CN114050930B - 一种基于工业互联网云计算的数据通信认证方法及系统 - Google Patents

一种基于工业互联网云计算的数据通信认证方法及系统 Download PDF

Info

Publication number
CN114050930B
CN114050930B CN202111326842.2A CN202111326842A CN114050930B CN 114050930 B CN114050930 B CN 114050930B CN 202111326842 A CN202111326842 A CN 202111326842A CN 114050930 B CN114050930 B CN 114050930B
Authority
CN
China
Prior art keywords
parameter set
parameter
random
target object
authentication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111326842.2A
Other languages
English (en)
Other versions
CN114050930A (zh
Inventor
胡鹤轩
隋华超
刘鸿斌
范金锋
吴军英
方正伟
李闯
李鑫
王子木
李文光
张靖宜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Digital Technology Holdings Co ltd
State Grid Corp of China SGCC
Hohai University HHU
State Grid E Commerce Technology Co Ltd
Original Assignee
State Grid Digital Technology Holdings Co ltd
State Grid Corp of China SGCC
Hohai University HHU
State Grid E Commerce Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Digital Technology Holdings Co ltd, State Grid Corp of China SGCC, Hohai University HHU, State Grid E Commerce Technology Co Ltd filed Critical State Grid Digital Technology Holdings Co ltd
Priority to CN202111326842.2A priority Critical patent/CN114050930B/zh
Publication of CN114050930A publication Critical patent/CN114050930A/zh
Application granted granted Critical
Publication of CN114050930B publication Critical patent/CN114050930B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于工业互联网云计算的数据通信认证方法及系统,认证系统将利用双线性匹配模式生成的第一参数集发送给目标对象终端,目标对象终端基于树签名处理模式对所述第一参数集进行处理生成的签名信息,以确定第二参数集,其中,第二参数集至少包括身份签名信息、公钥、随机数和哈希值,认证系统基于所述第一参数集对所述第二参数集进行验证,得到验证结果。本发明在树结构中的节点身份验证具有足够的有效性和安全性的基础上,利用预设的参数生成相关验证信息,避免了伪造攻击等,提升了云访问安全性,并降低了运算成本。

