一种新的信息服务实体跨域认证模型
第45卷 第9期2018年9月
计算机科学COM PU T ER SCIENCE
Vol .45No .9Sep .2018
到稿日期:2017-08-05 返修日期:2017-11-13 本文受国家自然科学基金(61373171),高等学校创新引智计划项目(B 08038),国家重点研发计划重点专项(2017Y FB 0802400)资助。
谢艳容(1992-),女,硕士生,主要研究方向为信息安全和通信理论,E -mail :xyrong 1226@163.com ;马文平(1966-),男,教授,博士生导师,主要研究方向为密码学和信息安全,E -mail :w p _ma @mail .xidian .edu .cn (通信作者);罗 维(1987-),男,博士生,主要研究方向为密码学和云计算安全。
一种新的信息服务实体跨域认证模型
谢艳容 马文平 罗 维
(西安电子科技大学综合业务网国家重点实验室 西安710071)
摘 要 为解决基于身份的信息服务多信任域认证系统不能实现身份即时撤销的问题,提出了一种可撤销的身份签名方案。在SM 9(国产标识密码)签名算法的基础上,引进一个安全仲裁来保管实体的部分私钥,通过终止安全仲裁给实体发送签名信令来撤销实体的签名能力,从而实现身份的即时撤销。在该方案的基础上,利用基于证书的公钥基础设施(PKI )与基于身份的密码体制(IBC )的组合应用优点,提出了一种新的信息服务实体跨域认证模型。该模型不仅具有灵活高效的认证特点,而且适合构建大规模信息服务实体的应用环境。同时,设计了一种跨域认证协议,实现了跨信任域的双向实体认证和密钥协商。分析结果表明,该协议具有较高的安全性及较少的通信量和计算量。关键词 信息服务,认证,SM 9,安全仲裁,身份撤销,密钥协商
中图法分类号 T P 309 文献标识码 A DOI 10.11896/j .issn .1002-137X .2018.09.029
New Cross -domain Authentication Model for Information Services Entity
XIE Yan -rong M A Wen -p ing LUO Wei
(State Key Laboratory of Integrated Services Netw orks ,Xidian U niversity ,Xi ’an 710071,China )
Abstract To solve the problem that the identity of information services entity (ISE )cannot be revoked immediately in the cross -domain authentication system ,a revocable identity -based signature scheme was proposed .Based on the SM 9
signature algorithm ,a security mediator (SEM )was introduced to keep a part of the private key of the ISE .By termina -ting the SEM to send the token to ISE to revoke its signature capability ,the identity of ISE can be revoked immediately .
Based on this scheme ,a new cross -domain authentication model for ISE was proposed by taking the combining advanta -g es of certificate -based public key infrastructure (PKI )and identity -based cryptography (IBC ).
The proposed model is not only flexible and efficient ,but also suitable for constructing large -scale application environment of ISE .M eanwhile ,
a cross -domain authentication protocol was designed to realize the mutual authentication with key agreement between cross -domain entities .Analysis shows that the proposed protocol has high security and low communication and compu -tation cost .
Keywords Information services ,Authentication ,SM 9,Security mediator ,Identity revocation ,Key agreement
1 引言
针对大规模异构网络环境下不同种类信息服务实体(In -
formation Services Entity ,ISE )之间存在多业态交互复杂的
结构模式,研究信息服务可信标识的签发、更新、撤销和跨域认证机制具有重要意义[1]。
在分布式网络环境中,跨信任域的认证方案主要基于3个框架[2]:1)基于对称密钥的认证框架;2)基于X .509数字证书的公钥基础设施(Public Key Infrastructure ,PKI )认证框架,该框架避开了复杂的对称密钥管理难题,适合构建大型的应用环境;3)基于身份的密码体制(Identity -Based Cryptogra -p hy ,
IBC )认证框架,该框架简化了证书的管理,具有无目录、使用方便、易于维护等优点。目前,基于身份的多信任域认证模型[2-4]成为主流,较传统PKI 认证框架在通信和计算成本上更具优势。文献[2]的模型在实现IBC 域间认证的同时保证了实体的匿名性,但是该协议被证明容易受到假冒攻击。文献[5]提出了一种安全的匿名认证方案,其可以抵抗假冒攻击。文献[6]于2013年提出了两种适用于移动设备的基于身份的认证方案,但是这两种方案都存在安全漏洞,容易受到假冒攻击和密钥泄露假冒攻击。文献[7]提出了一种改进的2PAKE 方案,该改进方案可以弥补上述缺点,保证了客户端与服务器间的通信安全。为了降低通信成本,文献[8]基于计算Diffie -Hellman 问题提出了基于身份的双方认证密钥协商协议,消除了双线性对运算。文献[9]于2017年提出了两种
万方数据
相关文档
- 信息安全服务资质认证申请条件对比-2017新规
- 中国信息安全认证中心-信息安全服务资质认证流程图
- 信息安全认证申请书
- 信息系统安全服务资质认证指南(一级资质)
- 信息安全服务资质认证公司名单
- 信息安全风险评估服务资质认证自评估表
- 信息安全服务资质认证要求
- 信息安全应急处理服务资质认证申请书.doc
- 国家信息安全服务资质
- 关于信息安全服务资质认证
- 信息安全服务资质CRCー二级初次认证流程【最新】
- 信息安全服务资质认证申请方案
- 国家信息安全服务资质
- 信息安全服务资质认证要求
- 信息安全服务资质认证实施细则(2015版)
- 信息安全服务三级资质初次认证流程
- 信息安全服务资质认证公司名单(372家-截至20111009)----最新
- 国家信息安全服务资质
- 信息安全服务资质认证实施规则
- 信息安全灾难恢复服务资质-中国信息安全测评中心