移动商务身份机制的研究.docVIP

移动商务身份认证机制的设计与研究 摘 要：移动商务的身份认证问题已成为制约移动商务发展的瓶颈。动态口令技术实现简单、成本低、无须第三方认证的特点使其较适合移动商务的身份认证。本文基于动态口令的认证思想，引入椭圆曲线密码体制进行改进，提出一套移动商务身份认证机制，最后分析了该机制具备很好的安全性。 关键字：身份认证；一次性口令；椭圆曲线密码；IMEI 移动商务的身份认证需求 在移动商务环境的安全机制中，身份认证处于核心地位，因为在缺乏对用户身份有效认证的前提下，用户信息的完整性和保密性没有任何意义可言[1]，因此，移动商务环境下身份认证机制的研究，对移动商务的安全体系，乃至对整个移动商务的推广与发展具有重大意义。 目前，移动商务的身份认证机制多基于GSM网络、短信息以及简单的用户静态口令认证，这些方法易受到攻击并且口令在无线传输中易被截获。非移动商务环境下的身份认证机制多采用基于公钥的认证体系，它必须以完善的CA（Certification Authority，证书授权中心）体系为基础，需要一个合法的公正的第三方参与认证无线信道资源短缺，带宽成本高，时延长，连接可靠性较低相有线终端，无线终端的资源有限处理能力低，存储能力小，需要尽量减少证书的数据长度和处理难度。移动用户与移动网络认证移动用户与移动通信网络之间相互认证身份，这是在移动通信中被普遍认同的一个安全需求，也是安全通信中最基本的安全需求。但是在第二代移动通信系统中存在很多安全问题，其中之一就是缺少用户对移动网络的身份认证，导致中间人攻击威胁。移动用户与移动通信网络之问通过安全参数协商确定会话密钥，保证一次一密。一方面防止由于一个旧的会话密钥泄漏而导致的重传攻击；另一方面防止由通信的一方指定一特定会话密钥带来的安全隐患，保证密钥质量。 敏感数据的机密性有些用户为了防止自己的所在位置信息和行踪泄漏，需要对自己的身份信息进行保护，即身份信息不能以明文形式在网络传输。数据的不可否认移动通信中的某一方对自己发送或者接收到的某些数据在事后不能进行抵赖。这个特性对于部署移动商务不可缺少。 尽量简单、计算量小、通信量小考虑到目前移动通信系统的带宽受限，以及移动通信终端的计算资源有限，所设计的身份认证协议应保证尽量简单、计算量小、通信量小。即使在第三代移动通信系统中，带宽得到大幅度改善，目前硬件的瓶颈得到一定的突破，手持移动通信终端的体积和市场价格决定了其计算资源和存储资源的有限性。 对于上述安全需求，并不是每都要全部满足。在身份认证时，可根据具体情况需要，设计满足其中上述部分安全需求的。口令One-Time Password，简称OTP），指用户在网上传送的口令只使用一次，从而使攻击者无法通过窃取用户口令非法访问系统。的思想是：在登录过程中加入不确定因素，使每次登录过程中摘录所得的密码都不相同，提高登录过程的安全性。例如：用户名十随机数/口令/时间戳，系统接收到登录口令后以同样的算法做一个验算即可验证用户的合法性。的认证过程如图-1： 图-1 OTP的认证过程在登录过程中加入不确定因素，使每次登录密码都不相同，提高登录安全性。由用户通行短语和生成离线字典攻击支持单，无法防范假冒的服务器欺骗 （1）本文提出的认证机制将认证分成两级，一是移动设备对用户身份的认证，二是移动设备与服务器的双向身份认证。第一级验证使用该移动设备的用户为合法用户，第二级验证移动设备和服务器的合法性，即不是仿冒的终端。若第一级验证没有通过，那么移动设备与服务器间不会进行通信。若第一级验证通过，移动设备自动与服务器间通信，用户对过程不可见，仅能知晓是否验证通过。 （2）使用移动设备特征性标识为椭圆曲线，较传统的公钥算法效率更高利用哈希链构造口令时加入，避免针对已知散列函数的小数攻击利用散列函数生成随机因子，避免了明文传输，而且替代了散列次数递减作为随机因子所带来的哈希链长度不够问题：参与认证的用户端：用来认证的服务器端：用户注册提供的用户身份标识：用户提供的口令，在注册时第一次提供，存储在客户端。以后每次认证，用户都需提供正确的用户密码：移动设备唯一标识，也称为手机串号，IMEI作为客户端与服务器的认证口令而存在：哈希函数，为了叙述简便，以下使用代替||：运算符表示两端的信息或文字进行连接：服务器端生成的安全椭圆曲线密码系统的参数集：用户公钥：用户私钥：服务器公钥：服务器私钥：加密过程：解密过程：表示客户端第次登录：客户端的第次认证口令：服务端的第次认证口令：客户接受服务的次数 ：验证客户端身份的一次性因素 ：验证服务器端身份的一次性因素 注册阶段设计 注册阶段流程如下： 初始化生成安全椭圆曲线，选取自己的公钥和私钥； 向发起注册请求； 将椭圆曲线系统参数集连同发送给； 存储，并根据安全椭圆曲线系统选取自己的密钥对和；