CN113162903B - 网络切片中的基于连接信息的认证方法 - Google Patents

网络切片中的基于连接信息的认证方法 Download PDF

Info

Publication number
CN113162903B
CN113162903B CN202110146261.4A CN202110146261A CN113162903B CN 113162903 B CN113162903 B CN 113162903B CN 202110146261 A CN202110146261 A CN 202110146261A CN 113162903 B CN113162903 B CN 113162903B
Authority
CN
China
Prior art keywords
information
equipment
identity
sequence
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110146261.4A
Other languages
English (en)
Other versions
CN113162903A (zh
Inventor
杨柳
赵恒凯
郑国莘
倪华
刘虹
尹作菲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Industrial Control Safety Innovation Technology Co ltd
University of Shanghai for Science and Technology
Original Assignee
Shanghai Industrial Control Safety Innovation Technology Co ltd
University of Shanghai for Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Industrial Control Safety Innovation Technology Co ltd, University of Shanghai for Science and Technology filed Critical Shanghai Industrial Control Safety Innovation Technology Co ltd
Priority to CN202110146261.4A priority Critical patent/CN113162903B/zh
Publication of CN113162903A publication Critical patent/CN113162903A/zh
Application granted granted Critical
Publication of CN113162903B publication Critical patent/CN113162903B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种网络切片中的基于连接信息的认证方法,当一个新的设备申请加入切片网络时,首先进行新加入设备身份验证,使用采集器采集的生物信息连同设备的硬件信息,生成摘要信息,对比登录设备已保存的摘要信息,以完成认证;通过验证后的设备与周围设备建立联系,将登录合格信息、范围连接设备信息、切片信息联合起来,作为新加入设备的身份证明,在发送方传输信息时加上所述身份证明,接收方则根据身份证明与通信目标对象的信息进行比对,验证身份是否正确。本发明方法减少了对权威机构的依赖,满足不同切片的不同安全性需求,支持在没有权威机构的参与下验证身份信息,提高了用户登录的效率,安全性及不被破解的可能性大大提高。

Description

网络切片中的基于连接信息的认证方法
技术领域
本发明涉及一种利用范围连接设备信息验证身份的方法,属于无线通信技术领域。
背景技术
现如今,随着信息技术的发展。每时每刻都有很多信息进行交换,自动驾驶、大数据等新技术更是依赖于海量的数据交互与计算。但同时,因为越来越多重要的信息在网络上传播,信息安全的保证变得越来越重要。很多黑客专心于数据窃取与冒用,人们也开始越来越关注信息加密技术的应用以保证自己的信息安全。
密钥系统经过很多年的发展,已经发展成为分工明确,互相协作的安全系统。但目前的PKI身份认证过于依赖权威机构,所有的数字证书都要权威机构生成。如果一旦权威机构系统出现了故障,导致证书颁发错误,将对现代的加密传输造成十分严重的后果。或者机构出现宕机,无法颁发新的证书,将阻碍很多新用户进行加密通信。
网络切片作为一种新兴技术,未来有很大的发展空间,但针对网络切片的安全认证方法研究较少。网络切片是运营商根据网络需求的不同,在统一的基础设施上分离出多个虚拟的端到端网络。所以对于不同安全要求的切片,采取的认证以及加密方式理应不同以满足不同的需求。
发明内容
为了解决现有技术问题,本发明的目的在于克服已有技术存在的不足,提供一种网络切片中的基于连接信息的认证方法,减少了对权威机构的依赖,满足不同切片的不同安全性需求,本发明方法支持在没有权威机构的参与下验证身份信息,使用本方法提高了用户登录的效率,安全性及不被破解的可能性大大提高。
为达到上述发明创造目的,本发明采用如下技术方案:
一种网络切片中的基于连接信息的认证方法,操作步骤如下:
当一个新的设备申请加入切片网络时,首先进行新加入设备身份验证,使用采集器采集的生物信息连同设备的硬件信息,生成摘要信息,对比登录设备已保存的摘要信息,以完成认证;通过验证后的设备与周围设备建立联系,将登录合格信息、范围连接设备信息、切片信息联合起来,作为新加入设备的身份证明,在发送方传输信息时加上所述身份证明,接收方则根据身份证明与通信目标对象的信息进行比对,验证身份是否正确。
优选地,本发明网络切片中的基于连接信息的认证方法,包括如下步骤:
步骤1:采用针对登录设备与用户信息命名与组合的SFdx标准,每个设备使用前需要检查身份,按SFdx命名与组合规范,组合自身硬件信息与使用者的ID信息为一段信息序列;对这段信息序列使用YL4.5方法,生成即时摘要信息;用户登录时,生成的即时摘要信息与激活时已经存储的摘要信息进行比对,信息相同则判断设备检查合格,完成验证过程;
步骤2:设备检查合格后,开始登陆,使用采集器,采集本次登录的生物信息;采集信息完成后,采集器使用PSz2方法,将身份信息打碎成n块碎片,分发给范围连接的设备,n由下述PSz2方法计算得出,是PSz2方法的参数;采集器还将登录设备按采集器分发的顺序,依次分发登录设备中存储的个人身份信息碎片;然后连接设备依次比较符合后,生成一个合格标识,使登录设备成功登录;同时,这些合格标识整合成登录合格信息;
步骤3:登录合格信息连同范围设备连接信息和切片信息共同组成身份证明信息,使用YL4.5方法,求出身份证明信息的摘要;已有摘要信息和实际信息新生成的摘要信息吻合,来证明发送方的身份;发送方和接受方的双方认证都通过后,则开始正常的加密通信。
优选地,在所述步骤1中,针对登录设备与用户信息命名与组合的SFdx标准具体如下:
首先是各信息格式的统一要求,包含如下信息:
品牌名称:大写字母序列N1+数字序列S1,N1为将品牌名称用大写字母表示,S1为品牌名称中的数字信息;
信号发射频段:把可用频段均分为八块,以数字0-7编号,信号处于哪一频段即记录频段编号为S2;
电池容量大小:用比例系数S3表示,S3为总毫安数/512mAh,小数向上取整;
处理器型号:小写字母序列N2+数字序列S4,N2为将处理器型号用小写字母表示,S4为处理器型号中的数字信息;
用户ID信息:大写字母序列N3+数字序列S5,N3为将用户ID用大写字母表示,S5为用户ID中的数字信息;
对于上述信息的排列方法为:N1+S1ii S3+N3+S4ii S2+N2+S5;S1ii的s3次方,是指依次求S1的每一位数的s3次方,再排列;S4ii的s2次方,是指依次求S4的每一位数的s2次方,再排列。发明对上述信息进行排列,求次方后的值依次排列。
本发明进行设备检查时,每个设备激活时都会保存一个包含自身各种硬件的信息,包括品牌及型号、信号发射的频段、电池容量大小、处理器型号,以及使用者的ID信息,此信息按SFdx命名与组合规范,组成了一段规范的信息序列。
优选地,在所述步骤1中,对信息序列生成摘要信息采用的YL4.5方法包括如下步骤:
步骤1.1:对于一组信息,分为字母与数字,字母全部视为小写并用其ASCII码处理;
分别求出信息的总长比例值k1:k1=总长/32,小数向上取整;
求序列中字母占比:分为0-0.25,0.25-0.5,0.5-1三个范围,分别予以表示;统计序列中数字分布,分成0-3,4-6,7-9三个范围,只记录前两个范围数字占的百分比,因为总占比为1,得到前两部分占比可知第三部分占比;将字母范围分为小于i、i与r之间、大于r三部分;并只统计序列字母中小于i的字母所占的百分比,大于r的字母所占的百分比,对于字母通过其ASCII码来比较大小;共计6个信息,每个信息采用两位数字标识,形成前4位为0的16位数字摘要信息;
步骤1.2:将每组信息的数字和字母等分为两小组;分别求出每小组数字与字母的线性回归方程y=a1*x3+a2*x2+a3*x+a4的系数a1、a2、a3,a4;a1、a2、a3、a4为按照上式标准求得的回归方程的系数;每个系数用最高位次数的正负、最高位次数、最高位数值、次高位数值表示,即每个系数在摘要信息里占据四个字节;一组信息分为两小组,一小组分为数字和字母两类,一类生成四个系数,一个系数用四位数字表示,共计生成摘要信息64位数字;
步骤1.3:将每组信息的数字和字母分别求出均值j1、j2和方差q1、q2,计算出数值中大于j1、j2的比例,数值和均值差方中大于q1、q2的比例,一共8个信息,每个信息用两位数字表示,共计生成摘要信息16位,总的16+64+16=96位数字信息即为完整摘要信息。本发明方法进行设备检查时,对这段信息用YL4.5方法求摘要信息;登录时,再次检测现有硬件信息与用户ID,产生新的摘要信息,发送给连接设备,连接设备对比正确则设备检查完成。
优选地,在所述步骤1中,摘要生成方法采用YL4.5方法,令一组信息计算、生成92位的摘要信息;这里包含品牌、频段、电池、处理器、用户ID,五组信息,即会生成5*92=460位的摘要信息。
优选地,在所述步骤2中,信息打碎时采用的PSz2方法,打碎过程包括如下步骤:
把身份信息按4:4:2分为A1、A2、A3三部分,三部分信息都分为n块,A1切块和A2切块采用双螺旋混编,即A1切块(正序排列)A2切块(正序排列)、A2切块(逆序排列)A1切块(逆序排列)、A1切块(正序排列)A2切块(正序排列)依次重复的排列顺序,一直排列到信息末尾;每两个切块划分为一个混编信息块,A3切块依次加到混编后信息块信息的n-2/n处;使总体身份信息重组划分为n块,从而将信息打碎为n块。
优选地,在所述步骤2中,信息打碎时采用PSz2方法,在所述步骤2中的n块通过信息总量、切片安全性与范围内设备密度加权得到;n=总字节数/96字节*系数a1+切片安全档次参数d*系数a2+设备密度*系数a3;
系数a1=0.5,a2=0.25,a3=0.25;
切片安全档次参数d,对于切片安全档次t1:d1=192,t2:d2=128,t3:d3=64;
设备密度=范围内连接设备总数num(单位千台)/要求面积S(单位km2);
切片要求面积S,对于切片安全档次t1:S1=256,t2:S2=64,t3:S3=16。
优选地,在所述步骤2中,将切片按安全要求分为三个档次,t1:国家级/政府级、t2:公司内部级/财务级、t3:普通用户级。适应不同的网络切片,需要不同安全要求。
本发明方法进行设备检查合格后,用户开始登录,用户使用采集器收集自己的生物识别信息,包括指纹信息,虹膜信息,采集器采集身份信息后,使用PSz2方法将身份信息打碎成n个碎片,分发给范围连接的设备;这样其中一个连接设备只能接收到很有限的一点信息,避免了个人信息的泄露;采集器还会向需要登录的设备发送一个请求,向连接设备按刚才采集器分发的顺序,依次分发激活过的登录设备中存储的个人身份信息碎片;各个连接设备把采集器发来的新的身份信息碎片和登录设备中存储的身份信息碎片进行比较,如果信息相符,说明这次登录安全,没有风险,连接设备会生成一个合格标识,传给登录设备;当登录设备收集到所有合格标识后,就会成功登录,同时这些合格标识整合成登录合格信息。
优选地,对于步骤3的身份证明信息包含切片信息、登录合格信息、连接常规信息、连接特征信息;使用YL4.5方法生成摘要,四组信息,共计生成4*96=384位数字的摘要信息。本发明方法登录合格信息连同范围设备连接信息和切片信息共同组成身份证明信息,使用YL4.5方法求出身份证明信息的摘要;已有摘要信息和实际信息新生成的摘要信息吻合可以证明发送方的身份;双方认证都通过后,就可以开始正常的加密通信。
设备激活即是此设备的各种硬件信息与使用者信息绑定在一起;当下一次有用户登录这个设备时,连接的设备就会根据检测到的这个设备的信息,及本次登录的用户提交的ID信息,即时生成摘要信息,并与原有的摘要进行比较;进而可以知道,是否为合法的使用者;如果不符合,则不允许用户登录;如果是未被激活的设备,则要求用户先激活再登录使用;如果有新的用户,或者设备的部分零件发生了更换,则需要重新激活并生成新的摘要。
对于步骤2的登录合格信息,这个信息中并不包含登录用户身份隐私信息,所以下一步传输时不会造成身份信息泄露;这个登录不是一劳永逸的,除了第一次加入这个系统需要登陆以外,当用户使用设备增加或者更换,需要重新登录;一旦设备断开与通信小房间设备的连接,重新进入时,也需要重新登录。
同一个切片中的部分距离较近的一些设备组成的区域称为一个通信小房间;因为进入需要验证身份,所以称之为房间;需要注意的是房间的面积不是固定不变的,面积随着需求的不同改变,也随着这个区域的设备密度而改变。
设备连接信息包含了位置信息,是很多个设备的位置信息统一、验证后得到的,是精准度很高的位置信息;也包含了时间信息,因为验证是实时进行的,如果时间信息与现在的时间不符合,说明往往是被伪造的信息;同样的,时间信息也是很多周围的设备统一后的结果,很难同时伪造周围几十个带有自身特殊标识的信息,所以可信度较高。
