[发明专利]一种基于Bulletproofs的Kerberos跨域认证方法

说明书

本发明涉及跨域认证技术领域，其公开了一种基于Bulletproofs的Kerberos跨域认证方法，在进行跨域认证时，用户无需提交含自身身份信息的相关票据也能证明自己的合法身份，避免了用户身份信息的泄露。该方法包括：a.用户向本域认证服务器AS₁请求访问服务器S；b.AS₁向用户发送访问域内票据许可服务器TGS1的票据；c.用户向TGS1请求访问外域票据许可服务器TGS2的票据；d.TGS1向用户发送访问TGS2的票据；e.用户通过构造非交互Bulletproofs的参数向TGS2请求访问服务器S；f.TGS2通过非交互Bulletproofs的验证方法验证用户信息的合法性，然后向用户发送访问服务器S的票据；g.用户向服务器S发送认证请求；h.服务器S接受用户的认证，并向用户发送建立通信的消息，双方建立正式通信。

技术领域

本发明涉及跨域认证技术领域，具体涉及一种基于Bulletproofs(一种非交互式零知识证明协议)的Kerberos(一种计算机网络授权协议)跨域认证方法。

背景技术

当用户跨域访问资源时，由于和访问域的认证服务器之间不存在事先的信任关系，因此访问域的认证服务器需要联合用户本域的认证服务器对用户进行认证。另外在跨域访问的过程中，为了防止恶意实体跟踪用户的资源访问记录和会话，需要在认证过程中隐藏用户真实身份，提供匿名性服务。普适环境中的跨域认证方案在实现安全认证和会话密钥建立的同时应满足匿名性和不可跟踪性，即用户访问域认证服务器的时候，其他用户无法确定跨域访问的合法用户的真实身份以及不同会话的来源。

在现实社会中，身份欺诈是不可避免的，因此我们访问服务器的时候常常需要证明自己的身份。通讯和数据的安全也取决于能否正确验证用户的身份信息。例如：银行的ATM机能够将钱款发送给它识别的账号的持卡人，大大减轻了柜台工作人员的负担,提高了效率。对于计算机内的资源的访问和使用，以及安全区域的出入都需要以精确的身份认证为基础。而传统认证过程中的身份认证都是通过检查“物”(口令或者身份证明信息)的有效性来确认用户身份的，那么能不能在不需要提供这些身份信息的前提下，就能够证明身份的合法性呢。这就需要零知识证明技术。零知识证明是这样一种技术，被认证方P掌握某些秘密信息，P设法让认证方V相信他确实掌握哪些信息，但又不让V知道是哪些信息。

目前越来越多的用户需要进行跨辖区的身份认证，使得在本辖区内合法的用户也能够合法的访问其他辖区，而不需要重新去注册。Kerberos跨域认证协议就是在Kerberos认证协议的基础上提供了跨辖区的认证管理功能，但是由于其采用对称密钥加密算法而存在不少的缺陷，基于公钥体制的Kerberos认证协议在原有认证协议的基础上引入公开密钥加密体制，使得整个认证系统具有了抗否认性，而更加安全。但是他们却存在一个共同的缺陷：就是他们对于身份的确认建立在用户提交包含有自己身份信息的证明文件的基础之上，也就是说用户想要向其他辖区证明自己的合法性，就必须要提供本辖区服务器为其颁发的“身份证明文件。这样虽然能够轻易的证明用户的合法性，但是同时却使其他辖区的服务器也掌握了该用户的相关信息如用户名、用户地址等，造成用户信息的泄露，且无法实现用户的匿名登录或者匿名访问。

对于用户的身份信息，在本辖区内可以认为是公开的，但是这些信息是不应该传递到其他辖区。而且信息在本辖区内传递比在辖区之间传递更为安全。因此本发明希望找到一种方法，使得用户在进行跨域认证的情况下，不需要提交与自己身份信息相关的票据，仍然能够证明自己的合法性，即其他辖区的认证服务器或者应用服务器不需要知道用户是谁，用户在哪,它仅仅需要知道用户是合法的就足够了。

发明内容

本发明所要解决的技术问题是：提出一种基于Bulletproofs的Kerberos跨域认证方法，在进行跨域认证时，用户无需向外域服务器提交包含自身身份信息的相关票据也能证明自己的合法身份，避免了用户身份信息的泄露。

本发明解决上述技术问题采用的技术方案是：一种基于Bulletproofs的Kerberos跨域认证方法，包括以下步骤：