CN108923923A - 一种基于可信第三方的秘钥协商协议的设计及其实现方法 - Google Patents
一种基于可信第三方的秘钥协商协议的设计及其实现方法 Download PDFInfo
- Publication number
- CN108923923A CN108923923A CN201810857713.8A CN201810857713A CN108923923A CN 108923923 A CN108923923 A CN 108923923A CN 201810857713 A CN201810857713 A CN 201810857713A CN 108923923 A CN108923923 A CN 108923923A
- Authority
- CN
- China
- Prior art keywords
- party
- user
- module
- data
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了信息安全技术领域的一种基于可信第三方的秘钥协商协议的设计及其实现方法,包括客户端、数字签名模块、身份鉴别模块、数据公正模块、路由控制服务器、访问控制模块、应用接口、数据加密模块、第三方密钥分配中心以及应用服务器;所述身份鉴别模块用于支持访问控制服务所需的身份认证功能,并进行口令交换,本发明能够使通信双方从对方提供自己支持的功能从而协商共同的安全属性,通过可信任的第三方私钥协商机制,利用正确的鉴别协议,完成用户身份鉴别,并引入可信任的第三方密钥分配中心,减轻私钥的管理难度和降低私钥的安全风险,减小了计算量,同时能够保证整个网络数据的安全性。
Description
技术领域
本发明公开了一种基于可信第三方的秘钥协商协议的设计及其实现方法,具体为信息安全技术领域。
背景技术
威胁网路数据安全的因素是多方面的,例如由于网络设计、管理等方面的原因会无意造成数据的暴漏,攻击者也可采取非法行动从网络中获取数据,从而威胁到数据的安全性和完整性。尽管网络安全对于网络的正常运行和使用有着极其重要的影响,但目前对于网络安全的研究仍然处于不成熟的阶段,对于网络安全体系结构还缺乏统一的认知。私钥密码***应用中一个重要的安全需求就是确保使用的公钥确切的属于指定的接收者,即需要一种将用户标识(ID)和其公钥绑定在一起的安全机制。传统私钥密码体制中,例如采用RSA、DSA、ECC等算法的***,私钥的产生和用户的标识没有关系,需要由第三方认证中心(CA)发放证书,即对用户的私钥和标识进行签名,将二者绑定。私钥方式的身份认证协议安全度高,但是其计算开销大、标准不统一,用户标识私钥丢失后,传统私钥体制中用户的标识和私钥绑定在一起,如果用户私钥丢失,用户可以重新生成一对公钥和私钥,而在标识密码体制中,用户的标识就是公钥,因此无法被注销。为此,我们提出了一种基于可信第三方的秘钥协商协议的设计及其实现方法投入使用,以解决上述问题。
发明内容
本发明的目的在于提供一种基于可信第三方的秘钥协商协议的设计及其实现方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种基于可信第三方的秘钥协商协议的设计及其实现方法,包括客户端、数字签名模块、身份鉴别模块、数据公正模块、路由控制服务器、访问控制模块、应用接口、数据加密模块、第三方密钥分配中心以及应用服务器;
所述用于对上网用户的访问进行认证控制;所述身份鉴别模块用于支持访问控制服务所需的身份认证功能,并进行口令交换;所述数据公正模块基于数字签名技术对数据传输的完整性、数据源、传输时间和数据宿进行公正;所述访问控制模块基于访问控制表和通过容量或能力限制等手段进行资源的访问控制;所述路由控制服务器包括对路由的选择进行限制和对路由信息进行鉴别;所述数据加密模块用于对网络传输中的数据内容进行加密;所述应用接口提供所述客户端和访问控制模块的应用开发接口,其包含创建或读取身份认证请求例程,创建安全或秘密消息的例程;所述第三方密钥分配中心用于合理分配多组用户私钥。
优选的,所述访问控制模块包括对用于设置不同的访问权限、对用户允许访问的时间和访问的持续时间进行限制。
优选的,所述应用接口内置受控端口和非受控端口,其中所述非受控端口始终处于双向连通状态,用于传递EAP协议包;所述受控端口可配置为双向受控、输人受控两种方式,以适应不同的应用环境。
优选的,所述客户端还包括数据管理服务器,用于注册用户通过发送协议包的方式对上网记录进行查询,***管理员通过所述数据管理服务器对注册用户的上网情况进行统计和管理。
优选的,该实现方法的具体步骤如下:
S1:身份验证产生会话私钥KS,连同对方的身份标识B,用与第三方密钥分配中心共享的对称私钥KA进行加密,EKA(B,KS)=KA(B,KS),将结果KA(B,KS)与自身的身份标识A一起发送至第三方密钥分配中心;
S2:第三方密钥分配中心得到用户身份标识A,并用KA对KA(B,KS)进行解密,DKA(KA(B,KS))=B,KS,随后用与对方用户共享的对称私钥对用户A和KS进行加密,EKB(A,KS)=KB(A,KS),将结果KB(A,KS)发送给对方用户;
S3:对方用户用KB对KB(A,KS)进行解密,DKB(KB(A,KS))=B,KS,即确定用户的身份,并建立会话私钥KS
与现有技术相比,本发明的有益效果是:本发明能够使通信双方从对方提供自己支持的功能从而协商共同的安全属性,通过可信任的第三方私钥协商机制,利用正确的鉴别协议,完成用户身份鉴别,并引入可信任的第三方密钥分配中心,减轻私钥的管理难度和降低私钥的安全风险,减小了计算量,同时能够保证整个网络数据的安全性。
附图说明
图1为本发明***原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种技术方案:一种基于可信第三方的秘钥协商协议的设计,包括客户端、数字签名模块、身份鉴别模块、数据公正模块、路由控制服务器、访问控制模块、应用接口、数据加密模块、第三方密钥分配中心以及应用服务器;
所述用于对上网用户的访问进行认证控制;所述身份鉴别模块用于支持访问控制服务所需的身份认证功能,并进行口令交换;所述数据公正模块基于数字签名技术对数据传输的完整性、数据源、传输时间和数据宿进行公正;所述访问控制模块基于访问控制表和通过容量或能力限制等手段进行资源的访问控制;所述路由控制服务器包括对路由的选择进行限制和对路由信息进行鉴别;所述数据加密模块用于对网络传输中的数据内容进行加密;所述应用接口提供所述客户端和访问控制模块的应用开发接口,其包含创建或读取身份认证请求例程,创建安全或秘密消息的例程;所述第三方密钥分配中心用于合理分配多组用户私钥。
其中,所述访问控制模块包括对用于设置不同的访问权限、对用户允许访问的时间和访问的持续时间进行限制,所述应用接口内置受控端口和非受控端口,其中所述非受控端口始终处于双向连通状态,用于传递EAP协议包;所述受控端口可配置为双向受控、输人受控两种方式,以适应不同的应用环境,所述客户端还包括数据管理服务器,用于注册用户通过发送协议包的方式对上网记录进行查询,***管理员通过所述数据管理服务器对注册用户的上网情况进行统计和管理。
本发明还提供了一种基于可信第三方的秘钥协商协议的实现方法,该实现方法的具体步骤如下:
S1:身份验证产生会话私钥KS,连同对方的身份标识B,用与第三方密钥分配中心共享的对称私钥KA进行加密,EKA(B,KS)=KA(B,KS),将结果KA(B,KS)与自身的身份标识A一起发送至第三方密钥分配中心;
S2:第三方密钥分配中心得到用户身份标识A,并用KA对KA(B,KS)进行解密,DKA(KA(B,KS))=B,KS,随后用与对方用户共享的对称私钥对用户A和KS进行加密,EKB(A,KS)=KB(A,KS),将结果KB(A,KS)发送给对方用户;
S3:对方用户用KB对KB(A,KS)进行解密,DKB(KB(A,KS))=B,KS,即确定用户的身份,并建立会话私钥KS。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (5)
1.一种基于可信第三方的秘钥协商协议的设计,其特征在于:包括客户端、数字签名模块、身份鉴别模块、数据公正模块、路由控制服务器、访问控制模块、应用接口、数据加密模块、第三方密钥分配中心以及应用服务器;
所述用于对上网用户的访问进行认证控制;所述身份鉴别模块用于支持访问控制服务所需的身份认证功能,并进行口令交换;所述数据公正模块基于数字签名技术对数据传输的完整性、数据源、传输时间和数据宿进行公正;所述访问控制模块基于访问控制表和通过容量或能力限制等手段进行资源的访问控制;所述路由控制服务器包括对路由的选择进行限制和对路由信息进行鉴别;所述数据加密模块用于对网络传输中的数据内容进行加密;所述应用接口提供所述客户端和访问控制模块的应用开发接口,其包含创建或读取身份认证请求例程,创建安全或秘密消息的例程;所述第三方密钥分配中心用于合理分配多组用户私钥。
2.根据权利要求1所述的一种基于可信第三方的秘钥协商协议的设计,其特征在于:所述访问控制模块包括对用于设置不同的访问权限、对用户允许访问的时间和访问的持续时间进行限制。
3.根据权利要求1所述的一种基于可信第三方的秘钥协商协议的设计,其特征在于:所述应用接口内置受控端口和非受控端口,其中所述非受控端口始终处于双向连通状态,用于传递EAP协议包;所述受控端口可配置为双向受控、输人受控两种方式,以适应不同的应用环境。
4.根据权利要求1所述的一种基于可信第三方的秘钥协商协议的设计,其特征在于:所述客户端还包括数据管理服务器,用于注册用户通过发送协议包的方式对上网记录进行查询,***管理员通过所述数据管理服务器对注册用户的上网情况进行统计和管理。
5.一种基于可信第三方的秘钥协商协议的实现方法,其特征在于:该实现方法的具体步骤如下:
S1:身份验证产生会话私钥KS,连同对方的身份标识B,用与第三方密钥分配中心共享的对称私钥KA进行加密,EKA(B,KS)=KA(B,KS),将结果KA(B,KS)与自身的身份标识A一起发送至第三方密钥分配中心;
S2:第三方密钥分配中心得到用户身份标识A,并用KA对KA(B,KS)进行解密,DKA(KA(B,KS))=B,KS,随后用与对方用户共享的对称私钥对用户A和KS进行加密,EKB(A,KS)=KB(A,KS),将结果KB(A,KS)发送给对方用户;
S3:对方用户用KB对KB(A,KS)进行解密,DKB(KB(A,KS))=B,KS,即确定用户的身份,并建立会话私钥KS。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810857713.8A CN108923923A (zh) | 2018-07-31 | 2018-07-31 | 一种基于可信第三方的秘钥协商协议的设计及其实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810857713.8A CN108923923A (zh) | 2018-07-31 | 2018-07-31 | 一种基于可信第三方的秘钥协商协议的设计及其实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108923923A true CN108923923A (zh) | 2018-11-30 |
Family
ID=64393188
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810857713.8A Pending CN108923923A (zh) | 2018-07-31 | 2018-07-31 | 一种基于可信第三方的秘钥协商协议的设计及其实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108923923A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111130756A (zh) * | 2019-12-30 | 2020-05-08 | 江苏大周基业智能科技有限公司 | 节点路由安全管控*** |
CN113452671A (zh) * | 2021-05-10 | 2021-09-28 | 华东桐柏抽水蓄能发电有限责任公司 | 一种基于设备身份的终端接入认证的方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080130902A1 (en) * | 2006-04-10 | 2008-06-05 | Honeywell International Inc. | Secure wireless instrumentation network system |
CN101420687A (zh) * | 2007-10-24 | 2009-04-29 | 中兴通讯股份有限公司 | 一种基于移动终端支付的身份验证方法 |
CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
CN101662705A (zh) * | 2009-10-19 | 2010-03-03 | 国网信息通信有限公司 | 以太网无源光网络epon的设备认证方法及*** |
CN103167494A (zh) * | 2011-12-16 | 2013-06-19 | 中国电信股份有限公司 | 信息发送方法和*** |
-
2018
- 2018-07-31 CN CN201810857713.8A patent/CN108923923A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080130902A1 (en) * | 2006-04-10 | 2008-06-05 | Honeywell International Inc. | Secure wireless instrumentation network system |
CN101420687A (zh) * | 2007-10-24 | 2009-04-29 | 中兴通讯股份有限公司 | 一种基于移动终端支付的身份验证方法 |
CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
CN101662705A (zh) * | 2009-10-19 | 2010-03-03 | 国网信息通信有限公司 | 以太网无源光网络epon的设备认证方法及*** |
CN103167494A (zh) * | 2011-12-16 | 2013-06-19 | 中国电信股份有限公司 | 信息发送方法和*** |
Non-Patent Citations (2)
Title |
---|
孙树峰等: "《第六届全国计算机应用联合学术会议论文集》", 31 October 2002 * |
汪琰等: "《全国第十二次光纤通信暨第十三届集成光学学术会议》", 30 November 2005 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111130756A (zh) * | 2019-12-30 | 2020-05-08 | 江苏大周基业智能科技有限公司 | 节点路由安全管控*** |
CN113452671A (zh) * | 2021-05-10 | 2021-09-28 | 华东桐柏抽水蓄能发电有限责任公司 | 一种基于设备身份的终端接入认证的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Xue et al. | Combining data owner-side and cloud-side access control for encrypted cloud storage | |
CN103780618B (zh) | 一种基于访问授权票据的跨异构域身份认证及会话密钥协商方法 | |
JP6976949B2 (ja) | サーバーと医療デバイスとの間の鍵配布のための方法及びシステム | |
CN108235805A (zh) | 账户统一方法、装置及存储介质 | |
US7610617B2 (en) | Authentication system for networked computer applications | |
US9397839B2 (en) | Non-hierarchical infrastructure for managing twin-security keys of physical persons or of elements (IGCP/PKI) | |
CN109447647A (zh) | 一种基于区块链的安全支付*** | |
US8010786B1 (en) | Systems and methods for managing digital certificate based communications | |
CN100399739C (zh) | 基于协商通信实现信任认证的方法 | |
CN108432180A (zh) | 用于基于pki的认证的方法和*** | |
Jia et al. | A Blockchain-Assisted Privacy-Aware Authentication scheme for internet of medical things | |
JP2008503966A (ja) | 匿名証明書呈示に関する匿名証明書 | |
CN106888084A (zh) | 一种量子堡垒机***及其认证方法 | |
CN111444492A (zh) | 一种基于医疗区块链的数字身份验证的方法 | |
Xiang et al. | Decentralized authentication and access control protocol for blockchain-based e-health systems | |
Cheng | An architecture for the Internet Key Exchange protocol | |
CN114051031A (zh) | 基于分布式身份的加密通讯方法、***、设备及存储介质 | |
CN109104288A (zh) | 一种基于公钥密码***的认证协议设计及其实现方法 | |
Mao et al. | BTAA: Blockchain and TEE-Assisted Authentication for IoT Systems | |
CN108923923A (zh) | 一种基于可信第三方的秘钥协商协议的设计及其实现方法 | |
Gao et al. | An Immunity Passport Scheme Based on the Dual‐Blockchain Architecture for International Travel | |
CN102075518A (zh) | 一种基于历史角色的信任协商构建方法及*** | |
CN115883102B (zh) | 基于身份可信度的跨域身份认证方法、***及电子设备 | |
Indushree et al. | A novel Blockchain-based authentication scheme for telecare medical information system | |
CN116599659A (zh) | 无证书身份认证与密钥协商方法以及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181130 |
|
RJ01 | Rejection of invention patent application after publication |