[发明专利]基于域代理信任值的信息服务实体跨域认证方法

说明书

本发明公开一种基于域代理信任值的信息服务实体跨域认证方法，主要解决当前跨域认证过程中，计算复杂度高，通信开销大和基于公钥基础设施证书管理复杂的问题，其技术方案为：采用基于身份的签名算法验证用户身份的合法性，使用连接算子，连接从域代理的交易信息表中提取的直接信任向量，用合并算子合并多条推荐路径上的信任向量，从而判断域代理之间是否相互信任。本发明克服了现有技术在跨域认证过程中，基于公钥基础设施认证体系证书管理复杂，计算复杂度高，通信开销大的问题，在保证域代理之间认证准确度的同时提高了跨域认证过程的实用性和高效性。

技术领域

本发明属于通信技术领域，更进一步涉及网络通信技术领域中的一种基于域代理DA(Domain agent)信任值的信息服务实体ISE(Information System Entity)跨域认证方法。本发明可在资源受限的分布式的网络环境下，通过计算域代理之间的信任值，建立信任域之间的信任关系，为一个信任域的用户跨域访问信息服务实体的资源提供安全保障。

背景技术

建立域代理之间的信任关系是提高网络中用户个人信息的保密性和安全性的重要步骤，跨域认证是指不同域的域代理之间相互认证的技术和过程。近年来，随着密码学理论、模糊集合理论在跨域认证领域应用的不断深入，许多新的方法和思想被应用于跨域认证。在其中，跨信任域的认证框架主要有公钥基础设施PKI(Public Key Infrastructure)认证框架和基于身份的公钥密码体制IBC(Identity-Based Cryptography)认证框架，这些方法能够有效的实现跨域的认证。但是PKI认证框架的证书管理开销较大，且当跨域访问资源过于繁重时容易造成认证中心网络瓶颈的问题，IBC认证框架要求不同的域使用相同的系统参数，这在工程上显然是不切实际的。因此，想要实现安全高效的跨域认证，仍然有很多需要改进的地方。

浙江省人大常委会办公厅信息中心在其申请的专利文献“一种基于信任的跨域认证方法”(申请号201010228998.2，申请公布号CN 101888297A)中提出了一种基于信任的跨域认证方法。该方法的步骤是，首先根据各个信任域采用的认证体制，第一信任域的第一认证服务器采用证书、口令或者证书和口令相结合的方式对第一实体进行身份验证，并将认证结果发送给第二认证服务器。然后将不同信任域的认证服务器归属到基于PKI认证体系中的同一信任认证中心CA(Center Agent)，该信任认证中心CA为每个认证服务器颁发证书，这样就建立起认证服务器之间的信任关系，第二认证服务器利用预先建立的基于PKI认证体系的信任关系验证第一服务器的合法性。最后，第二认证服务器根据判断的认证结果再决定跨域认证是否成功，认证结果为认证通过则表示跨域验证成功，否则为失败。该方法存在的不足之处有两个，第一，由于该方法没有考虑第二信任域中第二认证服务器对第二实体的身份认证，忽略了第二信任域的第二实体也可能具有欺骗性，在第一信任域的第一实体访问第二信任域的第二实体过程中会引起信息的泄露的问题。第二，该方法使用PKI认证体系建立信任域之间信任关系，而PKI认证体系的缺点是，当信任域较多时认证服务器证书的管理开销很大，跨域认证的效率低。