專利名稱::專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種使用移動(dòng)電話進(jìn)行聯(lián)網(wǎng)接入服務(wù)中的安全接入控制與身份認(rèn)證的方法��,是在相關(guān)硬件中進(jìn)行信息儲(chǔ)存分配�、通過將用戶信號(hào)的函數(shù)與儲(chǔ)存單元的信號(hào)的函數(shù)的對(duì)比結(jié)果來確認(rèn)身份的軟硬件相結(jié)合的信息處理系統(tǒng)����。
背景技術(shù):
:本說明說中,術(shù)語“服務(wù)請(qǐng)求”是一個(gè)通用的術(shù)語�����。這種服務(wù)請(qǐng)求包括以下請(qǐng)求請(qǐng)求提供網(wǎng)絡(luò)資源����,請(qǐng)求提供計(jì)算資源,請(qǐng)求股票買賣�����,請(qǐng)求銀行轉(zhuǎn)賬�,請(qǐng)求提供某些信息資料等。在基于通信網(wǎng)的各種應(yīng)用中��,服務(wù)器根據(jù)客戶的服務(wù)請(qǐng)求���,為客戶提供相應(yīng)的服務(wù)����。有時(shí)����,服務(wù)器在提供這種服務(wù)時(shí),需要對(duì)客戶進(jìn)行身份認(rèn)證����,確信客戶有資格請(qǐng)求某項(xiàng)服務(wù)。比如股票委托中��,股民端是客戶�,交易所端是服務(wù)器,當(dāng)股民請(qǐng)求服務(wù)器端為其買賣股票時(shí)��,服務(wù)器需要驗(yàn)證股民的身份確信其有權(quán)利進(jìn)行股票買賣�。服務(wù)器對(duì)客戶進(jìn)行身份認(rèn)證的依據(jù)是服務(wù)器與客戶之間共享的一個(gè)秘密,也就是通常所說的口令�。服務(wù)器通過與不同的客戶共享不同的口令來認(rèn)證不同客戶的身份?,F(xiàn)有的最簡(jiǎn)單的認(rèn)證方法是客戶將自己的身份ID與口令經(jīng)過通信網(wǎng)發(fā)送給服務(wù)器�,服務(wù)器根據(jù)自己存儲(chǔ)的客戶身份ID與口令信息,來驗(yàn)證客戶的口令是否正確��?����?诹钫_則相信客戶的身份�,受理其提出的服務(wù)請(qǐng)求,口令不正確則認(rèn)為是非法客戶����,不受理其提出的服務(wù)請(qǐng)求。在客戶將身份ID與口令經(jīng)過通信網(wǎng)絡(luò)發(fā)送給服務(wù)器的過程中�,由于現(xiàn)有通信網(wǎng)絡(luò)的開放性,竊聽者能夠竊聽到客戶的身份ID與口令�,因而這種認(rèn)證方法是不安全的。防止竊聽者從通信網(wǎng)絡(luò)中獲取客戶口令的一種辦法是將客戶的口令加密�����,以密文的形式傳送口令��。但是這種辦法防止不了重傳攻擊,也就是說竊聽者利用從通信網(wǎng)絡(luò)中截獲的客戶的口令的密文仍舊可以假冒該客戶向服務(wù)器發(fā)送服務(wù)請(qǐng)求信息獲得服務(wù)器提供的某些服務(wù)�。防止竊聽者從通信網(wǎng)絡(luò)中獲取客戶口令的另一種辦法是“挑戰(zhàn)1應(yīng)答”式認(rèn)證方法�。這種方法中,當(dāng)客戶需要請(qǐng)求服務(wù)器為其進(jìn)行某種服務(wù)時(shí)�,首先需要向服務(wù)器發(fā)送服務(wù)請(qǐng)求,服務(wù)器收到服務(wù)請(qǐng)求后��,生成一隨機(jī)數(shù)作為“挑戰(zhàn)”發(fā)送給客戶�����?����?蛻羰盏健疤魬?zhàn)”隨機(jī)數(shù)后��,利用自己與服務(wù)器共享的秘密也就是自己的口令和認(rèn)證函數(shù)�����,對(duì)“挑戰(zhàn)”隨機(jī)數(shù)進(jìn)行計(jì)算����,將計(jì)算結(jié)果作為“應(yīng)答”信息發(fā)送給服務(wù)器。服務(wù)器收到“應(yīng)答”信息后����,利用相同的口令和認(rèn)證函數(shù)對(duì)“挑戰(zhàn)”隨機(jī)數(shù)進(jìn)行計(jì)算���。如果計(jì)算結(jié)果與客戶發(fā)送的“應(yīng)答”信息相同則受理客戶發(fā)送的服務(wù)請(qǐng)求,否則不受理客戶發(fā)送的服務(wù)請(qǐng)求����。這種服務(wù)請(qǐng)求認(rèn)證方法非常安全,能夠防止重傳攻擊��,但是客戶每請(qǐng)求服務(wù)器進(jìn)行服務(wù)一次都需要向服務(wù)器發(fā)送兩次消息�。在通信費(fèi)用按次計(jì)費(fèi)的情況下,無疑增加了客戶的通信費(fèi)用��。
發(fā)明內(nèi)容本發(fā)明的目的是提供一種既能夠進(jìn)行安全身份認(rèn)證又能夠減少通信次數(shù)的服務(wù)請(qǐng)求認(rèn)證方法��。正常情況下���,利用本認(rèn)證方法客戶請(qǐng)求服務(wù)器進(jìn)行服務(wù)一次只需向服務(wù)器發(fā)送一次消息����,本認(rèn)證方法可以防止重傳攻擊��。上述的目的通過以下的技術(shù)方案實(shí)現(xiàn)一種專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法其組成包括a,初始準(zhǔn)備工作(1)存儲(chǔ)區(qū)的分配即在服務(wù)器的數(shù)據(jù)庫中建立身份表���、請(qǐng)求服務(wù)表�;(2)用戶注冊(cè)并協(xié)商認(rèn)證口令�?����?蛻舳说椒?wù)器端注冊(cè)��,由服務(wù)器指定客戶的身份標(biāo)識(shí)����,并協(xié)商認(rèn)證口令,客戶端將認(rèn)證口令��,身份標(biāo)識(shí)�,序列號(hào)寫入身份存儲(chǔ)區(qū)中,服務(wù)器端將客戶的認(rèn)證口令����,身份標(biāo)識(shí),序列號(hào)寫入身份表中��。b.身份認(rèn)證過程客戶端向服務(wù)器端發(fā)送請(qǐng)求服務(wù)消息(m),服務(wù)器收到服務(wù)請(qǐng)求消息(m)后�,向客戶端發(fā)送確認(rèn)消息(m′)或者發(fā)送同步消息(m″),客戶根據(jù)服務(wù)器返回的消息是確認(rèn)消息(m′)還是同步消息(m″)采取不同的措施����,如果是確認(rèn)消息(m′),就獲得服務(wù)要求的處理結(jié)果��;如果是同步消息(m″)客戶再次向服務(wù)器發(fā)送請(qǐng)求服務(wù)消息或者客戶不發(fā)送任何消息����。為了有助于對(duì)本專利說明書的描述,使用了如下的符號(hào)id身份標(biāo)識(shí)或身份IDkey認(rèn)證口令n序列號(hào)id_block身份存儲(chǔ)區(qū)rq_block服務(wù)請(qǐng)求存儲(chǔ)區(qū)id_table身份表rq_table請(qǐng)求服務(wù)表data具體的服務(wù)請(qǐng)求信息l_datadata的長(zhǎng)度m服務(wù)請(qǐng)求消息m′確認(rèn)消息n′m′中包含的確認(rèn)序列號(hào)m″同步消息n″m″中包含的同步序列號(hào)r隨機(jī)數(shù)�,用于標(biāo)識(shí)具體的服務(wù)請(qǐng)求信息datarm服務(wù)器對(duì)具體的服務(wù)請(qǐng)求信息data的處理結(jié)果l_rmrm的長(zhǎng)度flag′確認(rèn)標(biāo)識(shí)flag″同步標(biāo)識(shí)M消息,m中部分信息的備份�,存儲(chǔ)于rq_block中H為消息認(rèn)證函數(shù),用于計(jì)算消息認(rèn)證碼(X���,Y)表示X與Y的簡(jiǎn)單串聯(lián)下面對(duì)于本發(fā)明的方法進(jìn)行詳細(xì)的說明1初始準(zhǔn)備工作為了實(shí)現(xiàn)本發(fā)明提供的服務(wù)請(qǐng)求認(rèn)證方法�,客戶端與服務(wù)器端必須進(jìn)行一次性的初始準(zhǔn)備工作�,具體內(nèi)容包括(1)存儲(chǔ)區(qū)的分配。服務(wù)器的數(shù)據(jù)庫中建立身份表id_table�����,用于存儲(chǔ)每個(gè)客戶的身份標(biāo)識(shí)id,認(rèn)證口令key以及序列號(hào)n����,同時(shí)建立請(qǐng)求服務(wù)表rq_table,用于存儲(chǔ)處理結(jié)果rm��,rm的長(zhǎng)度l_rm�����,n�����,r與id�?���?蛻舳朔峙渖矸荽鎯?chǔ)區(qū)id_block用于存儲(chǔ)客戶自己的id、認(rèn)證口令key與序列號(hào)n����,同時(shí)分配服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block用于存儲(chǔ)消息M。(2)用戶注冊(cè)并協(xié)商認(rèn)證口令��。客戶端到服務(wù)器端注冊(cè)���,由服務(wù)器指定客戶的身份標(biāo)識(shí)id��,并協(xié)商認(rèn)證口令key����,這部分工作需要離線完成����。客戶端將認(rèn)證口令key�����,身份標(biāo)識(shí)id�����,序列號(hào)n=0寫入身份存儲(chǔ)區(qū)id_block中���。服務(wù)器端將客戶的認(rèn)證口令key�����,身份標(biāo)識(shí)id�,序列號(hào)n=0寫入身份表id_table中。2身份認(rèn)證過程����,經(jīng)過了必要的準(zhǔn)備工作之后,就可以進(jìn)行身份認(rèn)證了����,具體過程如下(1)當(dāng)客戶需要向服務(wù)器發(fā)送具體的具體的服務(wù)請(qǐng)求信息data時(shí),客戶端生成隨機(jī)數(shù)r然后計(jì)算MAC1=H((id���,r����,l_data�,data��,n)��,key)�����,將服務(wù)請(qǐng)求消息m=(id,r�,l_data,data���,n����,MAC1)發(fā)送給服務(wù)器����,同時(shí)將M=(r,l_data�����,data���,n)存儲(chǔ)在服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block中��。其中�����,id���,key�����,n為客戶端身份存儲(chǔ)區(qū)id_block中對(duì)應(yīng)的值�。r為隨機(jī)數(shù)��,l_data為具體的服務(wù)請(qǐng)求信息data的長(zhǎng)度���。(2)具體認(rèn)證過程[1]當(dāng)服務(wù)器收到客戶端發(fā)來的服務(wù)請(qǐng)求消息m=(id����,r�,l_data,data��,n����,MAC1)后���,首先驗(yàn)證MAC1是否正確如果MAC1不正確��,停止操作��,結(jié)束����;如果MAC1正確,服務(wù)器檢索數(shù)據(jù)庫的請(qǐng)求服務(wù)表rq_table中該客戶的所有M′��,比較收到的服務(wù)請(qǐng)求消息m中的r是否與該客戶的某個(gè)M′中的r相同是����,則返回該筆業(yè)務(wù)的確認(rèn)消息m′=(flag′,n′�����,r���,l_rm�,rm��,MAC3)��,然后結(jié)束。其中flag′為確認(rèn)消息標(biāo)識(shí)��,rm����,l_rm,r���,n為M′中對(duì)應(yīng)的值����,MAC3=H(flag′��,n′����,r,l_rm�����,rm)�,key)�����,key為身份表id_table中該客戶的認(rèn)證口令。否�,則比較收到的服務(wù)請(qǐng)求消息m中的序列號(hào)n與數(shù)據(jù)庫股民身份表id_table中該客戶的序列號(hào)n是否相同不相同,則向客戶端發(fā)送同步消息m″=(flag″��,n″���,id����,r��,l_data��,data�����,MAC2)�����,然后結(jié)束�����。其中的MAC2=H((flag″,n″���,id����,r�����,l_data���,data)����,key)�,flag″為同步消息標(biāo)識(shí),n″和key分別為服務(wù)器端數(shù)據(jù)庫身份表id_table中存儲(chǔ)的該客戶序列號(hào)n與認(rèn)證口令key�,其中的id,r�����,data,l_data為接收到的消息m中的對(duì)應(yīng)值�。相同��,則處理客戶發(fā)送的具體的服務(wù)請(qǐng)求信息data�。并將M′=(id,n+1�,r,l_rm�,rm)存儲(chǔ)到數(shù)據(jù)庫請(qǐng)求服務(wù)表rq_table中。其中rm為服務(wù)器對(duì)服務(wù)請(qǐng)求處理的結(jié)果��,l_rm為rm的長(zhǎng)度���,r����,id�,n為收到的服務(wù)請(qǐng)求消息m中對(duì)應(yīng)得值。并向股民手機(jī)發(fā)送確認(rèn)消息m′=(flag′����,n′,r�����,l_rm,rm�����,MAC3)�,其中MAC3=H(flag′,n′�,r,l_rm��,rm����,),key)�����,flag′為確認(rèn)標(biāo)識(shí)���,rm為服務(wù)器對(duì)具體的服務(wù)請(qǐng)求信息data處理的結(jié)果����,l_rm為rm的長(zhǎng)度,n′=n+1�,key為身份表id_table中該客戶的認(rèn)證口令,r����,n為收到的服務(wù)請(qǐng)求消息m中對(duì)應(yīng)的值�。隨后將數(shù)據(jù)庫身份表id_table中該客戶的序列號(hào)n加1,然后結(jié)束(見圖2[2]客戶端收到的信息如果為確認(rèn)消息m′=(flag′����,n′,r�����,l_data�����,rm���,MAC3)���,先驗(yàn)證MAC3是否正確MAC3不正確��,結(jié)束��;MAC3正確��,檢索服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block中存儲(chǔ)的信息M如果m′中的r與服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block中所有M中的r都不相同���,則丟棄m′停止操作,結(jié)束��;如果m′中的r與某個(gè)M中的r相同����,從服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block中刪除該M,然后比較m′中的n是否大于身份存儲(chǔ)區(qū)id_block中的n大于���,本地身份存儲(chǔ)區(qū)id_block中的n加1����,結(jié)束����;小于等于,身份存儲(chǔ)區(qū)id_block中的n不加1��,結(jié)束;[3]如果客戶端收到的消息為同步消息m″=(flag″�,n″,id�����,r���,l_data����,data�,MAC2)��,先驗(yàn)證MAC2是否正確MAC2不正確�,則丟棄m″停止操作,結(jié)束�����;MAC2正確����,則檢索服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block中存儲(chǔ)的信息M��,比較m″中的r是否與某個(gè)M中的r相同都不相同�����,則丟棄m″停止操作����。相同��,則生成新的m=(id����,r,l_data���,data���,n,MAC1)發(fā)送給服務(wù)器�����,其中r,l_data����,data是M中對(duì)應(yīng)的值,id�,n為返回的同步消息m″中所對(duì)應(yīng)的id,n″���,MAC1=H((id��,r�,l_data����,data,n)�,key)��,key為身份存儲(chǔ)區(qū)id_block中對(duì)應(yīng)的值�����。并將M中的n更新為m″中的n″���。同時(shí)將身份存儲(chǔ)區(qū)id_block中的n更新為m″中的n″��。當(dāng)客戶發(fā)送請(qǐng)服務(wù)請(qǐng)求消息m之后很長(zhǎng)時(shí)間沒有收到服務(wù)器返回處理結(jié)果�����,客戶還想重新發(fā)送這個(gè)服務(wù)請(qǐng)求時(shí)�,客戶所要做的是利用發(fā)送m時(shí)存儲(chǔ)的M=(r,l_data�����,data�����,n)中的r�����,.l_data����,data,��;以及身份存儲(chǔ)區(qū)id_block中的序列號(hào)n,�����,身份標(biāo)識(shí)id�,認(rèn)證口令key,計(jì)算新的MAC1=H((id��,r�����,l�,data,n)��,key)���,生成新的m=((id�����,r,l���,data���,n)�����,key)��,將新的m發(fā)送給服務(wù)器�����。同時(shí)用身份存儲(chǔ)區(qū)id_block中的n更新服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block中M=(id���,r,l����,data,n)中的n�。在以上的認(rèn)證過程中,對(duì)于每次服務(wù)請(qǐng)求客戶需要在服務(wù)請(qǐng)求存儲(chǔ)區(qū)id_block中存儲(chǔ)M�����,為了防止無限制地占用存儲(chǔ)空間,需要?jiǎng)h除M���。刪除存儲(chǔ)的M的方法如下���,用身份存儲(chǔ)區(qū)id_block中的n與服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block中的每個(gè)M中的n做差,對(duì)于某個(gè)M�,如果差值超過了所規(guī)定的上限值,就從服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block中刪除它����。這個(gè)上限值可以根據(jù)具體的實(shí)現(xiàn)環(huán)境制定。對(duì)于服務(wù)器數(shù)據(jù)庫rq_table中的紀(jì)錄的刪除也采用如上的方法����。為了保證服務(wù)器端的存儲(chǔ)范圍大于等于客戶端,要求服務(wù)器的上限值比客戶的上限值至少大1�����。利用本發(fā)明進(jìn)行身份認(rèn)證與利用已有其它方法進(jìn)行身份認(rèn)證相比具有如下優(yōu)點(diǎn)1.可以防止由于網(wǎng)絡(luò)通信時(shí)延造成的不必要的損失�����?�?紤]這樣一種情況����,當(dāng)客戶希望服務(wù)器為其進(jìn)行某種服務(wù),比如說是買一本書��,由于通信線路的傳輸時(shí)延��,很長(zhǎng)時(shí)間客戶沒有收到服務(wù)器的返回結(jié)果�,這時(shí)客戶該怎么辦,如果不考慮以前曾經(jīng)請(qǐng)求過這個(gè)服務(wù)�����,而向服務(wù)器發(fā)送新的服務(wù)請(qǐng)求��,可能會(huì)出現(xiàn)如下的問題新發(fā)的服務(wù)請(qǐng)求被服務(wù)器處理了�����,而以前發(fā)送的服務(wù)請(qǐng)求����,經(jīng)過網(wǎng)絡(luò)傳輸?shù)难舆t后也到達(dá)了服務(wù)器,服務(wù)器同樣也處理了以前的服務(wù)請(qǐng)求���,這樣��,客戶希望服務(wù)器買一本書�����,而服務(wù)器卻為其買了兩次�����,這給客戶造成了損失��。采用本發(fā)明提供的認(rèn)證方法���,服務(wù)器可以保證對(duì)于同一個(gè)服務(wù)請(qǐng)求只執(zhí)行一次�,第二次到來的服務(wù)請(qǐng)求不被處理�。2.在可以防止口令竊聽攻擊與重傳攻擊的同時(shí)節(jié)省了通信費(fèi)用。由于服務(wù)請(qǐng)求消息中不再有客戶的口令�����,想通過在通信網(wǎng)絡(luò)中竊聽口令客戶名的攻擊方法顯然無效�����。對(duì)于從通信網(wǎng)絡(luò)中截獲服務(wù)請(qǐng)求信息m,在以后進(jìn)行重發(fā)的惡意攻擊����,由于使用了序列號(hào)n����,服務(wù)請(qǐng)求信息標(biāo)示r本發(fā)明可以防止重傳攻擊。在正常情況下�,利用本發(fā)明進(jìn)行一次服務(wù)請(qǐng)求只需要,只需要服務(wù)器與客戶機(jī)個(gè)發(fā)送一條消息����,節(jié)省了通信費(fèi)用。表1為股民身份存儲(chǔ)區(qū)����;表2為股民服務(wù)請(qǐng)求存儲(chǔ)區(qū);表3為服務(wù)器端請(qǐng)求服務(wù)表���;表4為服務(wù)器端身份表�����;圖1為發(fā)送服務(wù)請(qǐng)求消息m流程圖�����;圖2為服務(wù)器處理服務(wù)請(qǐng)求消息m的流程圖��;圖3為客戶端處理服務(wù)器返回消息的流程圖�。具體實(shí)施例方式實(shí)施例1.一種專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法其組成包括a.初始準(zhǔn)備工作(1)存儲(chǔ)區(qū)的分配即在服務(wù)器的數(shù)據(jù)庫中建立身份表、請(qǐng)求服務(wù)表����;(2)用戶注冊(cè)并協(xié)商認(rèn)證口令?�?蛻舳说椒?wù)器端注冊(cè)��,由服務(wù)器指定客戶的身份標(biāo)識(shí)����,并協(xié)商認(rèn)證口令,客戶端將認(rèn)證口令�����,身份標(biāo)識(shí)���,序列號(hào)寫入身份存儲(chǔ)區(qū)中���,服務(wù)器端將客戶的認(rèn)證口令���,身份標(biāo)識(shí),序列號(hào)寫入身份表中��。b.身份認(rèn)證過程客戶端向服務(wù)器端發(fā)送請(qǐng)求服務(wù)消息(m)��,服務(wù)器收到服務(wù)請(qǐng)求消息(m)后�����,向客戶端發(fā)送確認(rèn)消息(m′)或者發(fā)送同步消息(m″)�����,客戶根據(jù)服務(wù)器返回的消息是確認(rèn)消息(m′)還是同步消息(m″)采取不同的措施�,如果是確認(rèn)消息(m′)����,就獲得服務(wù)要求的處理結(jié)果;如果是同步消息(m″)客戶再次向服務(wù)器發(fā)送請(qǐng)求服務(wù)消息或者客戶不發(fā)送任何消息����。