CN101296077A - 一种基于总线型拓扑结构的身份认证*** - Google Patents
一种基于总线型拓扑结构的身份认证*** Download PDFInfo
- Publication number
- CN101296077A CN101296077A CNA2007100490034A CN200710049003A CN101296077A CN 101296077 A CN101296077 A CN 101296077A CN A2007100490034 A CNA2007100490034 A CN A2007100490034A CN 200710049003 A CN200710049003 A CN 200710049003A CN 101296077 A CN101296077 A CN 101296077A
- Authority
- CN
- China
- Prior art keywords
- key
- equipment
- receiving equipment
- topological structure
- bus type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于总线型拓扑结构的身份认证***,利用DH交换和数字信封等技术手段实现设备的身份认证和密钥的安全传递。当接收设备接入***或者接收设备不能正确解密数据时,主动发起与发送设备的身份认证。发送设备与接收设备利用双方的公私钥对产生一个共享密钥值,发送设备利用自己产生的共享密钥将解密密钥及相应的校验码变换成密文M,接收设备利用自己产生的共享密钥解密密文M得出解密密码,同时可以检验其正确性。如果收发双方都是合法的设备,则双方可以正常进行加解密;否则双方不能正常进行加解密,至少有一个是非法的设备。该***可以用于数字内容保护接口、电子商务、银行***、智能卡、身份验证等软硬件环境中。
Description
技术领域
本发明是一种身份认证***,具体地说是对基于总线型拓扑结构的设备,通过交换公钥来进行身份认证的***。
背景技术
在各种信息传送***中,为了保证参与信息交换的实体是合法的、有效的,需要对参与实体的身份进行认证。例如在军事通信中需要确认对方身份,以防止军事情报信息的泄露;在电子商务等互联网环境中,需要对对方的身份进行鉴别;在智能卡等应用环境中,需要对接入设备的合法有效性进行认证;在知识产权领域,需要通过对知识产权内容进行加密、签名等手段保证不被非法窃取。通常在通信双方进行传输加密的数据之前,要对设备进行身份认证以保证通信双方的身份都是真实的、合法有效的。如果认证不能获得成功,则不进行数据传输或者不能对加密的数据进行正确的解密,以让受保护的数据信息不受非法侵害。数据内容在设备间的传输一般分为两种方式:单播方式和广播方式。单播方式可以由树状拓扑结构形成(详见图1),而广播方式可以由总线型拓扑结构形成。不管是单播还是广播传输方式,在通信双方进行传输加密的数据之前,通常要对设备进行认证以保证通信双方的身份都是真实的、合法有效的。如果认证不能获得成功,则不进行数据传输或者不能对加密的数据进行正确的解密,以达到保护数字内容不受非法侵害的目的。以单播方式传输时,认证和传输通常是在两个接口(或者设备)之间进行传送的,解密之前传输的数据是不同的;而广播方式时,一个发送设备要同多个设备进行认证,内容要在总线上进行传输,所有接收端接收的数据在解密前后都是一致的。发送设备用一个密钥加密,再由多个设备用同一个密钥进行解密,解密密钥要在不安全的信道上传输,就需要有一种安全的传输机制来保证解密密钥的安全。
1976年Diffie和hellman在“密码学的新方向”提出了公钥密码的思想,开创了公钥密码学的新纪元。公钥密码体制中的DH密钥交换可以有效地解决共享密钥的产生问题,克服了对称密码***的不足。通信双方通过交换一个参数值,双方就可以产生一个相同的共享密钥。公钥密码体制不仅可以对数据进行加解密,而且还可以用于进行***的合法性认证、数字签名等。通过对比密钥交换中产生的共享密钥的一致性,就可以对设备的合法性进行认证。
本发明提出了一种崭新的认证思路,在广播信道上不仅提供了***的身份认证功能,而且能够安全地传输数字内容解密密钥。非法的设备既不能通过正确身份认证过程,也不能正确解密受保护的数字内容。实现时由第三方权威信任机构通过一定的算法产生公私钥对,该算法要保证任意两个设备交换公钥后与私钥相运算出的值是相等的,这个值就是共享密钥。发送设备同需要认证的接收设备交换各自的公钥,然后双方通过相同的算法计算出共享密钥。双方交换的是设备公钥和加密后的数字内容加解密密钥,公钥本来就是公开的,所以没有保密性可言;而加解密密钥需要用产生的共享密钥来解密,每个接收设备同发送设备产生的共享密钥既不相同,也不能由公钥推算出来就,同时也不在信道上进行传输,因此该加解密密钥的传输是安全的。
发明内容
本方法的目的是解决基于总线型的拓扑结构中,一个发送设备同多个接收设备之间的设备合法性认证、加解密密钥的安全传输等问题。该发明的核心问题是如何保证双方设备的合法性以及加解密密钥的安全传输,设备合法性是基于能够产生相同的共享密钥,加密密钥的安全传输是基于共享密钥的保密性。
假设在一个总线型拓扑结构中有发送设备A和接收设备i(i∈1,2,...,N),它们之间的身份认证过程如下(详见图2):
1、当整个传输***有认证需求时,发送设备与每一个接收设备都要进行身份认证,发送设备与多个接收设备进行认证的先后顺序可以按照一定的优先级或者算法进行。
2、认证开始,收发设备双方交换自己的公钥PA与Pi。
3、发送设备A用接收设备i的公钥Pi与自己的私钥SA按照一定的算法进行运算,得到一个共享密钥Pkey1;同样,接收设备i用发送设备A的公钥PA与自己的私钥Si按照同样的算法进行运算,得到一个共享密钥Pkey2。
4、发送设备A用共享密钥Pkey1将数字内容的解密密钥Key1(每一个接收设备最后得到的解密密钥是相同的)和一个校验码(用于检测传输过程中是否有误码产生)加密为M,并发送给接收设备i。
5、接收设备i利用共享密钥Pkey2对M进行解密得出Key2,如果共享密钥Pkey2与Pkey1相同,则可得出解密密钥Key2=Key1;如果共享密钥Pkey2与Pkey1不同,则得出的解密密钥Key2≠Key1。
6、如果解密出的Key2=Key1,则接收设备可以正确解密出数字内容,同时也说明双方设备都是合法的。如果Key2≠Key1,则说明在收发设备双方中至少有一个非法设备,数字内容也就无法正确传送。
在以上的身份认证过程中,发送设备A要分别同每个接收设备i进行公钥交换,从而产生N个不同的共享密钥。发送设备A要分别用这N个共享密钥加密数字内容的加解密密钥,传送给相应的接收设备。最终每个接收设备所得到的解密密钥是相同的,因为发送设备只能用一个加密密钥加密数字内容,接收设备也必须用相同的解密密钥来解密数字内容。收发设备双方能够计算出相同的共享密钥是关键问题,这不仅证明双方设备的合法性,同时又可以用来传送数字内容的加解密密钥。
数字内容传送过程中新接入的接收设备,也可以按照以上流程进行身份认证和解密密钥的传送。任何一个非法设备的存在,不会影响其他合法设备的正常接收与解密,只是非法设备不能正确解密受保护的数字内容。
附图说明
图1是本发明的基于总线型的拓扑结构
图2是本发明的基于总线型拓扑结构的身份认证过程
具体实施方式
具体操作实现时,该算法的所有参数均由可信任的第三方权威机构确定。把一部分参数公开,而另一部分参数严格保密,并把相应的参数设置到发送设备和N个接收设备中去。为简便起见,本实施例选用了NIST所推荐的素数域上的P-192椭圆曲线和一些简单参数。
首先由权威信任机构选定椭圆曲线参数(p,a,b,G,n,h)等:
其中需要公开的参数为:
椭圆曲线方程y2=x3-ax-b
P=2192-264-1
a=-3(mod p)=p-3=2192-264-22
b=0x 64210519 E59C80E7 0FA7E9AB 72243049 FEB8DEEC C146B9B1
需要严格保密的参数为:
Gx=0x 188DA80E B03090F6 7CBF20EB 43A18800 F4FF0AFD 82FF1012
Gy=0x 07192B95 FFC8DA78 631011ED 6B24CDD5 73F977A1 1E794811
n=0x FFFFFFFF FFFFFFFF FFFFFFFF 99DEF836 146BC9B1 B4D22831
h=1
基点G应该由权威信任机构选取并严格保密,此处为简单起见而选取NIST所推荐的基点参数G。
然后由权威信任机构为发送设备和N个接收设备选取N+1个可公开的设备公钥PA,P1、P2、...、PN,且PA,P1、P2、...、 为了计算简单此处取值为PA=Pi=1。计算标量乘PAG、PiG如下:
PAGx=0x 188DA80E B03090F6 7CBF20EB 43A18800 F4FF0AFD 82FF1012
PAGy=0x 07192B95 FFC8DA78 631011ED 6B24CDD5 73F977A1 1E794811
PiGx=0x 188DA80E B03090F6 7CBF20EB 43A18800 F4FF0AFD 82FF1012
PiGy=0x 07192B95 FFC8DA78 631011ED 6B24CDD5 73F977A1 1E794811
将标量乘PAG和P1G作为设备的私钥,分配如下:公私钥对PA和PAG分配给发送设备A,公私钥对Pi和PiG分配给接收设备i。其中,私钥PAG和PiG严格保密。身份认证过程如下:
1、发送设备A发送PA=1给接收设备i,接收设备i发送Pi=1给发送设备A。在PA与Pi值的位宽选择上,因为PA、 所以可以选择为96比特。
2、发送设备A计算标量乘Pi·PAG得到共享密钥Pkey1;接收设备i计算标量乘P1·PAG,得到共享密钥Pkey1。计算结果如下:
Pkey1x=0x 188DA80E B03090F6 7CBF20EB 43A18800 F4FF0AFD 82FF1012
Pkey1y=0x 07192B95 FFC8DA78 631011ED 6B24CDD5 73F977A1 1E794811
Pkey2x=0x 188DA80E B03090F6 7CBF20EB 43A18800 F4FF0AFD 82FF1012
Pkey2y=0x 07192B95 FFC8DA78 631011ED 6B24CDD5 73F977A1 1E794811
3、发送设备A以Pkey1为密钥,利用ECC或RSA等算法将加解密密钥Key1和固定校验字“0x5FA8D30B”转换为密文M,并发送给接收设备i。
4、接收设备i利用共享密钥Pkey2解密密文M,从解密后的明文中提取出固定校验字,看其是否为“0x5FA8D30B”,若是则提取出加解密密钥Key2;若不是则不能提取出正确的解密密钥Key2。
5、如果解密出的加解密密钥Key2与发端的加解密密钥Key1是相同的,那么说明身份认证成功,双方设备都是合法的。在数字内容传输过程中就可以用解密密钥Key2正确解码出接收设备i的数字内容。
如果解密出的加解密密钥Key2与发端的加解密密钥Key1是不相同的,那么说明身份认证不成功,数字内容不能在收发双方间正确的传送。一个非法的接收设备不会影响其他合法设备的正常接收与解码;但是,非法的发送设备将使整个总线型拓扑网络无法正常的工作。
Claims (9)
1、一种基于总线型拓扑结构的身份认证***。其特征是:利用DH密钥交换和数字信封等技术手段实现收发设备双方的身份认证以及数据加解密密钥的安全传输。收发设备通过交换设备公钥来产生一个共享密钥,发送设备利用共享密钥加密数据解密密钥,接收设备利用共享密钥解密出数据解密密钥。
2、根据权利要求1所述的一种基于总线型拓扑结构的身份认证***,其特征是:若收发设备都是合法的,则接收设备可以利用此解密密钥正确地进行解密数据;否则,任何一个非法的设备将导致不能正常进行数据的加解密。
3、根据权利要求2所述的一种基于总线型拓扑结构的身份认证***,其特征是:收发设备的公私钥对是预置的,利用自己的私钥和对方设备的公约生成一个共享密钥;如果收发设备都是合法的,则双方生成的共享密钥是相同的,这是由公私钥对的生成算法保证的。
4、根据权利要求3所述的一种基于总线型拓扑结构的身份认证***,其特征是:身份认证的触发是当接收设备接入***或者接收设备无法正确进行解密时,由接收设备触发的。
5、根据权利要求4所述的一种基于总线型拓扑结构的身份认证***,其特征是:只有每一个接收设备都同发送设备成功进行身份认证以后,才可以正常进行加解密;每个接收设备与发送设备认证所产生的共享密钥是不同的。
6、根据权利要求5所述的一种基于总线型拓扑结构的身份认证***,其特征是:发送设备在对解密密钥进行加密前,可以在解密密钥后附加一个校验码,用于接收设备对解密出的解密密钥进行数据校验。
7、根据权利要求6所述的一种基于总线型拓扑结构的身份认证***,其特征是:双方设备的合法性是通过间接的形式进行验证的,即通过接收设备是否能够正确解密数据来判断设备双方是否都是合法的。
8、根据权利要求7所述的一种基于总线型拓扑结构的身份认证***,其特征是:接收设备可以在任何时间发起同发送设备的身份认证,其他接收设备能够正常进行工作。
9、根据权利要求8所述的一种基于总线型拓扑结构的身份认证***,其特征是:发送设备发送给每一个接收设备的解密密钥都是相同的,在数据加密传输前,该解密密钥是由发送设备根据一定的算法产生的,它每次都是不同的。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200710049003 CN101296077B (zh) | 2007-04-29 | 2007-04-29 | 一种基于总线型拓扑结构的身份认证*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200710049003 CN101296077B (zh) | 2007-04-29 | 2007-04-29 | 一种基于总线型拓扑结构的身份认证*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101296077A true CN101296077A (zh) | 2008-10-29 |
CN101296077B CN101296077B (zh) | 2012-07-11 |
Family
ID=40066113
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200710049003 Expired - Fee Related CN101296077B (zh) | 2007-04-29 | 2007-04-29 | 一种基于总线型拓扑结构的身份认证*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101296077B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101826960A (zh) * | 2010-04-16 | 2010-09-08 | 中国电子科技集团公司第二十八研究所 | 一种实时传输加解密数据的校验方法 |
WO2010145281A1 (zh) * | 2009-10-26 | 2010-12-23 | 中兴通讯股份有限公司 | 一种数据传输方法及设备 |
CN102710421A (zh) * | 2012-06-14 | 2012-10-03 | 深圳市中联创新自控***有限公司 | 一种匹配式通讯方法 |
CN104796262A (zh) * | 2015-04-27 | 2015-07-22 | 上海青橙实业有限公司 | 数据加密方法及终端*** |
CN114124378A (zh) * | 2021-11-26 | 2022-03-01 | 北京神经元网络技术有限公司 | 基于autbus总线的通信方法、***、设备及介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1108041C (zh) * | 1999-12-01 | 2003-05-07 | 陈永川 | 运用椭圆曲线加密算法的数字签名方法 |
CN100452695C (zh) * | 2002-11-29 | 2009-01-14 | 北京华大信安科技有限公司 | 椭圆曲线加密解密方法和装置 |
-
2007
- 2007-04-29 CN CN 200710049003 patent/CN101296077B/zh not_active Expired - Fee Related
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010145281A1 (zh) * | 2009-10-26 | 2010-12-23 | 中兴通讯股份有限公司 | 一种数据传输方法及设备 |
CN101707767B (zh) * | 2009-10-26 | 2012-09-26 | 中兴通讯股份有限公司 | 一种数据传输方法及设备 |
CN101826960A (zh) * | 2010-04-16 | 2010-09-08 | 中国电子科技集团公司第二十八研究所 | 一种实时传输加解密数据的校验方法 |
CN102710421A (zh) * | 2012-06-14 | 2012-10-03 | 深圳市中联创新自控***有限公司 | 一种匹配式通讯方法 |
CN104796262A (zh) * | 2015-04-27 | 2015-07-22 | 上海青橙实业有限公司 | 数据加密方法及终端*** |
CN104796262B (zh) * | 2015-04-27 | 2018-05-04 | 上海青橙实业有限公司 | 数据加密方法及终端*** |
CN114124378A (zh) * | 2021-11-26 | 2022-03-01 | 北京神经元网络技术有限公司 | 基于autbus总线的通信方法、***、设备及介质 |
CN114124378B (zh) * | 2021-11-26 | 2024-03-08 | 北京神经元网络技术有限公司 | 基于autbus总线的通信方法、***、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101296077B (zh) | 2012-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11323276B2 (en) | Mutual authentication of confidential communication | |
US10015159B2 (en) | Terminal authentication system, server device, and terminal authentication method | |
CN108199835B (zh) | 一种多方联合私钥解密方法 | |
WO2018236908A1 (en) | SECURE COMMUNICATIONS PROVIDING PERSISTENT CONFIDENTIALITY | |
CN101296075B (zh) | 一种基于椭圆曲线的身份认证*** | |
EP2334008A1 (en) | A system and method for designing secure client-server communication protocols based on certificateless public key infrastructure | |
CN102394749B (zh) | 数据传输的线路保护方法、***、信息安全设备及应用设备 | |
US11870891B2 (en) | Certificateless public key encryption using pairings | |
KR20170035665A (ko) | 키 교환 장치 및 방법 | |
JP6548172B2 (ja) | 端末認証システム、サーバ装置、及び端末認証方法 | |
CN111614621B (zh) | 物联网通信方法和*** | |
JP2006174356A (ja) | 擬似公開鍵暗号方法及びシステム | |
CN103678174A (zh) | 数据安全方法、存储装置和数据安全*** | |
JP2020530726A (ja) | サプライチェーン資産管理を保護するアプリケーションを有する遠隔サーバへのnfcタグ認証 | |
KR20160020866A (ko) | 폐쇄형 네트워크에서 암복호화 서비스 제공 시스템 및 방법 | |
KR101516114B1 (ko) | 인증서 기반 프록시 재암호화 방법 및 이를 위한 시스템 | |
CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 | |
CN101296077B (zh) | 一种基于总线型拓扑结构的身份认证*** | |
US20220038267A1 (en) | Methods and devices for secured identity-based encryption systems with two trusted centers | |
CN111526131B (zh) | 基于秘密共享和量子通信服务站的抗量子计算的电子公文传输方法和*** | |
KR20170087120A (ko) | 무인증서 공개키 암호 시스템 및 수신 단말기 | |
EP3361670B1 (en) | Multi-ttp-based method and device for verifying validity of identity of entity | |
CN114342315B (zh) | 网络中多个实体之间的对称密钥生成、认证和通信 | |
WO2010076899A1 (ja) | 放送型暗号システム、送信者装置、ユーザ装置、カプセル化/脱カプセル化方法 | |
CN117040905A (zh) | 数据加密传输方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120711 Termination date: 20160429 |