亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

IBC域內(nèi)的用戶訪問PKI域內(nèi)的資源的認(rèn)證密鑰協(xié)商方法與流程

文檔序號:12491017閱讀:305來源:國知局

本發(fā)明屬于信息通信中跨異構(gòu)域認(rèn)證與密鑰協(xié)商技術(shù)領(lǐng)域。



背景技術(shù):

分布式的網(wǎng)絡(luò)環(huán)境的各種應(yīng)用,例如虛擬企業(yè),即時通信系統(tǒng)等等,用戶與其想要訪問的信息資源往往都處于不同的信任域中。而不同的信任域可能會基于不同的密碼體制,例如基于Kerberos的密碼體制,基于PKI(公鑰基礎(chǔ)設(shè)施)的密碼體制以及基于IBC(基于身份的密碼技術(shù))的密碼體制等等。同構(gòu)域之間的認(rèn)證密鑰協(xié)商方法已經(jīng)有較多的研究,并且已形成標(biāo)準(zhǔn)并被廣泛應(yīng)用。用于PKI以及Kerberos兩個域之間的認(rèn)證密鑰協(xié)商方法也有較多的研究。但IBC域的用戶訪問PKI域的資源時的認(rèn)證密鑰協(xié)商方法,卻很少有人研究。而在分布式網(wǎng)絡(luò)下的諸如虛擬企業(yè),敏捷制造等應(yīng)用場景下,IBC域的用戶訪問PKI域的資源的應(yīng)用需求很多。

現(xiàn)有的IBC域的用戶訪問PKI域的資源時的認(rèn)證密鑰協(xié)商文獻只有:

文獻1“異構(gòu)域的跨域授權(quán)”(孟欣,胡亮,初劍峰,等.異構(gòu)信任域的跨域授權(quán)[J].吉林大學(xué)學(xué)報理學(xué)版,2010,48(1):89-93.)依托于PKI同構(gòu)域之間的互信互聯(lián)體系,采用身份映射,跨域授權(quán)兩部分內(nèi)容實現(xiàn)跨IBC與PKI域之間的可信互聯(lián)。但是該文獻中大量多次使用到證書,證書在傳遞,存儲過程中都會消耗大量的資源,與人們當(dāng)初設(shè)計IBC密碼體制的初衷不符;采用身份映射的方式很不直接,在現(xiàn)實的應(yīng)用中可行性不高。并且該文獻只是用身份映射,信任傳遞的方式來實現(xiàn)認(rèn)證的思想,沒有具體的方案流程,只能算作是一種新的跨域授權(quán)的思想而不是一個可以直接實現(xiàn)的方案。



技術(shù)實現(xiàn)要素:

本發(fā)明的目的是提供一種IBC域內(nèi)的用戶訪問PKI域內(nèi)的資源的認(rèn)證密鑰協(xié)商方法,該方法能有效實現(xiàn)IBC域內(nèi)的用戶訪問PKI域內(nèi)的資源的認(rèn)證密鑰協(xié)商,其消耗資源少,安全性高。

本發(fā)明實現(xiàn)其發(fā)明目的所采用的技術(shù)方案是,一種IBC域內(nèi)的用戶訪問PKI域內(nèi)的資源的認(rèn)證密鑰協(xié)商方法,其操作步驟是:

A、申請訪問

IBC域的用戶U向IBC域的認(rèn)證服務(wù)器TA發(fā)出訪問PKI域的資源S的請求,IBC域認(rèn)證服務(wù)器TA對IBC域的用戶U的身份合法性進行認(rèn)證;若認(rèn)證未通過,則跳轉(zhuǎn)至步驟E;否則,向PKI域認(rèn)證服務(wù)器CA轉(zhuǎn)發(fā)IBC域的用戶U的訪問請求,并且向該用戶U發(fā)送PKI域認(rèn)證服務(wù)器CA的公鑰PKCA

B、生成訪問授權(quán)票據(jù)并發(fā)送

PKI域認(rèn)證服務(wù)器CA對IBC域認(rèn)證服務(wù)器TA進行身份認(rèn)證,若認(rèn)證未通過,則跳轉(zhuǎn)至步驟E;否則,PKI域認(rèn)證服務(wù)器CA生成IBC域的用戶U訪問PKI域內(nèi)資源S的會話密鑰K的認(rèn)證服務(wù)器部分K1,并且加密、生成對應(yīng)的訪問授權(quán)票據(jù)Ticket1;同時,PKI域認(rèn)證服務(wù)器CA通過IBC域認(rèn)證服務(wù)器TA發(fā)送來的訪問請求中的IBC域的用戶U的身份標(biāo)識IDU,計算出IBC域的用戶U的公鑰QU

PKI域認(rèn)證服務(wù)器CA利用自身私鑰SKCA對PKI域內(nèi)資源S的公鑰PKS、會話密鑰K的認(rèn)證服務(wù)器部分K1和訪問授權(quán)票據(jù)Ticket1,進行簽名處理得到已簽名消息Msign,再利用IBC域的用戶U的公鑰QU對已簽名消息Msign進行加密,得到加密消息MA2CA->U,并將其發(fā)送給IBC域的用戶U;

C、雙向身份認(rèn)證以及協(xié)商會話密鑰

C1、IBC域的用戶U利用自身私鑰SU,對PKI域認(rèn)證服務(wù)器CA發(fā)來的加密消息MA2CA->U解密,得到PKI域內(nèi)資源S的公鑰PKS、會話密鑰K的認(rèn)證服務(wù)器部分K1和訪問授權(quán)票據(jù)Ticket1,再用PKI域認(rèn)證服務(wù)器CA的公鑰PKCA驗證簽名的有效性,若驗證未通過,則跳轉(zhuǎn)至步驟E;否則,IBC域的用戶U生成會話密鑰K的用戶部分K2,并將會話密鑰K的用戶部分K2首位處進行填充,使其與會話密鑰K的認(rèn)證服務(wù)器部分K1的位數(shù)相同,然后對會話密鑰K的認(rèn)證服務(wù)器部分K1和填充后的用戶部分K2進行異或處理得到完整的會話密鑰K;

C2、IBC域的用戶U再利用PKI域內(nèi)資源S的公鑰PKS,對會話密鑰K的用戶部分K2進行加密,得到用戶密文S-k2;同時,利用會話密鑰K對PKI域內(nèi)的資源S的身份標(biāo)識IDS進行加密,得到身份標(biāo)識密文S-ID;再將用戶密文S-k2和身份標(biāo)識密文S-ID連同B步中的訪問授權(quán)票據(jù)Ticket1,一起發(fā)送給PKI域內(nèi)的資源S;

C3、PKI域內(nèi)的資源S用自身私鑰SKS對收到的用戶密文S-k2解密,得到資源端會話密鑰K’的用戶部分K2';對訪問授權(quán)票據(jù)Ticket1解密、提取,得到資源端會話密鑰K’的認(rèn)證服務(wù)器部分K1';再將資源端會話密鑰K’的用戶部分K2'首位處進行填充,使其與資源端會話密鑰K’的認(rèn)證服務(wù)器部分K1'的位數(shù)相同,然后對資源端會話密鑰K’的認(rèn)證服務(wù)器部分K1'和填充后的用戶部分K2'進行異或處理得到完整的資源端會話密鑰K’;再用資源端會話密鑰K’解密收到的身份標(biāo)識密文S-ID,從而得到PKI域內(nèi)資源S的提取身份標(biāo)識IDS’,將提取身份標(biāo)識IDS’和PKI域的資源S的身份標(biāo)識IDS進行驗證,若二者不一致,則跳轉(zhuǎn)至步驟E;否則,PKI域內(nèi)的資源S用資源端會話密鑰K’對其身份標(biāo)識IDS進行加密,得到PKI域內(nèi)的資源S的資源端身份標(biāo)識密文MA3S->U,并將其發(fā)送給IBC域的用戶U;

C4、IBC域的用戶U用會話密鑰K對收到的資源端身份標(biāo)識密文MA3S->U進行解密,得到PKI域內(nèi)的資源S的用戶端身份標(biāo)識IDS”,并驗證PKI域內(nèi)的資源S的用戶端身份標(biāo)識IDS”的有效性,若驗證未通過,則跳轉(zhuǎn)至步驟E;否則IBC域的用戶U與PKI域的資源S的認(rèn)證密鑰協(xié)商完成,IBC域的用戶U利用會話密鑰K對PKI域的資源S進行安全訪問;

D、重認(rèn)證

當(dāng)會話密鑰K的認(rèn)證服務(wù)器部分K1超出其生命周期時,若IBC域的用戶U不再訪問PKI域的資源S,則跳轉(zhuǎn)至步驟E;若IBC域的用戶U仍需訪問PKI域的資源S,則跳轉(zhuǎn)至步驟A;

當(dāng)會話密鑰K的用戶部分K2超出其生命周期,但會話密鑰K的認(rèn)證服務(wù)器部分K1仍在其生命周期中時,若IBC域的用戶U不再訪問PKI域的資源S,則跳轉(zhuǎn)至步驟E;若IBC域的用戶U仍需訪問PKI域的資源S,則跳轉(zhuǎn)至步驟A或者進行快速重認(rèn)證;

E、中止會話。

與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:

一、本發(fā)明給出了IBC域內(nèi)的用戶訪問PKI域內(nèi)的資源時的跨異構(gòu)域認(rèn)證密鑰協(xié)商方法,使得IBC域內(nèi)的用戶能夠安全的訪問PKI域內(nèi)的資源。

二、IBC域認(rèn)證服務(wù)器向域內(nèi)的用戶發(fā)送PKI域認(rèn)證服務(wù)器的公鑰,可以保證能夠順利驗證后續(xù)PKI域認(rèn)證服務(wù)器發(fā)送來的消息的有效性,同時用戶無需存儲PKI域認(rèn)證服務(wù)器的證書,減少了系統(tǒng)資源的消耗。

三、會話密鑰是由會話密鑰的認(rèn)證服務(wù)器部分和用戶部分進行異或處理得到,較之單純由認(rèn)證服務(wù)器生成的會話密鑰而言,其安全性得到大幅提高,并且增加的資源消耗少。

進一步,本發(fā)明的A步驟中所述的IBC域的用戶U向IBC域的認(rèn)證服務(wù)器TA發(fā)出訪問PKI域的資源S的請求的具體做法是:

IBC域的用戶U選取隨機整數(shù)r1,r1∈Zq;式中,Zq表示小于q的所有整數(shù)組成的集合,q為超過32位二進制位的素數(shù);然后將隨機整數(shù)r1與系統(tǒng)的公鑰Ppub進行基于橢圓曲線的點乘運算得到公鑰點參數(shù)R3,再將公鑰點參數(shù)R3與IBC域的認(rèn)證服務(wù)器TA的公鑰QTA作雙線性對映射得到映射點參數(shù)R1,R1=e(R3,QTA),其中e()表示雙線性對映射;同時,隨機整數(shù)r1再與橢圓曲線的生成元P,進行基于橢圓曲線的點乘運算得到生成元點參數(shù)R2;對映射點參數(shù)R1做哈希運算得到映射點參數(shù)的哈希值H(R1),對得到的哈希值求逆運算得到映射點參數(shù)的哈希值逆元H(R1)-1,再將映射點參數(shù)的哈希值逆元H(R1)-1與IBC域的用戶U的私鑰SU做點乘運算得到用戶的臨時身份TidU;將IBC域的用戶U的身份標(biāo)識IDU,PKI域的資源S的身份標(biāo)識IDS和消息發(fā)出時的時間戳T1組成身份信息明文段m1,m1={IDU,IDS,T1},再利用IBC域的認(rèn)證服務(wù)器TA的公鑰QTA對身份信息明文段m1進行基于身份算法的加密操作,得到的身份信息密文段c1,c1=IBE{IDU,IDS,T1}QTA,其中IBE{…}QTA表示利用IBC域的認(rèn)證服務(wù)器TA的公鑰QTA進行基于身份算法的加密操作;

隨后,IBC域的用戶U將用戶的臨時身份TidU、生成元點參數(shù)R2和身份信息密文段c1組成請求消息MA1,MA1=TidU,R2,c1;并將其發(fā)送給IBC域的認(rèn)證服務(wù)器TA。

這樣,利用隨機數(shù)與IBC域的系統(tǒng)公鑰、橢圓曲線的生成元,通過點乘,雙線性對映射和哈希構(gòu)建出用戶的臨時身份,難以破解和偽造,可以采用明文的形式傳輸,既減少了通信量與計算量,也保證了信息傳輸?shù)陌踩?;并且臨時身份實現(xiàn)了用戶身份的匿名性,防止了惡意實體對用戶進行追蹤。

進一步,本發(fā)明的A步驟中所述的IBC域認(rèn)證服務(wù)器TA對IBC域的用戶U的身份合法性進行認(rèn)證的具體做法是:

IBC域認(rèn)證服務(wù)器TA將收到的請求消息MA1中的生成元點參數(shù)R2和IBC域的認(rèn)證服務(wù)器TA的私鑰STA做雙線性對映射重新算出映射點參數(shù)R1,R1=e(R2,STA);再對重新算出的映射點參數(shù)R1做哈希運算得到映射點參數(shù)的哈希值H(R1),再與橢圓曲線的生成元P做基于橢圓曲線的點乘運算,得到哈希值生成元點參數(shù)R4,再將其與收到的IBC域的用戶U的臨時身份TidU做雙線性對映射,得出IBC域的用戶U在IBC域的認(rèn)證服務(wù)器TA的檢索號IndU,IndU=e(TidU,R4);通過所述的檢索號IndU得到IBC域的用戶U存儲在IBC域的認(rèn)證服務(wù)器TA端的身份IDU';再利用IBC域的認(rèn)證服務(wù)器TA的私鑰STA對請求消息MA1中的身份信息密文段c1進行解密操作,得到身份信息明文段m1中的IBC域用戶的身份IDU;若時間戳T1新鮮,并且IBC域的用戶U存儲在IBC域的認(rèn)證服務(wù)器TA的身份IDU'和身份信息明文段m1中的IBC域的用戶U的身份IDU一致,則身份合法性認(rèn)證通過;否則,認(rèn)證不通過;

這樣,IBC域認(rèn)證服務(wù)器驗證用戶身份時,通過對臨時身份、生成元點參數(shù)、IBC域認(rèn)證服務(wù)器私鑰和橢圓曲線的生成元,做點乘,雙線性對映射和哈希運算,得到用戶在IBC域認(rèn)證服務(wù)器的索引值,與傳統(tǒng)的利用基于身份的簽名算法對用戶的身份合法性進行驗證,大大減少了計算量,并且不會影響安全性。

進一步,本發(fā)明的A步驟中IBC域的認(rèn)證服務(wù)器TA向IBC域的用戶U發(fā)送PKI域認(rèn)證服務(wù)器CA的公鑰PKCA作法是:

將PKI域認(rèn)證服務(wù)器CA的公鑰PKCA、身份標(biāo)識IDCA和發(fā)送消息時的時間戳T3一起進行簽名、加密操作后組成公鑰密文c2,再將公鑰密文c2發(fā)送給PKI域認(rèn)證服務(wù)器CA。

這樣,IBC域認(rèn)證服務(wù)器向域內(nèi)的用戶發(fā)送包含PKI域認(rèn)證服務(wù)器公鑰的公鑰密文,可以保證能夠順利驗證后續(xù)PKI域認(rèn)證服務(wù)器發(fā)送來的消息的有效性,同時用戶無需存儲PKI域認(rèn)證服務(wù)器的證書,減少了系統(tǒng)資源的消耗。

進一步,本發(fā)明的B步驟中的會話密鑰K的認(rèn)證服務(wù)器部分K1的位數(shù)為128位;所述的C1步驟中,IBC域的用戶U生成會話密鑰K的用戶部分K2的長度為80位。

這樣,采用80位的用戶部分進行填充與128位的認(rèn)證服務(wù)器部分進行異或得到會話密鑰,較之僅由128位的認(rèn)證服務(wù)器部分得到的會話密鑰,密鑰的生命周期較短,會話密鑰的安全得到保證,同時,增加的通信量很少。

進一步,本發(fā)明的D步驟中的快速重認(rèn)證的具體做法是:

IBC域內(nèi)的用戶U生成重認(rèn)證會話密鑰K″的用戶部分K2″,并將重認(rèn)證會話密鑰K″的用戶部分K2″首位處進行填充,使其與重認(rèn)證會話密鑰K″的認(rèn)證服務(wù)器部分K1的位數(shù)相同,然后對重認(rèn)證會話密鑰K″的認(rèn)證服務(wù)器部分K1和填充后的用戶部分K2″進行異或處理得到完整的重認(rèn)證會話密鑰K″;然后,跳轉(zhuǎn)至C2步驟。

這樣,當(dāng)會話密鑰的用戶部分超出其生命周期,但會話密鑰的認(rèn)證服務(wù)器部分仍在其生命周期中時;若IBC域的用戶仍需訪問PKI域的資源,可進行快速重認(rèn)證,而無需重新進行申請訪問和訪問授權(quán)票據(jù)生成和分發(fā)的操作,在保證訪問安全的前提下,大大減少了方法的交互次數(shù),通信量和計算量。

下面結(jié)合具體實施方式對本發(fā)明作進一步的詳細(xì)說明。

具體實施方式

實施例

一種IBC域內(nèi)的用戶訪問PKI域內(nèi)的資源的認(rèn)證密鑰協(xié)商方法,其操作步驟是:

A、申請訪問

IBC域的用戶U向IBC域的認(rèn)證服務(wù)器TA發(fā)出訪問PKI域的資源S的請求,IBC域認(rèn)證服務(wù)器TA對IBC域的用戶U的身份合法性進行認(rèn)證;若認(rèn)證未通過,則跳轉(zhuǎn)至步驟E;否則,向PKI域認(rèn)證服務(wù)器CA轉(zhuǎn)發(fā)IBC域的用戶U的訪問請求,并且向該用戶U發(fā)送PKI域認(rèn)證服務(wù)器CA的公鑰PKCA

B、生成訪問授權(quán)票據(jù)并發(fā)送

PKI域認(rèn)證服務(wù)器CA對IBC域認(rèn)證服務(wù)器TA進行身份認(rèn)證,若認(rèn)證未通過,則跳轉(zhuǎn)至步驟E;否則,PKI域認(rèn)證服務(wù)器CA生成IBC域的用戶U訪問PKI域內(nèi)資源S的會話密鑰K的認(rèn)證服務(wù)器部分K1,并且加密、生成對應(yīng)的訪問授權(quán)票據(jù)Ticket1;同時,PKI域認(rèn)證服務(wù)器CA通過IBC域認(rèn)證服務(wù)器TA發(fā)送來的訪問請求中的IBC域的用戶U的身份標(biāo)識IDU,計算出IBC域的用戶U的公鑰QU;

PKI域認(rèn)證服務(wù)器CA利用自身私鑰SKCA對PKI域內(nèi)資源S的公鑰PKS、會話密鑰K的認(rèn)證服務(wù)器部分K1和訪問授權(quán)票據(jù)Ticket1,進行簽名處理得到已簽名消息Msign,再利用IBC域的用戶U的公鑰QU對已簽名消息Msign進行加密,得到加密消息MA2CA->U,并將其發(fā)送給IBC域的用戶U;

C、雙向身份認(rèn)證以及協(xié)商會話密鑰

C1、IBC域的用戶U利用自身私鑰SU,對PKI域認(rèn)證服務(wù)器CA發(fā)來的加密消息MA2CA->U解密,得到PKI域內(nèi)資源S的公鑰PKS、會話密鑰K的認(rèn)證服務(wù)器部分K1和訪問授權(quán)票據(jù)Ticket1,再用PKI域認(rèn)證服務(wù)器CA的公鑰PKCA驗證簽名的有效性,若驗證未通過,則跳轉(zhuǎn)至步驟E;否則,IBC域的用戶U生成會話密鑰K的用戶部分K2,并將會話密鑰K的用戶部分K2首位處進行填充,使其與會話密鑰K的認(rèn)證服務(wù)器部分K1的位數(shù)相同,然后對會話密鑰K的認(rèn)證服務(wù)器部分K1和填充后的用戶部分K2進行異或處理得到完整的會話密鑰K;

C2、IBC域的用戶U再利用PKI域內(nèi)資源S的公鑰PKS,對會話密鑰K的用戶部分K2進行加密,得到用戶密文S-k2;同時,利用會話密鑰K對PKI域內(nèi)的資源S的身份標(biāo)識IDS進行加密,得到身份標(biāo)識密文S-ID;再將用戶密文S-k2和身份標(biāo)識密文S-ID連同B步中的訪問授權(quán)票據(jù)Ticket1,一起發(fā)送給PKI域內(nèi)的資源S;

C3、PKI域內(nèi)的資源S用自身私鑰SKS對收到的用戶密文S-k2解密,得到資源端會話密鑰K’的用戶部分K2';對訪問授權(quán)票據(jù)Ticket1解密、提取,得到資源端會話密鑰K’的認(rèn)證服務(wù)器部分K1';再將資源端會話密鑰K’的用戶部分K2'首位處進行填充,使其與資源端會話密鑰K’的認(rèn)證服務(wù)器部分K1'的位數(shù)相同,然后對資源端會話密鑰K’的認(rèn)證服務(wù)器部分K1'和填充后的用戶部分K2'進行異或處理得到完整的資源端會話密鑰K’;再用資源端會話密鑰K’解密收到的身份標(biāo)識密文S-ID,從而得到PKI域內(nèi)資源S的提取身份標(biāo)識IDS’,將提取身份標(biāo)識IDS’和PKI域的資源S的身份標(biāo)識IDS進行驗證,若二者不一致,則跳轉(zhuǎn)至步驟E;否則,PKI域內(nèi)的資源S用資源端會話密鑰K’對其身份標(biāo)識IDS進行加密,得到PKI域內(nèi)的資源S的資源端身份標(biāo)識密文MA3S->U,并將其發(fā)送給IBC域的用戶U;

C4、IBC域的用戶U用會話密鑰K對收到的資源端身份標(biāo)識密文MA3S->U進行解密,得到PKI域內(nèi)的資源S的用戶端身份標(biāo)識IDS”,并驗證PKI域內(nèi)的資源S的用戶端身份標(biāo)識IDS”的有效性,若驗證未通過,則跳轉(zhuǎn)至步驟E;否則IBC域的用戶U與PKI域的資源S的認(rèn)證密鑰協(xié)商完成,IBC域的用戶U利用會話密鑰K對PKI域的資源S進行安全訪問;

D、重認(rèn)證

當(dāng)會話密鑰K的認(rèn)證服務(wù)器部分K1超出其生命周期時,若IBC域的用戶U不再訪問PKI域的資源S時,則跳轉(zhuǎn)至步驟E;若IBC域的用戶U仍需訪問PKI域的資源S,則跳轉(zhuǎn)至步驟A;

當(dāng)會話密鑰K的用戶部分K2超出其生命周期,但會話密鑰K的認(rèn)證服務(wù)器部分K1仍在其生命周期中時;若IBC域的用戶U不再訪問PKI域的資源S時,則跳轉(zhuǎn)至步驟E;若IBC域的用戶U仍需訪問PKI域的資源S,則跳轉(zhuǎn)至步驟A或者進行快速重認(rèn)證;

E、中止會話。

本例的A步驟中所述的IBC域的用戶U向IBC域的認(rèn)證服務(wù)器TA發(fā)出訪問PKI域的資源S的請求的具體做法是:

IBC域的用戶U選取隨機整數(shù)r1,r1∈Zq;式中,Zq表示小于q的所有整數(shù)組成的集合,q為超過32位二進制位的素數(shù);然后將隨機整數(shù)r1與系統(tǒng)的公鑰Ppub進行基于橢圓曲線的點乘運算得到公鑰點參數(shù)R3,再將公鑰點參數(shù)R3與IBC域的認(rèn)證服務(wù)器TA的公鑰QTA作雙線性對映射得到映射點參數(shù)R1,R1=e(R3,QTA),其中e()表示雙線性對映射;同時,隨機整數(shù)r1再與橢圓曲線的生成元P,進行基于橢圓曲線的點乘運算得到生成元點參數(shù)R2;對映射點參數(shù)R1做哈希運算得到映射點參數(shù)的哈希值H(R1),對得到的哈希值求逆運算得到映射點參數(shù)的哈希值逆元H(R1)-1,再將映射點參數(shù)的哈希值逆元H(R1)-1與IBC域的用戶U的私鑰SU做點乘運算得到用戶的臨時身份TidU;將IBC域的用戶U的身份標(biāo)識IDU,PKI域的資源S的身份標(biāo)識IDS和消息發(fā)出時的時間戳T1組成身份信息明文段m1,m1={IDU,IDS,T1},再利用IBC域的認(rèn)證服務(wù)器TA的公鑰QTA對身份信息明文段m1進行基于身份算法的加密操作,得到的身份信息密文段c1,c1=IBE{IDU,IDS,T1}QTA,其中IBE{…}QTA表示利用IBC域的認(rèn)證服務(wù)器TA的公鑰QTA進行基于身份算法的加密操作;

隨后,IBC域的用戶U將用戶的臨時身份TidU、生成元點參數(shù)R2和身份信息密文段c1組成請求消息MA1,MA1=TidU,R2,c1;并將其發(fā)送給IBC域的認(rèn)證服務(wù)器TA;

本例的A步驟中所述的IBC域認(rèn)證服務(wù)器TA對發(fā)出請求的IBC域的用戶U的身份合法性進行認(rèn)證的具體做法是:

IBC域認(rèn)證服務(wù)器TA將收到的請求消息MA1中的生成元點參數(shù)R2和IBC域的認(rèn)證服務(wù)器TA的私鑰STA做雙線性對映射重新算出映射點參數(shù)R1,R1=e(R2,STA);再對重新算出的映射點參數(shù)R1做哈希運算得到映射點參數(shù)的哈希值H(R1),再與橢圓曲線的生成元P做基于橢圓曲線的點乘運算,得到哈希值生成元點參數(shù)R4,再將其與收到的IBC域的用戶U的臨時身份TidU做雙線性對映射,得出IBC域的用戶U在IBC域的認(rèn)證服務(wù)器TA的檢索號IndU,IndU=e(TidU,R4);通過所述的檢索號IndU得到IBC域的用戶U存儲在IBC域的認(rèn)證服務(wù)器TA端的身份IDU,;再利用IBC域的認(rèn)證服務(wù)器TA的私鑰STA對請求消息MA1中的身份信息密文段c1進行解密操作,得到身份信息明文段m1中的IBC域用戶的身份IDU;若時間戳T1新鮮,并且IBC域的用戶U存儲在IBC域的認(rèn)證服務(wù)器TA的身份ID’U和身份信息明文段m1中的IBC域的用戶U的身份IDU一致,則身份合法性認(rèn)證通過;否則,認(rèn)證不通過;

本例的A步驟中IBC域的認(rèn)證服務(wù)器TA向IBC域的用戶U發(fā)送PKI域認(rèn)證服務(wù)器CA的公鑰PKCA作法是:

將PKI域認(rèn)證服務(wù)器CA的公鑰PKCA、身份標(biāo)識IDCA和發(fā)送消息時的時間戳T3一起進行簽名、加密操作后組成公鑰密文c2,再將公鑰密文c2發(fā)送給PKI域認(rèn)證服務(wù)器CA。

本例的B步驟中的會話密鑰K的認(rèn)證服務(wù)器部分K1的位數(shù)為128位;本例的C1步驟中,IBC域的用戶U生成會話密鑰K的用戶部分K2的長度為80位。

本例的D步驟中的快速重認(rèn)證的具體做法是:

IBC域內(nèi)的用戶U生成重認(rèn)證會話密鑰K″的用戶部分K2″,并將重認(rèn)證會話密鑰K″的用戶部分K2″首位處進行填充,使其與重認(rèn)證會話密鑰K″的認(rèn)證服務(wù)器部分K1的位數(shù)相同,然后對重認(rèn)證會話密鑰K″的認(rèn)證服務(wù)器部分K1和填充后的用戶部分K2″進行異或處理得到完整的重認(rèn)證會話密鑰K″;然后,跳轉(zhuǎn)至C2步驟。

當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1