设备连接信息还包括设备身份信息,这个信息不包含范围连接设备的私密身份信息,但包含连接设备的身份证明信息;还包含设备是移动设备还是有稳定供电的固定设备,固定设备要承担更多的计算与认证任务;以及包含连接情况的记录,包括:各个设备连入此通信小房间的持续时间,曾经连入的次数;持续时间越长说明该设备本次连接经过了很多次的身份信息验证,也就说明越安全;曾经连入次数越多,说明这个设备经常在这片区域进行通信,也是值得信任的。
切片信息包括:切片代号,切片的安全级别,切片的特殊需求;根据切片代号可以得出信息来自于哪个切片,也作为一个用于验证发送者身份的信息;另外是切片的安全档次,根据档次选择PSz2打碎方法的碎片数和登录采集信息的数量。
选用周围设备时,会优先选取那些长时间存在的固定设备,比如电视、路灯等;因为他们一般不会移动位置,会长时间存在这个通信小房间当中,也就是经过了很多次的认证,安全性大大增加。
本发明与现有技术相比较,具有如下显而易见的突出实质性特点和显著优点:
1.本发明认证方法不需要数字证书,所以当权威机构出现问题时,或者与权威机构连接中断时,本方法可以不受影响的继续进行身份认证,这是本方法相对于传统PKI体系身份认证的优点;
2.与传统的输入用户名加密码相比,本发明方法在用时方面有巨大优势。常使用电话号码作为用户名,输入一个11位电话号码约需要1.3s,输入一个8位数字字母混合密码约需要1.2s,输入信息共需要约2.5s;而采集指纹信息约需要0.1s,即使采集三种生物信息花费的时间也在1s内;所以使用本发明方法提高了用户登录的效率;
3.与传统指纹识别相比,传统方法将用户实时采集到的指纹信息与存储在登录设备中比对,这样无论是采集部分或者是比对部分被破解,就会被冒充身份;本发明方法的指纹信息由采集器实时采集与登录设备存储的信息进行对比,采集器不接收无线信号不易被攻破,且比对过程不在登录设备中进行,也加大了被破解的难度;所以使用本发明方法相比传统指纹验证,安全性及不被破解的可能性大大提高。
附图说明
图1是本发明方法的认证信息说明。
图2是本发明方法的认证设备连接示意图。
具体实施方式
以下结合具体的实施例子对上述方案做进一步说明,本发明的优选实施例详述如下:
实施例一:
在本实施例中,参见图1和图2,一种网络切片中的基于连接信息的认证方法,操作步骤如下:
当一个新的设备申请加入切片网络时,首先进行新加入设备身份验证,使用采集器采集的生物信息连同设备的硬件信息,生成摘要信息,对比登录设备已保存的摘要信息,以完成认证;通过验证后的设备与周围设备建立联系,将登录合格信息、范围连接设备信息、切片信息联合起来,作为新加入设备的身份证明,在发送方传输信息时加上所述身份证明,接收方则根据身份证明与通信目标对象的信息进行比对,验证身份是否正确。本实施例网络切片中的基于连接信息的认证方法,减少了对权威机构的依赖,满足不同切片的不同安全性需求。
实施例二:
本实施例与实施例一基本相同,特别之处在于:
在本实施例中,网络切片中的基于连接信息的认证方法,包括如下步骤:
步骤1:采用针对登录设备与用户信息命名与组合的SFdx标准,每个设备使用前需要检查身份,按SFdx命名与组合规范,组合自身硬件信息与使用者的ID信息为一段信息序列;对这段信息序列使用YL4.5方法,生成即时摘要信息;用户登录时,生成的即时摘要信息与激活时已经存储的摘要信息进行比对,信息相同则判断设备检查合格,完成验证过程;
步骤2:设备检查合格后,开始登陆,使用采集器,采集本次登录的生物信息;采集信息完成后,采集器使用PSz2方法,将身份信息打碎成n块碎片,分发给范围连接的设备;采集器还将登录设备按采集器分发的顺序,依次分发登录设备中存储的个人身份信息碎片;然后连接设备依次比较符合后,生成一个合格标识,使登录设备成功登录;同时,这些合格标识整合成登录合格信息;
步骤3:登录合格信息连同范围设备连接信息和切片信息共同组成身份证明信息,使用YL4.5方法,求出身份证明信息的摘要;已有摘要信息和实际信息新生成的摘要信息吻合,来证明发送方的身份;发送方和接受方的双方认证都通过后,则开始正常的加密通信。
本实施例网络切片中的基于连接信息的认证方法,减少了对权威机构的依赖,满足不同切片的不同安全性需求,本发明方法支持在没有权威机构的参与下验证身份信息,使用本方法提高了用户登录的效率,安全性及不被破解的可能性大大提高。
实施例三:
本实施例与上述实施例基本相同,特别之处在于:
在本实施例中,在所述步骤1中,针对登录设备与用户信息命名与组合的SFdx标准具体如下:
首先是各信息格式的统一要求,包含如下信息:
品牌名称:大写字母序列N1+数字序列S1;
信号发射频段:把可用频段均分为八块,以数字0-7编号,信号处于哪一频段即记录频段编号为S2;
电池容量大小:用比例系数S3表示,S3为总毫安数/512mAh,小数向上取整;
处理器型号:小写字母序列N2+数字序列S4;
用户ID信息:大写字母序列N3+数字序列S5;
对于上述信息的排列方法为:N1+S1ii S3+N3+S4ii S2+N2+S5;S1ii的s3次方,是指依次求S1的每一位数的s3次方,再排列;S4ii的s2次方,是指依次求S1的每一位数的s3次方,再排列。
在本实施例中,在所述步骤1中,对信息序列生成摘要信息采用的YL4.5方法包括如下步骤:
步骤1.1:对于一组信息,分为字母与数字,字母全部视为小写并用其ASCII码处理;
分别求出信息的总长比例值k1:k1=总长/32,小数向上取整;
求序列中字母占比:分为0-0.25,0.25-0.5,0.5-1三个范围,分别予以表示;统计序列中数字分布,分成0-3,4-6,7-9三个范围,只记录前两个范围数字占的百分比,因为总占比为1,得到前两部分占比可知第三部分占比;将字母范围分为小于i、i与r之间、大于r三部分;并只统计序列字母中小于i的字母所占的百分比,大于r的字母所占的百分比,对于字母通过其ASCII码来比较大小;共计6个信息,每个信息采用两位数字标识,形成前4位为0的16位数字摘要信息;
步骤1.2:将每组信息的数字和字母等分为两小组;分别求出每小组数字与字母的线性回归方程y=a1*x3+a2*x2+a3*x+a4的系数a1、a2、a3、a4;a1、a2、a3、a4为按照上式标准求得的回归方程的系数;每个系数用最高位次数的正负、最高位次数、最高位数值、次高位数值表示,即每个系数在摘要信息里占据四个字节;一组信息分为两小组,一小组分为数字和字母两类,一类生成四个系数,一个系数用四位数字表示,共计生成摘要信息64位数字;
步骤1.3:将每组信息的数字和字母分别求出均值j1、j2和方差q1、q2,计算出数值中大于j1、j2的比例,数值和均值差方中大于q1、q2的比例,一共8个信息,每个信息用两位数字表示,共计生成摘要信息16位,总的16+64+16=96位数字信息即为完整摘要信息。
在本实施例中,在所述步骤2中,信息打碎时采用的PSz2方法,打碎过程包括如下步骤:
把身份信息按4:4:2分为A1、A2、A3三部分,三部分信息都分为n块,A1切块和A2切块采用双螺旋混编,即A1切块(正序排列)A2切块(正序排列)、A2切块(逆序排列)A1切块(逆序排列)、A1切块(正序排列)A2切块(正序排列)依次重复的排列顺序,一直排列到信息末尾;每两个切块划分为一个混编信息块,A3切块依次加到混编后信息块信息的n-2/n处;使总体身份信息重组划分为n块,从而将信息打碎为n块。
在本实施例中,在所述步骤2中,信息打碎时采用PSz2方法,在所述步骤2中的n块通过信息总量、切片安全性与范围内设备密度加权得到;n=总字节数/96字节*系数a1+切片安全档次参数d*系数a2+设备密度*系数a3;
系数a1=0.5,a2=0.25,a3=0.25;
切片安全档次参数d,对于切片安全档次t1:d1=192,t2:d2=128,t3:d3=64;
设备密度=范围内连接设备总数num(单位千台)/要求面积S(单位km2);
切片要求面积S,对于切片安全档次t1:S1=256,t2:S2=64,t3:S3=16。
在本实施例中,在所述步骤2中,将切片按安全要求分为三个档次,t1:国家级/政府级、t2:公司内部级/财务级、t3:普通用户级。
本实施例认证方法不需要数字证书,所以当权威机构出现问题时,或者与权威机构连接中断时,本实施例方法可以不受影响的继续进行身份认证,这是本方法相对于传统PKI体系身份认证的优点;使用本发明方法提高了用户登录的效率;本实施例方法的指纹信息由采集器实时采集与登录设备存储的信息进行对比,采集器不接收无线信号不易被攻破,且比对过程不在登录设备中进行,也加大了被破解的难度;所以使用本发明方法相比传统指纹验证,安全性及不被破解的可能性大大提高。
实施例四:
本实施例与上述实施例基本相同,特别之处在于:
在本实施例中,如图1所示,登录时,设备会检查自身处于哪个切片当中,按切片的安全性要求不同,使用两种不同的登陆及验证方式。对于低安全等级的切片,即t3安全档次,使用一种登录信息:指纹信息。对于高安全等级的切片,即t1和t2安全档次,使用多种复合信息:指纹信息加虹膜信息加声纹信息。高安全等级切片通过限定更大的要求面积,使更多的连接设备参与信息碎片的比对认证,这会提高验证的安全性。
采取设备连接信息作为身份证明,是因为信息的伪造是经常存在的,但同时伪造几十个设备的信息难度是很大的。利用与范围设备的连接信息作为验证信息,证明自己的身份信息,不需要浪费自身资源去计算很复杂的加密算法,是一种很巧妙又省力的做法。
连接信息里包括登录设备与其他设备的连接情况,设备间的连接信息证明了连接设备实际存在于此通信小房间内;连接信息还包括各个设备连入此通信小房间的持续时间、登录次数、与其他设备的连接信息等信息,这些信息证明了周围设备是经常存在于这个通信小房间中,说明其提供的信息是值得信任的。
连接信息也包括其他设备本身的信息,设备标识信息生成方式即其他设备本次登录时利用生物验证生成的,用于证明连接的不是虚假的设备;以及常规信息,包含时间、位置信息等,用以防止设备在通信中伪造位置信息或时间信息,通过整合、比较几十个设备提供的常规信息,常规信息被伪造可能性微乎其微。
高安全等级切片中还包含有路径信息,首先路径信息用来验证通信双方的位置信息、验证传输路径与提交的位置信息是否符合,另外如果发生冒用,可以利用传递过来的路径信息追踪发送者。
当周围连接信息,或切片信息等发生变化,用户需要重新登录并加入,重新用生物验证的方法证明是本人操作。针对不同切片的安全要求情况,设置不同的登陆需求时间间隔,对于安全性要求较高的网络切片,即安全性为t1,t2的切片,要求各个设备每隔30min就重新登录一次;普通的切片,即安全性为t3的切片,每2h重新登录一次。
对于设备离开与重新加入的处理:每次设备离开,通信小房间都会更新连接信息,以防止让未经验证的新加入设备参与认证过程。重新进入要重新经过验证,如果是与现有设备有过连接记录的,说明是之前验证过的,可用低安全切片方式进行;如果没有,就严格执行登录流程。同样的,对于首次加入的新设备,不会参与过多的认证与信息提供任务,先对其进行观察。
参照图2,首先,用户需要登录,就在采集器上使用生物信息采集模块采集个人生物信息;采集器收集到信息后,一方面用PSz2方法把信息拆分,将信息碎片发送到范围连接设备中,另一方面,对需要登录的设备发送指令,让登录设备把激活时保存的生物信息也打碎并按顺序发送给连接设备。连接设备比对两次收到的信息,把结果反馈给登录设备,如果全部比对都合格,那登录设备就接收到了完整的合作证书,可以证明自己的身份。这时登录设备登录验证通过,范围设备会与其连接,并把连接信息发送给登录设备。登录设备把合格证书与设备的连接信息统一起来,用作自己的身份证明信息,就可以向通信对象验证自己的身份,接着开始加密通信。
采集器是只采集并按顺序发送采集信息的设备,只具备信号发送功能,不能接收外来信号,这样可以保证该设备发送的生物信息碎片准确无误,即防止信息干扰或外界入侵。每个采集器同时具备几个生物采集模块,包括指纹认证、虹膜认证、声纹认证,可以仅检测一个,也可以全都检测,以满足不同的采集要求。
登陆设备:用的是带有信息烙印的硬件组成的登陆设备,各部分硬件的信息烙印存储于各部分的只读存储器中,在出厂时根据型号写好的,可以读取,但无法修改。也就是当部分硬件更换为其他硬件后,读取的整体信息烙印一定发生了改变。同样的,激活时厂商会把激活用户的身份信息写在设备主板的只读存储器中,防止被恶意修改。登录设备自身不参与生物信息的采集,也就不存在伪造信息的可能。登录设备起到了信息的收发和信息汇总的作用,需要汇总各连接设备发送的合格信息,以及需要汇总登录完成后的设备连接信息,但汇总的证明信息带有其他不同设备的多种身份烙印,无法伪造。
范围连接设备:既利用了连接设备的计算能力,在登录时比较先后接收的两个信息碎片的异同,比较结果也作为连接设备提供的信息的一部分;又利用了设备本身的连接信息,不仅仅是与用户设备的连接,还提供了自身的身份信息以及与其他设备之间的连接信息。范围连接设备不仅用于证明登陆用户身份,其相互之间的连接也进一步证明了自己的身份,通过连锁证明,大大加大了身份证明信息伪造的难度。
对于一个个人用户使用的手机进行身份验证。因为是普通个人用户的手机设备,所以属于t3安全档次切片。首先检验设备是否符合,从设备中读取硬件信息,包括厂商、型号、电池容量、处理器、用户信息,所有信息依次为:N1’=XIAOMI,S1’=9;S2’=3;S3’=3300/512,S3’取7;N2’=snapdragon,S4’=855;N3’=LIU,S5’=1908。经过SFdx规范的要求排列后为:XIAOMI4782969LIU512125125snapdragon1908。设备验证通过后,采集用户生物信息,对于t3安全档次仅需要采集指纹信息,采集到后用PSz2方法将信息打碎成n’块,n’=5492/96*0.5+64*0.25+2621/16*0.25=85.56,,取n’为86。各碎片依次比较,如果信息相符,则身份验证通过,生成本次登录合格信息。
实施例五:
本实施例与上述实施例基本相同,特别之处在于:
在本实施例中,对于一个公司财务使用的电脑进行身份验证。
首先检验设备是否符合,从设备中读取需要的信息,信息依次为:N1”=DELLXPS,S1”=13;S2”=5;S3”=8400/512,S3”取17;N2”=inteli,S4”=58250;N3”=SHDG,S5”=0601。
经过SFdx规范的要求排列后为:DELLXPS1129140163SHDG3125327683231250inteli0601。因为是财务电脑所以属于公司财务级别的切片,所以使用t2级别的安全性,生物信息需要采集指纹、虹膜以及声纹信息;采集到后用PSz2方法将信息打碎成n”块,n”=13744/96*0.5+128*0.25+8741/64*0.25=137.73,取n”=138。
各碎片依次比较,如果信息相符,则身份验证通过,本次登录合格。
本实施例方法的指纹信息由采集器实时采集与登录设备存储的信息进行对比,采集器不接收无线信号不易被攻破,且比对过程不在登录设备中进行,也加大了被破解的难度。所以使用本实施例方法相比传统指纹验证,安全性及不被破解的可能性大大提高。
上面对本发明实施例结合附图进行了说明,但本发明不限于上述实施例,还可以根据本发明的发明创造的目的做出多种变化,凡依据本发明技术方案的精神实质和原理下做的改变、修饰、替代、组合或简化,均应为等效的置换方式,只要符合本发明的发明目的,只要不背离本发明的技术原理和发明构思,都属于本发明的保护范围。

Claims (3)

1.一种网络切片中的基于连接信息的认证方法,其特征在于,当一个新的设备申请加入切片网络时,首先进行新加入设备身份验证,使用采集器采集的生物信息连同设备的硬件信息,生成摘要信息,对比登录设备已保存的摘要信息,以完成认证;通过验证后的设备与周围设备建立联系,将登录合格信息、范围连接设备信息、切片信息联合起来,作为新加入设备的身份证明,在发送方传输信息时加上所述身份证明,接收方则根据身份证明与通信目标对象的信息进行比对,验证身份是否正确;
所述网络切片中的基于连接信息的认证方法,包括如下步骤:
步骤1:采用针对登录设备与用户信息命名与组合的SFdx标准,每个设备使用前需要检查身份,按SFdx命名与组合规范,组合自身硬件信息与使用者的ID信息为一段信息序列;对这段信息序列使用YL4.5方法,生成即时摘要信息;用户登录时,生成的即时摘要信息与激活时已经存储的摘要信息进行比对,信息相同则判断设备检查合格,完成验证过程;
步骤2:设备检查合格后,开始登陆,使用采集器,采集本次登录的生物信息;采集信息完成后,采集器使用PSz2方法,将身份信息打碎成n块碎片,分发给范围连接的设备,n由下述PSz2方法计算得出,是PSz2方法的参数;采集器还将登录设备按采集器分发的顺序,依次分发登录设备中存储的个人身份信息碎片;然后连接设备依次比较符合后,生成一个合格标识,使登录设备成功登录;同时,这些合格标识整合成登录合格信息;
步骤3:登录合格信息连同范围设备连接信息和切片信息共同组成身份证明信息,使用YL4.5方法,求出身份证明信息的摘要;已有摘要信息和实际信息新生成的摘要信息吻合,来证明发送方的身份;发送方和接受方的双方认证都通过后,则开始正常的加密通信;
在所述步骤1中,针对登录设备与用户信息命名与组合的SFdx标准具体如下:
首先是各信息格式的统一要求,包含如下信息:
品牌名称:大写字母序列N1+数字序列S1,N1为将品牌名称用大写字母表示,S1为品牌名称中的数字信息;
信号发射频段:把可用频段均分为八块,以数字0-7编号,信号处于哪一频段即记录频段编号为S2;
电池容量大小:用比例系数S3表示,S3为总毫安数/512mAh,小数向上取整;
处理器型号:小写字母序列N2+数字序列S4,N2为将处理器型号用小写字母表示,S4为处理器型号中的数字信息;
用户ID信息:大写字母序列N3+数字序列S5,N3为将用户ID用大写字母表示,S5为用户ID中的数字信息;
对于上述信息的排列方法为:N1+S1ii S3+N3+S4ii S2+N2+S5;S1ii的s3次方,是指依次求S1的每一位数的s3次方,再排列;S4ii的s2次方,是指依次求S4的每一位数的s2次方,再排列;
在所述步骤1中,对信息序列生成摘要信息采用的YL4.5方法包括如下步骤:
步骤1.1:对于一组信息,分为字母与数字,字母全部视为小写并用其ASCII码处理;
分别求出信息的总长比例值k1:k1=总长/32,小数向上取整;
求序列中字母占比:分为0-0.25,0.25-0.5,0.5-1三个范围,分别予以表示;统计序列中数字分布,分成0-3,4-6,7-9三个范围,只记录前两个范围数字占的百分比,因为总占比为1,得到前两部分占比可知第三部分占比;将字母范围分为小于i、i与r之间、大于r三部分;并只统计序列字母中小于i的字母所占的百分比,大于r的字母所占的百分比,对于字母通过其ASCII码来比较大小;共计6个信息,每个信息用两位数字表示,共计摘要信息12位,采用两个字节标识,形成前4位为0的16位信息;
步骤1.2:将每组信息的数字和字母等分为两小组;分别求出每小组数字与字母的线性回归方程y=a1*x3+a2*x2+a3*x+a4的系数a1、a2、a3、a4;a1、a2、a3、a4为按照上式标准求得的回归方程的系数;每个系数用最高位次数的正负、最高位次数、最高位数值、次高位数值表示,即每个系数在摘要信息里占据4位;一组信息分为两小组,一小组分为数字和字母两类,一类生成四个系数,一个系数用四位数字表示,共计生成摘要信息64位;
步骤1.3:将每组信息的数字和字母分别求出均值j1、j2和方差q1、q2,计算出数值中大于j1、j2的比例,数值和均值差方中大于q1、q2的比例,一共8个信息,每个信息用两位数字表示,共计生成摘要信息16位,总的16+64+16=96位信息即为完整摘要信息;
在所述步骤2中,信息打碎时采用的PSz2方法,打碎过程包括如下步骤:
把身份信息按4:4:2分为A1、A2、A3三部分,三部分信息都分为n块,A1切块和A2切块采用双螺旋混编,即正序排列的A1切块、正序排列的A2切块、逆序排列的A2切块、逆序排列的A1切块、正序排列的A1切块、正序排列的A2切块,依次重复的排列顺序,一直排列到信息末尾;每两个切块划分为一个混编信息块,A3切块依次加到混编后信息块信息的n-2/n处;使总体身份信息重组划分为n块,从而将信息打碎为n块。
2.根据权利要求1所述网络切片中的基于连接信息的认证方法,其特征在于:在所述步骤2中,信息打碎时采用PSz2方法,在所述步骤2中的n块通过信息总量、切片安全性与范围内设备密度加权得到;n=总字节数/96字节*系数a1+切片安全档次参数d*系数a2+设备密度*系数a3;
系数a1=0.5,a2=0.25,a3=0.25;
切片安全档次参数d,对于切片安全档次t1:d1=192,t2:d2=128,t3:d3=64;
设备密度=范围内连接设备总数num/要求面积S;范围内连接设备总数num的单位为千台,要求面积S的单位为km2
切片要求面积S,对于切片安全档次t1:S1=256,t2:S2=64,t3:S3=16。
3.根据权利要求1所述网络切片中的基于连接信息的认证方法,其特征在于:在所述步骤2中,将切片按安全要求分为三个档次,t1:国家级/政府级、t2:公司内部级/财务级、t3:普通用户级。
CN202110146261.4A 2021-02-02 2021-02-02 网络切片中的基于连接信息的认证方法 Active CN113162903B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110146261.4A CN113162903B (zh) 2021-02-02 2021-02-02 网络切片中的基于连接信息的认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110146261.4A CN113162903B (zh) 2021-02-02 2021-02-02 网络切片中的基于连接信息的认证方法

Publications (2)

Publication Number Publication Date
CN113162903A CN113162903A (zh) 2021-07-23
CN113162903B true CN113162903B (zh) 2022-11-04

Family

ID=76882670

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110146261.4A Active CN113162903B (zh) 2021-02-02 2021-02-02 网络切片中的基于连接信息的认证方法

Country Status (1)

Country Link
CN (1) CN113162903B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104811443A (zh) * 2015-04-07 2015-07-29 深圳市金立通信设备有限公司 一种身份认证方法
CN110610105A (zh) * 2019-09-25 2019-12-24 郑州轻工业学院 一种云环境下基于秘密共享的三维模型文件的认证方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105827617A (zh) * 2016-04-25 2016-08-03 四川联友电讯技术有限公司 基于身份认证的碎片化异步会议文字信息发送和接收方法
WO2019125041A1 (ko) * 2017-12-21 2019-06-27 바스아이디 랩 재팬 컴퍼니 리미티드 블록체인을 이용한 개인정보 분리 후 분산저장을 통한 인증 시스템
WO2019125069A1 (ko) * 2017-12-21 2019-06-27 바스아이디 랩 재팬 컴퍼니 리미티드 블록체인을 이용한 개인정보 분리 후 조합을 통한 인증 시스템
WO2020091434A1 (ko) * 2018-11-02 2020-05-07 엘지전자 주식회사 무선 통신 시스템에서 생체정보를 이용하여 인증을 하기 위한 방법 및 장치
US11330441B2 (en) * 2019-05-14 2022-05-10 T-Mobile Usa, Inc. Systems and methods for remote device security attestation and manipulation detection
CN110210199B (zh) * 2019-05-30 2022-07-15 上海应用技术大学 基于指纹采集与识别的物联网设备身份认证方法
CN112182533A (zh) * 2020-08-14 2021-01-05 中国大唐集团科学技术研究院有限公司 基于区块链加密和生物信息识别的云终端身份认证方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104811443A (zh) * 2015-04-07 2015-07-29 深圳市金立通信设备有限公司 一种身份认证方法
CN110610105A (zh) * 2019-09-25 2019-12-24 郑州轻工业学院 一种云环境下基于秘密共享的三维模型文件的认证方法

Also Published As

Publication number Publication date
CN113162903A (zh) 2021-07-23

Similar Documents

Publication Publication Date Title
CN107682308B (zh) 基于区块链潜信道技术的电子证据保存系统
KR101962686B1 (ko) 전자 투표 시스템 및 방법
CN110232764B (zh) 基于区块链的匿名电子投票方法及系统
CN112311735B (zh) 可信认证方法,网络设备、系统及存储介质
CN109934988B (zh) 一种基于区块链的电子投票方法
CN111163109B (zh) 区块链去中心式节点防仿冒方法
CN105141615A (zh) 一种远程开户方法和系统及其身份验证方法和系统
RU2002111551A (ru) Способ и устройство для шифрования передач в системе связи
CN101340289B (zh) 防重放攻击方法及其系统
CN104253818A (zh) 服务器、终端鉴权方法以及服务器、终端
CA2974409A1 (en) Method and system of electronic voting implemented in a portable device
CN114503146A (zh) 用于在区块链网络中注册和鉴别矿工身份的方法和装置
CN114553444B (zh) 身份认证方法、装置及存储介质
CN113162903B (zh) 网络切片中的基于连接信息的认证方法
CN111937348B (zh) 认证系统及计算机可读取的记录介质
CN112039837B (zh) 一种基于区块链和秘密共享的电子证据保全方法
CN113312640B (zh) 一种基于可信计算的软件数据完整性多方共识方法
CN104702559A (zh) 一种改进的基于ecc双因子身份认证协议
CN112632592B (zh) 一种基于tee技术的区块链可信隐私计算能力提升系统
CN113014647B (zh) 一种基于大数据的运维平台远程数据采集系统
CN111199026B (zh) 一种区块链服务系统
CN111125745A (zh) 一种基于区块链的互联网用数据管理系统
CN113641968A (zh) 一种基于区块链的身份验证方法
CN114501441A (zh) 用户认证方法及设备
CN115118435B (zh) 基于双层链的隐私数据保护和授权框架

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant