【技术实现步骤摘要】
本专利技术属于通信加密,具体涉及基于分布式身份代理的身份验证方法。
技术介绍
1、跨域认证指在多个信任域中的用户跨信任域完成身份验证的过程,在这一过程中,既要保证信任关系的可信性,又要保证认证的高效性和可靠性,同时在跨域认证过程中,又要对用户提供高效的身份认证服务和可靠的身份认证管理。
2、分布式系统的实施场景下,出现了三种主流的跨域认证框架和实践方案:
3、(1)应用对称密钥技术设计认证架构;
4、(2)采用公钥基础设施(public key infrastructure,pki)实施分布式认证;
5、(3)基于身份密码学(identity based cryptography,ibc)设计认证架构。
6、这三种方案的能够应用于不同的场景,由于这三种方案背后的原理不同,因此造成了不同的效果,各有所长。传统的基于对称密钥的认证方案优点是速度快效率高,但是由于对称加密的加解密密钥是相同的,因此存在密钥泄露的风险。当前的网络环境非常复杂,各种网络威胁、攻击不计其数,因此传统的对称密钥认证方案难以适应当前的网络环境。这种基于pki的认证结构,可以有效地解决对称密钥的难于管理的问题,特别适用于分布式的应用,具有良好的可扩展性和实用的灵活性。但是,pki的数字证书管理和分发过程中存在着计算繁琐和冗杂的开销,使得pki的效率很低。在此基础上,提出了一种将实体自身的有效身份信息作为其公开密钥的方法,从而避免了传统的证书机制,并大大简化了相应的密钥管理流程。
7、基于身份的
8、(1)
9、该算法为随机算法,输入为安全参数输出为系统参数parameters(全程公开的参数)与主密钥mk(保密)。
10、(2)enc(m,parameters,idreciver)→ct
11、该算法为随机化算法,输入为明文m,系统参数parameters以及接收者的身份idreceiver,输出为密文ct,只有当接收者的身份符合条件是才能进行解密。
12、(3)genibe(parameters,idreceiver,mk)→sk
13、该算法为随机化算法,输入为系统参数parameters,idreceiver为接收者id,以及主密钥mk,输出为会话密钥sk。
14、(4)dec(sk,ct)→m
15、该算法为确定性算法,输入会话密钥sk与密文ct,输出明文消息m。
16、高可靠的用户身份验证与授权管理,对身份进行实时可信的验证、有效的控制与及时的撤消至关重要。在ibc中,公钥是根据使用者的身份相关的信息而产生的,从理论上讲,只要使用者的身份被撤销,相应的公钥就会变得无效。但是,为了进行认证而大量公布的用户标识信息,是ibc系统的一个特点,在现实中很难对其进行直接注销。所以,在ibc系统中,与pki系统相似的证书撤消机制并不能很好地应用。
17、ibc认证系统的实体的密钥是由密钥生成中心(key generation center,kgc)进行运算而得到的,因此还需要进行密钥管理。在ibc认证系统中kgc节点权限过大,并且对于kgc节点的作恶行为缺乏衡量标准和预防机制,所以,现有的ibc方案只能用于较小的信任与内。同时,现有的ibc协议是利用kgc周期性地中断私钥供应的方式来进行身份撤销的,这种方法不具有实时、高效的特点。总体而言,现有的跨领域身份认证方法和技术在正确性、安全性和高效性等方面存在不足,不能完全满足用户和ise(information serviceentity)之间的跨领域身份认证要求。
技术实现思路
1、本专利技术解决的技术问题是在跨链通信的过程中,通信双方来自于不同的区块链网络,对方的身份以及消息来源是否合法对于整个通信过程至关重要。而现有的基于ibc的身份认证方案存在着某些节点权限过大,容易发生单点故障等问题,提供基于分布式身份代理的身份验证方法。
2、本专利技术的采用如下技术方案:
3、基于分布式身份代理的身份验证方法,包括如下步骤:
4、1)全局初始化阶段,输入安全参数,并为系统生成系统参数params。
5、2)keygen(did,mkpr)→(kuser,kproxy),密钥生成阶段,输入用户分布式数字身份did,以及系统主密钥mkpr,生成用户私钥kuser以及代理节点私钥kproxy;
6、3)signuser(kuser,m)→signm,签名生成阶段,输入用户私钥kuser,明文消息m,输出用户为消息生成的签名signm;用户将(q,w,signuser)发给代理层节点;代理层节点验证用户的did是否被撤销,如果该did已经被撤销则不向该消息提供认证服务;代理层节点为未被撤销did的用户节点所发来的消息生成认证码;
7、4)verify(m,signm)→y/n,消息验证阶段,输入明文消息m以及消息签名signm,输出布尔值,代表验证是否通过;
8、5)系统中的节点行为进行评判,引入相对可信度的参数,对于区块链网络中的一个节点i,其诚实的行为次数记为hbi,恶意的行为次数记为mbi,判断节点的信誉度;
9、6)结合系统中所有节点信用值总和选定kgc节点。
10、在上述方案中,在步骤1)中:系统初始化setup具体过程如下:
11、参数设置如下:安全参数为阶为大素数的两个循环群(g1,+)和(g2,×),且循环群g1的生成元为g;双线性映射两个哈希函数h1:{0,1}*→g1\{0}与h2:{0,1}*→g2\{1};
12、
13、s←r{1,2,...,p-1};
14、mkpub=sg;
15、mkpr=s;
16、
17、系统初始化由各个kgc节点执行,其中,mkpub为系统公钥;mkpr为系统主密钥;将系统参数params公开。
18、在步骤2)中
19、keygen(did,mkpr):
20、binarydid=decode(did)∈0,1*;
21、kpub=h1(btnarydid)∈g1\{0};
22、kpr=mkpr·kpub;
23、a←r{1,2,...,p-1};
24、i,t,j←rn+;
25、
26、
27、
28、密钥生成由各个kgc节点执行,使用线性秘密分享将私钥kpr分割为三份,随机选择其中一个发给用户,即为kuser,同时随机选择剩余两个密钥中本文档来自技高网...
【技术保护点】
1.基于分布式身份代理的身份验证方法,其特征在于,包括如下步骤:
2.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:
3.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤2)中KeyGen(DID,mkpr):
4.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤3)中:
5.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤3)中,所述认证码为对消息完整的验证码为Signm=Signuser+Signproxy;代理层节点不仅要验证DID的有效性,同时还要验证消息来源的合法性,即消息确实由拥有该DID的用户生成,代理层节点只需要将Signm发送给KGC节点,KGC节点验证公式:若成立即可,证明消息确实来自该DID的拥有者,并将结果返回给代理层节点。
6.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤4)中:用户收到对消息的认证码之后,对消息认证码进行验证,是否同为验证对消息及消息认证码的验证过程为:Verify(m
7.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤5)中,相对可信度为:
8.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤6)中,第i个节点的信誉权重可以记作
...【技术特征摘要】
1.基于分布式身份代理的身份验证方法,其特征在于,包括如下步骤:
2.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:
3.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤2)中keygen(did,mkpr):
4.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤3)中:
5.如权利要求1所述的基于分布式身份代理的身份验证方法,其特征在于:在步骤3)中,所述认证码为对消息完整的验证码为signm=signuser+signproxy;代理层节点不仅要验证did的有效性,同时还要验证消息来源的合法性,即消息确实由拥有该did的用户生成,代理...
【专利技术属性】
技术研发人员:余益民,彭超,张玉,杨潜,赵进一,欧新宇,袁娇,
申请(专利权)人:云南财经大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。