CN110912687A - 一种分布式身份验证方法 - Google Patents
一种分布式身份验证方法 Download PDFInfo
- Publication number
- CN110912687A CN110912687A CN201910988300.8A CN201910988300A CN110912687A CN 110912687 A CN110912687 A CN 110912687A CN 201910988300 A CN201910988300 A CN 201910988300A CN 110912687 A CN110912687 A CN 110912687A
- Authority
- CN
- China
- Prior art keywords
- node
- authentication
- verification
- information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000012795 verification Methods 0.000 claims abstract description 60
- 230000004044 response Effects 0.000 claims abstract description 25
- 238000012545 processing Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Algebra (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Power Engineering (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明揭示了一种分布式身份验证方法,包括用户节点向调度节点发送认证请求,用户节点选择验证节点;验证节点发送认证要求至用户节点,用户节点发送应答结果至验证节点;验证节点对应答结果并验证,以确定是否认证成功;验证节点根据用户节点的公钥从存储节点查找令牌信息,并将令牌信息与用户节点提供的认证信息进行匹配,判断验证认证信息是否有效,若有效,则根据用户数据生成新的认证信息并存储至存储节点,进一步向用户节点广播认证成功信息。本发明能够可靠的实现身份认证,并且认证效率高,认证可靠,不占用本地资源。
Description
技术领域
本发明涉及网络完全技术领域,尤其是涉及一种分布式身份验证方法。
背景技术
如今的互联网体系正在从传统的集中模式向去中心化和分布式模式转变,传统互联网体系中的集中控制中心已经暴露出许多问题,比如容易受到网络攻击、信息盗取,同时也容易出现单点故障等问题,因此去中心化和分布式结构越来越多的出现在人们眼前。
在这种变革下,传统的集中身份认证方式面临巨大挑战,并且传统的集中身份认证方式还具有认证效率低,认证不可靠的缺点,因此,在去中心化的互联网体系下,亟需一种认证效率高、认证可靠的身份认证方方法。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种认证效率高、认证可靠的分布式身份认证方方法。
为实现上述目的,本发明提出如下技术方案:一种分布式身份验证方法,包括如下步骤:
步骤S100,用户节点向调度节点发送认证请求,用户节点收到认证请求后选择验证节点;
步骤S200,验证节点发送认证要求至用户节点,用户节点对认证要求进行应答并将应答结果加密后发送至验证节点,所述认证要求包括至少一个随机数;
步骤S300,验证节点对应答结果进行解密并验证应答结果是否有效,若有效,则认证成功,否则,认证失败;
步骤S400,验证节点根据用户节点的公钥从存储节点查找令牌信息,并将令牌信息与用户节点提供的认证信息进行匹配,判断验证认证信息是否有效,若有效,则根据用户数据生成新的认证信息并存储至存储节点,进一步向用户节点广播认证成功信息;
优选地,在步骤S100之前,还包括如下步骤:
用户节点向调度节点发送注册请求,调度节点向用户节点发送注册要求;
用户节点生成密钥对,并根据注册要求填写注册信息并发送至调度节点,所述密钥对包括公钥和秘钥;
调度节点检测用户节点的注册信息是否满足要求,若是,则保存公钥并对注册信息进行加密获得令牌信息,进一步将令牌信息存储至存储节点,回应用户节点注册成功。
优选地,在步骤S100中,通过如下步骤选择验证节点:
步骤S101,查看验证节点在线情况,并选择预设数量处于在线状态的验证节点;
步骤S102,获取每个验证节点的节点质量指标,选择节点质量指标最高的验证节点。
优选地,节点质量指标通过如下公式计算:
其中,NQI表示节点质量指标,B表示网络带宽,D表示网络延时,T表示验证次数。
优选地,在步骤S200中,应答结果通过如下步骤获得:
用户节点将公钥与随机数合并,并通过单向哈希函数生成字符串作为应答结果。
优选地,所述单向哈希函数为MD5算法。
优选地,在步骤S400中,新的认证信息通过如下步骤获得:
对用户数据进行哈希处理并通过椭圆曲线签名算法进行签名,生成新的认证新信息。
优选地,所述存储节点运行区块链。
本发明的有益效果是:
本发明所述的分布式身份验证方法,能够可靠的实现身份认证,并且认证效率高,认证可靠,不占用本地资源。
附图说明
图1是本发明的身份认证流程图示意图;
图2是本发明的注册流程图示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
如图1所示,本发明所揭示的一种分布式身份验证方法,包括如下步骤:
步骤S100,用户节点向调度节点发送认证请求,用户节点收到认证请求后选择验证节点;
具体地,进行分布式身份验证时,用户节点首先向调度节点发送认证请求,用户节点接收到认证请求后,进一步选择验证节点。本实施例中,通过节点选择算法选择合适验证的验证节点,也即通过当前节点是否在线、网络带宽、延时、验证次数等条件进行筛选,实施时,首先,查看验证节点在线情况,选择一定数量并且处于在线的验证节点;最后,获取每个验证节点的节点质量指标NQI(Node Quality Index),节点质量指标NQI可通过如下公式计算:
其中,NQI表示节点质量指标,B表示网络带宽,D表示网络延时,T表示验证次数。
进一步选择节点质量指标最好的验证节点用于验证。
步骤S200,验证节点发送认证要求至用户节点,用户节点对认证要求进行应答并将应答结果加密后发送至验证节点,所述认证要求包括至少一个随机数;
具体地,本发明采用挑战/应答(Challenge/Response)机制,也即调度节点在每次收到认证请求时向用户节点发送一个不同的“挑战”字串或者一个随机数值,用户节点接收到“挑战”字串或者随机数值后作出相应的应答。实施时,还需判断用户是否为合法用户,也即用户节点向验证节点发送认证请求,要求进行身份认证,验证节点首先从存储节点中查询用户是否为合法用户,若是,则进行进一步操作,否则,不作进一步操作。
当用户为合法用户时,验证节点内部产生一个随机数值,作为“挑战”发送至用户节点。用户节点进一步将自己的公钥和随机数值合并,并使用单向哈希(Hash)函数,如MD5算法,生成一个字节串作为应答结果,加密后发送至验证节点。
步骤S300,验证节点对应答结果进行解密并验证应答结果是否有效,若有效,则认证成功,否则,认证失败;
具体地,验证节点接收到应答结果后进行解密处理,将解密获得的应答结果与自身计算的结果进行比较,若两者相同,则通过认证,否则,认证失败,验证节点最终通知用户节点认证结果,也即通知用户认证成功或者认证失败。本实施例中,验证节点的个数可根据实际需求进行设定,并且随着验证节点的数量增多,安全性也会逐渐提升。
步骤S400,验证节点根据用户节点的公钥从存储节点查找令牌信息,并将令牌信息与用户节点提供的认证信息进行匹配,判断验证认证信息是否有效,若有效,则根据用户数据生成新的认证信息并存储至存储节点,进一步向用户节点广播认证成功信息。
具体地,验证节点根据用户节点提供的公钥从存储节点中查找令牌(Token)信息,当查找到令牌信息后进一步与用户节点提供的认证信息进行匹配,以验证认证信息的有效性。当验证节点验证成功后,不在本地存储用户数据,并对用户提供的数据进行哈希处理并签名,生成新的认证信息发送至存储节点,验证节点进一步广播用户节点认证成功信息。
实施时,签名采用椭圆曲线签名算法,其具有安全性能高,存储空间小,处理速度快的优点,也即:用户的密钥对:(d,Q);(d为私钥,Q为公钥);待签名的信息:token;签名:Signature(token)=(r,s)。其中,签名过程包括:(1)根据ECC算法随机生成一个密钥对(k,R),R=(xR,yR);(2)令r=xR mod n,如果r=0,则返回步骤(1);(3)计算H=Hash(token);(4)按照数据类型转换规则,将H转化为一个big endian的整数e;(5)s=k^-1(e+rd)mod n,若s=0,则返回步骤(1);(6)输出的S=(r,s)即为签名。
验证过程包括:计算H=Hash(token);按照数据类型转换规则,将H转化为一个bigendian的整数e;计算u1=es^-1mod n,u2=rs^-1mod n;计算R=(xR,yR)=u1G+u2Q,如果R=零点,则验证该签名无效;令v=xR mod n;若v==r,则签名有效,若v≠r,则签名无效。其中,big endian是指低地址存放最高有效字节。
本实施例中,令牌(Token)信息本质是一串字符串,其由3部分构成:Header(头部)、Payload(载荷)和Signature(签名),其中,Header用来表明签名的加密算法和token类型等,Payload记录你需要的信息,其中应该包含Claims。Signature是通过header生明的加密方法生成签名。
如图2所示,在步骤S100之前,还需进行用户节点注册,实施时,用户节点注册包括:用户节点向调度节点发送注册请求,调度节点向用户节点发送注册要求;用户节点生成密钥对,并根据注册要求填写注册信息并发送至调度节点,所述密钥对包括公钥和秘钥;调度节点检测用户节点的注册信息是否满足要求,若是,则保存公钥并对注册信息进行加密获得令牌(Token)信息,进一步将令牌信息存储至存储节点,回应用户节点注册成功。
本实施例中,区块链运行于存储节点中,由存储节点来维护,存储节点用于存储令牌信息和新的认证信息,由于区块链具有不可篡改的特性,因此用户的个人信息可以得到保障。
本发明能够可靠的实现身份认证,并且认证效率高,认证可靠,不占用本地资源。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (8)
1.一种分布式身份验证方法,其特征在于,包括如下步骤:
步骤S100,用户节点向调度节点发送认证请求,用户节点收到认证请求后选择验证节点;
步骤S200,验证节点发送认证要求至用户节点,用户节点对认证要求进行应答并将应答结果加密后发送至验证节点,所述认证要求包括至少一个随机数;
步骤S300,验证节点对应答结果进行解密并验证应答结果是否有效,若有效,则认证成功,否则,认证失败;
步骤S400,验证节点根据用户节点的公钥从存储节点查找令牌信息,并将令牌信息与用户节点提供的认证信息进行匹配,判断验证认证信息是否有效,若有效,则根据用户数据生成新的认证信息并存储至存储节点,进一步向用户节点广播认证成功信息。
2.根据权利要求1所述的方法,其特征在于,在步骤S100之前,还包括如下步骤:
用户节点向调度节点发送注册请求,调度节点向用户节点发送注册要求;
用户节点生成密钥对,并根据注册要求填写注册信息并发送至调度节点,所述密钥对包括公钥和秘钥;
调度节点检测用户节点的注册信息是否满足要求,若是,则保存公钥并对注册信息进行加密获得令牌信息,进一步将令牌信息存储至存储节点,回应用户节点注册成功。
3.根据权利要求1所述的方法,其特征在于,在步骤S100中,通过如下步骤选择验证节点:
步骤S101,查看验证节点在线情况,并选择预设数量并且处于在线的验证节点;
步骤S102,获取每个验证节点的节点质量指标,选择节点质量指标最高的验证节点。
4.根据权利要求3所述的方法,其特征在于,节点质量指标通过如下公式计算:
NQI=B⊕D⊕T
其中,NQI表示节点质量指标,B表示网络带宽,D表示网络延时,T表示验证次数。
5.根据权利要求1所述的方法,其特征在于,在步骤S200中,应答结果通过如下步骤获得:
用户节点将公钥与随机数合并,并通过单向哈希函数生成字符串作为应答结果。
6.根据权利要求1所述的方法,其特征在于,所述单向哈希函数为MD5算法。
7.根据权利要求1所述的方法,其特征在于,在步骤S400中,新的认证信息通过如下步骤获得:
对用户数据进行哈希处理并通过椭圆曲线签名算法进行签名,生成新的认证新信息。
8.根据权利要求1所述的方法,其特征在于,所述存储节点运行区块链。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910988300.8A CN110912687A (zh) | 2019-10-17 | 2019-10-17 | 一种分布式身份验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910988300.8A CN110912687A (zh) | 2019-10-17 | 2019-10-17 | 一种分布式身份验证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110912687A true CN110912687A (zh) | 2020-03-24 |
Family
ID=69815412
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910988300.8A Pending CN110912687A (zh) | 2019-10-17 | 2019-10-17 | 一种分布式身份验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110912687A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600768A (zh) * | 2020-07-21 | 2020-08-28 | 杭州智块网络科技有限公司 | 基于权益证明的验证组建组方法和装置 |
| CN113094677A (zh) * | 2021-06-10 | 2021-07-09 | 天聚地合(苏州)数据股份有限公司 | 身份验证方法、装置、存储介质及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107077674A (zh) * | 2016-12-29 | 2017-08-18 | 深圳前海达闼云端智能科技有限公司 | 交易验证处理方法、装置及节点设备 |
| CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
| CN108429820A (zh) * | 2018-05-23 | 2018-08-21 | 深圳远征技术有限公司 | 一种物联网应用层的通信方法、***及终端设备 |
| CN108810895A (zh) * | 2018-07-12 | 2018-11-13 | 西安电子科技大学 | 基于区块链的无线Mesh网络身份认证方法 |
| CN108881310A (zh) * | 2018-08-15 | 2018-11-23 | 飞天诚信科技股份有限公司 | 一种注册***及其工作方法 |
| CN109687965A (zh) * | 2019-02-18 | 2019-04-26 | 哈尔滨工业大学(深圳) | 一种保护网络中用户身份信息的实名认证方法 |
-
2019
- 2019-10-17 CN CN201910988300.8A patent/CN110912687A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107077674A (zh) * | 2016-12-29 | 2017-08-18 | 深圳前海达闼云端智能科技有限公司 | 交易验证处理方法、装置及节点设备 |
| CN107147489A (zh) * | 2017-05-02 | 2017-09-08 | 南京理工大学 | 一种leo卫星网络内分布式的接入认证管理方法 |
| CN108429820A (zh) * | 2018-05-23 | 2018-08-21 | 深圳远征技术有限公司 | 一种物联网应用层的通信方法、***及终端设备 |
| CN108810895A (zh) * | 2018-07-12 | 2018-11-13 | 西安电子科技大学 | 基于区块链的无线Mesh网络身份认证方法 |
| CN108881310A (zh) * | 2018-08-15 | 2018-11-23 | 飞天诚信科技股份有限公司 | 一种注册***及其工作方法 |
| CN109687965A (zh) * | 2019-02-18 | 2019-04-26 | 哈尔滨工业大学(深圳) | 一种保护网络中用户身份信息的实名认证方法 |
Non-Patent Citations (4)
| Title |
|---|
| 任伟: "《现代密码学 第2版》", 北京邮电大学出版社, pages: 180 * |
| 张玉婷 等: ""无线网络分布式节点认证方案研究与改进"", 《计算机工程与设计》 * |
| 张玉婷 等: ""无线网络分布式节点认证方案研究与改进"", 《计算机工程与设计》, vol. 38, no. 6, 16 June 2017 (2017-06-16) * |
| 罗旬 等: ""Mesh网络中基于节点信誉度和标识的可信认证"", 《信息技术》, no. 6, 25 June 2016 (2016-06-25) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111600768A (zh) * | 2020-07-21 | 2020-08-28 | 杭州智块网络科技有限公司 | 基于权益证明的验证组建组方法和装置 |
| CN113094677A (zh) * | 2021-06-10 | 2021-07-09 | 天聚地合(苏州)数据股份有限公司 | 身份验证方法、装置、存储介质及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106506440B (zh) | 用于验证数据完整性的方法 | |
| CN109495249B (zh) | 一种区块链***的数据存储方法、节点和区块链*** | |
| US6701434B1 (en) | Efficient hybrid public key signature scheme | |
| CN106130716B (zh) | 基于认证信息的密钥交换***及方法 | |
| CN114730420A (zh) | 用于生成签名的***和方法 | |
| US20110208971A1 (en) | Method of Using ECDSA with Winternitz One Time Signature | |
| EP3259874A1 (en) | Methods of proving validity and determining validity, electronic device, server and computer programs | |
| CN105141602A (zh) | 基于收敛加密的文件所有权证明方法 | |
| JP2008113426A (ja) | 認証方法および装置 | |
| US6826687B1 (en) | Commitments in signatures | |
| CN108337092B (zh) | 用于在通信网络中执行集体认证的方法和*** | |
| CN111147245A (zh) | 一种区块链中使用国家密码进行加密的算法 | |
| CN111222879A (zh) | 一种适用于联盟链的无证书认证方法及*** | |
| KR101253683B1 (ko) | 연쇄 해시에 의한 전자서명 시스템 및 방법 | |
| EP4062299A1 (en) | Multi-party and multi-use quantum resistant signatures and key establishment | |
| CN110912687A (zh) | 一种分布式身份验证方法 | |
| CN112039837B (zh) | 一种基于区块链和秘密共享的电子证据保全方法 | |
| CN113641975A (zh) | 身份标识注册方法、身份标识验证方法、装置及*** | |
| CN111245611B (zh) | 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及*** | |
| CN112926983A (zh) | 一种基于区块链的存证交易加密***及方法 | |
| CN111353780A (zh) | 授权验证方法、装置及存储介质 | |
| CN114244531B (zh) | 基于强puf的轻量级自更新消息认证方法 | |
| CN114422106B (zh) | 一种多服务器环境下的物联网***安全认证方法及*** | |
| CN114584975B (zh) | 一种基于sdn的抗量子卫星网络接入认证方法 | |
| CN113766452B (zh) | 一种v2x通信***、通信密钥分发方法与隐式认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200324 |