CN101969446A

CN101969446A - 一种移动商务身份认证方法

Info

Publication number: CN101969446A
Application number: CN2010105342632A
Authority: CN
Inventors: 华蕊; 张润彤; 尚小溥; 李丹丹; 谷秀君; 杨泽东; 朱晓敏
Original assignee: Beijing Jiaotong University
Current assignee: Beijing Jiaotong University
Priority date: 2010-11-02
Filing date: 2010-11-02
Publication date: 2011-02-09
Anticipated expiration: 2030-11-02
Also published as: CN101969446B

Abstract

本发明提出了一种移动商务身份认证方法，该方法选择公钥密码体制中最高效的基于椭圆曲线的公钥密码体制来实现密钥协商。结合椭圆曲线算法的计算量小、安全性高的特点，将其用于产生公钥和私钥，实现不需第三方的公钥密码体制，并将其应用到客户端和服务器端的双向认证服务中。

Description

一种移动商务身份认证方法

技术领域

本发明属于移动商务信息安全技术领域，尤其涉及一种移动商务身份认证方法及系统。

背景技术

依据传统电子商务考虑的安全问题及移动商务自身的特点，移动商务在安全性上需要达到移动终端本身的安全性、无线通信网络的安全性、移动商务中交易双方的身份认证和不可否认性四个方面的要求，这四点安全性要求无一不以身份认证问题为实现安全性要求的基础。由此可见，身份认证系统在安全系统中的地位极其重要，是最基本的安全服务，其它的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设。黑客攻击的目标往往也就是身份认证系统。而作为安全系统中的第一道关卡，身份认证机制在安全性要求比较高的移动商务系统中尤为显得重要。然而移动商务活动极大程度地依赖于无线网络和移动终端。基于无线网络的开放性特征，移动平台的安全性成为了移动商务的关键问题，移动终端存储量小、运算能力低和电池供应有限等特点增加了实现移动平台安全性的难度。受限于无线网络和移动终端的特性，传统商务中发展较为成熟的安全体制，无法直接应用于移动商务，给移动商务带来了极大的隐患。

现有移动商务身份认证方案存在的主要问题包括：

(1)离线字典攻击。如果一次性口令以明文的方式在网络上传输，则攻击者能截获它们，若动态口令之间的关系是一个已知的Hash函数，那攻击者就可以用这个函数来猜测口令，若猜测结果与当前登录的口令相匹配，则用户剩下的登录口令自然也已经暴露。

(2)公钥密码体制应用于移动商务环境下的局限性。现有身份认证系统大都使用公钥密码体制，而公钥密码体制大都建立在大数运算的基础上，导致整个认证系统的运算负载巨大，这是传统认证协议无法直接应用于移动商务环境的主要原因。

(3)有限长的口令序列或哈希链需要重复注册。如果认证双方每次通过计算一定长度N的口令序列或者哈希链值，在达到一定次数后，散列次数或序列次数已经用完，需要重置。而且如果在移动终端一次性计算固定长度的哈希链值，由于该长度N通常是一个较大的整数，多次散列将会影响移动终端的认证效率。

(4)口令序列方式容易遭受小数攻击。S/KEY OTP系统只能支持服务器对用户的单方面鉴别，无法防范假冒的服务器欺骗合法用户。当用户向服务器请求认证时，攻击者首先截获服务器传来的随机数(即种子值和散列次数值)，再修改散列次数值为一个较小的值，然后攻击者把伪造的随机数发给用户。用户用伪造的随机数计算登录口令，攻击者再次截获用户传来的口令，解析出用户的通行密语，并根据真实的随机数，利用已知的单向函数依次计算一次性口令，就可获知该用户后继的一系列口令，进而在一段时间内冒充合法用户而不被察觉。

(5)挑战/应答方式的运算负载可能不符合移动终端的运算能力。挑战/应答方式多数应用于固定网络的PC计算，过于复杂的应答算法不适应于移动终端。

(6)时间同步方案不易在移动网络实现。如果要采用时间戳方案，移动终端的运算效率和可信的时间服务器是最大的问题。由于移动商务的可信第三方认证机构的建设和发展仍然不如固定网络，所以在移动网络中利用时间戳实现同步需要花费的代价是巨大的。

(7)多数OTP方式没有支持双向认证。如果有攻击者截获服务器的认证信息，可以利用窃取数据库、口令重放等手段冒充服务器来欺骗客户端。

发明内容

本发明的目的在于针对上述现有方案存在的问题，提供一种适用于移动商务环境的身份认证方案，使得其能够快速、便捷、有效的保证移动商务的通信安全性。

本发明的目的是通过如下技术方案实现的：

构建身份认证模型，该模型基本假设：

a)参与协议的主体包含诚实的合法用户和攻击者；

b)密码系统是完善的，即只有掌握密钥的主体才能理解密文消息；

c)无加密项冲突，即若有{M₁}_K＝(M₂}_K，则一定有M₁＝M₂；或者若

则一定有K₁＝K₂；

d)密文块不能被篡改，也不能用几个小密文块组成一个新的大密文块；

e)一条消息中的两个密文块被视为分两次分别到达。

模型符号说明：

C：参与认证的用户端。

S：表示用来认证的服务器端。

UID：用户注册提供的用户身份标识。

UPW：用户提供的口令，在注册时第一次提供，存储在客户端。以后每次认证，用户都需提供正确的用户密码。

IMEI：移动设备唯一标识(International Mobile Equipment Identity)，也称为手机串号，IMEI作为客户端与服务器的认证口令因子而存在。

Hash()：哈希函数，为了叙述简便，以下使用H()代替。

||：运算符表示两端的信息或文字进行连接。

ECC：服务器端生成的安全椭圆曲线密码系统的参数集。

KUR：用户公钥。

KUS：用户私钥。

KSR：服务器公钥。

KSS：服务器私钥。

E()：加密过程。

D()：解密过程。

i：表示客户端第i次登录。

CP_i：客户端的第i次认证口令。

SP_i：服务器端的第i次认证口令。

Counter：客户接受服务的次数。

OTPC_i：用于验证客户端身份的一次性因素。

OTPS_i：用于验证服务器端身份的一次性因素。

本发明所提供方案将认证分成两级，一是移动设备对用户身份的认证，二是移动设备与服务器的双向身份认证。第一级验证使用该移动设备的用户为合法用户，第二级验证移动设备和服务器的合法性，即不是仿冒的终端。若第一级验证没有通过，那么移动设备与服务器间不会进行通信。若第一级验证通过，移动设备自动与服务器间通信，用户对过程不可见，仅能知晓是否验证通过。

注册阶段完成用户的口令和密码选择、客户端和服务器端的公钥密钥产生。由于本模型采用的是二级验证的办法，实现手机丢失情况下，拾获者仍无法假冒进行交易，同时利用公钥加密体制进行第一次密钥分配和敏感信息传输加密。初始阶段，用户在手机中注册一个简单易记的注册用户名，并输入口令，作用为实现第一级验证。此用户名和口令始终保存在手机内存卡中。

注册阶段流程如下：

S1-1：服务器端S初始化生成安全椭圆曲线，选取自己的公钥KSR和私钥KSS；

S1-2：客户端C向服务器端S发起注册请求；

S1-3：服务器端S将椭圆曲线系统参数集ECC连同服务器公钥KSR发送给客户端C；

S1-4：客户端C存储KSR，并根据安全椭圆曲线系统选取自己的密钥对KUR和KUS；

S1-5：用户输入注册用户名UID、口令UPW，客户端C存储UID和H(UPW)，并向服务器端S发送利用服务器公钥加密的注册用户名、经过散列的用户口令H(UPW)、移动设备标识IMEI、用户公钥KUR以及生成随机数Ra，即EKSR(UID，H(UPEW)，IMEI，KUR，Ra)；

S1-6：服务器端S接收到EKSR(UID，H(UPW)，IMEI，KUR，Ra)，利用服务器私钥做DKSS(EKSR(UID，H(UPW)，IMEI，KUR，Ra)运算，得到UID、H(UPW)、IMEI和KUR。服务器验证UID是否已经存在服务器的用户数据库中，如果存在，则向客户端C发送用户名重复的注册失败信息；

S1-7：如果UID验证成功，则服务器将UID与H(UPW)、H(IMEI)绑定，将服务计数Counter初始化为0，将Counter与UID、H(IMEI)绑定；生成随机数Rb，计算H(Ra，Rb)，生成一次性因素OTP₀＝H(IMEI)并向客户端发送注册成功信息m以及利用用户公钥KUR加密的Rb和OTP₀，即(m，E_KUR(Rb，OTP₀)，OTP₀将作为认证阶段的随机因子而被服务器存储。

S1-8：客户端C接收(m，E_KUR(Rb，OTP₀))，并利用用户私钥KUS解出Rb，OTP₀，计算H(Ra，Rb)，存储在客户端C，将服务计数Counter也初始化为0，注册阶段完成；

登录阶段流程如下：

S2-1：用户输入用户名UID、口令UPW，移动设备计算H(UPW)，比较此计算值是否与移动设备中存储的H(UPW)相同，若相同，继续；否则提示用户，口令错误；

S2-2：移动设备向服务器端S发起登录请求，使用K_i＝Hⁱ(Ra，Rb)(i＝Counter+1)作为密钥，发送用K加密后的用户名UID、认证一次性口令OTPC_i，口令散列值H(UPW)，即CP_i＝E_K(UID，OTPC_i，H(UPW))，其中认证一次性口令OTPC_i的计算如下：

OTPC_i＝H(OTPS_i-1||Counter)

对于第一次登录的用户，OTPC₀＝OTPS₀＝H(IMEI)；

S2-3：服务器接收CP_i，利用K做解密，即执行D_K(CP_i)，得到注册用户名UID、OTPC_i、H(UPW)，服务器比较UID、H(UPW)，若与数据库中存储的相同，则计算OTPC‘_i，否则提示用户该用户无法享受此服务，OTPC_i的计算如下：

OTPC_i＝H(OTPS_i-1||Counter)

S2-4：若服务器计算出的OTPC‘_i与OTPC_i相同，则说明客户端合法；若计算结果不正确，则终止会话，认证结束；

S2-5：服务器端S验证客户端成功后，计算Hⁱ⁺¹(Ra，Rb)作为下一次登陆的密钥，发送用K加密的服务器端验证一次性口令OTPS_i和成功信息，即SP_i＝E_K(成功信息，OTPS_i)，其中认证一次性口令OTPS_i的计算如下：

OTPS_i＝H(Counter||OTPC_i-1)

对于第一次验证，OTPC₀＝OTPS₀＝H(IMEI)；

S2-6：客户端C接收到服务器的信息后利用K解密，计算OTPS’i，与解密得到的OTPSi比较，若相同，则说明服务器合法，否则终止会话，认证结束；

S2-7：客户端C计算Hⁱ⁺¹(Ra，Rb)作为下一次登陆的密钥，并和服务器端S的Counter分别增加1；

同步情况为用户手机未丢失的情况。当一次性口令认证不成功时，服务器要求移动终端与服务器进行同步，通过IMEI码的比对验证用户合法性。同步阶段流程如下：

S3-1：用户输入用户名UID、口令UPW，移动设备计算H(UPW)，比较此计算值是否与移动设备中存储的H(UPW)相同，若相同，继续；否则提示用户，口令错误；

S3-2：移动设备向服务器端S发起登录请求，发送用服务器公钥加密后的用户名UID、认证一次性口令OTPC_i，口令散列值H(UPW)，即CP_i＝E_KSR(UID，OTPC_i，H(UPW))；

S3-3：服务器接收CP_i，利用KSS做解密，即执行D_KSS(CP_i)，得到注册用户名UID、OTPC_i、H(UPW)，服务器比较UID、H(UPW)，若与数据库中存储的相同，则计算OTPC‘_i，发现不相同，向客户端发送同步请求；

S3-4：客户端C将移动设备标识IMEI加密后传送给服务器端，即E_KSR(IMEI)；

S3-5：服务器端S接收到E_KSR(IMEI)，利用服务器私钥做D_KSS(IMEI)运算，得到IMEI；服务器端验证IMEI与本地储存的IMEI是否相同，若相同，则发送E_KUR(OTPC_i-1，OTPS_i-1，Counter)给客户端进行同步；

S3-6：客户端C接收E_KUR(OTPC_i-1，OTPS_i-1，Counter)，并利用用户私钥KUS解出OTPC_i-1，OTPS_i-1，Counter，存储在客户端C，同步阶段完成。本发明的有益效果包括：

(1)消除用户重复注册以满足系统对用户名唯一性的要求所给用户带来的不便；

(2)使用高效的公钥加密算法进行重要信息的传说或密钥协商；

(3)实现双向认证，防抵赖，防攻击；

(4)密钥管理简化，减轻客户端和服务器端的工作压力；

(5)与移动电子商务的背景相协调，认证过程消除随机散列值和时间因素带来的同步问题，使认证过程简化。

附图说明

下面结合附图对本发明作详细说明：

图1为身份认证模型架构图；

图2为注册阶段流程图；

图3为登录阶段流程图；

图4为同步阶段流程图。

附图标记：

1-用户、2-移动设备、3-认证服务器

具体实施方式

认证模型架构如图1所示，模型将认证分成两级，第一级是移动设备2对用户1身份的认证，第二级是移动设备2与认证服务器3的双向身份认证。第一级验证使用该移动设备2的用户1为合法用户，第二级验证移动设备2和认证服务器3的合法性，即不是仿冒的终端。若第一级验证没有通过，那么移动设备2与认证服务器间3不会进行通信。若第一级验证通过，移动设备2自动与认证服务器3间通信，用户1对过程不可见，仅能知晓是否验证通过。

如图2至4分别为注册阶段、登录阶段及同步阶段的流程图。

BAN逻辑是安全协议分析的一个里程碑，使用逻辑手段分析安全协议取得的进展大都以它为基础。BAN逻辑是一种关于主体信仰以及用于从已有信仰推知新的信仰的逻辑。这种逻辑通过对认证协议的运行进行形式化分析，来研究认证双方通过相互发送和接收消息，能否从最初的信仰逐渐发展到协议运行最终要达到的信仰。其目的是在一个抽象层次上分析分布式网络系统中认证协议的安全问题，如果在协议执行结束时，未能建立起关于诸如共享会话密钥、对方身份等信任时，则表明这一协议有安全缺陷。BAN逻辑的推理规则十分简洁和直观，易于使用，因此得到广泛的认可，并成为逻辑形式化分析系统的标准。因此，在此通过BAN逻辑方法对以上模型进行分析验证。

注册阶段协议描述如下：

(1)C→S：注册请求

(2)S→C：ECC，KSR

(3)C→S：{UID，H(UPW)，IMEI，KUR}KSR

(4)S→C：m，{H(IMEI)}KUR

协议理想化：

消息3：

消息4：S→C：m，{IMEI}KUR

第一、二条消息省略，因为它对分析协议的逻辑属性没有作用。为简化，将UID，H(UPW)合成一个随机数T看待。

初始化假设：

(1)S|≡KSR

(2)C|≡KUR

(3)C|≡IMEI

(4)S|≡#(IMEI)

(5)C|≡#(IMEI)

(6)

S | &equiv; C | &DoubleRightArrow; IMEI

逻辑推理(以下所应用规则皆出自BAN逻辑的推理规则)：

由消息3可得：

由公式(1-1)和假设(1)，应用对于共享密钥的消息含义规则得：

S|≡C|～{T，IMEI，KUR} (1-2)

由公式(1-2)，应用发送规则可得：

S|≡C|～IMEI (1-3)

由公式(1-3)和假设(4)，应用临时值验证规则可得：

S|≡C|≡IMEI (1-4)

由公式(1-4)和假设(6)，应用仲裁规则可得：

S|≡IMEI (1-5)

由消息4可得：

由公式(1-6)和假设(5)，应用临时值验证规则可得：

C|≡S|≡IMEI (1-7)

由以上分析可知该协议符合最终目标，达到了认证目的，即一级信仰：假设(3)和公式(1-5)，二级信仰：公式(1-4)和公式(1-7)。

登录阶段协议描述如下：

(1)C→S：CPi＝{UID，OTPCi，H(UPW)}KSR

(2)S→C：SPi＝{成功信息m，OTPSi}KSR

(3)C→S：成功信息m

协议理想化：

消息1：C→S：{T，IMEI}KSR

消息2：S→C：{m，IMEI}KUR

第三条消息省略，因为它对分析协议的逻辑属性没有作用。为简化，将UID，H(UPW)合成一个随机数T看待。

初始化假设：

(1)S|≡KSR

(2)C|≡KUR

(3)S|≡#(IMEI)

(4)C|≡#(IMEI)

(5)C|≡IMEI

(6)

S | &equiv; C | &DoubleRightArrow; IMEI

逻辑推理：

由消息1可得：

由公式(2-1)和假设(1)，应用对于共享密钥的消息含义规则可得：

S|≡C|～{T，IMEI} (2-2)

由假设(3)，应用新鲜性规则可得：

S|≡#(T，IMEI) (2-3)

由公式(2-2)和公式(2-3)，应用临时值验证规则可得：

S|≡C|≡{T，IMEI} (2-4)

由公式(2-4)，应用信仰规则可得：

S|≡C|≡IMEI (2-5)

由公式(2-5)和假设(6)，应用仲裁规则可得：

S|≡IMEI (2-6)

由消息2可得：

由公式(2-7)和假设(2)，应用消息含义规则可得：

C|≡S|～{m，IMEI} (2-8)

由假设(4)，应用新鲜性规则可得：

C|≡#(m，IMEI) (2-9)

由公式(2-8)和公式(2-9)，应用临时值验证规则可得：

C|≡S|≡{T，IMEI} (2-10)

由公式(2-10)，应用信仰规则可得：

C|≡S|≡IMEI (2-11)

由以上分析可知该协议符合最终目标，达到了认证目的，即一级信仰：假设(5)和公式(2-6)，二级信仰：公式(2-5)和公式(2-11)。

同步协议描述如下：

(1)C→S：CPi＝{UID，OTPCi，H(UPW)}KSR

(2)S→C：SPYZ＝{同步验证信息}KUR

(3)C→S：CPYZ＝{IMEI}KSR

(4)S→C：SPTB＝{OTPSi-1，Counter}KUR

协议理想化：

消息3：C→S：{IMEI}KSR

消息4：S→C：{IMEI，m}KUR

第一、二条消息省略，因为它对分析协议的逻辑属性没有作用。为简化，将Counter用一个随机数m代替。

初始化假设：

(1)S|≡KSR

(2)C|≡KUR

(3)S|≡#(IMEI)

(4)C|≡#(IMEI)

(5)C|≡IMEI

(6)

S | &equiv; C | &DoubleRightArrow; IMEI

逻辑推理：

由消息3可得：

由公式(3-1)和假设(1)，应用对于共享密钥的消息含义规则可得：

S|≡C|～IMEI (3-2)

由公式(3-2)和假设(3)，应用临时值验证规则可得：

S|≡C|≡IMEI (3-3)

由公式(3-3)和假设(6)，应用仲裁规则可得：

S|≡IMEI (3-4)

由消息4可得：

由公式(3-5)和假设(2)，应用消息含义规则可得：

C|≡S|～{m，IMEI} (3-6)

由假设(4)，应用新鲜性规则可得：

C|≡#(m，IMEI} (3-7)

由公式(3-6)和公式(3-7)，应用临时值验证规则可得：

C|≡S|≡{m，IMEI} (3-8)

由公式(3-8)，应用信仰规则可得：

C|≡S|≡IMEI (3-9)

由以上分析可知该协议符合最终目标，达到了认证目的，即一级信仰：假设(5)和公式(3-4)，二级信仰：公式(3-3)和公式(3-9)。

Claims

1.一种移动商务身份认证方法，其特征在于，该方法选择基于椭圆曲线的公钥密码体制来实现密钥协商，将认证分成两级，第一级是移动设备对用户身份的认证，第二级是移动设备与服务器的双向身份认证；

注册阶段完成用户的口令和密码选择、客户端和服务器端的公钥密钥产生；注册阶段流程为：

S1-2：客户端C向服务器端S发起注册请求；

S1-5：用户输入注册用户名UID、口令UPW，客户端C存储UID和H(UPW)，并向服务器端S发送利用服务器公钥加密的注册用户名、经过散列的用户口令H(UPW)、移动设备标识IMEI、用户公钥KUR以及生成随机数Ra，即E_KSR(UID，H(UPW)，IMEI，KUR，Ra)；

S1-6：服务器端S接收到EKSR(UID，H(UPW)，IMEI，KUR，Ra)，利用服务器私钥做DKSS(EKSR(UID，H(UPW)，IMEI，KUR，Ra))运算，得到UID、H(UPW)、IMEI和KUR。服务器验证UID是否已经存在服务器的用户数据库中，如果存在，则向客户端C发送用户名重复的注册失败信息；

登录阶段流程如下：

OTPC_i＝H(OTPS_i-1||Counter)

对于第一次登录的用户，OTPC₀＝OTPS₀＝H(IMEI)；

OTPC_i＝H(OTPS_i-1||Counter)

S2-5：服务器端S验证客户端成功后，计算Hⁱ⁺¹(Ra，Rb)作为下一次登陆的密钥，发送用K加密的服务器端验证一次性口令OTPS_i和成功信息，即SP_i＝EK(成功信息，OTPS_i)，其中认证一次性口令OTPS_i的计算如下：

OTPS_i＝H(Counter||OTPC_i-1)

对于第一次验证，OTPC₀＝OTPS₀＝H(IMEI)；

当一次性口令认证不成功时，服务器要求移动终端与服务器进行同步，通过IMEI码的比对验证用户合法性，同步阶段流程如下：

S3-6：客户端C接收E_KUR(OTPC_i-1，OTPS_i-1，Counter)，并利用用户私钥KUS解出OTPC_i-1，OTPS_i-1，Counter，存储在客户端C，同步阶段完成。