本發(fā)明涉及身份驗(yàn)證，具體涉及一種云環(huán)境下的跨域身份認(rèn)證方法及系統(tǒng)。

背景技術(shù)：

1、云數(shù)據(jù)中心已經(jīng)成為系統(tǒng)搭建的常規(guī)手段，當(dāng)采用單一云數(shù)據(jù)中心搭建系統(tǒng)時(shí)，一旦單一云數(shù)據(jù)中心因?yàn)殡娏蛲ㄐ诺葐栴}而發(fā)生故障時(shí)，依舊會(huì)導(dǎo)致系統(tǒng)癱瘓，基于此，可以搭建分布式云環(huán)境來解決上述問題。分布式云環(huán)境的各個(gè)信任域內(nèi)的用戶相互認(rèn)證是容易實(shí)現(xiàn)的，但是不同信任域因?yàn)椴换バ?，所以跨域用戶相互認(rèn)證則很難實(shí)現(xiàn)?；谧C書管理的跨域方案可以實(shí)現(xiàn)跨域用戶認(rèn)證，但如果將其應(yīng)用于基于標(biāo)識(shí)的密碼體系（ibc，identity-based?cryptograph）中，則會(huì)在基于標(biāo)識(shí)的密碼體系中引入證書管理的問題，違背了基于標(biāo)識(shí)的密碼體系無證書的設(shè)計(jì)原則。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種云環(huán)境下的跨域身份認(rèn)證方法及系統(tǒng)，以解決在跨域身份認(rèn)證時(shí)，在基于標(biāo)識(shí)的密碼體系中引入證書管理的問題。

2、本發(fā)明通過下述技術(shù)方案實(shí)現(xiàn)：

3、一種云環(huán)境下的跨域身份認(rèn)證方法，該方法應(yīng)用于分布式云環(huán)境下的跨域用戶身份驗(yàn)證；

4、分布式云環(huán)境包括若干信任鏈，信任鏈包括若干不同層級(jí)的信任域，信任域包括若干用戶；

5、信任域的私鑰根據(jù)該信任域的標(biāo)識(shí)和上一級(jí)信任域的私鑰生成；

6、分布式云環(huán)境還包括根信任域，根信任域?yàn)槿舾尚湃捂溕献钌霞?jí)信任域的上一級(jí)信任域；

7、方法包括如下步驟：

8、s1、第一用戶向第二用戶發(fā)送身份驗(yàn)證請(qǐng)求；

9、第一用戶和第二用戶分別位于不同的信任鏈上；

10、身份驗(yàn)證請(qǐng)求包括：第一用戶所屬信任域及該信任域所屬信任鏈上的所有上級(jí)信任域的標(biāo)識(shí)、公鑰和驗(yàn)證參數(shù)；

11、信任域的驗(yàn)證參數(shù)根據(jù)該信任域的標(biāo)識(shí)和上一級(jí)信任域的私鑰生成；

12、s2、第二用戶根據(jù)身份驗(yàn)證請(qǐng)求及根信任域的公鑰驗(yàn)證第一用戶的身份。

13、2.根據(jù)權(quán)利要求1的云環(huán)境下的跨域身份認(rèn)證方法，其特征在于，

14、根信任域的私鑰為隨機(jī)生成。

15、在一些實(shí)施例中，信任域和根信任域的公鑰根據(jù)其私鑰和橢圓曲線算法生成。

16、在一些實(shí)施例中，信任域的私鑰根據(jù)該信任域的標(biāo)識(shí)和上一級(jí)信任域的私鑰生成包括：用信任域的上一級(jí)信任域的私鑰對(duì)信任域的標(biāo)識(shí)進(jìn)行簽名，再利用哈希算法計(jì)算信任域的私鑰。

17、在一些實(shí)施例中，簽名為非確定性簽名。

18、在一些實(shí)施例中，信任域還包括密鑰生成中心，密鑰生成中心用于保存信任域的公鑰和私鑰。

19、一種云環(huán)境下的跨域身份認(rèn)證系統(tǒng)，包括分布式云環(huán)境；

20、分布式云環(huán)境包括若干信任鏈，信任鏈包括若干不同層級(jí)的信任域，信任域包括若干用戶；

21、信任域的私鑰根據(jù)該信任域的標(biāo)識(shí)和上一級(jí)信任域的私鑰生成；

22、分布式云環(huán)境還包括根信任域，根信任域?yàn)槿舾尚湃捂溕献钌霞?jí)的信任域的上一級(jí)信任域；

23、第一用戶和第二用戶為分別位于不同的信任鏈上的信任域內(nèi)的用戶；

24、第一用戶向第二用戶發(fā)送身份驗(yàn)證請(qǐng)求；

25、身份驗(yàn)證請(qǐng)求包括：第一用戶所屬信任域及該信任域所屬信任鏈上的所有上級(jí)信任域的標(biāo)識(shí)、公鑰和驗(yàn)證參數(shù)；

26、信任域的驗(yàn)證參數(shù)根據(jù)該信任域的標(biāo)識(shí)和上一級(jí)信任域的私鑰生成；

27、第二用戶根據(jù)身份驗(yàn)證請(qǐng)求及根信任域的公鑰驗(yàn)證第一用戶的身份。

28、本發(fā)明與現(xiàn)有技術(shù)相比，具有以下優(yōu)點(diǎn)及有益效果：

29、1、本發(fā)明搭建的云環(huán)境共享一個(gè)根信任域，且各個(gè)信任域的公鑰、私鑰根據(jù)該信任域的標(biāo)識(shí)和上級(jí)信任域私鑰生成，由此形成了一串可追溯的密鑰鏈，當(dāng)一個(gè)用戶接收到待驗(yàn)證身份的用戶發(fā)來的一連串的標(biāo)識(shí)和公鑰，即可通過驗(yàn)證每個(gè)標(biāo)識(shí)和公鑰的正確性來驗(yàn)證該待驗(yàn)證身份的用戶的身份，成功實(shí)現(xiàn)了無證書管理的跨域身份認(rèn)證。

30、2、本發(fā)明的跨域身份認(rèn)證方法由于采用的是無證書管理的方案，在認(rèn)證時(shí)無需逐級(jí)解析證書，在驗(yàn)證效率和通信開銷上都優(yōu)于基于證書管理的跨域認(rèn)證方案。

技術(shù)特征：

1.一種云環(huán)境下的跨域身份認(rèn)證方法，其特征在于，

2.根據(jù)權(quán)利要求1所述的云環(huán)境下的跨域身份認(rèn)證方法，其特征在于，

3.根據(jù)權(quán)利要求1所述的云環(huán)境下的跨域身份認(rèn)證方法，其特征在于，

4.根據(jù)權(quán)利要求1所述的云環(huán)境下的跨域身份認(rèn)證方法，其特征在于，

5.根據(jù)權(quán)利要求4所述的云環(huán)境下的跨域身份認(rèn)證方法，其特征在于，

6.根據(jù)權(quán)利要求1所述的云環(huán)境下的跨域身份認(rèn)證方法，其特征在于，

7.一種云環(huán)境下的跨域身份認(rèn)證系統(tǒng)，其特征在于，

技術(shù)總結(jié)
本發(fā)明公開了一種云環(huán)境下的跨域身份認(rèn)證方法及系統(tǒng)，該方法應(yīng)用于分布式云環(huán)境下的跨域用戶身份驗(yàn)證；該分布式云環(huán)境包括若干信任鏈和根信任域，信任鏈包括若干不同層級(jí)的信任域；信任域的私鑰根據(jù)該信任域的標(biāo)識(shí)和上一級(jí)信任域的私鑰生成；該身份認(rèn)證方法包括如下步驟：S1、第一用戶向第二用戶發(fā)送包括第一用戶所在信任域及其上級(jí)所有信任域的標(biāo)識(shí)、公鑰、驗(yàn)證參數(shù)的身份驗(yàn)證請(qǐng)求；其中驗(yàn)證參數(shù)根據(jù)該信任域的標(biāo)識(shí)和上一級(jí)信任域的私鑰生成；S2、第二用戶根據(jù)身份驗(yàn)證請(qǐng)求及根信任域的公鑰驗(yàn)證第一用戶的身份。本發(fā)明通過層級(jí)化構(gòu)建的云環(huán)境成功實(shí)現(xiàn)了無證書管理的跨域身份認(rèn)證，其驗(yàn)證效率和通信開銷都優(yōu)于基于證書管理的跨域認(rèn)證方案。

技術(shù)研發(fā)人員：肖建飛,陳鐘,張建軍,董文強(qiáng),梁世潭,于俊,吉鎏,龔琳琳,黃玉蓮,王輝
受保護(hù)的技術(shù)使用者：四川中電啟明星信息技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/5