专利名称:一种基于移动终端支付的身份验证方法
技术领域:
本发明涉及通信领域中的移动终端电子支付业务领域,具体地说,是涉 及一种基于移动终端支付的身份验证方法。
背景技术:
随着移动通信技术的迅猛发展及国内3G技术的蓬勃兴起,移动终端用 户数量增长迅速,其巨大的数量必将带动相关的产业增长。作为电子货币与 通信业务相结合的产物,使用移动终端作为载体的支付在未来的支付业务中 将大有作为,前景广阔。
如何解决移动终端支付业务中对用户的身份认证复杂的问题,又能在由 于移动终端本身存储容量较小,而且使用的无线网络传输速度较慢情况下顺 利进行,这些都成为亟待解决的问题。
发明内容
本发明所解决的技术问题在于提供一种基于移动终端支付的身份验证 方法,以解决现有技术中移动终端支付业务中对用户的身份认证复杂的问题。
为了解决上述问题,本发明提供了一种基于移动终端支付的身份验证方 法,应用于移动终端支付的身份验证中,包括以下步骤
(1) 密钥分发中心为移动中心设备及移动终端分发密钥,同时为移动 中心设备及移动终端分配身份号码信息,移动中心设备运用其与密钥分发中 心的密钥将其的会话密钥和欲建立会话连接移动终端的身份号码信息加密 后,发送给所述密钥分发中心;
(2) 所述密钥分发中心收到信息后,运用移动中心设备的密钥进行解密,如解密成功则继续执行,否则退出不再执行下述步骤;
(3) 所述密钥分发中心从解密信息中得到欲建立会话的移动终端身份 号码,运用其与该移动终端的密钥将移动中心设备的会话密钥和身份号码信 息加密后,发送给所述移动终端;
(4) 所述移动终端收到信息后,运用其与所述密钥分发中心的密钥解 密,如解密成功则继续执行,否则退出不再执行下述步骤;
(5) 所述移动终端选择一段明文并计算其摘要,将该明文和摘要运用 移动中心设备的会话密钥进行加密,然后附上该移动中心设备的身份号码信 息及所述移动终端身份号码信息,将信息发送给该移动中心设备;
(6 )所述移动中心设备运用其会话密钥对接收到的信息进行解密,如 解密成功则继续执行,否则退出不再执行下述步骤;
(7 )所述移动中心设备移动中心设备对解密后的明文进行摘要计算, 若该摘要与解密信息中的摘要相同,则认为是在和欲建立会话连接的移动终 端通信并可进行后续操作,否则认为身份认证错误。
本发明所述的方法,其中,所述移动终端的身份号码信息为手机号码或 IPv6地址。
其中,移动中心设备的身份号码信息为IPv6地址。 其中,所述加密算法为DES。
本方法基于对称加密算法,利用其存储密钥少,加密速度快的优点,使 得当移动中心与移动终端进行身份认证时,可获得较快的响应时间,较小的 存储空间及线路开销;在双方的会话上再加入鉴别,以保证会话的安全性。
图1是本发明实施例所述的一种基于手机支付的身份验证方法流程图。
具体实施例方式
本发明在这里提供了 一种基于手机支付的身份验证方法,以解决现有技 术中移动终端支付业务中对用户的身份认证复杂的问题。以下对具体实施方式
进行详细描述,但不作为对本发明的限定。
本发明实施例所述方法的大致流程为移动中心设备经由密钥分发中心 KDC (Key Distribution Center)发送密钥协商请求,密钥分发中心用它与移 动中心的密钥对信息解密并再将请求信息加密发送给被请求的移动终端,移 动终端确认后用请求信息中的密钥加密 一段随机明文及其摘要并向移动中 心设备发送,移动中心设备解密后计算接收到的明文的摘要,若与接收到的 摘要相同,则可以肯定信息来自终端,于是建立了一个安全的通道。
本发明首先是移动中心设备和移动终端都与KDC建立了密钥关系, KDC在为移动中心设备及移动终端分发密钥同时,为其分配一个新的身份 号码,并且保证该身份号码是唯一的,也可选择其他具有唯一性的号码作为 身份号码,如手机号码或IPv6地址。
例如在本方案中,移动中心设备的身份号码为00001,移动终端的身份 号码为00002,新的移动终端的身份号码可以为00003,依次类推。
这里移动终端身份号码须提前进行公布,以便移动中心设备和其它移动 终端与其通信,但移动中心设备和移动终端与KDC的密钥,只有它自己知 道,其它移动终端不知道;KDC知道所有终端的密钥,但作为第三方可信 权威机构,它必须严格保密,并且保证密钥不被泄漏。
如附图1所示,身份验证操作步骤如下
步骤IOI,移动中心设备选择一个128bit的会话密钥&,然后将该密钥 和想要建立会话连接的移动终端的身份号码用它与KDC的密钥尺。。。。,力口密, 使用DES算法(DataEncryption Standard,数据加密算法);最后,他将自 己的身份号码连同加密信息一同发给KDC,整个发送的信息为 00001,& (00002,《,);
步骤102, KDC接收到消息后,用移动中心设备的密钥解密(00001表 明收到的消息来自移动中心设备);如果解密成功,则证明该消息来自移动 中心设备;否则可认为是其他人伪造的消息而予以丢弃;
解密过程如下A,(00002,&)] = (00002,&);
步骤103, KDC解密后,从中知道移动中心设备要进行通信的对象为移动终端00002,使用的会话密钥为&,于是,KDC将移动中心设备的身份 号码及该会话的密钥用与移动终端00002与其的密钥《。。。。2加密;加密算法为 DES算法,加密过程如下&隱2 (00001,^);
步骤104,加密后,将该加密信息发给移动终端00002;
步骤105,移动终端00002接收到该加密消息后,用自己与KDC的密 钥K,解密,解密过程如下A^[&顯(ooooi,iQ]"ooooi,&);解密成功, 则表示消息来自己KDC;若不成功,则可知该消息是伪造的而丟弃;
步骤106,解密后,移动终端00002知道移动中心设备想和它通信,使 用的密钥为^ (128bit)。于是,移动终端00002任意选一段明文P,计算摘 要M4C(尸)(Message Authentication Code ,消息马全^正码),并将P和M4C(尸)用 &加密,所得结果再附上移动中心设备的身份号码及移动终端00002的身 份号码 一 起发给该移动中心设备。整个发送的信息为 00001,00002,五^ (尸,M4C(i5));步骤107,移动中心设备收到该消息后,从信息头知,该信息是发给它 的,并且是从欲建立连接的移动终端00002发来的,于是用其与移动终端 00002的会话密钥&解密。解密过程如下i^[五^CP,M4C(P))^F,[Mv4CCP)]'; 解密后,得到明文P'和[M4C(户)]'。
步骤108,移动中心设备再对尸进行M4C计算,得到[M4C(尸)],若 [M4C(尸)]-[M4C(P)]',则可肯定,该消息来自所请求建立连4姿的移动终端, 并且信息没有被篡改,这样移动中心设备和所请求建立连接的移动终端建立 了一个可以互相信赖的通道。
本发明实施例所述方法具有以下特点
(1 )认证过程中使用对称加密算法,其加密速度较快,可减少响应通 信过程中的时间。
(2) 认证过程中使用对称加密算法,与非对称算法相比,可节省存储 空间,减少传输过程中的带宽消耗。
(3) 在对称算法上增加鉴权,防止非法用户伪造数据,保证身份的可靠性。本发明相比现有技术,由于其基于对称加密算法,利用其存储密钥少, 加密速度快的优点,使得当移动中心与移动终端进行系统认证时,可获得较 快的响应时间,较小的存储空间及线路开销。在双方的会话上再加入鉴别, 以保^〖正会话的安全性。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的 情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形, 但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种基于移动终端支付的身份验证方法,应用于移动终端支付的身份验证中,其特征在于,包括以下步骤(1)密钥分发中心为移动中心设备及移动终端分发密钥,同时为移动中心设备及移动终端分配身份号码信息,移动中心设备运用其与密钥分发中心的密钥将其的会话密钥和欲建立会话连接移动终端的身份号码信息加密后,发送给所述密钥分发中心;(2)所述密钥分发中心收到信息后,运用移动中心设备的密钥进行解密,如解密成功则继续执行,否则退出不再执行下述步骤;(3)所述密钥分发中心从解密信息中得到欲建立会话的移动终端身份号码,运用其与该移动终端的密钥将移动中心设备的会话密钥和身份号码信息加密后,发送给所述移动终端;(4)所述移动终端收到信息后,运用其与所述密钥分发中心的密钥解密,如解密成功则继续执行,否则退出不再执行下述步骤;(5)所述移动终端选择一段明文并计算其摘要,将该明文和摘要运用移动中心设备的会话密钥进行加密,然后附上该移动中心设备的身份号码信息及所述移动终端身份号码信息,将信息发送给该移动中心设备;(6)所述移动中心设备运用其会话密钥对接收到的信息进行解密,如解密成功则继续执行,否则退出不再执行下述步骤;(7)所述移动中心设备移动中心设备对解密后的明文进行摘要计算,若该摘要与解密信息中的摘要相同,则认为是在和欲建立会话连接的移动终端通信并可进行后续操作,否则认为身份认证错误。
2、 如权利要求1所述的方法,其特征在于,所述移动终端的身份号码 信息为手机号码或IPv6地址。
3、 如权利要求1所述的方法,其特征在于,移动中心设备的身份号码信息为IPv6地址。
4、如权利要求l所述的方法,其特征在于,所述加密算法为DES。
全文摘要
本发明公开一种基于移动终端支付的身份验证方法,应用于移动终端支付的身份验证中,包括移动中心设备经由密钥分发中心KDC发送密钥协商请求,密钥分发中心用它与移动中心密钥对信息解密并再将请求信息加密发送给被请求移动终端,移动终端确认后用请求信息中密钥加密一段随机明文及其摘要并向移动中心设备发送,移动中心设备解密后计算接收到明文的摘要,若与接收到摘要相同,则可以肯定信息来自终端,于是建立了一个安全的通道。本方法基于对称加密算法,利用其存储密钥少,加密速度快的优点,使得当移动中心与移动终端进行身份认证时,可获得较快响应时间,较小存储空间及线路开销;在双方会话上再加入鉴别,以保证会话安全性。
文档编号H04L9/08GK101420687SQ20071015149
公开日2009年4月29日 申请日期2007年10月24日 优先权日2007年10月24日
发明者瑾 陶 申请人:中兴通讯股份有限公司