[发明专利]面向移动终端的无线安全身份验证方法

说明书

技术领域

本发明属于无线安全身份验证技术领域，尤其涉及一种面向移动终端的无线安全身份验证方法，具体涉及一种以传统的无线公钥基础设施（WPKI）为基础，通过对WPKI使用的安全算法和体系结构进行改进的无线通信网络身份验证方法。

背景技术

随着政府信息化工程建设步伐的不断加快，越来越多政府部门的业务趋向于网络化，例如信息采集、数据共享、业务受理、舆情反馈等，都可以通过互联网络得到实现。同时随着无线通信网络技术的迅速发展，以及人们对各种服务便捷性要求的提高，越来越多的应用服务需要支持各种移动终端设备（如PDA、智能手机等）作为信息交互的移动节点，并且能够通过无线通信网络实时、安全地连接各政府部门的内部服务器，访问相应的信息资源。但是，由于无线通信网络具有带宽低、数据开放性强、终端存储计算能力弱等特点，应用于传统有线网络的基于PKI/PMI（Public Key Infrastructure/Privilege Management Infrastructure）的安全基础设施不能简单地照搬移植到无线通信网络。因此，为无线通信网络设计安全可靠的接入技术，使各种移动终端设备通过认证、授权后能够安全、实时地访问相应组织机构的内网资源，成为当前社会各机构、各领域信息化建设的一个亟待解决的问题。

由于WPKI是专门为无线网络和移动终端设备设计的安全体系，因此其中很多部件都已经考虑到移动终端计算、存储能力弱、无线网络通信带宽有限、可靠性低等实际环境特点。但WPKI引入了可信第三方（TTP）认证服务，这个可信第三方缺乏可信的度量和监控。如果TTP由于受到攻击等原因变成不可信，则它将成为中间人攻击的据点，严重影响整个系统的安全。

因此，急需提出一种新型的无线通信安全身份验证方法，在WPKI使用的安全算法和体系结构的基础上，实现移动终端在计算能力低的限制下通过无线通信网络完成身份验证，并由此安全接入内网。

发明内容

本发明的目的在于针对现有技术的不足，提供一种面向移动终端的无线安全身份验证方法，解决无线网络和各类移动终端在电子政务、电子商务、网上娱乐社会领域应用中的移动身份认证问题。

为实现上述目的，本发明在分析现有无线网络环境中面向移动终端的身份认证安全协议的基础上，设计基于证书授权和身份验证技术的安全协议。在证书授权阶段，主要在安全内网中利用X.509证书标准、安全密钥交换技术实现用户注册、证书颁发以及身份授权；在身份认证阶段，主要利用证书本地验证、对称加密、时间戳技术实现身份验证与安全登录，最终实现面向移动终端的无线安全身份验证。

本发明的方法具体通过以下步骤实现： 

步骤(1).移动终端注册：

1-1.在移动终端填写注册表单,并将注册表单的用户信息发送至认证服务器。

1-2.认证服务器收到移动终端发送来的用户信息后先在本地数据库中查找用户信息中用户名（Email）的记录，如果该用户名已经存在则提示该用户已注册；如果用户名不存在则允许注册。

1-3.在注册过程中，认证服务器生成用户身份证书、用户RSA私钥、属于移动终端C的Diffie-Hellman（DH）密钥对和属于认证服务器CS的Diffie-Hellman（DH）密钥对；认证服务器调用移动终端的DH公钥和认证服务器的DH私钥生成认证服务器DES密钥，移动终端调用认证服务器的DH公钥和移动终端的DH私钥生成移动终端DES密钥；认证服务器用用户设置的密码对用户身份证书和用户RSA私钥进行加密，并将加密后的用户身份证书、用户RSA密钥、移动终端的DH密钥对和认证服务器的DH公钥一起作为注册结果反馈给移动终端。

1-4.用户身份证书生成具体如下： 

a. 认证服务器用消息摘要算法（SHA-1）散列用户信息得到摘要；

b. 认证服务器生成一对属于该移动终端的RSA密钥对，用RSA私钥加密步骤a中得到的摘要，得到该移动终端的数字签名；

c. 认证服务器利用本地证书中心CA的RSA私钥签发用户身份证书，用户身份证书内容包括用户信息、数字签名、用户的RSA公钥。

    步骤(2).移动终端登录，该登录包括用户身份证书的本地验证和移动终端向认证服务器的登录。

2-1.用户身份证书的本地验证具体如下：

d. 在移动终端输入注册时用户设置的密码，解密获得注册时认证服务器用此密码加密的用户身份证书和用户RSA私钥；

e. 用消息摘要算法（SHA-1）散列用户身份证书中的用户信息得到摘要一；