CN106452767A - 基于标识认证公钥管理体系的接入认证方法 - Google Patents

基于标识认证公钥管理体系的接入认证方法 Download PDF

Info

Publication number
CN106452767A
CN106452767A CN201611187066.1A CN201611187066A CN106452767A CN 106452767 A CN106452767 A CN 106452767A CN 201611187066 A CN201611187066 A CN 201611187066A CN 106452767 A CN106452767 A CN 106452767A
Authority
CN
China
Prior art keywords
user
public key
key
random number
identity information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611187066.1A
Other languages
English (en)
Inventor
余智文
何宇坤
刘钰琴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CHINA INFORMATION SECURITY INDUSTRY PARK
Original Assignee
CHINA INFORMATION SECURITY INDUSTRY PARK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CHINA INFORMATION SECURITY INDUSTRY PARK filed Critical CHINA INFORMATION SECURITY INDUSTRY PARK
Priority to CN201611187066.1A priority Critical patent/CN106452767A/zh
Publication of CN106452767A publication Critical patent/CN106452767A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0847Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于组合密钥体系的接入认证方法,每个用户保存生成用户公钥的种子密钥及算法,直接通过对方的身份信息就可以算出对方的对应公钥,而不必向CA申请获取对方公钥,因此提高了效率,减少了通信延时,同时降低了网络资源占用和运营开销,减少加密的通信连接的延时。合适用于即时加密通信和实现一次通信一个会话密钥和需要频繁更换会话密钥的敏感加密通信。而且,本发明通过验证主体即用户身份信息来确认对方的身份,因为身份信息是用户个人唯一的识别号,就像是个人的身份证号码一样,直接通过身份信息得到的公钥,可确保这个公钥的不可抵赖性和真实性。

Description

基于标识认证公钥管理体系的接入认证方法
技术领域
本发明涉及安全认证技术领域,具体涉及一种基于组合密钥体系的接入认证方法。
背景技术
在即时通信,特别是移动通信中,如果出现通信延时是较大的问题,即使延时3秒,用户体验也会很不好,在PKI(Public Key Infrastructure,公钥基础设施)体制中双方验证需要经过CA(Certificate Authority,证书管理机构)中心取得对立的数字证书(公钥),随后借助客体(随机数)的数字签名/验签推导主体真实性外,还要用对方的公钥加密随机数(共用密钥)完成密钥协商后续流程.而且还存在一定的因此加大了运算量,还增加了与CA通信的运营开销较大,耗时也较长,因此该技术尤其在即使加密通信中可有效减少通信延时的缺陷。而在组合密钥体系下,不需要经过CA中心,用户自己拥有公钥列表,直接通过对方的身份识别号ID信息就可以对应找到公钥,因此延时较少。
在PKI的解决方案中,通信的接入认证需要以下几个步骤:
1、用户A希望和用户B进行通信,发出通信请求,用户A先生成某一个随机数,用自己的私钥对该随机数进行数字签名连同自己的身份信息,发送给用户B;
2、用户B根据用户A的身份信息向CA申请获取用户A的数字证书(公钥),用获取的数字证书(公钥)验签解开用户A的签名得到随机数,通过验签核对随机数验证用户A的身份的真实性。用户B再用自己的私钥对上述随机数进行数字签名连同自己的身份信息,发送给A。
3、用户A根据用户B的身份信息向CA申请获取用户B的公钥,用获取的公钥解开用户B的签名得到验签随机数,通过核对随机数验签验证用户B的身份的真实性。用户A利用用户B的公钥对利用可用作共用密钥(会话密钥)的随机数加密生成的会话密钥进行加密发送给用户B。
4、用户B用自己的私钥解密,得到共用会话密钥,再用用户A的公钥对确认共用会话密钥的信息进行加密发送给用户A,A解密后与原随机数比较,如果一致确认共用会话密钥。
5、双方确认会议共用会话密钥,即可通过共用会话密钥进行加密通信,密钥协商完成。
在PKI体制下用户是通过客体(随机数)数字/验签推导验证对方的身份的真实性,双方用户需要在CA中申请获取对方的公钥才能进行身份认证,步骤较为繁琐,在通信过程中往往会导致通信连接延时信息延误传输,导致通信延时。
发明内容
针对现有技术的不足,本发明的目的在于提供一种基于标识认证公钥管理体系的接入认证方法,以降低通信延时。
为了实现上述目的,本发明采取的技术方案是:
一种基于标识认证公钥管理体系的接入认证方法,包括步骤:
标识认证的公钥管理体系生成用户的私钥、公钥的种子密钥及算法,并分发给用户的芯片进行存储;
待通信的双方用户A和用户B获取对方的身份信息;
用户A根据用户B的身份信息并利用公钥的种子密钥及算法计算出用户B的公钥,用用户B的公钥对随机数加密后发送至用户B;
用户B用自己的私钥解密所述随机数,根据用户A的身份信息并利用公钥的种子密钥及算法计算出用户A的公钥,用用户A的公钥对所述随机数加密后发送至用户A;
用户A用自己的私钥解密并判断所述随机数,若此时的随机数与发送至用户B的随机数一致,此随机数用作会话密钥,密钥协商成功,完成接入认证。与现有技术相比,本发明的有益效果在于:
本发明在组合密钥体系下,通过验证主体即用户身份信息来确认对方的身份,直接通过身份信息得到的公钥,可确保这个公钥的不可抵赖性和真实性。在组合密钥体制体系下用技术的手段代替了CA,网络资源占用小、运营开销较小,效率高并且相对安全,即时通信延时不易察觉。
附图说明
图1为本发明基于标识认证公钥管理体系的接入认证方法的流程示意图。
具体实施方式
下面结合具体实施方式对本发明作进一步的说明。
本发明基于标识认证(组合密钥)公钥管理体系的接入认证方法,如图1所示,包括步骤:
步骤s101、标识认证的公钥管理体系生成用户的私钥、公钥的种子密钥及算法,并分发给用户的芯片进行存储;
步骤s102、待通信的双方用户A和用户B获取对方的身份信息;
步骤s103、用户A根据用户B的身份信息并利用公钥的种子密钥及算法计算出用户B的公钥,用用户B的公钥对随机数加密后发送至用户B;
步骤s104、用户B用自己的私钥解密所述随机数,根据用户A的身份信息并利用公钥的种子密钥及算法计算出用户A的公钥,用用户A的公钥对所述随机数加密后发送至用户A;
步骤s105、用户A用自己的私钥解密并判断所述随机数,若此时的随机数与发送至用户B的随机数一致,此随机数用作会话密钥,密钥协商成功,完成接入认证。
所述用户A和用户B是由内置芯片的用户终端来实现的。
通过上述步骤可知,待通信的用户双方身份验证不需要借助数字签名/验签的客体真实性来推导主体真实性来验证,而是使用生成用户公钥的种子密钥及算法直接计算对方公钥的形式完成主体真实性的验证。
因此,用户A/B不用联系CA中心获取对方的公钥,而是直接用生成用户公钥的种子密钥及算法算出对方的公钥,流程是A直接用B的公钥加密随机数发给B,B用私钥脱密后再用A的公钥加密后发回给A,A用私钥脱密后检查是否与随机数一致,如果一致密钥协商成功,随机数则作为建立加密通道用的共用密钥。
综上,本发明在标识认证(组合密钥)体系下进行接入认证,用户自己拥生成用户公钥的种子密钥及算法,直接通过对方的标识如身份识别号ID号等信息就可以算出对方的公钥,不需要经过CA中心,因此提高了效率,减少了通信延时,同时降低了网络资源占用和运营开销,减少通信连接的延时。通过验证主体即用户身份信息来确认对方的身份,因为身份信息是用户个人唯一的识别号,就像是个人的身份证号码一样,直接通过身份信息得到的公钥,可确保这个公钥的不可抵赖性和真实性。而且,本发明更合适用于即时加密通信和实现一次通信一个会话密钥和需要频繁更换会话密钥的敏感加密通信。
上列详细说明是针对本发明可行实施例的具体说明,该实施例并非用以限制本发明的专利范围,凡未脱离本发明所为的等效实施或变更,均应包含于本案的专利范围中。

Claims (2)

1.一种基于标识认证公钥管理体系的接入认证方法,其特征在于,包括步骤:
标识认证的公钥管理体系生成用户的私钥、公钥的种子密钥及算法,并分发给用户的芯片进行存储;
待通信的双方用户A和用户B获取对方的身份信息;
用户A根据用户B的身份信息并利用公钥的种子密钥及算法计算出用户B的公钥,用用户B的公钥对随机数加密后发送至用户B;
用户B用自己的私钥解密所述随机数,根据用户A的身份信息并利用公钥的种子密钥及算法计算出用户A的公钥,用用户A的公钥对所述随机数加密后发送至用户A;
用户A用自己的私钥解密并判断所述随机数,若此时的随机数与发送至用户B的随机数一致,此随机数用作会话密钥,密钥协商成功,完成接入认证。
2.根据权利要求1所述的基于标识认证公钥管理体系的接入认证方法,其特征在于,
用户A与用户B为内置芯片的用户终端。
CN201611187066.1A 2016-12-20 2016-12-20 基于标识认证公钥管理体系的接入认证方法 Pending CN106452767A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611187066.1A CN106452767A (zh) 2016-12-20 2016-12-20 基于标识认证公钥管理体系的接入认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611187066.1A CN106452767A (zh) 2016-12-20 2016-12-20 基于标识认证公钥管理体系的接入认证方法

Publications (1)

Publication Number Publication Date
CN106452767A true CN106452767A (zh) 2017-02-22

Family

ID=58215149

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611187066.1A Pending CN106452767A (zh) 2016-12-20 2016-12-20 基于标识认证公钥管理体系的接入认证方法

Country Status (1)

Country Link
CN (1) CN106452767A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109068324A (zh) * 2018-09-25 2018-12-21 北京仁信证科技有限公司 基于NB-iot模组的身份鉴别系统及身份鉴别方法
CN109617675A (zh) * 2018-11-15 2019-04-12 国网电动汽车服务有限公司 一种充放电设施与用户端间的双方标识认证方法及系统
CN111127710A (zh) * 2019-12-19 2020-05-08 深圳市凯迪仕智能科技有限公司 一种智能锁安全离线开锁密码生成方法
CN111327415A (zh) * 2018-12-13 2020-06-23 航天信息股份有限公司 一种联盟链数据保护方法及装置
CN112291196A (zh) * 2020-09-28 2021-01-29 北京芯盾集团有限公司 适用于即时通信的端到端加密方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859091A (zh) * 2006-06-06 2006-11-08 南相浩 一种基于cpk的可信连接安全认证系统和方法
CN101384042A (zh) * 2008-10-15 2009-03-11 东南大学 基于安全数字接口加密卡的手机加密方法
CN104901935A (zh) * 2014-09-26 2015-09-09 易兴旺 一种基于cpk的双向认证及数据交互安全保护方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859091A (zh) * 2006-06-06 2006-11-08 南相浩 一种基于cpk的可信连接安全认证系统和方法
CN101384042A (zh) * 2008-10-15 2009-03-11 东南大学 基于安全数字接口加密卡的手机加密方法
CN104901935A (zh) * 2014-09-26 2015-09-09 易兴旺 一种基于cpk的双向认证及数据交互安全保护方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109068324A (zh) * 2018-09-25 2018-12-21 北京仁信证科技有限公司 基于NB-iot模组的身份鉴别系统及身份鉴别方法
CN109617675A (zh) * 2018-11-15 2019-04-12 国网电动汽车服务有限公司 一种充放电设施与用户端间的双方标识认证方法及系统
CN109617675B (zh) * 2018-11-15 2024-02-06 国网电动汽车服务有限公司 一种充放电设施与用户端间的双方标识认证方法及系统
CN111327415A (zh) * 2018-12-13 2020-06-23 航天信息股份有限公司 一种联盟链数据保护方法及装置
CN111127710A (zh) * 2019-12-19 2020-05-08 深圳市凯迪仕智能科技有限公司 一种智能锁安全离线开锁密码生成方法
CN112291196A (zh) * 2020-09-28 2021-01-29 北京芯盾集团有限公司 适用于即时通信的端到端加密方法及系统

Similar Documents

Publication Publication Date Title
CN111953705B (zh) 物联网身份认证方法、装置及电力物联网身份认证系统
EP3529965B1 (en) System and method for configuring a wireless device for wireless network access
CN112887338B (zh) 一种基于ibc标识密码的身份认证方法和系统
US10015159B2 (en) Terminal authentication system, server device, and terminal authentication method
CN104683112B (zh) 一种基于rsu协助认证的车‑车安全通信方法
CN111526023B (zh) 一种基于ipk的区块链上链数据安全认证方法与系统
CN109728913B (zh) 一种设备合法性验证方法、相关设备以及系统
CN106452767A (zh) 基于标识认证公钥管理体系的接入认证方法
CN103491094A (zh) 一种基于c/s模式的快速身份认证方法
CN111372247A (zh) 一种基于窄带物联网的终端安全接入方法及终端安全接入系统
CN105790938A (zh) 基于可信执行环境的安全单元密钥生成系统及方法
CN104219055A (zh) 一种基于nfc的点对点可信认证方法
CN104735068A (zh) 基于国密的sip安全认证的方法
CN104202170B (zh) 一种基于标识的身份认证系统和方法
US11057195B2 (en) Method and system for providing security for the first time a mobile device makes contact with a device
CN104424446A (zh) 一种安全认证和传输的方法和系统
CN103532713A (zh) 传感器认证和共享密钥产生方法和系统以及传感器
CN108964897B (zh) 基于群组通信的身份认证系统和方法
WO2015161689A1 (zh) 一种基于协商密钥的数据处理方法
CN114765534B (zh) 基于国密标识密码算法的私钥分发系统和方法
CN110381075B (zh) 基于区块链的设备身份认证方法和装置
CN105282179A (zh) 一种基于cpk的家庭物联网安全控制的方法
CN101895881B (zh) 一种实现gba密钥的方法及终端可插拔设备
CN108880799B (zh) 基于群组密钥池的多次身份认证系统和方法
CN111970699A (zh) 一种基于ipk的终端wifi登陆认证方法以及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170222

RJ01 Rejection of invention patent application after publication