CN101729248B - 密钥管理、密钥验证的方法及装置 - Google Patents
密钥管理、密钥验证的方法及装置 Download PDFInfo
- Publication number
- CN101729248B CN101729248B CN 200810226006 CN200810226006A CN101729248B CN 101729248 B CN101729248 B CN 101729248B CN 200810226006 CN200810226006 CN 200810226006 CN 200810226006 A CN200810226006 A CN 200810226006A CN 101729248 B CN101729248 B CN 101729248B
- Authority
- CN
- China
- Prior art keywords
- public key
- node
- update cycle
- certificate
- cryptographic hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种密钥管理、密钥验证的方法及装置,涉及网络信息安全领域,以增强网络系统通信的安全性。本发明实施例中节点在每个更新周期对应有不同的哈希值,节点在每个更新周期根据不同的哈希值都重新生成一个对应的公钥证书,参与到与其它节点的通信当中。本发明实施例主要用在各种网络应用的密钥管理系统中。
Description
技术领域
本发明涉及网络信息安全领域,尤其涉及在通信过程中需要用到的公开密钥证书管理、验证的方法及装置。
背景技术
公开密钥(简称公钥)体制是一种实现网络安全通信的重要技术,通过该技术可以方便地实现节点间的密钥协商、数字签名、身份认证等,为实现安全的通信交互提供基础的技术支持。在该技术中,应用公开密钥证书(简称公钥证书)作为载体,实现将公开密钥的值与持有对应私有密钥的个人、设备或服务的身份相绑定。
公钥证书的管理是实现安全通信的基础,因此我们需要一套有效的公钥证书管理方法来保证通信安全。目前一种相关的公钥证书管理方法是首先由一个多级身份认证与授权机构对节点进行身份认证,然后只有通过身份认证的节点才可以从上述机构获取生成公钥证书所需的核心信息,节点利用这些核心信息生成自己的公钥证书,并与其它节点进行安全通信。在公钥证书生成的过程中,利用哈希链将一个公钥证书的有效期划分为与哈希链长度相等的若干个刷新周期。所述哈希链就是以一个初始值为基础,连续递归调用哈希函数得到的一串前后关联的数值序列。假设节点自定义哈希链长度(哈希链中哈希值的个数)为n,刷新周期为RP,则此公钥证书的有效期就是n*RP,也就是说,节点可以通过哈希链灵活地控制该公钥证书的有效性。
在实现上述密钥管理方法的过程中,发明人发现现有技术中至少存在如下问题:
因为节点从多级身份认证与授权机构处获取的核心信息是包括公开密钥的,假设节点自定义的有效期长度较长,那么在一段时间内公钥证书内的公开密钥是不变的,所以在这段时间内公钥证书有可能被恶意攻击者破解,恶意攻击者会伪造公钥证书,利用合法公钥证书与其它节点通信,从而影响到通信系 统的安全性。
发明内容
本发明的实施例提供一种密钥管理、密钥验证的方法及装置,以增强通信系统通信的安全性。
为达到上述目的,本发明的实施例采用如下技术方案:
一种密钥管理方法,包括:确定更新周期以及每个更新周期对应的哈希值;
在每个更新周期内,利用所述更新周期对应的哈希值生成公钥证书,并将所述公钥证书发送到需要与本节点通信的节点。
一种密钥验证方法,包括:接收需要与本节点通信的节点发送的公钥证书,所述公钥证书为需要与本节点通信的节点按照更新周期利用所述更新周期对应的哈希值更新后的公钥证书;验证所接收到的公钥证书的有效性;
在所接收到的公钥证书有效的情况下进行后续通信交互。
一种密钥管理装置,包括:
处理单元,用于确定更新周期以及每个更新周期对应的哈希值;
生成单元,用于在每个更新周期内利用所对应的哈希值生成公钥证书;
发送单元,用于在每个更新周期内将所述生成单元生成的所述公钥证书发送到需要与本节点通信的节点。
一种密钥验证装置,包括:
接收单元,用于接收需要与本节点通信的节点发送的公钥证书,所述公钥证书为需要与本节点通信的节点按照更新周期利用所述更新周期对应的哈希值更新后的公钥证书;
验证单元,用于验证所接收到的公钥证书的有效性;
通信单元,用于在所接收到的公钥证书有效的情况下进行后续通信交互。
本发明实施例提供的密钥管理、密钥验证的方法及装置,将每个周期与一个哈希值相对应,每个周期都利用对应哈希值强制重新生成一个公钥证书,实现一周期对应一个公钥证书,并且每个周期内都要对该周期对应的公钥证书进行验证。由于在这种开放的网络环境中存在很多不安全因素,节点的主密钥有 可能会被恶意节点截获,用来伪造合法节点的公钥证书,威胁网络应用安全。为了解决这些安全问题,本发明利用不同的哈希值在每周期强制更新公钥证书的方法,使节点的公钥证书不断变化,增强公钥证书管理的安全性,更好地抵御恶意节点的攻击。
附图说明
图1为本发明实施例1中的密钥管理方法流程图;
图2为本发明实施例1中的密钥验证方法流程图;
图3为本发明实施例1中的密钥管理装置示意图;
图4为本发明实施例1中的密钥验证装置示意图;
图5为本发明实施例2中的密钥管理方法流程图;
图6为本发明实施例2中的更新周期与哈希值对应关系图;
图7为本发明实施例2中的密钥管理装置框图。
具体实施方式
下面结合附图对本发明实施例密钥管理、密钥验证方法及装置进行详细描述。
实施例1
本实施例提供一种密钥管理方法,在该方法中,每个更新周期都强制更新一次密钥证书,如图1所示:
11、确定更新周期以及每个更新周期对应的哈希值。
12、在每个更新周期内利用哈希链中所对应的哈希值生成公钥证书,每当一个更新周期结束时,节点自身就自动生成并发布对应新更新周期的公钥证书。其中,所述哈希链是由哈希函数计算得到的一组前后关联的哈希值,具有单向的特性,即:根据哈希函数和其中一个哈希值,计算出这个哈希值前面的其它哈希值是不可行的。
13、将所述公钥证书发送到需要与本节点通信的节点,当有其它节点要求通信时,本节点就把当前周期对应的公钥证书发送给其它节点。
本实施例还提供一种密钥验证方法,如图2所示,该方法包括:
21、接收所述需要与本节点通信的节点发送的公钥证书,所述公钥证书为需要与本节点进行通信的节点按照更新周期进行强制更新后的公钥证书。
22、验证所接收到的公钥证书的有效性。
23、在所接收到的公钥证书有效的情况下进行后续通信交互。
对应于上述密钥管理方法,本实施例提供一种密钥管理装置,如图3所示,包括:处理单元31、生成单元32和发送单元33。
其中处理单元31用于确定更新周期以及每个更新周期对应的哈希值,根据当前周期找到对应的哈希值。生成单元32用于在每个更新周期内利用所对应的哈希值生成公钥证书,根据哈希值计算出一个参数,并将这个参数与其它必要参数一起组成当前周期对应的公钥证书。每个周期都生成一个对应的公钥证书。发送单元33用于将所述公钥证书发送到需要与本节点通信的节点。
对应于上述密钥验证方法,本实施例提供一种密钥验证装置,如图4所示,包括:接收单元41、验证单元42和通信单元43。
其中,接收单元41用于接收所述需要与本节点通信的节点发送的公钥证书,所述公钥证书为需要与本节点通信的节点按照更新周期进行强制更新后的公钥证书;验证单元42用于验证所接收到的公钥证书的有效性;通信单元43用于在所接收到的公钥证书有效的情况下进行后续通信交互。
本发明实施例提供的密钥管理、密钥验证的方法及装置,将每个周期与一个哈希值相对应,每个周期都利用对应哈希值强制重新生成一个公钥证书,实现一周期对应一个公钥证书,并且每个周期内都要对该周期对应的公钥证书进行验证。由于在这种开放的网络环境中存在很多不安全因素,节点的主密钥有可能会被恶意节点截获,用来伪造合法节点的公钥证书,威胁网络应用安全。为了解决这些安全问题,本发明利用不同的哈希值在每周期强制更新公钥证书的方法,使节点的公钥证书不断变化,增强公钥证书管理的安全性,更好地抵御恶意节点的攻击。
实施例2
本实施例提供一种密钥管理、密钥验证的方法,如图5所示,本实施例密钥管理、验证的方法的步骤如下:
离线系统管理机构(SMO,System Management Organization)在有限域Fp上选取椭圆曲线Ep(a,b):y2=x3+ax+b。其中p为一个大素数,a、b均属于Fp;G为椭圆曲线上的一个基点(base point),其阶为素数q,离线系统管理机构在[1,q-1]的范围内选择自己的主私有密钥nA,计算主公有密钥PA=nA*G。离线系统管理机构将上述公共参数a、b、q和G公开。
501、节点首先确定自身参数,所述参数包括:节点随机选择自己的主私有密钥(简称主私钥)xN,计算对应的主公开密钥(简称主公钥)YN=xNG;选择无碰撞单向哈希函数h以及随机数r,计算一个长度为n(由节点自己定)的单向哈希链H:{hn(r),hn-1(r),......,h2(r),h(r)}以及身份链L:{hn(r)G,hn-1(r)G,......,h2(r)G,h(r)G},并将单向哈希链H保密。
上述哈希值的计算方法为:hi(r)=hi[hi-1(r)],i=1,2,......,n。
502、节点将上述参数中的YN、n、hn(r)和L发送给离线系统管理机构。
503、离线系统管理机构接收节点发送的参数,为该节点设定其在任务中的角色身份及相应的权限,为该节点指定一个角色身份IDN;根据任务的长度为该任务设定n个更新周期,每个更新周期的时长为T,并为该节点指定一个公钥证书的启用时刻st,从而形成节点的完整参数组m=(IDN,YN,n,hn(r),L,T,st)。
离线系统管理机构为参数组m签名,签名过程为:节点随机选择一个正整数k,将上述的基点G乘以k得到一个坐标点(x,y),然后利用坐标点中横坐标x和上述基点G的阶q计算出g,g=x mod q(mod为取余函数,即:取x除以q所得的余数),同时利用摘要函数计算参数组m的消息摘要值,并将计算所得的摘要值转换成整数e。再利用上述摘要值e、离线系统管理机构的主私有密钥nA、g和基点G的阶q计算出s=k-1(e+nAg)mod q,从而构造出元证书CSN=(g,s,m),通过安全渠道发送给节点。
504、节点接收离线系统管理机构签发的元证书CSN,该元证书包括上述g、s以及参数组m,并为每个更新周期分配与该周期对应的哈希值。
505、节点判断是否到达一个新的更新周期,如果到达一个新的更新周期,则执行步骤506;否则执行步骤505。
506、确定当前更新周期i,并查找当前更新周期对应的哈希值hn-i(r)和下一更新周期对应的哈希值hn-i-1(r),将所查找到的两个哈希值与本节点的主私有密钥xN相加得到子私有密钥xN’。在第n-1个周期,所述下一周期对应的哈希值即为r。
在此处,为了更好的保证通信的安全,在计算子私有密钥时,加入一个随机数c的计算,即:xN’=xN+hn-i(r)+hn-i-1(r)+c。
507、计算与所述的子私有密钥对应的子公有密钥YN’,即:YN’=xN’*G。并计算下一周期身份链对应的值Ln-i-1=hn-i-1(r)*G,对应随机数c计算一个附加值V,这里V=c*G。
508、生成本节点的公钥证书CertN,该公钥证书包括本节点身份信息IDN、子公有密钥YN’、元证书CSN、当前的更新周期i、对应的哈希值hn-i(r)、下一周期身份链对应的值Ln-i-1和附加值V。即:CertN=(IDN,YN’,CSN,i,hn-i(r),Ln-i-1,V)。
509、判断是否有需要与本节点通信的其它节点,如果有需要进行通信的其它节点则执行步骤510;否则执行步骤505。
510、将所述公钥证书CertN发送到需要与本节点通信的节点,并接收对方节点的公钥证书。设本节点为A,需要与本节点通信的节点为B。
511、判断通信两节点双方是否为第一次通信交互,当进行第一次通信交互时执行步骤512;否则执行步骤513。
512、节点A与节点B互相验证对方的元证书CSN是否为离线系统管理机构所签发的:首先利用摘要函数计算对方节点元证书中参数组m的消息摘要值,并转成整数e,计算w=s-1mod q,u1=ew mod q,u2=gw mod q;令椭圆曲线上的点(x’,y’)=u1*G+u2*PA,其中PA为上述离线系统管理机构的主公有密钥,通过上式可以得到横坐标x’,验证计算出的横坐标x’=g,等式成立,则此验证通过。
514、节点A与节点B互相验证对方节点的子公有密钥YN’是否为当前更新周期生成的子公有密钥:首先查找所述身份链中与当前更新周期对应的值Ln-i和下一更新周期对应的值Ln-i-1,以及公钥证书中的V,对方节点的YN,计算YN’=YN+Ln-i+Ln-i-1+V,等式是否成立,成立则通过此验证。
515、判断是否三次验证全都通过,如果三次验证都通过则两节点进行后续通信交互;否则结束流程。
注1:在双方节点通信的过程中,会遇到某节点需要临时撤销其公钥证书的情况,撤销的方法包括两种情况:
第一,当网络连接可靠、通畅的情况下,需要撤销公钥证书的节点可以通过发送公钥证书撤销消息来达到目的。
第二,当网络连接不可靠或者不通畅的情况下,需要撤销公钥证书的节点可以停止发布下一周期对应的哈希值,达到在下一周期撤销公钥证书的目的。假设当前周期为i,节点停止发布hn-i-1(r),则对方节点在验证时,无法通过第三个验证,也就是步骤514,从而实现了在第i+1周期撤销公钥证书。
注2:离线系统管理机构是针对某项任务而赋予节点角色身份并签发元证书的,因此在该项任务结束的时候,需要及时收回节点对元证书的使用权,阻止节点对相应公钥证书的非法使用。
在签发元证书时,离线系统管理机构将每个更新周期都与节点自己确定的哈希链中的哈希值一一反向对应(对应情况如图6所示),当所有哈希值全都被用过以后,即使再到达新的更新周期,也已经没有哈希值与其对应,此时元证书失效,不能再生成新的公钥证书。
对应于上述密钥管理、密钥验证方法,本实施例还提供一种密钥管理、密钥验证的装置,如图7所示,包括:处理单元71、生成单元72、发送单元73、接收单元74、验证单元75和通信单元76。
其中所述处理单元71用于确定更新周期以及每个更新周期对应的哈希值。处理单元71包括发送模块711和接收模块712;发送模块711用于向离线系统管理机构自身确定参数中的YN、n、hn(r)和L。接收模块712用于接收离线系统管理机构签发的元证书,该元证书包括参数g、s以及参数组m(IDN,YN,n, hn(r),L,T,st)。
生成单元72用于在每个更新周期内利用所对应的哈希值生成公钥证书,包括:查找模块721、第一计算模块722、第二计算模块723和公钥证书生成模块724;查找模块721用于确定当前更新周期i,并查找当前更新周期对应的哈希值hn-i(r)和下一更新周期对应的哈希值hn-i-1(r)。第一计算模块722用于将所查找到的两个哈希值与本节点的主私有密钥xN相加得到子私有密钥xN’。第二计算模块723用于计算与所述的子私有密钥对应的子公有密钥YN’,即:YN’=xN’*G,并计算下一周期身份链对应的值Ln-i-1=hn-i-1(r)*G,对应随机数c的附加值V=c*G。生成模块724用于生成本节点的公钥证书,CertN=(IDN,YN’,CSN,i,hn-i(r),Ln-i-1,V)。
发送单元73用于将所述公钥证书发送到需要与本节点通信的节点。接收单元74用于接收所述需要与本节点通信的节点发送的公钥证书。
验证单元75用于验证所接收到的公钥证书的有效性,包括:第一验证模块751、第二验证模块752以及第三验证模块753。其中,所接收到的公钥证书包括元证书、子公有密钥、当前的更新周期以及对应的哈希值、以及由基点与哈希链运算得出的身份链;
第一验证模块751用于验证元证书CSN是否为离线系统管理机构所签发的,该第一验证模块751又包括:第二计算模块,用于根据所述元证书和离线系统管理机构的主公有密钥计算元证书的特征参数;第二判断模块,用于判断计算出的特征参数与接收到的元证书中的特征参数是否相等;第二输出模块,用于当计算出的特征参数与接收到的元证书中的特征参数相等时,输出所接收到的公钥证书有效的结果;
第二验证模块752用于验证公钥证书CertN在当前更新周期i是否有效,第三计算模块,用于计算当前实际时间对应的更新周期;第四计算模块,用于对接收到的当前的更新周期对应哈希值进行哈希运算,所述哈希运算的次数与当前的更新周期对应;第三判断模块,用于判断计算出的更新周期与接收到的更新周期是否相等,经过哈希运算后的哈希值与元证书的哈希链中最后一个哈希值是否相等;第三输出模块,用于在所述判断结果均为相等时,输出所接收到 的公钥证书有效的结果;
第三验证模块753用于验证所接收到的主公共密钥是否为节点N在当前更新周期的公钥证书,该第三验证模块753又包括:查找模块,用于查找所述身份链中与当前更新周期对应的值Ln-i和下一更新周期对应的值Ln-i-1,以及公钥证书中的V,对方节点的YN;第一计算模块,用于计算YN’=YN+Ln-i+Ln-i-1+V;第一判断模块,用于判断相加的结果是否与所述子公有密钥相等;第一输出模块,用于当所述相加的结果与所述子公有密钥相等时,输出所接收到的公钥证书有效的结果。
通信单元76用于在所接收到的公钥证书有效的情况下进行通信交互。
本发明实施例提供的密钥管理、密钥验证的方法及装置,将更新周期与哈希链中的哈希值反向对应,每个周期都利用对应哈希值强制重新生成一个公钥证书,实现一周期对应一个公钥证书,并且每个周期内都要对该周期对应的公钥证书进行验证。由于在这种开放的网络环境中存在很多不安全因素,节点的主密钥有可能会被恶意节点截获,用来伪造合法节点的公钥证书,威胁网络应用安全,为了解决这些安全问题,本发明实施例利用不同的哈希值在每周期强制更新公钥证书的方法,使节点的公钥证书不断变化,而且由于计算中所采用的单向哈希链中哈希值之间存在单向性,假设恶意节点截获了当前周期的哈希值,并且知道哈希函数,但是由于本发明实施例中公钥证书的更新周期与哈希链中的哈希值是反向对应的(即,第一周期对应哈希链中最后一个哈希值,最后一个周期对应哈希链中第一个哈希值),因此恶意节点不能通过计算得到下一周期对应的哈希值,也就无法伪造当前周期的公钥证书,以增强公钥证书管理的安全性,并且在计算中加入哈希值的同时,还引入了一个随机数,使恶意节点破获公钥证书信息更具难度,更好地抵御恶意节点的攻击。当一次通信是针对某项任务时,由于本实施例离线系统管理机构在生成元证书时将公钥证书的更新周期与哈希值绑定使它们一一对应,当哈希值使用完后,元证书自动失效,不能生成新的公钥证书,避免节点在任务完成后仍然使用该针对任务的元证书生成公钥证书。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可 以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种密钥管理方法,其特征在于,包括:
确定更新周期以及每个更新周期对应的哈希值;
在每个更新周期内,利用所述更新周期对应的哈希值生成公钥证书,并将所述公钥证书发送到需要与本节点通信的节点;
所述确定更新周期以及每个更新周期对应的哈希值的步骤包括:
确定节点参数,所述节点参数包括该节点的主公开密钥、哈希链的长度、哈希链中最后一个哈希值以及由基点与哈希链运算得出的身份链;
向离线系统管理机构发送所述节点参数;
接收离线系统管理机构签发的元证书,该元证书包括所述节点参数以及由离线系统管理机构确定的节点身份信息、更新周期;
为每个更新周期分配与其对应的哈希值;
所述在每个更新周期内利用所对应的哈希值生成公钥证书的步骤包括:
查找当前更新周期对应的哈希值和下一更新周期对应的哈希值;
利用所查找到的两个哈希值和本节点的主私有密钥计算得到子私有密钥;
计算与所述的子私有密钥对应的子公有密钥;
生成本节点的公钥证书,该公钥证书包括本节点身份信息、所述元证书、子公有密钥、当前的更新周期以及对应的哈希值。
2.根据权利要求1所述的密钥管理方法,其特征在于,所述每个哈希值在生成公钥证书时允许使用一次。
3.根据权利要求1所述的密钥管理方法,其特征在于,当需要停止通信时,在下一个更新周期内不生成新的公钥证书。
4.一种密钥验证方法,其特征在于,包括:
接收需要与本节点通信的节点发送的公钥证书,所述公钥证书为需要与本节点通信的节点按照更新周期利用所述更新周期对应的哈希值更新后的公钥证书;
验证所接收到的公钥证书的有效性;
在所接收到的公钥证书有效的情况下进行后续通信交互;
所接收到的公钥证书至少包括附加值、元证书、子公有密钥、当前的更新周期以及对应的哈希值,该公钥证书还包括将基点与哈希链运算得出的身份链;
所述验证所接收到的公钥证书的有效性的步骤包括:
计算当前实际时间对应的更新周期;
对接收到的当前的更新周期对应哈希值进行哈希运算,所述哈希运算的次数与当前的更新周期对应;
判断计算出的更新周期与接收到的更新周期是否相等,经过哈希运算后的哈希值与元证书的哈希链中最后一个哈希值是否相等;
在所述判断结果均为相等时,则确定所接收到的公钥证书在当前更新周期有效;
所述验证所接收到的公钥证书的有效性的步骤还包括:
查找所述身份链中与当前更新周期对应的值和与下一更新周期对应的值;
将在所述身份链中查找到的两个值与所述需要与本节点通信的节点的主公有密钥及所述公钥证书中的附加值相加;
判断相加的结果是否与所述子公有密钥相等;
如果所述相加的结果与所述子公有密钥相等,则确定所述子公有密钥为所述需要与本节点通信的节点在当前更新周期生成的子公有密钥。
5.根据权利要求4所述的密钥验证方法,其特征在于,当通信两节点进行第一次通信交互时,所述验证所接收到的公钥证书的有效性的步骤还包括:
根据所述元证书和离线系统管理机构的主公有密钥计算元证书的特征参数;
判断计算出的特征参数与接收到的元证书中的特征参数是否相等;
如果计算出的特征参数与接收到的元证书中的特征参数相等,则确定所述需要与本节点通信的节点的元证书为所述离线系统管理机构签发的。
6.一种密钥管理装置,其特征在于,包括:
处理单元,用于确定更新周期以及每个更新周期对应的哈希值;
生成单元,用于在每个更新周期内利用所对应的哈希值生成公钥证书;
发送单元,用于在每个更新周期内将所述生成单元生成的所述公钥证书发送到需要与本节点通信的节点;
所述处理单元包括:
确定模块,用于确定节点参数,所述节点参数包括该节点的主公开密钥、哈希链的长度、哈希链中最后一个哈希值;
发送模块,用于向离线系统管理机构发送所述节点参数;
接收模块,用于接收离线系统管理机构签发的元证书,该元证书包括所述节点参数以及由离线系统管理机构确定的节点身份信息、更新周期;
分配模块,用于为每个更新周期分配与其对应的哈希值;
所述生成单元包括:
查找模块,用于查找当前更新周期对应的哈希值和下一更新周期对应的哈希值;
第一计算模块,用于利用所查找到的两个哈希值和本节点的主私有密钥计算得到子私有密钥;
第二计算模块,用于计算与所述的子私有密钥对应的子公有密钥;
生成模块,用于生成本节点的公钥证书,该公钥证书包括本节点身份信息、所述元证书、子公有密钥、当前的更新周期以及对应的哈希值。
7.一种密钥验证装置,其特征在于,包括:
接收单元,用于接收需要与本节点通信的节点发送的公钥证书,所述公钥证书为需要与本节点通信的节点按照更新周期利用所述更新周期对应的哈希值更新后的公钥证书;
验证单元,用于验证所接收到的公钥证书的有效性;
通信单元,用于在所接收到的公钥证书有效的情况下进行后续通信交互;
所接收到的公钥证书包括附加值、元证书、子公有密钥、当前的更新周期以及对应的哈希值,该公钥证书还包括将基点与哈希链运算得出的身份链;
所述验证单元包括:
第三计算模块,用于计算当前实际时间对应的更新周期;
第四计算模块,用于对接收到的当前的更新周期对应哈希值进行哈希运算,所述哈希运算的次数与当前的更新周期对应;
第三判断模块,用于判断计算出的更新周期与接收到的更新周期是否相等,经过哈希运算后的哈希值与元证书的哈希链中最后一个哈希值是否相等;
第三输出模块,用于在所述判断结果均为相等时,输出所接收到的公钥证书在当前更新周期有效的结果;
所述验证单元还包括:
查找模块,用于查找所述身份链中与当前更新周期对应的值和与下一更新周期对应的值;
第一计算模块,用于将在所述身份链中查找到的两个值与所述需要与本节点通信的节点的主公有密钥及所述公钥证书中的附加值相加;
第一判断模块,用于判断相加的结果是否与所述子公有密钥相等;
第一输出模块,用于当所述相加的结果与所述子公有密钥相等时,输出所述子公有密钥为所述需要与本节点通信的节点在当前更新周期生成的子公有密钥的结果。
8.根据权利要求7所述的密钥验证装置,其特征在于,所述验证单元还包括:
第二计算模块,用于当通信两节点进行第一次通信交互时,根据所述元证书和离线系统管理机构的主公有密钥计算元证书的特征参数;
第二判断模块,用于判断计算出的特征参数与接收到的元证书中的特征参数是否相等;
第二输出模块,用于当计算出的特征参数与接收到的元证书中的特征参数相等时,输出所述需要与本节点通信的节点的元证书为所述离线系统管理机构签发的结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200810226006 CN101729248B (zh) | 2008-11-03 | 2008-11-03 | 密钥管理、密钥验证的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200810226006 CN101729248B (zh) | 2008-11-03 | 2008-11-03 | 密钥管理、密钥验证的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101729248A CN101729248A (zh) | 2010-06-09 |
CN101729248B true CN101729248B (zh) | 2013-01-09 |
Family
ID=42449529
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200810226006 Expired - Fee Related CN101729248B (zh) | 2008-11-03 | 2008-11-03 | 密钥管理、密钥验证的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101729248B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102625188B (zh) * | 2011-01-27 | 2014-03-19 | 航天信息股份有限公司 | 一种节目的播放方法和系统 |
CN103227936B (zh) * | 2012-01-31 | 2016-09-14 | 航天信息股份有限公司 | 一种播放时移节目的方法、服务端和用户端 |
CN104408206A (zh) * | 2014-12-23 | 2015-03-11 | 许昌学院 | 分布式支持向量聚类的方法及系统 |
CN105007277A (zh) * | 2015-07-30 | 2015-10-28 | 浪潮电子信息产业股份有限公司 | 一种生成用户证书的方法及一种web应用 |
CN106130718B (zh) * | 2016-06-29 | 2019-05-21 | 谈建 | 一种数字记录的签名数据生成方法和验证方法 |
CN110896390B (zh) * | 2018-09-12 | 2021-05-11 | 华为技术有限公司 | 一种发送消息的方法、验证消息的方法、装置及通信系统 |
CN109194476B (zh) * | 2018-09-28 | 2020-08-25 | 中国科学技术大学 | 安全高效的线上线下组密钥分发方法 |
CN113221130A (zh) * | 2021-01-28 | 2021-08-06 | 武汉大学 | 一种面向食品安全物联网的无证书在线离线签名方法及介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1826984A1 (en) * | 2006-02-28 | 2007-08-29 | Hitachi, Ltd. | Encrypted communication |
CN101146126A (zh) * | 2006-09-14 | 2008-03-19 | 索尼株式会社 | 无线通信系统、无线通信装置及其认证方法、以及程序 |
-
2008
- 2008-11-03 CN CN 200810226006 patent/CN101729248B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1826984A1 (en) * | 2006-02-28 | 2007-08-29 | Hitachi, Ltd. | Encrypted communication |
CN101146126A (zh) * | 2006-09-14 | 2008-03-19 | 索尼株式会社 | 无线通信系统、无线通信装置及其认证方法、以及程序 |
Non-Patent Citations (1)
Title |
---|
黄梅荪等.基于离线证书签发的分布式MANET公钥管理.《计算机工程》.2006,第32卷(第7期),第138-139页,第148页. * |
Also Published As
Publication number | Publication date |
---|---|
CN101729248A (zh) | 2010-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101729248B (zh) | 密钥管理、密钥验证的方法及装置 | |
Zhang et al. | PA-CRT: Chinese remainder theorem based conditional privacy-preserving authentication scheme in vehicular ad-hoc networks | |
CN108964919B (zh) | 基于车联网的具有隐私保护的轻量级匿名认证方法 | |
Zhong et al. | Efficient conditional privacy-preserving and authentication scheme for secure service provision in VANET | |
CN102170352B (zh) | 使用具有温特尼茨单次签名的ecdsa的方法 | |
Van Herrewege et al. | CANAuth-a simple, backward compatible broadcast authentication protocol for CAN bus | |
Aman et al. | A light-weight mutual authentication protocol for IoT systems | |
US8526606B2 (en) | On-demand secure key generation in a vehicle-to-vehicle communication network | |
CN102983971B (zh) | 网络环境中进行用户身份认证的无证书签名方法 | |
Nicolosi et al. | Proactive Two-Party Signatures for User Authentication. | |
CN112583596B (zh) | 一种基于区块链技术的完全跨域身份认证方法 | |
CN101969377B (zh) | 零知识身份认证方法和系统 | |
JP2008312213A (ja) | 認証方法及び装置 | |
WO2006093583A2 (en) | Method for zero-knowledge authentication of a prover by a verifier providing a user-selectable confidence level and associated application devices | |
CN103765809A (zh) | 隐式认证的公钥 | |
CN113300836B (zh) | 一种基于区块链和ecc的车载网络报文认证方法及系统 | |
CN108337092B (zh) | 用于在通信网络中执行集体认证的方法和系统 | |
CN107370599B (zh) | 一种远程销毁私钥的管理方法、装置和系统 | |
CN105721153A (zh) | 基于认证信息的密钥交换系统及方法 | |
Shim | Reconstruction of a secure authentication scheme for vehicular ad hoc networks using a binary authentication tree | |
CN110545175A (zh) | 一种针对充电桩与电动汽车通信协议的安全认证方法 | |
Kaur et al. | A secure, lightweight, and privacy-preserving authentication scheme for V2G connections in smart grid | |
Bellare et al. | Deterring certificate subversion: efficient double-authentication-preventing signatures | |
CN115345618B (zh) | 基于混合后量子数字签名的区块链交易验证方法及系统 | |
Abdelfatah et al. | Secure VANET authentication protocol (SVAP) using Chebyshev chaotic maps for emergency conditions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130109 Termination date: 20151103 |
|
EXPY | Termination of patent right or utility model |