[发明专利]一种基于双线性群的跨域联盟认证方法

说明书

技术领域

本发明涉及一种网络安全认证方法，特别涉及一种基于双线性群的跨域联盟认证方法，属于网络通讯安全领域。

背景技术

多域联盟(MDU)发生在大型网络中，服务和接入点都分布在多个域中。在分布式网络环境中，公司、机构都有自己的共享资源，为防止未经授权的用户访问这些共享资源，各机构都设置本地认证服务设备来提供认证服务。因此，各机构形成了相对独立的信任域，各域的内部用户相信本地的认证中心，各域的认证中心为本地用户访问共享资源提供便利的认证服务。但在大量的服务需求情况下，如实现云计算的按需需求，随时随地访问资源等，单个域是无法满足的，需要通过多域的资源请求来实现。因此，共享资源的请求不仅来自于本域的内部成员，也来自于域外部的请求。当外地信任域的用户实体访问本信任域的资源时就存在跨域的身份认证问题。

跨域认证有很多实际的应用，如网格环境中虚拟组织内部多个异构的域之间的实体认证，无线网络环境中的漫游接入认证等。现有特定环境下的跨信任域认证框架主要有两个：一是基于对称密钥系统的认证框架(如Kerberos)，这种方案涉及到对称密钥管理及密钥协商的复杂性，不能有效地处理匿名问题。二是基于传统的PKI认证框架，公钥密码体制的证书处理工作过于繁重尤其是证书状态查询和证书路径构造，以及证书的传递都带来开销，当跨域访问资源过于频繁时容易造成认证中心网络瓶颈问题。此外，在一篇认证协议文献中提出了一种新的基于身份的多信任域认证模型，该模型是以信任对方的权威机构为前提，且各域的密钥协商参数要保持相同，有一定的局限性，不能防御认证中心冒充域内成员的行为。同一个域的内部资源访问认证问题可以通过基于身份签名采用签密方案实现，由于其限制在一个域的范围，在基于身份的多信任域网格认证模型的有关文献中对其进行了扩展，使之在域间实现认证，这种方案的前提是假设各方的PKG是诚实的，因为PKG拥有本域内部成员私钥，若PKG是恶意的，则用户身份的真实性和私钥的机密性都得不到保证。

随着网格计算、云计算等网络资源服务技术的发展，这种具有无限空间的，无限速度的智能服务，需要多个领域协同完成。为保证各领域资源访问的安全性，迫切需要新的跨域联盟认证方案来保证跨域认证的安全性和使用的便捷性。

发明内容

本发明的目的是针对现有技术的缺点，提供一种跨域联盟认证方法，保证网络资源访问的安全性和使用的便捷性。

本发明提出了一种新的跨域联盟认证方法，该方法是以域间签密为基础来设计的，各域间的认证中心使用的参数不必相同，各域内部成员的私钥以盲密钥的形式发给本域认证中心来注册身份，因此认证中心没有成员的私钥，不必担心认证中心的冒充和欺骗。同时该方法具有较好的匿名性，在资源访问遇到纠纷时可以追踪实体，能够较好的防御各种协议的攻击行为。

本发明的方法是基于有限群的自同构群和双线性群理论提出的，对本发明的理论基础概述如下：

一、有限群的自同构群

设G是群，AutG表示G的自同构群，G的中心为C(G)，生成元为g的循环群记为<g>。若G是有限群，则G的阶记为|G|。若G是有限群，如果有|G|＝pⁿ(n＞0)，称G为p-群(p为素数)。

设H是有限群的p-子群，如果H是G的阶的素因子分解中关于p的最高次幂，称H为G的sylow p-子群。

引理1：设G是有限Abel群，p₁，p₂，...，p_n是|G|的全部素因子，是G的sylow p_i-子群，则有直积分解

引理2：设G＝G₁×G₂×...×G_n，若K_i是G_i的子群，且K₁，K₂，...，K_n互相同构，则G有n个互相同构的子群。

引理3：设G₁＝<g₁>，G₂＝<g₂>是阶分别为m，n的循环群，如果(m，n)＝1，则G₁×G₂是阶为mn循环群。

二、双线性群