一種基于標識的身份認證系統(tǒng)和方法
【專利摘要】本發(fā)明涉及信息安全領(lǐng)域��,尤其涉及智能設(shè)備接收控制指令過程中的安全認證系統(tǒng)及方法�,其公開的基于標識的身份認證系統(tǒng)包括:客戶端�,私鑰生成服務(wù)器,以及至少一個終端設(shè)備����;其中,客戶端�,用于形成唯一標識用戶的公鑰,同時實現(xiàn)控制終端設(shè)備的控制指令的數(shù)據(jù)簽名生成簽名信息�����;私鑰生成器���,用于生成私鑰和公共參數(shù)����;終端設(shè)備,內(nèi)置一基于標識的認證模塊�����,同時根據(jù)公共參數(shù)和公鑰實現(xiàn)控制指令的認證��。本發(fā)明中在終端設(shè)備中設(shè)置IBC模塊��,使得終端設(shè)備接收到的控制指令更具備可靠性��、安全����;有效地防止了終端設(shè)備接收到錯誤的指令��,從而造成不良的后果����;且通過這種方法之后,終端設(shè)備一旦出現(xiàn)問題���,能夠快速的找到問題的源頭����,及時采取有效措施。
【專利說明】一種基于標識的身份認證系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域���,尤其涉及智能設(shè)備接收控制指令過程中的安全認證系統(tǒng)及方法�。
【背景技術(shù)】
[0002]近年來隨著計算機通信行業(yè)的飛速發(fā)展���,計算機����、自動控制���、通信技術(shù)的交融應(yīng)用�����,給人們的生活方式帶來了深刻改變��,傳統(tǒng)的家居方式已經(jīng)遠遠不能滿足人們的需求��,智能化的居住環(huán)境應(yīng)運而生��,即將各種家電設(shè)備結(jié)合成有機整體���,并通過現(xiàn)有的網(wǎng)絡(luò)通信手段實現(xiàn)對其隨時隨地的控制與管理�����。
[0003]隨著智能家居應(yīng)用領(lǐng)域的不斷拓展���,智能家居遠程安全通信技術(shù)的研究受到了越來越多的關(guān)注,目前�����,智能家居遠程控制安全通信的技術(shù)主要有:網(wǎng)絡(luò)身份認證技術(shù)����、數(shù)據(jù)加密技術(shù)����、安全協(xié)議、防火墻技術(shù)以及網(wǎng)絡(luò)防毒技術(shù)等���。
[0004]其中�����,在數(shù)據(jù)加密技術(shù)應(yīng)用的最為普遍的就是PKI (Public Key Infrastructure,公鑰加密)技術(shù)�����,其主要采用證書管理公鑰��,通過第三方的可信機構(gòu)CA (CertificateAuthority,證書授權(quán)中心),把用戶的公鑰和用戶的其他標識信息捆綁在一起�。CA是負責(zé)簽發(fā)證書、認證證書���、管理已頒發(fā)證書的機關(guān)��。它要制定政策和具體步驟來驗證�、識別用戶身份���,并對用戶證書進行簽名�����,以確保證書持有者的身份和公鑰的擁有權(quán)���。
[0005]PKI技術(shù)的使用,用戶可以對信息進行加密��,簽名以保證信息的安全性、完整性和合法性��,可以說PKI體系已經(jīng)基本上解決了信息安全問題�。然而PKI技術(shù)仍然存在幾個問題影響其大規(guī)模推廣:
[0006]I)發(fā)送方在發(fā)送信息前總需要先獲取接收方的證書。
[0007]2)在每收到一個證書后���,實體都需要驗證證書的有效性����。
[0008]3)證書頒發(fā)和管理系統(tǒng)(PKI)非常復(fù)雜�����,難以部署��。
【發(fā)明內(nèi)容】
[0009]針對上述基于PKI技術(shù)進行身份認證存在的����,如認證過程非常的繁瑣�����,用戶體驗極差等問題����。本發(fā)明中提供了一種基于標識的身份認證系統(tǒng)級方法�����,其在終端設(shè)備中設(shè)置IBC(Identity-Based Cryptograph,基于標識的密碼技術(shù))模塊,實現(xiàn)終端設(shè)備接收控制指令的認證���,不僅簡化了整個認證的過程,同時保障了控制指令的真實可靠�����。
[0010]本發(fā)明提供了一種基于標識的身份認證系統(tǒng)和方法�,技術(shù)方案如下:
[0011 ] 一種基于標識的身份認證系統(tǒng),包括:
[0012]客戶端�,私鑰生成服務(wù)器,以及至少一個終端設(shè)備�;
[0013]所述客戶端,用于形成唯一標識用戶的公鑰�,同時實現(xiàn)控制所述終端設(shè)備的控制指令的數(shù)據(jù)簽名生成簽名信息;
[0014]所述私鑰生成服務(wù)器���,用于根據(jù)所述公鑰生成私鑰和公共參數(shù)��;
[0015]所述終端設(shè)備�,內(nèi)置一基于標識的認證模塊,同時根據(jù)所述公共參數(shù)和公鑰實現(xiàn)所述控制指令的認證��。
[0016]優(yōu)選地�,所述身份認證系統(tǒng)包括客戶端,私鑰生成服務(wù)器���,以及多個終端設(shè)備��。
[0017]在整個系統(tǒng)中�,可以包括多個終端設(shè)備��,即一個客戶端同時控制多個終端設(shè)備��,多個終端設(shè)備中都包括基于標識的認證模塊�,且多個終端設(shè)備同時通過其內(nèi)部包括的認證模塊對客戶端發(fā)送的控制指令進行認證,若認證成功��,則分別響應(yīng)控制指令進行動作�����。
[0018]優(yōu)選地�,所述公鑰包括郵箱地址���。
[0019]這里的公鑰用于唯一標識客戶端����,除了包括郵箱地址,還可以包括�����,如網(wǎng)站地址���、用戶名稱等����。
[0020]一種基于標識的身份認證方法��,應(yīng)用于上述基于標識的身份認證系統(tǒng)����,包括以下步驟:
[0021]所述私鑰生成服務(wù)器獲取所述客戶端形成的用于唯一標識用戶的公鑰,同時生成公共參數(shù)和私鑰���;
[0022]所述終端設(shè)備獲取所述公鑰和公共參數(shù)��;
[0023]在本發(fā)明中����,用戶將公鑰和公共參數(shù)輸入上述終端設(shè)備。
[0024]所述客戶端獲取所述私鑰���,實現(xiàn)對所述終端設(shè)備的控制指令的數(shù)據(jù)簽名生成簽名信息����;
[0025]在本發(fā)明中����,客戶端獲取了私鑰之后,首先使用���,如哈希算法提取控制指令中的摘要信息����,其中����,哈希算法將任意長度的二進制值映射為較短的固定長度的二進制值,這個小的二進制值稱為哈希值���。哈希值是一段數(shù)據(jù)唯一且極其緊湊的數(shù)值表示形式�����。如果散列一段明文而且哪怕只更改該段落的一個字母���,隨后的哈希都將產(chǎn)生不同的值。要找到散列為同一個值的兩個不同的輸入�����,在計算上是不可能的���,所以數(shù)據(jù)的哈希值可以檢驗數(shù)據(jù)的完整性�����。隨后使用私鑰對摘要信息進行加密成為簽名信息����。
[0026]所述終端設(shè)備獲取所述簽名信息和控制指令���,實現(xiàn)所述控制指令的認證����。
[0027]在本發(fā)明中,終端設(shè)備接收到簽名信息之后�����,結(jié)合之前獲取的公鑰和公共參數(shù)對簽名信息進行解密生成解密信息�����,同時使用與客戶端中相同的算法����,如哈希算法對提取到的控制指令中的摘要信息,最后通過比對解密信息和摘要信息實現(xiàn)控制指令的認證�����。
[0028]優(yōu)選地����,所述公共參數(shù)和所述私鑰相互關(guān)聯(lián)。
[0029]在本發(fā)明中���,公共參數(shù)和私鑰是對應(yīng)的����,當私鑰丟失時,則需要使用公鑰在私鑰生成服務(wù)器上重新生成新的公共參數(shù)和私鑰���。使用了私鑰加密的簽名信息需要使用公鑰和公共參數(shù)一起進行解密���。
[0030]優(yōu)選地�,所述終端設(shè)備包括智能終端設(shè)備。
[0031]優(yōu)選地�,所述智能終端設(shè)備接收并認證所述客戶端的所述控制指令,若接收到的所述控制指令認證成功,則響應(yīng)所述客戶端動作���。
[0032]優(yōu)選地���,所述身份認證方法中包括多個智能終端設(shè)備,所述多個智能終端設(shè)備分別接收并認證所述客戶端的所述控制指令����,所述控制指令認證成功后,所述多個智能終端分別響應(yīng)所述客戶端動作��。
[0033]本發(fā)明提供的基于標識的身份認證系統(tǒng)和方法�,其有益效果在于:
[0034]1.本發(fā)明中在終端設(shè)備中設(shè)置IBC模塊��,以實現(xiàn)進行終端設(shè)備接收到的控制指令的簽名認證���,使得終端設(shè)備接收到的控制指令更具備可靠性和安全性;有效地防止了終端設(shè)備接收到錯誤的指令而造成的不良后果���;且通過這種方法之后�,終端設(shè)備一旦出現(xiàn)問題��,能夠快速的找到問題的源頭����,及時采取有效措施;
[0035]2.在整個認證過程中���,私鑰生成服務(wù)器作為整個裝置的核心����,根據(jù)接收到的公鑰生成公共參數(shù)和私鑰�����,終端設(shè)備在接收到控制指令之后使用其內(nèi)部的公共參數(shù)和公鑰對控制指令進行認證���,從而實現(xiàn)控制指令的整個認證過程�;簡化了整個認證過程,操作簡單��,安全性能更高���;
[0036]3.終端設(shè)備接收到了簽名信息之后�,不再需要將公鑰發(fā)送到私鑰生成服務(wù)器獲取公共參數(shù)�����,而是通過直接將公共參數(shù)和公鑰設(shè)置于終端設(shè)備內(nèi)部�,使得本發(fā)明的身份認證系統(tǒng)實現(xiàn)了離線情況下的身份認證�,大大擴展了本發(fā)明中系統(tǒng)的應(yīng)用場合。
【專利附圖】
【附圖說明】
[0037]下面結(jié)合附圖和【具體實施方式】對本發(fā)明作進一步詳細說明:
[0038]圖1為本發(fā)明中基于標識的身份認證系統(tǒng)結(jié)構(gòu)示意圖��;
[0039]圖2為本發(fā)明中基于標識的身份認證方法流程示意圖����。
【具體實施方式】
[0040]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面結(jié)合附圖和實施例對本發(fā)明進行具體的描述�。下面描述中的附圖僅僅是本發(fā)明的一些實施例。對于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
[0041]如圖1所示����,本發(fā)明提供了一種基于標識的身份認證系統(tǒng),包括客戶端��,私鑰生成服務(wù)器����,以及至少一個終端設(shè)備。
[0042]具體地���,客戶端��,用于形成唯一標識用戶的公鑰�,通常���,由用戶指定唯一標識自己的標識信息��,即公鑰��,如網(wǎng)址��、公司名稱�、郵箱地址等;客戶端包括但不限制于手機��、電腦�、平板等。特別地��,本發(fā)明對客戶端類型和公鑰的具體內(nèi)容不作限定��,只要使用到的客戶端類型和公鑰內(nèi)容能夠?qū)崿F(xiàn)本發(fā)明的類型����,都包括在本發(fā)明的內(nèi)容中。
[0043]此外���,客戶端的作用還包括實現(xiàn)控制終端設(shè)備的控制指令的數(shù)據(jù)簽名生成簽名信息。在本發(fā)明的基于標識的身份認證系統(tǒng)中�����,客戶端向終端設(shè)備發(fā)送控制指令��,以實現(xiàn)對終端設(shè)備的控制����,為了進一步保障控制指令的真實安全性能�����,控制指令在發(fā)送至終端設(shè)備之前對控制指令進行數(shù)據(jù)簽名���。在整個數(shù)據(jù)簽名過程中,客戶端首先使用����,如哈希算法提取控制指令中的第一摘要信息,即將控制指令映射為較短的固定長度的二進制值如�����,128bit的第一摘要信息����,這個摘要信息為哈希值;隨后再利用私鑰生成服務(wù)器生成的私鑰對第一摘要進行加密簽名為簽名信息���。具體地����,本發(fā)明中對提取控制指令中第一摘要信息的方法不做限定,只要其能實現(xiàn)本發(fā)明的目的����,都包括在本發(fā)明的內(nèi)容中。
[0044]私鑰生成服務(wù)器�����,用于根據(jù)公鑰生成私鑰和公共參數(shù)��,具體地���,當私鑰丟失時�,則單獨利用公共參數(shù)不能實現(xiàn)控制指令的認證��,即需要使用公鑰在私鑰生成服務(wù)器上重新生成新的公共參數(shù)和私鑰�,且使用了私鑰加密的控制指令需要使用標識和公共參數(shù)一起進行解密。進一步地��,本發(fā)明中私鑰生成服務(wù)器中使用橢圓曲線上的pairing��、SK-KEM等算法將公鑰生成相應(yīng)的公共參數(shù)和私鑰�。特別地,本發(fā)明對使用的算法不做限定�����,只要其能實現(xiàn)目的���,都包括在本發(fā)明的內(nèi)容中��。
[0045]終端設(shè)備����,內(nèi)置一基于標識的認證模塊�����,即IBC模塊�����,其根據(jù)公共參數(shù)和公鑰實現(xiàn)控制指令的認證�����。終端設(shè)備接收到簽名信息之后���,使用與客戶端中相同的算法���,如哈希算法對提取到的控制指令中的第二摘要信息�����。特別地�����,本發(fā)明中對提取控制指令中第二摘要信息的方法不做限定��,只要其能實現(xiàn)本發(fā)明的目的����,都包括在本發(fā)明的內(nèi)容中�。
[0046]隨后,結(jié)合之前獲取的公鑰和公共參數(shù)對簽名信息進行解密生成解密信息����,通常來說,用戶將私鑰生成器中生成的公共參數(shù)及公鑰一起設(shè)置于終端設(shè)備中��。特別地��,在本發(fā)明中��,解密過程即為加密過程的反過程����,也就是說,這里得到的解密信息即為客戶端中到的第一摘要信息����。隨后將生成的第一摘要信息與解密信息進行比對,若比對成功��,則說明控制指令在發(fā)送過程中沒有被篡改���,即控制指令安全可靠����;若比對失敗�����,則告訴用戶接收到的控制指令存在被第三方篡改過的危險���。
[0047]進一步地�,本發(fā)明的系統(tǒng)中包括多個終端設(shè)備,即客戶端同時控制多個終端設(shè)備���;每個終端設(shè)備分別接收客戶端的控制指令�,同時對接收到的控制指令進行認證���,實現(xiàn)本發(fā)明的目的�。
[0048]如圖2所示���,本發(fā)明還提供了一種基于標識的身份認證方法����,應(yīng)用于上述基于標識的身份認證系統(tǒng)���,包括以下步驟:
[0049]私鑰生成服務(wù)器獲取客戶端形成唯一標識用戶的公鑰�,同時生成公共參數(shù)和私鑰�����;
[0050]終端設(shè)備獲取公鑰和公共參數(shù)����;當私鑰丟失時�����,則單獨利用公共參數(shù)不能實現(xiàn)控制指令的認證,即需要使用公鑰在私鑰生成服務(wù)器上重新生成新的公共參數(shù)和私鑰����,且使用了私鑰加密的控制指令需要使用標識和公共參數(shù)一起進行解密。
[0051]客戶端獲取私鑰���,實現(xiàn)對終端設(shè)備的控制指令的數(shù)據(jù)簽名生成簽名信息����;在整個數(shù)據(jù)簽名過程中����,客戶端首先使用,如哈希算法提取控制指令中的第一摘要信息�����,即將控制指令映射為較短的固定長度的二進制值如����,128bit的第一摘要信息��,這個摘要信息為哈希值�����。具體地��,本發(fā)明中對提取控制指令中第一摘要信息的方法不做限定���,只要其能實現(xiàn)本發(fā)明的目的,都包括在本發(fā)明的內(nèi)容中
[0052]終端設(shè)備獲取簽名信息和控制指令��,實現(xiàn)控制指令的認證��。終端設(shè)備�,內(nèi)置一基于標識的認證模塊,同時根據(jù)公共參數(shù)和公鑰實現(xiàn)控制指令的認證���。終端設(shè)備接收到簽名信息之后�����,使用與客戶端中相同的算法���,如哈希算法對提取到的控制指令中的第二摘要信息�,最后通過比對解密信息和摘要信息實現(xiàn)控制指令的認證���。隨后��,結(jié)合之前獲取的公鑰和公共參數(shù)對簽名信息進行解密生成解密信息��,通常來說,用戶將私鑰生成器中生成的公共參數(shù)及公鑰一起設(shè)置于終端設(shè)備中��。特別地����,在本發(fā)明中,解密過程即為加密過程的反過程���,也就是說��,這里得到的解密信息即為客戶端中到的第一摘要信息�����。隨后將生成的第一摘要信息與解密信息進行比對��,若比對成功��,則說明控制指令在發(fā)送過程中沒有被篡改�����,即控制指令安全可靠��;若比對失敗��,則告訴用戶接收到的控制指令存在被第三方篡改過的危險�����。
[0053]進一步地��,終端設(shè)備包括智能終端設(shè)備����。智能終端設(shè)備接收并認證客戶端的控制指令,若接收到的控制指令認證成功����,則響應(yīng)客戶端動作。
[0054]更進一步地����,本發(fā)明的基于標識的身份認證系統(tǒng)包括多個智能終端設(shè)備�,多個智能終端設(shè)備分別接收并認證客戶端的控制指令�����,控制指令認證成功后�,多個智能終端分別響應(yīng)客戶端動作。
[0055]應(yīng)用于上述一個完整的實施例��,以標識信息為郵箱地址為例��,對本發(fā)明的具體方式做如下描述:
[0056]需要控制終端設(shè)備的客戶端將郵箱地址作為唯一標識客戶端的公鑰作為發(fā)布方的身份證明���,隨后將郵箱地址發(fā)送至私鑰生成服務(wù)器。
[0057]私鑰生成服務(wù)器接收到客戶端發(fā)送的郵箱地址之后�,即通過,如橢圓曲線上的pairing����、SK-KEM等算法生成相應(yīng)的私鑰和公共參數(shù),且將公共參數(shù)存儲在私鑰生成服務(wù)器中���,隨后將私鑰發(fā)送回客戶端�。
[0058]用戶將公共參數(shù)和公鑰設(shè)置于終端設(shè)備中,終端設(shè)備將信息儲存在內(nèi)部�����。
[0059]客戶端接收到私鑰生成服務(wù)器發(fā)送過來的私鑰���,隨即結(jié)合��,如哈希算法和私鑰對控制指令進行加密為簽名信息���,隨即再將簽名信息、控制指令一起發(fā)送至終端設(shè)備���。
[0060]終端設(shè)備接收到私鑰生成服務(wù)器發(fā)送過來的簽名信息之后��,隨即結(jié)合公共參數(shù)和公鑰對接收到的簽名信息進行解密為解密信息�����;與此同時�����,使用�����,如哈希算法提取接收到的簽名信息的摘要信息�����;最后比對解密信息和摘要信息�����,若比對成功����,則完成了控制指令的實名制認證,相應(yīng)地����,若比對失敗�,則說明控制指令在發(fā)送過程中存在被篡改的可能性,提醒接收方注意���。
[0061]綜上���,本發(fā)明中在終端設(shè)備中設(shè)置IBC模塊�����,以實現(xiàn)進行終端設(shè)備接收到的控制指令的簽名認證�����,使得終端設(shè)備接收到的控制指令更具備可靠性��、安全����;有效地防止了終端設(shè)備接收到錯誤的指令���,從而造成不良的后果����;且通過這種方法之后���,終端設(shè)備一旦出現(xiàn)問題���,能夠快速的找到問題的源頭,及時采取有效措施��。
[0062]以上對發(fā)明的具體實施例進行了詳細描述,但本發(fā)明并不限制于以上描述的具體實施例�,其只是作為范例。對于本領(lǐng)域技術(shù)人員而言��,任何對該系統(tǒng)進行的等同修改和替代也都在本發(fā)明的范疇之中���。因此����,在不脫離發(fā)明的精神和范圍下所作出的均等變換和修改��,都應(yīng)涵蓋在本發(fā)明的范圍內(nèi)��。
【權(quán)利要求】
1.一種基于標識的身份認證系統(tǒng)�����,其特征在于�,包括: 客戶端,私鑰生成服務(wù)器����,以及至少一個終端設(shè)備���; 所述客戶端��,用于形成唯一標識用戶的公鑰��,同時實現(xiàn)控制所述終端設(shè)備的控制指令的數(shù)據(jù)簽名生成簽名信息���; 所述私鑰生成服務(wù)器���,用于根據(jù)所述公鑰生成私鑰和公共參數(shù); 所述終端設(shè)備����,內(nèi)置一基于標識的認證模塊,同時根據(jù)所述公共參數(shù)和公鑰實現(xiàn)所述控制指令的認證�。
2.如權(quán)利要求1所述基于標識的身份認證系統(tǒng),其特征在于:所述身份認證系統(tǒng)包括客戶端��,私鑰生成服務(wù)器��,以及多個終端設(shè)備��。
3.如權(quán)利要求1所述基于標識的身份認證系統(tǒng)���,其特征在于:所述公鑰包括郵箱地址����。
4.一種基于標識的身份認證方法,應(yīng)用于如權(quán)利要求1-3任一所述基于標識的身份認證系統(tǒng)����,其特征在于,包括以下步驟: 所述私鑰生成服務(wù)器獲取所述客戶端形成的用于唯一標識用戶的公鑰��,同時生成公共參數(shù)和私鑰�; 所述終端設(shè)備獲取所述公鑰和公共參數(shù); 所述客戶端獲取所述私鑰�,實現(xiàn)對所述終端設(shè)備的控制指令的數(shù)據(jù)簽名生成簽名信息; 所述終端設(shè)備獲取所述簽名信息和控制指令�,實現(xiàn)所述控制指令的認證。
5.如權(quán)利要求4所述基于標識的身份認證方法����,其特征在于:所述公共參數(shù)和所述私鑰相互關(guān)聯(lián)。
6.如權(quán)利要求4所述基于標識的身份認證方法����,其特征在于:所述終端設(shè)備包括智能終端設(shè)備。
7.如權(quán)利要求6所述基于標識的身份認證方法��,其特征在于:所述智能終端設(shè)備接收并認證所述客戶端的所述控制指令,若接收到的所述控制指令認證成功�����,則響應(yīng)所述客戶端動作�����。
8.如權(quán)利要求6所述基于標識的身份認證方法�����,其特征在于:所述身份認證方法中包括多個智能終端設(shè)備���,所述多個智能終端設(shè)備分別接收并認證所述客戶端的所述控制指令,所述控制指令認證成功后�����,所述多個智能終端分別響應(yīng)所述客戶端動作����。
【文檔編號】H04L9/32GK104202170SQ201410487107
【公開日】2014年12月10日 申請日期:2014年9月22日 優(yōu)先權(quán)日:2014年9月22日
【發(fā)明者】談劍鋒, 何江華, 王力, 趙晶晶 申請人:上海眾人科技有限公司