随着互联网的快速发展,信息服务已经渗透到社会的各个领域,并且发挥着愈来愈重要的作用。针对当前互联网环境中,信息服务种类多元性、服务内容边界重叠性、服务业态多模性、服务周期动态性等特点,以及信息服务的管理和验证机制缺乏、行为监督和可追溯能力差等现状,研究信息服务实体(Information Services Entity,ISE)的可信标识的统一签发、更新、撤销等生命周期管理和跨域认证机制,具有重要意义。本文针对信息服务实体的标识管理和跨域认证两个方面进行了深入的研究,提出了一种信息服务实体的标识管理机制,并设计了跨域认证系统(包括跨域认证模型、身份签名方案和跨域认证协议),主要工作如下:(1)为了实现多样性网络中信息服务实体标识的统一管理需求,本文设计了一种基于我国自主密码算法的信息服务实体可信标识的管理体系框架,详细描述了可信标识的逻辑组成、数据格式和全生命周期管理过程,并利用开源的GmSSL工具制作了基于国产密码SM2数字签名算法和SM3摘要算法的可信标识,从体系结构层面提升了信息服务的可管理性、可鉴别性、可证明性和可追溯性。(2)针对大规模异构网络环境下不同种类信息服务实体之间存在多业态交互复杂的结构模式,本文利用基于证书的公钥基础设施(Public Key Infrastructure,PKI)与基于身份的密码体制(Identity-Based Cryptography,IBC)相结合的优点,提出了一种新的信息服务实体跨域认证模型。该模型采用PKI实现域间身份的相互认证,IBC实现域内的身份认证,不仅具有灵活高效的认证特点,而且可以实现用户与信息服务实体之间的频繁交互,适用于构建大规模信息服务实体的应用环境。与传统PKI或IBC认证框架相比,该模型简化了系统结构,节约了管理成本。(3)为了解决基于IBC认证系统中固有的实体身份的即时撤销难题,本文提出了一种身份可撤销的签名方案(SM9_mIBS)。所提方案在国产标识密码算法SM9的签名算法的基础上,引进了一个安全仲裁来保管实体的部分私钥,使得实体需要向安全仲裁申请签名信令才能实现完整的数字签名。因此,该方案可以通过终止安全仲裁给实体发送签名信令来撤销实体的签名能力,从而实现实体身份的即时撤销。并且该方案被证明是EUF-mIBS-CMA安全的。(4)在SM9_mIBS方案的基础上,设计了一种适合于上述模型的跨域认证协议,可以实现跨信任域的双向实体认证和密钥协商,提高了认证效率。该协议不仅能抵抗假冒攻击和重放攻击,还具有前向安全性和可撤销性。分析结果表明,本文协议中的用户和信息服务实体的计算量较低,且在保证较高安全性的条件下通信量增幅也较小。因此本文方案对指导大规模异构网络环境下的信息服务实体的跨域认证具有较好的参考价值。