本發(fā)明涉及跨域認證技術領域，其公開了一種基于Bulletproofs的Kerberos跨域認證方法，在進行跨域認證時，用戶無需提交含自身身份信息的相關票據(jù)也能證明自己的合法身份，避免了用戶身份信息的泄露。該方法包括：a.用戶向本域認證服務器AS₁請求訪問服務器S；b.AS₁向用戶發(fā)送訪問域內(nèi)票據(jù)許可服務器TGS1的票據(jù)；c.用戶向TGS1請求訪問外域票據(jù)許可服務器TGS2的票據(jù)；d.TGS1向用戶發(fā)送訪問TGS2的票據(jù)；e.用戶通過構造非交互Bulletproofs的參數(shù)向TGS2請求訪問服務器S；f.TGS2通過非交互Bulletproofs的驗證方法驗證用戶信息的合法性，然后向用戶發(fā)送訪問服務器S的票據(jù)；g.用戶向服務器S發(fā)送認證請求；h.服務器S接受用戶的認證，并向用戶發(fā)送建立通信的消息，雙方建立正式通信。

技術領域

本發(fā)明涉及跨域認證技術領域，具體涉及一種基于Bulletproofs(一種非交互式零知識證明協(xié)議)的Kerberos(一種計算機網(wǎng)絡授權協(xié)議)跨域認證方法。

背景技術

當用戶跨域訪問資源時，由于和訪問域的認證服務器之間不存在事先的信任關系，因此訪問域的認證服務器需要聯(lián)合用戶本域的認證服務器對用戶進行認證。另外在跨域訪問的過程中，為了防止惡意實體跟蹤用戶的資源訪問記錄和會話，需要在認證過程中隱藏用戶真實身份，提供匿名性服務。普適環(huán)境中的跨域認證方案在實現(xiàn)安全認證和會話密鑰建立的同時應滿足匿名性和不可跟蹤性，即用戶訪問域認證服務器的時候，其他用戶無法確定跨域訪問的合法用戶的真實身份以及不同會話的來源。

在現(xiàn)實社會中，身份欺詐是不可避免的，因此我們訪問服務器的時候常常需要證明自己的身份。通訊和數(shù)據(jù)的安全也取決于能否正確驗證用戶的身份信息。例如：銀行的ATM機能夠將錢款發(fā)送給它識別的賬號的持卡人，大大減輕了柜臺工作人員的負擔,提高了效率。對于計算機內(nèi)的資源的訪問和使用，以及安全區(qū)域的出入都需要以精確的身份認證為基礎。而傳統(tǒng)認證過程中的身份認證都是通過檢查“物”(口令或者身份證明信息)的有效性來確認用戶身份的，那么能不能在不需要提供這些身份信息的前提下，就能夠證明身份的合法性呢。這就需要零知識證明技術。零知識證明是這樣一種技術，被認證方P掌握某些秘密信息，P設法讓認證方V相信他確實掌握哪些信息，但又不讓V知道是哪些信息。

目前越來越多的用戶需要進行跨轄區(qū)的身份認證，使得在本轄區(qū)內(nèi)合法的用戶也能夠合法的訪問其他轄區(qū)，而不需要重新去注冊。Kerberos跨域認證協(xié)議就是在Kerberos認證協(xié)議的基礎上提供了跨轄區(qū)的認證管理功能，但是由于其采用對稱密鑰加密算法而存在不少的缺陷，基于公鑰體制的Kerberos認證協(xié)議在原有認證協(xié)議的基礎上引入公開密鑰加密體制，使得整個認證系統(tǒng)具有了抗否認性，而更加安全。但是他們卻存在一個共同的缺陷：就是他們對于身份的確認建立在用戶提交包含有自己身份信息的證明文件的基礎之上，也就是說用戶想要向其他轄區(qū)證明自己的合法性，就必須要提供本轄區(qū)服務器為其頒發(fā)的“身份證明文件。這樣雖然能夠輕易的證明用戶的合法性，但是同時卻使其他轄區(qū)的服務器也掌握了該用戶的相關信息如用戶名、用戶地址等，造成用戶信息的泄露，且無法實現(xiàn)用戶的匿名登錄或者匿名訪問。

對于用戶的身份信息，在本轄區(qū)內(nèi)可以認為是公開的，但是這些信息是不應該傳遞到其他轄區(qū)。而且信息在本轄區(qū)內(nèi)傳遞比在轄區(qū)之間傳遞更為安全。因此本發(fā)明希望找到一種方法，使得用戶在進行跨域認證的情況下，不需要提交與自己身份信息相關的票據(jù)，仍然能夠證明自己的合法性，即其他轄區(qū)的認證服務器或者應用服務器不需要知道用戶是誰，用戶在哪,它僅僅需要知道用戶是合法的就足夠了。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術問題是：提出一種基于Bulletproofs的Kerberos跨域認證方法，在進行跨域認證時，用戶無需向外域服務器提交包含自身身份信息的相關票據(jù)也能證明自己的合法身份，避免了用戶身份信息的泄露。

本發(fā)明解決上述技術問題采用的技術方案是：一種基于Bulletproofs的Kerberos跨域認證方法，包括以下步驟：