CN105187213A - 一种计算机信息安全的方法 - Google Patents
一种计算机信息安全的方法 Download PDFInfo
- Publication number
- CN105187213A CN105187213A CN201510493369.5A CN201510493369A CN105187213A CN 105187213 A CN105187213 A CN 105187213A CN 201510493369 A CN201510493369 A CN 201510493369A CN 105187213 A CN105187213 A CN 105187213A
- Authority
- CN
- China
- Prior art keywords
- signature
- key
- proof
- credible platform
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种计算机信息安全的方法,该方法包括:通过输入生成密钥所需的安全参数信息来建立签名;基于所述签名,认证双方通过可信平台的密钥对进行身份认证。本发明提出的方法提高信任认证效率,减少第三方认证单元造成的系统瓶颈。
Description
技术领域
本发明涉及网络安全,特别涉及一种计算机信息安全的方法。
背景技术
随着网络技术的飞速发展,开放环境下的服务应用越来越普遍。用户只需将服务请求通过网络提交给服务中心,就可以透明地使用满足QoS要求的资源服务。为了有效地对服务平台进行安全管理,开放环境通常采用域来控制平台的安全边界。在域内部可以通过域内统一的管理单元对平台进行密钥分配、证书签发和访问控制等安全管理。但是,无法实现对于域外平台之间的信任关系鉴别和管理。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种计算机信息安全的方法,包括:
通过输入生成密钥所需的安全参数信息来建立签名;
基于所述签名,认证双方通过可信平台的密钥对进行身份认证。
优选地,所述输入生成密钥所需的安全参数,进一步包括:
签名实体创建安全参数n=pq,其中p,q为大素数;随机选择R0,R1,R2,S,Z∈QRn,其中QRn是同构群,输出签名实体公钥pkproof=(n,R0,R1,R2,S,Z)和私钥skproof=p;选择参与签名成员数量r,得到r个公钥组成的元组(pk1,pk2,…,pkr),其中包含了签名实体公钥pki=pkproof(1≤i≤r);
可信平台生成密钥对AK,并将其保存在寄存器中,密钥对AK包括AKp,AKs,然后选取散列函数Hash();
所述建立签名的步骤进一步包括:
根据所选取的散列函数生成可信平台的AKp非对称密钥k=Hash(AKp);
随机选取大随机数串组成序列集合X={x1,x2,…,xi,xi+1,…,xr|xk∈{0,1}*,1≤k≤r,k∈Z+}
利用私有密钥skproof求解xi,其中1≤i≤r;
签名实体得到的签名σ与可信平台中消息m的AK签名SIGNAK(m)一起发送给认证方:
σ=(AKp,pk1,pk2,…,pkr,v,x1,x2,…,xr)
Sigproof=(SIGNAK(m),σ)
所述认证双方通过可信平台的密钥对进行身份认证,进一步包括:
使用AKp对签名进行解密,与消息的散列值比对;根据签名实体发送的AKp和pk1,pk2,…,pkr使用签名生成中的等式重新认证等号两边是否相等,如果相等则认证成功,否则失败。
本发明相比现有技术,具有以下优点:
本发明提出了一种计算机信息安全的方法,提高信任认证效率,减少第三方认证单元造成的系统瓶颈。
附图说明
图1是根据本发明实施例的计算机信息安全的方法的流程图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种计算机信息安全的方法。图1是根据本发明实施例的计算机信息安全的方法流程图。
本发明采用可信计算远端认证方法进行平台在认证双方之间的信任关系的认证,提高信任认证效率,减少第三方认证单元造成的系统瓶颈。通过输入成员公钥,签名消息以及生成密钥所需的安全参数等信息建立签名。认证双方直接通过可信平台公/私钥对进行远端身份认证,减少了之前远端认证方法中的第三方认证机构和不必要的交互通信。可信计算平台下,远端认证方法包括了三个阶段,分别是初始化安全参数、签名生成、签名认证。
签名实体创建安全参数,参数n=pq(p,q为大素数)。随机选择R0,R1,R2,S,Z∈QRn,QRn是同构群,输出签名实体公钥pkproof=(n,R0,R1,R2,S,Z)和私钥skproof=p。根据安全性需求,选择参与签名成员数量r(r的数量影响计算复杂度),得到r个公钥组成的元组(pk1,pk2,…,pkr),其中包含了签名实体公钥pki=pkproof(1≤i≤r)。可信平台生成密钥对AK(AKp,AKs)并将其保存在寄存器中。选取散列函数Hash:{0,1}*→Zp。
1)生成非对称密钥:根据选取的散列函数生成可信平台的AKp非对称密钥k=Hash(AKp)
2)随机选取大随机数串组成序列集合X={x1,x2,…,xi,xi+1,…,xr|xk∈{0,1}*,1≤k≤r,k∈Z+}
g(x):X→{y1,y2,…,yi,yi+1,…,yr}
3)利用逐比特异或运算来完成计算,过程如下:
Ck,v(g(x1),g(x2),…,g(xr))=Ek(g(xr)⊕Ekg(xr-1)⊕Ekg(xr-2)⊕Ek(…⊕Ekg(x1)⊕v)…))
求解g(xi)的公式如下:
g(xi)=Ek(g(xi-1)⊕Ekg(xi-2)⊕Ek(…⊕Ekg(x1)⊕v)…))⊕Dk(g(xi+1)⊕Dkg(xi+2)⊕Dk(…Dkg(x1)⊕v)…))
其中Dk和Ek分别是非对称加密算法的加密/解密函数。最后,利用私有密钥skproof求解xi=g-1(xi)。
4)签名实体得到的签名σ与可信平台中消息m的AK签名SIGNAK(m)一起发送给认证方。
σ=(AKp,pk1,pk2,…,pkr,v,x1,x2,…,xr)
Sigproof=(SIGNAK(m),σ)
在签名验证阶段:
1)认证SIGNAK(m)签名的真实性使用AKp对签名进行解密,与消息的散列值比对。
EAKp(SIGNAK(m))m=Hash(m)
2)根据签名实体发送的AKp和pk1,pk2,…,pkr使用签名生成中的等式重新认证等号两边是否相等,如果相等则认证成功,否则失败。
服务平台远端认证过程由服务请求方发起认证申请。待认证服务平台的宿主根据自身所在域环境构建签名,同时可信平台完成身份认证密钥AK的生成。按照签名算法生成签名信息,并将其与AK签名证书和平台认证信息发送给服务请求方。服务请求方对签名真实性和签名身份合法性进行认证,完成服务平台认证过程。
认证过程的参与者包含了认证方、宿主、可信平台三个实体。整个认证过程分为两个阶段,可信平台与主机之间的签名与AK证书生成阶段,主机与认证方之间的可信请求和响应阶段。
1)认证方发起认证请求并发送给被认证方,被认证方向本机可信平台发送认证请求;
2)宿主根据所在域其他节点的可信平台公钥构成签名公钥,可信平台生成可信平台身份认证密钥AK和一对用于加密解密的公/私钥对(pki,ski);
3)可信平台发送认证密钥给宿主,宿主对随机选取的序列X进行计算;
4)利用可信平台本地加密解密算法求解xi,同时将可信平台中相应的验证字段发送给宿主;
5)根据可信平台传来的xi生成签名,将本地日志和经AK签名的验证字段与签名一起发送给认证方;
6)认证方根据AK签名认证可信平台合法性,认证签名身份可靠性,最后认证验证字段与本地日志完整性。根据认证结果确定认证方与被认证方的信任关系。
综上所述,本发明的方法提高信任认证效率,减少第三方认证单元造成的系统瓶颈。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (2)
1.一种计算机信息安全的方法,在属于不同域的平台中进行相互认证,其特征在于,包括:
通过输入生成密钥所需的安全参数信息来建立签名;
基于所述签名,认证双方通过可信平台的密钥对进行身份认证。
2.根据权利要求1所述的方法,其特征在于,所述输入生成密钥所需的安全参数,进一步包括:
签名实体创建安全参数n=pq,其中p,q为大素数;随机选择R0,R1,R2,S,Z∈QRn,其中QRn是同构群,输出签名实体公钥pkproof=(n,R0,R1,R2,S,Z)和私钥skproof=p;选择参与签名成员数量r,得到r个公钥组成的元组(pk1,pk2,…,pkr),其中包含了签名实体公钥pki=pkproof(1≤i≤r);
可信平台生成密钥对AK,并将其保存在寄存器中,密钥对AK包括AKp,AKs,然后选取散列函数Hash();
所述建立签名的步骤进一步包括:
根据所选取的散列函数生成可信平台的AKp非对称密钥k=Hash(AKp);
随机选取大随机数串组成序列集合X={x1,x2,…,xi,xi+1,…,xr|xk∈{0,1}*,1≤k≤r,k∈Z+}
利用私有密钥skproof求解xi,其中1≤i≤r;
签名实体得到的签名σ与可信平台中消息m的AK签名SIGNAK(m)一起发送给认证方:
σ=(AKp,pk1,pk2,…,pkr,v,x1,x2,…,xr)
Sigproof=(SIGNAK(m),σ)
所述认证双方通过可信平台的密钥对进行身份认证,进一步包括:
使用AKp对签名进行解密,与消息的散列值比对;根据签名实体发送的AKp和pk1,pk2,…,pkr使用签名生成中的等式重新认证等号两边是否相等,如果相等则认证成功,否则失败。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510493369.5A CN105187213B (zh) | 2015-08-12 | 2015-08-12 | 一种计算机信息安全的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510493369.5A CN105187213B (zh) | 2015-08-12 | 2015-08-12 | 一种计算机信息安全的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105187213A true CN105187213A (zh) | 2015-12-23 |
CN105187213B CN105187213B (zh) | 2018-05-22 |
Family
ID=54909068
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510493369.5A Active CN105187213B (zh) | 2015-08-12 | 2015-08-12 | 一种计算机信息安全的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105187213B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109302379A (zh) * | 2018-08-10 | 2019-02-01 | 深圳市佰仟金融服务有限公司 | 身份认证方法、装置、服务器及介质 |
CN113204757A (zh) * | 2021-04-30 | 2021-08-03 | 北京明朝万达科技股份有限公司 | 一种信息交互方法、装置和系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291396A (zh) * | 2011-08-01 | 2011-12-21 | 杭州信雅达数码科技有限公司 | 可信平台远程证明的匿名认证算法 |
CN102594558A (zh) * | 2012-01-19 | 2012-07-18 | 东北大学 | 一种可信计算环境的匿名数字证书系统及验证方法 |
CN104579676A (zh) * | 2013-10-17 | 2015-04-29 | 西门子公司 | 防篡改为设备的多个公钥提供多个数字证书的方法和系统 |
CN104660415A (zh) * | 2015-02-10 | 2015-05-27 | 郑州轻工业学院 | 移动云计算下多域间非对称群组密钥协商协议的方法 |
-
2015
- 2015-08-12 CN CN201510493369.5A patent/CN105187213B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102291396A (zh) * | 2011-08-01 | 2011-12-21 | 杭州信雅达数码科技有限公司 | 可信平台远程证明的匿名认证算法 |
CN102594558A (zh) * | 2012-01-19 | 2012-07-18 | 东北大学 | 一种可信计算环境的匿名数字证书系统及验证方法 |
CN104579676A (zh) * | 2013-10-17 | 2015-04-29 | 西门子公司 | 防篡改为设备的多个公钥提供多个数字证书的方法和系统 |
CN104660415A (zh) * | 2015-02-10 | 2015-05-27 | 郑州轻工业学院 | 移动云计算下多域间非对称群组密钥协商协议的方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109302379A (zh) * | 2018-08-10 | 2019-02-01 | 深圳市佰仟金融服务有限公司 | 身份认证方法、装置、服务器及介质 |
CN113204757A (zh) * | 2021-04-30 | 2021-08-03 | 北京明朝万达科技股份有限公司 | 一种信息交互方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105187213B (zh) | 2018-05-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111740828B (zh) | 一种密钥生成方法以及装置、设备、加解密方法 | |
WO2021042685A1 (zh) | 一种区块链的交易方法、装置及系统 | |
US8464058B1 (en) | Password-based cryptographic method and apparatus | |
US8589693B2 (en) | Method for two step digital signature | |
CN102594558B (zh) | 一种可信计算环境的匿名数字证书系统及验证方法 | |
CN106341232B (zh) | 一种基于口令的匿名实体鉴别方法 | |
US11223486B2 (en) | Digital signature method, device, and system | |
US20160127128A1 (en) | Management of cryptographic keys | |
US20110145585A1 (en) | System and method for providing credentials | |
CN110120939B (zh) | 一种基于异构系统的可否认认证的加密方法和系统 | |
US20060215837A1 (en) | Method and apparatus for generating an identifier-based public/private key pair | |
CN104270249A (zh) | 一种从无证书环境到基于身份环境的签密方法 | |
JPWO2008146667A1 (ja) | 匿名認証システムおよび匿名認証方法 | |
CN109510708A (zh) | 一种基于Intel SGX机制的公钥密码计算方法和系统 | |
Al-Riyami | Cryptographic schemes based on elliptic curve pairings | |
CN104168114A (zh) | 一种分布式的基于(k,n)门限证书加密方法及系统 | |
CN104821880A (zh) | 一种无证书广义代理签密方法 | |
CN104301108A (zh) | 一种从基于身份环境到无证书环境的签密方法 | |
CN109936456B (zh) | 基于私钥池的抗量子计算数字签名方法和系统 | |
CN106713349B (zh) | 一种能抵抗选择密文攻击的群组间代理重加密方法 | |
JP2022549070A (ja) | ブロックチェーン上に認証済みデータを格納するコンピュータにより実施される方法及びシステム | |
CN106850584B (zh) | 一种面向客户/服务器网络的匿名认证方法 | |
CN110519040B (zh) | 基于身份的抗量子计算数字签名方法和系统 | |
Ray et al. | An ECC based public key infrastructure usable for mobile applications | |
Ray et al. | Design of mobile-PKI for using mobile phones in various applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230608 Address after: F13, Building 11, Zone D, New Economic Industrial Park, No. 99, West Section of Hupan Road, Xinglong Street, Tianfu New District, Chengdu, Sichuan, 610000 Patentee after: Sichuan Shenhu Technology Co.,Ltd. Address before: No. 5, 1st Floor, Unit 1, Building 19, No. 177, Middle Section of Tianfu Avenue, High tech Zone, Chengdu, Sichuan, 610043 Patentee before: SICHUAN CINGHOO TECHNOLOGY Co.,Ltd. |