專利名稱:面向移動終端的無線安全身份驗證方法
技術(shù)領(lǐng)域:
本發(fā)明屬于無線安全身份驗證技術(shù)領(lǐng)域��,尤其涉及一種面向移動終端的無線安全身份驗證方法�����,具體涉及一種以傳統(tǒng)的無線公鑰基礎(chǔ)設(shè)施(WPKI)為基礎(chǔ)��,通過對WPKI使用的安全算法和體系結(jié)構(gòu)進(jìn)行改進(jìn)的無線通信網(wǎng)絡(luò)身份驗證方法����。
背景技術(shù):
隨著政府信息化工程建設(shè)步伐的不斷加快,越來越多政府部門的業(yè)務(wù)趨向于網(wǎng)絡(luò)化,例如信息采集�����、數(shù)據(jù)共享�����、業(yè)務(wù)受理�、輿情反饋等,都可以通過互聯(lián)網(wǎng)絡(luò)得到實現(xiàn)�。同時 隨著無線通信網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,以及人們對各種服務(wù)便捷性要求的提高�,越來越多的應(yīng)用服務(wù)需要支持各種移動終端設(shè)備(如PDA、智能手機(jī)等)作為信息交互的移動節(jié)點����,并且能夠通過無線通信網(wǎng)絡(luò)實時、安全地連接各政府部門的內(nèi)部服務(wù)器�,訪問相應(yīng)的信息資源。但是�����,由于無線通信網(wǎng)絡(luò)具有帶寬低����、數(shù)據(jù)開放性強(qiáng)�����、終端存儲計算能力弱等特點,應(yīng)用于傳統(tǒng)有線網(wǎng)絡(luò)的基于 PKI/PMI (Public Key Infrastructure/Privilege ManagementInfrastructure)的安全基礎(chǔ)設(shè)施不能簡單地照搬移植到無線通信網(wǎng)絡(luò)���。因此��,為無線通信網(wǎng)絡(luò)設(shè)計安全可靠的接入技術(shù)�,使各種移動終端設(shè)備通過認(rèn)證�、授權(quán)后能夠安全、實時地訪問相應(yīng)組織機(jī)構(gòu)的內(nèi)網(wǎng)資源��,成為當(dāng)前社會各機(jī)構(gòu)�、各領(lǐng)域信息化建設(shè)的一個亟待解決的問題。由于WPKI是專門為無線網(wǎng)絡(luò)和移動終端設(shè)備設(shè)計的安全體系�����,因此其中很多部件都已經(jīng)考慮到移動終端計算�、存儲能力弱、無線網(wǎng)絡(luò)通信帶寬有限����、可靠性低等實際環(huán)境特點���。但WPKI引入了可信第三方(TTP)認(rèn)證服務(wù),這個可信第三方缺乏可信的度量和監(jiān)控��。如果TTP由于受到攻擊等原因變成不可信���,則它將成為中間人攻擊的據(jù)點����,嚴(yán)重影響整個系統(tǒng)的安全����。因此,急需提出一種新型的無線通信安全身份驗證方法��,在WPKI使用的安全算法和體系結(jié)構(gòu)的基礎(chǔ)上��,實現(xiàn)移動終端在計算能力低的限制下通過無線通信網(wǎng)絡(luò)完成身份驗證���,并由此安全接入內(nèi)網(wǎng)�。
發(fā)明內(nèi)容
本發(fā)明的目的在于針對現(xiàn)有技術(shù)的不足����,提供一種面向移動終端的無線安全身份驗證方法����,解決無線網(wǎng)絡(luò)和各類移動終端在電子政務(wù)�、電子商務(wù)���、網(wǎng)上娛樂社會領(lǐng)域應(yīng)用中的移動身份認(rèn)證問題。為實現(xiàn)上述目的���,本發(fā)明在分析現(xiàn)有無線網(wǎng)絡(luò)環(huán)境中面向移動終端的身份認(rèn)證安全協(xié)議的基礎(chǔ)上�����,設(shè)計基于證書授權(quán)和身份驗證技術(shù)的安全協(xié)議�。在證書授權(quán)階段����,主要在安全內(nèi)網(wǎng)中利用X. 509證書標(biāo)準(zhǔn)、安全密鑰交換技術(shù)實現(xiàn)用戶注冊�����、證書頒發(fā)以及身份授權(quán);在身份認(rèn)證階段��,主要利用證書本地驗證�、對稱加密、時間戳技術(shù)實現(xiàn)身份驗證與安全登錄���,最終實現(xiàn)面向移動終端的無線安全身份驗證��。本發(fā)明的方法具體通過以下步驟實現(xiàn)步驟(I).移動終端注冊
1-1.在移動終端填寫注冊表単�����,并將注冊表單的用戶信息發(fā)送至認(rèn)證服務(wù)器���。1-2.認(rèn)證服務(wù)器收到移動終端發(fā)送來的用戶信息后先在本地數(shù)據(jù)庫中查找用戶信息中用戶名(Email)的記錄,如果該用戶名已經(jīng)存在則提示該用戶已注冊����;如果用戶名不存在則允許注冊。 1-3.在注冊過程中�����,認(rèn)證服務(wù)器生成用戶身份證書���、用戶RSA私鑰�����、屬于移動終端C的Diffie-Hellman (DH)密鑰對和屬于認(rèn)證服務(wù)器CS的Diffie-Hellman (DH)密鑰對��;認(rèn)證服務(wù)器調(diào)用移動終端的DH公鑰和認(rèn)證服務(wù)器的DH私鑰生成認(rèn)證服務(wù)器DES密鑰��,移動終端調(diào)用認(rèn)證服務(wù)器的DH公鑰和移動終端的DH私鑰生成移動終端DES密鑰�;認(rèn)證服務(wù)器用用戶設(shè)置的密碼對用戶身份證書和用戶RSA私鑰進(jìn)行加密�����,并將加密后的用戶身份證書���、用戶RSA密鑰、移動終端的DH密鑰對和認(rèn)證服務(wù)器的DH公鑰一起作為注冊結(jié)果反饋給移動終端�����。1-4.用戶身份證書生成具體如下
a.認(rèn)證服務(wù)器用消息摘要算法(SHA-I)散列用戶信息得到摘要��;
b.認(rèn)證服務(wù)器生成ー對屬于該移動終端的RSA密鑰對�����,用RSA私鑰加密步驟a中得到的摘要,得到該移動終端的數(shù)字簽名��;
c.認(rèn)證服務(wù)器利用本地證書中心CA的RSA私鑰簽發(fā)用戶身份證書��,用戶身份證書內(nèi)容包括用戶信息��、數(shù)字簽名����、用戶的RSA公鑰。步驟(2).移動終端登錄�����,該登錄包括用戶身份證書的本地驗證和移動終端向認(rèn)證服務(wù)器的登錄���。2-1.用戶身份證書的本地驗證具體如下
d.在移動終端輸入注冊時用戶設(shè)置的密碼��,解密獲得注冊時認(rèn)證服務(wù)器用此密碼加密的用戶身份證書和用戶RSA私鑰;
e.用消息摘要算法(SHA-I)散列用戶身份證書中的用戶信息得到摘要一���;
f.用用戶RSA私鑰解密用戶身份證書中的數(shù)字簽名得到摘要ニ�;
g.比對摘要一和摘要ニ的內(nèi)容,若內(nèi)容一致則用戶身份證書驗證成功��,否則用戶身份證書驗證失敗�����。2-2.移動終端向認(rèn)證服務(wù)器登錄具體如下
h.移動終端通過無線網(wǎng)關(guān)向認(rèn)證服務(wù)器發(fā)送登錄請求�����;
i.認(rèn)證服務(wù)器根據(jù)發(fā)送登錄請求的用戶名(Email)在本地數(shù)據(jù)庫中查詢對應(yīng)于該用戶名(Email)的DES密鑰���,查找失敗則提示登錄失?����。?br>
j.如果查找DES密鑰成功����,則認(rèn)證服務(wù)器生成當(dāng)前時間戳,將當(dāng)前時間戳保存在本地��,同時用DES密鑰加密該時間戳����,并將加密后的時間戳返回給移動終端要求二次登錄驗證�;
k.移動終端收到加密后的時間戳���,用本地生成的DES密鑰解密得到時間戳,通過無線網(wǎng)關(guān)發(fā)送給認(rèn)證服務(wù)器���;
I.認(rèn)證服務(wù)器比對移動終端發(fā)送來的時間戳與保存在本地的時間戳內(nèi)容是否一致�����,若一致則登錄成功�,否則登錄失敗���。本發(fā)明有益效果如下首先��,由于本發(fā)明具有專用定制性����,而非用于普通的移動應(yīng)用�����,因此只允許在安全的內(nèi)網(wǎng)中完成移動終端的注冊����,對不安全的外網(wǎng)則不開放注冊功能,極大程度地限制了用戶帳號的數(shù)量�,有效防止了不法分子的惡意注冊,從而大大降低了內(nèi)網(wǎng)數(shù)據(jù)被惡意訪問的風(fēng)險���。其次��,本發(fā)明采用本地身份證書驗證技木���。在移動終端向認(rèn)證服務(wù)器登錄前首先在移動終端本地進(jìn)行用戶身份證書的驗證,如果驗證通過則發(fā)起向認(rèn)證服務(wù)器的登錄請求��,否則直接拒絕登錄�,不用與服務(wù)器進(jìn)行交互��,在本地就能完成合法性驗證�,大大減小了認(rèn)證服務(wù)器的壓力��,同時也降低了交互過程中所隱藏的風(fēng)險。最后����,本發(fā)明采用了二次登錄與時間戳技木。認(rèn)證服務(wù)器只需判斷移動終端返回的明文與本地保存的明文是否一致����,并且移動終端與認(rèn)證服務(wù)器的兩次交互是否在同一個session中,即可有效地確認(rèn)移動終端是否具有訪問內(nèi)網(wǎng)服務(wù)的合法身份���。同時,利用時間戳作為挑戰(zhàn)返還給移動終端����,可以極大程度地防止重放攻擊。由于克服了現(xiàn)有技術(shù)在實際 工程應(yīng)用方面難以解決的困難�,因此真正實現(xiàn)了無線網(wǎng)絡(luò)中移動終端用戶安全身份的授權(quán)與識別,保障數(shù)據(jù)能夠在內(nèi)外網(wǎng)間實現(xiàn)安全傳輸�����?���?傊景l(fā)明針對移動終端通過無線網(wǎng)絡(luò)訪問內(nèi)網(wǎng)資源的需求,利用Diffie-Hellman (DH)安全密鑰交換算法���、數(shù)字證書技術(shù)�、DES對稱加密算法����,并結(jié)合證書本地驗證技術(shù)、二次登錄技術(shù)�、時間戳技術(shù),實現(xiàn)了移動終端在無線網(wǎng)絡(luò)中向認(rèn)證服務(wù)器注冊與登錄����,具有安全性強(qiáng)、操作簡單等優(yōu)點����,克服了以往技術(shù)方法都難以克服的難點,也消除了實現(xiàn)真正工程應(yīng)用的主要障礙��,最終為移動終端訪問內(nèi)網(wǎng)資源提供一種新的可靠的方法����。
圖I是本發(fā)明用戶身份證書生成流程 圖2是本發(fā)明DES密鑰生成流程 圖3是本發(fā)明加密用戶RSA私鑰和用戶身份證書;
圖4是本發(fā)明移動終端注冊流程 圖5是本發(fā)明移動終端本地驗證流程 圖6是本發(fā)明移動終端登錄流程圖�。
具體實施例方式下面結(jié)合附圖對本發(fā)明作進(jìn)ー步說明����。步驟(I).移動終端注冊
1-1.在移動終端填寫注冊表単��,并將注冊表單的用戶信息發(fā)送至認(rèn)證服務(wù)器�����。1-2.認(rèn)證服務(wù)器收到移動終端發(fā)送來的用戶信息后先在本地數(shù)據(jù)庫中查找用戶信息中用戶名(Email)的記錄���,如果該用戶名已經(jīng)存在則提示該用戶已注冊;如果用戶名不存在則允許注冊�����。1-3.在注冊過程中���,認(rèn)證服務(wù)器生成用戶身份證書���、用戶RSA私鑰、屬于移動終端C的Diffie-Hellman (DH)密鑰對和屬于認(rèn)證服務(wù)器CS的Diffie-Hellman (DH)密鑰對�;如圖2所示�,認(rèn)證服務(wù)器調(diào)用移動終端的DH公鑰和認(rèn)證服務(wù)器的DH私鑰生成認(rèn)證服務(wù)器DES密鑰���,移動終端調(diào)用認(rèn)證服務(wù)器的DH公鑰和移動終端的DH私鑰生成移動終端DES密鑰;如圖3���、圖4所示��,認(rèn)證服務(wù)器用用戶設(shè)置的密碼對用戶身份證書和用戶RSA私鑰進(jìn)行加密�����,并將加密后的用戶身份證書����、用戶RSA密鑰��、移動終端的DH密鑰對和認(rèn)證服務(wù)器的DH公鑰一起作為注冊結(jié)果反饋給移動終端��。1-4.用戶身份證書生成具體如圖I所示
a.認(rèn)證服務(wù)器用消息摘要算法(SHA-I)散列用戶信息得到摘要�;
b.認(rèn)證服務(wù)器生成ー對屬于該移動終端的RSA密鑰對,用RSA私鑰加密步驟a中得到的摘要�����,得到該移動終端的數(shù)字簽名��;
c.認(rèn)證服務(wù)器利用本地證書中心CA的RSA私鑰簽發(fā)用戶身份證書,用戶身份證書內(nèi) 容包括用戶信息��、數(shù)字簽名���、用戶的RSA公鑰。步驟(2).移動終端登錄��,該登錄包括用戶身份證書的本地驗證和移動終端向認(rèn)證服務(wù)器的登錄�����。2-1.用戶身份證書的本地驗證具體如圖5所示
d.在移動終端輸入注冊時用戶設(shè)置的密碼��,解密獲得注冊時認(rèn)證服務(wù)器用此密碼加密的用戶身份證書和用戶RSA私鑰��;
e.用消息摘要算法(SHA-I)散列用戶身份證書中的用戶信息得到摘要一�;
f.用用戶RSA私鑰解密用戶身份證書中的數(shù)字簽名得到摘要ニ;
g.比對摘要一和摘要ニ的內(nèi)容���,若內(nèi)容一致則用戶身份證書驗證成功�,否則用戶身份證書驗證失敗���。2-2.移動終端向認(rèn)證服務(wù)器登錄具體流程如圖6所示
h.移動終端通過無線網(wǎng)關(guān)向認(rèn)證服務(wù)器發(fā)送登錄請求���;
i.認(rèn)證服務(wù)器根據(jù)發(fā)送登錄請求的用戶名(Email)在本地數(shù)據(jù)庫中查詢對應(yīng)于該用戶名(Email)的DES密鑰��,查找失敗則提示登錄失?��。?br>
j.如果查找DES密鑰成功���,則認(rèn)證服務(wù)器生成當(dāng)前時間戳����,將當(dāng)前時間戳保存在本地���,同時用DES密鑰加密該時間戳���,并將加密后的時間戳返回給移動終端要求二次登錄驗證;
k.移動終端收到加密后的時間戳�,用本地生成的DES密鑰解密得到時間戳,通過無線網(wǎng)關(guān)發(fā)送給認(rèn)證服務(wù)器����;
I.認(rèn)證服務(wù)器比對移動終端發(fā)送來的時間戳與保存在本地的時間戳內(nèi)容是否一致,若一致則登錄成功�,否則登錄失敗����。
權(quán)利要求
1.面向移動終端的無線安全身份驗證方法����,包括如下步驟 步驟(I).移動終端注冊 1-1.在移動終端填寫注冊表單,并將注冊表單的用戶信息發(fā)送至認(rèn)證服務(wù)器��; 1-2.認(rèn)證服務(wù)器收到移動終端發(fā)送來的用戶信息后先在本地數(shù)據(jù)庫中查找用戶信息中用戶名的記錄����,如果該用戶名已經(jīng)存在則提示該用戶已注冊�;如果用戶名不存在則允許注冊; 1-3.在注冊過程中�����,認(rèn)證服務(wù)器生成 用戶身份證書�����、用戶RSA私鑰����、屬于移動終端C的Diffie-Hellman密鑰對和屬于認(rèn)證服務(wù)器CS的Diffie-Hellman密鑰對���;認(rèn)證服務(wù)器調(diào)用移動終端的DH公鑰和認(rèn)證服務(wù)器的DH私鑰生成認(rèn)證服務(wù)器DES密鑰,移動終端調(diào)用認(rèn)證服務(wù)器的DH公鑰和移動終端的DH私鑰生成移動終端DES密鑰���;認(rèn)證服務(wù)器用用戶設(shè)置的密碼對用戶身份證書和用戶RSA私鑰進(jìn)行加密�����,并將加密后的用戶身份證書����、用戶RSA密鑰�、移動終端的DH密鑰對和認(rèn)證服務(wù)器的DH公鑰一起作為注冊結(jié)果反饋給移動終端; 1-4.用戶身份證書生成具體如下 a.認(rèn)證服務(wù)器用消息摘要算法散列用戶信息得到摘要����; b.認(rèn)證服務(wù)器生成一對屬于該移動終端的RSA密鑰對,用RSA私鑰加密步驟a中得到的摘要��,得到該移動終端的數(shù)字簽名�; c.認(rèn)證服務(wù)器利用本地證書中心CA的RSA私鑰簽發(fā)用戶身份證書,用戶身份證書內(nèi)容包括用戶信息����、數(shù)字簽名����、用戶的RSA公鑰��; 步驟(2).移動終端登錄���,該登錄包括用戶身份證書的本地驗證和移動終端向認(rèn)證服務(wù)器的登錄�; 2-1.用戶身份證書的本地驗證具體如下 d.在移動終端輸入注冊時用戶設(shè)置的密碼���,解密獲得注冊時認(rèn)證服務(wù)器用此密碼加密的用戶身份證書和用戶RSA私鑰���; e.用消息摘要算法散列用戶身份證書中的用戶信息得到摘要一����; f.用用戶RSA私鑰解密用戶身份證書中的數(shù)字簽名得到摘要二; g.比對摘要一和摘要二的內(nèi)容�����,若內(nèi)容一致則用戶身份證書驗證成功�����,否則用戶身份證書驗證失敗���; 2-2.移動終端向認(rèn)證服務(wù)器登錄具體如下 h.移動終端通過無線網(wǎng)關(guān)向認(rèn)證服務(wù)器發(fā)送登錄請求����; i.認(rèn)證服務(wù)器根據(jù)發(fā)送登錄請求的用戶名在本地數(shù)據(jù)庫中查詢對應(yīng)于該用戶名的DES密鑰�����,查找失敗則提示登錄失?���。? j.如果查找DES密鑰成功���,則認(rèn)證服務(wù)器生成當(dāng)前時間戳��,將當(dāng)前時間戳保存在本地��,同時用DES密鑰加密該時間戳�����,并將加密后的時間戳返回給移動終端要求二次登錄驗證�����; k.移動終端收到加密后的時間戳���,用本地生成的DES密鑰解密得到時間戳����,通過無線網(wǎng)關(guān)發(fā)送給認(rèn)證服務(wù)器���; I.認(rèn)證服務(wù)器比對移動終端發(fā)送來的時間戳與保存在本地的時間戳內(nèi)容是否一致�����,若一致則登錄成功�����,否則登錄失敗。
全文摘要
本發(fā)明公開一種面向移動終端的無線安全身份驗證方法?���,F(xiàn)有移動終端計算能力和安全性都較低。本發(fā)明使用了Diffie-Hellman安全密鑰交換算法、數(shù)字證書技術(shù)���、DES對稱加密算法���,并結(jié)合證書本地驗證技術(shù)、二次登錄技術(shù)���、時間戳技術(shù)�����。首先���,移動終端注冊;其次����,進(jìn)行用戶身份證書本地驗證和移動終端向認(rèn)證服務(wù)器登錄,實現(xiàn)移動終端在無線網(wǎng)絡(luò)中向認(rèn)證服務(wù)器注冊與登錄的功能�。本發(fā)明具有安全性強(qiáng)、操作簡單等優(yōu)點���,為移動終端訪問內(nèi)網(wǎng)資源提供了一種新的可靠的方法�����。
文檔編號H04W12/06GK102685749SQ20121017280
公開日2012年9月19日 申請日期2012年5月30日 優(yōu)先權(quán)日2012年5月30日
發(fā)明者吳佳明, 夏瑩杰, 孫才俊, 鄺礫 申請人:杭州師范大學(xué)