CN107438001B - 动态cfl证书认证方法 - Google Patents

动态cfl证书认证方法 Download PDF

Info

Publication number
CN107438001B
CN107438001B CN201610351495.1A CN201610351495A CN107438001B CN 107438001 B CN107438001 B CN 107438001B CN 201610351495 A CN201610351495 A CN 201610351495A CN 107438001 B CN107438001 B CN 107438001B
Authority
CN
China
Prior art keywords
certificate
dynamic
user
verification
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610351495.1A
Other languages
English (en)
Other versions
CN107438001A (zh
Inventor
范修斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qingdao Bowenguangcheng Information Security Technology Co ltd
Original Assignee
Qingdao Bowenguangcheng Information Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qingdao Bowenguangcheng Information Security Technology Co ltd filed Critical Qingdao Bowenguangcheng Information Security Technology Co ltd
Priority to CN201610351495.1A priority Critical patent/CN107438001B/zh
Publication of CN107438001A publication Critical patent/CN107438001A/zh
Application granted granted Critical
Publication of CN107438001B publication Critical patent/CN107438001B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明《动态CFL证书认证算法》,属于信息安全技术领域,涉及密钥认证体制。本发明给出了CFL证书认证中的动态证书认证算法,其由用户或设备方对自己的信息添加签名算法、CFL证书生成中心对用户添加信息后签名算法、CFL用户或设备动态CFL证书生成算法、验证方验证动态CFL证书算法这四个算法构成。通过分析证明了CFL认证中的动态认证算法可防止假冒攻击和重放攻击。

Description

动态CFL证书认证方法
技术领域
本发明属于信息安全技术领域,涉及密钥认证体制。
背景技术
设CFL签名验证所需要的私钥基和公钥基为:
私钥基SKB(Secret Key Base):CFL证书生成中心为用户或设备证书签名的主系统密钥,
SKB={sk0,sk1,…,skL-1},
其中各元素随机生成,且两两不同,L是私钥基中元素的总个数。
公钥基PKB(Public Key Base):CFL证书生成中心主系统密钥对应的公钥序列,
PKB={pk0,pk1,…,pkL-1},
其中pki是公钥密码算法中私钥ski对应的公钥,i=0,…,L-1。
在CFL认证体制中,对用户或设备的CFL证书进行CFL签名验证,其过程如下:
(1)CFL证书生成中心的CFL证书生成流程
1)用户或设备将自身信息及工作公钥发送给CFL证书生成中心。
2)CFL证书生成中心根据用户或设备标识ID,计算H(ID),其中H为hash函数。
3)CFL证书生成中心基于H(ID)、私钥基、CFL控选函数生成用户或设备的标识私钥。
4)CFL证书生成中心利用用户或设备的标识私钥对用户或设备标识进行签名,用户或设备标识及其签名构成用户或设备的CFL证书。
(2)验证方对该用户或设备CFL证书的验证流程
1)用户或设备将CFL证书发送给验证方。
2)验证方根据该用户或设备标识ID,计算H(ID)。
3)验证方基于H(ID)、公钥基、CFL控选函数生成用户或设备的标识公钥。
4)验证方利用该用户或设备的标识公钥对CFL证书进行验证。
一般CFL证书中包含的内容:
证书版本号I1、证书拥有者的基本信息I2、证书拥有者的工作加密公钥密码算法信息以及工作公钥I3、证书拥有者签名用hash函数信息I4、证书拥有者的工作签名算法信息以及工作签名验证公钥I5、证书生成中心的信息I6、证书序号I7、证书拥有者的权限I8、证书的有效时间I9、证书生成中心签名用hash函数信息I10、证书生成中心对证书签名算法信息I11、证书生成中心对该证书基于用户或设备标识的签名I12
即用户或设备U的证书为
Figure GSB0000187494070000021
又称之为原始CFL证书。
在基于标识的证书认证体制CFL认证中,在用户或设备使用原始CFL证书的过程中,会存在假冒攻击、重放攻击。为了解决这些攻击问题,本专利给出了《动态CFL证书认证方法》发明。
发明内容
在原始CFL证书的应用过程中,通信的甲乙双方在原始CFL证书使用过程中,两者首先要交换原始CFL证书,并对原始CFL证书的签名进行验证。但是,当攻击者截获原始CFL证书时,很容易实现假冒攻击、重放攻击。为此我们给出动态CFL证书认证方法。
动态CFL证书认证方法由用户或设备方对自己的信息添加签名算法、CFL证书生成中心对用户添加信息后签名算法、CFL用户或设备动态CFL证书生成算法、验证方验证动态CFL证书算法四个算法构成。
(1)用户或设备方对自己的信息添加签名算法
1)设I4对应的hash函数为HU,用户或设备计算hU=HU(I1||I2||…||I5)。
2)用户或设备利用I5对应的签名算法SignU以及自己的工作签名私钥RASK,计算
S1=SignU(RASK,hU).
称之为动态CFL证书的第一次签名。
3)用户或设备将自身信息I1||I2||…||I5||S1发给CFL证书生成中心。
(2)CFL证书生成中心对用户添加信息后签名算法
1)证书生成中心对S1进行验证。验证通过后,到第2)步。
2)证书生成中心对用户的信息I1||I2||…||I5||S1添加I6||I7||…||I11
3)证书生成中心利用I10对应的hash函数HC,计算
hC=HC(I1||I2||…||I5||S1||I6||…||I11).
4)证书生成中心利用I11对应的签名算法SignC、私钥基SKB、控选函数F,利用CFL的基于标识的签名算法,计算S2=SignC(SKB,F(hC),hC)。称之为动态CFL证书的第二次签名。
5)证书生成中心形成用户或设备的证书
CU=I1||I2||…||I5||S1||I6||…||I11||S2.
称之为第二次签名CFL证书,并将之发给用户或设备。
(3)CFl用户或设备动态CFL证书生成算法
1)在证书使用时,将证书的内容添加时间戳J1、随机数J2
2)用户或设备计算
HU(CU||J1||J2),
并用自己的工作签名算法SignU对其进行签名。即计算:
SignU(RASK,HU(CU||J1||J2))=S3.
称之为动态CFL证书的第三次签名。
3)用户或设备形成动态CFL证书
Figure GSB0000187494070000031
称之为动态CFL证书,并将其发给验证方。
(4)验证方验证动态CFL证书算法
1)验证方计算hU=HU(I1||I2||…||I5)。
2)验证方使用SignU对应的验证算法为VerifyU以及用户或设备的工作签名验证公钥RAPK,验证
VerifyU(RAPK,hU,S1)是否成功。
称之为动态CFL证书的第一次验证。
3)若2)验证通过,则验证方计算hC=HC(I1||I2||…||I5||S1||I6||…||I11).
4)验证方使用SignC对应的验证算法VerifyC,验证
VerifyC(PKB,D(hC),hC,S2)是否成功。
称之为动态CFL证书的第二次验证。
5)若4)通过,则验证者计算HU(CU||J1||J2)。
6)验证者验证VerifyU(RAPK,HU(CU||J1||J2),S3)是否成功,若成功,则验证通过。称之为动态CFL证书的第三次验证。
动态CFL证书认证方法安全性分析:
命题1 原始CFL证书在应用中存在假冒攻击。
证明 如果攻击者A截获用户或设备U的原始证书C′U并阻塞,A冒充U将CU发给验证者,验证者通过验证。□
命题2 原始CFL证书在应用中存在重放攻击。
证明 如果攻击者A截获用户或设备U的原始证书C′U,A反复将C′U发给验证者,验证者通过验证。□
命题3 如果攻击者仅截获用户或设备的第二次签名CFL证书CU,动态CFL证书可防止假冒攻击。
证明 如果攻击者A截获用户或设备U的第二次签名CFL证书CU并阻塞,A冒充U时,因为A没有用户或设备U的工作签名私钥,验证者第三次验证时不能通过。□
命题4 动态CFL证书可防止重放攻击。
证明 如果攻击者A截获用户或设备U的动态CFL证书
Figure GSB0000187494070000041
A将
Figure GSB0000187494070000042
发给验证者,由于J1,J2的新鲜性,验证不通过。□
命题5 在CFL证书拥有者与其CU证书绑定的前提下,动态CFL证书认证方法可以绑定证书拥有者、证书的当前应用者。
证明 在证书拥有者与其CU证书绑定的前提下,动态证书中对中心签名的验证由证书生成中心绑定了证书拥有者,由此绑定了证书拥有者工作私钥。动态证书中对用户工作私钥签名的验证绑定了证书的当前应用,继而绑定了证书的当前拥有者,也就是说证书拥有者和当前应用者一致。□
鉴于动态CFL证书认证方法上述性质,其可以高效保证进程级可信认证。

Claims (3)

1.一种动态CFL证书认证方法,其特征在于包括:
动态CFL证书认证方法由用户或设备方对自己的信息添加签名算法、CFL证书生成中心对用户添加信息后签名算法、CFL用户或设备动态CFL证书生成算法、验证方验证动态CFL证书算法四个算法构成;
设CFL证书的内容有:证书版本号I1、证书拥有者的基本信息I2、证书拥有者的工作加密公钥密码算法信息以及工作公钥I3、证书拥有者签名用hash函数信息I4、证书拥有者的工作签名算法信息以及工作签名验证公钥I5、证书生成中心的信息I6、证书序号I7、证书拥有者的权限I8、证书的有效时间I9、证书生成中心签名用hash函数信息I10、证书生成中心对证书签名算法信息I11
用户或设备方对自己的信息添加签名算法:
①设I4对应的hash函数为HU,用户或设备计算hU=HU(I1||I2||…||I5);
②用户或设备利用I5对应的签名算法SignU以及自己的工作签名私钥RASK,计算S1=SignU(RASK,hU),称之为动态CFL证书的第一次签名;
③用户或设备将自身信息I1||I2||…||I5||S1发给CFL证书生成中心;
CFL证书生成中心对用户添加信息后签名算法:
①证书生成中心对S1进行验证,验证通过后,到第②步;
②证书生成中心对用户的信息I1||I2||…||I5||S1添加I6||I7||…||I11
③证书生成中心利用I10对应的hash函数HC,计算
hC=HC(I1||I2||…||I5||S1||I6||…||I11);
④证书生成中心利用I11对应的签名算法SignC、私钥基SKB、控选函数F,利用CFL的基于标识的签名算法,计算S2=SignC(SKB,F(hC),hC),称之为动态CFL证书的第二次签名;
⑤证书生成中心形成用户或设备的证书CU=I1||I2||…||I5||S1||I6||…||I11||S2,称之为第二次签名CFL证书,并将之发给用户或设备;
CFL用户或设备动态CFL证书生成算法:
①在证书使用时,将证书的内容添加时间戳J1、随机数J2
②用户或设备计算HU(CU||J1||J2),并用自己的工作签名算法SignU对其进行签名,即计算SignU(RASK,HU(CU||J1||J2))=S3,称之为动态CFL证书的第三次签名;
③用户或设备形成动态CFL证书
Figure FSB0000187494060000021
称之为动态CFL证书,并将其发给验证方;
验证方验证动态CFL证书算法:
①验证方计算hU=HU(I1||I2||…||I5);
②验证方使用SignU对应的验证算法为VerifyU以及用户或设备的工作签名验证公钥RAPK,验证VerifyU(RAPK,hU,S1)是否成功,称之为动态CFL证书的第一次验证;
③若②验证通过,则验证方计算hC=HC(I1||I2||…||I5||S1||I6||…||I11);
④验证方使用SignC对应的验证算法VerifyC,验证VerifyC(PKB,F(hC),hC,S2)是否成功,称之为动态CFL证书的第二次验证;
⑤若④通过,则验证者计算HU(CU||J1||J2);
⑥验证者验证VerifyU(RAPK,HU(CU||J1||J2),S3)是否成功,若成功,则验证通过,称之为动态CFL证书的第三次验证。
2.根据权利要求1所述的动态CFL证书认证方法,其特征在于:动态CFL证书可防止假冒攻击和重放攻击。
3.根据权利要求1所述的动态CFL证书认证方法,其特征在于:在CFL证书拥有者与其CU证书绑定的前提下,动态CFL证书认证方法可以绑定证书拥有者、证书的当前应用者。
CN201610351495.1A 2016-05-26 2016-05-26 动态cfl证书认证方法 Active CN107438001B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610351495.1A CN107438001B (zh) 2016-05-26 2016-05-26 动态cfl证书认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610351495.1A CN107438001B (zh) 2016-05-26 2016-05-26 动态cfl证书认证方法

Publications (2)

Publication Number Publication Date
CN107438001A CN107438001A (zh) 2017-12-05
CN107438001B true CN107438001B (zh) 2020-08-07

Family

ID=60452997

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610351495.1A Active CN107438001B (zh) 2016-05-26 2016-05-26 动态cfl证书认证方法

Country Status (1)

Country Link
CN (1) CN107438001B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114845298B (zh) * 2022-03-29 2023-11-28 国网山东省电力公司经济技术研究院 一种基于可信wlan的架空光缆监测传输系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1802017A (zh) * 2005-07-15 2006-07-12 华为技术有限公司 一种防止重放攻击的认证方法
CN101119381A (zh) * 2007-09-07 2008-02-06 中兴通讯股份有限公司 防止重放攻击的方法及系统
US7418595B2 (en) * 2004-01-02 2008-08-26 Nokia Siemens Networks Oy Replay prevention mechanism for EAP/SIM authentication
CN102957536A (zh) * 2011-08-29 2013-03-06 陈华平 基于标识的证书认证体制cfl

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7418595B2 (en) * 2004-01-02 2008-08-26 Nokia Siemens Networks Oy Replay prevention mechanism for EAP/SIM authentication
CN1802017A (zh) * 2005-07-15 2006-07-12 华为技术有限公司 一种防止重放攻击的认证方法
CN101119381A (zh) * 2007-09-07 2008-02-06 中兴通讯股份有限公司 防止重放攻击的方法及系统
CN102957536A (zh) * 2011-08-29 2013-03-06 陈华平 基于标识的证书认证体制cfl

Also Published As

Publication number Publication date
CN107438001A (zh) 2017-12-05

Similar Documents

Publication Publication Date Title
US10944575B2 (en) Implicitly certified digital signatures
CN104735068B (zh) 基于国密的sip安全认证的方法
US10148422B2 (en) Implicitly certified public keys
CN105141425B (zh) 一种基于混沌映射的可保护身份的双向认证方法
CN101212293B (zh) 一种身份认证方法及系统
CN106059775B (zh) Cfl集中管理模式实现方法
CN106161035B (zh) Cfl个人隐私保护模式实现方法
CN105516119A (zh) 基于代理重签名的跨域身份认证方法
TW201426383A (zh) 身份驗證系統及方法
CN101488851B (zh) 一种可信计算中签发身份证明证书的方法及装置
CN103414559A (zh) 一种云计算环境下的基于类ibe系统的身份认证方法
CN108390866B (zh) 基于双代理双向匿名认证的可信远程证明方法及系统
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN105187208B (zh) 非授权的基于无证书的强指定验证者签名体制
CN107438001B (zh) 动态cfl证书认证方法
Jiang et al. An anonymous communication scheme based on ring signature in VANETs
JP2007157161A5 (zh)
CN102098397A (zh) 一种基于ZRTP密钥交换的VoIP媒体流可信传输的实现方法
CN113872759A (zh) 一种智能电网的轻量级身份认证方法
CN106789010B (zh) Cfl去中心化应用方法
CN107438000B (zh) Cfl虎符认证方法
CN110572257A (zh) 基于身份的抗量子计算数据来源鉴别方法和系统
CN108737100B (zh) 基于标识的证书认证体制fxb
CN103647651A (zh) 一种基于安全芯片的配电终端管理方法
CN116346327A (zh) 双向认证密钥协商方法及采用该方法的用电信息采集系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 266200 Shandong city of Qingdao province Jimo city streets aoshanwei bluevale Business Center No. 2 Building 4 layer

Applicant after: Qingdao Bowen Guangcheng information Safe Technology Ltd

Address before: 100039, Beijing, Fengtai District Dacheng Li Xiu park, building 13 on the east side of the building

Applicant before: Beijing Bowen Guangcheng Information Safety Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant