CN103107888A - 面向移动终端的动态多属性多级别的身份认证方法 - Google Patents
面向移动终端的动态多属性多级别的身份认证方法 Download PDFInfo
- Publication number
- CN103107888A CN103107888A CN2013100266602A CN201310026660A CN103107888A CN 103107888 A CN103107888 A CN 103107888A CN 2013100266602 A CN2013100266602 A CN 2013100266602A CN 201310026660 A CN201310026660 A CN 201310026660A CN 103107888 A CN103107888 A CN 103107888A
- Authority
- CN
- China
- Prior art keywords
- authentication
- mobile terminal
- data base
- background data
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种面向移动终端的动态多属性多级别的身份认证方法,选取一个安全的消息认证算法MA,在移动终端中设有和后台数据库DB共享的固化在芯片内部的密钥S,并在后台数据库中存储移动终端的两个不同密钥。本发明在移动终端和后台数据库之间提供了一个多级别的轻量级认证,当用户需要进行最基本的认证需求时,如微支付,则只需移动终端内部的固化密钥进行处理即可安全快速的实现;同时如需进行中高级别认证时,通过用户密钥key1(如口令)和key2(如指纹),结合门限思想及方法处理移动终端的相关属性,灵活地实现多级别认证,以满足用户的不同应用场合的需求,如小额支付,大额支付等。本发明方法简单,使用方便,实施效果好。
Description
技术领域
本发明涉及安全认证方法,尤其是一种面向移动终端的动态多属性多级别的身份认证方法。
背景技术
移动终端已经成为了移动互联网发展的重要载体,越来越多的互联网应用,如:电子商务,电子政务,电子办公等,都正在迅速地向移动终端迁移。同时在手机、IPDA及平板电脑等移动终端上进行电子支付已经逐渐变得十分频繁,如付费游戏、移动淘宝购物、付费音乐下载和付费软件使用等,每一次移动支付都会涉及到身份认证。移动支付身份认证就是保证在移动支付过程中,交易主体能够真实方便的确认对方的身份,并可以顺利完成交易和支付。
传统的电子支付身份认证既不考虑交易主体的特定身份信息,也不考虑认证过程中所需要计算开销和能源开销。相对于有线网络的连接方式,无线网络没有特定的界限,窃听者无需进行搭线就可以轻易获得无线网络信号。因此,相对于传统的电子支付模式,移动电子支付的安全性更加薄弱,需要具备高安全和高便捷性的身份认证方式。在移动支付身份认证中,由于载体不但包含了交易主体的特定身份特征,而且其所具备的计算能力有限,故该过程更容易受到木马、黑客等攻击,使得该过程受到更大的安全挑战。
为了能在移动终端上保证安全可靠且方便高效地进行移动支付身份认证,不同的方法被相继提出,现有方法的主要思想是通过短信、口令等进行安全上的保证。这些方法有:
1、短信验证:后台数据库向用户发送包含相关数字验证码的短信,用户一般在60s内通过输入数字验证码进行验证。
2、口令验证:一般通过预先和后台数据库设置的口令,对相关数据进行处理,从而达到身份认证的目的。
这些方法主要有两方面的不足:存在着延时性,安全性不足,同时导致交易主体用户体验差;仅提供单一级别的认证,不能满足交易主体支付不同额度款额时的不同安全预期。
例如,中兴通讯有限公司申请的申请号为“200910225721.1”,申请名称为“ NFC认证方法和系统”的发明专利申请,它的技术方案原理如图3所示,其具体如下:
移动终端卷标:身份标识UID,密钥key1和key2,hash函数模块。
数据库:身份标识UID,密钥key1和 key2,hash函数模块,随机数产生模块。
交互过程如下:
2、移动终端卷标利用hash函数模块和密钥key1计算,得a=hash(key1,r1),并将UID和a发送给移动终端装置;
3、移动终端装置将UID、a和随机数r1发送给后台数据库;
4、后台数据库根据接收到的UID,查询密钥key1’和 key2’,计算a’=hash(key1,r1),同数据a进行对比,如相同则移动终端卷标认证通过,否则失败;认证通过后利用密钥key2’计算b’=hash(key2’,UID),并将b’发送给移动终端卷标;
5、移动终端卷标得到b’后,利用密钥key2和身份标识UID进行计算b’=hash(key2’,UID),并将b’和b进行对比,如相同则认证通过,否则失败。
该方案的缺点是,该方案的认证为单级别认证,在某些情况应用时会使得用户体验较差,如移动支付领域,用户的支付情况可分为:微支付、小额支付和大额支付,即需要在一个平台上同时实现多级别的安全认证,而此方案不能满足该要求。
该方案无法针对不同的用户提供区别性的认证,该方案中移动终端芯片为同一级别,而现实生活中每个用户由于级别、职位等相关属性不同,其所需的认证也不尽同,此方案不能满足该要求。
发明内容
本发明的目的是:提供一种面向移动终端的动态多属性多级别的身份认证方法,它通过设置相关认证密钥,利用移动终端的各种属性,如手机上的手机号、SIM卡号、PIN码、机主指纹及口令等,针对不同的应用需求,组合出多级别的认证框架,并能进行属性更新,以克服现有技术的不足。
本发明是这样实现的:面向移动终端的动态多属性多级别的身份认证方法,选取一个安全的消息认证算法MA,在移动终端U中设有和后台数据库DB共享的固化在芯片内部的密钥S,并在后台数据库中存储移动终端的两个不同密钥;在认证过程中,终端阅读器向移动终端用户发送一个特征值及随机数Rd,同时移动终端通过特征值判断所需要的认证级别,并自行生成一个随机数Rt,并结合密钥S及消息认证算法MA,产生一个认证值σ1,并将其与随机数Rt一同发送给终端阅读器,终端阅读器将相关数据转发至后台数据库DB;如需初级认证,则后台数据库DB通过查找相应的数据,并基于算法MA产生认证值σ1’,通过将σ1’和σ1进行对比,实现对移动终端进行认证,如相同则认证通过,否则认证失败;如需进行高级别认证,则后台数据库DB向移动终端发送一个随机数Rb和门限值t,移动终端在收到后台数据库DB发送的数据后,利用插值多项式和预设的访问策略针对认证级别的高低进行处理计算生成σ2,然后将σ2和预设的自身属性集合处理得到认证数据,并将认证数据发送至后台数据库DB,后台数据库DB接受到认证数据后,结合认证密钥进行验证,如吻合则认证通过,否则结束通信。
由于采用了上述技术方案,与现有技术相比,本发明在移动终端和后台数据库之间提供了一个多级别的轻量级认证,当用户需要进行最基本的认证需求时,如微支付,则只需移动终端内部的固化密钥进行处理即可安全快速的实现;同时如需进行中高级别认证时,通过用户密钥key1(如口令)和key2(如指纹),结合门限思想处理移动终端的相关属性,灵活的实现相关认证,可满足用户在相应场合的需求,如小额支付,大额支付等。本发明方法简单,使用方便,实施效果好。
附图说明
附图1为本发明的实施例的属性访问控制图;
附图2为本发明的流程图;
附图3为现有技术的原理图。
具体实施方式
本发明的实施例:面向移动终端的动态多属性多级别的身份认证方法:
移动终端用户拥有以下数据:消息认证算法MA模块和AES加密模块, n个属性att1、att2…attn和固化密钥S,用户共享密钥key1和 key2。
后台数据库DB拥有以下数据:消息认证算法MA模块和AES加密模块,移动终端的n个属性att 1 , att 2 …att n 和固化密钥S,用户共享密钥key 1 和 key 2 。
用户属性分为两部分:必需属性atti,可选属性att1、att2、atti-1、atti+1…attn,必需属性数目可不唯一。
在基于NFC芯片手机支付的应用中,属性att1、att2…attn可以是手机号,SIM卡号,入网许可证号或机主身份信息等,固化密钥S为芯片和后台数据库DB共享的,密钥key1和 key2可是用户的生物信息和口令等。
如图1所示,图中实线部分为必须属性,虚线部分为可选属性。
移动终端用户有多种认证级别,本实施例以三种为例,由低到高依次为:e1(一级)、e2(二级)和e3(三级)。
具体流程如图2所示:
(1). 终端阅读器向需要认证的移动终端终端用户发送一个随机数Rd和特征值C;
(3). 移动终端用户调用消息认证算法模块,计算σ1=h1(ei,Rr,Rt),并分为左右两部分:σ1L和σ1R,若认证级别为e1则存储σ1R,否则不予存储;同时将σ1、 Rt、认证级别ei和移动终端ID号发送给终端阅读器。
(4). 终端阅读器将σ1L、Rd、 Rt、认证级别ei和移动终端ID号发送给后台数据库DB;
(5). 后台数据库DB通过ID号查找出相应的共享密钥,调用消息认证算法MA模块,计算σ1’=hs(ei’,Rr,Rt),通过对比σ’1L和σ1L是否相同,验证移动终端用户的合法性,如相同,则移动终端终端用户验证通过。此时根据认证级别执行相应的操作;
(6). 若安全级别为e1,则执行如下操作:
(7). 后台数据库DB将σ’1R发送给移动终端用户;
(8)移动终端用户在收到σ’1R后,将其与σ1R进行对比,如通过则验证通过,否则验证失败,结束通信;
(9). 若安全级别为e2,则执行如下操作:
(10). 后台数据库DB按照相关要求对用户进行认证控制,选取一个随机数Rb和门限值t,并Rb和t发送给用户;
(11). 移动终端用户在收到Rb和门限值t后,选定一个t-1次插值多项式f(x)=at-1xt-1+ at-2xt-2+…+a1x1+a0 mod q,其中,q为一个大素数,Zq为整数域,a0,,a1,…,at-1 mod q,输入移动终端的n个属性att1、att2…attn,得到对应值 f(att1)、f(att2)…f(attn),调用AES加密模块,计算ci=Ds( f(att1)),计算σ2=hkey1(a0, σ1),将{att1, att2,…, attn, c1,c2, …, cn, σ2}发送给后台数据库DB;
(12). 移动终端终端用户在收到相关数据后,将属性att1、att2…attn同后台数据库中存储的属性进行对比,如吻合的属性数目小于t个或必需属性不包含在内,则拒绝认证,否则调用AES模块对Ci进行解密,并用拉格朗日插值多项式计算出σ1’,同时计算σ2’= hkey1(a0’,σ1),并将σ2’与σ2进行对比,如吻合则验证通过,否则验证失败,结束通信;
(13). 若安全级别为e3,则执行如下操作:
(14). 后台数据库DB按照相关要求对用户进行认证控制,选取一个随机数Rb和门限值t,并Rb和 t发送给用户。
(15). 移动终端用户在收到Rb和门限值t后,选定一个t-1次插值多项式f(x)=at-1xt-1+ at-2xt-2+…+a1x1+a0 mod q,其中,q为一个大素数,Zq为整数域,a0,a1,…,at-1 mod q,输入移动终端的n个属性att1、att2…attn,得到对应值f(att1)、f(att2)…f(attn),调用AES加密模块,计算ci=Ds( f(att1)),σ2=h key1 (a0,σ1,key2),将{att1、att2…attn,c1,c2,…,cn,σ2}发送给后台数据库DB;
Claims (1)
1.一种面向移动终端的动态多属性多级别的身份认证方法,其特征在于:选取一个安全的消息认证算法MA,在移动终端U中设有和后台数据库DB共享的固化在芯片内部的密钥S,并在后台数据库中存储移动终端的两个不同密钥;在认证过程中,终端阅读器向移动终端用户发送一个特征值及随机数Rd,同时移动终端通过特征值判断所需要的认证级别,并自行生成一个随机数Rt,并结合密钥S及消息认证算法MA,产生一个认证值σ1,并将其与随机数Rt一同发送给终端阅读器,终端阅读器将相关数据转发至后台数据库DB;如需初级认证,则后台数据库DB通过查找相应的数据,并基于算法MA产生认证值σ1’,通过将σ1’和σ1进行对比,实现对移动终端进行认证,如相同则认证通过,否则认证失败;如需进行高级别认证,则后台数据库DB向移动终端发送一个随机数Rb和门限值t’,移动终端在收到后台数据库DB发送的数据后,利用插值多项式和预设的访问策略针对认证级别的高低进行处理计算生成σ2,然后将σ2和预设的自身属性集合处理得到认证数据,并将认证数据发送至后台数据库DB,后台数据库DB接受到认证数据后,结合认证密钥进行验证处理,如吻合则认证通过,否则结束通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310026660.2A CN103107888B (zh) | 2013-01-24 | 2013-01-24 | 面向移动终端的动态多属性多级别的身份认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310026660.2A CN103107888B (zh) | 2013-01-24 | 2013-01-24 | 面向移动终端的动态多属性多级别的身份认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103107888A true CN103107888A (zh) | 2013-05-15 |
CN103107888B CN103107888B (zh) | 2015-11-18 |
Family
ID=48315474
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310026660.2A Expired - Fee Related CN103107888B (zh) | 2013-01-24 | 2013-01-24 | 面向移动终端的动态多属性多级别的身份认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103107888B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103546489A (zh) * | 2013-11-05 | 2014-01-29 | 腾讯科技(武汉)有限公司 | 一种权限控制方法、服务器和系统 |
CN103701782A (zh) * | 2013-12-16 | 2014-04-02 | 天地融科技股份有限公司 | 一种数据传输方法和系统 |
CN104219244A (zh) * | 2014-09-19 | 2014-12-17 | 深圳供电局有限公司 | 一种iBeacon防位置欺骗的方法和认证服务器、基站 |
US10021095B1 (en) | 2015-05-29 | 2018-07-10 | Amdocs Development Limited | System, method, and computer program for two layer user authentication associated with connected home devices |
CN110113156A (zh) * | 2019-04-30 | 2019-08-09 | 福建师范大学 | 一种可追踪的分层多授权密文策略属性基认证方法 |
CN110298176A (zh) * | 2018-10-25 | 2019-10-01 | 贵州财经大学 | 智能终端App权限隐私风险监测与评估系统及方法 |
CN111556499A (zh) * | 2020-05-09 | 2020-08-18 | 哈尔滨工业大学 | 基于智能感知的多属性物理层认证方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007039803A1 (en) * | 2005-10-03 | 2007-04-12 | Nokia Corporation | System, method and computer program product for authenticating a data agreement between network entities |
CN101719830A (zh) * | 2009-11-27 | 2010-06-02 | 中兴通讯股份有限公司 | Nfc认证方法和系统 |
CN101977198A (zh) * | 2010-10-29 | 2011-02-16 | 西安电子科技大学 | 域间认证及密钥协商方法 |
-
2013
- 2013-01-24 CN CN201310026660.2A patent/CN103107888B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007039803A1 (en) * | 2005-10-03 | 2007-04-12 | Nokia Corporation | System, method and computer program product for authenticating a data agreement between network entities |
CN101273572A (zh) * | 2005-10-03 | 2008-09-24 | 诺基亚公司 | 用于在网络实体之间对数据协商进行认证的系统、方法和计算机程序产品 |
CN101719830A (zh) * | 2009-11-27 | 2010-06-02 | 中兴通讯股份有限公司 | Nfc认证方法和系统 |
CN101977198A (zh) * | 2010-10-29 | 2011-02-16 | 西安电子科技大学 | 域间认证及密钥协商方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103546489A (zh) * | 2013-11-05 | 2014-01-29 | 腾讯科技(武汉)有限公司 | 一种权限控制方法、服务器和系统 |
CN103701782A (zh) * | 2013-12-16 | 2014-04-02 | 天地融科技股份有限公司 | 一种数据传输方法和系统 |
CN104219244A (zh) * | 2014-09-19 | 2014-12-17 | 深圳供电局有限公司 | 一种iBeacon防位置欺骗的方法和认证服务器、基站 |
CN104219244B (zh) * | 2014-09-19 | 2017-09-01 | 深圳供电局有限公司 | 一种iBeacon防位置欺骗的方法和认证服务器、基站 |
US10021095B1 (en) | 2015-05-29 | 2018-07-10 | Amdocs Development Limited | System, method, and computer program for two layer user authentication associated with connected home devices |
CN110298176A (zh) * | 2018-10-25 | 2019-10-01 | 贵州财经大学 | 智能终端App权限隐私风险监测与评估系统及方法 |
CN110113156A (zh) * | 2019-04-30 | 2019-08-09 | 福建师范大学 | 一种可追踪的分层多授权密文策略属性基认证方法 |
CN110113156B (zh) * | 2019-04-30 | 2021-09-28 | 福建师范大学 | 一种可追踪的分层多授权密文策略属性基认证方法 |
CN111556499A (zh) * | 2020-05-09 | 2020-08-18 | 哈尔滨工业大学 | 基于智能感知的多属性物理层认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103107888B (zh) | 2015-11-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103259667B (zh) | 移动终端上eID身份认证的方法及系统 | |
US20190165947A1 (en) | Signatures for near field communications | |
US20160117673A1 (en) | System and method for secured transactions using mobile devices | |
CN103107888B (zh) | 面向移动终端的动态多属性多级别的身份认证方法 | |
US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
US20130226812A1 (en) | Cloud proxy secured mobile payments | |
CN106161359A (zh) | 认证用户的方法及装置、注册可穿戴设备的方法及装置 | |
US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
US20150142666A1 (en) | Authentication service | |
US20100153731A1 (en) | Lightweight Authentication Method, System, and Key Exchange Protocol For Low-Cost Electronic Devices | |
US20150142669A1 (en) | Virtual payment chipcard service | |
US8874919B2 (en) | Apparatus and method of a portable terminal authenticating another portable terminal | |
CN104301110A (zh) | 应用于智能终端的身份验证方法、身份验证设备和系统 | |
US20160335627A1 (en) | Method, device and a server for signing data | |
CN110147666B (zh) | 物联网场景下的轻量级nfc身份认证方法、物联网通信平台 | |
US20150142667A1 (en) | Payment authorization system | |
US20180018665A1 (en) | Method and device for accessing a service | |
CN104935435A (zh) | 登录方法、终端及应用服务器 | |
CN106980977B (zh) | 基于物联网的支付方法和系统 | |
US20160359832A1 (en) | Virtual device authorization method and device | |
CN105427102A (zh) | 基于金融ic卡的认证方法及其相应的设备和系统 | |
CN103854177A (zh) | 一种安全网银的实施方法 | |
CN103248487A (zh) | 近场通信认证方法、证书授权中心及近场通信设备 | |
KR101384441B1 (ko) | 사용자 인증 시스템 및 방법 | |
CN102457374A (zh) | 一种移动终端的安全认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20190821 Address after: Room 202, Mingzheng Building, West Campus of Guizhou University, Huaxi District, Guiyang City, Guizhou Province Patentee after: Guizhou Baoluo Wandu Technology Co., Ltd. Address before: 550025 science and Technology Department, north campus, Guizhou University, Huaxi, Guizhou, China Patentee before: Guizhou University |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151118 Termination date: 20200124 |