CN105610575A - 空间信息网跨域的端到端密钥交换方法 - Google Patents
空间信息网跨域的端到端密钥交换方法 Download PDFInfo
- Publication number
- CN105610575A CN105610575A CN201510607554.2A CN201510607554A CN105610575A CN 105610575 A CN105610575 A CN 105610575A CN 201510607554 A CN201510607554 A CN 201510607554A CN 105610575 A CN105610575 A CN 105610575A
- Authority
- CN
- China
- Prior art keywords
- bit string
- end points
- network endpoint
- interactive
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种空间信息网跨域的端到端密钥交换方法,主要解决现有技术在进行跨域的端到端密钥交换时存在的兼容性低、时延长及未考虑空间信息网周期性的问题。其实现方案是:1.请求网络端点和目标网络端点分别计算他们的交互式临时公钥,并发送相关信息给对方;2.请求网络端点和目标网络端点终止交互后,分别计算多个周期的自身的非交互式会话密钥,每一周期结束后,两者的会话密钥交换一次。本发明在不涉及各安全域安全体制的情况下,仅需要一次端到端的协议交互,就能支持周期性的多个会话密钥的非交互式协商,不仅保证了网络传输的安全性,而且可改变周期,以适应空间信息网的变化,可用于在空间信息网中实现信息跨域端到端的安全传输。
Description
技术领域
本发明属于无线通信技术领域,具体涉及一种端到端的密钥交换方法,可用于在空间信息网中实现信息跨域端到端的安全传输。
背景技术
随着航天技术的飞速发展,我国的空间信息网也在不断地建设和完善着。空间信息网是由具有空间通信能力的航天器,如卫星、航天飞机等和地面站组成的网络信息系统,它能够实现地面站与卫星、空间站之间的互联互通功能。它能把部署在不同轨道的、执行不同任务的各类卫星、飞行器等空间站和地面系统联系起来。同时,航空器,如飞机、热气球等也能够接入空间信息网。空间信息作为国家重要的空间信息基础设施,对于提高我国的国际地位,促进经济社会的发展,保障国家安全等许多方面,具有十分重大特殊的战略意义。对于转变经济发展方式、促进国家信息化建设、调整产业结构、提高社会生产效率、转变人民生活方式、提高大众生活质量,也具有重要意义。
由于空间信息网中空、天结点的暴露性及无线的通信方式使通信信号易受到截获、干扰、侵入等安全威胁,空、天结点甚至会受到攻击和摧毁,使得空间信息网络面临极大的安全威胁,无法实现基于空间信息网络的跨域协同操作。
未来空间信息网应用呈现多样性,将会遇到终端面向的环境不同、安全需求不同、安全机制不同等方面问题,空间信息网将涉及到多个安全域。安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的实体组成的网络。对于每一个安全域而言,至少存在一个代理结点用来实现代理结点与域内结点的安全关联以及域内结点间的安全关联。同时,代理结点也为安全域间或跨域结点间的安全提供支持。
如何保证不同域之间的端到端安全是空间信息网安全的主要问题之一,也是要实现异构多域环境下核心安全任务之一。
在2014年第九届InternationalConferenceonBroadbandandWirelessComputing,CommuccationandApplication中,会议论文《ASecureEnd-to-EndMobileChatScheme》中提出了一种安全的移动端到端传输方式。该传输方式通过密码的身份认证,为端到端之间提供相同的认证,从而阻止密码猜测攻击以及未被检测到的在线密码猜测攻击。这种方法可以保障不同安全域之间端到端传输的安全性,但是只针对于移动智能设备提出,适用于交互频繁的端到端操作,不能直接应用于空间信息网,因为其拓扑结构具有高动态性,端到端之间不适合频繁交互。
《InternationalJournalofSecurityandItsApplication》在2014年8月发表的《End-to-EndAuthenticationProtocolsforPersonal/PortableDevicesoverCognitiveRadioNetworks》一文针对端到端传输的安全性,提出了两种基于本地认证的协议,它使用本地信息认证作为安全凭证,减少了端与端之间的交互,并且该协议可以整合进现有的可扩展协议中来。这种方法在端到端传输过程中交互动作较少,满足空间信息网拓扑结构高动态性以及结点能力有限的特点,但是该方法只关注个人便携式设备以及在无线电网络中的应用,无法完成多个域间的安全协同,不适用于空间信息网中多安全域并存的状态。
2015年1月第12届IBCAST的会议记录《SecureEnd-to-EndSMSCommunicationoverGSMNetworks》一文提出了一种使用对称密钥和身份认证技术进行加密和密钥认证的方式,它可以在信息传输中断、泄漏以及被检测的情况下保障端到端的安全性。这种方法在端到端传输过程中需要的交互动作较少,同时延迟时间短,满足空间信息网结点距离远以及拓扑结构高动态性的特点,但是该仅限于特定的网络环境以及特定的网络服务,同时也未考虑空间信息网周期性运动的特点。
发明内容
本发明的目的在于克服上述现有技术的不足,提出一种空间信息网跨域端到端的密钥交换方法,以满足空间信息网的特点,保证其各个安全域之间的交互以及密钥交换的安全性。
为实现上述目的,本发明采用的技术方案包括以下步骤:
(1)请求网络端点C1作为发起者计算它的交互式临时公钥S1,并发送如下信息给目标网络端点C2:
请求网络端点C1的标识号IDC1,
空间信息网中的第一安全域代理A1的标识号IDA1,
目标网络端点C2的标识号IDC2,
空间信息网中的第二安全域代理A2的标识号IDA2,
请求网络端点C1的交互式临时公钥S1,
请求网络端点C1的密钥更新周期集合{P1},
请求网络端点C1的密钥签名SIGC1(IDC1,IDA1,IDC2,IDA2,S1),
空间信息网中的第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1};
(2)目标网络端点C2作为响应者,接收请求网络端点C1发送的信息,并通过第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1}验证签名的有效性,验证通过后,执行步骤(3);
(3)目标网络端点C2计算它的交互式临时公钥S2,并返回如下信息给请求网络端点C1:
发送目标网络端点C2的标识号IDC2,
空间信息网中的第二安全域代理A2的标识号IDA2,
请求网络端点C1的标识号IDC1,
空间信息网中的第一安全域代理A1的标识号IDA1,
目标网络端点C2的临时公钥S2,
目标网络端点C2的周期P,
目标网络端点C2的签名SIGC2(IDC2,IDA2,IDC1,IDA1,S2),
空间信息网中的第二安全域代理A2对目标网络端点C2产生的临时证书CAA2{C2};
(4)请求网络端点C1收到目标网络端点C2返回的信息后,根据第一安全域代理A1对请求网络端点C2产生的临时证书CAA2{C2}验证签名的有效性,完成交互式临时公钥对(S1,S2)的交换,验证通过后,执行步骤(5);
(5)请求网络端点C1和目标网络端点C2在得到交互式临时公钥对(S1,S2)后,终止交互过程,并分别对自身的非交互式会话密钥K1,K2进行多个周期的计算;
(6)在计算完最后一个周期的非交互式会话密钥对后,返回步骤(1),协商出新的交互式临时公钥对,并进行下一轮周期性的非交互式会话密钥对的更新。
本发明具有如下优点:
1)本发明使用公钥密码体制,在已有的安全基础上仅涉及空间信息网中的安全域代理和网络端点的公私钥对,不涉及安全域内的安全体制,可以满足空间信息网异构多安全域并存的特点;
2)本发明仅需要一次端到端的协议交互,并且该交互过程无安全域代理参与,可满足空间信息网拓扑结构高动态性以及空间结点能力有限的特点;
3)本发明支持周期性的多个会话密钥的非交互式协商,适用于空间信息网节点距离远的特点;
4)本发明的非交互式会话密钥交换属于周期性的自动完成密钥更新,适用于空间信息网拓扑结构周期性的特点。
综上,本发明在安全域代理和网络端点都使用公钥的前提下,其跨域的请求网络端点与目标网络端点可在无需安全域代理参与的情况下,仅需一次端到端的密钥对交换,就能支持周期性的多个会话密钥的非交互式协商。
附图说明
图1是本发明使用的网络模型;
图2是本发明使用的网络安全模型;
图3是本发明的实现总流程图;
图4是本发明交互式临时公钥对的子流程图;
图5是本发明中非交互式会话密钥对更新的子流程图。
具体实施方式
下面结合附图,对本发明作进一步详细的描述。
参照图1,本发明所适用的网络模型包括第一安全域1和第二安全域2这两个安全域。其中第一安全域1有第一安全域代理A1和第一网络端点C1:第二安全域2有第二安全域代理A2和第二网络端点C2。第一安全域代理A1与第二安全域代理A2已经建立安全关联,并且它们之间存在一个安全信道;第一安全域代理A1与第一网络端点C1已经建立安全关联,且存在一条安全信道;第二安全域代理A2与第二网络端点C2已经建立安全关联,且存在一条安全信道。
安全域是由在同一工作环境中、具有相同或相似的安全保护需求和保护策略、相互信任、相互关联或相互作用的实体组成的网络。对于每一个安全域而言,至少存在一个安全域代理用来实现安全域代理与域内网络端点的安全关联以及域内网络端点间的安全关联。同时,安全域代理也为安全域间或跨域网络端点间的安全提供支持。
参照图2,本发明所使用的安全网络模型如下:
假定第一安全域代理A1和第二安全域代理A2已经建立安全关联,且存在一个安全信道,它们之间完成双方公私钥对的交换。
假设每个域内的代理与网络端点之间已经建立关联,且存在一个安全信道。同时,每一个安全域代理和网络端点都生成一对公私钥,如第一安全域代理A1和第一网络端点C1的生成的公私钥对分别为(PKA1,SKA1)和(PKC1,SKC1),第二安全域代理A2和第二网络端点C2生成的公私钥对分别为(PKA2,SKA2)和(PKC2,SKC2)。安全域代理对每个网络端点生成一个临时证书,并将其它域的安全域代理的公钥发送给网络端点,如第一安全域代理A1产生第一网络端点C1的临时证书,即CAA1{C1},并将第二安全域代理A2的公钥信息(IDA2,PKA2)发送给第一网络端点C1。第二安全域代理A2产生第二网络端点C2的临时证书,即CAA2{C2},并将第一安全域代理A1的公钥信息(IDA1,PKA1)发送给第二网络端点C2。
参照图3,本发明在上述两个模型下进行空间信息网跨域端到端的密钥交换包括:参数初始化、端到端的交互式临时公钥对交换和周期性的非交互式会话密钥更新三部分。
一、参数初始化
步骤1、构造比特串集合Sn,并将比特串集合填充完整。
1a)初始化比特串集合Sn为空,即其中没有比特串:
1b)设置比特串集合Sn中的比特串的最大长度n,其中,n为大于0的整数;
1c)在空比特串集合Sn中添加第一个比特串S1=0;
1d)通过第一个比特串S1,使用字典序排列算法计算出其他比特串,依次填充到比特串集合Sn中:
1d1)在比特串集合Sn中取已填充的最后一个比特串S=b1b2…bl,l≦n;
1d2)构造一个下标集合Is{1≦i≦l:bi=0},其中,b是比特串S的比特位;
1d3)根据1d1)-1d2)计算下一个比特串S+,其计算方法是:
当l<n时,则下一个比特串S+=S||0,即在比特串S的最后一个比特位后面添加0;
当l=n时,如果比特串S=1n,即比特串S的n个比特位全是1,则比特串S已更新到最后一个,否则,设j为比特串S中最后一个比特位等于0的下标,则下一个比特串S+=b1.....bj-11;
1e)得到比特串S+后,重新按照步骤1d1)-1d3),计算下一个比特串,直到执行完m个周期,比特串集合Sn才能填充完毕,其中,m=2n+1-2。
步骤2、构造(n+1)级的多线性群其中,1≦m≦n+1。
步骤3、令比特串集合Sn中的每个比特串S在单个线性群中选取多线性生成元hs,将Gs表示线性群运算公式e(hs1,hs2,....hsl),其中,比特串S=b1b2…bl,l≦n,b是比特串S的比特位,Gs∈单个线性群同时从单个线性群的(n+1)阶中随机选取元素(g,g1,…,gn);
二、端到端的交互式临时公钥对交换
参照图4,本步骤的具体实现如下:
步骤4、请求网络端点C1作为发起者计算它的交互式临时公钥S1,它借鉴信息安全领域常用的Diffie-Hellman算法,按如下步骤计算:
4a)请求网络端点C1选取大素数q和其本原根g,其中,大素数q和其本原根g是两个公开的整数;
4b)请求网络端点C1选取一个随机整数x1作为临时私钥,其中x1<q,
4c)根据4a)和4b),得到交互式临时公钥:S1=gx1modq。
步骤5、请求网络端点C1发送如下信息给目标网络端点C2:
请求网络端点C1的标识号IDC1,
空间信息网中的第一安全域代理A1的标识号IDA1,
目标网络端点C2的标识号IDC2,
空间信息网中的第二安全域代理A2的标识号IDA2,
请求网络端点C1的交互式临时公钥S1,
请求网络端点C1的密钥更新周期集合{P1},
请求网络端点C1的密钥签名SIGC1(IDC1,IDA1,IDC2,IDA2,S1),
空间信息网中的第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1}。
步骤6、目标网络端点C2作为响应者,接收请求网络端点C1发送的信息,并通过第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1}验证签名的有效性。
6a)第二安全域代理A2向目标网络端点C2发送请求网络端点C1的公钥信息(IDC1,PKC1);
6b)目标网络端点C2在接收到请求网络端点C1发送的信息后,解析请求网络端点C1的临时证书CAA1{C1}=SIGA1(SN1,IDC1,PKC1,TA1),其中,SN1表示请求网络端点C1的临时证书索引号,TA1表示请求网络端点C1的临时证书有效时间,IDC1表示请求网络端点C1的标识号,PKC1表示请求网络端点C1的公钥,(IDC1,PKC1)表示请求网络端点C1的公钥信息;
6c)将第二安全域代理A2发送的公钥信息(IDC1,PKC1)与解析临时证书CAA1{C1}得到的公钥信息(IDC1,PKC1)进行对比,如果两者相同,验证通过,否则,验证失败;
如果验证通过,则执行步骤4,否则,目标网络端点C2不做任何响应。
步骤7、目标网络端点C2计算它的交互式临时公钥S2,它借鉴信息安全中常用的Diffie-Hellman算法,按如下步骤计算:
7a)目标网络端点C2选取大素数q和其本原根g,其中,大素数q和其本原根g与请求网络端点C1选取的相同;
7b)目标网络端点C2选取一个随机整数x2作为临时私钥,其中x2<q,
7c)根据7a)和7b),得到交互式临时公钥S2:gx2modq。
步骤8、目标网络端点C2发送如下信息给请求网络端点C1:
发送目标网络端点C2的标识号IDC2,
空间信息网中的第二安全域代理A2的标识号IDA2,
请求网络端点C1的标识号IDC1,
空间信息网中的第一安全域代理A1的标识号IDA1,
目标网络端点C2的临时公钥S2,
目标网络端点C2的周期P,
目标网络端点C2的签名SIGC2(IDC2,IDA2,IDC1,IDA1,S2),
空间信息网中的第二安全域代理A2对目标网络端点C2产生的临时证书CAA2{C2}。
步骤9、请求网络端点C1收到目标网络端点C2返回的信息后,根据第二安全域代理A2对目标网络端点C2产生的临时证书CAA2{C2}验证签名的有效性。
9a)第一安全域代理A1向请求网络端点C1发送目标网络端点C2的公钥信息(IDC2,PKC2);
9b)请求网络端点C1在接收到目标网络端点C2发送的信息后,解析目标网络端点C2的临时证书CAA2{C2}=SIGA2(SN2,IDC2,PKC2,TA2),其中,SN2表示目标网络端点C2的临时证书索引号,TA2表示目标网络端点C2的临时证书有效时间,IDC2表示目标网络端点C2的标识号,PKC2表示目标网络端点C2的公钥,(IDC2,PKC2)表示目标网络端点C2的公钥信息;
9c)将第一安全域代理A1发送的公钥信息(IDC2,PKC2)与解析临时证书CAA2{C2}得到的公钥信息(IDC2,PKC2)进行对比,如果两者相同,验证通过,否则验证失败。
三、周期性的非交互式会话密钥更新
参照图5,本步骤的具体实现如下:
步骤10、参数初始化完成后,每个周期使用比特串集合Sn中的一个比特串S构造线性群运算Gs,新的周期使用的比特串从比特串集合Sn中按顺序取得:
第一个周期T1:
比特串S=0,l=1,线性群运算公式Gs=e(h0),
请求目标端点C1计算非交互式会话密钥K11=e(Gs x1,g2,...,gn,S2),
目标网络端点C2计算非交互式会话密钥K21=e(Gs x2,g2,...,gn,S1);
第二个周期T2:
比特串S=00,l=2,线性群运算公式Gs=e(h0,h00),
请求网络端点C1计算非交互式会话密钥K12=e(Gs x1,g3,…,gn,S2),
目标网络端点C2计算非交互式会话密钥K22=e(Gs x2,g3,…,gn,S1);
第t个周期Tt:
比特串S=b1b2…bl,l<n,线性群运算公式Gs=e(hb1,hb1b2,....,hb1b2.....bl),
请求网络端点C1计算非交互式会话密钥K1t=e(Gs x1,gl+1,…,gn,S2)
目标网络端点C2计算非交互式会话密钥K2t=e(Gs x2,gl+1,…,gn,S1),其中,x1和x2分别为请求网络端点C1和目标网络端点C2选取的随机整数,gl+1,…,gn是从单个线性群的(n+1)阶中随机选取的元素,S1,S2分别是请求网络端点C1和目标网络端点C2的交互式会话密钥。
以此类推,最后一个周期Tm:
S=11...1,l=n,线性群运算公式Gs=e(h0,h00,....,h11....1),其中,m=2n+1-2,
请求网络端点C1计算非交互式会话密钥K1m=e(Gs x1,gx2)
目标网络端点C2计算非交互式会话密钥K2m=e(Gs x2,gx1)。
步骤11、在计算完最后一个周期的非交互式会话密钥对后,返回步骤1,协商出新的交互式临时公钥对,然后进行下一轮周期性的非交互式会话密钥对的更新。
以上描述仅是本发明的一个具体实例,不构成对本发明的任何限制,显然对于本领域的专业人员来说,在了解本发明内容和原理后,都可能在不背离本发明原理、结构的情况下,进行形式上和细节上的各种修正和改变,但是这些基于本发明思想的修正和改变在本发明的权利要求保护范围之内。
Claims (10)
1.一种空间信息网跨域的端到端密钥交换方法,包括如下步骤:
(1)请求网络端点C1作为发起者计算它的交互式临时公钥S1,并发送如下信息给目标网络端点C2:
请求网络端点C1的标识号IDC1,
空间信息网中的第一安全域代理A1的标识号IDA1,
目标网络端点C2的标识号IDC2,
空间信息网中的第二安全域代理A2的标识号IDA2,
请求网络端点C1的交互式临时公钥S1,
请求网络端点C1的密钥更新周期集合{P1},
请求网络端点C1的密钥签名SIGC1(IDC1,IDA1,IDC2,IDA2,S1)
空间信息网中的第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1};
(2)目标网络端点C2作为响应者,接收请求网络端点C1发送的信息,并通过第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1}验证签名的有效性,验证通过后,执行步骤(3);
(3)目标网络端点C2计算它的交互式临时公钥S2,并返回如下信息给请求网络端点C1:
发送目标网络端点C2的标识号IDC2,
空间信息网中的第二安全域代理A2的标识号IDA2,
请求网络端点C1的标识号IDC1,
空间信息网中的第一安全域代理A1的标识号IDA1,
目标网络端点C2的临时公钥S2,
目标网络端点C2的周期P,
目标网络端点C2的签名SIGC2(IDC2,IDA2,IDC1,IDA1,S2),
空间信息网中的第二安全域代理A2对目标网络端点C2产生的临时证书CAA2{C2};
(4)请求网络端点C1收到目标网络端点C2返回的信息后,根据第二安全域代理A2对目标网络端点C2产生的临时证书CAA2{C2}验证签名的有效性,完成交互式临时公钥对(S1,S2)的交换,验证通过后,执行步骤(5);
(5)请求网络端点C1和目标网络端点C2在得到交互式临时公钥对(S1,S2)后,终止交互过程,并分别对自身的非交互式会话密钥K1,K2进行多个周期的计算;
(6)在计算完最后一个周期的非交互式会话密钥对后,返回步骤(1),协商出新的交互式临时公钥对,并进行下一轮周期性的非交互式会话密钥对的更新。
2.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(1)计算交互式临时公钥S1是借鉴Diffie-Hellman算法,按如下步骤计算:
1a)请求网络端点C1选取大素数q和其本原根g,其中,大素数q和其本原根g是两个公开的整数;
1b)请求网络端点C1选取一个随机整数x1作为临时私钥,其中x1<q,
1c)根据1a)和1b),得到交互式临时公钥:S1=gx1modq。
3.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(2)中目标网络端点C2通过第一安全域代理A1对请求网络端点C1产生的临时证书CAA1{C1}验证签名的有效性,按如下步骤进行:
2a)第二安全域代理A2向目标网络端点C2发送的请求网络端点C1的公钥信息(IDC1,PKC1);
2b)目标网络端点C2在接收到请求网络端点C1发送的信息后,解析请求网络端点C1的临时证书CAA1{C1}=SIGA1(SN1,IDC1,PKC1,TA1),其中,SN1表示请求网络端点C1的临时证书索引号,TA1表示请求网络端点C1的临时证书有效时间,IDC1,PKC1表示请求网络端点C1的公钥信息;
2c)将第二安全域代理A2发送的公钥信息(IDC1,PKC1)与解析临时证书CAA1{C1}得到的公钥信息(IDC1,PKC1)进行对比,如果两者相同,验证通过,否则验证失败。
4.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(3)计算交互式临时公钥S2是借鉴Diffie-Hellman算法,按如下步骤计算:
3a)目标网络端点C2选取大素数q和其本原根g,其中,大素数q和其本原根g与请求网络端点C1选取的相同;
3b)目标网络端点C2选取一个随机整数x2作为临时私钥,其中x2<q,
3c)根据3a)和3b),得到交互式临时公钥S2:gx2modq。
5.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(4)中请求网络端点C1通过第二安全域代理A2对目标网络端点C2产生的临时证书CAA2{C2}验证签名的有效性,按如下步骤进行:
4a)第一安全域代理A1向请求网络端点C1发送的目标网络端点C2的公钥信息(IDC2,PKC2);
4b)请求网络端点C1在接收到目标网络端点C2发送的信息后,解析目标网络端点C2的临时证书CAA2{C2}=SIGA2(SN2,IDC2,PKC2,TA2),其中,SN2表示目标网络端点C2的临时证书索引号,TA2表示目标网络端点C2的临时证书有效时间,IDC2,PKC2表示目标网络端点C2的公钥信息;
4c)将第一安全域代理A1发送的公钥信息(IDC2,PKC2)与解析临时证书CAA2{C2}得到的公钥信息(IDC2,PKC2)进行对比,如果两者相同,验证通过,否则验证失败。
6.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(5)中请求网络端点C1和目标网络端点C2分别在多个周期内对自身的非交互式会话密钥K1,K2进行计算,按如下步骤进行:
5a)初始化参数
5a1)构造比特串集合Sn,根据比特串集合Sn中已存在的最后一个比特串S按照字典序排列算法得到下一个比特串S+,并生成(n+1)级的多线性群1≦m≦n+1,其中,比特串S的长度小于等于n比特,n为大于0的整数;
5a2)令比特串集合Sn中的每个比特串S在单个线性群中选取多线性生成元hs,将Gs表示线性群运算公式e(hs1,hs2,....hsl),其中,比特串S=b1b2…bl,l≦n,b是比特串S的比特位,Gs∈单个线性群同时从单个线性群的(n+1)阶中随机选取元素(g,g1,…,gn);
5b)参数初始化完成后,进行多个周期的计算,即将每一个周期按顺序使用比特串集合Sn中的比特串S,其中,S=b1b2…bl,l≦n:
第一个周期T1:比特串S=0,l=1,线性群运算公式Gs=e(h0),
请求目标端点C1计算非交互式会话密钥K11=e(Gs x1,g2,...,gn,S2),
目标网络端点C2计算非交互式会话密钥K21=e(Gs x2,g2,...,gn,S1)
第二个周期T2比特串S=00,l=2,线性群运算公式Gs=e(h0,h00),
请求网络端点C1计算非交互式会话密钥K12=e(Gs x1,g3,…,gn,S2),
目标网络端点C2计算非交互式会话密钥K22=e(Gs x2,g3,…,gn,S1);
第t个周期Tt:比特串S=b1b2…bl,l<n,线性群运算公式Gs=e(hb1,hb1b2,....,hb1b2.....bl),
请求网络端点C1计算非交互式会话密钥K1t=e(Gs x1,gl+1,…,gn,S2)
目标网络端点C2计算非交互式会话密钥K2t=e(Gs x2,gl+1,…,gn,S1)
其中,x1和x2分别为请求网络端点C1和目标网络端点C2选取的随机整数,gl+1,…,gn是从单个线性群的(n+1)阶中随机选取的元素,S1,S2分别是请求网络端点C1和目标网络端点C2的交互式临时公钥。
以此类推,最后一个周期Tm:S=11...1,l=n,线性群运算公式Gs=e(h0,h00,....,h11....1),其中,m=2n+1-2,
请求网络端点C1计算非交互式会话密钥K1m=e(Gs x1,gx2)
目标网络端点C2计算非交互式会话密钥K2m=e(Gs x2,gx1)。
7.根据权利要求2所述的空间信息网跨域的端到端密钥交换方法,其中步骤5a1)中构造比特串集合Sn,按如下步骤进行:
首先,初始化比特串集合Sn为空,即其中没有比特串:
接着,设置比特串集合Sn中的比特串的最大长度n,n为大于0的整数;
然后,在空比特串集合Sn中添加第一个比特串S1=0;
最后,通过比特串集合Sn中的第一个比特串S1,使用字典序排列算法计算出其他比特串,依次填充到比特串集合Sn中。
8.根据权利要求2所述的空间信息网跨域的端到端密钥交换方法,其中步骤5a1)中利用字典序排列算法在比特串集合Sn中通过已存在的最后一个比特串S得到下一个比特串S+,按如下步骤进行:
首先,在比特串集合Sn中取已存在的最后一个比特串S=b1b2…bl,l≦n;
然后,构造一个下标集合Is{1≦i≦l:bi=0},其中,b是比特串S的比特位,S是前一步取到的比特串;
最后,根据前两个步骤计算下一个比特串S+,其计算方法是:
当l<n时,则下一个比特串S+=S||0,即在比特串S的最后一个比特位后面添加0;
当l=n时,如果比特串S=1n,即比特串S的n个比特位全是1,则比特串S已更新到最后一个,否则,设j为比特串S中最后一个比特位等于0的下标,则下一个比特串S+=b1.....bj-11。
9.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中所述步骤(6)中关于协商出新的交互式临时公钥对,是指请求网络端点C1和目标网络端点C2在完成多个周期的非交互式会话密钥对的计算后,将前一个交互式临时公钥对作废,然后重新按照步骤(1)-(4)计算出新的交互式临时公钥对。
10.根据权利要求1所述的空间信息网跨域的端到端密钥交换方法,其中步骤(6)中进行下一轮周期性的非交互式会话密钥对的更新,是指请求网络端点C1和目标网络端点C2利用步骤(1)-(4)协商出的新的交互式临时公钥对,按照步骤(5)的方法重新计算非交互式会话密钥对,其中,步骤(5)包含多个周期,每个周期都要计算出一个非交互式会话密钥对。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510607554.2A CN105610575B (zh) | 2015-09-22 | 2015-09-22 | 空间信息网跨域的端到端密钥交换方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510607554.2A CN105610575B (zh) | 2015-09-22 | 2015-09-22 | 空间信息网跨域的端到端密钥交换方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105610575A true CN105610575A (zh) | 2016-05-25 |
| CN105610575B CN105610575B (zh) | 2019-01-08 |
Family
ID=55990123
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510607554.2A Active CN105610575B (zh) | 2015-09-22 | 2015-09-22 | 空间信息网跨域的端到端密钥交换方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105610575B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209374A (zh) * | 2016-06-24 | 2016-12-07 | 西安电子科技大学 | 基于卫星网络安全域的节点证书颁布方法 |
| WO2020082228A1 (en) * | 2018-10-23 | 2020-04-30 | Nokia Technologies Oy | Method and apparatus for attesting physical attacks |
| CN111656728A (zh) * | 2017-11-23 | 2020-09-11 | 华为技术有限公司 | 一种用于安全数据通信的设备、系统和方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050044197A1 (en) * | 2003-08-18 | 2005-02-24 | Sun Microsystems.Inc. | Structured methodology and design patterns for web services |
| EP1526676A1 (en) * | 2003-10-20 | 2005-04-27 | Samsung Electronics Co., Ltd. | Conference session key distribution method on an id-based cryptographic system |
| CN101048970A (zh) * | 2004-10-29 | 2007-10-03 | 汤姆森许可贸易公司 | 安全认证信道 |
| CN102724211A (zh) * | 2012-06-29 | 2012-10-10 | 飞天诚信科技股份有限公司 | 一种密钥协商方法 |
-
2015
- 2015-09-22 CN CN201510607554.2A patent/CN105610575B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050044197A1 (en) * | 2003-08-18 | 2005-02-24 | Sun Microsystems.Inc. | Structured methodology and design patterns for web services |
| EP1526676A1 (en) * | 2003-10-20 | 2005-04-27 | Samsung Electronics Co., Ltd. | Conference session key distribution method on an id-based cryptographic system |
| CN101048970A (zh) * | 2004-10-29 | 2007-10-03 | 汤姆森许可贸易公司 | 安全认证信道 |
| CN102724211A (zh) * | 2012-06-29 | 2012-10-10 | 飞天诚信科技股份有限公司 | 一种密钥协商方法 |
Non-Patent Citations (3)
| Title |
|---|
| 《COMPUTER NETWORKS》 * |
| 《IEEE》 * |
| 《中国博士学位论文全文数据库信息科技辑》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209374A (zh) * | 2016-06-24 | 2016-12-07 | 西安电子科技大学 | 基于卫星网络安全域的节点证书颁布方法 |
| CN106209374B (zh) * | 2016-06-24 | 2019-02-15 | 西安电子科技大学 | 基于卫星网络安全域的节点证书颁布方法 |
| CN111656728A (zh) * | 2017-11-23 | 2020-09-11 | 华为技术有限公司 | 一种用于安全数据通信的设备、系统和方法 |
| CN111656728B (zh) * | 2017-11-23 | 2022-06-28 | 华为技术有限公司 | 一种用于安全数据通信的设备、系统和方法 |
| WO2020082228A1 (en) * | 2018-10-23 | 2020-04-30 | Nokia Technologies Oy | Method and apparatus for attesting physical attacks |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105610575B (zh) | 2019-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107864198B (zh) | 一种基于深度学习训练任务的区块链共识方法 | |
| US10985910B2 (en) | Method for exchanging keys authenticated by blockchain | |
| CN110581854B (zh) | 基于区块链的智能终端安全通信方法 | |
| EP3659082B1 (en) | Computer-implemented system and method enabling secure storage of a large blockchain over a plurality of storage nodes | |
| CN113079016B (zh) | 一种面向天基网络的身份基认证方法 | |
| CN101192928B (zh) | 移动自组织网络的认证方法和系统 | |
| CN103702326B (zh) | 一种基于移动Ad Hoc网络的无证书密钥协商方法 | |
| CN107707360A (zh) | 物联网环境下的异构聚合签密方法 | |
| CN102223629B (zh) | 一种移动自组网门限密钥分发方法 | |
| CN112839041B (zh) | 基于区块链的电网身份认证方法、装置、介质和设备 | |
| CN109005538A (zh) | 面向无人驾驶车辆与多移动边缘计算服务器间的消息认证方法 | |
| CN104703178A (zh) | 基于群组匿名代理的机器类型通信认证和密钥协商方法 | |
| CN104717070B (zh) | 一种利用单向哈希函数关联数字证书的方法 | |
| Wang et al. | Blockchain-based dynamic energy management mode for distributed energy system with high penetration of renewable energy | |
| CN105678151A (zh) | 构建可信节点/卫星节点的区块链传输方法和系统 | |
| Liu et al. | Decentralized anonymous authentication with fair billing for space-ground integrated networks | |
| CN114884698B (zh) | 基于联盟链的Kerberos与IBC安全域间跨域认证方法 | |
| CN109962769A (zh) | 基于门限盲签名的数据安全去重方法 | |
| CN109936509A (zh) | 一种基于多元身份的设备群组认证方法及系统 | |
| CN105610575A (zh) | 空间信息网跨域的端到端密钥交换方法 | |
| CN115242388B (zh) | 一种基于动态属性权限的群组密钥协商方法 | |
| CN101272244A (zh) | 一种无线自组织网络密钥更新和撤销方法 | |
| Ayub et al. | Secure consumer-centric demand response management in resilient smart grid as industry 5.0 application with blockchain-based authentication | |
| Itoo et al. | A robust ECC-based authentication framework for energy internet (EI)-based vehicle to grid communication system | |
| CN116996235B (zh) | 联合建模的安全认证方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |