專利名稱:一種基于身份的網(wǎng)格認(rèn)證協(xié)議的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)格技術(shù)領(lǐng)域,特別涉及一種認(rèn)證協(xié)議,該方協(xié)議適用于基于身份的網(wǎng)格驗證,采用了以基于身份的網(wǎng)格體系結(jié)構(gòu)為基礎(chǔ),嵌入了基于身份的加密與簽名算法,緊密結(jié)合了網(wǎng)格的屬性。能夠適時的根據(jù)工況的變化給出球磨機(jī)的負(fù)荷信息,能夠大大減輕網(wǎng)格用戶的計算和通信負(fù)擔(dān),從而提高網(wǎng)格安全和通信效率。
背景技術(shù):
網(wǎng)格作為一種能帶來巨大處理、存儲能力和其他IT資源的新型網(wǎng)絡(luò),可以應(yīng)付臨時之用。網(wǎng)格計算通過共享網(wǎng)絡(luò)將不同地點(diǎn)的大量計算機(jī)相聯(lián),從而形成虛擬的超級計算機(jī),將各處計算機(jī)的多余處理器能力合在一起,可為研究和其他數(shù)據(jù)集中應(yīng)用提供巨大的處理能力。有了網(wǎng)格計算,那些沒有能力購買價值數(shù)百萬美元的超級計算機(jī)的機(jī)構(gòu),也能利用其巨大的計算能力。網(wǎng)格具有以下四點(diǎn)優(yōu)勢1.資源共享,消除資源孤島網(wǎng)格能夠提供資源共享,它能消除信息孤島、實現(xiàn)應(yīng)用程序的互連互通。網(wǎng)格與計算機(jī)網(wǎng)絡(luò)不同,計算機(jī)網(wǎng)絡(luò)實現(xiàn)的是一種硬件的連通,而網(wǎng)格能實現(xiàn)應(yīng)用層面的連通。2.協(xié)同工作網(wǎng)格第二個特點(diǎn)是協(xié)同工作,很多網(wǎng)格結(jié)點(diǎn)可以共同處理一個項目。3.通用開放標(biāo)準(zhǔn),非集中控制,非平凡服務(wù)質(zhì)量這是Ian faster最近提出的網(wǎng)格檢驗標(biāo)準(zhǔn)。網(wǎng)格是基于國際的開放技術(shù)標(biāo)準(zhǔn),這跟以前很多行業(yè)、部門或者公司推出的軟件產(chǎn)品不一樣。4.動態(tài)功能,高度可擴(kuò)展性網(wǎng)格可以提供動態(tài)的服務(wù),能夠適應(yīng)變化。同時網(wǎng)格并非限制性的,它實現(xiàn)了高度的可擴(kuò)展性。網(wǎng)格計算被看作下一代計算技術(shù),而認(rèn)證對于網(wǎng)格安全至關(guān)重要。當(dāng)前的網(wǎng)格安全基礎(chǔ)設(shè)施(Grid Security Infrastructure, GSI)以傳統(tǒng)的公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)為基礎(chǔ)構(gòu)建認(rèn)證框架,通過SSL認(rèn)證協(xié)議(SSL Authentication Protocol, SAP)實現(xiàn)雙向身份認(rèn)證。但是,這種認(rèn)證框架仍然存在SAP認(rèn)證效率過低、HQ 系統(tǒng)建設(shè)和維護(hù)成本太高等不足。指出因為SAP,當(dāng)前的網(wǎng)格規(guī)模受到限制。近年來,基于身份的密碼體制(Identity-Based Cryptography, IBC)發(fā)展迅速。 關(guān)于IBC與網(wǎng)格的研究也層出不窮。2004年,文獻(xiàn)提出一種IBC/PKI混合體系結(jié)構(gòu),該結(jié)構(gòu)有助于網(wǎng)格規(guī)模的擴(kuò)大,但是該結(jié)構(gòu)未考慮密鑰的分發(fā)和管理問題。2004年,提出一種基于身份的網(wǎng)格非交互式認(rèn)證框架,該框架不需要證書,且認(rèn)證效率高,但未考慮私鑰生成中心 (Private Key Generator, PKG)的瓶頸問題。2005年,提出了一種IBC/PKI解決方案,該方案解決了密鑰的分發(fā)和管理問題,但失去了非交互性和無證書特性。2005年,文獻(xiàn)提出了一種GSI改進(jìn)方案,然而該方案依然需要證書。因此尋找一種可以降低客戶端負(fù)擔(dān),擴(kuò)大網(wǎng)格規(guī)模的認(rèn)證協(xié)議。成為了網(wǎng)格計算技術(shù)的蓬勃發(fā)展的難點(diǎn)和關(guān)鍵點(diǎn)。
發(fā)明內(nèi)容
本發(fā)明的目的在于,提供一種基于身份的網(wǎng)格認(rèn)證協(xié)議,用以解決長期以來由于采用SSL認(rèn)證協(xié)議,導(dǎo)致網(wǎng)格用戶的計算和通信負(fù)擔(dān)沉重的問題。發(fā)明以基于身份的網(wǎng)格體系結(jié)構(gòu)為基礎(chǔ),嵌入了基于身份的加密與簽名算法,完全摒棄了數(shù)字證書,緊密結(jié)合了網(wǎng)格的屬性。建立能夠基于身份的網(wǎng)格認(rèn)證協(xié)議。為了實現(xiàn)上述任務(wù),本發(fā)明采取如下的技術(shù)解決方案— ft S T ^v W N H- # ^ ^n I^J (Identity-based Architecture for Grid, IBAG),如
圖1,IBAG分為3層,頂層(第0層)節(jié)點(diǎn)代表根PKG ;第1層中的每個節(jié)點(diǎn)代表一個子PKG,分別對應(yīng)網(wǎng)格中的一個虛擬組織(Virtual Organization, V0);底層(第2層) 節(jié)點(diǎn)代表網(wǎng)格中的實體,該實體可以是網(wǎng)格中的用戶、資源或進(jìn)程。實體在加入網(wǎng)格時將通過注冊得到區(qū)別于其它實體的名字DMDistinguished Name),如圖1,假定根節(jié)點(diǎn)的名字為 DNtl、節(jié)點(diǎn)M的名字為、節(jié)點(diǎn)N的名字為D&,定義每個節(jié)點(diǎn)的身份為“從根節(jié)點(diǎn)到該節(jié)點(diǎn)的身份連成的字符串”,如節(jié)點(diǎn)N的身份為IDn = DN0 □ DNm □ DNn,這里“□”代表字符串的連接。進(jìn)一步再定義 IDnIq = DN0, IDj1 = DN0 □ DNm, IDj2 = DN0 □ DNm □ DNno 上述規(guī)則適用于IBAG中所有節(jié)點(diǎn)。IBAG 的初始化包括兩個算法:Root PKG setup 和 Lower-level setup。Root PKG setup 根 PKG 執(zhí)行下列操作1.選取兩個階為素數(shù)q的群G1A2及一個可接受的雙線形映射g =G1XG1 — G2 ;隨機(jī)選擇生成元P e G1 ;選擇密碼學(xué)hash函數(shù)H1 =IoaK^GnH2 =G2- {0,1}η;2.隨機(jī)選取《e Ζ)并設(shè)置 % = α P,P。= H1 (DN0) , S0 = α P。。根的密鑰為 S0, 系統(tǒng)的公開參數(shù)為<Gi,G),a,p,4代,盡>。Lower-level setup 1.假設(shè)第1層中有m個節(jié)點(diǎn),那么對于每個節(jié)點(diǎn),根PKG均執(zhí)行以下操作(假設(shè)X 為m個節(jié)點(diǎn)中的任意一個)1)計算節(jié)點(diǎn) X 的公鑰=Px = H1 (IDx),其中 IDx = DN0 □ DNxo2)隨機(jī)選擇外eZ丨作為χ的秘密點(diǎn),ρ x僅僅被X及其父節(jié)點(diǎn)知道。3)計算 X 的私鑰=Sx = S0+ P XPX。4)計算 Q 值= Pxp ,&柳公開。第1步中的4個子步驟完成后,第1層中的所有節(jié)點(diǎn)均擁有自己的私鑰和秘密點(diǎn), 而公鑰和Q值公開。2.第1層中的每個節(jié)點(diǎn)對于自己所屬的每個子節(jié)點(diǎn),相似地執(zhí)行第1步中的4個子步驟。第2步完成后,第2層中的所有節(jié)點(diǎn)均擁有自己的私鑰和秘密點(diǎn),而公鑰和Q值公開。身份的加密方案IBE
加密假設(shè)E^2為網(wǎng)格中的實體,氏的身份為
權(quán)利要求
1.一種基于身份的網(wǎng)格認(rèn)證協(xié)議,其特征在于,該協(xié)議以基于身份的網(wǎng)格體系結(jié)構(gòu)為基礎(chǔ),嵌入了基于身份的加密與簽名算法,完全摒棄了數(shù)字證書,緊密結(jié)合了網(wǎng)格的屬性。 該認(rèn)證協(xié)議比SAP更輕量高效,特別是客戶端負(fù)擔(dān)大大減輕,有助于網(wǎng)格規(guī)模的擴(kuò)大。具體包括以下內(nèi)容基于身份的網(wǎng)格體系結(jié)構(gòu)(Identity-based Architecture for Grid, IBAG),IBAG 的初始化包括兩個算法=Root PKG setup和Lower-level setup。第1層中的所有節(jié)點(diǎn)均擁有自己的私鑰和秘密點(diǎn),而公鑰和Q值公開,第1層中的每個節(jié)點(diǎn)對于自己所屬的每個子節(jié)點(diǎn)。第2層中的所有節(jié)點(diǎn)均擁有自己的私鑰和秘密點(diǎn),而公鑰和Q值公開。同理可推為多層。IBAG 框架下基于身份的加密(Identity Based Encryption, IBE)和簽名(Identity Based Signature, IBS)方案,再根據(jù)IBE和IBS方案再提出一種基于身份的網(wǎng)格認(rèn)證協(xié)議 (Identity Based Authentication Protocol, IBAP)。
2.如權(quán)利1要求所述的基于身份網(wǎng)格體系結(jié)構(gòu)初始化兩個算法RootPKG setup和 Lower-level setup。RootPKG setup其特征在于選取兩個階為相同素數(shù)的群及一個可接受的雙線形映射,隨機(jī)選擇生成元,選擇密碼學(xué)hash函數(shù)。求出跟密鑰,求出系統(tǒng)的公開參數(shù)。Lower-level setup其特征在于首先計算出節(jié)點(diǎn)公鑰,選取該節(jié)點(diǎn)的秘密點(diǎn)僅被其父節(jié)點(diǎn)知道。再計算該節(jié)點(diǎn)的私鑰,計算一個值并公開此值。使得每層節(jié)點(diǎn)都擁有自己的私鑰和秘密點(diǎn),并公開公鑰和計算值。
3.如權(quán)利1要求所述的IBAG框架下基于身份的加密(IdentityBased Encryption, IBE)和簽名(Identity Based Signature, IBS)方案其特征在于這兩個方案基于身份網(wǎng)格體系結(jié)構(gòu)初始化中節(jié)點(diǎn)所擁有的公鑰和私鑰進(jìn)行加密,解密;根據(jù)秘密點(diǎn)計算簽名并輸出簽名。
4.如權(quán)利1要求所述基于IBE和IBS方案,提出一種基于身份的網(wǎng)格認(rèn)證協(xié)議。其特征在于客戶端發(fā)送消息和服務(wù)器響應(yīng)過程中服務(wù)器采用公鑰機(jī)密生成共享密鑰的“主密鑰”(采用IBE加密算法)。接著使用自己的私鑰對消息集合進(jìn)行簽名(采用IBS簽名算法)??蛻舳耸紫仁褂梅?wù)器的ID驗證簽名,驗證通過即完成了認(rèn)證。接著使用自己的私鑰解密用客戶端的公鑰加密的主密鑰(采用IBE加密算法)。最后客戶端和服務(wù)器分別計算共享密鑰。
全文摘要
本發(fā)明公開了一種基于身份的網(wǎng)格認(rèn)證協(xié)議,用以解決長期以來由于采用SSL認(rèn)證協(xié)議,導(dǎo)致網(wǎng)格用戶的計算和通信負(fù)擔(dān)沉重的問題。本發(fā)明以基于身份的網(wǎng)格體系結(jié)構(gòu)為基礎(chǔ),嵌入了基于身份的加密與簽名算法,完全摒棄了數(shù)字證書,緊密結(jié)合了網(wǎng)格的屬性。建立能夠基于身份的網(wǎng)格認(rèn)證協(xié)議。本發(fā)明的認(rèn)證協(xié)議比SAP更輕量、更高效,特別是用戶端負(fù)擔(dān)大大減輕,有助于網(wǎng)格規(guī)模的擴(kuò)大。
文檔編號H04L29/06GK102487379SQ20101056892
公開日2012年6月6日 申請日期2010年12月1日 優(yōu)先權(quán)日2010年12月1日
發(fā)明者李洪偉 申請人:李洪偉