專利名稱:身份認證系統及其方法
技術領域:
本發明涉及通訊領域,尤其涉及一種身份認證系統及其方法����。
背景技術:
在電子商務����、網上銀行等安全性要求很高的網上業務中����,實體的身份認證和數據的加密傳輸是必須的安全措施。隨著 智能終端的普及以及手機上網速度的不斷提高,使用手機處理各類網上業務的應用需求越來越強烈。在現有技術中���,提出了一種基于公鑰基礎設施(PKI)的移動通信終端身份認證和密鑰交換的技術方案。根據該技術�����,證書中心(CA)為每一個智能手機卡頒發數字證書���,在需要進行移動加密通信時�����,位于移動終端內的安全代理模塊獲取移動終端智能手機卡的數字證書并將該數字證書發送給服務器端��;服務器端驗證數字證書的合法性并從CA獲取該數字證書對應的公鑰;服務器端隨機選取一個會話密鑰后,用該公鑰加密該會話密鑰并發送給移動終端����;移動終端的智能手機卡通過自己的私鑰解密并獲取會話密鑰�����;移動終端和服務器端通過會話密鑰加密數據實現保密通信。根據該方案,在每次對智能手機卡進行身份認證時,服務器端都需要在線聯系CA以驗證智能手機卡的數字證書的合法性并獲取智能手機卡的公鑰����,這增加了業務的響應時間��,影響了用戶體驗,尤其是手機終端網上業務大規模普及以后,在線聯系CA更容易成為系統的瓶頸���,使用戶等待時間大大增加。因此,有必要提出改進的技術方案��,解決上述問題�����。
發明內容
本發明的主要目的在于提供一種身份認證系統及其方法�,以解決現有技術存在的通過證書中心獲取手機的公鑰增加服務器響應時間的問題����,其中根據本發明實施例的身份認證方法包括移動終端獲取公鑰和私鑰對,將所述公鑰發送至服務器;所述服務器利用所述公鑰生成加密會話密鑰后發送至所述移動終端�����;所述移動終端使用所述私鑰對所述加密會話密鑰進行解密����,獲取會話密鑰����。其中,所述移動終端獲取公鑰和私鑰對具體包括獲取并保存由密鑰生成中心KGC服務器生成的私鑰����;所述公鑰由所述移動終端的身份標識信息生成�;所述公鑰與私鑰相對應�。其中,所述服務器利用所述公鑰生成加密會話密鑰后發送至所述移動終端具體包括所述服務器預先選取會話密鑰����,利用所述公鑰加密會話密鑰�����,并發送至所述移動終端。其中�����,還包括所述移動終端使用所述私鑰將待驗證信息進行加密��,并將所述待驗證信息發送至所述服務器��。其中,還包括所述服務器接收來自所述移動終端的待驗證信息�����,使用所述公鑰對加密的待驗證信息進行解密����,并根據解密后的待驗證信息對所述移動終端進行身份認證���。根據本發明實施例的身份認證系統包括移動終端和服務器����,其中����,移動終端獲取公鑰和私鑰對���,將所述公鑰發送至服務器����;所述服務器利用所述公鑰生成加密會話密鑰后發送至所述移動終端;所述移動終端使用所述私鑰對所述加密會話密鑰進行解密�,獲取會話密鑰����。其中���,所述移動終端包括第一獲取模塊�����,用于獲取并保存由KGC生成的私鑰�;第二獲取模塊���,用于獲取由所述移動終端的身份識別信息生成的公鑰���;其中����,所述公鑰與私鑰相對應�����;第一發送模塊�����,用于將所述公鑰發送至所述服務器。其中����,所述服務器包括第一加密模塊�,用于利用所述公鑰加密預先選取的會話密鑰��;第二發送模塊�����,用于將加密會話密鑰發送至所述移動終端。其中,所述移動終端還包括第二加密模塊���,用于使用所述私鑰將待驗證信息進行加密;第三發送模塊,用于將所述待驗證信息發送至所述服務器。其中�����,所述服務器還包括解密模塊�����,用于使用所述公鑰對加密的待驗證信息進行解密;身份驗證模塊���,用于根據解密后的待驗證信息對所述移動終端進行身份認證。
根據本發明的技術方案�����,移動終端通過密鑰生成中心獲取私鑰��,并使用終端的標識信息作為公鑰�����,在進行網上在線認證移動終端的身份以及交換會話密鑰時���,無需在線聯系CA���,可以減少服務器響應時間���,更好地滿足了用戶的實時需求�。
此處所說明的附圖用來提供對本發明的進一步理解��,構成本申請的一部分����,本發明的示意性實施例及其說明用于解釋本發明����,并不構成對本發明的不當限定。在附圖中圖I是根據本發明實施例的移動終端的結構框圖;圖2是根據本發明實施例的身份認證系統的結構框圖���;圖3是根據本發明實施例的身份認證方法的流程圖;圖4是根據本發明實施例的身份認證方法的優選處理方案的流程圖。
具體實施例方式本發明的主要通過公鑰密碼系統(非對稱密鑰算法)以及挑戰/響應機制實行身份認證�����。移動終端獲取公鑰和私鑰對����,將公鑰發送至服務器���;服務器利用公鑰生成加密會話密鑰后發送至移動終端����;移動終端使用私鑰對加密會話密鑰進行解密,獲取會話密鑰���。根據本發明的實施例,提供了一種身份認證系統���。圖I是根據本發明實施例的身份認證系統的結構框圖,如圖I所示����,包括移動終端10和服務器20�。移動終端10獲取公鑰和私鑰對����,將所述公鑰發送至服務器20 ;所述服務器20利用所述公鑰生成加密會話密鑰后發送至所述移動終端10 ;所述移動終端10使用所述私鑰對所述加密會話密鑰進行解密,獲取會話密鑰�。參考圖2�����,移動終端10具體包括第一獲取模塊110、第二獲取模塊120�、第一發送模塊130�,下面詳細描述各模塊的結構��。第一獲取模塊10用于預先獲取由KGC生成的私鑰,并保存該私鑰����。在實現身份認證和密鑰交換之前��,移動終端(或智能手機卡)獲取由密鑰生成中心(KGC)生成的私鑰,這一步驟只需要執行一次���,可以在智能手機卡出廠的時候完成。首先���,智能手機卡向KGC發出申請,要求KGC生成私鑰���。然后,KGC驗證智能手機卡的合法性之后為該智能手機卡生成一個私鑰����,該私鑰保存在智能手機卡中��。由于上述的私鑰獲取過程是在智能手機卡出廠前完成��,并且僅進行一次,因此非法用戶不能竊取該私鑰�����,從根本上保證了數據傳輸的安全性����。經過上述過程之后,智能手機卡就持有了公私密鑰對��,其中公鑰是其身份標識通過公開散列函數生成的哈希值���,身份標識包括但不限以下信息之一 MEI (InternationalMobile Equipment Identity,國際移動設備身份碼)�、ESN (Electronic Serial Number,電子序列號)��、SN (Serial Number,序列號)����、SIM (Subscriber Identity Module,客戶識別卡)卡號��、UIM (User Identity Module,用戶識別卡)卡號����、USIM (Universal SubscriberIdentity Module,全球用戶識別卡)卡號�、MAC地址。第一發送模塊130用于將所述公鑰發送至所述服務器20。這樣���,服務器就擁有了終端的公鑰。在進行網上在線認證智能手機卡的身份時,無需在線聯系CA,可以減少服務器響應時間�,更好地滿足用戶的實時需求����。
繼續參考圖2����,服務器20具體包括第一加密模塊210和第二發送模塊220。服務器在會話密鑰空間中選定一個隨機數作為會話密鑰,第一加密模塊210利用公鑰加密該會話密鑰���,并由第二發送模塊220將加密會話密鑰發送至移動終端。基于上述處理��,移動終端接收到加密的會話密鑰后����,使用私鑰解密,從而完成密鑰交換�,從而使用會話密鑰進行保密通信�����。在進行會話密鑰交換之前����,根據本發明實施例,通過一個“承諾-挑戰-響應”認證過程實現服務器對移動終端的身份認證����。移動終端隨機選取一個承諾值(該承諾值在特定定義域內)并發送至服務器���。服務器隨機選取一個挑戰值(該承諾值在特定定義域內)并發送至移動終端�,移動終端根據承諾值和挑戰值計算出回應值�����,作為驗證終端身份的待驗證信息�����。繼續參考圖2,移動終端還包括第二加密模塊140用于使用私鑰將待驗證信息進行加密����。然后由第三發送模塊150將待驗證信息發送至服務器20����。服務器20接收到終端的待驗證信息后,由解密模塊230使用公鑰對加密的待驗證信息進行解密。并由身份驗證模塊240根據解密后的待驗證信息對移動終端進行身份認證�����。若驗證通過�����,移動終端和服務器使用所述會話密鑰進行后續的保密通信。根據本發明的實施例�,還提供了一種身份認證方法��。圖3是根據本發明的實施例身份認證方法的流程圖,如圖3所示�����,該方法包括步驟S302����,移動終端獲取公鑰和私鑰對,將公鑰發送至服務器�����。具體地��,移動終端獲取并保存由KGC服務器生成的私鑰����;所述公鑰由移動終端的身份標識信息生成��,其中����,公鑰與私鑰相對應����。步驟S304,服務器利用公鑰生成加密會話密鑰后發送至移動終端���。具體地,服務器在特定的密鑰空間中隨機選取會話密鑰���,利用所述公鑰加密會話密鑰��,并發送至移動終端�。步驟S306���,移動終端使用私鑰對加密會話密鑰進行解密��,獲取會話密鑰��。另外,上述方法還包括步驟S308,移動終端使用私鑰將待驗證信息進行加密,并將待驗證信息發送至服務器��。
步驟S310�,服務器接收來自移動終端的待驗證信息,使用公鑰對加密的待驗證信息進行解密,并根據解密后的待驗證信息對移動終端進行身份認證。下面參考圖4詳細描述上述處理的細節。首先,智能手機卡獲取公私鑰對,私鑰從KGC獲取�����,而公鑰是智能手機卡的身份標識通過公開散列函數生成的哈希值����,并將公鑰發送至服務器或服務器主動獲取該公鑰。參考圖4�,該方法包括步驟S402�����,智能手機卡選取一個承諾值,該承諾值應該在特定的定義域內�。步驟S404����,智能手機卡將該承諾值發送給客戶端���。步驟S406,服務器端選取一個挑戰值���,該挑戰值應該在特定的定義域內��。步驟S408��,服務器選取一個會話密鑰,并用智能手機卡的公鑰加密該會話密鑰,該會話密鑰應該是在特定的密鑰空間中隨機選取的��。
步驟S410����,服務器將挑戰值和加密后的會話密鑰發送給智能手機卡。步驟S412,智能手機卡恢復會話密鑰�����,通過智能手機卡的私鑰對加密的會話密鑰進行解密完成�����。步驟S414�,智能手機卡通過承諾值和挑戰值計算出回應值�,并使用私鑰加密后發送給服務器。步驟S416,服務器使用公鑰解密出回應值���,并驗證回應值的正確性,若驗證正確,則智能手機卡的身份認證通過����,否則智能手機卡的身份認證失敗���。流程結束����。下面結合一具體實例描述本發明�����。步驟一,密鑰生成中心KGC選擇大素數q��,g為模冪乘法群Zq*的生成元�����,選擇隨機數X e Zq*,計算y=gx mod q,把(q, g���,y)作為系統公開參數��。步驟二,智能手機卡向KGC申請私鑰�。步驟三��,假設智能手機卡的身份標識為Num,KGC調用ElGamal數字簽名算法使用參數X作為簽名密鑰對Num進行簽名���,得到簽名值(r,s)作為智能手機卡的私鑰并發送給智能手機卡��。步驟四��,智能手機卡選取承諾值��,智能手機卡隨機選取a e Ztrl*,計算b=ramod q。步驟五����,移動終端將(b��,r)發送給服務器。步驟六��,服務器選取挑戰值�����,服務器隨機選取c e Zrl*0步驟七,服務器選取隨機值h e Z,*�,計算(gNum*yi)h=ghsmod q作為會話密鑰�,并計算gh作為加密后的會話密鑰����。步驟八�����,服務器將挑戰值c和加密后的會話密鑰ghmod q發送給移動終端。步驟九�,智能手機卡通過計算(gh) s=ghsmod q獲得會話密鑰�。步驟十��,智能手機卡計算d=(a+cs)mod q,移動終端將d值發送給服務器����。步驟^--����,服務器計算!^ mod q,并驗證等式rd=b (gNum ”乃emod q是否成立,若成
立,則智能手機卡身份認證通過��,否則認證失敗����。本發明的方法的操作步驟與系統的結構特征對應,可以相互參照�,不再一一贅述�。綜上所述�,根據本發明的技術方案,采用非對稱密鑰算法對用戶進行身份認證��,移動終端通過KGC預先獲取私鑰���,在進行網上在線認證移動終端的身份以及交換會話密鑰時�����,無需在線聯系CA,可以減少服務器響應時間,更好的滿足用戶的實時需求�����,有效提高了用戶體驗�。
以上所述僅為本發明的實施例而已,并不用于限制本發明��,對于本領域的技術人員來說��,本發明可以有各種更改和變化����。凡在本 發明的精神和原則之內��,所作的任何修改����、等同替換�����、改進等����,均應包含在本發明的權利要求范圍之內����。
權利要求
1.一種身份認證方法,其特征在于,包括 移動終端獲取公鑰和私鑰對,將所述公鑰發送至服務器��; 所述服務器利用所述公鑰生成加密會話密鑰后發送至所述移動終端����; 所述移動終端使用所述私鑰對所述加密會話密鑰進行解密�,獲取會話密鑰。
2.根據權利要求I所述的方法�,其特征在于����,所述移動終端獲取公鑰和私鑰對具體包括 獲取并保存由密鑰生成中心KGC服務器生成的私鑰���; 所述公鑰由所述移動終端的身份標識信息生成; 所述公鑰與私鑰相對應。
3.根據權利要求I所述的方法,其特征在于��,所述服務器利用所述公鑰生成加密會話密鑰后發送至所述移動終端具體包括 所述服務器預先選取會話密鑰���,利用所述公鑰加密會話密鑰����,并發送至所述移動終端。
4.根據權利要求I所述的方法,其特征在于���,還包括 所述移動終端使用所述私鑰將待驗證信息進行加密,并將所述待驗證信息發送至所述服務器。
5.根據權利要求4所述的方法,其特征在于,還包括 所述服務器接收來自所述移動終端的待驗證信息����,使用所述公鑰對加密的待驗證信息進行解密���,并根據解密后的待驗證信息對所述移動終端進行身份認證��。
6.一種身份認證系統,其特征在于,包括移動終端和服務器��,其中�����, 移動終端獲取公鑰和私鑰對,將所述公鑰發送至服務器���; 所述服務器利用所述公鑰生成加密會話密鑰后發送至所述移動終端; 所述移動終端使用所述私鑰對所述加密會話密鑰進行解密��,獲取會話密鑰��。
7.根據權利要求6所述的系統���,其特征在于���,所述移動終端包括 第一獲取模塊���,用于獲取并保存由KGC生成的私鑰����; 第二獲取模塊���,用于獲取由所述移動終端的身份識別信息生成的公鑰�����;其中�,所述公鑰與私鑰相對應����; 第一發送模塊,用于將所述公鑰發送至所述服務器����。
8.根據權利要求6所述的系統���,其特征在于,所述服務器包括 第一加密模塊��,用于利用所述公鑰加密預先選取的會話密鑰����; 第二發送模塊,用于將加密會話密鑰發送至所述移動終端�。
9.根據權利要求6所述的系統���,其特征在于�,所述移動終端還包括 第二加密模塊���,用于使用所述私鑰將待驗證信息進行加密����; 第三發送模塊����,用于將所述待驗證信息發送至所述服務器���。
10.根據權利要求9所述的方法���,其特征在于���,所述服務器還包括 解密模塊����,用于使用所述公鑰對加密的待驗證信息進行解密; 身份驗證模塊���,用于根據解密后的待驗證信息對所述移動終端進行身份認證��。
全文摘要
本發明公開了一種身份認證系統及其方法��,其中該身份認證方法包括移動終端獲取公鑰和私鑰對,將所述公鑰發送至服務器;所述服務器利用所述公鑰生成加密會話密鑰后發送至所述移動終端;所述移動終端使用所述私鑰對所述加密會話密鑰進行解密�����,獲取會話密鑰���。通過本發明���,可以減少服務器響應時間�,更好地滿足了用戶的實時需求。
文檔編號H04L9/08GK102882685SQ20121036998
公開日2013年1月16日 申請日期2012年9月27日 優先權日2012年9月27日
發明者鐘焰濤 申請人:東莞宇龍通信科技有限公司, 宇龍計算機通信科技(深圳)有限公司