[发明专利]基于联盟链的Kerberos及PKI安全域间的跨域认证方法

说明书

本发明涉及一种联盟链的Kerberos及PKI安全域间的跨域认证方法，属于计算机安全技术领域。包括构建基于联盟链的Kerberos及PKI域间身份认证模型、Kerberos安全域到PKI安全域初次跨域身份认证、PKI安全域到Kerberos安全域初次跨域身份认证、Kerberos安全域到PKI安全域的跨域重身份认证。本发明以区块链模型作为基础，采用联盟链的共识机制，提出PKI域与Kerberos域间实体认证方法，使得跨域认证证书可以可靠、防篡改地存放在不同安全域中，在保证安全性、可靠性的同时实现了跨域的身份认证。

技术领域

本发明涉及不同实体间的跨域认证技术，具体为基于区块链技术，实现Kerberos安全域与PKI安全域之间认证技术。

背景技术

随着信息化和网络化的发展，当前已经进入大数据时代。随着大数据从概念走向价值，大数据安全与隐私问题日益突出。

在互联网中，分布式环境下数据的共享和交换需要安全的保证，跨域认证是实现大数据安全共享和交换的重要手段。区域链技术可以降低分布式环境下大数据共享和交换的成本，增强共享和交换的数据信任。

传统的身份认证技术一般采用基于中心化的CA机构，这种中心化的模式有一定的缺陷：中心化的管理使得身份信息存在被攻击或信息泄露的风险；各个组织对于身份信息的认证不能实现共享和兼容，难以解决跨域的身份认证实际应用场景。

发明内容

要解决的技术问题

本发明针对跨域身份认证难以管理，无法不同安全域之间身份信息共享以及域间认证无法兼容等技术问题，提出一种基于区块链的跨域身份认证技术，以实现域间身份的可信共享，保证跨域身份认证的可靠性、安全性以及兼容性。

技术方案

一种基于联盟链的Kerberos及PKI安全域间的跨域认证方法，其特征在于步骤如下：

步骤1：构建基于联盟链的Kerberos及PKI域间身份认证模型

PKI安全域指定一个区块链证书服务器BCCA作为联盟链中的认证节点域，Kerberos安全域指定一个区块链身份认证服务器BCAS作为联盟链中的认证节点域；在KPI安全域和Kerberos安全域中，每个域节点首先需要完成在本域中的身份认证及授权；

步骤2：Kerberos安全域到PKI安全域初次跨域身份认证

Kerberos安全域中的节点首次发起跨域认证请求时，先向KDC服务器发送请求，KDC通过协议认证目标域实体身份，将身份信息生成跨域证书存储到区块链上，认证信息在区块链上保证无法被篡改，且按照共识协议被多个跨域节点确认，实现身份认证信息存储的去中心化；

(1)M₁(C_ker-KDC):En^DES(ID_Ker,ID_PKI,Request₁)