CN1688122A - 基于几何认证的密钥等动态分配管理方法 - Google Patents
基于几何认证的密钥等动态分配管理方法 Download PDFInfo
- Publication number
- CN1688122A CN1688122A CN 200510064235 CN200510064235A CN1688122A CN 1688122 A CN1688122 A CN 1688122A CN 200510064235 CN200510064235 CN 200510064235 CN 200510064235 A CN200510064235 A CN 200510064235A CN 1688122 A CN1688122 A CN 1688122A
- Authority
- CN
- China
- Prior art keywords
- function
- point
- user
- server
- geometric
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
在本发明中由于二维及二维以上空间环境的引入,使得代表用户的东西本质上不再是一维的数据,而是空间的点(2个以上一维数据的组合),和函数(点的集合)。于是代表用户的点和函数,就与其他的点和函数产生了***的几何关系。于是任意时刻提问的方案(计算要求方案)不再唯一,每一方案提问的内容不再唯一,用户端说明用户身份的数据不再唯一,同时提问的次数不再唯一…,正是这些众多的不再唯一,使得攻击者遇到了难题。
Description
本发明公开了一种基于几何认证的密钥等动态分配和管理方法。为了保证敏感信息服务和通信的安全,通常都要采用加密技术。对于网络银行、券商、电子商务等由于存在大量的用户类、群,因此密钥的安全管理自动分发,尤其是在互联网这种非封闭非安全的环境中就显得特别重要。通常密钥的分发一般采用RSA公钥方案,现在一般认为1024位RSA公钥加密才是安全的。由于1024位RSA公钥加密算法太耗费计算资源,因此在微型化、普及应用方面有太多的障碍。基于本发明的密钥等安全管理技术,具有安全、快速、耗费计算资源少,且不惧窥测、拦截、冒充等攻击。由于其算法简单,可以硬件微型化,因此也可在非安全的用户端应用,具体说明如下:
为了便于理解,在本发明中空间的几何元素代表用户,如用N维空间的点代表用户,或N维空间某条曲线代表用户等(注意:直线是曲线的一种特殊形式)。严格说N维空间某条曲线实际上是某一函数。
在本发明中当用户在互联网上远程登录服务器要求提供服务时,用户端不首先对自己的合法性进行声明。也就是说:无需主动提供代表自己身份的合法性数据(如通常的用户名、口令、动态口令等)。而是等待服务器端的“提问”。实际上这种“提问”通常是由服务器端向用户端发送一些点数据或函数数据及计算要求。用户端将此数据与代表自己身份的点数据或函数数据按照服务器的计算要求进行计算,并将计算结果返回给服务器,由服务器对计算结果进行判断。
如果计算结果不符合服务器的要求,则服务器按照非法用户处理。如果计算结果满足服务器的要求,则服务器认为是合法用户,并能根据其计算结果的内容判断是哪一位合法用户。为了保证可靠性,这样的问答形式可能进行多次。服务器确认合法用户的具体身份后,即可采用上一次与之约定的密钥及加密方式向该用户提供服务,并加密传送下一次用户登录时代表用户的几何元素、加密方式和密钥。服务接收到用户的确认,则下一次将采用新的认证几何元素、加密方式、密钥数据。以上这一切正常情况下都是自动进行,无需人工干预。因此合法用户只需到提供服务的机构设置一次,即可长期的享受服务。管理人员也不再会为密钥过期,忙于联系大量需更换密钥的用户而苦恼。
下面我们结合两个具体的方案来进一步说明:
点代表用户的例子:
如附图1,这是一个2维空间上点代表用户的例子。服务器有4个用户。上一次用户登陆后结果是点m1、m2、m3、m4分别代表不同的用户。此时m3所代表的用户登录要求服务。服务器从不在直线m1m2,m2m3,m3m4,m4m1,m1m3,m2m4上的点中随机抽取一点P1,要用户端回答代表自己的点与P1点连线的斜率,用户端通过计算,将两点连线的斜率进行回复。在此方案中,由于服务器任何时候分配用户点位置时的原则,与抽取P1点时一样。即新分配的点(或抽取的点)不在任意两用户点的连线上。所以不同的用户点与P1连线具有不同的斜率,因此服务器能够判断此用户为点m3所代表的用户。为了保证可靠性,服务器再随机抽取一点P2,按照上一次约定的密钥及加密方式将P2加密传送给用户,用户对P2进行解密计算后将计算结果加密传送给服务器。如果结果正确,用户的身份便得到确认,服务器加密向该用户提供服务,传送下一次用户登录时代表用户身份的新点、密钥和加密方式。经用户端确认后生效。
在此方案中,任何时候服务器检测到某用户点第2次或2次以上进行明文认证时,即通知认证用户启用备用点进行认证。如附图1,如果m3点代表的用户在某种情况下无法完成认证过程,则其再次登录时服务器发现m3所代表的点已经登录过,但没有完成,便会告知启用备用点m3′。如果备用点发生同样情况则启用下一备用点,依此类推,直到备用点用尽封闭账号,或某点明文认证一次通过。
当然服务器提出的计算要求并不仅限于两点连线的斜率方案,如两点间的距离,到某曲线的距离,两点连线与某曲线的交点等等均可。
同样用户端反过来可对服务器进行认证和协商约定。
直线函数代表用户的例子:
如附图2,这是一个3维空间上用直线L代表用户的例子。假设服务器中有n个用户,用n条不同的直线表示。如果其中第k个用户要求登录,此时服务器随机抽取空间的一点P1,要求客户端计算代表客户的直线到P1点的距离。第k个用户的终端通过计算得出距离为r1。服务器收到r1的数据后,将计算代表用户的直线有几条与以P1点为球心、半径为r1的球体相切。如果没有一条相切,则登录者为非法用户。
如果为一条以上,则服务器将选择一点P2,使得P2点到与P1点为球心、半径为r1的球体
相切的各条用户直线的距离不等,并要求用户端计算代表自己的直线与P2点的距离。根据用户端地回答,服务器能够确定Lk所代表的用户。为了保证可靠性,服务器再随机抽取一点P3,按照上一次约定的密钥及加密方式将P3加密传送给用户,并要求计算直线Lk到P3的距离。用户解密对P3进行计算后将计算结果加密传送给服务器。如果结果正确,用户的身份得到确认。服务器加密向该用户提供服务,传送下一次用户登录时代表用户的新直线函数、密钥和加密方式。经用户端确认后生效。
现有的认证技术中表示用户身份的是数据,从多维空间的观点来看,是一维的。如果表示用户身份的数据是一个(如口令),那么是孤立的。如果表示用户身份的数据是一个集合(如动态口令),那也只是一维带时间等参数的函数。因为在任意时刻,能说明用户身份的数据仅有一个,没有其他选择。同理在一维状况下,说明用户身份的这些数据与其他数据的几何关系仅是差值,因此服务器问与某数相差多少与问其本身是多少没有什么本质不同。于是回答的方案仅有一种可能。正是这种不变的唯一性,使得安全无法得以保证。如中间人攻击。
在本发明中由于二维及二维以上空间环境的引入,使得代表用户的东西本质上不再是一维的数据(当然并不是说没有一维的表现形式),而是空间的点(2个以上一维数据的组合),和函数(点的集合)。于是代表用户的点和函数,就与其他的点和函数产生了***的几何关系。于是任意时刻提问的方案(计算要求方案)不再唯一,每一方案提问的内容不再唯一,用户端说明用户身份的数据不再唯一,同时提问的次数不再唯一...,正是这些众多的不再唯一,使得攻击者遇到了难题。
让我们进一步,为了减少数据的传输量,点和函数实际上可以动态产生。
比如服务器给出一个随机数t,用户端使用y=f1(t),x=f1′(t)产生第一点(y1,x1)。使用y=f2(t),x=f2′(t)产生第二点(y2,x2),于是这两点所在的直线就可以代表此时用户的身份,进行几何认证。
又比如用按认证的时间t,f1、f2产生点,f3产生半径。我们又得到一个动态产生圆的几何认证。诸如此类...。
于是我们就不用每次都进行点和函数的加密传送了。但这是以加重运算量为代价的,应该根据安全、运算量、传输量的实际情况进行取舍。
值得注意的是:此时用户端直接回答函数数据并不影响其安全性,因为代表用户的主体已经发生了改变,即产生函数的函数。
Claims (3)
1、一种基于点或函数几何特性的认证方法——几何认证法。其特征为:
a、点(2个以上一维数据的组合)或点的集合(函数)代表用户的身份。
b、用户端不首先对自己的合法性进行声明。
c、用户端通常不直接表明代表自身的点或函数,而是将其与服务器传来的点数据或函数数据按照服务器要求进行计算,并将计算结果回答,以作为对身份的证明。
d、通常服务器有2种或2种以上的计算要求方案。这种计算要求方案基于点或函数的几何特性,如交点、距离、长度、角度、体积、面积等。
e、对合法用户任一认证过程,服务器至少提问2次。
f、通常无需人的干预,认证自动进行。
2、一种基于几何认证的密钥等动态分配管理方法。其特征为:
无需人的干预自动的几何身份认证,自动更换和分配用户的密钥等。
3、一种函数动态产生函数的几何认证方法。其特征为:
由函数动态产生点或函数,代表用户的是产生函数的函数。除了几何认证的特征外,被产生函数数据可以直接问答,而不影响其安全性。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200510064235 CN1688122A (zh) | 2005-04-14 | 2005-04-14 | 基于几何认证的密钥等动态分配管理方法 |
PCT/CN2006/000527 WO2006108341A1 (fr) | 2005-04-14 | 2006-03-28 | Procede pour allouer et gerer dynamiquement la cle sur la base de l’authentification geometrique |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200510064235 CN1688122A (zh) | 2005-04-14 | 2005-04-14 | 基于几何认证的密钥等动态分配管理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1688122A true CN1688122A (zh) | 2005-10-26 |
Family
ID=35306162
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200510064235 Pending CN1688122A (zh) | 2005-04-14 | 2005-04-14 | 基于几何认证的密钥等动态分配管理方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN1688122A (zh) |
WO (1) | WO2006108341A1 (zh) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2714780B1 (fr) * | 1993-12-30 | 1996-01-26 | Stern Jacques | Procédé d'authentification d'au moins un dispositif d'identification par un dispositif de vérification. |
JP2004112531A (ja) * | 2002-09-19 | 2004-04-08 | Ntt Docomo Inc | 認証システム、認証方法、認証サーバ及び通信端末 |
JP2004320648A (ja) * | 2003-04-18 | 2004-11-11 | G-Ratio Co Ltd | 電子署名を用いた情報管理方法およびこれを用いた商取引方法並びにシステム |
-
2005
- 2005-04-14 CN CN 200510064235 patent/CN1688122A/zh active Pending
-
2006
- 2006-03-28 WO PCT/CN2006/000527 patent/WO2006108341A1/zh not_active Application Discontinuation
Also Published As
Publication number | Publication date |
---|---|
WO2006108341A1 (fr) | 2006-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | A remote password authentication scheme for multiserver architecture using neural networks | |
NZ755192A (en) | Confirming authenticity of a user to a third-party system | |
US8091120B2 (en) | Adaptive authentication methods, systems, devices, and computer program products | |
CN1972189B (zh) | 生物体认证*** | |
US8930704B2 (en) | Digital signature method and system | |
CN1902853B (zh) | 一种公开密钥的可验证生成的方法和设备 | |
CN101087193A (zh) | 使用与帐号绑定的手机号码进行身份确认的新方法 | |
CN102782694A (zh) | 用于数据安全设备的事务审计 | |
CN102664728A (zh) | 安全数据解析器方法和*** | |
WO2014191768A2 (en) | Authentication | |
CN101243438A (zh) | 分布式单一注册服务 | |
CN104184588B (zh) | 基于身份的不可拆分数字签名方法 | |
US20140047233A1 (en) | System and methods for automated transaction key generation and authentication | |
CN104125230B (zh) | 一种短信认证服务***以及认证方法 | |
CN101401094B (zh) | 使用呼号的端点验证 | |
WO2004070506A3 (en) | A method and system for identifying an authorized individual by means of unpredictable single-use passwords | |
KR101862279B1 (ko) | 인터넷 정보 안전을 보장하는 아키텍처 및 방법 | |
WO2020083629A1 (en) | Issuing device and method for issuing and requesting device and method for requesting a digital certificate | |
CN109862559A (zh) | 适用于工业互联网数据感知的无证书签名方法和*** | |
CN108768650A (zh) | 一种基于生物特征的短信验证*** | |
CN1688122A (zh) | 基于几何认证的密钥等动态分配管理方法 | |
EP2357596A1 (en) | Secure online order confirmation method | |
EP2031539A1 (en) | Encrypting communication method and encrypting communication device | |
KR101617875B1 (ko) | 전자문서 제공 서비스를 위한 인증방법, 전자문서 제공 서비스 방법 및 시스템 | |
CN108833449B (zh) | 基于RAS算法的Web通信加密传输方法、装置及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |