CN115001764B - 分层系统下基于共识数据库的跨域密钥协商方法及系统 - Google Patents

分层系统下基于共识数据库的跨域密钥协商方法及系统 Download PDF

Info

Publication number
CN115001764B
CN115001764B CN202210561162.7A CN202210561162A CN115001764B CN 115001764 B CN115001764 B CN 115001764B CN 202210561162 A CN202210561162 A CN 202210561162A CN 115001764 B CN115001764 B CN 115001764B
Authority
CN
China
Prior art keywords
node
domain
key
management
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210561162.7A
Other languages
English (en)
Other versions
CN115001764A (zh
Inventor
苗付友
王瑞凯
王心妍
于跃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Science and Technology of China USTC
Original Assignee
University of Science and Technology of China USTC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Science and Technology of China USTC filed Critical University of Science and Technology of China USTC
Priority to CN202210561162.7A priority Critical patent/CN115001764B/zh
Publication of CN115001764A publication Critical patent/CN115001764A/zh
Application granted granted Critical
Publication of CN115001764B publication Critical patent/CN115001764B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • H04L9/007Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models involving hierarchical structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种分层系统下基于共识数据库的跨域密钥协商方法及系统,其方法包括:S1:顶级节点向顶级共识数据库上传新的管理域公开参数信息,非顶级节点通过其父节点,并添加父节点的签名后,向顶级共识数据库上传新的管理域公开参数信息;S2:叶子节点Ui,j生成临时会话密钥key发给管理节点,申请加入管理节点的管理域;S3:跨域节点Up,q和节点Ui,j分别通过共识数据库获取对方所在管理域的公开参数,使用对方的公开参数进行消息加密和签名验证,从而完成双方的跨域会话密钥协商。本发明提供的方法,利用顶级共识数据库存储管理节点的公开参数及身份信息,减少通信的开销,提高了认证的效率。

Description

分层系统下基于共识数据库的跨域密钥协商方法及系统
技术领域
本发明涉及网络与信息安全领域,具体涉及一种分层系统下基于共识数据库的跨域密钥协商方法及系统。
背景技术
在基于SM9的非对称密钥管理算法中,每个用户拥有一个可以唯一确定其身份信息的身份标识。密钥生成中心(Key Generation Center,KGC)负责选择系统参数,生成主密钥并为管理域中的设备分发非对称密钥。主密钥分为主公钥和主私钥,主私钥一般由KGC通过随机数发生器产生,主公钥为主私钥与双线性对使用的椭圆曲线群生成元数乘得到的结果。主公钥对整个域公开,因此也被叫做公开参数。主私钥生成后被KGC秘密保存,可以用来结合节点的身份标识为域内用户生成用户私钥。每个用户的私钥由KGC生成并通过安全信道发送,可以用于数字签名以及解密相关信息。
节点管理域指的是由一个密钥生成中心(KGC)和若干管理域内子节点构成的管理单元,同一管理域内共享同一公开参数。
由于在分层密钥管理机制中,不同管理域在初始状态下未能建立好信任关系,管理域间的节点无法完成对对方节点身份的验证以及消息传递的操作。因此,分层系统内跨域间的节点需要进行跨域会话密钥的协商。
现有的基于公钥基础设施(Public Key Infrastructure,PKI)分层跨域验证的方式主要是根据子节点对祖先节点身份的信任这一属性。跨域间的节点将自己的身份信息告知自己的祖先节点,然后通过两个跨域节点的共同祖先节点进行身份认证。由于跨域间的节点对对方的身份信息不能直接地进行验证,若要进行跨域间的通信及会话密钥协商,发送方需要先和自己的父节点进行通信,由父节点将该信息一层层上传至顶级祖先节点,再通过顶级域与接收方的顶级祖先节点进行通信,然后接收方的顶级祖先节点再将消息一层层地传递给接收方。由于需要进行多轮的通信,会话密钥协商的效率较低,管理节点的负担较重,不适用于层数及节点数较多的分层系统。
因此,如何在不需要额外通信的条件下,实现对跨域节点的身份认证及会话密钥协商成为一个亟待解决问题。
发明内容
为了解决上述技术问题,本发明提供一种分层系统下基于共识数据库的跨域密钥协商方法及系统。
本发明技术解决方案为:一种分层系统下基于共识数据库的跨域密钥协商方法,包括:
步骤S1:生成节点管理域:分层系统中顶级节点向顶级共识数据库上传新的管理域公开参数信息,分层系统中非顶级节点通过其父节点,并添加所述父节点的签名后,向顶级共识数据库上传新的管理域公开参数信息;将具有管理域的节点称为管理节点;
步骤S2:叶子节点加入分层系统:叶子节点Ui,j生成临时会话密钥key发给所述分层系统中某一管理节点,提出加入申请,申请通过后,所述管理节点生成Ui,j的私钥,将使用key对所述私钥进行加密后的密文发送给Ui,j,Ui,j收到所述密文后进行解密,得到由所述管理节点生成的所述私钥,此时,节点Ui,j加入所述分层系统;其中,节点Ui,j表示所述分层系统中第i层的第j个节点;
步骤S3:跨域节点密钥协商:跨域节点Up,q和节点Ui,j分别通过所述共识数据库获取对方所在管理域的公开参数,使用对方的公开参数进行消息加密和签名验证,从而完成双方的跨域会话密钥协商;其中,所述获取对方所在管理域的公开参数包括:若对方为顶级节点,则获取该顶级节点管理域的公开参数;若对方为非顶级节点,则获取其父节点管理域的公开参数。
本发明与现有技术相比,具有以下优点:
1、本发明公开了一种分层系统下基于共识数据库的跨域密钥协商方法,能广泛适用于分层系统下跨域节点之间会话密钥的协商以及身份的验证。本发明通过构建顶级共识数据库,用于存储分层系统中管理节点所管理的管理域的公开参数以及管理节点的身份信息,因此,当节点进行跨域间的身份验证时无需额外的通信条件,也不需要与祖先节点进行通信,只需在顶级共识数据库查询对方所在管理域的公开参数和身份信息,并在本地对对方节点的身份进行验证即可,减少通信的开销,提高了认证的效率。
2、叶子节点加入分层系统的过程中,会先发送给父节点一个加密的临时会话密钥key,后续的私钥信息使用该临时会话密钥key加密传输,保证了信息传输的安全性。
3、非顶级节点新生成的管理域公开参数由父节点上传至顶级共识数据库并附带有父节点的签名,顶级共识数据库会根据数据库内存储的父节点公开参数信息对签名进行验证,防止了信息的篡改。此外,本发明允许除顶级节点外其余已生成管理域的节点向顶级共识系统上传信息,提高了节点在生成管理域时的效率,减少了顶级节点的工作负荷。
附图说明
图1为现有技术中分层系统下跨域密钥协商过程的示意图;
图2为本发明实施例基于共识数据库的分层系统结构示意图;
图3为本发明实施例中一种分层系统下基于共识数据库的跨域密钥协商方法的流程图;
图4为本发明实施例中顶级节点管理域生成过程示意图;
图5为本发明实施例中非顶级节点管理域生成过程示意图;
图6为本发明实施例中叶子节点申请加入分层系统过程示意图;
图7为本发明实施例中跨域会话密钥协商过程示意图;
图8为本发明实施例中一种分层系统下基于共识数据库的跨域密钥协商系统的结构框图。
具体实施方式
本发明提供了一种分层系统下基于共识数据库的跨域密钥协商方法,能广泛适用于分层系统下跨域节点之间会话密钥的协商以及身份的验证。
为了使本发明的目的、技术方案及优点更加清楚,以下通过具体实施,并结合附图,对本发明进一步详细说明。
为了更好地理解本发明实施例,对下述概念进行阐述:
1、基于SM9的非对称密钥算法
(1)密钥的生成
系统参数:N为大素数,GT是阶为N的乘法循环群,G1和G2是阶为N的加法循环群,P1是群G1的生成元,P2是群G2的生成元。e为从G1×G2到GT的双线性对。
密钥生成中心(KGC)产生随机数ke∈[1,N-1]作为加密的主私钥,计算G1中的元素Ppub-e=[ke]P1作为加密主公钥,则加密主密钥对为(ke,Ppub-e)。KGC秘密保存ke,公开Ppub-e
(2)加密
假设发送方需要发送的消息比特串为M,mlen为消息M的比特长度,K1_len为分组密码算法中密钥K1的比特长度,K2_len为消息认证码函数MAC(K2,Z)中密钥K2的比特长度。分组密码算法包括加密算法Enc(K1,m)和解密算法Dec(K1,c)。KDF()为密钥派生函数。
发送方计算群G1中的元素QB=[H1(IDB||hid,N)]P1+Ppub-e;产生随机数r∈[1,N-1];计算群G1中的元素C1=[r]QB,将C1的数据类型转换为比特串;计算群GT中的元素g=e(Ppub-e,P2);计算群GT中的元素w=gr,按将w的数据类型转换为比特串。
按加密明文的方法分类进行计算:1)如果加密明文的方法是基于密钥派生函数的序列密码算法,则计算整数klen=mlen+K2_len,然后计算K=KDF(C1||w||IDB,klen),计算
Figure BDA0003656631590000041
2)如果加密明文的方法是结合密钥派生函数的分组密码算法,则计算整数klen=K1_len+K2_len,然后计算K=KDF(C1||w||IDB,klen),计算C2=Enc(k1,M)。
发送方计算C3=MAC(K2,C2),输出密文C=C1||C3||C2
(3)解密
接收方收到密文C,并对其进行解密,假设密文中C2的比特长度为mlen,K1_len为分组密码算法中密钥K1的比特长度,K2_len为消息认证码函数MAC(K2,Z)中密钥K2的比特长度。
接收方从C中取出比特串C1,将C1的数据类型转换为椭圆曲线上的点,验证C1∈G1是否成立,若不成立,则解密失败;若成立,接收方计算群GT中的元素w'=e(C1,deB),将w'的数据类型转换为比特串。
按加密明文的方法分类进行计算:1)如果加密明文的方法是基于密钥派生函数的序列密码算法,则计算整数klen=mlen+K2_len,然后计算K'=KDF(C1||w'||IDB,klen),计算
Figure BDA0003656631590000042
2)如果加密明文的方法是结合密钥派生函数的分组密码算法,则计算整数klen=K1_len+K2_len,然后计算K'=KDF(C1||w'||IDB,klen),计算M'=Dec(K1',C2)。
接收方计算u=MAC(K'2,C2),从C中取出比特串C3,若u≠C3,则解密失败;否则,输出明文M'。
2、分层密钥管理机制
节点管理域指的是由一个密钥生成中心(KGC)和若干管理域内子节点构成的管理单元,同一管理域内共享同一公开参数。
在分层密钥管理机制中,KGC采用分层的架构设计,同一分层系统中可以存在多个KGC,KGC的层级与管理域的层级相对应,每个管理域由相应的管理节点进行维护,该管理节点负责生成管理域的相关参数并为该管理域内的子节点分发非对称密钥。
3、跨域会话密钥协商算法
由于在分层密钥管理机制中,不同管理域在初始状态下未能建立好信任关系,管理域间的节点无法完成对对方节点身份的验证以及消息传递的操作。因此,分层系统内跨域的节点之间通信前需要进行跨域会话密钥的协商。
现有的基于公钥基础设施(Public Key Infrastructure,PKI)分层跨域验证的方式主要是根据子节点对祖先节点身份的信任这一属性。跨域间的节点将自己的身份信息告知自己的祖先节点,然后通过两个跨域节点的共同祖先节点进行身份认证。如图1所示。由于跨域间的节点对对方的身份信息不能直接的进行验证,若要进行跨域间的通信及会话密钥协商,发送方需要先和自己的父节点进行通信,由父节点将该信息一层层上传至顶级祖先节点,再通过顶级域与接收方的顶级祖先节点进行通信,然后接收方的顶级祖先节点再将消息一层层地传递给接收方。
实施例一
在本发明实施例的分层系统中,系统中节点的身份根据分层域名结构命名,子节点的身份信息由父节点的身份信息衍生得到。顶级节点通过协商生成顶级管理域的公开参数,并共同维护整个系统的顶级共识数据库。系统中其余的节点通过申请加入系统,且均信任顶级域及顶级共识数据库。基于共识数据库的分层系统结构如图2所示。
如图3所示,本发明实施例提供的一种分层系统下基于共识数据库的跨域密钥协商方法,包括下述步骤:
步骤S1:生成节点管理域:分层系统中顶级节点向顶级共识数据库上传新的管理域公开参数信息,分层系统中非顶级节点通过其父节点,并添加父节点的签名后,向顶级共识数据库上传新的管理域公开参数信息;将具有管理域的节点称为管理节点;
步骤S2:叶子节点加入分层系统:叶子节点Ui,j生成临时会话密钥key发给分层系统中某一管理节点,提出加入申请,申请通过后,管理节点生成Ui,j的私钥,将使用key对私钥进行加密后的密文发送给Ui,j,Ui,j收到密文后进行解密,得到由管理节点生成的私钥,此时,节点Ui,j加入分层系统;其中,节点Ui,j表示分层系统中第i层的第j个节点;
步骤S3:跨域节点密钥协商:跨域节点Up,q和节点Ui,j分别通过共识数据库获取对方所在管理域的公开参数,使用对方的公开参数进行消息加密和签名验证,从而完成双方的跨域会话密钥协商;其中,获取对方所在管理域的公开参数包括:若对方为顶级节点,则获取该顶级节点管理域的公开参数;若对方为非顶级节点,则获取其父节点管理域的公开参数。
在节点Ui,j生成管理域的过程中,可分为顶级节点和非顶级节点两种情况:Ui,j为顶级节点时,可以自己向顶级共识数据库上传新的管理域公开参数信息;而Ui,j为非顶级节点时,需要由其父节点上传新的管理域公开参数信息。
如图4所示,在一个实施例中,上述步骤S1中分层系统中顶级节点向顶级共识数据库上传新的管理域公开参数信息,具体包括:
步骤S101:分层系统中顶级节点U1,j随机选取主私钥s1,j,并生成U1,j管理域的公开参数s1,jP及U1,j的私钥s1,jQ1,j,其中,节点U1,j表示分层系统中第1层的第j个节点;
步骤S102:U1,j向顶级共识数据库上传信息M1,j以及签名Sign(sQ1,j,M1,j),其中,M1,j由U1,j管理域的公开参数s1,jP以及U1,j的身份信息ID1,j组成,Sign(sQ1,j,M1,j)为U1,j使用私钥sQ1,j对信息M1,j的签名;
步骤S103:顶级共识数据库使用顶级域的公开参数sP对签名Sign(sQ1,j,M1,j)进行验证,若验证通过,将信息M1,j上传至顶级共识数据库,并返回确认信息ACK给顶级节点U1,j
步骤S104:顶级节点U1,j收到确认信息ACK,生成U1,j的管理域。
以顶级节点U1,5管理域生成过程举例:
a)顶级节点U1,5随机选取主私钥s1,5,并生成自己管理域的公开参数s1,5P及自己的私钥s1,5Q1,5
b)顶级节点U1,5向顶级共识数据库上传信息M1,5以及签名Sign(sQ1,5,M1,5),其中信息M1,5由s1,5P和ID1,5组成,签名Sign(sQ1,5,M1,5)为节点U1,5使用自己在顶级域中的私钥sQ1,5对信息M1,5的签名。
c)顶级共识数据库使用顶级域的公开参数sP对签名Sign(sQ1,5,M1,5)进行验证,若验证通过,将信息M1,5上传至顶级共识数据库并返回确认信息ACK给顶级节点U1,5
d)顶级节点U1,5收到返回的确认信息ACK,生成管理域的过程结束。
如图5所示,在一个实施例中,上述步骤S1中分层系统中非顶级节点通过其父节点,并添加父节点的签名后,向顶级共识数据库上传新的管理域公开参数信息,具体包括:
步骤S111:分层系统中非顶级节点Ui,j随机选取主私钥si,j,并生成Ui,j管理域的公开参数si,jP及Ui,j的私钥si,jQi,j,其中,节点Ui,j表示分层系统中第i层的第j个节点;
步骤S112:节点Ui,j使用其父节点Ui-1,k管理域的公开参数si-1,kP对信息Mi,j进行加密,得到密文
Figure BDA0003656631590000061
发送给节点Ui-1,k,其中,信息Mi,j由节点Ui,j管理域的公开参数si,jP以及Ui,j的身份信息IDi,j组成;节点Ui-1,k表示分层系统中第i-1层的第k个节点;
步骤S113:节点Ui-1,k收到密文
Figure BDA0003656631590000071
后进行解密,获得节点Ui,j管理域的公开参数si,jP以及Ui,j身份信息IDi,j,向顶级共识数据库上传信息Mi,j以及签名Sign(si-1,kQi-1,k,Mi,j),其中,签名Sign(si-1,kQi-1,k,Mi,j)为节点Ui-1,k使用自己管理域中的私钥si-1, kQi-1,k对信息Mi,j的签名;
步骤S114:顶级共识数据库使用节点Ui-1,k管理域的公开参数si-1,kP对签名Sign(si-1,kQi-1,k,Mi,j)进行验证,若验证通过,将信息Mi,j上传至顶级共识数据库并返回确认信息ACK给节点Ui-1,k
步骤S115:节点Ui-1,k收到返回的确认信息ACK后,将信息ACK发送给节点Ui,j
步骤S116:节点Ui,j收到父节点返回的确认信息ACK,生成Ui,j的管理域。
以非顶级节点U7,12管理域生成过程举例:
a)节点U7,12随机选取主私钥s7,12,并生成自己管理域的公开参数s7,12P及自己的私钥s7,12Q7,12
b)节点U7,12使用其父节点U6,8管理域的公开参数s6,8P加密信息M7,12得到密文
Figure BDA0003656631590000072
发送给节点U6,8,其中信息M7,12由s7,12P以及ID7,12组成。
c)节点U6,8收到
Figure BDA0003656631590000073
后解密获得s7,12P以及ID7,12,向顶级共识数据库上传信息M7,12以及签名Sign(s6,8Q6,8,M7,12),其中签名Sign(s6,8Q6,8,M7,12)为节点U6,8使用自己管理域中的私钥s6,8Q6,8对信息M7,12的签名。
d)顶级共识数据库使用公开参数s6,8P对签名Sign(s6,8Q6,8,M7,12)进行验证,若验证通过,将信息M7,12上传至顶级共识数据库并返回确认信息SCK给节点U6,8
e)节点U6,8收到返回的确认信息ACK后,将信息ACK发送给节点U7,12
f)节点U7,12收到父节点返回的确认信息ACK,生成管理域的过程结束。
如图6所示,在一个实施例中,上述步骤S2:叶子节点加入分层系统:叶子节点Ui,j生成临时会话密钥key发给分层系统中某一管理节点,提出加入申请,申请通过后,管理节点生成Ui,j的私钥,将使用key对私钥进行加密后的密文发送给Ui,j,Ui,j收到密文后进行解密,得到由管理节点生成的私钥,此时,节点Ui,j加入分层系统;其中,节点Ui,j表示分层系统中第i层的第j个节点,具体包括:
步骤S21:叶子节点Ui,j向管理节点Ui-1,k发送申请加入其管理域,并随机生成临时会话密钥key,使用管理节点Ui-1,k管理域的公开参数si-1,kP对信息KMi,j进行加密,得到密文
Figure BDA0003656631590000074
并发送给Ui-1,k;其中,信息KMi,j由临时会话密钥key以及Ui,j的身份信息IDi,j组成;
步骤S22:管理节点Ui-1,k收到加密的申请信息
Figure BDA0003656631590000081
后进行解密,获得临时会话密钥key以及Ui,j的身份信息IDi,j,并对该叶子节点的身份信息进行审核;
步骤S23:若管理节点Ui-1,k同意节点Ui,j加入其管理域,则为Ui,j生成私钥si-1, kQi,j,并使用临时会话密钥key为私钥si-1,kQi,j加密,得到密文Enckeysi-1,kQi,j发送给节点Ui,j
步骤S24:节点Ui,j收到密文Enckeysi-1,kQi,j后,解密得到管理节点Ui-1,k的管理域中的Ui,j对应的私钥si-1,kQi,j,节点Ui,j加入管理节点Ui-1,k的管理域,并成为Ui-1,k的子节点。
以叶子节点U7,12向管理节点U6,8申请加入其管理域过程举例:
a)叶子节点U7,12向管理节点U6,8申请加入其管理域,并随机生成临时会话密钥key,使用节点U6,8管理域的公开参数s6,8P加密信息KM7,12得到密文
Figure BDA0003656631590000082
发送给节点U6,8,其中信息KM7,12由key和ID7,12组成。
b)节点U6,8收到加密的申请信息
Figure BDA0003656631590000083
后解密得到key和ID7,12,若同意节点U7,12加入,则为其生成私钥s6,8Q7,12,并使用key加密得到密文Enckeys6,8Q7,12发送给节点U7,12
c)节点U7,12收到加密的信息Enckeys6,8Q7,12后解密得到自己在父节点管理域中的私钥s6,8Q7,12
如图7所示,在一个实施例中,上述步骤S3:跨域节点密钥协商:跨域节点Up,q和节点Ui,j分别通过共识数据库获取对方所在管理域的公开参数,使用对方的公开参数进行消息加密和签名验证,从而完成双方的跨域会话密钥协商;其中,获取对方所在管理域的公开参数包括:若对方为顶级节点,则获取该顶级节点管理域的公开参数;若对方为非顶级节点,则获取其父节点管理域的公开参数,具体包括:
步骤S31:节点Up,q通过共识数据库中查询节点Ui,j的对应的公开参数,利用该公开参数对会话密钥协商的请求消息MSG进行加密,并附带签名SIGNMSG发送给节点Ui,j,具体包括:
a)若节点Ui,j为顶级节点U1,j,节点Up,q从共识数据库中查询到Ui,j节点的信息为M1,j;其中,M1,j由顶级节点U1,j管理域的公开参数s1,jP以及U1,j身份信息ID1,j组成;
节点Up,q使用公开参数s1,jP,对会话密钥协商的请求消息MSG进行加密,并附带签名SIGNMSG发送给节点U1,j;其中,若节点Up,q为顶级节点U1,q,则签名SIGNMSG为节点U1,q使用U1,q管理域的私钥s1,qQ1,q对消息MSG的签名;若节点Up,q为非顶级节点,则签名SIGNMSG为节点Up,q使用其父节点Up-1,m管理域中对应的私钥sp-1,mQp,q对消息MSG的签名;
b)若节点Ui,j为非顶级节点,且其父节点为Ui-1,k,节点Up,q从共识数据库中查询到Ui,j节点的信息为其父节点Ui-1,k的信息Mi-1,k,其中,Mi-1,k由父节点为Ui-1,k管理域的公开参数si-1,kP以及身份信息IDi-1,k组成;
节点Up,q使用公开参数si-1,kP,对会话密钥协商的请求消息MSG进行加密,并附带签名SIGNMSG发送给节点Ui,j;其中,若节点Up,q为顶级节点U1,q,则签名SIGNMSG为节点U1,q使用U1,q管理域的私钥s1,qQ1,q对消息MSG的签名;若节点Up,q为非顶级节点,则签名SIGNMSG为节点Up,q使用其父节点Up-1,m管理域中的对应的私钥sp-1,mQp,q对消息MSG的签名;
步骤S32:节点Ui,j收到由节点Up,q发送的加密消息MSG及签名SIGNMSG后对其进行解密,然后节点Ui,j从共识数据库中查询节点Up,q的对应的公开参数,对签名SIGNMSG进行验证,若通过验证,Ui,j随机生成会话密钥KEY,并使用公开参数对KEY进行加密,得到ENCKEY并附带签SIGNKEY发送给节点Up,q,具体包括:
a)若节点Up,q为顶级节点U1,q,则节点Ui,j获取的信息为M1,q,其中,信息M1,q由顶级节点U1,q管理域的公开参数s1,qP以及身份信息ID1,q组成;
节点Ui,j使用s1,qP对签名SIGNMSG进行验证,若验证通过,节点Ui,j随机生成会话密钥KEY,并使用公开参数s1,qP对KEY进行加密,得到ENCKEY,并附带签名SIGNKEY发送给节点U1,q;其中,若节点Ui,j为顶级节点U1,j,则签名SIGNKEY为节点U1,j使用U1,j管理域的私钥s1, jQ1,j对会话密钥KEY的签名;若节点Ui,j为非顶级节点,则签名SIGNKEY为节点Ui,j使用其父节点Ui-1,k管理域中对应的私钥si-1,kQi,j对会话密钥KEY的签名;
b)若节点Up,q为非顶级节点,且其父节点为Up-1,m,则节点Ui,j获取的信息为Mp-1,m,其中,Mp-1,m由父节点Up-1,m管理域的公开参数sp-1,mP以及身份信息IDp-1,m组成;
节点Ui,j使用sp-1,mP对签名SIGNMSG进行验证,若验证通过,节点Ui,j随机生成会话密钥KEY,并使用公开参数sp-1,mP对KEY进行加密,得到ENCKEY并附带签名SIGNKEY发送给节点Up,q;其中,若节点Ui,j为顶级节点U1,j,则签名SIGNKEY为节点U1,j使用U1,j管理域的私钥s1, jQ1,j对会话密钥KEY的签名;若节点Ui,j为非顶级节点,则签名SIGNKEY为节点Ui,j使用其父节点Ui-1,k管理域中对应的私钥si-1,kQi,j对会话密钥KEY的签名;
步骤S33:节点Up,q收到由节点Ui,j发送的加密的会话密钥ENCKEY及签名SIGNKEY后对其进行解密及签名的验证;若验证通过,保存会话密钥KEY,并返回确认消息ACK给节点Ui,j
步骤S34:节点Ui,j收到确认消息ACK,则跨域会话密钥协商过程结束,节点Ui,j与节点Up,q使用会话密钥KEY进行后续的通信。
以节点U1,5和节点U7,12进行跨域密钥协商过程举例:
a)节点U1,5从共识数据库中查询得到节点U7,12的父节点U6,8相关信息M6,8,其中M6,8由s6,8P和ID6,8组成。节点U1,5使用s6,8P加密会话密钥协商的请求消息MSG并使用自己管理域的公开参数s1,5Q1,5对MSG进行签名得到Sign(s1,5Q1,5,MSG)发送给节点U7,12
b)节点U7,12收到由节点U1,5发送的加密消息MSG及签名Sign(s1,5Q1,5,MSG)后使用自己在父节点中的私钥s6,8Q7,12对其进行解密,然后从共识数据库中查询得到节点U1,5的相关信息M1,5,其中M1,5由s1,5P和ID1,5组成。节点U7,12使用s1,5P对签名Sign(s1,5Q1,5,MSG)进行验证,若验证通过,随机生成会话密钥KEY并使用s1,5P加密KEY得到Enc(s1,5P,KEY)并附带签名Sign(s6,8Q7,12,KEY)发送给节点U1,5
c)节点U1,5收到由节点U7,12发送的Enc(s1,5P,JEY)以及Sign(s6,8Q7,12,KEY)后使用自己管理域的私钥s1,5Q1,5对其进行解密并使用之前查询到的公开参数s6,8P对签名进行验证。若验证通过,保存会话密钥KEY,并返回确认消息ACK给节点U7,12
d)节点U7,12收到确认消息ACK,则跨域会话密钥协商过程结束,后续节点U1,5与节点U7,12使用会话密钥KEY进行通信。
本发明公开了一种分层系统下基于共识数据库的跨域密钥协商方法,能广泛适用于分层系统下跨域节点之间会话密钥的协商以及身份的验证。本发明通过构建顶级共识数据库,用于存储分层系统中管理节点所管理的管理域的公开参数以及管理节点身份信息,因此,当节点进行跨域间的身份验证时无需额外的通信条件,也不需要与祖先节点进行通信,只需在顶级共识数据库进行查询对方所在管理域的公开参数和身份信息,并在本地对对方节点的身份进行验证即可,减少通信的开销,提高了认证的效率。
此外,在本发明中叶子节点加入分层系统的过程中,会通过加密先发送给父节点一个临时会话密钥key,后续的私钥信息使用该临时会话密钥key加密传输,保证了信息传输的安全性。
在本发明中,非顶级节点新生成的管理域公开参数由父节点上传至顶级共识数据库并附带有父节点的签名,顶级共识数据库会根据数据库内存储的父节点公开参数信息对签名进行验证,防止了信息的篡改。此外,本发明允许除顶级节点外其余已生成管理域的节点向顶级共识系统上传信息,提高了节点在生成管理域时的效率,减少了顶级节点的工作负荷。
实施例二
如图8所示,本发明实施例提供了一种分层系统下基于共识数据库的跨域密钥协商系统,包括下述模块:
生成节点管理域模块41,用于分层系统中顶级节点向顶级共识数据库上传新的管理域公开参数信息,分层系统中非顶级节点通过其父节点,并添加父节点的签名后,向顶级共识数据库上传新的管理域公开参数信息;将具有管理域的节点称为管理节点;
叶子节点加入分层系统模块42,用于叶子节点Ui,j生成临时会话密钥key发给分层系统中某一管理节点,提出加入申请,申请通过后,管理节点生成Ui,j的私钥,将使用key对私钥进行加密后的密文发送给Ui,j,Ui,j收到密文后进行解密,得到由管理节点生成的私钥,此时,节点Ui,j加入分层系统;其中,节点Ui,j表示分层系统中第i层的第j个节点;
节点跨域会话密钥协商模块43,用于跨域节点Up,q和节点Ui,j分别通过共识数据库获取对方所在管理域的公开参数,使用对方的公开参数进行消息加密和签名验证,从而完成双方的跨域会话密钥协商;其中,获取对方所在管理域的公开参数包括:若对方为顶级节点,则获取该顶级节点管理域的公开参数;若对方为非顶级节点,则获取其父节点管理域的公开参数。
提供以上实施例仅仅是为了描述本发明的目的,而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改,均应涵盖在本发明的范围之内。

Claims (6)

1.一种分层系统下基于共识数据库的跨域密钥协商方法,其特征在于,包括:
步骤S1:生成节点管理域:分层系统中顶级节点向顶级共识数据库上传新的管理域公开参数信息,分层系统中非顶级节点通过其父节点,并添加所述父节点的签名后,向顶级共识数据库上传新的管理域公开参数信息;将具有管理域的节点称为管理节点;
步骤S2:叶子节点加入分层系统:叶子节点Ui,j生成临时会话密钥key发给所述分层系统中某一管理节点,提出加入申请,申请通过后,所述管理节点生成Ui,j的私钥,将使用key对所述私钥进行加密后的密文发送给Ui,j,Ui,j收到所述密文后进行解密,得到由所述管理节点生成的所述私钥,此时,节点Ui,j加入所述分层系统;其中,节点Ui,j表示所述分层系统中第i层的第j个节点;
步骤S3:跨域节点密钥协商:跨域节点Up,q和节点Ui,j分别通过所述共识数据库获取对方所在管理域的公开参数,使用对方的公开参数进行消息加密和签名验证,从而完成双方的跨域会话密钥协商;其中,所述获取对方所在管理域的公开参数包括:若对方为顶级节点,则获取该顶级节点管理域的公开参数;若对方为非顶级节点,则获取其父节点管理域的公开参数。
2.根据权利要求1所述的分层系统下基于共识数据库的跨域密钥协商方法,其特征在于,所述步骤S1中分层系统中顶级节点向顶级共识数据库上传新的管理域公开参数信息,具体包括:
步骤S101:分层系统中顶级节点U1,j随机选取主私钥s1,j,并生成U1,j管理域的公开参数s1,jP及U1,j的私钥s1,jQ1,j,其中,节点U1,j表示分层系统中第1层的第j个节点;
步骤S102:U1,j向所述顶级共识数据库上传信息M1,j以及签名Sign(s1,jQ1,j,M1,j),其中,M1,j由U1,j管理域的公开参数s1,jP以及U1,j的身份信息ID1,j组成,Sign(s1,jQ1,j,M1,j)为U1,j使用私钥s1,jQ1,j对信息M1,j的签名;
步骤S103:所述顶级共识数据库使用U1,j管理域的公开参数s1,jP对签名Sign(s1,jQ1,j,M1,j)进行验证,若验证通过,将信息M1,j上传至所述顶级共识数据库,并返回确认信息ACK给顶级节点U1,j
步骤S104:顶级节点U1,j收到所述确认信息ACK,生成U1,j的管理域。
3.根据权利要求1所述的分层系统下基于共识数据库的跨域密钥协商方法,其特征在于,所述步骤S1中分层系统中非顶级节点通过其父节点,并添加所述父节点的签名后,向顶级共识数据库上传新的管理域公开参数信息,具体包括:
步骤S111:分层系统中非顶级节点Ui,j随机选取主私钥si,j,并生成Ui,j管理域的公开参数si,jP及Ui,j的私钥si,jQi,j,其中,节点Ui,j表示分层系统中第i层的第j个节点;
步骤S112:节点Ui,j使用其父节点Ui-1,k管理域的公开参数si-1,kP对信息Mi,j进行加密,得到密文
Figure FDA0004177131680000021
发送给节点Ui-1,k,其中,信息Mi,j由节点Ui,j管理域的公开参数si,jP以及Ui,j的身份信息IDi,j组成;节点Ui-1,k表示分层系统中第i-1层的第k个节点;
步骤S113:节点Ui-1,k收到密文
Figure FDA0004177131680000022
后进行解密,获得节点Ui,j管理域的公开参数si,jP以及Ui,j的身份信息IDi,j,向所述顶级共识数据库上传信息Mi,j以及签名Sign(si-1, kQi-1,k,Mi,j),其中,签名Sign(si-1,kQi-1,k,Mi,j)为节点Ui-1,k使用自己管理域中的私钥si-1, kQi-1,k对信息Mi,j的签名;
步骤S114:所述顶级共识数据库使用节点Ui-1,k管理域的公开参数si-1,kP对签名Sign(si-1,kQi-1,k,Mi,j)进行验证,若验证通过,将信息Mi,j上传至顶级共识数据库并返回确认信息ACK给节点Ui-1,k
步骤S115:节点Ui-1,k收到返回的确认信息ACK后,将信息ACK发送给节点Ui,j
步骤S116:节点Ui,j收到父节点返回的确认信息ACK,生成Ui,j的管理域。
4.根据权利要求1所述的分层系统下基于共识数据库的跨域密钥协商方法,其特征在于,所述步骤S2:叶子节点加入分层系统:叶子节点Ui,j生成临时会话密钥key发给所述分层系统中某一管理节点,提出加入申请,申请通过后,所述管理节点生成Ui,j的私钥,将使用key对所述私钥进行加密后的密文发送给Ui,j,Ui,j收到所述密文后进行解密,得到由所述管理节点生成的所述私钥,此时,节点Ui,j加入所述分层系统;其中,节点Ui,j表示所述分层系统中第i层的第j个节点,具体包括:
步骤S21:叶子节点Ui,j向管理节点Ui-1,k发送加入其管理域的申请,并随机生成临时会话密钥key,使用管理节点Ui-1,k管理域的公开参数si-1,kP对信息KMi,j进行加密,得到密文
Figure FDA0004177131680000023
并发送给Ui-1,k;其中,信息KMi,j由所述临时会话密钥key以及Ui,j的身份信息IDi,j组成;
步骤S22:管理节点Ui-1,k收到加密的申请信息
Figure FDA0004177131680000024
后进行解密,获得所述临时会话密钥key以及Ui,j的身份信息IDi,j,并对该叶子节点的身份信息进行审核;
步骤S23:若管理节点Ui-1,k同意节点Ui,j加入其管理域,则为Ui,j生成私钥
Figure FDA0004177131680000025
并使用所述临时会话密钥key为私钥si-1,kQi,j加密,得到密文Enckeysi-1,kQi,j发送给节点Ui,j
步骤S24:节点Ui,j收到密文Enckeysi-1,kQi,j后,解密得到管理节点Ui-1,k的管理域中的Ui,j对应的私钥si-1,kQi,j,节点Ui,j加入管理节点Ui-1,k的管理域,并成为Ui-1,k的子节点。
5.根据权利要求1所述的分层系统下基于共识数据库的跨域密钥协商方法,其特征在于,所述步骤S3:跨域节点密钥协商:跨域节点Up,q和节点Ui,j分别通过所述共识数据库获取对方所在管理域的公开参数,使用对方的公开参数进行消息加密和签名验证,从而完成双方的跨域会话密钥协商;其中,所述获取对方所在管理域的公开参数包括:若对方为顶级节点,则获取该顶级节点管理域的公开参数;若对方为非顶级节点,则获取其父节点管理域的公开参数,具体包括:
步骤S31:节点Up,q通过所述共识数据库中查询节点Ui,j对应的公开参数,利用该公开参数对会话密钥协商的请求消息MSG进行加密,并附带签名SIGNMSG发送给节点Ui,j,具体包括:
a)若节点Ui,j为顶级节点U1,j,节点Up,q从所述共识数据库中查询到Ui,j节点的信息为M1,j;其中,M1,j由顶级节点U1,j管理域的公开参数s1,jP以及U1,j身份信息ID1,j组成;
节点Up,q使用公开参数s1,jP对会话密钥协商的请求消息MSG进行加密,并附带签名SIGNMSG发送给节点U1,j;其中,若节点Up,q为顶级节点U1,q,则签名SIGNMSG为节点U1,q使用U1,q管理域的私钥s1,qQ1,q对消息MSG的签名;若节点Up,q为非顶级节点,则签名SIGNMSG为节点Up,q使用其父节点Up-1,m管理域中对应的私钥sp-1,mQp,q对消息MSG的签名;
b)若节点Ui,j为非顶级节点,且其父节点为Ui-1,k,节点Up,q从所述共识数据库中查询到Ui,j节点的信息为其父节点Ui-1,k的信息Mi-1,k,其中,Mi-1,k由父节点Ui-1,k管理域的公开参数si-1,kP以及身份信息IDi-1,k组成;
节点Up,q使用公开参数si-1,kP对会话密钥协商的请求消息MSG进行加密,并附带签名SIGNMSG发送给节点Ui,j;其中,若节点Up,q为顶级节点U1,q,则签名SIGNMSG为节点U1,q使用U1,q管理域的私钥s1,qQ1,q对消息MSG的签名;若节点Up,q为非顶级节点,则签名SIGNMSG为节点Up,q使用其父节点Up-1,m管理域中的对应的私钥sp-1,mQp,q对消息MSG的签名;
步骤S32:节点Ui,j收到由节点Up,q发送的加密消息MSG及签名SIGNMSG后对其进行解密,然后节点Ui,j从共识数据库中查询节点Up,q的对应的公开参数,对签名SIGNMSG进行验证,若通过验证,Ui,j随机生成会话密钥KEY,并使用所述公开参数对KEY进行加密,得到ENCKEY并附带签SIGNKEY发送给节点Up,q,具体包括:
a)若节点Up,q为顶级节点U1,q,则节点Ui,j获取的信息为M1,q,其中,信息M1,q由顶级节点U1,q管理域的公开参数S1,qP以及身份信息ID1,q组成;
节点Ui,j使用S1,qP对签名SIGNMSG进行验证,若验证通过,节点Ui,j随机生成会话密钥KEY,并使用公开参数s1,qP对KEY进行加密,得到ENCKEY,并附带签名SIGNKEY发送给节点U1,q;其中,若节点Ui,j为顶级节点U1,j,则签名SIGNKEY为节点U1,j使用U1,j管理域的私钥s1,jQ1,j对会话密钥KEY的签名;若节点Ui,j为非顶级节点,则签名SIGNKEY为节点Ui,j使用其父节点Ui-1,k管理域中对应的私钥si-1,kQi,j对会话密钥KEY的签名;
b)若节点Up,q为非顶级节点,且其父节点为Up-1,m,则节点Ui,j获取的信息为Mp-1,m,其中,Mp-1,m由父节点Up-1,m管理域的公开参数sp-1,mP以及身份信息IDp-1,m组成;
节点Ui,j使用sp-1,mP对签名SIGNMSG进行验证,若验证通过,节点Ui,j随机生成会话密钥KEY,并使用公开参数sp-1,mP对KEY进行加密,得到ENCKEY并附带签名SIGNKEY发送给节点Up,q;其中,若节点Ui,j为顶级节点U1,j,则签名SIGNKEY为节点U1,j使用U1,j管理域的私钥S1,jQ1,j对会话密钥KEY的签名;若节点Ui,j为非顶级节点,则签名SIGNKEY为节点Ui,j使用其父节点Ui-1,k管理域中对应的私钥si-1,kQi,j对会话密钥KEY的签名;
步骤S33:节点Up,q收到由节点Ui,j发送的加密的会话密钥ENCKEY及签名SIGNKEY后对其进行解密及签名的验证;若验证通过,保存会话密钥KEY,并返回确认消息ACK给节点Ui,j
步骤S34:节点Ui,j收到确认消息ACK,则跨域会话密钥协商过程结束,节点Ui,j与节点Up,q使用会话密钥KEY进行后续的通信。
6.一种分层系统下基于共识数据库的跨域密钥协商系统,其特征在于,包括下述模块:
生成节点管理域模块,用于分层系统中顶级节点向顶级共识数据库上传新的管理域公开参数信息,分层系统中非顶级节点通过其父节点,并添加所述父节点的签名后,向顶级共识数据库上传新的管理域公开参数信息;将具有管理域的节点称为管理节点;
叶子节点加入分层系统模块,用于叶子节点Ui,j生成临时会话密钥key发给所述分层系统中某一管理节点,提出加入申请,申请通过后,所述管理节点生成Ui,j的私钥,将使用key对所述私钥进行加密后的密文发送给Ui,j,Ui,j收到所述密文后进行解密,得到由所述管理节点生成的所述私钥,此时,节点Ui,j加入所述分层系统;其中,节点Ui,j表示所述分层系统中第i层的第j个节点;
节点跨域会话密钥协商模块,用于跨域节点Up,q和节点Ui,j分别通过所述共识数据库获取对方所在管理域的公开参数,使用对方的公开参数进行消息加密和签名验证,从而完成双方的跨域会话密钥协商;其中,所述获取对方所在管理域的公开参数包括:若对方为顶级节点,则获取该顶级节点管理域的公开参数;若对方为非顶级节点,则获取其父节点管理域的公开参数。
CN202210561162.7A 2022-05-23 2022-05-23 分层系统下基于共识数据库的跨域密钥协商方法及系统 Active CN115001764B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210561162.7A CN115001764B (zh) 2022-05-23 2022-05-23 分层系统下基于共识数据库的跨域密钥协商方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210561162.7A CN115001764B (zh) 2022-05-23 2022-05-23 分层系统下基于共识数据库的跨域密钥协商方法及系统

Publications (2)

Publication Number Publication Date
CN115001764A CN115001764A (zh) 2022-09-02
CN115001764B true CN115001764B (zh) 2023-07-11

Family

ID=83027069

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210561162.7A Active CN115001764B (zh) 2022-05-23 2022-05-23 分层系统下基于共识数据库的跨域密钥协商方法及系统

Country Status (1)

Country Link
CN (1) CN115001764B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017202161A1 (zh) * 2016-05-26 2017-11-30 中兴通讯股份有限公司 基于无证书两方认证密钥协商方法、装置和存储介质
WO2022021193A1 (zh) * 2020-07-30 2022-02-03 华为技术有限公司 密钥协商方法及装置
CN114389811A (zh) * 2022-02-28 2022-04-22 南京邮电大学 一种基于医疗联盟链的跨域认证方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101207480A (zh) * 2006-12-19 2008-06-25 中兴通讯股份有限公司 一种跨域多网守端到端会话密钥协商方法
WO2018119670A1 (zh) * 2016-12-27 2018-07-05 深圳大学 一种无证书部分盲签名方法和装置
CN112333701B (zh) * 2020-10-23 2021-12-10 中国科学技术大学 一种大规模物联网场景下基于身份的跨域认证方法
CN112600672B (zh) * 2020-11-30 2022-02-25 清华大学 基于真实身份的域间可信度共识方法和装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017202161A1 (zh) * 2016-05-26 2017-11-30 中兴通讯股份有限公司 基于无证书两方认证密钥协商方法、装置和存储介质
WO2022021193A1 (zh) * 2020-07-30 2022-02-03 华为技术有限公司 密钥协商方法及装置
CN114389811A (zh) * 2022-02-28 2022-04-22 南京邮电大学 一种基于医疗联盟链的跨域认证方法

Also Published As

Publication number Publication date
CN115001764A (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
CN108989053B (zh) 一种基于椭圆曲线的无证书公钥密码体制实现方法
CN102318258B (zh) 基于身份的认证密钥协商协议
JP4527358B2 (ja) 鍵供託を使用しない、認証された個別暗号システム
US7814320B2 (en) Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks
US11223486B2 (en) Digital signature method, device, and system
CN112104453B (zh) 一种基于数字证书的抗量子计算数字签名系统及签名方法
CN114884698B (zh) 基于联盟链的Kerberos与IBC安全域间跨域认证方法
CN106713349B (zh) 一种能抵抗选择密文攻击的群组间代理重加密方法
CN113630248A (zh) 一种会话密钥协商方法
CN115473631B (zh) 一种基于中国剩余定理的区块链无证书聚合签密密钥协商方法
KR101351110B1 (ko) 통신 시스템에서 암호화된 데이터 송수신 장치 및 방법
Daza et al. Cryptographic techniques for mobile ad-hoc networks
CN113676448B (zh) 一种基于对称秘钥的离线设备双向认证方法和系统
CN114285546B (zh) 一种可用于车载自组网络中的异构签密通信方法
CN115001764B (zh) 分层系统下基于共识数据库的跨域密钥协商方法及系统
CN114285576B (zh) 一种非对的在线离线签密方法
CN112333701B (zh) 一种大规模物联网场景下基于身份的跨域认证方法
CN112019553A (zh) 一种基于ibe/ibbe数据共享方法
CN117318944B (zh) 车路协同场景下的组密钥提前下发方法、系统及存储介质
CN114679261B (zh) 基于密钥派生算法的链上匿名通信方法和系统
KR101599995B1 (ko) 인증서 없는 비대화형 키 교환 방법 및 시스템
CN117241267B (zh) 一种基于区块链适用于v2i场景下量子组密钥分发方法
KR101412800B1 (ko) 통신 시스템에서 암호 통신 방법 및 장치
US20240178998A1 (en) Système de chiffrement hiérarchique hybride
Erdem Efficient self-organized key management for mobile ad hoc networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant