CN1829150B - 一种基于cpk的网关认证装置及方法 - Google Patents
一种基于cpk的网关认证装置及方法 Download PDFInfo
- Publication number
- CN1829150B CN1829150B CN2006100727473A CN200610072747A CN1829150B CN 1829150 B CN1829150 B CN 1829150B CN 2006100727473 A CN2006100727473 A CN 2006100727473A CN 200610072747 A CN200610072747 A CN 200610072747A CN 1829150 B CN1829150 B CN 1829150B
- Authority
- CN
- China
- Prior art keywords
- gateway
- file
- user
- machine
- cpk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
本发明公开了一种基于CPK的网关认证装置及方法,包括用户端(1)、发证机(2)和验证机(3);所述用户端(1),用于认证系统做好文件,并将文件和申请书一并发送到发证机(2);所述发证机(2),用于验证用户和文件的合法性,并根据其合法性决定是否发给网关证;验证机(3),检查网关证的合法性,控制文件进出;本发明还提供了一种基于CPK的网关认证方法,本发明实现了大规模的公众网网关之间多个用户终端通过网络获得独立可信认证。
Description
技术领域
本发明涉及网络安全认证技术领域,特别是涉及一种基于CPK的网关认证装置及方法。
背景技术
20世纪90年代中期,随着互联网的引进,外国的防火墙技术也开始流入中国。当时中国就提出在防火墙的基础上,构建进出都能控制的保密网关的设想,并为保密系统研制出我国第一代保密网关。但是在防火墙产生的网关证与终端所产生的文件捆绑技术和规模化认证技术上碰到难点,一直搁置下来。这个问题已经成为防火墙保密网关中的瓶颈问题,成为着保密网关在实际中能否投入应用的关键问题。但是,很遗憾的是,直到目前业界还没有可行的理想产品。
同时,随着网络技术的发展,网络安全认证正从专用信息网的被动防御为主过渡到以公众网(如国际互联网Internet)的主动管理为主的网络世界安全的新时代。与专用信息网比较起来,公众网的特点是规模大,用户终端多,高达几千万级,甚至千亿级,地域广,遍布世界每个角落。
一般地,随着公众网使用人员的增加,良莠不齐的网络资源也逐渐进入公众网络中,病毒、木马、恶意代码如ROOTKIT等常常出现在公众用户所使用的网络资源中,甚至干扰用户使用,成为用户是否使用网络资源的主要原因。
公众网对网络的基本安全是网络的可信性,终端在使用网络资源的过程中,如何对网络资源的来源可信性认证,是公众是否使用网络的首要关心的问题。
现有的网络安全认证可分为两类,即对称密钥技术和非对称密钥技术,其中,非对称密钥技术由于可以避免通过网络传递解密密钥即私钥而在网络安全认证中得到越来越广泛的应用。
非对称密钥中较为常用的安全认证技术是公钥基础设施(Pubic KeyInfrastructure,PKI)。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用自己专有的私钥进行解密。这种方式既保证了信息的机密性,又能保证信息具有不可抵赖性。目前,公钥体制广泛地用于CA认证、数字签名和密钥交换等领域。公钥基础设施(PKI)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。PKI是20世纪80年代由美国学者提出来了的概念,实际上,授权管理基础设施、可信时间戳服务系统、安全保密管理系统、统一的安全电子政务平台等的构筑都离不开它的支持。数字证书认证中心CA、审核注册中心RA(Registration Authority)、密钥管理中心KM(Key Manager)都是组成PKI的关键组件。
另一种较为具有应用前景的网络安全认证技术是基于标识的密码技术(Identity-Based Encryption,IBE),在IBE系统中,每个实体同样具有一个标识。该标识可以是任何有意义的字符串。但和传统公钥系统最大的不同是,在IBE系统中,实体的标识本身就是实体的公开密钥。例如,可以用Email地址、姓名、职位、时间等甚至它们的组合作为实体的标识和公钥。该系统极大的方便了公开密码的管理。例如,发送方想发送一封Email到mike@network.com,他可以直接使用该Email地址作为接收方的公钥进行加密。甚至,一方可以发信的同时指定接收方只能在特定的时间才能解密。
但是,现有的这些非对称网络安全认证加密技术都需要维护具有大量数据的数据库存在,占用大量的存储空间,运行时的效率不高,处理速度很慢,无法在公众网络网关这样的网络设备中使用。
发明内容
本发明的目的在于克服上述缺陷而提供的一种基于CPK的网关认证装置及方法,其实现大规模的公众网网关之间多个用户终端通过网络获得独立可信认证。
为实现本发明目的而提供的一种基于CPK的网关认证装置,包括用户端、发证机和验证机;
所述用户端,用于认证系统做好文件,并将文件和申请书一并发送到发证机;
所述发证机,用于验证用户和文件的合法性,并根据其合法性决定是否发给网关证;
验证机,检查网关证的合法性,控制文件进出。
所述用户端包括CPK的ID证书和公钥矩阵。
所述申请书的内容包括发送文件的完整性码和发送用户的签名。
所述发证机包括包括CPK的ID证书和公钥矩阵。
所述发证机包括网关证,用于检查用户是否合法用户和用户对文件的负责性,并根据检查结果判断是否发给网关证。
为实现本发明目的又提供了一种基于CPK的网关认证方法,包括下列步骤:
步骤1)用户端认证系统做好文件,并将文件和申请书一并发送到发证机;
步骤2)发证机验证用户和文件的合法性,并根据其合法性决定是否发给网关证;
步骤3)验证机检查网关证的合法性,并控制进出文件。
所述步骤2)可以包括下列步骤:
如果发证机验证用户和文件合法,则发放网关证;否则,将不给该文件发放网关证。
所述网关证包括包括网关抽样完整性码的签名。
所述步骤3)可以包括下列步骤:
对出关文件来说,具有合法网关证,就允许出关,如果没有网关证,这个文件就不能出关。
所述步骤3)还可以包括下列步骤:
对进口文件来说,如果带有合法网关证,就允许正常进关,而没有网关证,则存储在备用服务器中,等待进一步处理。
本发明的有益效果是:基于CPK的网关认证装置及方法,为实现规模化的网间可信创造了可行的技术方法,在公众网络中,在内部网与公众网之间设置网关,以认证技术和验证技术在各内部网或者企业网之间实现可信连接,可以在数千万各内部网之间实现任何网关对任何网关之间的认证,构建网络间可信连接的基础设施-网关。本发明的基于CPK的网关认证方法,不需要维护具有大量数据的数据库存在,而且只有一些公用参数占用小量的存储空间,由于以标识生成私钥,并将公钥公开,因此其运行时的效率很高,处理速度很快,在公众网络网关这样的网络设备中可以得到广泛使用。其在可信网络世界的建设中,将同可信计算、可行应用一起组成网络技术影响全局发展的基础技术。
附图说明
图1为本发明的网关认证发送过程示意图;
图2为本发明的网关认证接受过程示意图。
具体实施方式
下面结合附图1和2进一步详细说明本发明的一种基于CPK的网关认证装置及方法。
组合公钥算法(Combined Pubic Key,CPK)是基于标识的公钥算法,其密钥管理中心生成生成彼此对应的私钥计算参数(私钥计算基)和公钥计算参数(公钥计算基);根据第一用户提供的标识,利用所述私钥计算参数计算第一用户的私钥,并将所产生的私钥提供给第一用户;以及公布所述公钥计算参数,以使得第二用户在获得第一用户的标识后,可根据第一用户的标识,利用所述的公钥计算参数,计算第一用户的公钥。
网关(Gateway)又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关的结构也和路由器类似,不同的是互连层。网关既可以用于广域网互连,也可以用于局域网互连。
本发明实施例中的基于CPK的网关认证装置,由用户端1、发证机2和验证机3构成。
用户端1:具有CPK的ID证书和公钥矩阵,本发明中的具有CPK的ID证书和公钥矩阵的产生,在申请人的中国发明专利申请2005100021564基于标识的密钥产生装置及方法中具体实施方式所述,在本发明中全文引用。ID证书提供认证所需所有参数和协议,公钥矩阵能计算任何实体的公钥。设:内部网A的用户Y1给内部网B的用户Y2发送文件X。用户端1用于定义的认证系统(如CPK email认证系统)做好文件,并将文件和申请书一并发送到发证机2。申请书的格式可以自行定义,因为申请书只在本内部网发证机2和各个用户之间起作用,只要本内部网的发证机2认可就行。申请书的内容包括发送文件X的完整性码MAC1和发送用户的签名:SIGY1(MAC1),以确认用户Y1的合法性,并确认文件X是用户Y1的所为。
发证机2:具有CPK的ID证书和公钥矩阵,用于验证用户Y1和文件X的合法性。各内部网可能有不同的安全策略,对保密系统而言,可能发生保密系统和保密系统相连接,发送等级秘密文件的情况,也可能发生保密系统和非保密系统连接的情况,因此,各内部网需要制定满足不同需求的合理的安全策略。各内部网的安全策略可能不相同,但其共同的基本要求是必须检查用户是否合法用户和用户对文件的负责性(对文件X的完整性码MAC1和网关A的数字鉴名)。如该文件是否用户权限范围,该加密的文件是否加了密等。如果不符合条件,则不给该文件发放网关证。因为网关证将在全网范围起作用,因此网关证必须标准化。网关证的核心内容只有一项:SIGA(MAC2);
MAC2是文件X中特定位的抽样完整性码。抽样位由文件长度给出。设文件长度为n,第一个抽样位为n*(1/3),抽取一分组长度码,第二抽样位位n*(2/3),再抽取一分组长度码,MAC2是这两组HASH函数(完整性码)。MAC2为网关证和数据的一体性提供证明。
本发明的网关证的标准化设计,网关证在全网互认,且提供文件和该网关证的一体性、该内部网关的合法性、该网关对文件的负责性等证明。
验证机3:可以在目前的防火墙上实现,只配置公钥矩阵,不配置私钥,用于检查来自任何网关的网关证。验证机3主要任务是检查网关证的合法性,并控制进出文件。对出关文件来说,具有合法网关证,就允许出关,如果没有网关证,这个文件就不能出关。就进口文件来说,如果带有合法网关证,就允许正常进关,而没有网关证,则存储在备用服务器中,等待进一步处理。为了提高验证机3的处理效率,验证机3只检查抽样完整性码MAC2和网关的数字签名。
本发明的验证机3适应各种不同安全策略,处理好各种关系,不影响现有系统的秩序,适用于:有认证网关的内部网到有认证网关的内部网;有认证网关的内部网到没有认证网关的内部网或单机;单机到有认证网关;单机分配备CPK认证系统和没有配备CPK认证系统两种情况。
下面详细描述本发明的基于CPK的网关认证方法,其包括下列步骤:
步骤1)用户端1认证系统做好文件,并将文件和申请书一并发送到发证机2;
用户端1具有CPK的ID证书和公钥矩阵,ID证书提供认证所需所有参数和协议,公钥矩阵能计算任何实体的公钥。用户端1认证系统(如CPK email认证系统)做好文件,并将文件和申请书一并发送到发证机2。申请书的格式可以自行定义,因为申请书只在本内部网发证机2和各个用户之间起作用,只要本内部网的发证机2认可就行。申请书的内容包括发送文件X的完整性码MAC1和发送用户的签名:SIGY1(MAC1),以确认用户Y1的合法性,并确认文件X是用户Y1的所为。
步骤2)发证机2验证用户和文件的合法性,并根据其合法性决定是否发给网关证;
发证机2具有CPK的ID证书和公钥矩阵,验证用户Y1和文件X的合法性。发证机2检查用户是否合法用户和用户对文件的负责性(对文件X的完整性码MAC1和网关A的数字鉴名)。如该文件是否用户权限范围,该加密的文件是否加了密等1。如果不符合条件,则不给该文件发放网关证。网关证的核心内容只有一项:SIGA(MAC2);
MAC2是文件X中特定位的抽样完整性码。抽样位由文件长度给出。设文件长度为n,第一个抽样位为n*(1/3),抽取一分组长度码,第二抽样位位n*(2/3),再抽取一分组长度码,MAC2是这两组HASH函数(完整性码)。MAC2为网关证和数据的一体性提供证明。
如果发证机2验证用户和文件合法,则发放网关证;否则,将不给该文件发放网关证。
步骤3)验证机3检查网关证的合法性,并控制进出文件。
在本实施例中验证机3是在防火墙上实现,只配置公钥矩阵,不配置私钥,其检查来自任何网关的网关证。验证机3检查网关证的合法性,并控制进出文件。对出关文件来说,具有合法网关证,就允许出关,如果没有网关证,这个文件就不能出关。就进口文件来说,如果带有合法网关证,就允许正常进关,而没有网关证,则存储在备用服务器中,等待进一步处理。为了提高验证机3的处理效率,验证机3只检查抽样完整性码MAC2和网关的数字签名。
本实施例是使本领域普通技术人员理解本发明,而对本发明所进行的详细描述,但可以想到,在不脱离本发明的权利要求所涵盖的范围内还可以做出其它的变化和修改,这些变化和修改均在本发明的保护范围内。
Claims (5)
1.一种基于CPK组合公钥算法的网关认证装置,其特征在于,包括用户端(1)、发证机(2)和验证机(3);
所述用户端(1),包括CPK的ID证书和公钥矩阵,用于认证系统做好文件,并将文件和申请书一并发送到发证机(2),所述申请书包括发送文件的完整性码MAC1和发送用户对MAC1的签名;
所述发证机(2),包括CPK的ID证书和公钥矩阵,用于验证文件的完整性码MAC1和发送用户对MAC1的签名,以验证用户和文件的合法性,并根据其合法性决定是否给该文件发给网关证,所述网关证包括网关对文件中特定位的抽样完整性码MAC2的签名;
验证机(3),包括公钥矩阵,用于验证文件中特定位的抽样完整性码MAC2及网关对文件中特定位的抽样完整性码MAC2的签名,控制文件进出网关。
2.一种基于CPK组合公钥算法的网关认证方法,其特征在于,包括下列步骤:
步骤1)用户端包括CPK的ID证书和公钥矩阵,用于认证系统做好文件,并将文件和申请书一并发送到发证机;所述申请书包括发送文件的完整性码MAC1和发送用户对MAC1的签名;
步骤2)发证机包括CPK的ID证书和公钥矩阵,用于验证文件的完整性码MAC1和发送用户对MAC1的签名,以验证用户和文件的合法性,并根据其合法性决定是否发给网关证;所述网关证包括网关对文件中特定位的抽样完整性码MAC2的签名;
步骤3)验证机,包括公钥矩阵,用于检查文件中特定位的抽样完整性码MAC2及网关对文件中特定位的抽样完整性码MAC2的签名,以控制文件进出网关。
3.根据权利要求2所述的网关认证方法,其特征在于,所述步骤2)包括下列步骤:
如果发证机验证用户和文件合法,则发放网关证;否则,将不给该文件发放网关证。
4.根据权利要求3所述的网关认证方法,其特征在于,所述步骤3)包括下列步骤:
对出关文件来说,具有合法网关证,就允许出关,如果没有网关证,这个文件就不能出关。
5.根据权利要求4所述的网关认证方法,其特征在于,所述步骤3)还包括下列步骤:对进关文件来说,如果带有合法网关证,就允许正常进关,而没带网关证,则存储在备用服务器中,等待进一步处理。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006100727473A CN1829150B (zh) | 2006-04-10 | 2006-04-10 | 一种基于cpk的网关认证装置及方法 |
PCT/CN2007/001130 WO2007115495A1 (fr) | 2006-04-10 | 2007-04-09 | Procédé et appareil d'authentification de passerelle sur la base d'une clé publique combinée |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006100727473A CN1829150B (zh) | 2006-04-10 | 2006-04-10 | 一种基于cpk的网关认证装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1829150A CN1829150A (zh) | 2006-09-06 |
CN1829150B true CN1829150B (zh) | 2011-06-01 |
Family
ID=36947298
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006100727473A Expired - Fee Related CN1829150B (zh) | 2006-04-10 | 2006-04-10 | 一种基于cpk的网关认证装置及方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN1829150B (zh) |
WO (1) | WO2007115495A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101668009B (zh) * | 2009-09-27 | 2012-12-12 | 北京联合智华微电子科技有限公司 | 路由地址的安全处理方法和系统 |
CN102195990A (zh) * | 2011-06-27 | 2011-09-21 | 北京虎符科技有限公司 | Cpk认证加密方法在voip上的应用 |
CN103618607B (zh) * | 2013-11-29 | 2016-07-06 | 北京信长城技术研究院 | 一种数据安全传输和密钥交换方法 |
CN104753671A (zh) * | 2013-12-27 | 2015-07-01 | 东方斯泰克信息技术研究院(北京)有限公司 | 网络实体间互联方法与装置和网际网的构建方法与装置 |
CN107204851A (zh) * | 2017-06-15 | 2017-09-26 | 贵州大学 | 基于cpk的id证书私钥阵列的安全生成及存储容器及其使用方法 |
CN111556064B (zh) * | 2020-05-06 | 2022-03-11 | 广东纬德信息科技股份有限公司 | 基于电力网关的密钥管理方法、装置、介质及终端设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
CN1633071A (zh) * | 2005-01-14 | 2005-06-29 | 南相浩 | 基于标识的密钥产生方法及装置 |
US6986460B2 (en) * | 2001-12-31 | 2006-01-17 | Bellsouth Intellectual Property Corporation | Credit card validation for an interactive wireless network |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI20001837A (fi) * | 2000-08-18 | 2002-02-19 | Nokia Corp | Autentikointi |
KR100565164B1 (ko) * | 2004-04-16 | 2006-03-30 | 주식회사 퓨쳐시스템 | 계층 권한 인증방법 |
-
2006
- 2006-04-10 CN CN2006100727473A patent/CN1829150B/zh not_active Expired - Fee Related
-
2007
- 2007-04-09 WO PCT/CN2007/001130 patent/WO2007115495A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1444386A (zh) * | 2001-12-31 | 2003-09-24 | 西安西电捷通无线网络通信有限公司 | 宽带无线ip系统移动终端的安全接入方法 |
US6986460B2 (en) * | 2001-12-31 | 2006-01-17 | Bellsouth Intellectual Property Corporation | Credit card validation for an interactive wireless network |
CN1633071A (zh) * | 2005-01-14 | 2005-06-29 | 南相浩 | 基于标识的密钥产生方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN1829150A (zh) | 2006-09-06 |
WO2007115495A1 (fr) | 2007-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102722931B (zh) | 基于智能移动通讯设备的投票系统及其方法 | |
US8086842B2 (en) | Peer-to-peer contact exchange | |
CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
CN107196966A (zh) | 基于区块链的多方信任的身份认证方法和系统 | |
CN100561919C (zh) | 一种宽带接入用户认证方法 | |
US10826711B2 (en) | Public key infrastructure and method of distribution | |
CN101674304A (zh) | 一种网络身份认证系统及方法 | |
JPH06223041A (ja) | 広域環境利用者認証方式 | |
CN101808142B (zh) | 通过路由器或交换机实现可信网络连接的方法和装置 | |
CN103237038A (zh) | 一种基于数字证书的双向入网认证方法 | |
CN1829150B (zh) | 一种基于cpk的网关认证装置及方法 | |
CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
GB2512324A (en) | Improvements in or relating to public-key certificate management | |
WO2022242572A1 (zh) | 一种个人数字身份管理系统与方法 | |
CN110945833B (zh) | 一种用于多模标识网络隐私保护与身份管理的方法及系统 | |
WO2022033350A1 (zh) | 注册服务的方法及设备 | |
CN113536347A (zh) | 一种基于数字签名的招投标方法及系统 | |
CN100477647C (zh) | 电子邮件管理系统及方法 | |
CN101174945B (zh) | 一种用于验证push消息及其发送方身份的方法 | |
CN103986724A (zh) | 电子邮件实名认证方法及系统 | |
KR100654933B1 (ko) | 사용자의 패스워드 입력에 따라서 동적 생성되는 인증서를인증하는 인증시스템 및 인증방법 | |
Hu et al. | A Study on the hybrid encryption technology in the security transmission of electronic documents | |
Ma et al. | A flow-level architecture for balancing accountability and privacy | |
CN107612696A (zh) | 一种量子可否认协议中两种协议单向归约的方法 | |
Ye | Design Practice of Network Information Security System Based on CA Technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110601 Termination date: 20200410 |
|
CF01 | Termination of patent right due to non-payment of annual fee |