認證報文的方法、系統、設備和伺服器的製作方法
2023-05-16 02:36:01 1
專利名稱:認證報文的方法、系統、設備和伺服器的製作方法
技術領域:
本發明涉及通信領域,特別涉及認證報文的方法、系統、設備和伺服器。
背景技術:
P2P (PeertoPeer,點到點)是一種分布式網絡,網絡的參與者共享所擁有的一部分硬體 資源,如處理能力、存儲能力、網絡連接能力或印表機等,所共享的資源需要由網絡提供 服務和內容,能被其他對等節點(Peer)直接訪問,並且其它節點訪問時無需經過中間實體。 P2P網絡中的每個節點既是資源(服務和內容)的提供者——伺服器Server,又是資源(服 務和內容)的獲取者——客戶Client。 P2P網絡打破了傳統的Client/Server (C/S)模式, 網絡中的每個節點的地位都是對等的。
P2P網絡採用的分布式結構在提供擴展性和靈活性的同時,也使它面臨著巨大的安全挑 戰它需要在沒有中心節點的情況下,提供身份驗證、授權、數據信息的安全傳輸、數字籤 名、加密等機制。但目前的P2P技術存在一定的安全缺陷,還不能完全實現這些機制。
現有技術中提供了一種使用證書作為在P2P overlay (P2P疊加網)中進行消息驗證的方 法,該方法的實現過程如下
發送節點首先用自己的私鑰對報文進行籤名,然後將該報文和籤名發送給接收節點;
接收節點收到上述報文和籤名後,根據發送節點的信息找到發送節點的證書,對用發送 節點的公鑰對證書進行驗證;證書驗證通過後,從發送節點的證書中取出節點的公鑰;使用 公鑰判斷發送端的籤名是否正確,如果正確,則認為所接收的報文是正確的;否則,所接收 的報文是錯誤的。
該技術首先需要對發送端的證書進行驗證,驗證通過後,再用證書中的公鑰對報文的籤 名進行驗證,這種方式下,需要進行多步、多層驗證,給系統帶來比較大的開銷,給信息交 互過程帶來比較大的時延。
同時,該技術還需要在overlay中部署一個證書中心(CA, certificate agent),當P2P overlay 中的節點為在線驗證證書時,則每收到一個籤名就需要與CA交互一次,獲取相應的證書, 當網絡規模比較大時,CA處理速度會比較慢,造成信息交互的時延;當每個P2P overlay中
的節點都緩存其它節點的證書時,則在每個節點上都需要佔用比較大的存儲空間,因為在P2P 網絡中, 一個節點可能和任意的節點通信。
現有技術中還提供了一種基於CPK (Combined Public Key,組合公鑰)的通信連接安 全認證系統,該通信系統包括CPK安全認證單元,用於在通信系統不同終端進行連接的過 i中,在通信系統不同層次中,對不同終端的標識及完整性碼,利用CPK算法進行安全認 證。該技術的實現方法如下
第一終端向第二終端發起安全認證請求,請求消息中包括第一終端的標識認證碼和標識; 第二終端對第一終端傳輸來的安全認證數據,利用CPK算法進行解析,通過第二終端的私 鑰和第一終端的標識對籤名進行解密驗證。
其中,CPK算法是依據離散對數難題的數學原理構建公鑰與私鑰矩陣,採用組合算法與 映射算法,實現基於標識的超大規模的密鑰生產、存儲與分發。以橢圓曲線離散對數問題構 建該體制為例,簡單描述如下-
在給定橢圓曲線密碼的參數的基礎上,構建公鑰矩陣和私鑰矩陣 -公鑰矩陣為矩陣,矩陣中的個元素記為formula see original document page 6其中 是Xij對於基點G的倍數值,即 G-X『(Xijj^) 1《 《(n-1 )。 則屍SK與SSK兩矩陣中任一對應位置上的元素i ifOcij^j)與 構成一個公私鑰對。 CPK中的一個實體的公私鑰對的生成是根據該實體標識的映射值分別在公鑰矩陣與私鑰 矩陣中選取對應位置的元素,進行組合。例如設一個實體的標識映射值的行、列坐標為 (ii,ji) (i2J2) (i3j'3)…(itjt);
則公鑰為PX=XUJ1+Xi2)j2+…+Xitjt=(Xiiji1yiiji)+(xi2j2!lyi2j2)+'"+(Xitjt yitjt); 私鑰為SX=niji+n2j2+…+ntjt mod n;
因為i^^i ilJl+及i2J2+…+及itJt
所以SK是PK對基點G的倍數值,倍點PK與倍數SK的組合構成公私鑰對。 發明人在實現本發明的過程中,發現這種基於CPK的通信連接安全認證技術只對終端本 身進行了認證,認為通過認證的終端一直有效,沒有考慮終端標識的失效問題,例如當用 戶的密碼被盜,用戶重新設置新密碼,則原密碼無效;或者用戶一段時間未交費,按照規則 該用戶無權使用系統等情況。而上述技術不能防範失效終端或虛假終端發送惡意報文對P2P 疊加網的攻擊。
發明內容
為了防範惡意報文對網絡的攻擊,並簡化認證報文的過程,本發明實施例提供了一種認 證報文的方法、系統、設備和伺服器。所述技術方案如下 一種認證報文的方法,所述方法包括
請求節點在報文中填加預先獲取的節點標識和有效期,用私鑰對填加後的報文籤名,發 送籤名後的報文;
終端節點收到報文後,判斷所述報文中的有效期合法後,根據所述節點標識和有效期計 算所述請求節點的公鑰,用所述公鑰驗證籤名是否正確,如果正確,所述報文通過認證。 本發明實施例還提供了一種認證報文的系統,所述系統包括
請求節點設備,用於在報文中填加預先獲取的節點標識和有效期,用私鑰對填加後的報 文籤名,發送籤名後的報文;
終端節點設備,用於收到所述請求節點設備發送的報文後,判斷所述報文中的有效期合 法後,根據所述節點標識和有效期計算所述請求節點設備的公鑰,用所述公鑰驗證籤名是否 正確,如果正確,所述報文通過認證。
本發明實施例還提供了另一種設備,所述設備包括
有效期判斷模塊,用於收到報文後,判斷所述報文中的有效期是否合法; 公鑰計算模塊,用於所述有效期判斷模塊判斷出所述有效期合法後,根據所述報文中的
節點標識和有效期計算請求節點的公鑰;
籤名驗證模塊,用於用所述公鑰計算模塊計算出的公鑰驗證報文中的籤名是否正確,如
果正確,所述報文通過認證。
進一步地,本發明實施例提供了一種伺服器,所述伺服器包括 節點標識與有效期生成模塊,用於收到註冊請求後,生成節點標識和有效期; 私鑰獲取模塊,用於向密鑰中心伺服器請求與所述節點標識匹配的私鑰; 註冊響應信息發送模塊,用於向請求節點發送註冊響應信息,所述註冊響應信息包括所 述節點標識、與所述節點標識匹配的私鑰和有效期。 本發明實施例提供的技術方案的有益效果是
通過用節點標識和有效期作為CPK算法的映射名計算公鑰,計算出的公鑰基於算法,因 li可省去對公鑰的驗證;同時,公鑰和有效期密切相關,通過對有效期的設定可以決定一個 節點標識是否可以重複使用,系統不需要對節點標識進行無效或者重新為用戶分配節點標識, 減少了對節點標識的管理,並且,達到了一個用戶使用一個節點標識,防止了因為節點標識 有限而帶來的使用不便;
相比於通過證書的認證機制(需要驗證公鑰),本發明實施例提供的認證報文的技術減少 了消息交互的過程,更容易實現;
通過對報文進行認證,防止了失效終端或虛假終端發送惡意報文對網絡的攻擊。
圖1是本發明實施例1提供的在P2P疊加網中認證報文的方法流程圖; 圖2是本發明實施例2提供的認證報文的系統結構示意圖; 圖3是本發明實施例3提供的設備結構示意圖; 圖4是本發明實施例4提供的伺服器結構示意圖。
具體實施例方式
為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖對本發明實施方式作進 一步地詳細描述。
本發明實施例將節點標識和有效期填加在報文中,然後再對報文進行籤名,接收端通過 ,節點標識和有效期生成公鑰,用此公鑰驗證報文籤名的正確性。 實施例1
本實施例提供了一種認證報文的方法,包括
請求節點在報文中填加預先獲取的節點標識和有效期,用私鑰對填加後的報文籤名,發 送填加後的報文,該填加後的報文攜帶報文籤名;
終端節點收到報文後,判斷報文中的有效期合法後,根據節點標識和有效期計算請求節 點的公鑰,用公鑰驗證籤名是否正確,如果正確,報文通過認證。
有效期指對於每一個節點標識所對應的密鑰(公鑰和私鑰)的有效使用時間,例如節 點標識為123的公鑰和私鑰的使用時間規定為1年, 一年後需要重新生成新的公鑰和私鑰, 這樣就保證了每個節點的公鑰和私鑰不是永久有效的,防止失效節點或虛假節點發送惡意報 文對網絡的攻擊。
'每個節點在發送報文前可以到註冊伺服器進行註冊,具體註冊過程如下
1) 請求節點向註冊伺服器發送註冊請求;
2) 註冊伺服器收到註冊請求後,生成節點標識和有效期,用自身的私鑰對有效期進行籤 名,向密鑰中心伺服器請求與節點標識匹配的私鑰,然後發送註冊響應信息給請求節點,該 註冊響應信息包括節點標識、節點標識匹配的私鑰、註冊伺服器的公鑰、有效期和有效期的 籤名;
3) 請求節點收到註冊響應信息後,用註冊伺服器的公鑰驗證有效期的籤名是否正確,如 果是,註冊成功。註冊獲得的節點標識和有效期將用於後續認證報文過程。
註冊伺服器可以從密鑰中心伺服器獲取CPK的公鑰矩陣,並可以將節點標識發送給密鑰 中心伺服器,由密鑰中心伺服器根據節點標識和CPK的私鑰矩陣生成與該節點標識匹配的私 鑰。
為了使接收節點(中繼節點或終端節點)能夠對報文的籤名進行驗證,註冊伺服器會將 矩陣映射算法和公鑰矩陣發送給接收節點,接收節點將根據節點標識、有效期計算對應的請 求節點的公鑰,用公鑰驗證報文的籤名是否正確。
根據需要,可以網絡中配置一個黑名單管理伺服器,用於將失效的節點標識存儲在黑名 單表中,並根據每個節點的具體情況定期更新黑名單表,將此黑名單表同步到每個節點上, 節點可以到黑名單管理伺服器上對黑名單表進行更新,也可以由黑名單管理伺服器將黑名單 表存放在網絡中,節點到網絡中査找更新黑名單表。此處,黑名單管理伺服器的功能也可以 添加到上述註冊伺服器中,由註冊伺服器對黑名單表進行維護。
參見圖l,以P2P疊加網中的請求節點向終端節點發送報文為例,在P2P疊加網中認證報文
的方法具體包括以下步驟
步驟101:請求節點在P2P報文中填加節點標識和有效期,用私鑰對報文進行籤名。 步驟102:請求節點發送填加了節點標識和有效期的報文,並攜帶報文的籤名。 步驟103:中繼節點將此報文轉發給終端節點。步驟104:終端節點收到報文後,提取報文中的有效期,判斷有效期是否合法,如果合法, 執行步驟105;否則執行步驟108。
此處判斷有效期是否合法指當前時間是否在有效期內,如果在有效期內,報文的有效期 合法,否則不合法。
步驟105:終端節點用報文中的節點標識和有效期一起作為CPK的標識映射名,計算出請
求節點的公鑰。
步驟106:終端節點根據請求節點的公鑰判斷報文的籤名是否正確,如果正確,執行步驟
107,否則,執行步驟108。
步驟107:此報文通過認證,響應請求節點發送的報文。 步驟108:認證失敗,丟棄該報文。
在上述方法中,終端節點收到報文後,也可以判斷報文中的節點標識是否在黑名單表中,
如果不在,則說明該節點標識是合法的,執行步驟105;否則,執行步驟108。對判斷節點標
識是否在黑名單表中與判斷有效期是否合法的先後順序不作限定,優選先判斷有效期,後判 斷節點標識。
上述中繼節點只作為轉發設備,將收到的報文轉發給終端節點,根據需要,中繼節點也
可以對報文的籤名進行判斷,判斷過程類似步驟104至步驟108中終端節點的判斷過程,這裡
不再贅述。
上述方法也可以用在其它網絡中,如傳感器網絡等。方法同上,這裡不再詳述。
如果終端節點和請求節點之間需要用會話密鑰對後續通信的報文進行加密,可以通過
CPK方法生成加密會話密鑰的對稱密鑰,該對稱密鑰在終端節點上可以表示為請求節點的 公鑰X終端節點的私鑰;在請求節點上表示為請求節點的私鑰X終端節點的公鑰,其中,
終端節點的公鑰也是根據終端節點的標識和有效期,通過公鑰矩陣計算得出的。
本實施例請求節點通過將節點標識和有效期綁定在一起填加到報文中,再對報文進行籤 名,終端節點根據報文中的節點標識和有效期計算出請求節點的公鑰,用計算出的公鑰驗證
籤名的正確性,進而認證報文,防止了有效期失效的節點對網絡的攻擊;並且根據節點標識 禾口有效期計算公鑰的方法,和通過證書認證機制相比,減少了消息交互的次數,更容易實現。 同時,本發明實施例提供的公鑰和有效期密切相關,通過對有效期的設定可以決定一個 節點標識是否可以重複使用,系統不需要對節點標識進行無效或者重新為用戶分配節點標識, 減少了對節點標識的管理,並且,達到了一個用戶使用一個節點標識,防止了因為節點標識 有限而帶來的使用不便。
實施例2
參見圖2,本實施例提供了一種認證報文的系統,包括
請求節點設備201,用於在報文中填加預先獲取的節點標識和有效期,用私鑰對填加後 的報文籤名,發送籤名後的報文;
終端節點設備202,用於收到請求節點設備201發送的報文後,判斷報文中的有效期合 法後,根據節點標識和有效期計算請求節點設備201的公鑰,用公鑰驗證籤名是否正確,如 果正確,報文通過認證。
其中,請求節點設備201還包括
註冊模塊,用於發送註冊請求和接收註冊響應信息;
相應地,該系統還包括
註冊伺服器203,用於接收註冊模塊發送的註冊請求,生成節點標識和有效期,向密鑰 中心伺服器請求與節點標識匹配的私鑰,發送註冊響應信息給請求節點設備201,註冊響應 信息包括節點標識、與節點標識匹配的私鑰和有效期。
該系統還包括
黑名單管理伺服器204,用於將失效的節點標識存儲在黑名單表中,並將黑名單表下發 給終端節點設備202。
相應地,終端節點設備202還包括 '節點標識判斷單元,用於判斷報文中的節點標識是否在所述黑名單管理伺服器204下發 的黑名單表中,如果在,該報文未通過認證,否則,繼續認證該報文。實施例3
參見圖3,本實施例提供了一種設備,包括
有效期判斷模塊301,用於收到報文後,判斷報文中的有效期是否合法;
公鑰計算模塊302,用於有效期判斷模塊301判斷出有效期合法後,根據報文中的節點 標識和有效期計算請求節點的公鑰;
籤名驗證模塊303,用於用公鑰計算模塊302計算出的公鑰驗證報文中的籤名是否正確, 如果正確,報文通過認證。
該設備包括
節點標識判斷單元,用於判斷報文中的節點標識是否在黑名單表中,如果在,報文認證 失敗,否則,通知公鑰計算模塊302計算請求節點的公鑰。
實施例4
參見圖4,本實施例提供了一種伺服器,包括
節點標識與有效期生成模塊401,用於收到註冊請求後,生成節點標識和有效期; 私鑰獲取模塊402,用於向密鑰中心伺服器請求與節點標識匹配的私鑰; 註冊響應信息發送模塊403,用於向請求節點發送註冊響應信息,註冊響應信息包括節 點標識、與節點標識匹配的私鑰和有效期。
以上實施例通過根據報文中的節點標識和有效期計算出請求節點的公鑰,用計算出的公 鑰驗證籤名的正確性,進而認證報文,防止了失效終端或虛假終端發送惡意報文網絡的攻擊。 通過維護黑名單表,進一步增加了系統的安全性;並且通過根據節點標識和有效期計算公鑰
的方法,和通過證書認證機制(需要驗證公鑰)相比,減少了消息交互的次數,更容易實現。 同時,本發明實施例提供的公鑰和有效期密切相關,通過對有效期的設定可以決定一個 節點標識是否可以重複使用,系統不需要對節點標識進行無效或者重新為用戶分配節點標識, 減少了對節點標識的管理,並且,達到了一個用戶使用一個節點標識,防止了因為節點標識 有限而帶來的使用不便。
本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以通過程序 來指令相關的硬體完成,所述的程序可以存儲於一計算機可讀取存儲介質中,該程序在執行 時,包括上述步驟101中的報文籤名、步驟104至步驟108中的報文認證過程等,所述的存 儲介質,如ROM/RAM、磁碟、光碟等。
以上所述僅為本發明的較佳實施例,並不用以限制本發明,凡在本發明的精神和原則之 內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護範圍之內。
權利要求
1. 一種認證報文的方法,其特徵在於,所述方法包括請求節點在報文中填加預先獲取的節點標識和有效期,用私鑰對填加後的報文籤名,發送籤名後的報文;終端節點收到報文後,判斷所述報文中的有效期合法後,根據所述節點標識和有效期計算所述請求節點的公鑰,用所述公鑰驗證籤名是否正確,如果正確,所述報文通過認證。
2. 如權利要求1所述的認證報文的方法,其特徵在於,所述請求節點在報文中填加預先獲取的節點標識和有效期的步驟之前包括請求節點向註冊伺服器發送註冊請求;所述註冊伺服器收到所述註冊請求後,生成節點標識和有效期,向密鑰中心伺服器請求 與所述節點標識匹配的私鑰,發送註冊響應信息給所述請求節點,所述註冊響應信息包括所 述節點標識、與所述節點標識匹配的私鑰和有效期。
3. 如權利要求2所述的認證報文的方法,其特徵在於,所述所述註冊伺服器收到所述注 冊請求後,生成節點標識和有效期的步驟之後還包括-所述註冊伺服器用自身的私鑰對所述有效期進行籤名; 相應地,所述註冊響應信息還包括所述註冊伺服器的公鑰和有效期的籤名; 所述請求節點收到所述註冊響應信息後,用註冊伺服器的公鑰驗證所述有效期的籤名是 否正確,如果正確,註冊成功。
4. 如權利要求1所述的認證報文的方法,其特徵在於,所述方法還包括-.將失效的節點標識存儲在黑名單表中,並將所述黑名單表下發給所述終端節點; 相應地,所述終端節點收到報文後還包括檢査所述節點標識是否在黑名單表中,如果在,所述報文未通過認證;否則繼續認證所 述報文。
5. 如權利要求1所述的認證報文的方法,其特徵在於,所述方法還包括 中繼節點收到報文後,判斷所述報文中的有效期合法後,根據所述節點標識和有效期計算所述請求節點的公鑰,用所述公鑰驗證籤名是否正確,如果正確,轉發所述報文。
6. 如權利要求1所述的認證報文的方法,其特徵在於,所述請求節點和終端節點是點對 點疊加網中的節點。
7. —種認證報文的系統,其特徵在於,所述系統包括請求節點設備,用於在報文中填加預先獲取的節點標識和有效期,用私鑰對填加後的報 文籤名,發送籤名後的報文;終端節點設備,用於收到所述請求節點設備發送的報文後,判斷所述報文中的有效期合 法後,根據所述節點標識和有效期計算所述請求節點設備的公鑰,用所述公鑰驗證籤名是否 正確,如果正確,所述報文通過認證。
8. 如權利要求7所述的認證報文的系統,其特徵在於,所述請求節點設備還包括 註冊模塊,用於發送註冊請求和接收註冊響應信息;相應地,所述系統還包括註冊伺服器,用於接收所述註冊模塊發送的註冊請求,生成節點標識和有效期,向密鑰 中心伺服器請求與所述節點標識匹配的私鑰,發送註冊響應信息給所述請求節點設備,所述 註冊響應信息包括所述節點標識、與所述節點標識匹配的私鑰和有效期。
9. 如權利要求7所述的認證報文的系統,其特徵在於,所述系統還包括 黑名單管理伺服器,用於將失效的節點標識存儲在黑名單表中,並將所述黑名單表下發給所述終端節點設備;相應地,所述終端節點設備還包括節點標識判斷單元,用於判斷所述報文中的節點標識是否在所述黑名單管理伺服器下發 的黑名單表中,如果在,所述報文未通過認證,否則,繼續認證所述報文。
10. —種設備,其特徵在於,所述設備包括有效期判斷模塊,用於收到報文後,判斷所述報文中的有效期是否合法; 公鑰計算模塊,用於所述有效期判斷模塊判斷出所述有效期合法後,根據所述報文中的 節點標識和有效期計算請求節點的公鑰;籤名驗證模塊,用於用所述公鑰計算模塊計算出的公鑰驗證報文中的籤名是否正確,如 果正確,所述報文通過認證。
11. 如權利要求10所述的設備,其特徵在於,所述設備還包括節點標識判斷單元,用於判斷所述報文中的節點標識是否在黑名單表中,如果在,所述 報文認證失敗,否則,通知所述公鑰計算模塊計算請求節點的公鑰。
12. —種伺服器,其特徵在於,所述伺服器包括節點標識與有效期生成模塊,用於收到註冊請求後,生成節點標識和有效期; 私鑰獲取模塊,用於向密鑰中心伺服器請求與所述節點標識匹配的私鑰; 註冊響應信息發送模塊,用於向請求節點發送註冊響應信息,所述註冊響應信息包括所 難節點標識、與所述節點標識匹配的私鑰和有效期。
全文摘要
本發明公開了一種認證報文的方法、系統、設備和伺服器,屬於通信領域。所述方法包括請求節點在報文中填加預先獲取的節點標識和有效期,用私鑰對填加後的報文籤名,發送籤名後的報文;終端節點收到報文後,判斷所述報文中的有效期合法後,根據所述節點標識和有效期計算所述請求節點的公鑰,用所述公鑰驗證籤名是否正確,如果正確,所述報文通過認證。所述系統包括請求節點設備和終端節點設備。所述伺服器包括節點標識與有效期生成模塊、私鑰獲取模塊和註冊響應信息發送模塊。本發明通過用節點標識和有效期計算出的公鑰驗證報文的籤名,簡化了認證報文的過程,並防止了惡意報文對網絡的攻擊。
文檔編號H04L9/32GK101378315SQ20071012083
公開日2009年3月4日 申請日期2007年8月27日 優先權日2007年8月27日
發明者峰 李, 江興烽 申請人:華為技術有限公司