[发明专利]一种基于国密算法的Kerberos身份认证协议改进方法

权利要求书

1.一种基于国密算法的Kerberos身份认证协议改进方法，其特征在于，利用会话密钥动态化，以及基于国密算法的混合密码体制改进传统的Kerberos协议，改进后的Kerberos协议包括注册过程和认证过程；

所述认证过程包括三个阶段，分别为：

客户端与AS互相认证；

客户端与TGS通信；

以及客户端与应用服务器通信；

客户端与AS之间的共享密钥使用动态密钥；

认证过程中采用基于国密算法的混合密码体制进行加解密。

2.根据权利要求1所述的一种基于国密算法的Kerberos身份认证协议改进方法，其特征在于，所述基于国密算法的混合密码体制，其加密算法包括以下步骤：

步骤1：通过伪随机数生成器构建会话秘钥；

步骤2：会话密钥通过SM3杂凑，生成杂凑值；

步骤3：将杂凑值作为SM4的秘钥，同时也作为SM2加密的明文，首先使用SM2公钥对会话密钥进行加密，使用SM2私钥解密，实现数字签名；

步骤4：使用SM4算法和会话密钥对明文消息加密；

步骤5：将密文消息和加密后的会话密钥一同封装成报文发送给接收方。

3.根据权利要求2所述的一种基于国密算法的Kerberos身份认证协议改进方法，其特征在于，基于国密算法的混合密码体制，其解密算法包括以下步骤：

步骤1：服务器接收密文，包括密文消息和加密后的会话密钥；

接收方分离用SM4加密的消息和用SM2加密的会话密钥组合而成的密文；

步骤2：分离后得到秘钥加密部分，通过SM2中的私钥对秘钥加密部分进行解密，得到用SM3对会话密钥生成的杂凑值；

步骤3：经过解密拿到加密过程中的SM4的秘钥，然后对消息密文进行解密，解密完成成功拿到明文。

4.根据权利要求1所述的一种基于国密算法的Kerberos身份认证协议改进方法，其特征在于，所述客户端与AS相互认证，认证过程包括以下步骤：

步骤1.1：客户端A向AS发送认证请求AS_REQ，包括用KDC公钥Kkdc加密的时间戳timestamp，客户端A的账号userA，随机数nonce和挑战值iv；

步骤1.2：AS收到后解密出时间戳，并与分离出的userA中时间对比，记录userA的登录信息，与上次userA的登录信息对比得到生命周期；

步骤1.3：若客户端A的请求服务合法，则AS向客户端A响应AS_REP，包括用A的公钥Kclt加密会话密钥Kclt-kdc，时间戳timestamp，随机数nonce和挑战值iv，再用Kkdc加密userA和TGS会话密钥Kclt-kdc产生TGT；

步骤1.4：客户端A收到AS_REP响应后，解密出Kclt-kdc，timestamp和nonce，并保存TGT。

5.根据权利要求4所述的一种基于国密算法的Kerberos身份认证协议改进方法，其特征在于，所述KDC的公钥Kkdc和客户端A的公钥Kclt基于国密SM2算法加密。