CN116074055A - 分布式场景下基于假名的国密证书链组的认证方法 - Google Patents
分布式场景下基于假名的国密证书链组的认证方法 Download PDFInfo
- Publication number
- CN116074055A CN116074055A CN202211685402.0A CN202211685402A CN116074055A CN 116074055 A CN116074055 A CN 116074055A CN 202211685402 A CN202211685402 A CN 202211685402A CN 116074055 A CN116074055 A CN 116074055A
- Authority
- CN
- China
- Prior art keywords
- pseudonym
- user
- public key
- group
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种分布式场景下基于假名的国密证书链组的认证方法,包括如下步骤:初始化、生成临时公私钥对、生成假名和公钥授权、基于假名的认证。该方法使用基于假名的证书链组,使得匿名程度大大提高。将临时假名分发由TA可信节点完成,避免了TA的单点故障。与常用的基于标识密码算法的相比,基于公钥证书链大大提高了效率。并且使用的密码算法是国密算法,符合我国密码法中使用商密保护保护非国家秘密的信息和密码测评中使用国家密码管理局认证的算法的要求。
Description
技术领域
本发明具体涉及一种分布式场景下基于假名的国密证书链组的认证方法。
背景技术
随着移动互联网快速发展,各种各样的应用服务也为人们日常生活提供了不可替代的便利。在享受各种应用服务的同时也面临着严重的隐私泄露。当前有人提出了通过使用假名来请求服务,服务提供商通过匿名认证的方式验证了假名的合法性后提供相应的服务,这样就保护用户隐私的情况下,用户也享受了相应的服务。
现有的假名技术大多基于标识密码算法,其算法的效率低下,基于可信机构TA容易遭受单点攻击,基于假名安全性不足的问题,使用基于假名的证书链组,提高匿名性,未使用商用密码算法,不符合我国密码法中使用商密保护保护非国家秘密的信息和密码测评中使用国家密码管理局认证的算法的要求。
综上所述提出一种分布式场景下基于假名的国密证书链组的认证方法以解决上述问题。
发明内容
本发明的目的在于针对现有技术的不足,提供一种分布式场景下基于假名的国密证书链组的认证方法,该分布式场景下基于假名的国密证书链组的认证方法可以很好地解决上述问题。
为达到上述要求,本发明采取的技术方案是:提供一种分布式场景下基于假名的国密证书链组的认证方法,该分布式场景下基于假名的国密证书链组的认证方法包括如下步骤:
S1:进行初始化,用户以离线的形式,向可信机构TA提交用户真实的身份信息ID,TA为用户生成一个主假名ppid和密钥对,并生成有效期更长的基于SM2的公钥证书;
S2:进行生成临时公私钥对的步骤,用户选择自己的私钥组并生成相对应的公钥组,并将ppid、TA颁发给用户的公钥证书和自己生成的公钥组发送给TA可信节点TN;
S3:进行生成假名和公钥授权的步骤,TA可信节点认证证书合法性,生成基于ppid的假名组,生成有效期一短的基于公钥组的临时公钥证书链组;
S4:进行基于假名的认证,当用户之间需要认证时,验证基于假名证书链的合法性。
该分布式场景下基于假名的国密证书链组的认证方法具有的优点如下:
该方法使用基于假名的证书链组,使得匿名程度大大提高。将临时假名分发由TA可信节点完成,避免了TA的单点故障。与常用的基于标识密码算法的相比,基于公钥证书链大大提高了效率。并且使用的密码算法是国密算法,符合我国密码法中使用商密保护保护非国家秘密的信息和密码测评中使用国家密码管理局认证的算法的要求。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,在这些附图中使用相同的参考标号来表示相同或相似的部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示意性地示出了根据本申请一个实施例的分布式场景下基于假名的国密证书链组的认证方法的结构的分布式场景示意图。
图2示意性地示出了根据本申请一个实施例的分布式场景下基于假名的国密证书链组的认证方法的用户和TA获取主假名ppid和公钥对示意图。
图3示意性地示出了根据本申请一个实施例的分布式场景下基于假名的国密证书链组的认证方法的用户和TN获取临时假名、证书链组的示意图。
图4示意性地示出了根据本申请一个实施例的分布式场景下基于假名的国密证书链组的认证方法的用户之间基于假名的认证示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本申请作进一步地详细说明。
在以下描述中,对“一个实施例”、“实施例”、“一个示例”、“示例”等等的引用表明如此描述的实施例或示例可以包括特定特征、结构、特性、性质、元素或限度,但并非每个实施例或示例都必然包括特定特征、结构、特性、性质、元素或限度。另外,重复使用短语“根据本申请的一个实施例”虽然有可能是指代相同实施例,但并非必然指代相同的实施例。
为简单起见,以下描述中省略了本领域技术人员公知的某些技术特征。
根据本申请的一个实施例,提供一种分布式场景下基于假名的国密证书链组的认证方法,如图1-4所示,包括如下步骤:
S1:进行初始化,用户以离线的形式,向可信机构TA提交用户真实的身份信息ID,TA为用户生成一个主假名ppid和密钥对,并生成有效期更长的基于SM2的公钥证书;
S2:进行生成临时公私钥对的步骤,用户选择自己的私钥组并生成相对应的公钥组,并将ppid、TA颁发给用户的公钥证书和自己生成的公钥组发送给TA可信节点TN;
S3:进行生成假名和公钥授权的步骤,TA可信节点认证证书合法性,生成基于ppid的假名组,生成有效期一短的基于公钥组的临时公钥证书链组;
S4:进行基于假名的认证,当用户之间需要认证时,验证基于假名证书链的合法性。
根据本申请的一个实施例,该分布式场景下基于假名的国密证书链组的认证方法的步骤S1具体包括:
用户首先以离线的形式,向可信机构TA提交用户真实的身份信息ID,TA通过SM3计算为用户生成一个主假名ppid和基于SM2的密钥对,并使用ppid和pk等生成基于SM2的公钥证书。其中基于SM3计算生成主假名ppid的步骤具体如下:TA选择一个足够长度的随机数r,并将用户真实信息和随机数r级联作为输入,计算SM3得到ppid,即ppid=H(ID||r),H为SM3。使用ppid和pk生成基于SM2的公钥证书的步骤如下:TA为用户生成基于假名ppid的SM2公钥证书,便于用户使用它向TN证明自己是合法用户。
根据本申请的一个实施例,该分布式场景下基于假名的国密证书链组的认证方法的步骤S2具体包括:
当用户需要基于假名的证书链组时,用户首先随机选择自己的私钥组通过SM2计算生成相应的公钥组,即用户随机选择SM2的私有(x1,x2,...,xn),并生成对应的公钥(y1,y2,...,yn),其中yi=xiG(1≤i≤n)。
根据本申请的一个实施例,该分布式场景下基于假名的国密证书链组的认证方法的步骤S3具体包括:
TA可信节点TN通过验证基于假名的证书的合法性来实现验证合法用户,验证通过后,随机选择随机数(r1,r2,...,rn),并将ppid和(r1,r2,...,rn)级联分别作为SM3输入生成基于ppid的假名组(pid1,pid2,...,pidn),即pidi=H(ppid||ri),其中H为SM3,并生成基于假名组和公钥组的公钥证书链组。
根据本申请的一个实施例,该分布式场景下基于假名的国密证书链组的认证方法的步骤S4具体包括:
当用户之间需要认证时,验证者使用TN或TA的公钥来验证基于假名的证书链的合法性,特别是时效性。
根据本申请的一个实施例,该分布式场景下基于假名的国密证书链组的认证方法中存在一个可信机构TA和数个被TA信任的可信节点TN,TN和TA之间通过验证证书的合法性来验证用户是否合法。
根据本申请的一个实施例,该分布式场景下基于假名的国密证书链组的认证方法中用户证书是基于假名并使用国密算法生成的证书或证书链。
根据本申请的一个实施例,该分布式场景下基于假名的国密证书链组的认证方法中用户获得基于假名的证书链组,并用它来实现是否是合法用户的认证。
根据本申请的一个实施例,该分布式场景下基于假名的国密证书链组的认证方法能够实现匿名认证,使用基于假名的证书链组,使得匿名程度大大提高。将临时假名分发任务由TA可信节点TN完成,避免了TA的单点故障。与常用的基于标识密码算法的相比,基于公钥证书链大大提高了效率。并且使用的密码算法是国密算法,符合我国密码法中使用商密保护保护非国家秘密的信息和密码测评中使用国家密码管理局认证的算法的要求。
根据本申请的一个实施例,该分布式场景下基于假名的国密证书链组的认证方法的工作流程具体如下:
初始化:用户以离线(第一次)的形式,向可信机构TA提交用户真实的身份信息ID;TA选择一个足够长度的随机数r,并将用户真实信息和随机数r级联作为输入,使用SM3计算为用户生成一个主假名ppid。即ppid=H(ID||r),H为SM3。随后TA为该用户生成基于SM2算法的公私钥对(pk,sk),并生成基于假名ppid的pk公钥证书,该公钥证书的有效期长一些,比如一年等。最后将ppid、(pk,sk)以及基于ppid的公钥证书离线的形式给用户。
生成临时公私钥对:当用户需要基于假名的证书链组时,用户首先随机选择自己的私钥组通过SM2计算生成相应的公钥组。即用户随机选择SM2的私有(x1,x2,...,xn),并生成对应的公钥(y1,y2,...,yn),其中yi=xiG(1≤i≤n)。用户选择自己的私钥组并生成相对应的公钥组后,将ppid、TA颁发给用户的公钥证书和自己生成的公钥组发送给TA可信节点TN。
生成假名和公钥授权:TA可信节点TN通过验证基于假名的证书的合法性来实现验证合法用户,验证通过后,随机选择随机数(r1,r2,...,rn),并将ppid和(r1,r2,...,rn)级联分别作为SM3输入生成基于ppid的假名组(pid1,pid2,...,pidn)。即pidi=H(ppid||ri),其中ri={r1,r2,...,rn},H为SM3。并生成基于假名组和临时公钥组的临时公钥证书链组。临时公钥证书链的有效期一般比较短,如一个小时,一天等。
(4)基于假名的认证:当用户之间需要认证时,验证者使用TN或TA的公钥来验证基于假名的临时证书链的合法性,特别是时效性。
根据本申请的一个实施例,下面结合附图进一步说明本发明:
用户首先以离线的形式,向可信机构TA提交用户真实的身份信息ID,TA为用户生成一个主假名ppid和密钥对,并生成基于SM2的公钥证书。如图2所示。用户选择自己的私钥组并生成相应的公钥组,并将ppid、TA颁发的证书和公钥组发送给TA可信节点TN;TA可信节点认证证书合法性,生成基于ppid的假名组,生成基于公钥组的公钥证书链组。如图3所示。当用户之间需要认证时,验证者使用TN或TA的公钥来验证基于假名的临时证书链的合法性,特别是时效性。如图4所示。
根据本申请的一个实施例,该方法的典型工作过程为:
(1)用户首先以离线(第一次)的形式,向可信机构TA提交用户真实的身份信息ID;TA收到后,首先选择一个足够长度的随机数r,并将用户真实信息和随机数r的级联作为输入,使用SM3计算为用户生成一个主假名ppid。即ppid=H(ID||r),其中H为SM3。随后TA为该用户生成基于SM2算法的公私钥对(pk,sk),并制作基于假名ppid的pk公钥证书Cert。该证书只用于用户和TA可信节点TN之间的认证,所以该公钥证书的有效期长一些,比如一年等。最后将ppid、(pk,sk)以及基于ppid的公钥证书Cert离线的形式安全的颁发给用户。
(2)用户拥有了主假名ppid和证书Cert后。用户需要基于假名的证书链组时,用户首先随机选择自己的私钥组通过SM2计算生成相应的公钥组。即用户随机选择SM2的私有(x1,x2,...,xn),并生成对应的公钥(y1,y2,...,yn),其中满足yi=xiG(1≤i≤n)。用户选择自己的私钥组并生成相对应的公钥组后,将ppid、TA颁发给用户的公钥证书Cert和自己生成的公钥组(y1,y2,...,yn)发送给TA可信节点TN。
(3)TA可信节点TN收到用户发来的信息ppid、Cert和(y1,y2,...,yn)。首先通过验证基于假名ppid的证书Cert的合法性来实现验证合法用户,并查询该证书是否是已经的撤销证书,通过验证后,随机选择随机数(r1,r2,...,rn),并将ppid和(r1,r2,...,rn)级联分别作为SM3输入生成基于ppid的假名组(pid1,pid2,...,pidn)。其中pidi=H(ppid||ri),其中ri={r1,r2,...,rn},H为SM3。并生成基于假名组(pid1,pid2,...,pidn)和临时公钥组(y1,y2,...,yn)的临时公钥证书链组(Certpk1,Certpk2,...,Certpkn)。考虑到临时公钥证书链没有证书撤销机制,所以有效期一般比较短,如一个小时,一天等。
当有用户需要使用假名或用户之间需要认证时,临时公钥证书链拥有者在临时公钥证书链(Certpk1,Certpk2,...,Certpkn)中,随机选择一个临时公钥证书链Certpki(1≤i≤n),验证者收到证书链后,使用TN或TA的公钥来验证基于假名的临时证书链Certpki的合法性,特别是时效性。
以上所述实施例仅表示本发明的几种实施方式,其描述较为具体和详细,但并不能理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明保护范围。因此本发明的保护范围应该以所述权利要求为准。
Claims (10)
1.一种分布式场景下基于假名的国密证书链组的认证方法,其特征在于,包括如下步骤:
S1:进行初始化,用户以离线的形式,向可信机构TA提交用户真实的身份信息ID,TA为用户生成一个主假名ppid和密钥对,并生成有效期更长的基于SM2的公钥证书;
S2:进行生成临时公私钥对的步骤,用户选择自己的私钥组并生成相对应的公钥组,并将ppid、TA颁发给用户的公钥证书和自己生成的公钥组发送给TA可信节点TN;
S3:进行生成假名和公钥授权的步骤,TA可信节点认证证书合法性,生成基于ppid的假名组,生成有效期一短的基于公钥组的临时公钥证书链组;
S4:进行基于假名的认证,当用户之间需要认证时,验证基于假名证书链的合法性。
2.根据权利要求1所述的分布式场景下基于假名的国密证书链组的认证方法,其特征在于,步骤S1具体包括:
用户首先以离线的形式,向可信机构TA提交用户真实的身份信息ID,TA通过SM3计算为用户生成一个主假名ppid和基于SM2的密钥对,并使用ppid和pk等生成基于SM2的公钥证书。
3.根据权利要求2所述的分布式场景下基于假名的国密证书链组的认证方法,其特征在于,基于SM3计算生成主假名ppid的步骤具体如下:
TA选择一个足够长度的随机数r,并将用户真实信息和随机数r级联作为输入,计算SM3得到ppid,即ppid=H(ID||r),H为SM3。
4.根据权利要求2所述的分布式场景下基于假名的国密证书链组的认证方法,其特征在于,使用ppid和pk生成基于SM2的公钥证书的步骤如下:
TA为用户生成基于假名ppid的SM2公钥证书,便于用户使用它向TN证明自己是合法用户。
5.根据权利要求1所述的分布式场景下基于假名的国密证书链组的认证方法,其特征在于,步骤S2具体包括:
当用户需要基于假名的证书链组时,用户首先随机选择自己的私钥组通过SM2计算生成相应的公钥组,即用户随机选择SM2的私有(x1,x2,...,xn),并生成对应的公钥(y1,y2,...,yn),其中yi=xiG(1≤i≤n)。
6.根据权利要求1所述的分布式场景下基于假名的国密证书链组的认证方法,其特征在于,步骤S3具体包括:
TA可信节点TN通过验证基于假名的证书的合法性来实现验证合法用户,验证通过后,随机选择随机数(r1,r2,...,rn),并将ppid和(r1,r2,...,rn)级联分别作为SM3输入生成基于ppid的假名组(pid1,pid2,...,pidn),即pidi=H(ppid||ri),其中H为SM3,并生成基于假名组和公钥组的公钥证书链组。
7.根据权利要求1所述的分布式场景下基于假名的国密证书链组的认证方法,其特征在于,步骤S4具体包括:
当用户之间需要认证时,验证者使用TN或TA的公钥来验证基于假名的证书链的合法性,特别是时效性。
8.根据权利要求1所述的分布式场景下基于假名的国密证书链组的认证方法,其特征在于:存在一个可信机构TA和数个被TA信任的可信节点TN,TN和TA之间通过验证证书的合法性来验证用户是否合法。
9.根据权利要求1所述的分布式场景下基于假名的国密证书链组的认证方法,其特征在于:用户证书是基于假名并使用国密算法生成的证书或证书链。
10.根据权利要求1所述的分布式场景下基于假名的国密证书链组的认证方法,其特征在于:用户获得基于假名的证书链组,并用它来实现是否是合法用户的认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211685402.0A CN116074055A (zh) | 2022-12-27 | 2022-12-27 | 分布式场景下基于假名的国密证书链组的认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211685402.0A CN116074055A (zh) | 2022-12-27 | 2022-12-27 | 分布式场景下基于假名的国密证书链组的认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116074055A true CN116074055A (zh) | 2023-05-05 |
Family
ID=86181327
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211685402.0A Pending CN116074055A (zh) | 2022-12-27 | 2022-12-27 | 分布式场景下基于假名的国密证书链组的认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116074055A (zh) |
-
2022
- 2022-12-27 CN CN202211685402.0A patent/CN116074055A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111371730B (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
CN108810029B (zh) | 一种微服务架构服务间鉴权系统及优化方法 | |
Yang et al. | Delegating authentication to edge: A decentralized authentication architecture for vehicular networks | |
Garg et al. | An efficient blockchain-based hierarchical authentication mechanism for energy trading in V2G environment | |
CN109409884A (zh) | 一种基于sm9算法的区块链隐私保护方案和系统 | |
CN109962890A (zh) | 一种区块链的认证服务装置及节点准入、用户认证方法 | |
CN109347626B (zh) | 一种具有反跟踪特性的安全身份认证方法 | |
CN111797427A (zh) | 一种兼顾隐私保护的区块链用户身份监管方法及系统 | |
CN105187405A (zh) | 基于信誉的云计算身份管理方法 | |
Abdalla et al. | Provably secure password-based authentication in TLS | |
MacKenzie et al. | Delegation of cryptographic servers for capture-resilient devices | |
CN115766033B (zh) | 面向隐私保护的门限单点登录方法 | |
Kravitz | Transaction immutability and reputation traceability: Blockchain as a platform for access controlled iot and human interactivity | |
Kilari et al. | Robust revocable anonymous authentication for vehicle to grid communications | |
Kilari et al. | Revocable anonymity based authentication for vehicle to grid (V2G) communications | |
CN101192927A (zh) | 基于身份保密的授权与多重认证方法 | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN101990751A (zh) | 基于认证和密钥协商(aka)机制认证对于使能kerberos应用的用户访问的方法和装置 | |
CN115865520B (zh) | 移动云服务环境中具有隐私保护的认证和访问控制方法 | |
CN115955320B (zh) | 一种视频会议身份认证方法 | |
CN1329418A (zh) | 网络用户身份认证的方法及克服Kerberos认证体制中用户口令漏洞的方法 | |
JP5275468B2 (ja) | サービスアクセスの制限を可能にする方法 | |
CN114389808B (zh) | 一种基于SM9盲签名的OpenID协议设计方法 | |
Wang et al. | Secure single sign-on schemes constructed from nominative signatures | |
CN116074055A (zh) | 分布式场景下基于假名的国密证书链组的认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |