CN107395364A - 一种基于标识的组合密钥跨域认证方法 - Google Patents
一种基于标识的组合密钥跨域认证方法 Download PDFInfo
- Publication number
- CN107395364A CN107395364A CN201710647789.3A CN201710647789A CN107395364A CN 107395364 A CN107395364 A CN 107395364A CN 201710647789 A CN201710647789 A CN 201710647789A CN 107395364 A CN107395364 A CN 107395364A
- Authority
- CN
- China
- Prior art keywords
- user
- iki
- iki1
- iki2
- matrix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于标识的组合密钥跨域认证方法,包括以下步骤:IKI系统生成矩阵标识MID;跨域用户认证;桥IKI认证:在各个IKI系统之外建立一个IKI系统,称为桥IKI,各个IKI系统与桥IKI分别相互签发矩阵标识,各系统用户拥有自己的用户标识以及自己所属系统与桥IKI相互签发的矩阵标识,跨域用户相互认证时,交换用户标识、两个矩阵标识;对等IKI认证:设有n个IKI系统,每个系统都给其余n‑1个系统签发矩阵标识,跨域用户相互认证时,交换用户标识。本发明的有益效果:解决了多个IKI系统的用户认证问题,使得在不增加用户经济和时间负担的情况下,拓展了认证范围,实现了跨域可信认证。
Description
技术领域
本发明涉及信息安全标识密钥领域,具体来说,涉及一种基于标识的组合密钥跨域认证方法。
背景技术
公钥基础设施PKI(Public Key Infrastructure)是提供公钥加密和数字签名服务的系统,它用CA签名的证书来证明密钥和用户的对应关系,同时对密钥和证书进行管理。PKI采用了层次CA和交叉CA来扩充密钥管理和解决跨域认证。这是一种管理为主导的策略,导致了机构膨胀和信任关系的退化。
1984年密码学家Shamir提出基于身份的公钥密码体制(Identity-Based PublicKey Cryptography,简称ID-PKC)。在基于身份的密码系统中,用户的公钥可由实体身份和公开主密钥计算得到;其对应的私钥由可信第三方密钥生成中心KGC(Key GenerationCenter)根据用户的实体身份和保密主私钥生成,并安全地传送给用户。这样生成的私钥由于托管性,原则上只能加密,不能抗抵赖签名。
2003年密码学家S.S.Al-Riyami和K.G.Paterson提出无证书公钥密码系统。在无证书的公钥密码系统中,KGC根据用户的实体身份和保密主私钥生成部分私钥。用户在安全地收到自己的部分私钥后,自己生成一个随机秘密值合成自己完整的私钥,公钥由自己的秘密值、身份和系统参数计算得出,并以可靠的方式公布。在无证书密码体制,KGC无法得知任何用户的私钥,有效克服了基于身份系统中的私钥托管问题。但是这种方案在加解密的司法取证方面遇到了困难;同时必须有效解决跨域认证问题。
我国学者唐文、南相浩、陈钟2003年提出基于椭圆曲线密钥系统的组合公钥技术,其核心思想是:构造随机整数矩阵作为私钥种子矩阵;对应地计算出公钥种子矩阵;用映射算法完成用户标识与矩阵行列指标的对应;分别用大整数加法和ECC点加计算出私钥和公钥。组合公钥技术试图解决两个问题:一则利用较小的种子密钥矩阵获得很大的个体公私钥对的空间,二则建立身份标识符与公私钥对之间的一一对应关系。这种方案必须从管理和技术上规避组合技术的碰撞、克服其线性泄露等天生缺陷,才能有效使用。
在发明专利:一种无证书的组合密钥产生及应用方法,专利申请号:CN201610015382.4规避了组合技术的碰撞、克服了线性泄露。在本发明专利中称按照引用的专利构建的系统为标识密钥基础设施IKI(Identity Key Infrastructure),该系统至少包含服务器端、客户端和一般客户端,其中服务器端完成密钥生产等功能,客户端完成加密密钥申请与签名密钥合成等功能,一般客户端完成客户端的公钥验证和使用;在引用的专利中所述名称个体标识ID,在本发明中称为实体身份ID(Entity Identity,由实体无法否认的信息组成,如实体的可识别名称、电子邮箱、身份证号、电话号码等),简称为ID;为了表述简单和内容的丰富,在引用的专利中所述数据结构ID||PKE||SKID[PKE]和ID||PKS||SKID[PKS](其中:||指比特串的拼接;SKID[PKE]、SKID[PKS]分别表示SKID对加密公钥PKE、签名公钥的签名)改写为ID||PKE||PKS||有效期||颁发机构||扩展信息||SKID[ID||PKE||PKS||有效期||颁发机构||扩展信息],并称该数据结构为用户标识UID(User ID)。用户标识UID由实体身份ID,参数,签名值三部分组成,一般客户端根据UID中实体身份ID和公钥矩阵计算出验证UID的公钥PKID,该公钥与SKID对应。按照这种改造后,图7给出了IKI系统的密钥生成和使用流程。
按照上述引用的专利可以构建基于标识的组合密钥单一IKI系统(单一域),该专利没有给出多个系统(多个域)之间的用户跨域认证的方法。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的上述技术问题,本发明提出一种基于标识的组合密钥跨域认证方法,能够解决上述技术中出现的问题。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种基于标识的组合密钥跨域认证方法,包括以下步骤:
S1 IKI系统生成矩阵标识MID;
S2 跨域用户认证;
S3 桥IKI认证:在各个IKI系统之外建立一个IKI系统,称为桥IKI, 各个IKI系统与桥IKI分别相互签发矩阵标识,各系统用户拥有自己的用户标识以及自己所属系统与桥IKI相互签发的矩阵标识,跨域用户相互认证时,交换用户标识、两个矩阵标识;
S4 对等IKI认证:设有n个IKI系统,每个系统都给其余n-1个系统签发矩阵标识,跨域用户相互认证时,交换用户标识。
进一步的,在步骤S1中,所述IKI系统把颁发机构IDiss作为实体身份计算SKIDiss。
进一步的,所述矩阵标识MID由颁发机构IDiss、公钥矩阵、签名值三部分组成,其结构为:MID=IDiss||公钥矩阵PKM||SKIDiss[IDiss||公钥矩阵PKM]。
进一步的,所述IKI系统为两个,分别为IKI1和IKI2,其中IKI1和IKI2分别拥有自己的私钥矩阵SKM1、SKM2,公钥矩阵PKM1、PKM2,颁发机构IDiss1、IDiss2。
进一步的,所述IKI1给IKI2的公钥矩阵PKM2签发矩阵标识MID12,其中MID12=IDiss2||公钥矩阵PKM2||SKIDiss2[IDiss2||公钥矩阵PKM2]。
进一步的,步骤S2的具体步骤为:
S101 IKI1生成私钥矩阵SKM1和公钥矩阵PKM1,封装本系统的MID11;
S102 IKI2生成私钥矩阵SKM2和公钥矩阵PKM2,封装本系统的MID22;
S103 IKI2发送IDiss2、PKM2到IKI1,IKI1封装MID12,并发送MID12给IKI2;
S104 IKI1的系统用户A发送实体身份IDA到IKI1,IKI1签发用户A的用户标识UIDA,IKI1安全发送加密私钥SKEA、UIDA、MID11和MID12给用户A;
S105 IKI2的系统用户B发送实体身份IDB到IKI2,IKI2签发用户B的用户标识UIDB,IKI2安全发送加密私钥SKEB、UIDB和MID22给用户B;
S106 IKI2的用户B把用户标识UIDB发送给IKI1的用户A;
S107 A检查UIDB和MID12中颁发机构是否相同;
S108 用户A用MID11中的公钥矩阵PKM1验证MID11;
S109 用户A用MID11中的公钥矩阵PKM1验证MID12;
S110 用户A用MID12中的公钥矩阵PKM2验证UIDB;
S111 用户A从UIDB中获取公钥等相关信息,再根据需求使用该信息。
进一步的,在步骤S3中,所述桥IKI0分别与IKI1、IKI2互签矩阵标识的具体步骤为:
S201 IKI1生成私钥矩阵SKM1和公钥矩阵PKM1,封装本系统的MID11;
S202 IKI2生成私钥矩阵SKM2和公钥矩阵PKM2,封装本系统的MID22;
S203 IKI0生成私钥矩阵SKM0和公钥矩阵PKM0,封装本系统的MID00;
S204 IKI1将IDiss1||PKM1发送给IKI0;
S205 IKI0封装MID01,IKI0将MID00,MID01以及IDiss0||PKM0发送给IKI1;
S206 IKI1封装MID10,IKI1将MID10发送给IKI0;
S207 IKI2将IDiss2||PKM2发送给IKI0;
S208 IKI0封装MID02,IKI0将MID00,MID02以及IDiss0||PKM0发送给IKI2;
S209 IKI2封装MID20,IKI2将MID20发送给IKI0。
进一步的,在步骤S3中,所述桥IKI在跨域用户相互认证时,具体步骤为:
S301 IKI1的用户A1发送UIDA1,MID01,MID10给IKI2的用户B1;
S302 B1检查MID20与MID10中的IDiss0是否相同;
S303 B1用PKM0验证MID00;
S304 B1用PKM0验证MID01;
S305 B1用PKM1验证MID10;
S306 B1用PKM1验证UIDA1;
S307 IKI2的用户B1发送UIDB1,MID02,MID20给IKI1的用户A1;
S308 A1检查MID10与MID20中的IDiss0是否相同;
S309 A1用PKM0验证MID00;
S310 A1用PKM0验证MID02;
S311 A1用PKM2验证MID20;
S312 A1用PKM2验证UIDB1。
进一步的,在步骤S4中,所述IKI系统为3个,分别为IKI1、IKI2、IKI3,所述IKI1、IKI2和IKI3互签矩阵标识的具体步骤为:
S401 IKI1与IKI2,IKI1与IKI3,IKI2与IKI3互相签发矩阵标识;
S402 IKI1系统存储与发布IKI1的所有用户标识、MID11、MID12和MID13;
S403 IKI1的每个用户拥有自己的用户标识、MID11、MID12和MID13;
S404 IKI2系统存储与发布IKI2的所有用户标识、MID22、MID21和MID23;
S405 IKI2的每个用户拥有自己的用户标识、MID22、MID21和MID23;
S406 IKI3系统存储与发布IKI3的所有用户标识、MID33、MID31和MID32;
S407 IKI3的每个用户拥有自己的用户标识、MID33、MID31和MID32。
进一步的,在步骤S4中,所述对等IKI在跨域用户相互认证时,具体步骤为:
S501 IKI1的用户A1发送UIDA1给IKI2的用户B1;
S502 B1检查MID21与UIDA1中的颁发机构是否相同;
S503 B1用PKM2验证MID22;
S504 B1用PKM2验证MID21;
S505 B1用PKM1验证UIDA1;
S506 IKI2的用户B1发送UIDB1给IKI1的用户A1;
S507 A1检查MID12与UIDB1中的颁发机构是否相同;
S508 A1用PKM1验证MID11;
S509 A1用PKM1验证MID12;
S510 A1用PKM2验证UIDB1。
本发明的有益效果:解决了多个IKI系统的用户认证问题,使得在不增加用户经济和时间负担的情况下,拓展了认证范围,实现了跨域可信认证。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例所述的一种基于标识的组合密钥跨域认证方法的流程图;
图2是根据本发明实施例所述的一种基于标识的组合密钥跨域认证方法中IKI1的用户A跨域认证IKI2的用户B的流程图;
图3是根据本发明实施例所述的一种基于标识的组合密钥跨域认证方法桥IKI认证中桥IKI0分别与IKI1、IKI2互签矩阵标识的流程图;
图4是根据本发明实施例所述的一种基于标识的组合密钥跨域认证方法桥IKI认证中桥IKI在跨域用户相互认证时的流程图;
图5是根据本发明实施例所述的一种基于标识的组合密钥跨域认证方法对等IKI认证中IKI1、IKI2和IKI3互签矩阵标识的流程图;
图6是根据本发明实施例所述的一种基于标识的组合密钥跨域认证方法对等IKI认证中对等IKI在跨域用户相互认证时的流程图;
图7是根据本发明背景技术所引用专利的IKI系统的密钥生成和使用流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,根据本发明实施例所述的一种基于标识的组合密钥跨域认证方法,包括以下步骤:
S1 IKI系统生成矩阵标识MID(Matrix ID);
S2 跨域用户认证;
S3 桥IKI认证:在各个IKI系统之外建立一个IKI系统,称为桥IKI, 各个IKI系统与桥IKI分别相互签发矩阵标识,各系统用户拥有自己的用户标识以及自己所属系统与桥IKI相互签发的矩阵标识,跨域用户相互认证时,交换用户标识、两个矩阵标识;
S4 对等IKI认证:设有n个IKI系统,每个系统都给其余n-1个系统签发矩阵标识,跨域用户相互认证时,交换用户标识。
如图2所示,在步骤S1中,所述IKI系统把颁发机构IDiss(Issuer ID)作为实体身份计算SKIDiss,所述矩阵标识MID由颁发机构IDiss、公钥矩阵、签名值三部分组成,其结构为:MID=IDiss||公钥矩阵PKM||SKIDiss[IDiss||公钥矩阵PKM]。
在本发明的一个具体实施例中,所述IKI系统为两个,分别为IKI1和IKI2,其中IKI1和IKI2分别拥有自己的私钥矩阵SKM1、SKM2,公钥矩阵PKM1、PKM2,颁发机构IDiss1、IDiss2,所述IKI1给IKI2的公钥矩阵PKM2签发矩阵标识MID12,MID12表示IKI1对IKI2的公钥矩阵的签发,MID11表示IKI1对本系统的公钥矩阵的签发,其中MID12=IDiss2||公钥矩阵PKM2||SKIDiss2[IDiss2||公钥矩阵PKM2]。
如图2所示,步骤S2的具体步骤为:
S101 IKI1生成私钥矩阵SKM1和公钥矩阵PKM1,封装本系统的MID11;
S102 IKI2生成私钥矩阵SKM2和公钥矩阵PKM2,封装本系统的MID22;
S103 IKI2发送IDiss2、PKM2到IKI1,IKI1封装MID12,并发送MID12给IKI2;
S104 IKI1的系统用户A发送实体身份IDA到IKI1,IKI1签发用户A的用户标识UIDA,IKI1安全发送加密私钥SKEA、UIDA、MID11和MID12给用户A;
S105 IKI2的系统用户B发送实体身份IDB到IKI2,IKI2签发用户B的用户标识UIDB,IKI2安全发送加密私钥SKEB、UIDB和MID22给用户B;
S106 IKI2的用户B把用户标识UIDB发送给IKI1的用户A;
S107 A检查UIDB和MID12中颁发机构是否相同;
S108 用户A用MID11中的公钥矩阵PKM1验证MID11;
S109 用户A用MID11中的公钥矩阵PKM1验证MID12;
S110 用户A用MID12中的公钥矩阵PKM2验证UIDB;
S111 用户A从UIDB中获取公钥等相关信息,再根据需求使用该信息。
如图3所示,在步骤S3中,所述桥IKI0分别与IKI1、IKI2互签矩阵标识的具体步骤为:
S201 IKI1生成私钥矩阵SKM1和公钥矩阵PKM1,封装本系统的MID11;
S202 IKI2生成私钥矩阵SKM2和公钥矩阵PKM2,封装本系统的MID22;
S203 IKI0生成私钥矩阵SKM0和公钥矩阵PKM0,封装本系统的MID00;
S204 IKI1将IDiss1||PKM1发送给IKI0;
S205 IKI0封装MID01,IKI0将MID00,MID01以及IDiss0||PKM0发送给IKI1;
S206 IKI1封装MID10,IKI1将MID10发送给IKI0;
S207 IKI2将IDiss2||PKM2发送给IKI0;
S208 IKI0封装MID02,IKI0将MID00,MID02以及IDiss0||PKM0发送给IKI2;
S209 IKI2封装MID20,IKI2将MID20发送给IKI0。
如图4所示,在步骤S3中,所述桥IKI在跨域用户相互认证时,具体步骤为:
S301 IKI1的用户A1发送UIDA1,MID01,MID10给IKI2的用户B1;
S302 B1检查MID20与MID10中的IDiss0是否相同;
S303 B1用PKM0验证MID00;
S304 B1用PKM0验证MID01;
S305 B1用PKM1验证MID10;
S306 B1用PKM1验证UIDA1;
S307 IKI2的用户B1发送UIDB1,MID02,MID20给IKI1的用户A1;
S308 A1检查MID10与MID20中的IDiss0是否相同;
S309 A1用PKM0验证MID00;
S310 A1用PKM0验证MID02;
S311 A1用PKM2验证MID20;
S312 A1用PKM2验证UIDB1。
如图5所示,在步骤S4中,所述IKI系统为3个,分别为IKI1、IKI2、IKI3,所述IKI1、IKI2和IKI3互签矩阵标识的具体步骤为:
S401 IKI1与IKI2,IKI1与IKI3,IKI2与IKI3互相签发矩阵标识;
S402 IKI1系统存储与发布IKI1的所有用户标识、MID11、MID12和MID13;
S403 IKI1的每个用户拥有自己的用户标识、MID11、MID12和MID13;
S404 IKI2系统存储与发布IKI2的所有用户标识、MID22、MID21和MID23;
S405 IKI2的每个用户拥有自己的用户标识、MID22、MID21和MID23;
S406 IKI3系统存储与发布IKI3的所有用户标识、MID33、MID31和MID32;
S407 IKI3的每个用户拥有自己的用户标识、MID33、MID31和MID32。
如图6所示,在步骤S4中,所述对等IKI在跨域用户相互认证时,具体步骤为:
S501 IKI1的用户A1发送UIDA1给IKI2的用户B1;
S502 B1检查MID21与UIDA1中的颁发机构是否相同;
S503 B1用PKM2验证MID22;
S504 B1用PKM2验证MID21;
S505 B1用PKM1验证UIDA1;
S506 IKI2的用户B1发送UIDB1给IKI1的用户A1;
S507 A1检查MID12与UIDB1中的颁发机构是否相同;
S508 A1用PKM1验证MID11;
S509 A1用PKM1验证MID12;
S510 A1用PKM2验证UIDB1。
为了方便理解本发明的上述技术方案,以下通过具体使用方式上对本发明的上述技术方案进行详细说明。
实施例一
该实施例根据图3和图4进行。
假设现在已经有多个相互独立的IKI系统,每个系统拥有自己的域。本实施方案是在各个IKI系统之外建立一个IKI系统,称为桥IKI,各个IKI系统与桥IKI分别相互签发矩阵标识,各系统用户拥有自己的用户标识以及自己所属系统与桥IKI相互签发的矩阵标识。跨域用户相互认证时,交换用户标识、两个矩阵标识。
桥IKI可以与后建的新IKI系统建立信任关系,并且把这种信任关系传递给已建立信任关系的IKI系统;桥IKI可以解除某个已建的信任关系,并且把这种不再信任的关系传递给其余的IKI系统。
步骤1、在建立桥IKI系统后,各IKI系统向桥IKI系统提出申请,桥IKI系统审核并与审核通过的IKI系统互签矩阵标识。桥IKI管理各IKI系统机构名称与互签的矩阵标识,并提供下载和查询机制。比如桥IKI为IKI0,其余系统为IKI1,IKI2,...,IKIn,桥IKI0管理的矩阵标识为MID00,MID01,MID10,MID02,MID20,...,MID0n,MIDn0。
如果桥IKI系统新增或减少了一个或几个可信任系统,桥IKI及时更新其管理的矩阵标识,并通过合适的途径推送相关通知到各IKI系统。
步骤2、各IKI系统管理本系统的用户标识和与桥IKI互签的矩阵标识,并提供下载和查询机制。比如桥IKI为IKI0,系统IKI1有用户A1,...,Am,IKI1管理的矩阵标识和用户标识为MID00,MID11,MID10,MID01,UIDA1,UIDA2,...,UIDAm。
如果IKI系统与桥IKI建立或撤销可信关系,以及用户标识的吊销更新等,IKI系统及时更新其管理的矩阵标识和用户标识,并通过合适的途径推送相关通知到本系统的各个用户。
步骤3、用户向所属域的IKI提出申请,IKI系统审核并给审核通过的用户签发用户标识。IKI系统安全下发用户标识、IKI系统与桥IKI的矩阵标识。比如桥IKI为IKI0,A1是系统IKI1的用户,系统IKI1安全下发MID00,MID11,MID10,MID01,UIDA1给A1。
用户客户端在获得IKI系统推送的通知后,自动更新相关信息。
步骤4、跨域用户在相互认证时,在相互交换用户标识和矩阵标识后,可以向桥IKI系统提交查询。比如桥IKI为IKI0,A1是IKI1的一个用户,B1是IKI2的一个用户。A1可以先向IKI0提出查询,查询IKI0与IKI2互签的矩阵标识是否有效;B1可以先向IKI0提出查询,查询IKI0与IKI1互签的矩阵标识是否有效。然后A1和B1按照图4的流程相互认证。
实施例二
该实施例根据图5和图6进行。
假设有n个IKI系统,每个系统都给其余n-1个的全部或部分系统互相签发矩阵标识。跨域用户相互认证时,交换用户标识。
任何两个系统可以比较灵活地建立和解除信任关系。
步骤1、IKI系统与其他IKI系统互签矩阵标识。IKI系统管理本系统的用户标识和与签发给其他IKI系统的矩阵标识,并提供下载和查询机制。比如系统IKI1有用户A1,...,Am,IKI1给系统IKI2,IKI3,...,IKIn签发矩阵标识,IKI1管理的矩阵标识和用户标识为MID11,MID12,MID13,...,MID1n,UIDA1,UIDA2,...,UIDAm。
如果IKI系统与某个系统建立或撤销可信关系,以及用户标识的吊销更新等,IKI系统及时更新其管理的矩阵标识和用户标识,并通过合适的途径推送相关通知到本系统的各个用户。
步骤2、用户向所属域的IKI系统提出申请,IKI系统审核并给审核通过的用户签发用户标识。IKI系统安全下发用户标识、IKI系统签发的矩阵标识。比如A1是系统IKI1的用户,IKI1给系统IKI2,IKI3,...,IKIn签发矩阵标识,系统IKI1安全下发MID11,MID12,MID13,...,MID1n,UIDA1给A1。
用户客户端在获得IKI系统推送的通知后,自动更新相关信息。
步骤3、跨域用户在相互认证时,在相互交换用户标识后,可以向所属的IKI系统提交查询。比如A1是IKI1的一个用户,B1是IKI2的一个用户;A1可以先向IKI1提出查询,查询IKI1签发给IKI2的矩阵标识MID12是否有效;B1可以先向IKI2提出查询,查询IKI2签发给IKI1的矩阵标识MID21是否有效。然后A1和B1按照图6的流程相互认证。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于标识的组合密钥跨域认证方法,其特征在于,包括以下步骤:
S1 IKI系统生成矩阵标识MID;
S2 跨域用户认证;
S3 桥IKI认证:在各个IKI系统之外建立一个IKI系统,称为桥IKI, 各个IKI系统与桥IKI分别相互签发矩阵标识,各系统用户拥有自己的用户标识以及自己所属系统与桥IKI相互签发的矩阵标识,跨域用户相互认证时,交换用户标识、两个矩阵标识;
S4 对等IKI认证:设有n个IKI系统,每个系统都给其余n-1个系统签发矩阵标识,跨域用户相互认证时,交换用户标识。
2.根据权利要求1所述的一种基于标识的组合密钥跨域认证方法,其特征在于,在步骤S1中,所述IKI系统把颁发机构IDiss作为实体身份计算SKIDiss。
3.根据权利要求2所述的一种基于标识的组合密钥跨域认证方法,其特征在于,所述矩阵标识MID由颁发机构IDiss、公钥矩阵、签名值三部分组成,其结构为:MID=IDiss||公钥矩阵PKM||SKIDiss[IDiss||公钥矩阵PKM]。
4.根据权利要求3所述的一种基于标识的组合密钥跨域认证方法,其特征在于,所述IKI系统为两个,分别为IKI1和IKI2,其中IKI1和IKI2分别拥有自己的私钥矩阵SKM1、SKM2,公钥矩阵PKM1、PKM2,颁发机构IDiss1、IDiss2。
5.根据权利要求4所述的一种基于标识的组合密钥跨域认证方法,其特征在于,所述IKI1给IKI2的公钥矩阵PKM2签发矩阵标识MID12,其中MID12=IDiss2||公钥矩阵PKM2||SKIDiss2[IDiss2||公钥矩阵PKM2]。
6.根据权利要求5所述的一种基于标识的组合密钥跨域认证方法,其特征在于,步骤S2的具体步骤为:
S101 IKI1生成私钥矩阵SKM1和公钥矩阵PKM1,封装本系统的MID11;
S102 IKI2生成私钥矩阵SKM2和公钥矩阵PKM2,封装本系统的MID22;
S103 IKI2发送IDiss2、PKM2到IKI1,IKI1封装MID12,并发送MID12给IKI2;
S104 IKI1的系统用户A发送实体身份IDA到IKI1,IKI1签发用户A的用户标识UIDA,IKI1安全发送加密私钥SKEA、UIDA、MID11和MID12给用户A;
S105 IKI2的系统用户B发送实体身份IDB到IKI2,IKI2签发用户B的用户标识UIDB,IKI2安全发送加密私钥SKEB、UIDB和MID22给用户B;
S106 IKI2的用户B把用户标识UIDB发送给IKI1的用户A;
S107 A检查UIDB和MID12中颁发机构是否相同;
S108 用户A用MID11中的公钥矩阵PKM1验证MID11;
S109 用户A用MID11中的公钥矩阵PKM1验证MID12;
S110 用户A用MID12中的公钥矩阵PKM2验证UIDB;
S111 用户A从UIDB中获取公钥等相关信息,再根据需求使用该信息。
7.根据权利要求5所述的一种基于标识的组合密钥跨域认证方法,其特征在于,在步骤S3中,所述桥IKI0分别与IKI1、IKI2互签矩阵标识的具体步骤为:
S201 IKI1生成私钥矩阵SKM1和公钥矩阵PKM1,封装本系统的MID11;
S202 IKI2生成私钥矩阵SKM2和公钥矩阵PKM2,封装本系统的MID22;
S203 IKI0生成私钥矩阵SKM0和公钥矩阵PKM0,封装本系统的MID00;
S204 IKI1将IDiss1||PKM1发送给IKI0;
S205 IKI0封装MID01,IKI0将MID00,MID01以及IDiss0||PKM0发送给IKI1;
S206 IKI1封装MID10,IKI1将MID10发送给IKI0;
S207 IKI2将IDiss2||PKM2发送给IKI0;
S208 IKI0封装MID02,IKI0将MID00,MID02以及IDiss0||PKM0发送给IKI2;
S209 IKI2封装MID20,IKI2将MID20发送给IKI0。
8.根据权利要求7所述的一种基于标识的组合密钥跨域认证方法,其特征在于,在步骤S3中,所述桥IKI在跨域用户相互认证时,具体步骤为:
S301 IKI1的用户A1发送UIDA1,MID01,MID10给IKI2的用户B1;
S302 B1检查MID20与MID10中的IDiss0是否相同;
S303 B1用PKM0验证MID00;
S304 B1用PKM0验证MID01;
S305 B1用PKM1验证MID10;
S306 B1用PKM1验证UIDA1;
S307 IKI2的用户B1发送UIDB1,MID02,MID20给IKI1的用户A1;
S308 A1检查MID10与MID20中的IDiss0是否相同;
S309 A1用PKM0验证MID00;
S310 A1用PKM0验证MID02;
S311 A1用PKM2验证MID20;
S312 A1用PKM2验证UIDB1。
9.根据权利要求5所述的一种基于标识的组合密钥跨域认证方法,其特征在于,在步骤S4中,所述IKI系统为3个,分别为IKI1、IKI2、IKI3,所述IKI1、IKI2和IKI3互签矩阵标识的具体步骤为:
S401 IKI1与IKI2,IKI1与IKI3,IKI2与IKI3互相签发矩阵标识;
S402 IKI1系统存储与发布IKI1的所有用户标识、MID11、MID12和MID13;
S403 IKI1的每个用户拥有自己的用户标识、MID11、MID12和MID13;
S404 IKI2系统存储与发布IKI2的所有用户标识、MID22、MID21和MID23;
S405 IKI2的每个用户拥有自己的用户标识、MID22、MID21和MID23;
S406 IKI3系统存储与发布IKI3的所有用户标识、MID33、MID31和MID32;
S407 IKI3的每个用户拥有自己的用户标识、MID33、MID31和MID32。
10.根据权利要求9所述的一种基于标识的组合密钥跨域认证方法,其特征在于,在步骤S4中,所述对等IKI在跨域用户相互认证时,具体步骤为:
S501 IKI1的用户A1发送UIDA1给IKI2的用户B1;
S502 B1检查MID21与UIDA1中的颁发机构是否相同;
S503 B1用PKM2验证MID22;
S504 B1用PKM2验证MID21;
S505 B1用PKM1验证UIDA1;
S506 IKI2的用户B1发送UIDB1给IKI1的用户A1;
S507 A1检查MID12与UIDB1中的颁发机构是否相同;
S508 A1用PKM1验证MID11;
S509 A1用PKM1验证MID12;
S510 A1用PKM2验证UIDB1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710647789.3A CN107395364B (zh) | 2017-08-01 | 2017-08-01 | 一种基于标识的组合密钥跨域认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710647789.3A CN107395364B (zh) | 2017-08-01 | 2017-08-01 | 一种基于标识的组合密钥跨域认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107395364A true CN107395364A (zh) | 2017-11-24 |
| CN107395364B CN107395364B (zh) | 2021-02-02 |
Family
ID=60343613
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710647789.3A Active CN107395364B (zh) | 2017-08-01 | 2017-08-01 | 一种基于标识的组合密钥跨域认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107395364B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108566274A (zh) * | 2018-03-15 | 2018-09-21 | 中国地质大学(武汉) | 一种区块链认证系统间无缝对接的方法、设备及存储设备 |
| CN108737436A (zh) * | 2018-05-31 | 2018-11-02 | 西安电子科技大学 | 基于信任联盟区块链的跨域服务器身份认证方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450396A (zh) * | 2016-01-11 | 2016-03-30 | 长沙市迪曼森信息科技有限公司 | 一种无证书的组合密钥产生及应用方法 |
| CN105790941A (zh) * | 2016-04-22 | 2016-07-20 | 长沙市迪曼森信息科技有限公司 | 一种基于标识的具有域划分的组合密钥生成及认证方法 |
-
2017
- 2017-08-01 CN CN201710647789.3A patent/CN107395364B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450396A (zh) * | 2016-01-11 | 2016-03-30 | 长沙市迪曼森信息科技有限公司 | 一种无证书的组合密钥产生及应用方法 |
| CN105790941A (zh) * | 2016-04-22 | 2016-07-20 | 长沙市迪曼森信息科技有限公司 | 一种基于标识的具有域划分的组合密钥生成及认证方法 |
Non-Patent Citations (2)
| Title |
|---|
| 卢伯荣: "《中国优秀硕士学位论文全文数据库》", 31 March 2011 * |
| 杨宇 等: "基于标识的跨域认证系统研究", 《第十一届保密通信与信息安全现状研讨会论文集》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108566274A (zh) * | 2018-03-15 | 2018-09-21 | 中国地质大学(武汉) | 一种区块链认证系统间无缝对接的方法、设备及存储设备 |
| CN108566274B (zh) * | 2018-03-15 | 2021-08-27 | 中国地质大学(武汉) | 一种区块链认证系统间无缝对接的方法、设备及存储设备 |
| CN108737436A (zh) * | 2018-05-31 | 2018-11-02 | 西安电子科技大学 | 基于信任联盟区块链的跨域服务器身份认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107395364B (zh) | 2021-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9397839B2 (en) | Non-hierarchical infrastructure for managing twin-security keys of physical persons or of elements (IGCP/PKI) | |
| CN113014392B (zh) | 基于区块链的数字证书管理方法及系统、设备、存储介质 | |
| CN102932149B (zh) | 一种集成ibe数据加密系统 | |
| CN1980123B (zh) | 基于ibe的pki系统的实现方法及其密钥管理装置 | |
| CN101039182B (zh) | 基于标识的公钥密码认证系统及标识证书发放方法 | |
| CN105790941B (zh) | 一种基于标识的具有域划分的组合密钥生成及认证方法 | |
| US20090103734A1 (en) | Method and system for securing routing information of a communication using identity-based encryption scheme | |
| EP2302834A2 (en) | System and method for providing credentials | |
| CN108696360A (zh) | 一种基于cpk密钥的ca证书发放方法及系统 | |
| CN109194523A (zh) | 隐私保护的多方诊断模型融合方法及系统、云端服务器 | |
| CN103490881A (zh) | 认证服务系统、用户认证方法、认证信息处理方法及系统 | |
| CN101626364A (zh) | 一类可基于口令、抗秘密数据泄露的认证和密钥交换方法 | |
| CN108833373A (zh) | 面向关系隐私保护社交网络的即时通信与匿名访问方法 | |
| CN109327309A (zh) | 一种基于ibc与pki混合体系的跨域密钥管理方法 | |
| CN107733654A (zh) | 一种基于组合密钥的智能设备、密钥分发方法 | |
| CN101162999A (zh) | 基于身份的公钥密码系统与加密地址在网络中的认证方法 | |
| CN107493165A (zh) | 一种具有强匿名性的车联网认证及密钥协商方法 | |
| KR20030062401A (ko) | 겹선형쌍을 이용한 개인식별정보 기반의 은닉서명 장치 및방법 | |
| CN103036684A (zh) | 降低主密钥破解和泄露危害的ibe数据加密系统及方法 | |
| Damgård et al. | Stronger security and constructions of multi-designated verifier signatures | |
| Verma et al. | Provably secure certificate-based proxy blind signature scheme from pairings | |
| CN103428692B (zh) | 可问责且隐私保护的无线接入网络认证方法及其认证系统 | |
| CN107395364A (zh) | 一种基于标识的组合密钥跨域认证方法 | |
| CN107959725A (zh) | 基于椭圆曲线的考虑用户隐私的发布-订阅类服务协议 | |
| CN110519040B (zh) | 基于身份的抗量子计算数字签名方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20221107 Address after: 017010 No. 1, No. 4, Dongwei Second Road North, Ordos, Inner Mongolia Autonomous Region (the fifth floor of the original Huatai Automobile Factory office building) Patentee after: Erdos Dimanson Cryptography Technology Co.,Ltd. Address before: 100012 unit 402, building 1, yard 5, Laiguangying West Road, Wangjing Chengying center, Chaoyang District, Beijing Patentee before: BEIJING DIMANSEN TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |