CN106789010B - Cfl去中心化应用方法 - Google Patents
Cfl去中心化应用方法 Download PDFInfo
- Publication number
- CN106789010B CN106789010B CN201611175622.3A CN201611175622A CN106789010B CN 106789010 B CN106789010 B CN 106789010B CN 201611175622 A CN201611175622 A CN 201611175622A CN 106789010 B CN106789010 B CN 106789010B
- Authority
- CN
- China
- Prior art keywords
- cfl
- sign
- user
- certificate
- ukey
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
在基于标识的证书认证技术CFL的基础上,本发明给出了CFL去中心化应用方法。通过二代以上Ukey的工作私钥安全输入,基于时间戳或者随机数动态签名,构成CFL动态证书,在Ukey使用完毕后,删除工作私钥。该方法不怕Ukey被盗或者丢失,且认证时是去中心化的。该方法同样可以应用于PKI证书认证体制的去中心化应用,改进了传统的PKI证书的应用依赖CA中心的认证方法。
Description
技术领域
本发明属于信息安全技术领域,涉及网络安全。
背景技术
由于PKI证书认证方法在传统应用中都是基于CA中心的,也就是说,PKI证书的传统应用都是没有去中心化的。这种传统的应用方式,虽然能够解决证书的挂失问题带来的信息安全风险,但是这种每次证书应用都由CA中心完成的应用方式,使得面向进程认证时,因进程延迟而无法应用,这限制了传统PKI认证方法的应用的深度以及广度,例如操作系统进程认证、数据库访问进程认证。同时,也因为所有的认证都依赖CA中心,这需要CA必须具有超算能力,及时完成大量的认证需求,因此这种PKI证书传统认证方式,能耗大,建设投资大,运维管理费用高。为此,研究去中心化的直接认证方法,具有着重要的理论价值和实践价值。
在基于标识的证书认证技术CFL的基础上,本发明给出了CFL去中心化的认证方法,按照本方法,同样可以给出PKI证书认证体制去中心化的认证方法,改进了传统的PKI证书的应用依赖CA中心的认证方法。
发明内容
在基于标识的证书认证技术CFL的基础上,本发明给出了CFL去中心化应用方法。通过二代以上Ukey(含二代Ukey,下同)的工作私钥安全输入,基于时间戳或者随机数动态签名,构成CFL动态证书,在Ukey使用完毕后,删除工作私钥。该方法不怕Ukey被盗或者丢失,且认证时是去中心化的。该方法同样可以应用于PKI证书认证体制的去中心化应用,改进了传统的PKI证书的应用依赖CA中心的认证方法。
具体实施方式
CFL去中心化应用方法流程:
(1)CFL证书生成中心基于二代以上Ukey的标识IDUkey生成每个二代以上Ukey的临时工作公私钥对;
(2)用户到CFL注册中心填写自己的基本信息,核实后,领取带有临时工作公私钥对的二代以上Ukey;
(3)用户领取二代以上Ukey,选定自己的工作私钥(保密字或者用户的生物信息)SKu,利用二代以上Ukey,安全生成对应的工作公钥PKu,构成如下信息IDu||PKu,以自己的工作私钥对IDu||PKu进行签名生成SIGN1;
(4)用户以CFL证书生成中心的工作公钥对IDu||PKu||SIGN1||IDUkey||SIGN′进行加密发送给CFL证书生成中心,其中SIGN′是用户用Ukey临时工作私钥对IDu||PKu||SIGN1||IDUkey进行的签名;
(5)CFL证书生成中心收到IDu||PKu||SIGN1||IDUkey||SIGN′的加密信息后,解密得IDu||PKu||SIGN1||IDUkey||SIGN′,根据IDUkey生成相应的临时公私钥对,利用临时公钥对SIGN′进行验证,验证通过后,生成静态CFL证书即Cu=IDu||PKu||SIGN1||IDC||SIGN2,其中IDC是CFL证书生成中心的为用户证书的管理信息,SIGN2是CFL证书生成中心为用户的CFL证书的CFL认证算法签名;
(6)CFL证书生成中心以用户的工作公钥加密静态CFL证书并签名发送给用户,用户验证CFL证书生成中心的签名,通过后,解密得用户自己的静态CFL证书。
(7)用户将工作私钥备份,将二代以上Ukey中的工作私钥以及临时工作私钥删除,并将静态CFL证书存储在二代以上Ukey内;
(8)用户在每次使用二代以上Ukey时,通过二代以上Ukey中的安全输入设备,输入自己的工作私钥,在使用CFL证书时,由静态CFL证书变成动态CFL证书,即CD=Cu||T||SIGN3=IDu||PKu||SIGN1||IDC||SIGN2||T||SIGN3,其中T是用户使用时的时间戳或者是随机数,SIGN3是用户利用自己的工作私钥对IDu||PKu||IDC||T的签名;
(9)第三方在验证用户的动态证书时,利用PKu验证SIGN1,SIGN3,利用CFL认证算法验证SIGN2;
(10)用户使用完毕CFL证书后,在Ukey中删除用户自己的工作私钥。
CFL去中心化应用方法安全性分析:
PKI证书的传统的应用方式是指Ukey中一直含有用户的工作私钥的,我们有下面的结论:
命题1在PKI证书的传统的应用方式中,若该用户的Ukey丢失,则该用户必须对该Ukey进行挂失,否则存在信息安全问题。
证明因为该Ukey中含有该用户的工作私钥,PKI证书信息,因此该Ukey的捡到者可以冒充该用户与验证方进行证书交换,且证书的验证是通过的,因此存在信息安全问题。
命题2在PKI证书的传统的应用方式中,验证方只有在用户的证书在CA中心被证明没有挂失登记后,才可能效性。
证明若该PKI证书没有在CA中心证明挂失登记,说明该用户的Ukey可能没有丢失,因此才可能有效。
显然我们易得:
命题3若用户Ukey丢失了,而验证方不知道用户已经挂失该Ukey,直接对用户的PKI证书进行验证,因此存在信息安全问题。
命题1、命题2、命题3说明了传统的PKI证书使用方法必须依靠CA中心。从而不适应当前实践中迫切需要的直接进程认证。
本发明给出的CFL去中心化应用方法可以在实际中去中心化。我们有下述命题:
命题4本发明给出的CFL去中心化应用方法是安全的。
证明在二代以上Ukey丢失后,由于捡到者并不知道用户的工作私钥,因此捡到者无法冒充该用户,所以本发明应用去中心化是安全的。
显然我们有如下推论:
命题5本发明给出的CFL去中心化方法,同样可以适用于PKI证书的使用,从而可以改进PKI证书的传统应用方法,进而可以达到应用去中心化。
由命题1至命题5可知,本发明可以应用去中心化,因此可以做到直接进程认证,从而可以基于本发明支持安全操作系统、安全数据库、安全软件、安全计算机、安全网络的建设。
Claims (1)
1.CFL去中心化应用方法,其特征在于:
1)CFL去中心化应用方法流程:
(1)CFL证书生成中心基于二代以上Ukey的标识IDUkey生成每个二代以上Ukey的临时工作公私钥对;
(2)用户到CFL注册中心填写自己的基本信息,核实后,领取带有临时工作公私钥对的二代以上Ukey;
(3)用户领取二代以上Ukey,选定自己的工作私钥SKu,该工作私钥是保密字或者用户的生物信息,利用二代以上Ukey,安全生成对应的工作公钥PKu,并基于用户的标识IDu,构成如下信息IDu||PKu,以自己的工作私钥对IDu||PKu进行签名生成SIGN1;
(4)用户以CFL证书生成中心的工作公钥对IDu||PKu||SIGN1||IDUkey||SIGN′进行加密发送给CFL证书生成中心,其中SIGN′是用户用Ukey临时工作私钥对IDu||PKu||SIGN1||IDUkey进行的签名;
(5)CFL证书生成中心收到IDu||PKu||SIGN1||IDUkey||SIGN′的加密信息后,解密得IDu||PKu||SIGN1||IDUkey||SIGN′,根据IDUkey生成相应的临时公私钥对,利用临时公钥对SIGN′进行验证,验证通过后,生成静态CFL证书即Du=IDu||PKu||SIGN1||IDC||SIGN2,其中IDC是CFL证书生成中心的为用户证书的管理信息,SIGN2是CFL证书生成中心为用户的CFL证书的CFL认证算法签名;
(6)CFL证书生成中心以用户的工作公钥加密静态CFL证书并签名发送给用户,用户验证CFL证书生成中心的签名,通过后,解密得用户自己的静态CFL证书;
(7)用户将工作私钥备份,将二代以上Ukey中的工作私钥以及临时工作私钥删除,并将静态CFL证书存储在二代以上Ukey内;
(8)用户在每次使用二代以上Ukey时,通过二代以上Ukey中的安全输入设备,输入自己的工作私钥,在使用CFL证书时,由静态CFL证书变成动态CFL证书,即CD=Du||T||SIGN3=IDu||PKu||SIGN1||IDC||SIGN2||T||SIGN3,其中T是用户使用时的时间戳或者是随机数,SIGN3是用户利用自己的工作私钥对IDu||PKu||IDC||T||的签名;
(9)第三方在验证用户的动态证书时,利用PKu验证SIGN1,SIGN3,利用CFL认证算法验证SIGN2;
(10)用户使用完毕CFL证书后,在Ukey中删除用户自己的工作私钥;
2)该方法同样可以应用于PKI证书认证体制的去中心化应用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611175622.3A CN106789010B (zh) | 2016-12-19 | 2016-12-19 | Cfl去中心化应用方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611175622.3A CN106789010B (zh) | 2016-12-19 | 2016-12-19 | Cfl去中心化应用方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106789010A CN106789010A (zh) | 2017-05-31 |
CN106789010B true CN106789010B (zh) | 2020-01-21 |
Family
ID=58891308
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611175622.3A Active CN106789010B (zh) | 2016-12-19 | 2016-12-19 | Cfl去中心化应用方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106789010B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109388923B (zh) * | 2017-08-14 | 2020-12-04 | 上海策赢网络科技有限公司 | 一种程序执行方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103957196A (zh) * | 2014-04-10 | 2014-07-30 | 飞天诚信科技股份有限公司 | 一种信息安全设备的同步方法和系统 |
CN106059775A (zh) * | 2016-06-07 | 2016-10-26 | 北京博文广成信息安全技术有限公司 | Cfl集中管理模式实现方法 |
CN106161035A (zh) * | 2016-06-07 | 2016-11-23 | 北京博文广成信息安全技术有限公司 | Cfl个人隐私保护模式实现方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9961073B2 (en) * | 2013-09-30 | 2018-05-01 | Digicert, Inc. | Dynamic certificate generation on a certificate authority cloud |
-
2016
- 2016-12-19 CN CN201611175622.3A patent/CN106789010B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103957196A (zh) * | 2014-04-10 | 2014-07-30 | 飞天诚信科技股份有限公司 | 一种信息安全设备的同步方法和系统 |
CN106059775A (zh) * | 2016-06-07 | 2016-10-26 | 北京博文广成信息安全技术有限公司 | Cfl集中管理模式实现方法 |
CN106161035A (zh) * | 2016-06-07 | 2016-11-23 | 北京博文广成信息安全技术有限公司 | Cfl个人隐私保护模式实现方法 |
Non-Patent Citations (2)
Title |
---|
CFL密钥管理研究;刘文婷等;《信息安全研究》;20160731;全文 * |
CFL性质比较研究;范修斌等;《信息安全研究》;20160731;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN106789010A (zh) | 2017-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wang | An identity-based data aggregation protocol for the smart grid | |
CN102170357B (zh) | 组合密钥动态安全管理系统 | |
RU2018103183A (ru) | Взаимная аутентификация конфиденциальной связи | |
CN104580250A (zh) | 一种基于安全芯片进行可信身份认证的系统和方法 | |
CA2423636A1 (en) | Methods for authenticating potential members invited to join a group | |
CN103634265B (zh) | 安全认证的方法、设备及系统 | |
CN106059775B (zh) | Cfl集中管理模式实现方法 | |
CN103795534A (zh) | 基于口令的认证方法及用于执行该方法的装置 | |
CN103248488A (zh) | 一种基于身份的密钥生成方法和认证方法 | |
CN106161035B (zh) | Cfl个人隐私保护模式实现方法 | |
CN106341232A (zh) | 一种基于口令的匿名实体鉴别方法 | |
Zhang et al. | Practical anonymous password authentication and TLS with anonymous client authentication | |
CN105721153A (zh) | 基于认证信息的密钥交换系统及方法 | |
CN102281143B (zh) | 智能卡远程解锁系统 | |
CN101888297A (zh) | 一种基于信任的跨域认证方法 | |
Barkha | Implementation of DNA cryptography in cloud computing and using socket programming | |
CN1953366B (zh) | 智能密钥装置的密码管理方法和系统 | |
CN106789010B (zh) | Cfl去中心化应用方法 | |
CN114172696B (zh) | 一种电力物联网中云边端协同双重认证的终端认证方法 | |
Xie et al. | Secure mobile user authentication and key agreement protocol with privacy protection in global mobility networks | |
CN109902481A (zh) | 一种用于加密设备的加密锁认证方法及加密设备 | |
CN106877996B (zh) | Pki域内的用户访问ibc域内的资源的认证密钥协商方法 | |
CN116015669A (zh) | 一种基于区块链的物联网跨域协同认证方法 | |
CN104780049B (zh) | 一种安全读写数据的方法 | |
KR20130136272A (ko) | 스마트 미터와 디바이스 간 인증 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 266200 Shandong city of Qingdao province Jimo city streets aoshanwei bluevale Business Center No. 2 Building 4 layer Applicant after: Qingdao Bowen Guangcheng information Safe Technology Ltd Address before: 100039, Beijing, Fengtai District Dacheng Li Xiu park, building 13 on the east side of the building Applicant before: Beijing Bowen Guangcheng Information Safety Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |