CN108923923A - 一种基于可信第三方的秘钥协商协议的设计及其实现方法 - Google Patents

一种基于可信第三方的秘钥协商协议的设计及其实现方法 Download PDF

Info

Publication number
CN108923923A
CN108923923A CN201810857713.8A CN201810857713A CN108923923A CN 108923923 A CN108923923 A CN 108923923A CN 201810857713 A CN201810857713 A CN 201810857713A CN 108923923 A CN108923923 A CN 108923923A
Authority
CN
China
Prior art keywords
party
user
module
data
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810857713.8A
Other languages
English (en)
Inventor
余磊
郭宇燕
江明明
卓泽朋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huaibei Normal University
Original Assignee
Huaibei Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huaibei Normal University filed Critical Huaibei Normal University
Priority to CN201810857713.8A priority Critical patent/CN108923923A/zh
Publication of CN108923923A publication Critical patent/CN108923923A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本发明公开了信息安全技术领域的一种基于可信第三方的秘钥协商协议的设计及其实现方法,包括客户端、数字签名模块、身份鉴别模块、数据公正模块、路由控制服务器、访问控制模块、应用接口、数据加密模块、第三方密钥分配中心以及应用服务器;所述身份鉴别模块用于支持访问控制服务所需的身份认证功能,并进行口令交换,本发明能够使通信双方从对方提供自己支持的功能从而协商共同的安全属性,通过可信任的第三方私钥协商机制,利用正确的鉴别协议,完成用户身份鉴别,并引入可信任的第三方密钥分配中心,减轻私钥的管理难度和降低私钥的安全风险,减小了计算量,同时能够保证整个网络数据的安全性。

Description

一种基于可信第三方的秘钥协商协议的设计及其实现方法
技术领域
本发明公开了一种基于可信第三方的秘钥协商协议的设计及其实现方法,具体为信息安全技术领域。
背景技术
威胁网路数据安全的因素是多方面的,例如由于网络设计、管理等方面的原因会无意造成数据的暴漏,攻击者也可采取非法行动从网络中获取数据,从而威胁到数据的安全性和完整性。尽管网络安全对于网络的正常运行和使用有着极其重要的影响,但目前对于网络安全的研究仍然处于不成熟的阶段,对于网络安全体系结构还缺乏统一的认知。私钥密码系统应用中一个重要的安全需求就是确保使用的公钥确切的属于指定的接收者,即需要一种将用户标识(ID)和其公钥绑定在一起的安全机制。传统私钥密码体制中,例如采用RSA、DSA、ECC等算法的系统,私钥的产生和用户的标识没有关系,需要由第三方认证中心(CA)发放证书,即对用户的私钥和标识进行签名,将二者绑定。私钥方式的身份认证协议安全度高,但是其计算开销大、标准不统一,用户标识私钥丢失后,传统私钥体制中用户的标识和私钥绑定在一起,如果用户私钥丢失,用户可以重新生成一对公钥和私钥,而在标识密码体制中,用户的标识就是公钥,因此无法被注销。为此,我们提出了一种基于可信第三方的秘钥协商协议的设计及其实现方法投入使用,以解决上述问题。
发明内容
本发明的目的在于提供一种基于可信第三方的秘钥协商协议的设计及其实现方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于可信第三方的秘钥协商协议的设计及其实现方法,包括客户端、数字签名模块、身份鉴别模块、数据公正模块、路由控制服务器、访问控制模块、应用接口、数据加密模块、第三方密钥分配中心以及应用服务器;
所述用于对上网用户的访问进行认证控制;所述身份鉴别模块用于支持访问控制服务所需的身份认证功能,并进行口令交换;所述数据公正模块基于数字签名技术对数据传输的完整性、数据源、传输时间和数据宿进行公正;所述访问控制模块基于访问控制表和通过容量或能力限制等手段进行资源的访问控制;所述路由控制服务器包括对路由的选择进行限制和对路由信息进行鉴别;所述数据加密模块用于对网络传输中的数据内容进行加密;所述应用接口提供所述客户端和访问控制模块的应用开发接口,其包含创建或读取身份认证请求例程,创建安全或秘密消息的例程;所述第三方密钥分配中心用于合理分配多组用户私钥。
优选的,所述访问控制模块包括对用于设置不同的访问权限、对用户允许访问的时间和访问的持续时间进行限制。
优选的,所述应用接口内置受控端口和非受控端口,其中所述非受控端口始终处于双向连通状态,用于传递EAP协议包;所述受控端口可配置为双向受控、输人受控两种方式,以适应不同的应用环境。
优选的,所述客户端还包括数据管理服务器,用于注册用户通过发送协议包的方式对上网记录进行查询,系统管理员通过所述数据管理服务器对注册用户的上网情况进行统计和管理。
优选的,该实现方法的具体步骤如下:
S1:身份验证产生会话私钥KS,连同对方的身份标识B,用与第三方密钥分配中心共享的对称私钥KA进行加密,EKA(B,KS)=KA(B,KS),将结果KA(B,KS)与自身的身份标识A一起发送至第三方密钥分配中心;
S2:第三方密钥分配中心得到用户身份标识A,并用KA对KA(B,KS)进行解密,DKA(KA(B,KS))=B,KS,随后用与对方用户共享的对称私钥对用户A和KS进行加密,EKB(A,KS)=KB(A,KS),将结果KB(A,KS)发送给对方用户;
S3:对方用户用KB对KB(A,KS)进行解密,DKB(KB(A,KS))=B,KS,即确定用户的身份,并建立会话私钥KS
与现有技术相比,本发明的有益效果是:本发明能够使通信双方从对方提供自己支持的功能从而协商共同的安全属性,通过可信任的第三方私钥协商机制,利用正确的鉴别协议,完成用户身份鉴别,并引入可信任的第三方密钥分配中心,减轻私钥的管理难度和降低私钥的安全风险,减小了计算量,同时能够保证整个网络数据的安全性。
附图说明
图1为本发明系统原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种技术方案:一种基于可信第三方的秘钥协商协议的设计,包括客户端、数字签名模块、身份鉴别模块、数据公正模块、路由控制服务器、访问控制模块、应用接口、数据加密模块、第三方密钥分配中心以及应用服务器;
所述用于对上网用户的访问进行认证控制;所述身份鉴别模块用于支持访问控制服务所需的身份认证功能,并进行口令交换;所述数据公正模块基于数字签名技术对数据传输的完整性、数据源、传输时间和数据宿进行公正;所述访问控制模块基于访问控制表和通过容量或能力限制等手段进行资源的访问控制;所述路由控制服务器包括对路由的选择进行限制和对路由信息进行鉴别;所述数据加密模块用于对网络传输中的数据内容进行加密;所述应用接口提供所述客户端和访问控制模块的应用开发接口,其包含创建或读取身份认证请求例程,创建安全或秘密消息的例程;所述第三方密钥分配中心用于合理分配多组用户私钥。
其中,所述访问控制模块包括对用于设置不同的访问权限、对用户允许访问的时间和访问的持续时间进行限制,所述应用接口内置受控端口和非受控端口,其中所述非受控端口始终处于双向连通状态,用于传递EAP协议包;所述受控端口可配置为双向受控、输人受控两种方式,以适应不同的应用环境,所述客户端还包括数据管理服务器,用于注册用户通过发送协议包的方式对上网记录进行查询,系统管理员通过所述数据管理服务器对注册用户的上网情况进行统计和管理。
本发明还提供了一种基于可信第三方的秘钥协商协议的实现方法,该实现方法的具体步骤如下:
S1:身份验证产生会话私钥KS,连同对方的身份标识B,用与第三方密钥分配中心共享的对称私钥KA进行加密,EKA(B,KS)=KA(B,KS),将结果KA(B,KS)与自身的身份标识A一起发送至第三方密钥分配中心;
S2:第三方密钥分配中心得到用户身份标识A,并用KA对KA(B,KS)进行解密,DKA(KA(B,KS))=B,KS,随后用与对方用户共享的对称私钥对用户A和KS进行加密,EKB(A,KS)=KB(A,KS),将结果KB(A,KS)发送给对方用户;
S3:对方用户用KB对KB(A,KS)进行解密,DKB(KB(A,KS))=B,KS,即确定用户的身份,并建立会话私钥KS
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。

Claims (5)

1.一种基于可信第三方的秘钥协商协议的设计,其特征在于:包括客户端、数字签名模块、身份鉴别模块、数据公正模块、路由控制服务器、访问控制模块、应用接口、数据加密模块、第三方密钥分配中心以及应用服务器;
所述用于对上网用户的访问进行认证控制;所述身份鉴别模块用于支持访问控制服务所需的身份认证功能,并进行口令交换;所述数据公正模块基于数字签名技术对数据传输的完整性、数据源、传输时间和数据宿进行公正;所述访问控制模块基于访问控制表和通过容量或能力限制等手段进行资源的访问控制;所述路由控制服务器包括对路由的选择进行限制和对路由信息进行鉴别;所述数据加密模块用于对网络传输中的数据内容进行加密;所述应用接口提供所述客户端和访问控制模块的应用开发接口,其包含创建或读取身份认证请求例程,创建安全或秘密消息的例程;所述第三方密钥分配中心用于合理分配多组用户私钥。
2.根据权利要求1所述的一种基于可信第三方的秘钥协商协议的设计,其特征在于:所述访问控制模块包括对用于设置不同的访问权限、对用户允许访问的时间和访问的持续时间进行限制。
3.根据权利要求1所述的一种基于可信第三方的秘钥协商协议的设计,其特征在于:所述应用接口内置受控端口和非受控端口,其中所述非受控端口始终处于双向连通状态,用于传递EAP协议包;所述受控端口可配置为双向受控、输人受控两种方式,以适应不同的应用环境。
4.根据权利要求1所述的一种基于可信第三方的秘钥协商协议的设计,其特征在于:所述客户端还包括数据管理服务器,用于注册用户通过发送协议包的方式对上网记录进行查询,系统管理员通过所述数据管理服务器对注册用户的上网情况进行统计和管理。
5.一种基于可信第三方的秘钥协商协议的实现方法,其特征在于:该实现方法的具体步骤如下:
S1:身份验证产生会话私钥KS,连同对方的身份标识B,用与第三方密钥分配中心共享的对称私钥KA进行加密,EKA(B,KS)=KA(B,KS),将结果KA(B,KS)与自身的身份标识A一起发送至第三方密钥分配中心;
S2:第三方密钥分配中心得到用户身份标识A,并用KA对KA(B,KS)进行解密,DKA(KA(B,KS))=B,KS,随后用与对方用户共享的对称私钥对用户A和KS进行加密,EKB(A,KS)=KB(A,KS),将结果KB(A,KS)发送给对方用户;
S3:对方用户用KB对KB(A,KS)进行解密,DKB(KB(A,KS))=B,KS,即确定用户的身份,并建立会话私钥KS
CN201810857713.8A 2018-07-31 2018-07-31 一种基于可信第三方的秘钥协商协议的设计及其实现方法 Pending CN108923923A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810857713.8A CN108923923A (zh) 2018-07-31 2018-07-31 一种基于可信第三方的秘钥协商协议的设计及其实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810857713.8A CN108923923A (zh) 2018-07-31 2018-07-31 一种基于可信第三方的秘钥协商协议的设计及其实现方法

Publications (1)

Publication Number Publication Date
CN108923923A true CN108923923A (zh) 2018-11-30

Family

ID=64393188

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810857713.8A Pending CN108923923A (zh) 2018-07-31 2018-07-31 一种基于可信第三方的秘钥协商协议的设计及其实现方法

Country Status (1)

Country Link
CN (1) CN108923923A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111130756A (zh) * 2019-12-30 2020-05-08 江苏大周基业智能科技有限公司 节点路由安全管控系统
CN113452671A (zh) * 2021-05-10 2021-09-28 华东桐柏抽水蓄能发电有限责任公司 一种基于设备身份的终端接入认证的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080130902A1 (en) * 2006-04-10 2008-06-05 Honeywell International Inc. Secure wireless instrumentation network system
CN101420687A (zh) * 2007-10-24 2009-04-29 中兴通讯股份有限公司 一种基于移动终端支付的身份验证方法
CN101425903A (zh) * 2008-07-16 2009-05-06 冯振周 一种基于身份的可信网络架构
CN101662705A (zh) * 2009-10-19 2010-03-03 国网信息通信有限公司 以太网无源光网络epon的设备认证方法及系统
CN103167494A (zh) * 2011-12-16 2013-06-19 中国电信股份有限公司 信息发送方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080130902A1 (en) * 2006-04-10 2008-06-05 Honeywell International Inc. Secure wireless instrumentation network system
CN101420687A (zh) * 2007-10-24 2009-04-29 中兴通讯股份有限公司 一种基于移动终端支付的身份验证方法
CN101425903A (zh) * 2008-07-16 2009-05-06 冯振周 一种基于身份的可信网络架构
CN101662705A (zh) * 2009-10-19 2010-03-03 国网信息通信有限公司 以太网无源光网络epon的设备认证方法及系统
CN103167494A (zh) * 2011-12-16 2013-06-19 中国电信股份有限公司 信息发送方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
孙树峰等: "《第六届全国计算机应用联合学术会议论文集》", 31 October 2002 *
汪琰等: "《全国第十二次光纤通信暨第十三届集成光学学术会议》", 30 November 2005 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111130756A (zh) * 2019-12-30 2020-05-08 江苏大周基业智能科技有限公司 节点路由安全管控系统
CN113452671A (zh) * 2021-05-10 2021-09-28 华东桐柏抽水蓄能发电有限责任公司 一种基于设备身份的终端接入认证的方法

Similar Documents

Publication Publication Date Title
Feng et al. Blockchain-based cross-domain authentication for intelligent 5G-enabled internet of drones
Xue et al. Combining data owner-side and cloud-side access control for encrypted cloud storage
CN103780618B (zh) 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法
CN108235805A (zh) 账户统一方法、装置及存储介质
US7610617B2 (en) Authentication system for networked computer applications
JP6976949B2 (ja) サーバーと医療デバイスとの間の鍵配布のための方法及びシステム
CN111986755A (zh) 一种基于区块链和属性基加密的数据共享系统
CN109447647A (zh) 一种基于区块链的安全支付系统
US8010786B1 (en) Systems and methods for managing digital certificate based communications
CN100399739C (zh) 基于协商通信实现信任认证的方法
JP2008503966A (ja) 匿名証明書呈示に関する匿名証明書
CN106888084A (zh) 一种量子堡垒机系统及其认证方法
CN113691560A (zh) 数据传送方法、控制数据使用的方法以及密码设备
Jia et al. A Blockchain-Assisted Privacy-Aware Authentication scheme for internet of medical things
CN108964892A (zh) 可信应用标识的生成方法、应用方法、管理系统和应用系统
Cheng An architecture for the Internet Key Exchange protocol
CN109104288A (zh) 一种基于公钥密码系统的认证协议设计及其实现方法
CN108923923A (zh) 一种基于可信第三方的秘钥协商协议的设计及其实现方法
Mao et al. BTAA: Blockchain and TEE Assisted Authentication for IoT Systems
CN102075518A (zh) 一种基于历史角色的信任协商构建方法及系统
CN115883102B (zh) 基于身份可信度的跨域身份认证方法、系统及电子设备
CN116599659A (zh) 无证书身份认证与密钥协商方法以及系统
De Oliveira et al. Red Alert: break-glass protocol to access encrypted medical records in the cloud
Saxena et al. A Lightweight and Efficient Scheme for e-Health Care System using Blockchain Technology
CN114422189A (zh) 一种基于区块链技术的园区安防管理系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20181130

RJ01 Rejection of invention patent application after publication