CN115021913A - 工业互联网标识解析体系密钥生成方法、系统与存储介质 - Google Patents
工业互联网标识解析体系密钥生成方法、系统与存储介质 Download PDFInfo
- Publication number
- CN115021913A CN115021913A CN202210668956.3A CN202210668956A CN115021913A CN 115021913 A CN115021913 A CN 115021913A CN 202210668956 A CN202210668956 A CN 202210668956A CN 115021913 A CN115021913 A CN 115021913A
- Authority
- CN
- China
- Prior art keywords
- key
- access node
- enterprise
- node
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004458 analytical method Methods 0.000 title claims abstract description 28
- 238000003860 storage Methods 0.000 title claims abstract description 18
- 238000009795 derivation Methods 0.000 claims description 52
- 230000004044 response Effects 0.000 claims description 17
- 238000004846 x-ray emission Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 9
- 238000002360 preparation method Methods 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000006854 communication Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000000750 progressive effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 239000000969 carrier Substances 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种工业互联网标识解析体系密钥生成方法、系统与存储介质,其中利用工业互联网标识解析体系自身存储的接入节点(107)属性信息、企业节点(101)标识信息、所述接入节点(107)所属企业的主密钥(MK)和所述接入节点(107)的第二密钥(MKA)为所述接入节点(107)生成密钥,简化了传统的PKI体系,减少了密钥管理问题的最沉重的负担,从而大大降低了密钥系统的复杂性。
Description
技术领域
本实施例涉及数据安全技术,尤其涉及一种工业互联网标识解析体系密钥生成方法、系统与存储介质。
背景技术
工业互联网标识解析体系的核心包括由标识编码、标识载体、标识解析系统、标识数据服务4个部分。标识编码能够唯一识别机器、产品等物理资源和算法、工序、标识数据等虚拟资源的身份符号,类似于“身份证”。标识载体能够承载标识编码的标签或存储装置,包括主动标识载体和被动标识载体两类。标识解析系统能够根据标识编码查询目标对象网络位置或者相关信息的系统,对机器和物品进行唯一性的定位和信息查询,是实现全球供应链系统和企业生成系统的精准对接、产品全生命周期管理和智能化服务的前提和基础。标识数据服务能够借助标识编码资源和标识解析系统开展工业标识数据管理和跨企业、跨行业、跨地区、跨国家的数据共享共用。
近年来,网络安全威胁加速向工业领域蔓延,工业互联网标识解析成为攻击的重点目标。标识解析要加强自身安全能力建设,以应对其在架构、协议、身份、数据、运营、应用等方面的安全威胁。标识解析业务流程涉及多类型服务提供方与服务使用方,其服务场景多样,具有跨域、跨行业、多对象等特点。需建立多类型对象的密钥管理体系,健全完整安全认证机制,以保障标识解析身份安全、数据安全和服务安全。
发明内容
本发明实施例提供一种用于工业互联网标识解析体系密钥生成方法、系统与存储介质,可根据接入节点类型、业务需要、安全要求选择统一的安全加密方案,实现了跨域数据保密,可根据工业互联网标识解析体系中接入节点实体身份和所属企业节点的唯一身份进行密钥管理。
根据本发明实施例的一个方面,提供的一种用于工业互联网标识解析体系密钥生成方法,其特征在于,
接入节点(107)向安全认证平台(102)发送第一消息,所述第一消息携带第一密钥衍生算法、接入节点(107)属性信息和第二密钥(MKA);
所述安全认证平台(102)向企业节点(101)发送第二消息,所述第二消息携带所述接入节点(107)属性信息和所述第二密钥;
所述企业节点(101)根据所述接入节点(107)的属性信息确定所述接入节点(107)是否有权接入所述企业节点(101);
所述企业节点(101)发送第三消息到所述安全认证平台(102),所述第三消息携带所述企业节点(101)标识信息(ID2);
所述接入节点(107)身份获得认证,所述安全认证平台(102)根据预设策略,从接收到的第一密钥衍生算法中,选择第二密钥衍生算法;
所述安全认证平台(102)生成随机数(RAND),基于第二密钥衍生算法,根据所述接入节点(107)属性信息、所述企业节点(101)标识信息、第二密钥和密钥生成消息鉴别码(MAC)、期望响应(Expected Response,XRES)、标识解析消息加密密钥(CK)、完整性密钥(integrity key,IK)和实体身份认证密钥(AK);
其中,第二密钥(MKA)基于所述接入节点(107)所属企业的主密钥(MK)产生。
可选地,在本发明任一实施例的方法中,所述安全认证平台(102)通过第四消息向所述接入节点(107)发送认证令牌(AUTN)、所述期望响应(XRES)、所述标识解析消息加密密钥(CK)、所述完整性密钥(IK)、所述实体身份认证密钥(AK)。
可选地,在本发明任一实施例的方法中,所述认证令牌(AUTN)生成公式为:
其中,⊕为与或符号,表示MK和AK进行与或运算的结果,“||”为连接符号。
可选地,在本发明任一实施例的方法中,所述接入节点(107)属性信息进一步包括:主体标识(ID1)、属性类型或名称、所属企业标识、所述企业主密钥、对属性信息摘要的签名和基于所属企业标识、所述企业主密钥进行哈希256摘要算法。
可选地,在本发明任一实施例的方法中,所述第一密钥基于所述接入节点(107)所属企业的主密钥产生具体包括:所述第二密钥(MKA)的产生可以基于所述主密钥(MK)和所述接入节点(107)的标识解析码。
可选地,在本发明任一实施例的方法中,所述第二密钥衍生算法为所述安全认证平台(102)接收到的所述接入节点(107)支持所述第一密钥衍生算法中的至少一个算法函数。
可选地,在本发明任一实施例的方法中,所述密钥生成消息鉴别码(MAC)生成公式为:MAC=f1(ID1,ID2,MKA,RAND);
其中,ID1为所述接入节点(107)标识信息,ID2为所述企业节点(101)标识信息,MKA为所述接入节点(107)第二密钥,RAND为所述安全认证平台(102)生成随机数。
可选地,在本发明任一实施例的方法中,所述标识解析消息加密密钥(CK)、所述完整性密钥(IK)、所述实体身份认证密钥(AK)生成公式为:
CK=f3(ID1,ID2,MK,RAND);
IK=f4(ID1,ID2,MK,RAND);
AK=f5(ID1,ID2,MK,RAND);
其中,ID1为所述接入节点(107)主体标识,ID2为所述企业节点(101)标识信息,MK为所述接入节点(107)所属企业的主密钥,RAND为所述安全认证平台(102)生成随机数。
根据本发明实施例的第二个方面,提供的一种用于工业互联网标识解析体系密钥生成系统,所述系统包括接入节点(107)、安全认证平台(102)、企业节点(101);其特征在于,
接入节点(107)向安全认证平台(102)发送第一消息,所述第一消息携带第一密钥衍生算法、接入节点(107)属性信息和第二密钥(MKA);
所述安全认证平台(102)向企业节点(101)发送第二消息,所述第二消息携带所述接入节点(107)属性信息和所述第二密钥;
所述企业节点(101)根据所述接入节点(107)的属性信息确定所述接入节点(107)是否有权接入所述企业节点(101);
所述企业节点(101)发送第三消息到所述安全认证平台(102),所述第三消息携带所述企业节点(101)标识信息(ID2);
所述接入节点(107)身份获得认证时,所述安全认证平台(102)根据预设策略,从接收到的第一密钥衍生算法中,选择第二密钥衍生算法;
所述安全认证平台(102)生成随机数(RAND),基于所述第二密钥衍生算法,根据所述接入节点(107)属性信息、所述企业节点(101)标识信息、第二密钥和密钥生成消息鉴别码(MAC)、期望响应(XRES)、标识解析消息加密密钥(CK)、完整性密钥(IK)和实体身份认证密钥(AK);
其中,所述第二密钥(MKA)基于所述接入节点(107)所属企业的主密钥(MK)产生。
根据本发明实施例的第三个方面,提供的一种计算机可读介质,该计算机程序被处理器执行时,实现如上述第一方面的用于工业互联网标识解析体系密钥生成方法中任一实施例的方法。
本实施例利用工业互联网标识解析体系自身存储的所述接入节点(107)属性信息、所述企业节点(101)标识信息、所述接入节点(107)所属企业的主密钥(MK)和所述接入节点(107)的第二密钥(MKA)为所述接入节点(107)生成密钥,简化了传统的PKI体系,减少了密钥管理问题的最沉重的负担,从而大大降低了密钥系统的复杂性。同时,提供了工业互联网标识解析统一身份授权与密钥管理框架。该框架可根据实体类型、业务需要、安全要求使用统一的密钥管理方案,实现了跨域安全互认,可为工业互联网标识解析体系中各实体身份进行统一的身份授权及密钥管理。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明用于工业互联网标识解析体系密钥生成部署架构图;
图2为本发明用于工业互联网标识解析体系密钥生成工作流程。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
本领域技术人员可以理解,本公开实施例中的“第一”、“第二”等术语仅用于区别不同步骤、设备或模块等,既不代表任何特定技术含义,也不表示它们之间的必然逻辑顺序。
还应理解,在本公开实施例中,“多个”可以指两个或两个以上,“至少一个”可以指一个、两个或两个以上。
还应理解,对于本公开实施例中提及的任一部件、数据或结构,在没有明确限定或者在前后文给出相反启示的情况下,一般可以理解为一个或多个。
另外,本公开中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本公开中字符“/”,一般表示前后关联对象是一种“或”的关系。
还应理解,本公开对各个实施例的描述着重强调各个实施例之间的不同之处,其相同或相似之处可以相互参考,为了简洁,不再一一赘述。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明实施例可以应用于终端设备、计算机系统和服务器中的至少一种电子设备,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与终端设备、计算机系统和服务器中的至少一种电子设备一起使用的众所周知的计算环境和/或配置的例子包括但不限于:个人计算机服务器计算机瘦客户机、厚客户机、手持或膝上设备、基于微处理器的机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
终端设备、计算机系统和服务器中的至少一种电子设备可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
在公开的实施例中,冷链产品和物流数据与冷链产品和物流信息是同一技术特征,冷链产品信息与冷链产品数据是同一技术特征,冷链物流信息与冷链物流数据是同一技术特征。
请参考图1,示出了根据本公开的工业互联网标识解析部署架构图,包括:至少一个企业节点(101)、安全认证平台(102)、至少一个二级节点(103)、至少一个国家顶级节点(104)、国际根节点(105)和递归解析节点(106)和多个接入节点(107a,107b,107c)。
其中,递归解析节点(106):是指标识解析体系对外提供标识解析服务的关键性入口设施,接收外部客户端的标识查询请求,在标识解析体系内部通过逐级递归的方式,找到企业节点,并获取标识的详细信息。
国际根节点(105):是指一种标识体系管理的最高层级服务节点,提供面向全球范围公共的根层级的标识服务,并不限于特定国家或地区。
国家顶级节点(104):是指一个国家或地区内部最顶级的标识服务节点,能够面向全国范围提供顶级标识解析服务,以及标识备案、标识认证等管理能力。
二级节点(103):是面向特定行业或者多个行业提供标识服务的公共节点。二级节点既要向上与国家顶级节点对接,又要向下为工业企业分配标识编码及提供标识注册、标识解析、标识数据服务等,同时满足安全性、稳定性和扩展性等方面的要求。能够面向行业或区域提供标识编码注册和标识解析服务,以及完成相关的标识业务管理、标识应用对接等。每个二级节点都会被国家顶级节点分配唯一的二级节点标识前缀。
企业节点(101):是指一个企业内部的标识服务节点,能够面向特定企业提供标识注册、标识解析服务、标识数据服务等,既可以独立部署,也可以作为企业信息系统的组成要素。每个企业节点都会被二级节点分配唯一的企业节点标识前缀,标识后缀的内容将由企业自行定义和分配,企业节点标识前缀+标识后缀将会构成完整的工业互联网标识。
在本公开的一个实施例中,所述企业节点(101)根据所述接入节点(107)的属性信息确定所述接入节点(107)是否有权接入所述企业节点(101)。
在本公开的一个实施例中,所述企业节点(101)发送第三消息到所述安全认证平台(102),所述第三消息携带所述企业节点(101)标识信息(ID2)。
安全认证平台(102):向企业节点(101)发送第二消息,所述第二消息携带所述接入节点(107)属性信息和所述第二密钥;生成随机数(RAND),基于所述第二密钥衍生算法,根据所述接入节点(107)属性信息、所述企业节点(101)标识信息、第二密钥和密钥生成消息鉴别码(MAC)、期望响应(XRES)、标识解析消息加密密钥(CK)、完整性密钥(IK)和实体身份认证密钥(AK)。
在本公开的一个实施例中,所述安全认证平台(102)通过第四消息向所述接入节点(107)发送认证令牌(AUTN)、所述期望响应(XRES)、所述标识解析消息加密密钥(CK)、所述完整性密钥(IK)、所述实体身份认证密钥(AK)。
多个接入节点(107a,107b,107c):可以是来自企业信息系统、工业互联网平台、工业互联网APP等多种不同形式。
在本公开的一个实施例中,接入节点(107)向安全认证平台(102)发送第一消息,所述第一消息携带第一密钥衍生算法、接入节点(107)属性信息和第二密钥(MKA)。
在本公开的一个实施例中,所述接入节点(107)身份获得认证时,所述安全认证平台(102)根据预设策略,从接收到的第一密钥衍生算法中,选择第二密钥衍生算法。
请参考图2,示出了根据本公开的用于工业互联网标识解析体系密钥生成方法流程,具体包括如下步骤:
S201,新注册接入节点(107)向安全认证平台(102)发送注册请求(RegistrationRequest)消息,注册请求消息中包含第一密钥衍生算法和接入节点(107)属性信息和第二密钥;
第一密钥衍生算法可用于表示所属接入节点(107)的密钥衍生算法能力,即第一密钥衍生算法为所属接入节点(107)支持的密钥衍生算法。所述第一密钥衍生算法包括算法f1,f2,f3,f4和f5中的一种或多种,f代表密钥生成算法。
在本公开的一个实施例中,f可以是对称加密算法,对称加密算法采用单密钥加密,在通信过程中,数据发送方将原始数据分割成固定大小的块,经过密钥和加密算法逐个加密后,发送给接收方;接收方收到加密后的报文后,结合密钥和解密算法解密组合后得出原始数据。常见的对称加密算法有:
DES:分组式加密算法,以64位为分组对数据加密,加解密使用同一个算法。
3DES:三重数据加密算法,对每个数据块应用三次DES加密算法。
AES:高级加密标准算法,是美国联邦政府采用的一种区块加密标准,用于替代原先的DES,目前已被广泛应用。
在本公开的一个实施例中,f可以是非对称加密算法,非对称加密算法采用公钥和私钥两种不同的密码来进行加解密。公钥和私钥是成对存在,公钥是从私钥中提取产生公开给所有人的,如果使用公钥对数据进行加密,那么只有对应的私钥才能解密,反之亦然。非对称加密算法具有安全性高、算法强度负复杂的优点,其缺点为加解密耗时长、速度慢,只适合对少量数据进行加密,其常见算法包括:
RSA:RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥,可用于加密,也能用于签名。
ECC:椭圆加密算法(ECC)是一种公钥加密算法,最初由Koblitz和 Miller两人于1985年提出,其数学基础是利用椭圆曲线上的有理点构成 Abel加法群上椭圆离散对数的计算困难性。公钥密码体制根据其所依据的难题一般分为三类:大整数分解问题类、离散对数问题类、椭圆曲线类。有时也把椭圆曲线类归为离散对数类。
在本公开的一个实施例中,接入节点(107)属性信息一般应包含主体标识(ID1)、属性类型或名称、所属企业标识(ID3)、所述企业主密钥(MK)、对属性信息摘要的签名和基于所属企业标识(ID3)、所述企业主密钥(MK)进行哈希256摘要算法等。
在本公开的一个实施例中,接入节点(107)的密钥(MKA)是根据所述接入节点(107)所属企业的主密钥(MK)产生。企业节点(101)下的企业在接入工业互联网标识解析体系时,企业需配置数据库的连接地址、账号和密码,指定需要采集的数据库表和SQL查询语句;企业节点(101)会给所述企业分配一个主密钥(MK),所述企业根据所述主密钥(MK)为每个所属接入节点(107)产生第二密钥(MKA)。这样,一个企业下所有接入节点(107)的第二密钥(MKA)都具有相关性。所述第二密钥(MKA)的产生可以基于所述主密钥(MK)和所述接入节点(107)的属性信息生成。
在本公开的一个实施例中,所述接入节点(107)的属性信息可以是所述接入节点(107)的标识解析编码。
S202,所述安全认证平台(102)通过认证信息请求(Authentication Informationrequest)消息将所述接入节点(107)的属性信息转发给所述企业节点(101)。
S203,所述企业节点(101)根据所述接入节点(107)的属性信息判断所述接入节点(107)是否有权注册接入到所述企业节点(101)。
验证过程可能是针对属性信息摘要的签名验证,再结合上基于本地存储的所属企业标识(ID3)和所述企业主密钥(MK)进行哈希256获得的信息摘要,与认证信息请求消息中携带的所述哈希256摘要信息的比较结果进行认证过程。
在本实施例中,结合工业互联网标识解析体系自身特点,选择所属企业标识(ID3)和所述企业主密钥(MK)进行认证,增加认证的可靠性。
S204,所述企业节点(101)通过认证信息请求响应消息向所述安全认证平台(102)返回认证结果,所述认证信息请求响应消息包括所述企业节点(101)标识信息(ID2)。
S205,如果所述接入节点(107)身份获得认证,则所述安全认证平台(102)根据预设策略,从接收到的第一密钥衍生算法中,选择第二密钥衍生算法,第二密钥衍生算法为所述安全认证平台(102)接收到的所述接入节点(107)支持的至少一个密钥衍生算法。
在本公开的一个实施例中,所述第一密钥衍生算法包括算法f1,f2,f3,f4和f5中的一种或多种,f代表密钥生成算法。则所述安全认证平台选择第二密钥衍生算法可以包括其中至少一种密钥生成算法。例如,所述第二密钥衍生算法仅仅选择所述第一密钥衍生算法中的f1;也可以选择所述第一密钥衍生算法中的f1和f2。
S206,所述安全认证平台(102)生成随机数(RAND),然后分别生成第一消息鉴别码(MAC)、期望响应(XRES)、标识解析消息加密密钥(CK)、完整性密钥(IK)、实体身份认证密钥(AK)。
在本公开的一个实施例中,所述第一密钥衍生算法包括算法f1,f2,f3,f4和f5,f代表密钥生成算法,则所述安全认证平台选择第二密钥衍生算法也包括算法f1,f2,f3,f4和f5。
MAC=f1(ID1,ID2,MKA,RAND);
XRES=f2(ID1,MKA,RAND);
CK=f3(ID1,ID2,MK,RAND);
IK=f4(ID1,ID2,MK,RAND);
AK=f5(ID1,ID2,MK,RAND),其中,ID1为所述接入节点(107)标识信息,ID2为所述企业节点(101)标识信息,MKA为所述接入节点(107)第二密钥,RAND为所述安全认证平台(102)生成随机数。
在本公开的一个实施例中,所述第一密钥衍生算法包括算法f1,f2,f3,f4和f5,f代表密钥生成算法,则所述安全认证平台选择第二密钥衍生算法也包括算法f1,f1,f1,f1和f2。
MAC=f1(ID1,ID2,MKA,RAND);
XRES=f1(ID1,MKA,RAND);
CK=f1(ID1,ID2,MK,RAND);
IK=f1(ID1,ID2,MK,RAND);
AK=f2(ID1,ID2,MK,RAND),其中,ID1为所述接入节点(107)标识信息,ID2为所述企业节点(101)标识信息,MKA为所述接入节点(107)第二密钥,RAND为所述安全认证平台(102)生成随机数。
S207,所述安全认证平台(102)通过注册请求响应消息向所述接入节点(107)发送认证令牌(AUTN)、期望响应(XRES)、标识解析消息加密密钥(CK)、完整性密钥(IK)、实体身份认证密钥(AK),所述接入节点(107)接收来自所述安全认证平台(102)的注册请求响应消息。
在本公开的一个实施例中,
其中⊕为与或符号,表示MK和AK进行与或运算的结果,“||”为连接符号,例如00||11,即为0011。
S208,所述接入节点(107)对注册请求响应消息进行解析,获得所述认证令牌(AUTN)、期望响应(XRES)、标识解析消息加密密钥(CK)、完整性密钥(IK)、实体身份认证密钥(AK)。
S209,所述接入节点(107)使用实体身份认证密钥(AK)对所述认证令牌AUTN进行加密后,通过递归解析节点(106)向企业节点(101)发起注册请求,完成在所述企业节点(101)的注册。
在本公开的一个实施例中,由于接入节点(107)发送的携带第一密钥衍生算法的初始消息,如4G的附着请求消息、跟踪区域更新请求消息,或5G的注册请求消息,没有得到完整性保护,因此比较容易受到攻击者的攻击,攻击者有可能将该初始消息中的第一密钥衍生算法篡改,此时,第二密钥衍生算法可能与第一密钥衍生算法不同。或者是,接入节点(107)发送的第一密钥衍生算法没有被攻击者攻击,则所述安全认证平台(102)使用的第二密钥衍生算法,与接入节点(107)发送的第一密钥衍生算法相同。因此,所述安全认证平台(102)接收到的第一密钥衍生算法可能与接入节点(107)发送的第一密钥衍生算法相同,也有可能不同。
本文公开的示例性实施例可以被实现为计算机过程,计算系统或诸如计算机程序产品之类的制品。该计算机程序产品可以是计算机系统可读的并且对用于执行计算机过程的指令的计算机程序进行编码的计算机存储介质。该计算机程序产品还可以是在载波上的传播信号,该载波可由计算系统读取并且对用于执行计算机过程的指令的计算机程序进行编码。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本公开的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本公开各种实施例的用于生成视频的方法中的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本发明的方法和装置。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和装置。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (10)
1.一种工业互联网标识解析体系密钥生成方法,其特征在于,
接入节点(107)向安全认证平台(102)发送第一消息,所述第一消息携带第一密钥衍生算法、接入节点(107)属性信息和第二密钥(MKA);
所述安全认证平台(102)向企业节点(101)发送第二消息,所述第二消息携带所述接入节点(107)属性信息和所述第二密钥;
所述企业节点(101)根据所述接入节点(107)的属性信息确定所述接入节点(107)是否有权接入所述企业节点(101);
所述企业节点(101)发送第三消息到所述安全认证平台(102),所述第三消息携带所述企业节点(101)标识信息(ID2);
所述接入节点(107)身份获得认证时,所述安全认证平台(102)根据预设策略,从接收到的第一密钥衍生算法中,选择第二密钥衍生算法;
所述安全认证平台(102)生成随机数(RAND),基于所述第二密钥衍生算法,根据所述接入节点(107)属性信息、所述企业节点(101)标识信息、第二密钥和密钥生成消息鉴别码(MAC)、期望响应(XRES)、标识解析消息加密密钥(CK)、完整性密钥(IK)和实体身份认证密钥(AK);
其中,所述第二密钥(MKA)基于所述接入节点(107)所属企业的主密钥(MK)产生。
2.根据权利要求1所述的方法,其特征在于进一步包括:
所述安全认证平台(102)通过第四消息向所述接入节点(107)发送认证令牌(AUTN)、所述期望响应(XRES)、所述标识解析消息加密密钥(CK)、所述完整性密钥(IK)、所述实体身份认证密钥(AK)。
3.根据权利要求2所述的方法,其特征在于所述认证令牌(AUTN)生成公式为:
其中,⊕为与或符号,表示MK和AK进行与或运算的结果,||为连接符号,MK为所属企业的主密钥,AK为实体身份认证密钥,XRES为期望响应,MAC为消息鉴别码。
4.根据权利要求3所述的方法,其特征在于所述接入节点(107)属性信息进一步包括:
主体标识(ID1)、属性名称、所属企业标识、所述接入节点(107)所属企业的主密钥(MK)、对属性信息摘要的签名。
5.根据权利要求2所述的方法,其特征在于所述第一密钥(MKA)基于所述接入节点(107)所属企业的主密钥(MK)产生具体包括:
所述第二密钥(MKA)基于所述接入节点(107)所属企业的主密钥(MK)和所述接入节点(107)的标识解析码产生。
6.根据权利要求2所述的方法,其特征在于,
所述第二密钥衍生算法为所述安全认证平台(102)接收到的所述接入节点(107)支持所述第一密钥衍生算法中的至少一个算法函数。
7.根据权利要求4所述的方法,其特征在于所述密钥生成消息鉴别码(MAC)生成公式为:
MAC=f1(ID1,ID2,MKA,RAND);
其中,ID1为所述接入节点(107)标识信息,ID2为所述企业节点(101)标识信息,MKA为所述接入节点(107)第二密钥,RAND为所述安全认证平台(102)生成随机数,f为密钥生成算法。
8.根据权利要求4所述的方法,其特征在于所述标识解析消息加密密钥(CK)、所述完整性密钥(IK)、所述实体身份认证密钥(AK)生成公式为:
CK=f3(ID1,ID2,MK,RAND);
IK=f4(ID1,ID2,MK,RAND);
AK=f5(ID1,ID2,MK,RAND);
其中,ID1为所述接入节点(107)主体标识,ID2为所述企业节点(101)标识信息,MK为所述接入节点(107)所属企业的主密钥,RAND为所述安全认证平台(102)生成随机数,f为密钥生成算法。
9.一种工业互联网标识解析体系密钥生成系统,所述系统包括接入节点(107)、安全认证平台(102)、企业节点(101);其特征在于,
接入节点(107)向安全认证平台(102)发送第一消息,所述第一消息携带第一密钥衍生算法、接入节点(107)属性信息和第二密钥(MKA);
所述安全认证平台(102)向企业节点(101)发送第二消息,所述第二消息携带所述接入节点(107)属性信息和所述第二密钥;
所述企业节点(101)根据所述接入节点(107)的属性信息确定所述接入节点(107)是否有权接入所述企业节点(101);
所述企业节点(101)发送第三消息到所述安全认证平台(102),所述第三消息携带所述企业节点(101)标识信息(ID2);
所述接入节点(107)身份获得认证时,所述安全认证平台(102)根据预设策略,从接收到的第一密钥衍生算法中,选择第二密钥衍生算法;
所述安全认证平台(102)生成随机数(RAND),基于所述第二密钥衍生算法,根据所述接入节点(107)属性信息、所述企业节点(101)标识信息、第二密钥和密钥生成消息鉴别码(MAC)、期望响应(XRES)、标识解析消息加密密钥(CK)、完整性密钥(IK)和实体身份认证密钥(AK);
其中,所述第二密钥(MKA)基于所述接入节点(107)所属企业的主密钥(MK)产生。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时,实现上述权利要求1-8任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210668956.3A CN115021913B (zh) | 2022-06-14 | 2022-06-14 | 工业互联网标识解析体系密钥生成方法、系统与存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210668956.3A CN115021913B (zh) | 2022-06-14 | 2022-06-14 | 工业互联网标识解析体系密钥生成方法、系统与存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115021913A true CN115021913A (zh) | 2022-09-06 |
| CN115021913B CN115021913B (zh) | 2024-05-31 |
Family
ID=83075177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210668956.3A Active CN115021913B (zh) | 2022-06-14 | 2022-06-14 | 工业互联网标识解析体系密钥生成方法、系统与存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115021913B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115346295A (zh) * | 2022-10-19 | 2022-11-15 | 中国信息通信研究院 | 基于标识解析和区块链的门锁状态搜集方法、介质及设备 |
| CN116319070A (zh) * | 2023-05-11 | 2023-06-23 | 中国电子信息产业集团有限公司第六研究所 | 工业互联网标识解析系统、方法、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110091036A1 (en) * | 2008-06-06 | 2011-04-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic Key Generation |
| US20110167272A1 (en) * | 2010-01-06 | 2011-07-07 | Kolesnikov Vladimir Y | Secure Multi-UIM aka key exchange |
| WO2017160227A1 (en) * | 2016-03-18 | 2017-09-21 | Huawei International Pte. Ltd. | Method and system for key generation and service-based authentication in mobile network |
| CN111147231A (zh) * | 2018-11-05 | 2020-05-12 | 华为技术有限公司 | 一种密钥协商的方法、相关装置及系统 |
| WO2020177591A1 (zh) * | 2019-03-01 | 2020-09-10 | 中兴通讯股份有限公司 | 密钥的确定方法、装置、存储介质及电子装置 |
| CN113965930A (zh) * | 2021-10-15 | 2022-01-21 | 南通大学 | 一种基于量子密钥的工业互联网主动标识解析方法及其系统 |
-
2022
- 2022-06-14 CN CN202210668956.3A patent/CN115021913B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110091036A1 (en) * | 2008-06-06 | 2011-04-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Cryptographic Key Generation |
| US20110167272A1 (en) * | 2010-01-06 | 2011-07-07 | Kolesnikov Vladimir Y | Secure Multi-UIM aka key exchange |
| WO2017160227A1 (en) * | 2016-03-18 | 2017-09-21 | Huawei International Pte. Ltd. | Method and system for key generation and service-based authentication in mobile network |
| CN111147231A (zh) * | 2018-11-05 | 2020-05-12 | 华为技术有限公司 | 一种密钥协商的方法、相关装置及系统 |
| WO2020177591A1 (zh) * | 2019-03-01 | 2020-09-10 | 中兴通讯股份有限公司 | 密钥的确定方法、装置、存储介质及电子装置 |
| CN113965930A (zh) * | 2021-10-15 | 2022-01-21 | 南通大学 | 一种基于量子密钥的工业互联网主动标识解析方法及其系统 |
Non-Patent Citations (1)
| Title |
|---|
| 彭桂林等: "无中心化离线认证技术的应用与实践", 智能建筑与智慧城市, no. 09, 25 September 2017 (2017-09-25) * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115346295A (zh) * | 2022-10-19 | 2022-11-15 | 中国信息通信研究院 | 基于标识解析和区块链的门锁状态搜集方法、介质及设备 |
| CN116319070A (zh) * | 2023-05-11 | 2023-06-23 | 中国电子信息产业集团有限公司第六研究所 | 工业互联网标识解析系统、方法、电子设备及存储介质 |
| CN116319070B (zh) * | 2023-05-11 | 2023-08-11 | 中国电子信息产业集团有限公司第六研究所 | 工业互联网标识解析系统、方法、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115021913B (zh) | 2024-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9800402B2 (en) | Secure and delegated distribution of private keys via domain name service | |
| Tari et al. | Security and privacy in cloud computing: vision, trends, and challenges | |
| US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
| Cano et al. | Preserving data privacy in the internet of medical things using dual signature ECDSA | |
| CN110519046B (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
| WO2022022009A1 (zh) | 消息处理方法、装置、设备及存储介质 | |
| CN115021913B (zh) | 工业互联网标识解析体系密钥生成方法、系统与存储介质 | |
| CN104158827A (zh) | 密文数据共享方法、装置、查询服务器和上传数据客户端 | |
| WO2010005071A1 (ja) | パスワード認証方法 | |
| US20220020020A1 (en) | Methods, systems, and devices for managing digital assets | |
| Griffin | Telebiometric authentication objects | |
| CN112351037A (zh) | 用于安全通信的信息处理方法及装置 | |
| US10484182B2 (en) | Encrypted text verification system, method, and recording medium | |
| CN111917536A (zh) | 身份认证密钥的生成方法、身份认证的方法、装置及系统 | |
| CN114528331A (zh) | 基于区块链的数据查询方法及装置、介质、设备 | |
| CN106789963B (zh) | 非对称白盒密码加密方法和装置及设备 | |
| US7739500B2 (en) | Method and system for consistent recognition of ongoing digital relationships | |
| CN111241492A (zh) | 一种产品多租户安全授信方法、系统及电子设备 | |
| Thangavel et al. | An analysis of privacy preservation schemes in cloud computing | |
| Saranya et al. | A survey on mobile payment request verification over cloud using key distribution | |
| Son et al. | A new outsourcing conditional proxy re‐encryption suitable for mobile cloud environment | |
| WO2018174063A1 (ja) | 照合システム、方法、装置及びプログラム | |
| CN114363077A (zh) | 基于安全访问服务边缘的管理系统 | |
| Wu et al. | A privacy protection scheme for facial recognition and resolution based on edge computing | |
| Hammami et al. | Security issues in cloud computing and associated alleviation approaches |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |