| 主权项 |
一种基于代理重签名的跨域身份认证方法,其特征在于,该认证方法具体按以下步骤进行:步骤1:某用户在若干个信任域中进行注册,每个信任域的证书签证机关均为该用户生成公钥和私钥,该公钥以证书的形式保存在用户端,该私钥用现有的AES加密算法加密后以密文形式保存在本地;该用户成为所申请注册的若干个信任域的注册用户,然后该注册用户向证书注册机构提出申请证书的请求,同时请求注册成为代理者,证书注册机构收到该注册用户的请求后,对请求信息进行审核,审核通过,则将该注册用户的信息发送给该注册用户已注册并申请代理的所有证书签证机关,收到证书注册机构发送的该注册用户信息的证书签证机关为本证书签证机关给该注册用户生成的公钥生成证书,并将该生成的证书颁发给该注册用户,该注册用户成为所申请代理证书签证机关的代理者,代理者生成所代理的证书签证机关间的重签名密钥,并保存在表中;重签名密钥这样生成:代理者输入当前时段i,代理者首先选择一个随机数<img file="dest_path_image001.GIF" wi="59" he="27" />发送给第一用户,然后第一用户利用第i时段的私钥sk<sub>A,i</sub>计算并发送rk<sub>i,2</sub>= rk<sub>i,1</sub>sk<sub>A,i</sub>(modn)给第二用户,接着第二用户利用第i时段的私钥sk<sub>B,i</sub>计算并发送rk<sub>i,3</sub>= sk<sub>B,i</sub>/rk<sub>i,2</sub> (modn)给代理者,最后代理者利用rk<sub>i,1</sub>生成第i时段的代理重签名密钥<img file="dest_path_image002.GIF" wi="165" he="29" />步骤2:当一个信任域的第一用户要向另一个信任域的第二用户发送消息时,第一用户将自己的证书发送给第二用户,第二用户收到第一用户的证书后,发现彼此的证书是不同证书签证机关颁发的,表明第一用户和第二用户是不同域的用户,此时,第二用户就把第一用户的证书发送给代理者,代理者收到第一用户发送的第二用户的证书后,先用该证书的根证书签证机关公钥验证该证书的合法性,然后用重签名密钥和第二用户所在信任域的证书签证机关的公钥生成第二用户所在信任域的证书签证机关对第一用户的临时证书,即对第一用户的证书重签名,之后代理者把临时证书发送给第二用户,第二用户收到该临时证书后,用自己的公钥和收到的临时证书上所携带的公钥进行比较,验证第一用户的身份,若第二用户的公钥和第一用户的临时证书的公钥相等,第二用户能够确信第一用户是合法用户,则第二用户和第一用户可直接通信;同理,当第二用户访问第一用户时,以同样的方法进行身份认证,实现双向身份认证。 |
