一种用于分布式网络系统的跨信任域认证方法

摘要

本发明公开了一种用于分布式网络系统的跨信任域认证方法，该方法采用基于椭圆曲线密码体制的分布式密钥生成和门限签名机制构建虚拟桥认证中心VBCA，并借助虚拟桥认证中心VBCA完成分布式网络系统中不同信任域实体间的跨域交互认证，该发明方法具备对各种组织结构普适、敏捷动态、成本低、认证路径短、比特安全性高、效率高和易于硬件实现等优点，有利于解决动态分布式网络系统在终端资源或通信带宽受限情况下的不同信任域实体间的跨域交互认证问题，在云计算和云存储网络、物联网、无线传感器网络、敏捷制造系统、虚拟组织中具有广泛的应用前景。

说明书

技术领域

本发明涉及一种用于分布式网络系统的跨信任域认证方法。

背景技术

随着信息技术的高速发展和网络应用的广泛普及，跨域大规模网络环境下 的分布式应用以其集约化、规模化和高可扩展性逐渐成为IT产业界和学术界 新的焦点问题。在云计算和云存储网络、物联网、无线传感器网络、敏捷制造 系统、虚拟组织等动态分布式网络应用中，跨地域、跨信任域的协作不可避免， 多个系统之间存在频繁交互或大规模数据流动。为保证数据在动态松耦合的不 同信任域系统间的安全高效共享，需要构建完善的证书机制和灵活的分布式信 任策略以实现跨域大规模网络环境下的身份认证。由于分布式网络中各信任域 间的合作关系和组织模式存在动态易变性，且不同终端系统在计算资源、存储 能力以及通信带宽等方面存在明显差异，因此这种跨域认证机制还需满足敏 捷、动态、高效、资源依赖性小、对各种组织模式普适等特点和需求。

针对分布式环境下的跨域认证问题，大量研究成果被先后提出。由于PKI (公钥基础设施)技术的成熟、安全和广泛部署，目前一般采用基于公钥证书 的认证机制进行构建。然而大多数方案直接依据各信任域间已有的拓扑关系构 建认证路径，因此当域间为等级(hierarchy)、对等(peer to peer)或网状(web) 认证结构，且认证实体所处信任域并非相邻节点时，需要经过多个中间节点才 能相互认证，信任链的查找和建立复杂，认证路径长，认证效率低。文献1 “PKI-based trust management in inter-domain scenarios”(Gabriel Lopez Millan, Manuel Gil Perez,et al.PKI-based trust management in inter-domain scenarios. Computers&Security,2010,29:278-290)提出基于桥认证中心(BCA)的跨域 认证方法，通过专门建立一个所有域都信任的第三方桥认证中心，只需N次 交叉认证即可建立起分布式网络系统N个信任域间的完全信任路径，相较于网 状、对等、等级等其他PKI信任模型，具有信任链短且易于查找的优点。然而， 在实际环境中找到一个所有域都信任的可信第三方并不容易，而且临时建立并 维护第三方桥认证中心的成本较高。

文献2“一个改进的基于门限RSA签名的虚拟企业安全交互模型”(张文 芳,王小敏,何大可.计算机研究与发展,2012,49(8):1662-1667)提出一种面 向虚拟企业的跨域认证方法，通过构建一个所有盟员企业域都信任的虚拟认证 中心，完成不同信任域实体间的跨域认证，一定程度上降低了系统运行成本， 但该虚拟认证中心并不能完全实现桥认证中心的作用。同时，该方法利用门限 RSA签名体制实现虚拟认证中心的创建、运行和维护，由于RSA密钥结构的 特殊性，导致其必须引入专门的密钥分发机构完成虚拟认证中心密钥的生成和 分发，该密钥分发机构易成为系统安全瓶颈，因此存在虚拟认证中心私钥泄漏 的隐患。此外，该方法由于采用RSA公钥密码算法实现，相较于椭圆曲线密 码体制而言，其比特安全性和运行效率较低，密钥长，通信量较大。文献3“抗 联盟攻击的虚拟企业安全交互认证方案”(张亚玲,张璟,王晓峰.计算机集成 制造系统-CIMS,2008,14(7):1410-1416”给出一种基于门限DSA签名体制的 虚拟认证中心跨域认证方法，相较于椭圆曲线密码体制而言，该方法同样存在 比特安全性和运行效率低、密钥长、通信量大的问题。由于该方法的证书签发 过程必须要求盟主企业域参加，因此当盟主因业务繁忙等原因无法及时提供服 务时，将会成为系统运行的效率瓶颈。此外，该方法不能抵抗来自虚拟企业内 部成员的合谋攻击。综合而言，上述基于虚拟认证中心的跨域认证方法的不足 之处在于：虚拟认证中心不能根本实现桥认证中心的作用，系统无法实现分布 式运行，存在一定的安全和效率瓶颈，并且由于采用DSA类和RSA类签名进 行构建，因此存在比特安全性低、效率低、密钥长、通信量大、不易硬件实现 等问题，不能有效解决终端资源或通信带宽受限情况下的动态分布式系统的跨 域交互认证。

发明内容

鉴于现有技术的以上不足，本发明的目的是提供一种用于分布式网络系统 的跨信任域认证方法，该方法利用椭圆曲线公钥密码体制构建虚拟桥认证中心 VBCA，进而借助虚拟桥认证中心VBCA实现不同信任域实体间的跨域交互认 证，具有对各种组织结构普适、敏捷动态、成本低、认证路径短、比特安全性 高、效率高且易于硬件实现的特点，能满足资源受限情况下动态分布式网络系 统的跨域认证需求。

本发明为实现其发明目的，所采用的技术方案为：一种用于分布式网络系 统的跨信任域认证方法，其作法是：

A、虚拟桥认证中心的创建

A1、分布式网络系统的所有成员信任域D_i(i＝1,2,…,m)共同选择系统的公 共参数：密码算法的有限域GF上的椭圆曲线E及椭圆曲线E上的q阶基点P， 秘密共享门限值t，其中，i为成员信任域的序号，m为成员信任域的个数，q 为椭圆曲线E的阶的大素因子；

A2、所有成员信任域D_i根据分布式网络系统的组织模式及各信任域间的 合作关系，协商并公布各成员信任域D_i的权限集V_i，满足其中，∪为集合的并运算，n为分布式网络系统中密钥影子d_v的总个数；

A3、各成员信任域D_i的信任锚认证中心CA_i根据其权限集V_i，利用可验 证秘密共享机制和基于椭圆曲线密码体制的分布式密钥生成协议生成虚拟桥 认证中心VBCA的公钥Q及相应的密钥影子集{(v,d_v,Q_v)}，其中，v为信任锚 认证中心CA_i的权限值且v∈V_i，d_v为由v生成的密钥影子，Q_v为d_v的公开承 诺值；

A4、各信任锚认证中心CA_i为虚拟桥认证中心VBCA签发公钥证书 并将该公钥证书保存在信任锚认证中心CA_i的证书库 中；

A5、利用无可信中心椭圆曲线门限签名机制实现虚拟桥认证中心VBCA 对各信任锚认证中心CA_i(i＝1,2,…,m)的公钥证书的分布式签发；

B、成员信任域及其密钥影子的动态更新

当分布式网络系统的组织模式发生变化或有成员信任域加入、退出时，成 员信任域及其密钥影子进行以下的更新步骤：

B1、当前的所有成员信任域D_i根据分布式网络系统新的组织模式及域间 新的合作关系重新分配各成员信任域的权限集V_i，并实现密钥影子d_v的分布式 更新，虚拟桥认证中心VBCA的公钥Q则保持不变；

B2、若有新的信任域D_i加入，则执行步骤A4，由信任域D_i的信任锚认 证中心CA_i为虚拟桥认证中心VBCA签发公钥证书然后执行步骤 A5，实现虚拟桥认证中心VBCA对信任锚认证中心CA_i的公钥证书的分布式签发；

B3、若有成员信任域D_i(2≤i≤m)退出，则分别吊销信任锚认证中心CA_i为虚拟桥认证中心VBCA签发的公钥证书和虚拟桥认证中心VBCA 为信任锚认证中心CA_i签发的公钥证书

C、跨信任域认证

成员信任域D_i＝a中的第e个终端用户U_ae需对成员信任域D_i＝b中的第f个 终端用户U_bf进行跨信任域访问时，在完成域内认证后，其域间认证操作是： 终端用户U_ae依次验证信任锚认证中心CA_a的证书库中的公钥证书和信任锚认证中心CA_b的证书库中的公钥证书域间认证路径长度 为2；若验证通过则允许成员信任域D_a中的终端用户U_ae对成员信任域D_b中 的终端用户U_bf进行跨域访问；否则，不允许访问。

与现有技术相比，本发明的有益效果是：

一、针对动态分布式网络系统信任域松耦合、认证结构复杂的特点，本发 明利用秘密共享和门限签名等密码学工具构建虚拟桥认证中心VBCA。借助于 虚拟桥认证中心VBCA，只需N次交叉认证即可建立起分布式网络系统N个 成员信任域间的完全信任路径，并且不同成员信任域实体间的域间认证路径长 度均为2。与现有的分布式认证方法相比，本发明不仅完全具备桥认证中心方 法中的信任链短且易于查找的优点，而且避免了实体桥认证中心的创建和维护 成本，大大减小了系统的运营成本。

二、针对云计算、物联网、虚拟组织等动态分布式网络系统的敏捷性、时 限性和可扩展性特点，本发明利用秘密共享和门限签名等密码学工具构建的虚 拟桥认证中心VBCA可随着分布式网络系统的需要而快速创建，还可随着分 布式网络系统中成员信任域的加入和退出，动态更新当前成员信任域D_i中信 任锚认证中心CA_i的密钥影子d_v，从而使退出的成员信任域的信任锚认证中心 的密钥影子自动失效。因此，本发明具备敏捷、动态、自动化的优点。

三、针对分布式网络系统组织模式多样性和易变性特点，本发明可根据分 布式网络系统的特定组织模式和成员信任域间特定的合作关系灵活设置各成 员信任域的权限值并通过执行可变多方协议实现虚拟桥认证中心VBCA的创 建；同时，随着分布式网络系统组织模式的动态变化，本发明还可根据其新的 组织结构及各信任域间新的合作关系灵活调整当前成员信任域的权限值并利 用可变多方协议更新当前成员信任域的密钥影子。因此，本发明具备对分布式 网络系统不同组织模式及其动态变化普适的特点。

四、针对分布式网络系统不同终端实体在计算资源、存储能力以及通信带 宽等方面存在明显差异的特点，本发明利用基于椭圆曲线密码体制的分布式密 钥生成和门限签名机制完成虚拟桥认证中心VBCA的创建。在同等甚至更高 的安全级别下，比基于DSA类或RSA类密码体制实现的认证方法具有更短的 密钥和签名长度、更高的运算效率、更高的比特安全性，且易于硬件实现，在 很大程度上降低了分布式跨域认证对终端系统计算能力、存储资源和通信带宽 的要求。因此，本发明在终端资源或通信带宽受限情况下的动态分布式网络系 统的跨域认证中具有突出的优势和重要的应用价值。

五、本发明利用分布式方法分别实现了虚拟桥认证中心VBCA密钥Q的 生成和分发、虚拟桥认证中心VBCA对各信任锚认证中心CA_i的证书签发， 以及分布式网络系统组织结构变化时密钥影子d_v的动态更新，能够有效避免集 中式方法的安全和效率瓶颈，具有更高的系统安全性和运行效率。

进一步，本发明中A3步骤的各成员信任域D_i的信任锚认证中心CA_i根据 其权限集V_i，利用可验证秘密共享机制和基于椭圆曲线密码体制的分布式密钥 生成协议生成虚拟桥认证中心VBCA的公钥Q及相应的密钥影子集{(v,d_v,Q_v)} 的具体步骤如下：

A3-1、各成员信任域D_i的信任锚认证中心CA_i分别选择数域Z_q上一元多 项式环Z_q[x]中的一个t-1次秘密随机多项式f_i(x)＝f_i0+f_i1x…+f_ikx^k…+f_i(t-1)x^t-1， 计算并广播多项式f_i(x)的系数承诺值F_ik＝f_ikP(k＝0,1,…,t-1)，其中，q为椭圆曲 线E的阶的大素因子，数域Z_q＝{0,1,2,…q-1}，x为多项式f_i(x)的自变量，f_ik∈ Z_q为多项式f_i(x)的k次系数，t为秘密分享门限值，P为椭圆曲线E上的q阶 基点；

A3-2、各成员信任域D_i的信任锚认证中心CA_i将自己的权限集V_i中所有 的权限值v(v∈V_i)代入步骤A3-1的多项式f_i(x)中计算得到f_i(v)(v∈V_i)并保存在 本地数据库，同时将其他成员信任域D_j(j＝1,2,…,m且j≠i)的信任锚认证中心 CA_j的权限集V_j中所有的权限值v(v∈V_j)代入步骤A3-1的多项式f_i(x)中计算得 到f_i(v)(v∈V_j)，并将其秘密发送给相应的信任锚认证中心CA_j；

A3-3、各信任锚认证中心CA_j收到fi(v)(v∈V_j)后，根据步骤A3-1的系数 承诺值F_ik，验证等式是否成立；若成立，则验证通过，接受 f_i(v)；否则，记录验证连续不通过的次数，若小于设定的次数，返回步骤A3-2； 若验证连续不通过的次数等于设定的次数，则将D_i作为恶意的成员信任域， 令其退出分布式系统，并转步骤A2；

A3-4、当信任锚认证中心CA_j收到的所有f_i(v)(v∈V_j,i＝1,2,…,m且i≠j)都 验证通过时，信任锚认证中心CA_j计算虚拟桥认证中心VBCA的公钥Q， 计算并秘密保存密钥影子d_v，其中mod 表示模运算，同时计算密钥影子d_v的公开承诺值Q_v，Q_v＝d_vP，并将Q_v公布。

以上的这种虚拟桥认证中心的公钥及相应的密钥影子集的生成方法，其有 益效果是：

(1)利用秘密共享和分布式密钥生成协议生成并分发虚拟桥认证中心 VBCA的公钥Q及相应的密钥影子集{(v,d_v,Q_v)}，不需要专门的密钥生成机构， 因此能够有效避免集中式密钥生成方法中的安全和效率瓶颈问题，保证虚拟桥 认证中心VBCA的私钥不被任何机构所知，避免了私钥泄漏隐患。

(2)针对分布式网络系统不同终端实体在计算能力、存储资源以及通信 带宽等方面存在明显差异的特点，利用基于椭圆曲线密码体制的密钥生成协议 生成虚拟桥认证中心VBCA的公钥Q及相应的密钥影子集{(v,d_v,Q_v)}。由于 在同等安全级别下，椭圆曲线密码体制的密钥长度远远短于DSA类和RSA类 密码体制的密钥长度，因此该方法很大程度上降低了对分布式网络系统的通信 带宽以及对终端实体的存储能力和计算能力的要求，在资源受限环境下具有重 要的应用价值。

(3)利用可验证秘密共享算法分发密钥影子集{(v,d_v,Q_v)}，并通过步骤 A3-3中的验证等式判断多项式值f_i(v)的有效性，进而保证由步 骤A3-4中公式计算所得的密钥影子d_v的正确性。因此，该 方法能够有效检测错误的密钥影子，防止恶意信任锚认证中心的欺诈行为。

更进一步，本发明中A5步骤的利用无可信中心椭圆曲线门限签名机制实 现虚拟桥认证中心VBCA对各信任锚认证中心CA_i(i＝1,2,…,m)的公钥证书 的分布式签发的具体步骤如下：

A5-1、信任锚认证中心CA_i选择权限集V_u满足∑|V_u|＝t的信任锚认证中 心CA_u的集合作为签名认证中心组G，其中|V_u|表示权限集V_u中元素的个数， 然后将消息{M_i||h(M_i)}发送给签名认证中心组G中所有的信任锚认证中心 CA_u，其中M_i为信任锚认证中心CA_i的待签名证书消息，包含CA_i的主体信息 及其固有公钥Y_i，h(.)为hash函数，||表示串联操作；

A5-2、信任锚认证中心CA_i选择的签名认证中心组G中的各信任锚认证 中心CA_u分别选择签名秘密随机因子k_u∈[1,q-1]，并计算其公开承诺值 R_u＝k_uP，将该公开承诺值R_u和信任锚认证中心CA_u的固有公钥Y_u广播给签 名认证中心组G中其他信任锚认证中心；

A5-3、签名认证中心组G中的各信任锚认证中心CA_u计算签名认证中心 组G中所有秘密随机因子k_u公开承诺值R_u的和R，即并利用R 的横坐标l计算虚拟桥认证中心VBCA对信任锚认证中心CA_i的待签名证书消 息M_i的签名分量r，r＝l-h(M_i)modq，随后计算信任锚认证中心CA_u对M_i的部分签名s_u(M_i)，其中，C_v为拉格朗日插 值系数，即为连乘运算，x_u为信任锚认证中心CA_u的固有私钥，V为签名认证中心组G中各信任锚认证中心CA_u的权限集V_u的 并集，即然后，签名认证中心组G中各信任锚认证中心CA_u向信 任锚认证中心CA_i发送签名(r,Y_u,s_u(M_i))；

A5-4、信任锚认证中心CA_i收到签名(r,Y_u,s_u(M_i))后，验证等式 是否成立；若成立，签名合法，执行步骤A5-5； 否则，记录签名连续不合法的次数，若小于设定的次数，返回步骤A5-3；若 签名连续不合法次数等于设定的次数，则转步骤A5-1；

A5-5、当信任锚认证中心CA_i收到的签名认证中心组G中所有信任锚认 证中心CA_u的签名(r,Y_u,s_u(M_i))都通过验证时，CA_i计算：签名认证中心组G 中各信任锚认证中心CA_u的固有公钥Y_u之和Y，以及签名认证中 心组G中各CA_u对信任锚认证中心CA_i的待签名证书消息M_i的部分签名s_u(M_i) 的模q之和s(M_i)，进而得到虚拟桥认证中心VBCA 对M_i的签名(r,Y,s(M_i))，并进行公布；

A5-6、分布式网络系统中任何成员信任域的信任锚认证中心CA_j(j≠i)验证 同余式l'≡r+h(M_i)(modq)是否成立，其中l’为由算式s(M_i)P-rQ-Y计算所 得点的横坐标；若同余式成立，VBCA签名(r,Y,s(M_i))合法；否则，签名不合 法，发布对该签名的质疑；如果在时限T内，没有出现对该签名的质疑，执行 步骤A5-7；否则，返回步骤A5-1；

A5-7、信任锚认证中心CA_i将{M_i||(r,Y,s(M_i))}作为虚拟桥认证中心VBCA 为其颁发的公钥证书并将其保存在自己的证书库中。

以上这样的虚拟桥认证中心对各信任锚认证中心的公钥证书的分布式签 发方法，其有益效果是：

(1)针对分布式网络系统不同终端实体在计算能力、存储资源以及通信 带宽等方面存在明显差异的特点，利用基于椭圆曲线密码体制的门限签名机制 实现虚拟桥认证中心VBCA对各信任锚认证中心CA_i(i＝1,2,…,m)的公钥证书 的签发。由于在同等甚至更高的安全级别下，椭圆曲线门限签名算 法比DSA类和RSA类门限签名算法具有更短的签名和密钥长度、更高的运算 效率、更高的比特安全性，且易于硬件实现，因此该方法不仅具有更高的系统 运行效率，而且很大程度上降低了对分布式网络系统的通信带宽以及对终端实 体的计算和存储能力的要求，在资源受限环境下具有重要的应用价值。

(2)通过在步骤A5-3中的部分签名公式中引入信任锚认证中心CA_u的固有私钥x_u，能够有效抵抗合谋攻击并具备事后 签名者身份的追查功能。

(3)利用基于椭圆曲线密码体制的门限签名机制实现虚拟桥认证中心 VBCA对各信任锚认证中心CA_i(i＝1,2,…,m)的公钥证书的分布式签 发，证书签发过程中无需特定成员信任域的始终参与，避免了由此造成的效率 瓶颈问题。

(4)通过步骤A5-4中的验证等式判断部分签 名s_u(M_i)的有效性，进而保证由步骤A5-5中的公式计 算所得的虚拟桥认证中心VBCA对待签名证书消息M_i的签名分量s(M_i)的正确 性。因此，该方法能够有效检测错误的部分签名，防止恶意信任锚认证中心的 欺诈行为。

更进一步，本发明中B1步骤的当前所有成员信任域D_i重新分配权限集 V_i，并实现密钥影子d_v的分布式更新的具体步骤如下：

B1-1、分布式网络系统中负责组织和协调工作的成员信任域D₁选择权限 集V_u’满足∑|V_u'|＝t的信任锚认证中心CA_u’的集合作为密钥更新任务组G’；

B1-2、密钥更新任务组G’中各信任锚认证中心CA_u’分别计算其秘密分享 份额其中V’为密钥更新任务组G’中各信任锚认 证中心CA_u’的权限集V_u’的并集，即然后各信任锚认证中心CA_u’选择数域Z_q上一元多项式环Z_q[x]中的常数项为e_u’的一个t-1次随机多项式 a_u'(x)＝e_u'+a_u'1x…+a_u'kx^k…+a_u'(t-1)x^t-1，计算并广播多项式a_u’(x)的系数承诺值 A_u'0＝e_u'P，A_u'k＝a_u'kP(k＝1,2,…,t-1)；其中，x为多项式a_u’(x)的自变量， a_u’k∈Z_q为多项式a_u’(x)的k次系数(k＝1,2,…,t-1)，t为分布式网络系统原有的 秘密分享门限值；

B1-3、各当前成员信任域D_i根据分布式网络系统新的组织模式及各信任 域间新的合作关系重新协商密钥影子总数n’、秘密共享门限值t’和各当前成员 信任域D_i的权限集Vi’(i＝1,2,…,m’)，且权限集V_i’满足其 中m’为分布式网络系统结构变化、更新后的成员信任域个数；

B1-4、密钥更新任务组G’中各信任锚认证中心CA_u’将自己的新的权限集 V_u’’中所有的权限值v’(v’∈V_u’’)代入步骤B1-2的多项式a_u’(x)中计算得到 a_u’(v’)(v’∈V_u’’)并保存在本地数据库，同时将其他当前成员信任域D_i(i＝1,2,…,m’且i≠u’)的信任锚认证中心CA_i的新的权限集V_i’中所有权限值v’(v’ ∈V_i’)代入步骤B1-2的多项式a_u’(x)中计算得到a_u’(v’)(v’∈V_i’)，并将其秘密发 送给相应的信任锚认证中心CA_i；

B1-5、各当前信任锚认证中心CA_i收到a_u’(v’)(v’∈V_i’)后，根据步骤B1-2 的系数承诺值A_u’k，验证等式是否成立；若成立，则验证通 过，接受a_u’(v’)；否则，记录验证连续不通过的次数，若小于设定的次数，返 回步骤B1-4；若验证连续不通过的次数等于设定的次数，则将D_u’作为恶意成 员域，令其退出分布式系统，并转步骤B1；

B1-6、当信任锚认证中心CA_i收到的所有a_u’(v’)(v’∈V_i’,CA_u’∈G’且u’≠i) 都验证通过时，信任锚认证中心CA_i计算新的密钥影子d_v’， 其中mod表示模运算，同时计算新密钥影子d_v’的公开 承诺值Q_v’，Q_v'＝d_v'P，并将Q_v’公布；

B1-7、若所有当前信任锚认证中心均已执行步骤B1-6，则更新分布式网络 系统的各参数，即令：成员信任域个数m＝m’，密钥影子总数n＝n’，秘密共享 门限值t＝t’，各当前成员信任域D_i的权限集V_i＝V_i’，据以将各当前成员信任域 D_i的信任锚认证中心CA_i的密钥影子集{(v,d_v,Q_v)}进行更新。

以上这样的成员信任域重新分配权限集，并实现密钥影子的分布式更新的 方法，其有益效果是：

(1)不需要专门的密钥更新机构，利用基于椭圆曲线密码体制的密钥更 新协议，在保持虚拟桥认证中心VBCA公钥Q不变的前提下，能够分布式的 更新各当前成员信任域D_i的信任锚认证中心CA_i的密钥影子集{(v,d_v,Q_v)}，有 效避免了集中式密钥更新方法中的安全和效率瓶颈问题。

(2)针对分布式网络系统不同终端实体在计算能力、存储资源以及通信 带宽等方面存在明显差异的特点，利用基于椭圆曲线密码体制的密钥更新协议 更新各当前成员信任域D_i的信任锚认证中心CA_i的密钥影子集{(v,d_v,Q_v)}。由 于在同等安全级别下，椭圆曲线密码体制的密钥长度远远短于DSA类和RSA 类密码体制的密钥长度，因此该方法很大程度上降低了对分布式网络系统的通 信带宽以及对终端实体存储能力和计算能力的要求，在资源受限环境下具有重 要的应用价值。

(3)利用可验证秘密共享算法更新各当前成员信任域D_i的信任锚认证中 心CA_i的密钥影子集{(v,d_v,Q_v)}，通过步骤B1-5中的验证等式 判断多项式值a_u’(v)的有效性，进而保证由步骤B1-6中的公 式计算所得的更新后的密钥影子d_v的正确性，能够有效 检测错误的密钥影子，防止恶意信任锚认证中心的欺诈行为。

下面将结合附图和具体实施方式对本发明作进一步的详细说明。

附图说明

图1是本发明实施例的一种用于分布式网络系统的跨信任域认证方法模型 示意图。其中，VBCA表示利用秘密共享和门限签名等密码学技术构建的虚拟 桥认证中心，D_i表示分布式网络系统中第i个成员信任域且1≤i≤m，CA_i表示 成员信任域D_i中用来进行域间认证的信任锚认证中心，U_ae表示成员信任域 D_i＝a中的第e个终端用户，U_bf表示成员信任域D_i＝b中的第f个终端用户。

图2是不同等效安全级别下，本发明实施例的方法与DSA类及RSA类方 法的仿真时间比较。其中，(a)分图为虚拟桥认证中心的创建时间比较图，(b) 分图为成员信任域及其密钥影子的动态更新时间比较图。

具体实施方式

实施例

参见图1，本发明的一种实施方式是，一种用于分布式网络系统的跨信任 域认证方法，其具体步骤如下：

A、虚拟桥认证中心的创建

A1、分布式网络系统的所有成员信任域D_i(i＝1,2,…,m)共同选择系统的公 共参数：密码算法的有限域GF上的椭圆曲线E及椭圆曲线E上的q阶基点P， 秘密共享门限值t，其中，i为成员信任域的序号，m为成员信任域的个数，q 为椭圆曲线E的阶的大素因子；

A2、所有成员信任域D_i根据分布式网络系统的组织模式及各信任域间的 合作关系，协商并公布各成员信任域D_i的权限集V_i，满足其中，∪为集合的并运算，n为分布式网络系统中密钥影子d_v的总个数；

A3、各成员信任域D_i的信任锚认证中心CA_i根据其权限集V_i，利用可验 证秘密共享机制和基于椭圆曲线密码体制的分布式密钥生成协议生成虚拟桥 认证中心VBCA的公钥Q及相应的密钥影子集{(v,d_v,Q_v)}，其中，v为信任锚 认证中心CA_i的权限值且v∈V_i，d_v为由v生成的密钥影子，Q_v为d_v的公开承 诺值；

本例中步骤A3的各成员信任域D_i的信任锚认证中心CA_i根据其权限集 V_i，利用可验证秘密共享机制和基于椭圆曲线密码体制的分布式密钥生成协议 生成虚拟桥认证中心VBCA的公钥Q及相应的密钥影子集{(v,d_v,Q_v)}的具体 步骤如下：

A3-1、各成员信任域D_i的信任锚认证中心CA_i分别选择数域Z_q上一元多 项式环Z_q[x]中的一个t-1次秘密随机多项式f_i(x)＝f_i0+f_i1x…+f_ikx^k…+f_i(t-1)x^t-1， 计算并广播多项式f_i(x)的系数承诺值F_ik＝f_ikP(k＝0,1,…,t-1)，其中，q为椭圆曲 线E的阶的大素因子，数域Z_q＝{0,1,2,…q-1}，x为多项式f_i(x)的自变量，f_ik∈ Z_q为多项式f_i(x)的k次系数，t为秘密分享门限值，P为椭圆曲线E上的q阶 基点；

A3-2、各成员信任域D_i的信任锚认证中心CA_i将自己的权限集V_i中所有 的权限值v(v∈V_i)代入步骤A3-1的多项式f_i(x)中计算得到f_i(v)(v∈V_i)并保存在 本地数据库，同时将其他成员信任域D_j(j＝1,2,…,m且j≠i)的信任锚认证中心 CA_j的权限集V_j中所有的权限值v(v∈V_j)代入步骤A3-1的多项式f_i(x)中计算得 到f_i(v)(v∈V_j)，并将其秘密发送给相应的信任锚认证中心CA_j；

A3-3、各信任锚认证中心CA_j收到f_i(v)(v∈V_j)后，根据步骤A3-1的系数 承诺值F_ik，验证等式是否成立；若成立，则验证通过，接受 f_i(v)；否则，记录验证连续不通过的次数，若小于设定的次数，返回步骤A3-2； 若验证连续不通过的次数等于设定的次数，则将D_i作为恶意的成员信任域， 令其退出分布式系统，并转步骤A2；

A3-4、当信任锚认证中心CA_j收到的所有f_i(v)(v∈V_j,i＝1,2,…,m且i≠j)都 验证通过时，信任锚认证中心CA_j计算虚拟桥认证中心VBCA的公钥Q， 计算并秘密保存密钥影子d_v，其中mod 表示模运算，同时计算密钥影子d_v的公开承诺值Q_v，Q_v＝d_vP，并将Q_v公布；

A4、各信任锚认证中心CA_i为虚拟桥认证中心VBCA签发公钥证书 并将该公钥证书保存在信任锚认证中心CA_i的证书库 中；

A5、利用无可信中心椭圆曲线门限签名机制实现虚拟桥认证中心VBCA 对各信任锚认证中心CA_i(i＝1,2,…,m)的公钥证书的分布式签发；

本例中步骤A5的利用无可信中心椭圆曲线门限签名机制实现虚拟桥认证 中心VBCA对各信任锚认证中心CA_i(i＝1,2,…,m)的公钥证书的分 布式签发的具体步骤如下：

A5-1、信任锚认证中心CA_i选择权限集V_u满足∑|V_u|＝t的信任锚认证中 心CA_u的集合作为签名认证中心组G，其中|V_u|表示权限集V_u中元素的个数， 然后将消息{M_i||h(M_i)}发送给签名认证中心组G中所有的信任锚认证中心 CA_u，其中M_i为信任锚认证中心CA_i的待签名证书消息，包含CA_i的主体信息 及其固有公钥Y_i，h(.)为hash函数，||表示串联操作；

A5-2、信任锚认证中心CA_i选择的签名认证中心组G中的各信任锚认证 中心CA_u分别选择签名秘密随机因子k_u∈[1,q-1]，并计算其公开承诺值 R_u＝k_uP，将该公开承诺值R_u和信任锚认证中心CA_u的固有公钥Y_u广播给签 名认证中心组G中其他信任锚认证中心；

A5-3、签名认证中心组G中的各信任锚认证中心CA_u计算签名认证中心 组G中所有秘密随机因子k_u公开承诺值R_u的和R，即并利用R 的横坐标l计算虚拟桥认证中心VBCA对信任锚认证中心CA_i的待签名证书消 息M_i的签名分量r，r＝l-h(M_i)modq，随后计算信任锚认证中心CA_u对M_i的部分签名s_u(M_i)，其中，C_v为拉格朗日插 值系数，即为连乘运算，x_u为信任锚认证中心CA_u 的固有私钥，V为签名认证中心组G中各信任锚认证中心CA_u的权限集V_u的 并集，即然后，签名认证中心组G中各信任锚认证中心CA_u向信 任锚认证中心CA_i发送签名(r,Y_u,s_u(M_i))；

A5-4、信任锚认证中心CA_i收到签名(r,Y_u,s_u(M_i))后，验证等式 是否成立；若成立，签名合法，执行步骤A5-5； 否则，记录签名连续不合法的次数，若小于设定的次数，返回步骤A5-3；若 签名连续不合法次数等于设定的次数，则转步骤A5-1；

A5-5、当信任锚认证中心CA_i收到的签名认证中心组G中所有信任锚认 证中心CA_u的签名(r,Y_u,s_u(M_i))都通过验证时，CA_i计算：签名认证中心组G 中各信任锚认证中心CA_u的固有公钥Y_u之和Y，以及签名认证中 心组G中各CA_u对信任锚认证中心CA_i的待签名证书消息M_i的部分签名s_u(M_i) 的模q之和s(M_i)，进而得到虚拟桥认证中心VBCA 对M_i的签名(r,Y,s(M_i))，并进行公布；

A5-6、分布式网络系统中任何成员信任域的信任锚认证中心CA_j(j≠i)验证 同余式l'≡r+h(M_i)(modq)是否成立，其中l’为由算式s(M_i)P-rQ-Y计算所 得点的横坐标；若同余式成立，VBCA签名(r,Y,s(M_i))合法；否则，签名不合 法，发布对该签名的质疑；如果在时限T内，没有出现对该签名的质疑，执行 步骤A5-7；否则，返回步骤A5-1；

A5-7、信任锚认证中心CA_i将{M_i||(r,Y,s(M_i))}作为虚拟桥认证中心VBCA 为其颁发的公钥证书并将其保存在自己的证书库中；

B、成员信任域及其密钥影子的动态更新

当分布式网络系统的组织模式发生变化或有成员信任域加入、退出时，成 员信任域及其密钥影子进行以下的更新步骤：

B1、当前的所有成员信任域D_i根据分布式网络系统新的组织模式及域间 新的合作关系重新分配各成员信任域的权限集V_i，并实现密钥影子d_v的分布式 更新，虚拟桥认证中心VBCA的公钥Q则保持不变；

本例中步骤B1的当前所有成员信任域D_i重新分配权限集V_i，并更新密钥 影子d_v的具体步骤如下：

B1-1、分布式网络系统中负责组织和协调工作的成员信任域D₁选择权限 集V_u’满足∑|V_u'|＝t的信任锚认证中心CA_u’的集合作为密钥更新任务组G’；

B1-2、密钥更新任务组G’中各信任锚认证中心CA_u’分别计算其秘密分享 份额其中V’为密钥更新任务组G’中各信任锚认 证中心CA_u’的权限集V_u’的并集，即然后各信任锚认证中心CA_u’选择数域Z_q上一元多项式环Z_q[x]中的常数项为e_u’的一个t-1次随机多项式 a_u'(x)＝e_u'+a_u'1x…+a_u'kx^k…+a_u'(t-1)x^t-1，计算并广播多项式a_u’(x)的系数承诺值 A_u'0＝e_u'P，A_u'k＝a_u'kP(k＝1,2,…,t-1)；其中，x为多项式a_u’(x)的自变量， a_u’k∈Z_q为多项式a_u’(x)的k次系数(k＝1,2,…,t-1)，t为分布式网络系统原有的 秘密分享门限值；

B1-3、各当前成员信任域D_i根据分布式网络系统新的组织模式及各信任 域间新的合作关系重新协商密钥影子总数n’、秘密共享门限值t’和各当前成员 信任域D_i的权限集V_i’(i＝1,2,…,m’)，且权限集V_i’满足其 中m’为分布式网络系统结构变化、更新后的成员信任域个数；

B1-4、密钥更新任务组G’中各信任锚认证中心CA_u’将自己的新的权限集 V_u’’中所有的权限值v’(v’∈V_u’’)代入步骤B1-2的多项式a_u’(x)中计算得到 a_u’(v’)(v’∈V_u’’)并保存在本地数据库，同时将其他当前成员信任域D_i(i＝1,2,…,m’且i≠u’)的信任锚认证中心CA_i的新的权限集V_i’中所有权限值v’(v’ ∈V_i’)代入步骤B1-2的多项式a_u’(x)中计算得到a_u’(v’)(v’∈V_i’)，并将其秘密发 送给相应的信任锚认证中心CA_i；

B1-5、各当前信任锚认证中心CA_i收到a_u’(v’)(v’∈V_i’)后，根据步骤B1-2 的系数承诺值A_u’k，验证等式是否成立；若成立，则验证通 过，接受a_u’(v’)；否则，记录验证连续不通过的次数，若小于设定的次数，返 回步骤B1-4；若验证连续不通过的次数等于设定的次数，则将D_u’作为恶意成 员域，令其退出分布式系统，并转步骤B1；

B1-6、当信任锚认证中心CA_i收到的所有a_u’(v’)(v’∈V_i’,CA_u’∈G’且u’≠i) 都验证通过时，信任锚认证中心CA_i计算新的密钥影子d_v’， 其中mod表示模运算，同时计算新密钥影子d_v’的公开 承诺值Q_v’，Q_v'＝d_v'P，并将Q_v’公布；

B1-7、若所有当前信任锚认证中心均已执行步骤B1-6，则更新分布式网络 系统的各参数，即令：成员信任域个数m＝m’，密钥影子总数n＝n’，秘密共享 门限值t＝t’，各当前成员信任域D_i的权限集V_i＝V_i’，据以将各当前成员信任域 D_i的信任锚认证中心CA_i的密钥影子集{(v,d_v,Q_v)}进行更新；

B2、若有新的信任域D_i加入，则执行步骤A4，由信任域D_i的信任锚认 证中心CA_i为虚拟桥认证中心VBCA签发公钥证书然后执行步骤 A5，实现虚拟桥认证中心VBCA对信任锚认证中心CA_i的公钥证书的分布式签发；

B3、若有成员信任域D_i(2≤i≤m)退出，则分别吊销信任锚认证中心CA_i为虚拟桥认证中心VBCA签发的公钥证书和虚拟桥认证中心VBCA 为信任锚认证中心CA_i签发的公钥证书

C、跨信任域认证

成员信任域D_i＝a中的第e个终端用户U_ae需对成员信任域D_i＝b中的第f个 终端用户U_bf进行跨信任域访问时，在完成域内认证后，其域间认证操作是： 终端用户U_ae依次验证信任锚认证中心CA_a的证书库中的公钥证书和信任锚认证中心CA_b的证书库中的公钥证书域间认证路径长度 为2；若验证通过则允许成员信任域D_a中的终端用户U_ae对成员信任域D_b中 的终端用户U_bf进行跨域访问；否则，不允许访问。

本发明方法的性能分析及数字仿真验证

1.密钥长度和签名长度分析比较

表1给出了在等效安全级别下，本发明方法的密钥长度与DSA类和RSA 类方法的密钥长度的比较结果，其中ECC-GF(p)表示本发明方法采用p阶有限 域GF上的椭圆曲线进行构造，ECC-GF(2^m)表示本发明方法采用阶为2^m的有 限域GF上的椭圆曲线进行构造。从表1可以看出，本发明方法由于利用椭圆 曲线公钥密码体制进行构建，在同等安全级别下，其密钥长度远低于采用DSA 类或RSA类公钥密码机制的方法；且随着安全级别的升高，其密钥长度的增 长幅度也远低于DSA类或RSA类方法。与密钥长度相对应，本发明方法的签 名长度也远低于DSA类或RSA类方法。因此，与DSA类或RSA类方法相比， 本发明方法不仅可以减少密钥和签名的存储空间，而且降低了系统运行过程中 的通信代价，在分布式网络系统的通信带宽受限(如无线链路)或终端实体资 源受限(如移动终端)情况下具有显著的优势和重要的应用价值。

表1等效安全级别下本发明方法与其他方法的密钥长度对比

2.运算效率比较

图2为等效安全级别下本发明方法与DSA类和RSA类方法的仿真时耗比 较，图2(a)为虚拟桥认证中心的创建时间比较，图2(b)为成员信任域及其密钥 影子的动态更新时间比较，其中GF(p)表示本发明方法采用p阶有限域GF上 的椭圆曲线进行构造，GF(2^m)表示本发明方法采用阶为2^m的有限域GF上的 椭圆曲线进行构造。从图2可以看出，本发明方法在不同的等效安全级别下均 比DSA类(文献2)和RSA类(文献3)方法高效，且随着密钥长度的增加 以及安全级别的升高，其时耗涨幅也远低于DSA类和RSA类方法。特别是， 当本发明方法采用p阶有限域GF上的椭圆曲线实现时：在1024-192-163bit安 全级别下，RSA类方法和DSA类方法的VBCA创建时间和成员域及其密钥影 子更新时间分别是本发明方法的4.7倍/2.1倍以及2.7倍/1.2倍；而在 2048-224-233bit安全级别下，RSA类方法和DSA类方法的两阶段时耗则是本 发明方法的16.6倍/5.8倍以及10倍/4.4倍。