[发明专利]一种用于分布式网络系统的跨信任域认证方法

摘要

本发明公开了一种用于分布式网络系统的跨信任域认证方法，该方法采用基于椭圆曲线密码体制的分布式密钥生成和门限签名机制构建虚拟桥认证中心VBCA，并借助虚拟桥认证中心VBCA完成分布式网络系统中不同信任域实体间的跨域交互认证，该发明方法具备对各种组织结构普适、敏捷动态、成本低、认证路径短、比特安全性高、效率高和易于硬件实现等优点，有利于解决动态分布式网络系统在终端资源或通信带宽受限情况下的不同信任域实体间的跨域交互认证问题，在云计算和云存储网络、物联网、无线传感器网络、敏捷制造系统、虚拟组织中具有广泛的应用前景。

主权项

一种用于分布式网络系统的跨信任域认证方法，其方法步骤是：A、虚拟桥认证中心的创建A1、分布式网络系统的所有成员信任域Di(i＝1,2,…,m)共同选择系统的公共参数：密码算法的有限域GF上的椭圆曲线E及椭圆曲线E上的q阶基点P，秘密共享门限值t，其中，i为成员信任域的序号，m为成员信任域的个数，q为椭圆曲线E的阶的大素因子；A2、所有成员信任域Di根据分布式网络系统的组织模式及各信任域间的合作关系，协商并公布各成员信任域Di的权限集Vi，满足其中，∪为集合的并运算，n为分布式网络系统中密钥影子dv的总个数；A3、各成员信任域Di的信任锚认证中心CAi根据其权限集Vi，利用可验证秘密共享机制和基于椭圆曲线密码体制的分布式密钥生成协议生成虚拟桥认证中心VBCA的公钥Q及相应的密钥影子集{(v,dv,Qv)}，其中，v为信任锚认证中心CAi的权限值且v∈Vi，dv为由v生成的密钥影子，Qv为dv的公开承诺值；A4、各信任锚认证中心CAi为虚拟桥认证中心VBCA签发公钥证书并将该公钥证书保存在信任锚认证中心CAi的证书库中；A5、利用无可信中心椭圆曲线门限签名机制实现虚拟桥认证中心VBCA对各信任锚认证中心CAi(i＝1,2,…,m)的公钥证书的分布式签发；B、成员信任域及其密钥影子的动态更新当分布式网络系统的组织模式发生变化或有成员信任域加入、退出时，成员信任域及其密钥影子进行以下的更新步骤：B1、当前的所有成员信任域Di根据分布式网络系统新的组织模式及域间 新的合作关系重新分配各成员信任域的权限集Vi，并实现密钥影子dv的分布式更新，虚拟桥认证中心VBCA的公钥Q则保持不变；B2、若有新的信任域Di加入，则执行步骤A4，由信任域Di的信任锚认证中心CAi为虚拟桥认证中心VBCA签发公钥证书然后执行步骤A5，实现虚拟桥认证中心VBCA对信任锚认证中心CAi的公钥证书的分布式签发；B3、若有成员信任域Di(1≤i≤m)退出，则分别吊销信任锚认证中心CAi为虚拟桥认证中心VBCA签发的公钥证书和虚拟桥认证中心VBCA为信任锚认证中心CAi签发的公钥证书C、跨信任域认证成员信任域Di＝a中的第e个终端用户Uae需对成员信任域Di＝b中的第f个终端用户Ubf进行跨信任域访问时，在完成域内认证后，其域间认证操作是：终端用户Uae依次验证信任锚认证中心CAa的证书库中的公钥证书和信任锚认证中心CAb的证书库中的公钥证书域间认证路径长度为2；若验证通过则允许成员信任域Da中的终端用户Uae对成员信任域Db中的终端用户Ubf进行跨域访问；否则，不允许访问。