CN111641651A - 一种基于哈希链的访问验证方法及装置 - Google Patents

一种基于哈希链的访问验证方法及装置 Download PDF

Info

Publication number
CN111641651A
CN111641651A CN202010477446.9A CN202010477446A CN111641651A CN 111641651 A CN111641651 A CN 111641651A CN 202010477446 A CN202010477446 A CN 202010477446A CN 111641651 A CN111641651 A CN 111641651A
Authority
CN
China
Prior art keywords
verification
signer
identity
authentication
hash
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010477446.9A
Other languages
English (en)
Other versions
CN111641651B (zh
Inventor
肖勇
金鑫
黄博阳
杨劲锋
冯俊豪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Research Institute of Southern Power Grid Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Research Institute of Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd, Research Institute of Southern Power Grid Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202010477446.9A priority Critical patent/CN111641651B/zh
Publication of CN111641651A publication Critical patent/CN111641651A/zh
Application granted granted Critical
Publication of CN111641651B publication Critical patent/CN111641651B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Abstract

本申请公开了一种基于哈希链的访问验证方法及装置,方法包括:根据预置安全密钥在验证方和签名方构建相同的哈希链;控制验证方根据签名方发送的第一身份验证分组和验证哈希链对签名方进行身份验证,验证通过则向签名方发送第二身份验证分组,签名方根据第二身份验证分组对验证方进行身份验证,验证通过则建立数据连接;验证方根据数据连接、签名方发送的消息验证分组和验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至签名方。本申请解决了现有的访问验证技术中的身份验证手段单一不灵活,完整性验证的加密体系太过复杂,导致验证方法针对数量较大的验证目标的普适性不强的技术问题。

Description

一种基于哈希链的访问验证方法及装置
技术领域
本申请涉及访问验证技术领域,尤其涉及一种基于哈希链的访问验证方法及装置。
背景技术
电网的电能计量设备和数据信息量都非常庞大,在设备进行数据访问的过程中进行身份和信息的验证是保证电网系统安全的必要手段。
身份认证是指在网络中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限;身份认证位于访问控制的最前端,是网络应用系统的首道鉴别防御线;在电网系统中,通过对电能计量设备进行身份认证,能有效可靠地防止攻击者获得用电资源的访问权限,保证电网系统的数据安全。
消息完整性是信息安全的三个基本要点之一,它是指信息在传输、交换、存储和处理过程中,保持信息不被修改、不丢失和未经授权不能改变的特性。在电网系统中,通过建立完整性验证机制,可以保证各种电力数据信息的完整不被破坏,可以让接收方安全的获得全部数据。
然而,现有的身份认证方法要么利用静态密码,要么使用动态口令,身份验证不够灵活,也不够严谨;而传统的完整性验证则需要采用复杂的加密体系,显然,这针对数量较大的验证目标的普适性并不强。
发明内容
本申请提供了一种基于哈希链的访问验证方法及装置,用于解决现有的访问验证技术中的身份验证手段单一不灵活,完整性验证的加密体系太过复杂,导致针对数量较大的验证目标的普适性不强的技术问题。
有鉴于此,本申请第一方面提供了一种基于哈希链的访问验证方法,包括:
根据预置安全密钥在验证方和签名方构建相同的哈希链,所述哈希链包括哈希值,所述哈希链分为验证哈希链和签名哈希链;
控制所述验证方根据所述签名方发送的第一身份验证分组和所述验证哈希链对所述签名方进行身份验证,若验证通过,则向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份验证分组和所述签名哈希链对所述验证方进行身份验证,若验证通过,则建立所述验证方和所述签名方之间的数据连接,所述第一身份验证分组包括第一身份随机数和对应的第一签名哈希值,所述第二身份验证分组包括第二身份随机数和对应的验证哈希值;
根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息验证分组和所述验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至所述签名方,所述消息验证分组包括数据信息、消息随机数和第二签名哈希值。
优选地,所述根据预置安全密钥在验证方和签名方构建相同的哈希链,包括:
根据所述预置安全密钥进行递归式的哈希运算,得到所述验证方和所述签名方的所有哈希值,构建相同的所述哈希链。
优选地,所述控制所述验证方根据所述签名方发送的第一身份验证分组和所述验证哈希链对所述签名方进行身份验证,若验证通过,则向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份验证分组和所述签名哈希链对所述验证方进行身份验证,若验证通过,则建立所述验证方和所述签名方之间的数据连接,包括:
控制所述验证方根据所述签名方发送的所述第一身份验证分组中的所述第一身份随机数在所述验证哈希链上查找对应的身份验证子哈希值,若所述身份验证子哈希值与所述第一签名哈希值相等,则第一身份验证通过;
在第一身份验证通过的情况下,控制所述验证方向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份随机数在所述签名哈希链上查找对应的身份签名子哈希值,若所述身份签名子哈希值与所述验证哈希值相等,则第二身份验证通过;
在第二身份验证通过的情况下,建立所述验证方和所述签名方之间的数据连接。
优选地,所述控制所述验证方根据所述签名方发送的第一身份验证分组和所述验证哈希链对所述签名方进行身份验证,若验证通过,则向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份验证分组和所述签名哈希链对所述验证方进行身份验证,若验证通过,则建立所述验证方和所述签名方之间的数据连接,还包括:
若所述验证方对所述签名方的身份验证不通过,或者所述签名方对所述验证方的身份验证不通过,则不建立所述验证方和所述签名方之间的数据连接。
优选地,所述根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息验证分组和所述验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至所述签名方,包括:
根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息随机数在所述验证哈希链上查找对应的消息验证子哈希值;
结合所述消息验证子哈希值和所述数据信息进行预置哈希运算,得到计算结果;
根据判断所述计算结果与所述第二签名哈希值是否相等的方式获取所述当前传输消息的完整性的验证结果,并将得到的验证结果发送至所述签名方。
本申请第二方面提供了一种基于哈希链的访问验证装置,包括:
构建模块,用于根据预置安全密钥在验证方和签名方构建相同的哈希链,所述哈希链包括哈希值,所述哈希链分为验证哈希链和签名哈希链;
身份验证模块,用于控制所述验证方根据所述签名方发送的第一身份验证分组和所述验证哈希链对所述签名方进行身份验证,若验证通过,则向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份验证分组和所述签名哈希链对所述验证方进行身份验证,若验证通过,则建立所述验证方和所述签名方之间的数据连接,所述第一身份验证分组包括第一身份随机数和对应的第一签名哈希值,所述第二身份验证分组包括第二身份随机数和对应的验证哈希值;
消息验证模块,用于根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息验证分组和所述验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至所述签名方,所述消息验证分组包括数据信息、消息随机数和第二签名哈希值。
优选地,所述构建模块,具体用于:
根据所述预置安全密钥进行递归式的哈希运算,得到所述验证方和所述签名方的所有哈希值,构建相同的所述哈希链。
优选地,所述身份验证模块,具体包括:
第一身份验证子模块,用于控制所述验证方根据所述签名方发送的所述第一身份验证分组中的所述第一身份随机数在所述验证哈希链上查找对应的身份验证子哈希值,若所述身份验证子哈希值与所述第一签名哈希值相等,则第一身份验证通过;
第二身份验证子模块,用于在第一身份验证通过的情况下,控制所述验证方向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份随机数在所述签名哈希链上查找对应的身份签名子哈希值,若所述身份签名子哈希值与所述验证哈希值相等,则第二身份验证通过;
建立连接子模块,用于在第二身份验证通过的情况下,建立所述验证方和所述签名方之间的数据连接。
优选地,还包括:
第三身份验证子模块,用于若所述验证方对所述签名方的身份验证不通过,或者所述签名方对所述验证方的身份验证不通过,则不建立所述验证方和所述签名方之间的数据连接。
优选地,所述消息验证模块,具体包括:
查找子模块,用于根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息随机数在所述验证哈希链上查找对应的消息验证子哈希值;
运算子模块,用于结合所述消息验证子哈希值和所述数据信息进行预置哈希运算,得到计算结果;
消息验证子模块,用于根据判断所述计算结果与所述第二签名哈希值是否相等的方式获取所述当前传输消息的完整性的验证结果,并将得到的验证结果发送至所述签名方。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请中,提供了一种基于哈希链的访问验证方法,包括:根据预置安全密钥在验证方和签名方构建相同的哈希链,哈希链包括哈希值,哈希链分为验证哈希链和签名哈希链;控制验证方根据签名方发送的第一身份验证分组和验证哈希链对签名方进行身份验证,若验证通过,则向签名方发送第二身份验证分组,使签名方根据第二身份验证分组和签名哈希链对验证方进行身份验证,若验证通过,则建立验证方和签名方之间的数据连接,第一身份验证分组包括第一身份随机数和对应的第一签名哈希值,第二身份验证分组包括第二身份随机数和对应的验证哈希值;根据验证方和签名方之间的数据连接,控制验证方根据签名方发送的消息验证分组和验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至签名方,消息验证分组包括数据信息、消息随机数和第二签名哈希值。
本申请提供的基于哈希链的访问验证方法,先在验证双方构建相同的哈希链,确保验证过程中遵循的计算或者处理机制是一样的;然后结合静态哈希值和动态随机数实现验证方对签名方,以及签名方对验证方的双重身份验证,将静态密码和动态口令结合进行身份验证提升了身份验证的灵活性和可靠性;对于消息的验证,同样根据哈希链中的哈希值进行完整性验证,不需要进行复杂的数据加密解密计算过程就可以得到消息的完整性验证结果。因此,本申请解决了现有的访问验证技术中的身份验证手段单一不灵活,完整性验证的加密体系太过复杂,导致验证方法针对数量较大的验证目标的普适性不强的技术问题。
附图说明
图1为本申请实施例提供的一种基于哈希链的访问验证方法的一个流程示意图;
图2为本申请实施例提供的一种基于哈希链的访问验证方法的另一个流程示意图;
图3为本申请实施例提供的一种基于哈希链的访问验证装置的一个结构示意图;
图4为本申请实施例提供的签名方与验证方的验证交互示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了便于理解,请参阅图1,本申请提供的一种基于哈希链的访问验证方法的实施例一,包括:
步骤101、根据预置安全密钥在验证方和签名方构建相同的哈希链,哈希链包括哈希值,哈希链分为验证哈希链和签名哈希链。
需要说明的是,预置安全密钥可以是设备中的安全芯片所存储的安全密钥;签名方即为网络中操作者,需要验证其是否具有访问网络系统的权限;在验证方和签名方构建相同的哈希链是为了确保验证过程中遵循的规则机制和运算方法均是一致的;哈希链是由多个哈希值构成的,根据存储位置的不同将验证方存储的哈希链称为验证哈希链,将签名方存储的哈希链称为签名哈希链,该名称仅为区分两者的哈希链,不具有实际定义作用。
步骤102、控制验证方根据签名方发送的第一身份验证分组和验证哈希链对签名方进行身份验证,若验证通过,则向签名方发送第二身份验证分组,使签名方根据第二身份验证分组和签名哈希链对验证方进行身份验证,若验证通过,则建立验证方和签名方之间的数据连接,第一身份验证分组包括第一身份随机数和对应的第一签名哈希值,第二身份验证分组包括第二身份随机数和对应的验证哈希值。
需要说明的是,签名方向验证方发送第一身份验证分组,用于请求验证方的身份验证,第一身份验证分组中包括随机生成的第一身份随机数和与第一身份随机数相对应的第一签名哈希值,也就是说,随机生成的身份随机数都能在哈希链上找到对应位置的哈希值,因此,按照这一机制,验证方就能根据签名方发送的第一身份随机数在验证哈希链上寻找对应位置的哈希值,与第一签名哈希值对比,两条哈希链是完全一样的,那么对应位置的值也应当一致,如果不一致,则说明身份验证失败,若果哈希值一致,则通过了验证;除了需要验证签名方的身份,签名方同样需要验证验证方的身份,从而确保后续获取的数据信息确实来自于验证方,第二身份验证分组包括随机生成的第二身份随机数和第二身份随机数对应的验证哈希值,二者同样存在紧密的对应关系;只有双方均验证通过才能建立数据连接关系,否则就不建立连接关系。需要注意的是,建立数据连接后,还需要同时更新双方的哈希链长度,每次验证通过后,哈希链长度减1。
步骤103、根据验证方和签名方之间的数据连接,控制验证方根据签名方发送的消息验证分组和验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至签名方,消息验证分组包括数据信息、消息随机数和第二签名哈希值。
需要说明的是,身份验证通过后才能开始对消息的完整性进行验证,同样签名方需要发送消息验证分组进行验证请求,消息验证分组中包括完整性不确定的数据信息,随机生成的消息随机数和第二签名哈希值,此处的第二签名哈希值不再是与消息随机数对应,但是根据消息随机数对应的哈希值经过简单的哈希运算得到的,二者算是存在关联关系;验证方根据消息随机数可以找到验证哈希链上对应的哈希值,将通过相同的哈希运算得到的计算结果与第二签名哈希值对比就能得到验证结果,对比验证的方法与身份验证过程中的对比方法一致,在此不再赘述,验证的结果不论如何都会以分组的形式告知签名方。
本实施例提供的基于哈希链的访问验证方法,先在验证双方构建相同的哈希链,确保验证过程中遵循的计算或者处理机制是一样的;然后结合静态哈希值和动态随机数实现验证方对签名方,以及签名方对验证方的双重身份验证,将静态密码和动态口令结合进行身份验证提升了身份验证的灵活性和可靠性;对于消息的验证,同样根据哈希链中的哈希值进行完整性验证,不需要进行复杂的数据加密解密计算过程就可以得到消息的完整性验证结果。因此,本实施例解决了现有的访问验证技术中的身份验证手段单一不灵活,完整性验证的加密体系太过复杂,导致针对数量较大的验证目标的普适性不强的技术问题。
为了便于理解,请参阅图2,本申请提供了一种基于哈希链的访问验证方法的实施例二,包括:
步骤201、根据预置安全密钥进行递归式的哈希运算,得到验证方和签名方的所有哈希值,构建相同的哈希链。
需要说明的是,将设备中的安全芯片存储的预置安全密钥作为哈希链的初始字符串x,然后进行哈希运算,得到哈希链初始值:h1=H(x);以哈希链初始值作为新的字符串,再次进行哈希运算,得到第二个哈希值,以此类推,进行递归运算,得到所有的哈希值:hi=H(hi-1),从而得到长度为l的哈希链;验证方和签名方的哈希链完全相同,长度一致;哈希链是由多个哈希值构成的,根据存储位置的不同将验证方存储的哈希链称为验证哈希链,将签名方存储的哈希链称为签名哈希链。
步骤202、控制验证方根据签名方发送的第一身份验证分组中的第一身份随机数在验证哈希链上查找对应的身份验证子哈希值,若身份验证子哈希值与第一签名哈希值相等,则第一身份验证通过。
需要说明的是,签名方向验证方发送第一身份验证分组S1,S1包括实时更新的第一身份随机数rj和在签名哈希链上位置对应j=rjmodl的第一签名哈希值hj;验证方同样可以根据第一身份随机数rj在验证哈希链上找到对应位置的身份验证子哈希值,将身份验证子哈希值与第一签名哈希值对比,相等则签名方身份验证通过。
步骤203、在第一身份验证通过的情况下,控制验证方向签名方发送第二身份验证分组,使签名方根据第二身份随机数在签名哈希链上查找对应的身份签名子哈希值,若身份签名子哈希值与验证哈希值相等,则第二身份验证通过。
步骤204、在第二身份验证通过的情况下,建立验证方和签名方之间的数据连接。
需要说明的是,在签名方身份验证通过后,签名方需要验证接收的信息确实来自验证方,因此,需要对验证方的身份进行确认,此时,验证方同样能够实时生成一个第二身份随机数rk,需要注意的是,这个第二身份随机数要比上述的第一身份随机数小,第二身份随机数同样在验证哈希链上存在对应位置k=rkmodl的验证哈希值hk,将第二身份随机数和验证哈希值组成第二身份验证分组V1发送至签名方,签名方用验证方的验证方法进行身份验证,验证通过则在双方之间建立数据连接,同时更新双方哈希链的长度,一般是双方验证通过一次,哈希链长度减1;在哈希链更新中如果l=1,则将哈希链重置为初始长度。
步骤205、若验证方对签名方的身份验证不通过,或者签名方对验证方的身份验证不通过,则不建立验证方和签名方之间的数据连接。
需要说明的是,如果签名方的身份验证失败就不必再进行验证方身份验证,而是直接不建立双方的数据连接,如果签名方的身份验证通过,但是验证方的身份验证失败,同样是不建立双方的数据连接的;只有双方的身份验证都通过了,才建立连接,从而确保了数据的安全性。
步骤206、根据验证方和签名方之间的数据连接,控制验证方根据签名方发送的消息随机数在验证哈希链上查找对应的消息验证子哈希值。
步骤207、结合消息验证子哈希值和数据信息进行预置哈希运算,得到计算结果。
需要说明的是,身份验证通过后需要进行消息完整性的验证,同样是根据哈希链进行验证;消息验证分组包括数据信息mj、消息随机数ry和第二签名哈希值Hy,此处的第二签名哈希值Hy不直接与消息随机数ry对应,但是通过消息随机数进行预置哈希运算得到:Hy=H(mj|hy),其中的hy即为消息随机数在签名哈希链上对应位置y=rymodl的哈希值;验证方可以根据消息随机数ry在验证哈希链上找到对应的消息验证子哈希值h'y,结合消息验证分组中的数据信息mj,进行预置哈希运算:H'y=H(mj|h'y),就可以得到与第二签名哈希值对应的计算结果。
步骤208、根据判断计算结果与第二签名哈希值是否相等的方式获取当前传输消息的完整性的验证结果,并将得到的验证结果发送至签名方。
需要说明的是,判断计算结果H'y与第二签名哈希值是否相等,若相等则说明数据信息的完好,否则,说明数据信息可能存在缺失或者错误;不论是何种验证结果vj,都会以分组V2的形式发送至签名方。具体的验证交互过程可以参阅图4,图4为签名方(Signer)和验证方(Verifier)之间的验证信息转发(Relay)过程的详细图解。
为了便于理解,请参阅图3,本申请还提供了一种基于哈希链的访问验证装置的实施例,包括:
构建模块301,用于根据预置安全密钥在验证方和签名方构建相同的哈希链,哈希链包括哈希值,哈希链分为验证哈希链和签名哈希链;
身份验证模块302,用于控制验证方根据签名方发送的第一身份验证分组和验证哈希链对签名方进行身份验证,若验证通过,则向签名方发送第二身份验证分组,使签名方根据第二身份验证分组和签名哈希链对验证方进行身份验证,若验证通过,则建立验证方和签名方之间的数据连接,第一身份验证分组包括第一身份随机数和对应的第一签名哈希值,第二身份验证分组包括第二身份随机数和对应的验证哈希值;
消息验证模块303,用于根据验证方和签名方之间的数据连接,控制验证方根据签名方发送的消息验证分组和验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至签名方,消息验证分组包括数据信息、消息随机数和第二签名哈希值。
进一步地,构建模块301,具体用于:
根据预置安全密钥进行递归式的哈希运算,得到验证方和签名方的所有哈希值,构建哈希链。
进一步地,身份验证模块302,具体包括:
第一身份验证子模块3021,用于控制验证方根据签名方发送的第一身份验证分组中的第一身份随机数在验证哈希链上查找对应的身份验证子哈希值,若身份验证子哈希值与第一签名哈希值相等,则第一身份验证通过;
第二身份验证子模块3022,用于在第一身份验证通过的情况下,控制验证方向签名方发送第二身份验证分组,使签名方根据第二身份随机数在签名哈希链上查找对应的身份签名子哈希值,若身份签名子哈希值与验证哈希值相等,则第二身份验证通过;
建立连接子模块3023,用于在第二身份验证通过的情况下,建立验证方和签名方之间的数据连接。
进一步地,还包括:
第三身份验证子模块304,用于若验证方对签名方的身份验证不通过,或者签名方对验证方的身份验证不通过,则不建立验证方和签名方之间的数据连接。
进一步地,消息验证模块303,具体包括:
查找子模块3031,用于根据验证方和签名方之间的数据连接,控制验证方根据签名方发送的消息随机数在验证哈希链上查找对应的消息验证子哈希值;
运算子模块3032,用于结合消息验证子哈希值和数据信息进行预置哈希运算,得到计算结果;
消息验证子模块3033,用于根据判断计算结果与第二签名哈希值是否相等的方式获取当前传输消息的完整性的验证结果,并将得到的验证结果发送至签名方。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以通过一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:Read-OnlyMemory,英文缩写:ROM)、随机存取存储器(英文全称:Random Access Memory,英文缩写:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种基于哈希链的访问验证方法,其特征在于,包括:
根据预置安全密钥在验证方和签名方构建相同的哈希链,所述哈希链包括哈希值,所述哈希链分为验证哈希链和签名哈希链;
控制所述验证方根据所述签名方发送的第一身份验证分组和所述验证哈希链对所述签名方进行身份验证,若验证通过,则向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份验证分组和所述签名哈希链对所述验证方进行身份验证,若验证通过,则建立所述验证方和所述签名方之间的数据连接,所述第一身份验证分组包括第一身份随机数和对应的第一签名哈希值,所述第二身份验证分组包括第二身份随机数和对应的验证哈希值;
根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息验证分组和所述验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至所述签名方,所述消息验证分组包括数据信息、消息随机数和第二签名哈希值。
2.根据权利要求1所述的基于哈希链的访问验证方法,其特征在于,所述根据预置安全密钥在验证方和签名方构建相同的哈希链,包括:
根据所述预置安全密钥进行递归式的哈希运算,得到所述验证方和所述签名方的所有哈希值,构建相同的所述哈希链。
3.根据权利要求1所述的基于哈希链的访问验证方法,其特征在于,所述控制所述验证方根据所述签名方发送的第一身份验证分组和所述验证哈希链对所述签名方进行身份验证,若验证通过,则向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份验证分组和所述签名哈希链对所述验证方进行身份验证,若验证通过,则建立所述验证方和所述签名方之间的数据连接,包括:
控制所述验证方根据所述签名方发送的所述第一身份验证分组中的所述第一身份随机数在所述验证哈希链上查找对应的身份验证子哈希值,若所述身份验证子哈希值与所述第一签名哈希值相等,则第一身份验证通过;
在第一身份验证通过的情况下,控制所述验证方向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份随机数在所述签名哈希链上查找对应的身份签名子哈希值,若所述身份签名子哈希值与所述验证哈希值相等,则第二身份验证通过;
在第二身份验证通过的情况下,建立所述验证方和所述签名方之间的数据连接。
4.根据权利要求1所述的基于哈希链的访问验证方法,其特征在于,所述控制所述验证方根据所述签名方发送的第一身份验证分组和所述验证哈希链对所述签名方进行身份验证,若验证通过,则向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份验证分组和所述签名哈希链对所述验证方进行身份验证,若验证通过,则建立所述验证方和所述签名方之间的数据连接,还包括:
若所述验证方对所述签名方的身份验证不通过,或者所述签名方对所述验证方的身份验证不通过,则不建立所述验证方和所述签名方之间的数据连接。
5.根据权利要求1所述的基于哈希链的访问验证方法,其特征在于,所述根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息验证分组和所述验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至所述签名方,包括:
根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息随机数在所述验证哈希链上查找对应的消息验证子哈希值;
结合所述消息验证子哈希值和所述数据信息进行预置哈希运算,得到计算结果;
根据判断所述计算结果与所述第二签名哈希值是否相等的方式获取所述当前传输消息的完整性的验证结果,并将得到的验证结果发送至所述签名方。
6.一种基于哈希链的访问验证装置,其特征在于,包括:
构建模块,用于根据预置安全密钥在验证方和签名方构建相同的哈希链,所述哈希链包括哈希值,所述哈希链分为验证哈希链和签名哈希链;
身份验证模块,用于控制所述验证方根据所述签名方发送的第一身份验证分组和所述验证哈希链对所述签名方进行身份验证,若验证通过,则向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份验证分组和所述签名哈希链对所述验证方进行身份验证,若验证通过,则建立所述验证方和所述签名方之间的数据连接,所述第一身份验证分组包括第一身份随机数和对应的第一签名哈希值,所述第二身份验证分组包括第二身份随机数和对应的验证哈希值;
消息验证模块,用于根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息验证分组和所述验证哈希链对当前传输消息的完整性进行验证,并将得到的验证结果发送至所述签名方,所述消息验证分组包括数据信息、消息随机数和第二签名哈希值。
7.根据权利要求6所述的基于哈希链的访问验证装置,其特征在于,所述构建模块,具体用于:
根据所述预置安全密钥进行递归式的哈希运算,得到所述验证方和所述签名方的所有哈希值,构建相同的所述哈希链。
8.根据权利要求6所述的基于哈希链的访问验证装置,其特征在于,所述身份验证模块,具体包括:
第一身份验证子模块,用于控制所述验证方根据所述签名方发送的所述第一身份验证分组中的所述第一身份随机数在所述验证哈希链上查找对应的身份验证子哈希值,若所述身份验证子哈希值与所述第一签名哈希值相等,则第一身份验证通过;
第二身份验证子模块,用于在第一身份验证通过的情况下,控制所述验证方向所述签名方发送第二身份验证分组,使所述签名方根据所述第二身份随机数在所述签名哈希链上查找对应的身份签名子哈希值,若所述身份签名子哈希值与所述验证哈希值相等,则第二身份验证通过;
建立连接子模块,用于在第二身份验证通过的情况下,建立所述验证方和所述签名方之间的数据连接。
9.根据权利要求6所述的基于哈希链的访问验证装置,其特征在于,还包括:
第三身份验证子模块,用于若所述验证方对所述签名方的身份验证不通过,或者所述签名方对所述验证方的身份验证不通过,则不建立所述验证方和所述签名方之间的数据连接。
10.根据权利要求6所述的基于哈希链的访问验证装置,其特征在于,所述消息验证模块,具体包括:
查找子模块,用于根据所述验证方和所述签名方之间的数据连接,控制所述验证方根据所述签名方发送的消息随机数在所述验证哈希链上查找对应的消息验证子哈希值;
运算子模块,用于结合所述消息验证子哈希值和所述数据信息进行预置哈希运算,得到计算结果;
消息验证子模块,用于根据判断所述计算结果与所述第二签名哈希值是否相等的方式获取所述当前传输消息的完整性的验证结果,并将得到的验证结果发送至所述签名方。
CN202010477446.9A 2020-05-29 2020-05-29 一种基于哈希链的访问验证方法及装置 Active CN111641651B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010477446.9A CN111641651B (zh) 2020-05-29 2020-05-29 一种基于哈希链的访问验证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010477446.9A CN111641651B (zh) 2020-05-29 2020-05-29 一种基于哈希链的访问验证方法及装置

Publications (2)

Publication Number Publication Date
CN111641651A true CN111641651A (zh) 2020-09-08
CN111641651B CN111641651B (zh) 2022-08-02

Family

ID=72331620

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010477446.9A Active CN111641651B (zh) 2020-05-29 2020-05-29 一种基于哈希链的访问验证方法及装置

Country Status (1)

Country Link
CN (1) CN111641651B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114430324A (zh) * 2022-01-02 2022-05-03 西安电子科技大学 基于哈希链的线上快速身份验证方法
CN116702230A (zh) * 2023-08-08 2023-09-05 天津市城市规划设计研究总院有限公司 城市规划领域保证数据一致性的方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106850207A (zh) * 2017-02-28 2017-06-13 南方电网科学研究院有限责任公司 无ca的身份认证方法和系统
WO2017119668A1 (ko) * 2016-01-06 2017-07-13 조선대학교산학협력단 전송 메시지에 대한 부인 방지가 가능한 데이터 전송 장치 및 방법
CN110166242A (zh) * 2019-05-22 2019-08-23 吉林亿联银行股份有限公司 报文传输方法及装置
US20190312877A1 (en) * 2016-12-23 2019-10-10 Cloudminds (Shenzhen) Robotics Systems Co., Ltd. Block chain mining method, device, and node apparatus

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017119668A1 (ko) * 2016-01-06 2017-07-13 조선대학교산학협력단 전송 메시지에 대한 부인 방지가 가능한 데이터 전송 장치 및 방법
US20190312877A1 (en) * 2016-12-23 2019-10-10 Cloudminds (Shenzhen) Robotics Systems Co., Ltd. Block chain mining method, device, and node apparatus
CN106850207A (zh) * 2017-02-28 2017-06-13 南方电网科学研究院有限责任公司 无ca的身份认证方法和系统
CN110166242A (zh) * 2019-05-22 2019-08-23 吉林亿联银行股份有限公司 报文传输方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘飞等: "基于哈希链与同步性机制的Modbus/TCP安全认证协议", 《计算机应用研究》 *
翁丽萍等: "一种基于自更新哈希链的双向认证签名方案", 《现代电子技术》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114430324A (zh) * 2022-01-02 2022-05-03 西安电子科技大学 基于哈希链的线上快速身份验证方法
CN116702230A (zh) * 2023-08-08 2023-09-05 天津市城市规划设计研究总院有限公司 城市规划领域保证数据一致性的方法及系统

Also Published As

Publication number Publication date
CN111641651B (zh) 2022-08-02

Similar Documents

Publication Publication Date Title
KR101485230B1 (ko) 안전한 멀티 uim 인증 및 키 교환
CN105516195B (zh) 一种基于应用平台登录的安全认证系统及其认证方法
CN107360571B (zh) 在移动网络中的匿名相互认证和密钥协商协议的方法
CN107426235B (zh) 基于设备指纹的权限认证方法、装置及系统
CN112989426B (zh) 授权认证方法及装置、资源访问令牌的获取方法
CN109525565B (zh) 一种针对短信拦截攻击的防御方法及系统
CN110020524A (zh) 一种基于智能卡的双向认证方法
Chen et al. Security analysis and improvement of user authentication framework for cloud computing
CN111641651B (zh) 一种基于哈希链的访问验证方法及装置
CN108599926A (zh) 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证系统和方法
US20240064027A1 (en) Identity authentication method and apparatus, and storage medium, program and program product
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN110493177A (zh) 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统
CN103441989B (zh) 一种鉴权、信息处理方法及装置
CN112733129A (zh) 一种服务器带外管理的可信接入方法
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
US11240661B2 (en) Secure simultaneous authentication of equals anti-clogging mechanism
CN111901116B (zh) 一种基于eap-md5改进协议的身份认证方法及系统
CN112242993A (zh) 双向认证方法及系统
US20240064006A1 (en) Identity authentication method and apparatus, storage medium, program, and program product
CN112995140B (zh) 安全管理系统及方法
CN114386020A (zh) 基于量子安全的快速二次身份认证方法及系统
CN114679284A (zh) 可信远程证明系统及其存储、验证方法、存储介质
US9038143B2 (en) Method and system for network access control
CN105681364B (zh) 一种基于增强绑定的IPv6移动终端抗攻击方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant