CN102685749B - 面向移动终端的无线安全身份验证方法 - Google Patents
面向移动终端的无线安全身份验证方法 Download PDFInfo
- Publication number
- CN102685749B CN102685749B CN201210172805.5A CN201210172805A CN102685749B CN 102685749 B CN102685749 B CN 102685749B CN 201210172805 A CN201210172805 A CN 201210172805A CN 102685749 B CN102685749 B CN 102685749B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- user
- certificate
- certificate server
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明公开一种面向移动终端的无线安全身份验证方法。现有移动终端计算能力和安全性都较低。本发明使用了Diffie-Hellman安全密钥交换算法、数字证书技术、DES对称加密算法,并结合证书本地验证技术、二次登录技术、时间戳技术。首先,移动终端注册;其次,进行用户身份证书本地验证和移动终端向认证服务器登录,实现移动终端在无线网络中向认证服务器注册与登录的功能。本发明具有安全性强、操作简单等优点,为移动终端访问内网资源提供了一种新的可靠的方法。
Description
技术领域
本发明属于无线安全身份验证技术领域,尤其涉及一种面向移动终端的无线安全身份验证方法,具体涉及一种以传统的无线公钥基础设施(WPKI)为基础,通过对WPKI使用的安全算法和体系结构进行改进的无线通信网络身份验证方法。
背景技术
随着政府信息化工程建设步伐的不断加快,越来越多政府部门的业务趋向于网络化,例如信息采集、数据共享、业务受理、舆情反馈等,都可以通过互联网络得到实现。同时随着无线通信网络技术的迅速发展,以及人们对各种服务便捷性要求的提高,越来越多的应用服务需要支持各种移动终端设备(如PDA、智能手机等)作为信息交互的移动节点,并且能够通过无线通信网络实时、安全地连接各政府部门的内部服务器,访问相应的信息资源。但是,由于无线通信网络具有带宽低、数据开放性强、终端存储计算能力弱等特点,应用于传统有线网络的基于PKI/PMI(Public Key Infrastructure/Privilege Management Infrastructure)的安全基础设施不能简单地照搬移植到无线通信网络。因此,为无线通信网络设计安全可靠的接入技术,使各种移动终端设备通过认证、授权后能够安全、实时地访问相应组织机构的内网资源,成为当前社会各机构、各领域信息化建设的一个亟待解决的问题。
由于WPKI是专门为无线网络和移动终端设备设计的安全体系,因此其中很多部件都已经考虑到移动终端计算、存储能力弱、无线网络通信带宽有限、可靠性低等实际环境特点。但WPKI引入了可信第三方(TTP)认证服务,这个可信第三方缺乏可信的度量和监控。如果TTP由于受到攻击等原因变成不可信,则它将成为中间人攻击的据点,严重影响整个系统的安全。
因此,急需提出一种新型的无线通信安全身份验证方法,在WPKI使用的安全算法和体系结构的基础上,实现移动终端在计算能力低的限制下通过无线通信网络完成身份验证,并由此安全接入内网。
发明内容
本发明的目的在于针对现有技术的不足,提供一种面向移动终端的无线安全身份验证方法,解决无线网络和各类移动终端在电子政务、电子商务、网上娱乐社会领域应用中的移动身份认证问题。
为实现上述目的,本发明在分析现有无线网络环境中面向移动终端的身份认证安全协议的基础上,设计基于证书授权和身份验证技术的安全协议。在证书授权阶段,主要在安全内网中利用X.509证书标准、安全密钥交换技术实现用户注册、证书颁发以及身份授权;在身份认证阶段,主要利用证书本地验证、对称加密、时间戳技术实现身份验证与安全登录,最终实现面向移动终端的无线安全身份验证。
本发明的方法具体通过以下步骤实现:
步骤(1).移动终端注册:
1-1.在移动终端填写注册表单,并将注册表单的用户信息发送至认证服务器。
1-2.认证服务器收到移动终端发送来的用户信息后先在本地数据库中查找用户信息中用户名(Email)的记录,如果该用户名已经存在则提示该用户已注册;如果用户名不存在则允许注册。
1-3.在注册过程中,认证服务器生成用户身份证书、用户RSA私钥、属于移动终端C的Diffie-Hellman(DH)密钥对和属于认证服务器CS的Diffie-Hellman(DH)密钥对;认证服务器调用移动终端的DH公钥和认证服务器的DH私钥生成认证服务器DES密钥,移动终端调用认证服务器的DH公钥和移动终端的DH私钥生成移动终端DES密钥;认证服务器用用户设置的密码对用户身份证书和用户RSA私钥进行加密,并将加密后的用户身份证书、用户RSA密钥、移动终端的DH密钥对和认证服务器的DH公钥一起作为注册结果反馈给移动终端。
1-4.用户身份证书生成具体如下:
a. 认证服务器用消息摘要算法(SHA-1)散列用户信息得到摘要;
b. 认证服务器生成一对属于该移动终端的RSA密钥对,用RSA私钥加密步骤a中得到的摘要,得到该移动终端的数字签名;
c. 认证服务器利用本地证书中心CA的RSA私钥签发用户身份证书,用户身份证书内容包括用户信息、数字签名、用户的RSA公钥。
步骤(2).移动终端登录,该登录包括用户身份证书的本地验证和移动终端向认证服务器的登录。
2-1.用户身份证书的本地验证具体如下:
d. 在移动终端输入注册时用户设置的密码,解密获得注册时认证服务器用此密码加密的用户身份证书和用户RSA私钥;
e. 用消息摘要算法(SHA-1)散列用户身份证书中的用户信息得到摘要一;
f. 用用户RSA私钥解密用户身份证书中的数字签名得到摘要二;
g.比对摘要一和摘要二的内容,若内容一致则用户身份证书验证成功,否则用户身份证书验证失败。
2-2.移动终端向认证服务器登录具体如下:
h. 移动终端通过无线网关向认证服务器发送登录请求;
i.认证服务器根据发送登录请求的用户名(Email)在本地数据库中查询对应于该用户名(Email)的DES密钥,查找失败则提示登录失败;
j. 如果查找DES密钥成功,则认证服务器生成当前时间戳,将当前时间戳保存在本地,同时用DES密钥加密该时间戳,并将加密后的时间戳返回给移动终端要求二次登录验证;
k. 移动终端收到加密后的时间戳,用本地生成的DES密钥解密得到时间戳,通过无线网关发送给认证服务器;
l. 认证服务器比对移动终端发送来的时间戳与保存在本地的时间戳内容是否一致,若一致则登录成功,否则登录失败。
本发明有益效果如下:
首先,由于本发明具有专用定制性,而非用于普通的移动应用,因此只允许在安全的内网中完成移动终端的注册,对不安全的外网则不开放注册功能,极大程度地限制了用户帐号的数量,有效防止了不法分子的恶意注册,从而大大降低了内网数据被恶意访问的风险。
其次,本发明采用本地身份证书验证技术。在移动终端向认证服务器登录前首先在移动终端本地进行用户身份证书的验证,如果验证通过则发起向认证服务器的登录请求,否则直接拒绝登录,不用与服务器进行交互,在本地就能完成合法性验证,大大减小了认证服务器的压力,同时也降低了交互过程中所隐藏的风险。
最后,本发明采用了二次登录与时间戳技术。认证服务器只需判断移动终端返回的明文与本地保存的明文是否一致,并且移动终端与认证服务器的两次交互是否在同一个session中,即可有效地确认移动终端是否具有访问内网服务的合法身份。同时,利用时间戳作为挑战返还给移动终端,可以极大程度地防止重放攻击。由于克服了现有技术在实际工程应用方面难以解决的困难,因此真正实现了无线网络中移动终端用户安全身份的授权与识别,保障数据能够在内外网间实现安全传输。
总之,本发明针对移动终端通过无线网络访问内网资源的需求,利用Diffie-Hellman(DH)安全密钥交换算法、数字证书技术、DES对称加密算法,并结合证书本地验证技术、二次登录技术、时间戳技术,实现了移动终端在无线网络中向认证服务器注册与登录,具有安全性强、操作简单等优点,克服了以往技术方法都难以克服的难点,也消除了实现真正工程应用的主要障碍,最终为移动终端访问内网资源提供一种新的可靠的方法。
附图说明
图1是本发明用户身份证书生成流程图;
图2是本发明 DES密钥生成流程图;
图3是本发明加密用户RSA私钥和用户身份证书;
图4是本发明移动终端注册流程图;
图5是本发明移动终端本地验证流程图;
图6 是本发明移动终端登录流程图。
具体实施方式
下面结合附图对本发明作进一步说明。
步骤(1).移动终端注册:
1-1.在移动终端填写注册表单,并将注册表单的用户信息发送至认证服务器。
1-2.认证服务器收到移动终端发送来的用户信息后先在本地数据库中查找用户信息中用户名(Email)的记录,如果该用户名已经存在则提示该用户已注册;如果用户名不存在则允许注册。
1-3.在注册过程中,认证服务器生成用户身份证书、用户RSA私钥、属于移动终端C的Diffie-Hellman(DH)密钥对和属于认证服务器CS的Diffie-Hellman(DH)密钥对;如图2所示,认证服务器调用移动终端的DH公钥和认证服务器的DH私钥生成认证服务器DES密钥,移动终端调用认证服务器的DH公钥和移动终端的DH私钥生成移动终端DES密钥; 如图3、图4所示,认证服务器用用户设置的密码对用户身份证书和用户RSA私钥进行加密,并将加密后的用户身份证书、用户RSA密钥、移动终端的DH密钥对和认证服务器的DH公钥一起作为注册结果反馈给移动终端。
1-4.用户身份证书生成具体如图1所示:
a. 认证服务器用消息摘要算法(SHA-1)散列用户信息得到摘要;
b. 认证服务器生成一对属于该移动终端的RSA密钥对,用RSA私钥加密步骤a中得到的摘要,得到该移动终端的数字签名;
c. 认证服务器利用本地证书中心CA的RSA私钥签发用户身份证书,用户身份证书内容包括用户信息、数字签名、用户的RSA公钥。
步骤(2).移动终端登录,该登录包括用户身份证书的本地验证和移动终端向认证服务器的登录。
2-1.用户身份证书的本地验证具体如图5所示:
d. 在移动终端输入注册时用户设置的密码,解密获得注册时认证服务器用此密码加密的用户身份证书和用户RSA私钥;
e. 用消息摘要算法(SHA-1)散列用户身份证书中的用户信息得到摘要一;
f. 用用户RSA私钥解密用户身份证书中的数字签名得到摘要二;
g.比对摘要一和摘要二的内容,若内容一致则用户身份证书验证成功,否则用户身份证书验证失败。
2-2.移动终端向认证服务器登录具体流程如图6所示:
h. 移动终端通过无线网关向认证服务器发送登录请求;
i.认证服务器根据发送登录请求的用户名(Email)在本地数据库中查询对应于该用户名(Email)的DES密钥,查找失败则提示登录失败;
j. 如果查找DES密钥成功,则认证服务器生成当前时间戳,将当前时间戳保存在本地,同时用DES密钥加密该时间戳,并将加密后的时间戳返回给移动终端要求二次登录验证;
k. 移动终端收到加密后的时间戳,用本地生成的DES密钥解密得到时间戳,通过无线网关发送给认证服务器;
l. 认证服务器比对移动终端发送来的时间戳与保存在本地的时间戳内容是否一致,若一致则登录成功,否则登录失败。
Claims (1)
1.面向移动终端的无线安全身份验证方法,包括如下步骤:
步骤(1).移动终端注册:
1-1.在移动终端填写注册表单,并将注册表单的用户信息发送至认证服务器;
1-2.认证服务器收到移动终端发送来的用户信息后先在本地数据库中查找用户信息中用户名的记录,如果该用户名已经存在则提示该用户已注册;如果用户名不存在则允许注册;
1-3.在注册过程中,认证服务器生成用户身份证书、用户RSA私钥、属于移动终端MT的Diffie-Hellman密钥对和属于认证服务器CS的Diffie-Hellman密钥对;认证服务器调用移动终端的DH公钥和认证服务器的DH私钥生成认证服务器DES密钥,移动终端调用认证服务器的DH公钥和移动终端的DH私钥生成移动终端DES密钥;认证服务器用用户设置的密码对用户身份证书和用户RSA私钥进行加密,并将加密后的用户身份证书、用户RSA密钥、移动终端的DH密钥对和认证服务器的DH公钥一起作为注册结果反馈给移动终端;
1-4.用户身份证书生成具体如下:
a.认证服务器用消息摘要算法散列用户信息得到摘要;
b.认证服务器生成一对属于该移动终端的RSA密钥对,用RSA私钥加密步骤a中得到的摘要,得到该移动终端的数字签名;
c.认证服务器利用本地证书中心CA的RSA私钥签发用户身份证书,用户身份证书内容包括用户信息、数字签名、用户的RSA公钥;
步骤(2).移动终端登录,该登录包括用户身份证书的本地验证和移动终端向认证服务器的登录;
2-1.用户身份证书的本地验证具体如下:
d.在移动终端输入注册时用户设置的密码,解密获得注册时认证服务器用此密码加密的用户身份证书和用户RSA私钥;
e.用消息摘要算法散列用户身份证书中的用户信息得到摘要一;
f.用用户RSA私钥解密用户身份证书中的数字签名得到摘要二;
g.比对摘要一和摘要二的内容,若内容一致则用户身份证书验证成功,否则用户身份证书验证失败;
2-2.移动终端向认证服务器登录具体如下:
h.移动终端通过无线网关向认证服务器发送登录请求;
i.认证服务器根据发送登录请求的用户名在本地数据库中查询对应于该用户名的DES密钥,查找失败则提示登录失败;
j.如果查找DES密钥成功,则认证服务器生成当前时间戳,将当前时间戳保存在本地,同时用DES密钥加密该时间戳,并将加密后的时间戳返回给移动终端要求二次登录验证;
k.移动终端收到加密后的时间戳,用本地生成的DES密钥解密得到时间戳,通过无线网关发送给认证服务器;
l.认证服务器比对移动终端发送来的时间戳与保存在本地的时间戳内容是否一致,若一致则登录成功,否则登录失败。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210172805.5A CN102685749B (zh) | 2012-05-30 | 2012-05-30 | 面向移动终端的无线安全身份验证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210172805.5A CN102685749B (zh) | 2012-05-30 | 2012-05-30 | 面向移动终端的无线安全身份验证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102685749A CN102685749A (zh) | 2012-09-19 |
| CN102685749B true CN102685749B (zh) | 2014-09-03 |
Family
ID=46816983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210172805.5A Expired - Fee Related CN102685749B (zh) | 2012-05-30 | 2012-05-30 | 面向移动终端的无线安全身份验证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102685749B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581184B (zh) * | 2013-10-31 | 2017-01-04 | 中国电子科技集团公司第十五研究所 | 移动终端访问企业内网服务器的方法和系统 |
| CN105635056A (zh) * | 2014-11-01 | 2016-06-01 | 江苏威盾网络科技有限公司 | 一种移动终端接入内网的验证和监控系统 |
| CN105207782B (zh) * | 2015-11-18 | 2018-09-25 | 上海爱数信息技术股份有限公司 | 一种基于restful架构的身份验证方法 |
| CN105511821B (zh) * | 2015-12-02 | 2018-05-29 | 天津光电安辰信息技术股份有限公司 | 一种基于智能密码钥匙的打印与刻录控制系统及实现方法 |
| CN105306220B (zh) * | 2015-12-02 | 2018-05-29 | 天津光电安辰信息技术股份有限公司 | 一种基于智能密码钥匙的文件刻录控制系统及其实现方法 |
| CN105335109B (zh) * | 2015-12-02 | 2018-05-29 | 天津光电安辰信息技术股份有限公司 | 一种基于智能密码钥匙的文件打印控制系统及其实现方法 |
| WO2018094554A1 (zh) * | 2016-11-22 | 2018-05-31 | 深圳前海达闼云端智能科技有限公司 | 提升无人机运输安全的方法、无人机、终端、服务器和计算机程序产品 |
| CN107733861A (zh) * | 2017-09-05 | 2018-02-23 | 四川中电启明星信息技术有限公司 | 一种基于企业级内外网环境的无密码登录实现方法 |
| CN109145543B (zh) * | 2018-09-03 | 2020-12-04 | 湖北文理学院 | 一种身份认证方法 |
| CN110084706A (zh) * | 2019-04-04 | 2019-08-02 | 国美金控投资有限公司 | 一种基于区块链的延保验证系统与方法 |
| CN110233842B (zh) * | 2019-06-10 | 2021-07-27 | 腾讯科技(深圳)有限公司 | 一种请求的校验方法和相关装置 |
| CN110445614B (zh) * | 2019-07-05 | 2021-05-25 | 创新先进技术有限公司 | 证书申请方法、装置、终端设备、网关设备和服务器 |
| US11095460B2 (en) | 2019-07-05 | 2021-08-17 | Advanced New Technologies Co., Ltd. | Certificate application operations |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004073252A1 (ja) * | 2003-02-14 | 2004-08-26 | Sony Corporation | 認証処理装置及びセキュリティ処理方法 |
| CN101312453A (zh) * | 2007-05-21 | 2008-11-26 | 联想(北京)有限公司 | 用户终端、登录网络服务系统的方法和绑定/解绑定方法 |
| CN101997683A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 一种零知识证明的认证方法及认证装置 |
-
2012
- 2012-05-30 CN CN201210172805.5A patent/CN102685749B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004073252A1 (ja) * | 2003-02-14 | 2004-08-26 | Sony Corporation | 認証処理装置及びセキュリティ処理方法 |
| CN101312453A (zh) * | 2007-05-21 | 2008-11-26 | 联想(北京)有限公司 | 用户终端、登录网络服务系统的方法和绑定/解绑定方法 |
| CN101997683A (zh) * | 2009-08-10 | 2011-03-30 | 北京多思科技发展有限公司 | 一种零知识证明的认证方法及认证装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102685749A (zh) | 2012-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
| US10243742B2 (en) | Method and system for accessing a device by a user | |
| CN102625294B (zh) | 以usb作为虚拟sim卡的移动业务管理方法 | |
| CN111935714B (zh) | 一种移动边缘计算网络中身份认证方法 | |
| CN102547688B (zh) | 一种基于虚拟专用信道的高可信手机安全通信信道的建立方法 | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| CN109618326A (zh) | 用户动态标识符生成方法及服务注册方法、登录验证方法 | |
| EP2767029B1 (en) | Secure communication | |
| CN106576043A (zh) | 病毒式可分配可信消息传送 | |
| WO2017185450A1 (zh) | 终端的认证方法及系统 | |
| CN103312691A (zh) | 一种云平台的认证与接入方法及系统 | |
| CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
| CN103023911A (zh) | 可信网络设备接入可信网络认证方法 | |
| CN107612949B (zh) | 一种基于射频指纹的无线智能终端接入认证方法及系统 | |
| CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
| WO2023174038A1 (zh) | 数据传输方法及相关设备 | |
| Santos et al. | FLAT: Federated lightweight authentication for the Internet of Things | |
| WO2023071751A1 (zh) | 一种认证方法和通信装置 | |
| CN103401686A (zh) | 一种用户互联网身份认证系统及其应用方法 | |
| Zhang et al. | Is Today's End-to-End Communication Security Enough for 5G and Its Beyond? | |
| CN104243435A (zh) | 一种基于OAuth的HTTP协议的通讯方法 | |
| CN103781026A (zh) | 通用认证机制的认证方法 | |
| CN201717885U (zh) | 密码提供设备和密码认证系统 | |
| CN106877996A (zh) | Pki域内的用户访问ibc域内的资源的认证密钥协商方法 | |
| Zhang et al. | Mobile payment protocol based on dynamic mobile phone token |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140903 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |