一种基于身份签名的数字家庭集成系统认证方法与流程

本发明涉及电子信息领域，特别是一种基于身份签名的数字家庭集成系统认证方法。

背景技术：

数字家庭作为网络与信息技术向家庭的延伸，已逐步发展起来。在我国，数字家庭已成为社区建设的大趋势，各类社区、建筑、楼宇的数字化工程投资，约占工程总投资的5％-8％，有的高达10％，居住小区的数字化系统建设投资平均在每平方米60元左右(占土建投资的5％-8％)，如按全国每年竣工面积计算总投资为几十亿元。这个新的“经济增长点”促成数字家庭的相关企业和技术公司迅速增长。

与此同时，数字家庭系统也从早期的追求功能完备齐全，向高技术化、实用化和节能化方向发展，并要求构成数字家庭平台的多个子系统之间实现高度协作为用户提供更为高效和平滑的系统服务。数字家庭系统本质上依然是一个多种技术集合的信息系统，随业务功能和子系统的增加，整个系统所包括的技术和系统模块也越来越多，系统变得庞大而结构复杂，系统存在的信息安全隐患也相应增多。因此，在提高数字家庭系统功能以及整体效率的同时，如何保护系统的信息安全，如数据安全、权限安全、隐私保护等，逐渐上升成为系统设计中需要考虑的重点问题之一。

技术实现要素：

本发明的目的是提供一种基于身份签名的数字家庭集成系统认证方法，以增强系统的信息安全以及用户数据的安全，同时利用身份信息认证降低安全管理系统的复杂度，提高数字家庭系统的整体效率，提升系统功能及扩大应用环境，增强系统及用户安全性。

本发明提供一种基于身份签名的数字家庭集成系统认证方法，所述数字家庭集成系统集成了面向数字家庭综合应用的多个基础支撑及功能业务子系统，包括但不限于：基础的通信网络子系统、消防子系统、安保子系统、物业管理子系统、办公自动化子系统、停车场子系统、一卡通子系统以及广播子系统等。

所述基于身份签名的数字家庭集成系统认证方法在主系统与子系统之间、子系统与子系统之间、以及子系统与管理、普通用户之间采用基于身份密码学(Identity-based cryptography)的签名认证方法以增强基础通信、信息共享、用户接入、安全审查以及访问控制的信息安全防护。

所述基于身份签名的数字家庭集成系统认证方法在系统建立与密钥初始化时，认证服务器、管理用户、终端用户等系统单元分别将能唯一标识自己的身份信息(如设备号、用户手机号、身份证号等)在后台数据库中登记并抽取对应生成的私钥。

所述基于身份签名的数字家庭集成系统认证方法在进行身份安全认证时，请求认证方采用基于身份签名算法和私钥生成认证信息请求认证，认证方直接使用请求认证方的身份信息代入基于身份验证算法对认证信息进行认证。

所述基于身份签名的数字家庭集成系统认证方法在主系统与子系统之间、子系统与子系统之间、以及子系统与用户之间采用互认证机制进一步提高系统安全以防止其他信息安全攻击。

本发明通过采用基于身份密码学的签名认证方法，在增强系统的信息安全以及保护用户个人隐私的同时，利用身份信息认证的便利性减小了数字家庭系统在信息安全保护方面的复杂度，提高了系统的健壮性和整体性能，扩大了系统的应用环境。

附图说明

图1为本发明所述基于身份签名的数字家庭集成系统认证方法的系统结构组成示意图。

图2为本发明所述基于身份签名的数字家庭集成系统认证方法的身份认证管理系统建立与密钥生成示意图。

图3为本发明所述基于身份签名的数字家庭集成系统认证方法中认证服务器与终端用户的互认证机制示意图。

图4为本发明所述基于身份签名的数字家庭集成系统认证方法中认证服务器与管理用户的互认证机制示意图。

具体实施方式

本发明基于身份签名的数字家庭集成系统认证方法，以提高数字家庭集成系统与多个基础支撑和功能业务子系统的整体效率，提升系统功能及扩大应用环境，增强系统及用户安全性。

为了使本技术领域的技术人员更好地理解本发明方案，下面结合附图和实施方式对本发明作进一步的详细说明。

参见图1，该图为本发明所述基于身份签名的数字家庭集成系统认证方法的系统结构组成示意图。

所述数字家庭集成系统包括1消防子系统；2安保子系统；3物业监控子系统；4广播子系统；5停车场子系统；6一卡通子系统；7办公自动化子系统。集成系统与子系统之间、子系统与子系统之间以及系统与用户之间基于8基础通信网络子系统进行网络通信以实现信息互连；子系统1消防子系统和2安保子系统构成支撑数字家庭集成系统的物理安全分系统；子系统3物业监控子系统和4广播子系统构成支撑数字家庭集成系统的传统物业信息管理分系统；子系统5停车场子系统、6一卡通子系统以及7办公自动化子系统等构成数字家庭集成系统的功能业务分系统。集成系统与子系统之间、子系统与子系统之间以及系统与用户之间通过9身份认证服务器进行安全审查和访问控制以增强基础通信、信息共享、用户接入的信息安全防护。9身份认证服务器和用户分别将能唯一标识自己的身份信息(如设备号、用户手机号、身份证号等)在后台数据库中登记并抽取在10密钥生成服务器上对应生成的私钥。

参见图2，该图为本发明所述基于身份签名的数字家庭集成系统认证方法的身份认证管理系统建立与密钥生成示意图。具体步骤和算法如下：

[1]参数生成。选择生成器为P的循环群G，阶为q，生成随机数s∈Z/q。设置P_pub＝sP，选择密码哈希算法H₁：{0，1}*×G→Z/q和H₂：{0，1}*→G。系统参数param＝{P，P_pub，H₁，H₂}，主密钥msk＝s。

[2]认证服务器注册。认证服务器通过系统将能唯一标识自己的身份信息IDs(例如认证服务器设备号)登记在后台数据库中。

[3]认证服务器发起私钥请求。认证服务器将自己的身份信息IDs发送给系统私钥生成器，请求返回对应的私钥。

[4]认证服务器私钥抽取。对于给定的认证服务器身份IDs，计算SK_IDs＝sH₂(IDs)＝sQ_IDs，作为身份为IDs的认证服务器的私钥。

[5]管理用户注册。管理用户通过系统将能唯一标识自己的身份信息IDau(例如手机号、Email、身份证号等)登记在后台数据库中。

[6]管理用户发起私钥请求IDau。管理用户将自己的身份信息IDau发送给系统私钥生成器，请求返回对应的私钥。

[7]管理用户私钥抽取。对应给定的管理用户身份IDau，计算SK_IDau＝sH₂(IDau)＝sQ_IDau，作为身份为IDau的认证服务器的私钥。

[8]终端用户注册。终端用户通过系统将能唯一标识自己的身份信息IDtu(例如手机号、Email、身份证号等)登记在后台数据库中。

[9]终端用户发起私钥请求IDtu。管理用户将自己的身份信息IDtu发送给系统私钥生成器，请求返回对应的私钥。

[10]终端用户私钥抽取。对应给定的终端用户身份IDtu，计算SK_IDtu＝sH₂(IDtu)＝sQ_IDtu，作为身份为IDtu的认证服务器的私钥。

参见图3，该图为本发明所述基于身份签名的数字家庭集成系统认证方法中认证服务器与终端用户的互认证机制示意图。具体步骤和算法如下：

[1]终端用户请求访问受限信息资源。

[2]认证服务器产生身份认证信息M_s及签名S_s＝Sign_IBS(M_s，SK_IDs)＝(U_s，V_s)。基于身份签名算法Sign_IBS如下：产生随机数r_s∈Z/q，计算U_s＝r_sQ_IDs，h_s＝H₁(M_s，U_s)，V_s＝(r_s+h_s)SK_IDs。

[3]发送认证服务器身份认证信息(M_s，S_s)供终端用户认证。

[4]终端用户验证认证服务器身份Verify_IBS(M_s，S_s，IDs)＝1？基于身份验证算法Verify_IBS(M_s，S_s，IDs)＝1如下：检查(P，P_pub，U_s+h_sQ_IDs，V_s)是否是一个有效的Diffie-Hellman对，在h_s＝H₁(M_s，U_s)的情况下。

[5]终端用户产生身份认证信息M_tu及签名S_tu＝Sign_IBS(M_tu，SK_IDtu)＝(U_tu，V_tu)。基于身份签名算法Sign_IBS如下：产生随机数r_tu∈Z/q，计算U_tu＝r_tuQ_IDtu，h_tu＝H₁(M_tu，U_tu)，V_tu＝(r_tu+h_tu)SK_IDtu。

[6]发送终端用户身份认证信息(M_tu，S_tu)供认证服务器认证。

[7]认证服务器验证终端用户身份Verify_IBS(M_tu，S_tu，IDtu)＝1？基于身 份验证算法Verify_IBS(M_tu，S_tu，IDtu)＝1如下：检查(P，P_pub，U_tu+h_tuQ_IDtu，V_tu)是否是一个有效的Diffie-Hellman对，在h_tu＝H₁(M_tu，U_tu)的情况下。

[8]授权终端用户访问权限。

[9]终端用户访问信息资源。

参见图4，该图为本发明所述基于身份签名的数字家庭集成系统认证方法中认证服务器与管理用户的互认证机制示意图。具体步骤和算法如下：

[1]用户名/密码登录

[2]确认用户登录

[3]要求二次认证

[4]管理用户产生身份认证信息M_au及签名S_au＝Sign_IBS(M_au，SK_IDau)＝(U_au，V_au)。基于身份签名算法Sign_IBS如下：产生随机数r_au∈Z/q，计算U_au＝r_auQ_IDau，h_au＝H₁(M_au，U_au)，V_au＝(r_au+h_au)SK_IDau。

[5]发送管理用户身份认证信息(M_au，S_au)供认证服务器认证。

[6]认证服务器验证管理用户身份Verify_IBS(M_au，S_au，IDau)＝1？基于身份验证算法Verify_IBS(M_au，S_au，IDau)＝1如下：检查(P，P_pub，U_au+h_auQ_IDau，V_au)是否是一个有效的Diffie-Hellman对，在h_au＝H₁(M_au，U_au)的情况下。

[7]请求访问/控制业务子系统

[8]认证服务器产生身份认证信息M_s及签名S_s＝Sign_IBS(M_s，SK_IDs)＝(U_s，V_s)。基于身份签名算法Sign_IBS如下：产生随机数r_s∈Z/q，计算U_s＝r_sQ_IDs，h_s＝H₁(M_s，U_s)，V_s＝(r_s+h_s)SK_IDs。

[9]发送认证服务器身份认证信息(M_s，S_s)供终端用户认证。

[10]终端用户验证认证服务器身份Verify_IBS(M_s，S_s，IDs)＝1？基于身份验证算法Verify_IBS(M_s，S_s，IDs)＝1如下：检查(P，P_pub，U_s+h_sQ_IDs，V_s)是否是一个有效的Diffie-Hellman对，在h_s＝H₁(M_s，U_s)的情况下。

[11]授权终端用户访问权限。

[12]终端用户访问信息资源。

以上对本发明所提供的基于身份签名的数字家庭集成系统认证方法进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。同时，对于 本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。