Description

一种基于工业互联网云计算的数据通信认证方法及系统
技术领域
本发明涉及数据处理技术领域,特别是涉及一种基于工业互联网云计算的数据通信认证方法及系统。
背景技术
在工业互联网中,面对数倍于互联网的解析数据及存储数据,不仅要考虑到数据的处理效率,还需要考虑到数据传输过程中的认证安全性和效率。同时工业互联网中也包括了数据处理和计算,通常采用云计算的方式,云计算的快速发展带来了绿色云计算的新概念,它需要减少云在提供服务时消耗的资源。云计算中的用户身份验证是重要的环节,其可以保证云访问的安全性,避免云中数据的泄露。
已有的应用在工业互联网技术中的云计算中的用户身份验证方式在面对伪造攻击方面验证效果并不理想,且还存在高计算成本的问题,使得现有的云计算中的用户身份验证方式并不能满足实际的应用需求,且降低了工业互联网云访问的安全性。
发明内容
针对于上述问题,本发明提供一种基于工业互联网云计算的数据通信认证方法及系统,实现了降低计算成本及提升云访问的安全性的目的。
为了实现上述目的,本发明提供了如下技术方案:
一种基于工业互联网云计算的数据通信认证方法,所述方法应用于认证系统,所述方法包括:
确定随机参数,利用双线性匹配模式生成与所述随机参数相匹配的第一参数集,将所述第一参数集发送至待验证的目标对象;
接收所述目标对象发送的第二参数集,所述第二参数集为所述目标对象基于树签名处理模式对所述第一参数集进行处理生成的签名信息,所述第二参数集至少包括身份签名信息、公钥、随机数和哈希值;
基于所述第一参数集对所述第二参数集进行验证,得到验证结果,所述验证结果用于确定所述目标对象是否具有云访问权限。
可选地,所述确定随机参数,利用双线性匹配模式生成与所述随机参数相匹配的第一参数集,包括:
获取第一循环群,并基于所述第一循环群生成第二循环群;
在所述第一循环群和所述第二循环群中分别确定第一随机参数和第二随机参数;
根据第一循环群确定生成器;
将所述第一随机参数、第二随机参数和所述生成器确定为第一参数集。
可选地,所述确定随机参数,包括:
确定与所述目标对象相匹配的随机参数,所述随机参数为未被其他对象所使用的参数。
可选地,所述将所述第一参数集发送至待验证的目标对象,包括:
基于目标安全通道,将所述第一参数集发送至待验证的目标对象,其中,所述目标安全通道为所述认证中心与目标对象终端之间进行验证信息传输的通道。
一种基于工业互联网云计算的数据通信认证方法,所述方法应用于目标对象终端,所述方法包括:
接收认证系统发送的第一参数集,所述第一参数据集为所述认证系统利用双线性匹配模式生成的与随机参数相匹配的数据集;
基于树签名处理模式对所述第一参数集进行处理生成签名信息,将所述签名信息确定为第二参数集发送至所述认证系统;
接收所述认证系统反馈的验证结果,所述验证结果为所述认证系统基于所述第一参数集对所述第二参数集进行验证的结果。
可选地,所述基于树签名处理模式对所述第一参数集进行处理生成签名信息,包括:
确定随机数和安全参数;
根据所述随机数、安全参数和第一参数集,生成系统的公钥和私钥;
根据所述公钥和私钥,生成重签名密钥,所述重签名密钥用于节点树中的根节点验证其子节点,所述节点树为基于验证层级信息将各个对象转换为节点的树结构。
可选地,所述根据所述公钥和私钥,生成重签名密钥,包括:
确定与所述目标对象相匹配的第一密钥;
利用所述第一密钥和所述第一参数集中的第一随机参数,生成公钥;
生成与所述目标对象相匹配的标识信息的哈希值;
基于所述第一密钥、所述哈希值和所述第一参数据集中的第二随机参数生成重签名密钥。
一种认证系统,包括:
第一发送单元,用于确定随机参数,利用双线性匹配模式生成与所述随机参数相匹配的第一参数集,将所述第一参数集发送至待验证的目标对象;
第一接收单元,用于接收所述目标对象发送的第二参数集,所述第二参数集为所述目标对象基于树签名处理模式对所述第一参数集进行处理生成的签名信息,所述第二参数集至少包括身份签名信息、公钥、随机数和哈希值;
验证单元,用于基于所述第一参数集对所述第二参数集进行验证,得到验证结果,所述验证结果用于确定所述目标对象是否具有云访问权限。
一种目标对象终端,包括:
第二接收单元,用于接收认证系统发送的第一参数集,所述第一参数据集为所述认证系统利用双线性匹配模式生成的与随机参数相匹配的数据集;
生成单元,用于基于树签名处理模式对所述第一参数集进行处理生成签名信息,将所述签名信息确定为第二参数集发送至所述认证系统;
第三接收单元,用于接收所述认证系统反馈的验证结果,所述验证结果为所述认证系统基于所述第一参数集对所述第二参数集进行验证的结果。
一种基于工业互联网云计算的数据通信认证系统,包括:
如上所述的认证系统和目标对象终端,其中,所述认证系统和所述目标对象终端之间建立有目标安全信道,所述目标安全信道用于传输所述认证系统和所述目标对象终端的待传输数据。
相较于现有技术,本发明提供了一种基于工业互联网云计算的数据通信认证方法及系统,认证系统将利用双线性匹配模式生成的第一参数集发送给目标对象终端,目标对象终端基于树签名处理模式对所述第一参数集进行处理生成的签名信息,以确定第二参数集,其中,第二参数集至少包括身份签名信息、公钥、随机数和哈希值,认证系统基于所述第一参数集对所述第二参数集进行验证,得到验证结果。本发明在树结构中的节点身份验证具有足够的有效性和安全性的基础上,利用预设的参数生成相关验证信息,避免了伪造攻击等,提升了云访问安全性,并降低了运算成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种应用于认证系统的基于工业互联网云计算的数据通信认证方法的流程示意图;
图2为本发明实施例提供的一种应用于目标对象终端的基于工业互联网云计算的数据通信认证方法的流程示意图;
图3为本发明实施例提供的一种应用场景的示意图;
图4为本发明实施例提供的一种认证应用过程的数据交互示意图;
图5为本发明实施例提供的一种认证系统的结构示意图;
图6为本发明实施例提供的一种目标对象终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
在本发明实施例提供的数据通信认证方法可以应用于工业互联网领域,其中,工业互联网(Industrial Internet)是新一代信息通信技术与工业经济深度融合的新型基础设施、应用模式和工业生态,通过对人、机、物、系统等的全面连接,构建起覆盖全产业链、全价值链的全新制造和服务体系,为工业乃至产业数字化、网络化、智能化发展提供了实现途径。在工业互联网中,面对数倍于互联网的解析数据及存储数据,不仅要考虑到数据的处理效率,还需要考虑到数据传输过程中的认证安全性和效率。本发明实施例提供的一种基于工业互联网云计算的数据认证方法,可以避免在工业互联网认证过程中的伪造攻击,提升了工业互联网云访问安全性,并降低了运算成本。
在本发明实施例中提供了一种基于工业互联网云计算的数据通信认证方法,该方法可以应用于认证系统,参见图1,该方法可以包括以下步骤:
S101、确定随机参数,利用双线性匹配模式生成与所述随机参数相匹配的第一参数集,将所述第一参数集发送至待验证的目标对象。
在密钥管理系统中,注册中心主要负责验证区域内用户身份信息的真实性,管理用户的数字证书,并接受各种密钥服务,认证中心是密钥管理系统的核心,主要负责办法用户的数字证书,为该信任域颁发PKI策略和证书吊销列表,授权代理与其他认证中心交叉认证等。在本发明实施例中的认证系统相当于密钥管理系统。
认证系统会生成对应的密钥或者相关参数集,在本发明实施例中使用双线性匹配模式生成与认证系统确定的随机参数相匹配的第一参数集。具体的,双线性匹配模式可用于构建安全协议,该安全协议为认证系统对目标用户进行验证的协议。当G1、G2分别代表一个循环群时,双线性匹配就是通过G1循环群生成。
在一种可能的实施方式中,所述确定随机参数,利用双线性匹配模式生成与所述随机参数相匹配的第一参数集,包括:获取第一循环群,并基于所述第一循环群生成第二循环群;在所述第一循环群和所述第二循环群中分别确定第一随机参数和第二随机参数;根据第一循环群确定生成器;将所述第一随机参数、第二随机参数和所述生成器确定为第一参数集。
举例说明,设G1和G2是两个阶为素数q的循环群,g是G1的一个生成元,双线性配对可以表示为G1×G1→G2。这里,对于任意的/>满足e(ga,gb)=e(g,g)ab且/>这里/>是G2的单位元。对于任意的g1,g2∈G1,存在一个有效的算法计算e(g1,g2)。/>是一个具有非零元素的素数阶q的乘法组。
选择两个哈希函数和/>其中nm<p,nc<p,选择元素g2,g3,u∈G1,并在G1中随机选择nm个元素,公开系统参数
其中,在每次身份验证中,所有安全密钥和参数都是不同的,这可以抵抗来自损坏用户和被撤销用户的重放攻击。首先,认证系统选择循环组G1的生成器P。然后,认证系统分别从和G2中选择参数xi和y。最后,参数P、xi和y将通过安全通道发送给用户i。即生成器P、第一随机参数xi和第二随机参数y会组合为第一参数集,发送给目标对象,即待进行身份验证的用户。
S102、接收目标对象发送的第二参数集。
所述第二参数集为所述目标对象基于树签名处理模式对所述第一参数集进行处理生成的签名信息,所述第二参数集至少包括身份签名信息、公钥、随机数和哈希值;
需要说明的是,在目标对象终端生成第二参数集时,其生成的签名信息是构建基于树的签名,基于树的签名使根节点或一个节点验证其子节点。即生成的签名信息可以直接被跟节点或者指定的节点进行验证,而无需按照节点传递层级进行逐层验证。
举例说明,首先,认证系统选择t∈G1。然后,系统为抗碰撞哈希函数Hm选择一个安全参数m。之后,系统可以计算t1=(1/x1)·t,…,tn=(1/xi)·t。为了提高签名的安全性,系统从G1和/>中选择r、μ0。安全参数y可以计算为/>请注意,系统的公钥和密钥可以分别表示为(m,t,t1...tn,y,x0)和(x1,x2,…,xn0,r)。
其次第j个节点的密钥可以计算为该节点和消息的身份验证值可以分别计算为/>和Aj=(μ1+Hm(f))*r。消息的签名可以显示为(A,Al,il,…,A1,i1)。
在收到认证系统的参数(P,xi,y)后,用户将从选择m作为抗碰撞哈希函数H的安全参数,用户从/>选择si作为自己的密钥。此外,用户i从/>中选择一个身份号IDi。这里,IDi是一个随机数,在用户的不同身份验证中也不同。
系统中的用户i将根据接收的和选择的安全参数生成签名。首先,用户需要计算一个公钥来进一步生成签名。公钥使用对方的密钥计算为为了提高身份号IDi的安全性,用户i将使用上述哈希运算来计算哈希值为hi=Hm(IDi)。用户i的身份签名可以计算为/>为了帮助下一步的身份验证,用户将计算一个值/>最后,用户将把签名Si以及pki、t和hi发送到一个安全通道中的认证系统,以进行进一步的身份验证。因此,目标对象将包括身份签名信息Si以及公钥pki、随机数t和哈希值hi组成第二参数集发送给认证系统。
假设用户i(1≤i≤n)想要访问云以享受云服务。首先,需要验证用户i的合法性。如果用户i可以从系统通过身份验证,则可以确定用户i是合法的,系统将将该身份验证结果传输到云。在协议中,一个用户签名的有效性决定了相应用户身份的合法性。将系统的结构看作是一个树状结构,也就是说,云是根节点,用户i是云的第一个子节点。
S103、基于所述第一参数集对所述第二参数集进行验证,得到验证结果。
所述验证结果用于确定所述目标对象是否具有云访问权限。
具体的,当认证系统成功接收到参数(Si,pki,t,hi)时,可以验证签名Si的有效性,以判断用户i的合法性。在这里,认证系统可以通过来确定用户i的签名是否有效1。如果验证方程的左侧等于右侧,则认为用户为签名即有效。换句话说,用户i是合法的,即可以访问云享受服务。
需要说明的是,在本发明实施例中当认证系统生成第一参数集发送给对应的目标对象时,需要确定与目标对象相匹配的随机参数,该随机参数为未被其他对象所使用的参数,也即认证系统在每次身份验证中,所有安全密钥和参数都是不同的,可以抵抗来自损坏用户和被撤销用户的重放攻击。
并且,在认证系统和待认证的目标对象终端之间建立了目标安全通道,该目标安全通道用于将认证过程中需要的参数信息和产生的相关数据进行传输,以保证认证过程中数据不被拦截,且与数据访问通道分开,保证了通道的专用性,提升了认证的处理效率。
需要说明的是,在本发明实施例中的认证系统和目标对象终端均属于工业互联网中体系中的部分架构,例如,可以是在工业互联网体系中进行电子交易时,为了保证电子交易数据的安全性,需要进行客户端和服务器的双向身份认证,在身份认证过程中,客户端相当于本发明实施例的目标对象终端,服务器相当于本发明实施例中的认证系统,在客户端登录过程中,服务器需要认证当前客户端是否是合法用户,而具体的认证流程可以采用本发明实施例提供的基于工业互联网云计算的数据通信认证方法,详见上述细节描述,此处不进行赘述。
参见图2,其示出了本发明实施例提供的一种应用于目标对象终端的基于工业互联网云计算的数据通信认证方法的流程示意图,该方法可以包括:
S201、接收认证系统发送的第一参数集,所述第一参数据集为所述认证系统利用双线性匹配模式生成的与随机参数相匹配的数据集;
S202、基于树签名处理模式对所述第一参数集进行处理生成签名信息,将所述签名信息确定为第二参数集发送至所述认证系统;
S203、接收所述认证系统反馈的验证结果,所述验证结果为所述认证系统基于所述第一参数集对所述第二参数集进行验证的结果。
进一步地,所述基于树签名处理模式对所述第一参数集进行处理生成签名信息,包括:
确定随机数和安全参数;
根据所述随机数、安全参数和第一参数集,生成系统的公钥和私钥;
根据所述公钥和私钥,生成重签名密钥,所述重签名密钥用于节点树中的根节点验证其子节点,所述节点树为基于验证层级信息将各个对象转换为节点的树结构。
对应的,所述根据所述公钥和私钥,生成重签名密钥,包括:
确定与所述目标对象相匹配的第一密钥;
利用所述第一密钥和所述第一参数集中的第一随机参数,生成公钥;
生成与所述目标对象相匹配的标识信息的哈希值;
基于所述第一密钥、所述哈希值和所述第一参数据集中的第二随机参数生成重签名密钥。
其中,对应于目标对象终端生成第二参数集的过程已经在前述实施例中进行了说明,请参见前述实施例的描述,此处不进行赘述。
在本发明实施例中,在生成待验证的密钥信息时,认证系统利用双线性匹配模式生成传递给目标对象的参数,使得目标对象能够基于该参数完成树签名处理的过程,以获得目标对象的身份签名信息,然后认证系统对该身份签名信息进行验证,以确定该目标对象是否为合法对象,若是合法对象,则可以允许该目标对象进行云访问。
由于工业互联网中传输的信息均为工业内部信息,提供的服务为内部服务,因此对安全性要求很高。为了确保安全性,在工业互联网中,在获取服务或数据、信息之前,用户、客户端及应用进程均需要进行相应的身份认证。认证的实质就是证实被认证对象是否属实和是否有效的过程。一般采用密码技术,使用数字证书验证被认证对象,达到确认被认证对象是否真实、有效的目的。只有在对角色对象进行识别和鉴别后,才能在鉴别身份的基础上进一步执行操作。以用户为例,工业互联网系统对每一个处于客户端的用户进行身份鉴别,鉴别通过后由证书认证中心(Certificate Authority,简称“CA认证中心”)颁发数字证书和密钥。用户在客户端登录及运行操作或者访问资源时,系统首先会对其所提供的证书和密钥进行鉴定,只有在证明用户合法身份后,其所提出的请求才会得到系统的响应。在本发明实施例中为了保证认证安全性,利用双线性配对构建安全协议,使用树的签名使根节点或一个节点验证其子节点,并且利用了相关的算法构建了身份验证协议,实现了提供隐私保护、抗伪造攻击和抗重放攻击等安全特性。
参见图3,为本发明实施例提供的一种应用场景的示意图,并参见图4,为本发明实施例提供的一种认证应用过程的数据流交互示意图。
双线性配对可用于构建验证过程中的安全协议,即确定验证过程中参与验证的数据。
设G1和G2是两个阶为素数q的循环群,g是G1的一个生成元,双线性配对可以表示为G1×G1→G2。这里,对于任意的/>满足e(ga,gb)=e(g,g)ab且/>这里/>是G2的单位元。对于任意的g1,g2∈G1,存在一个有效的算法计算e(g1,g2)。
选择两个哈希函数和/>其中nm<p,nc<p,选择元素g2,g3,u∈G1,并在G1中随机选择nm个元素,公开系统参数
定义Encoder()为一个公钥加密算法和Decoder()为一个公钥解密算法,E()为一个对称加密算法和D()为一个对称解密算法。认证中心随机选择作为私钥/>计算公钥/>
在实际应用中,双线性匹配通过计算两个循环群,使乘法组更为散列的分布在其所在分布。该步骤能在构建可靠稳定的安全协议的基础上,为安全协议提供双线性、非退化和可计算的特性。
具体的,上述特性体现在:
双线性:
非退化:让P和Q是两组G1和G2的生成器,
可计算:计算
然后,构建基于树的签名,使得根节点或指定节点验证其子节点,对应的过程为:
首先,系统选择t∈G1。然后,系统为抗碰撞哈希函数Hm选择一个安全参数m。之后,系统可以计算t1=(1/x1)·t,…,tn=(1/xi)·t。为了提高签名的安全性,系统从G1和/>中选择r、μ0。安全参数y可以计算为/>请注意,系统的公钥和密钥可以分别表示为(m,t,t1...tn,y,x0)和(x1,x2,…,xn0,r)。
其次第j个节点的密钥可以计算为该节点和消息的身份验证值可以分别计算为/>和Aj=(μ1+Hm(f))*r。消息的签名可以显示为(A,Al,il,…,A1,i1)。系统计算底部叶子节点l的/>对系统的其他节点计算/>通过检查/>是否等于s0即可有效地判断签名。
在实际应用中,首先通过双线性匹配建立安全协议,之后通过基于树签名的形式验证节点是否经过上级节点授权。对于云服务提供商发送的证书转换信息,代理者首先检查时戳的新鲜性,然后利用认证中心的公钥来验证证书的合法性,如果验证不通过,终止转换过程。
在本发明实施例中的身份验证是通过目标身份验证协议完成的,该目标身份验证是通过KeyGen、Sign和Verify组成的。
假设用户i(1≤i≤n)想要访问云以享受云服务。首先,需要验证用户i的合法性。如果用户i可以从系统通过身份验证,则可以确定用户i是合法的,系统将将该身份验证结果传输到云。在协议中,一个用户签名的有效性决定了相应用户身份的合法性,将系统的结构看作是一个树状结构,也就是说,云是根节点,用户i是云的第一个子节点。
给定公钥pk和消息m的签名σ=(σ12),服务器计算 和h=H1(m||σ2),并验证等式/>是否成立。如果等式成立,则身份验证通过。
KeyGen:该算法生成了一些必要的安全密钥和参数。需要说明的是,在每次身份验证中,所有安全密钥和参数都是不同的,这可以抵抗来自损坏用户和被撤销用户的重放攻击。首先,认证系统选择循环组G1的生成器P。然后,认证系统分别从和G2中选择参数xi和y。最后,参数P、xi和y将通过安全通道发送给用户i。
在收到认证系统的参数(P,xi,y)后,用户将从选择m作为抗碰撞哈希函数H的安全参数,用户从/>选择si作为自己的密钥。此外,用户i从/>中选择一个身份号IDi。这里,IDi是一个随机数,在用户的不同身份验证中也不同。
Sign:在该算法中,系统中的用户i将根据接收的和选择的安全参数生成签名。首先,用户需要计算一个公钥来进一步生成签名。公钥使用对方的密钥计算为为了提高身份号IDi的安全性,用户i将使用上述哈希运算来计算哈希值为hi=Hm(IDi)。用户i的身份签名可以计算为/>为了帮助下一步的身份验证,用户将计算一个值/>最后,用户将把签名Si以及pki、t和hi发送到一个安全通道中的认证系统,以进行进一步的身份验证。
Verify:当认证系统成功接收到参数(Si,pki,t,hi)时,可以验证签名Si的有效性,以判断用户i的合法性。在这里,认证系统可以通过与/>是否相等来确定用户i的签名是否有效。如果用户i是合法的,即可以访问云并享受服务。
基于前述实施例,本发明实施例中还提供了一种认证系统,参见图5,该认证系统包括:
第一发送单元301,用于确定随机参数,利用双线性匹配模式生成与所述随机参数相匹配的第一参数集,将所述第一参数集发送至待验证的目标对象;
第一接收单元302,用于接收所述目标对象发送的第二参数集,所述第二参数集为所述目标对象基于树签名处理模式对所述第一参数集进行处理生成的签名信息,所述第二参数集至少包括身份签名信息、公钥、随机数和哈希值;
验证单元303,用于基于所述第一参数集对所述第二参数集进行验证,得到验证结果,所述验证结果用于确定所述目标对象是否具有云访问权限。
进一步地,第一发送单元包括:
第一获取子单元,用于获取第一循环群,并基于所述第一循环群生成第二循环群;
第一确定子单元,用于在所述第一循环群和所述第二循环群中分别确定第一随机参数和第二随机参数;
第二确定子单元,用于根据第一循环群确定生成器;
第三确定子单元,用于将所述第一随机参数、第二随机参数和所述生成器确定为第一参数集。
可选地所述第一发送单元还包括:
第四确定子单元,用于确定与所述目标对象相匹配的随机参数,所述随机参数为未被其他对象所使用的参数。
对应的,第一发明单元还包括:
发送子单元,用于基于目标安全通道,将所述第一参数集发送至待验证的目标对象,其中,所述目标安全通道为所述认证中心与目标对象终端之间进行验证信息传输的通道。
在本发明的另一实施例中,还提供了一种目标对象终端,参见图6,该目标对象终端包括:
第二接收单元401,用于接收认证系统发送的第一参数集,所述第一参数据集为所述认证系统利用双线性匹配模式生成的与随机参数相匹配的数据集;
生成单元402,用于基于树签名处理模式对所述第一参数集进行处理生成签名信息,将所述签名信息确定为第二参数集发送至所述认证系统;
第三接收单元403,用于接收所述认证系统反馈的验证结果,所述验证结果为所述认证系统基于所述第一参数集对所述第二参数集进行验证的结果。
进一步地,所述生成单元包括:
第五确定子单元,用于确定随机数和安全参数;
第一生成子单元,用于根据所述随机数、安全参数和第一参数集,生成系统的公钥和私钥;
第二生成子单元,用于根据所述公钥和私钥,生成重签名密钥,所述重签名密钥用于节点树中的根节点验证其子节点,所述节点树为基于验证层级信息将各个对象转换为节点的树结构。
可选地,所述第二生成子单元具体用于:
确定与所述目标对象相匹配的第一密钥;
利用所述第一密钥和所述第一参数集中的第一随机参数,生成公钥;
生成与所述目标对象相匹配的标识信息的哈希值;
基于所述第一密钥、所述哈希值和所述第一参数据集中的第二随机参数生成重签名密钥。
对应的,在本发明的另一实施例中还提供了一种基于工业互联网云计算的数据通信认证系统,该系统包括:如上所述的认证系统和目标对象终端,其中,所述认证系统和所述目标对象终端之间建立有目标安全信道,所述目标安全信道用于传输所述认证系统和所述目标对象终端的待传输数据。
其中,认证系统和目标对象终端的具体执行过程请参见前述实施例,本实施例不进行详述。
本发明实施例提供了一种基于工业互联网云计算的数据通信认证系统,认证系统将利用双线性匹配模式生成的第一参数集发送给目标对象终端,目标对象终端基于树签名处理模式对所述第一参数集进行处理生成的签名信息,以确定第二参数集,其中,第二参数集至少包括身份签名信息、公钥、随机数和哈希值,认证系统基于所述第一参数集对所述第二参数集进行验证,得到验证结果。本发明在树结构中的节点身份验证具有足够的有效性和安全性的基础上,利用预设的参数生成相关验证信息,避免了伪造攻击等,提升了云访问安全性,并降低了运算成本。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种基于工业互联网云计算的数据通信认证方法,其特征在于,所述方法应用于认证系统,所述方法包括:
确定随机参数,包括:确定与目标对象相匹配的随机参数,所述随机参数为未被其他对象所使用的参数;
利用双线性匹配模式生成与所述随机参数相匹配的第一参数集,将所述第一参数集通过目标安全通道发送至待验证的目标对象,其中,所述第一参数集包括生成器、第一随机参数和第二随机参数;所述目标安全通道与数据访问通道为不同通道;
接收所述目标对象发送的第二参数集,所述第二参数集为所述目标对象基于树签名处理模式对所述第一参数集进行处理生成的签名信息,所述第二参数集至少包括身份签名信息、公钥、随机数和哈希值;
基于所述第一参数集对所述第二参数集进行验证,得到验证结果,所述验证结果用于确定所述目标对象是否具有云访问权限。
2.根据权利要求1所述的方法,其特征在于,所述确定随机参数,利用双线性匹配模式生成与所述随机参数相匹配的第一参数集,包括:
获取第一循环群,并基于所述第一循环群生成第二循环群;
在所述第一循环群和所述第二循环群中分别确定第一随机参数和第二随机参数;
根据第一循环群确定生成器;
将所述第一随机参数、第二随机参数和所述生成器确定为第一参数集。
3.根据权利要求1所述的方法,其特征在于,所述将所述第一参数集通过目标安全通道发送至待验证的目标对象,包括:
基于所述目标安全通道,将所述第一参数集发送至待验证的目标对象,其中,所述目标安全通道为所述认证中心与目标对象终端之间进行验证信息传输的通道。
4.一种基于工业互联网云计算的数据通信认证方法,其特征在于,所述方法应用于目标对象终端,所述方法包括:
通过目标安全通道接收认证系统发送的第一参数集,所述第一参数据集为所述认证系统利用双线性匹配模式生成的与随机参数相匹配的数据集,其中,所述第一参数集包括生成器、第一随机参数和第二随机参数,所述随机参数为未被其他对象所使用的参数,所述目标安全通道与数据访问通道为不同通道;
基于树签名处理模式对所述第一参数集进行处理生成签名信息,将所述签名信息确定为第二参数集发送至所述认证系统;
接收所述认证系统反馈的验证结果,所述验证结果为所述认证系统基于所述第一参数集对所述第二参数集进行验证的结果。
5.根据权利要求4所述的方法,其特征在于,所述基于树签名处理模式对所述第一参数集进行处理生成签名信息,包括:
确定随机数和安全参数;
根据所述随机数、安全参数和第一参数集,生成系统的公钥和私钥;
根据所述公钥和私钥,生成重签名密钥,所述重签名密钥用于节点树中的根节点验证其子节点,所述节点树为基于验证层级信息将各个对象转换为节点的树结构。
6.根据权利要求5所述的方法,其特征在于,所述根据所述公钥和私钥,生成重签名密钥,包括:
确定与所述目标对象相匹配的第一密钥;
利用所述第一密钥和所述第一参数集中的第一随机参数,生成公钥;
生成与所述目标对象相匹配的标识信息的哈希值;
基于所述第一密钥、所述哈希值和所述第一参数据集中的第二随机参数生成重签名密钥。
7.一种认证系统,其特征在于,包括:
第一发送单元,用于确定随机参数,利用双线性匹配模式生成与所述随机参数相匹配的第一参数集,将所述第一参数集通过目标安全通道发送至待验证的目标对象,所述第一参数集包括生成器、第一随机参数和第二随机参数,所述目标安全通道与数据访问通道为不同通道;
所述第一发送单元,包括:第四确定子单元,用于确定与所述目标对象相匹配的随机参数,所述随机参数为未被其他对象所使用的参数;
第一接收单元,用于接收所述目标对象发送的第二参数集,所述第二参数集为所述目标对象基于树签名处理模式对所述第一参数集进行处理生成的签名信息,所述第二参数集至少包括身份签名信息、公钥、随机数和哈希值;
验证单元,用于基于所述第一参数集对所述第二参数集进行验证,得到验证结果,所述验证结果用于确定所述目标对象是否具有云访问权限。
8.一种目标对象终端,其特征在于,包括:
第二接收单元,用于通过目标安全通道接收认证系统发送的第一参数集,所述第一参数据集为所述认证系统利用双线性匹配模式生成的与随机参数相匹配的数据集,其中,所述第一参数集包括生成器、第一随机参数和第二随机参数,所述随机参数为未被其他对象所使用的参数,所述目标安全通道与数据访问通道为不同通道;
生成单元,用于基于树签名处理模式对所述第一参数集进行处理生成签名信息,将所述签名信息确定为第二参数集发送至所述认证系统;
第三接收单元,用于接收所述认证系统反馈的验证结果,所述验证结果为所述认证系统基于所述第一参数集对所述第二参数集进行验证的结果。
9.一种基于工业互联网云计算的数据通信认证系统,其特征在于,包括:
如权利要求7所述的认证系统和如权利要求8所述的目标对象终端,其中,所述认证系统和所述目标对象终端之间建立有目标安全信道,所述目标安全信道用于传输所述认证系统和所述目标对象终端的待传输数据。
CN202111326842.2A 2021-11-10 2021-11-10 一种基于工业互联网云计算的数据通信认证方法及系统 Active CN114050930B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111326842.2A CN114050930B (zh) 2021-11-10 2021-11-10 一种基于工业互联网云计算的数据通信认证方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111326842.2A CN114050930B (zh) 2021-11-10 2021-11-10 一种基于工业互联网云计算的数据通信认证方法及系统

Publications (2)

Publication Number Publication Date
CN114050930A CN114050930A (zh) 2022-02-15
CN114050930B true CN114050930B (zh) 2023-12-08

Family

ID=80208102

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111326842.2A Active CN114050930B (zh) 2021-11-10 2021-11-10 一种基于工业互联网云计算的数据通信认证方法及系统

Country Status (1)

Country Link
CN (1) CN114050930B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107040510A (zh) * 2016-11-30 2017-08-11 华侨大学 一种基于体域网和云计算的医疗大数据处理方法
CN107733657A (zh) * 2017-10-24 2018-02-23 沈阳师范大学 一种云端基于ptpm和无证书公钥签名双因子认证方法
CN109635593A (zh) * 2018-12-04 2019-04-16 国网重庆市电力公司客户服务中心 电力系统中基于电力缴费终端的数据完整性存储保护方法
CN113094335A (zh) * 2021-03-23 2021-07-09 北京工业大学 云环境下基于改进多分支树的完整性动态审计方法
CN113612615A (zh) * 2021-07-23 2021-11-05 重庆邮电大学 一种基于国密sm9算法的可审计隐私保护认证方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107040510A (zh) * 2016-11-30 2017-08-11 华侨大学 一种基于体域网和云计算的医疗大数据处理方法
CN107733657A (zh) * 2017-10-24 2018-02-23 沈阳师范大学 一种云端基于ptpm和无证书公钥签名双因子认证方法
CN109635593A (zh) * 2018-12-04 2019-04-16 国网重庆市电力公司客户服务中心 电力系统中基于电力缴费终端的数据完整性存储保护方法
CN113094335A (zh) * 2021-03-23 2021-07-09 北京工业大学 云环境下基于改进多分支树的完整性动态审计方法
CN113612615A (zh) * 2021-07-23 2021-11-05 重庆邮电大学 一种基于国密sm9算法的可审计隐私保护认证方法

Also Published As

Publication number Publication date
CN114050930A (zh) 2022-02-15

Similar Documents

Publication Publication Date Title
Yang et al. Delegating authentication to edge: A decentralized authentication architecture for vehicular networks
Wang et al. Blockchain-based anonymous authentication with key management for smart grid edge computing infrastructure
CN108667616B (zh) 基于标识的跨云安全认证系统和方法
CN109687976A (zh) 基于区块链与pki认证机制的车队组建及管理方法及系统
CN101902476B (zh) 移动p2p用户身份认证方法
CN111147460B (zh) 一种基于区块链的协同细粒度访问控制方法
CN112583596B (zh) 一种基于区块链技术的完全跨域身份认证方法
CN113242554B (zh) 一种基于无证书签名的移动终端认证方法及系统
CN105516119A (zh) 基于代理重签名的跨域身份认证方法
CN115051985B (zh) 一种基于动态节点的拜占庭容错共识协议的数据共识方法
Qi et al. A pseudonym-based certificateless privacy-preserving authentication scheme for VANETs
CN114884698A (zh) 基于联盟链的Kerberos与IBC安全域间跨域认证方法
CN115515127A (zh) 一种基于区块链的车联网通讯隐私保护方法
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN114938280A (zh) 一种基于非交互零知识证明与智能合约的认证方法及系统
Itoo et al. A robust ECC-based authentication framework for energy internet (EI)-based vehicle to grid communication system
Braeken et al. ECQV-IBI: Identity-based identification with implicit certification
Ogundoyin An Efficient, Secure and Conditional Privacy-Preserving Authentication Scheme for Vehicular Ad-hoc Networks.
CN110752934B (zh) 拓扑结构下网络身份交互认证的方法
Yao et al. DIDs-assisted secure cross-metaverse authentication scheme for MEC-enabled metaverse
Han et al. A PKI without TTP based on conditional trust in blockchain
CN114050930B (zh) 一种基于工业互联网云计算的数据通信认证方法及系统
Nait-Hamoud et al. Certificateless Public Key Systems Aggregation: An enabling technique for 5G multi-domain security management and delegation
Quercia et al. Tata: Towards anonymous trusted authentication
Wang et al. Secure single sign-on schemes constructed from nominative signatures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100031 No. 86 West Chang'an Avenue, Beijing, Xicheng District

Applicant after: STATE GRID CORPORATION OF CHINA

Applicant after: State Grid Digital Technology Holdings Co.,Ltd.

Applicant after: HOHAI University

Applicant after: State Grid E-Commerce Technology Co.,Ltd.

Address before: 100031 No. 86 West Chang'an Avenue, Beijing, Xicheng District

Applicant before: STATE GRID CORPORATION OF CHINA

Applicant before: STATE GRID ELECTRONIC COMMERCE Co.,Ltd.

Applicant before: HOHAI University

Applicant before: State Grid E-Commerce Technology Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant