适用于移动应用签名的身份认证与密钥协商方法及设备技术

本发明专利技术实施例提供一种适用于移动应用签名的身份认证与密钥协商方法及设备，该方法包括获取用户输入的身份信息，根据智能卡存储的预置参数和所述身份信息计算验证值；通过对比所述验证值与所述智能卡存储的注册验证值对所述身份信息进行验证；在所述身份信息验证通过后，生成第一随机数，并根据预设椭圆曲线群的生成元和所述第一随机数计算第一交互值和第一认证值，将包含所述第一交互值和所述第一认证值的登录请求发送至服务器；接收回复消息，并根据所述第一随机数、所述第二交互值和所述第二认证值验证服务器身份以及确定会话密钥。本发明专利技术实施例能够提高移动应用签名身份认证与密钥协商的安全性。

Identity authentication and key agreement methods and devices for mobile application signatures

【技术实现步骤摘要】
适用于移动应用签名的身份认证与密钥协商方法及设备
本专利技术实施例涉及网络安全
，尤其涉及一种适用于移动应用签名的身份认证与密钥协商方法及设备。
技术介绍
身份认证与密钥协商目的是在复杂的、非安全的网络环境中实现通信参与各方的身份认证与通信安全。身份认证包括服务器对用户的身份的确认以及用户对服务器合法性的确认，根据双方共享的认证信息判断通信方身份的真实性。而密钥协商在开放的网络通信环境中，允许多个参与成员在由攻击者完全控制通信信道的情况下通过信息交换，联合生成一个共享的会话密钥，用于加密用户和服务器的通信消息。随着移动应用的快速发展，针对移动应用的各种攻击事件也层出不穷，攻击者可能通过对原始应用进行篡改、植入病毒或恶意程序，从而达到插入恶意广告或非法收集用户信息的目的。尤其是针对一些与用户财产密切相关的敏感软件，例如银行手机客户端软件、理财APP，如果攻击者通过仿冒原始软件，进而捕获用户的用户名与密码，从而非法使用或转移用户财产，这将给用户带来非常大的损失，因此亟需对移动应用进行安全认证。应用商店作为移动应用下载服务的提供者目前已成为移动应用的主要获取渠道。由应用商店对所提供移动应用进行安全认证是切实可行的，并将大大提高用户使用该应用商店的信心。应用商店首先对各个应用的安全性检测，对通过安全检测的应用通过数字签名的方式认证该应用的安全性，用户通过验证签名的合法性，确认该应用的安全性。在这一过程中，不仅涉及用户与应用商店之间的身份认证，同时为保证签名结果、签名者的公钥等信息通过公有网络安全传输，还需为签名及应用商店公钥证书的安全传递协商会话密钥。现有的针对移动应用签名的认证与密钥协商方案存在着各种各样的安全缺陷，抗攻击能力弱，安全性差。
技术实现思路
本专利技术实施例提供一种适用于移动应用签名的身份认证与密钥协商方法及设备，以解决目前针对移动应用签名的认证与密钥协商方案安全性差的问题。第一方面，本专利技术实施例提供一种适用于移动应用签名的身份认证与密钥协商方法，应用于用户端，包括：获取用户输入的身份信息，根据智能卡存储的预置参数和所述身份信息计算验证值；通过对比所述验证值与所述智能卡存储的注册验证值对所述身份信息进行验证；所述注册验证值为用户进行身份注册时生成的身份验证值；在所述身份信息验证通过后，生成第一随机数，并根据预设椭圆曲线群的生成元和所述第一随机数计算第一交互值和第一认证值，将包含所述第一交互值和所述第一认证值的登录请求发送至服务器；所述登录请求用于指示所述服务器根据所述第一认证值判定用户是否为合法用户，并在判定用户为合法用户后，生成第二随机数，根据所述第二随机数、所述预设椭圆曲线群的生成元和所述第一交互值计算第二交互值和第二认证值，将包含所述第二交互值和所述第二认证值的回复消息发送至所述用户端；接收所述回复消息，并根据所述第一随机数、所述第二交互值和所述第二认证值验证服务器身份以及确定会话密钥。第二方面，本专利技术实施例提供一种适用于移动应用签名的身份认证与密钥协商方法，应用于服务器，包括：接收用户端发送的包含第一交互值和第一认证值的登录请求；所述一交互值和所述第一认证值为所述用户端根据预设椭圆曲线群的生成元和第一随机数计算得到；根据所述第一认证值判定用户是否为合法用户；在判定用户为合法用户后，生成第二随机数，根据所述第二随机数、所述预设椭圆曲线群的生成元和所述第一交互值计算第二交互值和第二认证值；将包含所述第二交互值和所述第二认证值的回复消息发送至所述用户端；所述回复信息用于指示所述用户端根据所述第一随机数、所述第二交互值和所述第二认证值验证服务器身份以及确定会话密钥。第三方面，本专利技术实施例提供一种适用于移动应用签名的身份认证与密钥协商设备，包括：至少一个处理器和存储器；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如上第一方面以及第一方面各种可能的实施方式所述的身份认证与密钥协商方法，或者执行如上第二方面以及第二方面各种可能的实施方式所述的身份认证与密钥协商方法。第四方面，本专利技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上第一方面以及第一方面各种可能的实施方式所述的身份认证与密钥协商方法，或者实现实现如上第二方面以及第二方面各种可能的实施方式所述的身份认证与密钥协商方法。本实施例提供的适用于移动应用签名的身份认证与密钥协商方法及设备，用户端获取用户输入的身份信息，根据智能卡存储的预置参数和所述身份信息计算验证值；通过对比所述验证值与所述智能卡存储的注册验证值对所述身份信息进行验证；所述注册验证值为用户进行身份注册时生成的身份验证值；在所述身份信息验证通过后，生成第一随机数，并根据预设椭圆曲线群的生成元和所述第一随机数计算第一交互值和第一认证值，将包含所述第一交互值和所述第一认证值的登录请求发送至服务器；所述登录请求用于指示所述服务器根据所述第一认证值判定用户是否为合法用户，并在判定用户为合法用户后，生成第二随机数，根据所述第二随机数、所述预设椭圆曲线群的生成元和所述第一交互值计算第二交互值和第二认证值，将包含所述第二交互值和所述第二认证值的回复消息发送至所述用户端；接收所述回复消息，并根据所述第一随机数、所述第二交互值和所述第二认证值验证服务器身份以及确定会话密钥。本专利技术实施例通过注册阶段生成的身份验证值能够确认用户身份，通过用户端与服务器之间的传递的第一交互值和第二交互值进行会话密钥协商，使得生成的会话密钥具有高安全性，从而提高移动应用签名身份认证与密钥协商的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的适用于移动应用签名的身份认证与密钥协商系统的架构示意图；图2为本专利技术一实施例提供的适用于移动应用签名的身份认证与密钥协商方法的流程示意图；图3为本专利技术又一实施例提供的适用于移动应用签名的身份认证与密钥协商方法中身份注册的流程示意图；图4为本专利技术另一实施例提供的适用于移动应用签名的身份认证与密钥协商方法的流程示意图；图5为本专利技术再一实施例提供的适用于移动应用签名的身份认证与密钥协商方法中修改密码的流程示意图；图6为本专利技术下一实施例提供的适用于移动应用签名的身份认证与密钥协商方法的流程示意图；图7为本专利技术还一实施例提供的适用于移动应用签名的身份认证与密钥协商方法的流程示意图；图8为本专利技术一实施例提供的适用于移动应用签名的身份认证与密钥协商方法的交互信令图；图9为本专利技术一实施例提供的适用于移动应用签名的身份认证与密钥协商装置的结构示意图；图10为本专利技术又一实施例提供的适用于移动应用签名的身份认证与密钥协商装置的结构示意图；图11为本专利技术另一实施例提供的适用于移动应用签名的身份认证与密钥协商装置的结构示意图；图12为本专利技术一实施例提供的适用于移动应用签名的身份认证与密钥协商设备的硬件结构示意图。具体实施方式为本文档来自技高网...

【技术保护点】
1.一种适用于移动应用签名的身份认证与密钥协商方法，其特征在于，应用于用户端，包括：获取用户输入的身份信息，根据智能卡存储的预置参数和所述身份信息计算验证值；通过对比所述验证值与所述智能卡存储的注册验证值对所述身份信息进行验证；所述注册验证值为用户进行身份注册时生成的身份验证值；在所述身份信息验证通过后，生成第一随机数，并根据预设椭圆曲线群的生成元和所述第一随机数计算第一交互值和第一认证值，将包含所述第一交互值和所述第一认证值的登录请求发送至服务器；所述登录请求用于指示所述服务器根据所述第一认证值判定用户是否为合法用户，并在判定用户为合法用户后，生成第二随机数，根据所述第二随机数、所述预设椭圆曲线群的生成元和所述第一交互值计算第二交互值和第二认证值，将包含所述第二交互值和所述第二认证值的回复消息发送至所述用户端；接收所述回复消息，并根据所述第一随机数、所述第二交互值和所述第二认证值验证服务器身份以及确定会话密钥。

【技术特征摘要】
1.一种适用于移动应用签名的身份认证与密钥协商方法，其特征在于，应用于用户端，包括：获取用户输入的身份信息，根据智能卡存储的预置参数和所述身份信息计算验证值；通过对比所述验证值与所述智能卡存储的注册验证值对所述身份信息进行验证；所述注册验证值为用户进行身份注册时生成的身份验证值；在所述身份信息验证通过后，生成第一随机数，并根据预设椭圆曲线群的生成元和所述第一随机数计算第一交互值和第一认证值，将包含所述第一交互值和所述第一认证值的登录请求发送至服务器；所述登录请求用于指示所述服务器根据所述第一认证值判定用户是否为合法用户，并在判定用户为合法用户后，生成第二随机数，根据所述第二随机数、所述预设椭圆曲线群的生成元和所述第一交互值计算第二交互值和第二认证值，将包含所述第二交互值和所述第二认证值的回复消息发送至所述用户端；接收所述回复消息，并根据所述第一随机数、所述第二交互值和所述第二认证值验证服务器身份以及确定会话密钥。2.根据权利要求1所述的方法，其特征在于，所述预置参数包括服务器预置参数和用户端预置参数，在所述获取用户输入的身份信息之前，还包括：获取用户输入的待注册身份信息；所述待注册身份信息包括待注册身份标识及待注册身份密码；生成第三随机数，并根据所述待注册身份信息和所述第三随机数计算哈希值，将包含所述待注册身份标识和所述哈希值的注册请求发送至服务器；所述注册请求用于指示所述服务器根据私钥、所述待注册身份标识和所述哈希值确定服务器预置参数，将所述服务器预置参数存储到所述存储卡；根据所述哈希值和所述服务器预置参数计算所述注册验证值，将所述第三随机数和所述注册验证值作为所述用户端预置参数存储到所述存储卡。3.根据权利要求1或2所述的方法，其特征在于，所述预置参数包括预置随机数和预置整数，所述身份信息包括身份标识及身份密码；所述根据智能卡存储的预置参数和所述身份信息计算验证值，包括：根据所述预置参数、所述身份信息和第一公式计算所述验证值；所述第一公式为：其中，Vi*为所述验证值，h()为哈希函数，为所述身份标识，PWi*为所述身份密码，Ni为所述预置随机数，n为所述预置整数。4.根据权利要求3所述的方法，其特征在于，所述预置参数包括预置公钥和第一预置值；所述根据预设椭圆曲线群的生成元和所述第一随机数计算第一交互值和第一认证值，将包含所述第一交互值和所述第一认证值的登录请求发送至服务器，包括：根据所述预设椭圆曲线群的生成元、第一随机数及第二公式计算所述第一交互值；所述第二公式为：Ri＝N1P其中，Ri为所述第一交互值，N1为所述第一随机数，P为所述预设椭圆曲线群的生成元；根据所述第一交互值和第三公式计算所述第一认证值；所述第三公式为：其中，Di为所述第一认证值，Bi为所述第一预置值，根据所述第一随机数和第四公式计算加密密钥；所述第四公式为：Ci＝h(N1PPUB)其中，Ci为所述加密密钥，PPUB为所述预置公钥；根据所述加密密钥和高级加密标准算法对所述身份标识和所述第一认证值加密得到密文；生成时间戳，将包含所述密文、所述时间戳和所述第一交互值的登录请求发送至所述服务器。5.根据权利要求4所述的方法，其特征在于，所述根据所述第一随机数、所述第二交互值和所述第二认证值验证服...

【专利技术属性】
技术研发人员：徐国爱，王菲菲，郭燕慧，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京,11