身份認證系統及其方法
2023-06-16 03:14:41 2
專利名稱:身份認證系統及其方法
技術領域:
本發明涉及通訊領域,尤其涉及一種身份認證系統及其方法。
背景技術:
在電子商務、網上銀行等安全性要求很高的網上業務中,實體的身份認證和數據的加密傳輸是必須的安全措施。隨著 智能終端的普及以及手機上網速度的不斷提高,使用手機處理各類網上業務的應用需求越來越強烈。在現有技術中,提出了一種基於公鑰基礎設施(PKI)的移動通信終端身份認證和密鑰交換的技術方案。根據該技術,證書中心(CA)為每一個智慧型手機卡頒發數字證書,在需要進行移動加密通信時,位於移動終端內的安全代理模塊獲取移動終端智慧型手機卡的數字證書並將該數字證書發送給伺服器端;伺服器端驗證數字證書的合法性並從CA獲取該數字證書對應的公鑰;伺服器端隨機選取一個會話密鑰後,用該公鑰加密該會話密鑰並發送給移動終端;移動終端的智慧型手機卡通過自己的私鑰解密並獲取會話密鑰;移動終端和伺服器端通過會話密鑰加密數據實現保密通信。根據該方案,在每次對智慧型手機卡進行身份認證時,伺服器端都需要在線聯繫CA以驗證智慧型手機卡的數字證書的合法性並獲取智慧型手機卡的公鑰,這增加了業務的響應時間,影響了用戶體驗,尤其是手機終端網上業務大規模普及以後,在線聯繫CA更容易成為系統的瓶頸,使用戶等待時間大大增加。因此,有必要提出改進的技術方案,解決上述問題。
發明內容
本發明的主要目的在於提供一種身份認證系統及其方法,以解決現有技術存在的通過證書中心獲取手機的公鑰增加伺服器響應時間的問題,其中根據本發明實施例的身份認證方法包括移動終端獲取公鑰和私鑰對,將所述公鑰發送至伺服器;所述伺服器利用所述公鑰生成加密會話密鑰後發送至所述移動終端;所述移動終端使用所述私鑰對所述加密會話密鑰進行解密,獲取會話密鑰。其中,所述移動終端獲取公鑰和私鑰對具體包括獲取並保存由密鑰生成中心KGC伺服器生成的私鑰;所述公鑰由所述移動終端的身份標識信息生成;所述公鑰與私鑰相對應。其中,所述伺服器利用所述公鑰生成加密會話密鑰後發送至所述移動終端具體包括所述伺服器預先選取會話密鑰,利用所述公鑰加密會話密鑰,並發送至所述移動終端。其中,還包括所述移動終端使用所述私鑰將待驗證信息進行加密,並將所述待驗證信息發送至所述伺服器。其中,還包括所述伺服器接收來自所述移動終端的待驗證信息,使用所述公鑰對加密的待驗證信息進行解密,並根據解密後的待驗證信息對所述移動終端進行身份認證。根據本發明實施例的身份認證系統包括移動終端和伺服器,其中,移動終端獲取公鑰和私鑰對,將所述公鑰發送至伺服器;所述伺服器利用所述公鑰生成加密會話密鑰後發送至所述移動終端;所述移動終端使用所述私鑰對所述加密會話密鑰進行解密,獲取會話密鑰。其中,所述移動終端包括第一獲取模塊,用於獲取並保存由KGC生成的私鑰;第二獲取模塊,用於獲取由所述移動終端的身份識別信息生成的公鑰;其中,所述公鑰與私鑰相對應;第一發送模塊,用於將所述公鑰發送至所述伺服器。其中,所述伺服器包括第一加密模塊,用於利用所述公鑰加密預先選取的會話密鑰;第二發送模塊,用於將加密會話密鑰發送至所述移動終端。其中,所述移動終端還包括第二加密模塊,用於使用所述私鑰將待驗證信息進行加密;第三發送模塊,用於將所述待驗證信息發送至所述伺服器。其中,所述伺服器還包括解密模塊,用於使用所述公鑰對加密的待驗證信息進行解密;身份驗證模塊,用於根據解密後的待驗證信息對所述移動終端進行身份認證。
根據本發明的技術方案,移動終端通過密鑰生成中心獲取私鑰,並使用終端的標識信息作為公鑰,在進行網上在線認證移動終端的身份以及交換會話密鑰時,無需在線聯繫CA,可以減少伺服器響應時間,更好地滿足了用戶的實時需求。
此處所說明的附圖用來提供對本發明的進一步理解,構成本申請的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中圖I是根據本發明實施例的移動終端的結構框圖;圖2是根據本發明實施例的身份認證系統的結構框圖;圖3是根據本發明實施例的身份認證方法的流程圖;圖4是根據本發明實施例的身份認證方法的優選處理方案的流程圖。
具體實施例方式本發明的主要通過公鑰密碼系統(非對稱密鑰算法)以及挑戰/響應機制實行身份認證。移動終端獲取公鑰和私鑰對,將公鑰發送至伺服器;伺服器利用公鑰生成加密會話密鑰後發送至移動終端;移動終端使用私鑰對加密會話密鑰進行解密,獲取會話密鑰。根據本發明的實施例,提供了一種身份認證系統。圖I是根據本發明實施例的身份認證系統的結構框圖,如圖I所示,包括移動終端10和伺服器20。移動終端10獲取公鑰和私鑰對,將所述公鑰發送至伺服器20 ;所述伺服器20利用所述公鑰生成加密會話密鑰後發送至所述移動終端10 ;所述移動終端10使用所述私鑰對所述加密會話密鑰進行解密,獲取會話密鑰。參考圖2,移動終端10具體包括第一獲取模塊110、第二獲取模塊120、第一發送模塊130,下面詳細描述各模塊的結構。第一獲取模塊10用於預先獲取由KGC生成的私鑰,並保存該私鑰。在實現身份認證和密鑰交換之前,移動終端(或智慧型手機卡)獲取由密鑰生成中心(KGC)生成的私鑰,這一步驟只需要執行一次,可以在智慧型手機卡出廠的時候完成。首先,智慧型手機卡向KGC發出申請,要求KGC生成私鑰。然後,KGC驗證智慧型手機卡的合法性之後為該智慧型手機卡生成一個私鑰,該私鑰保存在智慧型手機卡中。由於上述的私鑰獲取過程是在智慧型手機卡出廠前完成,並且僅進行一次,因此非法用戶不能竊取該私鑰,從根本上保證了數據傳輸的安全性。經過上述過程之後,智慧型手機卡就持有了公私密鑰對,其中公鑰是其身份標識通過公開散列函數生成的哈希值,身份標識包括但不限以下信息之一 MEI (InternationalMobile Equipment Identity,國際行動裝置身份碼)、ESN (Electronic Serial Number,電子序列號)、SN (Serial Number,序列號)、SIM (Subscriber Identity Module,客戶識別卡)卡號、UIM (User Identity Module,用戶識別卡)卡號、USIM (Universal SubscriberIdentity Module,全球用戶識別卡)卡號、MAC地址。第一發送模塊130用於將所述公鑰發送至所述伺服器20。這樣,伺服器就擁有了終端的公鑰。在進行網上在線認證智慧型手機卡的身份時,無需在線聯繫CA,可以減少伺服器響應時間,更好地滿足用戶的實時需求。
繼續參考圖2,伺服器20具體包括第一加密模塊210和第二發送模塊220。伺服器在會話密鑰空間中選定一個隨機數作為會話密鑰,第一加密模塊210利用公鑰加密該會話密鑰,並由第二發送模塊220將加密會話密鑰發送至移動終端。基於上述處理,移動終端接收到加密的會話密鑰後,使用私鑰解密,從而完成密鑰交換,從而使用會話密鑰進行保密通信。在進行會話密鑰交換之前,根據本發明實施例,通過一個「承諾-挑戰-響應」認證過程實現伺服器對移動終端的身份認證。移動終端隨機選取一個承諾值(該承諾值在特定定義域內)並發送至伺服器。伺服器隨機選取一個挑戰值(該承諾值在特定定義域內)並發送至移動終端,移動終端根據承諾值和挑戰值計算出回應值,作為驗證終端身份的待驗證信息。繼續參考圖2,移動終端還包括第二加密模塊140用於使用私鑰將待驗證信息進行加密。然後由第三發送模塊150將待驗證信息發送至伺服器20。伺服器20接收到終端的待驗證信息後,由解密模塊230使用公鑰對加密的待驗證信息進行解密。並由身份驗證模塊240根據解密後的待驗證信息對移動終端進行身份認證。若驗證通過,移動終端和伺服器使用所述會話密鑰進行後續的保密通信。根據本發明的實施例,還提供了一種身份認證方法。圖3是根據本發明的實施例身份認證方法的流程圖,如圖3所示,該方法包括步驟S302,移動終端獲取公鑰和私鑰對,將公鑰發送至伺服器。具體地,移動終端獲取並保存由KGC伺服器生成的私鑰;所述公鑰由移動終端的身份標識信息生成,其中,公鑰與私鑰相對應。步驟S304,伺服器利用公鑰生成加密會話密鑰後發送至移動終端。具體地,伺服器在特定的密鑰空間中隨機選取會話密鑰,利用所述公鑰加密會話密鑰,並發送至移動終端。步驟S306,移動終端使用私鑰對加密會話密鑰進行解密,獲取會話密鑰。另外,上述方法還包括步驟S308,移動終端使用私鑰將待驗證信息進行加密,並將待驗證信息發送至伺服器。
步驟S310,伺服器接收來自移動終端的待驗證信息,使用公鑰對加密的待驗證信息進行解密,並根據解密後的待驗證信息對移動終端進行身份認證。下面參考圖4詳細描述上述處理的細節。首先,智慧型手機卡獲取公私鑰對,私鑰從KGC獲取,而公鑰是智慧型手機卡的身份標識通過公開散列函數生成的哈希值,並將公鑰發送至伺服器或伺服器主動獲取該公鑰。參考圖4,該方法包括步驟S402,智慧型手機卡選取一個承諾值,該承諾值應該在特定的定義域內。步驟S404,智慧型手機卡將該承諾值發送給客戶端。步驟S406,伺服器端選取一個挑戰值,該挑戰值應該在特定的定義域內。步驟S408,伺服器選取一個會話密鑰,並用智慧型手機卡的公鑰加密該會話密鑰,該會話密鑰應該是在特定的密鑰空間中隨機選取的。
步驟S410,伺服器將挑戰值和加密後的會話密鑰發送給智慧型手機卡。步驟S412,智慧型手機卡恢復會話密鑰,通過智慧型手機卡的私鑰對加密的會話密鑰進行解密完成。步驟S414,智慧型手機卡通過承諾值和挑戰值計算出回應值,並使用私鑰加密後發送給伺服器。步驟S416,伺服器使用公鑰解密出回應值,並驗證回應值的正確性,若驗證正確,則智慧型手機卡的身份認證通過,否則智慧型手機卡的身份認證失敗。流程結束。下面結合一具體實例描述本發明。步驟一,密鑰生成中心KGC選擇大素數q,g為模冪乘法群Zq*的生成元,選擇隨機數X e Zq*,計算y=gx mod q,把(q, g,y)作為系統公開參數。步驟二,智慧型手機卡向KGC申請私鑰。步驟三,假設智慧型手機卡的身份標識為Num,KGC調用ElGamal數字籤名算法使用參數X作為籤名密鑰對Num進行籤名,得到籤名值(r,s)作為智慧型手機卡的私鑰並發送給智慧型手機卡。步驟四,智慧型手機卡選取承諾值,智慧型手機卡隨機選取a e Ztrl*,計算b=ramod q。步驟五,移動終端將(b,r)發送給伺服器。步驟六,伺服器選取挑戰值,伺服器隨機選取c e Zrl*0步驟七,伺服器選取隨機值h e Z,*,計算(gNum*yi)h=ghsmod q作為會話密鑰,並計算gh作為加密後的會話密鑰。步驟八,伺服器將挑戰值c和加密後的會話密鑰ghmod q發送給移動終端。步驟九,智慧型手機卡通過計算(gh) s=ghsmod q獲得會話密鑰。步驟十,智慧型手機卡計算d=(a+cs)mod q,移動終端將d值發送給伺服器。步驟^--,伺服器計算!^ mod q,並驗證等式rd=b (gNum 」乃emod q是否成立,若成
立,則智慧型手機卡身份認證通過,否則認證失敗。本發明的方法的操作步驟與系統的結構特徵對應,可以相互參照,不再一一贅述。綜上所述,根據本發明的技術方案,採用非對稱密鑰算法對用戶進行身份認證,移動終端通過KGC預先獲取私鑰,在進行網上在線認證移動終端的身份以及交換會話密鑰時,無需在線聯繫CA,可以減少伺服器響應時間,更好的滿足用戶的實時需求,有效提高了用戶體驗。
以上所述僅為本發明的實施例而已,並不用於限制本發明,對於本領域的技術人員來說,本發明可以有各種更改和變化。凡在本 發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的權利要求範圍之內。
權利要求
1.一種身份認證方法,其特徵在於,包括 移動終端獲取公鑰和私鑰對,將所述公鑰發送至伺服器; 所述伺服器利用所述公鑰生成加密會話密鑰後發送至所述移動終端; 所述移動終端使用所述私鑰對所述加密會話密鑰進行解密,獲取會話密鑰。
2.根據權利要求I所述的方法,其特徵在於,所述移動終端獲取公鑰和私鑰對具體包括 獲取並保存由密鑰生成中心KGC伺服器生成的私鑰; 所述公鑰由所述移動終端的身份標識信息生成; 所述公鑰與私鑰相對應。
3.根據權利要求I所述的方法,其特徵在於,所述伺服器利用所述公鑰生成加密會話密鑰後發送至所述移動終端具體包括 所述伺服器預先選取會話密鑰,利用所述公鑰加密會話密鑰,並發送至所述移動終端。
4.根據權利要求I所述的方法,其特徵在於,還包括 所述移動終端使用所述私鑰將待驗證信息進行加密,並將所述待驗證信息發送至所述伺服器。
5.根據權利要求4所述的方法,其特徵在於,還包括 所述伺服器接收來自所述移動終端的待驗證信息,使用所述公鑰對加密的待驗證信息進行解密,並根據解密後的待驗證信息對所述移動終端進行身份認證。
6.一種身份認證系統,其特徵在於,包括移動終端和伺服器,其中, 移動終端獲取公鑰和私鑰對,將所述公鑰發送至伺服器; 所述伺服器利用所述公鑰生成加密會話密鑰後發送至所述移動終端; 所述移動終端使用所述私鑰對所述加密會話密鑰進行解密,獲取會話密鑰。
7.根據權利要求6所述的系統,其特徵在於,所述移動終端包括 第一獲取模塊,用於獲取並保存由KGC生成的私鑰; 第二獲取模塊,用於獲取由所述移動終端的身份識別信息生成的公鑰;其中,所述公鑰與私鑰相對應; 第一發送模塊,用於將所述公鑰發送至所述伺服器。
8.根據權利要求6所述的系統,其特徵在於,所述伺服器包括 第一加密模塊,用於利用所述公鑰加密預先選取的會話密鑰; 第二發送模塊,用於將加密會話密鑰發送至所述移動終端。
9.根據權利要求6所述的系統,其特徵在於,所述移動終端還包括 第二加密模塊,用於使用所述私鑰將待驗證信息進行加密; 第三發送模塊,用於將所述待驗證信息發送至所述伺服器。
10.根據權利要求9所述的方法,其特徵在於,所述伺服器還包括 解密模塊,用於使用所述公鑰對加密的待驗證信息進行解密; 身份驗證模塊,用於根據解密後的待驗證信息對所述移動終端進行身份認證。
全文摘要
本發明公開了一種身份認證系統及其方法,其中該身份認證方法包括移動終端獲取公鑰和私鑰對,將所述公鑰發送至伺服器;所述伺服器利用所述公鑰生成加密會話密鑰後發送至所述移動終端;所述移動終端使用所述私鑰對所述加密會話密鑰進行解密,獲取會話密鑰。通過本發明,可以減少伺服器響應時間,更好地滿足了用戶的實時需求。
文檔編號H04L9/08GK102882685SQ20121036998
公開日2013年1月16日 申請日期2012年9月27日 優先權日2012年9月27日
發明者鍾焰濤 申請人:東莞宇龍通信科技有限公司, 宇龍計算機通信科技(深圳)有限公司