System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 基于分布式身份代理的身份验证方法技术_技高网

基于分布式身份代理的身份验证方法技术

技术编号:42374891 阅读:12 留言:0更新日期:2024-08-16 14:58
本发明专利技术解决现有基于身份密码的认证方案中对密钥生成中心KGC的过度依赖问题,通过秘密分割将KGC生成的密钥进行分割,同时消息认证过程需要KGC与代理层节点共同参与完成,以此降低对KGC节点的过度依赖。同时为防止KGC节点作恶,引入信誉奖惩机制与投票机制,由于KGC节点为每一条区块链上的所有节点所选举投票产生,因此高信誉的节点,代表该节点的行为记录较好,系统对其的信任较高,更容易成为KGC节点并获得相应的任务奖励,对于作恶的KGC节点系统将对其信誉进行降级以及相应惩罚。可以保证参与选举投票的节点都是被统一的信誉标准衡量过的节点,只有信誉值不低于设置好的阈值的节点才可以成为KGC节点,在一定程度解决节点中存在节点作恶的问题。

【技术实现步骤摘要】

本专利技术属于通信加密,具体涉及基于分布式身份代理的身份验证方法


技术介绍

1、跨域认证指在多个信任域中的用户跨信任域完成身份验证的过程,在这一过程中,既要保证信任关系的可信性,又要保证认证的高效性和可靠性,同时在跨域认证过程中,又要对用户提供高效的身份认证服务和可靠的身份认证管理。

2、分布式系统的实施场景下,出现了三种主流的跨域认证框架和实践方案:

3、(1)应用对称密钥技术设计认证架构;

4、(2)采用公钥基础设施(public key infrastructure,pki)实施分布式认证;

5、(3)基于身份密码学(identity based cryptography,ibc)设计认证架构。

6、这三种方案的能够应用于不同的场景,由于这三种方案背后的原理不同,因此造成了不同的效果,各有所长。传统的基于对称密钥的认证方案优点是速度快效率高,但是由于对称加密的加解密密钥是相同的,因此存在密钥泄露的风险。当前的网络环境非常复杂,各种网络威胁、攻击不计其数,因此传统的对称密钥认证方案难以适应当前的网络环境。这种基于pki的认证结构,可以有效地解决对称密钥的难于管理的问题,特别适用于分布式的应用,具有良好的可扩展性和实用的灵活性。但是,pki的数字证书管理和分发过程中存在着计算繁琐和冗杂的开销,使得pki的效率很低。在此基础上,提出了一种将实体自身的有效身份信息作为其公开密钥的方法,从而避免了传统的证书机制,并大大简化了相应的密钥管理流程。

7、基于身份的加密方案思想由shamir提出,在该方案中不使用任何证书,直接将用户的身份作为公钥,以此来简化pki中基于证书的密钥管理过程。一个基于身份的密码学方案由四个算法组成,分别为初始化算法,加密算法、密钥产生算法、以及解密算法。

8、(1)

9、该算法为随机算法,输入为安全参数输出为系统参数parameters(全程公开的参数)与主密钥mk(保密)。

10、(2)enc(m,parameters,idreciver)→ct

11、该算法为随机化算法,输入为明文m,系统参数parameters以及接收者的身份idreceiver,输出为密文ct,只有当接收者的身份符合条件是才能进行解密。

12、(3)genibe(parameters,idreceiver,mk)→sk

13、该算法为随机化算法,输入为系统参数parameters,idreceiver为接收者id,以及主密钥mk,输出为会话密钥sk。

14、(4)dec(sk,ct)→m

15、该算法为确定性算法,输入会话密钥sk与密文ct,输出明文消息m。

16、高可靠的用户身份验证与授权管理,对身份进行实时可信的验证、有效的控制与及时的撤消至关重要。在ibc中,公钥是根据使用者的身份相关的信息而产生的,从理论上讲,只要使用者的身份被撤销,相应的公钥就会变得无效。但是,为了进行认证而大量公布的用户标识信息,是ibc系统的一个特点,在现实中很难对其进行直接注销。所以,在ibc系统中,与pki系统相似的证书撤消机制并不能很好地应用。

17、ibc认证系统的实体的密钥是由密钥生成中心(key generation center,kgc)进行运算而得到的,因此还需要进行密钥管理。在ibc认证系统中kgc节点权限过大,并且对于kgc节点的作恶行为缺乏衡量标准和预防机制,所以,现有的ibc方案只能用于较小的信任与内。同时,现有的ibc协议是利用kgc周期性地中断私钥供应的方式来进行身份撤销的,这种方法不具有实时、高效的特点。总体而言,现有的跨领域身份认证方法和技术在正确性、安全性和高效性等方面存在不足,不能完全满足用户和ise(information serviceentity)之间的跨领域身份认证要求。


技术实现思路

1、本专利技术解决的技术问题是在跨链通信的过程中,通信双方来自于不同的区块链网络,对方的身份以及消息来源是否合法对于整个通信过程至关重要。而现有的基于ibc的身份认证方案存在着某些节点权限过大,容易发生单点故障等问题,提供基于分布式身份代理的身份验证方法。

2、本专利技术的采用如下技术方案:

3、基于分布式身份代理的身份验证方法,包括如下步骤:

4、1)全局初始化阶段,输入安全参数,并为系统生成系统参数params。

5、2)keygen(did,mkpr)→(kuser,kproxy),密钥生成阶段,输入用户分布式数字身份did,以及系统主密钥mkpr,生成用户私钥kuser以及代理节点私钥kproxy;

6、3)signuser(kuser,m)→signm,签名生成阶段,输入用户私钥kuser,明文消息m,输出用户为消息生成的签名signm;用户将(q,w,signuser)发给代理层节点;代理层节点验证用户的did是否被撤销,如果该did已经被撤销则不向该消息提供认证服务;代理层节点为未被撤销did的用户节点所发来的消息生成认证码;

7、4)verify(m,signm)→y/n,消息验证阶段,输入明文消息m以及消息签名signm,输出布尔值,代表验证是否通过;

8、5)系统中的节点行为进行评判,引入相对可信度的参数,对于区块链网络中的一个节点i,其诚实的行为次数记为hbi,恶意的行为次数记为mbi,判断节点的信誉度;

9、6)结合系统中所有节点信用值总和选定kgc节点。

10、在上述方案中,在步骤1)中:系统初始化setup具体过程如下:

11、参数设置如下:安全参数为阶为大素数的两个循环群(g1,+)和(g2,×),且循环群g1的生成元为g;双线性映射两个哈希函数h1:{0,1}*→g1\{0}与h2:{0,1}*→g2\{1};

12、

13、s←r{1,2,...,p-1};

14、mkpub=sg;

15、mkpr=s;

16、

17、系统初始化由各个kgc节点执行,其中,mkpub为系统公钥;mkpr为系统主密钥;将系统参数params公开。

18、在步骤2)中

19、keygen(did,mkpr):

20、binarydid=decode(did)∈0,1*;

21、kpub=h1(btnarydid)∈g1\{0};

22、kpr=mkpr·kpub;

23、a←r{1,2,...,p-1};

24、i,t,j←rn+;

25、

26、

27、

28、密钥生成由各个kgc节点执行,使用线性秘密分享将私钥kpr分割为三份,随机选择其中一个发给用户,即为kuser,同时随机选择剩余两个密钥中本文档来自技高网...

【技术保护点】

1.基于分布式身份代理的身份验证方法,其特征在于,包括如下步骤:

2.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:

3.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤2)中KeyGen(DID,mkpr):

4.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤3)中:

5.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤3)中,所述认证码为对消息完整的验证码为Signm=Signuser+Signproxy;代理层节点不仅要验证DID的有效性,同时还要验证消息来源的合法性,即消息确实由拥有该DID的用户生成,代理层节点只需要将Signm发送给KGC节点,KGC节点验证公式:若成立即可,证明消息确实来自该DID的拥有者,并将结果返回给代理层节点。

6.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤4)中:用户收到对消息的认证码之后,对消息认证码进行验证,是否同为验证对消息及消息认证码的验证过程为:Verify(m,Signm),w′=H2(m,q′),若w′=w则说明该消息验证码是正确的。

7.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤5)中,相对可信度为:

8.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤6)中,第i个节点的信誉权重可以记作

...

【技术特征摘要】

1.基于分布式身份代理的身份验证方法,其特征在于,包括如下步骤:

2.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:

3.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤2)中keygen(did,mkpr):

4.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤3)中:

5.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤3)中,所述认证码为对消息完整的验证码为signm=signuser+signproxy;代理层节点不仅要验证did的有效性,同时还要验证消息来源的合法性,即消息确实由拥有该did的用户生成,代理...

【专利技术属性】
技术研发人员:余益民彭超张玉杨潜赵进一欧新宇袁娇
申请(专利权)人:云南财经大学
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1