CN111741008B - 一种基于拟态防御原理的双向匿名认证系统及方法 - Google Patents

一种基于拟态防御原理的双向匿名认证系统及方法 Download PDF

Info

Publication number
CN111741008B
CN111741008B CN202010650355.0A CN202010650355A CN111741008B CN 111741008 B CN111741008 B CN 111741008B CN 202010650355 A CN202010650355 A CN 202010650355A CN 111741008 B CN111741008 B CN 111741008B
Authority
CN
China
Prior art keywords
platform
certificate
daa
module
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010650355.0A
Other languages
English (en)
Other versions
CN111741008A (zh
Inventor
郁晨
赵海宁
羊子煜
王泽雨
陈垚
陈立全
冯海生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Red Array Network Security Technology Research Institute Co ltd
Original Assignee
Nanjing Red Array Network Security Technology Research Institute Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Red Array Network Security Technology Research Institute Co ltd filed Critical Nanjing Red Array Network Security Technology Research Institute Co ltd
Priority to CN202010650355.0A priority Critical patent/CN111741008B/zh
Publication of CN111741008A publication Critical patent/CN111741008A/zh
Application granted granted Critical
Publication of CN111741008B publication Critical patent/CN111741008B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于拟态防御原理的双向匿名认证系统及方法,应用于信息安全技术领域;所述方法中包括证书发布方初始化;平台和证书发布方之间运行Join子协议;平台在TPM和Host之间运行Sign子协议;签名检测方通过异构执行体运行Verify子协议。本发明采用DAA双向匿名认证技术,在签名检测方内增加拟态模块,在实现对接入物联网网络的底层设备远程匿名认证的同时,拟态模块的内生安全功能能有效抵御任何利用目标系统内部已知、未知软硬件漏洞后门实施的安全威胁,从而在技术架构层面保证了物联网设备的接入安全,具有“高可靠、高可信、高可用”三位一体属性,保证物联网系统的安全性。

Description

一种基于拟态防御原理的双向匿名认证系统及方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于拟态防御原理的双向匿名认证系统及方法。
背景技术
目前,物联网飞速发展,越来越多的物联网设备投入使用,同时考虑到物联网的智能化进程,终端设备的运算能力相较于原始的RFID,也将会有快速的发展。随着运算能力的提升,终端设备所承担的工作也向更多、更复杂、更敏感的方向发展,越来越多的敏感数据将经由这些设备被收集、分析,完成相应的任务,越来越多的不法分子将会盯上这些敏感数据并妄图收集它们以达到不可告人的目的。因此,物联网系统的安全性也将会面临越来越严峻的考验,时刻关注物联网系统的安全,并及时改进、提升系统安全性将会是一项长期而艰辛的任务。
物联网设备安全接入物联网通信网络需要一个安全高效的匿名认证协议的支持。可信计算体系中,常见的匿名认证协议有Privacy CA和DAA。但是Privacy CA的匿名性完全依赖于CA的可信,并且缺乏认证PVA的机制,一个假冒的PVA可以轻松实现类似于伪基站的攻击。所以要想建立高效、安全的M2M通信系统可信安全模型,使用Privacy CA作为接入时使用的认证协议是不合适的。
传统的防御系统多数使用的是静态架构,这种架构无法有效抵御攻击者的持续探测和攻击,国内外研究人员开始着力探索新的安全防御机制。该技术适用于存在可判定异构冗余体之间 功能等价性的“拟态界”及兼具高安全性和高可靠性的应用领域。拟态防御提出后,得到了国内学术和产业界的普遍关注和广泛认可,相关部门和单位都给予了大力支持,拟态技术研究与系统开发已在国家科技计划层面全面布局。拟态防御系统的原理时动态异构冗余架构,当有消息输入时,通过输入代理传输到异构池中每个异构执行体,所有异构执行体处理消息后将结果传输至多模裁决模块,若结果一致则输出,若不一致,可以识别某个执行体输出消息异常,进而实现系统的主动防御,可以抵御黑客对特定漏洞的攻击,还能规避由未知系统或硬件漏洞导致的系统异常。
发明内容
技术目的:针对现有技术中DAA匿名认证无法进行主动防御、网络信息安全性较差的缺陷,本发明公开了一种基于拟态防御原理的双向匿名认证系统及方法,采用DAA双向匿名认证技术,在签名检测方内增加拟态模块,在实现对接入物联网网络的底层设备远程匿名认证的同时,在技术架构层面保证了物联网设备的接入安全,具有 “高可靠、高可信、高可用”三位一体属性,保证物联网系统的安全性。
技术方案:为实现上述技术目的,本发明采用以下技术方案。
一种基于拟态防御原理的双向匿名认证系统,包括:若干物联网设备、DAA证书生成器、可信的云端服务器和远程数据服务器;
远程数据服务器与物联网设备之间相互传递业务数据,若干物联网设备、DAA证书生成器和可信的云端服务器之间运行直接匿名认证协议DAA;
所述物联网设备作为直接匿名认证协议DAA中的平台,物联网设备包括自身的主机系统和可信计算模块,分别用于充当平台中的主机Host和可信计算平台模块TPM;TPM和Host共同对数据信息进行签名,主机Host作为中间消息的传递者,向签名检测方发送最终签名,接收和存储证书发布方发布的DAA证书;
所述DAA证书生成器作为直接匿名认证协议DAA中的证书发布方,嵌入在接入的网关处或主机的服务器中,用于在认证平台匿名身份后向平台发布DAA证书;
所述可信的云端服务器作为直接匿名认证协议DAA中的签名检测方,包括拟态模块,用于在验证平台的身份和DAA证书的合法性后,由拟态模块对Host发送的最终签名进行合法性验证。
优选地,所述拟态模块包括拟态防御模块和随机数模块,所述拟态防御模块包括若干异构执行体,所述异构执行体通过随机数模块进行分组,在验证平台签名的合法性时,由至少一组异构执行体进行处理。
优选地,所述异构执行体根据不同的数据库、编译环境以及操作系统进行设置,相互之间异构冗余。
一种基于拟态防御原理的双向匿名认证方法,应用于以上任一所述的一种基于拟态防御原理的双向匿名认证系统中,包括以下步骤:
S1、TPM模块的初始化:证书发布方Issuer域内的每个平台Platform调用TPM命令生成TPM模块的初始化参数,并设计内部输出参数;
S2、证书发布方Issuer初始化:证书发布方Issuer运行Setup子协议,公开协议运行的必要参数、证书发布方Issuer自身的公钥及其他各个协议需要用到的散列函数;
S3、平台Platform和证书发布方Issuer之间运行Join子协议:在证书发布方Issuer认证平台Platform匿名身份后,平台Platform获取和存储证书发布方Issuer发布的DAA证书;
S4、平台Platform在TPM和Host之间运行Sign子协议:TPM和Host共同对数据信息进行签名操作,由Host向签名检测方Verifier发送最终签名;
S5、签名检测方Verifier通过异构执行体运行Verify子协议:签名检测方Verifier在验证平台Platform的身份和DAA证书的合法性后,由至少一组异构执行体对Host发送的最终签名运行Verify子协议,进行最终签名的合法性验证。
优选地,所述步骤S1内TPM模块的初始化过程中,平台Platform调用TPM命令生成TPM模块的初始化参数,并设计内部输出参数;其具体过程为:
S11、调用命令函数,生成TPM的公钥和私钥:设置TPM的固定参数
Figure DEST_PATH_IMAGE001
,TPM生成 一个私钥
Figure DEST_PATH_IMAGE002
,根据固定参数
Figure DEST_PATH_IMAGE003
计算TPM公钥
Figure DEST_PATH_IMAGE004
,保存其私钥
Figure 194287DEST_PATH_IMAGE002
,然后公开公钥
Figure 580269DEST_PATH_IMAGE004
S12、调用命令函数,生成哈希值:对主机Host想要附加的消息和TPM想要附加的消息计算哈希值;
S13、调用命令函数,生成
Figure DEST_PATH_IMAGE005
:判断基名是否为空,生成
Figure 281377DEST_PATH_IMAGE005
S14、调用命令函数,生成
Figure DEST_PATH_IMAGE006
:根据输入的
Figure DEST_PATH_IMAGE007
找出内存中对应的记录
Figure DEST_PATH_IMAGE008
,如果找不到该条记录,则输出error信息;计算
Figure DEST_PATH_IMAGE009
Figure DEST_PATH_IMAGE010
,输出
Figure DEST_PATH_IMAGE011
优选地,所述步骤S2中证书发布方Issuer初始化的具体过程为:
S21、证书发布方Issuer选择
Figure DEST_PATH_IMAGE012
Figure DEST_PATH_IMAGE013
Figure DEST_PATH_IMAGE014
三个阶为素数q的椭圆曲线有限循环群, 其中
Figure DEST_PATH_IMAGE015
且不存在从
Figure 214871DEST_PATH_IMAGE013
Figure 622718DEST_PATH_IMAGE012
的有效同构,
Figure 914022DEST_PATH_IMAGE012
的生成元为
Figure DEST_PATH_IMAGE016
Figure 508952DEST_PATH_IMAGE013
的生成元为
Figure DEST_PATH_IMAGE017
,存 在一个双线性映射
Figure DEST_PATH_IMAGE018
,公开参数
Figure DEST_PATH_IMAGE019
S22、证书颁发方Issuer随机生成自身私钥
Figure DEST_PATH_IMAGE020
,根据私钥
Figure 68371DEST_PATH_IMAGE020
计算公钥
Figure DEST_PATH_IMAGE021
,公开 公钥
Figure 799567DEST_PATH_IMAGE021
,保存自身私钥
Figure 386406DEST_PATH_IMAGE020
S23、证书发布方Issuer生成各个子协议需要用到的散列函数
Figure DEST_PATH_IMAGE022
Figure DEST_PATH_IMAGE023
,公开散列函数
Figure DEST_PATH_IMAGE024
优选地,所述步骤S3中平台Platform和证书发布方Issuer之间运行Join子协议,其具体过程为:
S31、Issuer接收到Join子协议的信息后,随机生成一个长度为
Figure DEST_PATH_IMAGE025
的整数n传递给 Host;
S32、Host接收n后根据散列函数
Figure DEST_PATH_IMAGE026
计算
Figure DEST_PATH_IMAGE027
,执行Prove子协议,输入 参数
Figure DEST_PATH_IMAGE028
,得到输出
Figure DEST_PATH_IMAGE029
S33、Host利用自有的私钥值hsk,计算
Figure DEST_PATH_IMAGE030
,然后将
Figure DEST_PATH_IMAGE031
信息发送给Issuer;
S34、Iusser调用
Figure DEST_PATH_IMAGE032
协议来验证平台签名的合法性:Issuer首先调用
Figure DEST_PATH_IMAGE033
验证平台Platform是否持有秘密值gsk,即验证平台 Platform匿名身份;然后对
Figure DEST_PATH_IMAGE034
作盲化的CL签名:计算
Figure DEST_PATH_IMAGE035
Figure DEST_PATH_IMAGE036
;生成DAA证书
Figure DEST_PATH_IMAGE037
发送给Host;
S35、Host首先验证DAA证书的合法性,随机选择两个小指数
Figure DEST_PATH_IMAGE038
,同时验证 等式
Figure DEST_PATH_IMAGE039
及不等式
Figure DEST_PATH_IMAGE040
;若两 者都成立则DAA证书合法,Host保存DAA证书,并对DAA证书进行处理
Figure DEST_PATH_IMAGE041
优选地,所述步骤S4中平台Platform在TPM和Host之间运行Sign子协议,其具体过程为:
S41、Host根据自身私钥及处理后的DAA证书
Figure DEST_PATH_IMAGE042
,随机选择一个
Figure DEST_PATH_IMAGE043
,对处理 后的DAA证书
Figure 590336DEST_PATH_IMAGE042
作盲化处理:
Figure DEST_PATH_IMAGE044
S42、Host和TPM共同计算用于签名关联性检测的nym值和关于gsk秘密值的零知识 证明;通过Prove子协议,输入参数
Figure DEST_PATH_IMAGE045
,得到输出
Figure DEST_PATH_IMAGE046
S43、Host生成最终签名
Figure DEST_PATH_IMAGE047
,并发送至签名检测方 Verifier。
优选地,所述步骤S5中签名检测方Verifier通过异构执行体运行Verify子协议,其具体过程为:
S51、签名检测方Verifier验证平台Platform的合法身份:验证方查询被攻破的平 台的秘密值列表RoughList;
Figure DEST_PATH_IMAGE048
,如果存在
Figure DEST_PATH_IMAGE049
,则检测到假冒平 台攻击,放弃此次认证;否则进入步骤S42;
S52、签名检测方Verifier验证DAA证书的合法性:随机选择两个小指数
Figure DEST_PATH_IMAGE050
,验证等式
Figure DEST_PATH_IMAGE051
是否 成立;如果不成立,放弃此次认证;否则进入步骤S43;
S53、签名检测方Verifier由至少一组异构执行体对Host发送的最终签名运行 Verify子协议,进行最终签名的合法性验证:随机数模块产生随机数,加密后分发给每个异 构执行体,每个异构执行体通过VerSPK协议认证签名的合法性;输入参数
Figure DEST_PATH_IMAGE052
,如果输出为1,则认证通过;否则认证失败; 每个异构执行体对认证通过的输出结果进行裁决,异构执行体输出结果一致则输出相应裁 决结果,反之,则判定系统遭到攻击。
优选地,所述步骤S53中随机数模块产生随机数,加密后分发给每个异构执行体,其具体过程为:
对异构执行体进行分组:随机数模块生成分组随机数,作为每组异构执行体的个数,将所有异构执行体随机分配为若干组;
随机数模块产生若干个随机数,经过加密后分发给每个异构执行体组,每个异构执行体组再对加密后的随机数进行加密,作为每个组的编号。
有益效果:
1、本发明采用DAA双向匿名认证技术,在签名检测方内增加拟态模块,在实现对接入物联网网络的底层设备远程匿名认证的同时,拟态模块的内生安全功能能有效抵御任何利用目标系统内部已知、未知软硬件漏洞后门实施的安全威胁,从而在技术架构层面保证了物联网设备的接入安全,具有 “高可靠、高可信、高可用”三位一体属性,保证物联网系统的安全性;
2、证书的颁发者Issuer不需要参与到每次的认证过程中来,即Join协议将只会执行一次。这是因为平台使用了盲化证书的技术,同一个证书在每次的认证过程中均使用不同的盲化值进行盲化,盲化证书和原始证书之间多项式时间无法区分,因此可以实现原始证书的重复利用,从而解决了Privacy CA中可信第三方需要参与每次认证造成的效率短板,同时即使Issuer和Verifier串通,也无法得到平台的真实身份,平台的匿名性得以保证;
3、对异构执行体进行分组操作,使得随机数模块不需要产生过多的随机数,节省了资源占用,提高了运算效率,并且每次的分组后组内异构执行体的个数和成员都不同,防止了异构执行体之前的行为被记录,提高了系统的安全性。
附图说明
图1为本发明的总系统结构示意图;
图2为本发明的DAA双向匿名认证中模块连接示意图;
图3为本发明的拟态防御模块结构示意图;
图4为本发明的总方法流程图。
具体实施方式
本发明公开了一种基于拟态防御原理的双向匿名认证系统及方法,以下结合附图对本方案做进一步的说明和解释。
在本方案中使用的符号及其定义如表1所示;
Figure DEST_PATH_IMAGE053
本方案中包括证书发布方Issuer、签名方Signer、签名检测方Verifier,其中Signer又称为平台Platform,平台Platform可分为:主机Host和可信计算平台模块TPM。
本方案中涉及到的基本原理如下:
