CN100566460C - 利用短消息实现的移动实体间的认证与密钥协商方法 - Google Patents

Abstract

利用短消息实现的移动实体间的认证和密钥协商方法属于移动网安全领域，其特征在于，经过可信认证中心TAA认证的移动终端和应用服务器之间，利用包含在互相发往对方的短消息之中的自己身份信息和包含在经TAA公钥加密的哈希链的最后一个值作为双方的通话密钥来进行首次认证和通话，以后在再次进行通信时，只需移动终端中包含的哈希链的长度大于0，便可由应用服务器对发来的短消息中的包含的哈希值再作一次哈希运算，与应用服务器当前保存的哈希值比较来验证移动终端的身份，并将收到的短消息中的哈希值作为双方新的通话密钥告知对方，以作验证自己身份用。本发明具有开销少、用户操作简单、不形成瓶颈、支持用户匿名以及兼顾安全性的优点。

Description

利用短消息实现的移动实体间的认证与密钥协商方法

技术领域

本发明属于移动网络安全领域，具体涉及一种利用短消息实现的，可以用在移动终端与应用服务器间或者移动终端与移动终端间的认证与密钥协商方法。

背景技术

移动网络应用充分利用了网络和移动终端的移动性、便捷性和个人性，克服了传统网络应用在空间距离上的限制，节省了网络应用的时间、经费等成本，促进了经济的全球一体化，给用户、商家提供了更广阔和便捷的交易途径。移动网络应用涉及个人、社会的巨大经济利益，因此安全是移动网络应用发展的关键因素。其中移动网络应用实体间的双向认证以及数据加密是移动网络应用安全的两个重要内容，而数据加密主要涉及密钥协商和更新问题。

移动网络应用主要利用SMS(短消息服务，Short Message Service)、CSD(电路数据交换，Circuit Switched Data)、GPRS(通用分组无线服务，GeneralPacket Radio Service)、3G(第3代移动通信，3rd Generation)等方式承载各种数据，包括与安全相关的数据。但是CSD方式连接速度慢、费用高、不能全覆盖，而且后三种方式并不是所有的移动终端都支持，如果基于它们设计移动网络安全应用，将不利于应用的普及。所有方式中，只有SMS具有所有移动终端都支持、方便、廉价、易操作、全覆盖等优点。

目前已有的基于SMS的安全方案大多采用安全网关。安全网关和用户之间建立对应关系，共享用户密钥，提供认证、加密、完整性检验机制。安全网关和系统服务器间建立安全通道，实现短消息的安全转发。这种方案的主要问题是：1)提供的不是端到端安全，安全网关是安全的连接点；2)方案增加了SMS系统的处理时延；3)安全网关是系统的瓶颈，它的任何性能上或者安全上的问题，都可能影响所有用户和应用；4)其密钥管理、认证协议无法直接为用户和服务器建立信任关系，不适合应用中实体多、安全性要求多样等要求，无法提供消息不可否认性和匿名性。

发明内容

针对背景技术中总结已有技术的各种问题和限制，为解决移动网络中移动终端与应用服务器间或者移动终端与移动终端间的认证与密钥协商问题，提出本方法。

除移动终端和应用服务器外，本发明还需要一个TAA(可信认证中心，Trusted Authentication Authority)。

首先移动实体各自到TAA提出申请服务请求。如果该实体为移动终端，TAA向其颁发认证智能卡(ASC，Authentication Smart Card)，代表移动终端的身份，ASC可以灵活的在拥有读卡插槽的移动终端上使用。如果该实体为应用服务器，TAA向其颁发PKI(公钥基础设施，Public Key Infrastructure)格式的公钥证书。

当实体间首次进行认证和密钥协商时，移动终端生成一串哈希链，然后向应用服务器发送一条短消息，其中包括自己的身份信息，以及用TAA公钥加密的哈希链中的最后一个值。应用服务器将该短消息的内容转发给TAA。TAA对该短消息的内容进行审核，并向应用服务器发送两条消息，一条消息告诉应用服务器该移动终端是否合法，并包括解密之后的哈希链中的最后一个值，另一条消息以短消息的形式由应用服务器转发给移动终端，告诉移动终端该应用服务器是否合法。至此，移动终端和应用服务器通过TAA完成双向认证，而哈希链中的最后一个值就作为双方的通话密钥。

当实体间再次进行认证和密钥协商时，不再需要TAA的参与。移动终端将哈希链中的倒数第二个值发送给应用服务器。应用服务器将该值再做一次哈希运算，并与当前存储的哈希值比较，以此验证移动终端的身份，并将这刚收到的倒数第二个哈希值作为新的通话密钥，然后删除原先存储的哈希值，并存储收到的倒数第二个哈希值。应用服务器用最后一个哈希值加密倒数第二个哈希值发送给移动终端，移动终端据此验证应用服务器的身份，并将最后一个哈希值从哈希链中删除。

本发明与其他认证方法相比具有以下特点：

1.移动终端仅需向应用服务器发送一条短消息就能完成认证过程，通信开销少，用户操作简便。

2.TAA只需参与首次认证和密钥协商过程，不会形成系统瓶颈。

3.哈希链的长度是系统安全参数，根据实际应用对安全性要求的高低，可以随意调整安全参数，在安全性和易用性之间找到最佳平衡点。

4.支持不可否认性服务。

5.支持用户匿名性，防止恶意攻击者通过监听无线消息获得用户的真实身份。

6.提供移动网络应用中的实体间的互认证和会话密钥的协商/更新机制。

本发明亦可用于移动终端与移动终端之间的认证和密钥协商，具有广阔的应用前景。

附图说明

图1总体流程图。

图2移动终端申请服务。

图3应用服务器申请服务。

图4首次认证和密钥协商过程。

图5生成哈希链。

图6再次认证和密钥协商过程。

图7本发明的第一个实施例。

图8本发明的第二个实施例。

具体实施方式

图1表示的是本发明的总体流程图。首先移动终端和应用服务器各自提出申请服务的请求100和200，然后进行首次认证和密钥协商过程300，之后进行再次认证和密钥协商过程400。

图2表示的是认证和密钥协商过程正式开始前，移动终端到TAA申请服务的过程。移动终端110通过网络或者书面的形式向TAA500提出申请服务请求。申请服务请求中至少包括：手机号码、移动终端所有人的姓名、身份证号码和通信地址。

TAA500制作能够代表移动终端身份的认证智能卡(ASC，AuthenticationSmart Card)120，并将其颁发给移动终端。移动终端110将ASC120插入读卡插槽，形成插有ASC的移动终端600。后面移动终端110与ASC120就作为一个整体600出现。其中ASC120中存储了ASC的秘密序列号SN、TAA的标识ID_T、TAA的公钥证书(该证书的格式采用标准的无线PKI(Wireless PKI，WPKI)证书格式)、以及其中r_T是TAA利用硬件随机数发生器产生的一个有效位的随机数(本发明中所有的随机数均是通过硬件或者软件随机数发生器产生的)，ID_U是移动终端的标识，“||”是连接操作，“h”是哈希运算，“”是异或运算。

图3表示的是认证和密钥协商过程正式开始前，应用服务器到TAA申请服务的过程。应用服务器700通过网络或者书面的形式向TAA500提出申请服务请求。申请服务请求中至少包括服务器所属企业的名称、组织机构代码、地址、法人和联系电话。

TAA500为应用服务器生成公私钥对，制作能够代表应用服务器身份的PKI格式的公钥证书210。然后TAA将该公钥证书210、应用服务器的私钥、以及TAA的WPKI格式的公钥证书一同颁发给应用服务器700。

图4表示的是本发明的首次认证和密钥协商过程框图。可以将其分为4步。

步骤1插有ASC的移动终端600经过随后将要介绍的生成哈希链的过程310之后，向应用服务器700发送短消息320：TID_U，r_U，ID_T，E_PT(r_U||ID_S||SN||hⁿ(r_UR))

其中，TID_U是插有ASC的移动终端600的临时标识： ${\mathrm{TID}}_U=h\left(r_T\right|\left|{\mathrm{ID}}_T\right)\⊕{\mathrm{ID}}_U\⊕{\mathrm{ID}}_T,$ 用来告诉TAA是哪个移动终端发起认证和密钥协商过程。移动终端600选取有限位的随机数r_U和r_UR。r_U用作新鲜因子，保证消息不被重放。r_UR用来产生随后将要介绍的哈希链，在此先简单将哈希链表示为h¹(r_UR)，h²(r_UR)，...，h^n-1(r_UR)，hⁿ(r_UR)。

ID_T用来告诉应用服务器将消息转发给哪个TAA。ID_S是应用服务器的标识，用来告诉TAA500，移动终端600要与哪个应用服务器通信。只有移动终端600和TAA500知道秘密序列号SN。E_PT( )表示用TAA500的公钥进行加密运算。步骤2应用服务器700检验数据合法性并记录部分数据之后，向TAA500转发消息330：TID_U，r_U，r_S，ID_T，E_PT(r_U||ID_S||SN||hⁿ(r_UR))

应用服务器700记录TID_U和r_U，检验随机数r_U是否与以前存储的相同，如果不相同则认为是合法的请求消息，否则认为消息被重放了。应用服务器700选取有限位的随机数r_S，并将随机数r_S添加到新构造的消息330中，然后根据ID_T，将构造好的消息330发送到TAA500。

步骤3TAA500经过审核340后，向应用服务器700发送消息350：E_KTU(r_U||ID_T||SU||T_e)和消息360：E_PS(r_S||hⁿ(r_UR)||PU||T_e)，Sit_T(ID_S||hⁿ(r_UR)||PU|T_e)

TAA500记录TID_U，r_U，r_S，根据TID_U计算获得移动终端600的ID_U，然后验证ID_T是否是自己的标识，并解密E_PT(r_U||ID_S||SN|hⁿ(r_UR)。解密后，记录解密获得的内容，根据ID_U检验SN是否正确，并检验ID_S是否合法有效。

如果审核通过，TAA500产生回复应用服务器700的两条消息。(PU，SU)是TAA500为移动终端600产生的短期签名公私钥对，T_e是这对短期签名公私钥对的有效期限。

消息350，即E_KTU(r_U||ID_T||SU|T_e)是使用KTU作为密钥加密的消息，KTU是TAA和移动终端协商的共享会话密钥， $\mathrm{KTU}=h(\mathrm{SN}\⊕h^n\left(r_{\mathrm{UR}}\right)).$

消息360中E_PS(r_S||hⁿ(r_UR)||PU|T_e)是TAA500用应用服务器700的公钥加密的消息。Sig_T(ID_S||hⁿ(r_UR)||PU||T_e)是TAA用自己的私钥对消息的签名。步骤4应用服务器700经过解密和验证操作之后，向移动终端600转发短消息370：E_KTU(r_U||ID_T||SU||T_e)， ${\mathrm{MAC}}_{h^n\left(r_{\mathrm{UR}}\right)}\left(E_{\mathrm{KTU}}\left(r_U\right|\left|{\mathrm{ID}}_T\right|\left|\mathrm{SU}\right|\left|T_e\right)\right)$

应用服务器700解密消息360中的E_PS(r_S||hⁿ(r_UR)||PU|T_e)，验证r_S是否与发送的一致，通过验证则记录hⁿ(r_UR)，PU，T_e。应用服务器700保存TAA500的签名Sig_T(ID_S||hⁿ(r_UR)||PU||T_e)，作为将来发生争议时的证据。

应用服务器将TAA要求它转发的消息350转发给移动终端，并附上消息的消息认证码(MAC，Message Authentication Code)得到： ${\mathrm{MAC}}_{h^n\left(r_{\mathrm{UR}}\right)}\left(E_{\mathrm{KTU}}\left(r_U\right|\left|{\mathrm{ID}}_T\right|\left|\mathrm{SU}\right|\left|T_e\right)\right).$

移动终端验证消息认证码，通过后解密E_KTU(r_U||ID_T||SU||T_e)，获得SU和T_e。SU用于签名，支持应用的不可否认服务。

图5表示的是哈希链的生成过程。插有ASC的移动终端600生成有限位的随机数r_UR311，对r_UR311进行哈希运算312，得到h¹(r_UR)313；然后对h¹(r_UR)313再进行哈希运算312，得到h²(r_UR)314；重复该过程，经过不断的哈希运算312，得到h^n-1(r_UR)315、hⁿ(r_UR)316。最终生成的哈希链表示为h¹(r_UR)，h²(r_UR)，...，h^n-1(r_UR)，hⁿ(r_UR)。

其中，哈希链的长度n是一个正整数，它的取值范围为[1，+∞)。n是系统安全参数，n值大小的选择，可以根据不同应用的要求确定。当应用要求较高的安全性时，n可以取得小一些，例如当n＝1时，移动终端与应用服务器之间的每次认证和密钥协商过程都需要TAA的审核，增强了系统的安全性；当应用要求较高的效率时，n可以取得大一些，仅经过随后将要介绍的再次认证和密钥协商过程即可，不再需要TAA的审核。

图6表示的是再次认证和密钥协商过程。插有ASC的移动终端600将哈希链中的倒数第二个值h^n-1(r_UR)315发送给应用服务器700。应用服务器700将h^n-1(r_UR)315再哈希一次，并与先前已经得到的哈希链中最后一个值hⁿ(r_UR)316比较410，以此验证移动终端的身份，并将这刚收到的倒数第二个哈希值h^n-1(r_UR)315作为新的通话密钥，然后应用服务器700将hⁿ(r_UR)316删除并将h^n-1(r_UR)315存储420。

应用服务器700用最后一个哈希值hⁿ(r_UR)316作为加密密钥，使用分组加密算法加密倒数第二个哈希值h^n-1(r_UR)315发送给移动终端430，移动终端据此验证应用服务器700的身份，并将最后一个哈希值hⁿ(r_UR)316从哈希链中删除440。

在图7所示的实施例中，张三使用手机与网络银行服务器进行相互认证和会话密钥的协商。

在与网络银行服务器进行认证和会话密钥协商前，张三向TAA提交个人的身份信息，TAA审查并确认张三提交个人的身份信息真实后，将张三与一张ASC建立一一对应关系，将与张三对应的秘密信息和TAA自己的WPKI格式的公钥证书和标识写入ASC中，并将该ASC颁发给张三。张三将ASC插入手机中。

网络银行服务器在接收用户的手机的访问服务前，也向TAA提交银行信息，TAA审查并确认银行提交的信息真实后，将网络银行服务器与一个公钥建立一一对应关系，为网络银行服务器颁发PKI格式的公钥证书，同时将对应公钥的私钥通过安全方式分发给网络银行服务器。

张三在银行中开设有一个账户，张三首次使用手机通过网络银行服务器查询个人账户的信息。为了防止假冒的网络银行服务器的欺骗和网络中传输信息被窃取，张三通过个人的拥有ASC的手机，向网络银行服务器发送一条短消息。该短消息中包含了张三的ASC的秘密信息和要访问的网络银行服务器的标识，并使用TAA的公钥对秘密信息进行了加密。网络银行服务器收到张三的短消息后，将消息内容通过专线网络转发给TAA。TAA通过对收到消息的分析，检查消息的真实性，并检索ASC和网络银行服务器是否真实有效。如果上面的检查有不通过的，TAA拒绝认证请求，否则TAA分别用网络银行服务器和ASC的密钥加密认证成功消息，并都发送给网络银行服务器。网络银行服务器在检查TAA的回复消息后，完成对ASC的认证，然后将TAA给ASC的加密回复消息通过一条短消息发送给张三的手机。张三手机中的ASC检查收到的认证回复消息，检查通过后，完成对网络银行服务器的认证，并且确认与网络银行服务器协商的加密会话密钥已经被网络银行服务器获得。此时，张三使用此加密会话密钥加密发向网络银行服务器的账户查询等请求，网络银行服务器使用此密钥加密张三的账户查询结果等回复消息，确保了消息的安全性。

当张三在首次与网络银行服务器认证后，第二天张三又一次使用手机访问网络银行服务器时，手机需要再次和网络银行服务器进行互相认证并更新相互间的加密会话密钥。此时，再次手机和网络银行服务器的认证无须TAA的参与，而是利用前面首次相互认证时，建立的仅在手机和网络银行服务器间拥有的秘密信息。再次认证时，手机向网络银行服务器发送一条短消息，其中包含了认证使用的密钥信息。网络银行服务器收到短消息后，检查消息内容，如果确认手机拥有对应的秘密信息，则向手机发送一条回复认证的短消息。手机收到回复短消息，并对短消息内容检验通过后，手机确认认证成功。手机使用双方在再认证中协商的新加密会话密钥加密各种帐户查询请求发送给网络银行服务器，网络银行服务期也使用新加密会话密钥加密账户查询回复发送给手机。

在图8所示的实施例中，张三和李四分别使用手机与网络银行服务器进行相互认证和密钥协商。

张三、李四、以及网络银行服务器在开始认证和密钥协商过程前，分别到TAA提出申请服务请求，获得各自的身份标识(ASC或者身份证书)。之后，张三与网络银行服务器之间、李四与网络银行服务器之间各自进行认证和密钥协商过程，相互之间不产生干扰。

Claims (1)

1.利用短消息实现的移动实体间的认证与密钥协商方法，其特征在于，该方法依次含有以下步骤：

步骤(1)指定一个应用服务器作为可信认证中心TAA；

步骤(2)移动终端向所述可信认证中心TAA提出申请服务请求，该申请认证服务请求中至少包含：手机号码、移动终端所有人的姓名、身份证号码和通信地址；该可信认证中心TAA在收到所述申请服务的请求后，制作能够代表该移动终端身份的认证智能卡ASC，所述认证智能卡ASC中存储着：该认证智能卡ASC的秘密序列号SN、该可信认证中心TAA的标识ID_T、按无线公钥基础设施WPKI标准建立的可信认证中心TAA的公钥证书，以及

r_T是可信认证中心TAA利用硬件随机数发生器产生的一个有限位的随机数，ID_U是该移动终端的标识，“||”是连接用的操作符号，“h”是哈希运算，

是异或运算；该移动终端把该认证智能卡ASC插入读卡插槽，形成插有该认证智能卡ASC的移动终端；

步骤(3)应用服务器向可信认证中心TAA提出申请服务请求，该申请服务请求中至少包含有：该应用服务器所属企业的名称、组织机构代码、地址、法人和联系电话，该可信认证中心TAA为该应用服务器生成公私钥对、制作能够代表应用服务器的PKI格式的公钥证书，然后再把按WPKI格式的可信认证中心TAA的公钥证书、应用服务器的私钥以及所述公钥证书一起颁发给应用服务器；

步骤(4)在移动终端、所述应用服务器和可信认证中心之间进行首次认证和密钥协商，其步骤依次如下：

步骤(4.1)移动终端向该应用服务器发送包含如下内容的短消息：TID_U，r_U，ID_T，EP_T(r_U||ID_S||SN|hⁿ(r_UR)，其中，TID_U是插有所述认证智能卡ASC的该移动终端的临时标识： ${\mathrm{TID}}_U=h\left(r_T\right|\left|{\mathrm{ID}}_T\right)\⊕{\mathrm{ID}}_U\⊕{\mathrm{ID}}_T,$ r_U、r_UR是移动终端选取的有限位的随机数，r_U用于表示该短消息的特征，r_UR用来产生哈希链h¹(r_UR)，h²(r_UR)，…，h^n-1(r_UR)，hⁿ(r_UR)，n是哈希链的长度，取值范围为[1，+∞)，ID_S是应用服务器的标识，E_PT()表示用可信认证中心TAA的公钥进行加密运算；

步骤(4.2)该应用服务器记录TID_U和r_U，检验随机数r_U是否与以前存储的相同，如果相异，认为该短消息合法，否则，认为短消息属于重放的段消息；若该短消息合法，则应用服务器选取有限位的随机数r_S，并将随机数r_S添加到该应用服务器将要向可信认证中心TAA转发的新构造的消息中；

步骤(4.3)可信认证中心TAA对所收到的步骤(4.2)中所述的新构造的消息后，向应用服务器发送包含以下内容的消息：E_KTU(r_U||ID_T||SU||T_e)、E_PS(r_S||hⁿ(r_UR)||PU||T_e)和Sig_T(ID_S||hⁿ(r_UR)||PU||T_e)，其步骤如下：

步骤(4.3.1)可信认证中心TAA审核从应用服务器发来的如步骤(4.2)所述的新构造的消息：记录TID_U，r_U，r_S，从TID_U计算获得移动终端的标识ID_U，再验证ID_T是否是自己的标识，并解密E_PT(r_U||ID_S||SN||hⁿ(r_UR)，根据ID_U检验解密后得到的SN是否正确，并检验应用服务器的标识ID_S是否合法有效；

步骤(4.3.2)若经可信认证中心TAA审核通过，可信认证中心TAA产生步骤(4.3)所述的三条消息，其中，PU和SU是该可信认证中心TAA为移动终端产生的短期签名公私钥对，T_e是该短期签名公私钥对的有效期限；

其中，E_KTU(r_U||ID_T||SU||T_e)是使用KTU作为密钥加密的消息，该KTU是可信认证中心TAA和移动终端协商的共享会话密钥， $\mathrm{KTU}=h(\mathrm{SN}\⊕h^n\left(r_{\mathrm{UR}}\right));$

E_PS(r_S||hⁿ(r_UR)||PU||T_e)是可信认证中心TAA用应用服务器的公钥加密的消息；

Sig_T(ID_S||hⁿ(r_UR)||PU||T_e)是可信认证中心TAA用自己的私钥对消息的签名；

步骤(4.4)应用服务器收到步骤(4.3)所述的三条消息后，解密E_PS(r_S||hⁿ(r_UR)||PU||T_e)，验证r_S是否与发送的一致，通过验证后，记录hⁿ(r_UR)，PU，T_e，同时保存Sig_T(ID_S||hⁿ(r_UR)||PU||T_e)，然后，再把E_KTU(r_U||ID_T||SU||T_e)和它的消息认证码 ${\mathrm{MAC}}_{h^n\left(r_{\mathrm{UR}}\right)}\left(E_{\mathrm{KTU}}\left(r_U\right|\left|{\mathrm{ID}}_T\right|\left|\mathrm{SU}\right|\left|T_e\right)\right)$ 一同转发给移动终端；

步骤(4.5)移动终端验证收到应用服务器发出的步骤(4.4)中所述的消息认证码，通过验证后，再解密E_KTU(r_U||ID_T||SU||T_e)，得到私钥SU和有效期T_e；

步骤(5)对步骤(4.1)所述的移动终端选取的有限位的随机数r_UR，并进行步骤(4.1)所述哈希运算，若当初设定n＝1时，移动终端与应用服务器之间的每次认证和密钥协商过程都需要可信认证中心TAA的审核；

步骤(6)对步骤(4.1)所述的移动终端选取的有限位的随机数r_UR，并进行步骤(4.1)所述哈希运算，若当初设定n＞1时，则直接进行以下所述的再认证和密钥协商过程；

步骤(6.1)移动终端把哈希链中的倒数第二个值h^n-1(r_UR)发送给应用服务器；

步骤(6.2)应用服务器把收到的h^n-1(r_UR)再作一次哈希运算，并与先前已经得到的哈希链中最后一个值hⁿ(r_UR)比较，以此验证该移动终端的身份，若相同，则身份正确，并把这刚收到的h^n-1(r_UR)作为新的通话密钥，同时，应用服务器删除hⁿ(r_UR)，并将h^n-1(r_UR)存储起来；

步骤(6.3)应用服务器用hⁿ(r_UR)作为通话密钥，使用分组密码算法加密h^n-1(r_UR)，再发送给该移动终端，该移动终端用hⁿ(r_UR)解密后得h^n-1(r_UR)，据此验证应用服务器的身份，并删除hⁿ(r_UR)。

Images