带有时间标记的自认证方法
技术领域
本发明涉及一种数据通信的认证方法。特别是涉及一种数据加密解密方式、通信双方自认证、自认证更新的带有时间标记的自认证方法。
背景技术
云计算(Cloud Computing)通过互联网和虚拟化技术将分散的信息、软硬件平台等资源和服务集中共享,并根据需求以动态伸缩的方式向用户提供服务。用户通过终端特别是移动终端向服务商获取资源。在享受云计算提供便利的同时,由于云计算的共享特性及其复杂的结构,使得隐私数据的安全性这一传统问题变得更加紧迫,数据加密与认证成为解决当前云计算下海量数据安全的关键。在网络普及的今天,用户享受数据多元化的同时,也面临着数据安全性的挑战,其实伴随着数据的产生,数据加密手段也应运而生。
数据加密是解密数据安全的一种手段。数据加密是指通过一定的加密算法和加密密钥将明文转变成密文,对数据隐蔽,解密则是相反的过程。加密方法通常分为两种:对称加密和非对称加密。所谓对称,就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则,规定如何进行加密和解密。因此对称式加密本身不是安全的。非对称加密方式加解密密钥不同,解决了密钥传递的问题。
在以PKI为代表的非对称密钥体系中,公钥获得与认证通过第三方的CA实现,存在系统风险和对网络资源的负担,因此双方的通信需要一种自认证的手段,如专利ZL200510002156.4所提出的组合公钥方法等。然而组合公钥方法不能实现对实体密钥的期限的管理。因为实体的消亡使得密钥的存在成为浪费,因此需要对实体密钥设置有效期,以便对密钥按规则进行处理。
密钥的管理问题是解决云计算安全的关键问题,不依赖于第三方的密钥产生和传输,不仅能够解决密钥的安全管理还能降低密钥传输过程中云计算的功耗,也就是说用户双方的交流是自认证的过程。自认证功能是指在认证和加密过程中,密钥的交换过程不需要经过第三方,类似于CA中心这样的机构,而是在事件交流的双方中进行。即发送方与接收方均可以根据对方提供的公开标识来自行确定相应的公钥,并对对方的私钥签名进行验证;另外,用户可根据任意其他用户的公开标识确定其公钥,利用该用户的公钥对数据进行加密和传输,从而实现了与特定用户之间的数据交互与共享。这些过程中,公钥的获得均不通过第三方来实现,从而减少了网络资源消耗,提高了数据加密与认证的安全性。
如图1所示的自认证密钥产生过程,实体将其唯一的标识信息传递给密钥产生中心(KGC),KGC对其ID信息进行某种变换,即图1中对应的密钥产生中心可产生用户的私钥。密钥产生中心在向实体传递其私钥的同时,还将公钥生成器传递给实体,这样用户在已知其它用户唯一标识信息的情况下,就可以通过公钥生成器生成其公钥,即公钥的获取不依赖于第三方,实现了自认证的过程。
自认证过程如图2:
(1)用户Alice利用其私钥及标识ID对信息进行加密,形成具有用户Alice签名的信息,即签名码;
(2)通过网络环境,将用户Alice的签名码传递给用户Bob,用户Bob根据用户A lice公开标识唯一ID查询其公钥,利用公钥完成签名码的认证过程;
(3)认证器若能恢复出信息m,则认证成功;否则认证失败。
自认证密钥的加解密数据
自认证体系的加解密可采用非对称和对称组合方式实现。对称加密方法速度快非对称速度慢,所有大数据用对称加密,而加密用的密钥用私钥加密封装。
一种可能的方案是数据加密采用对称加密算法,密码加密采用非对称算法。
具体如图3,加密过程:用户Alice将数据通过一对对称密钥在对称加密器获得加密之后的数据,由用户Bob的ID、公钥产生器获得的公钥对该对称密钥通过非对称加密方式加密,获得加密的密钥。
解密过程:用户Bob的私钥通过密码解密器获得加密的密密钥的明文,即解密数据的密码;数据的对称密钥作用于数据解密器获得解密的数据。
该方法有效的利用用户Bob的ID,通过公钥生成器生成公钥,利用该公钥加密对称密钥,利用用户Bob的私钥破解加密密钥,获得数据对称加密密码,进而获得数据明文。
将上述的密文信息加入时间标记,形成有时间的自认证体系。但其没有时间有效期的限定,当密钥一经分发就不可撤销,造成密钥资源浪费。同时还要占有大量的存储空间。
发明内容
本发明所要解决的技术问题是,提供一种能够解决自认证体系中密钥一经分发则不能回收问题的带有时间标记的自认证方法。
本发明所采用的技术方案是:一种带有时间标记的自认证方法,包括密钥生成过程和发送方与接收方之间自认证过程两部分,其中自认证过程是发送方与接收方之间进行带时间标记的认证分两部分完成,即有效期认证与标识认证;具体包括如下步骤:
(1)密钥生成中心根据发送方的ID产生发送方的公钥生成器和私钥;
(2)用密钥生成中心自身ID与发送方申请时间组合成带时间信息的密钥生成中心标识,产生相应的密钥生成中心公私钥对;
(3)用密钥生成中心公私钥对中的私钥加密发送方的ID和时间标记,形成发送方ID有效期第一密文;
(4)密钥生成中心将发送方的有效期和ID明文与ID有效期第一密文以及发送方公钥生成器和私钥打包,作为工具包一起发给发送方;
(5)发送方用自己的私钥将自己的ID与有效期加密,形成ID有效期第二密文,并将所述的有效期明文、ID有效期第二密文与ID有效期第一密文一起发送给接收方;
(6)同时进行有效期认证和标识认证。
密钥生成中步骤(2)中所述的时间标记包括申请时间与截止时间。
步骤(6)中所述的有效期认证是:接收方通过分解有效期和ID明文获得申请时间,将该申请时间与密钥生成中心的ID组合,形成带时间标识的密钥生成中心标识,由公钥生成器产生公钥,解密发送方发过来的ID有效期第一密文,如果解密数据与发送方的有效期和ID明文中的有效期一致,说明发送方发送了正确的有效期,完成了发送方有效期的认证,同时,接收方获得了有效期,如果发送方ID仍在有效期,相对应的发送方的私钥和公钥也在有效期,则进行后续通信;如果解密数据与有效期和ID明文中的有效期不一致,或不在发送方ID有效期内,则终止与发送方的通信。
步骤(6)中所述的标识认证是:接收方用步骤(5)中得到的有效期和ID明文,通过接收方的公钥生成器获得发送方的公钥,用来解密ID有效期第二密文,如果解密数据与发送方的有效期和ID明文中的ID一致,说明发送方的ID可信,完成了发送方ID标识的认证;如果解密数据与有效期明文中的ID不一致,则终止与发送方的通信。
本发明的带有时间标记的自认证方法,通过加解密过程,解决数据传递问题。通过双方的自认证过程,减少由于第三方的不稳定造成的数据丢失与安全隐患。另外通过对认证的更新过程,保证通信的有效性,避免资源的浪费。本发明解决了自认证密钥一经发布不可撤销的问题。通过加入有效期的标记,可将已分发的密钥到期自动作废,从而可转给其他人使用。对于比较高级的实体,密钥是始终在密钥体系之中的,即使当前实体不再使用该公钥,也不会分配给其他实体,这样是保证密钥失效后用户加密文件的解密问题。而对于低级实体的密钥则随有效期的结束而撤销,并且可分配给其他用户使用。
附图说明
图1是现有技术的自认证密钥体系;
图2是现有技术的自认证过程图;
图3是现有技术的数据加解密流程图;
图4是本发明的密钥生成流程示意图;
图5是本发明带有时间标记的自认证方法的流程图。
具体实施方式
下面结合实施例和附图对本发明的带有时间标记的自认证方法做出详细说明。
本发明的带有时间标记的自认证方法,利用ID和有效时间段标识产生公私钥对,密文通过非对称加密算法加密。与自认证方法类似,不过涉及到有效时间段的问题。有效时间主要是指用户使用密钥期限的问题,因为实体的消亡使得密钥的存在成为浪费,因此需要对实体密钥设置有效期。
本发明的带有时间标记的自认证方法,包括密钥生成过程和发送方与接收方之间自认证过程两部分,其中自认证过程是发送方与接收方之间进行带时间标记的认证分两部分完成,即有效期认证与标识认证;具体包括如下步骤:
(1)密钥生成中心(KGC)根据发送方的ID产生发送方的公钥生成器和私钥;
(2)用密钥生成中心自身ID与发送方申请时间组合成带时间信息的密钥生成中心标识,产生相应的密钥生成中心公私钥对(KeyKT);所述的时间标记包括申请时间与截止时间。
(3)用密钥生成中心公私钥对中的私钥加密发送方的ID和时间标记,形成发送方ID有效期第一密文;
(4)密钥生成中心将发送方的有效期和ID明文与ID有效期第一密文以及发送方公钥生成器和私钥打包,作为工具包一起发给发送方;
(5)发送方用自己的私钥将自己的ID与有效期加密,形成ID有效期第二密文,并将所述的有效期和ID明文、ID有效期第二密文与ID有效期第一密文一起发送给接收方;
(6)同时进行有效期认证和标识认证。
所述的有效期认证是:接收方通过分解有效期明文获得申请时间,将该申请时间与密钥生成中心的ID组合,形成带时间标识的密钥生成中心标识,由公钥生成器产生公钥,解密发送方发过来的ID有效期第一密文,如果解密数据与发送方的有效期和ID明文中的有效期一致,说明发送方发送了正确的有效期,完成了发送方有效期的认证,同时,接收方获得了有效期,如果发送方ID仍在有效期,相对应的发送方的私钥和公钥也在有效期,则进行后续通信;如果解密数据与有效期和ID明文中的有效期不一致,或不在发送方ID有效期内,则终止与发送方的通信。
所述的标识认证是:接收方用步骤(5)中得到的有效期明文,通过接收方的公钥生成器获得发送方的公钥,用来解密ID有效期第二密文,如果解密数据与发送方的有效期和ID明文中的ID一致,说明发送方的ID可信,完成了发送方ID标识的认证;如果解密数据与有效期明文中的ID不一致,则终止与发送方的通信。
通过以上两个方面,就实现了具有有效期的自认证密钥管理。当用户密钥到期后,系统不予认证,用户自动失去密钥。而失效的密钥则可重新分发给其他用户。
本发明的带有时间标记的自认证方法,对于有效时间的标定,KGC可根据用户的请求或中心的具体条件预先约定用户密钥的有效期。对于时间统一问题,整个体系均以标准时间校准,可通过北斗卫星、天文台电波以及GPS等设备调整,使得交互的用户在时间上达到一致。
总的来说,本发明的带有时间标记的自认证方法对每个用户加入了时间要素,使得密钥的启用与废止成为可能。解决了自认证体系中密钥一经分发则不能回收的问题。