CN110708337B - 一种基于身份认证的大数据安全框架系统 - Google Patents
一种基于身份认证的大数据安全框架系统 Download PDFInfo
- Publication number
- CN110708337B CN110708337B CN201911041917.5A CN201911041917A CN110708337B CN 110708337 B CN110708337 B CN 110708337B CN 201911041917 A CN201911041917 A CN 201911041917A CN 110708337 B CN110708337 B CN 110708337B
- Authority
- CN
- China
- Prior art keywords
- client
- big data
- data server
- identifier
- nbs
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 claims description 19
- 238000000034 method Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于身份认证的大数据安全框架系统,涉及大数据安全技术领域;包括至少一个大数据服务器,并利用大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话。
Description
技术领域
本发明公开一种基于身份认证的大数据安全框架系统,涉及大数据安全技术领域。
背景技术
信息时代大数据的环境之下,数据的安全极其重要。目前大部分公司开始为互联网用户提供大数据服务,包括信息的检索和共享,这些服务也会带来严重的安全问题。目前,大数据常用的是数字安全认证技术,系统大多数使用非对称和传统的公钥加密,提供相互认证,保证数据的安全性。然而,现有的认证方案通常是在集中式服务器上认证,认证负载大部分集中到认证服务器上,随着系统规模的增大,认证服务器的负载也随之加重,容易成为系统的瓶颈,大大降低系统的认证效率。同时,使用对称密钥对消息进行加密,攻击者可以在收集大量信息后,以离线方式通过计算和密码分析对口令进行攻击。
本发明公开一种基于身份认证的大数据安全框架系统,解决现有大数据安全认证中采用集中式服务器认证,导致系统负载过重的问题,同时可以防止使用对称密钥对消息进行加密,攻击者收集大量信息后,以离线方式通过计算和密码分析对口令进行攻击的问题。
发明内容
本发明针对现有技术的问题,提供一种基于身份认证的大数据安全框架系统,具有通用性强、实施简便等特点,具有广阔的应用前景。
本发明提出的具体方案是:
一种基于身份认证的大数据安全框架系统,包括至少一个大数据服务器,
并利用大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
所述的系统中大数据服务器选择一个发生器和一个主密钥,利用发生器和主密钥创建公共密钥,选择没有冲突的单向散列函数作为运算规则。
所述的系统中智能卡中加密的标识符和客户密码,与客户端自己的标识符和客户密码通过运算规则运算后相符,则客户端接收智能卡。
H1={0,1}*×{0,1}*×G×G×G×G→{0,1}l;
H2={0,1}*×{0,1}l→{0,1}l;H3={0,1}*→{0,1}l,l表示大数据服务器分发密钥采用的安全参数。
大数据主服务器计算,客户端需要认证的密钥,KIDU=PBS·H3(IDU),加密标识符和客户密码获得同时产生一个随机数加密随机数s,将客户端需要认证的密钥KIDU、加密后的标识符和客户密码BS、加密的随机参数s及运算规则置入智能卡发送给客户端,
智能卡中加密的标识符和客户密码BS,与客户端自己的标识符IDU和客户密码PWU通过运算规则运算后相符,则客户端接收智能卡。
所述的系统中大数据服务器接受客户端的验证参数,包括T1,IDU,RU,MU,其中随机数RU=(xU,yU)∈R G,U1=H3(T1),MU=RU+U1·KIDU,同时匿名标识符T1是客户端发送请求的时间。
所述的系统中根据接收到客户端消息的延迟时间判断是否建立会话:
大数据服务器计算T2-T1≤ΔT1,T2表示大数据服务器接收到消息的时间,ΔT1表示消息传输的延迟时间,如果上式不成立,大数据服务器中断和客户端的会话,否则计算KIDNBS=PBSH3(IDNBS),IDNBS是大数据服务器的身份标识,大数据服务器产生随机数Rs=(xs,ys)∈R G,计算S1=H3(T3),Ms=Rs+S1KIDNBS,
会话密钥skNBS=H1(IDU||IDNBS||MS||MU||RS||RU),
信息认证码MACNBS=(skNBS+xs)g,大数据服务器发送信息认证码MACNBS,T3,Ms,Rs给客户端,T3是发送消息的时间,
客户端验证条件T4-T3≤ΔT2,T4表示客户端接收消息的时间,ΔT2表示消息传输的延迟时间,如果上式成立,客户端产生计算会话密钥sku=H1(IDU||IDNBS||MS||MU||RS||RU),消息验证码MACU=(skU+xU)g,客户端检查条件MACU=?MACNBS,如果条件成立,大数据服务器通过会话密钥sk=skU=skNBS,认证客户端,建立会话。
一种基于身份认证的实现大数据安全的方法,利用至少一个大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用至少一个大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
所述的方法中大数据服务器选择一个发生器和一个主密钥,利用发生器和主密钥创建公共密钥,选择没有冲突的单向散列函数作为运算规则。
所述的方法中智能卡中加密的标识符和客户密码,与客户端自己的标识符和客户密码通过运算规则运算后相符,则客户端接收智能卡。
本发明的有益之处是:
本发明提供一种基于身份认证的大数据安全框架系统,利用大数据服务器分发智能卡给客户端,通过大数据服务器创建公共密钥,定义运算规则,再利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,置入智能卡发送给客户端,同时利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话,建立会话前大数据服务器接受客户端的请求服务和客户端发送的验证参数,根据接收到客户端消息的延迟时间判断是否建立会话,如果建立会话则通过会话密钥获得信息认证码,发送信息认证码给客户端,再通过判断大数据服务器发送消息的时间与客户端接收消息的时间的差值与延迟时间的关系,决定大数据服务器与客户端是否进行会话,并再次客户端进行验证,验证通过才则建立会话;利用本发明系统解决现有大数据安全认证的采用集中式服务器认证框架,导致系统负载过重的问题,同时可以提高会话验证的稳定性,防止使用对称密钥对消息进行加密,攻击者收集大量信息后,以离线方式通过计算和密码分析对口令进行攻击。
附图说明
图1是本发明方法流程示意图;
图2本发明系统各部分交互示意图。
具体实施方式
本发明提供一种基于身份认证的大数据安全框架系统,包括至少一个大数据服务器,
并利用大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
同时提供与上述系统相应的一种基于身份认证的实现大数据安全的方法,利用至少一个大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用至少一个大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
利用本发明系统基于身份认证进行大数据安全管理,大数据服务器是密钥分发的中心,为客户端发放智能卡,大数据服务器与客户端进行相互认证,客户端获得智能卡,大数据服务器与客户端通过公共网络利用密钥建立会话,系统可建立服务器集群,选择一个服务器作为主服务器,进行具体过程为:
H1={0,1}*×{0,1}*×G×G×G×G→{0,1}l;
H2={0,1}*×{0,1}l→{0,1}l;H3={0,1}*→{0,1}l,将以上参数<Fq,E,G,l,g,PBS,H1,H2,H3>,作为整个系统的参数,其中,Fq,E,l表示椭圆曲线密码学给定的参数,Fq表示素数有限域,E表示素数有限域Fq上的椭圆曲线,l表示大数据主服务器分发密钥采用的安全参数,可根据实际情况确定;
大数据主服务器与发送客户端智能卡,其中客户端获取标识符IDU和密码PWU’,同时产生随机数然后计算将参数<IDU,PWU>发送到大数据主服务器,在时间T的时候,从客户端接收消息,然后大数据主服务器计算,客户端需要认证的密钥,KIDU=PBS·H3(IDU),同时产生一个随机数大数据主服务器,将<Bs,KIDs,H1,H2,H3,s>参数发送给客户端,参数s被大数据主服务器加密,客户端获取智能卡之后,将一个随机数u插入到卡中,然后智能卡里面的参数是<Bs,KIDs,H1,H2,H3,s,u>,客户端验证自己的IDU和PWU是否符合如果符合,客户端接收这个智能卡;
利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:
客户端向附近的大数据服务器请求服务,客户端和服务器之间相互认证,产生会话密钥,其中客户端使用自己的身份标识符IDU和密码PWU,访问附近的大数据服务器,同时计算检查BU=?BS,如果相等,选择一个随机数RU=(xU,yU)∈RG,其中(xU,yU)是属于集G的一个随机数实数,计算U1=H3(T1),MU=RU+U1·KIDU,同时匿名标识符客户端将参数<T1,IDU,RU,MU>发送给大数据服务器,T1是客户端发送请求的时间,
当接收到消息时,大数据服务器计算T2-T1≤ΔT1,T2表示大数据服务器接收到消息的时间,ΔT1表示消息传输的延迟时间,如果上式不成立,大数据服务器中断和客户端的会话,否则计算KIDNBS=PBSH3(IDNBS),IDNBS是大数据服务器的身份标识,IDNBS由大数据服务器唯一确定,大数据服务器产生随机数Rs=(xs,ys)∈R G,计算S1=H3(T3),Ms=Rs+S1KIDNBS,会话密钥skNBS=H1(IDU’||IDNBS||MS||MU||RS||RU),信息认证码MACNBS=(skNBS+xs)g,大数据服务器发送消息<T3,Ms,Rs,MACNBS>给客户端,T3是发送消息的时间,
接收到消息时,客户端验证条件T4-T3≤ΔT2,T4表示接收消息的时间,ΔT2表示消息传输的延迟时间。如果条件成立,客户端产生然后计算会话密钥sku=H1(IDU’||IDNBS||MS||MU||RS||RU),消息验证码MACU=(skU+xs)g,客户端检查条件MACU=?MACNBS,如果条件成立,大数据服务器通过会话密钥sk=skU=skNBS,认证客户端,建立会话,客户端可以通过公共网络,安全访问大数据服务器。
利用本发明方法基于身份认证进行大数据安全管理时,与上述过程相同,在服务器集群中,可选择一个服务器作为主服务器,进行具体过程为:
H1={0,1}*×{0,1}*×G×G×G×G→{0,1}l;
H2={0,1}*×{0,1}l→{0,1}l;H3={0,1}*→{0,1}l,将以上参数<Fq,E,G,l,g,PBS,H1,H2,H3>,作为整个系统的参数,其中,Fq,E,l表示椭圆曲线密码学给定的参数,Fq表示素数有限域,E表示素数有限域Fq上的椭圆曲线,l表示大数据主服务器分发密钥采用的安全参数,可根据实际情况确定;
大数据主服务器与发送客户端智能卡,其中客户端获取标识符IDU和密码PWU’,同时产生随机数然后计算将参数<IDU,PWU>发送到大数据主服务器,在时间T的时候,从客户端接收消息,然后大数据主服务器计算,客户端需要认证的密钥,KIDU=PBS·H3(IDU),同时产生一个随机数大数据主服务器,将<Bs,KIDs,H1,H2,H3,s>参数发送给客户端,参数s被大数据主服务器加密,客户端获取智能卡之后,将一个随机数u插入到卡中,然后智能卡里面的参数是<Bs,KIDs,H1,H2,H3,s,u>,客户端验证自己的IDU和PWU是否符合如果符合,客户端接收这个智能卡;
利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:
客户端向附近的大数据服务器请求服务,客户端和服务器之间相互认证,产生会话密钥,其中客户端使用自己的身份标识符IDU和密码PWU,访问附近的大数据服务器,同时计算检查BU=?BS,如果相等,选择一个随机数RU=(xU,yU)∈RG,其中(xU,yU)是属于集G的一个随机数实数,计算U1=H3(T1),MU=RU+U1·KIDU,同时匿名标识符客户端将参数<T1,IDU,RU,MU>,发送给大数据服务器,T1是客户端发送请求的时间,
当接收到消息时,大数据服务器计算T2-T1≤ΔT1,T2表示大数据服务器接收到消息的时间,ΔT1表示消息传输的延迟时间,如果上式不成立,大数据服务器中断和客户端的会话,否则计算KIDNBS=PBSH3(IDNBS),IDNBS是大数据服务器的身份标识,IDNBS由大数据服务器唯一确定,大数据服务器产生随机数Rs=(xs,ys)∈R G,计算S1=H3(T3),Ms=Rs+S1KIDNBS,会话密钥skNBS=H1(IDU’||IDNBS||MS||MU||RS||RU),信息认证码MACNBS=(skNBS+xs)g,大数据服务器发送消息<T3,Ms,Rs,MACNBS>给客户端,T3是发送消息的时间,
接收到消息时,客户端验证条件T4-T3≤ΔT2,T4表示接收消息的时间,ΔT2表示消息传输的延迟时间。如果条件成立,客户端产生然后计算会话密钥sku=H1(IDU’||IDNBS||MS||MU||RS||RU),消息验证码MACU=(skU+xs)g,客户端检查条件MACU=?MACNBS,如果条件成立,大数据服务器通过会话密钥sk=skU=skNBS,认证客户端,建立会话,客户端可以通过公共网络,安全访问大数据服务器。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
Claims (2)
1.一种基于身份认证的大数据安全框架系统,其特征是建立大数据服务器集群,包括至少一个大数据服务器,选择一个大数据服务器作为大数据主服务器,
并利用大数据主服务器分发智能卡给客户端:大数据主服务器创建公共密钥,定义运算规则,其中大数据主服务器选择一个发生器g∈R G和一个主密钥则创建公共密钥PBS=x.g,选择没有冲突的单向散列函数作为运算规则:
H1={0,1}*×{0,1}*×G×G×G×G→{0,1}l,
H2={0,1}*×{0,1}l→{0,1}l;H3={0,1}*→{0,1}l,l表示大数据主服务器分发密钥采用的安全参数;
大数据主服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端,其中大数据主服务器获取客户端的标识符IDU和客户密码PWU’,其中PWU’=H3(PWU⊕u),随机数
大数据主服务器计算客户端需要认证的密钥,KIDU=PBS·H3(IDU),加密标识符和客户密码获得BS=H3(IDU⊕PWU’),同时产生一个随机参数加密随机参数s,将客户端需要认证的密钥KIDU、加密后的标识符和客户密码BS、加密后的随机参数及运算规则置入智能卡发送给客户端,
智能卡中加密的标识符和客户密码BS,与客户端自己的标识符IDU和客户密码PWU通过运算规则运算后相符,则客户端接收智能卡;
并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,包括T1,IDU,RU,MU,其中随机数RU=(xU,yU)∈R G,U1=H3(T1),MU=RU+U1·KIDU,同时匿名标识符IDU’=IDU⊕H2(IDU||T1),T1是客户端发送请求的时间,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话,具体过程为:
大数据服务器计算T2-T1≤ΔT1,T2表示大数据服务器接收到消息的时间,ΔT1表示消息传输的延迟时间,如果上式不成立,大数据服务器中断和客户端的会话,否则计算KIDNBS=PBSH3(IDNBS),IDNBS是大数据服务器的身份标识,大数据服务器产生随机数Rs=(xs,ys)∈RG,计算S1=H3(T3),Ms=Rs+S1KIDNBS,
会话密钥skNBS=H1(IDU’||IDNBS||MS||MU||RS||RU),
信息认证码MACNBS=(skNBS+xs)g,大数据服务器发送信息认证码MACNBS,T3,Ms,Rs给客户端,T3是发送消息的时间,
2.一种基于身份认证的实现大数据安全的方法,其特征是建立大数据服务器集群,包括至少一个大数据服务器,选择一个大数据服务器作为大数据主服务器,利用大数据主服务器分发智能卡给客户端:大数据主服务器创建公共密钥,定义运算规则,其中大数据主服务器选择一个发生器g∈R G和一个主密钥则创建公共密钥PBS=x.g,选择没有冲突的单向散列函数作为运算规则:
H1={0,1}*×{0,1}*×G×G×G×G→{0,1}l,
H2={0,1}*×{0,1}l→{0,1}l;H3={0,1}*→{0,1}l,l表示大数据主服务器分发密钥采用的安全参数;
大数据主服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端,其中大数据主服务器获取客户端的标识符IDU和客户密码PWU’,其中PWU’=H3(PWU⊕u),随机数
大数据主服务器计算客户端需要认证的密钥,KIDU=PBS·H3(IDU),加密标识符和客户密码获得BS=H3(IDU⊕PWU’),同时产生一个随机参数加密随机参数s,将客户端需要认证的密钥KIDU、加密后的标识符和客户密码BS、加密后的随机参数及运算规则置入智能卡发送给客户端,
智能卡中加密的标识符和客户密码BS,与客户端自己的标识符IDU和客户密码PWU通过运算规则运算后相符,则客户端接收智能卡;
并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,包括T1,IDU,RU,MU,其中随机数RU=(xU,yU)∈R G,U1=H3(T1),MU=RU+U1·KIDU,同时匿名标识符IDU’=IDU⊕H2(IDU||T1),T1是客户端发送请求的时间,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话,具体过程为:
大数据服务器计算T2-T1≤ΔT1,T2表示大数据服务器接收到消息的时间,ΔT1表示消息传输的延迟时间,如果上式不成立,大数据服务器中断和客户端的会话,否则计算KIDNBS=PBSH3(IDNBS),IDNBS是大数据服务器的身份标识,大数据服务器产生随机数Rs=(xs,ys)∈RG,计算S1=H3(T3),Ms=Rs+S1KIDNBS,
会话密钥skNBS=H1(IDU’||IDNBS||MS||MU||RS||RU),
信息认证码MACNBS=(skNBS+xs)g,大数据服务器发送信息认证码MACNBS,T3,Ms,Rs给客户端,T3是发送消息的时间,
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911041917.5A CN110708337B (zh) | 2019-10-30 | 2019-10-30 | 一种基于身份认证的大数据安全框架系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911041917.5A CN110708337B (zh) | 2019-10-30 | 2019-10-30 | 一种基于身份认证的大数据安全框架系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110708337A CN110708337A (zh) | 2020-01-17 |
CN110708337B true CN110708337B (zh) | 2022-06-28 |
Family
ID=69203859
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911041917.5A Active CN110708337B (zh) | 2019-10-30 | 2019-10-30 | 一种基于身份认证的大数据安全框架系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110708337B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111629003B (zh) * | 2020-05-28 | 2022-03-22 | 河南智云数据信息技术股份有限公司 | 面向物联网的密钥分发方法 |
CN112016073B (zh) * | 2020-08-31 | 2023-12-19 | 北京中软华泰信息技术有限责任公司 | 一种服务器零信任连接架构的构建方法 |
CN114531254B (zh) * | 2020-10-30 | 2023-03-31 | 中国移动通信有限公司研究院 | 一种认证信息获取方法、装置、相关设备和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105072110A (zh) * | 2015-08-06 | 2015-11-18 | 山东科技大学 | 一种基于智能卡的双因素远程身份认证方法 |
CN105119721A (zh) * | 2015-08-06 | 2015-12-02 | 山东科技大学 | 一种基于智能卡的三因素远程身份认证方法 |
US9454654B1 (en) * | 2013-12-31 | 2016-09-27 | Emc Corporation | Multi-server one-time passcode verification on respective high order and low order passcode portions |
CN107248997A (zh) * | 2017-07-03 | 2017-10-13 | 暨南大学 | 多服务器环境下基于智能卡的认证方法 |
CN107294725A (zh) * | 2016-04-05 | 2017-10-24 | 电子科技大学 | 一种多服务器环境下的三因素认证方法 |
-
2019
- 2019-10-30 CN CN201911041917.5A patent/CN110708337B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9454654B1 (en) * | 2013-12-31 | 2016-09-27 | Emc Corporation | Multi-server one-time passcode verification on respective high order and low order passcode portions |
CN105072110A (zh) * | 2015-08-06 | 2015-11-18 | 山东科技大学 | 一种基于智能卡的双因素远程身份认证方法 |
CN105119721A (zh) * | 2015-08-06 | 2015-12-02 | 山东科技大学 | 一种基于智能卡的三因素远程身份认证方法 |
CN107294725A (zh) * | 2016-04-05 | 2017-10-24 | 电子科技大学 | 一种多服务器环境下的三因素认证方法 |
CN107248997A (zh) * | 2017-07-03 | 2017-10-13 | 暨南大学 | 多服务器环境下基于智能卡的认证方法 |
Non-Patent Citations (1)
Title |
---|
基于椭圆曲线密码的多服务器环境下三因子认证协议;夏鹏真;《计算机应用研究》;20171031;第34卷(第10期);第4-5节 * |
Also Published As
Publication number | Publication date |
---|---|
CN110708337A (zh) | 2020-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cui et al. | An efficient and safe road condition monitoring authentication scheme based on fog computing | |
Li et al. | Group-based authentication and key agreement with dynamic policy updating for MTC in LTE-A networks | |
US8930704B2 (en) | Digital signature method and system | |
CN110932870B (zh) | 一种量子通信服务站密钥协商系统和方法 | |
CN111147460B (zh) | 一种基于区块链的协同细粒度访问控制方法 | |
CN110708337B (zh) | 一种基于身份认证的大数据安全框架系统 | |
CN110489982B (zh) | 一种具有前向安全性的智能电网数据聚合和加密方法 | |
CN114710275B (zh) | 物联网环境下基于区块链的跨域认证和密钥协商方法 | |
CN111953479B (zh) | 数据处理的方法及装置 | |
CN112039660B (zh) | 一种物联网节点群组身份安全认证方法 | |
Mishra et al. | A pairing-free identity based authentication framework for cloud computing | |
CN112134849B (zh) | 一种智能变电站的动态可信加密通信方法及系统 | |
CN111181718A (zh) | 一种基于联盟链的抗量子计算ike系统和协商通信方法 | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN115473623A (zh) | 一种智能电网中多维用户数据安全聚合的方法 | |
CN116599659B (zh) | 无证书身份认证与密钥协商方法以及系统 | |
CN116318739B (zh) | 一种电子数据交换方法及系统 | |
CN112118569B (zh) | Lte网机器类型通信设备异步组通信中的组认证方法及系统 | |
CN113098681A (zh) | 云存储中口令增强且可更新的盲化密钥管理方法 | |
Cheng et al. | Research on vehicle-to-cloud communication based on lightweight authentication and extended quantum key distribution | |
CN114070570A (zh) | 一种电力物联网的安全通信方法 | |
CN110572788B (zh) | 基于非对称密钥池和隐式证书的无线传感器通信方法和系统 | |
CN110061895B (zh) | 基于密钥卡的抗量子计算应用系统近距离节能通信方法和系统 | |
CN117155692B (zh) | 基于安全掩码的智能电网数据聚合方法及系统 | |
CN116827555B (zh) | 基于密文密钥关系验证的区块链数据加解密方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20220608 Address after: 250100 Inspur science and Technology Park, 1036 Inspur Road, hi tech Zone, Jinan City, Shandong Province Applicant after: Inspur Software Technology Co.,Ltd. Address before: 250100 First Floor of R&D Building 2877 Kehang Road, Sun Village Town, Jinan High-tech Zone, Shandong Province Applicant before: SHANDONG INSPUR BUSINESS SYSTEM Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |