專利名稱:網(wǎng)格環(huán)境中基于虛擬組織的秘密通信方法
技術(shù)領(lǐng)域:
本發(fā)明是一種分布式計(jì)算的安全解決方案,主要用于解決網(wǎng)格計(jì)算的安全問(wèn)題����,屬于分布式計(jì)算軟件安全技術(shù)領(lǐng)域。
背景技術(shù):
網(wǎng)格計(jì)算(Grid Computing)是指通過(guò)高速網(wǎng)絡(luò)把分散在各處的硬件�����、軟件���、信息資源連結(jié)成一個(gè)巨大的整體�����,從而使得人們能夠利用地理上分散于各處的資源�,完成各種大規(guī)模的、復(fù)雜的計(jì)算和數(shù)據(jù)處理的任務(wù)��。與以前的協(xié)同工作(Cooperative work)����、分布式計(jì)算(Distributed Computing)等概念相比較��,網(wǎng)格計(jì)算的集成程度更高����、使用更加方便、資源的利用更加充分和有效�����。它標(biāo)志著現(xiàn)代信息技術(shù)應(yīng)用有一個(gè)新的����、更高水平。
由于網(wǎng)格計(jì)算的諸多優(yōu)點(diǎn)���,因而被人們認(rèn)為是互聯(lián)網(wǎng)之后最重要的技術(shù)����,對(duì)網(wǎng)格計(jì)算的研究正成為學(xué)術(shù)界和工業(yè)界的熱點(diǎn)之一。然而安全性問(wèn)題是制約網(wǎng)格計(jì)算技術(shù)廣泛使用的重要因素之一�,因此研究網(wǎng)格計(jì)算的安全問(wèn)題具有重要意義。
由于網(wǎng)格環(huán)境的大規(guī)模性��,異構(gòu)性��,分布性����,動(dòng)態(tài)性和開(kāi)放性等特點(diǎn),跨越多個(gè)地域�,在不同領(lǐng)域內(nèi)為網(wǎng)格分配用戶、資源和組織是網(wǎng)格計(jì)算中基礎(chǔ)性技術(shù)挑戰(zhàn)�����。網(wǎng)格環(huán)境中的一個(gè)重要概念是虛擬組織��,網(wǎng)格可以認(rèn)為是由虛擬組織為組成單元而構(gòu)成的一個(gè)對(duì)外服務(wù)的實(shí)體���。因而解決虛擬組織中的安全問(wèn)題就是解決網(wǎng)格安全問(wèn)題的關(guān)鍵�����。虛擬組織又是由不同的參與該虛擬組織的自治域組成�,由這些自治域內(nèi)的參與成員節(jié)點(diǎn)共同協(xié)作完成虛擬組織的任務(wù)。因而這些自治域之間和自治域成員節(jié)點(diǎn)之間的秘密通信就顯得格外重要����,它們間的安全通信是保障虛擬組織安全性的基礎(chǔ)。
發(fā)明內(nèi)容
技術(shù)問(wèn)題本發(fā)明的目的是提供一種網(wǎng)格環(huán)境中基于虛擬組織的秘密通信方法�,與傳統(tǒng)的使用數(shù)字證書(shū)或者票據(jù)來(lái)進(jìn)行認(rèn)證的方法不同����,本方法是一種策略性方法,通過(guò)使用本發(fā)明提出的方法可以達(dá)到保障虛擬組織安全通信的目標(biāo)����。
技術(shù)方案本發(fā)明的方法是一種策略性的方法,通過(guò)對(duì)虛擬組織內(nèi)不同層次的秘密通信的需求而提出����,其目標(biāo)是解決網(wǎng)格虛擬組織的安全問(wèn)題。
下面給出該模型中的幾個(gè)概念虛擬組織(Virtual Organization VO)所謂虛擬組織就是一些個(gè)體�����、組織或者資源的動(dòng)態(tài)組合。是指網(wǎng)格環(huán)境中���,為了完成某一特定的任務(wù)而不同自治域的節(jié)點(diǎn)組成的一個(gè)跨地域�,異構(gòu)型并共享資源協(xié)同完成任務(wù)的組織�����。
自治域(Autonomy Domain AD)加入網(wǎng)格系統(tǒng)的具有自身安全體系和功能的組織��、部門(mén)和團(tuán)體等�����。
成員節(jié)點(diǎn)(Leaguer Node LN)加入網(wǎng)格虛擬組織的自治域內(nèi)的個(gè)體�,由這些個(gè)體來(lái)參與協(xié)作完成虛擬組織的任務(wù)。
虛擬組織管理中心(Virtual Organization Management Center VOMC)由虛擬組織的發(fā)起者委托維護(hù)整個(gè)虛擬組織的正常運(yùn)行的節(jié)點(diǎn)��,負(fù)責(zé)協(xié)調(diào)虛擬組織內(nèi)的自治域之間的活動(dòng)�����。
自治域管理中心(Autonomy Domain Management Center ADMC)自治域加入該虛擬組織的維護(hù)者��,負(fù)責(zé)并協(xié)調(diào)管理該自治域內(nèi)的參與該虛擬組織的成員節(jié)點(diǎn)的活動(dòng)。
自治域代理(Autonomy Domain Agency ADA)負(fù)責(zé)自治域間秘密通信時(shí)的交互��,其作用相當(dāng)于網(wǎng)關(guān)�。
虛擬組織證書(shū)(Virtual Organization Certificate VOC)虛擬組織證書(shū)是指由虛擬組織管理中心所創(chuàng)建的數(shù)字證書(shū),負(fù)責(zé)對(duì)整個(gè)虛擬組織的自治域證書(shū)的簽發(fā)����。
自治域證書(shū)(Autonomy Domain Certificate ADC)自治域證書(shū)是指加入虛擬組織的自治域的證書(shū),由虛擬組織證書(shū)簽發(fā)�,用來(lái)標(biāo)識(shí)加入該虛擬組織內(nèi)的自治域身份。
域成員節(jié)點(diǎn)證書(shū)(Domain Member Certificate DMC)是指加入虛擬組織的自治域內(nèi)的成員節(jié)點(diǎn)所擁有的證書(shū)����,由自治域證書(shū)簽發(fā),用來(lái)標(biāo)識(shí)加入該虛擬組織內(nèi)的該自治域的成員節(jié)點(diǎn)身份��。
一����、體系結(jié)構(gòu)圖1給出了網(wǎng)格虛擬組織的參考模型��,從圖中可看出�����,虛擬組織由不同的自治域構(gòu)成,而自治域又由參與的成員節(jié)點(diǎn)所構(gòu)成���,因而他們之間的秘密通信就是多層次的秘密通信�;圖2給出了運(yùn)用這種基于虛擬組織的秘密通信的組成結(jié)構(gòu)圖����,這種結(jié)構(gòu)主要包括了兩個(gè)部分成員節(jié)點(diǎn)間的秘密通信和自治域間秘密通信,其中成員節(jié)點(diǎn)間的秘密通信又包括自治域內(nèi)成員節(jié)點(diǎn)秘密通信和自治域間成員節(jié)點(diǎn)秘密通信兩部分�。下面我們給出幾個(gè)具體部分的說(shuō)明自治域間秘密通信交互的雙方是自治域,而自治域的功能體現(xiàn)是由自治域成員群體來(lái)體現(xiàn)�����,因而他們之間的秘密通信就不能和成員節(jié)點(diǎn)間秘密通信一樣��,要有相應(yīng)的成員節(jié)點(diǎn)群體簽名和群體加密的效果�。
自治域間成員節(jié)點(diǎn)秘密通信交互雙方處于虛擬組織的不同自治域中,需要通過(guò)各自的自治域證書(shū)進(jìn)行相互認(rèn)證和通信����。
自治域內(nèi)成員節(jié)點(diǎn)秘密通信在自治域內(nèi)的成員節(jié)點(diǎn)進(jìn)行秘密通信時(shí)和通常的網(wǎng)絡(luò)環(huán)境中的秘密通信相似,雙方通過(guò)相互的域內(nèi)認(rèn)證(使用各自的域成員節(jié)點(diǎn)證書(shū))��,然后協(xié)商出共享密鑰進(jìn)行通信�。
網(wǎng)格環(huán)境中基于虛擬組織的秘密通信方法包含自治域內(nèi)成員節(jié)點(diǎn)的秘密通信���、自治域間成員節(jié)點(diǎn)的秘密通信、自治域間的秘密通信三部分�;當(dāng)所涉及到的秘密通信為單個(gè)自治域內(nèi)的成員節(jié)點(diǎn)時(shí),則使用自治域內(nèi)成員節(jié)點(diǎn)的秘密通信���,而涉及的秘密通信為自治域間的成員節(jié)點(diǎn)間的通信時(shí)����,則使用自治域間成員節(jié)點(diǎn)的秘密通信���,當(dāng)涉及的秘密通信為自治域間群體通信時(shí)��,則使用自治域間的秘密通信����;這三部分之間的關(guān)系為自治域內(nèi)和自治域間的關(guān)系����,單個(gè)成員節(jié)點(diǎn)間和群體成員節(jié)點(diǎn)間的關(guān)系��。
自治域內(nèi)成員節(jié)點(diǎn)的秘密通信方法為步驟1-1).發(fā)送成員節(jié)點(diǎn)發(fā)送自身的成員節(jié)點(diǎn)證書(shū)給接收成員節(jié)點(diǎn)�,步驟1-2).接收成員節(jié)點(diǎn)提取發(fā)送成員節(jié)點(diǎn)證書(shū)中的公鑰標(biāo)識(shí)對(duì)�����,步驟1-3).接收成員節(jié)點(diǎn)將該公鑰標(biāo)識(shí)對(duì)和公鑰標(biāo)識(shí)對(duì)庫(kù)中的元素進(jìn)行匹配����,若匹配成員節(jié)點(diǎn)驗(yàn)證通過(guò)��,步驟1-4).接收成員節(jié)點(diǎn)產(chǎn)生一隨機(jī)數(shù)用該公鑰加密并發(fā)送給發(fā)送成員節(jié)點(diǎn)���,
步驟1-5).發(fā)送成員節(jié)點(diǎn)使用私鑰解密��,并將解密結(jié)果返回給接收成員節(jié)點(diǎn)��,步驟1-6).接收成員節(jié)點(diǎn)將解密結(jié)果和產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較�,若相同則認(rèn)證通過(guò)���,步驟1-7).按照上述步驟同樣可以完成自治域內(nèi)發(fā)送成員節(jié)點(diǎn)對(duì)接收成員節(jié)點(diǎn)的身份認(rèn)證��。
自治域間成員節(jié)點(diǎn)的秘密通信方法為步驟2-1).發(fā)送成員節(jié)點(diǎn)將成員節(jié)點(diǎn)證書(shū)和所在自治域的證書(shū)發(fā)給接收成員節(jié)點(diǎn)�,步驟2-2).接收成員節(jié)點(diǎn)從虛擬組織證書(shū)中提取出虛擬組織公鑰并使用虛擬組織公鑰對(duì)自治域證書(shū)的簽名進(jìn)行驗(yàn)證�����,驗(yàn)證通過(guò)就得到自治域公鑰,步驟2-3).接收成員節(jié)點(diǎn)使用自治域公鑰對(duì)發(fā)送成員節(jié)點(diǎn)證書(shū)進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò)得到發(fā)送成員節(jié)點(diǎn)的公鑰,步驟2-4).接收成員節(jié)點(diǎn)產(chǎn)生一隨機(jī)數(shù)并用發(fā)送成員節(jié)點(diǎn)公鑰進(jìn)行加密并發(fā)送給發(fā)送成員節(jié)點(diǎn)�����,步驟2-5).發(fā)送成員節(jié)點(diǎn)使用私鑰解密�����,并將解密結(jié)果返回給接收成員節(jié)點(diǎn)�,步驟2-6).接收成員節(jié)點(diǎn)將解密結(jié)果和產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較,若相同則認(rèn)證通過(guò)�����,步驟2-7).按照上述步驟同樣可以完成自治域間發(fā)送成員節(jié)點(diǎn)對(duì)接收成員節(jié)點(diǎn)的身份認(rèn)證����。
自治域間的秘密通信方法為自治域間的秘密通信過(guò)程又可以分為三個(gè)子部分即自治域的密鑰產(chǎn)生過(guò)程;發(fā)送方自治域的簽名過(guò)程��;接收方自治域的驗(yàn)證過(guò)程��,其中各個(gè)部分的步驟分別為第1子部分自治域的密鑰產(chǎn)生過(guò)程步驟3-1-1).自治域的管理中心產(chǎn)生公私密鑰對(duì)并生成自治域證書(shū)���,步驟3-1-2).自治域的管理中心使用自治域證書(shū)對(duì)成員節(jié)點(diǎn)證書(shū)進(jìn)行簽發(fā)���,步驟3-1-3).自治域的管理中心從簽發(fā)的各成員節(jié)點(diǎn)證書(shū)中提取成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì),
步驟3-1-4).自治域的管理中心將各成員節(jié)點(diǎn)公鑰代入多項(xiàng)式f(x)���,生成各成員節(jié)點(diǎn)密鑰的保密部分并發(fā)送給對(duì)應(yīng)的成員節(jié)點(diǎn)�����,步驟3-1-5).自治域的管理中心將各成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì)廣播給各成員節(jié)點(diǎn)����;第2子部分發(fā)送方自治域的簽名過(guò)程步驟3-2-1).發(fā)送方自治域管理中心對(duì)需要發(fā)送的消息用單向散列函數(shù)進(jìn)行求解��,得到消息摘要��,步驟3-2-2).發(fā)送方自治域參與自治域秘密通信的各成員節(jié)點(diǎn)用成員節(jié)點(diǎn)密鑰保密部分和各成員節(jié)點(diǎn)的公鑰對(duì)消息摘要進(jìn)行單成員節(jié)點(diǎn)簽發(fā)����,并將簽發(fā)結(jié)果發(fā)送給發(fā)送方自治域代理,步驟3-2-3).發(fā)送方自治域代理收到所有參與的單成員節(jié)點(diǎn)簽名后進(jìn)行群體簽名過(guò)程�����,得到的結(jié)果返回給各參與者成員節(jié)點(diǎn),步驟3-2-4).各參與者成員節(jié)點(diǎn)使用發(fā)送方自治域管理中心的公鑰對(duì)群體簽名結(jié)果進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò)則自治域簽名成功,步驟3-2-5).發(fā)送方自治域代理將群體簽名結(jié)果用接收方的自治域公鑰進(jìn)行加密��,并將加密結(jié)果和發(fā)送方自治域證書(shū)發(fā)送給接收方自治域代理��;第3子部分接收方自治域的驗(yàn)證過(guò)程步驟3-3-1).接收方自治域代理將得到的消息發(fā)送給接收方自治域的各參與成員節(jié)點(diǎn)���,步驟3-3-2).接收方自治域各參與成員節(jié)點(diǎn)完成單成員節(jié)點(diǎn)解密過(guò)程���,并將解密結(jié)果返回給接收方自治域代理,步驟3-3-3).接收方自治域代理再完成群體解密過(guò)程����,得到經(jīng)發(fā)送方的自治域簽名的消息摘要,步驟3-3-4).接收方自治域代理將該簽名的消息摘要和發(fā)送方自治域證書(shū)發(fā)送給接收方自治域的管理中心��,步驟3-3-5).接收方自治域的管理中心使用發(fā)送方自治域證書(shū)的公鑰對(duì)該消息摘要進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò)則完成了自治域間秘密通信過(guò)程�。
二�����、方法流程1��、[自治域間秘密通信]這種秘密通信發(fā)生在自治域之間��,而自治域的行為主體是自治域的成員節(jié)點(diǎn)��,因而表現(xiàn)的秘密通信為群體通信���,即由自治域的成員節(jié)點(diǎn)群體來(lái)體現(xiàn)自治域的行為。
假設(shè)虛擬組織內(nèi)的自治域A和自治域B要進(jìn)行秘密通信�����,自治域A和B的自治域管理中心(ADMC)根據(jù)公私密鑰原理(RSA)產(chǎn)生公私密鑰對(duì)�����,每一個(gè)密鑰由兩個(gè)數(shù)字組成��,記公鑰為(kpub,n)��,私鑰為(kprv�,n)。則私鑰加密和公鑰解密過(guò)程可以表示為c=mkprv(modn);m=ckpub(modn)]]>其中公鑰是完全公開(kāi)的并作為自治域證書(shū)(ADC)的一個(gè)元素����,只有私鑰部分的席,kprv��,是秘密的����。與標(biāo)準(zhǔn)RSA算法不同,自治域管理中心ADMC生成kprv后不交給成員節(jié)點(diǎn)(LN)���,而是根據(jù)如下步驟來(lái)進(jìn)行��。
首先��,自治域A的自治域管理中心ADMC對(duì)加入該虛擬組織的自治域A內(nèi)的n個(gè)成員節(jié)點(diǎn)所提交的域成員節(jié)點(diǎn)證書(shū)(DMC)使用自治域證書(shū)(ADC)進(jìn)行簽發(fā)�����,并從簽發(fā)的各域成員節(jié)點(diǎn)證書(shū)中提取出成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)���,其中第i個(gè)成員節(jié)點(diǎn)的公鑰作為密鑰種子xi����,其成員節(jié)點(diǎn)標(biāo)識(shí)假設(shè)為IDi����。如果發(fā)現(xiàn)有兩個(gè)成員節(jié)點(diǎn)的成員節(jié)點(diǎn)密鑰種子相同則要求他們重新生成�����。得到所有成員節(jié)點(diǎn)密鑰種子后�,自治域管理中心ADMC將密鑰種子xi代入多項(xiàng)式f(x),生成成員節(jié)點(diǎn)的密鑰保密部分kiki=f(xi)=at-1xit-1+…+a1xi+a0��,其中系數(shù)ai(1≤i≤t-1)為未知數(shù)�����。
自治域管理中心ADMC將ki發(fā)送給與xi對(duì)應(yīng)的第i個(gè)成員節(jié)點(diǎn)�,同時(shí)將成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì){xi,IDi}廣播給所有成員節(jié)點(diǎn)���,這些成員節(jié)點(diǎn)將這些公鑰標(biāo)識(shí)對(duì)保存在相應(yīng)的公鑰標(biāo)識(shí)對(duì)庫(kù)中�����,供自治域內(nèi)成員節(jié)點(diǎn)間秘密通信時(shí)使用���,而參與自治域秘密通信則只要從{xi�����,IDi}中提取出xi即可�����。這樣就生成了私鑰的n個(gè)投影分發(fā)給不同的成員節(jié)點(diǎn)�。對(duì)于第i個(gè)成員節(jié)點(diǎn)����,他得到的私鑰投影是(ki,xi����,n),其中的n是RSA算法中的模數(shù)���,ki���,xi由前面的多項(xiàng)式生成�����,并且系數(shù)a0=kprv�����。
下面說(shuō)明密鑰的恢復(fù)過(guò)程��。假設(shè)代表自治域特性至少需要數(shù)目為t的成員節(jié)點(diǎn)節(jié)點(diǎn)數(shù)才能有效,因而需要t個(gè)成員節(jié)點(diǎn)參與恢復(fù)密鑰�����。由成員節(jié)點(diǎn)的密鑰種子及密鑰可構(gòu)成如下方程組kt=at-1xtt-1+...+a1xt+a0kt-1=at-1xt-1t-1+...+a1xt-1+a0........................................k1=at-1x1t-1+...+a1x1+a0]]>在上述方程中����,未知元為ai(1≤i≤t-1,方程組中共有t個(gè)方程�����。由于xi≠xj(_i≠j)�����,所以此方程組有唯一解,由LaGrange插值多項(xiàng)式a0=Σi=1tkiΠj=1,j≠it0-xjxj-xj]]>而對(duì)于任何少于t的自治域成員節(jié)點(diǎn)�,不可能構(gòu)造達(dá)到t維的方程組,也就不可能得到私鑰a0�,因而不能代表自治域的權(quán)利來(lái)進(jìn)行群體通信。
現(xiàn)在分析自治域的簽名過(guò)程����,首先自治域A的自治域管理中心(ADMC)將消息廣播給所有的自治域A的成員節(jié)點(diǎn)(作為簽名者),成員節(jié)點(diǎn)獨(dú)自對(duì)消息簽名�����,然后發(fā)送給自治域A的自治域代理(ADA)��,由其形成最后的簽名����。該過(guò)程分為兩步,第一步是生成單成員節(jié)點(diǎn)簽名�,第二步是生成群體簽名。
(1)生成單成員節(jié)點(diǎn)簽名設(shè)要簽名的信息為m�����,有t個(gè)成員節(jié)點(diǎn)參與簽名過(guò)程(設(shè)為前t個(gè)成員節(jié)點(diǎn)),每個(gè)參與的成員節(jié)點(diǎn)進(jìn)行下面的運(yùn)算生成單成員節(jié)點(diǎn)簽名Ci=dkiΠj=1,j≠it0-xjxj-xj(modn)]]>其中用到了此t個(gè)成員節(jié)點(diǎn)的成員節(jié)點(diǎn)密鑰的公開(kāi)部分xi(從相應(yīng)的公鑰標(biāo)識(shí)對(duì)庫(kù)中提取)�,以及單成員節(jié)點(diǎn)的成員節(jié)點(diǎn)密鑰的保密部分ki。其中h(m)為單向散列函數(shù)d=h(m)�。所有參與簽名的成員節(jié)點(diǎn)將生成的成員節(jié)點(diǎn)簽名ci發(fā)送給自治域A的自治域代理(ADA),該自治域代理(ADA)完成下面的群體簽名���。
(2)生成群體簽名自治域代理(ADA)收到所有t個(gè)參與者的成員節(jié)點(diǎn)簽名后��,完成如下計(jì)算生成群體簽名
ci=Πi=1tci(modn)=dΣi=1t(kiΠj=1,j≠1t0-xjxi-xj)(modn)=dkprv(modn)]]>可見(jiàn)��,經(jīng)過(guò)兩步運(yùn)算后在t個(gè)成員節(jié)點(diǎn)參與的情況下已經(jīng)等效于完成了RSA的私鑰簽名過(guò)程�����。自治域代理(ADA)在生成簽名以后,將其發(fā)送給所有的t個(gè)參與者����。參與者可以用從自治域證書(shū)(ADC)中提取的公鑰進(jìn)行簽名驗(yàn)證,確保整個(gè)過(guò)程是正確的��。
上述過(guò)程實(shí)現(xiàn)數(shù)字簽名���,同時(shí)自治域A的自治域代理(ADA)需要使用自治域B的自治域證書(shū)(ADC)中的公鑰對(duì)簽名后的消息進(jìn)行加密c′=ckoub′(modn′)]]>其中 是自治域B的自治域證書(shū)(ADC)的公鑰加密后的消息發(fā)送給自治域B的自治域代理����。這樣自治域B可通過(guò)簽名驗(yàn)證信息的來(lái)源來(lái)實(shí)現(xiàn)與自治域A的秘密通信。下面分析自治域B的驗(yàn)證過(guò)程��。
同樣自治域B也是由自治域B的成員節(jié)點(diǎn)來(lái)實(shí)現(xiàn)自治域間的通信��,因而也需要成員節(jié)點(diǎn)的群體來(lái)參與驗(yàn)證和解密����。
標(biāo)準(zhǔn)RSA簽名的驗(yàn)證就是使用公鑰解密簽名的過(guò)程。設(shè)收到的簽名是c��,原文是m�����,驗(yàn)證過(guò)程如下d=h(m)��,d′=ckpub(modn)]]>如果d=d′�,則接收簽名,否則拒絕簽名���。因而自治域B的自治域代理只要從自治域A的自治域證書(shū)中提取出其公鑰就可以實(shí)現(xiàn)驗(yàn)證過(guò)程���。
而簽名經(jīng)過(guò)前面使用自治域B的公鑰進(jìn)行了加密�,因而在驗(yàn)證之前需進(jìn)行解密��。加密時(shí)使用的是自治域B的公鑰���,所以要使用自治域B的私鑰進(jìn)行解密���。由于是自治域間的秘密通信,因而自治域B的自治域解密過(guò)程也是由該自治域的各成員節(jié)點(diǎn)來(lái)完成���。假設(shè)組內(nèi)需要s個(gè)成員節(jié)點(diǎn)進(jìn)行驗(yàn)證才能有效���,并且按照前面同樣的方式進(jìn)行了分割私鑰,則按照下面的過(guò)程恢復(fù)簽名�。該解密過(guò)程同樣分為兩個(gè)部分該過(guò)程分為兩步,第一步是單成員節(jié)點(diǎn)解密�,第二步是群體解密。
(1)單成員節(jié)點(diǎn)解密域內(nèi)參與驗(yàn)證簽名的s個(gè)成員節(jié)點(diǎn)分別進(jìn)行下面的單成員節(jié)點(diǎn)解密c′=c(ki′Πj=1,j≠is0-xjxj-xj)(modn′)]]>式子中k′���,xi′,n′為自治域B的成員節(jié)點(diǎn)的參數(shù)�,其意義與簽名組成員節(jié)點(diǎn)的k,xi�,n相同��。解密的結(jié)果都發(fā)送給自治域B的自治域代理
(2)群體解密自治域B的自治域代理得到上面的所有s個(gè)成員節(jié)點(diǎn)解密消息后���,進(jìn)行下面的群體解密c′=Πi=1sc′i(modn′)=cΣi=1s(k′iΠj=1,j≠1s0-xjxi-xj)(modn′)=ckprv′(modn′)]]>式中的參數(shù)與群體簽名中對(duì)應(yīng)的參數(shù)意義相同,即可以得到簽名的明文�����。由上面的過(guò)程得到簽名后����,使用前面所述方法進(jìn)行驗(yàn)證簽名。從而完成了整個(gè)自治域間的秘密通信�。
2、[自治域間的成員節(jié)點(diǎn)秘密通信]假設(shè)自治域A的成員節(jié)點(diǎn)a和自治域B的成員節(jié)點(diǎn)b進(jìn)行秘密通信���。其主要流程為(1)自治域A的成員節(jié)點(diǎn)a將其域成員節(jié)點(diǎn)證書(shū)Certa(該證書(shū)被域A證書(shū)CertA進(jìn)行了簽發(fā)和域A證書(shū)CertA一起發(fā)送給自治域B的成員節(jié)點(diǎn)b (2)自治域B的成員節(jié)點(diǎn)b從虛擬組織證書(shū)(VOC)中提取出虛擬組織的公鑰對(duì)CertA的數(shù)字簽名進(jìn)行驗(yàn)證����,得到的自治域A公鑰和自治域A標(biāo)識(shí)并與CertA元素的公鑰和標(biāo)識(shí)進(jìn)行匹配�,若匹配成功,則使用該自治域A的公鑰對(duì)Certa的數(shù)字簽名進(jìn)行驗(yàn)證��,得到的自治域A的成員節(jié)點(diǎn)a的公鑰和標(biāo)識(shí)并與Certa元素公鑰和標(biāo)識(shí)進(jìn)行匹配,若匹配成功��,則通過(guò)驗(yàn)證��。
(3)自治域B的成員節(jié)點(diǎn)b生成并發(fā)送一個(gè)隨機(jī)數(shù)rand給自治域A的成員節(jié)點(diǎn)a�����;(4)自治域A的成員節(jié)點(diǎn)a使用其私鑰對(duì)該隨機(jī)數(shù)rand進(jìn)行加密并發(fā)送給自治域B的成員節(jié)點(diǎn)b�;(5)自治域B的成員節(jié)點(diǎn)b使用從Certa中提取的成員節(jié)點(diǎn)公鑰對(duì)該加密的隨機(jī)數(shù)進(jìn)行解密,若解密結(jié)果和隨機(jī)數(shù)rand相同則通過(guò)對(duì)自治域A的成員節(jié)點(diǎn)a的認(rèn)證過(guò)程�����;(6)同樣自治域A的成員節(jié)點(diǎn)a也需要上述步驟對(duì)自治域B的成員節(jié)點(diǎn)
(7)b進(jìn)行相應(yīng)的認(rèn)證過(guò)程�。
3、[自治域內(nèi)的成員節(jié)點(diǎn)秘密通信]假設(shè)自治域A內(nèi)的成員節(jié)點(diǎn)a要和成員節(jié)點(diǎn)b進(jìn)行秘密通信�,主要工作流程如下(1)成員節(jié)點(diǎn)a將其域成員節(jié)點(diǎn)證書(shū)Certa(該證書(shū)被自治域A證書(shū)CertA進(jìn)行了簽發(fā))發(fā)送給成員節(jié)點(diǎn)b (2)成員節(jié)點(diǎn)b從Certa中提取出{成員節(jié)點(diǎn)公鑰,成員節(jié)點(diǎn)標(biāo)識(shí)}對(duì)���,并與成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì)庫(kù)中的各個(gè)公鑰標(biāo)識(shí)對(duì)進(jìn)行匹配����,若能夠匹配成功�����,說(shuō)明該成員節(jié)點(diǎn)a的證書(shū)被域A證書(shū)所簽發(fā)��,則通過(guò)驗(yàn)證中��。
(3)成員節(jié)點(diǎn)b生成并發(fā)送一個(gè)隨機(jī)數(shù)rand給成員節(jié)點(diǎn)a��;(4)成員節(jié)點(diǎn)a使用其私鑰對(duì)該隨機(jī)數(shù)rand進(jìn)行加密并發(fā)送給成員節(jié)點(diǎn)b�����;(5)成員節(jié)點(diǎn)b使用從Certa中提取的成員節(jié)點(diǎn)公鑰對(duì)該加密的隨機(jī)數(shù)進(jìn)行解密�,若解密結(jié)果和隨機(jī)數(shù)rand相同則通過(guò)對(duì)成員節(jié)點(diǎn)a的認(rèn)證過(guò)程;(6)同樣成員節(jié)點(diǎn)a也需要上述步驟對(duì)成員節(jié)點(diǎn)b進(jìn)行相應(yīng)的認(rèn)證過(guò)程���。
有益效果本方案提出了網(wǎng)格環(huán)境中虛擬組織的秘密通信���,主要用來(lái)解決虛擬組織安全性問(wèn)題中的安全傳輸和相互認(rèn)證問(wèn)題。通過(guò)本方案能夠?qū)崿F(xiàn)并保障虛擬組織的安全通信��。這種方案的優(yōu)點(diǎn)在于(1)安全性虛擬組織的秘密通信中的三部分實(shí)現(xiàn)都是采用目前流行的公私密鑰原理來(lái)實(shí)現(xiàn)�����,因而能夠保障其秘密通信的安全性;(2)合理性自治域間的秘密通信是由自治域的成員節(jié)點(diǎn)群體所體現(xiàn)的����,而當(dāng)參與秘密通信的成員節(jié)點(diǎn)達(dá)到一定數(shù)目時(shí)就能夠代表該自治域的權(quán)益,并且該數(shù)目可動(dòng)態(tài)調(diào)整��;(3)靈活性將虛擬組織的秘密通信分為三個(gè)部分�����,能夠針對(duì)不同的情況進(jìn)行靈活的選?��?����;(4)可擴(kuò)展性在自治域間秘密通信和自治域成員節(jié)點(diǎn)間秘密通信基礎(chǔ)上可實(shí)現(xiàn)多組成員之間的秘密通信過(guò)程�。
圖1是網(wǎng)格虛擬組織的參考模型示意圖�����。其中VOMC虛擬組織管理中心�;ADMC自治域管理中心;VO虛擬組織���;AD自治域�����;LN成員節(jié)點(diǎn)節(jié)點(diǎn)�����;A1����,A2�����,A3分別表示自治域AD1����,AD2,AD3中的自治域代理����。
圖2是基于虛擬組織的秘密通信方案示意圖。圖中包括兩部分成員節(jié)點(diǎn)間的秘密通信和自治域間的秘密通信�。而成員節(jié)點(diǎn)間的秘密通信又分為自治域內(nèi)成員節(jié)點(diǎn)的秘密通信和自治域間成員節(jié)點(diǎn)的秘密通信�����。
圖3是自治域內(nèi)成員節(jié)點(diǎn)秘密通信流程示意圖��。
圖4是自治域間成員節(jié)點(diǎn)秘密通信流程示意圖��。
圖5是自治域間秘密通信流程示意圖�����,其中(a)為自治域的密鑰產(chǎn)生過(guò)程�����;(b)發(fā)送方自治域的簽名過(guò)程���;(c)接收方自治域的驗(yàn)證過(guò)程。
具體實(shí)施例方式
本發(fā)明的網(wǎng)格環(huán)境中基于虛擬組織的秘密通信方法包含自治域內(nèi)成員節(jié)點(diǎn)的秘密通信��、自治域間成員節(jié)點(diǎn)的秘密通信����、自治域間的秘密通信三部分;當(dāng)所涉及到的秘密通信為單個(gè)自治域內(nèi)的成員節(jié)點(diǎn)時(shí)�,則使用自治域內(nèi)成員節(jié)點(diǎn)的秘密通信����,而涉及的秘密通信為自治域間的成員節(jié)點(diǎn)間的通信時(shí)���,則使用自治域間成員節(jié)點(diǎn)的秘密通信����,當(dāng)涉及的秘密通信為自治域間群體通信時(shí)�����,則使用自治域間的秘密通信�;這三部分之間的關(guān)系為自治域內(nèi)和自治域間的關(guān)系�����,單個(gè)成員節(jié)點(diǎn)間和群體成員節(jié)點(diǎn)間的關(guān)系�����,其中自治域內(nèi)成員節(jié)點(diǎn)的秘密通信方法為步驟1-1).發(fā)送成員節(jié)點(diǎn)發(fā)送自身的成員節(jié)點(diǎn)證書(shū)給接收成員節(jié)點(diǎn)�����,步驟1-2).接收成員節(jié)點(diǎn)提取發(fā)送成員節(jié)點(diǎn)證書(shū)中的公鑰標(biāo)識(shí)對(duì),步驟1-3).接收成員節(jié)點(diǎn)將該公鑰標(biāo)識(shí)對(duì)和公鑰標(biāo)識(shí)對(duì)庫(kù)中的元素進(jìn)行匹配��,若匹配成員節(jié)點(diǎn)驗(yàn)證通過(guò)��,步驟1-4).接收成員節(jié)點(diǎn)產(chǎn)生一隨機(jī)數(shù)用該公鑰加密并發(fā)送給發(fā)送成員節(jié)點(diǎn)���,
步驟1-5).發(fā)送成員節(jié)點(diǎn)使用私鑰解密�,并將解密結(jié)果返回給接收成員節(jié)點(diǎn)�����,步驟1-6).接收成員節(jié)點(diǎn)將解密結(jié)果和產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較�����,若相同則認(rèn)證通過(guò)�,步驟1-7).按照上述步驟同樣可以完成自治域內(nèi)發(fā)送成員節(jié)點(diǎn)對(duì)接收成員節(jié)點(diǎn)的身份認(rèn)證。
自治域間成員節(jié)點(diǎn)的秘密通信方法為步驟2-1).發(fā)送成員節(jié)點(diǎn)將成員節(jié)點(diǎn)證書(shū)和所在自治域的證書(shū)發(fā)給接收成員節(jié)點(diǎn)���,步驟2-2).接收成員節(jié)點(diǎn)從虛擬組織證書(shū)中提取出虛擬組織公鑰并使用虛擬組織公鑰對(duì)自治域證書(shū)的簽名進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò)就得到自治域公鑰��,步驟2-3).接收成員節(jié)點(diǎn)使用自治域公鑰對(duì)發(fā)送成員節(jié)點(diǎn)證書(shū)進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)得到發(fā)送成員節(jié)點(diǎn)的公鑰�,步驟2-4).接收成員節(jié)點(diǎn)產(chǎn)生一隨機(jī)數(shù)并用發(fā)送成員節(jié)點(diǎn)公鑰進(jìn)行加密并發(fā)送給發(fā)送成員節(jié)點(diǎn),步驟2-5).發(fā)送成員節(jié)點(diǎn)使用私鑰解密���,并將解密結(jié)果返回給接收成員節(jié)點(diǎn)���,步驟2-6).接收成員節(jié)點(diǎn)將解密結(jié)果和產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較,若相同則認(rèn)證通過(guò)���,步驟2-7).按照上述步驟同樣可以完成自治域間發(fā)送成員節(jié)點(diǎn)對(duì)接收成員節(jié)點(diǎn)的身份認(rèn)證�。
自治域間的秘密通信方法為自治域間的秘密通信過(guò)程又可以分為三個(gè)子部分即自治域的密鑰產(chǎn)生過(guò)程����;發(fā)送方自治域的簽名過(guò)程��;接收方自治域的驗(yàn)證過(guò)程��,其中各個(gè)部分的步驟分別為第1子部分自治域的密鑰產(chǎn)生過(guò)程步驟3-1-1).自治域的管理中心產(chǎn)生公私密鑰對(duì)并生成自治域證書(shū)�����,步驟3-1-2).自治域的管理中心使用自治域證書(shū)對(duì)成員節(jié)點(diǎn)證書(shū)進(jìn)行簽發(fā)���,步驟3-1-3).自治域的管理中心從簽發(fā)的各成員節(jié)點(diǎn)證書(shū)中提取成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì)�,
步驟3-1-4).自治域的管理中心將各成員節(jié)點(diǎn)公鑰代入多項(xiàng)式f(x),生成各成員節(jié)點(diǎn)密鑰的保密部分并發(fā)送給對(duì)應(yīng)的成員節(jié)點(diǎn)���,步驟3-1-5).自治域的管理中心將各成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì)廣播給各成員節(jié)點(diǎn)��;第2子部分發(fā)送方自治域的簽名過(guò)程步驟3-2-1).發(fā)送方自治域管理中心對(duì)需要發(fā)送的消息用單向散列函數(shù)進(jìn)行求解���,得到消息摘要,步驟3-2-2).發(fā)送方自治域參與自治域秘密通信的各成員節(jié)點(diǎn)用成員節(jié)點(diǎn)密鑰保密部分和各成員節(jié)點(diǎn)的公鑰對(duì)消息摘要進(jìn)行單成員節(jié)點(diǎn)簽發(fā)�����,并將簽發(fā)結(jié)果發(fā)送給發(fā)送方自治域代理����,步驟3-2-3).發(fā)送方自治域代理收到所有參與的單成員節(jié)點(diǎn)簽名后進(jìn)行群體簽名過(guò)程,得到的結(jié)果返回給各參與者成員節(jié)點(diǎn)�,步驟3-2-4).各參與者成員節(jié)點(diǎn)使用發(fā)送方自治域管理中心的公鑰對(duì)群體簽名結(jié)果進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)則自治域簽名成功��,步驟3-2-5).發(fā)送方自治域代理將群體簽名結(jié)果用接收方的自治域公鑰進(jìn)行加密���,并將加密結(jié)果和發(fā)送方自治域證書(shū)發(fā)送給接收方自治域代理�;第3子部分接收方自治域的驗(yàn)證過(guò)程步驟3-3-1).接收方自治域代理將得到的消息發(fā)送給接收方自治域的各參與成員節(jié)點(diǎn),步驟3-3-2).接收方自治域各參與成員節(jié)點(diǎn)完成單成員節(jié)點(diǎn)解密過(guò)程����,并將解密結(jié)果返回給接收方自治域代理,步驟3-3-3).接收方自治域代理再完成群體解密過(guò)程���,得到經(jīng)發(fā)送方的自治域簽名的消息摘要��,步驟3-3-4).接收方自治域代理將該簽名的消息摘要和發(fā)送方自治域證書(shū)發(fā)送給接收方自治域的管理中心�����,步驟3-3-5).接收方自治域的管理中心使用發(fā)送方自治域證書(shū)的公鑰對(duì)該消息摘要進(jìn)行驗(yàn)證�����,驗(yàn)證通過(guò)則完成了自治域間秘密通信過(guò)程。
為了方便描述����,我們假定有如下三個(gè)應(yīng)用實(shí)例1、一個(gè)網(wǎng)格環(huán)境中虛擬組織的自治域甲中的兩個(gè)成員節(jié)點(diǎn)(分別用A和B表示)要進(jìn)行秘密通信�����,則其具體實(shí)施方式
為1).成員節(jié)點(diǎn)A發(fā)送自身的成員節(jié)點(diǎn)證書(shū)給成員節(jié)點(diǎn)B;2).成員節(jié)點(diǎn)B提取成員節(jié)點(diǎn)A證書(shū)中的公鑰標(biāo)識(shí)對(duì)�����;3).成員節(jié)點(diǎn)B將該公鑰標(biāo)識(shí)對(duì)和公鑰標(biāo)識(shí)對(duì)庫(kù)中的元素進(jìn)行匹配��,若匹配�����,成員節(jié)點(diǎn)驗(yàn)證通過(guò)�;4).成員節(jié)點(diǎn)B產(chǎn)生一隨機(jī)數(shù)用該公鑰加密并發(fā)送給成員節(jié)點(diǎn)A;5).成員節(jié)點(diǎn)A使用自身私鑰對(duì)接收的消息解密��,并將解密結(jié)果返回給成員節(jié)點(diǎn)B�����;6).成員節(jié)點(diǎn)B將解密結(jié)果和產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較���,若相同則認(rèn)證通過(guò)���;7).按照上述步驟同樣可以完成自治域內(nèi)成員節(jié)點(diǎn)A對(duì)成員節(jié)點(diǎn)B的身份認(rèn)證過(guò)程�����。
2�、一個(gè)網(wǎng)格環(huán)境中的虛擬組織的自治域甲和自治域乙中的兩個(gè)成員節(jié)點(diǎn)(分別用C和D表示)要進(jìn)行秘密通信�����,則其具體實(shí)施方式
為1).成員節(jié)點(diǎn)C將成員節(jié)點(diǎn)證書(shū)和所在自治域甲的證書(shū)發(fā)給成員節(jié)點(diǎn)D�;2).成員節(jié)點(diǎn)D從虛擬組織證書(shū)中提取出公鑰并使用虛擬組織公鑰對(duì)自治域甲證書(shū)的簽名進(jìn)行驗(yàn)證,驗(yàn)證通過(guò)就得到自治域甲公鑰���;3).成員節(jié)點(diǎn)D使用自治域甲公鑰對(duì)成員節(jié)點(diǎn)C證書(shū)進(jìn)行驗(yàn)證��,驗(yàn)證通過(guò)得到成員節(jié)點(diǎn)C的公鑰���;4).成員節(jié)點(diǎn)D產(chǎn)生一隨機(jī)數(shù)并用成員節(jié)點(diǎn)C公鑰進(jìn)行加密并發(fā)送給成員節(jié)點(diǎn)C;5).成員節(jié)點(diǎn)C使用私鑰解密��,并將解密結(jié)果返回給成員節(jié)點(diǎn)D��;6).成員節(jié)點(diǎn)D將解密結(jié)果和產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較����,若相同則認(rèn)證通過(guò);7).按照上述步驟同樣可以完成自治域甲和乙間成員節(jié)點(diǎn)C對(duì)成員節(jié)點(diǎn)D的身份認(rèn)證過(guò)程�����。
3�、一個(gè)網(wǎng)格環(huán)境中虛擬組織的自治域甲和自治域乙要進(jìn)行秘密通信,而自治域間的秘密通信過(guò)程又可以分為三個(gè)部分自治域的密鑰產(chǎn)生過(guò)程��;自治域甲的簽名過(guò)程�����;自治域乙的驗(yàn)證過(guò)程�。其中各個(gè)部分的步驟分別為(1)自治域的密鑰產(chǎn)生過(guò)程
1).自治域的管理中心產(chǎn)生公私密鑰對(duì)并生成自治域證書(shū);2).自治域的管理中心使用自治域證書(shū)對(duì)成員節(jié)點(diǎn)證書(shū)進(jìn)行簽發(fā)����;3).自治域的管理中心從簽發(fā)的各成員節(jié)點(diǎn)證書(shū)中提取成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì);4).自治域的管理中心將各成員節(jié)點(diǎn)公鑰代入多項(xiàng)式f(x)����,生成各成員節(jié)點(diǎn)密鑰的保密部分并發(fā)送給對(duì)應(yīng)的成員節(jié)點(diǎn);5).自治域的管理中心將各成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì)廣播給各成員節(jié)點(diǎn)�;(2)自治域甲的簽名過(guò)程1).自治域甲的管理中心對(duì)需要發(fā)送的消息用單向散列函數(shù)進(jìn)行求解,得到消息摘要����;2).自治域甲中參與自治域秘密通信的各成員節(jié)點(diǎn)用成員節(jié)點(diǎn)密鑰保密部分和各成員節(jié)點(diǎn)的公鑰對(duì)消息摘要進(jìn)行單成員節(jié)點(diǎn)簽發(fā)��,并將簽發(fā)結(jié)果發(fā)送給自治域甲代理�;3).自治域甲代理收到所有參與的單成員節(jié)點(diǎn)簽名后進(jìn)行群體簽名過(guò)程���,得到的結(jié)果返回給各參與者成員節(jié)點(diǎn)����;4).各參與者成員節(jié)點(diǎn)使用自治域甲的管理中心的公鑰對(duì)群體簽名結(jié)果進(jìn)行驗(yàn)證��,驗(yàn)證通過(guò)則自治域簽名成功��;5).自治域甲代理將組簽名結(jié)果用自治域乙公鑰進(jìn)行加密����,并將加密結(jié)果和自治域甲證書(shū)發(fā)送給自治域乙代理;(3)自治域乙的驗(yàn)證過(guò)程1).自治域乙代理將得到的消息發(fā)送給自治域乙的各參與成員節(jié)點(diǎn)����;2).自治域乙中各參與成員節(jié)點(diǎn)完成單成員節(jié)點(diǎn)解密過(guò)程,并將解密結(jié)果返回給自治域乙代理�����;3).自治域乙代理再完成群體解密過(guò)程�,得到經(jīng)自治域甲簽名的消息摘要;4).自治域乙代理將該簽名的消息摘要和自治域甲證書(shū)發(fā)送給自治域乙的管理中心�����;5).自治域乙的管理中心使用自治域甲證書(shū)的公鑰對(duì)該消息摘要進(jìn)行驗(yàn)證���,驗(yàn)證通過(guò)則完成了自治域間秘密通信過(guò)程���。
權(quán)利要求
1.一種網(wǎng)格環(huán)境中基于虛擬組織的秘密通信方法,其特征在于該方案包含自治域內(nèi)成員節(jié)點(diǎn)的秘密通信��、自治域間成員節(jié)點(diǎn)的秘密通信�����、自治域間的秘密通信三部分����;當(dāng)所涉及到的秘密通信為單個(gè)自治域內(nèi)的成員節(jié)點(diǎn)時(shí),則使用自治域內(nèi)成員節(jié)點(diǎn)的秘密通信���,而涉及的秘密通信為自治域間的成員節(jié)點(diǎn)間的通信時(shí)�,則使用自治域間成員節(jié)點(diǎn)的秘密通信,當(dāng)涉及的秘密通信為自治域間群體通信時(shí)�����,則使用自治域間的秘密通信�����;這三部分之間的關(guān)系為自治域內(nèi)和自治域間的關(guān)系��,單個(gè)成員節(jié)點(diǎn)間和群體成員節(jié)點(diǎn)間的關(guān)系����。
2.根據(jù)權(quán)利要求所述的網(wǎng)格環(huán)境中基于虛擬組織的秘密通信方法,其特征在于自治域內(nèi)成員節(jié)點(diǎn)的秘密通信方法為步驟1-1).發(fā)送成員節(jié)點(diǎn)發(fā)送自身的成員節(jié)點(diǎn)證書(shū)給接收成員節(jié)點(diǎn)����,步驟1-2).接收成員節(jié)點(diǎn)提取發(fā)送成員節(jié)點(diǎn)證書(shū)中的公鑰標(biāo)識(shí)對(duì),步驟1-3).接收成員節(jié)點(diǎn)將該公鑰標(biāo)識(shí)對(duì)和公鑰標(biāo)識(shí)對(duì)庫(kù)中的元素進(jìn)行匹配����,若匹配成員節(jié)點(diǎn)驗(yàn)證通過(guò),步驟1-4).接收成員節(jié)點(diǎn)產(chǎn)生一隨機(jī)數(shù)用該公鑰加密并發(fā)送給發(fā)送成員節(jié)點(diǎn)���,步驟1-5).發(fā)送成員節(jié)點(diǎn)使用私鑰解密����,并將解密結(jié)果返回給接收成員節(jié)點(diǎn),步驟1-6).接收成員節(jié)點(diǎn)將解密結(jié)果和產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較����,若相同則認(rèn)證通過(guò)����,步驟1-7).按照上述步驟同樣可以完成自治域內(nèi)發(fā)送成員節(jié)點(diǎn)對(duì)接收成員節(jié)點(diǎn)的身份認(rèn)證。
3.根據(jù)權(quán)利要求所述的網(wǎng)格環(huán)境中基于虛擬組織的秘密通信方法�,其特征在于自治域間成員節(jié)點(diǎn)的秘密通信方法為步驟2-1).發(fā)送成員節(jié)點(diǎn)將成員節(jié)點(diǎn)證書(shū)和所在自治域的證書(shū)發(fā)給接收成員節(jié)點(diǎn),步驟2-2).接收成員節(jié)點(diǎn)從虛擬組織證書(shū)中提取出虛擬組織公鑰并使用虛擬組織公鑰對(duì)自治域證書(shū)的簽名進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò)就得到自治域公鑰,步驟2-3).接收成員節(jié)點(diǎn)使用自治域公鑰對(duì)發(fā)送成員節(jié)點(diǎn)證書(shū)進(jìn)行驗(yàn)證���,驗(yàn)證通過(guò)得到發(fā)送成員節(jié)點(diǎn)的公鑰���,步驟2-4).接收成員節(jié)點(diǎn)產(chǎn)生一隨機(jī)數(shù)并用發(fā)送成員節(jié)點(diǎn)公鑰進(jìn)行加密并發(fā)送給發(fā)送成員節(jié)點(diǎn),步驟2-5).發(fā)送成員節(jié)點(diǎn)使用私鑰解密���,并將解密結(jié)果返回給接收成員節(jié)點(diǎn)�,步驟2-6).接收成員節(jié)點(diǎn)將解密結(jié)果和產(chǎn)生的隨機(jī)數(shù)進(jìn)行比較���,若相同則認(rèn)證通過(guò)��,步驟2-7).按照上述步驟同樣可以完成自治域間發(fā)送成員節(jié)點(diǎn)對(duì)接收成員節(jié)點(diǎn)的身份認(rèn)證�。
4.根據(jù)權(quán)利要求所述的網(wǎng)格環(huán)境中基于虛擬組織的秘密通信方法,其特征在于自治域間的秘密通信方法為自治域間的秘密通信過(guò)程又可以分為三個(gè)子部分即自治域的密鑰產(chǎn)生過(guò)程���;發(fā)送方自治域的簽名過(guò)程�;接收方自治域的驗(yàn)證過(guò)程��,其中各個(gè)部分的步驟分別為第1子部分自治域的密鑰產(chǎn)生過(guò)程步驟3-1-1).自治域的管理中心產(chǎn)生公私密鑰對(duì)并生成自治域證書(shū)���,步驟3-1-2).自治域的管理中心使用自治域證書(shū)對(duì)成員節(jié)點(diǎn)證書(shū)進(jìn)行簽發(fā)����,步驟3-1-3).自治域的管理中心從簽發(fā)的各成員節(jié)點(diǎn)證書(shū)中提取成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì)��,步驟3-1-4).自治域的管理中心將各成員節(jié)點(diǎn)公鑰代入多項(xiàng)式f(x)���,生成各成員節(jié)點(diǎn)密鑰的保密部分并發(fā)送給對(duì)應(yīng)的成員節(jié)點(diǎn)����,步驟3-1-5).自治域的管理中心將各成員節(jié)點(diǎn)公鑰和成員節(jié)點(diǎn)標(biāo)識(shí)對(duì)廣播給各成員節(jié)點(diǎn);第2子部分發(fā)送方自治域的簽名過(guò)程步驟3-2-1).發(fā)送方自治域管理中心對(duì)需要發(fā)送的消息用單向散列函數(shù)進(jìn)行求解���,得到消息摘要����,步驟3-2-2).發(fā)送方自治域參與自治域秘密通信的各成員節(jié)點(diǎn)用成員節(jié)點(diǎn)密鑰保密部分和各成員節(jié)點(diǎn)的公鑰對(duì)消息摘要進(jìn)行單成員節(jié)點(diǎn)簽發(fā)����,并將簽發(fā)結(jié)果發(fā)送給發(fā)送方自治域代理��,步驟3-2-3).發(fā)送方自治域代理收到所有參與的單成員節(jié)點(diǎn)簽名后進(jìn)行群體簽名過(guò)程���,得到的結(jié)果返回給各參與者成員節(jié)點(diǎn)�����,步驟3-2-4).各參與者成員節(jié)點(diǎn)使用發(fā)送方自治域管理中心的公鑰對(duì)群體簽名結(jié)果進(jìn)行驗(yàn)證����,驗(yàn)證通過(guò)則自治域簽名成功��,步驟3-2-5).發(fā)送方自治域代理將群體簽名結(jié)果用接收方的自治域公鑰進(jìn)行加密,并將加密結(jié)果和發(fā)送方自治域證書(shū)發(fā)送給接收方自治域代理�;第3子部分接收方自治域的驗(yàn)證過(guò)程步驟3-3-1).接收方自治域代理將得到的消息發(fā)送給接收方自治域的各參與成員節(jié)點(diǎn),步驟3-3-2).接收方自治域各參與成員節(jié)點(diǎn)完成單成員節(jié)點(diǎn)解密過(guò)程���,并將解密結(jié)果返回給接收方自治域代理���,步驟3-3-3).接收方自治域代理再完成群體解密過(guò)程,得到經(jīng)發(fā)送方的自治域簽名的消息摘要���,步驟3-3-4).接收方自治域代理將該簽名的消息摘要和發(fā)送方自治域證書(shū)發(fā)送給接收方自治域的管理中心��,步驟3-3-5).接收方自治域的管理中心使用發(fā)送方自治域證書(shū)的公鑰對(duì)該消息摘要進(jìn)行驗(yàn)證�,驗(yàn)證通過(guò)則完成了自治域間秘密通信過(guò)程�����。
全文摘要
網(wǎng)格環(huán)境中基于虛擬組織的秘密通信方法是一種分布式計(jì)算的安全解決方案����,主要用于解決網(wǎng)格計(jì)算的安全問(wèn)題,該方案包含自治域內(nèi)成員節(jié)點(diǎn)的秘密通信�、自治域間成員節(jié)點(diǎn)的秘密通信、自治域間的秘密通信三部分����;當(dāng)所涉及到的秘密通信為單個(gè)自治域內(nèi)的成員節(jié)點(diǎn)時(shí)�,則使用自治域內(nèi)成員節(jié)點(diǎn)的秘密通信���,而涉及的秘密通信為自治域間的成員節(jié)點(diǎn)間的通信時(shí)�����,則使用自治域間成員節(jié)點(diǎn)的秘密通信�����,當(dāng)涉及的秘密通信為自治域間群體通信時(shí)��,則使用自治域間的秘密通信;這三部分之間的關(guān)系為自治域內(nèi)和自治域間的關(guān)系���,單個(gè)成員節(jié)點(diǎn)間和群體成員節(jié)點(diǎn)間的關(guān)系�����。本方法是一種策略性方法�����,通過(guò)使用本發(fā)明提出的方法可以達(dá)到保障虛擬組織安全通信的目標(biāo)����。
文檔編號(hào)H04L9/08GK1937566SQ200610086118
公開(kāi)日2007年3月28日 申請(qǐng)日期2006年8月31日 優(yōu)先權(quán)日2006年8月31日
發(fā)明者王汝傳, 陳建剛 申請(qǐng)人:南京郵電大學(xué)