CN102281510B - 移动邮箱多因子可信身份认证方法及系统 - Google Patents

Abstract

一种移动邮箱多因子可信身份认证方法，移动终端通过可信芯片进行完整性度量的计算、收集包括PCRS值及SML值在内的完整性度量报告所需信息，并利用可信芯片中的AIK私钥加密，后生成完整性度量报告，PCRS值中包含邮箱系统的完整性度量计算值；利用SDIO智能卡中的身份证书签名包括完整性度量报告和移动终端鉴别信息在内的验证信息，并发送至邮箱服务平台；邮箱服务平台验证移动终端的鉴别信息，验证成功后利用预先存储的移动终端邮箱可信度验证信息检测当前接收到的完整性度量报告的合法性，验证通过则激活用户终端的邮箱系统。

Description

移动邮箱多因子可信身份认证方法及系统

技术领域

   本发明涉及移动邮箱领域，尤其涉及移动邮箱的安全方面。

背景技术

随着数字化通讯的不断发展，在具备常规互联网基础邮件服务功能的同时，充分发挥和利用移动终端的功能优势，让用户可以方便直接地通过短信、彩信、WAP上网等方式，随时随地获取和管理移动终端的邮件信息。当前，把利用手机等移动终端获取、管理邮件信息的邮箱称之为移动邮箱。移动邮箱不仅能实现与固定邮箱的信息同步，而且还能利用移动终端的方便性实现随时随地查看的功能，简而言之，移动邮箱能和用户全面打造一个用户的综合信息平台，实现移动终端与邮箱的双向、全面的高效互通功能。

即，移动办公的盛行使用户对借助移动终端（手机为例）收发邮件、登录企业邮箱系统的需求大大提高，这使得移动邮箱有着广泛的发展前景。

然而，移动设备的便携性致使丢失或被窃的情况严重，终端数据和应用程序的机密性、完整性受到严重威胁。人们对笔记本电脑、智能手机、便携式多媒体等移动设备的使用大大增加，特别是那些被CEO、公司高管、销售和顾问使用的移动设备，往往涉及极为敏感的公司资料或邮件。最新的移动设备具有更大的储存容量和更强的互联网访问功能，也使移动设备上的数据信息面临更大的风险。

而且，PC计算平台的安全威胁正愈演愈烈地发生在移动智能平台上，小的移动终端因为资源有限导致防护能力较低，其操作系统漏洞或安全应用未及时更新，很容易导致病毒入侵如手机病毒的出现。

总而言之，现有移动邮箱存在很大的安全问题：

1. 现有移动邮箱系统大多仅仅以用户名、密码作为用户登录依据，邮件服务器对用户进行认证时只认证身份（密码、身份证书等）；

2. 传统的身份认证仅仅解决了用户身份的信任问题，对用户所持设备是否可信不能保证，这样的认证机制既是一种静态认证又是一种不完全认证。例如用户可能是移动终端的合法用户，但是移动终端已经被病毒侵害，成为别有用心的人控制的傀儡。这种情况下，合法用户登录邮箱系统下载保存到本地的邮件或机密信息的安全就受到极大威胁。

也就是说，现在急需要一种具有更佳安全措施的移动邮箱认证流程，以保证移动邮箱的安全性。

发明内容

本发明的目的在于提供一种移动邮箱多因子可信身份认证方法，以解决现有技术中移动邮箱认证安全性差的技术问题。

为了达到上述目的，本发明提供了一种移动邮箱多因子可信身份认证方法，包括以下步骤：

(1)为移动终端颁发存储有身份证书的SDIO智能卡，并设置可信芯片；

(2)在邮箱服务平台上设先存储每个用户对应终端鉴别信息、移动终端邮箱可信度验证信息;

(3)当移动终端接收到登录邮箱系统的请求时，先检测SDIO智能卡是否到位,若是,才进行步骤(4);

(4)移动终端再进行身份验证,若验证通过,则进行步骤(5);

(5)移动终端通过可信芯片进行完整性度量的计算、收集包括PCRS值及SML值在内的完整性度量报告所需信息，并利用可信芯片中的AIK私钥加密，后生成完整性度量报告，PCRS值中包含邮箱系统的完整性度量计算值；

(6)利用SDIO智能卡中的身份证书签名包括完整性度量报告和移动终端鉴别信息在内的验证信息，并发送至邮箱服务平台；

(7)邮箱服务平台解密接收到的数据包，从中获得移动终端的鉴别信息和完整性度量报告；

(8)验证移动终端的鉴别信息，验证成功后利用预先存储的移动终端邮箱可信度验证信息检测当前接收到的完整性度量报告的合法性，验证通过则激活用户终端的邮箱系统。

一种移动邮箱多因子可信身份认证系统，其特征在于，包括邮箱服务平台和若干移动终端，其中，

邮箱服务平台进一步包括存储器和服务器，

所述存储器包括；

用户和终端鉴别存储单元：用于存储每个用户身份识别信息、每个用户对应的终端鉴别信息；

完整性度量信息存储单元，用于存储移动终端邮箱可信度验证信息；

算法信息存储单元，用于存储包括验证的流程及各种算法密码信息在内的算法信息；

所述服务器进一步包括：

交互处理单元：用于建立与各个终端的交互；

身份验证处理单元：用于验证用户的身份信息及终端鉴别信息；

完整性度量处理单元：用于利用预先存储的移动终端邮箱可信度验证信息检测当前接收到的完整性度量报告的合法性；

所述移动终端进一步包括：

可信芯片：用于作为可信度量根，设置存储完整性度量值的若干PCR寄存储器，每一PCR寄存器保存一度量结果，其中至少有一个PCR寄存器存储邮箱系统的完整性度量计算值；

SDIO智能卡：用于存储为移动终端颁发的身份证书；

终端鉴别处理模块：用于从移动终端中获得包括SIM卡信息在内的鉴别信息；

可信度量模块硬件管理模块：用于获取可信度量根的可信度量报告；

硬件管理模块：用于实现与SDIO智能卡的交互，获得包括PIN码、身份证书在内的信息；

多因子可信身份认证代理模块：建立与邮箱服务平台的通信，从终端鉴别处理模块、可信度量模块硬件管理模块中获得的各类认证鉴别信息，并通过邮箱服务器平台的验证反馈中决定是否启动邮箱系统。

与现有技术相比，本发明提供了身份认证的过程，不仅有身份认证、终端的鉴别认证，还利用可信芯片技术实现更为安全的认证，大大提升了邮箱使用的安全性。

附图说明

图1为一种移动邮箱多因子可信身份认证系统的原理图；

图2为一种移动邮箱多因子可信身份认证系统中移动终端的一结构示例图；

图3为一种移动邮箱多因子可信身份认证方法的流程图。

具体实施方式

以下针对附图，具体说明本发明。

请参阅图1，其为一种移动邮箱安全保护系统的原理图。它包括邮箱服务平台和若干移动终端2。邮箱服务平台1和移动终端2是通过网络连接。网络包括无线通信网络。需要说明的是，邮箱服务平台包括物理上的服务器、网关、数据库等，即，本实例提到的邮箱服务平台泛指服务中心中心，由于上述说到都是现有技术，在此就不再具体说明。为了完成邮箱的安全性，

以下以邮箱服务平台和一个移动终端的结构原理来进一步说明：

所述服务器进一步包括：

交互处理单元：用于建立与各个终端的交互；

身份验证处理单元：用于验证用户的身份信息及终端鉴别信息；

完整性度量处理单元：用于利用预先存储的移动终端邮箱可信度验证信息检测当前接收到的完整性度量报告的合法性；

所述移动终端进一步包括：

可信芯片：用于作为可信度量根，设置存储完整性度量值的若干PCR寄存储器，每一PCR寄存器保存一度量结果，其中至少有一个PCR寄存器存储邮箱系统的完整性度量计算值；考虑到移动终端的处理器的处理能力相对有限，申请人可将可信计算部分放置在可信芯片完成，减少对处理器处理能力的依赖。

SDIO智能卡：用于存储为移动终端颁发的身份证书；

终端鉴别处理模块：用于从移动终端获取手机串号（IMEI）、SIM卡号等信息

可信度量模块硬件管理模块：用于获取可信度量根的可信度量报告；

硬件管理模块：用于实现与SDIO智能卡的交互，获得包括PIN码、身份证书在内的信息，具体说，主要功能是实现了与SDIO卡之间的信息交互，同时完成对SDIO扩展智能卡进行安全管理工作，主要包括卡的驱动封装、加解密接口、文件存取接口、互斥访问控制、PIN码保护、卡信息完整性保护等。

多因子可信身份认证代理模块：建立与邮箱服务平台的通信，从终端鉴别处理模块、可信度量模块硬件管理模块中获得的各类认证鉴别信息，并通过邮箱服务器平台的验证反馈中决定是否启动邮箱系统。

基于上述的结构，一种移动邮箱多因子可信身份认证方法，包括以下步骤：

S110：为移动终端颁发存储有身份证书的SDIO智能卡，并设置可信芯片。

每个移动终端对应一个SDIO智能卡，每个用户对应一个移动终端。可信芯片可以利用现有的可信芯片,方便后续计算邮箱系统的完整性度量计算值。

作为可信度量根的可信芯片用的是MTM（Mobile Trusted Module）芯片，是一种用于移动设备和嵌入式设备的进行完整性度量的芯片，具有可信存储、可信度量、可信报告的功能）。MTM支持一定数量的PCR寄存器（一般是16个，用于存储完整性度量值），伴随系统的启动和控制权的逐级传递，MTM度量系统中的各个模块，并将度量结果写入PCRs中。通过计算某个模块的度量结果同期望值的比较，就可以判断和维护这个模块的完整性。MTM设置用于存储完整性度量值的若干PCR寄存储器，每一PCR寄存器保存一度量结果，其中至少有一个PCR寄存器存储邮箱系统的完整性度量计算值，设置AIK证书。责同时，设置度量存储日志SML，包含被度量值、度量行为和顺序；设置PCRS和度量存储日志SML的初始化值、计算度量值的过程。

S120：在邮箱服务平台上设先存储每个用户对应终端鉴别信息、移动终端邮箱可信度验证信息。

每种操作系统、硬件、软件都有影响其完整性的关键特征值，这些特征值的摘要作为完整性度量值的期望值，对于每个终端的该些关键特征值，预先存储在服务器端用来比对验证度量结果。即邮箱系统作为被度量的移动终端上的软件组成部分，有表征其完整性的特征值（二进制值），这些特征值的摘要作为期望值被保存在服务器端，用于比对终端的完整性报告中的相应值

S130：当移动终端接收到登录邮箱系统的请求时，先检测SDIO智能卡是否到位,若是,才进行步骤S140。

移动终端先检测是否有SDIO智能卡，若无，则直接拒绝登录。若有SDIO智能卡，需要判断该SDIO智能卡是否与预先存储的SDIO智能卡的ID相同，若是，则进行步骤S140，当然也可以不需要判断该SDIO智能卡与预先存储的SDIO智能卡信息是否匹配，因为后续需要读取该SDIO智能卡中的内容。也就是说，只需要预先验证SDIO卡是否已插上。

S140：移动终端再进行身份验证,若验证通过,则进行步骤S150。

移动终端检测输入的PIN码与预先存储的PIN是否相同，若相同，则表明身份验证通过，若不相同，则拒绝登录。当然，以上仅是身份验证的一种实现方式，但并非局限于此。

S150：移动终端通过可信芯片进行完整性度量的计算、收集包括PCRS值及SML值在内的完整性度量报告所需信息，并利用可信芯片中的AIK私钥加密，后生成完整性度量报告，PCRS值中包含邮箱系统的完整性度量计算值。

完整性度量是一个过程，包括：获得一系列关于平台的影响可信度的特征值(metrics)，存储这些值，然后将这些值的摘要（通常采用的哈希算法是SHA-1）写入PCRs中。每个PCR都是20字节长，也就是SHA-1哈希值的长度。同时，系统保存一个列表——度量存储日志（SML，Stored Measurement Log），包含了被度量的值，记录了度量的行为及顺序。远程验证方通过SML和PCRs值获得系统运行的软件状态、配置信息等，确定对方系统是否可信（即是否感染了病毒、是否有木马、是否使用盗版软件等）。

当系统加电启动后，PCRs和度量存储日志首先被初始化，在接下来的组件度量中，通过扩展运算，新的特征值与对应的PCR中的原存储值进行连接运算后做哈希处理，并以此代替原值存储在PCR寄存器中，最终生成一个哈希链形式的度量结果。在可信计算体系中，所有模块（硬件/软件，包括平台BIOS及所有启动和操作系统模块）都需被度量和维护，任何被恶意感染的模块，度量值必然会发生改变。

步骤S150还包括：

先对BIOS进行完整性度量的计算，并将度量值存储于可信芯片的对应PCR中，后判断BIOS是否完整，若完整性未被破坏，则运行BIOS，同时在SIML中写入日志；

再通过BIOS对硬盘和ROM进行完整性度量的计算，并将度量值存储于可信芯片的对应PCR中，后判断硬盘和ROM是否完整，若完整性未被破坏，则启动硬盘和ROM，同时在SML中写入日志；

然后通过BIOS、硬盘和ROM对操作系统进行完整性度量的计算，并将度量值存储于可信芯片对应的PCR中，后判断操作系统是否完整，若完整性未被破坏，则运行操作系统，同时在SML中写入日志；

后通过OS对邮件系统进行完整性度量的计算，并将度量值存储于可信芯片对应的PCR中，后判断邮件系统是否完整，若完整性未被破坏，则将SML中写入日志，并且移动终端验证通过本终端完整性度量的计算。

S160：利用SDIO智能卡中的身份证书签名包括完整性度量报告和移动终端鉴别信息在内的验证信息，并发送至邮箱服务平台。

S170：邮箱服务平台解密接收到的数据包，从中获得移动终端的鉴别信息和完整性度量报告；

S180验证移动终端的鉴别信息，验证成功后利用预先存储的移动终端邮箱可信度验证信息检测当前接收到的完整性度量报告的合法性，验证通过则激活用户终端的邮箱系统。

生成完整性度量报告：该步骤指终端的MTM芯片用AIK私钥对PCRs的值（完整性度量值）进行签名，并获取SML日志记录一起作为完整性度量报告。

Hello消息：Hello消息中的用户私钥（SKuser）签名的身份验证信息指的是用SDIO卡中保存的用户私钥签名过的完整性度量报告和终端鉴别信息，可表示如下：

Sign｛完整性度量报告，（IMEI，SIM）｝SKuser

验证完整性度量值：

邮件服务器端制定自己的安全策略，对终端完整性值有标准参考值，在得到远程终端传送来的完整性报告后，用AIK证书的公钥验证PCRs值，并依据SML列表中度量组件的顺序，依次比对每个组件的完整性值和相对应的参考值，依次来判断对方系统是否是安全可信的。

在整个身份认证过程中涉及到两个证书，一个是AIK证书（包含AIK公钥和AIK私钥），其中的私钥存储在MTM芯片中，用于对PCRs签名（在TCG规范中，AIK密钥只能用于对MTM芯片产生的数据进行签名）；其对应的另一个是企业的邮件服务器为用户颁发的身份证书，该证书的私钥用于邮件服务器与终端之间握手时，对信息签名或加密，其保存在企业颁发给用户的SDIO卡中，而非存储在终端设备中，永不出卡。这种设计有效减小了移动终端丢失造成密钥泄漏的风险。

Claims (5)

1.一种移动邮箱多因子可信身份认证方法，其特征在于，包括以下步骤：

(1)为移动终端颁发存储有身份证书的SDIO智能卡，并设置可信芯片；设置可信芯片进一步包括：

设置用于存储完整性度量值的若干PCR寄存器，每一PCR寄存器保存一度量结果，其中至少有一个PCR寄存器存储邮箱系统的完整性度量计算值；

设置AIK证书；

设置度量存储日志SML，包含被度量值、度量行为和顺序；

设置PCR和度量存储日志SML的初始化值、计算度量值的过程；

(2)在邮箱服务平台上设先存储每个用户对应终端鉴别信息、移动终端邮箱可信度验证信息;

(3)当移动终端接收到登录邮箱系统的请求时，先检测SDIO智能卡是否到位,若是,才进行步骤(4);

(4)移动终端再进行身份验证,若验证通过,则进行步骤(5);

(5)移动终端通过可信芯片进行完整性度量的计算、收集包括PCR值及SML值在内的完整性度量报告所需信息，并利用可信芯片中的AIK私钥加密后，生成完整性度量报告，PCR值中包含邮箱系统的完整性度量计算值；先对BIOS进行完整性度量的计算，并将度量值存储于可信芯片的对应PCR中后，判断BIOS是否完整，若完整性未被破坏，则运行BIOS，同时在SML中写入日志；

再通过BIOS对硬盘和ROM进行完整性度量的计算，并将度量值存储于可信芯片的对应PCR中后，判断硬盘和ROM是否完整，若完整性未被破坏，则启动硬盘和ROM，同时在SML中写入日志；

然后通过BIOS、硬盘和ROM对操作系统进行完整性度量的计算，并将度量值存储于可信芯片对应的PCR中后，判断操作系统是否完整，若完整性未被破坏，则运行操作系统，同时在SML中写入日志；

然后通过BIOS对邮件系统进行完整性度量的计算，并将度量值存储于可信芯片对应的PCR中后，判断邮件系统是否完整，若完整性未被破坏，则在SML中写入日志，并且移动终端验证通过本终端完整性度量的计算；

(6)利用SDIO智能卡中的身份证书签名包括完整性度量报告和移动终端鉴别信息在内的验证信息，并发送至邮箱服务平台；

(7)邮箱服务平台解密接收到的数据包，从中获得移动终端的鉴别信息和完整性度量报告；

(8)验证移动终端的鉴别信息，验证成功后利用预先存储的移动终端邮箱可信度验证信息检测当前接收到的完整性度量报告的合法性，验证通过则激活用户终端的邮箱系统。

2.如权利要求1所述的移动邮箱多因子可信身份认证方法，其特征在于，步骤(4)进一步包括：检测PIN码是否正确。

3.如权利要求1所述的移动邮箱多因子可信身份认证方法，其特征在于，邮箱服务平台验证移动终端的鉴别信息进一步包括：

邮箱服务平台验证移动终端的IMEI、SIM与预先存储的该终端的IMEI、SIM进行一一对应，若相同，则移动终端鉴别验证通过，若不相同，则拒绝移动终端上邮箱系统。

4.如权利要求1所述的移动邮箱多因子可信身份认证方法，其特征在于，邮箱服务平台预先存储用于比对完整性的所有被度量软件及硬件的额定完整性度量值；邮箱服务平台通过该些值认证完整性。

5.一种移动邮箱多因子可信身份认证系统，用于实现权利要求1所述的一种移动邮箱多因子可信身份认证方法，其特征在于，包括邮箱服务平台和若干移动终端，其中，邮箱服务平台进一步包括存储器和服务器，所述存储器包括；

用户和终端鉴别存储单元：用于存储每个用户身份识别信息、每个用户对应的终端鉴别信息；

完整性度量信息存储单元，用于存储移动终端邮箱可信度验证信息；

算法信息存储单元，用于存储包括验证的流程及各种算法密码信息在内的算法信息；

所述服务器进一步包括：

交互处理单元：用于建立与各个终端的交互；

身份验证处理单元：用于验证用户的身份信息及终端鉴别信息；

完整性度量处理单元：用于利用预先存储的移动终端邮箱可信度验证信息检测当前接

收到的完整性度量报告的合法性；

所述移动终端进一步包括：

可信芯片：用于作为可信度量根，设置存储完整性度量值的若干PCR寄存器，

每一PCR寄存器保存一度量结果，其中至少有一个PCR寄存器存储邮箱系统的完整性度量计算值；

SDIO智能卡：用于存储为移动终端颁发的身份证书；

终端鉴别处理模块：用于从移动终端中获得包括SIM卡信息在内的鉴别信息；

可信度量模块硬件管理模块：用于获取可信度量根的可信度量报告；

硬件管理模块：用于实现与SDIO智能卡的交互，获得包括PIN码、身份证书在内的信息；

多因子可信身份认证代理模块：建立与邮箱服务平台的通信，从终端鉴别处理模块、可信度量模块硬件管理模块中获得的各类认证鉴别信息，并通过邮箱服务器平台的验证反馈中决定是否启动邮箱系统。

Images