CN110708337A - 一种基于身份认证的大数据安全框架*** - Google Patents

一种基于身份认证的大数据安全框架*** Download PDF

Info

Publication number
CN110708337A
CN110708337A CN201911041917.5A CN201911041917A CN110708337A CN 110708337 A CN110708337 A CN 110708337A CN 201911041917 A CN201911041917 A CN 201911041917A CN 110708337 A CN110708337 A CN 110708337A
Authority
CN
China
Prior art keywords
client
big data
data server
identifier
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911041917.5A
Other languages
English (en)
Other versions
CN110708337B (zh
Inventor
李少杰
程林
杨培强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Software Technology Co Ltd
Original Assignee
Shandong Inspur Business System Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Inspur Business System Co Ltd filed Critical Shandong Inspur Business System Co Ltd
Priority to CN201911041917.5A priority Critical patent/CN110708337B/zh
Publication of CN110708337A publication Critical patent/CN110708337A/zh
Application granted granted Critical
Publication of CN110708337B publication Critical patent/CN110708337B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种基于身份认证的大数据安全框架***,涉及大数据安全技术领域;包括至少一个大数据服务器,并利用大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话。

Description

一种基于身份认证的大数据安全框架***
技术领域
本发明公开一种基于身份认证的大数据安全框架***,涉及大数据安全技术领域。
背景技术
信息时代大数据的环境之下,数据的安全极其重要。目前大部分公司开始为互联网用户提供大数据服务,包括信息的检索和共享,这些服务也会带来严重的安全问题。目前,大数据常用的是数字安全认证技术,***大多数使用非对称和传统的公钥加密,提供相互认证,保证数据的安全性。然而,现有的认证方案通常是在集中式服务器上认证,认证负载大部分集中到认证服务器上,随着***规模的增大,认证服务器的负载也随之加重,容易成为***的瓶颈,大大降低***的认证效率。同时,使用对称密钥对消息进行加密,攻击者可以在收集大量信息后,以离线方式通过计算和密码分析对口令进行攻击。
本发明公开一种基于身份认证的大数据安全框架***,解决现有大数据安全认证中采用集中式服务器认证,导致***负载过重的问题,同时可以防止使用对称密钥对消息进行加密,攻击者收集大量信息后,以离线方式通过计算和密码分析对口令进行攻击的问题。
发明内容
本发明针对现有技术的问题,提供一种基于身份认证的大数据安全框架***,具有通用性强、实施简便等特点,具有广阔的应用前景。
本发明提出的具体方案是:
一种基于身份认证的大数据安全框架***,包括至少一个大数据服务器,
并利用大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
所述的***中大数据服务器选择一个发生器和一个主密钥,利用发生器和主密钥创建公共密钥,选择没有冲突的单向散列函数作为运算规则。
所述的***中智能卡中加密的标识符和客户密码,与客户端自己的标识符和客户密码通过运算规则运算后相符,则客户端接收智能卡。
所述的***中大数据服务器选择一个发生器g∈R G和一个主密钥
Figure BDA0002253078140000021
则创建公共密钥PBS=x.g,选择没有冲突的单向散列函数作为运算规则:
H1={0,1}*×{0,1}*×G×G×G×G→{0,1}l
H2={0,1}*×{0,1}l→{0,1}l;H3={0,1}*→{0,1}l,l表示大数据服务器分发密钥采用的安全参数。
所述的***中大数据服务器获取客户端的标识符IDU和客户密码PWU,其中
Figure BDA0002253078140000031
随机数
Figure BDA0002253078140000032
大数据主服务器计算,客户端需要认证的密钥,KIDU=PBS·H3(IDU),加密标识符和客户密码获得
Figure BDA0002253078140000033
同时产生一个随机数
Figure BDA0002253078140000034
加密随机数s,将客户端需要认证的密钥KIDU、加密后的标识符和客户密码BS、加密的随机参数s及运算规则置入智能卡发送给客户端,
智能卡中加密的标识符和客户密码BS,与客户端自己的标识符IDU和客户密码PWU通过运算规则运算后相符,则客户端接收智能卡。
所述的***中大数据服务器接受客户端的验证参数,包括T1,IDU,RU, MU,其中随机数RU=(xU,yU)∈R G,U1=H3(T1),MU=RU+U1·KIDU,同时匿名标识符
Figure BDA0002253078140000035
T1是客户端发送请求的时间。
所述的***中根据接收到客户端消息的延迟时间判断是否建立会话:
大数据服务器计算T2-T1≤ΔT1,T2表示大数据服务器接收到消息的时间,ΔT1表示消息传输的延迟时间,如果上式不成立,大数据服务器中断和客户端的会话,否则计算KIDNBS=PBSH3(IDNBS),IDNBS是大数据服务器的身份标识,大数据服务器产生随机数Rs=(xs,ys)∈R G,
Figure BDA0002253078140000036
计算S1=H3(T3),Ms=Rs+S1KIDNBS
会话密钥skNBS=H1(IDU||IDNBS||MS||MU||RS||RU),
信息认证码MACNBS=(skNBS+xs)g,大数据服务器发送信息认证码 MACNBS,T3,Ms,Rs给客户端,T3是发送消息的时间,
客户端验证条件T4-T3≤ΔT2,T4表示客户端接收消息的时间,ΔT2 表示消息传输的延迟时间,如果上式成立,客户端产生
Figure BDA0002253078140000037
计算会话密钥sku=H1(IDU||IDNBS||MS||MU||RS||RU),消息验证码MACU=(skU+xU)g,客户端检查条件MACU=?MACNBS,如果条件成立,大数据服务器通过会话密钥sk=skU=skNBS,认证客户端,建立会话。
一种基于身份认证的实现大数据安全的方法,利用至少一个大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用至少一个大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
所述的方法中大数据服务器选择一个发生器和一个主密钥,利用发生器和主密钥创建公共密钥,选择没有冲突的单向散列函数作为运算规则。
所述的方法中智能卡中加密的标识符和客户密码,与客户端自己的标识符和客户密码通过运算规则运算后相符,则客户端接收智能卡。
本发明的有益之处是:
本发明提供一种基于身份认证的大数据安全框架***,利用大数据服务器分发智能卡给客户端,通过大数据服务器创建公共密钥,定义运算规则,再利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,置入智能卡发送给客户端,同时利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话,建立会话前大数据服务器接受客户端的请求服务和客户端发送的验证参数,根据接收到客户端消息的延迟时间判断是否建立会话,如果建立会话则通过会话密钥获得信息认证码,发送信息认证码给客户端,再通过判断大数据服务器发送消息的时间与客户端接收消息的时间的差值与延迟时间的关系,决定大数据服务器与客户端是否进行会话,并再次客户端进行验证,验证通过才则建立会话;利用本发明***解决现有大数据安全认证的采用集中式服务器认证框架,导致***负载过重的问题,同时可以提高会话验证的稳定性,防止使用对称密钥对消息进行加密,攻击者收集大量信息后,以离线方式通过计算和密码分析对口令进行攻击。
附图说明
图1是本发明方法流程示意图。
图2本发明***各部分交互示意图。
具体实施方式
本发明提供一种基于身份认证的大数据安全框架***,包括至少一个大数据服务器,
并利用大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
同时提供与上述***相应的一种基于身份认证的实现大数据安全的方法,利用至少一个大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用至少一个大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
利用本发明***基于身份认证进行大数据安全管理,大数据服务器是密钥分发的中心,为客户端发放智能卡,大数据服务器与客户端进行相互认证,客户端获得智能卡,大数据服务器与客户端通过公共网络利用密钥建立会话,***可建立服务器集群,选择一个服务器作为主服务,进行具体过程为:
大数据服务器任意选择一个发生器g∈R G,选择一个主密钥和一个公共密钥PBS=x.g,选择没有冲突的单向散列函数:
H1={0,1}*×{0,1}*×G×G×G×G→{0,1}l
H2={0,1}*×{0,1}l→{0,1}l;H3={0,1}*→{0,1}l,将以上参数 <Fq,E,G,l,g,PBS,H1,H2,H3>,作为整个***的参数,其中, Fq,E,l表示椭圆曲线密码学给定的参数,Fq表示素数有限域,E表示素数有限域Fq上的椭圆曲线,l表示大数据服务器分发密钥采用的安全参数,可根据实际情况确定;
大数据服务器与发送客户端智能卡,其中客户端获取标识符IDU和密码 PWU,同时产生随机数
Figure BDA0002253078140000071
然后计算
Figure BDA0002253078140000072
将参数 <IDU,PWU>,发送到大数据主服务器,在时间T的时候,从客户端接收消息,然后大数据主服务器计算,客户端需要认证的密钥,KIDU=PBS· H3(IDU),
Figure BDA0002253078140000073
同时产生一个随机数
Figure BDA0002253078140000074
大数据主服务器,将<Bs,KIDs,H1,H2,H3,s>参数发送给客户端,参数s被大数据主服务器加密,客户端获取智能卡之后,将一个随机数u***到卡中,然后智能卡里面的参数是<Bs,KIDs,H1,H2,H3,s,u>,客户端验证自己的IDU和PWU是否符合
Figure BDA0002253078140000075
如果符合,客户端接收这个智能卡;
利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:
客户端向附近的大数据服务器请求服务,客户端和服务器之间相互认证,产生会话密钥,其中客户端使用自己的身份标识符IDU和密码PWU,访问附近的大数据服务器,同时计算
Figure BDA0002253078140000076
检查BU=?BS,如果相等,选择一个随机数RU=(xU,yU)∈RG,其中(xU,yU)是属于集G的一个随机数实数,计算U1=H3(T1),MU=RU+U1·KIDU,同时匿名标识符客户端将参数<T1,IDU,RU,MU>,发送给大数据服务器,T1是客户端发送请求的时间,
当接收到消息时,大数据服务器计算T2-T1≤ΔT1,T2表示大数据服务器接收到消息的时间,ΔT1表示消息传输的延迟时间,如果上式不成立,大数据服务器中断和客户端的会话,否则计算KIDNBS=PBSH3(IDNBS),IDNBS是大数据服务器的身份标识,IDNBS由大数据服务器唯一确定,大数据服务器产生随机数Rs=(xs,ys)∈R G,
Figure BDA0002253078140000081
计算S1=H3(T3), Ms=Rs+S1KIDNBS,会话密钥skNBS=H1(IDU||IDNBS||MS||MU||RS||RU),信息认证码MACNBS=(skNBS+xs)g,大数据服务器发送消息<T3,Ms, Rs,MACNBS>给客户端,T3是发送消息的时间,
接收到消息时,客户端验证条件T4-T3≤ΔT2,T4表示接收消息的时间,ΔT2表示消息传输的延迟时间。如果条件成立,客户端产生
Figure BDA0002253078140000082
然后计算会话密钥sku=H1(IDU||IDNBS||MS||MU||RS||RU),消息验证码 MACU=(skU+xU)g,客户端检查条件MACU=?MACNBS,如果条件成立,大数据服务器通过会话密钥sk=skU=skNBS,认证客户端,建立会话,客户端可以通过公共网络,安全访问大数据服务器。
利用本发明方法基于身份认证进行大数据安全管理时,与上述过程相同,在服务器集群中,可选择一个服务器作为主服务,进行具体过程为:
大数据服务器任意选择一个发生器g∈RG,选择一个主密钥
Figure BDA0002253078140000083
和一个公共密钥PBS=x.g,选择没有冲突的单向散列函数:
H1={0,1}*×{0,1}*×G×G×G×G→{0,1}l
H2={0,1}*×{0,1}l→{0,1}l;H3={0,1}*→{0,1}l,将以上参数 <Fq,E,G,l,g,PBS,H1,H2,H3>,作为整个***的参数,其中, Fq,E,l表示椭圆曲线密码学给定的参数,Fq表示素数有限域,E表示素数有限域Fq上的椭圆曲线,l表示大数据服务器分发密钥采用的安全参数,可根据实际情况确定;
大数据服务器与发送客户端智能卡,其中客户端获取标识符IDU和密码 PWU,同时产生随机数
Figure BDA0002253078140000084
然后计算
Figure BDA0002253078140000085
将参数 <IDU,PWU>,发送到大数据主服务器,在时间T的时候,从客户端接收消息,然后大数据主服务器计算,客户端需要认证的密钥,KIDU=PBS· H3(IDU),
Figure BDA0002253078140000086
同时产生一个随机数
Figure BDA0002253078140000087
大数据主服务器,将<Bs,KIDs,H1,H2,H3,s>参数发送给客户端,参数s被大数据主服务器加密,客户端获取智能卡之后,将一个随机数u***到卡中,然后智能卡里面的参数是<Bs,KIDs,H1,H2,H3,s,u>,客户端验证自己的IDU和PWU是否符合
Figure BDA0002253078140000091
如果符合,客户端接收这个智能卡;
利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:
客户端向附近的大数据服务器请求服务,客户端和服务器之间相互认证,产生会话密钥,其中客户端使用自己的身份标识符IDU和密码PWU,访问附近的大数据服务器,同时计算
Figure BDA0002253078140000092
检查BU=?BS,如果相等,选择一个随机数RU=(xU,yU)∈RG,其中(xU,yU)是属于集G的一个随机数实数,计算U1=H3(T1),MU=RU+U1·KIDU,同时匿名标识符
Figure BDA0002253078140000093
客户端将参数<T1,IDU,RU,MU>,发送给大数据服务器,T1是客户端发送请求的时间,
当接收到消息时,大数据服务器计算T2-T1≤ΔT1,T2表示大数据服务器接收到消息的时间,ΔT1表示消息传输的延迟时间,如果上式不成立,大数据服务器中断和客户端的会话,否则计算KIDNBS=PBSH3(IDNBS), IDNBS是大数据服务器的身份标识,IDNBS由大数据服务器唯一确定,大数据服务器产生随机数Rs=(xs,ys)∈R G,
Figure BDA0002253078140000094
计算S1=H3(T3), Ms=Rs+S1KIDNBS,会话密钥skNBS=H1(IDU||IDNBS||MS||MU||RS||RU),信息认证码MACNBS=(skNBS+xs)g,大数据服务器发送消息<T3,Ms, Rs,MACNBS>给客户端,T3是发送消息的时间,
接收到消息时,客户端验证条件T4-T3≤ΔT2,T4表示接收消息的时间,ΔT2表示消息传输的延迟时间。如果条件成立,客户端产生
Figure BDA0002253078140000095
然后计算会话密钥sku=H1(IDU||IDNBS||MS||MU||RS||RU),消息验证码 MACU=(skU+xU)g,客户端检查条件MACU=?MACNBS,如果条件成立,大数据服务器通过会话密钥sk=skU=skNBS,认证客户端,建立会话,客户端可以通过公共网络,安全访问大数据服务器。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。

Claims (10)

1.一种基于身份认证的大数据安全框架***,其特征是包括至少一个大数据服务器,
并利用大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
2.根据权利要求1所述的***,其特征是大数据服务器选择一个发生器和一个主密钥,利用发生器和主密钥创建公共密钥,选择没有冲突的单向散列函数作为运算规则。
3.根据权利要求1或2所述的***,其特征是智能卡中加密的标识符和客户密码,与客户端自己的标识符和客户密码通过运算规则运算后相符,则客户端接收智能卡。
4.根据权利要求3所述的***,其特征是大数据服务器选择一个发生器g∈R G和一个主密钥则创建公共密钥PBS=x.g,选择没有冲突的单向散列函数作为运算规则:
H1={0,1}*×{0,1}*×G×G×G×G→{0,1}l
H2={0,1}*×{0,1}l→{0,1}l;H3={0,1}*→{0,1}l,l表示大数据服务器分发密钥采用的安全参数。
5.根据权利要求4所述的***,其特征是大数据服务器获取客户端的标识符IDU和客户密码PWU,其中
Figure FDA0002253078130000021
随机数
Figure FDA0002253078130000022
大数据主服务器计算,客户端需要认证的密钥,KIDU=PBS·H3(IDU),加密标识符和客户密码获得
Figure FDA0002253078130000023
同时产生一个随机数加密随机数s,将客户端需要认证的密钥KIDU、加密后的标识符和客户密码BS、加密的随机参数s及运算规则置入智能卡发送给客户端,
智能卡中加密的标识符和客户密码BS,与客户端自己的标识符IDU和客户密码PWU通过运算规则运算后相符,则客户端接收智能卡。
6.根据权利要求5所述的***,其特征是大数据服务器接受客户端的验证参数,包括T1,IDU,RU,MU,其中随机数RU=(xU,yU)∈R G,U1=H3(T1),MU=RU+U1·KIDU,同时匿名标识符
Figure FDA0002253078130000025
T1是客户端发送请求的时间。
7.根据权利要求6所述的***,其特征是根据接收到客户端消息的延迟时间判断是否建立会话:
大数据服务器计算T2-T1≤ΔT1,T2表示大数据服务器接收到消息的时间,ΔT1表示消息传输的延迟时间,如果上式不成立,大数据服务器中断和客户端的会话,否则计算KIDNBS=PBS H3(IDNBS),IDNBS是大数据服务器的身份标识,大数据服务器产生随机数Rs=(xs,ys)∈R G,
Figure FDA0002253078130000027
计算S1=H3(T3),Ms=Rs+S1KIDNBS
会话密钥skNBS=H1(IDU||IDNBS||MS||MU||RS||RU),
信息认证码MACNBS=(skNBS+xs)g,大数据服务器发送信息认证码MACNBS,T3,Ms,Rs给客户端,T3是发送消息的时间,
客户端验证条件T4-T3≤ΔT2,T4表示客户端接收消息的时间,ΔT2表示消息传输的延迟时间,如果上式成立,客户端产生
Figure FDA0002253078130000031
计算会话密钥sku=H1(IDU||IDNBS||MS||MU||RS||RU),消息验证码MACU=(skU+xU)g,客户端检查条件MACU=?MACNBS,如果条件成立,大数据服务器通过会话密钥sk=skU=skNBS,认证客户端,建立会话。
8.一种基于身份认证的实现大数据安全的方法,其特征是利用至少一个大数据服务器分发智能卡给客户端:大数据服务器创建公共密钥,定义运算规则,
大数据服务器获取客户端的标识符和客户密码,利用公共密钥和标识符加密客户端需要认证的密钥,并利用运算规则加密标识符和客户密码,同时加密随机参数,将客户端需要认证的密钥、加密后的标识符和客户密码、加密的随机参数和运算规则置入智能卡发送给客户端;
并利用至少一个大数据服务器与客户端通过智能卡进行相互认证从而建立会话:大数据服务器接受客户端的请求服务和客户端发送的验证参数,
根据接收到客户端消息的延迟时间判断是否建立会话,若大数据服务器接收到消息的时间与客户端发送请求的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则利用随机数、客户端的标识符、大数据服务器的标识及公共秘钥加密获得会话密钥,通过会话密钥获得信息认证码,大数据服务器发送信息认证码给客户端,若大数据服务器发送消息的时间与客户端接收消息的时间的差值大于延迟时间,则大数据服务器中断与客户端会话,否则客户端进行验证,验证通过则建立会话。
9.根据权利要求8所述的方法,其特征是大数据服务器选择一个发生器和一个主密钥,利用发生器和主密钥创建公共密钥,选择没有冲突的单向散列函数作为运算规则。
10.根据权利要求8或9所述的方法,其特征是智能卡中加密的标识符和客户密码,与客户端自己的标识符和客户密码通过运算规则运算后相符,则客户端接收智能卡。
CN201911041917.5A 2019-10-30 2019-10-30 一种基于身份认证的大数据安全框架*** Active CN110708337B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911041917.5A CN110708337B (zh) 2019-10-30 2019-10-30 一种基于身份认证的大数据安全框架***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911041917.5A CN110708337B (zh) 2019-10-30 2019-10-30 一种基于身份认证的大数据安全框架***

Publications (2)

Publication Number Publication Date
CN110708337A true CN110708337A (zh) 2020-01-17
CN110708337B CN110708337B (zh) 2022-06-28

Family

ID=69203859

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911041917.5A Active CN110708337B (zh) 2019-10-30 2019-10-30 一种基于身份认证的大数据安全框架***

Country Status (1)

Country Link
CN (1) CN110708337B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111629003A (zh) * 2020-05-28 2020-09-04 河南智云数据信息技术股份有限公司 面向物联网的密钥分发方法
CN112016073A (zh) * 2020-08-31 2020-12-01 北京中软华泰信息技术有限责任公司 一种服务器零信任连接架构的构建方法
CN114531254A (zh) * 2020-10-30 2022-05-24 ***通信有限公司研究院 一种认证信息获取方法、装置、相关设备和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105072110A (zh) * 2015-08-06 2015-11-18 山东科技大学 一种基于智能卡的双因素远程身份认证方法
CN105119721A (zh) * 2015-08-06 2015-12-02 山东科技大学 一种基于智能卡的三因素远程身份认证方法
US9454654B1 (en) * 2013-12-31 2016-09-27 Emc Corporation Multi-server one-time passcode verification on respective high order and low order passcode portions
CN107248997A (zh) * 2017-07-03 2017-10-13 暨南大学 多服务器环境下基于智能卡的认证方法
CN107294725A (zh) * 2016-04-05 2017-10-24 电子科技大学 一种多服务器环境下的三因素认证方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9454654B1 (en) * 2013-12-31 2016-09-27 Emc Corporation Multi-server one-time passcode verification on respective high order and low order passcode portions
CN105072110A (zh) * 2015-08-06 2015-11-18 山东科技大学 一种基于智能卡的双因素远程身份认证方法
CN105119721A (zh) * 2015-08-06 2015-12-02 山东科技大学 一种基于智能卡的三因素远程身份认证方法
CN107294725A (zh) * 2016-04-05 2017-10-24 电子科技大学 一种多服务器环境下的三因素认证方法
CN107248997A (zh) * 2017-07-03 2017-10-13 暨南大学 多服务器环境下基于智能卡的认证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
夏鹏真: "基于椭圆曲线密码的多服务器环境下三因子认证协议", 《计算机应用研究》 *
彭昌余等: "智能卡和口令结合的动态认证方案", 《计算机测量与控制》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111629003A (zh) * 2020-05-28 2020-09-04 河南智云数据信息技术股份有限公司 面向物联网的密钥分发方法
CN111629003B (zh) * 2020-05-28 2022-03-22 河南智云数据信息技术股份有限公司 面向物联网的密钥分发方法
CN112016073A (zh) * 2020-08-31 2020-12-01 北京中软华泰信息技术有限责任公司 一种服务器零信任连接架构的构建方法
CN112016073B (zh) * 2020-08-31 2023-12-19 北京中软华泰信息技术有限责任公司 一种服务器零信任连接架构的构建方法
CN114531254A (zh) * 2020-10-30 2022-05-24 ***通信有限公司研究院 一种认证信息获取方法、装置、相关设备和存储介质
CN114531254B (zh) * 2020-10-30 2023-03-31 ***通信有限公司研究院 一种认证信息获取方法、装置、相关设备和存储介质

Also Published As

Publication number Publication date
CN110708337B (zh) 2022-06-28

Similar Documents

Publication Publication Date Title
Cui et al. An efficient and safe road condition monitoring authentication scheme based on fog computing
CN111371730B (zh) 边缘计算场景下支持异构终端匿名接入的轻量级认证方法
Li et al. Group-based authentication and key agreement with dynamic policy updating for MTC in LTE-A networks
US8930704B2 (en) Digital signature method and system
KR100811419B1 (ko) 공개키 암호화를 이용하는 인증 프로토콜에서의서비스거부공격에 대한 방어 방법
CN111147460B (zh) 一种基于区块链的协同细粒度访问控制方法
CN110932870B (zh) 一种量子通信服务站密钥协商***和方法
CN110489982B (zh) 一种具有前向安全性的智能电网数据聚合和加密方法
CN110708337B (zh) 一种基于身份认证的大数据安全框架***
CN104641592A (zh) 用于无证书认证加密(clae)的方法和***
CN111953479B (zh) 数据处理的方法及装置
CN114710275B (zh) 物联网环境下基于区块链的跨域认证和密钥协商方法
CN112039660B (zh) 一种物联网节点群组身份安全认证方法
CN112134849B (zh) 一种智能变电站的动态可信加密通信方法及***
CN111181718A (zh) 一种基于联盟链的抗量子计算ike***和协商通信方法
CN111416712B (zh) 基于多个移动设备的量子保密通信身份认证***及方法
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN115473623A (zh) 一种智能电网中多维用户数据安全聚合的方法
CN116599659B (zh) 无证书身份认证与密钥协商方法以及***
CN116318739B (zh) 一种电子数据交换方法及***
CN112118569B (zh) Lte网机器类型通信设备异步组通信中的组认证方法及***
Saxena et al. A Lightweight and Efficient Scheme for e-Health Care System using Blockchain Technology
CN114070570A (zh) 一种电力物联网的安全通信方法
Cheng et al. Research on vehicle-to-cloud communication based on lightweight authentication and extended quantum key distribution
CN117155692B (zh) 基于安全掩码的智能电网数据聚合方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20220608

Address after: 250100 Inspur science and Technology Park, 1036 Inspur Road, hi tech Zone, Jinan City, Shandong Province

Applicant after: Inspur Software Technology Co.,Ltd.

Address before: 250100 First Floor of R&D Building 2877 Kehang Road, Sun Village Town, Jinan High-tech Zone, Shandong Province

Applicant before: SHANDONG INSPUR BUSINESS SYSTEM Co.,Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant