[发明专利]一种基于标识的通用跨域认证方法

说明书

本发明涉及信息安全领域，尤其涉及一种基于标识的通用跨域认证方法。该方法包括以下步骤：接收本域中用户提交的带有用户身份信息的标识申请，并对用户身份信息进行验证；若验证通过，则根据用户身份信息生成用户标识信息分别发送至用户和被访问域；利用标识密钥管理装置根据用户标识信息生成用户标识密钥，并将用户标识密钥中的私钥发送给用户；被访问域接收用户提交的带有用户标识信息的跨域访问请求，并对用户标识信息进行验证，若验证通过，则向用户提供与跨域访问请求相对应的访问资源。本发明的方法中，用户通过标识信息能够方便的进行跨域访问，解决了多个域之间用户跨域认证的问题，具有安全方便的优点。

技术领域

本发明涉及信息安全领域，尤其涉及一种基于标识的通用跨域认证方法。

背景技术

公钥基础设施PKI(Public Key Infrastructure)是提供公钥加密和数字签名服务的系统，它用根CA(Certification Authority，电子商务认证授权机构)签名的证书来证明密钥和用户的对应关系，同时对密钥和证书进行管理。PKI采用了层次CA、桥CA等信任链来扩充密钥管理和解决跨域认证问题。这是一种层级和链条为主导的策略，导致了机构膨胀和信任关系的退化。

1984年，密码学家Shamir引入了基于标识的密码体制的概念。在该密码体制下，用户的公钥就是用户的标识信息，因此，标识公钥密码系统可以解决公钥与实体标识的绑定问题，从而避免了传统公钥密码体制中的证书管理问题。2001年，Boneh和Franklin利用双线性配对实现基于身份的加密方案(Identity-Based Encryption，IBE)。2003年，我国南相浩等提出基于椭圆曲线密钥系统的组合公钥技术(Combined Public Key，CPK)，其核心思想是：构造随机整数矩阵作为私钥种子矩阵，对应地计算出公钥种子矩阵，用映射算法完成用户标识与矩阵行列坐标的对应，分别用大整数加法和ECC(椭圆加密算法)点加计算出私钥和公钥。目前跨域认证方案无论基于IBE还是基于CPK，绝大部分采用相互签发矩阵标识，各系统用户拥有自己的用户标识以及自己所属系统与跨域机构相互签发的矩阵标识方式，在跨域用户相互认证时，交换用户标识、两个矩阵标识，通过跨域机构完成矩阵信任的管理。

以上跨域认证方式要么仅支持PKI(公钥基础设施)要么仅支持标识密码体制，目前缺少对各类认证体系比如PKI、IBE、CPK均支持的通用跨域认证方法。

因此，急需一种基于标识的通用跨域认证方法。

发明内容

本发明提供了一种基于标识的通用跨域认证方法，以便于解决多个域之间用户跨域认证的问题。

本发明提供了一种基于标识的通用跨域认证方法，包括以下步骤：

接收本域中用户提交的带有用户身份信息的标识申请，并对用户身份信息进行验证；

若验证通过，则根据用户身份信息生成用户标识信息分别发送至用户和被访问域；

利用标识密钥管理装置根据用户标识信息生成用户标识密钥，并将用户标识密钥中的私钥发送给用户；

被访问域接收用户提交的带有用户标识信息的跨域访问请求，并对用户标识信息进行验证，若验证通过，则向用户提供与跨域访问请求相对应的访问资源。

进一步地，对用户身份信息进行验证的方式为验证用户身份信息与预设用户身份信息是否一致，若一致，则验证通过。

进一步地，还包括步骤：用户利用私钥对跨域访问请求进行加密，并将加密后的跨域访问请求发送至被访问域。

进一步地，还包括步骤：将用户标识信息进行存储。

进一步地，被访问域对用户标识信息进行验证的方式为验证用户标识信息与预存的用户标识信息进行比对，若相同，则验证通过。