CN111147225A - 基于双密值和混沌加密的可信测控网络认证方法 - Google Patents
基于双密值和混沌加密的可信测控网络认证方法 Download PDFInfo
- Publication number
- CN111147225A CN111147225A CN201811299442.5A CN201811299442A CN111147225A CN 111147225 A CN111147225 A CN 111147225A CN 201811299442 A CN201811299442 A CN 201811299442A CN 111147225 A CN111147225 A CN 111147225A
- Authority
- CN
- China
- Prior art keywords
- measurement
- user
- application server
- identity
- secret
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005259 measurement Methods 0.000 title claims abstract description 116
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000000739 chaotic effect Effects 0.000 title claims abstract description 26
- 238000012795 verification Methods 0.000 claims abstract description 30
- 238000004364 calculation method Methods 0.000 claims abstract description 8
- 238000012790 confirmation Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000012512 characterization method Methods 0.000 claims description 6
- 230000000052 comparative effect Effects 0.000 claims description 6
- 238000004806 packaging method and process Methods 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 15
- 230000005540 biological transmission Effects 0.000 abstract description 11
- 238000005538 encapsulation Methods 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000013507 mapping Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012536 packaging technology Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/001—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using chaotic signals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
- G06F21/645—Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及基于双密值和混沌加密的可信测控网络认证方法,具体方法为在通过可信计算构建信任链实现安全可信的运行环境的基础上,使用双密值和混沌公钥密码实现身份认证和密钥协商流程,实现用户身份凭证安全传输和验证,从而构建安全可信的数据传输通道。本发明中的身份认证方法包含用户身份标识安全产生、读取保护封装、安全传输、密钥协商等多个环节,每个环节中均采用了具有唯一性和保密性的密码函数进行数据安全生成,从而保证了工业测控网络中认证设备接入的安全。
Description
技术领域
本发明涉及一种在工业测控网络中采用双密值与混沌加密密钥协商算法进行身份认证的技术方法,属于工业控制网络安全领域。
背景技术
伴随我国工业信息化程度逐渐加快,越来越多的通讯技术和嵌入式应用被应用到了工业生产网络中。在享受高新科技为生产过程带来便利的同时,也体现了不同程度上的信息安全问题。一旦存在一些不受控的设备接入到工业测控网络中,通过如拒绝式服务攻击或者对通信协议进行渗透挖掘,能够利用协议中存在的漏洞对生产***核心装置进行攻击,修改装置的应用配置或固件信息,获取***最高控制权限,就可以使整个***的作业状态出现不可控的风险。因此,为了解决传统工控网络中缺少认证技术体系的问题,需要将身份认证技术集成到现有工业测控网络中以实现可信认证节点的安全接入。
目前大部分工业测控***中采用基于PKI认证体系来实现身份认证和访问权限控制。传统基于USBKey的PKI身份认证方法具有密钥长、身份认证凭证动态变化、安全性高、使用方便等特点,而工业测控***应用场景中往往存在复杂数字证书签发、证书验证结构冗长等因素导致实际验证效率受到限制。并且工业测控***应用场景中的各种嵌入式终端设备存在计算能力和计算资源受限的情况,难以快速高效地执行涉及多轮迭代的密码运算操作。因此需要提供一套计算开销少同时能保证可抗多种类型的密码攻击的身份认证和密钥协商技术理论,以保证工业测控***网络实现可信工作,提高身份认证效率,支持可伸缩***构架等需求。
综上所述,本发明目的通过采用一种基于双密值思想的用户身份信息凭证生成及验证技术方案,并通过基于Chebyshev映射混沌公钥密码的密钥协商协议设计适用于工业测控网络中的终端设备之间的身份认证方法。并采用可信计算技术建立信任链,使保证终端设备身份可信的同时也提供对其上层软件进行完整性增强和验证,防止因操控软件模块被非正常修改导致测控命令和结果不可信,进而影响测控***的整体可信性和安全水平。
发明内容
针对上述技术不足,本发明的目的提供一种基于双密值与混沌加密算法结合的身份认证方法。本发明以工业测控***网络作为应用场景,通过采用混沌加密公钥密码算法协商关键密钥,保证中间数据难以通过重放或伪造方式被篡改而影响认证结果,并基于可信计算技术构建测控网络信息安全防护体系。
本发明解决其技术问题所采用的技术方案是:基于双密值和混沌加密的可信测控网络认证方法,包括以下步骤:
操控终端与测控应用服务器进行一致性分析来验证操控终端软件完整性;
操控终端与测控应用服务器分别以用户密值、测控应用服务器密值共同产生用户标识信息,通过非对称加密方式进行传输;
操控终端产生用户身份凭证;
测控应用服务器通过对用户身份凭证分析来推断用户持有用户标识信息的真实性。
所述操控终端与测控应用服务器进行一致性分析来验证操控终端软件完整性,包括以下步骤:
2a)终端设备以先验证后跳转的方式,使操控终端软件模块按照预订顺序执行,实现操控终端软件完整性增强;
2b)软件模块代码M传递给操控终端内的TPM,TPM中SHA-1引擎计算软件模块代码数字指纹PCR,以散列扩展方式保存到平台配置寄存器中,即:PCRi=SHA-1(PCRi||Pi),产生完整性表征日志SML;i表示数字指纹序号;SHA-1表示单向散列函数;
2c)测控应用服务器发送挑战串Challenge=Nonce启动完整性验证,操控终端对内部平台配置寄存器用操控终端的私钥AIK_SK对PCR、Nonce签名,加上SML形成响应消息Response=SignAIK_SK{PCR,Nonce}||SML;SignAIK_SK表示用私钥AIK_SK做数字签名运算;
2d)测控应用服务器用操控终端公钥AIK_PK验证数字签名,将已得到的PCR完整性表征值即数字指纹PCR和由完整性表征日志SML获取的PCR完整性表征值进行对比,验证操控终端软件完整性:若一致,则完整性验证成功,否则验证失败。
所述操控终端与测控应用服务器分别以用户密值、测控应用服务器密值共同产生用户标识信息,通过非对称加密方式进行传输,步骤如下:
3a)测控应用服务器利用服务器密值K、秘密函数β(.)、用户提供的ID号、用户公钥UPK和用户密值PW的散列值,产生用户身份标识码F=[h(ID||x)·h(PW||UPK)β(κ)]mod p;h(.)表示单向散列函数,x表示测控应用服务器持有表征其身份的秘密值,mod表示模除运算;
3b)用h(PW||UPK)对用户身份标识码F进行读取保护封装,得到E(F):
3c)将由加密封装的用户身份标识码E(F)、用户ID、加密封装的身份认证密钥EK、h(PW||UPK)、参数p、用户名UN、单位名称AN、用户类别UC构成的用户标识信息{ID,C,h(PW||UPK),E(F),EK,p,UN,AN,UC,…},使用公钥UPK加密,传送给USBKey设备,USBKey采用和UPK相对的私钥SPK进行解密保存,通过非对称加密为用户标识信息传输和导入USBKey创建一个安全通道。
所述操控终端产生用户身份凭证,包括以下步骤:
4a)终端设备计算用户密值的提取参数h(PW||UPK),通过计算F=E(F)⊕h(PW||UPK)来解封E(F)还原F,利用USBKey和测控应用服务器之间的身份认证密钥K=β(h(x)h(ID)mod p)进行变换后得到用户身份标识码V1=Fh(K)mod p;h(.)表示单向散列函数,mod表示模除运算,β(.)表示秘密函数,p表示参数;
4b)用户随机数R1作用于V1,得到动态变化用户身份凭证V2:
4c)使用时间标记T1转换生成具有时鲜性的用户身份凭证:
所述测控应用服务器通过对用户身份凭证分析来推断用户持有用户标识信息的真实性,包括以下步骤:
5a)测控应用服务器收到终端设备发来的身份认证请求{ID,Q1,Q2,Q3,T1}后,先进行时鲜性检查:若满足条件T-T1≤阈值△T,则利用密值K、秘密函数β(.)、用户提供的ID号计算与USBKey共享的身份认证密钥K=β(h(x)h(ID)mod p);
5c)然后比较测控应用服务器还原得到的身份凭证与接收到的身份凭证Q3,还原用户标识码V1与期望用户身份标识码PF=Fh(K)mod p,若V1与PF一致,则表明用户掌握其密值PW,终端用户提供的USBKey拥有表征用户的秘密值E(F)和EK,终端设备的用户身份得到确认。
基于双密值和混沌加密的可信测控网络认证方法,还包括认证结果确认,包括以下步骤:
6a)测控应用服务器创建身份验证结果参数AUTH∈{True,False},生成随机数R2、认证时间T2,计算响应消息参数:
6b)测控应用服务器创建身份认证确认消息{P1,P3,T2,AUTH},将其反馈给USBKey,同时创建同终端设备的会话密钥Skey=h(K,V2,P2,R1,R2,T1,T2);6c)USBKey设备收到确认信息后,检查时间标记T2时鲜性:重新计算参数并与确认消息中的P3对比;若则表明测控应用服务器持有表征其身份的秘密值x和密码函数β(.),能计算用户的身份认证密钥K,并从身份认证请求消息中解耦出身份证据V2,解耦身份认证结果可靠;并按照6b)计算会话密钥。
经过身份认证后已确认用户身份凭证(Q1,Q2,Q3)有效的两台测控终端设备之间采用混沌公钥密码算法进行通信密钥协商,包括如下步骤:
a)终端设备A首先选择一个大整数r,一个大素数N和有限域上的x并计算Tr(x);将自己的用户身份标识IDA,接受方设备身份标识IDB,x,N,和Tr(x)连接起来,并用自己与测控应用服务器之间创建的共享会话密钥进行加密,生成密文ETA(IDA,IDB,x,N,Tr(x))后发送给测控应用服务器;r、N大于设定值;
b)测控应用服务器收到终端设备A发来的信息后用与终端设备A的共享密钥对数据ETA(IDA,IDB,x,N,Tr(x))进行解密,验证设备A是否是一个合法的身份;如果验证失败则终止,否则将得到的信息用其与终端设备B共享的密钥进行加密,得到ETB(IDB,IDA,x,N,Tr(x)),并将ETB(IDB,IDA,x,N,Tr(x))发送给终端设备B;
c)终端设备B收到信息后用其与测控应用服务器共享的密钥对ETB(IDB,IDA,x,N,Tr(x))进行解密,然后随机选择一个大整数s用来计算Ts(x),将终端设备B身份标识IDB和Ts(x)连接起来用与测控应用服务器共享密钥加密,即ETB(IDB,Ts(x));然后计算k=Ts(Tr(x)),并用k作为密钥采用Hash函数计算消息确认码MACB=hk(IDB,IDA,Tr(x));终端设备B将ETB(B,Ts(x))和MACB发送给测控应用服务器;s大于设定值,hk表示Hash函数,Ts(x)、Tr(x)表示混沌公钥密码算法计算表达式;
d)测控应用服务器收到终端设备B发来的信息后用与设备B共享的密钥解密ETB(IDB,Ts(x)),并验证设备B的身份;若验证不成功则终止;否则测控应用服务器用与设备A共享的密钥加密IDB和Ts(x),即ETA(IDB,Ts(x));然后将ETA(IDB,Ts(x))和MACB发送给终端设备A;
e)终端设备A收到测控应用服务器发来的信息后,计算消息确认码MAC′B=hk(IDB,IDA,Tr(x)),对比MAC′B和MACB是否相等;若不等,则设备A终止与B的协商通信;否则其确认B为真实的通信对象,且双方共享的会话密钥为k=Ts(Tr(x));终端设备A发送认证结果消息MACA=hk(IDA,IDB,Ts(x))给终端设备B进行确认;
f)终端设备B用密钥k计算Hash函数值MAC′A=hk(IDA,IDB,Ts(x)),对比MAC′A和收到的MACA是否相等;若不等,则终端设备B终止协商;否则,确认终端设备A是其真实通信对象,会话密钥为k。
本发明具有以下有益效果及优点:
1.本发明采用双密值方案将参数κ、K和单向函数h计算可导出用户身份标识码V1,并将随机数R1作用于V1和K,形成动态变化的用户身份凭证V2,再引入时间标记T1形成具有时鲜性的身份凭证Q1,Q2,Q3在网上传输。若要伪造用户身份,需通过对Q1,Q2,Q3的分析获取K、V1、V2。由于Q1,Q2为通过两个位置参数执行异或操作得到的,只能采用随机猜测方法破解,破解成功概率经计算为T代表通过随机猜测方法进行一次破解所花的时间,n代表在最后一次猜测攻击成功之前失败的次数。与传统PKI方案相比,双密值身份认证方案的抗身份伪造能力更强。
2.本发明与传统基于PKI方案的身份认证方案相比,在涉及到的密码运算复杂度上的性能开销更小。传统基于PKI方案的用户认证过程涉及用户数字证书验证与私钥凭证验证过程中,从根CA开始对证书链长度为n级的用户数字证书需要认证方执行n次证书验证,验证证书签发者的数字签名是否有效,每次操作至少涉及1次大数模幂运算和1次散列运算,合计开销为ne+nh,其中e为大数模幂运算的时间开销,h为散列运算的时间开销;而对用户私钥凭证的验证需要向USBKey发送挑战信息和响应信息各一次,至少需要2次加密运算、2次签名和1次验签操作,计算开销为5e+3h,总的计算开销合计为(n+5)e+(n+3)h。本发明中,认证方计算K、R1、V1、V2、需要2次散列操作和2次模幂操作,而计算响应消息参数P1、P2、P3、P4需要3次散列操作、1次模幂操作,共需要计算开销5e+3h,因此证书链越长越能映衬本发明的优势。
3.本发明采用基于Chebyshev映射混沌公钥密码算法,将其具有的如混沌特性、半群特性和单向性等特点很好的应用到设备间间身份认证及密钥协商过程中。本发明对可能产生短周期攻击所需要的敏感参数Ts(x)和设备用户身份标识IDA及IDB采用加密传输,难以被攻击者采用短周期攻击方式攻破;并且引入了可信第三方测控应用服务器来负责数据加密传递,使用Hash函数产生确认码方式保证信息的任何改变都可被检测出,能够阻止中间人监听攻击;在本发明密钥协商过程中,大整数r和s每次都是随机生成,也只有设备A和B能决定会话密钥k的生成方式和Hash认证码中的随机性元素,保证验证信息的时效性从而能有效地抵抗重播攻击。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,均应落入本发明的保护范围。
图1为本发明中可信测控网络认证技术操控终端软件完整性增强与验证方法示意图;
图2为本发明中可信测控网络身份认证阶段用户身份标识信息安全产生方法原理图;
图3为本发明中可信测控网络身份认证阶段用户身份证据生成过程示意图;
图4为本发明中可信测控网络身份认证阶段用户身份验证过程示意图;
图5为本发明中可信测控网络身份认证阶段设备间密钥协商过程示意图。
图6为本发明的可信测控网络认证方法示意图。
具体实施方式
下面结合附图及实施例对本发明做进一步的详细说明。
如图6所示,本发明涉及一种基于双密值和混沌加密算法的可信测控网络认证技术方法,具体方法为在通过可信计算构建信任链实现安全可信的运行环境的基础上,使用双密值和混沌公钥密码实现身份认证和密钥协商流程,实现用户身份凭证安全传输和验证,从而构建安全可信的数据传输通道。本发明中的身份认证方法包含用户身份标识安全产生、读取保护封装、安全传输、密钥协商等多个环节,每个环节中均采用了具有唯一性和保密性的密码函数进行数据安全生成,从而保证了工业测控网络中认证设备接入的安全。
TPM是指可信计算平台模块(Trust Platform Module)的简称,是作为可信计算信任链建立之初为平台提供可信根而存在,通常指TPM芯片。
SHA-1引擎,是执行SHA-1单向散列函数的算法引擎,是作为TPM芯片里面的一个密码运算模块而存在。
1.操作终端软件完整性增强与验证
如图1所示,操作终端基于可信计算数字签名方法,将信任链传递过程中采集的模块数字指纹、完整性表征日志,传送到测控应用服务器。应用服务器通过将不可仿造数字指纹、完整性标志进行一致性分析来验证测控终端软件完整性。完整性增强与验证过程包含如下相关步骤:
a)终端设备采用基于TPM的信任链传递方法,以先验证后跳转的方式,使操控终端软件模块按照预订顺序执行,实现操控终端软件完整性增强。
b)软件模块代码M同时传递给TPM,SHA-1引擎对其计算模块代码数字指纹,以散列扩展方式保存到平台配置寄存器中,即:PCRi=SHA-1(PCRi||Pi),产生完整性表征日志SML。
c)测控应用服务器操控终端监控模块发送挑战串Challenge=Nonce启动完整性验证,操控终端对PCR寄存器用其私钥AIK_SK对PCR、Nonce签名,加上SML形成响应消息Response=SignAIK_SK{PCR,Nonce}||SML。
d)测控应用服务器用操控终端公钥AIK_PK验证数字签名,将PCR完整性表征值、完整性表征日志SML进行对比,验证操控终端软件完整性。
2.用户身份标识信息安全产生
测控终端设备的用户身份标识信息必须具备唯一性、抗猜测等安全特性,并采取读取封装技术,通过安全通道进行传输、导入到防篡改的如USBKey(U盾)等安全存储介质中,仅指定用户可持有该信息。
如图2所示,基于双密值思想的身份认证过程中的用户身份标识信息安全产生方法包含用户身份标识码产生、读保护封装、用户身份标识信息安全传输三个方面,每个阶段的实现过程如下:
a)具有唯一性、防猜测性的用户标识码产生方法
测控***应用服务器利用服务器密值K、秘密函数β(.)、用户提供的ID号、用户公钥UPK和用户密值PW的散列值,产生不可导出用户身份标识码F=[h(ID||x)·h(PW||UPK)β(κ)]mod p,从而完成用户标识码的生成。
b)用户身份标识码读保护封装算法
用h(PW||UPK)对用户身份标识码F进行读取保护封装,得到E(F):
仅在用户输入正确密值PW时才能从USBKey中还原出F,继续进行身份认证请求过程。
c)用户身份标识信息安全传输与导入
测控应用服务器将由加密封装的用户身份标识码E(F)、用户ID、加密封装的身份认证密钥EK、h(PW||UPK)、参数p、用户名UN、单位名称AN、用户类别UC等信息共同构成的用户标识信息{ID,C,h(PW||UPK),E(F),EK,p,UN,AN,UC,…},使用公钥UPK加密,传送给USBKey设备,USBKey采用和UPK相对的私钥SPK进行解密保存,通过非对称加密技术为用户标识信息传输和导入到USBKey创建一个安全通道。
3.生成用户身份凭证
测控终端设备的用户身份凭证中包含用户标识特征码,应具备动态性、时鲜性,防窃听、录制重放等安全特性。
如图3所示,用户身份凭证在USBKey内生成,当用户输入正确PIN口令或用户密值PW时激活该过程。生成用户身份凭证包括如下步骤:
a)计算用户密值的提取参数h(PW||UPK),通过计算来解封E(F)还原F,利用USBKey和测控应用服务器之间的身份认证密钥K=β(h(x)h(ID)mod p)进行变换后计算得到用户身份标识码V1=Fh(K)mod p。
b)将用户随机数R1作用于V1,得到动态变化用户身份凭证V2:
c)使用时间标记T1转换生成具有时鲜性的用户身份凭证:
d)最后产生用户身份认证请求{ID,Q1,Q2,Q3,T1},并将其通过网络发送到测控应用服务器。
4.用户身份凭证验证
如图4所示,测控应用服务器收到终端设备发来的身份认证请求后,通过用户身份凭证解耦,获得可导出用户身份标识码,然后与期望用户身份标识码进行比较,最终得到身份认证结果。用户身份凭证验证过程包含如下步骤:
a)对用户身份凭证验证时,可信测控应用服务器收到终端设备发来的身份认证请求{ID,Q1,Q2,Q3,T1}后,先进行时鲜性检查,若满足条件T-T1≤△T,则利用密值K、秘密函数β(.)、用户提供的ID号计算与USBKey共享的身份认证密钥K=β(h(x)h(ID)mod p)。
c)然后比较测控应用服务器还原得到的身份凭证与接收到的身份凭证Q3,还原可导出用户标识码V1与期望可导出用户身份标识码PF=Fh(K)mod p,若一致则表明用户掌握其密值PW,其提供的USBKey拥有表征用户的秘密值E(F)和EK,终端设备的用户身份得到确认。
5.认证结果确认
如图4所示,测控应用服务器根据身份认证结果构造身份认证确认消息发送给终端设备,终端设备收到身份确认信息后使用USBKey对其进行数据解耦,获得身份认证结果,并创建与测控服务器之间的会话密钥。认证结果确认过程包含如下步骤:
a)创建身份验证结果参数AUTH∈{True,False},生成随机数R2、认证时间T2,计算响应消息参数:
b)创建身份认证确认消息{P1,P3,T2,AUTH},将其反馈给USBKey,同时创建同终端设备的会话密钥Skey=h(K,V2,P2,R1,R2,T1,T2)。
c)USBKey设备收到确认信息后,检查时间标记T2时鲜性,重新计算参数并与确认消息中的P3对比,若则表明测控应用服务器持有表征其身份的秘密值x和密码函数β(.),能计算用户的身份认证加密参数K,并从身份认证请求消息中解耦出身份证据V2,解耦身份认证结果可靠。并按照b)计算会话密钥。
6.基于Chebyshev映射混沌公钥密码的密钥协商
如图5所示,经过身份认证后已确认用户身份凭证有效的两台测控终端设备之间通过采用基于Chebyshev映射混沌公钥密码算法进行通信密钥协商的过程步骤如下:
a)终端设备A首先选择一个大整数r,一个大素数N和有限域上的x并计算Tr(x)。将自己的用户身份标识IDA,接受方设备身份标识IDB,x,N,和Tr(x)连接起来,并用自己与测控应用服务器之间创建的共享会话密钥进行加密,生成密文ETA(IDA,IDB,x,N,Tr(x))后发送给测控应用服务器。
b)测控应用服务器收到信息后用与终端设备A的共享密钥对数据ETA(IDA,IDB,x,N,Tr(x))进行解密,验证设备A是否是一个合法的身份,如果验证失败则终止,否则将得到的信息用其与终端设备B共享的密钥进行加密,得到ETB(IDB,IDA,x,N,Tr(x)),并将ETB(IDB,IDA,x,N,Tr(x))发送给终端设备B。
c)终端设备B收到信息后用其与测控应用服务器共享的密钥对ETB(IDB,IDA,x,N,Tr(x))进行解密,然后随机选择一个大整数s用来计算Ts(x),将设备B身份标识IDB和Ts(x)连接起来用与测控应用服务器共享密钥加密,即ETB(IDB,Ts(x))。然后计算k=Ts(Tr(x)),并用k作为密钥采用Hash函数计算MACB=hk(IDB,IDA,Tr(x))。设备B将ETB(IDB,Ts(x))和MACB发送给测控应用服务器。
d)测控应用服务器收到信息后用与设备B共享的密钥解密ETB(IDB,Ts(x)),并验证设备B的身份。若验证不成功则终止。否则测控应用服务器用与设备A共享的密钥加密IDB和Ts(x),即ETA(IDB,Ts(x))。然后将ETA(B,Ts(x))和MACB发送给设备A。
e)设备A收到信息后,计算MAC′B=hk(IDB,IDA,Tr(x)),对比MAC′B和MACB是否相等,若不等,则设备A终止与B的协商通信。否则其确认B为真实的通信对象,且双方共享的会话密钥为k=Ts(Tr(x))。设备A可选择发送认证结果消息MACA=hk(IDA,IDB,Ts(x))给设备B进行确认。
f)设备B用密钥k计算Hash函数值MAC′A=hk(IDA,IDB,Ts(x)),对比MAC′A和收到的MACA是否相等,若不等,则设备B终止协商。否则可以确认设备A是其真实通信对象,会话密钥为k。MAC′B和MACB代表终端设备B用和服务器之间的共享密钥k用Hash函数加密得到的消息确认码。
Claims (7)
1.基于双密值和混沌加密的可信测控网络认证方法,其特征在于,包括以下步骤:
操控终端与测控应用服务器进行一致性分析来验证操控终端软件完整性;
操控终端与测控应用服务器分别以用户密值、测控应用服务器密值共同产生用户标识信息,通过非对称加密方式进行传输;
操控终端产生用户身份凭证;
测控应用服务器通过对用户身份凭证分析来推断用户持有用户标识信息的真实性。
2.根据权利要求1所述的基于双密值和混沌加密的可信测控网络认证方法,其特征在于所述操控终端与测控应用服务器进行一致性分析来验证操控终端软件完整性,包括以下步骤:
2a)终端设备以先验证后跳转的方式,使操控终端软件模块按照预订顺序执行,实现操控终端软件完整性增强;
2b)软件模块代码M传递给操控终端内的TPM,TPM中SHA-1引擎计算软件模块代码数字指纹PCR,以散列扩展方式保存到平台配置寄存器中,即:PCRi=SHA-1(PCRi||Pi),产生完整性表征日志SML;i表示数字指纹序号;SHA-1表示单向散列函数;
2c)测控应用服务器发送挑战串Challenge=Nonce启动完整性验证,操控终端对内部平台配置寄存器用操控终端的私钥AIK_SK对PCR、Nonce签名,加上SML形成响应消息Response=SignAIK_SK{PCR,Nonce}||SML;SignAIK_SK表示用私钥AIK_SK做数字签名运算;
2d)测控应用服务器用操控终端公钥AIK_PK验证数字签名,将已得到的PCR完整性表征值即数字指纹PCR和由完整性表征日志SML获取的PCR完整性表征值进行对比,验证操控终端软件完整性:若一致,则完整性验证成功.否则验证失败。
3.根据权利要求1所述的基于双密值和混沌加密的可信测控网络认证方法,其特征在于所述操控终端与测控应用服务器分别以用户密值、测控应用服务器密值共同产生用户标识信息,通过非对称加密方式进行传输,步骤如下:
3a)测控应用服务器利用服务器密值K、秘密函数β(.)、用户提供的ID号、用户公钥UPK和用户密值PW的散列值,产生用户身份标识码F=[h(ID||x)·h(PW||UPK)β(κ)]mod p;h(.)表示单向散列函数,x表示测控应用服务器持有表征其身份的秘密值,mod表示模除运算;
3b)用h(PW||UPK)对用户身份标识码F进行读取保护封装,得到E(F):
3c)将由加密封装的用户身份标识码E(F)、用户ID、加密封装的身份认证密钥EK、h(PW||UPK)、参数p、用户名UN、单位名称AN、用户类别UC构成的用户标识信息{ID,C,h(PW||UPK),E(F),EK,p,UN,AN,UC,...},使用公钥UPK加密,传送给USBKey设备,USBKey采用和UPK相对的私钥SPK进行解密保存,通过非对称加密为用户标识信息传输和导入USBKey创建一个安全通道。
4.根据权利要求3所述的基于双密值和混沌加密的可信测控网络认证方法,其特征在于所述操控终端产生用户身份凭证,包括以下步骤:
4a)终端设备计算用户密值的提取参数h(PW||UPK),通过计算 来解封E(F)还原F,利用USBKey和测控应用服务器之间的身份认证密钥K=β(h(x)h(ID)modp)进行变换后得到用户身份标识码V1=Fh(K)mod p;h(.)表示单向散列函数,mod表示模除运算,β(.)表示秘密函数,p表示参数;
4b)用户随机数R1作用于V1,得到动态变化用户身份凭证V2:
4c)使用时间标记T1转换生成具有时鲜性的用户身份凭证:
d)最后产生用户身份认证请求{ID,Q1,Q2,Q3,T1},并将其通过网络发送到测控应用服务器。
5.根据权利要求3所述的基于双密值和混沌加密的可信测控网络认证方法,其特征在于,所述测控应用服务器通过对用户身份凭证分析来推断用户持有用户标识信息的真实性,包括以下步骤:
5a)测控应用服务器收到终端设备发来的身份认证请求{ID,Q1,Q2,Q3,T1}后,先进行时鲜性检查:若满足条件T-T1≤阈值ΔT,则利用密值K、秘密函数β(.)、用户提供的ID号计算与USBKey共享的身份认证密钥K=β(h(x)h(ID)mod p);
6.根据权利要求5所述的基于双密值和混沌加密的可信测控网络认证方法,其特征在于还包括认证结果确认,包括以下步骤:
6a)测控应用服务器创建身份验证结果参数AUTH∈{True,False},生成随机数R2、认证时间T2,计算响应消息参数:
6b)测控应用服务器创建身份认证确认消息{P1,P3,T2,AUTH},将其反馈给USBKey,同时创建同终端设备的会话密钥Skey=h(K,V2,P2,R1,R2,T1,T2);
7.根据权利要求1所述的基于双密值和混沌加密的可信测控网络认证方法,其特征在于,经过身份认证后已确认用户身份凭证(Q1,Q2,Q3)有效的两台测控终端设备之间采用混沌公钥密码算法进行通信密钥协商,包括如下步骤:
a)终端设备A首先选择一个大整数r,一个大素数N和有限域上的x并计算Tr(x);将自己的用户身份标识IDA,接受方设备身份标识IDB,x,N,和Tr(x)连接起来,并用自己与测控应用服务器之间创建的共享会话密钥进行加密,生成密文ETA(IDA,IDB,x,N,Tr(x))后发送给测控应用服务器;r、N大于设定值;
b)测控应用服务器收到终端设备A发来的信息后用与终端设备A的共享密钥对数据ETA(IDA,IDB,x,N,Tr(x))进行解密,验证设备A是否是一个合法的身份;如果验证失败则终止,否则将得到的信息用其与终端设备B共享的密钥进行加密,得到ETB(IDB,IDA,x,N,Tr(x)),并将ETB(IDB,IDA,x,N,Tr(x))发送给终端设备B;
c)终端设备B收到信息后用其与测控应用服务器共享的密钥对ETB(IDB,IDA,x,N,Tr(x))进行解密,然后随机选择一个大整数s用来计算Ts(x),将终端设备B身份标识IDB和Ts(x)连接起来用与测控应用服务器共享密钥加密,即ETB(IDB,Ts(x));然后计算k=Ts(Tr(x)),并用k作为密钥采用Hash函数计算消息确认码MACB=hk(IDB,IDA,Tr(x));终端设备B将ETB(B,Ts(x))和MACB发送给测控应用服务器;s大于设定值,hk表示Hash函数,Ts(x)、Tr(x)表示混沌公钥密码算法计算表达式;
d)测控应用服务器收到终端设备B发来的信息后用与设备B共享的密钥解密ETB(IDB,Ts(x)),并验证设备B的身份;若验证不成功则终止;否则测控应用服务器用与设备A共享的密钥加密IDB和Ts(x),即ETA(IDB,Ts(x));然后将ETA(IDB,Ts(x))和MACB发送给终端设备A;
e)终端设备A收到测控应用服务器发来的信息后,计算消息确认码MAC′B=hk(IDB,IDA,Tr(x)),对比MAC′B和MACB是否相等;若不等,则设备A终止与B的协商通信;否则其确认B为真实的通信对象,且双方共享的会话密钥为k=Ts(Tr(x));终端设备A发送认证结果消息MACA=hk(IDA,IDB,Ts(x))给终端设备B进行确认;
f)终端设备B用密钥k计算Hash函数值MAC′A=hk(IDA,IDB,Ts(x)),对比MAC′A和收到的MACA是否相等;若不等,则终端设备B终止协商;否则,确认终端设备A是其真实通信对象,会话密钥为k。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811299442.5A CN111147225A (zh) | 2018-11-02 | 2018-11-02 | 基于双密值和混沌加密的可信测控网络认证方法 |
US16/636,727 US20210367753A1 (en) | 2018-11-02 | 2019-02-21 | Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption |
PCT/CN2019/075661 WO2020087805A1 (zh) | 2018-11-02 | 2019-02-21 | 基于双密值和混沌加密的可信测控网络认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811299442.5A CN111147225A (zh) | 2018-11-02 | 2018-11-02 | 基于双密值和混沌加密的可信测控网络认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111147225A true CN111147225A (zh) | 2020-05-12 |
Family
ID=70461783
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811299442.5A Pending CN111147225A (zh) | 2018-11-02 | 2018-11-02 | 基于双密值和混沌加密的可信测控网络认证方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20210367753A1 (zh) |
CN (1) | CN111147225A (zh) |
WO (1) | WO2020087805A1 (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111711686A (zh) * | 2020-06-15 | 2020-09-25 | 江苏方天电力技术有限公司 | 一种基于配电终端的安全防护方法 |
CN111917759A (zh) * | 2020-07-27 | 2020-11-10 | 八维通科技有限公司 | 一种加油站用的数据安全交互方法 |
CN113014396A (zh) * | 2021-03-01 | 2021-06-22 | 重庆邮电大学 | 一种适用于wban数据实时加密传输的超轻量级加密方法 |
CN114003654A (zh) * | 2020-12-14 | 2022-02-01 | 北京八分量信息科技有限公司 | 一种信任根签名中提高安全性的方法 |
CN114531666A (zh) * | 2022-01-28 | 2022-05-24 | 重庆邮电大学 | 基于ZigBee的无线网络室内远程监测***及方法 |
CN115296934A (zh) * | 2022-10-08 | 2022-11-04 | 北京安帝科技有限公司 | 基于工控网络入侵的信息传输方法、装置、电子设备 |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012048347A1 (en) * | 2010-10-08 | 2012-04-12 | Brian Lee Moffat | Private data sharing system |
CN112215626B (zh) * | 2020-10-22 | 2022-09-13 | 合肥工业大学 | 支持环形订单可验证的网约车***与方法 |
CN113055363B (zh) * | 2021-03-02 | 2023-07-04 | 南通大学 | 一种基于区块链信任机制的标识解析***实现方法 |
CN113132083A (zh) * | 2021-04-02 | 2021-07-16 | 四川省计算机研究院 | 应用于北斗导航***的安全认证***、方法和装置 |
US11956370B2 (en) * | 2021-06-23 | 2024-04-09 | Blackberry Limited | Method and system for digital signatures utilizing multiplicative semigroups |
CN113992411A (zh) * | 2021-11-01 | 2022-01-28 | 令牌云(上海)科技有限公司 | 一种基于可信设备的用户身份认证方法和装置 |
CN114065193B (zh) * | 2021-11-23 | 2024-05-07 | 北京邮电大学 | 一种应用于边缘云环境下图像任务的深度学习安全方法 |
CN114301597B (zh) * | 2021-12-13 | 2024-02-09 | 零信技术(深圳)有限公司 | 密钥验证方法、设备及可读存储介质 |
CN114338213B (zh) * | 2021-12-31 | 2022-09-13 | 电子科技大学 | 一种温度辅助认证的认证方法 |
CN114389811B (zh) * | 2022-02-28 | 2023-07-25 | 南京邮电大学 | 一种基于医疗联盟链的跨域认证方法 |
CN114422106B (zh) * | 2022-03-28 | 2022-06-24 | 科大天工智能装备技术(天津)有限公司 | 一种多服务器环境下的物联网***安全认证方法及*** |
CN114978537B (zh) * | 2022-05-16 | 2024-02-13 | 中国人民解放军国防科技大学 | 一种身份识别方法、装置、设备和计算机可读存储介质 |
CN114785615B (zh) * | 2022-05-23 | 2023-07-25 | 北京科技大学 | 一种云计算环境下用于物联网***的轻量级认证方法 |
CN115225350B (zh) * | 2022-07-01 | 2024-05-31 | 浪潮云信息技术股份公司 | 基于国密证书的政务云加密登录验证方法及存储介质 |
CN115694945B (zh) * | 2022-10-25 | 2023-05-23 | 北京珞安科技有限责任公司 | 一种工业终端主机维护方法及设备 |
CN116015751B (zh) * | 2022-12-08 | 2024-05-03 | 武汉理工大学 | 一种智能电网双向认证***及方法 |
CN116188007B (zh) * | 2023-01-13 | 2024-06-14 | 北京邮电大学 | 一种身份验证方法及*** |
CN116305330B (zh) * | 2023-05-22 | 2023-08-04 | 西安晟昕科技股份有限公司 | 一种cpu硬件的安全管理方法 |
CN116614239B (zh) * | 2023-07-14 | 2023-09-29 | 北京中超伟业信息安全技术股份有限公司 | 一种物联网中数据传输方法及*** |
CN117177239B (zh) * | 2023-11-03 | 2024-01-02 | 合肥工业大学 | 一种基于量子密钥的tsp平台数据加密通信***及方法 |
CN117857060B (zh) * | 2024-03-05 | 2024-05-17 | 中国人民解放军国防科技大学 | 一种二维码离线核验方法、***及存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8949955B2 (en) * | 2008-10-29 | 2015-02-03 | Symantec Corporation | Method and apparatus for mobile time-based UI for VIP |
CN101577917A (zh) * | 2009-06-16 | 2009-11-11 | 深圳市星龙基电子技术有限公司 | 一种安全的基于手机的动态密码验证方法 |
WO2017177435A1 (zh) * | 2016-04-15 | 2017-10-19 | 深圳前海达闼云端智能科技有限公司 | 一种身份认证方法、终端及服务器 |
-
2018
- 2018-11-02 CN CN201811299442.5A patent/CN111147225A/zh active Pending
-
2019
- 2019-02-21 WO PCT/CN2019/075661 patent/WO2020087805A1/zh active Application Filing
- 2019-02-21 US US16/636,727 patent/US20210367753A1/en not_active Abandoned
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111711686A (zh) * | 2020-06-15 | 2020-09-25 | 江苏方天电力技术有限公司 | 一种基于配电终端的安全防护方法 |
CN111917759A (zh) * | 2020-07-27 | 2020-11-10 | 八维通科技有限公司 | 一种加油站用的数据安全交互方法 |
CN114003654A (zh) * | 2020-12-14 | 2022-02-01 | 北京八分量信息科技有限公司 | 一种信任根签名中提高安全性的方法 |
CN113014396A (zh) * | 2021-03-01 | 2021-06-22 | 重庆邮电大学 | 一种适用于wban数据实时加密传输的超轻量级加密方法 |
CN113014396B (zh) * | 2021-03-01 | 2022-07-22 | 重庆邮电大学 | 一种适用于wban数据实时加密传输的超轻量级加密方法 |
CN114531666A (zh) * | 2022-01-28 | 2022-05-24 | 重庆邮电大学 | 基于ZigBee的无线网络室内远程监测***及方法 |
CN115296934A (zh) * | 2022-10-08 | 2022-11-04 | 北京安帝科技有限公司 | 基于工控网络入侵的信息传输方法、装置、电子设备 |
CN115296934B (zh) * | 2022-10-08 | 2023-01-24 | 北京安帝科技有限公司 | 基于工控网络入侵的信息传输方法、装置、电子设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2020087805A1 (zh) | 2020-05-07 |
US20210367753A1 (en) | 2021-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111147225A (zh) | 基于双密值和混沌加密的可信测控网络认证方法 | |
US11323276B2 (en) | Mutual authentication of confidential communication | |
EP3213458B1 (en) | Method, apparatus, and system for quantum key distribution, privacy amplification, and data transmission | |
JP5845393B2 (ja) | 暗号通信装置および暗号通信システム | |
CN111614621B (zh) | 物联网通信方法和*** | |
CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
CN107094108A (zh) | 连接到数据总线的部件和在该部件中实现加密功能的方法 | |
CN109951276B (zh) | 基于tpm的嵌入式设备远程身份认证方法 | |
CN114915396B (zh) | 一种基于国密算法的跳变密钥数字通信加密***和方法 | |
CN101277186B (zh) | 利用非对称密钥算法实现外部认证的方法 | |
CN116388995A (zh) | 一种基于puf的轻量级智能电网认证方法 | |
CN111294212A (zh) | 一种基于电力配电的安全网关密钥协商方法 | |
CN116633530A (zh) | 量子密钥传输方法、装置及*** | |
CN108551391B (zh) | 一种基于USB-key的认证方法 | |
CN111245611B (zh) | 基于秘密共享和可穿戴设备的抗量子计算身份认证方法及*** | |
CN113676448A (zh) | 一种基于对称秘钥的离线设备双向认证方法和*** | |
KR20080005344A (ko) | 인증서버가 사용자단말기를 인증하는 시스템 | |
KR20070035342A (ko) | 패스워드 기반의 경량화된 상호 인증 방법 | |
CN102487321B (zh) | 一种签密方法和*** | |
JP5004086B2 (ja) | 短い系列を用いた認証システム | |
CN110365482B (zh) | 一种数据通信方法和装置 | |
EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
CN112822015A (zh) | 信息传输方法及相关装置 | |
JP2004274134A (ja) | 通信方法並びにこの通信方法を用いた通信システム、サーバおよびクライアント | |
CN110572257A (zh) | 基于身份的抗量子计算数据来源鉴别方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200512 |