本发明专利技术涉及一种既能验证公共终端的可信性,同时又能保护公共终端的隐私的具备隐私保护功能的公共终端可信性验证方法,在关键业务计算设备中安装可信计算模块和近距离无线通信模块(NFC),普通用户持有安装NFC通信模块的移动终端,在使用公共场合计算机进行业务交易之前,用户持有移动终端靠近计算机,通过NFC通道发送验证请求,计算机中可信计算模块对系统内若干个关键内容信息进行哈希运算,然后利用直接匿名认证协议对哈希值进行签名,把签名数据通过NFC通道发送至用户移动终端,用户移动终端对签名进行验证,验证结果通过移动终端屏幕显示出来,通过这种方法,用户非常直观的判断进行交易的计算机是否可信,从而决定后续的交易动作,由于采用了直接匿名认证技术,还能够保护认证计算机身份的隐私性。
【技术实现步骤摘要】
本专利技术涉及一种既能验证公共终端的可信性,同时又能保护公共终端的隐私的。
技术介绍
随着银行电子交易的迅速普及,许多业务可以在公共场合的ATM等公共终端上进行。在公共场合的计算设备一般没有专业的安全保护措施,这给许多恶意攻击者带来了可乘之机,已经有多起ATM机器被篡改,盗取取款人密码的事件发生。为防止此类事件再次发生,必须确保公共场合关键业务机器的可信性。可行的办法是为公共场合计算设备增加可信计算模块,从机器启动到软件运行都进行严格的验证。但是这种方法过于专业,技术性太强,普通用户很难进行直观的判断。
技术实现思路
本专利技术提出了一种直观验证公共场合关键业务计算设备可信性的,在关键业务计算设备中安装可信计算模块(即TPM)和近距离无线通信模块(NFC),普通用户持有安装了 NFC通信模块的移动终端,在使用公共场合计算机进行业务交易之前,用户持有移动终端靠近计算机,通过NFC通道发送验证请求,计算机中的可信计算模块(即TPM)对系统内若干个关键内容信息进行哈希运算,然后利用直 接匿名认证协议对哈希值进行签名,把签名数据通过NFC通道发送至用户移动终端,用户移动终端对签名进行验证,验证结果通过移动终端屏幕显示出来;通过这种方法,用户可以非常直观的判断进行交易的计算机是否可信,从而决定后续的交易动作;同时由于采用了直接匿名认证技术,还能够保护认证计算机身份的隐私性。本专利技术采用以下技术方案 一种,其特征在于利用具备NFC功能的移动终端贴近运行关键业务的公共终端,对其可信性进行验证,同时还能够保护被验证公共终端的身份隐私,步骤如下 1)所述的公共终端具备NFC通信功能,利用内部的若干状态值表明其未被攻击者修改过,具备可信性, 2)移动终端贴近关键业务公共终端,当距离缩小至NFC发挥作用时,移动 终端与公共终端之间运行直接匿名认证协议,通过双方的NFC通道传送签名数据; 3)移动终端对公共终端的可信性验证是通过在移动终端和公共终端之间运行直接匿名认证协议,由公共终端对内部状态进行签名,移动终端以公共终端内部状态的正常值为依据,对收到签名数据进行验证。所述的,具体步骤如下 步骤I :公共终端所属总部服务器运行认证协议初始化算法,生成各种必备参数 I)生成承诺参数^^ 4;,在这个步骤中,选择具有足够大素数阶的三个群,为群分别选择随机生成元使得砀=<芎>,C^=<i|>,同时,还要选择一个双线性映射i:G丨接下来是选择随机哈希函数H2ZiQ1Ifi^z9,PARJc = (^GpGrAlUqMlM7) , 1卜参数/!狀冬的子集ΤΡΜ (即可信计算模块)的参数Affl冬在Ai 4f之前优先被设置为(GtPl3f); 2)生成签名和验证参数PJSA:选择两个哈希函数,與和 H4 mr^Z,,最终设置PARAs = {S^Ha}; 3)生成发布者的参数Λ Μγ,对于每个4eJ,执行下面的步骤选择两个随机整数:,发布者的私钥SSkt,然后计算I=KK和r =Wa ,发布者的公钥Pi被设置为(JTJ1,然后通过发布者的公开参数衍生出,最终,对于每个发布者& Cl,被设置为(M3JTt); 4)生成TPM(即可信计算模块)参数,根据自身嵌入的背书密钥,TPM生成一对公私钥 {PK,SK),另外TPM还要生成一个私有秘密数据SacfBiSiaf ,最终,对于每个TPM对应 的主机Aeii,其公开参数Λ 4·被设置为; 5)发布公共参数,最终整个系统的公开参数被设置为 PARA - (PASAcjPJRAsiPARAi,PARAt); 步骤2 :总部服务器通过GPRS/3G网络向移动终端发送验证需要的公共参数和其所管辖范围内公共终端内部系统状态参考值; 步骤3 :总部服务器通过内部网络向公共终端发送加入匿名认证协议的请求,在总部服务器和公共终端之间运行匿名认证的加入部分,加入协议运行在给定公共终端TPM模块Jf ,公共终端主机Aeif ,以及总部服务器ieJ之间,发起者由总部服务器发出请求,同时进行如下计算 胤,C^herKeyf <r- ENC战 Ikeyiije.) , Randoms 4- {0,l>f ;总部服务器通过系统内部网络向公共终端发送消息It^herKey1,Soidom1I, O公共终端主机收到该消息后,向嵌入在其中的TPM转发,TPM收到消 息后作出响应,并进行如下运算S^kr 4—PBFiS0^eiS0ei\l K1 |j cut}, ksyMM. - UBCWCQiEiierlfey,),如果 Jb^jiac=JL,则认为出现了错误,停止运算,否则’计算如下步骤:Sm^XUTURandom1, , Ui-Xs , UDOrQjSSX) ; wm+Oi^modg);7<, MACt^(PlDQ2UvOw); 2 ) TPM模块向公共终端主机发送消息( ,v^^i&wfifcnv); 3)公共终端主机收到消息后,通过系统银行内部网络向证书发布者发送消息(Q^wiBandan1); 4)总部服务器收到上述消息,进行如下运算 如果总部服务器保存的Eaidomr不在收到的消息中,那么停止运算,中止协议的运行,否则进行如下计算fvdw),如果,则停止运算,并终止协议的运行,否则进行如下计算 CT <- [wK -[v}a ; V <- H^P1UQ1 DtTQjSZK);如果v才Vr,那么停止运算,中止协议的运行,否则,进行如下运算对于所有撤销列表中的<,如果这=WK,那么中止协议的运行,否则进行如下运算, A<r-\T^[, Bi^\y\A , Ο^[ ]4+{ Κ]0ζ ;向公共终 端主机发送消息C4 氧C),以此作为证书; 5)公共终端主机收到这个消息后,从中提取出B,向TPM发送B,TPM收到消息B后,计算然后向公共终端主机发送D,公共终端主机收到D后,进行如下运算判定Α(ΛΓ)#^,Ρ3)和J(C^P3),只要其中的一个为假,就停止协议的运行; 步骤4:移动终端贴近需要验证可信性的公共终端,通过NFC通道向公共终端发出验证可信性的请求,移动终端选择一个随机数,向公共终端发送消息Jkwsfcnv ; 步骤5 :公共终端收到请求后,进行验证值运算,如果公共终端的Iaa =丄,那么否则其中,表示基础平台名称,是可信计算机的一个属性值,计算, R^lA ,, r<-[qc, IT<-P]i , c <; |i,jTPM发送命令{c,J,S,sjis_siaM,bsrii , TPM收到上述消息后,进行如下运算I =[為,Remdomr 4-(O3IJi, r<—Z9 . R1, jS^<f-[r}S ; >53!R4—JDiTDiitiMni^Diiz ,/iH/c□印 UiSiMiirar) ;TPM模块选择一种哈希算法,对系统的关键状态计算哈希值,把获得的若干哈希值存放在相应的平台配置寄存器中,每次进行验证的时候,把这些寄存器中的内容连接起来,赋值给变量,然后进行验证值的计算,TPM向公共终端主机发送消息,公共终端主机收到消息本文档来自技高网...
【技术保护点】
一种具备隐私保护功能的公共终端可信性验证方法,其特征在于:利用具备近距离无线通信模块功能的移动终端贴近运行关键业务的公共终端,对其可信性进行验证,同时还能够保护被验证公共终端的身份隐私,具体步骤如下:1)所述的公共终端具备近距离无线通信模块通信功能,利用内部的若干状态值表明其未被攻击者修改过,具备可信性;2)移动终端贴近关键业务公共终端,当距离缩小至近距离无线通信模块发挥作用时,移动终端与公共终端之间运行直接匿名认证协议,通过双方的NFC通道传送签名数据;3)移动终端对公共终端的可信性验证是通过在移动终端和公共终端之间运行直接匿名认证协议,由公共终端对内部状态进行签名,移动终端以公共终端内部状态的正常值为依据,对收到签名数据进行验证。
【技术特征摘要】
1.一种具备隐私保护功能的公共終端可信性验证方法,其特征在于利用具备近距离无线通信模块功能的移动终端贴近运行关键业务的公共終端,对其可信性进行验证,同时还能够保护被验证公共终端的身份隐私,具体步骤如下 1)所述的公共終端具备近距离无线通信模块通信功能,利用内部的若干状态值表明其未被攻击者修改过,具备可信性; 2)移动终端贴近关键业务公共終端,当距离缩小至近距离无线通信模 块发挥作用时,移动终端与公共終端之间运行直接匿名认证协议,通过双方的NFC通道传送签名数据; 3)移动终端对公共终端的可信性验证是通过在移动终端和公共終端之间运行直接匿名认证协议,由公共终端对内部状态进行签名,移动终端以公共終端内部状态的正常值为依据,对收到签名数据进行验证。2.根据权利要求I所述的具备隐私保护功能的公共終端可信性验证方法,其特征在于 步骤ー公共終端所属总部服务器运行认证协议初始化算法,生成各种必备參数 1)生成承诺參数!^ 4,在这个步骤中,选择具有足够大素数阶的三个群,为群%砀分别选择随机生成元使得荇>,$=<芎>,同时,还要选择ー个双线性映射珥X1 只译,接下来是选择随机哈希函数JI1: {0,1* BG1, H1-Cftl...
【专利技术属性】
技术研发人员:苏庆会,梁松涛,贾洪勇,张鲁国,董建强,刘熙胖,王科峰,刘长河,
申请(专利权)人:郑州信大捷安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。