CN113132097B - 适合物联网的轻量级无证书跨域认证方法、系统及应用 - Google Patents

适合物联网的轻量级无证书跨域认证方法、系统及应用 Download PDF

Info

Publication number
CN113132097B
CN113132097B CN202110248132.6A CN202110248132A CN113132097B CN 113132097 B CN113132097 B CN 113132097B CN 202110248132 A CN202110248132 A CN 202110248132A CN 113132097 B CN113132097 B CN 113132097B
Authority
CN
China
Prior art keywords
domain
key
cross
internet
things
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110248132.6A
Other languages
English (en)
Other versions
CN113132097A (zh
Inventor
张涛
宋雄飞
沈玉龙
韩雅妮
祝幸辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN202110248132.6A priority Critical patent/CN113132097B/zh
Publication of CN113132097A publication Critical patent/CN113132097A/zh
Application granted granted Critical
Publication of CN113132097B publication Critical patent/CN113132097B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明属于身份认证领域,公开了一种适合物联网的轻量级无证书跨域认证方法、系统及应用,所述适合物联网的轻量级无证书跨域认证方法包括:系统初始化;各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥;加密对称密钥;同一域内外包解密;跨域认证;密钥更新。本发明将基于属性的加密、基于身份的加密体制相结合,消除证书管理、验证和更新过程,同时支持设备跨域认证;在保证加密安全的情况下,采用灵活的属性加密,控制密文的加密方式,使得只有符合特定条件的设备可以有效解密密文;使用无证书密码方式,可用于物联网应用中解决批量访问控制、密钥数量庞大及设备资源受限等问题,实现设备跨域认证。

Description

适合物联网的轻量级无证书跨域认证方法、系统及应用
技术领域
本发明属于属性加密和身份加密技术领域,尤其涉及一种适合物联网的轻量级无证书跨域认证方法、系统及应用。
背景技术
目前,得益于5G和更快的WiFi以及人工智能和机器学习的改进,物联网将深化其在我们的生活和行业中的根基,将跨越工业、商业、医疗、汽车和其它应用,影响数十亿人。然而,由于物联网设备需要将敏感数据发送到云,必须采取安全措施保证在通信过程中保证数据的机密性。此外在物联网环境下,由于传感器子网间需要进行动态的数据或服务的交换,用户对资源的访问也相对频繁,所以,在保证安全的前提下还需要实现灵活的跨域访问。传统的加密方案应用在物联网技术中存在以下问题:一是物联网设备的资源受限,难以实现传统的公钥密码体系,不能采用证书的方式来进行身份认证和消息认证。二是物联网设备数量庞大,一对一加密方式实现大规模设备密钥更新存在困难。三是随着物联网技术的快速发展,资源跨域访问,设备跨域认证等需求越来越多,需要一种新的方案来满足这些需求。基于属性的加密(Attribute-Based Encryption,ABE)是一种可实现一对多的加密方案,已广泛用于访问控制系统。基于身份的加密(Identity-Based Encryption,IBE)是一种无证书的公私钥加密方案,可以实现认证。因此,将二者结合,提出一种适合物联网的轻量级无证书跨域认证方法,解决上述三个问题很有必要。
通过上述分析,现有技术存在的问题及缺陷为:
(1)传统的加密方案应用在物联网技术中,物联网设备的资源受限,难以实现传统的公钥密码体系,不能采用证书的方式来进行身份认证和消息认证。
(2)将传统的加密方案应用在物联网技术中,由于物联网设备数量庞大,一对一加密方式实现大规模设备密钥更新存在困难。
(3)现有物联网的接入和访问控制机制复杂多样,特别是云存储技术的应用引发的跨域资源安全访问的问题,进一步增加了终端设备接入和访问控制的复杂性。此外,大规模设备的密钥存储和更新导致云平台难以应对。
解决以上问题及缺陷的难度为:由于证书验证成本高、证书管理复杂等问题,物联网应用迫切需要一种无证书的认证方案。此外跨域需求日益增多,还需要解决设备的跨域认证。
解决以上问题及缺陷的意义为:基于属性的加密能够实现一对多的加密,可解决大规模物联网设备密钥更新的问题;基于身份的加密可以实现无证书的认证,将二者结合的方案可以解决设备的跨域认证问题,实现一种适合物联网应用的安全通信方案。
发明内容
针对现有技术存在的问题,本发明提供了一种适合物联网的轻量级无证书跨域认证方法、系统及应用。
本发明是这样实现的,一种适合物联网的轻量级无证书跨域认证方法,所述适合物联网的轻量级无证书跨域认证方法包括以下步骤:
步骤一,系统初始化,中央授权机构通过功能划分不同的属性域,为每个域生成公共参数和主密钥;
步骤二,各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥;
步骤三,平台随机生成对称密钥,使用ABE来加密对称密钥,解密过程部分外包,验证外包结果及实现最终加密;
步骤四,跨域认证:当同一域内的设备进行认证时,采用解密出的消息与公钥结合的方式进行认证;不同域内的设备进行认证时,通过身份加密的方式解密出消息进行认证;
步骤五,密钥更新:在密文中引入时间参数,保证身份信息的有效性;所有设备必须定期与授权中心通信,以检查设备是否正常工作。
进一步,步骤一中,所述系统初始化,包括:
选取一个系统安全参数λ和一个属性域U;挑选两个阶为p的乘法循环群G1,G2,g为G1的生成元,双线性映射为e:G1×G1→G2;为系统选择一个更新的最大时间间隔T,其中一个时间间隔可以分为n份,选择n个随机数u1,...,un∈Zp;选择三个随机数α,β∈Zp,u∈G1;其中公开参数为g,h=gβ,e(g,g)α,u,u1,...,un∈Zp;主密钥为β,α,gα
进一步,步骤二中,所述各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥,包括:
定义每个设备的属性集S,选择一个随机数r∈Zp,对每个属性j∈S选择一个随机数ri∈Zp,选择随机函数H:{0,1}*→G;因为密钥与时间相关,定义当前时间间隔为Tc,当前时间间隔的第k点为tk;计算属性加密的转换密钥TK为
Figure BDA0002964905560000031
私钥为α′;选择唯一属性设备ID作为身份加密的公钥,计算身份加密的私钥为
Figure BDA0002964905560000032
K2=gr,K3=gα+r
进一步,步骤三中,所述加密对称密钥,包括:
物联网平台随机生成对称密钥K1,K2,使用属性加密要发送对称密钥M=K1||K2;平台产生随机数s1、s2,并与辅助节点使用传统的加密方式贡献随机数s2;平台计算在访问结构γ加密下的密文
Figure BDA0002964905560000033
Figure BDA0002964905560000034
VT2=H(s2,CT),
Figure BDA0002964905560000035
其中,att(y)表示将访问结构中的叶节点映射到属性集中。
进一步,步骤三中,所述同一域内外包解密,包括:
当设备没有被加入到辅助节点的黑名单时,辅助节点帮助其进行外包解密;设备将转换密钥TK及
Figure BDA0002964905560000041
发送到辅助节点,辅助节点递归到顶点时得到半解密密文
Figure BDA0002964905560000042
当递归到顶点时qx(0)=s1,令
Figure BDA0002964905560000043
设备在用自己的另一半私钥进行最终的解密
Figure BDA0002964905560000044
进一步,步骤四中,所述跨域认证,包括:
域内的设备首先向辅助节点申请另一个域内的参数,辅助节点判断该设备没有被撤销则向其发送参数
Figure BDA0002964905560000045
u,ID;设备选择随机数s∈Zp,计算并发送参数
Figure BDA0002964905560000046
C1=usID,C2=gs
Figure BDA0002964905560000047
C4=H(M);另一设备首先计算
Figure BDA0002964905560000048
然后进行解密,令
Figure BDA0002964905560000049
两个设备使用共同拥有的参数M即可实现双向认证。
进一步,步骤五中,所述密钥更新,包括:
在加密时都会对密文加上参数LTs,在密钥上都会加上密钥生成时的参数LTc;在一个时间间隔内,参数LTc可以转换为LTs;当过了这个时间间隔后,密钥将无法解密密文,必须更新自己的密钥;如果辅助节点发现设备已经被撤销后将不对其更新密钥。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行如下步骤:
系统初始化,中央授权机构通过功能划分不同的属性域,为每个域生成公共参数和主密钥;
各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥;
平台随机生成对称密钥,使用ABE来加密对称密钥,解密过程部分外包,验证外包结果及实现最终加密;
跨域认证:当同一域内的设备进行认证时,采用解密出的消息与公钥结合的方式进行认证;不同域内的设备进行认证时,通过身份加密的方式解密出消息进行认证;
密钥更新:在密文中引入时间参数,保证身份信息的有效性;所有设备必须定期与授权中心通信,以检查设备是否正常工作。
本发明的另一目的在于提供一种物联网信息数据处理终端,所述物联网信息数据处理终端用于实现所述的适合物联网的轻量级无证书跨域认证方法。
本发明的另一目的在于提供一种应用所述的适合物联网的轻量级无证书跨域认证方法的适合物联网的轻量级无证书跨域认证系统,所述适合物联网的轻量级无证书跨域认证系统包括:
系统初始化模块,用于中央授权机构通过功能划分不同的属性域,为每个域生成公共参数和主密钥;
公私钥生成模块,用于通过各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥;
加解密模块,平台随机生成对称密钥,使用ABE来加密对称密钥,解密过程部分外包,验证外包结果及实现最终加密;
跨域认证模块,用于当同一域内的设备进行认证时,采用解密出的消息与公钥结合的方式进行认证;不同域内的设备进行认证时,通过身份加密的方式解密出消息进行认证;
密钥更新模块,用于在密文中引入时间参数,保证身份信息的有效性;所有设备必须定期与授权中心通信,以检查设备是否正常工作。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明提供的适合物联网的轻量级无证书跨域认证方法,将属性加密、身份加密体制相结合,不仅消除了证书的管理、验证、更新过程,同时支持设备跨域认证。在保证加密安全的情况下,本发明采用灵活的属性加密,控制了密文的加密方式,使得只有符合特定条件的设备可以有效解密密文。为了降低加解密的计算开销,本发明在属性加密中根据功能分域来降低每个域内的属性数量;同时使用无证书密码方式,拥有传统公钥加密和基于身份加密的优势,既可以实现设备的跨域认证又可以降低认证的计算开销,可用于物联网应用中解决批量访问控制、密钥数量庞大、设备资源受限等问题。本发明实现了一种适合物联网的轻量级无证书跨域认证方法,实现了批量的密钥分发和高效的设备跨域认证。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的适合物联网的轻量级无证书跨域认证方法流程图。
图2是本发明实施例提供的适合物联网的轻量级无证书跨域认证方法原理图。
图3是本发明实施例提供的适合物联网的轻量级无证书跨域认证系统结构框图;
图中:1、系统初始化模块;2、公私钥生成模块;3、加解密模块;4、跨域认证模块;5、密钥更新模块。
图4是本发明实施例提供的物联网节点进行外包解密的方法流程图。
图5是本发明实施例提供的域内认证与跨域认证的方法流程图。
图6是本发明实施例提供的采用本发明方法实现跨域认证的结果示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明无需证书的跨域双向认证,减少证书验证,颁发,存储,撤销开销。轻量级的跨域双向认证,利用设备在各自域内的认证参数实现跨域双向认证。可撤销的公钥,设置密钥期限和白名单,解决身份加密中公钥无法更新的问题。
针对现有技术存在的问题,本发明提供了一种适合物联网的轻量级无证书跨域认证方法、系统及应用,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的适合物联网的轻量级无证书跨域认证方法包括以下步骤:
S101,系统初始化,中央授权机构通过功能划分不同的属性域,为每个域生成公共参数和主密钥;
S102,各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥;
S103,平台随机生成对称密钥,使用ABE来加密对称密钥,解密过程部分外包,验证外包结果及实现最终加密;
S104,跨域认证:当同一域内的设备进行认证时,采用解密出的消息与公钥结合的方式进行认证;不同域内的设备进行认证时,通过身份加密的方式解密出消息进行认证;
S105,密钥更新:在密文中引入时间参数,保证身份信息的有效性;所有设备必须定期与授权中心通信,以检查设备是否正常工作。
本发明提供的适合物联网的轻量级无证书跨域认证方法业内的普通技术人员还可以采用其他的步骤实施,图1的本发明提供的适合物联网的轻量级无证书跨域认证方法仅仅是一个具体实施例而已。
本发明实施例提供的适合物联网的轻量级无证书跨域认证方法原理图如图2所示。
如图3所示,本发明实施例提供的适合物联网的轻量级无证书跨域认证系统包括:
系统初始化模块1,用于中央授权机构通过功能划分不同的属性域,为每个域生成公共参数和主密钥;
公私钥生成模块2,用于通过各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥;
加解密模块3,平台随机生成对称密钥,使用ABE来加密对称密钥,解密过程部分外包,验证外包结果及实现最终加密;
跨域认证模块4,用于当同一域内的设备进行认证时,采用解密出的消息与公钥结合的方式进行认证;不同域内的设备进行认证时,通过身份加密的方式解密出消息进行认证;
密钥更新模块5,用于在密文中引入时间参数,保证身份信息的有效性;所有设备必须定期与授权中心通信,以检查设备是否正常工作。
下面结合实施例对本发明的技术方案作进一步的描述。
如图2所示,本发明实施例提供的适合物联网的轻量级无证书跨域认证方法具体包括以下步骤:
步骤一:系统初始化。
中央授权机构通过功能划分不同的属性域,为每个域生成公共参数和主密钥。首先选取一个系统安全参数λ和一个属性域U;然后挑选两个阶为p的乘法循环群G1,G2,g为G1的生成元,双线性映射为e:G1×G1→G2;为系统选择一个更新的最大时间间隔T,其中一个时间间隔可以分为n份,选择n个随机数u1,...,un∈Zp;选择三个随机数α,β∈Zp,u∈G1;其中公开参数为g,h=gβ,e(g,g)α,u,u1,...,un∈Zp;主密钥为β,α,gα
步骤二:各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥。
首先定义每个设备的属性集S,选择一个随机数r∈Zp,然后对每个属性j∈S选择一个随机数rj∈Zp,选择随机函数H:{0,1}*→G。因为密钥与时间相关,定义当前时间间隔为Tc,当前时间间隔的第k点为tk。计算属性加密的转换密钥TK为
Figure BDA0002964905560000091
私钥为α′;选择唯一属性设备ID作为身份加密的公钥,计算身份加密的私钥为
Figure BDA0002964905560000092
K2=gr,K3=gα+r
步骤三:加密对称密钥。
物联网平台随机生成对称密钥K1,K2,使用属性加密要发送对称密钥M=K1||K2。平台产生随机数s1、s2,并与辅助节点使用传统的加密方式贡献随机数s2,之后平台计算在访问结构γ加密下的密文
Figure BDA0002964905560000093
Figure BDA0002964905560000094
VT2=H(s2,CT),
Figure BDA0002964905560000095
其中att(y)表示将访问结构中的叶节点映射到属性集中。
步骤四:同一域内外包解密。
如图4所示,本步骤具体实现如下:当设备没有被加入到辅助节点的黑名单时,辅助节点帮助其进行外包解密。设备将转换密钥TK及
Figure BDA0002964905560000096
发送到辅助节点,辅助节点递归到顶点时得到半解密密文
Figure BDA0002964905560000097
当递归到顶点时qx(0)=s1,令
Figure BDA0002964905560000098
设备在用自己的另一半私钥进行最终的解密
Figure BDA0002964905560000099
步骤五:跨域认证
如图5所示,本步骤具体实现如下:域内的设备首先向辅助节点申请另一个域内的参数,辅助节点判断该设备没有被撤销则向其发送参数
Figure BDA0002964905560000101
u,ID;设备选择随机数s∈Zp然后计算并发送参数
Figure BDA0002964905560000102
C1=usID,C2=gs
Figure BDA0002964905560000103
C4=H(M);另一设备首先计算
Figure BDA0002964905560000104
然后进行解密,令
Figure BDA0002964905560000105
Figure BDA0002964905560000106
两个设备使用共同拥有的参数M即可实现双向认证。
步骤六:密钥更新。
在加密时都会对密文加上参数LTs,在密钥上都会加上密钥生成时的参数LTc。在一个时间间隔内,参数LTc可以转换为LTs。当过了这个时间间隔后,密钥将无法解密密文,必须更新自己的密钥。如果辅助节点发现设备已经被撤销后将不对其更新密钥。
下面结合仿真对本发明的应用效果作详细的描述。
1.仿真条件
仿真环境是:笔记本,配置是Intel(R)Core(TM)i7-10750H CPU@2.60GHz 2.59GHz16.00GB RAM,操作系统为64位Windows7。基于Eclipse工具,实现语言为Java。
2.方针内容与结果分析
采用本发明方法实现跨域认证的结果如图6所示,仿真过程具有随机性,因此使用多次试验结果取平均值作为最终结果。本方案初始化阶段的参数较多,因此花费的时间比较多,平均为593.1ms,此开销为授权中心的开销;密钥生成阶段也授权中心来负责,平均为每个设备产生属性加密的公私钥的时间为11.2ms;由于本方案为双向认证,因此认证分为两个阶段,在阶段一,设备只需向另一个域内的边缘计算节点申请参数实现对设备的认证,此阶段无需计算开销,但设备获得参数后需要计算相关参数来让另一个设备对本设备进行认证,计算参数的平均耗时为7.2ms;在认证的第二阶段,设备需要通过参数进行解密运算,之后进行哈希运算完成认证,此阶段的平均开销为13.5ms,这极大的降低了物联网设备进行跨域双向认证的计算开销。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (7)

1.一种适合物联网的轻量级无证书跨域认证方法,其特征在于,所述适合物联网的轻量级无证书跨域认证方法包括:
系统初始化,中央授权机构通过功能划分不同的属性域,为每个域生成公共参数和主密钥;
各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥;
平台随机生成对称密钥,使用ABE来加密对称密钥,解密过程部分外包,验证外包结果及实现最终加密;
跨域认证:当同一域内的设备进行认证时,采用解密出的消息与公钥结合的方式进行认证;不同域内的设备进行认证时,通过身份加密的方式解密出消息进行认证;所述跨域认证,包括:域内的设备首先向辅助节点申请另一个域内的参数,辅助节点判断该设备没有被撤销则向其发送参数
Figure FDA0003660438950000011
u,ID;设备选择随机数s∈Zp,计算并发送参数
Figure FDA0003660438950000012
另一设备首先计算
Figure FDA0003660438950000013
然后进行解密,令
Figure FDA0003660438950000014
Figure FDA0003660438950000015
两个设备使用共同拥有的参数M即可实现双向认证;
密钥更新:在密文中引入时间参数,保证身份信息的有效性;所有设备必须定期与授权中心通信,以检查设备是否正常工作;
所述系统初始化,包括:选取一个系统安全参数λ和一个属性域U;挑选两个阶为p的乘法循环群G1,G2,g为G1的生成元,双线性映射为e:G1×G1→G2;为系统选择一个更新的最大时间间隔T,其中一个时间间隔可以分为n份,选择n个随机数u1,...,un∈Zp;选择三个随机数α,β∈Zp,u∈G1;其中公开参数为g,h=gβ,e(g,g)α,u,u1,...,un∈Zp;主密钥为β,α,gα
所述各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥,包括:定义每个设备的属性集S,选择一个随机数r∈Zp,对每个属性j∈S选择一个随机数rj∈Zp,选择随机函数H:{0,1}*→G;因为密钥与时间相关,定义当前时间间隔为Tc,当前时间间隔的第k点为tk;计算属性加密的转换密钥TK为(
Figure FDA0003660438950000021
Figure FDA0003660438950000022
)私钥为α′;选择唯一属性设备ID作为身份加密的公钥,计算身份加密的私钥为
Figure FDA0003660438950000023
2.如权利要求1所述的适合物联网的轻量级无证书跨域认证方法,其特征在于,所述加密对称密钥,包括:物联网平台随机生成对称密钥K1,K2,使用属性加密要发送对称密钥M=K1||K2;平台产生随机数s1、s2,并与辅助节点使用传统的加密方式贡献随机数s2;平台计算在访问结构γ加密下的密文
Figure FDA0003660438950000024
Figure FDA0003660438950000025
VT2=H(s2,CT),
Figure FDA0003660438950000026
其中,att(y)表示将访问结构中的叶节点映射到属性集中。
3.如权利要求1所述的适合物联网的轻量级无证书跨域认证方法,其特征在于,所述同一域内外包解密,包括:当设备没有被加入到辅助节点的黑名单时,辅助节点帮助其进行外包解密;设备将转换密钥TK及
Figure FDA0003660438950000027
发送到辅助节点,辅助节点递归到顶点时得到半解密密文
Figure FDA0003660438950000028
当递归到顶点时qx(0)=s1,令
Figure FDA0003660438950000029
设备在用自己的另一半私钥进行最终的解密
Figure FDA00036604389500000210
4.如权利要求1所述的适合物联网的轻量级无证书跨域认证方法,其特征在于,所述密钥更新,包括:在加密时都会对密文加上参数LTs,在密钥上都会加上密钥生成时的参数LTc;在一个时间间隔内,参数LTc可以转换为LTs;当过了这个时间间隔后,密钥将无法解密密文,必须更新自己的密钥;如果辅助节点发现设备已经被撤销后将不对其更新密钥。
5.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求1~4任意一项所述的适合物联网的轻量级无证书跨域认证方法的步骤。
6.一种物联网信息数据处理终端,其特征在于,所述物联网信息数据处理终端用于实现权利要求1~4任意一项所述的适合物联网的轻量级无证书跨域认证方法。
7.一种实施权利要求1~4任意一项所述的适合物联网的轻量级无证书跨域认证方法的适合物联网的轻量级无证书跨域认证系统,其特征在于,所述适合物联网的轻量级无证书跨域认证系统包括:
系统初始化模块,用于中央授权机构通过功能划分不同的属性域,为每个域生成公共参数和主密钥;
公私钥生成模块,用于通过各域内的授权机构为设备分配属性集,并生成属性加密的公私钥和身份加密的公私钥;
加解密模块,平台随机生成对称密钥,使用ABE来加密对称密钥,解密过程部分外包,验证外包结果及实现最终加密;
跨域认证模块,用于当同一域内的设备进行认证时,采用解密出的消息与公钥结合的方式进行认证;不同域内的设备进行认证时,通过身份加密的方式解密出消息进行认证;
密钥更新模块,用于在密文中引入时间参数,保证身份信息的有效性;所有设备必须定期与授权中心通信,以检查设备是否正常工作。
CN202110248132.6A 2021-03-07 2021-03-07 适合物联网的轻量级无证书跨域认证方法、系统及应用 Active CN113132097B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110248132.6A CN113132097B (zh) 2021-03-07 2021-03-07 适合物联网的轻量级无证书跨域认证方法、系统及应用

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110248132.6A CN113132097B (zh) 2021-03-07 2021-03-07 适合物联网的轻量级无证书跨域认证方法、系统及应用

Publications (2)

Publication Number Publication Date
CN113132097A CN113132097A (zh) 2021-07-16
CN113132097B true CN113132097B (zh) 2022-07-05

Family

ID=76772704

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110248132.6A Active CN113132097B (zh) 2021-03-07 2021-03-07 适合物联网的轻量级无证书跨域认证方法、系统及应用

Country Status (1)

Country Link
CN (1) CN113132097B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113872759B (zh) * 2021-09-29 2023-06-06 湘潭大学 一种智能电网的轻量级身份认证方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370202B2 (en) * 2004-11-02 2008-05-06 Voltage Security, Inc. Security device for cryptographic communications
JP5852551B2 (ja) * 2012-11-12 2016-02-03 日本電信電話株式会社 関数型暗号システム、鍵生成装置、暗号化装置、復号装置、関数型暗号方法、およびプログラム
CN103546567B (zh) * 2013-10-28 2016-12-07 中国航天科工集团第二研究院七〇六所 一种可信云计算环境中无证书跨域认证方法
CN106877995A (zh) * 2017-01-13 2017-06-20 河海大学 分层的基于属性的抗持续辅助输入泄漏加密方法及系统
CN110099043B (zh) * 2019-03-24 2021-09-17 西安电子科技大学 支持策略隐藏的多授权中心访问控制方法、云存储系统
CN110636500B (zh) * 2019-08-27 2022-04-05 西安电子科技大学 支持跨域数据共享的访问控制系统及方法、无线通信系统
CN111130767A (zh) * 2019-11-30 2020-05-08 西安电子科技大学 基于属性支持可验证外包和可撤销的物联网安全通信方法
CN111245847A (zh) * 2020-01-15 2020-06-05 北京三未信安科技发展有限公司 轻量级无证书认证方法、客户端及系统

Also Published As

Publication number Publication date
CN113132097A (zh) 2021-07-16

Similar Documents

Publication Publication Date Title
CN108390876B (zh) 支持撤销外包可验证多授权中心访问控制方法、云服务器
CN110099043B (zh) 支持策略隐藏的多授权中心访问控制方法、云存储系统
WO2021179449A1 (zh) 一种基于证书身份认证的拟态防御系统及证书签发方法
Liu et al. Achieving reliable and secure services in cloud computing environments
US7577258B2 (en) Apparatus and method for group session key and establishment using a certified migration key
KR100827650B1 (ko) 그룹에 참여하도록 초대된 잠재적 회원을 인증하는 방법
CN103856477A (zh) 一种可信计算系统及相应的认证方法和设备
Al-Janabi et al. Public-key cryptography enabled kerberos authentication
CN113360925A (zh) 电力信息物理系统中可信数据的存储和访问方法及系统
CN110933033A (zh) 智慧城市环境下多物联网域的跨域访问控制方法
Downnard Public-key cryptography extensions into Kerberos
Gao et al. A privacy-preserving identity authentication scheme based on the blockchain
Athena et al. An identity attribute–based encryption using elliptic curve digital signature for patient health record maintenance
Zhang et al. A secure revocable fine-grained access control and data sharing scheme for SCADA in IIoT systems
Hahn et al. Efficient IoT management with resilience to unauthorized access to cloud storage
Ibrahim et al. A robust generic multi-authority attributes management system for cloud storage services
CN113132097B (zh) 适合物联网的轻量级无证书跨域认证方法、系统及应用
CN113055164A (zh) 一种基于国密的密文策略属性加密算法
CN113360944A (zh) 一种电力物联网的动态访问控制系统与方法
CN116599659B (zh) 无证书身份认证与密钥协商方法以及系统
CN111131160B (zh) 一种用户、服务及数据认证系统
CN116527358A (zh) 一种基于cp-abe的边缘计算下时间敏感访问控制方法及装置
CN113641985B (zh) 一种分布式可信组织身份访问控制系统及方法
CN113329003B (zh) 一种物联网的访问控制方法、用户设备以及系统
CN111130767A (zh) 基于属性支持可验证外包和可撤销的物联网安全通信方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant