CN116318870A - 一种泛终端国密的票据认证方法 - Google Patents

一种泛终端国密的票据认证方法 Download PDF

Info

Publication number
CN116318870A
CN116318870A CN202310117740.2A CN202310117740A CN116318870A CN 116318870 A CN116318870 A CN 116318870A CN 202310117740 A CN202310117740 A CN 202310117740A CN 116318870 A CN116318870 A CN 116318870A
Authority
CN
China
Prior art keywords
information
algorithm
password
user
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310117740.2A
Other languages
English (en)
Inventor
毕玉冰
杨东
肖力炀
崔逸群
刘超飞
曾荣汉
胥冠军
朱博迪
刘迪
刘骁
王文庆
邓楠轶
董夏昕
朱召鹏
介银娟
王艺杰
崔鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuzhong Hongsibao Xinke Energy Co ltd
Xian Thermal Power Research Institute Co Ltd
Huaneng Group Technology Innovation Center Co Ltd
Original Assignee
Xian Thermal Power Research Institute Co Ltd
Huaneng Group Technology Innovation Center Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Thermal Power Research Institute Co Ltd, Huaneng Group Technology Innovation Center Co Ltd filed Critical Xian Thermal Power Research Institute Co Ltd
Priority to CN202310117740.2A priority Critical patent/CN116318870A/zh
Publication of CN116318870A publication Critical patent/CN116318870A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及网络安全技术领域,具体是一种泛终端国密的票据认证方法,具体包括五大步骤。本发明原理简单,保密性强,采用国密SM4对称加密算法有效保障了用户身份的合法性,避免因票据信息泄漏导致用户技术、资产受损,通过摘要算法生成摘要信息使得信息数据一旦被改变,其摘要信息也会随之改变起到信息的完整性以及传输、存储的安全性,口令提交前需对口令进行加密传输,并通过加入时间戳使得加密串仅在设定时间内有效,起到防止重放攻击。

Description

一种泛终端国密的票据认证方法
技术领域
本发明涉及网络安全技术领域,具体是一种泛终端国密的票据认证方法
背景技术
随着企业积极开展数字化转型以提高企业的信息化水平,提升企业整体运作效率的同时,带来则是因为未重视信息安全所带来的隐患,不管是互联网系统、还是企业内部系统,对用户身份凭证的保护水平受限于对安全的认知、重视,而其后果则是因为数据泄露、系统受破坏等,致使企业受到经济损失,因此,在当前安全事件频发的形势下,组织亟需建设统一身份安全管理平台,构建以身份为核心的新安全边界,在整体信息安全框架内,统一身份安全管理平台遵循统一的信息安全管理相关策略、制度,在物理安全、应用安全、数据安全、网络安全和主机安全等基础性安全建设内容基础上,在应用系统身份鉴别、访问控制、关键操作抗抵赖、通信安全、个人信息保护和资源控制等方面加强安全保护,最终实现业务安全的目标。
但是目前票据认证技术较为落后,保密性较差容易出现泄漏导致用户技术、资产受损。
发明内容
本发明的目的在于提供一种泛终端国密的票据认证方法,以解决上述技术问题。
为实现上述目的,本发明提供如下技术方案:
提供一种泛终端国密的票据认证方法,包括以下步骤:
S1:用户在服务器中注册自己的用户名和登录口令,服务器在接收到用户注册的用户名和登录口令后,发送含有国密SM2票据数字证书的询问信息至用户端;
S2:用户接收到询问信息后,向服务器发送包含国密SM2票据数字证书认证的注册信息;
S3:服务器接收到注册信息后采用国密SM2算法解密并通过认证用户操作的合法性;
S4:用户端用服务器的公钥对信息进行对称密码加密,并通过摘要算法生成摘要信息使得信息数据一旦被改变,其摘要信息也会随之改变起到信息的完整性以及传输、存储的安全性,其次采用自己的私钥对信息的散列值进行加密并形成数字签名;
S5:服务器采用用户端的公钥对信息进行签名认证,签名认证通过后再用自己的私钥对信息进行解密,获得明文。
优选的,口令提交前需对口令进行加密传输,并通过加入时间戳使得加密串在设定时间内有效,起到防止重放攻击。
优选的,S4中对称密码加密采用国密SM4算法。
优选的,国密SM4算法的具体步骤如下:
D1:将128位密钥转换成32轮,将当轮密钥盒128位的明文做异或生成待加密的明文;
D2:利用SM4加密算法的S盒模拟出AES算法的S盒,进行明文转换;
D3:将转换后的明文经T变生成128位的密文。
优选的,D2中明文转换采用多线式转换,其公式为:SM4-S(x)=A2(AES-S(x))
A1(X)=U1×X=V1
A2(x)=U2×X+V2
式中:V1、V2为两个8位数的常数,U1、U2分别指两个8×8的二进制常数矩阵;
使用因特尔指令集进行字节到字节的转换,得到转换后的字节。
优选的,S4中摘要算法的具体步骤如下:
A1:将信息中的字段进行字符串接得到原始字符串,设定一把秘钥md5key,将原始信息的字符串与秘钥key拼接形成新的字符串;
A2:采用MD5摘要算法对新的字符串进行运算得到长度为16的byte数组,循环累加前13个byte数组,得到一个介于13至3328的第一数值,13个byte数组中最小时前13个byte都是1,最大时前13个byte都是256;
A3:循环剩余后3个byte与第一数值一一相乘,得到一个介于13到55834574848的第二数值,最小时16个byte都是1,其结果为13×1×1×1,最大时16个byte都是256,其结果为3328×256×256×256,得到11位以内的摘要信息。
与现有技术相比,本发明至少具有如下有益的技术效果:
本发明原理简单,保密性强,采用国密SM4对称加密算法有效保障了用户身份的合法性,避免因票据信息泄漏导致用户技术、资产受损,通过摘要算法生成摘要信息使得信息数据一旦被改变,其摘要信息也会随之改变起到信息的完整性以及传输、存储的安全性,口令提交前需对口令进行加密传输,并通过加入时间戳使得加密串仅在设定时间内有效,起到防止重放攻击。
附图说明
图1为本发明泛终端国密的票据认证方法的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
如图1所示,本发明实施例中,泛终端国密的票据认证方法,包括以下步骤:
S1:用户在服务器中注册自己的用户名和登录口令,服务器在接收到用户注册的用户名和登录口令后,发送含有国密SM2票据数字证书的询问信息至用户端;
S2:用户接收到询问信息后,向服务器发送包含国密SM2票据数字证书认证的注册信息;
S3:服务器接收到注册信息后采用国密SM2算法解密并通过认证用户操作的合法性;
S4:用户端用服务器的公钥对信息进行对称密码加密,并通过摘要算法生成摘要信息使得信息数据一旦被改变,其摘要信息也会随之改变起到信息的完整性以及传输、存储的安全性,其次采用自己的私钥对信息的散列值进行加密并形成数字签名;
S5:服务器采用用户端的公钥对信息进行签名认证,签名认证通过后再用自己的私钥对信息进行解密,获得明文。
进一步的,口令提交前需对口令进行加密传输,并通过加入时间戳使得加密串仅在设定时间内有效,起到防止重放攻击。
进一步的,S4中对称密码加密采用国密SM4算法,其具体步骤如下:
D1:将128位密钥转换成32轮,将当轮密钥盒128位的明文做异或生成待加密的明文;
D2:利用SM4加密算法的S盒模拟出AES算法的S盒,进行明文转换;
D3:将转换后的明文经T变生成128位的密文。
进一步的,D2中明文转换采用多线式转换,其公式为:SM4-S(x)=A2(AES-S(x))
A1(X)=U1×X=V1
A2(x)=U2×X+V2
使用因特尔指令集进行字节到字节的转换,得到转换后的字节;
式中:V1、V2为两个8位数的常数,U1、U2分别指两个8×8的二进制常数矩阵。
进一步的,S4中摘要算法的具体步骤如下:
A1:将信息中的字段进行字符串接得到原始字符串,设定一把秘钥md5key,将原始信息的字符串与秘钥key拼接形成新的字符串;
A2:采用MD5摘要算法对新的字符串进行运算得到长度为16的byte数组,循环累加前13个byte数组,得到一个介于13至3328的第一数值,13个byte数组中最小时前13个byte都是1,最大时前13个byte都是256;
A3:循环剩余后3个byte与第一数值一一相乘,得到一个介于13到55834574848的第二数值,最小时16个byte都是1,其结果为13×1×1×1,最大时16个byte都是256,其结果为3328×256×256×256,得到11位以内的摘要信息。
试验例:
基于上述实施例中的方法搭建泛终端国密的票据认证系统,在服务器中注册五个试验用的用户名和登录口令,采用Findmyhash密码破解工具基于用户名信息依次破解密码。破解出的第一个用户名的密码与其真实的登录口令相似度为20%;破解出的第二个用户名的密码与其真实的登录口令相似度为10%;破解出的第三个用户名的密码与其真实的登录口令相似度为0%;破解出的第四个用户名的密码与其真实的登录口令相似度为25%;破解出的第五个用户名的密码与其真实的登录口令相似度为10%。可见,没有一个破解成功,且破解出的密码与真实的登录口令相差很大。
综上所述:本发明原理简单,保密性强,采用国密SM4对称加密算法有效保障了用户身份的合法性,避免因票据信息泄漏导致用户技术、资产受损,通过摘要算法生成摘要信息使得信息数据一旦被改变,其摘要信息也会随之改变起到信息的完整性以及传输、存储的安全性,口令提交前需对口令进行加密传输,并通过加入时间戳使得加密串仅在设定时间内有效,起到防止重放攻击。
以上所述的,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。

Claims (9)

1.一种泛终端国密的票据认证方法,其特征在于,包括以下步骤:
S1:用户在服务器中注册自己的用户名和登录口令,服务器在接收到用户注册的用户名和登录口令后,发送含有国密SM2票据数字证书的询问信息至用户端;
S2:用户接收到询问信息后,向服务器发送包含国密SM2票据数字证书认证的注册信息;
S3:服务器接收到注册信息后采用国密SM2算法解密并通过认证用户操作的合法性;
S4:用户端用服务器的公钥对信息进行对称密码加密,并通过摘要算法生成摘要信息使得信息数据一旦被改变,其摘要信息也会随之改变起到信息的完整性以及传输、存储的安全性,其次采用自己的私钥对信息的散列值进行加密并形成数字签名;
S5:服务器采用用户端的公钥对信息进行签名认证,签名认证通过后再用自己的私钥对信息进行解密,获得明文。
2.根据权利要求1所述的泛终端国密的票据认证方法,其特征在于,口令提交前需对口令进行加密传输,并通过加入时间戳使得加密串在设定时间内有效,起到防止重放攻击。
3.根据权利要求1所述的泛终端国密的票据认证方法,其特征在于,S4中对称密码加密采用国密SM4算法。
4.根据权利要求3所述的泛终端国密的票据认证方法,其特征在于,国密SM4算法的具体步骤如下:
D1:将128位密钥转换成32轮,将当轮密钥盒128位的明文做异或生成待加密的明文;
D2:利用SM4加密算法的S盒模拟出AES算法的S盒,进行明文转换;
D3:将转换后的明文经T变生成128位的密文。
5.根据权利要求4所述的泛终端国密的票据认证方法,其特征在于,D2中明文转换采用多线式转换,其公式为:SM4-S(x)=A2(AES-S(x))
A1(X)=U1×X=V1
A2(x)=U2×X+V2
式中:V1、V2为两个8位数的常数,U1、U2分别指两个8×8的二进制常数矩阵。
6.根据权利要求5所述的泛终端国密的票据认证方法,其特征在于,使用因特尔指令集进行字节到字节的转换,得到转换后的字节。
7.根据权利要求1所述的泛终端国密的票据认证方法,其特征在于,S4中摘要算法的具体步骤如下:
A1:将信息中的字段进行字符串接得到原始字符串,设定一把秘钥md5key,将原始信息的字符串与秘钥key拼接形成新的字符串;
A2:采用MD5摘要算法对新的字符串进行运算得到长度为16的byte数组,循环累加前13个byte数组,得到一个介于13至3328的第一数值;
A3:循环剩余后3个byte与第一数值一一相乘,得到一个介于13到55834574848的第二数值,最小时16个byte都是1,其结果为13×1×1×1,最大时16个byte都是256,其结果为3328×256×256×256,得到11位以内的摘要信息。
8.根据权利要求7所述的泛终端国密的票据认证方法,其特征在于,步骤A2中,13个byte数组中最小时前13个byte都是1。
9.根据权利要求7所述的泛终端国密的票据认证方法,其特征在于,步骤A2中,3个byte数组中最大时前13个byte都是256。
CN202310117740.2A 2023-02-15 2023-02-15 一种泛终端国密的票据认证方法 Pending CN116318870A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310117740.2A CN116318870A (zh) 2023-02-15 2023-02-15 一种泛终端国密的票据认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310117740.2A CN116318870A (zh) 2023-02-15 2023-02-15 一种泛终端国密的票据认证方法

Publications (1)

Publication Number Publication Date
CN116318870A true CN116318870A (zh) 2023-06-23

Family

ID=86789808

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310117740.2A Pending CN116318870A (zh) 2023-02-15 2023-02-15 一种泛终端国密的票据认证方法

Country Status (1)

Country Link
CN (1) CN116318870A (zh)

Similar Documents

Publication Publication Date Title
Amoah et al. Securing DNP3 broadcast communications in SCADA systems
CN110598422A (zh) 一种基于移动数字证书的可信身份验证系统及方法
CN102223364B (zh) 一种访问电子书数据的方法及系统
Lai et al. Applying semigroup property of enhanced Chebyshev polynomials to anonymous authentication protocol
Lin et al. A new strong-password authentication scheme using one-way hash functions
CN104579694A (zh) 一种身份认证方法及系统
CN108809633B (zh) 一种身份认证的方法、装置及系统
CN114157451A (zh) 物联网设备身份认证方法、装置、系统及存储介质
KR20170047717A (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN109474419A (zh) 一种活体人像照片加密、解密方法及加解密系统
CN108924107A (zh) 一种区块链远程医疗数据调用可验证方法
CN111490874B (zh) 一种配网安全防护方法、系统、装置及存储介质
CN110602083B (zh) 一种数字身份认证数据的安全传输与存储方法
CN115865320A (zh) 一种基于区块链的安全服务管理方法及系统
CN105978688B (zh) 一种基于信息分离管理的跨网域安全认证方法
Li et al. A secure two-factor authentication scheme from password-protected hardware tokens
US8954728B1 (en) Generation of exfiltration-resilient cryptographic keys
CN101834852B (zh) 一种保护平台信息的可信OpenSSH的实现方法
CN102957534A (zh) 一种多终端统一身份认证的方法及系统
CN112636927A (zh) 一种基于kpi双证书的云平台密码化方法
CN114553557B (zh) 密钥调用方法、装置、计算机设备和存储介质
Deng et al. Designated‐Verifier Anonymous Credential for Identity Management in Decentralized Systems
Li An improved lightweight and privacy preserving authentication scheme for smart grid communication
Zhang [Retracted] Application of Information Encryption Technology in Computer Network Communication Security
CN116318870A (zh) 一种泛终端国密的票据认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20230814

Address after: No.136 Xingqing Road, Beilin District, Xi'an City, Shaanxi Province

Applicant after: Xi'an Thermal Power Research Institute Co.,Ltd.

Applicant after: Huaneng Group R&D Center Co., Ltd.

Applicant after: Wuzhong Hongsibao Xinke Energy Co.,Ltd.

Address before: No.136 Xingqing Road, Beilin District, Xi'an City, Shaanxi Province

Applicant before: Xi'an Thermal Power Research Institute Co.,Ltd.

Applicant before: Huaneng Group R&D Center Co., Ltd.