專利名稱:信任證鑒別轉(zhuǎn)換系統(tǒng)及鑒別轉(zhuǎn)換方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信任證鑒別轉(zhuǎn)換系統(tǒng)及鑒別轉(zhuǎn)換方法�,特別涉及能夠在不同安全域之間進(jìn)行信任證鑒別及互相轉(zhuǎn)換的信任證鑒別轉(zhuǎn)換系統(tǒng)和鑒別轉(zhuǎn)換方法。
背景技術(shù):
近年來(lái)網(wǎng)格技術(shù)迅速發(fā)展���,它通過(guò)公共的分布式服務(wù)將物理上分布����、邏輯上異構(gòu)的多種資源連結(jié)起來(lái)�����,實(shí)現(xiàn)大范圍內(nèi)的資源共享和協(xié)作�����。網(wǎng)格涵蓋范圍的廣闊性使得網(wǎng)格服務(wù)的訪問(wèn)經(jīng)常是跨異構(gòu)安全域(簡(jiǎn)稱異構(gòu)域)的,這就使得資源共享和協(xié)同工作往往由于異構(gòu)安全域間基礎(chǔ)安全設(shè)施的差異而難以協(xié)調(diào)���,影響了網(wǎng)格用戶對(duì)網(wǎng)格應(yīng)用的正常使用�。例如���,兩個(gè)異構(gòu)域中一個(gè)域的用戶為了訪問(wèn)另一個(gè)域的服務(wù)����,必須要先以電話或信函等方式得到另一個(gè)域的信任證����,不但影響用戶對(duì)服務(wù)的訪問(wèn),同時(shí)加重了管理員的工作�。
為了實(shí)現(xiàn)資源一體化,讓資源共享和協(xié)同工作建立在完全屏蔽異構(gòu)域差別的基礎(chǔ)之上��,網(wǎng)格的重要目標(biāo)之一就是讓其范圍內(nèi)所有的異構(gòu)域都結(jié)成聯(lián)盟(Federation)�。而聯(lián)盟的第一步就是實(shí)現(xiàn)跨異構(gòu)域的身份鑒別����,因?yàn)橹挥性诮鉀Q了身份聯(lián)盟問(wèn)題的基礎(chǔ)之上,才能夠進(jìn)行策略等方面的進(jìn)一步聯(lián)盟從而完全實(shí)現(xiàn)異構(gòu)域的聯(lián)盟�����。
網(wǎng)格環(huán)境中的異構(gòu)安全域基本分為兩種一種采用基于非對(duì)稱密鑰的公鑰基礎(chǔ)設(shè)施PKI機(jī)制,簡(jiǎn)稱PKI域����,使用X.509證書鑒別用戶身份;另一種采用MIT麻省理工學(xué)院研究人員提出的基于對(duì)稱密鑰的Kerberos認(rèn)證協(xié)議�,簡(jiǎn)稱Kerberos域,采用Kerberos票據(jù)來(lái)鑒別用戶身份����。若要在這兩種異構(gòu)域中實(shí)現(xiàn)資源共享和協(xié)作,就需要進(jìn)行身份鑒別以確保訪問(wèn)的安全性�����。PKI域的身份鑒別包括2個(gè)步驟���,首先異構(gòu)域雙方需要能互相鑒別對(duì)方用戶的身份并可根據(jù)用戶在一個(gè)域內(nèi)的身份映射到其在另一個(gè)域內(nèi)的身份��,稱之為身份映射���;然后,異構(gòu)域?yàn)閷?duì)方合法用戶頒發(fā)在本域內(nèi)使用的信任證,稱之為信任證轉(zhuǎn)換����。例如,Kerberos域用戶訪問(wèn)PKI域服務(wù)�,則PKI域首先要識(shí)別Kerberos用戶票據(jù)的合法性,若合法則給其頒發(fā)在本域內(nèi)使用的X.509證書��;PKI域用戶訪問(wèn)Kerberos服務(wù)��,則Kerberos域首先要識(shí)別用戶X.509證書的合法性�����,若合法則給其辦法在本域內(nèi)使用的Kerberos票據(jù)���。
當(dāng)前�,有一些項(xiàng)目致力于通過(guò)轉(zhuǎn)換信任證類型�,來(lái)解決跨異構(gòu)域的身份鑒別問(wèn)題(1)密歇根大學(xué)研究人員設(shè)計(jì)的Kerberos Leveraged PKI工程支持把Kerberos的票據(jù)授予票據(jù)(Ticket Granting Ticket,簡(jiǎn)稱TGT)轉(zhuǎn)換成X.509代理證書�����,但是�����,該系統(tǒng)只支持單方向身份映射�����,應(yīng)用模式僅限于瀏覽器這種單一形式�,同時(shí)與密鑰分發(fā)中心(Key Distribution Center,簡(jiǎn)稱KDC)的實(shí)現(xiàn)耦合緊密���,轉(zhuǎn)換協(xié)議沒(méi)有基于Web服務(wù)�,存在穿越防火墻的問(wèn)題��。
(2)MyProxy是一個(gè)面向網(wǎng)格環(huán)境的證書存儲(chǔ)倉(cāng)庫(kù)����,它的證書倉(cāng)庫(kù)可以存儲(chǔ)一個(gè)用戶的多個(gè)信任證,當(dāng)需要時(shí)用戶使用用戶名和密碼進(jìn)行提取�,但是由于采用集中式存儲(chǔ),會(huì)在訪問(wèn)量過(guò)大時(shí)由于存取頻繁而出現(xiàn)系統(tǒng)速度過(guò)緩甚至直接死機(jī)的問(wèn)題�。
(3)維吉尼亞大學(xué)的CredEx工程實(shí)現(xiàn)了RFC3820中PKI域X.509代理證書和基于用戶名和口令的安全域之間的轉(zhuǎn)換,相比MyProxy的優(yōu)勢(shì)��,在于轉(zhuǎn)換服務(wù)基于網(wǎng)絡(luò)服務(wù)技術(shù)����,但是CredEx的協(xié)議中��,用戶名和密碼為明文傳輸��,具有一定安全隱患���。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對(duì)現(xiàn)有技術(shù)中存在的問(wèn)題,提供信任證鑒別轉(zhuǎn)換系統(tǒng)及鑒別轉(zhuǎn)換方法����,支持多種信任證之間轉(zhuǎn)換,并具有良好的可擴(kuò)展性和可互操作性�����。
為了實(shí)現(xiàn)上述目的�,本發(fā)明提供了一種信任證鑒別轉(zhuǎn)換系統(tǒng),其中包括鑒別模塊��,用于與用戶建立共享密鑰以保證消息傳輸?shù)陌踩?,并用于接收用戶在第一安全域?nèi)使用的實(shí)體信任證及鑒別該信任證的合法性;鑒別數(shù)據(jù)模塊�,與所述鑒別模塊相連接,用于根據(jù)所述第一安全域的類型�����,為所述鑒別模塊提供鑒別所述實(shí)體信任證所需的信息�;映射模塊,與所述鑒別模塊相連接����,用于將用戶在第一安全域內(nèi)的身份映射到第二安全域內(nèi)的身份;映射數(shù)據(jù)模塊�����,與所述映射模塊相連接�����,用于為所述映射模塊提供身份映射關(guān)系信息���;轉(zhuǎn)換模塊���,與所述映射模塊相連接,用于根據(jù)所述用戶在第二安全域內(nèi)的身份����,生成所述用戶在第二安全域內(nèi)使用的實(shí)體信任證����,并基于安全會(huì)話將該第二安全域內(nèi)使用的實(shí)體信任證發(fā)送給用戶��;轉(zhuǎn)換數(shù)據(jù)模塊����,與所述轉(zhuǎn)換模塊相連接,用于根據(jù)所述第二安全域的類型��,為所述轉(zhuǎn)換模塊提供生成所述第二安全域內(nèi)使用的實(shí)體信任證所需的信息�。
在上述技術(shù)方案中,所述鑒別模塊包括接收模塊�����,用于與用戶建立共享密鑰以保證消息傳輸?shù)陌踩?����,并用于接收用戶在第一安全域?nèi)使用的實(shí)體信任證并根據(jù)所述第一安全域的類型��,將該實(shí)體信任證發(fā)送給第一鑒別模塊或第二鑒別模塊���;第一鑒別模塊及第二鑒別模塊與所述接收模塊����、映射模塊及鑒別數(shù)據(jù)模塊相連接,用于根據(jù)所述鑒別數(shù)據(jù)模塊提供的信息��,對(duì)從所述接收模塊接收的所述第一安全域內(nèi)使用的實(shí)體信任證進(jìn)行鑒別���,并且所述第一鑒別模塊及第二鑒別模塊用于鑒別在不同類型的安全域內(nèi)使用的實(shí)體信任證。所述轉(zhuǎn)換模塊包括選擇模塊����,與所述映射模塊相連接,用于根據(jù)第二安全域的類型��,選擇第一生成模塊或第二生成模塊工作�����;第一生成模塊及第二生成模塊與所述選擇模塊���、轉(zhuǎn)換數(shù)據(jù)模塊相連接�,用于根據(jù)所述選擇模塊及轉(zhuǎn)換數(shù)據(jù)模塊提供的信息�,生成所述用戶在第二安全域內(nèi)的實(shí)體信任證,所述第一生成模塊及第二生成模塊用于生成在不同類型的安全域內(nèi)使用的實(shí)體信任證���;發(fā)送模塊�����,與所述第一生成模塊及第二生成模塊相連接���,用于基于安全會(huì)話向所述用戶發(fā)送所述在第二安全域內(nèi)的實(shí)體信任證��。
當(dāng)本發(fā)明的系統(tǒng)用于Kerberos安全域與PKI安全域間實(shí)體信任證的鑒別轉(zhuǎn)換時(shí)����,所述第一鑒別模塊為Kerberos票據(jù)鑒別模塊�,該模塊還與Kerberos安全域的密鑰分發(fā)中心相連接,所述第二鑒別模塊為X.509證書鑒別模塊��,所述第一生成模塊為Kerberos票據(jù)生成模塊����,該模塊還與Kerberos安全域的密鑰分發(fā)中心相連接,所述第二生成模塊為X.509證書生成模塊��。
本發(fā)明還提供了一種信任證鑒別轉(zhuǎn)換方法�����,其中包括以下步驟步驟1、基于安全會(huì)話���,接收用戶在第一安全域內(nèi)使用的信任證���,并判斷該信任證的類型;步驟2�����、根據(jù)所述信任證的類型對(duì)所述信任證進(jìn)行鑒別�,若所述信任證合法��,執(zhí)行步驟3���;否則����,執(zhí)行步驟5�����;步驟3�����、對(duì)所述信任證表示的用戶身份進(jìn)行身份映射,在身份映射表中查找身份映射關(guān)系�,得到所述用戶在第二安全域的身份;步驟4���、根據(jù)所述用戶在第二安全域內(nèi)的身份生成用戶在第二安全域內(nèi)使用的信任證��;步驟5�����、基于安全會(huì)話�����,將所述用戶在第二安全域內(nèi)使用的信任證發(fā)送給用戶����,執(zhí)行步驟6��;步驟6�、向用戶發(fā)送錯(cuò)誤信息;步驟7、結(jié)束�����。
在上述技術(shù)方案中����,當(dāng)所述步驟1中的第一安全域?yàn)镵erberos安全域時(shí),用戶在第一安全域內(nèi)使用的實(shí)體信任證為Kerberos票據(jù)����,所述步驟2是通過(guò)安全會(huì)話,與Kerberos安全域的密鑰分發(fā)中心交互��,對(duì)Kerberos票據(jù)進(jìn)行鑒別的����。
當(dāng)所述步驟1中的第一安全域?yàn)镻KI安全域時(shí)�����,所述用戶在第一安全域內(nèi)使用的實(shí)體信任證為X.509證書�,所述步驟2是通過(guò)建立信任的X.509證書與用戶的X.509證書之間的信任鏈對(duì)所述用戶的X.509證書進(jìn)行鑒別的,若能夠構(gòu)造出信任鏈���,則所述用戶的X.509證書合法����,否則,不合法��。
所述步驟3是根據(jù)所述實(shí)體信任證表示的用戶身份�,在身份映射表中查找身份映射關(guān)系,并得到所述用戶在第二安全域的身份的����。
當(dāng)?shù)诙踩驗(yàn)镻KI安全域時(shí),所述步驟4是根據(jù)一合法X.509證書以及用戶在PKI安全域內(nèi)的身份生成用戶在PKI安全域內(nèi)使用的的X.509證書的��。當(dāng)?shù)诙踩驗(yàn)镵erberos安全域時(shí)����,所述步驟4是通過(guò)與所述Kerberos安全域的密鑰分發(fā)中心交互得到用戶在Kerberos安全域內(nèi)使用的Kerberos票據(jù)的。
本發(fā)明的技術(shù)方案實(shí)現(xiàn)了多安全域間的信任證相互轉(zhuǎn)換���,支持多種類型的信任證�����,具有良好的安全性����,適應(yīng)于不同的底層應(yīng)用環(huán)境;系統(tǒng)可靈活配置���,具有可擴(kuò)展性和互操作性����;解決了Kerberos域和PKI域之間票據(jù)和證書相互轉(zhuǎn)換���,實(shí)現(xiàn)了PKI域和Kerberos域之間身份級(jí)的聯(lián)盟�����。
下面通過(guò)附圖和實(shí)施例�,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述���。
圖1為本發(fā)明的信任證鑒別轉(zhuǎn)換系統(tǒng)結(jié)構(gòu)示意圖���。
圖2為本發(fā)明的信任證鑒別轉(zhuǎn)換系統(tǒng)的鑒別模塊的詳細(xì)結(jié)構(gòu)圖���。
圖3為本發(fā)明的信任證鑒別轉(zhuǎn)換系統(tǒng)的轉(zhuǎn)換模塊詳細(xì)結(jié)構(gòu)圖���。
圖4為本發(fā)明的信任證鑒別轉(zhuǎn)換方法流程5為本發(fā)明的信任證鑒別轉(zhuǎn)換系統(tǒng)一具體實(shí)施例流程圖�����。
圖6為本發(fā)明的信任證鑒別轉(zhuǎn)換方法一具體實(shí)施例流程圖�����。
具體實(shí)施例方式
為了具有良好的可擴(kuò)展性�����,本發(fā)明的信任證鑒別轉(zhuǎn)換系統(tǒng)將信任證鑒別轉(zhuǎn)換系統(tǒng)的鑒別模塊����、映射模塊及轉(zhuǎn)換模塊與存儲(chǔ)管理相關(guān)數(shù)據(jù)的模塊相分離����。本發(fā)明是通過(guò)實(shí)體信任證鑒別、實(shí)體身份映射以及域間信任證轉(zhuǎn)換來(lái)實(shí)現(xiàn)多個(gè)安全域之間的身份映射和實(shí)體信任證的相互轉(zhuǎn)換的�。
本系統(tǒng)與用戶端的通信都是基于安全會(huì)話進(jìn)行的,即在接受信息時(shí)���,根據(jù)實(shí)體信任證的類型�,建立安全上下文,即共享密鑰��,對(duì)接收到的信息進(jìn)行解密��;在發(fā)送信息的時(shí)候�����,用安全上下文進(jìn)行加密�。
如圖1,為本發(fā)明的信任證鑒別轉(zhuǎn)換系統(tǒng)結(jié)構(gòu)圖���,包括鑒別模塊1��、映射模塊2��、轉(zhuǎn)換模塊3�、鑒別數(shù)據(jù)模塊4����、映射數(shù)據(jù)模塊5及轉(zhuǎn)換數(shù)據(jù)模塊6。鑒別模塊1用于與用戶建立共享密鑰以保證消息傳輸?shù)陌踩?�,并用于接收用戶在第一安全域?nèi)使用的實(shí)體信任證及鑒別該信任證的合法性���;映射模塊2與鑒別模塊1相連接��,用于將用戶在第一安全域內(nèi)的身份映射到第二安全域內(nèi)的身份����;轉(zhuǎn)換模塊3�����,與映射模塊2相連接�����,用于根據(jù)用戶在第二安全域內(nèi)的身份�,生成用戶在第二安全域內(nèi)使用的實(shí)體信任證,并基于安全會(huì)話將該第二安全域內(nèi)使用的實(shí)體信任證發(fā)送給用戶�;鑒別數(shù)據(jù)模塊4,與鑒別模塊1相連接�����,用于根據(jù)第一安全域的類型����,為鑒別模塊1提供鑒別實(shí)體信任證所需的信息�;映射數(shù)據(jù)模塊5���,與映射模塊2相連接��,用于為映射模塊2提供身份映射關(guān)系信息�����;轉(zhuǎn)換數(shù)據(jù)模塊6�����,與轉(zhuǎn)換模塊3相連接�,用于根據(jù)第二安全域的類型��,為轉(zhuǎn)換模塊3提供生成第二安全域內(nèi)使用的實(shí)體信任證所需的信息����。
為了具有良好的可擴(kuò)展性,鑒別模塊1和轉(zhuǎn)換模塊3包含多個(gè)子模塊�,用于鑒別和生成不同安全域的實(shí)體信任證。如圖2所示��,為鑒別模塊1的詳細(xì)結(jié)構(gòu)圖,包括接收模塊10�����,第一鑒別模塊11及第二鑒別模塊12����。接收模塊10用于與用戶建立共享密鑰以保證消息傳輸?shù)陌踩?���,并用于接收用戶在第一安全域?nèi)使用的實(shí)體信任證,并根據(jù)第一安全域的類型����,將該實(shí)體信任證發(fā)送給第一鑒別模塊11或第二鑒別模塊12;第一鑒別模塊11及第二鑒別模塊12與接收模塊10����、映射模塊2及鑒別數(shù)據(jù)模塊4相連接,用于根據(jù)鑒別數(shù)據(jù)模塊4提供的信息�,對(duì)從第一安全域內(nèi)使用的實(shí)體信任證進(jìn)行鑒別,并且第一鑒別模塊11及第二鑒別模塊12用于鑒別在不同類型的安全域內(nèi)使用的實(shí)體信任證����。
如圖3所示,為轉(zhuǎn)換模塊3的詳細(xì)結(jié)構(gòu)圖,包括選擇模塊30�����,第一生成模塊31��、第二生成模塊32及發(fā)送模塊33���。選擇模塊30與映射模塊2相連接��,用于根據(jù)第二安全域的類型��,選擇第一生成模塊31或第二生成模塊32工作�����;第一生成模塊31及第二生成模塊32與選擇模塊30����、發(fā)送模塊33及轉(zhuǎn)換數(shù)據(jù)模塊6相連接���,用于根據(jù)選擇模塊30及轉(zhuǎn)換數(shù)據(jù)模塊6提供的信息���,生成用戶在第二安全域內(nèi)的實(shí)體信任證,并且第一生成模塊31及第二生成模塊32用于生成在不同類型的安全域內(nèi)使用的實(shí)體信任證;發(fā)送模塊34與第一生成模塊31及第二生成模塊32相連接��,用于基于安全會(huì)話向用戶發(fā)送第二安全域內(nèi)的實(shí)體信任證��。
用于本系統(tǒng)完成的是不同安全域之間的實(shí)體信任證鑒別和轉(zhuǎn)換�,因此需要既能對(duì)各安全域的實(shí)體信任證進(jìn)行鑒別,也能生成各安全域的實(shí)體信任證����,從而需要第一鑒別模塊11和第二鑒別模塊12與第一生成模塊31和第二轉(zhuǎn)化模塊32相對(duì)應(yīng)���,即第一鑒別模塊11和第二鑒別模塊12能對(duì)不同安全域的實(shí)體信任證進(jìn)行鑒別����,第一生成模塊31和第二生成模塊32能生成不同安全域的實(shí)體信任證���。
為了便于數(shù)據(jù)的維護(hù)�,將鑒別數(shù)據(jù)模塊�、映射數(shù)據(jù)模塊及生成數(shù)據(jù)模塊均分為存儲(chǔ)及管理兩部分,存儲(chǔ)模塊只用于存儲(chǔ)相關(guān)數(shù)據(jù)�����,管理模塊用于讀寫和修改相應(yīng)存儲(chǔ)模塊。鑒別數(shù)據(jù)模塊4包括鑒別數(shù)據(jù)存儲(chǔ)模塊���,用于存儲(chǔ)鑒別實(shí)體信任證所需的數(shù)據(jù)�����;鑒別數(shù)據(jù)管理模塊����,與鑒別模塊及鑒別數(shù)據(jù)存儲(chǔ)模塊相連接���,用于為鑒別模塊提供鑒別實(shí)體信任證所需的信息����,并用于對(duì)鑒別數(shù)據(jù)存儲(chǔ)模塊進(jìn)行讀寫及修改操作��。映射數(shù)據(jù)模塊5包括映射數(shù)據(jù)存儲(chǔ)模塊���,用于存儲(chǔ)身份映射關(guān)系數(shù)據(jù)�;映射數(shù)據(jù)管理模塊�����,與映射模塊及映射數(shù)據(jù)存儲(chǔ)模塊相連接,用于為映射模塊提供所需的身份映射關(guān)系��,并用于對(duì)映射數(shù)據(jù)存儲(chǔ)模塊進(jìn)行讀寫及修改操作����。轉(zhuǎn)換數(shù)據(jù)模塊6包括轉(zhuǎn)換數(shù)據(jù)存儲(chǔ)模塊,用于存儲(chǔ)生成實(shí)體信任證所需的數(shù)據(jù)�����;轉(zhuǎn)換數(shù)據(jù)管理模塊���,與轉(zhuǎn)換模塊及轉(zhuǎn)換數(shù)據(jù)存儲(chǔ)模塊相連接,用于為轉(zhuǎn)換模塊提供生成實(shí)體信任證所需的數(shù)據(jù)�,并用于對(duì)生成數(shù)據(jù)存儲(chǔ)模塊進(jìn)行讀寫及修改操作。
如圖4所示����,為本發(fā)明的信任證鑒別轉(zhuǎn)換方法流程圖,執(zhí)行以下步驟步驟101���、基于安全會(huì)話���,接收用戶在第一安全域內(nèi)使用的實(shí)體信任證����,并判斷該實(shí)體信任證的類型�;由于是對(duì)不同安全域的實(shí)體信任證進(jìn)行鑒別,因此先要判斷該實(shí)體信任證的類型����,然后再用相應(yīng)的鑒別方法,進(jìn)行實(shí)體信任證的鑒別�。
步驟102、根據(jù)實(shí)體信任證的類型對(duì)實(shí)體信任證進(jìn)行鑒別���,若所述實(shí)體信任證合法�����,執(zhí)行步驟103����;否則��,執(zhí)行步驟106�����;若實(shí)體信任證合法,則進(jìn)入身份映射及信任證轉(zhuǎn)換的流程��,否則向用戶發(fā)送錯(cuò)誤信息���。
步驟103�、對(duì)實(shí)體信任證表示的用戶身份進(jìn)行身份映射�,在身份映射表中查找身份映射關(guān)系,得到用戶在第二安全域的身份���;身份映射可以通過(guò)查身份映射表來(lái)實(shí)現(xiàn)��。
步驟104��、根據(jù)用戶在第二安全域內(nèi)的身份生成用戶在第二安全域內(nèi)使用的實(shí)體信任證���;步驟105���、基于安全會(huì)話���,將所述用戶在第二安全域內(nèi)使用的實(shí)體信任證發(fā)送給用戶,執(zhí)行步驟107�;步驟106�、向用戶發(fā)送錯(cuò)誤信息�;步驟107、結(jié)束���。
在上述技術(shù)方案中�����,與用戶的交互都是基于安全會(huì)話進(jìn)行的����,從而保證了安全性�����。
如圖5所示�����,為本發(fā)明的信任證鑒別轉(zhuǎn)換系統(tǒng)的一具體實(shí)施例結(jié)構(gòu)圖�����,用于Kerberos安全域與PKI安全域間實(shí)體信任證的鑒別轉(zhuǎn)換�����,包括信任證鑒別模塊71、身份映射模塊72���、信任證轉(zhuǎn)換模塊73���、鑒別數(shù)據(jù)模塊74、映射數(shù)據(jù)模塊75及轉(zhuǎn)換數(shù)據(jù)模塊76���。
信任證鑒別模塊71��,用于接收用戶發(fā)送來(lái)的實(shí)體信任證�����,判斷Kerberos票據(jù)和X.509證書的合法性�,包括接收模塊710�、Kerberos票據(jù)鑒別模塊711及X.509證書鑒別模塊712,Kerberos票據(jù)鑒別模塊711及X.509證書鑒別模塊712與接收模塊710相連接��,另外由于Kerberos票據(jù)合法性的鑒定需要和Kerberos域KDC8進(jìn)行交互����,因此Kerberos票據(jù)鑒別模塊還要與KDC8相連接。鑒別數(shù)據(jù)模塊74包括鑒別數(shù)據(jù)管理模塊741及信任證書庫(kù)742����。信任證庫(kù)742用于存儲(chǔ)PKI信任的X.509證書,鑒別數(shù)據(jù)管理模塊用于存儲(chǔ)Kerberos票據(jù)鑒別模塊711與KDC8通信的必要信息�����,如系統(tǒng)的Kerberos身份和密碼�,并用于存儲(chǔ)和PKI信任的X.509證書相關(guān)的信息,如證書的位置�����、類型和信任證書庫(kù)742密碼��,還用于讀取和修改信任證書庫(kù)742��。接收模塊710用于基于安全會(huì)話���,接收用戶發(fā)送的實(shí)體信任證�。Kerberos票據(jù)鑒別模塊711用于通過(guò)與Kerberos域KDC8進(jìn)行交互��,鑒別Kerberos票據(jù)的合法性。X.509證書鑒別模塊712用于鑒別X.509證書的合法性��,根據(jù)RFC2459的X.509證書鑒別框架��,證書合法性依賴于系統(tǒng)信任的證書�,鑒別數(shù)據(jù)管理模塊741為X.509證書鑒別模塊提供系統(tǒng)信任的X.509證書,通過(guò)建立用戶的X.509證書與系統(tǒng)信任的X.509證書之間的信任鏈��,而對(duì)證書的合法性進(jìn)行鑒別�����,若能建立起信任鏈�,則證書合法。
系統(tǒng)使用Internet工程工作組(International Engineering TaskForce�����,簡(jiǎn)稱IETF)的請(qǐng)求注解(Request For Commnets�����,簡(jiǎn)稱RFC)2743提出的通用安全服務(wù)應(yīng)用程序接口(General Secure Service ApplicationInterface����,簡(jiǎn)稱GSS-API)對(duì)底層應(yīng)用屏蔽不同的信任證鑒別協(xié)議�����。GSS-API通過(guò)建立安全上下文,即共享密鑰���,來(lái)進(jìn)行身份鑒別和安全的消息傳遞���,在網(wǎng)格環(huán)境中,系統(tǒng)遵循規(guī)范實(shí)現(xiàn)了上述過(guò)程����,稱為安全會(huì)話。
安全會(huì)話會(huì)根據(jù)不同類型信任證也就是X.509票據(jù)和Kerberos票據(jù)來(lái)分別建立PKI安全上下文和Kerberos安全上下文����,因此保證消息傳輸安全性的方式也不同。安全會(huì)話是使用GSS-API來(lái)實(shí)現(xiàn)的����,目的是讓服務(wù)端和客戶端在互相鑒別的同時(shí)建立安全上下文并使用之來(lái)進(jìn)行安全通信,這一點(diǎn)決定了它需要解決如何建立安全上下文和如何使用安全上下文保證傳輸安全性這2個(gè)問(wèn)題�。
安全上下文的建立過(guò)程的核心內(nèi)容是通信雙方身份的鑒別。因此兩個(gè)域內(nèi)安全會(huì)話在進(jìn)行身份鑒別時(shí)要采用GSS-API跟不同機(jī)制的綁定��。Kerberos域安全會(huì)話采用IETF的RFC1964中規(guī)定的GSS-API Kerberos綁定作為底層機(jī)制;PKI域安全會(huì)話本文采用RFC2246規(guī)定的加密套結(jié)字協(xié)議層(SecureSocket Layer����,簡(jiǎn)稱SSL)作為底層機(jī)制。由于面向網(wǎng)格環(huán)境�,PKI域內(nèi)安全會(huì)話參考并且支持GSI提出的GSS-API擴(kuò)展。
由于安全會(huì)話要遵守WS-Trust���、WS-SecureConversation規(guī)范�,系統(tǒng)在RFC1964的基礎(chǔ)上進(jìn)行了拓展����,系統(tǒng)對(duì)Kerberos安全上下文建立的第2步,PKI安全上下文的第5步和第6步進(jìn)行了擴(kuò)展���,并對(duì)報(bào)文格式進(jìn)行設(shè)計(jì)使得傳輸消息遵循規(guī)范���。Kerberos安全上下為第2步的報(bào)文格式如下所示<soapenvEnvelope><soapenvHeader>
<wsseSecurity/></soapenvHeader><soapenvBody>
<wstRequestSecurityTokenResponse′>
<wstRequestedSecurityToken>
<wscSecurityContextToken>
<wscIdentifier>″...the contextId″</wscIdentifier>
</wscSecurityContextToken>
<wsseBinaryExchange ValueTvpe=http//www.security.crown.org/ws/2005/05/security/sc#GSSAPI_Kerberos_TOKEN... ...
</wsseBinaryExchange>
</wstRequestedSecurityToken>
</wstRequestSecurityTokenResponse>
</soapenvBody></soapenvEnvelope>
PKI安全上下文建立的第5步進(jìn)行了擴(kuò)展,報(bào)文格式如下所示<soapenvEnvelope><soapenvHeader>
<wsaAction>
http//schemas.xmlsoap.org/ws/2005/02/trust/RSTR/SCT</wsaAction>
<wsseSecurity/>
</soapenvHeader>
<soapenvBody>
<wstRequestSecurityTokenResponse>
<wstRequestedSecurityToken>
<wsseBinaryExchange wsuId=″″ValueType=http//www.security.crown.org/ws/2005/05/security/sc#GSSAPI_PKI_TOKEN>
......
</wsseBinaryExchange>
</wstRequestedSecurityToken></wstRequestSecurityTokenResponse></soapenvBody></soapenvEnvelope>
PKI安全上下文建立的第6步進(jìn)行了擴(kuò)展��,報(bào)文格式如下所示<soapenvEnvelope><soapenvHeader>
<wsseSecurity/></soapenvHeader><soapenvBody><wstRequestSecurityTokenResponse>
<wstRequestedSecurityToken>
<wscSecurityContextToken>
<wscIdentifier>″...the contextId″</wscIdentifier>
</wscSecurityContextToken>
</wstRequestedSecurityToken>
</wstRequestSecurityTokenResponse>
</soapenvBody>
</soapenvEnvelope>
使用安全上下文來(lái)保證傳輸安全性要解決2個(gè)問(wèn)題(1)如何使用共享密鑰來(lái)對(duì)消息進(jìn)行安全處理(加密和簽字)�����;(2)進(jìn)行了安全處理的報(bào)文格式要符合規(guī)范的規(guī)定。而這些系統(tǒng)是借助于現(xiàn)有的算法庫(kù)來(lái)解決的�,并且對(duì)經(jīng)過(guò)安全處理的報(bào)文格式進(jìn)行了設(shè)計(jì)使其符合WS-SecureConversation和WS-Security規(guī)范,如下所示<soapenvEnvelope><soapenvHeader><wsseSecurity><dsSignature>
<dsSignedInfo>
<dsSignatureMethodAlgorithm=http//www.security.crown.org/2005/05/xmlenc#gssapi-sign/>
</dsSignedInfo>
<dsKeyInfo>
<wsseSecurityTokenReference>
<wsseReference URI=″ ″ValueType=http//www.security.crown.org/ws/2005/05/security/sc#GSSAPI_PKI_TOKEN/</wsseSecurityTokenReference>
</dsKeyInfo>
</dsSignature>
<wscSecurityContextToken wsuId=″″>
<wscIdentifier>the context Id</wscIdentifier>
</wscSecurityContextToken>
<wscSecurityContextToken wsuId=″″″>
<wscIdentifier>the context Id</wscIdentifier>
</wscSecurityContextToken>
<xencReferenceList>
<xencDataReference URI=″″/>
</xencReferenceList></wsseSecurity></soapenvHeader><soapenvBody><xencEncryptedDataId=″″Type=″″><xencEncrypt ionMethodAlgorithm=http//www.security.crown.org/2005/05/xmlenc#gssapi-enc/><dsKeyInfo><wsseSecurityTokenReference>
<wsseReference URI=″″ValueType=http//www.security.crown.org/ws/2004/09/security/sc#GSSAPI_CONTEXT_TOKEN/>
</wsseSecurityTokenReference>
</dsKeyInfo><xencCipherData>
<xencCipherValue></xencCipherValue></xencCipherData></xencEncryptedData></soapenvBody></soapenvEnvelope>
身份映射模塊72與Kerberos票據(jù)鑒別模塊711及X.509證書鑒別模塊相連接��,在用戶的實(shí)體信任證合法時(shí)�,將用戶身份從一個(gè)域轉(zhuǎn)換到另一個(gè)域��,即域?qū)嶓w身份映射����。映射數(shù)據(jù)模塊75包括映射數(shù)據(jù)管理模塊751及映射關(guān)系數(shù)據(jù)庫(kù)752,映射數(shù)據(jù)庫(kù)752中存儲(chǔ)身份映射關(guān)系表����,映射數(shù)據(jù)管理模塊751與身份映射模塊72及映射關(guān)系數(shù)據(jù)庫(kù)752相連接,用于讀寫和修改映射關(guān)系數(shù)據(jù)庫(kù)752���,并根據(jù)用戶在本安全域的實(shí)體信任證所表示的身份����,在映射關(guān)系數(shù)據(jù)庫(kù)752中的身份映射表中�����,查找相應(yīng)的身份映射關(guān)系,并返回給身份映射模塊72��,從而完成將用戶身份從一個(gè)安全域轉(zhuǎn)換到另一個(gè)安全域����。
為了便于檢索,身份映射關(guān)系表使用正則表達(dá)式來(lái)表示身份映射的匹配關(guān)系�����,可以根據(jù)需要進(jìn)行一對(duì)一����,一對(duì)多,多對(duì)一�,多對(duì)多的映射,如(\\W|\\w|\\s)*(0=DACCSP)(\\W|\\w|\\s)*(OU=CA)″luo即所有含有O=DACCSP和OU=CA的X.509身份全部映射到Kerberos域的身份“l(fā)uo”��。系統(tǒng)管理員可以通過(guò)對(duì)身份映射表進(jìn)行修改來(lái)針對(duì)具體環(huán)境進(jìn)行定制�。缺點(diǎn)是無(wú)法滿足PKI域區(qū)別明(Distinguished Name,簡(jiǎn)稱DN)的對(duì)象標(biāo)識(shí)符(Object ID��,簡(jiǎn)稱OID)順序無(wú)關(guān)的需求�。因?yàn)橛谜齽t表達(dá)式表示DN中的OID有順序關(guān)系,例如表達(dá)“DN中包含0=ACT����,OU=BUAA�,CN=Grid這3項(xiàng)�,而不考慮各項(xiàng)的順序”需要用包含18個(gè)OID的正則表達(dá)式,大大增加了表項(xiàng)的長(zhǎng)度和查詢的復(fù)雜度����。本發(fā)明提出OID排序算法,即正則表達(dá)式按照規(guī)定順序表示DN����;查詢前先按照此算法把DN中OID排序�����,再去查詢身份映射表�。排序算法如下所示定義1定義全集C是所有字符串的集合定義2IETF規(guī)定的OID有19種,定義所有OID的集合為集合R����,RC。
定義3f(x)(x∈C)是一個(gè)專門映射字符串x到組成x的所有字母ASCII值之和的函數(shù)�,并且經(jīng)過(guò)詳細(xì)計(jì)算s,t�����,s∈R,t∈R�,f(s)≠f(t)。身份映射表的正則表達(dá)式中的OID以f(x)的值為序遞減排列��。
算法步驟步驟a�、將N個(gè)OID,X0�,X1,X2���,...���,XN讀入內(nèi)存,f(Xi)(x∈A...Z����,i=0,1��,2���,3��,...)有最大值f(Xi)max��,(i=0����,1,2����,3,...)��,開(kāi)辟數(shù)組���,初值T=0;步驟b����、[初值i=1]掃描Xi,讓T←f(Xi)���,P(T)←P(T)+1���;步驟c�、i←i+1���,直至i=N�,重復(fù)步驟2���。
步驟d��、[初值j=f(Xi)max(遞減排序)��,k=1]二次掃描���。(1)若P(j)=0,轉(zhuǎn)步驟e��;(2)若P(j)=1�����,則把關(guān)鍵字為j的OID值賦給Xk�,k←k+1,轉(zhuǎn)步驟e��;步驟e、j←j-1�����,直至j=0����,重復(fù)步驟d。
信任證轉(zhuǎn)換模塊73包括選擇模塊730�����、Kerberos票據(jù)生成模塊711���、X.509證書生成模塊712及發(fā)送模塊713���。選擇模塊730用于根據(jù)從身份映射模塊72接收到的對(duì)方安全域類型將用戶在對(duì)方安全域的身份發(fā)送給Kerberos票據(jù)生成模塊711或X.509證書生成模塊712。Kerberos域中生成票據(jù)的機(jī)構(gòu)是密鑰分發(fā)中心KDC8�,為了不更改現(xiàn)有的Kerberos實(shí)現(xiàn)���,根據(jù)RFC1510讓系統(tǒng)成為用戶的票據(jù)代理���,通過(guò)Kerberos票據(jù)生成模塊711與KDC8的交互,代理用戶向KDC8申請(qǐng)不帶IP地址的票據(jù)并通過(guò)發(fā)送模塊713傳回給用戶。系統(tǒng)既是Kerberos域的票據(jù)代理又是PKI域的X.509證書代理��,PKI域中的證書權(quán)威(Credit Authority�,簡(jiǎn)稱CA)的工作方式是離線的,為了讓系統(tǒng)具備在線轉(zhuǎn)換功能�,X.509證書生成模塊712不是一個(gè)CA而是擁有所在PKI域內(nèi)CA所頒發(fā)的證書,該證書具有簽發(fā)下一級(jí)證書的能力����。轉(zhuǎn)換數(shù)據(jù)模塊76包括轉(zhuǎn)換數(shù)據(jù)管理模塊761及轉(zhuǎn)換數(shù)據(jù)庫(kù)762,轉(zhuǎn)換數(shù)據(jù)庫(kù)中存儲(chǔ)前發(fā)下一級(jí)X.509證書的證書(含私鑰)���,以及申請(qǐng)票據(jù)所必需的Kerberos密鑰信息�。發(fā)送模塊713用于將系統(tǒng)生成的用戶在對(duì)方安全域使用的信任證�,利用相應(yīng)的安全上下文加密,并發(fā)送給用戶�����。
如圖6所示��,為本發(fā)明的信任證鑒別轉(zhuǎn)換方法一具體實(shí)施例流程圖����,該方法執(zhí)行以下步驟步驟601����、基于安全會(huì)話��,接收用戶發(fā)送的實(shí)體信任證����;步驟602、判斷該實(shí)體信任證的類型�,若是Kerberos安全域的票據(jù),執(zhí)行步驟610��,若是PKI安全域的X.509證書���,執(zhí)行步驟620�;在進(jìn)行鑒別的同時(shí)��,建立安全上下文來(lái)保證后面所有消息傳輸?shù)陌踩浴?br>
步驟610����、與KDC交互,鑒別票據(jù)的合法性���,若合法,執(zhí)行步驟611,否則�����,執(zhí)行步驟630����;步驟611、基于Kerberos證書請(qǐng)求�����,得到用戶的Kerberos安全域身份��;步驟612���、進(jìn)行身份映射����,將Kerberos安全域的身份映射成PKI安全域的身份�����;步驟613�、根據(jù)PKI安全域的身份生成X.509證書�,執(zhí)行步驟631�;
步驟620、通過(guò)建立信任的X.509證書與用戶的X.509證書之間的信任鏈對(duì)用戶的X.509證書進(jìn)行鑒別的��,若能夠構(gòu)造出信任鏈��,則證書合法���,執(zhí)行步驟612�;否則����,執(zhí)行步驟630;步驟621����、從X.509證書中取得用戶在PKI安全域的身份;步驟622�、用OID排序算法排序;步驟623��、進(jìn)行身份映射���,得到用戶在Kerberos安全域的身份�;步驟624、取得Kerberos用戶名對(duì)應(yīng)的密碼��,用系統(tǒng)的身份和密碼與KDC進(jìn)行交互�����,得到用戶的Kerberos票據(jù)����,執(zhí)行步驟631�;步驟630、向用戶發(fā)送錯(cuò)誤信息�����,執(zhí)行步驟632�����;步驟631���、利用安全上下文對(duì)生成的實(shí)體信任證加密�����,并發(fā)送給用戶���;步驟632�����、結(jié)束�����。
本發(fā)明提供的跨異構(gòu)域的信任證鑒別轉(zhuǎn)換系統(tǒng)�,有效解決了跨PKI域和Kerberos域之間的身份聯(lián)盟問(wèn)題����,給異構(gòu)域的資源共享和協(xié)同工作打下了基礎(chǔ);鑒別PKI域用戶的合法性并給其頒發(fā)在Kerberos域內(nèi)使用的票據(jù)���;鑒別Kerberos域用戶的合法性并給其頒發(fā)PKI域內(nèi)使用的X.509證書�;系統(tǒng)具有可擴(kuò)展性和互操作性�,其設(shè)計(jì)具有以下幾個(gè)重要特點(diǎn)遵循現(xiàn)有的規(guī)范WS-Federation,S-Trust��,S-SecureConversation,S-Security�����;適應(yīng)于不同的底層應(yīng)用環(huán)境���;系統(tǒng)可靈活配置,管理員可以通過(guò)修改管理模塊來(lái)滿足不同需求�����;獨(dú)立于現(xiàn)有的Kerberos實(shí)現(xiàn)��,與不同的Kerberos實(shí)現(xiàn)相兼容���,不需要和KDC部署在同一臺(tái)機(jī)器上�����;支持多種類型的信任證�����;使用Java實(shí)現(xiàn)��,具有跨平臺(tái)性����。
最后應(yīng)當(dāng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非對(duì)其限制;盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明����,所屬領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,依然可以對(duì)本發(fā)明的具體實(shí)施方式
進(jìn)行修改或者對(duì)部分技術(shù)特征進(jìn)行等同替換���;而不脫離本發(fā)明技術(shù)方案的精神����,其均應(yīng)涵蓋在本發(fā)明請(qǐng)求保護(hù)的技術(shù)方案范圍當(dāng)中�����。
權(quán)利要求
1.一種信任證鑒別轉(zhuǎn)換系統(tǒng)�����,其特征在于包括鑒別模塊�,用于與用戶建立共享密鑰以保證消息傳輸?shù)陌踩裕⒂糜诮邮沼脩粼诘谝话踩騼?nèi)使用的實(shí)體信任證及鑒別該信任證的合法性��;鑒別數(shù)據(jù)模塊,與所述鑒別模塊相連接�,用于根據(jù)所述第一安全域的類型,為所述鑒別模塊提供鑒別所述實(shí)體信任證所需的信息����;映射模塊,與所述鑒別模塊相連接����,用于將用戶在第一安全域內(nèi)的身份映射到第二安全域內(nèi)的身份;映射數(shù)據(jù)模塊���,與所述映射模塊相連接,用于為所述映射模塊提供身份映射關(guān)系信息�;轉(zhuǎn)換模塊,與所述映射模塊相連接��,用于根據(jù)所述用戶在第二安全域內(nèi)的身份���,生成所述用戶在第二安全域內(nèi)使用的實(shí)體信任證�����,并基于安全會(huì)話�����,將該第二安全域內(nèi)使用的實(shí)體信任證發(fā)送給用戶�����;轉(zhuǎn)換數(shù)據(jù)模塊����,與所述轉(zhuǎn)換模塊相連接,用于根據(jù)所述第二安全域的類型�����,為所述轉(zhuǎn)換模塊提供生成所述第二安全域內(nèi)使用的實(shí)體信任證所需的信息���。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其特征在于所述的鑒別數(shù)據(jù)模塊包括鑒別數(shù)據(jù)存儲(chǔ)模塊��,用于存儲(chǔ)鑒別實(shí)體信任證所需的數(shù)據(jù)��;鑒別數(shù)據(jù)管理模塊����,與所述鑒別模塊及鑒別數(shù)據(jù)存儲(chǔ)模塊相連接,用于為所述鑒別模塊提供鑒別實(shí)體信任證所需的信息���,并且對(duì)鑒別數(shù)據(jù)存儲(chǔ)模塊進(jìn)行讀寫及修改操作����;所述的映射數(shù)據(jù)模塊包括映射數(shù)據(jù)存儲(chǔ)模塊����,用于存儲(chǔ)身份映射關(guān)系數(shù)據(jù);映射數(shù)據(jù)管理模塊�,與所述映射模塊及映射數(shù)據(jù)存儲(chǔ)模塊相連接,用于為所述映射模塊提供所需的身份映射關(guān)系��,并用于對(duì)映射數(shù)據(jù)存儲(chǔ)模塊進(jìn)行讀寫及修改操作����;所述的轉(zhuǎn)換數(shù)據(jù)模塊包括轉(zhuǎn)換數(shù)據(jù)存儲(chǔ)模塊����,用于存儲(chǔ)生成實(shí)體信任證所需的數(shù)據(jù);轉(zhuǎn)換數(shù)據(jù)管理模塊��,與所述轉(zhuǎn)換模塊及轉(zhuǎn)換數(shù)據(jù)存儲(chǔ)模塊相連接,用于為所述轉(zhuǎn)換模塊提供生成實(shí)體信任證所需的數(shù)據(jù)�����,并用于對(duì)轉(zhuǎn)換數(shù)據(jù)存儲(chǔ)模塊進(jìn)行讀寫及修改操作�。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述鑒別模塊包括接收模塊����,用于與用戶建立共享密鑰以保證消息傳輸?shù)陌踩裕⒂糜诮邮沼脩粼诘谝话踩騼?nèi)使用的實(shí)體信任證��,并根據(jù)所述第一安全域的類型��,將該實(shí)體信任證發(fā)送給第一鑒別模塊或第二鑒別模塊���;第一鑒別模塊及第二鑒別模塊與所述接收模塊���、映射模塊及鑒別數(shù)據(jù)模塊相連接,用于根據(jù)所述鑒別數(shù)據(jù)模塊提供的信息����,對(duì)從所述接收模塊接收的所述第一安全域內(nèi)使用的實(shí)體信任證進(jìn)行鑒別,并且所述第一鑒別模塊及第二鑒別模塊用于鑒別在不同類型的安全域內(nèi)使用的實(shí)體信任證�����;所述轉(zhuǎn)換模塊包括選擇模塊,與所述映射模塊相連接����,用于根據(jù)第二安全域的類型,選擇第一生成模塊或第二生成模塊工作��;第一生成模塊及第二生成模塊與所述選擇模塊��、轉(zhuǎn)換數(shù)據(jù)模塊相連接�����,用于根據(jù)所述選擇模塊及轉(zhuǎn)換數(shù)據(jù)模塊提供的信息��,生成所述用戶在第二安全域內(nèi)使用的實(shí)體信任證�,所述第一生成模塊及第二生成模塊用于生成在不同類型的安全域內(nèi)使用的信任證;發(fā)送模塊�,與所述第一生成模塊及第二生成模塊相連接���,并基于安全會(huì)話向所述用戶發(fā)送所述第二安全域內(nèi)使用的實(shí)體信任證����。
4.一種信任證鑒別轉(zhuǎn)換方法,其特征在于包括以下步驟步驟1�、基于安全會(huì)話,接收用戶在第一安全域內(nèi)使用的實(shí)體信任證���,并判斷該實(shí)體信任證的類型���;步驟2、根據(jù)所述實(shí)體信任證的類型對(duì)所述實(shí)體信任證進(jìn)行鑒別��,若所述實(shí)體信任證合法�,執(zhí)行步驟3;否則���,執(zhí)行步驟5��;步驟3����、根據(jù)所述實(shí)體信任證表示的用戶身份��,在身份映射表中查找身份映射關(guān)系����,并得到所述用戶在第二安全域的身份����;步驟4����、根據(jù)所述用戶在第二安全域內(nèi)的身份生成用戶在第二安全域內(nèi)使用的實(shí)體信任證;步驟5�、基于安全會(huì)話,將所述用戶在第二安全域內(nèi)使用的實(shí)體信任證發(fā)送給用戶��,執(zhí)行步驟6���;步驟6��、向用戶發(fā)送錯(cuò)誤信息��;步驟7�����、結(jié)束���。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于所述步驟1中的第一安全域?yàn)镵erberos安全域���,用戶在第一安全域內(nèi)使用的實(shí)體信任證為Kerberos票據(jù)���,所述步驟2是通過(guò)與Kerberos安全域的密鑰分發(fā)中心交互,對(duì)Kerberos票據(jù)進(jìn)行鑒別的��。
6.根據(jù)權(quán)利要求4所述的方法�,其特征在于所述步驟1中的第一安全域?yàn)镻KI安全域,所述用戶在第一安全域內(nèi)使用的實(shí)體信任證為X.509證書�����,所述步驟2是通過(guò)建立信任的X.509證書與用戶的X.509證書之間的信任鏈對(duì)所述用戶的X.509證書進(jìn)行鑒別的����,若能夠構(gòu)造出信任鏈,則所述用戶的X.509證書合法���,否則��,不合法����。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于在所述步驟2和步驟3之間���,對(duì)X.509證書中區(qū)別名的對(duì)象標(biāo)識(shí)符進(jìn)行排序�����。
8.根據(jù)權(quán)利要求4所述的方法�,其特征在于所述步驟1中�,還接收所述用戶請(qǐng)求得到的信任證的安全域類型,所述步驟3具體為根據(jù)所述信任證表示的用戶身份及所述用戶請(qǐng)求得到的信任證的安全域類型�,在身份映射表中查找身份映射關(guān)系,并得到所述用戶在第二安全域的身份���。
9.根據(jù)權(quán)利要求4��、5�、或8所述的方法�,其特征在于所述步驟3中的第二安全域?yàn)镻KI安全域,所述步驟4是根據(jù)一合法X.509證書以及在PKI安全域內(nèi)的身份生成用戶在PKI安全域內(nèi)使用的實(shí)體信任證�,即X.509證書的。
10.根據(jù)權(quán)利要求4�、6、7或8所述的方法���,其特征在于所述步驟3中的第二安全域?yàn)镵erberos安全域���,所述步驟4是通過(guò)與所述Kerberos安全域的密鑰分發(fā)中心交互得到用戶在第二安全域內(nèi)使用的實(shí)體信任證�����,即Kerberos票據(jù)的。
全文摘要
本發(fā)明涉及一種信任證鑒別轉(zhuǎn)換系統(tǒng)��,包括鑒別模塊��,鑒別數(shù)據(jù)模塊�����,映射模塊���,映射數(shù)據(jù)模塊�,轉(zhuǎn)換模塊及轉(zhuǎn)換數(shù)據(jù)模塊����。本發(fā)明還涉及一種信任證鑒別轉(zhuǎn)換方法,基于安全會(huì)話接收用戶在第一安全域內(nèi)使用的實(shí)體信任證�,并判斷該實(shí)體信任證的類型;根據(jù)類型對(duì)實(shí)體信任證進(jìn)行鑒別,若不合法���,向用戶發(fā)送錯(cuò)誤信息���,若合法,對(duì)實(shí)體信任證表示的用戶身份進(jìn)行身份映射得到用戶在第二安全域的身份�����;根據(jù)用戶在第二安全域內(nèi)的身份生成實(shí)體信任證�;基于安全會(huì)話將生成的實(shí)體信任證發(fā)送給用戶。本發(fā)明的技術(shù)方案實(shí)現(xiàn)了多安全域間的信任證相互轉(zhuǎn)換�����,支持多種信任證����,具有良好的安全性,適應(yīng)于不同的底層應(yīng)用環(huán)境���;系統(tǒng)可靈活配置�����,具有可擴(kuò)展性和互操作性����。
文檔編號(hào)H04L9/08GK1790989SQ200510132538
公開(kāi)日2006年6月21日 申請(qǐng)日期2005年12月26日 優(yōu)先權(quán)日2005年12月26日
發(fā)明者懷進(jìn)鵬, 胡春明, 李沁, 羅琛, 謝知求 申請(qǐng)人:北京航空航天大學(xué)