[发明专利]带有时间标记的自认证方法

说明书

技术领域

本发明涉及一种数据通信的认证方法。特别是涉及一种数据加密解密方式、通信双方自认证、自认证更新的带有时间标记的自认证方法。

背景技术

云计算（Cloud Computing）通过互联网和虚拟化技术将分散的信息、软硬件平台等资源和服务集中共享，并根据需求以动态伸缩的方式向用户提供服务。用户通过终端特别是移动终端向服务商获取资源。在享受云计算提供便利的同时，由于云计算的共享特性及其复杂的结构，使得隐私数据的安全性这一传统问题变得更加紧迫，数据加密与认证成为解决当前云计算下海量数据安全的关键。在网络普及的今天，用户享受数据多元化的同时，也面临着数据安全性的挑战，其实伴随着数据的产生，数据加密手段也应运而生。

数据加密是解密数据安全的一种手段。数据加密是指通过一定的加密算法和加密密钥将明文转变成密文，对数据隐蔽，解密则是相反的过程。加密方法通常分为两种：对称加密和非对称加密。所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则，规定如何进行加密和解密。因此对称式加密本身不是安全的。非对称加密方式加解密密钥不同，解决了密钥传递的问题。

在以PKI为代表的非对称密钥体系中，公钥获得与认证通过第三方的CA实现，存在系统风险和对网络资源的负担，因此双方的通信需要一种自认证的手段,如专利ZL200510002156.4所提出的组合公钥方法等。然而组合公钥方法不能实现对实体密钥的期限的管理。因为实体的消亡使得密钥的存在成为浪费，因此需要对实体密钥设置有效期，以便对密钥按规则进行处理。

密钥的管理问题是解决云计算安全的关键问题，不依赖于第三方的密钥产生和传输，不仅能够解决密钥的安全管理还能降低密钥传输过程中云计算的功耗,也就是说用户双方的交流是自认证的过程。自认证功能是指在认证和加密过程中，密钥的交换过程不需要经过第三方，类似于CA中心这样的机构，而是在事件交流的双方中进行。即发送方与接收方均可以根据对方提供的公开标识来自行确定相应的公钥，并对对方的私钥签名进行验证；另外，用户可根据任意其他用户的公开标识确定其公钥，利用该用户的公钥对数据进行加密和传输，从而实现了与特定用户之间的数据交互与共享。这些过程中，公钥的获得均不通过第三方来实现，从而减少了网络资源消耗，提高了数据加密与认证的安全性。

如图1所示的自认证密钥产生过程，实体将其唯一的标识信息传递给密钥产生中心（KGC），KGC对其ID信息进行某种变换，即图1中对应的密钥产生中心可产生用户的私钥。密钥产生中心在向实体传递其私钥的同时，还将公钥生成器传递给实体，这样用户在已知其它用户唯一标识信息的情况下，就可以通过公钥生成器生成其公钥，即公钥的获取不依赖于第三方，实现了自认证的过程。

自认证过程如图2：

（1）用户Alice利用其私钥及标识ID对信息进行加密，形成具有用户Alice签名的信息，即签名码；

（2）通过网络环境，将用户Alice的签名码传递给用户Bob，用户Bob根据用户A lice公开标识唯一ID查询其公钥，利用公钥完成签名码的认证过程；

（3）认证器若能恢复出信息m，则认证成功；否则认证失败。

自认证密钥的加解密数据

自认证体系的加解密可采用非对称和对称组合方式实现。对称加密方法速度快非对称速度慢,所有大数据用对称加密，而加密用的密钥用私钥加密封装。

一种可能的方案是数据加密采用对称加密算法，密码加密采用非对称算法。

具体如图3，加密过程：用户Alice将数据通过一对对称密钥在对称加密器获得加密之后的数据，由用户Bob的ID、公钥产生器获得的公钥对该对称密钥通过非对称加密方式加密，获得加密的密钥。

解密过程：用户Bob的私钥通过密码解密器获得加密的密密钥的明文，即解密数据的密码；数据的对称密钥作用于数据解密器获得解密的数据。

该方法有效的利用用户Bob的ID，通过公钥生成器生成公钥，利用该公钥加密对称密钥，利用用户Bob的私钥破解加密密钥，获得数据对称加密密码，进而获得数据明文。

将上述的密文信息加入时间标记，形成有时间的自认证体系。但其没有时间有效期的限定，当密钥一经分发就不可撤销，造成密钥资源浪费。同时还要占有大量的存储空间。

发明内容

本发明所要解决的技术问题是，提供一种能够解决自认证体系中密钥一经分发则不能回收问题的带有时间标记的自认证方法。