CN109347857A - 一种基于标识的通用跨网认证方法 - Google Patents
一种基于标识的通用跨网认证方法 Download PDFInfo
- Publication number
- CN109347857A CN109347857A CN201811353191.4A CN201811353191A CN109347857A CN 109347857 A CN109347857 A CN 109347857A CN 201811353191 A CN201811353191 A CN 201811353191A CN 109347857 A CN109347857 A CN 109347857A
- Authority
- CN
- China
- Prior art keywords
- user
- identity information
- network
- mark
- authentication method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及信息安全领域,尤其涉及一种基于标识的通用跨网认证方法。该方法包括以下步骤:对用户身份信息进行验证;若验证通过,则根据用户身份信息生成用户标识信息分别发送至用户和对端网络;利用标识密钥管理装置根据用户标识信息生成用户标识密钥,并将用户标识密钥中的私钥发送给用户;对端网络接收用户提交的带有用户标识信息的跨网访问请求,并对用户标识信息进行验证,若验证通过,则向用户提供与跨网访问请求相对应的访问资源;其中,本网与对端网络之间采取网络隔离传输的方式进行通信。本发明的方法中,用户通过标识信息能够方便的进行跨网访问,解决了多个网之间用户跨网认证的问题,具有安全方便的优点。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种基于标识的通用跨网认证方法。
背景技术
目前跨网认证主要是跨网络方面的跨网访问或网络认证,不同组织之间的信任主要是跨域认证方面的技术。公钥基础设施PKI(Public Key Infrastructure)是提供公钥加密和数字签名服务的系统,它用根CA(Certification Authority,电子商务认证授权机构)签名的证书来证明密钥和用户的对应关系,同时对密钥和证书进行管理。PKI采用了层次CA、桥CA等信任链来扩充密钥管理和解决跨域认证问题。这是一种层级和链条为主导的策略,导致了机构膨胀和信任关系的退化。
1984年,密码学家Shamir引入了基于标识的密码体制的概念。在该密码体制下,用户的公钥就是用户的标识信息,因此,标识公钥密码系统可以解决公钥与实体标识的绑定问题,从而避免了传统公钥密码体制中的证书管理问题。2001年,Boneh和Franklin利用双线性配对实现基于身份的加密方案(Identity-Based Encryption,IBE)。2003年,我国南相浩等提出基于椭圆曲线密钥系统的组合公钥技术(Combined Public Key,CPK),其核心思想是:构造随机整数矩阵作为私钥种子矩阵,对应地计算出公钥种子矩阵,用映射算法完成用户标识与矩阵行列坐标的对应,分别用大整数加法和ECC(椭圆加密算法)点加计算出私钥和公钥。目前跨域认证方案无论基于IBE还是基于CPK,绝大部分采用相互签发矩阵标识,各系统用户拥有自己的用户标识以及自己所属系统与跨域机构相互签发的矩阵标识方式,在跨域用户相互认证时,交换用户标识、两个矩阵标识,通过跨域机构完成矩阵信任的管理。
上述无论采用PKI还是标识密码体制实现的是跨域认证,尚未存在适用于跨网认证的信任机制,缺少对各类认证体系比如PKI、IBE、CPK均支持的通用跨网认证方法。
因此,急需一种基于标识的通用跨网认证方法。
发明内容
本发明提供了一种基于标识的通用跨网认证方法,以便于解决多个网之间用户跨网认证的问题。
本发明提供了一种基于标识的通用跨网认证方法,包括以下步骤:
接收本网中用户提交的带有用户身份信息的标识申请,并对用户身份信息进行验证;
若验证通过,则根据用户身份信息生成用户标识信息分别发送至用户和对端网络;
利用标识密钥管理装置根据用户标识信息生成用户标识密钥,并将用户标识密钥中的私钥发送给用户;
对端网络接收用户提交的带有用户标识信息的跨网访问请求,并对用户标识信息进行验证,若验证通过,则向用户提供与跨网访问请求相对应的访问资源;
其中,本网与对端网络之间采取网络隔离传输的方式进行通信。
进一步地,对用户身份信息进行验证的方式为验证用户身份信息与预设用户身份信息是否一致,若一致,则验证通过。
进一步地,还包括步骤:用户利用私钥对跨网访问请求进行加密,并将加密后的跨网访问请求发送至对端网络。
进一步地,还包括步骤:将用户标识信息进行存储。
进一步地,对端网络对用户标识信息进行验证的方式为验证用户标识信息与预存的用户标识信息进行比对,若相同,则验证通过。
进一步地,利用哈希算法将用户身份信息合成用户标识信息。
进一步地,对端网络对用户标识信息进行验证通过后还包括以下步骤:
根据用户标识信息调取与其对应的对端网络中的可访问资源;
将可访问资源中与跨网访问请求相对应的访问资源提供给用户。
进一步地,标识密钥管理装置中预存有密钥矩阵,将用户标识信息代入密钥矩阵生成用户标识密钥。
进一步地,利用对端网络中的服务器预存用户标识信息。
进一步地,利用对端网络中的权限管理装置存储与用户标识信息对应的可访问资源。
本发明提供的基于标识的通用跨网认证方法,与现有技术相比具有以下进步:用户通过申请和获取标识信息,利用该标识信息能够方便的进行跨网访问,解决了多个网之间用户跨网认证的问题,具有安全方便的优点;另外,本网与对端网络之间采取网络隔离传输的方式进行通信,能够提高用户跨网认证和访问的安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例中基于标识的通用跨网认证方法的步骤图;
图2为本发明实施例中实施步骤S6时的步骤图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非被特定定义,否则不会用理想化或过于正式的含义来解释。
本实施例提供了一种基于标识的通用跨网认证方法。
如图1,本实施例的基于标识的通用跨网认证方法,包括以下步骤:
S1、接收本网中用户提交的带有用户身份信息的标识申请,并对用户身份信息进行验证;
S2、若验证通过,则根据用户身份信息生成用户标识信息分别发送至用户和对端网络;
S4、利用标识密钥管理装置根据用户标识信息生成用户标识密钥,并将用户标识密钥中的私钥发送给用户;
S6、对端网络接收用户提交的带有用户标识信息的跨网访问请求,并对用户标识信息进行验证,若验证通过,则向用户提供与跨网访问请求相对应的访问资源;
其中,本网与对端网络之间采取网络隔离传输的方式进行通信。
本网与对端网络可以是可路由的网络,这两个可路由的网络(如:TCP/IP)通过不可路由的协议(如:IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。也可以通过专用通信硬件和专有安全协议等安全机制,来实现本网与对端网络(如内外部网络)的隔离和数据交换,能有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用。
本实施例的基于标识的通用跨网认证方法,用户通过申请和获取标识信息,利用该标识信息能够方便的进行跨网访问,解决了多个网之间用户跨网认证的问题,具有安全方便的优点;另外,本网与对端网络之间采取网络隔离传输的方式进行通信,能够提高用户跨网认证和访问的安全性。
本实施例的基于标识的通用跨网认证方法,对用户身份信息进行验证的方式为验证用户身份信息与预设用户身份信息是否一致,若一致,则验证通过。用户所在的网络预先存储有已经注册好的用户身份信息,当用户进行标识申请时,必须在标识申请中带有用户身份信息,本网通过在预设用户身份信息中查找是否有接收的用户身份信息,若有,则验证通过。具体实施时,也可以使用其他验证方式如:静态密码认证、数字证书认证、标识认证、生物特征认证和跨网认证等,根据用户需求进行选择。
本实施例的基于标识的通用跨网认证方法,可采用PKI、IBE、CPK等密码机制对用户身份信息进行验证。
本实施例的基于标识的通用跨网认证方法,还包括步骤S5、用户利用私钥对跨网访问请求进行加密,并将加密后的跨网访问请求发送至对端网络。有利于保证和提高访问的安全性。
本实施例的基于标识的通用跨网认证方法,还包括步骤S3、将用户标识信息进行存储。以便于管理和使用。
本实施例的基于标识的通用跨网认证方法,对端网络对用户标识信息进行验证的方式为验证用户标识信息与预存的用户标识信息进行比对,若相同,则验证通过。对端网络中预存有用户所在网络发送的用户标识信息,通过将提交跨网访问请求的用户标识信息在预存的用户标识信息进行查找,若能查找到,说明对端网络中已经预存有该用户标识信息,则验证通过。
本实施例的基于标识的通用跨网认证方法,利用哈希算法将用户身份信息合成用户标识信息。哈希算法是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。散列函数能使对一个数据序列的访问过程更加迅速有效,通过散列函数,数据元素将被更快地定位。利用哈希算法将用户身份信息合成用户标识信息更加快速和准确。
如图2,本实施例的基于标识的通用跨网认证方法,步骤S6具体包括以下步骤:
S61、根据用户标识信息调取与其对应的对端网络中的可访问资源;
S62、将可访问资源中与跨网访问请求相对应的访问资源提供给用户。
根据用户标识信息确定用户的对应权限,有利于进行管理和提升网络访问的安全性。
本实施例的基于标识的通用跨网认证方法,标识密钥管理装置中预存有密钥矩阵,将用户标识信息代入密钥矩阵生成用户标识密钥。有利于快速高效的生成用户标识密钥。标识密钥管理装置中可以包含有公钥矩阵和私钥矩阵,将用户标识信息分别代入公钥矩阵和私钥矩阵,分别生成公钥和私钥,组成密钥对,方法比较简单、方便。标识密钥管理装置中可以包括密钥数据库,用于存储与用户标识信息对应的密钥对,便于统一管理。标识密钥管理装置可以使用国标SM9标识密码算法标准,按照公钥体制的密钥生成机制生成密钥对。
本实施例的基于标识的通用跨网认证方法,利用对端网络中的服务器预存用户标识信息。便于系统对用户的信息、资源等进行统一管理。
本实施例的基于标识的通用跨网认证方法,利用对端网络中的权限管理装置存储与用户标识信息对应的可访问资源。更加明确用户权限,便于后续的快速的调取,提高访问效率。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于标识的通用跨网认证方法,其特征在于,包括以下步骤:
接收本网中用户提交的带有用户身份信息的标识申请,并对用户身份信息进行验证;
若验证通过,则根据用户身份信息生成用户标识信息分别发送至用户和对端网络;
利用标识密钥管理装置根据用户标识信息生成用户标识密钥,并将用户标识密钥中的私钥发送给用户;
对端网络接收用户提交的带有用户标识信息的跨网访问请求,并对用户标识信息进行验证,若验证通过,则向用户提供与跨网访问请求相对应的访问资源;
其中,本网与对端网络之间采取网络隔离传输的方式进行通信。
2.根据权利要求1所述的基于标识的通用跨网认证方法,其特征在于,对用户身份信息进行验证的方式为验证用户身份信息与预设用户身份信息是否一致,若一致,则验证通过。
3.根据权利要求2所述的基于标识的通用跨网认证方法,其特征在于,还包括步骤:用户利用私钥对跨网访问请求进行加密,并将加密后的跨网访问请求发送至对端网络。
4.根据权利要求3所述的基于标识的通用跨网认证方法,其特征在于,还包括步骤:将用户标识信息进行存储。
5.根据权利要求4所述的基于标识的通用跨网认证方法,其特征在于,对端网络对用户标识信息进行验证的方式为验证用户标识信息与预存的用户标识信息进行比对,若相同,则验证通过。
6.根据权利要求5所述的基于标识的通用跨网认证方法,其特征在于,利用哈希算法将用户身份信息合成用户标识信息。
7.根据权利要求6所述的基于标识的通用跨网认证方法,其特征在于,对端网络对用户标识信息进行验证通过后还包括以下步骤:
根据用户标识信息调取与其对应的对端网络中的可访问资源;
将可访问资源中与跨网访问请求相对应的访问资源提供给用户。
8.根据权利要求7所述的基于标识的通用跨网认证方法,其特征在于,标识密钥管理装置中预存有密钥矩阵,将用户标识信息代入密钥矩阵生成用户标识密钥。
9.根据权利要求8所述的基于标识的通用跨网认证方法,其特征在于,利用对端网络中的服务器预存用户标识信息。
10.根据权利要求9所述的基于标识的通用跨网认证方法,其特征在于,利用对端网络中的权限管理装置存储与用户标识信息对应的可访问资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811353191.4A CN109347857A (zh) | 2018-11-14 | 2018-11-14 | 一种基于标识的通用跨网认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811353191.4A CN109347857A (zh) | 2018-11-14 | 2018-11-14 | 一种基于标识的通用跨网认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109347857A true CN109347857A (zh) | 2019-02-15 |
Family
ID=65315458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811353191.4A Pending CN109347857A (zh) | 2018-11-14 | 2018-11-14 | 一种基于标识的通用跨网认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109347857A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110321682A (zh) * | 2019-07-08 | 2019-10-11 | 国网电子商务有限公司 | 一种基于uaf和ibc的统一身份认证方法及装置 |
| CN111556027A (zh) * | 2020-04-10 | 2020-08-18 | 王尧 | 一种基于电信数据库的访问控制系统 |
| CN112492041A (zh) * | 2020-12-04 | 2021-03-12 | 中国联合网络通信集团有限公司 | 物品运送方法、用户端、服务云平台及网联无人机 |
| CN112561422A (zh) * | 2020-12-04 | 2021-03-26 | 中国联合网络通信集团有限公司 | 基于网联无人机的商品运输方法、用户端、密钥管理平台 |
| CN114070597A (zh) * | 2021-11-10 | 2022-02-18 | 中国联合网络通信集团有限公司 | 一种专网跨网认证方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
| CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
| CN101938473A (zh) * | 2010-08-24 | 2011-01-05 | 北京易恒信认证科技有限公司 | 单点登录系统及单点登录方法 |
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
| US20160241536A1 (en) * | 2015-02-13 | 2016-08-18 | Wepay, Inc. | System and methods for user authentication across multiple domains |
| CN108632271A (zh) * | 2018-05-04 | 2018-10-09 | 平安科技(深圳)有限公司 | 身份认证方法及装置 |
-
2018
- 2018-11-14 CN CN201811353191.4A patent/CN109347857A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
| CN101453476A (zh) * | 2009-01-06 | 2009-06-10 | 中国人民解放军信息工程大学 | 一种跨域认证方法和系统 |
| CN101938473A (zh) * | 2010-08-24 | 2011-01-05 | 北京易恒信认证科技有限公司 | 单点登录系统及单点登录方法 |
| CN104378210A (zh) * | 2014-11-26 | 2015-02-25 | 成都卫士通信息安全技术有限公司 | 跨信任域的身份认证方法 |
| US20160241536A1 (en) * | 2015-02-13 | 2016-08-18 | Wepay, Inc. | System and methods for user authentication across multiple domains |
| CN108632271A (zh) * | 2018-05-04 | 2018-10-09 | 平安科技(深圳)有限公司 | 身份认证方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110321682A (zh) * | 2019-07-08 | 2019-10-11 | 国网电子商务有限公司 | 一种基于uaf和ibc的统一身份认证方法及装置 |
| CN111556027A (zh) * | 2020-04-10 | 2020-08-18 | 王尧 | 一种基于电信数据库的访问控制系统 |
| CN112492041A (zh) * | 2020-12-04 | 2021-03-12 | 中国联合网络通信集团有限公司 | 物品运送方法、用户端、服务云平台及网联无人机 |
| CN112561422A (zh) * | 2020-12-04 | 2021-03-26 | 中国联合网络通信集团有限公司 | 基于网联无人机的商品运输方法、用户端、密钥管理平台 |
| CN112492041B (zh) * | 2020-12-04 | 2022-07-12 | 中国联合网络通信集团有限公司 | 物品运送方法、用户端、服务云平台及网联无人机 |
| CN112561422B (zh) * | 2020-12-04 | 2023-07-25 | 中国联合网络通信集团有限公司 | 基于网联无人机的商品运输方法、用户端、密钥管理平台 |
| CN114070597A (zh) * | 2021-11-10 | 2022-02-18 | 中国联合网络通信集团有限公司 | 一种专网跨网认证方法及装置 |
| CN114070597B (zh) * | 2021-11-10 | 2023-06-30 | 中国联合网络通信集团有限公司 | 一种专网跨网认证方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7119040B2 (ja) | データ伝送方法、装置およびシステム | |
| CN109274694A (zh) | 一种基于标识的通用跨域认证方法 | |
| CN113098838B (zh) | 一种可信分布式身份认证方法、系统、存储介质及应用 | |
| CN109347857A (zh) | 一种基于标识的通用跨网认证方法 | |
| Chow et al. | Dynamic secure cloud storage with provenance | |
| CN106341232B (zh) | 一种基于口令的匿名实体鉴别方法 | |
| WO2019119278A1 (zh) | 获取可信节点的方法、装置、存储介质及区块链节点 | |
| CN106790261B (zh) | 分布式文件系统及用于其中节点间认证通信的方法 | |
| CA3164765A1 (en) | Secure communication method and device based on identity authentication | |
| CN111416807A (zh) | 数据获取方法、装置及存储介质 | |
| CN112291245A (zh) | 一种身份授权方法、装置、存储介质及设备 | |
| CN106789042A (zh) | Ibc域内的用户访问pki域内的资源的认证密钥协商方法 | |
| CN109981292B (zh) | 一种基于sm9算法的认证方法、装置及系统 | |
| US11700125B2 (en) | zkMFA: zero-knowledge based multi-factor authentication system | |
| CN112311538A (zh) | 一种身份验证的方法、装置、存储介质及设备 | |
| US20210306135A1 (en) | Electronic device within blockchain based pki domain, electronic device within certification authority based pki domain, and cryptographic communication system including these electronic devices | |
| Xu et al. | A certificateless encryption scheme based on blockchain | |
| CN114503508A (zh) | 用于在区块链上存储经认证的数据的计算机实施的方法和系统 | |
| CN115277168A (zh) | 一种访问服务器的方法以及装置、系统 | |
| CN114091009A (zh) | 利用分布式身份标识建立安全链接的方法 | |
| US20190305940A1 (en) | Group shareable credentials | |
| Liou et al. | T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs | |
| CN115883102B (zh) | 基于身份可信度的跨域身份认证方法、系统及电子设备 | |
| US10033711B2 (en) | Directory service device, client device, key cloud system, method thereof, and program | |
| CN114866244A (zh) | 基于密文分组链接加密的可控匿名认证方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190215 |