本发明属于信息安全技术领域,涉及密钥认证体制。
背景技术:
当前的认证体制主要有pki、ibc以及cfl三种认证体制。目前pki、ibc的认证方法都没有很好的解决认证设备的挂失或者丢失问题,因此,必须将挂失或者认证资源丢失的信息发送到认证中心,由认证中心的ldap数据库服务器登记失效信息,将认证资源的失效性信息发送给两个等待认证的认证实体,这就是所谓的认证无法去中心化。上述认证方法,无法满足现场认证、及时认证、实时认证、进程认证等大规模网络空间中的认证需求。为此,本发明给出了应用去中心化及无效信息推送服务安全认证技术方法。
技术实现要素:
本发明目的是给出cfl(或pki)应用去中心化及挂失者信息推送安全认证技术方法。提供一种现场认证、及时认证、支持进程认证的安全快速、建设与运维资源消耗极低的安全认证方法。
应用去中心化及无效信息推送安全认证技术方法实现步骤:
(1)构建cfl(或pki)证书生成中心;
(2)为每个用户或实体配置相应的cfl(或pki)证书以及认证资源;
(3)每个用户或实体的cfl(或pki)证书中含有虎符公钥1、虎符公钥2,它们分别对应虎符私钥1(由客户端安全硬件设备中的物理噪声源随机生成)、虎符私钥2(由用户或实体自主生成、使用时在客户端认证设备安全输入,认证设备离线时,自动消失);
(4)在证书信息中由cfl(或pki)证书生成中心填写用户或实体的相应权限标记;
(5)cfl(或pki)证书生成中心及时向用户端推送无效的证书信息;
(6)cfl(或pki)证书在应用时,在本地首先查询认证实体证书的有效性,然后再进行两次虎符认证以及动态认证;
(7)在上述认证过程的基础上,可实现链路层vpn、ip层vpn、sslvpn,同时可对本地资源进行机密性、完整性、可控性、可用性、可认证性保护。
应用去中心化及无效信息推送安全认证技术方法安全性分析:
命题1没有合法的cfl(或pki)证书的用户无法认证通过。
命题2若cfl(或pki)证书设备丢失,在虎符私钥2没有泄密的前提下,用户无法认证通过。
命题3应用去中心化及无效信息推送安全认证技术方法现场认证是安全的,即应用是去中心化的。
命题4在动态认证的支持下,可规避重放攻击。
命题5一般情况下,在用户本地无效证书的量是很小的。
证明设证书丢失的概率为p,虎符私钥泄密的概率为q,证书的生命周期为pe天,每天证书的生成量为nday,则在用户本地无效证书的量为:
pe×nday×p×q,
一般情况下,p,q都是很小的,因此,命题成立。
由命题5可知,cfl(或pki)证书的推送量是很小的,用户本地的无效查询量也是很小的。因此,应用去中心化及无效信息推送安全认证技术方法的实现仍隶属轻量级范畴的。
命题6应用去中心化及无效信息推送安全认证技术方法可提供主动防御。