一种计算机信息安全的方法
【技术领域】
[0001]本发明涉及网络安全,特别涉及一种计算机信息安全的方法。
【背景技术】
[0002]随着网络技术的飞速发展,开放环境下的服务应用越来越普遍。用户只需将服务请求通过网络提交给服务中心,就可以透明地使用满足QoS要求的资源服务。为了有效地对服务平台进行安全管理,开放环境通常采用域来控制平台的安全边界。在域内部可以通过域内统一的管理单元对平台进行密钥分配、证书签发和访问控制等安全管理。但是,无法实现对于域外平台之间的信任关系鉴别和管理。
【发明内容】
[0003]为解决上述现有技术所存在的问题,本发明提出了一种计算机信息安全的方法,包括:
[0004]通过输入生成密钥所需的安全参数信息来建立签名;
[0005]基于所述签名,认证双方通过可信平台的密钥对进行身份认证。
[0006]优选地,所述输入生成密钥所需的安全参数,进一步包括:
[0007]签名实体创建安全参数n = pq,其中p,q为大素数;随机选择R。,R1, R2, S,Z e QRn,其中卩&是同构群,输出签名实体公钥Pk proof= (n,R。,R1, R2, S,Z)和私钥Skprocif= p ;选择参与签名成员数量r,得到r个公钥组成的元组(PkpPk2,…,Pk1O,其中包含了签名实体公钥 Pki= pkproof (I ^ i ^ r);
[0008]可信平台生成密钥对AK,并将其保存在寄存器中,密钥对AK包括AKP,AKs,然后选取散列函数Hash O ;
[0009]所述建立签名的步骤进一步包括:
[0010]根据所选取的散列函数生成可信平台的AKp非对称密钥k = Hash(AKp);
[0011]随机选取大随机数串组成序列集合X = (X1, Xy…,Xi, xiH,…,x」xke {0,1}*,
I k r, k e Z+}
[0012]利用私有密钥Skproof求解X i,其中I彡i彡r ;
[0013]签名实体得到的签名σ与可信平台中消息m的AK签名SIGNAK(m) —起发送给认证方:
[0014]σ = (AKp, Pk1, pk2,…,pkr,v,X1, x2,…,xr)
[0015]Sigproof= (SIGNak(m),σ)
[0016]所述认证双方通过可信平台的密钥对进行身份认证,进一步包括:
[0017]使用AKp对签名进行解密,与消息的散列值比对;根据签名实体发送的AKp和Pk1,Pk2,…,pkd吏用签名生成中的等式重新认证等号两边是否相等,如果相等则认证成功,否则失败。
[0018]本发明相比现有技术,具有以下优点:
[0019]本发明提出了一种计算机信息安全的方法,提高信任认证效率,减少第三方认证单元造成的系统瓶颈。
【附图说明】
[0020]图1是根据本发明实施例的计算机信息安全的方法的流程图。
【具体实施方式】
[0021]下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
[0022]本发明的一方面提供了一种计算机信息安全的方法。图1是根据本发明实施例的计算机信息安全的方法流程图。
[0023]本发明采用可信计算远端认证方法进行平台在认证双方之间的信任关系的认证,提高信任认证效率,减少第三方认证单元造成的系统瓶颈。通过输入成员公钥,签名消息以及生成密钥所需的安全参数等信息建立签名。认证双方直接通过可信平台公/私钥对进行远端身份认证,减少了之前远端认证方法中的第三方认证机构和不必要的交互通信。可信计算平台下,远端认证方法包括了三个阶段,分别是初始化安全参数、签名生成、签名认证。
[0024]签名实体创建安全参数,参数n = pq(p,q为大素数)。随机选择R。,R1, R2, S,Z e QRn, 0&是同构群,输出签名实体公钥Pkprarf= (n,R0, R1, R2, S,Z)和私钥skprorf= p。根据安全性需求,选择参与签名成员数量Hr的数量影响计算复杂度),得到r个公钥组成的元组(pk^pk;;,…,pkr),其中包含了签名实体公钥Pki= Pkprocif (I彡i彡r)。可信平台生成密钥对AK(AKP,AKs)并将其保存在寄存器中。选取散列函数Hash: {0,I}* — Zp。
[0025]I)生成非对称密钥:根据选取的散列函数生成可信平台的AKp非对称密钥k =Hash (AKp)
[0026]2)随机选取大随机数串组成序列集合X = (X1, χ2,…,Xi, xi+1,…,xr I xke {0,1} *,I < k < r,k G Z+}
[0027]g(x):X — {y” y2,...,yi,yi+1,...,yr}
[0028]3)利用逐比特异或运算来完成计算,过程如下:
[0029]Ck, v(g (X1),g (X2),…,g(xr)) = Ek (g (xr)十 Ekg(xrl)十 Ekg(xr2)十 Ek(…? Ekg(X1) ? v)…))
[0030]求解g (X1)的公式如下:
[0031]g (Xi) = EJg(Xil)十 Ekg(xi2)十 Ek(…十 Ekg(x!)十 V)...))? Dk(g(xi+1) ? Dkg(xi+2) ? Dk(...Dkg(X1) Θ v)...))
[0032]其中DdP 别是非对称加密算法的加密/解密函数。最后,利用私有密钥Skprocif求解 Xi = g 1 (Xi)。
[0033]4)签名实体得到的签名σ与可信平台中消息m的AK签名SIGNak (m) 一起发送给认证方。
[0034]σ = (AKp, Pk1, pk2,…,pkr,v,X1, x2,…,xr)
[0035]Sigproof= (SIGNak(m),σ)
[0036]在签名验证阶段:
[0037]I)认证SIGNak (m)签名的真实性使用AKp对签名进行解密,与消息的散列值比对。
[0038]EAKp (SIGNak (m) )m= Hash (m)
[0039]2)根据签名实体发送的AKp和pk i,pk2,…,pkd吏用签名生成中的等式重新认证等号两边是否相等,如果相等则认证成功,否则失败。
[0040]服务平台远端认证过程由服务请求方发起认证申请。待认证服务平台的宿主根据自身所在域环境构建签名,同时可信平台完成身份认证密钥AK的生成。按照签名算法生成签名信息,并将其与AK签名证书和平台认证信息发送给服务请求方。服务请求方对签名真实性和签名身份合法性进行认证,完成服务平台认证过程。
[0041]认证过程的参与者包含了认证方、宿主、可信平台三个实体。整个认证过程分为两个阶段,可信平台与主机之间的签名与AK证书生成阶段,主机与认证方之间的可信请求和响应阶段。
[0042]I)认证方发起认证请求并发送给被认证方,被认证方向本机可信平台发送认证请求;
[0043]2)宿主根据所在域其他节点的可信平台公钥构成签名公钥,可信平台生成可信平台身份认证密钥AK和一对用于加密解密的公/私钥对(Pki,Ski);
[0044]3)可信平台发送认证密钥给宿主,宿主对随机选取的序列X进行计算;
[0045]4)利用可信平台本地加密解密算法求解Xl,同时将可信平台中相应的验证字段发送给宿主;
[0046]5)根据可信平台传来的11生成签名,将本地日志和经AK签名的验证字段与签名一起发送给认证方;
[0047]6)认证方根据AK签名认证可信平台合法性,认证签名身份可靠性,最后认证验证字段与本地日志完整性。根据认证结果确定认证方与被认证方的信任关系。
[0048]综上所述,本发明的方法提高信任认证效率,减少第三方认证单元造成的系统瓶颈。
[0049]显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
[0050]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【主权项】
1.一种计算机信息安全的方法,在属于不同域的平台中进行相互认证,其特征在于,包括: 通过输入生成密钥所需的安全参数信息来建立签名; 基于所述签名,认证双方通过可信平台的密钥对进行身份认证。2.根据权利要求1所述的方法,其特征在于,所述输入生成密钥所需的安全参数,进一步包括: 签名实体创建安全参数n = pq,其中P,q为大素数;随机选择R。,R1, R2, S,Z e QRn,其中卩&是同构群,输出签名实体公钥Pk proof= (n,R。,R1, R2, S,Z)和私钥Skprocif= p ;选择参与签名成员数量r,得到r个公钥组成的元组(PkpPk2,…,Pk1O,其中包含了签名实体公钥Pki= pk proof(I ^ i ^ r); 可信平台生成密钥对AK,并将其保存在寄存器中,密钥对AK包括AKP,AKs,然后选取散列函数Hash O ; 所述建立签名的步骤进一步包括: 根据所选取的散列函数生成可信平台的AKp非对称密钥k = Hash(AKp); 随机选取大随机数串组成序列集合X = {Xi, X2^…,Xi,Xi+1,…,Xr I Xk e {0,1}*,Ik r, k e Z+} 利用私有密钥Skprocif求解X i,其中I彡i彡r ; 签名实体得到的签名σ与可信平台中消息m的AK签名SIGNak (m) —起发送给认证方: σ = (AKp, Pk1, pk2,…,pkr,V,X1, x2,…,xr)Sigp roof (SIGNAK(m),σ) 所述认证双方通过可信平台的密钥对进行身份认证,进一步包括: 使用AKp对签名进行解密,与消息的散列值比对;根据签名实体发送的AKp和Pk1,Pk2,…,pkd吏用签名生成中的等式重新认证等号两边是否相等,如果相等则认证成功,否则失败。
【专利摘要】本发明提供了一种计算机信息安全的方法,该方法包括:通过输入生成密钥所需的安全参数信息来建立签名;基于所述签名,认证双方通过可信平台的密钥对进行身份认证。本发明提出的方法提高信任认证效率,减少第三方认证单元造成的系统瓶颈。
【IPC分类】H04L9/32, H04L29/06
【公开号】CN105187213
【申请号】CN201510493369
【发明人】陈虹宇, 王峻岭, 罗阳, 苗宁
【申请人】四川神琥科技有限公司
【公开日】2015年12月23日
【申请日】2015年8月12日