1)、CL签名:CL签名即为Camenisch-Lysyanskaya签名,用于群签名或聚合签名的场景中,可以提高签名的匿名性,并降低签名的计算复杂度。CL签名也是一种适用于零知识证明的签名方案,能够对一组数据进行签名,并且能够体现这些被证明组件的关系。这样的性质恰好与零知识证明所需的性质契合。本方案中应用了其零知识证明的签名方案。
2)、零知识证明:zero-knowledge proof,指的是证明者能够在不向验证者提供任 何有用的信息的情况下,使验证者相信某个论断是正确的。零知识证明实质上是一种涉及 两方或更多方的协议,即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验 证者证明并使其相信自己知道或拥有某一消息,但证明过程不能向验证者泄漏任何关于被 证明消息的信息。本方案中的零知识证明的协议基本过程如下:设有一个阶为q的循环群G, 该群的生成元为
Figure DEST_PATH_IMAGE054
,一个可以看作随机预言机的哈希函数
Figure DEST_PATH_IMAGE055
。证明方拥有的 秘密值为sk,消息为m,随机选择一个
Figure DEST_PATH_IMAGE056
,证明方计算
Figure DEST_PATH_IMAGE057
Figure DEST_PATH_IMAGE058
,并公布秘密值的公钥
Figure DEST_PATH_IMAGE059
,然后将
Figure DEST_PATH_IMAGE060
三元组及中间省略的一些公 共参数作为秘密值sk的零知识证明发送给验证方。验证方利用接收的参数计算
Figure DEST_PATH_IMAGE061
。若
Figure DEST_PATH_IMAGE062
成立则该零知识证明验证通过。双方在协议的执行过程 中没有暴露证明方所持有的秘密值sk,但是验证方却能证明另一方是否拥有此秘密值,达 到了零知识证明协议设计的目的。
3)、VerSPK协议:验证TPM和Host共同生成的关于
Figure DEST_PATH_IMAGE063
Figure DEST_PATH_IMAGE064
的签名的合法性。
4)、DAA协议中所有子协议说明如下:
Setup子协议:DAA协议的初始化过程,由Issuer生成其他各协议运行的必要参数;
Join子协议:TPM获取DAA证书并注册的过程,签名方Signer和签名检测方Verifier的实体分别向证书发布方Issuer申请DAA证书;在本方案中仅给出了物联网设备作为签名方Signer申请DAA证书的过程;
Sign子协议:TPMi和Hosti利用同一基名合作生成一个消息的签名,基名用于对DAA签名做关联性检测;其中TPMi和Hosti表示第i个平台内的模块;
Verify子协议:签名检测方Verifier对签名方Signer身份合法性的检测;
Prove子协议:主机Host和TPM之间通过安全信道传递信息的协议:
如附图1和附图2所示,一种基于拟态防御原理的双向匿名认证系统,包括:若干物联网设备、DAA证书生成器、可信的云端服务器和远程数据服务器。在物联网设备认证的过程中,可以同时有多个物联网设备与同一DAA证书生成器、可信的云端服务器进行双向匿名认证。
远程数据服务器与物联网设备之间相互传递业务数据,远程数据服务器同时接受来自手机、电脑等设备的数据,若干物联网设备、DAA证书生成器和可信的云端服务器之间运行直接匿名认证协议DAA;
DAA证书生成器作为直接匿名认证协议DAA中的证书发布方,嵌入在接入的网关处或主机的服务器中,用于在认证平台匿名身份后向平台发布DAA证书;
物联网设备作为直接匿名认证协议DAA中的平台,物联网设备包括自身的主机系统和可信计算模块,分别用于充当平台中的主机Host和可信计算平台模块TPM;TPM和Host共同对数据信息进行签名,主机Host作为中间消息的传递者,向签名检测方发送最终签名,接收和存储证书发布方发布的DAA证书;
可信的云端服务器作为直接匿名认证协议DAA中的签名检测方,包括拟态模块,用于在验证平台的身份和DAA证书的合法性后,由拟态模块对Host发送的最终签名进行合法性验证。拟态模块包括拟态防御模块和随机数模块,拟态防御模块包括若干异构执行体,所述异构执行体通过随机数模块进行分组,在验证平台签名的合法性时,由至少一组异构执行体进行处理。所述异构执行体根据不同的数据库、编译环境以及操作系统进行设置,相互之间异构冗余。数据库采用Mysql、Oracle、Redis等,编译环境采用Go、Java、PHP等,操作系统采用Windows、Linux、Unix等。
本发明采用DAA双向匿名认证技术,在签名检测方内增加拟态模块,在实现对接入物联网网络的底层设备远程匿名认证的同时,拟态模块的内生安全功能能有效抵御任何利用目标系统内部已知、未知软硬件漏洞后门实施的安全威胁,从而在技术架构层面保证了物联网设备的接入安全,具有 “高可靠、高可信、高可用”三位一体属性,保证物联网系统的安全性。
本方案中TPM会生成一个秘密值,同时利用自己的EK即TPM的公钥和私钥生成承诺 值comm
Figure DEST_PATH_IMAGE065
,由Host发送给Issuer。Issuer通过零知识证明验证EK的合法性并生成DAA证书 并传回平台,Host在TPM的帮助下生成完整的DAA证书签名。Verifier对平台盲化处理后的 DAA证书签名进行验证,验证签名和平台的合法性。本发明在Verifier内添加一个拟态模 块,可以有效地抵御非法第三方地攻击,同时拟态模块内的裁决模块工作时,若异构执行体 的输出结果不一致,也可以及时判断出异构执行体是否受到攻击,并及时采取有效的防御 措施。如附图3和附图4所示,一种基于拟态防御原理的双向匿名认证方法,应用于以上任一 所述的一种基于拟态防御原理的双向匿名认证系统中,包括以下步骤:
S1、TPM模块的初始化:证书发布方Issuer域内的每个平台Platform调用TPM命令生成TPM模块的初始化参数,并设计内部输出参数;详细步骤如下:
S11、调用命令函数,生成TPM的公钥和私钥:调用
Figure DEST_PATH_IMAGE066
命令,如果是第一次 调用该命令,则设置TPM的固定参数
Figure 153779DEST_PATH_IMAGE001
,TPM生成一个私钥
Figure DEST_PATH_IMAGE067
,根据固定参数
Figure 506525DEST_PATH_IMAGE003
计 算TPM公钥
Figure DEST_PATH_IMAGE068
,保存其私钥
Figure 998686DEST_PATH_IMAGE002
,然后公开公钥
Figure 833787DEST_PATH_IMAGE004
;否则直接进入S12;在确定Issuer (证书生成器)后,TPM的公钥和私钥生成后一般不会更换,第二次调用该命令的情况是在更 换了Issuer的情况下,因为Issuer一般是不变的,所以第二次调用一般不会出现;
S12、调用命令函数,生成哈希值:对主机Host想要附加的消息
Figure DEST_PATH_IMAGE069
和TPM想要附加 的消息
Figure DEST_PATH_IMAGE070
计算哈希值;调用
Figure DEST_PATH_IMAGE071
命令,如果TPM想要附加的消息
Figure DEST_PATH_IMAGE072
,TPM 确认是否需要附加消息
Figure 466500DEST_PATH_IMAGE070
;计算哈希值
Figure DEST_PATH_IMAGE073
,然后输出哈希值c;
S13、调用命令函数,生成
Figure 172288DEST_PATH_IMAGE005
:判断基名是否为空,生成
Figure 976296DEST_PATH_IMAGE005
;调用
Figure DEST_PATH_IMAGE074
命令,
Figure DEST_PATH_IMAGE075
Figure DEST_PATH_IMAGE076
Figure DEST_PATH_IMAGE077
中 的生成元,如果
Figure 190371DEST_PATH_IMAGE075
的基名
Figure DEST_PATH_IMAGE078
,设置
Figure DEST_PATH_IMAGE079
,否则设置
Figure DEST_PATH_IMAGE080
;如果
Figure DEST_PATH_IMAGE081
,且j的基名
Figure DEST_PATH_IMAGE082
,随机选择一个
Figure DEST_PATH_IMAGE083
Figure DEST_PATH_IMAGE084
,将
Figure DEST_PATH_IMAGE085
存储于TPM中,否则
Figure DEST_PATH_IMAGE086
Figure 485830DEST_PATH_IMAGE084
;设置
Figure DEST_PATH_IMAGE087
,如果
Figure 311703DEST_PATH_IMAGE082
, 设置
Figure DEST_PATH_IMAGE088
Figure DEST_PATH_IMAGE089
,否则
Figure DEST_PATH_IMAGE090
;输出
Figure DEST_PATH_IMAGE091
,同时
Figure 942405DEST_PATH_IMAGE007
自 增1;
S14、调用命令函数,生成
Figure 987983DEST_PATH_IMAGE006
:调用
Figure DEST_PATH_IMAGE092
命令,根据输入 的
Figure 932806DEST_PATH_IMAGE007
找出内存中对应的记录
Figure 754131DEST_PATH_IMAGE008
,如果找不到该条记录,则输出 error信息;计算
Figure 431100DEST_PATH_IMAGE009
Figure 462510DEST_PATH_IMAGE010
,输出
Figure 351969DEST_PATH_IMAGE011
;此处的内存记录 是指主机中对于可信的TPM的一系列数值的记录。
S2、证书发布方Issuer初始化:证书发布方Issuer运行Setup子协议,公开协议运行的必要参数、证书发布方Issuer自身的公钥及其他各个协议需要用到的散列函数;详细步骤如下:
S21、证书发布方Issuer选择
Figure 418014DEST_PATH_IMAGE012
Figure 265884DEST_PATH_IMAGE013
Figure 283125DEST_PATH_IMAGE014
三个阶为素数q的椭圆曲线有限循环群,其 中
Figure 976274DEST_PATH_IMAGE015
且不存在从
Figure 631247DEST_PATH_IMAGE013
Figure 384439DEST_PATH_IMAGE012
的有效同构,
Figure 531387DEST_PATH_IMAGE012
的生成元为
Figure 887282DEST_PATH_IMAGE016
Figure 662340DEST_PATH_IMAGE013
的生成元为
Figure 320854DEST_PATH_IMAGE017
,存在一 个双线性映射
Figure 315617DEST_PATH_IMAGE018
,公开参数
Figure 350569DEST_PATH_IMAGE019
;需要注意的是,TPM 的固定参数
Figure 386658DEST_PATH_IMAGE001
Figure 340708DEST_PATH_IMAGE012
的生成元
Figure 196668DEST_PATH_IMAGE016
,这两处的
Figure 159945DEST_PATH_IMAGE016
是相同的;
S22、证书颁发方Issuer随机生成自身私钥
Figure 519382DEST_PATH_IMAGE020
,其中
Figure DEST_PATH_IMAGE093
;根据私钥
Figure 644333DEST_PATH_IMAGE020
计算公钥
Figure 345180DEST_PATH_IMAGE021
,其中
Figure DEST_PATH_IMAGE094
;公开公钥
Figure 721934DEST_PATH_IMAGE021
,保存自身私钥
Figure 326091DEST_PATH_IMAGE020
S23、证书发布方Issuer生成各个子协议需要用到的散列函数
Figure 762889DEST_PATH_IMAGE022
Figure 452496DEST_PATH_IMAGE023
,公开散列函数
Figure 632941DEST_PATH_IMAGE024
S3、平台Platform和证书发布方Issuer之间运行Join子协议:在证书发布方 Issuer认证平台Platform匿名身份后,平台Platform获取和存储证书发布方Issuer发布的 DAA证书;其中,平台(TPM和Host)通过生成关于自身秘密值
Figure DEST_PATH_IMAGE095
的零知识证 明来证实自身的合法身份,Issuer向合法的平台颁发DAA证书。DAA证书由Host接收并储存, 同时Host也可以验证证书的合法性。
在本方案中,嵌入的物联网设备的可信计算模块对应于DAA协议中的TPM实体,自身的主机系统对应于DAA协议中的Host实体。在系统中没有可信的云端服务器作为签名检测方时,作为签名检测方的主机系统需要是可信的第三方。物联网设备通过与本域的证书颁发方Issuer执行Join协议获取其DAA证书。证书的颁发者Issuer不需要参与到每次的认证过程中来,即Join协议将只会执行一次。这是因为平台使用了盲化证书的技术,同一个证书在每次的认证过程中均使用不同的盲化值进行盲化,盲化证书和原始证书之间多项式时间无法区分,因此可以实现原始证书的重复利用,从而解决了Privacy CA中可信第三方需要参与每次认证造成的效率短板。S3的详细步骤如下:
S31、Issuer接收到Join子协议的信息后,随机生成一个长度为
Figure 826025DEST_PATH_IMAGE025
的整数n传递给 Host;
S32、Host接收n后根据散列函数
Figure 59823DEST_PATH_IMAGE026
计算
Figure 112093DEST_PATH_IMAGE027
,执行Prove子协议,输入参 数
Figure 96229DEST_PATH_IMAGE028
,得到输出
Figure 409399DEST_PATH_IMAGE029
S33、Host利用自身私钥hsk,计算
Figure 453578DEST_PATH_IMAGE030
,然后将
Figure 117778DEST_PATH_IMAGE031
信 息发送给Issuer;
S34、Issuer首先调用
Figure 640026DEST_PATH_IMAGE033
验证平台Platform是否持有秘 密值gsk,即验证平台Platform匿名身份;然后对
Figure 73281DEST_PATH_IMAGE034
作盲化的CL签名:计算
Figure 288362DEST_PATH_IMAGE035
Figure 696251DEST_PATH_IMAGE036
;生成DAA证书
Figure 22190DEST_PATH_IMAGE037
发送给Host;
S35、Host首先验证DAA证书的合法性,通过批量证明的技术,随机选择两个小指数
Figure 309952DEST_PATH_IMAGE038
,同时验证等式
Figure 430355DEST_PATH_IMAGE039
及不等式
Figure 210092DEST_PATH_IMAGE040
;若两者都成立则DAA证书合法,Host保存DAA证书,并对DAA证书进行CL签 名操作
Figure 198776DEST_PATH_IMAGE041
S4、平台Platform在TPM和Host之间运行Sign子协议:TPM和Host共同对数据信息 进行签名操作,由Host向签名检测方Verifier发送最终签名;
Figure DEST_PATH_IMAGE096
可以控制生成的签名是 否具有关联性。详细步骤如下:
S41、Host根据自身私钥hsk及处理后的DAA证书
Figure 809886DEST_PATH_IMAGE042
,随机选择一个
Figure 366770DEST_PATH_IMAGE043
,对处 理后的DAA证书
Figure DEST_PATH_IMAGE097
作盲化处理:
Figure 463164DEST_PATH_IMAGE044
;即使Issuer和Verifier串通,也无法得到平台的真实身份。这同样是因为平台使用了证书 盲化技术,只有得到原始证书,Issuer才能查询平台的身份,而通过盲化证书反推原始证书 在计算上是无法实现的,因此平台的匿名性在Issuer和Verifier串通时也能保证;
S42、Host和TPM共同计算用于签名关联性检测的nym值和关于gsk秘密值的零知识 证明;通过Prove子协议,输入参数
Figure 255539DEST_PATH_IMAGE045
,得到输出
Figure 127680DEST_PATH_IMAGE046
;其中,
Figure DEST_PATH_IMAGE098
用于表示关于gsk秘密值的零知识证明;
S43、Host生成最终签名
Figure 714520DEST_PATH_IMAGE047
,并发送至签名检 测方Verifier。
S5、签名检测方Verifier通过异构执行体运行Verify子协议:签名检测方Verifier在验证平台Platform的身份和DAA证书的合法性后,由至少一组异构执行体对Host发送的最终签名运行Verify子协议,进行最终签名的合法性验证。现有的DAA方案总是默认Verifier的身份是合法的,这是因为DAA协议的核心在于保护平台的匿名性以及防止其他协议方被假冒的平台欺骗,Verifier作为验证方无需自证身份。但是在物联网环境中,平台收集的用户数据非常关键,也是攻击者最关注的信息,如果平台的签名不加甄别的发布,极有可能会被恶意的攻击者捕获。所以本方法添加拟态模块,采取在一个域内设置多个异构执行体作为Verifier的组成部分来对平台进行验证,这也达到了本方案中双向匿名认证的目的。附图3为拟态防御模块结构示意图,也是拟态防御系统典型动态异构冗余架构,当有消息输入时,通过输入代理传输到异构池中每个异构执行体,所有异构执行体处理消息后将结果传输至多模裁决模块,若结果一致则输出,若不一致,可以识别某个执行体输出消息异常,进而实现系统的安全防御。详细步骤如下:
S51、签名检测方Verifier验证平台Platform的合法身份:验证方查询被攻破的平 台的秘密值列表RoughList;
Figure 937691DEST_PATH_IMAGE048
,如果存在
Figure 268178DEST_PATH_IMAGE049
,则检测到假冒平台攻击, 放弃此次认证;否则进入步骤S42;
S52、签名检测方Verifier验证DAA证书的合法性:随机选择两个小指数
Figure 260405DEST_PATH_IMAGE050
,验证等式
Figure 782259DEST_PATH_IMAGE051
是否成立;如果 不成立,放弃此次认证;否则进入步骤S43;
S53、签名检测方Verifier由至少一组异构执行体对Host发送的最终签名运行 Verify子协议,进行最终签名的合法性验证:随机数模块产生随机数,加密后分发给每个异 构执行体,每个异构执行体通过VerSPK协议认证签名的合法性;输入参数
Figure 492726DEST_PATH_IMAGE052
,如果输出为1,则认证通过;否则认证失败;每 个异构执行体对认证通过的输出结果进行裁决,异构执行体输出结果一致则输出相应裁决 结果,反之,则判定系统遭到攻击。裁决模块工作时若异构执行体的输出结果不一致,则确 定本次认证失败,需要重新从步骤S1开始进行下一次认证过程。如果一直认证失败,而其中 的某一个被选中的异构执行体却每次都显示认证通过,也可以及时判断出异构执行体受到 攻击,进而可以及时的修护系统进行工作。步骤S53的详细内容如下:
S531、拟态防御模块进行初始化,输入消息,消息为拟态防御模块需要对Host的签名进行认证。
S532、 输入代理,传入VerSPK协议所需要的参数
Figure DEST_PATH_IMAGE099
,并根据所有异构执行体的要求进行编码,例 如,一个异构执行体使用的是Linux操作系统,则把这些参数转化成Linux操作系统能够识 别出的格式。因为不确定选择后续过程具体会选择到的异构执行体,所以转化后的参数
Figure 95746DEST_PATH_IMAGE052
需要满足所有异构执行体的要求。
S533、对异构执行体进行分组:随机数模块生成分组随机数,作为每组异构执行体的个数,将所有异构执行体随机分配至若干组内;例如,随机数模块生成分组随机数f,则将所有异构执行体随机分配为个数为f的若干组内;
S534、随机数模块产生若干个随机数,经过加密后分发给每个异构执行体组,每个 异构执行体组再对加密后的随机数进行加密,作为每个组的编号。如产生的随机数为u,首 先随机数模块用自己的密钥对u进行加密得到
Figure DEST_PATH_IMAGE100
,再由异构执行体组用自己的密钥对其 进行加密得到
Figure DEST_PATH_IMAGE101
,上述过程在Verifier内部完成,不涉及到其他通信对象。
S535、拟态裁决,选用上述步骤后产生的异构执行体组对签名进行判决,选中的所有异构执行体输出一致判定此次认证通过,则将输出1。如果不满足全部通过的条件则输出0。
S536、输出代理,将拟态裁决后的结果进行处理,得到1则输出通过,得到0则输出不通过。
S537、输出消息,拟态防御模块输出最后的结果,告知物联网设备此次认证的成功或者失败。
对异构执行体进行分组操作,使得随机数模块不需要产生过多的随机数,节省了资源占用,提高了运算效率,因为每次在对最终签名进行验证时随机数模块都重新执行步骤S533和步骤S534,因此每次的分组后组内异构执行体的个数和成员都不同,防止了异构执行体之前的行为被记录,提高了系统的安全性。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (2)

1.一种基于拟态防御原理的双向匿名认证系统,其特征在于,包括:若干物联网设备、DAA证书生成器、可信的云端服务器和远程数据服务器;
远程数据服务器与物联网设备之间相互传递业务数据,若干物联网设备、DAA证书生成器和可信的云端服务器之间运行直接匿名认证协议DAA;
所述物联网设备作为直接匿名认证协议DAA中的平台,物联网设备包括自身的主机系统和可信计算模块,分别用于充当平台中的主机Host和可信计算平台模块TPM;TPM和Host共同对数据信息进行签名,主机Host作为中间消息的传递者,向签名检测方发送最终签名,接收和存储证书发布方发布的DAA证书;
所述DAA证书生成器作为直接匿名认证协议DAA中的证书发布方,嵌入在接入的网关处或主机的服务器中,用于在认证平台匿名身份后向平台发布DAA证书;
所述可信的云端服务器作为直接匿名认证协议DAA中的签名检测方,包括拟态模块,用于在验证平台的身份和DAA证书的合法性后,由拟态模块对Host发送的最终签名进行合法性验证;
所述拟态模块包括拟态防御模块和随机数模块,所述拟态防御模块包括若干异构执行体,所述异构执行体通过随机数模块进行分组,在验证平台签名的合法性时,由至少一组异构执行体进行处理;
所述异构执行体根据不同的数据库、编译环境以及操作系统进行设置,相互之间异构冗余。
2.一种基于拟态防御原理的双向匿名认证方法,应用于如权利要求1所述的一种基于拟态防御原理的双向匿名认证系统中,其特征在于,包括以下步骤:
S1、TPM模块的初始化:证书发布方Issuer域内的每个平台Platform调用TPM命令生成TPM模块的初始化参数,并设计内部输出参数;
S2、证书发布方Issuer初始化:证书发布方Issuer运行Setup子协议,公开协议运行的必要参数、证书发布方Issuer自身的公钥及Join子协议需要用到的散列函数;
S3、平台Platform和证书发布方Issuer之间运行Join子协议:在证书发布方Issuer认证平台Platform匿名身份后,平台Platform获取和存储证书发布方Issuer发布的DAA证书;
S4、平台Platform在TPM和Host之间运行Sign子协议:TPM和Host共同对数据信息进行签名操作,由Host向签名检测方Verifier发送最终签名;
S5、签名检测方Verifier通过异构执行体运行Verify子协议:签名检测方Verifier在验证平台Platform的身份和DAA证书的合法性后,由至少一组异构执行体对Host发送的最终签名运行Verify子协议,进行最终签名的合法性验证。
CN202010650355.0A 2020-07-08 2020-07-08 一种基于拟态防御原理的双向匿名认证系统及方法 Active CN111741008B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010650355.0A CN111741008B (zh) 2020-07-08 2020-07-08 一种基于拟态防御原理的双向匿名认证系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010650355.0A CN111741008B (zh) 2020-07-08 2020-07-08 一种基于拟态防御原理的双向匿名认证系统及方法

Publications (2)

Publication Number Publication Date
CN111741008A CN111741008A (zh) 2020-10-02
CN111741008B true CN111741008B (zh) 2020-12-04

Family

ID=72655677

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010650355.0A Active CN111741008B (zh) 2020-07-08 2020-07-08 一种基于拟态防御原理的双向匿名认证系统及方法

Country Status (1)

Country Link
CN (1) CN111741008B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114448660A (zh) * 2021-12-16 2022-05-06 国网江苏省电力有限公司电力科学研究院 一种物联网数据接入方法
CN113973018B (zh) * 2021-12-22 2022-03-25 南京微滋德科技有限公司 一种基于内生安全的物联网终端数据处理方法及系统
CN115102791B (zh) * 2022-08-24 2023-01-03 南京华盾电力信息安全测评有限公司 一种基于拟态防御的密码服务监控系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101043338A (zh) * 2007-04-27 2007-09-26 中国科学院软件研究所 基于安全需求的远程证明方法及其系统
CN108390866A (zh) * 2018-02-06 2018-08-10 南京航空航天大学 基于双代理双向匿名认证的可信远程证明方法
CN110138799A (zh) * 2019-05-30 2019-08-16 东北大学 一种基于sgx的安全云存储方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8145897B2 (en) * 2008-09-29 2012-03-27 Intel Corporation Direct anonymous attestation scheme with outsourcing capability
CN109005035B (zh) * 2018-07-12 2020-07-28 同济大学 一种网联汽车远程匿名签发验证通信系统
CN109766716A (zh) * 2018-12-26 2019-05-17 东南大学 一种基于可信计算的匿名双向认证方法
CN110768966B (zh) * 2019-10-10 2022-03-25 中国人民解放军战略支援部队信息工程大学 一种基于拟态防御的安全云管理系统构建方法和装置
CN111010410B (zh) * 2020-03-09 2020-06-16 南京红阵网络安全技术研究院有限公司 一种基于证书身份认证的拟态防御系统及证书签发方法
CN111245869B (zh) * 2020-04-24 2020-09-04 南京畅洋科技有限公司 一种信息物理系统中的跨域匿名认证方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101043338A (zh) * 2007-04-27 2007-09-26 中国科学院软件研究所 基于安全需求的远程证明方法及其系统
CN108390866A (zh) * 2018-02-06 2018-08-10 南京航空航天大学 基于双代理双向匿名认证的可信远程证明方法
CN110138799A (zh) * 2019-05-30 2019-08-16 东北大学 一种基于sgx的安全云存储方法

Also Published As

Publication number Publication date
CN111741008A (zh) 2020-10-02

Similar Documents

Publication Publication Date Title
Shahidinejad et al. Light-edge: A lightweight authentication protocol for IoT devices in an edge-cloud environment
Bhatia et al. Data security in mobile cloud computing paradigm: a survey, taxonomy and open research issues
US8122245B2 (en) Anonymity revocation
CN111741008B (zh) 一种基于拟态防御原理的双向匿名认证系统及方法
US6105137A (en) Method and apparatus for integrity verification, authentication, and secure linkage of software modules
CN111563261A (zh) 一种基于可信执行环境的隐私保护多方计算方法和系统
CN113569294B (zh) 一种零知识证明方法及装置、电子设备、存储介质
Xue et al. A distributed authentication scheme based on smart contract for roaming service in mobile vehicular networks
Rangwani et al. A secure user authentication protocol based on ECC for cloud computing environment
CN114584306B (zh) 一种数据处理方法和相关装置
CN114781006B (zh) 基于区块链和sgx的外包数据完整性审计方法及系统
US7073062B2 (en) Method and apparatus to mutually authentication software modules
Zhang et al. El passo: privacy-preserving, asynchronous single sign-on
Khan et al. A brief review on cloud computing authentication frameworks
Kara et al. VoIPChain: A decentralized identity authentication in Voice over IP using Blockchain
JP4874007B2 (ja) 認証システム、サーバコンピュータ、プログラム、及び、記録媒体
Mishra et al. MPoWS: Merged proof of ownership and storage for block level deduplication in cloud storage
Ding et al. An efficient and secure scheme of verifiable computation for intel SGX
Vinh et al. Property‐based token attestation in mobile computing
Priya et al. Secure Key Management Based Mobile Authentication in Cloud.
Haqani et al. A decentralised blockchain-based secure authentication scheme for IoT devices
CN111865568B (zh) 面向数据传输的存证方法、传输方法及系统
CN114679284A (zh) 可信远程证明系统及其存储、验证方法、存储介质
CN111245869A (zh) 一种信息物理系统中的跨域匿名认证方法
Latah et al. CWT-DPA: Component-wise waiting time for BC-enabled data plane authentication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant