CN113468596A - 一种用于电网数据外包计算的多元身份认证方法及*** - Google Patents
一种用于电网数据外包计算的多元身份认证方法及*** Download PDFInfo
- Publication number
- CN113468596A CN113468596A CN202110721021.2A CN202110721021A CN113468596A CN 113468596 A CN113468596 A CN 113468596A CN 202110721021 A CN202110721021 A CN 202110721021A CN 113468596 A CN113468596 A CN 113468596A
- Authority
- CN
- China
- Prior art keywords
- calculation
- server
- user
- identity authentication
- biological information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012946 outsourcing Methods 0.000 title claims abstract description 44
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 238000012795 verification Methods 0.000 claims description 43
- 239000000284 extract Substances 0.000 claims description 8
- 230000001172 regenerating effect Effects 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims 2
- 230000005611 electricity Effects 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Bioethics (AREA)
- Computing Systems (AREA)
- Biomedical Technology (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种用于电网数据外包计算的多元身份认证方法及***,其中,方法包括:通过生物信息采集设备同时采集用户的多种生物信息并发送给身份认证服务器,由身份认证服务器进行对用户的身份认证;电网数据的计算委托方和计算方通过PAKE协议不断交换中间值的方式生成会话密钥,并使用会话密钥对传输数据进行加密和解密,完成计算委托方和计算方之间的身份认证;在对需要进行外包计算的电网数据进行认证校验,在计算方返回计算结果时由计算委托方对计算结果进行认证校验;由加密机将隐私计算服务器的IP地址写入IP白名单中,完成对隐私计算服务器的认证。本发明兼容人员、设备、***、数据等多种认证需求,保证用电数据外包计算的安全。
Description
技术领域
本发明涉及电网数据安全技术领域,尤其涉及一种用于电网数据外包计算的多元身份认证方法及***。
背景技术
云计算在学术界和工业界已经越来越受关注,而外包计算是云计算中最重要的应用之一。一个计算能力有限的客户将任务外包给云中的一个或者多个服务器,这就是外包计算,同时也可以将任务外包给算力充足的超算中心。外包计算有较高的安全性要求,需要确保客户的信息不会外泄,并能够实现正确的计算,且客户需要能够对计算结果进行验证。在外包计算的整体流程中,对用户、设备、***以及数据的身份认证也是一个关键的安全保证。
身份认证技术作为信息安全防护的常用技术手段,已广泛应用于各类信息***,确保接入用户的数字与物理身份相符合,防止非法接入。随着新技术的发展,各种攻击手段呈现多元化,对于身份认证技术也带来新的挑战。
用户在登录用电数据安全外包计算***时,首先应进行身份认证。传统身份认证技术大多基于操作***在软件层面实现,通过身份认证软件和数字证书,实现用户的身份认证。由于其依赖操作***的特点,传统身份认证技术存在以下局限和缺点:
(1)传统的身份认证技术缺乏在用户客户端平台硬件启动阶段对客户端进行身份认证,存在非授权客户端平台接入网络的现象,为用户网络带来潜在威胁。
(2)传统的身份认证技术依赖于操作***,采用数字证书的软件认证方式,容易受到病毒、木马、身份仿冒等恶意攻击,且存在被旁路绕过的风险。
发明内容
本发明所要解决的技术问题在于,提供一种用于电网数据外包计算的多元身份认证方法及***,以保证用电数据外包计算的安全性。
为了解决上述技术问题,本发明实施例提供一种用于电网数据外包计算的多元身份认证方法,包括:
步骤S1,通过生物信息采集设备同时采集用户的多种生物信息并发送给身份认证服务器,由身份认证服务器进行生物信息校验;在校验成功后,由隐私计算服务器对用户的初始令牌进行校验,若校验成功则生成一个供用户访问隐私计算服务器的应用令牌,完成对用户的身份认证;
步骤S2,电网数据的计算委托方和计算方通过PAKE协议不断交换中间值的方式生成会话密钥,并使用所述会话密钥对传输数据进行加密和解密,完成计算委托方和计算方之间的身份认证;
步骤S3,在对需要进行外包计算的电网数据进行加密得到的密文数据中嵌入用户的身份标识,在计算委托方和计算方使用PAKE生成会话密钥的同时将PAKE标识嵌入所述密文数据中,由计算方对所述密文数据进行认证校验,在计算方返回计算结果时由计算委托方对计算结果进行认证校验;
步骤S4,由加密机将隐私计算服务器的IP地址写入IP白名单中,完成对隐私计算服务器的认证。
进一步地,在所述步骤S1对用户的身份进行认证之前,还包括录入用户的生物信息,具体步骤包括:
生物信息采集设备将用户的多种生物信息加密上传至身份认证服务器的注册中心,注册中心将所述多种生物信息解密后进行特征提取,存储在生物特征库中。
进一步地,所述步骤S1具体包括:
生物识别设备同时采集用户的多种生物信息,并传入隐私计算服务器中;
由隐私计算服务器将所述多种生物信息加密发送至身份认证服务器;
身份认证服务器将接收到的生物信息密文数据进行解密得到明文的生物信息,并对明文的生物信息进行特征提取,与生物特征库中的特征进行对比校验;
生物特征信息校验成功后,身份认证服务器为该用户生成一个初始令牌token返回给用户使用的客户端,同时将初始令牌token校验信息同步发送给隐私计算服务器;
用户使用的客户端将从身份认证服务器接收到的初始令牌token发送给隐私计算服务器;
隐私计算服务器将接收到的初始令牌token通过索引找到对应的初始令牌token校验信息,并进行初始令牌token校验;
校验成功后,隐私计算服务器重新生成一个供用户访问隐私计算服务器的应用令牌token,完成最终对用户的身份认证。
进一步地,所述步骤S3具体包括:
对需要进行外包计算的数据进行加密得到密文数据,并在其中嵌入用户的身份标识;
在计算委托方和计算方使用PAKE协议生成会话密钥的同时,将PAKE标识嵌入所述密文数据中;
计算委托方将所述密文数据通过密文数据转发服务器经由互联网传输给计算方后,计算方的计算模块对所述PAKE标识进行校验,同时获取用户标识用于日志记录,以确保数据的可认证和可溯源;
在计算方返回计算结果给计算委托方时,对计算结果通过用户身份标识和PAKE标识完成进行认证校验。
进一步地,多种生物信息是人脸、指纹、虹膜中的任意两种或全部。
本发明还提供一种用于电网数据外包计算的多元身份认证***,包括通部署在电网数据的计算委托方的生物信息采集设备、身份认证***、加密机和隐私计算服务器,以及部署在电网数据的计算方的计算模块;所述计算委托方和计算方通过互联网通信;
所述生物信息采集设备用于同时采集用户的多种生物信息并发送给所述身份认证服务器,所述身份认证服务器用于对所述多种生物信息校验;在校验成功后,由隐私计算服务器对用户的初始令牌进行校验,若校验成功则生成一个供用户访问隐私计算服务器的应用令牌,完成对用户的身份认证;
电网数据的计算委托方和计算方通过PAKE协议不断交换中间值的方式生成会话密钥,并使用所述会话密钥对传输数据进行加密和解密,完成计算委托方和计算方之间的身份认证;
计算委托方在对需要进行外包计算的电网数据进行加密得到的密文数据中嵌入用户的身份标识,在计算委托方和计算方使用PAKE生成会话密钥的同时将PAKE标识嵌入所述密文数据中,由所述计算方对所述密文数据进行认证校验,在所述计算方返回计算结果时由所述计算委托方对计算结果进行认证校验;
所述加密机用于将所述隐私计算服务器的IP地址写入IP白名单中,完成对所述隐私计算服务器的认证。
进一步地,所述生物信息采集设备还用于将用户的多种生物信息加密上传至所述身份认证服务器的注册中心,注册中心将所述多种生物信息解密后进行特征提取,存储在生物特征库中。
进一步地,所述隐私计算服务器用于将所述多种生物信息加密发送至所述身份认证服务器;
所述身份认证服务器还用于将接收到的生物信息密文数据进行解密得到明文的生物信息,并对明文的生物信息进行特征提取,与生物特征库中的特征进行对比校验;
生物特征信息校验成功后,所述身份认证服务器用于为该用户生成一个初始令牌token返回给用户使用的客户端,同时将初始令牌token校验信息同步发送给所述隐私计算服务器;
用户使用的客户端将从所述身份认证服务器接收到的初始令牌token发送给所述隐私计算服务器;
隐私计算服务器还用于将接收到的初始令牌token通过索引找到对应的初始令牌token校验信息,并进行初始令牌token校验;
校验成功后,隐私计算服务器用于重新生成一个供用户访问隐私计算服务器的应用令牌token,完成最终对用户的身份认证。
进一步地,计算委托方用于对需要进行外包计算的数据进行加密得到密文数据,并在其中嵌入用户的身份标识;在计算委托方和计算方使用PAKE协议生成会话密钥的同时,将PAKE标识嵌入所述密文数据中;
计算委托方还用于将所述密文数据通过密文数据转发服务器经由互联网传输给计算方,计算方的计算模块用于对所述PAKE标识进行校验,同时获取用户标识用于日志记录,以确保数据的可认证和可溯源;
在计算方返回计算结果给计算委托方时,所述计算委托方用于对计算结果通过用户身份标识和PAKE标识完成进行认证校验。
进一步地,多种生物信息是人脸、指纹、虹膜中的任意两种或全部。
本发明实施例的有益效果在于:本发明构建了新一代多元身份认证体系,兼容人员、设备、***、数据等多种认证需求,能够保证平台用户的身份真实有效,抵御DDOS攻击,缓解平台的网安压力,保证用电数据外包计算的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一一种用于电网数据外包计算的多元身份认证方法的流程示意图。
图2为本发明实施例中用户生物信息注册流程示意图。
图3为本发明实施例中对人的身份认证原理示意图。
图4为本发明实施例中对人的身份认证流程示意图。
图5为本发明实施例中对电网数据的计算委托方和计算方进行认证的流程示意图。
图6为本发明实施例中对传输数据进行认证的流程示意图。
图7为本发明实施例中对隐私计算服务器进行认证的流程示意图。
具体实施方式
以下各实施例的说明是参考附图,用以示例本发明可以用以实施的特定实施例。
请同时参照图1和图2所示,本发明实施例一提供一种用于电网数据外包计算的多元身份认证方法,包括:
步骤S1,通过生物信息采集设备同时采集用户的多种生物信息并发送给身份认证服务器,由身份认证服务器进行生物信息校验;在校验成功后,由隐私计算服务器对用户的初始令牌进行校验,若校验成功则生成一个供用户访问隐私计算服务器的应用令牌,完成对用户的身份认证;
步骤S2,电网数据的计算委托方和计算方通过PAKE协议不断交换中间值的方式生成会话密钥,并使用所述会话密钥对传输数据进行加密和解密,完成计算委托方和计算方之间的身份认证;
步骤S3,在对需要进行外包计算的电网数据进行加密得到的密文数据中嵌入用户的身份标识,在计算委托方和计算方使用PAKE生成会话密钥的同时将PAKE标识嵌入所述密文数据中,由计算方对所述密文数据进行认证校验,在计算方返回计算结果时由计算委托方对计算结果进行认证校验;
步骤S4,由加密机将隐私计算服务器的IP地址写入IP白名单中,完成对隐私计算服务器的认证。
在外包计算场景下,进行全流程的多元身份认证确保整个外包计算的可控安全,这里的多元是指全流程中涉及的所有单位包括人、***、设备等;主要可以分为:对人的身份认证、对设备、***的身份认证、对数据的身份认证。
在对用户的身份进行认证之前,需要将用户的生物特征信息录入到***中,如图2所示:
用户通过连接到个人计算机的生物信息采集设备录入个人生物信息(例如人脸、指纹、虹膜),生物信息采集设备将用户的生物信息加密上传至身份认证服务器的注册中心,注册中心将数据解密后进行特征提取得到用户生物特征(人脸、指纹、虹膜),存储在生物特征库中,例如,人脸特征将存储在人脸库中,指纹特征则存储在指纹库中,虹膜特征存储在虹膜库中。
请参照图3所示,首先,通过生物信息采集设备同时采集用户的多种生物信息并校验得到用户的身份标识,本实施例中的多种生物信息可以是人脸、指纹、虹膜中的任意两种或全部,以确定用户的唯一性;其中生物信息设备在采集生物信息时需开启活体识别。采集的生物信息与用户使用的客户端的硬件指纹一起发送给身份认证服务器,身份认证服务器将这些信息与数据库中的身份信息进行比对校验,同时与隐私计算服务器进行通信,告知隐私计算服务器具体的用户进行登录,并返回校验信息给到用户使用的客户端。
进一步地,再请参照图4所示,步骤S1具体包括:
生物识别设备(连接在用户使用的客户端上)同时采集用户的多种生物信息,并传入隐私计算服务器中;
由隐私计算服务器将所述多种生物信息加密发送至身份认证服务器;
身份认证服务器将接收到的生物信息密文数据进行解密得到明文的生物信息,并对明文的生物信息进行特征提取,与生物特征库中的特征进行对比校验;
生物特征信息校验成功后,身份认证服务器为该用户生成一个初始令牌token返回给用户使用的客户端,同时将初始令牌token校验信息同步发送给隐私计算服务器;
用户使用的客户端将从身份认证服务器接收到的初始令牌token发送给隐私计算服务器;
隐私计算服务器将接收到的初始令牌token通过索引找到对应的初始令牌token校验信息,并进行初始令牌token校验;
校验成功后,隐私计算服务器重新生成一个供用户访问隐私计算服务器的应用令牌token,完成最终对用户的身份认证。
之后,用户即可使用该应用令牌token对隐私计算服务器进行访问。
请再参照图5所示,步骤S2对电网数据的计算委托方和计算方进行认证,通过国密改造的PAKE(Password-Authenticated Key Exchange,密码验证密钥交换)协议在计算委托方和计算方之间通过不断交换中间值的方式生成会话密钥session key,双方通过使用这份会话密钥对传输数据进行加密和解密,完成计算委托方和计算方之间的身份认证。
请再参照图6所示,步骤S3将进行传输数据的认证。数据的身份认证是在用户(如图1所示)登录计算委托方的***后,对需要进行外包计算的数据进行加密,得到密文数据,并在其中嵌入该用户的身份标识。在计算委托方和计算方使用PAKE协议生成会话密钥的同时,将PAKE标识(每次会话密钥生成都会对生成的密钥进行Hash生成一个唯一标识)也嵌入密文数据中。计算委托方将密文数据通过密文数据转发服务器经由互联网传输给计算方后,计算方的计算模块对该PAKE标识进行校验,同时获取用户标识用于日志记录,确保数据的可认证和可溯源,同时在计算方返回计算结果给计算委托方时也需要对计算结果进行认证校验(同样通过用户身份标识和PAKE标识完成)。
再如图7所示,步骤S4对隐私计算服务器的身份认证主要通过IP白名单进行控制,在本实施例中主要指通过加密机将隐私计算服务器的IP地址写入IP白名单中,完成对隐私计算服务器的认证,即只有通过认证的隐私计算服务器才有权限调用加密机。
通过上述说明可知,本实施例整体模式是外包计算的流程中通过对人的认证、对设备、对***以及对需要进行外包计算的数据进行认证,确保真个外包计算流程中的用户、设备及数据可信。
相应于本发明实施例一提供的一种用于电网数据外包计算的多元身份认证方法,本发明实施例二还提供本发明还提供一种用于电网数据外包计算的多元身份认证***,包括通部署在电网数据的计算委托方的生物信息采集设备、身份认证***、加密机和隐私计算服务器,以及部署在电网数据的计算方的计算模块;所述计算委托方和计算方通过互联网通信;
所述生物信息采集设备用于同时采集用户的多种生物信息并发送给所述身份认证服务器,所述身份认证服务器用于对所述多种生物信息校验;在校验成功后,由隐私计算服务器对用户的初始令牌进行校验,若校验成功则生成一个供用户访问隐私计算服务器的应用令牌,完成对用户的身份认证;
电网数据的计算委托方和计算方通过PAKE协议不断交换中间值的方式生成会话密钥,并使用所述会话密钥对传输数据进行加密和解密,完成计算委托方和计算方之间的身份认证;
计算委托方在对需要进行外包计算的电网数据进行加密得到的密文数据中嵌入用户的身份标识,在计算委托方和计算方使用PAKE生成会话密钥的同时将PAKE标识嵌入所述密文数据中,由所述计算方对所述密文数据进行认证校验,在所述计算方返回计算结果时由所述计算委托方对计算结果进行认证校验;
所述加密机用于将所述隐私计算服务器的IP地址写入IP白名单中,完成对所述隐私计算服务器的认证。
进一步地,所述生物信息采集设备还用于将用户的多种生物信息加密上传至所述身份认证服务器的注册中心,注册中心将所述多种生物信息解密后进行特征提取,存储在生物特征库中。
进一步地,所述隐私计算服务器用于将所述多种生物信息加密发送至所述身份认证服务器;
所述身份认证服务器还用于将接收到的生物信息密文数据进行解密得到明文的生物信息,并对明文的生物信息进行特征提取,与生物特征库中的特征进行对比校验;
生物特征信息校验成功后,所述身份认证服务器用于为该用户生成一个初始令牌token返回给用户使用的客户端,同时将初始令牌token校验信息同步发送给所述隐私计算服务器;
用户使用的客户端将从所述身份认证服务器接收到的初始令牌token发送给所述隐私计算服务器;
隐私计算服务器还用于将接收到的初始令牌token通过索引找到对应的初始令牌token校验信息,并进行初始令牌token校验;
校验成功后,隐私计算服务器用于重新生成一个供用户访问隐私计算服务器的应用令牌token,完成最终对用户的身份认证。
进一步地,计算委托方用于对需要进行外包计算的数据进行加密得到密文数据,并在其中嵌入用户的身份标识;在计算委托方和计算方使用PAKE协议生成会话密钥的同时,将PAKE标识嵌入所述密文数据中;
计算委托方还用于将所述密文数据通过密文数据转发服务器经由互联网传输给计算方,计算方的计算模块用于对所述PAKE标识进行校验,同时获取用户标识用于日志记录,以确保数据的可认证和可溯源;
在计算方返回计算结果给计算委托方时,所述计算委托方用于对计算结果通过用户身份标识和PAKE标识完成进行认证校验。
进一步地,多种生物信息是人脸、指纹、虹膜中的任意两种或全部。
本实施例的工作原理及过程,请参照前述本发明实施例一的说明,此处不再赘述。
综上所述,相比于现有技术,本发明实施例带来的有益效果在于:本发明构建了新一代多元身份认证体系,兼容人员、设备、***、数据等多种认证需求,能够保证平台用户的身份真实有效,抵御DDOS攻击,缓解平台的网安压力,保证用电数据外包计算的安全。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (10)
1.一种用于电网数据外包计算的多元身份认证方法,其特征在于,包括:
步骤S1,通过生物信息采集设备同时采集用户的多种生物信息并发送给身份认证服务器,由身份认证服务器进行生物信息校验;在校验成功后,由隐私计算服务器对用户的初始令牌进行校验,若校验成功则生成一个供用户访问隐私计算服务器的应用令牌,完成对用户的身份认证;
步骤S2,电网数据的计算委托方和计算方通过PAKE协议不断交换中间值的方式生成会话密钥,并使用所述会话密钥对传输数据进行加密和解密,完成计算委托方和计算方之间的身份认证;
步骤S3,在对需要进行外包计算的电网数据进行加密得到的密文数据中嵌入用户的身份标识,在计算委托方和计算方使用PAKE生成会话密钥的同时将PAKE标识嵌入所述密文数据中,由计算方对所述密文数据进行认证校验,在计算方返回计算结果时由计算委托方对计算结果进行认证校验;
步骤S4,由加密机将隐私计算服务器的IP地址写入IP白名单中,完成对隐私计算服务器的认证。
2.根据权利要求1所述的用于电网数据外包计算的多元身份认证方法,其特征在于,在所述步骤S1对用户的身份进行认证之前,还包括录入用户的生物信息,具体步骤包括:
生物信息采集设备将用户的多种生物信息加密上传至身份认证服务器的注册中心,注册中心将所述多种生物信息解密后进行特征提取,存储在生物特征库中。
3.根据权利要求1所述的用于电网数据外包计算的多元身份认证方法,其特征在于,所述步骤S1具体包括:
生物识别设备同时采集用户的多种生物信息,并传入隐私计算服务器中;
由隐私计算服务器将所述多种生物信息加密发送至身份认证服务器;
身份认证服务器将接收到的生物信息密文数据进行解密得到明文的生物信息,并对明文的生物信息进行特征提取,与生物特征库中的特征进行对比校验;
生物特征信息校验成功后,身份认证服务器为该用户生成一个初始令牌token返回给用户使用的客户端,同时将初始令牌token校验信息同步发送给隐私计算服务器;
用户使用的客户端将从身份认证服务器接收到的初始令牌token发送给隐私计算服务器;
隐私计算服务器将接收到的初始令牌token通过索引找到对应的初始令牌token校验信息,并进行初始令牌token校验;
校验成功后,隐私计算服务器重新生成一个供用户访问隐私计算服务器的应用令牌token,完成最终对用户的身份认证。
4.根据权利要求1所述的用于电网数据外包计算的多元身份认证方法,其特征在于,所述步骤S3具体包括:
对需要进行外包计算的数据进行加密得到密文数据,并在其中嵌入用户的身份标识;
在计算委托方和计算方使用PAKE协议生成会话密钥的同时,将PAKE标识嵌入所述密文数据中;
计算委托方将所述密文数据通过密文数据转发服务器经由互联网传输给计算方后,计算方的计算模块对所述PAKE标识进行校验,同时获取用户标识用于日志记录,以确保数据的可认证和可溯源;
在计算方返回计算结果给计算委托方时,对计算结果通过用户身份标识和PAKE标识完成进行认证校验。
5.根据权利要求1-4任一项所述的用于电网数据外包计算的多元身份认证方法,其特征在于,多种生物信息是人脸、指纹、虹膜中的任意两种或全部。
6.一种用于电网数据外包计算的多元身份认证***,其特征在于,包括通部署在电网数据的计算委托方的生物信息采集设备、身份认证***、加密机和隐私计算服务器,以及部署在电网数据的计算方的计算模块;所述计算委托方和计算方通过互联网通信;
所述生物信息采集设备用于同时采集用户的多种生物信息并发送给所述身份认证服务器,所述身份认证服务器用于对所述多种生物信息校验;在校验成功后,由隐私计算服务器对用户的初始令牌进行校验,若校验成功则生成一个供用户访问隐私计算服务器的应用令牌,完成对用户的身份认证;
电网数据的计算委托方和计算方通过PAKE协议不断交换中间值的方式生成会话密钥,并使用所述会话密钥对传输数据进行加密和解密,完成计算委托方和计算方之间的身份认证;
计算委托方在对需要进行外包计算的电网数据进行加密得到的密文数据中嵌入用户的身份标识,在计算委托方和计算方使用PAKE生成会话密钥的同时将PAKE标识嵌入所述密文数据中,由所述计算方对所述密文数据进行认证校验,在所述计算方返回计算结果时由所述计算委托方对计算结果进行认证校验;
所述加密机用于将所述隐私计算服务器的IP地址写入IP白名单中,完成对所述隐私计算服务器的认证。
7.根据权利要求6所述的用于电网数据外包计算的多元身份认证***,其特征在于,所述生物信息采集设备还用于将用户的多种生物信息加密上传至所述身份认证服务器的注册中心,注册中心将所述多种生物信息解密后进行特征提取,存储在生物特征库中。
8.根据权利要求6所述的用于电网数据外包计算的多元身份认证***,其特征在于,所述隐私计算服务器用于将所述多种生物信息加密发送至所述身份认证服务器;
所述身份认证服务器还用于将接收到的生物信息密文数据进行解密得到明文的生物信息,并对明文的生物信息进行特征提取,与生物特征库中的特征进行对比校验;
生物特征信息校验成功后,所述身份认证服务器用于为该用户生成一个初始令牌token返回给用户使用的客户端,同时将初始令牌token校验信息同步发送给所述隐私计算服务器;
用户使用的客户端将从所述身份认证服务器接收到的初始令牌token发送给所述隐私计算服务器;
隐私计算服务器还用于将接收到的初始令牌token通过索引找到对应的初始令牌token校验信息,并进行初始令牌token校验;
校验成功后,隐私计算服务器用于重新生成一个供用户访问隐私计算服务器的应用令牌token,完成最终对用户的身份认证。
9.根据权利要求6所述的用于电网数据外包计算的多元身份认证***,其特征在于,计算委托方用于对需要进行外包计算的数据进行加密得到密文数据,并在其中嵌入用户的身份标识;在计算委托方和计算方使用PAKE协议生成会话密钥的同时,将PAKE标识嵌入所述密文数据中;
计算委托方还用于将所述密文数据通过密文数据转发服务器经由互联网传输给计算方,计算方的计算模块用于对所述PAKE标识进行校验,同时获取用户标识用于日志记录,以确保数据的可认证和可溯源;
在计算方返回计算结果给计算委托方时,所述计算委托方用于对计算结果通过用户身份标识和PAKE标识完成进行认证校验。
10.根据权利要求6-9任一项所述的用于电网数据外包计算的多元身份认证***,其特征在于,多种生物信息是人脸、指纹、虹膜中的任意两种或全部。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110721021.2A CN113468596B (zh) | 2021-06-28 | 2021-06-28 | 一种用于电网数据外包计算的多元身份认证方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110721021.2A CN113468596B (zh) | 2021-06-28 | 2021-06-28 | 一种用于电网数据外包计算的多元身份认证方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113468596A true CN113468596A (zh) | 2021-10-01 |
CN113468596B CN113468596B (zh) | 2023-10-13 |
Family
ID=77873403
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110721021.2A Active CN113468596B (zh) | 2021-06-28 | 2021-06-28 | 一种用于电网数据外包计算的多元身份认证方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113468596B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113872983A (zh) * | 2021-10-13 | 2021-12-31 | 苏州兆晶智能科技有限公司 | 一种区块链芯片身份认证***及其认证方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2239918A1 (en) * | 2009-04-08 | 2010-10-13 | Research In Motion Limited | systems, devices and methods for securely transmitting a security parameter to a computing device |
US20160330179A1 (en) * | 2015-05-06 | 2016-11-10 | Samsung Sds Co., Ltd. | System and method for key exchange based on authentication information |
CN107948156A (zh) * | 2017-11-24 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种基于身份的封闭式密钥管理方法及*** |
-
2021
- 2021-06-28 CN CN202110721021.2A patent/CN113468596B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2239918A1 (en) * | 2009-04-08 | 2010-10-13 | Research In Motion Limited | systems, devices and methods for securely transmitting a security parameter to a computing device |
US20160330179A1 (en) * | 2015-05-06 | 2016-11-10 | Samsung Sds Co., Ltd. | System and method for key exchange based on authentication information |
CN107948156A (zh) * | 2017-11-24 | 2018-04-20 | 郑州云海信息技术有限公司 | 一种基于身份的封闭式密钥管理方法及*** |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113872983A (zh) * | 2021-10-13 | 2021-12-31 | 苏州兆晶智能科技有限公司 | 一种区块链芯片身份认证***及其认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113468596B (zh) | 2023-10-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3230238U (ja) | 電子データを安全に格納するシステム | |
US10666423B2 (en) | Biometric verification of a blockchain database transaction contributor | |
CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
KR101226651B1 (ko) | 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조 | |
KR101198120B1 (ko) | 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법 | |
CN111931144B (zh) | 一种操作***与业务应用统一安全登录认证方法及装置 | |
WO2018170341A1 (en) | Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication | |
US9485098B1 (en) | System and method of user authentication using digital signatures | |
CN107733933B (zh) | 一种基于生物识别技术的双因子身份认证的方法及*** | |
TWI512524B (zh) | 身份驗證系統及方法 | |
KR20070024633A (ko) | 갱신가능한 그리고 개인적인 바이오메트릭 | |
CN101163009A (zh) | 用户认证***、认证服务器、终端以及防篡改设备 | |
CN105207776A (zh) | 一种指纹认证方法及*** | |
CN111541713A (zh) | 基于区块链和用户签名的身份认证方法及装置 | |
CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及*** | |
TW202137199A (zh) | 生物支付設備的認證方法、裝置、電腦設備和儲存媒體 | |
CN102468962A (zh) | 利用个人密码装置的个人身份验证方法及个人密码装置 | |
TWI476629B (zh) | Data security and security systems and methods | |
CN113872751B (zh) | 业务数据的监控方法、装置、设备及存储介质 | |
CN113849797A (zh) | 数据安全漏洞的修复方法、装置、设备及存储介质 | |
Andola et al. | An enhanced smart card and dynamic ID based remote multi-server user authentication scheme | |
CN112968774B (zh) | 一种组态存档加密及解密方法、装置存储介质及设备 | |
CN113468596B (zh) | 一种用于电网数据外包计算的多元身份认证方法及*** | |
CN116112242B (zh) | 面向电力调控***的统一安全认证方法及*** | |
Maheshwari et al. | Secure authentication using biometric templates in Kerberos |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |