份認(rèn)證及會話密鑰協(xié)商:PKI域用戶解密提取出會話密鑰和訪問授權(quán)票據(jù),驗(yàn)證其有效性,若驗(yàn)證不通過則轉(zhuǎn)步驟Β6 ;否則,將自己的身份信息用該會話密鑰加密后連同訪問授權(quán)票據(jù)一起發(fā)送給Kerberos域資源;Kerberos域資源解密訪問授權(quán)票據(jù)獲得并存儲會話密鑰,再用該會話密鑰解密出PKI域用戶的身份信息并驗(yàn)證PKI域用戶身份的有效性,然后將自己的身份信息用該會話密鑰加密發(fā)送給PKI域用戶;PKI域用戶用該會話密鑰解密出資源的身份信息并驗(yàn)證資源身份的有效性后,若驗(yàn)證通過則可利用該會話密鑰安全訪問Kerberos域資源,否則轉(zhuǎn)步驟B6 ; B6、終止會話。
4.根據(jù)權(quán)利要求3所述的一種基于訪問授權(quán)票據(jù)的跨異構(gòu)域身份認(rèn)證及會話密鑰協(xié)商方法,其特征在于: 所述的BI步驟中: 所述的PKI域的用戶向認(rèn)證中心CA提出跨域訪問資源的請求,請求消息Mbi為: 其中,T1為用戶產(chǎn)生的時間戳,顧^表示用PKI域用戶的私鑰SKu對UDu, IDs, TJ產(chǎn)生的簽名,iJDx^IDsJvSIGNsKv }ρ^α表示用認(rèn)證中心CA的公鑰PKCA對
【文檔編號】H04L9/32GK103780618SQ201410028603
【公開日】2014年5月7日 申請日期:2014年1月22日 優(yōu)先權(quán)日:2014年1月22日
【發(fā)明者】張文芳, 饒宇, 王小敏 申請人:西南交通大學(xué)