CN102239714A

CN102239714A - 基于应用层的移动金融业务的安全通信方法及其装置

Info

Publication number: CN102239714A
Application number: CN2009801366296A
Authority: CN
Inventors: 李大科; 赵金吉; 林欣; 皇海辉
Original assignee: Yuanyuan Assets Group Co ltd
Current assignee: Yuanyuan Assets Group Co ltd; Alcatel Lucent SAS
Priority date: 2008-12-12
Filing date: 2009-06-22
Publication date: 2011-11-09
Anticipated expiration: 2029-06-22
Also published as: CN102239714B; WO2010066127A1; US20110320359A1

Abstract

一种基于应用层的移动金融业务的安全通信方法及其装置。根据本发明，移动金融交易的交互消息个数少，对移动终端的处理性能要求低。本发明使用基于非对称密钥的消息摘要数字签名技术，保证了交易消息的完整性，又满足可追究性的要求；并且，本发明还使用基于非对称密钥的数字信封技术，保证了交易信息的秘密性。串空间理论证明，本发明的优选实施例的安全性质可以得到保证。

Description

基于应用层的移动金融业务的

安全通信方法及其装置技术领域

本发明涉及安全通信，尤其涉及移动通信中的基于应用层的安全通信方法与装置。背景技术

自传输层安全 ( Transport Layer Security, 简称 TLS )协议 1.0版以来，手机银行等移动金融业务的安全性主要依赖于处于传输层中的安全协议，如无线传输层安全（ Wireless Transport Layer Security,简称 WTLS ) 协议。由于类似的原因，目前还存在另一种称为安全电子交易（Secure Electronic Transaction, 简称 SET )的协议。但由于其复杂性和不完备性，该协议难以在手机应用中实现，所以该协议没有得到广泛使用。这几种手机银行安全协议都有如下的缺点：

- 协议过于复杂，例如 SET中双方有过多的来回消息，对于双方设备的处理性能有较高的要求，使得该协议难以在机能较弱的移动手机或其他移动终端中实现；

- 缺乏灵活性，例如为了满足手机银行业务需要将整个传输层安全通信协议栈完全实现于移动终端中。

根据最近的调查，现有的应用层（ Application Layer )协议中还没有用于实现安全的移动金融业务的。同样，申请人发现，目前需要在应用层中设置一定的安全通信机制，以与协议栈中的低层安全通信机制相配合，更好地实现安全通信的目的。该应用层安全协议应具有如下一些特点：

- 能够保证在移动金融业务中所有交易的安全，即保证交易通信的秘密性、认证性、完整性和可追究性。例如，该安全协议应具有抵抗恶意攻击的能力。

- 双方交互的消息个数应尽可能地少，例如使用一条请求消息以及一条应答消息完成一个交易。发明内容

可见，对于移动金融业务，目前需要一种应用层中的轻量级的安全通信方法，该方法需要保证交易通信的安全，并且使用尽可能少的消息就能够完成交易的请求以及应答通信。

就以上技术需求，根据本发明一个方面的实施例，提供了一种在用户的移动终端中用于与金融服务器进行安全的交易通信的方法，其中，包括如下步骤： i. 创建交易请求（req); ii. 使用该用户的私钥 ( K"¹ ), 生成所述交易请求（req)的数字签名； iii. 使用一个第一密钥（ l ) 加密所述交易请求（req) 以及所述交易请求（req) 的数字签名，得到一密文； iv. 使用所述服务器的公钥（K_B) 加密所述第一密钥（ k!)； v. 将所述密文和经加密的所述第一密钥（发送给所述服务器。

根据本发明一个方面的实施例，提供了一种在金融服务器中用于与用户的移动终端进行安全的交易通信的方法，其中，包括如下步骤： I. 接收来自所述移动终端的一密文和经本服务器的公钥（ K_B )加密的第一密钥（kj, 其中所述密文由所述第一密钥（1^)加密一交易请求 (req) 以及所述交易请求（req) 的数字签名而得到； II. 使用本服务器的私钥（ KB¹ ) 解密所述经本服务器的公钥（K_B) 加密的所述第一密钥（1^), 得到所述第一密钥（kj; III. 使用所述第一密钥（k,)解密所述密文，得到所述交易请求（req) 以及所述交易请求（req) 的数字签名； IV. 使用所述用户的公钥（K_c), 确定所述交易请求（req) 是否与所述交易请求（req)的数字签名相符：当相符时，进行与所述交易请求（req)相应的交易。

根据本发明另一个方面的实施例，还提供了与以上方法对应的在移动终端中用于与金融服务器进行安全的交易通信的设备，以及在金融服务器中用于与移动终端进行安全的交易通信的设备。本发明的实施例提出了一种应用层中的用于进行移动金融交易通信的方法，交互消息个数少，对移动终端的处理性能要求低。经过

Strand (串）空间理论证明，本发明的优选实施例的安全性质可以得到保证。附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更加明显：

图 1 是根据本发明的一个实施例，移动终端与金融服务器进行安全的交易通信的方法流程图；

图 2 是根据本发明的一个实施例，用户的串的示意图；

图 3是根据本发明的一个实施例，节点 nl包括数字信封^^，^ _β的示意图。

附图中，相同或者相似的附图标识代表相同或者相似的部件。具体实施方式

本实施例以一个用户使用其移动终端 MS与银行的金融服务器进例中使用的符号进行说明：表 1

C(Customer) 手机用户的标识（如银行帐号）

B(Bank) 银行的标识（如行号）

kj, k₂ 新产生的随机的对称会话密钥

Kc^] 手机用户的签名私钥

K_c 手机用户的公钥

K_B-¹ 银行的签名私钥

K_B 银行的公钥

{m}_k 用对称密钥 k加密消息 m { ^mk-' 用私钥 IC¹签名，即加密消息 m

mi ,m₂ 消息和 m₂串联后构成的新消息

h(m) 对消息 m进行 Hash运算，生成 m的摘要

req 移动终端的汇款或支付等交易请求

res 银行金融服务器对 req的响应结果，例如交易处理成功，或交易处理失败及失败原因在用户使用手机银行业务前，他必须订购这一业务。在订购手机银行业务时，用户将获得通过一定 - 1的机制自动产生的公钥 K_c和与该公钥相对应的私钥 K ¹。该用户在银行续的金融服务器中注册该用户的标识（例如银行帐号）以及该用户的公钥 \ / Ϊ Kc：。同时，该用户也获得银行的公钥 K_B, 并将该公钥存储于其手机中。因此，本实施例中基于如下条件：

- 只有该用户知晓其私钥 κ -¹；

- 该用户知晓该银行金融服务器的公钥 κ_β

- 只有该银行金融服务器知晓其私钥 KB¹ ;

- 该银行金融服务器知晓该用户的公钥 K (：。

以上两组公钥和私钥都是非对称的。可以理解，生成非对称的公钥以及私钥的方法，以及以上通信双方交换各自公钥的握手

( Handshake ) 过程也是本领域的一般技术人员所熟知的，本发明在此不做赘述。

在用户在手机的应用程序，例如手机银行客户端中操作进行汇款或支付交易时，首先，在步驟 S 10中，移动终端 MS以例如伪随机数作为种子产生两个随机的对称会话密钥 k_h k₂。该两个密钥是用于本次交易会话的，它们的有效期到本次交易结束。对每个交易随机产生新的会话密钥可以避免重发攻击（Reply Attacks )。可以理解，这是本发明的一个优选方式，该两个密钥也可以是生成后存储起来，用于预定时间段的数个交易，到预定时间后或数个交易完成后自动重新生成的。

在步骤 Sl l中，移动终端 MS根据用户的汇款或支付的操作，创建用于本次交易的交易请求 req，该请求中可以包括交易的类型，例如汇款、支付；交易的币种；交易的金额；交易的对象，例如对方的银行帐号或商户的标识。该消息中还可以包括用户的标识 C和银行的标识 B, 以便银行的金融服服务器进行核实。

接着，在步骤 S12中，移动终端 MS使用本用户的私钥 K^ , 生成交易请求 req的数字签名。

在一个实施例中，在步骤 S120里，移动终端 MS按一预定的摘要规则，生成交易请求 req和密钥串联后构成的新消息的摘要信息 h( req, k₂ )。

而后，在步骤 S121里，移动终端 MS使用用户的私钥加密所生成的摘要信息，生成交易请求 req的数字签名 {h(req, k₂ )}_Kc—_l 。可以理解，生成数字签名的方法并不限于以上这一种，数字签名的使用是本领域的一般技术人员所熟知的，本发明在此不对其他方法进行赘述。

随后，在步骤 S13中，移动终端 MS使用密钥加密交易请求 req 以及交易请求 req 的数字签名串联后构成的新消息，得到一密文

{req, {h(req, k₂ )}_K_, }_ki 。

并且，在步骤 S14中，移动终端 MS使用服务器的公钥 K_B加密密钥和 , 得到一个数字信封 ¾,A₂}_¾。由于只有金融服务器知晓服务器的私钥 K_B 所以只有金融服务器才能够该数字信封解开得到其中的密钥和。

而后，在步骤 S 15中，移动终端 MS将密文 ί M req, k₂ )}_K 和经力 p 密的密钥和 ^ 发送给金融服务器，即将 {{req,{h(req, k₂ )}_K_, }_k k , k₂ }_Kb }消息发送给金融服务器。在步骤 S20 中，金融服务器接收到来自移动终端 {{req,{h( req, k₂ )}^ ,{k k₂ }_Kr }消息。

而后，在步骤 S21 中，金融服务器使用本服务器的私钥 KB¹解密 { }_Κβ , 即解密经本服务器的公钥 Κ_Β加密的密钥和，得到密钥 ^和 k_2o

接着，在步驟 S22 中，金融服务器使用密钥解密 {req,{h(re_q>k₂)}_K?l}_ki , 得到交易请求 req以及交易请求（req)的数字签名 {h(req，k₂)}_K,。随后，在步骤 S23中，金融服务器根据交易请求 req中的用户标识，从其数据库中搜索并读取到与该用户标识对应的该用户的公钥 K_c。并基于该用户的公钥 K_c确定交易请求 req是否与交易请求 req的数字签名 {h(req,k₂)}_Kc—_l ^符, 当相符时，处理该交易请求 req, 进行相应的六且

又^。

在一个实施例中，在步骤 S230里，金融服务器基于与移动终端相同的摘要规则，基于交易请求 req和解密得到的密钥 ^，生成一用于校验的摘要信息 h' (req, k₂ )。

而后，在步骤 S231里，金融服务器使用用户的公钥 K_c, 解密交易请求 req的数字签名 {h(req,k₂ , 得到交易请求 _req和密钥的摘要 m (req,k₂)。

随后，在步骤 S232 里，判断交易请求 req和密钥 k₂的摘要信息 /2 r_e U是否与用于校验的摘要信息 z丫 r J相符：当相符时，金融服务器可以确定该交易请求 req确实是由该用户发出，没有被篡改过，并且保证了可追究性。因此金融服务器从交易请求 req中获取到该交易的类型、币种、金额和对象等，并处理本次交易，从该用户的银行帐户中扣除相应的款项，将该款项支付给交易对象。

在一种情况下，在金融服务器处理交易后，交易过程即告结束。在这种情况下，以上随机的密钥是可以省去的，即交易请求 req的摘要信息仅由交易请求 req本身而确定。

在另一种情况下，在处理交易完毕后，金融服务器还生成并基于安全的交易通信发送一个交易应答给用户。以下对根据本发明的优选实施例进行交易应答的安全通信进行详述。

在步骤 S24 中，金融服务器创建一交易应答 res，该交易应答中包括对交易请求 req的处理结果，例如交易成功，或交易失败以及失败原因等。交易应答 res中还可以包括银行标识 B以及用户标识 C。

在步驟 S25 中，金融服务器使用本服务器的私钥 K-_B'，生成交易应答 res的数字签名。

在一个实施例中，在步骤 S250里，金融服务器按一预定的摘要规则，生成交易应答 res的摘要信息 ^ e 。可以理解，这里使用的摘要规则可以与移动终端生成交易请求 req时所用的摘要规则相同，或者不同。

在步驟 S251 里，金融服务器使用本服务器的私钥 K-B¹加密交易应答 res的摘要信息 2( e ，生成所述交易应答的数字签名 {h )^ 。

可以理解，生成数字签名的方法并不限于以上这一种，数字签名的使用是本领域的一般技术人员所熟知的，本发明在此不对其他方法进行赘述。

在步骤 S26中，金融服务器使用密钥 ^加密交易应答 res，交易应答 res 的数字签名 {h(res)}_K^ 。优选地，金融服务器同时加密密钥 k_} , 加密后得 —密 { res , k i ,{ h( res )} }_k2 。在步骤 S27中，金融服务器将密文 ^, 人，发送回移动终端 MS。

在步骤 S16 中，移动终端 MS 接收来自金融服务器的密文 }_ki 。

在步骤 S17 中，移动终端 MS使用其生成的会话密钥 ^解密密文 {res,k,,{h(res)}_K_, }_k2 , 得到交易应答 _res , 交易应答 _reS 的数字签名 f/^r^ 和密钥 ki。在步骤 S 18中，移动终端根据交易请求应答中的银行标识 B , 从其数据库中搜索并读取与该银行对应的该金融服务器的公钥 K_B。并基于该服务器的公钥 K_B确定交易应答 res是否与交易应答 res的数字签名 f ms ^^相符，当相符时，进行相应的处理。

在一个实施例中，在步骤 S 180里，移动终端基于与金融服务器相同的摘要规则，基于交易请求 res，生成一用于校验的摘要信息？丫入而后，在步骤 S 181里，移动终端使用金融服务器的公钥 K_B，解密交易应答 res 的数字签名 {h(r_es)}_KBi , 得到交易应答 _res 的摘要信息 h( res )。随后，在步驟 S 182里，移动终端判断交易应答 res的摘要信息 h(res ) 是否与用于校验的摘要信息 h' (res)相符，同时判断解密得到的密钥是否与本移动终端所生成的密钥相符：当相符时，移动终端可以确定该交易应答 res确实是由该银行发出，没有被篡改过，并根据交易应答 res向用户显示该交易已经成功，或失败及失败原因。可以理解，在另一情况下，金融服务器发送密文 r^Wr^^^ A₂，其中不包括经加密的密钥 k 则移动终端仅判断交易应答 res的摘要信息 ^re^) 是否与用于校验的摘要信息 h' (res)相符即可。在具体实现中，本实施例可以以短信的方式实现：当用户通过手机办理银行业务时，手机提示输入帐号、业务代码、密码等信息。手机中的软件执行以上的方法，生成相应的交易请求，并将交易请求加密生成相应的短消息。手机把短消息通过移动运营商的短消息网关传输到银行的短消息平台。银行的短消息平台与银行的金融服务器相连，将该加密的短消息提供给金融服务器。金融服务器验证该短信的合法性后处理交易请求，再根据交易结果生成相应的交易应答，并将交易应答加密。而后将加密的交易应答通过银行的短消息平台，经移动运营商的短消息网关发给用户的移动终端，移动终端验证该短信的合法性后将该短信中指示的交易结果显示给用户。

本实施例也可以通过手机上运行的基于 IP协议的应用软件直接与银行的金融服务器进行通信。

可以理解，本发明的实施例是基于在应用层中的安全通信。移动终端可以根据其性能，同时在协议栈的传输层中增加使用传输层的安全通信协议，提高安全性。

本实施例中使用的数字信封 , } ^是利用数据接收者的公钥加密消息，由于只有接受者才拥有对应的私钥，因此只有接受者才能解密消息-相当于打开该信封。手机用银行公钥 Κ_Β加密两个新产生的随机密钥，只有银行知道对应的私钥，故只有银行才能打开该信封。

对于运算强度，本实施例涉及到移动终端，因此尽可能地减少移动终端上的计算量。本实施中先取消息摘要，再对该较短的信息进行运算量较大的签名运算，缩短了运算时间，并且既能保证消息的完整性，又能满足可追究性的要求。数字信封 { ₂}^中的随机密钥和都由手机端产生，虽然多产生一个随机数会增大手机端的开销，但这样银行端就无需再用一个数字信封包装新密钥发给手机端，从而使手机端减少了一次耗时的公钥解密运算。显然这样可以降低手机端的总计算量。本实施例将公钥加密和对称加密结合，公钥加密用于传递对称密钥，对称加密用于保护协议消息主体。考虑到在运算速度上公钥加密要远低于对称加密，这样做既可以获得足够的安全性，又能加快协议执行的速度。

对于请求和应答的对称性，请求消息要比应答消息多一个数字信封，对称加密部分的结构、内容和长度也不相同，从而使它们的消息结构存在显著不同，这种非对称的消息结构是抵抗重放攻击的有效手段之一，攻击者将无法使用反射攻击，即不能把交易请求消息当作应答消息发送手机端，反之亦然。根据本发明的另一个实施例，还提供了在移动终端中用于与金融服务器进行安全的交易通信的设备，该设备包括用于实现如以上方法的装置，该装置包括：

- 密钥生成器，用于生成密钥 ^和

- 交易请求装置，用于生成交易请求 req;

- 第一数字签名装置，用于生成交易请求 req 的数字签名 {h(req,k₂)}_K.,-

- 第一加密装置，用于生成密文， (^ ^J^^ ；

- 第二加密装置，用于生成数字信封 , ¾} ；

- 第一迭装1 , 于复迭 {{ req，{ h( req， k ₂ )} } _ki ,{ k！ , k ₂ } _{κ β} } m 发送给金融服务器；

- 第二接收装置，用于接收来自金融服务器的密文

{res,k,,{h(res)}_K^ }_ki；

- 第三解密装置，用；

- 第二处理装置，用于验证交易应答 res 是否与数字签名相符，并在相符时进行相应的处理。根据本发明的另一个实施例，还提供了在金融服务器中用于与移动终端进行安全的交易通信的设备，该设备包括用于实现如以上方法的装置，该装置包括：

- 第一接收装置，于接^ }_ki,{k!,k₂}_Kii}

息；

- 第一解密装置，用于解密， ^; - 第二解密装置，于密 {req, {h(_req, k₂ )} }_ki

- 第一处理装置，用于验证交易请求 req和密钥是否与数字签名

{ H ， k₂ )}_{κ }}相符 , 并在相符时进行相应的交易；

- 交易应答装置，用于生成交易应答 res;

- 第二数字签名装置，用于交易应答 res的数字签名 ;

- 第三加密装置，用于生成密文^^, , ^^^^人₂；

- 第二发送装置，用于将密文^^ , 发送回移动终端

MS。以上从方法以及装置的角度本发明的优选实施例进行了描述，以下使用 Strand空间理论，对本发明的优选实施例的安全性进行证明。

在 Strand空间中， MB协议的正确性主要体现在两个方面：

( 1 )认证属性：当认证主体以某参数完成其协议后,被认证主体也必须以该参数参与协议运行。

( 2 )秘密属性：保护协议消息不被泄漏给未被授权的主体。

需要指出的是： Strand空间理论中定义了一个包含八种攻击者行为的攻击集，该攻击集只概括了目前已知的所有攻击。因此下面给出的证明只是建立在已知攻击集基础上的。

Strand空间

定义 1 .一个存在攻击的 Strand空间 (∑， P)是一个 MB Strand空间，如果∑是以下三个 Strands的并集：

1 )攻击者的 Strands p e P。

2)用户 Strands 其迹为：

+ { {req, {h(C, B, req, k₂ )}_K__} }, , {k , ^₂}^ },-{res, k_x , {h(B, C, res)} 其中 C,BeT, k_1?k₂eK,

所有 Strands的集合。与此 Strand关联的主体是手机用户 C。

3)银行 Strands t≡ Bank[B,C,k_bk₂,req,res] , 其迹为：

(- Ur q, {h(C, B, req, k₂)} ^ }_/ , {k },+{res, k,{h{B,C, res)}^ } 〉其中 C,BGT, k_l5k₂GK,

Strands的集合。与此 Strand关联的主体是银行 B。已知一个∑中 Strand s, 可以居它的迹唯一区分出攻击者的 Strand、用户 Strand和 4艮行 Strand„

认证属性的证明命题 1

若： 1) ∑是 MB Strand 空间， C 是∑中的一个 Bundle, s 是中的一个 C-高度为 2的用户 Strand。

3)k!≠k₂, 且 k_bk₂唯一产生于∑。

贝' j ： C 包含一个 C- 高度为 2 的银行 Strand t ≡ 。

用户 Strand如图 2所示，下面通过几个引理证明此命题：

引理 -i . b^y = {n e C k_l c uns _term{n) Λ {k_{,k₂}_Kg <Z uns _term{n)} ^,-^ _ 个

≤ -minimal节点 n₂ , n₂是常规节点 , 且符号为正。

证明：由于所以产生于 n。。由图 2可知 n₃ GC, n₃ev, 所以 V非空，那么 V至少有一个≤- minimal成员 n₂, 其符号为正。 n₂能否出现在攻击者的 Strandp上，有以下几种可能：

M.tr(p)的形式为〈+t〉，tET, ^τ λκ = φ ^ 而 _kieK, 所以 t≠k,, 该情况不可能。

F.tr(p)的形式为〈- g〉，没有符号为正的节点。

T.tr(p)的形式为 <-g,+g,+g>, 正节点不是极小出现。

C. tr(p)的形式为〈- g,-h,+gh〉，设 term(n₂)=+gh。 ··· 是简单的， ... 1(₁〔_§或]^₁匚1₁, 所以，正节点不是极小出现。

E. tr(p)的形式为〈 - K,-h, +{h}_K > , 设 ^ , {/^ , H .·.正节点不是极小出现。

K.tr(p)的形式为〈+k〉， keKp, 但 k^K_P, 故此情况不可能。

D. tr(p)的形式为〈- K- i +h), ^chAk ^^h, 由 _h的极小性，可设 ^^, 由自由加密假设，得 h^k }, K=K_B。故存在一个节点 m，有^咖) -但^' , 所以 ¹只能发自一个常规节点。但协议中没有哪个合法主体发送过 '。

S. tr(p)的形式为〈 - gh,+g,+h〉，不失一t殳性，设 term(n₂)=g , term(n₂)=h 的情况是对称的。 ·Ί^ _Κ , 由 g的极小性，可设 A c ，又是简单^ j , Ui) c^h。记11 = {m e C m n₂ A gh匚 u — termim } , 因为 term(<p,l>)=- gh, it<p,l>eu, U非空， U至少有一个极小元

显然， _mi不可能在 M,F,T,K型的攻击者 Strand上。

S.tr(p)的形式为〈- gh,+g，+h〉,若 S型 Strand p ' 上的一个正节点，则 ghcterm(<p' , 与是 U中极小元矛盾。

E. tr(p)的形式为〈- K,-h,+{h}_K〉，若 ghcterm m,), 是 E型 Stmnd ρ' 上的一个正节点，则 ghcterm p' ,2>), <ρ' ,2>-<Ώΐ , 与 m,是 U中极小元矛盾。 0.1：1^)的形式为〈-1 ¹,-{11}₁ +11〉，若 ghcterm m!), 是 D型 Strand ρ' 上的一个正节点，则 ghcterm(<p' ,2>), <p' ,2>^m^ 与是 U中极小元矛盾。

C. tr(p)的形式为〈- g，- h,+gh〉，若 ghctermO,), 1^是( 型 Strand p ' 上的一个正节点, 贝¹ J term(<p ,l>)=g= term(n₂)， i <p ' 与 n₂是 V中极小元矛盾。

因此， n₂不在攻击者 Strand上，而在常规 Strand上。

引理 2 在 t中，存在一个节点在之前，使得 ^^K K 洲 ("_Ί)。证明：如图 3所示，产生于 n_Q，且唯一产生于∑。又 ' ^} c ^ίε 。 )，但 ― ₂),故 η_0≠η2, 人^不产生于，因此，在 η₂所在的 Stmnd t上，必有一节点！！！在 Π₂之前，使得由的极小性，得 { ^ )κ_Β ^ term{n_A)。引理 3 常规 Strand t是一个包含在 C中的银行 Strand, 则 t包含 _ηι 和 n₂。

证明： n₂是一个常规正节点，并且在节点之后，而节点 n,包含形如 {xy 的项。如果 t是用户 Strand,则在包含形如 {xy}_k项的节点之后只能是负节点。但 n₂是正节点，因此， t一定是一个银行 Strand, n,和 n₂ 分别是 t的第一个节点和第二个节点。由于 t的最后一个节点包含在 C 中，它的 C-高度一定是 2。

根据引理 2和引理 3，命题 1立即得证。

秘密属性的证明

下面证明协议中产生的密钥 k_bk₂是保密的。

命题 2 若： 1) ∑是 MB Strand 空间， C 是∑中的一个 Bundle, s 是中的一个 C-高度为 2的用户 Strand。

2) O〖, ^。

3) ki≠k₂, 且 k_lk₂唯一产生于。

则：对所有节点 mGC, 当 c to m)或者 {res, k_x , {h(B, C, res)} _K_, }_ki a termini) 证明：设。

考 ^ F~ {neC :k_} term(n) A {k , k₂}_KB c term(n) A V₃ (t term n)} 设 p非六则 F至少有一个极小元。下面先证明这些极小元不是常规结点，再证明它们也不是攻击结点，因此 F 为空，命题得证。

设 m是 F的极小元，且是常规结点，则 m的符号为正。在 s中只有 n。的符号为正，但^^ 所以 _m不在 _s上。又 1(,唯一产生于 n_G， •■•m 不在其他常规 Strand s'≠s上。故 m不可能是常规结点。

F的极小元不是攻击节点的证明和引理 1的证明极为相似，只是在考虑 D 型攻击者 Strand 时，要多考虑一种情况，即： W,k具 c,o _K=k2。这时，必须有一个节点有 _term(n)=_k2, 但 k₂ K_P, 所以 k₂只能发自一个常规节点。但协议中没有哪个合法主体发送过 k_2o

综上所述， F只能为空，所以密钥 1^只能以协议规定的加密形式出现，因而是保密的。

密钥 k₂的地位和是等价的，其保密性的证明与完全类同，不再赘述。交易请求 req的秘密性证明也是类似的。尽管在附图和前述的描述中详细阐明和描述了本发明，应认为该阐明和描述是说明性的和示例性的，而不是限制性的；本发明不限于所上述实施方式。

那些本技术领域的一般技术人员可以通过研究说明书、公开的内容及附图和所附的权利要求书，理解和实施对披露的实施方式的其他改变。在权利要求中，措词 "包括" 不排除其他的元素和步骤，并且措辞 "一个" 不排除复数。在发明的实际应用中，一个零件可能执行权利要求中所引用的多个技术特征的功能。权利要求中的任何附图标记不应理解为对范围的限制。

Claims

权利要求书

1. 一种在用户的移动终端中用于与金融服务器进行安全的交易通信的方法，其中，包括如下步骤：

1. 创建交易请求（req);

ii. 使用本用户的私钥（ i ¹ )，生成所述交易请求（_req) 的数字签名；

iii. 使用一个第一密钥（加密所述交易请求（req) 以及所述交易请求（req) 的数字签名，得到一密文；

iv. 使用所述服务器的公钥（K_B)加密所述第一密钥（； v. 将所述密文和经加密的所述第一密钥（发送给所述服务器。

2. 根据权利要求 1所述的方法，其特征在于，所述步驟 ii包括：

111. 按第一预定规则，生成所述交易请求（req) 的摘要信息；

112. 使用所述用户的私钥（ I ¹ ) 加密所述摘要信息，生成所述交易请求（req) 的数字签名。

3. 根据权利要求 1或 2所述的方法，其特征在于，所述步骤 iii 之前包括以下步骤：

- 生成用于本次交易的所述第一密钥（k,);

4. 根据权利要求 3所述的方法，其特征在于，所述步驟 ii之前包括以下步驟：

- 生成用于本次交易的一个第二密钥（k₂);

所述步骤 iil进一步包括：

- 生成所述交易请求（req) 和所述第二密钥（ k₂ ) 两者的摘要，作为所述摘要信息；

所述步骤 iv还包括：

- 使用所述服务器的公钥（K_B) 加密所述第一密钥（k,) 和所述第二密钥 (k₂);

所述步骤 V还包括：

- 将经加密的所述第一密钥（kj 和所述第二密钥（k₂) 发送给所述服务器。

5. 根据权利要求 1， 2和 4中任一项所述的方法，其特征在于，该方法还包括如下步骤：

vi. 接收来自所述服务器的另一密文，所述另一密文由所述服务器使用所述第二密钥（k₂)加密一交易应答（res) 以及所述交易应答

(res) 的数字签名而得到；

vii. 使用所述第二密钥（k₂) 解密所述另一密文，得到所述交易应答（res) 以及所述交易应答（res) 的数字签名；

viii. 使用所述服务器的公钥（K_B), 确定所述交易应答（res)是否与所述交易应答（res)的数字签名相符：当相符时，进行相应的处理。

6. 根据权利要求 5所述的方法，其特征在于，所述交易应答（res) 的数字签名由所述服务器使用该服务器的公钥（ Κ_Β' ) 加密所述交易应答（res)按第二预定规则生成的摘要信息而得到，所述步骤 viii进一步包括如下步骤：

viiil. 按第二预定规则，基于所解密的所述交易应答（res), 生成一用于校验的摘要信息；

viii2. 使用所述服务器的公钥（K_B) 解密所述交易应答（res) 的数字签名，得到所述交易应答（res) 的按第二预定规则的摘要信息； viii3. 判断所述交易应答（res) 的按第二预定规则的摘要信息是否与所述用于校验的摘要信息相符：当相符时，进行相应的处理。

7. 根据权利要求 6所述的方法，其特征在于，所述另一密文由所述服务器使用所述第二密钥（k₂) 加密所述交易应答（res)、所述交易应答（res)的数字签名和所述第一密钥（k, )而得到，所述步骤 vii 还包括：

- 使用所述第二密钥（k₂) 解密所述另一密文，得到所述交易应答（res)、所述交易应答（res) 的数字签名和所述第一密钥（ ); 所述步骤 viii3还包括：

- 判断所解密的所述第一密钥（kj 是否与本移动终端生成的所述第一密钥（l )相符：当相符时，进行相应的处理。

8. —种在金融服务器中用于与用户的移动终端进行安全的交易通信的方法，其中，包括如下步骤：

I. 接收来自所述移动终端的一密文和经本服务器的公钥（ K_B )加密的第一密钥（l ), 其中所述密文由所述第一密钥（k,)加密一交易请求（req) 以及所述交易请求（req) 的数字签名而得到；

II. 使用本服务器的私钥（ KB¹ )解密所述经本服务器的公钥（K_B ) 加密的所述第一密钥（ki), 得到所述第一密钥（kj;

III. 使用所述第一密钥（kj 解密所述密文，得到所述交易请求 (req) 以及所述交易请求（req) 的数字签名；

IV. 使用所述用户的公钥（K_c)，确定所述交易请求（req) 是否与所述交易请求（req)的数字签名相符：当相符时，进行与所述交易请求 ( req )相应的交易。

9. 根据权利要求 8所述的方法，其特征在于，所述交易请求（req) 的数字签名由所述移动终端使用该用户的私钥（ ί^¹ ) 加密所述交易请求（req)按第一预定规则生成的摘要信息而得到，所述步骤 IV进一步包括以下步骤：

IV1. 按所述第一预定规则，基于所解密的所述交易请求（req), 生成一用于校验的摘要信息；

IV2. 使用所述用户的公钥（K_c) 解密所述交易请求（req) 的数字签名，得到所述交易请求（req) 的按第一预定规则的摘要信息；

IV3. 判断所述交易请求（req) 的按第一预定规则的摘要信息是否与所述用于校验的摘要信息相符：当相符时，进行与所述交易请求 ( req )相应的交易。

10. 根据权利要求 9所述的方法，其特征在于，所述交易请求（ req ) 的数字签名由所述移动终端使用该用户的私钥（ ) 加密所述交易请求（req)和一个第二密钥（ k₂ ) 两者的按第一预定规则的摘要信息而得到，所述步驟 I进一步包括：

- 接收来自所述移动终端的经本服务器的公钥（K_B)加密的所述第一密钥（k 和所述第二密钥（k₂);

所述步骤 II进一步包括：

- 使用使用本服务器的私钥（ KB¹ ) 解密所述经本服务器的公钥 (K_B)加密的所述第一密钥（1^)和所述第二密钥（k₂), 得到所述第一密钥（k₂) 和所述第二密钥（k₂);

所述步骤 IV1 包括：

- 按所述第一预定规则，基于所解密的所述交易请求（req)和解密得到的所述第二密钥（k₂)，生成所述用于校验的摘要信息；

所述步骤 IV2包括：

- 使用所述用户的公钥（K_c)解密所述交易请求（req)的数字签名，得到所述交易请求（req)和所述第二密钥（ k₂ ) 两者的按第一预定规则的摘要信息；

所述步骤 IV3包括：

- 判断所述交易请求（req)和所述第二密钥两者的按第一预定规则的摘要信息是否与所述用于校验的摘要信息相符：当相符时，进行与所述交易请求（req)相应的交易。

11. 根据权利要求 8至 10中任一项所述的方法，其特征在于，该方法还包括如下步驟：

V. 创建一交易应答（res);

VI. 使用所述本服务器的私钥（ K_B' )，生成所述交易应答（res) 的数字签名；

VII. 使用所述第二密钥（k₂)加密所述交易应答（res) 以及所述交易应答（res) 的数字签名，得到另一密文；

VIII. 将所述另一密文发送给所述移动终端。

12. 根据权利要求 11所述的方法，其特征在于，所述步骤 VI进一步包括如下步驟：

- 按第二预定规则，生成所述交易应答（res) 的摘要信息； - 使用所述本服务器的私钥（ ' ) 加密所述交易应答（res) 的摘要信息，生成所述交易应答的数字签名。

13. 根据权利要求 12所述的方法，其特征在于，所述步骤 VII进一步包括：

- 使用所述第二密钥（k₂ )加密所述交易应答（res )，所述交易应答（res ) 的数字签名和所述第一密钥（^ )，得到所述另一密文。

14. 一种在移动终端中用于与金融服务器进行安全的交易通信的设备，其中，包括用于实现如权利要求 1至 7中任一项中所述方法的装置。

15. 一种在金融服务器中用于与移动终端进行安全的交易通信的设备，其中，包括用于实现如权利要求 8至 13 中任一项中所述方法的装置。