CN114760079A - 一种标识网络终端认证方法及相关设备 - Google Patents

一种标识网络终端认证方法及相关设备 Download PDF

Info

Publication number
CN114760079A
CN114760079A CN202210681191.7A CN202210681191A CN114760079A CN 114760079 A CN114760079 A CN 114760079A CN 202210681191 A CN202210681191 A CN 202210681191A CN 114760079 A CN114760079 A CN 114760079A
Authority
CN
China
Prior art keywords
data packet
access
private key
module
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210681191.7A
Other languages
English (en)
Other versions
CN114760079B (zh
Inventor
郜帅
孙嘉徽
席铭辉
曾颖
罗莎莎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peng Cheng Laboratory
Original Assignee
Peng Cheng Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peng Cheng Laboratory filed Critical Peng Cheng Laboratory
Priority to CN202210681191.7A priority Critical patent/CN114760079B/zh
Publication of CN114760079A publication Critical patent/CN114760079A/zh
Application granted granted Critical
Publication of CN114760079B publication Critical patent/CN114760079B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种标识网络终端认证方法及相关设备,所述方法包括:将终端私钥和曲线参数组写入到所有终端中;发送端使根据第一接入标识和第二接入标识对待发送信息构造成第一数据包;第一接入交换路由器根据第一路由标识和第二路由标识构造第二数据包;核心路由器根据第二数据包选择相应的转发路径;第二接入交换路由器将第二数据包还原成第一数据包;接收端根据第一接入标识、曲线参数组和公钥生成算法生成公钥;接收端利用公钥验证第一数据包的可信性,以决定是否接收第一数据包。通过发送端根据第一接入标识构造第一数据包,而接收端根据第一接入标识进行验证,实现对待发送信息的一对一加解密,有效地提高了标识网络终端认证的安全性和效率。

Description

一种标识网络终端认证方法及相关设备
技术领域
本发明涉及互联网技术领域,特别涉及一种标识网络终端认证方法及相关设备。
背景技术
传统网络中IP地址“二义性”(目的外网和内部IP重合)问题导致网络对移动能力、安全防范能力的支持较差,持续增量修补使得网络复杂度急剧增加,传统网络局限性逐渐显现。
利用数字证书实现对用户的身份认证是一种常见的解决方案,具体为:用户进入网络之前,先获得第三方CA(CA:Certification Authority,中文名为证书的签发机构,负责签发证书、认证证书、管理已颁发证书)颁发的数字证书,然后使用数字证书构建终端的接入地址。用户在进行网络认证时,向接入路由器发送加密的数字证书,接入路由器收到后,根据双方协商的密钥解密用户的数字证书,验证接入地址和签名以及数字证书的合法性,从而实现对用户的身份认证。
虽然基于数字证书的认证方案较为成熟且具有一定的安全性。但该方案还是存在以下问题:
(1)、增加网络开销,认证效率低下:
该方案中每个用户都需要从可信的CA获取数字证书并使用该证书证实自己的真实身份,这使得一次完整的认证需要经过诸多步骤,这样会大大增加网络的开销,影响认证效率。同时,在互联网用户爆炸性增长的今天,证书与用户一一对应的关系势必会产生大量的数字证书,对CA设备的证书存储能力和查询能力有较高的要求。
(2)、认证中心安全性保障问题:
由于该方案的安全性过度依赖由数字证书,这使得在一些情况下该方案将变得不适用。当颁发证书的CA被入侵,那么攻击者可以利用被入侵的CA颁发伪造证书。在此情况下,用户的身份真实性将被破坏,该方案的安全性将不复存在。另外,在无基础设施环境中(如灾害救援等),网络中无可用的CA,此时该认证方案无法为网络提供实时的认证服务。
(3)、部署困难,不同CA之间需要协调:
为了能让该方案运作,需要部署PKI(Public Key Infrastructure:公钥基础设施,基于公钥密码学,建立起一种普遍适用的基础设施,为各种网络应用提供全面的安全服务;一个包括硬件、软件、人员、策略和规程的集合,用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能)。但是这种方式开销较大,更重要的是网络中各网域独立运行其CA,不同域的CA相互合作比较困难,需要互相协调,这使得跨域身份认证变得困难。
因而现有技术还有待改进和提高。
发明内容
本发明的主要目的在于提供一种标识网络终端认证方法及相关设备,旨在解决现有技术中在进行数字证书的认证时,认证效率低下和安全性差的问题。
为了达到上述目的,本发明采取了以下技术方案:
一种标识网络终端认证方法,所述标识网络终端认证方法包括:
私钥生成器进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到接收端和发送端中;
所述发送端使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器;
所述第一接入交换路由器根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器;
所述核心路由器根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器;
所述第二接入交换路由器对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端;
所述接收端接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥;
所述接收端利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包。
所述标识网络终端认证方法中,所述标识网络终端认证方法还包括:
当所述接收端接收所述第一数据包后,预设一个阈值时间,在所述阈值时间内,所述接收端直接接收所述发送端发送的所述第一数据包,若超过所述阈值时间,则需要通过所述公钥验证所述第一数据包。
所述标识网络终端认证方法中,所述私钥生成器进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到接收端和发送端中的步骤具体包括:
所述私钥生成器根据椭圆曲线参数生成所述公钥生成算法,以及根据参数配置文件和随机数生成所述曲线参数组和主私钥,并进行存储所述主私钥;
所述私钥生成器根据所述曲线参数组、所述主私钥和所述第一接入标识生成所述终端私钥,并将所述终端私钥、所述公钥生成算法和所述曲线参数组写入到所述发送端;
所述私钥生成器根据所述曲线参数组、所述主私钥和所述第二接入标识生成所述终端私钥,并将所述终端私钥、所述公钥生成算法和所述曲线参数组写入到所述接收端。
所述标识网络终端认证方法中,所述发送端使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器的步骤具体包括:
所述发送端使用所述终端私钥对待发送信息进行签名,得到签名信息;所述发送端将所述签名信息、所述第一接入标识和所述第二接入标识填入所述待发送信息中,得到所述第一数据包;
所述发送端将所述第一数据包发送至所述第一接入交换路由器。
所述标识网络终端认证方法中,所述第一接入交换路由器根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器的步骤具体包括:
所述第一接入交换路由器接收所述第一数据包后,通过查询映射关系表获得所述第一接入标识对应的所述第一路由标识,以及获得所述第二接入标识对应的所述第二路由标识;
将所述第一路由标识和所述第二路由标识写入到所述第一数据包中,得到所述第二数据包,并将所述第二数据包发送至所述核心路由器。
所述标识网络终端认证方法中,所述核心路由器根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器的步骤具体包括:
所述核心路由器接收所述第二数据包,并读取所述第二数据包中的所述第一路由标识和所述第二路由标识后选择相应的转发路径;
所述核心路由器将所述第二数据包沿所述转发路径转发至第二接入交换路由器。
所述标识网络终端认证方法中,所述第二接入交换路由器对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端的步骤具体包括:
所述第二接入交换路由器接收所述第二数据包,并删除所述第二数据包中的所述第一路由标识和所述第二路由标识,得到所述第一数据包;
所述第二接入交换路由器将所述第一数据包发送至所述接收端。
所述标识网络终端认证方法中,所述接收端接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥的步骤具体包括:
所述接收端接收所述第一数据包,并提取所述第一数据包中的所述第一接入标识;
所述接收端根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥。
所述标识网络终端认证方法中,所述接收端利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包的步骤还包括:
所述接收端利用所述公钥验证所述第一数据包的可信性,若验证失败,则所述接收端丢弃所述第一数据包。
所述标识网络终端认证方法中,所述第一接入标识为所述发送端的接入标识,所述第二接入标识为所述接收端的接入标识。
所述标识网络终端认证方法中,所述发送端中存储有所述终端私钥,所述终端私钥由所述曲线参数组、所述主私钥和所述第一接入标识生成;所述接收端中存储有所述终端私钥,所述终端私钥由所述曲线参数组、所述主私钥和所述第二接入标识生成。
一种标识网络终端认证系统,所述标识网络终端认证系统包括:
发送端、第一接入交换路由器、核心路由器、第二接入交换路由器和接收端;所述私钥生成器分别与所述发送端和所述接收端连接;所述发送端、所述第一接入交换路由器、所述核心路由器、所述第二接入交换路由器和所述接收端之间依次通信连接;
所述私钥生成器用于在进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到所述接收端和所述发送端中;
所述发送端用于使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器;
所述第一接入交换路由器用于根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器;
所述核心路由器用于根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器;
所述第二接入交换路由器用于对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端;
所述接收端用于接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥;以及用于利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包。
所述标识网络终端认证系统中,所述私钥生成器包括:初始化模块;所述发送端包括:数字签名模块;所述接收端包括:曲线参数组获取模块和身份验证模块;
所述初始化模块包括:曲线参数组生成模块、主私钥参数生成模块、终端私钥生成模块和密钥参数管理模块;所述数字签名模块包括:私钥获取模块、消息摘要生成模块、签名生成模块和数据包发送模块;所述身份验证模块包括:数字签名读取模块、公钥获取模块和签名验证模块;
所述密钥参数管理模块分别与所述曲线参数组生成模块、所述终端私钥生成模块、所述私钥获取模块和所述公钥获取模块连接,所述终端私钥生成模块还与所述主私钥参数生成模块连接,所述签名生成模块分别与所述私钥获取模块、所述消息摘要生成模块和所述数据包发送模块连接;所述签名验证模块分别与所述公钥获取模块和所述数字签名读取模块连接;所述公钥获取模块还与所述曲线参数组生成模块连接;
所述初始化模块用于在初始化阶段时,生成所述曲线参数组、所述公钥生成算法、各个终端私钥和终端私钥生成算法;其中,所述曲线参数组生成模块用于生成所述曲线参数组和曲线参数组生成算法,并传输至所述密钥参数管理模块,以及用于利用所述公钥生成算法对所述曲线参数组和所述第一接入标识生成所述公钥;所述主私钥参数生成模块用于生成主私钥;所述终端私钥生成模块用于生成所述终端私钥,并传输至所述密钥参数管理模块;所述密钥参数管理模块用于将公钥生成算法和各自的终端私钥对应地写入所述数字签名模块和所述公钥获取模块;
所述数字签名模块用于利用所述终端私钥对所述待发送信息进行签名,得到经过签名后的所述待发送信息;其中,所述私钥获取模块用于创建类并保存所述终端私钥;所述消息摘要生成模块用于将所述待发送信息中的待签名内容变为定长摘要值;所述签名生成模块用于使用所述终端私钥签名所述定长摘要值后,得到经过签名后的所述待发送信息,以作为最终发送的签名信息;所述数据包发送模块用于构造所述第一数据包,并向所述第一接入交换路由器传输;
所述曲线参数组获取模块用于获取初始化模块中的所述曲线参数组,并传输至所述身份验证模块;
所述身份验证模块用于利用所述公钥验证经过签名后的所述待发送信息;其中,所述数字签名读取模块用于读取所述第一数据包中的数字签名,并传输至所述签名验证模块;所述公钥获取模块用于获取所述曲线参数组生成模块传递的公钥,并传输至所述签名验证模块;所述签名验证模块用于利用所述公钥认证所述数字签名。
一种计算机可读存储介质,所述计算机可读存储介质存储有标识网络终端认证方法,所述标识网络终端认证方法被处理器执行时实现如上所述的标识网络终端认证方法的步骤。
相较于现有技术,本发明提供的一种标识网络终端认证方法及相关设备,所述方法包括:私钥生成器进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到接收端和发送端中;所述发送端使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器;所述第一接入交换路由器根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器;所述核心路由器根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器;所述第二接入交换路由器对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端;所述接收端接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥;所述接收端利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包。通过发送端根据第一接入标识构造第一数据包,而接收端根据第一接入标识进行验证,实现对待发送信息的一对一加解密,有效地提高了标识网络终端认证的安全性和效率。
附图说明
图1为本发明提供的标识网络终端认证方法的较佳实施例的流程图;
图2为本发明提供的标识网络终端认证方法的较佳实施例中步骤S100的流程图;
图3为本发明提供的标识网络终端认证方法的较佳实施例中步骤S200的流程图;
图4为本发明提供的标识网络终端认证方法的较佳实施例中步骤S300的流程图;
图5为本发明提供的标识网络终端认证方法的较佳实施例中步骤S400的流程图;
图6为本发明提供的标识网络终端认证方法的较佳实施例中步骤S500的流程图;
图7为本发明提供的标识网络终端认证方法的较佳实施例中步骤S600的流程图;
图8为本发明提供的标识网络终端认证方法的较佳实施例中终端A与终端A1认证通信过程示意图;
图9为本发明提供的标识网络终端认证方法的较佳实施例中终端1与终端2认证通信过程示意图;
图10为本发明提供的标识网络终端认证系统的架构关系图;
图11为本发明提供的标识网络终端认证系统的机理示意图;
图12为本发明提供的标识网络终端认证系统中初始化模块的机理示意图;
图13为本发明提供的标识网络终端认证系统中数字签名模块的机理示意图;
图14为本发明提供的公钥的组成部分示意图;
图15为本发明提供的标识网络终端认证系统中身份验证模块的机理示意图。
具体实施方式
为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
为了方便理解本申请实施例,首先在此介绍本发明实施例涉及到的相关要素:
AID:Access Identifier,中文名称为接入标识,是终端在接入网中转发使用的标识,表示用户身份;
RID:Routing Identifier,中文名称为路由标识,是终端在核心网中转发使用的标识,表示用户位置;
CA:Certificate Authority,中文名称为证书管理机构,是证书的签发机构,负责签发证书、认证证书、管理已颁发证书;
ASR:Access Switching Router,中文名称为接入交换路由器,是一种标识网络接入网和核心网边缘的交换设备;
CR:Core Router,中文名称为核心路由器,是一种标识网络核心网中的交换设备;
PKG:Public Key Generator,中文名称为私钥生成器,是在自认证技术中,初始化阶段生成私钥的设备,不参与认证过程。
本发明提供了一种标识网络终端认证方法及相关设备。本发明中通过所述发送端根据所述第一接入标识和所述第二接入标识,对经过签名后的所述待发送信息构造成第一数据包,并发送至所述接收端,而所述接收端则根据所述第一接入标识、所述曲线参数组和公钥生成算法生成公钥,并利用所述公钥验证所述第一数据包的可信性,以决定是否接收所述第一数据包,从而有效地实现了快捷地通过所述第一接入标识将所述待发送信息进行加密,并通过第一接入标识进行对应性地解密,有效地提升了标识网络终端之间认证的安全性和效率。
下面通过具体示例性的实施例对标识网络终端认证方法设计方案进行描述,需要说明的是,下列实施例只用于对发明的技术方案进行解释说明,并不做具体限定:
请参阅图1,本发明提供的一种标识网络终端认证方法,所述标识网络终端认证方法包括:
S100、私钥生成器进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到接收端和发送端中。
具体地,在任意一个所述发送端和任意一个所述接收端双方通信之前,首先,利用所述私钥生成器进行系统参数初始化,向所有终端(包括发送端和接收端)中写入各自的终端私钥、公钥生成算法和曲线参数组,一并写入的还有曲线参数组生成方法。
进一步地,请参阅图2,所述S100、私钥生成器进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到接收端和发送端中的步骤具体包括:
S110、所述私钥生成器根据椭圆曲线参数生成所述公钥生成算法,以及根据参数配置文件和随机数生成所述曲线参数组和主私钥,并进行存储所述主私钥;
S120、所述私钥生成器根据所述曲线参数组、所述主私钥和所述第一接入标识生成所述终端私钥,并将所述终端私钥、所述公钥生成算法和所述曲线参数组写入到所述发送端;
S130、所述私钥生成器根据所述曲线参数组、所述主私钥和所述第二接入标识生成所述终端私钥,并将所述终端私钥、所述公钥生成算法和所述曲线参数组写入到所述接收端;
其中,所述发送端中存储有所述终端私钥,所述终端私钥由所述曲线参数组、所述主私钥和所述第一接入标识生成;所述接收端中存储有所述终端私钥,所述终端私钥由所述曲线参数组、所述主私钥和所述第二接入标识生成。
具体地,所述私钥生成器中,所述主私钥和所述曲线参数组由参数配置文件和随机数直接生成,因为参数配置文件a.propertites中包含生成一个椭圆曲线需要的参数,比如生成一条直线y=ax+b,那么就需要的参数是a、b,各自的终端私钥则由所述终端提供各自的AID(接入标识)、主私钥、曲线参数组共同生成。
在所述私钥生成器的网络初始化阶段中,将产生所述终端私钥和所述曲线参数组,网络初始化阶段可以分为两部分,分别是设置(Setup)阶段和提取(Extract)阶段:在Setup阶段,通过椭圆曲线参数文件a.properties读取曲线参数,并随机在曲线上选择点,与自定义输入参数nU、nM共同生成所述曲线参数组(全网公开)和所述主私钥;而在Extract阶段,通过上一阶段生成的所述曲线参数组、所述主私钥,加上用户终端的身份信息(AID)生成各自的终端私钥,下发给各个终端;所以,对于所述发送端,通过所述曲线参数组、所述主私钥和所述第一接入标识生成所述发送端的终端私钥,并将所述终端私钥、所述公钥生成算法和所述曲线参数组写入到所述发送端;对于所述接收端,通过所述曲线参数组、所述主私钥和所述第二接入标识生成所述发送端的终端私钥,并将所述终端私钥、所述公钥生成算法和所述曲线参数组写入到所述接收端。
进一步地,请继续参阅图1,S200、所述发送端使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器;其中,所述第一接入标识为所述发送端的接入标识,所述第二接入标识为所述接收端的接入标识。
具体地,首先,所述发送端使用所述终端私钥对所述待发送信息进行签名,然后,将所述发送端的接入标识(第一接入标识)、所述接收端的接入标识(第二接入标识)和经过签名后的所述待发送信息一起构造成所述第一数据包,并向第一接入交换路由器发送。
进一步地,请参阅图3,所述S200、所述发送端使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,对经过签名后的所述待发送信息按照标识网络通信协议构造成第一数据包,并向第一接入交换路由器发送的步骤具体包括:
S210、所述发送端使用所述终端私钥对待发送信息进行签名,得到签名信息;
S220、所述发送端将所述签名信息、所述第一接入标识和所述第二接入标识填入所述待发送信息中,得到所述第一数据包;
S230、所述发送端将所述第一数据包发送至所述第一接入交换路由器。
具体地,首先,所述发送端对待发送信息进行哈希计算得到哈希值1,所述发送端再使用所述终端私钥对所述哈希值进行加密生成签名,得到所述签名信息,然后,所述发送端将所述发送端的接入标识(所述第一接入标识)、所述接收端的接入标识(所述第二接入标识)和所述签名信息依次填入所述待发送信息中,按照标识网络通信协议构造得到所述第一数据包;最后,所述发送端将所述第一数据包发送至所述第一接入交换路由器。
本发明中通过将每一个终端的全网唯一标识(所述第一接入标识和所述第二接入标识)写入到所述待发送信息中,以此构造所述第一数据包后发送,以便所述接收端能够使用所述第一接入标识生成的密钥进行对应性地解锁,有效地提升了所述待发送信息传输的安全性。
进一步地,请继续参阅图1,S300、所述第一接入交换路由器根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器。
具体地,所述第一接入交换路由器接收所述第一数据包后,解析所述第一数据包,得到所述第一接入标识和所述第二接入标识,然后,所述第一接入交换路由器根据所述第一接入标识获得第一路由标识,以及根据所述第二接入标识获得第二路由标识,最后,根据所述第一路由标识、所述第二路由标识和所述第一数据包一起构造所述第二数据包,从而有效地将所述第一接入标识和所述第二接入标识对应的所述第一路由标识和所述第二路由标识写入到所述第一数据包中,为后面根据所述第一路由标识和所述第二路由标识决定转发路径做准备。
进一步地,请参阅图4,S300、所述第一接入交换路由器根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器的步骤具体包括:
S310、所述第一接入交换路由器接收所述第一数据包后,通过查询映射关系表获得所述第一接入标识对应的所述第一路由标识,以及获得所述第二接入标识对应的所述第二路由标识;
S320、将所述第一路由标识和所述第二路由标识写入到所述第一数据包中,得到所述第二数据包,并将所述第二数据包发送至所述核心路由器。
具体地,所述第一接入交换路由器接收所述第一数据包后,所述第一接入交换路由器所述第一数据包进行解析,得到所述第一接入标识和所述第二接入标识,然后,通过查询映射关系表获得所述第一接入标识对应的所述第一路由标识,以及获得所述第二接入标识对应的所述第二路由标识;其次,所述第一接入交换路由器读取映射服务器中的映射关系表(接入标识(AID)和路由标识(RID)对应关系的表),获得所述第一接入标识对应的所述第一路由标识,以及获得所述第二接入标识对应的所述第二路由标识;
再者,所述第一接入交换路由器将所述第一路由标识和所述第二路由标识写入到所述第一数据包的包头前面,按照标识网络通信协议构造得到所述第二数据包,即所述第二数据包中依次存在所述第一路由标识、所述第二路由标识、所述发送端的接入标识(所述第一接入标识)、所述接收端的接入标识(所述第二接入标识)和所述签名信息,最后,所述第一接入交换路由器将所述第二数据包发送至所述核心路由器。
本发明中通过将所述第一接入标识和所述第二接入标识分别对应的所述第一路由标识和所述第二路由标识同样写入到数据包中,从而为后面的所述核心路由器根据所述第一接入标识和所述第二接入标识选择相应的转发路径做准备。
进一步地,请继续参阅图1,S400、所述核心路由器根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器。
具体地,所述核心路由器接收所述第二数据包后,所述核心路由器会根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,然后,所述核心路由器将所述第二数据包沿着相应的转发路径转发至所述第二接入交换路由器。
进一步地,请参阅图5,S400、所述核心路由器根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器的步骤具体包括:
S410、所述核心路由器接收所述第二数据包,并读取所述第二数据包中的所述第一路由标识和所述第二路由标识后选择相应的转发路径;
S420、所述核心路由器将所述第二数据包沿所述转发路径转发至第二接入交换路由器。
具体地,所述核心路由器接收所述第二数据包后,所述核心路由器解析所述第二数据包,得到所述第一路由标识和所述第二路由标识,然后,由于需要根据不同的路由标识选择相应的转发路径,所以所述核心路由器会根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,最后,由所述核心路由器将所述第二数据包沿着相应的转发路径转发至所述第二接入交换路由器。本发明中通过所述核心路由器根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,从而减少传输路径占用和拥堵的问题,有效地提升了数据包在网络路径中的传输速率。
进一步地,请继续参阅图1,S500、所述第二接入交换路由器对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端。
具体地,所述第二接入交换路由器接收到所述第二数据包后,所述第二接入交换路由器对所述第二数据包进行解封装,还原得到所述第一数据包,即删除所述第二数据包中的所述第一路由标识和所述第二路由标识,然后,所述第二接入交换路由器将所述第一数据包发送至接收端。
进一步地,请参阅图6,S500、所述第二接入交换路由器对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端的步骤具体包括:
S510、所述第二接入交换路由器接收所述第二数据包,并删除所述第二数据包中的所述第一路由标识和所述第二路由标识,得到所述第一数据包;
S520、所述第二接入交换路由器将所述第一数据包发送至所述接收端。
具体地,所述第二接入交换路由器接收到所述第二数据包后,所述第二接入交换路由器删除所述第二数据包中的所述第一路由标识和所述第二路由标识,还原得到所述第一数据包;然后,所述第二接入交换路由器再将所述第一数据包发送至所述接收端。本发明中通过所述第二接入交换路由器将所述第二数据包中的所述第一路由标识和所述第二路由标识删除,从而减少所述接收端对所述第二数据包中的多余数据进行解析,节省了所述接收端解析所述第二数据包的时间,减少了对所述接收端对所述数据包进行解析时的占用。
进一步地,请继续参阅图1,S600、所述接收端接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥。
具体地,所述接收端接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥,从而形成了与所述第一接入标识对应的唯一的公钥,由于公钥由用户本身信息(所述第一接入标识)产生,因此在认证过程中无需向CA(证书管理机构)请求证书,认证过程更加简洁高效;其中,所述公钥生成算法使用的是java jpbc库,它是一个是使用Java语言对椭圆曲线双线性映射进行实现的一种方式。
进一步地,请参阅图7,S600、所述接收端接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥的步骤具体包括:
S610、所述接收端接收所述第一数据包,并提取所述第一数据包中的所述第一接入标识;
S620、所述接收端根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥。
具体地,所述接收端接收所述第二接入交换路由器传输的所述第一数据包,所述接收端对所述第一数据包进行解析,提取所述第一数据包中的所述第一接入标识,然后,所述接收端根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥,从而实现了生成全网唯一标识所对应的公钥,有效地提升了所述公钥的安全性和唯一性,由于用户接入标识与用户之间存在一一对应关系,因此使用用户AID作为用户公钥生成参数,无需建立CA来保存用户证书信息,无需CA参与认证流程,避免了传统公钥密码体系中存储空间不足、查询效率低下带来的种种弊端,能够高效且简洁地完成终端之间的可信性认证。
进一步地,请继续参阅图1,S700、所述接收端利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包。
具体地,所述接收端在生成所述公钥后,利用所述公钥验证所述第一数据包的可信性,若验证所述第一数据包具有可信性就接收所述第一数据包,否则,将所述第一数据包直接丢弃,从而高效地完成了对所述第一数据包的验证。
进一步地,S700、所述接收端利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包的步骤还包括:
s700、所述接收端利用所述公钥验证所述第一数据包的可信性,若验证失败,则所述接收端丢弃所述第一数据包。
具体地,所述接收端在生成所述公钥后,所述接收端利用所述公钥验证所述第一数据包的可信性,具体为:所述接收端对所述第一数据包进行解析,得到所述待发送信息,然后,所述接收端对所述第一数据包中的所述待发送信息进行哈希计算,得到哈希值2,并使用公开算法对所述哈希值2生成第二签名信息,将所述签名信息与所述第二签名信息进行比较,若相同则说明验证成功,所述接收端直接接收所述第一数据包;若不同则说明验证失败,所述接收端直接将所述第一数据包丢弃,从而实现利用所述第一接入标识生成的所述公钥,对所述签名信息进行验证,并根据不同的验证结果做出相应地操作,有效地提升了标识网络终端之间的认证效率和认证后的处理速度。
本发明中先是在所述发送端将所述第一接入标识作为用户源标识存在于数据包首部中,并在接收端使用所述第一接入标识作为公钥对用户数字签名(签名信息)进行验证,从而无需第三方基础设施实现证书的存储和查询功能,在大规模网络模型中,终端无需经过数字证书与可信第三方进行绑定以及无需频繁向第三方CA发起请求,避免了传统公钥密码体系中因办理很多用户证书,而带来占用资源较多和认证过程繁琐等弊端,使得认证过程更加简单高效。
进一步地,请继续参阅图1,所述标识网络终端认证方法还包括:
S800、当所述接收端接收所述第一数据包后,预设一个阈值时间,在所述阈值时间内,所述接收端直接接收所述发送端发送的所述第一数据包,若超过所述阈值时间,则需要通过所述公钥验证所述第一数据包。
具体地,在所述接收端完成一次验证所述第一数据包为可信之后,即验证与所述接收端通信的所述发送端可信之后,保存所述第一接入标识,还可以设置一个阈值时间,在所述阈值时间内,若所述发送端继续向所述接收端发送数据包(可称为第一数据包)时,所述接收端直接接收所述发送端后期发送的第一数据包,即无需继续进行签名认证;若超过了所述阈值时间,则所述接收端需要继续通过所述公钥验证所述发送端后期发送的第一数据包,从而减少了标识网络终端之间的重复验证,进一步地提升所述标识网络终端的认证速率以及减少资源的占用,这里将所述发送端发送的数据包均称为所述第一数据包。
为了更好的理解本发明,以下结合图8,对本发明的标识网络终端认证方法的工作原理进行详细的说明:
如图8所示,接入网1和接入网2中均存在多个终端,例如终端A、终端A1、终端B和终端B1等,每个终端都可以是发送方或接收方,这里以接入网1中的终端A作为所述发送端与接入网2中的终端A1作为所述接收端进行通信为例:
首先,在双方进行通信之前,先进行系统参数初始化(对应图8中的步骤①),向各个终端中写入各自的所述终端私钥、公钥生成算法和所述曲线参数组,其中,终端A(所述发送端)的终端私钥为KSA,终端A1(所述接收端)的终端私钥为KSA1;然后,若终端A想要与终端A1通信,则终端A使用自身的终端私钥KSA将所述待发送信息生成签名KSA(message),并构造所述第一数据包发送给与所述终端A连接的ASR(接入交换路由器,这里所述终端A连接的ASR为所述第一接入交换路由器)(对应图8中的步骤②),所述第一数据包中源地址为终端A的接入标识AIDs(第一接入标识),目的地址为终端A1的接入标识AIDd(第二接入标识);所述终端A的接入标识AIDs、所述终端A1的接入标识AIDd和所述签名KSA(message)(用户A私钥)依次排列存在于所述第一数据包中。
其次,所述第一数据包到达所述第一接入交换路由器后,所述第一接入交换路由器通过解析所述第一数据包后,提取得到所述第一数据包中的源接入标识(第一接入标识)和目的接入标识(第二接入标识),并查询映射服务器中的映射关系表中所述终端A的接入标识AIDs和所述终端A1的接入标识AIDd分别对应的所述第一路由标识RIDs(源路由标识)和所述第二路由标识RIDd(目的路由标识),再向所述第一接入交换路由器返回;而所述第一接入交换路由器在收到路由标识后,将其封装在所述第一数据包的首部前面,即将所述第一路由标识RIDs和所述第二路由标识RIDd封装在所述终端A的接入标识AIDs的前面,得到所述第二数据包,再将所述第二数据包向核心网中转发(对应图8中的步骤③),此时,所述第一路由标识RIDs、所述第二路由标识RIDd、所述终端A的接入标识AIDs、所述终端A1的接入标识AIDd和所述签名KSA(message)依次排列存在于所述第一数据包中;其中,核心网由两个ASR和两个CR(核心路由器)组成。
再者,所述核心网中的CR根据所述第二数据包中的所述第一路由标识RIDs和所述第二路由标识RIDd选择相应的转发路径进行传输所述第二数据包至所述第二接入交换路由器(同样对应图8中的步骤③);当所述第二数据包到达接入网2边缘时,所述第二接入交换路由器执行解封装操作,将核心网首部删除,仅保留接入网1的部分,即仅删除所述第二数据包中的所述第一路由标识和所述第二路由标识,还原得到所述第一数据包,并将所述第一数据包发送到终端A1(对应图8中的步骤④);
最后,终端A1在接收到终端A发送的所述第一数据包后,根据所述曲线参数组及终端A的身份AIDs使用所述公钥生成算法生成对应公钥KPA(用户A公钥),用以验证发送方是否可信:若验证成功,则接收来自终端A1的所述第一数据包;若验证失败,则丢弃来自终端A1的所述第一数据包(对应图8中的步骤⑤)。其中,AIDs为源接入标识;AIDd为目的接入标识;RIDs为源路由标识;RIDd为目的路由标识;KSA为用户A私钥;KPA为用户A公钥。
但是,图8中只是展示了任选的所述发送端:终端A与任选的所述接收端:终端A1之间的认证通信过程,一个完整的通信周期还请参阅图9,其中,图9中表示的是终端1与终端2的认证通信的全过程,在终端2完成了一次对所述签名信息的验证后,还对阈值时间进行检测,若在所述阈值时间之内,则所述接收端直接接收所述发送端后期发送的第一数据包,若超过了所述阈值时间,则需要所述公钥重新认证所述发送端后期发送的第一数据包。
进一步地,请参阅图10,本发明提供的一种标识网络终端认证系统,所述标识网络终端认证系统包括:
私钥生成器10、发送端20、第一接入交换路由器30、核心路由器40、第二接入交换路由器50和接收端60;所述私钥生成器10分别与所述发送端20和所述接收端60连接;所述发送端20、所述第一接入交换路由器30、所述核心路由器40、所述第二接入交换路由器50和所述接收端60之间依次通信连接;
所述私钥生成器10用于在进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到接收端和发送端中;
所述发送端20用于使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器30;
所述第一接入交换路由器30用于根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器40;
所述核心路由器40用于根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器50;
所述第二接入交换路由器50用于对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端60;
所述接收端60用于接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥;以及用于利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包。
具体地,在任意一个所述发送端和任意一个所述接收端双方通信之前,首先进行系统参数初始化,所述私钥生成器10向各个所述终端(包括发送端和接收端)中写入各自的终端私钥、所述公钥生成算法、所述曲线参数组和所述曲线参数组生成方法;然后,所述发送端20使用所述终端私钥对所述待发送信息进行签名,将所述发送端20的接入标识(第一接入标识)、所述接收端60的接入标识(第二接入标识)和经过签名后的所述待发送信息一起构造成所述第一数据包,并向第一接入交换路由器30发送;
其次,所述第一接入交换路由器30对接收到的所述第一数据包进行解析,得到所述第一接入标识和所述第二接入标识,所述第一接入交换路由器30并根据所述第一接入标识获得第一路由标识,以及根据所述第二接入标识获得第二路由标识,再根据所述第一路由标识、所述第二路由标识和所述第一数据包一起构造所述第二数据包后,发送至核心路由器40;所述核心路由器40则会根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包沿着相应的转发路径转发至所述第二接入交换路由器50;
再者,所述第二接入交换路由器50对所述第二数据包进行解封装,还原得到所述第一数据包,所述第二接入交换路由器30再将所述第一数据包发送至所述接收端60;接下来,所述接收端60接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成所述公钥;最后,所述接收端60利用生成的所述公钥验证所述第一数据包的可信性,若验证所述第一数据包具有可信性就接收所述第一数据包,否则,将所述第一数据包直接丢弃。
本发明中利用标识网络中的AID唯一标识用户的特性,利用用户身份信息完成身份认证,支持用户对发送数据包来源的验证,无需可信第三方参与认证过程,具有认证效率高和资源消耗小的特点,同时,无需建立CA来保存用户证书信息,有效地避免了传统公钥密码体系中存储空间不足、查询效率低下带来的种种弊端;并且,在无基础设施环境中,终端认证功能不受影响;在多域协同环境中不需要为认证添加额外部署设备,可扩展性强。
更进一步地,所述私钥生成器包括:初始化模块;所述发送端包括:数字签名模块;所述接收端包括:曲线参数组获取模块和身份验证模块;
所述初始化模块包括:曲线参数组生成模块、主私钥参数生成模块、终端私钥生成模块和密钥参数管理模块;所述数字签名模块包括:私钥获取模块、消息摘要生成模块、签名生成模块和数据包发送模块;所述身份验证模块包括:数字签名读取模块、公钥获取模块和签名验证模块;
所述密钥参数管理模块分别与所述曲线参数组生成模块、所述终端私钥生成模块、所述私钥获取模块和所述公钥获取模块连接,所述终端私钥生成模块还与所述主私钥参数生成模块连接,所述签名生成模块分别与所述私钥获取模块、所述消息摘要生成模块和所述数据包发送模块连接;所述签名验证模块分别与所述公钥获取模块和所述数字签名读取模块连接;所述公钥获取模块还与所述曲线参数组生成模块连接;
所述初始化模块用于在初始化阶段时,生成所述曲线参数组、所述公钥生成算法、各个终端私钥和终端私钥生成算法;其中,所述曲线参数组生成模块用于生成所述曲线参数组和曲线参数组生成算法,并传输至所述密钥参数管理模块,以及用于利用所述公钥生成算法对所述曲线参数组和所述第一接入标识生成所述公钥;所述主私钥参数生成模块用于生成主私钥;所述终端私钥生成模块用于生成所述终端私钥,并传输至所述密钥参数管理模块;所述密钥参数管理模块用于将公钥生成算法和各自的终端私钥对应地写入所述数字签名模块和所述公钥获取模块;
所述数字签名模块用于利用所述终端私钥对所述待发送信息进行签名,得到经过签名后的所述待发送信息;其中,所述私钥获取模块用于创建类并保存所述终端私钥;所述消息摘要生成模块用于将所述待发送信息中的待签名内容变为定长摘要值;所述签名生成模块用于使用所述终端私钥签名所述定长摘要值后,得到经过签名后的所述待发送信息,以作为最终发送的签名信息;所述数据包发送模块用于构造所述第一数据包,并向所述第一接入交换路由器传输;
所述曲线参数组获取模块用于获取初始化模块中的所述曲线参数组,并传输至所述身份验证模块;
所述身份验证模块用于利用所述公钥验证经过签名后的所述待发送信息;其中,所述数字签名读取模块用于读取所述第一数据包中的数字签名,并传输至所述签名验证模块;所述公钥获取模块用于获取所述曲线参数组生成模块传递的公钥,并传输至所述签名验证模块;所述签名验证模块用于利用所述公钥认证所述数字签名。
具体地,由于本发明中的所述标识网络终端认证方法是基于椭圆曲线密码体制,且所述标识网络终端认证方法应用在所述标识网络终端认证系统上,所以,将所述标识网络终端认证系统按照工作实现机理进行模块化介绍,具体地所述标识网络终端认证系统的内部功能模块则如图11所示,一共可以分为初始化模块、数字签名模块、曲线参数组获取模块和身份验证模块四部分:
所述初始化模块在网络初始化时运行,功能是生成认证所需的参数,包括所述公钥生成算法、公钥参数、各个终端私钥和终端私钥生成算法;所述初始化模块的工作原理又可以分为四个阶段:所述曲线参数组生成模块、所述主私钥参数生成模块、所述终端私钥生成模块和所述密钥参数管理模块,如图12所示。
其中,所述主私钥和所述曲线参数组由参数配置文件(a.propertities)和随机数直接生成,相应地在所述主私钥参数生成模块和所述曲线参数组生成模块中进行,所述终端私钥由终端提供的AID(终端各自的AID,包括所述第一接入标识和所述第二接入标识)、所述主私钥和所述曲线参数组共同生成,在所述终端私钥生成模块中进行,即所述发送端中的终端私钥生成模块根据所述第一接入标识、所述主私钥和所述曲线参数组生成所述发送端的终端私钥,所述接收端中的终端私钥生成模块根据所述第二接入标识、所述主私钥和所述曲线参数组生成所述接收端的终端私钥。所述主私钥则由PKG(私钥生成器)进行本地存储,不进行全网公开;所述曲线参数组、所述曲线参数组生成方法和终端私钥则通过所述密钥参数管理模块分别写入所述发送端中的所述数字签名模块和所述接收端中的所述公钥获取模块,写入过程均离线完成。在实际网络运行过程中,PKG不参与认证过程。
所述数字签名模块在发送端发送数据包前运行,存在于所有终端中,功能是使用离线写入的终端私钥对所述待发送信息进行签名,得到经过签名后的所述待发送信息;所述数字签名模块的内部工作机理又可以分为四个阶段:所述私钥获取模块、所述消息摘要生成模块、所述签名生成模块和所述数据包发送模块,如图13所示。
所述终端私钥由所述初始化模块离线写入终端,所述私钥获取模块创建类保存所述终端私钥,所述消息摘要生成模块使用SHA256算法(SHA256算法使用的哈希值长度是256位,属于一种哈希函数)将所述待发送信息中的待签名内容(待签名内容是即将变为消息摘要的用户身份AID和时间戳)变为所述定长摘要值;然后,所述签名生成模块则使用所述终端私钥签名所述定长摘要值后,得到经过签名后的所述待发送信息,以此作为最终发送的签名信息(KSA(message));最后,通过所述数据包发送模块构造所述第一数据包(标识网络通信数据包),向所述第一接入交换路由器传输。
所述曲线参数组生成模块在所述接收端接收到所述第二数据包时运行,功能是根据离线写入的所述曲线参数组及发送端AID(第一接入标识),使用公钥生成算法生成用于签名验证的所述公钥,发送端AID由所述第一数据包解析得到。
其中,所述公钥的组成部分包括:(parameters, g1, g2, uPrime, mPrime, Us,Ms),具体参数组成如图14所示;其中,parameters包括(curveParams,g,nU和nM),cueveParams是椭圆曲线参数,g1, g2,uPrime, mPrime, Us和Ms均是G1群组中的元素,nU和nM是用户在初始化阶段自定义的参数;g1=galpha,alpha是Zr群组中的一个元素。
所述身份验证模块在接收端收到所述曲线参数组生成模块发送的所述曲线参数组后执行,所述身份验证模块的功能是使用所述公钥验证终端签名(签名信息)。所述身份验证模块的内部工作机理又可以分为三个阶段:所述数字签名读取模块、所述公钥获取模块和所述签名验证模块,如图15所示。
其中,所述数字签名读取模块读取所述第一数据包中的数字签名(签名信息),所述公钥获取模块则用于获取所述曲线参数组生成模块传递的公钥,而所述签名验证模块则用所述公钥对数字签名进行认证,即根据所述公钥对所述第一数据包中的所述待发送信息使用所述公开算法再次生成签名内容,与所述第一数据包中的签名内容对比,若一致则认为发送方(发送端)可信,接收所述第一数据包;若不一致就认为发送方不可信,将所述第一数据包直接丢弃。
进一步地,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有标识网络终端认证方法,所述标识网络终端认证方法被处理器执行时实现如上所述的标识网络终端认证方法的步骤;由于上述对所述标识网络终端认证方法的步骤进行了详细的描述,在此不再赘述。综上所述,本发明提供的一种标识网络终端认证方法及相关设备,所述方法包括:私钥生成器进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到接收端和发送端中;所述发送端使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器;所述第一接入交换路由器根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器;所述核心路由器根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器;所述第二接入交换路由器对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端;所述接收端接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥;所述接收端利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包。通过发送端根据第一接入标识构造第一数据包,而接收端根据第一接入标识进行验证,实现对待发送信息的一对一加解密,有效地提高了标识网络终端认证的安全性和效率。
可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。

Claims (14)

1.一种标识网络终端认证方法,其特征在于,所述标识网络终端认证方法包括:
私钥生成器进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到接收端和发送端中;
所述发送端使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器;
所述第一接入交换路由器根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器;
所述核心路由器根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器;
所述第二接入交换路由器对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端;
所述接收端接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥;
所述接收端利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包。
2.根据权利要求1所述的标识网络终端认证方法,其特征在于,所述标识网络终端认证方法还包括:
当所述接收端接收所述第一数据包后,预设一个阈值时间,在所述阈值时间内,所述接收端直接接收所述发送端发送的所述第一数据包,若超过所述阈值时间,则需要通过所述公钥验证所述第一数据包。
3.根据权利要求1所述的标识网络终端认证方法,其特征在于,所述私钥生成器进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到接收端和发送端中的步骤具体包括:
所述私钥生成器根据椭圆曲线参数生成所述公钥生成算法,以及根据参数配置文件和随机数生成所述曲线参数组和主私钥,并进行存储所述主私钥;
所述私钥生成器根据所述曲线参数组、所述主私钥和所述第一接入标识生成所述终端私钥,并将所述终端私钥、所述公钥生成算法和所述曲线参数组写入到所述发送端;
所述私钥生成器根据所述曲线参数组、所述主私钥和所述第二接入标识生成所述终端私钥,并将所述终端私钥、所述公钥生成算法和所述曲线参数组写入到所述接收端。
4.根据权利要求1所述的标识网络终端认证方法,其特征在于,所述发送端使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器的步骤具体包括:
所述发送端使用所述终端私钥对待发送信息进行签名,得到签名信息; 所述发送端将所述签名信息、所述第一接入标识和所述第二接入标识填入所述待发送信息中,得到所述第一数据包;
所述发送端将所述第一数据包发送至所述第一接入交换路由器。
5.根据权利要求1所述的标识网络终端认证方法,其特征在于,所述第一接入交换路由器根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器的步骤具体包括:
所述第一接入交换路由器接收所述第一数据包后,通过查询映射关系表获得所述第一接入标识对应的所述第一路由标识,以及获得所述第二接入标识对应的所述第二路由标识;
将所述第一路由标识和所述第二路由标识写入到所述第一数据包中,得到所述第二数据包,并将所述第二数据包发送至所述核心路由器。
6.根据权利要求1所述的标识网络终端认证方法,其特征在于,所述核心路由器根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器的步骤具体包括:
所述核心路由器接收所述第二数据包,并读取所述第二数据包中的所述第一路由标识和所述第二路由标识后选择相应的转发路径;
所述核心路由器将所述第二数据包沿所述转发路径转发至第二接入交换路由器。
7.根据权利要求1所述的标识网络终端认证方法,其特征在于,所述第二接入交换路由器对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端的步骤具体包括:
所述第二接入交换路由器接收所述第二数据包,并删除所述第二数据包中的所述第一路由标识和所述第二路由标识,得到所述第一数据包;
所述第二接入交换路由器将所述第一数据包发送至所述接收端。
8.根据权利要求1所述的标识网络终端认证方法,其特征在于,所述接收端接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥的步骤具体包括:
所述接收端接收所述第一数据包,并提取所述第一数据包中的所述第一接入标识;
所述接收端根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥。
9.根据权利要求1所述的标识网络终端认证方法,其特征在于,所述接收端利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包的步骤还包括:
所述接收端利用所述公钥验证所述第一数据包的可信性,若验证失败,则所述接收端丢弃所述第一数据包。
10.根据权利要求1所述的标识网络终端认证方法,其特征在于,所述第一接入标识为所述发送端的接入标识,所述第二接入标识为所述接收端的接入标识。
11.根据权利要求3所述的标识网络终端认证方法,其特征在于,所述发送端中存储有所述终端私钥,所述终端私钥由所述曲线参数组、所述主私钥和所述第一接入标识生成;所述接收端中存储有所述终端私钥,所述终端私钥由所述曲线参数组、所述主私钥和所述第二接入标识生成。
12.一种标识网络终端认证系统,其特征在于,所述标识网络终端认证系统包括:
私钥生成器、发送端、第一接入交换路由器、核心路由器、第二接入交换路由器和接收端;所述私钥生成器分别与所述发送端和所述接收端连接;所述发送端、所述第一接入交换路由器、所述核心路由器、所述第二接入交换路由器和所述接收端之间依次通信连接;
所述私钥生成器用于在进行网络初始化后,将曲线参数组、公钥生成算法和各自的终端私钥分别写入到所述接收端和所述发送端中;
所述发送端用于使用所述终端私钥对待发送信息进行签名后,根据第一接入标识和第二接入标识,将经过签名后的所述待发送信息构造成第一数据包,并发送给第一接入交换路由器;
所述第一接入交换路由器用于根据所述第一数据包中的所述第一接入标识和所述第二接入标识,对应获得第一路由标识和第二路由标识后构造第二数据包,并发送至核心路由器;
所述核心路由器用于根据所述第二数据包中的所述第一路由标识和所述第二路由标识选择相应的转发路径,并将所述第二数据包转发至第二接入交换路由器;
所述第二接入交换路由器用于对所述第二数据包进行解封装,还原得到所述第一数据包,并将所述第一数据包发送至所述接收端;
所述接收端用于接收所述第一数据包后,提取所述第一数据包中的所述第一接入标识,并根据所述第一接入标识、所述曲线参数组和所述公钥生成算法生成公钥;以及用于利用所述公钥验证所述第一数据包的可信性,若验证通过则接收所述第一数据包。
13.根据权利要求12所述的标识网络终端认证系统,其特征在于,所述私钥生成器包括:初始化模块;所述发送端包括:数字签名模块;所述接收端包括:曲线参数组获取模块和身份验证模块;
所述初始化模块包括:曲线参数组生成模块、主私钥参数生成模块、终端私钥生成模块和密钥参数管理模块;所述数字签名模块包括:私钥获取模块、消息摘要生成模块、签名生成模块和数据包发送模块;所述身份验证模块包括:数字签名读取模块、公钥获取模块和签名验证模块;
所述密钥参数管理模块分别与所述曲线参数组生成模块、所述终端私钥生成模块、所述私钥获取模块和所述公钥获取模块连接,所述终端私钥生成模块还与所述主私钥参数生成模块连接,所述签名生成模块分别与所述私钥获取模块、所述消息摘要生成模块和所述数据包发送模块连接;所述签名验证模块分别与所述公钥获取模块和所述数字签名读取模块连接;所述公钥获取模块还与所述曲线参数组生成模块连接;
所述初始化模块用于在初始化阶段时,生成所述曲线参数组、所述公钥生成算法、各个终端私钥和终端私钥生成算法;其中,所述曲线参数组生成模块用于生成所述曲线参数组和曲线参数组生成算法,并传输至所述密钥参数管理模块,以及用于利用所述公钥生成算法对所述曲线参数组和所述第一接入标识生成所述公钥;所述主私钥参数生成模块用于生成主私钥;所述终端私钥生成模块用于生成所述终端私钥,并传输至所述密钥参数管理模块;所述密钥参数管理模块用于将公钥生成算法和各自的终端私钥对应地写入所述数字签名模块和所述公钥获取模块;
所述数字签名模块用于利用所述终端私钥对所述待发送信息进行签名,得到经过签名后的所述待发送信息;其中,所述私钥获取模块用于创建类并保存所述终端私钥;所述消息摘要生成模块用于将所述待发送信息中的待签名内容变为定长摘要值;所述签名生成模块用于使用所述终端私钥签名所述定长摘要值后,得到经过签名后的所述待发送信息,以作为最终发送的签名信息;所述数据包发送模块用于构造所述第一数据包,并向所述第一接入交换路由器传输;
所述曲线参数组获取模块用于获取初始化模块中的所述曲线参数组,并传输至所述身份验证模块;
所述身份验证模块用于利用所述公钥验证经过签名后的所述待发送信息;其中,所述数字签名读取模块用于读取所述第一数据包中的数字签名,并传输至所述签名验证模块;所述公钥获取模块用于获取所述曲线参数组生成模块传递的公钥,并传输至所述签名验证模块;所述签名验证模块用于利用所述公钥认证所述数字签名。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有标识网络终端认证方法,所述标识网络终端认证方法被处理器执行时实现如权利要求1-9任一项所述的标识网络终端认证方法的步骤。
CN202210681191.7A 2022-06-16 2022-06-16 一种标识网络终端认证方法及相关设备 Active CN114760079B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210681191.7A CN114760079B (zh) 2022-06-16 2022-06-16 一种标识网络终端认证方法及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210681191.7A CN114760079B (zh) 2022-06-16 2022-06-16 一种标识网络终端认证方法及相关设备

Publications (2)

Publication Number Publication Date
CN114760079A true CN114760079A (zh) 2022-07-15
CN114760079B CN114760079B (zh) 2022-08-23

Family

ID=82336266

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210681191.7A Active CN114760079B (zh) 2022-06-16 2022-06-16 一种标识网络终端认证方法及相关设备

Country Status (1)

Country Link
CN (1) CN114760079B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140211938A1 (en) * 2013-01-29 2014-07-31 Certicom Corp. Modified elliptic curve signature algorithm for message recovery
CN111163470A (zh) * 2019-12-31 2020-05-15 联想(北京)有限公司 核心网网元通信方法、装置、计算机存储介质和电子设备
CN111740828A (zh) * 2020-07-29 2020-10-02 北京信安世纪科技股份有限公司 一种密钥生成方法以及装置、设备、加密方法
CN112291190A (zh) * 2020-07-28 2021-01-29 国网思极网安科技(北京)有限公司 一种身份认证方法、终端及服务器
CN114547583A (zh) * 2020-11-12 2022-05-27 华为技术有限公司 身份认证系统、方法、装置、设备及计算机可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140211938A1 (en) * 2013-01-29 2014-07-31 Certicom Corp. Modified elliptic curve signature algorithm for message recovery
CN111163470A (zh) * 2019-12-31 2020-05-15 联想(北京)有限公司 核心网网元通信方法、装置、计算机存储介质和电子设备
CN112291190A (zh) * 2020-07-28 2021-01-29 国网思极网安科技(北京)有限公司 一种身份认证方法、终端及服务器
CN111740828A (zh) * 2020-07-29 2020-10-02 北京信安世纪科技股份有限公司 一种密钥生成方法以及装置、设备、加密方法
CN114547583A (zh) * 2020-11-12 2022-05-27 华为技术有限公司 身份认证系统、方法、装置、设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN114760079B (zh) 2022-08-23

Similar Documents

Publication Publication Date Title
US6038322A (en) Group key distribution
JP2601983B2 (ja) 秘密通信方法および装置
WO2019184924A1 (zh) 身份管理方法、设备、通信网络及存储介质
US7039713B1 (en) System and method of user authentication for network communication through a policy agent
Asokan et al. Key agreement in ad hoc networks
US6684332B1 (en) Method and system for the exchange of digitally signed objects over an insecure network
CN101667916B (zh) 一种基于分离映射网络使用数字证书验证用户身份的方法
US20010023482A1 (en) Security protocol
US10742426B2 (en) Public key infrastructure and method of distribution
JP4962117B2 (ja) 暗号通信処理方法及び暗号通信処理装置
GB2357227A (en) Communication security protocol using attribute certificates to prove the attributes or authorisations of communicating parties
CN110020524B (zh) 一种基于智能卡的双向认证方法
GB2357229A (en) Security protocol with messages formatted according to a self describing markup language
WO2008030549A9 (en) Method and system for providing authentication service for internet users
CN107094156B (zh) 一种基于p2p模式的安全通信方法及系统
KR20040045486A (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
JP2000502553A (ja) 内在的署名を用いた鍵一致及び輸送プロトコル
JP5144685B2 (ja) 移動ネットワークにおけるシグナリング委任
CN113746632A (zh) 一种物联网系统多级身份认证方法
CN115801223B (zh) 一种基于ca证书的标识密钥体系与pki体系兼容方法
JP5012173B2 (ja) 暗号通信処理方法及び暗号通信処理装置
CN114844729B (zh) 一种网络信息隐藏方法及系统
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
Wang et al. T-IP: A self-trustworthy and secure Internet protocol
US20230077053A1 (en) Authentication using a decentralized and/or hybrid dencentralized secure crypographic key storage method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant