CN112910864B - 公钥的高速报文验证方法 - Google Patents

Abstract

本发明公开了公钥的高速报文验证方法，方法包括：PKG生成初始化参数和系统主密钥，形成并发布系统公共参数PP；用户A向PKG发送IP地址，PKG生成用户A的私钥并返回用户A；报文检查者向PKG发送身份标识，PKG生成报文检查者的私钥，并返回报文检查者；用户A生成消息认证密钥，利用消息认证密钥生成MAC，发送IP报文给用户B；报文检查者解析报文中的源IP地址、目的IP地址、版本号、标志、消息M和MAC，根据报文检查者的私钥和用户A的源IP地址生成验证密钥，利用验证密钥和消息M生成MAC'，若MAC'＝MAC，则验证成功。本发明不依赖于证书机构或者PKI，不需要在线查询、验证公钥，大大增强了安全技术的可用性和可扩展性。

Description

公钥的高速报文验证方法

技术领域

本发明属于计算机网络安全技术领域，尤其是涉及公钥的高速报文验证方法。

背景技术

当前互联网变得越来越庞大而复杂，IP地址兼具身份和定位的语义过载特性带来了极大的安全威胁。互联网中的网络设备仅根据报文中的目标IP地址进行寻址转发，并不对源地址进行验证。攻击者随意伪造报文中的源IP地址对互联网进行攻击，而网络数据平面无法验证源地址的合法性，使得对攻击者的追溯定位变得极为困难。同时，在通信过程中，网络报文篡改和注入等攻击可导致网络混乱和非法隐蔽通信，需要对通信报文的完整性进行验证，确保接收方收到的通信数据是合法且完整的。

针对源地址欺骗攻击，研究者们提出了很多方法来抵御或者减少源地址欺骗攻击。一类是基于规则的检测机制，这类机制的基本思想是构建规则库，但是这种机制误报率高，易被逃避。另一类是基于密码学的源认证机制，这类机制的基本思想是确认地址的所有权，安全能力强。代表方案有CGA(Cryptographically Generated Addresses密码驱动的地址)，但是CGA方案需要用公钥做两次验证，不能实现子网地址鉴别，无法保证路由前缀安全；而且无法应用于IPv4。同时此类方案需要依赖复杂的PKI证书体系在线伴行，严重限制了此类方案的可用性和可扩展性。

发明内容

本发明提出了一种公钥的高速报文验证方法，基于标识密码实时验证源IP地址的可信，同时能够高速验证报文的完整性。

本发明提供一种公钥的高速报文验证方法，包括如下步骤：

S10：标识密码生成机构生成初始化参数和系统主密钥，形成并发布系统公共参数PP；

S20：用户A向所述标识密码生成机构发送IP地址，所述标识密码生成机构根据用户A的IP地址，生成用户A的私钥s_A并返回给用户A；

S30：报文检查者Pchecker向所述标识密码生成机构发送身份标识ID_check，所述标识密码生成机构生成所述报文检查者Pchecker的私钥s_check，并返回给所述报文检查者Pchecker；

S40：用户A根据用户A的私钥s_A、所述报文检查者Pchecker的身份标识ID_check和安全因子x生成消息认证密钥S，利用所述消息认证密钥S生成第一消息摘要MAC，并把所述第一消息摘要MAC嵌入到IP报文中，发送所述IP报文给用户B；

S50：所述报文检查者Pchecker收到用户A发送的所述IP报文，解析所述IP报文中的源IP地址、目的IP地址、版本号、标志、消息M和所述第一消息摘要MAC；根据所述报文检查者Pchecker的所述私钥s_check和用户A的源IP地址生成验证密钥S'，利用所述验证密钥S'和收到的消息M生成第二消息摘要MAC'，若MAC'＝MAC，则验证成功。

进一步的，所述S10步中包括：

S101：所述密钥生成机构根据输入系统安全系数，生成初始化参数{P₁,P₂,G₁,G₂,G_T,e,H₁,H₂,H₃}；其中G₁和G₂为加法群，P₁为G₁群的生成元，P₂为G₂群的生成元，G_T为乘法群，e为G₁上元素和G₂上元素到G_T的双线性对映射；H₁,H₂为安全密码函数；H₁(u)将任意长度二进制字符串u映射到一个循环加法群G₁的元素，H₂(u)将任意长度二进制字符串u映射到一个循环加法群G₂的元素，H₃(V)将一个循环乘法群G_T中的元素映射为一个二进制字符串；

S102：所述标识密码生成机构随机产生主密钥s₀，并发布系统公共参数{G₁,G₂,G_T,H₁,H₂,e}。

进一步的，所述S20步中，用户A向所述标识密码生成机构发送IP地址IP_A请求私钥s_A，所述标识密码生成机构计算用户A的私钥s_A＝[s₀]·H₁(IP_A),将用户A的私钥s_A发送给用户A。

进一步的，所述S30步中包括以下步骤：

S301：所述报文检查者Pchecker将身份标识ID_check发送给所述标识密码生成机构,请求所述标识密码生成机构计算报文检查者Pchecker的私钥s_check＝[s₀]·H₂(ID_check),所述标识密码生成机构收到请求，利用哈希函数H₂将所述报文检查者Pchecker的身份标识ID_check作哈希运算以映射到群G₂中的映射点P_check；

S302：将所述标识密码生成机构的所述主密钥s₀与所述映射点P_check相乘的结果作为所述报文检查者Pchecker的私钥s_check，将所述私钥s_check发送给所述报文检查者Pchecker。

进一步的，所述S40步中包括以下步骤：

S401：用户A从IP报文中提取特定报文信息，对所述特定报文信息作哈希运算得到安全因子x；

S402：用户A利用双线性映射e得到S＝e([x]s_A,H₂(ID_check))；

S403：用户A利用H₃函数将认证密钥S映射为长度为l的二进制字符串K，利用HMAC函数对消息M做哈希运算得到第一消息摘要MAC＝HMAC(S,M)，将第一消息摘要MAC嵌入到IP报文中，发送给用户B。

进一步的，所述特定报文信息包括IP报文中的源IP地址、目的IP地址、版本号和标志四个字段。

进一步的，所述S50步中包括以下步骤：

S501：所述报文检查者Pchecker收到用户A发送的报文，对报文进行解析获得所述特定报文信息、第一消息摘要MAC和消息M；

S502：所述报文检查者Pchecker对所述特定报文信息作哈希运算得到安全因子x，然后利用双线性映射得到s'＝e([x]s_check,H₁(IP_A))；

S503：所述报文检查者Pchecker利用安全密码函数H₃将验证密钥S'映射为一个长度为l的二进制字符串K'，利用HMAC函数对消息M进行哈希运算得到第二消息摘要MAC'＝HMAC(s',M)；

S504：比较所述第一消息摘要MAC和所述第二消息摘要MAC'，如果MAC'＝MAC,则报文源地址合法，报文完整性未被破坏。

本发明有益效果是源地址及完整性的验证不依赖于证书机构或者PKI，不需要在线查询、验证公钥，大大增强了安全技术的可用性和可扩展性。

附图说明

图1是本发明使用的骨干网络结构图；

图2是本发明的公钥高速报文验证方法基本流程示意图；

图3是本发明的公钥高速报文验证方法详细流程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书的术语“第一”、“第二”、“第三”、“第四”等(如果存在)或“左”、“右”、“前”、“后”、“顶”、“底”是用于区别类似的对象或便于本发明的结构描述，而不必用于描述特定的顺序或先后次序以及限制本发明的结构技术特征。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例，例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明的目的在于提供一种公钥的高速报文验证方法,以提升系统的抗攻击能力。以下将结合的具体实施例对本发明进行说明，但并不因此而限制本发明的保护范围。

如图1所示，本发明包括4个参与元素：标识密码生成机构PKG，报文检查者Pchecker，报文发送者Psender和报文接受者Preceiver。标识密码生成机构PKG完成系统初始化和为报文发送者Psender和报文检查者Pchecker分配私钥等工作。报文发送者Psender如用户A发送的报文先经过报文检查者Pchecker进行源地址及完整性认证，通过后再发送给报文接收者Preceiver，如用户B。

实施例1

本实施例提供一种公钥的高速报文验证方法，基于面向骨干网的源IP地址验证技术,实现基于标识密码的IP源地址验证方法。如图2和图3所示，本发明的一种公钥的高速报文验证方法包括以下步骤：

S10：标识密码生成机构PKG初始化阶段，标识密码生成机构PKG生成初始化参数，生成系统主密钥，形成并发布系统公共参数PP。

S10包括如下步骤：

S101：标识密码生成机构PKG根据输入的系统安全参数，生成初始化参数{P₁,P₂,G₁,G₂,GT,e,H₁,H₂,H₃}。标识密码生成机构PKG为全局选定一条特定的椭圆曲线，例如选定的曲线为y²＝x³-3x和y²＝x³+x+1，选定的椭圆曲线在有限域上的点构成了q(q为素数)阶循环加法群G₁和G₂，G₁的生成元为P₁，G₂的生成元为P₂。再根据椭圆曲线上的双线性对，构造双线性映射e，使得e:G₁×G₂→G_T。标识密码生成机构PKG中的系统参数管理模块依据循环加法群G₁选取哈希函数H₁(u)以将任意长度二进制字符串u映射到G₁中，H₁(u)表示为{0,1}^*→G₁，{0,1}*表示任意长度二进制字符串；系统参数管理模块依据循环加法群G₂选取哈希函数H₂(u)以将任意长度二进制字符串u映射到G₂中，H₂(u)表示为{0,1}^*→G₂，{0,1}*表示任意长度二进制字符串；系统参数管理模块依据循环乘法群G_T选取哈希函数H₃(V)以将G_T中的元素V映射为一个长度为l的二进制字符串，H₃(V)表示为G_T→{0,1}^l，{0,1}^l表示长度为l的二进制字符串。

S102：标识密码生成机构PKG运行随机数生成算法，为系统选择所需的随机数；PKG选择s₀∈Z^* _q作为主密钥，其他机构或用户无法获知此密钥。标识密码生成机构PKG形成并发布系统公共参数PP:{G₁,G₂,G_T,e,H₁,H₂,H₃}。

S20：用户IP地址私钥颁发阶段，用户A向标识密码生成机构PKG发送IP地址IP_A(如192.168.138.11)，标识密码生成机构PKG生成用户A的私钥s_A并返回给A。

S20包括如下步骤：

S201：用户A向标识密码生成机构PKG发送自己的IP地址IP_A请求私钥，标识密码生成机构PKG收到请求，利用哈希函数H₁将A的IP地址作哈希运算以映射到群G₁中的一点P_A:

S202：将PKG的主密钥s₀与映射点P_A相乘的结果作为A对应的私钥s_A，将s_A发送给A。构建私钥s_A过程如下：

P_A＝H₁(IP_A),

S_A＝[s₀]·P_A

S30：报文检查者身份标识私钥颁发阶段，报文检查者Pchecker向标识密码生成机构PKG发送自己的身份标识ID_check，标识密码生成机构PKG生成报文检查者的私钥s_check并返回给报文检查者Pchecker。

S30包括如下步骤：

S301：报文检查者Pchecker向标识密码生成机构PKG发送自己的身份标识ID_check请求所述报文检查者的私钥s_check，标识密码生成机构PKG收到请求，利用哈希函数H₂将Pchecker的身份标识ID_check作哈希运算以映射到群G₂中的一点P_check:

P_check＝H₂(ID_check)，

S302：将标识密码生成机构PKG的主密钥s₀与映射点P_check相乘的结果作为Pchecker对应的私钥s_check，将s_check发送给Pchecker。构建私钥过程如下：

s_check＝[s₀]·P_check

S40：发送报文阶段，用户A根据私钥s_A和报文检查者的身份标识ID_check生成消息认证密钥S，利用密钥S生成第一消息摘要MAC，并把MAC嵌入到IP报文中，然后发送报文。

S40包括如下步骤：

S401：用户A对报文中的源IP地址、目的IP地址、版本号、标志四个字段进行哈希运算得到安全因子x。本实施例中，优选使用报文中的源IP地址、目的IP地址、版本号、标志四个字段进行哈希运算得到安全因子x的计算方法，但不局限于此。在某些实施例中还可以使用IP报文中的其它字段，如头长度，Tos服务字段，总长度，片偏移，TTL，协议，校验和等之一或其组合进行哈希运算得到安全因子x，本发明对此不作限制。

S402：用户A利用双线性映射e将私钥s_A和报文检查者的身份标识ID_check映射到乘法群G_T中一点Q_A，认证密钥S即为Q_A，具体实施如下：

P_check＝H₂(ID_check)，

Q_A＝e([x]s_A,P_check)，

S＝Q_A

S403：用户A利用H₃函数将认证密钥S映射为长度为l的二进制字符串K，利用HMAC函数生成消息M的认证码MAC。将MAC嵌入到IP报文中，发送给目标用户。具体实施如下：

K＝H₃(S)，

MAC＝HMAC(S,M)

S50：验证阶段，报文检查者Pchecker收到报文，解析出报文中的源IP地址、目的IP地址、版本号、标志、消息M和第一消息摘要MAC；根据身份标识私钥s_check和用户的IP地址IP_A生成验证密钥S'，利用密钥S'和消息M生成第二消息摘要MAC'，验证MAC'＝MAC是否成立，若成立，则源IP地址可信，报文完整性未被破坏。

S50包括如下步骤：

S501：报文检查者Pchecker收到用户A发送的报文，首先对报文进行解析获得报文中的源IP地址、目的IP地址、版本号、标志、第一消息摘要MAC和消息M。

S502：报文检查者Pchecker对源IP地址、目的IP地址、版本号、标志四个字段进行哈希运算得到安全因子x，利用双线性映射e将私钥s_check和解析出的源IP地址映射到乘法群G_T中一点Q_check，验证密钥S'即为Q_check，具体实施如下：

Q_check＝e([x]s_check,H₁(IP_A))，

S'＝Q_check

S503：报文检查者Pchecker利用安全密码函数H₃将验证密钥S'映射为一个长度为l的二进制字符串K'，利用HMAC函数对解析出的M进行哈希运算，得到第二消息摘要MAC'。具体实施如下：

K'＝H₃(S')

MAC'＝HMAC(K',M)

S504：比较MAC和MAC'，如果MAC'＝MAC，则源IP地址合法，报文完整性未被破坏。

本发明提出了一种公钥的高速报文验证方法，基于标识密码实时验证源IP地址的可信，同时能够高速验证报文的完整性。本发明有益效果是不依赖于证书机构或者PKI，不需要在线查询、验证公钥，大大增强了安全技术的可用性和可扩展性。

以上仅是本发明的优选实施例，并非对本发明作任何形式上的限制。虽然本发明已以优选实施例揭露如上，然而并非用以限定本发明。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围的情况下，都可利用上述揭示的技术内容对本发明技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本发明技术方案的内容，依据本发明技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均应落在本发明技术方案保护的范围内。

Claims (5)

1.一种公钥的高速报文验证方法，其特征在于，包括如下步骤：

S10：标识密码生成机构生成初始化参数和系统主密钥，形成并发布系统公共参数PP；

S20：用户A向所述标识密码生成机构发送IP地址，所述标识密码生成机构根据用户A的IP地址，生成用户A的私钥s_A并返回给用户A；

S30：报文检查者Pchecker向所述标识密码生成机构发送身份标识ID_check，所述标识密码生成机构生成所述报文检查者Pchecker的私钥s_check，并返回给所述报文检查者Pchecker；

S40：用户A根据用户A的私钥s_A、所述报文检查者Pchecker的身份标识ID_check和安全因子x生成消息认证密钥S，利用所述消息认证密钥S生成第一消息摘要MAC，并把所述第一消息摘要MAC嵌入到IP报文中，发送所述IP报文给用户B；

S50：所述报文检查者Pchecker收到用户A发送的所述IP报文，解析所述IP报文中的源IP地址、目的IP地址、版本号、标志、消息M和所述第一消息摘要MAC；根据所述报文检查者Pchecker的所述私钥s_check和用户A的源IP地址生成验证密钥S'，利用所述验证密钥S'和收到的消息M生成第二消息摘要MAC'，若MAC'＝MAC，则验证成功；

所述S40步中包括以下步骤：

S401：用户A从IP报文中提取特定报文信息，对所述特定报文信息作哈希运算得到安全因子x；所述特定报文信息包括IP报文中的源IP地址、目的IP地址、版本号和标志四个字段；

S402：用户A利用双线性映射e得到S＝e([x]s_A,H₂(ID_check))；

S403：用户A利用H₃函数将认证密钥S映射为长度为l的二进制字符串K，利用HMAC函数对消息M做哈希运算得到第一消息摘要MAC＝HMAC(S,M)，将第一消息摘要MAC嵌入到IP报文中，发送给用户B。

2.根据权利要求1所述的公钥的高速报文验证方法，其特征在于，所述S10步中包括：

S101：所述密钥生成机构根据输入系统安全系数，生成初始化参数{P₁,P₂,G₁,G₂,G_T,e,H₁,H₂,H₃}；其中G₁和G₂为加法群，P₁为G₁群的生成元，P₂为G₂群的生成元，G_T为乘法群，e为G₁上元素和G₂上元素到G_T的双线性对映射；H₁,H₂为安全密码函数；H₁(u)将任意长度二进制字符串u映射到一个循环加法群G₁的元素，H₂(u)将任意长度二进制字符串u映射到一个循环加法群G₂的元素，H₃(V)将一个循环乘法群G_T中的元素映射为一个二进制字符串；

S102：所述标识密码生成机构随机产生主密钥s₀，并发布系统公共参数{G₁,G₂,G_T,H₁,H₂,e}。

3.根据权利要求2所述的公钥的高速报文验证方法，其特征在于，所述S20步中，用户A向所述标识密码生成机构发送IP地址IP_A请求私钥s_A，所述标识密码生成机构计算用户A的私钥s_A＝[s₀]·H₁(IP_A),将用户A的私钥s_A发送给用户A。

4.根据权利要求3所述的公钥的高速报文验证方法，其特征在于，所述S30步中包括以下步骤：

S301：所述报文检查者Pchecker将身份标识ID_check发送给所述标识密码生成机构,请求所述标识密码生成机构计算报文检查者Pchecker的私钥s_check＝[s₀]·H₂(ID_check),所述标识密码生成机构收到请求，利用哈希函数H₂将所述报文检查者Pchecker的身份标识ID_check作哈希运算以映射到群G₂中的映射点P_check；

S302：将所述标识密码生成机构的所述主密钥s₀与所述映射点P_check相乘的结果作为所述报文检查者Pchecker的私钥s_check，将所述私钥s_check发送给所述报文检查者Pchecker。

5.根据权利要求1所述的公钥的高速报文验证方法，其特征在于，所述S50步中包括以下步骤：

S501：所述报文检查者Pchecker收到用户A发送的报文，对报文进行解析获得所述特定报文信息、第一消息摘要MAC和消息M；

S502：所述报文检查者Pchecker对所述特定报文信息作哈希运算得到安全因子x，然后利用双线性映射得到s'＝e([x]s_check,H₁(IP_A))；

S503：所述报文检查者Pchecker利用安全密码函数H₃将验证密钥S'映射为一个长度为l的二进制字符串K'，利用HMAC函数对消息M进行哈希运算得到第二消息摘要MAC'＝HMAC(s',M)；

S504：比较所述第一消息摘要MAC和所述第二消息摘要MAC'，如果MAC'＝MAC,则报文源地址合法，报文完整性未被破坏。

Images