一种基于无证书签名的移动终端认证方法及系统

技术领域

本发明涉及信息安全技术领域，特别是涉及一种基于无证书签名的移动终端认证方法及系统。

背景技术

随着无线通信技术的快速发展，用户使用移动终端可以自由接入互联网，这极大地改变了我们的生活。然而，由于无线通信的开放性，我们面临着比传统有线通信更多的安全挑战。随着移动终端的普及，如何提高无线通信的安全性和保密性得到了广泛的关注。因此通信安全和隐私保护等问题需要亟待解决。其中身份验证安全作为通信中重要的一环，起着非常重要的作用。现有移动终端设备身份认证系统具有抗攻击性能差、速度慢以及公钥密码架构下证书存储和管理需要较大的资源消耗。

发明内容

本发明的目的是提供一种基于无证书签名的移动终端认证方法及系统，提高了认证的抗攻击性。

为实现上述目的，本发明提供了如下方案：

一种基于无证书签名的移动终端认证方法，包括：

根据可信任第三方机构，生成系统参数并保存主密钥c；所述系统参数表示为{G，q，P，P

在所述可信任第三方机构，根据所述系统参数和所述主密钥c对用户设备和服务网络进行注册，获得所述用户设备的公钥为（

通过所述用户设备向所述服务网络发送用户设备认证请求消息，所述服务网络对接收到的所述用户设备认证请求消息进行第一认证；所述用户设备认证请求消息中包括时间戳、所述用户设备的临时身份、所述服务网络的服务标识和所述用户设备的签名信息；

若完成所述第一认证，则通过所述服务网络向所述用户设备发送服务网络认证请求消息和所述服务网络的签名信息，所述用户设备对接收到的所述服务网络认证请求消息和所述服务网络的签名信息进行第二认证；所述服务网络认证请求消息包括时间戳、所述用户设备的临时身份、所述服务网络的服务标识和所述服务网络的签名信息；

若完成所述第二认证，则使所述用户设备与所述服务网络进行通信。

可选地，所述在所述可信任第三方机构，根据所述系统参数和所述主密钥c对用户设备和服务网络进行注册，获得所述用户设备的公钥为（

在所述可信任第三方机构，随机选择

计算

将所述用户设备的临时身份

在所述可信任第三方机构随机选择

当所述用户设备接收到（

判断等式

在所述可信任第三方机构，随机选择

将服务标识

在所述可信任第三方机构随机选择

当所述服务网络接收到（

判断等式

可选地，所述通过所述用户设备向所述服务网络发送用户设备认证请求消息，所述服务网络对接收到的所述用户设备认证请求消息进行第一认证；所述用户设备认证请求消息中包括时间戳、所述用户设备的临时身份、所述服务网络的服务标识和所述用户设备的签名信息，具体包括：

当所述用户设备进入所述服务网络时，所述用户设备收到所述服务网络的公钥和服务标识，且所述用户设备发起认证请求：所述用户设备获取当前的时间戳

当所述服务网络接收到所述用户设备认证请求消息后，验证时间戳

若时间戳

若时间戳

通过查询判断所述用户设备的真实身份

若所述用户设备的真实身份

若所述用户设备的真实身份

若等式

若等式

可选地，若完成所述第一认证，则通过所述服务网络向所述用户设备发送服务网络认证请求消息和所述服务网络的签名信息，所述用户设备对接收到的所述服务网络认证请求消息和所述服务网络的签名信息进行第二认证；所述服务网络认证请求消息包括时间戳、所述用户设备的临时身份、所述服务网络的服务标识和所述服务网络的签名信息，具体包括：

若完成所述第一认证，则所述服务网络获取当前的时间戳

当所述用户设备接收到所述服务网络认证请求消息后，验证时间戳

若时间戳

若时间戳

若等式

若等式

当所述服务网络接收到所述用户设备的消息(

判断哈希值

若哈希值

若哈希值

当所述用户设备接收到所述认证确认消息，使用会话密钥SK解密所述认证确认消息，则完成所述第二认证。

可选地，所述若完成所述第二认证，则使所述用户设备与所述服务网络进行通信，具体包括：

若完成所述第二认证，则使所述用户设备采用会话密钥SK与所述服务网络进行通信。

本发明还公开了一种基于无证书签名的移动终端认证系统，包括：

系统参数与主密钥生成模块，用于根据可信任第三方机构，生成系统参数并保存主密钥c；所述系统参数表示为{G，q，P，P

用户设备与服务网络注册模块，用于在所述可信任第三方机构，根据所述系统参数和所述主密钥c对用户设备和服务网络进行注册，获得所述用户设备的公钥为（

服务网络对用户设备进行认证模块，用于通过所述用户设备向所述服务网络发送用户设备认证请求消息，所述服务网络对接收到的所述用户设备认证请求消息进行第一认证；所述用户设备认证请求消息中包括时间戳、所述用户设备的临时身份、所述服务网络的服务标识和所述用户设备的签名信息；

用户设备对服务网络进行认证模块，用于若完成所述第一认证，则通过所述服务网络向所述用户设备发送服务网络认证请求消息和所述服务网络的签名信息，所述用户设备对接收到的所述服务网络认证请求消息和所述服务网络的签名信息进行第二认证；所述服务网络认证请求消息包括时间戳、所述用户设备的临时身份、所述服务网络的服务标识和所述服务网络的签名信息；

通信模块，用于若完成所述第二认证，则使所述用户设备与所述服务网络进行通信。

可选地，所述用户设备与服务网络注册模块，具体包括：

用户设备的部分公钥和部分私钥第一计算单元，用于在所述可信任第三方机构，随机选择

用户设备的临时身份计算单元，用于计算

用户设备的真实身份第一计算单元，用于将所述用户设备的临时身份

用户设备的部分公钥和部分私钥第二计算单元，用于在所述可信任第三方机构随机选择

用户设备部分公钥和部分私钥接收单元，用于当所述用户设备接收到（

用户设备的公钥和私钥确定单元，用于判断等式

服务网络的部分公钥和部分私钥第一计算单元，用于在所述可信任第三方机构，随机选择

服务网络的服务标识和部分公钥发送单元，用于将服务标识

服务网络的部分公钥和部分私钥第二计算单元，用于在所述可信任第三方机构随机选择

服务网络的部分公钥和部分私钥接收单元，用于当所述服务网络接收到（

服务网络的的公钥和私钥确定单元，用于判断等式

可选地，所述服务网络对用户设备进行认证模块，具体包括：

用户设备认证请求消息发送模块，用于当所述用户设备进入所述服务网络时，所述用户设备收到所述服务网络的公钥和服务标识，且所述用户设备发起认证请求：所述用户设备获取当前的时间戳

时间戳

第一停止认证单元，若时间戳

用户设备的真实身份第二计算单元，若时间戳

真实身份判断单元，用于通过查询判断所述用户设备的真实身份

第二停止认证单元，若所述用户设备的真实身份

第一等式判断单元，若所述用户设备的真实身份

第三停止认证单元，若等式

第一认证完成单元，若等式

可选地，所述用户设备对服务网络进行认证模块，具体包括：

服务网络认证请求消息发送单元，若完成所述第一认证，则所述服务网络获取当前的时间戳

时间戳

第四停止认证单元，若时间戳

第二等式判断单元，若时间戳

第五停止认证单元，若等式

用户设备发送会话密钥消息单元，若等式

服务网络接收会话密钥消息单元，用于当所述服务网络接收到所述用户设备的消息(

哈希值判断单元，用于判断哈希值

第五停止认证单元，若哈希值

认证确认消息发送单元，若哈希值

认证确认消息接收单元，用于当所述用户设备接收到所述认证确认消息时，使用会话密钥SK解密所述认证确认消息，则完成所述第二认证。

可选地，所述通信模块，具体包括：

通信模块单元，若完成所述第二认证时，用于使所述用户设备采用会话密钥SK与所述服务网络进行通信。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明通过用户设备和服务网络进行相互验证，避免了假冒攻击，保证了通信的安全性，用户设备通过时间戳来保证消息的新鲜性，从而避免了重放攻击，对用户设备和服务网络发送的认证消息进行签名，并验证签名，避免了更改攻击，提高了认证的抗攻击性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种基于无证书签名的移动终端认证方法流程示意图；

图2为本发明移动终端与服务网络之间信息传输流程示意图；

图3为本发明一种基于无证书签名的移动终端认证系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种基于无证书签名的移动终端认证方法及系统，提高了认证的抗攻击性。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明一种基于无证书签名的移动终端认证方法流程示意图，图2为本发明移动终端与服务网络之间信息传输流程示意图，如图1-2所示，一种基于无证书签名的移动终端认证方法包括以下步骤：

一种基于无证书签名的移动终端认证方法，包括：

步骤101：根据可信任第三方机构，生成系统参数并保存主密钥c；系统参数表示为{G，q，P，P

步骤102：在可信任第三方机构，根据系统参数和主密钥c对用户设备和服务网络进行注册，获得用户设备的公钥为（

步骤103：通过用户设备向服务网络发送用户设备认证请求消息，服务网络对接收到的用户设备认证请求消息进行第一认证；用户设备认证请求消息中包括时间戳、用户设备的临时身份、服务网络的服务标识和用户设备的签名信息；

步骤104：若完成第一认证，则通过服务网络向用户设备发送服务网络认证请求消息和服务网络的签名信息，用户设备对接收到的服务网络认证请求消息和服务网络的签名信息进行第二认证；服务网络认证请求消息包括时间戳、用户设备的临时身份、服务网络的服务标识和服务网络的签名信息；

步骤105：若完成第二认证，则使用户设备与服务网络进行通信。

其中，步骤102具体包括：

在可信任第三方机构，随机选择

计算

将用户设备的临时身份

在可信任第三方机构随机选择

当用户设备接收到（

判断等式

在可信任第三方机构，随机选择

将服务标识

在可信任第三方机构随机选择

当服务网络接收到（

判断等式

其中，步骤103具体包括：

当用户设备进入服务网络时，用户设备收到服务网络的公钥和服务标识，且用户设备发起认证请求：用户设备获取当前的时间戳

当服务网络接收到用户设备认证请求消息后，验证时间戳

若时间戳

若时间戳

通过查询判断用户设备的真实身份

若用户设备的真实身份

若用户设备的真实身份

若等式

若等式

其中，步骤104具体包括：

若完成第一认证，则服务网络获取当前的时间戳

当用户设备接收到服务网络认证请求消息后，验证时间戳

若时间戳

若时间戳

若等式

若等式

当服务网络接收到用户设备的消息(

判断哈希值

若哈希值

若哈希值

当用户设备接收到认证确认消息，使用会话密钥SK解密认证确认消息，则完成第二认证。

其中，步骤105具体包括：若完成第二认证，则使用户设备采用会话密钥SK与服务网络进行通信。

本发明一种基于无证书签名的移动终端认证方法包括系统初始化、注册和认证三个阶段。

1.系统初始化

在此阶段，首先选择一个安全参数作为输入，可信任第三方机构选择阶为q的循环群G，P为G的一个生成元。可信任第三方机构随机选取c∈

2.注册

用户设备（User Equipment，UE）在接入服务网络（Service Network，SN）之前，首先需要在可信任第三方机构进行注册，用户设备

计算临时身份

服务网络

3．认证

（1）用户设备

（2）当服务网络

（3）当用户设备

（4）当服务网络

（5）用户设备

本发明具有以下有益效果：

1.本发明所提供的方法中用户设备和服务网络采用信任机制向可信任第三方机构进行注册生成密钥，该方式不再依赖安全通道。

2.本发明所提供的方法中通信实体进行相互验证，避免了假冒攻击，保证了通信的安全性。

3.本发明所提供的方法中对消息进行签名，验证签名，避免了更改攻击。

4.本发明提供的方法是用户设备通过时间戳来保证消息的新鲜性，从而避免了重放攻击。

5.本发明所提供的方法中用户生成的会话密钥都是由用户设备和服务网络通过秘密选择的随机值进行生成的，因此会话密钥的前后向安全性得到了保证。

6.本发明所提供的方法中使用用户设备的匿名进行通信，在每次认证过程中通过引入时间戳更新用户设备的临时身份，保证了用户的隐私安全。

图3为一种基于无证书签名的移动终端认证系统，一种基于无证书签名的移动终端认证系统包括：

系统参数与主密钥生成模块201，用于根据可信任第三方机构，生成系统参数并保存主密钥c；系统参数表示为{G，q，P，P

用户设备与服务网络注册模块202，用于在可信任第三方机构，根据系统参数和主密钥c对用户设备和服务网络进行注册，获得用户设备的公钥为（

服务网络对用户设备进行认证模块203，用于通过用户设备向服务网络发送用户设备认证请求消息，服务网络对接收到的用户设备认证请求消息进行第一认证；用户设备认证请求消息中包括时间戳、用户设备的临时身份、服务网络的服务标识和用户设备的签名信息；

用户设备对服务网络进行认证模块204，用于若完成第一认证，则通过服务网络向用户设备发送服务网络认证请求消息和服务网络的签名信息，用户设备对接收到的服务网络认证请求消息和服务网络的签名信息进行第二认证；服务网络认证请求消息包括时间戳、用户设备的临时身份、服务网络的服务标识和服务网络的签名信息；

通信模块205，用于若完成第二认证，则使用户设备与服务网络进行通信。

用户设备与服务网络注册模块202，具体包括：

用户设备的部分公钥和部分私钥第一计算单元，用于在可信任第三方机构，随机选择

用户设备的临时身份计算单元，用于计算

用户设备的真实身份第一计算单元，用于将用户设备的临时身份

用户设备的部分公钥和部分私钥第二计算单元，用于在可信任第三方机构随机选择

用户设备部分公钥和部分私钥接收单元，用于当用户设备接收到（

用户设备的公钥和私钥确定单元，用于判断等式

服务网络的部分公钥和部分私钥第一计算单元，用于在可信任第三方机构，随机选择

服务网络的服务标识和部分公钥发送单元，用于将服务标识

服务网络的部分公钥和部分私钥第二计算单元，用于在可信任第三方机构随机选择

服务网络的部分公钥和部分私钥接收单元，用于当服务网络接收到（

服务网络的的公钥和私钥确定单元，用于判断等式

服务网络对用户设备进行认证模块203，具体包括：

用户设备认证请求消息发送模块，用于当用户设备进入服务网络时，用户设备收到服务网络的公钥和服务标识，且用户设备发起认证请求：用户设备获取当前的时间戳

时间戳

第一停止认证单元，若时间戳

用户设备的真实身份第二计算单元，若时间戳

真实身份判断单元，用于通过查询判断用户设备的真实身份

第二停止认证单元，若用户设备的真实身份

第一等式判断单元，若用户设备的真实身份

第三停止认证单元，若等式

第一认证完成单元，若等式

用户设备对服务网络进行认证模块204，具体包括：

服务网络认证请求消息发送单元，若完成第一认证，则服务网络获取当前的时间戳

时间戳

第四停止认证单元，若时间戳

第二等式判断单元，若时间戳

第五停止认证单元，若等式

用户设备发送会话密钥消息单元，若等式

服务网络接收会话密钥消息单元，用于当服务网络接收到用户设备的消息(

哈希值判断单元，用于判断哈希值

第五停止认证单元，若哈希值

认证确认消息发送单元，若哈希值

认证确认消息接收单元，用于当用户设备接收到认证确认消息时，使用会话密钥SK解密认证确认消息，则完成第二认证。

通信模块205，具体包括：

通信模块单元，若完成第二认证时，用于使用户设备采用会话密钥SK与服务网络进行通信。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。