[go: up one dir, main page]

CN112333701B - 一种大规模物联网场景下基于身份的跨域认证方法 - Google Patents

一种大规模物联网场景下基于身份的跨域认证方法 Download PDF

Info

Publication number
CN112333701B
CN112333701B CN202011145701.6A CN202011145701A CN112333701B CN 112333701 B CN112333701 B CN 112333701B CN 202011145701 A CN202011145701 A CN 202011145701A CN 112333701 B CN112333701 B CN 112333701B
Authority
CN
China
Prior art keywords
node
domain
information
identity
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011145701.6A
Other languages
English (en)
Other versions
CN112333701A (zh
Inventor
苗付友
王心妍
于跃
熊焰
黄文超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Science and Technology of China USTC
Original Assignee
University of Science and Technology of China USTC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Science and Technology of China USTC filed Critical University of Science and Technology of China USTC
Priority to CN202011145701.6A priority Critical patent/CN112333701B/zh
Publication of CN112333701A publication Critical patent/CN112333701A/zh
Application granted granted Critical
Publication of CN112333701B publication Critical patent/CN112333701B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出一种大规模物联网场景下基于身份的跨域认证方法,顶级域的公开密钥为sP,不同域中的节点Ui,j和Up,q,节点Ui,j表示第i层第j个节点,节点Up,q表示第p层第q个节点,跨域间身份认证包括:步骤1、节点Ui,j与节点Up,q需要交换彼此父节点域的公开密钥si‑1,kP,sp‑1,tP,以及身份验证信息SMi,j,SMp,q;如果某个节点是顶级域中的节点,则该节点交换的是自己节点域的公开密钥;节点Up,q对节点Ui,j的跨域身份验证包括:判断节点Ui,j是否为顶级域中的节点;根据节点Ui,j为顶级域中的节点,或节点Ui,j非顶级域中的节点采用不同的方式对该节点进行跨域身份验证;步骤2、若验证成功,则跨域间身份认证过程结束,存储获取的身份标识信息和公开密钥,后续使用该信息与对方节点进行通信。

Description

一种大规模物联网场景下基于身份的跨域认证方法
技术领域
本发明涉及网络与信息安全领域,尤其涉及一种大规模物联网场景下基于身份的跨域认证方法。
背景技术
1)基于身份加密的算法
基于身份加密的算法中的公钥是由用户的身份标识生成的,这样可以很好的保证公钥不被篡改及可被验证。基于身份的加密方案中的私钥通常由私钥生成机构产生,用户向私钥生成机构发送请求后,私钥生成机构将根据该用户的身份计算私钥,并通过安全信道发给用户。在基于身份加密的算法中,密钥在更换或者撤销时用户的公钥均无需更换。
基于身份加密的算法主要包括4个步骤:系统初始化,密钥生成,加密和解密。
(1)系统初始化(产生系统的相关参数):
G1,G2是阶为q的GDH(Group Diffie-Hellman)群,q是一个大素数,G1是由椭圆曲线上的点构成的加法循环群,P是群G1的生成元,G2是域
Figure BDA0002739666570000011
的一个乘法子群,双线性映射e:G1×G1→G2
私钥生成机构选择一个随机数
Figure BDA0002739666570000012
作为系统的主密钥,令PPub=s·P,系统的密钥对为{PPub,s}。再选择两个哈希函数:H1:{0,1}n→G1和H2:G2→{0,1}n。明文空间M={0,1}n,密文空间为C=C1×{0,1}n,系统参数为params=(q,G1,G2,e,n,P,PPub,H1,H2)。其中,主密钥
Figure BDA0002739666570000013
应该被严格保密。
(2)密钥生成
如果向私钥生成机构认证的用户身份为ID∈{0,1}*。私钥生成机构计算QID=H1(ID)∈G1,然后向用户颁发私钥dID=s·QID,s为系统的主密钥。
(3)加密
假设发送方需要发送的加密信息为m,m∈M,发送方计算QID=H1(ID)∈G1,再随机选取
Figure BDA0002739666570000014
计算U=rP以及
Figure BDA0002739666570000015
最后,发送方将密文c=(U,V)通过公开信道发送给接收方。
(4)解密
接收方收到密文c=(U,V),并对其进行解密。检查U∈G1是否成立,如果不成立则拒绝该密文。如果成立,则使用自己的私钥dID进行解密,计算出明文:
Figure BDA0002739666570000021
Figure BDA0002739666570000022
2)跨域参数认证算法
为了对跨域的身份进行认证,发送方A的信息M在进行加密发送给接收方B的同时,发送方A还会额外发送给接收方B一个信息sQM。接收方B为了验证消息M的正确性,在解密得到信息M和sQM后,使用信息M计算出QM后,然后再任取一个信息M′,使用sP和QM对信息M′进行加密得到
Figure BDA0002739666570000023
再使用得到的sQM解密得到
Figure BDA0002739666570000024
如果可以恢复出信息M′,则可以验证出消息M是正确的,没有被篡改的,具体的过程如图1所示。
3)分层跨域认证
节点域指的是由一个密钥管理中心和若干子节点构成的管理单元,域内共享同一密钥参数。分层跨域的结构形式主要是将物联网中的节点分成多个分级的节点域。如图2所示。
分层跨域验证的方式主要是根据子节点对祖先节点身份的信任这一属性。跨域间的节点将自己的身份信息告知自己的祖先节点,然后通过两个跨域节点的共同祖先节点进行身份认证。如图3所示:
若要跨域通信,发送方需要先和自己的祖先节点进行通信,顶级祖先节点通过顶级域与接收方的顶级祖先节点进行通信,然后接收方的顶级祖先节点将消息传递给接收方。
上述现有的认证方法的需要进行多次的通信,身份认证的效率较低,不适用于大型的节点较多的物联网系统。
发明内容
本发明的目的是提出一种效率较高的物联网跨域节点身份认证的方法,可以在无需额外通信的条件下实现对跨域节点的身份信息验证。
本发明的技术方案为:一种大规模物联网场景下基于身份的跨域认证方法,顶级域的公开密钥为sP,其中,包括不同的域节点Ui,j和Up,q,节点Ui,j表示第i层第j个节点,节点Up,q表示第p层第q个节点,跨域间的身份认证过程包括如下步骤:
步骤(1)节点Ui,j与节点Up,q需要交换彼此父节点域的公开密钥si-1,kP,sp-1,tP,以及身份验证信息SMi,j,SMp,q;如果某个节点是顶级节点,则交换的是自己节点域的公开密钥(例如假设节点Ui,j为顶级节点,则其交换的公开密钥为si,jP);节点Up,q对节点Ui,j身份验证具体包括如下步骤(节点Ui,j对节点Up,q的身份验证过程相同):
判断节点Ui,j是否为顶级域中的节点,如果是,则转步骤(1.1),否则转步骤(1.2);
步骤(1.1)若节点Ui,j为顶级域中的节点,即节点U1,j,则节点Up,q获取的信息为s1, jP,SM1,j;其中,SM1,j中包括:ID1,j,s1,jP,sign(sQ1,j,M1,j),SM0,j,;其中ID1,j为节点Ui,j的标识信息,s1,jP为节点Ui,j节点域的公开密钥,M1,j为由节点U1,j的标识信息ID1,j和自己节点域的公开密钥s1,jP组成的信息,sign(sQ1,j,M1,j)为节点ID1,j使用自己在顶级域中的私钥sQ1,j对信息M1,j的签名,SM0,j为由节点Ui,j的标识信息ID1,j和顶级域的公开密钥sP组成的信息;
a)节点Up,q先对比SM0,j中的ID1,j和sP信息与自己获取已知的是否一致,若一致则通过并进行下一轮验证;
b)节点Up,q再使用验证通过的顶级域的公开密钥sP和ID1,j对M1,j进行验证,验证M1,j中公开密钥s1,jP的正确性;若验证通过,则跨域间身份认证过程结束,存储获取的ID1,j和s1,jP信息,后续使用该信息与节点Ui,j进行通信;
步骤(1.2)若节点Ui,j为非顶级节点,则节点Up,q获取的信息为si-1,kP,SMi,j;其中,SMi,j包括IDi,j,si-1,kP,sign(si-2Qi-1,k,Mi,j),SMi-1,k;其中IDi,j为节点Ui,j的标识信息,si-1,kP为节点Ui,j其父节点域的公开密钥,Mi,j为由节点Ui,j的标识信息IDi,j和自己父节点域的公开密钥si-1,kP组成的信息,sign(si-2Qi-1,k,Mi,j)为节点IDi-1,k使用其在父节点域中的私钥si-2Qi-1,k对信息Mi,j的签名,SMi-1,k为节点Ui,j的父节点Ui-1,k的身份验证信息;
a)节点Up,q先对身份验证信息中包括的所有信息进行层层解析,即将所有的SM信息展开,直至得到节点Ui,j的根节点U1,m的身份验证信息SM1,m
b)节点Ui,j的根节点U1,m的身份验证信息SM1,m中包括ID1,m,s1,mP,sign(sQ1,m,M1,m),SM0,m,M1,m由ID1,m和s1,mP组成,SM0,m由ID1,m和sP组成;节点Up,q使用已知的顶级域的公开密钥sP和ID1,m对M1,m中的ID1,m,s1,mP进行验证,得到验证后的公开密钥s1,mP;
c)节点Up,q再对下一层包进行验证,假设该链路上第二层的节点为U2,n,该身份验证信息包中的内容为ID2,n,s1,mP,sign(s1,mQ1,m,M2,n),SM1,m,其中M2,n由ID2,n和s1,mP组成;即节点Up,q使用验证后的公开密钥s1,mP和ID1,m对M2,n中的ID2,n,s1,mP进行验证,得到验证后的公开密钥s1,mP;
d)节点Up,q再对下一层包进行验证,假设该链路上第三层的节点为U3,l,该身份验证信息包中的内容为ID3,l,s2,nP,sign(s1,mQ2,n,M3,l),SM3,l,其中M3,l由ID3,l和s2,nP组成。即节点Up,q使用验证后的公开密钥s1,mP和ID2,n对M3,l中的ID3,l,s2,nP进行验证,得到验证后的公开密钥s2,nP;
e)逐层验证,直至验证到包的最内层,即使用已经验证后的公开密钥和标识信息对节点Ui,j的身份IDi,j以及其父节点域的公开密钥si-1,kP进行验证;
步骤(2)、若验证成功,则跨域间身份认证过程结束,存储获取的IDi,j和si-1,kP信息,后续使用该信息与节点Ui,j进行通信。
进一步的,所述步骤(1)之前,还包括节点身份验证信息生成步骤,节点Ui,j分为顶级节点和非顶级节点两种,顶级节点的身份验证信息由该节点在生成自身节点域的同时生成,非顶级节点的身份验证信息在该节点加入父节点的节点域时由父节点分发。
进一步的,所述顶级节点的身份验证信息生成步骤,具体方式如下:
(1)顶级节点U1,j选择自己域的公开密钥s1,jP,并生成自己的私钥s1,jQ1,j
(2)顶级节点用自己的身份信息ID1,j,顶级域的公开密钥sP、自己在顶级域中的私sQ1,j以及自己节点域的公开密钥s1,jP生成身份验证信息SM1,j,信息SM1,j的格式为:ID1,j,s1,jP,sign(sQ1,j,M1,j),SM0,j,其中M1,j由ID1,j和s1,jP组成,sign(sQ1,j,M1,j)为使用自己在顶级域中的私钥sQ1,j对信息M1,j进行签名后的信息,SM0,j由ID1,j和sP组成。
进一步的,所述非顶级节点在加入父节点的节点域时,由父节点生成该节点的身份验证信息,具体如下:
(1)节点Ui,j向节点Ui-1,k发送申请加入该节点的节点域;
(2)若节点Ui-1,k同意,则为节点Ui,j生成该节点的私钥si-1,kQi,j
(3)节点Ui-1,k用节点Ui,j的标识信息IDi,j,自己在父节点域中的私钥si-2Qi-1,k以及自己的身份验证信息SMi-1,k为节点Ui,j生成其身份验证信息SMi,j,身份验证信息SMi,j的格式为IDi,j,si-1,kP,sign(si-2,tQi-1,k,Mi,j),SMi-1,k,其中Mi,j由IDi,j和si-1,kP组成,sign(si-2, tQi-1,k,Mi,j)为节点Ui-1,k使用其在父节点域中的私钥si-2,tQi-1,k对信息Mi,j进行签名后的信息,SMi-1,k为节点Ui-1,k的身份验证信息。
有益效果
本发明的验证方法相对于现有技术,具有如下优点:
1)适用性广:能广泛适用于大型的节点较多的物联网系统中的通信及身份信息验证。
2)高效性:跨域间节点进行身份验证时无需额外的通信条件,也不需要与祖先节点进行通信,只需在本地对对方的验证信息进行计算验证即可,减少通信的开销,提高了认证的效率。
3)安全性:该身份验证方法为基于身份的加密算法,可以抵抗被动攻击,冒充攻击和重放攻击等多种攻击。
4)权力下放:允许除顶级节点外同一链路上的父节点可以分发身份验证信息,提高了节点在生成域获取自身验证信息的效率,减少了顶级节点的工作负荷。
5)便捷性:每个节点加入系统后只需将获取的身份验证信息保存在本地,随后在进行身份验证时将该信息公开发送给对方节点进行验证即可,无需额外的加密操作。
附图说明
图1跨域参数认证算法;
图2节点域示意图;
图3分层跨域验证方式;
图4物联网基于身份的分层加密示意图;
图5非顶级节点加入域示意图;
图6跨域间顶级节点身份认证;
图7跨域间非顶级节点身份认证。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅为本发明的一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域的普通技术人员在不付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明的保护范围。
由于物联网中顶级域的公开密钥为已知的,且所有节点均为顶级域引出的下层链路中的节点,因此所有节点均信任顶级域和顶级域的公开密钥。顶级域可以使用其公开密钥生成供跨域节点间身份认证的相关信息,也可以将权利进行下放,使得下层的节点也可以生成该身份认证信息。物联网中基于身份的分层加密结构如图4所示。
假设顶级域的公开密钥为sP,现将详细描述不同的域节点Ui,j和Up,q的身份验证信息获取过程,以及跨域间的身份认证过程。其中节点Ui,j表示第i层第j个节点。
1)节点身份验证信息生成过程
节点Ui,j可分为顶级节点和非顶级节点两种,顶级节点的身份验证信息由该节点在生成自身节点域的同时生成,非顶级节点的身份验证信息在该节点加入父节点的节点域时由父节点分发。
首先我们阐述顶级节点的身份验证信息生成过程,具体方式如下:
(1)顶级节点U1,j选择自己域的公开密钥s1,jP,并生成自己的私钥s1,jQ1,j
(2)顶级节点用自己的身份信息ID1,j,顶级域的公开密钥sP、自己在顶级域中的私钥sQ1,j以及自己节点域的公开密钥s1,jP生成身份验证信息SM1,j,信息SM1,j的格式为:ID1,j,s1,jP,sign(sQ1,j,M1,j),SM0,j,其中M1,j由ID1,j和s1,jP组成,sign(sQ1,j,M1,j)为节点U1,j使用自己在顶级域中的私钥sQ1,j对信息M1,j进行签名后的信息,SM0,j由ID1,j和sP组成。
非顶级节点在加入父节点的节点域时,由父节点生成该节点的身份验证信息,如图5所示,具体阐述如下:
(1)节点Ui,j向节点Ui-1,k发送申请加入该节点的节点域;
(2)若节点Ui-1,k同意,则为节点Ui,j生成该节点的私钥si-1,kQi,j
(3)节点Ui-1,k用节点Ui,j的标识信息IDi,j,自己在自己节点域中的私钥si-1,kQi-1,k以及自己的身份验证信息SMi-1,k为节点Ui,j生成其身份验证信息SMi,j,身份验证信息SMi,j的格式为IDi,j,si-1,kP,sign(si-2,tQi-1,k,Mi,j),SMi-1,k,其中Mi,j由IDi,j和si-1,kP组成,sign(si-2,tQi-1,k,Mi,j)为节点Ui-1,k使用其在父节点域中的私钥si-2,tQi-1,k对信息Mi,j进行签名后的信息,SMi-1,k为节点Ui-1,k的身份验证信息。
节点Up,q生成域的方式同上。
2)跨域节点身份认证的过程
若节点Ui,j需要与节点Up,q进行跨域的身份验证,首先双方节点需要交换彼此父节点域的公开密钥si-1,kP,sp-1,tP(若顶级节点,则其交换的是自己节点域的公开密钥)以及身份验证信息SMi,j,SMp,q
下面将详细说明节点Up,q对节点Ui,j身份验证的过程,过程如图6、7所示。(节点Ui,j对节点Up,q的验证过程相同)
(1)假设节点Ui,j为顶级域中的节点,即节点U1,j,则节点Up,q获取的信息为s1,jP,SM1,j。其中,SM1,j中包括:ID1,j,s1,jP,sign(sQ1,j,M1,j),SM0,j,M1,j由ID1,j和s1,jP组成,SM0,j由ID1,j和sP组成。
c)节点Up,q先对比SM0,j中的ID1,j和sP与自己获取已知的是否一致,若一致则通过并进行下一轮验证。
d)节点Up,q再使用验证通过的顶级域的公开密钥sP和ID1,j对M1,j进行验证,验证其M1,j中s1,jP的正确性。若验证通过,则跨域间身份认证过程结束,存储获取的ID1,j和s1,jP信息,后续可以使用该信息与节点Ui,j进行通信。
(2)假设节点Ui,j为非顶级节点,则节点Up,q获取的信息为si-1,kP,SMi,j。其中,SMi,j包括IDi,j,si-1,kP,sign(si-1,kQi-1,k,Mi,j),SMi-1,k,Mi,j由IDi,j和节点Ui,j父节点域的公开密钥si-1,kP组成,SMi-1,k为节点Ui,j的父节点Ui-1,k的身份验证信息。
f)节点Up,q先对身份验证信息中包括的所有信息进行层层解析,即将所有的SM信息展开,直至得到节点Ui,j的根节点U1,m的身份验证信息SM1,m
g)节点Ui,j的根节点U1,m的身份验证信息SM1,m中包括ID1,m,s1,mP,sign(sQ1,m,M1,m),SM0,m,M1,m由ID1,m和s1,mP组成,SM0,m由ID1,m和sP组成。节点Up,q使用已知的顶级域的公开密钥sP和ID1,m对M1,m中的ID1,m,s1,mP进行验证,得到验证后的公开密钥s1,mP。
h)节点Up,q再对下一层包进行验证,假设该链路上第二层的节点为U2,n,该身份验证信息包中的内容为ID2,n,s1,mP,sign(s1,mQ1,m,M2,n),SM1,m,其中M2,n由ID2,n和s1,mP组成。即节点Up,q使用验证后的公开密钥s1,mP和ID1,m对M2,n中的ID2,n,s1,mP进行验证,得到验证后的公开密钥s1,mP。
i)节点Up,q再对下一层包进行验证,假设该链路上第三层的节点为U3,l,该身份验证信息包中的内容为ID3,l,s2,nP,sign(s1,mQ2,n,M3,l),SM3,l,其中M3,l由ID3,l和s2,nP组成。即节点Up,q使用验证后的公开密钥s1,mP和ID2,n对M3,l中的ID3,l,s2,nP进行验证,得到验证后的公开密钥s2,nP。
j)按照上述的方法进行逐层的验证,直至验证到包的最后一层,即使用已经验证后的公开密钥和标识信息对节点Ui,j的身份IDi,j以及其父节点域的公开密钥si-1,kP进行验证。
k)若验证成功,则跨域间身份认证过程结束,存储获取的IDi,j和si-1,kP信息,后续可以使用该信息与节点Ui,j进行通信。
应用举例
本发明中的节点对应的是大规模物联网场景中的网络节点。在面临大规模物联网系统中网络节点较多的情况下,不同节点域间的网络节点往往需要进行跨域间的通信。然而,跨域间的网络节点并不能信任对方节点的身份,因此需要对对方网络节点的身份信息进行验证。
根据本发明的一个实施例,若大规模物联网系统下第一层的第七个网络节点U1,7和第十二层的第十五个网络节点U12,15分别生成或加入物联网系统的节点域,获取自己的身份验证信息并对对方域的身份验证信息进行验证。
1、身份验证信息的生成
节点U1,7为顶级节点,选择自己域的公开密钥为s1,7P,并生成自己的身份验证信息SM1,7保存在本地,信息SM1,7由ID1,7,s1,7P,sign(sQ1,7,M1,7),SM0,7构成,其中M1,7包含ID1,7和s1,7P,SM0,7包含ID1,7和顶级域的公开密钥sP。
节点U12,15申请加入父节点U11,12的节点域,若节点U11,12同意,则为节点U12,15生成其私钥s11,12Q12,15,及其身份验证信息SM12,15并发送给该节点。身份验证信息SM12,15由ID12,15,s11,12P,sign(s10,8Q11,12,M12,15),SM11,12构成,其中M12,15由ID12,15和s11,12P组成,SM11,12为节点U11,12的身份验证信息。节点U12,15收到了父节点U11,12发来的私钥s11,12Q12,15,及其身份验证信息SM12,15后将其均保存在本地,私钥s11,12Q12,15用于后续的通信解密,身份验证信息SM12,15用于后续跨域间的身份验证。
2、身份认证
现节点U12,15对节点U1,7的身份进行验证。节点U12,15对SM1,7进行解析,可以得到ID1,7,s1,7P,sign(sQ1,7,M1,7),SM0,7。先使用已知的顶级域的公开密钥sP和顶级节点的身份信息ID1,7对SM0,7中的sP和ID1,7进行验证,再使用验证后的sP和ID1,7对sign(sQ1,7,M1,7)验证,验证M1,7中的ID1,7和s1,7P,若成功,则保存其s1,7P用于后续的通信。
节点U1,7对节点U12,15进行身份信息的验证,节点U1,7对SM12,15进行解析,可以得到ID12,15,s11,12P,sign(s10,8Q11,12,M12,15),SM11,12,再对SM11,12进行解析,依次向上,最后可以得到SM3,6,SM2,5,SM1,3(节点U12,15链路上前几个节点的身份验证信息)。
a)先对SM1,3进行验证,SM1,3中包含ID1,3,s1,3P,sign(sQ1,3,M1,3),SM0,3,即使用已知的顶级域的公开密钥sP和顶级节点的身份信息ID1,3对SM0,3进行验证,再使用sP对sign(sQ1,3,M1,3)验证,验证M1,3中的ID1,3和s1,3P,若成功,则进行下一步。
b)对SM2,5进行验证,SM2,5中包含ID2,5,s1,3P,sign(s1,3Q1,3,M2,5),SM1,3,其中M2,5中包含ID2,5和s1,3P,即使用验证后的公开密钥s1,3P、ID1,3和解析得到的sign(s1,3Q1,3,M2,5)对M2,5中的ID2,5和s1,3P进行验证,若成功,则进行下一步。
c)对SM3,6进行验证,SM3,6中包含ID3,6,s2,5P,sign(s1,3Q2,5,M3,6),SM2,5,其中M3,6中包含ID3,6,s2,5P,即使用验证后的公开密钥s1,3P、ID2,5和解析得到的sign(s1,3Q2,5,M3,6)对M3,6中的ID3,6和s2,5P进行验证,若成功,则进行下一步。
d)使用验证后的公开密钥s2,5P和ID3,6对后续的一个身份验证信息包进行验证,以此类推。
最后可以得到验证后的公开密钥s10,8P、ID11,12,用其对最后一层身份验证信息SM12,15进行验证,SM12,15中包括ID12,15,s11,12P,sign(s10,8Q11,12,M12,15),SM11,12,其中M12,15中包含ID12,15,s11,12P,即使用s10,8P、ID11,12和sign(s10,8Q11,12,M12,15)验证M12,15中的ID12,15,s11, 12P。若验证成功,则保存其s11,12P用于后续的通信。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,且应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。

Claims (4)

1.一种大规模物联网场景下基于身份的跨域认证方法,顶级域的公开密钥为sP,其中,不同域中的节点Ui,j和Up,q,节点Ui,j表示第i层第j个节点,节点Up,q表示第p层第q个节点,其特征在于,跨域间的身份认证过程包括如下步骤:
步骤(1)节点Ui,j与节点Up,q需要交换彼此父节点域的公开密钥分别为si-1,kP,sp-1,tP,以及身份验证信息分别为SMi,j,SMp,q;如果某个节点是顶级节点,则交换的是自己节点域的公开密钥;节点Up,q对节点Ui,j身份验证具体包括如下步骤:
判断节点Ui,j是否为顶级域中的节点,如果是,则转步骤(1.1),否则转步骤(1.2);
步骤(1.1)若节点Ui,j为顶级域中的节点,即节点U1,j,则节点Up,q获取的信息为s1,jP,SM1,j;其中,SM1,j中包括:ID1,j,s1,jP,sign(sQ1,j,M1,j),SM0,j,其中ID1,j为节点U1,j的标识信息,s1,jP为节点U1,j节点域的公开密钥,M1,j为由节点U1,j的标识信息ID1,j和自己节点域的公开密钥s1,jP组成的信息,sign(sQ1,j,M1,j)为节点U1,j使用自己在顶级域中的私钥sQ1,j对信息M1,j的签名,SM0,j为由节点U1,j的标识信息ID1,j和顶级域的公开密钥sP组成的信息;
a)节点Up,q先对比SM0,j中的ID1,j和sP信息与自己获取已知的是否一致,若一致则通过并进行下一轮验证;
b)节点Up,q再使用验证通过的顶级域的公开密钥sP和ID1,j对M1,j进行验证,验证M1,j中公开密钥s1,jP的正确性;若验证通过,则跨域间身份认证过程结束,存储获取的ID1,j和s1,jP信息,后续使用该信息与节点U1,j进行通信;
步骤(1.2)若节点Ui,j为非顶级节点,则节点Up,q获取的信息为si-1,kP,SMi,j;其中,SMi,j包括IDi,j,si-1,kP,sign(si-2Qi-1,k,Mi,j),SMi-1,k;其中IDi,j为节点Ui,j的标识信息,si-1,kP为节点Ui,j其父节点域的公开密钥,Mi,j为由节点Ui,j的标识信息IDi,j和自己父节点域的公开密钥si-1,kP组成的信息,sign(si-2Qi-1,k,Mi,j)为节点Ui-1,k使用其在父节点域中的私钥si-2Qi-1,k对信息Mi,j的签名,SMi-1,k为节点Ui,j父节点Ui-1,k的身份验证信息;
a)节点Up,q先对身份验证信息中包括的所有信息进行层层解析,即将所有的SM信息展开,直至得到节点Ui,j的根节点U1,m的身份验证信息SM1,m
b)节点Ui,j的根节点U1,m的身份验证信息SM1,m中包括ID1,m,s1,mP,sign(sQ1,m,M1,m),SM0,m,M1,m由ID1,m和s1,mP组成,SM0,m由ID1,m和sP组成;节点Up,q使用已知的顶级域的公开密钥sP和ID1,m对M1,m中的ID1,m,s1,mP进行验证,得到验证后的公开密钥s1,mP;
c)节点Up,q再对下一层包进行验证,链路上第二层的节点为U2,n,该身份验证信息中的内容为ID2,n,s1,mP,sign(s1,mQ1,m,M2,n),SM1,m,其中M2,n由ID2,n和s1,mP组成;即节点Up,q使用验证后的公开密钥s1,mP和ID1,m对M2,n中的ID2,n,s1,mP进行验证,得到验证后的公开密钥s1,mP;
d)节点Up,q再对下一层包进行验证,该链路上第三层的节点为U3,l,该身份验证信息中的内容为ID3,l,s2,nP,sign(s1,mQ2,n,M3,l),SM2,n,其中M3,l由ID3,l和s2,nP组成;即节点Up,q使用验证后的公开密钥s1,mP和ID2,n对M3,l中的ID3,l,s2,nP进行验证,得到验证后的公开密钥s2, nP;
e)逐层验证,直至验证到包的最后一层,即使用已经验证后的公开密钥和标识信息对节点Ui,j的身份IDi,j以及其父节点域的公开密钥si-1,kP进行验证;
步骤(2)若验证成功,则跨域间身份认证过程结束,存储获取的IDi,j和si-1,kP信息,后续使用该信息与节点Ui,j进行通信。
2.根据权利要求1所述的一种大规模物联网场景下基于身份的跨域认证方法,其特征在于,所述步骤(1)之前,还包括节点身份验证信息生成步骤,节点Ui,j分为顶级节点和非顶级节点两种,顶级节点的身份验证信息由该节点在生成自身节点域的同时生成,非顶级节点的身份验证信息在该节点加入父节点的节点域时由父节点分发。
3.根据权利要求2所述的一种大规模物联网场景下基于身份的跨域认证方法,其特征在于,所述顶级节点的身份验证信息生成步骤,具体方式如下:
(1)顶级节点U1,j选择自己域的公开密钥s1,jP,并生成自己的私钥s1,jQ1,j
(2)顶级节点用自己的身份信息ID1,j,顶级域的公开密钥sP、自己在顶级域中的私钥sQ1,j以及自己节点域的公开密钥s1,jP生成身份验证信息SM1,j,信息SM1,j的格式为:ID1,j,s1,jP,sign(sQ1,j,M1,j),SM0,j,其中M1,j由ID1,j和s1,jP组成,sign(sQ1,j,M1,j)为使用自己在顶级域中的私钥sQ1,j对信息M1,j进行签名后的信息,SM0,j由ID1,j和sP组成。
4.根据权利要求2所述的一种大规模物联网场景下基于身份的跨域认证方法,其特征在于,所述非顶级节点在加入父节点的节点域时,由父节点生成该节点的身份验证信息,具体如下:
(1)节点Ui,j向节点Ui-1,k发送申请加入该节点的节点域;
(2)若节点Ui-1,k同意,则为节点Ui,j生成该节点的私钥si-1,kQi,j
(3)节点Ui-1,k用节点Ui,j的标识信息IDi,j,自己在父节点域中的私钥si-2Qi-1,k以及自己的身份验证信息SMi-1,k为节点Ui,j生成其身份验证信息SMi,j,身份验证信息SMi,j的格式为IDi,j,si-1,kP,sign(si-2Qi-1,k,Mi,j),SMi-1,k,其中Mi,j由IDi,j和si-1,kP组成,sign(si-2Qi-1,k,Mi,j)为节点Ui-1,k使用其在父节点域中的私钥si-2Qi-1,k对信息Mi,j进行签名后的信息,SMi-1,k为节点Ui-1,k的身份验证信息。
CN202011145701.6A 2020-10-23 2020-10-23 一种大规模物联网场景下基于身份的跨域认证方法 Active CN112333701B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011145701.6A CN112333701B (zh) 2020-10-23 2020-10-23 一种大规模物联网场景下基于身份的跨域认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011145701.6A CN112333701B (zh) 2020-10-23 2020-10-23 一种大规模物联网场景下基于身份的跨域认证方法

Publications (2)

Publication Number Publication Date
CN112333701A CN112333701A (zh) 2021-02-05
CN112333701B true CN112333701B (zh) 2021-12-10

Family

ID=74310681

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011145701.6A Active CN112333701B (zh) 2020-10-23 2020-10-23 一种大规模物联网场景下基于身份的跨域认证方法

Country Status (1)

Country Link
CN (1) CN112333701B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115001764B (zh) * 2022-05-23 2023-07-11 中国科学技术大学 分层系统下基于共识数据库的跨域密钥协商方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101883115A (zh) * 2010-06-25 2010-11-10 北京交通大学 接入认证方法及系统
CN102983971A (zh) * 2012-10-10 2013-03-20 中国科学技术大学苏州研究院 网络环境中进行用户身份认证的无证书签名方法
CN107733649A (zh) * 2017-11-21 2018-02-23 武汉珈港科技有限公司 一种基于身份标识的层级化公钥信任模型构建方法
CN108667616A (zh) * 2018-05-03 2018-10-16 西安电子科技大学 基于标识的跨云安全认证系统和方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9276942B2 (en) * 2012-09-07 2016-03-01 Oracle International Corporation Multi-tenancy identity management system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101883115A (zh) * 2010-06-25 2010-11-10 北京交通大学 接入认证方法及系统
CN102983971A (zh) * 2012-10-10 2013-03-20 中国科学技术大学苏州研究院 网络环境中进行用户身份认证的无证书签名方法
CN107733649A (zh) * 2017-11-21 2018-02-23 武汉珈港科技有限公司 一种基于身份标识的层级化公钥信任模型构建方法
CN108667616A (zh) * 2018-05-03 2018-10-16 西安电子科技大学 基于标识的跨云安全认证系统和方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Cross-domain Authentication Mechanism for Power Terminals Based on Blockchain and Credibility Evaluation;xinyang wang 等;《2020 5th International Conference On Computer and Communication Systems》;20200616;第936-940页 *

Also Published As

Publication number Publication date
CN112333701A (zh) 2021-02-05

Similar Documents

Publication Publication Date Title
Wazid et al. AKM-IoV: Authenticated key management protocol in fog computing-based Internet of vehicles deployment
CN107948189B (zh) 非对称密码身份鉴别方法、装置、计算机设备及存储介质
JP4527358B2 (ja) 鍵供託を使用しない、認証された個別暗号システム
US7814320B2 (en) Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks
CN108667616B (zh) 基于标识的跨云安全认证系统和方法
CN112104453B (zh) 一种基于数字证书的抗量子计算数字签名系统及签名方法
CN114710275B (zh) 物联网环境下基于区块链的跨域认证和密钥协商方法
Jiang et al. Two-factor authentication protocol using physical unclonable function for IoV
EP0661845B1 (en) System and method for message authentication in a non-malleable public-key cryptosystem
CN104270249A (zh) 一种从无证书环境到基于身份环境的签密方法
CN103491540A (zh) 一种基于身份凭证的无线局域网双向接入认证系统及方法
CN101902476A (zh) 移动p2p用户身份认证方法
CN110099367A (zh) 基于边缘计算的车联网安全数据分享方法
CN110535626B (zh) 基于身份的量子通信服务站保密通信方法和系统
US20110055553A1 (en) Method for controlling user access in sensor networks
CN114726546B (zh) 数字身份认证方法、装置、设备和存储介质
CN113411801B (zh) 一种基于身份签密的移动终端认证方法
CN106713349B (zh) 一种能抵抗选择密文攻击的群组间代理重加密方法
CN110166445A (zh) 一种基于身份的隐私保护匿名认证和密钥协商方法
CN116388995A (zh) 一种基于puf的轻量级智能电网认证方法
CN112333701B (zh) 一种大规模物联网场景下基于身份的跨域认证方法
Hwang et al. A new efficient authentication protocol for mobile networks
CN114095229A (zh) 能源互联网的数据传输协议构建方法、装置和系统
CN116886306A (zh) 一种基于椭圆曲线的可验证数字签名方法
CN114389808B (zh) 一种基于SM9盲签名的OpenID协议设计方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant