[发明专利]一种云环境下基于可信代理的异构跨域认证方法

权利要求书

1.一种云环境下基于可信代理的异构跨域认证方法，其特征在于，包括以下步骤：

(一)跨域认证：可信CLC系统中的用户U向可信PKI系统中的云服务提供商CSP发送跨域认证请求消息，临时身份，选取的随机数(request，TID_U，w)，同时向第三方认证中心CA发送验证身份和会话秘钥协商参数Y消息(Test,Y)；云服务提供商CSP要对用户U的身份进行验证；

(二)云服务提供商CSP上传验证用户U的消息Test₁，会话参数Z，云服务提供商CSP的证书Cert_CSP到第三方认证中心CA；

(三)第三方认证中心CA安全接收用户U发送的消息和云服务提供商CSP的验证消息，进行身份验证并且计算Test₂和会话秘钥K，若两个身份验证都通过，发送消息(Test₂，K，result)到PKI所属域中的认证中心CA₁继续执行步骤，result返回结果通过则继续，验证不通过为“⊥”；

(四)所属PKI域认证中心CA₁查看result，若验证不通过，返回“⊥”，否则把结果(Test₂，K，result)返回云服务提供商CSP,云服务提供商CSP计算随机数q为大素数，验证用户U的身份，若验证正确，云服务提供商CSP允许访问请求并且接受会话秘钥K，回应用户U消息；

(五)用户U把CSP的验证身份消息Q＝Cert_CSPβ,β为CSP选取的随机参数；计算的公式Q₁＝θβ,θ为用户U选取的随机参数；临时身份TID_u上传第三方认证中心CA，第三方认证中心CA认证用户U的身份，若验证通过，计算和会话秘钥K发送结果(Q₂，K，result)到秘钥发布中心KGC；

(六)秘钥发布中心KGC验证result，结果不通过，返回“⊥”，否则发送消息给用户U继续执行；

(七)用户U接收秘钥发布中心KGC的结果，result通过，则接受第三方认证中心CA计算的会话秘钥K并且认证云服务提供商CSP的身份Gert_CSP＝？θQ₂，随机数q为大素数，通过，则用户U接受云服务提供商CSP提供的资源，并且建立跨域信任关系。

2.根据权利要求1所述的云环境下基于可信代理的异构跨域认证方法，其特征在于，实施所述认证方法之前，验证用户U、秘钥发布中心KGC在CLC域中是可信的，云服务提供商CSP、所属PKI域认证中心CA₁在可信域PKI中也是可信的，具体步骤如下：

(一)双线性映射

设G₁和G₂分别为阶是大素数q的循环群，P为群的一个生成元；当映射满足下列性质时,称e是一个双线性映射；双线性映射具有如下特点：

(1)双线性：e(aP，bP₁)＝e(P，P₁)_ab，对所有的P，P₁∈G₁，均成立；

(2)非退化性：对于任意的P，P₁∈G₁，使得其中，为单位元；

(3)可计算性：对于任意的P，P₁∈G₁，能够在多项式内完成e(P，P₁)的计算；

(二)系统参数设置

(1)系统输入安全参数λ，系统选择大素数为q的加法循环群G₁和乘法循环群G₂，定义双线性映射e：G₁×G₁→G₂，选择群G₁的生成元为P∈G₁，选择三个安全的哈希函数H₁，H₂，H₃；

(2)第三方认证中心CA随机选择一个系统主秘钥q为大素数，计算系统公钥P_pub＝sP，P为生成元，身份ID_CA，公开系统参数cp＝{q，G₁，G₂，e，P，H₁，H₂，H₃，P_pub}；

(3)CLC域中秘钥发布中心KGC随机选择一个系统主秘钥计算系统公钥P_pub1＝s₁P，身份ID_KGC,TID_U＝H₁(ID_u||r_uP)，其中r_u为U选取的随机参数；A_u＝H₁(TID_U)；用户U身份ID_u,公钥PK_u＝x_uP，x_u为用户选取的随机参数，部分私钥B_u＝s₁A_u，私钥sk_u＝x_uB_u，则用户的公钥对为(PK_u，A_u)，用户私钥对为(B_u，sk_u)；公开参数cp₁＝{q，G₁，G₂，e，P，H₁，H₂，H₃，P_nub1}，秘钥发布中心KGC保留系统主秘钥；

(4)所属PKI域认证中心CA₁随机选择一个系统主秘钥系统公钥P_pub2＝s₂P，身份云服务提供商CSP随机选择两个秘密数云服务提供商CSP私钥为sk_CSP＝x_CSP，公钥PK_CSP＝x_CSPP，身份ID_CSP,公开参数cp₂＝{q，G₁，G₂，e，p，H₁，H₂，H₃，P_pub2}。