一種無線應用服務系統的安全認證實現方法

專利名稱：一種無線應用服務系統的安全認證實現方法
技術領域：
本發明涉及一種無線應用服務系統的安全認證實現方法。特別的，本發明 所迷無線應用服務系統包含業務控制服務器設備和移動通信客戶終端，本發明 提供了一種在所述服務器和客戶終端之間進行雙向鑒權、加密以及驗證用戶安 全密碼的安全認證方法。
背景技術：
無線通信網絡目前在技術上已經比較成熟，并得到了廣泛的應用。其中公 共無線通信網，包4舌比如GSM/GPRS/EDGE、 WCDMA/HSDPA/HSUPA/HSPA+、 CDMA/CDMA2000/CDMA2000-EVDO、 TD-SCDMA和LTE系統等，其優勢在 于覆蓋范圍非常廣，用戶可以方便的漫游到各個國家或地區。在公共無線通信 網內手機等智能移動通信終端的使用非常^f更利和廣泛，已經成為當前人們生活 中必不可少的個人電子設備。而無線局域網如WIFI等系統則具有組網方便靈活、 輻射低、用戶可用帶寬較大等優點。
現有的無線應用服務系統，客戶端基本上通過用戶名、密碼和隨機產生的 附加碼通過加密后發送到服務器端，進行用戶名和密碼的身份認證，防止惡意 用戶偽造身份登錄。用戶名/密碼方式是最簡單也是最常用的身份認證方法，每 個用戶的密碼是由這個用戶自己設定的，只有他自己才知道，因此只要能夠正 確輸入密碼，計算機就認為他就是這個用戶。然而實際上，由于許多用戶為了 防止忘記密碼，經常釆用諸如自己或家人的生日、電話號碼等容易被他人猜測 到的有意義的字符串作為密碼，或者把密碼抄在一個自己認為安全的地方，這 都存在著許多安全隱患，極易造成密碼泄露。即使能保證用戶密碼不被泄漏， 由于密碼是靜態的數據，并且在驗證過程中需要在計算機內存中和網絡中傳輸， 而每次驗證過程使用的驗證信息都是相同的，很容易駐留在計算機內存中的木 馬程序或網絡中的監聽設備截獲。因此用戶名/密碼方式一種是極不安全的身份 認證方式。
一些網上銀行服務系統，通過給客戶提供USB Key的方式，將密鑰或數字證書保存在USB存儲設備中，并利用USB Key內置的密碼學算法實現對用戶身 份的認證。基于USB Key身份認證系統主要有兩種應用模式 一是基于沖擊/ 相應的認證模式，二是基于PKI體系的認證模式。但通過USB Key的方式沒有 考慮服務器和用戶之間的身份雙向認證問題，即只考慮了服務器對可能假冒的 用戶的身份認證，沒有考慮用戶對可能假冒的服務器的身份認證。同時目前的 身份認證方式也沒有實現加密令牌的動態產生。動態產生加密令牌技術，即一 次一密的好處是用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也 無法利用這個密碼來仿冒合法用戶的身份。

發明內容
本發明要解決的技術問題是提供一種在無線應用服務系統中，業務控制 服務器端設備和移動通信客戶終端之間有效進行雙向身份安全認證的方法，以 保證用戶和服務器的身份不被惡意偽造，保護認證信息不被竊取。
為了解決上述問題，本發明提供了一種在無線應用服務系統中，業務控制 服務器端設備和移動通信客戶終端之間進行雙向鑒權安全認證的實現方法。該 方法包括了對用戶身份認證等信息進行加密的過程，服務器端和客戶端之間進 行雙向鑒權的過程，以及在鑒權過程中使用動態隨機數令牌來保證一次一密的 方法。
本發明包含如下特征
1. 在業務控制服務器上產生并保存特定用戶對應的加密和鑒權密鑰文件， 同時產生一組隨機數，并將該文件和隨機數組一起寫入到智能存儲卡中。用戶 使用的移動通信客戶終端與所述智能存儲卡接口 ，在需要進行身份認證時讀出 該加密、鑒權密鑰文件和隨機數組。
2. 所述業務控制服務器為每個用戶保存其設定的手機號碼、用戶名和密碼 信息，以及用戶對應的加密、鑒權密鑰文件和隨機數組。業務控制服務器使用 不同用戶的用戶名和密碼對該用戶所在的數據區進行數據訪問控制,防止非4受 權用戶獲取其他用戶的私密數據信息。
3. 所述移動通信客戶終端上運行客戶端安全認證應用程序，在發起安全認 證請求時，首先訪問所述智能存儲卡，獲取對應的加密、鑒權密鑰和隨機數組。 然后所述安全認證應用程序通過該加密密鑰和指定加密算法對該用戶輸入的用戶名、密碼及所述移動通信客戶終端的IP地址等信息進行加密。最后所述安全
權算法對得到的加密數據進行計算得到鑒權MAC-I值，把該鑒權值附加在加密
數據最后。
4. 所述移動通信客戶終端通過短信、彩信或者通話中的DTMF等方式將所 述特征3中得到的加密數據流發送到所述業務控制服務器。
5. 所述業務控制服務器上運行的服務器端安全^人證應用程序，接收到所述 移動通信客戶終端發送過來的加密數據，首先通過以該移動通信客戶終端的手 機號碼作為索引，獲得該用戶保存的鑒權密鑰和隨機數組，通過鑒權密鑰和按 與該移動通信客戶終端同樣順序獲取的隨機數，用指定鑒權算法算出鑒權值。 如果該計算得到的鑒權值同所述移動通信客戶終端發送過來的加密數據末尾附 加的鑒權MAC-I值一致，則進行下一步的解密和用戶名和密碼認證。
6. 所述業務控制服務器以所述移動通信客戶終端的手機號碼作為索引，獲 得該用戶保存的加密密鑰和用戶名、密碼。所述業務控制服務器以指定加密算 法對接收的加密數據流進行解密。解密后得到該移動通信客戶終端發送過來的 用戶名和密碼，并將其同在服務器端保存的用戶名和密碼進行比對，如果匹配 正確則認為服務器端對移動通信客戶終端的鑒權認證通過。
7. 所述業務控制服務器用該移動通信客戶終端對應的加密密鑰將服務器的 IP地址等信息進行加密，并在加密流后，獲^U亥用戶本次使用隨機數組的順序 下一個隨機數。把通過鑒權密鑰、此隨機數和指定鑒權算法得到的鑒權MAC-I 值，附加到消息的末尾。最后所述業務控制服務器以短信、彩信或者通話中的 DTMF方式發送給所述移動通信客戶終端。
8. 所述移動通信客戶終端收到所述業務控制服務器發送過來的數據后，選 取該用戶上次使用隨機數組的順序下一個隨機數，利用智能存儲卡上的鑒權密 鑰和指定鑒權算法進行鑒權計算，并得到鑒權MAC-I值。如果計算的MAC-I 值與發送過來數據流末尾附帶的MAC-I值一致，則認為所述移動通信客戶終端 對所述業務控制服務器的鑒權完成，并將通過解密密鑰和指定解密算法得到并 保存業務控制服務器的IP地址等信息。最后所述移動通信客戶終端向所述業務 控制服務器發送雙向鑒權成功消息，整個雙向鑒權安全認證過程結束。
本發明通過上述方法，可以有效的防止惡意用戶竊取合法用戶的用戶名和密碼信息，同時能夠有效的對移動通信客戶終端用戶和業務控制服務器間雙向 進行身份鑒權，通過使用動態隨機數產生鑒權令牌的方法，保證了一次一密的 實現，更有效地防止了密鑰信息被盜用帶來的后果。


圖l是本發明的無線應用服務系統架構示意圖。
圖2是本發明的移動通信客戶終端的安全認證應用程序示意圖。 圖3是本發明的業務控制服務器的安全認證應用程序示意圖。 圖4是本發明的加密數據流示意圖。
圖5是本發明的業務控制服務器和移動通信客戶終端交互過程示意圖。
具體實施例方式
下面將結合附圖和實施對本發明進行詳細的描述。 圖1是本發明的無線應用服務系統架構示意圖。
圖中101為業務控制服務器，102為智能存儲卡，103為移動通信客戶終端。 所述無線應用服務系統包括了 一個業務控制服務器， 一個或多個使用無線通信 網的移動通信客戶終端， 一個或多個智能存儲卡設備。
業務控制服務器101通過天線與無線通信網進行通訊，并通過與智能存儲 卡102間的讀寫接口，將生成特定用戶的加密和鑒權密鑰文件、隨機數組寫入 到智能存儲卡中。102被特定用戶在移動通信客戶終端103上使用，通過103與 102的接口，讀出該用戶的加密和鑒權密鑰文件、隨機數組，以便在安全認證程 序交互過程中使用。
圖2是本發明的移動通信客戶終端的安全認證應用程序示意圖。
移動通信客戶終端上運行的客戶端安全認證應用程序，在開始后根據用戶 請求進行安全認證過程，包括如下步驟
al:將當前隨機數下標初始化為0。
a2:判斷是否收到請求進行服務安全認證，如果是則轉入a3，否則繼續在 a2等待請求。a3:訪問智能存儲卡，獲取對應的加密和鑒權密鑰、隨機數組。
a4:用加密密鑰和加密算法加密用戶名、密碼及IP地址，得到加密凝:據。
a5:以當前隨機數下標獲取隨機數組中的隨機數。
a6:以鑒權密鑰及a5得到的隨機數，用指定鑒權算法對a4得到的加密數據 進行計算得到MAC-I值。
a7:將MAC-I鑒權值附加在加密數據的最后。
a8:通過短信、彩信或者通話中的DTMF等方式將加密數據流發送到業務 控制服務器。
a9:是否收到業務控制服務器發送的認證數據流，如果是則進入a10,否則 在經過一段時間后認為安全認證失敗，返回a2等待請求。
al0:以當前隨機數下標加1,如果下標超過最大下標則回繞到0，得到臨 時隨機數。
al 1:利用智能存儲卡上的鑒權密鑰和臨時隨機數進行指定鑒權解密計算， 并得到鑒權MAC-I值。
al2:判斷計算的MAC-I值與接收數據流附帶的MAC-I值是否一致，如果 一致則進入al3,否則認為安全認證失敗，返回a2等待請求。
al3:通過解密密鑰和指定解密算法解密it據流。
al4:保存解密后的業務控制服務器IP地址等信息。
al5:保存當前隨機數=臨時P逸機數。
al6:發送雙向鑒權安全認證過程成功通知消息。
al7:雙向鑒外又安全iU正過程完成。
圖3是本發明的業務控制服務器的安全認證應用程序示意圖。
業務控制服務器上運行的服務器端安全認證應用程序，在開始后準備接收 客戶端的請求進行安全認證過程，包括如下步驟
bl:將當前隨才幾數下標初始化為0。
b2:判斷是否收到移動通信客戶終端通過短信、彩信或者通話中的DTMF等方式發送的安全認證請求加密數據，如果是則進入b3，否則繼續在b2等待客 戶端請求。
b3:以該移動通信客戶終端的手機號碼作為索引，獲得該用戶保存的鑒權、 加密密鑰和隨積4t組。
b4:以當前隨機數下標獲耳又隨機數組中的隨機數。
b5:以鑒權密鑰和指定鑒權算法對該加密數據計算得到MAC-I值。
b6:判斷計算的MAC-I值與接收數據流附帶的MAC-I值是否一致，如果是 則進入b7，否則認為安全認證失敗，返回b2等待客戶端請求。
b7:通過解密密鑰和指定解密算法解密lt據流。
b8:保存解密后的用戶名、密碼和IP地址等信息。
b9:同在服務器端保存的用戶名和密碼進行比對后判斷是否匹配，如果是 則進入b10,否則認為安全認證失敗，返回b2等待客戶端請求。
bl0:用該移動通信客戶終端對應的加密密鑰將服務器的IP地址等信息進行 加密。
bll:以當前隨才幾凄i:下標加1，如果下標超過最大下標則回繞到0，得到的 臨時隨機數。
bl2:以鑒權密鑰和指定鑒權算法計算得到MAC-I值。
bl3:將MAC-I鑒權值附加在二進制加密數據流加密流最后。
bl4:通過短信、彩信或者通話中的DTMF等方式將二進制加密數據流發送 到該移動通信終端。
b 15:收到終端雙向鑒權安全認證過程成功消息。
bl6:保存當前隨機數=臨時隨機數。
bl7:雙向鑒權安全認證過程完成。
圖4是本發明的加密數據示意圖。
cl數據流為所述移動通信客戶終端發送給所述業務控制服務器的安全認證 數據。被力。密的數據包括了用戶名、密碼和終端IP地址。通過使用隨機數、鑒權密鑰，以指定鑒權算法對加密后的用戶名、密碼和終端IP地址數據進行鑒權
計算，得到鑒權MAC-I值，附加在安全認證數據流的最后。
c2數據流為所述業務控制服務器發送給所述移動通信客戶終端的安全認證 數據流。被加密的數據包括了服務器IP地址。通過^f吏用隨機數、鑒權密鑰，以 指定鑒權算法對加密后的服務器IP地址數據進行鑒權計算，得到鑒權MAC-I 值，附加在安全認證數據流的最后。
圖5是本發明的業務控制服務器和移動通信客戶終端交互過程示意圖。。
首先移動通信客戶終端發送客戶端鑒權安全認證請求消息，通過對用戶名、 密碼和終端IP地址進行加密并附加鑒權值后，發送給所述業務控制服務器；
然后所述業務控制服務器對客戶端發送的請求消息鑒權和安全密碼驗證通 過后，發送服務器端鑒權安全認證請求消息，通過對服務器端IP地址進行加密 并附加鑒權值后，發送給所述移動通信客戶終端；
最后所述移動通信客戶終端通過對服務器端發送的請求消息鑒權驗證通過 后，發送雙向鑒權安全認證過程成功通知消息，整個雙向鑒權安全認證過程完 成。
權利要求
1、一種無線應用服務系統的安全認證實現方法，其特征在于，包括如下交互過程(1)無線應用服務系統中的移動通信客戶終端在發起用戶服務請求時，通過對用戶名、密碼和終端IP地址進行加密，并對加密數據進行鑒權計算，將得到鑒權值附加在加密數據后，發送給業務控制服務器；(2)所述業務控制服務器對所述移動通信客戶終端發送的客戶端安全認證請求數據進行鑒權和解密過程，并驗證解密后得到的用戶名和密碼。鑒權和用戶名密碼驗證通過后，所述業務控制服務器對服務器端IP地址進行加密并附加鑒權值在加密數據后，發送給所述移動通信客戶終端；(3)所述移動通信客戶終端對所述業務控制服務器發送的服務器端鑒權安全認證請求數據進行鑒權并驗證通過后，發送雙向鑒權安全認證過程成功通知消息，整個雙向鑒權安全認證過程完成。
2、 如權利要求1所述無線應用服務系統的安全認證實現方法，其特征在 于，所述業務控制服務器上產生并保存特定用戶對應的加密、鑒權密鑰文件及 一組隨機數，并將該文件和隨機數組一起寫入到智能存儲卡中。用戶使用的所 述移動通信客戶終端與所述智能存儲卡接口 ，在需要進行安全認證時讀出該加 密、鑒權密鑰文件和隨機數組。
3、 如權利要求1所述無線應用服務系統的安全認證實現方法，其特征在 于，所述業務控制服務器為每個用戶保存其設定的手機號碼、用戶名和密碼信 息，以及用戶對應的加密、鑒權密鑰文件和隨機數組。所述業務控制服務器使 用不同用戶的用戶名和密碼對該用戶所在的數據區進行數據訪問控制，防止非 授權用戶獲取其他用戶的私密數據信息。
4、 如權利要求1所述無線應用服務系統的安全認證實現方法，其交互過 程(1 )包括如下步驟步驟1:所述移動通信客戶終端上運行的安全認證應用程序訪問所述智能存 儲卡，獲取對應的加密、鑒權密鑰和隨機數組。步驟2:所述安全認證應用程序通過該加密密鑰和指定加密算法對該用戶輸入的用戶名、密碼及所述移動通信客戶終端的IP地址等信息進行加密。步驟3:所述安全認證應用程序通過在所述隨機數組中順序選取的隨機數和 鑒權密鑰，以指定鑒權算法對步驟2得到的加密數據進行計算得到鑒權MAC-I 值，把該鑒權值附加在加密數據最后。步驟4:所述移動通信客戶終端通過短信、彩信或者通話中的DTMF等方 式將所述步驟3中得到的加密數據發送到所述業務控制服務器。
5、 如權利要求1所述所述無線應用服務系統的安全認證實現方法，其交 互過程(2)，包括如下步驟步驟l:所述業務控制服務器上運行的服務器端安全認證應用程序，接收到 所述移動通信客戶終端發送過來的加密數據后，首先通過以該移動通信客戶終 端的手機號碼作為索引，獲得該用戶保存的鑒權密鑰和隨機數組。步驟2:所述業務控制服務器通過鑒權密鑰和按與該移動通信客戶終端同樣 順序獲取的隨機數，用指定鑒權算法算出鑒權值。如果該計算得到的鑒權值同 所述移動通信客戶終端發送過來的加密數據末尾附加的鑒權MAC-I值一致，則 進行步驟3。否則安全認證過程失敗。步驟3:所述業務控制服務器以所述移動通信客戶終端的手機號碼作為索 引，獲得該用戶保存的加密密鑰和用戶名、密碼。所述業務控制服務器以指定 加密算法對接收的加密數據流進行解密。解密后得到該移動通信客戶終端發送 過來的用戶名和密碼，并將其同在服務器端保存的用戶名和密碼進行比對，如 果匹配正確則認為服務器端對移動通信客戶終端的鑒權認證通過。步驟4:所述業務控制服務器用該移動通信客戶終端對應的加密密鑰將服務 器的IP地址等信息進行加密。通過獲取該用戶本次使用隨機數組的順序下一個 隨機數和鑒權密鑰，以指定鑒權算法得到的鑒權MAC-I值，把該鑒權值把附加 到加密數據的末尾。步驟5:所述業務控制服務器以短信、彩信或者通話中的DTMF方式發送 給所述移動通信客戶終端。
6、 如權利要求1所述所述無線應用服務系統的安全認證實現方法，其交 互過程(3),包括如下步驟步驟1:所述移動通信客戶終端收到所述業務控制服務器發送過來的加密數 據后，選取該用戶上次使用隨機數組的順序下一個隨機數，利用智能存儲卡上的鑒權密鑰和指定鑒權算法進行鑒權計算，并得到鑒權MAC-I值。如果計算的 MAC-I值與發送過來數據流末尾附帶的MAC-I值一致，則認為所述移動通信客 戶終端對所述業務控制服務器的鑒權完成。步驟2:所述移動通信客戶終端通過解密密鑰和指定解密算法得到并保存業 務控制服務器的IP地址等信息。步驟3:所述移動通信客戶終端向所述業務控制M^務器發送雙向筌權成功消息。
全文摘要
一種無線應用服務系統的安全認證實現方法，其實現包括如下過程(1)移動通信客戶終端在發起服務請求時，通過對用戶名、密碼和終端IP地址進行加密和鑒權計算，將鑒權值附加在加密數據后，發送給業務控制服務器；(2)所述業務控制服務器對所述移動通信客戶終端發送的安全認證請求數據進行鑒權和解密過程，并驗證解密后得到的用戶名和密碼。鑒權和用戶名密碼驗證通過后，所述業務控制服務器對服務器端IP地址進行加密并附加鑒權值，發送給所述移動通信客戶終端；(3)所述移動通信客戶終端對所述業務控制服務器發送的鑒權安全認證請求數據進行鑒權并驗證通過后，發送雙向鑒權安全認證過程成功消息，安全認證過程完成。
文檔編號H04W12/02GK101621794SQ20091005445
公開日2010年1月6日 申請日期2009年7月7日 優先權日2009年7月7日
發明者志 董 申請人:志 董