CN107438001B - 动态cfl证书认证方法 - Google Patents
动态cfl证书认证方法 Download PDFInfo
- Publication number
- CN107438001B CN107438001B CN201610351495.1A CN201610351495A CN107438001B CN 107438001 B CN107438001 B CN 107438001B CN 201610351495 A CN201610351495 A CN 201610351495A CN 107438001 B CN107438001 B CN 107438001B
- Authority
- CN
- China
- Prior art keywords
- certificate
- dynamic
- user
- verification
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明《动态CFL证书认证算法》,属于信息安全技术领域,涉及密钥认证体制。本发明给出了CFL证书认证中的动态证书认证算法,其由用户或设备方对自己的信息添加签名算法、CFL证书生成中心对用户添加信息后签名算法、CFL用户或设备动态CFL证书生成算法、验证方验证动态CFL证书算法这四个算法构成。通过分析证明了CFL认证中的动态认证算法可防止假冒攻击和重放攻击。
Description
技术领域
本发明属于信息安全技术领域,涉及密钥认证体制。
背景技术
设CFL签名验证所需要的私钥基和公钥基为:
私钥基SKB(Secret Key Base):CFL证书生成中心为用户或设备证书签名的主系统密钥,
SKB={sk0,sk1,…,skL-1},
其中各元素随机生成,且两两不同,L是私钥基中元素的总个数。
公钥基PKB(Public Key Base):CFL证书生成中心主系统密钥对应的公钥序列,
PKB={pk0,pk1,…,pkL-1},
其中pki是公钥密码算法中私钥ski对应的公钥,i=0,…,L-1。
在CFL认证体制中,对用户或设备的CFL证书进行CFL签名验证,其过程如下:
(1)CFL证书生成中心的CFL证书生成流程
1)用户或设备将自身信息及工作公钥发送给CFL证书生成中心。
2)CFL证书生成中心根据用户或设备标识ID,计算H(ID),其中H为hash函数。
3)CFL证书生成中心基于H(ID)、私钥基、CFL控选函数生成用户或设备的标识私钥。
4)CFL证书生成中心利用用户或设备的标识私钥对用户或设备标识进行签名,用户或设备标识及其签名构成用户或设备的CFL证书。
(2)验证方对该用户或设备CFL证书的验证流程
1)用户或设备将CFL证书发送给验证方。
2)验证方根据该用户或设备标识ID,计算H(ID)。
3)验证方基于H(ID)、公钥基、CFL控选函数生成用户或设备的标识公钥。
4)验证方利用该用户或设备的标识公钥对CFL证书进行验证。
一般CFL证书中包含的内容:
证书版本号I1、证书拥有者的基本信息I2、证书拥有者的工作加密公钥密码算法信息以及工作公钥I3、证书拥有者签名用hash函数信息I4、证书拥有者的工作签名算法信息以及工作签名验证公钥I5、证书生成中心的信息I6、证书序号I7、证书拥有者的权限I8、证书的有效时间I9、证书生成中心签名用hash函数信息I10、证书生成中心对证书签名算法信息I11、证书生成中心对该证书基于用户或设备标识的签名I12。
在基于标识的证书认证体制CFL认证中,在用户或设备使用原始CFL证书的过程中,会存在假冒攻击、重放攻击。为了解决这些攻击问题,本专利给出了《动态CFL证书认证方法》发明。
发明内容
在原始CFL证书的应用过程中,通信的甲乙双方在原始CFL证书使用过程中,两者首先要交换原始CFL证书,并对原始CFL证书的签名进行验证。但是,当攻击者截获原始CFL证书时,很容易实现假冒攻击、重放攻击。为此我们给出动态CFL证书认证方法。
动态CFL证书认证方法由用户或设备方对自己的信息添加签名算法、CFL证书生成中心对用户添加信息后签名算法、CFL用户或设备动态CFL证书生成算法、验证方验证动态CFL证书算法四个算法构成。
(1)用户或设备方对自己的信息添加签名算法
1)设I4对应的hash函数为HU,用户或设备计算hU=HU(I1||I2||…||I5)。
2)用户或设备利用I5对应的签名算法SignU以及自己的工作签名私钥RASK,计算
S1=SignU(RASK,hU).
称之为动态CFL证书的第一次签名。
3)用户或设备将自身信息I1||I2||…||I5||S1发给CFL证书生成中心。
(2)CFL证书生成中心对用户添加信息后签名算法
1)证书生成中心对S1进行验证。验证通过后,到第2)步。
2)证书生成中心对用户的信息I1||I2||…||I5||S1添加I6||I7||…||I11;
3)证书生成中心利用I10对应的hash函数HC,计算
hC=HC(I1||I2||…||I5||S1||I6||…||I11).
4)证书生成中心利用I11对应的签名算法SignC、私钥基SKB、控选函数F,利用CFL的基于标识的签名算法,计算S2=SignC(SKB,F(hC),hC)。称之为动态CFL证书的第二次签名。
5)证书生成中心形成用户或设备的证书
CU=I1||I2||…||I5||S1||I6||…||I11||S2.
称之为第二次签名CFL证书,并将之发给用户或设备。
(3)CFl用户或设备动态CFL证书生成算法
1)在证书使用时,将证书的内容添加时间戳J1、随机数J2。
2)用户或设备计算
HU(CU||J1||J2),
并用自己的工作签名算法SignU对其进行签名。即计算:
SignU(RASK,HU(CU||J1||J2))=S3.
称之为动态CFL证书的第三次签名。
(4)验证方验证动态CFL证书算法
1)验证方计算hU=HU(I1||I2||…||I5)。
2)验证方使用SignU对应的验证算法为VerifyU以及用户或设备的工作签名验证公钥RAPK,验证
VerifyU(RAPK,hU,S1)是否成功。
称之为动态CFL证书的第一次验证。
3)若2)验证通过,则验证方计算hC=HC(I1||I2||…||I5||S1||I6||…||I11).
4)验证方使用SignC对应的验证算法VerifyC,验证
VerifyC(PKB,D(hC),hC,S2)是否成功。
称之为动态CFL证书的第二次验证。
5)若4)通过,则验证者计算HU(CU||J1||J2)。
6)验证者验证VerifyU(RAPK,HU(CU||J1||J2),S3)是否成功,若成功,则验证通过。称之为动态CFL证书的第三次验证。
动态CFL证书认证方法安全性分析:
命题1 原始CFL证书在应用中存在假冒攻击。
证明 如果攻击者A截获用户或设备U的原始证书C′U并阻塞,A冒充U将CU发给验证者,验证者通过验证。□
命题2 原始CFL证书在应用中存在重放攻击。
证明 如果攻击者A截获用户或设备U的原始证书C′U,A反复将C′U发给验证者,验证者通过验证。□
命题3 如果攻击者仅截获用户或设备的第二次签名CFL证书CU,动态CFL证书可防止假冒攻击。
证明 如果攻击者A截获用户或设备U的第二次签名CFL证书CU并阻塞,A冒充U时,因为A没有用户或设备U的工作签名私钥,验证者第三次验证时不能通过。□
命题4 动态CFL证书可防止重放攻击。
命题5 在CFL证书拥有者与其CU证书绑定的前提下,动态CFL证书认证方法可以绑定证书拥有者、证书的当前应用者。
证明 在证书拥有者与其CU证书绑定的前提下,动态证书中对中心签名的验证由证书生成中心绑定了证书拥有者,由此绑定了证书拥有者工作私钥。动态证书中对用户工作私钥签名的验证绑定了证书的当前应用,继而绑定了证书的当前拥有者,也就是说证书拥有者和当前应用者一致。□
鉴于动态CFL证书认证方法上述性质,其可以高效保证进程级可信认证。
Claims (3)
1.一种动态CFL证书认证方法,其特征在于包括:
动态CFL证书认证方法由用户或设备方对自己的信息添加签名算法、CFL证书生成中心对用户添加信息后签名算法、CFL用户或设备动态CFL证书生成算法、验证方验证动态CFL证书算法四个算法构成;
设CFL证书的内容有:证书版本号I1、证书拥有者的基本信息I2、证书拥有者的工作加密公钥密码算法信息以及工作公钥I3、证书拥有者签名用hash函数信息I4、证书拥有者的工作签名算法信息以及工作签名验证公钥I5、证书生成中心的信息I6、证书序号I7、证书拥有者的权限I8、证书的有效时间I9、证书生成中心签名用hash函数信息I10、证书生成中心对证书签名算法信息I11;
用户或设备方对自己的信息添加签名算法:
①设I4对应的hash函数为HU,用户或设备计算hU=HU(I1||I2||…||I5);
②用户或设备利用I5对应的签名算法SignU以及自己的工作签名私钥RASK,计算S1=SignU(RASK,hU),称之为动态CFL证书的第一次签名;
③用户或设备将自身信息I1||I2||…||I5||S1发给CFL证书生成中心;
CFL证书生成中心对用户添加信息后签名算法:
①证书生成中心对S1进行验证,验证通过后,到第②步;
②证书生成中心对用户的信息I1||I2||…||I5||S1添加I6||I7||…||I11;
③证书生成中心利用I10对应的hash函数HC,计算
hC=HC(I1||I2||…||I5||S1||I6||…||I11);
④证书生成中心利用I11对应的签名算法SignC、私钥基SKB、控选函数F,利用CFL的基于标识的签名算法,计算S2=SignC(SKB,F(hC),hC),称之为动态CFL证书的第二次签名;
⑤证书生成中心形成用户或设备的证书CU=I1||I2||…||I5||S1||I6||…||I11||S2,称之为第二次签名CFL证书,并将之发给用户或设备;
CFL用户或设备动态CFL证书生成算法:
①在证书使用时,将证书的内容添加时间戳J1、随机数J2;
②用户或设备计算HU(CU||J1||J2),并用自己的工作签名算法SignU对其进行签名,即计算SignU(RASK,HU(CU||J1||J2))=S3,称之为动态CFL证书的第三次签名;
验证方验证动态CFL证书算法:
①验证方计算hU=HU(I1||I2||…||I5);
②验证方使用SignU对应的验证算法为VerifyU以及用户或设备的工作签名验证公钥RAPK,验证VerifyU(RAPK,hU,S1)是否成功,称之为动态CFL证书的第一次验证;
③若②验证通过,则验证方计算hC=HC(I1||I2||…||I5||S1||I6||…||I11);
④验证方使用SignC对应的验证算法VerifyC,验证VerifyC(PKB,F(hC),hC,S2)是否成功,称之为动态CFL证书的第二次验证;
⑤若④通过,则验证者计算HU(CU||J1||J2);
⑥验证者验证VerifyU(RAPK,HU(CU||J1||J2),S3)是否成功,若成功,则验证通过,称之为动态CFL证书的第三次验证。
2.根据权利要求1所述的动态CFL证书认证方法,其特征在于:动态CFL证书可防止假冒攻击和重放攻击。
3.根据权利要求1所述的动态CFL证书认证方法,其特征在于:在CFL证书拥有者与其CU证书绑定的前提下,动态CFL证书认证方法可以绑定证书拥有者、证书的当前应用者。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610351495.1A CN107438001B (zh) | 2016-05-26 | 2016-05-26 | 动态cfl证书认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610351495.1A CN107438001B (zh) | 2016-05-26 | 2016-05-26 | 动态cfl证书认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107438001A CN107438001A (zh) | 2017-12-05 |
CN107438001B true CN107438001B (zh) | 2020-08-07 |
Family
ID=60452997
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610351495.1A Active CN107438001B (zh) | 2016-05-26 | 2016-05-26 | 动态cfl证书认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107438001B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114845298B (zh) * | 2022-03-29 | 2023-11-28 | 国网山东省电力公司经济技术研究院 | 一种基于可信wlan的架空光缆监测传输系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1802017A (zh) * | 2005-07-15 | 2006-07-12 | 华为技术有限公司 | 一种防止重放攻击的认证方法 |
CN101119381A (zh) * | 2007-09-07 | 2008-02-06 | 中兴通讯股份有限公司 | 防止重放攻击的方法及系统 |
US7418595B2 (en) * | 2004-01-02 | 2008-08-26 | Nokia Siemens Networks Oy | Replay prevention mechanism for EAP/SIM authentication |
CN102957536A (zh) * | 2011-08-29 | 2013-03-06 | 陈华平 | 基于标识的证书认证体制cfl |
-
2016
- 2016-05-26 CN CN201610351495.1A patent/CN107438001B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7418595B2 (en) * | 2004-01-02 | 2008-08-26 | Nokia Siemens Networks Oy | Replay prevention mechanism for EAP/SIM authentication |
CN1802017A (zh) * | 2005-07-15 | 2006-07-12 | 华为技术有限公司 | 一种防止重放攻击的认证方法 |
CN101119381A (zh) * | 2007-09-07 | 2008-02-06 | 中兴通讯股份有限公司 | 防止重放攻击的方法及系统 |
CN102957536A (zh) * | 2011-08-29 | 2013-03-06 | 陈华平 | 基于标识的证书认证体制cfl |
Also Published As
Publication number | Publication date |
---|---|
CN107438001A (zh) | 2017-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10944575B2 (en) | Implicitly certified digital signatures | |
CN104735068B (zh) | 基于国密的sip安全认证的方法 | |
US10148422B2 (en) | Implicitly certified public keys | |
CN105141425B (zh) | 一种基于混沌映射的可保护身份的双向认证方法 | |
CN101212293B (zh) | 一种身份认证方法及系统 | |
CN106059775B (zh) | Cfl集中管理模式实现方法 | |
CN106161035B (zh) | Cfl个人隐私保护模式实现方法 | |
CN105516119A (zh) | 基于代理重签名的跨域身份认证方法 | |
TW201426383A (zh) | 身份驗證系統及方法 | |
CN101488851B (zh) | 一种可信计算中签发身份证明证书的方法及装置 | |
CN103414559A (zh) | 一种云计算环境下的基于类ibe系统的身份认证方法 | |
CN108390866B (zh) | 基于双代理双向匿名认证的可信远程证明方法及系统 | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN105187208B (zh) | 非授权的基于无证书的强指定验证者签名体制 | |
CN107438001B (zh) | 动态cfl证书认证方法 | |
Jiang et al. | An anonymous communication scheme based on ring signature in VANETs | |
JP2007157161A5 (zh) | ||
CN102098397A (zh) | 一种基于ZRTP密钥交换的VoIP媒体流可信传输的实现方法 | |
CN113872759A (zh) | 一种智能电网的轻量级身份认证方法 | |
CN106789010B (zh) | Cfl去中心化应用方法 | |
CN107438000B (zh) | Cfl虎符认证方法 | |
CN110572257A (zh) | 基于身份的抗量子计算数据来源鉴别方法和系统 | |
CN108737100B (zh) | 基于标识的证书认证体制fxb | |
CN103647651A (zh) | 一种基于安全芯片的配电终端管理方法 | |
CN116346327A (zh) | 双向认证密钥协商方法及采用该方法的用电信息采集系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 266200 Shandong city of Qingdao province Jimo city streets aoshanwei bluevale Business Center No. 2 Building 4 layer Applicant after: Qingdao Bowen Guangcheng information Safe Technology Ltd Address before: 100039, Beijing, Fengtai District Dacheng Li Xiu park, building 13 on the east side of the building Applicant before: Beijing Bowen Guangcheng Information Safety Technology Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |