移动商务身份机制研究.pdfVIP

移动商务身份认证机制的设计与研究 摘 要：移动商务的身份认证问题已成为制约移动商务发展的瓶颈。动态口令技术实现简单、成本低、无须第 三方认证的特点使其较适合移动商务的身份认证。本文基于动态口令的认证思想，引入椭圆曲线密码体制进 行改进，提出一套移动商务身份认证机制，最后分析了该机制具备很好的安全性。 关键字：身份认证；一次性口令；椭圆曲线密码；IMEI 1 移动商务的身份认证需求 在移动商务环境的安全机制中，身份认证处于核心地位，因为在缺乏对用户身份有效认 [1] 证的前提下，用户信息的完整性和保密性没有任何意义可言 ，因此，移动商务环境下身份认 证机制的研究，对移动商务的安全体系，乃至对整个移动商务的推广与发展具有重大意义。 目前，移动商务的身份认证机制多基于GSM网络、短信息以及简单的用户静态口令认证， 这些方法易受到攻击并且口令在无线传输中易被截获。非移动商务环境下的身份认证机制多 采用基于公钥的认证体系，它必须以完善的CA （Certification Authority ，证书授权中心）体系 为基础，需要一个合法的公正的第三方参与认证，这种方法成本高昂，技术复杂，不适合于 目前尚不成熟的移动商务环境。本文拟对移动商务的身份认证进行研究，提出适合于移动商 务环境的安全、高效的身份认证机制。 无线信道资源短缺，带宽成本高，时延长，连接可靠性较低，同时，相比有线终端，无 线终端的资源有限、处理能力低，存储能力小，需要尽量减少证书的数据长度和处理难度。 考虑到上述特点，因此，移动商务身份认证机制的需求主要为[2]-[4]： ①移动用户与移动网络的双向认证； 移动用户与移动通信网络之间相互认证身份，这是在移动通信中被普遍认同的一个安全 需求，也是安全通信中最基本的安全需求。但是在第二代移动通信系统中存在很多安全问题， 其中之一就是缺少用户对移动网络的身份认证，导致“中间人攻击”的威胁。 ②密钥协商和双向密钥控制； 移动用户与移动通信网络之问通过安全参数协商确定会话密钥，保证一次一密。一方面 可以防止由于一个旧的会话密钥泄漏而导致的重传攻击；另一方面可以防止由通信的一方指 定一特定会话密钥带来的安全隐患，保证密钥质量。 ③敏感数据（如移动用户身份信息）的机密性； 有些用户为了防止自己的所在位置信息和行踪泄漏，需要对自己的身份信息进行保护， 即身份信息不能以明文形式在网络传输。 ④相关数据（如移动用户发送的数据）的不可否认即防止抵赖； 移动通信中的某一方对自己发送或者接收到的某些数据在事后不能进行抵赖。这个特性 对于部署移动商务不可缺少。 ⑤认证机制尽量简单、计算量小、通信量小。 考虑到目前移动通信系统的带宽受限，以及移动通信终端的计算资源有限，所设计的身 份认证协议应保证尽量简单、计算量小、通信量小。即使在第三代移动通信系统中，带宽得 到大幅度改善，目前硬件的瓶颈得到一定的突破，手持移动通信终端的体积和市场价格决定 了其计算资源和存储资源的有限性。 对于上述安全需求，并不是每种身份认证机制都要全部满足。在设计移动商务身份认证 机制时，可根据具体情况需要，设计满足其中上述部分安全需求的移动商务身份认证机制。 2 OTP 及椭圆曲线密码体制 2.1 OTP 实现机制及安全分析 一次性口令（One-Time Password ，简称OTP ），指用户在网上传送的口令只使用一次，从 而使攻击者无法通过窃取用户口令非法访问系统。 [5] OTP 的认证思想是 ：在登录过程中加入不确定因素，使每次登录过程中摘录所得的密码 都不相同，提高了登录过程的安全性。例如：OTP  MD 5 （用户名十随机数/ 口令/ 时间戳）， 系统接收到登录口令后以同样的算法做一个验算即可验证用户的合法性。OTP 的认证过程如图 2-1 ： 发起连接请求 客 发出挑战信息 （种子、迭代次数） 服 务 户