一种基于组合公钥的通信实体标识认证方法

摘要

本发明公开了一种基于组合公钥的通信实体标识认证方法，它涉及通信领域中通信实体间信息安全、认证的技术。它采用基于组合公钥的标识认证技术实现通信实体的认证；采用AES算法进行信息数据的加解密以实现信息的私密性；采用以太网封装和IP封装技术实现认证装置的透明接入。本发明具有接口/协议标准、接入简单、原通信实体无需变动、使用方便等特点。特别适用于在不改变通信实体的情况下进行通信终端和设备的认证。

主权项

1. 一种基于组合公钥的通信实体标识认证方法，其特征在于包括步骤：①依据国家商用密码管理办公室发布的“无线局域网产品采用的ECDSA和ECDH密码算法椭圆曲线和参数”，确定通信实体标识认证的安全椭圆曲线参数；②依据国际电气和电子工程师协会IEEE 1363-2000和IEEE1363a建议，构建通信实体之间的椭圆曲线ECIES公钥加密体系；进行通信实体的点对点的会话密钥交换协议ECMQV；进行通信实体的点对多点广播会话密钥分发协议ECDL以及进行椭圆曲线数字签名ECDSA；③依据国际信息处理标准委员会FIPS-PUB-180-2标准，对通信实体认证进行SHA-256哈希函数运算，获得用于认证和加密的哈希函数；依据国际信息处理标准委员会FIPS-PUB-197标准，对通信实体认证进行高级加密标准AES算法，获得用于数据加解密的对称加密的密文和对称解密的明文；④依据国际电气和电子工程师协会IEEE 802.1x规定的局域网扩展认证协议EAPoL和Internet工程任务组RFC 3748规定的扩展认证协议EAP，进行认证消息和密钥交换消息的传送；⑤选定第①步中的安全椭圆曲线参数后，进行设定安全椭圆曲线基点G阶数为n，采用软件伪随机数生成算法产生m×h个在[1，n-1]范围的随机数rij，构成私钥矩阵SSK，并计算出与之对应的公钥矩阵PSK，m和h分别为SSK和PSK的行数和列数；⑥对私钥进行安全存储，随机生成密钥K，使用密钥K对私钥RK进行加密，加密后的私钥存储在硬件的存储器中；密钥K由存储在硬件的存储器中的子密钥K1和在需要使用私钥时由用户输入的子密钥K2构成；⑦采用对标识的哈希值计算，行映射算法，列置换算法和组合密钥的生成进行通信实体标识到公钥映射；⑧将进行过公钥映射的通信实体进行接入认证及业务认证，接入认证在开机后进行一次，业务认证周期性进行；⑨将通信实体采用以太网封装技术和IP封装技术，对加密的数据帧进行封装，采用国际信息处理标准委员会FIPS-PUB-197规定的AES高级加密标准进行对称加密，加密分组长度为16字节，加密密文长度不大于加密前明文长度16字节；通信实体将以太网数据帧长度从1518字节加长为1518+32字节；完成基于组合公钥的通信实体标识认证。