[发明专利]IBC域内的用户访问PKI域内的资源的认证密钥协商方法

说明书

一种IBC域内的用户访问PKI域内的资源的认证密钥协商方法，其主要操作步骤是：A、申请访问：IBC域的用户向本域的认证服务器发出访问PKI域的资源的请求，IBC域认证服务器认证用户身份合法性后转发用户的访问请求给PKI域的认证服务器；B、生成访问授权票据并发送；C、双向身份认证以及协商会话密钥：会话密钥是由会话密钥的认证服务器部分和填充后的用户部分进行异或处理得到的；D、重认证：当会话密钥的用户部分超出其生命周期，但会话密钥的认证服务器部分仍在其生命周期中，若IBC域的用户仍需访问PKI域的资源，则可以进行快速重认证；E、中止会话。该方法能有效实现IBC域内的用户访问PKI域内的资源的认证密钥协商，其消耗资源少，安全性高。

技术领域

本发明属于信息通信中跨异构域认证与密钥协商技术领域。

背景技术

分布式的网络环境的各种应用，例如虚拟企业，即时通信系统等等，用户与其想要访问的信息资源往往都处于不同的信任域中。而不同的信任域可能会基于不同的密码体制，例如基于Kerberos的密码体制，基于PKI(公钥基础设施)的密码体制以及基于IBC(基于身份的密码技术)的密码体制等等。同构域之间的认证密钥协商方法已经有较多的研究，并且已形成标准并被广泛应用。用于PKI以及Kerberos两个域之间的认证密钥协商方法也有较多的研究。但IBC域的用户访问PKI域的资源时的认证密钥协商方法，却很少有人研究。而在分布式网络下的诸如虚拟企业，敏捷制造等应用场景下，IBC域的用户访问PKI域的资源的应用需求很多。

现有的IBC域的用户访问PKI域的资源时的认证密钥协商文献只有：

文献1“异构域的跨域授权”(孟欣,胡亮,初剑峰,等.异构信任域的跨域授权[J].吉林大学学报理学版,2010,48(1):89-93.)依托于PKI同构域之间的互信互联体系，采用身份映射，跨域授权两部分内容实现跨IBC与PKI域之间的可信互联。但是该文献中大量多次使用到证书，证书在传递，存储过程中都会消耗大量的资源，与人们当初设计IBC密码体制的初衷不符；采用身份映射的方式很不直接，在现实的应用中可行性不高。并且该文献只是用身份映射，信任传递的方式来实现认证的思想，没有具体的方案流程，只能算作是一种新的跨域授权的思想而不是一个可以直接实现的方案。

发明内容

本发明的目的是提供一种IBC域内的用户访问PKI域内的资源的认证密钥协商方法，该方法能有效实现IBC域内的用户访问PKI域内的资源的认证密钥协商，其消耗资源少，安全性高。

本发明实现其发明目的所采用的技术方案是，一种IBC域内的用户访问PKI域内的资源的认证密钥协商方法，其操作步骤是：

A、申请访问

IBC域的用户U向IBC域的认证服务器TA发出访问PKI域的资源S的请求，IBC域认证服务器TA对IBC域的用户U的身份合法性进行认证；若认证未通过，则跳转至步骤E；否则，向PKI域认证服务器CA转发IBC域的用户U的访问请求，并且向该用户U发送PKI域认证服务器CA的公钥PK_CA；

B、生成访问授权票据并发送

PKI域认证服务器CA对IBC域认证服务器TA进行身份认证，若认证未通过，则跳转至步骤E；否则，PKI域认证服务器CA生成IBC域的用户U访问PKI域内资源S的会话密钥K的认证服务器部分K₁，并且加密、生成对应的访问授权票据Ticket₁；同时，PKI域认证服务器CA通过IBC域认证服务器TA发送来的访问请求中的IBC域的用户U的身份标识ID_U，计算出IBC域的用户U的公钥Q_U；