上述的專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法中�����,服務(wù)請(qǐng)求消息(m)在包括該服務(wù)請(qǐng)求信息(data)的同時(shí)還包括所述的同步序列號(hào)(n)與標(biāo)示服務(wù)請(qǐng)求信息(data)的隨機(jī)數(shù)(r)���;客戶在發(fā)送所述的服務(wù)請(qǐng)求消息(m)時(shí)要保存所述的服務(wù)請(qǐng)求信息(data)、隨機(jī)數(shù)(r)��、序列號(hào)(n)�。上述的專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法中,該服務(wù)器在發(fā)送所述的確認(rèn)消息(m′)后需要存儲(chǔ)特定客戶身份標(biāo)識(shí)(id)��、隨機(jī)數(shù)(r)��、序列號(hào)(n)及對(duì)服務(wù)請(qǐng)求信息(data)的處理結(jié)果(rm)��;服務(wù)器向客戶發(fā)送的消息是確認(rèn)消息(m′)還是同步消息(m″)依賴于服務(wù)器端是否存儲(chǔ)了該客戶隨機(jī)數(shù)(r)��。上述的專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法中����,客戶收到服務(wù)器發(fā)送的同步消息(m″)后,再次發(fā)送服務(wù)請(qǐng)求消息或者是不發(fā)送任何消息取決于客戶端是否存儲(chǔ)有同步消息(m″)中的隨機(jī)數(shù)(r)����。下面我們參考圖1-3及表1-4進(jìn)行更詳細(xì)的說明�。以下是本發(fā)明的服務(wù)請(qǐng)求認(rèn)證方法在基于短消息的手機(jī)炒股業(yè)務(wù)中的應(yīng)用��,在這里股民手機(jī)是客戶端��,證券交易所的交易代理服務(wù)器是服務(wù)器端�����。1.初始準(zhǔn)備(1)手機(jī)SIM卡與服務(wù)器的存儲(chǔ)配置����。手機(jī)SIM卡中分配兩個(gè)存儲(chǔ)區(qū)一個(gè)存儲(chǔ)區(qū)叫做股民的身份存儲(chǔ)區(qū)id_block���,用來存股民的身份標(biāo)識(shí)(id)����、認(rèn)證口令(key)和序列號(hào)(n)(見表1)��,另一個(gè)叫做服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block�,用來存儲(chǔ)消息M=(隨機(jī)數(shù)(r),服務(wù)請(qǐng)求長(zhǎng)度(l_data)����,具體的服務(wù)請(qǐng)求信息(data)�,序列號(hào)(n))(見表2)����;證券交易所交易代理服務(wù)器建立兩張表,一張表叫做股民身份表id_table����,用來存儲(chǔ)所有股民的身份標(biāo)識(shí)(id)、認(rèn)證口令(key)�、序列號(hào)n(見表3),另一張表叫做請(qǐng)求服務(wù)表rq_table用于存儲(chǔ)M′=(處理結(jié)果(rm)�,rm的長(zhǎng)度(l_rm),序列號(hào)(n)�����,隨機(jī)數(shù)(r)����,股民身份(id))(見表4);(2)手機(jī)與交易代理服務(wù)器進(jìn)行了必要的配置后��,股民到證券交易所登記注冊(cè)開通基于短消息的手機(jī)炒股服務(wù)股民與證券交易所協(xié)商身份認(rèn)證口令key��,并將認(rèn)證口令key、股民的身份標(biāo)識(shí)id與序列號(hào)n=0���,分別寫入股民手機(jī)SIM卡中的身份存儲(chǔ)區(qū)及證券交易服務(wù)器中的股民身份表中2.認(rèn)證過程(1)當(dāng)股民需要請(qǐng)求證券交易代理服務(wù)器為其進(jìn)行股票交易時(shí)��,股民通過手機(jī)提供的交易菜單����,輸入交易數(shù)據(jù)����,形成具體的服務(wù)請(qǐng)求信息data;手機(jī)中的認(rèn)證軟件計(jì)算MAC1=H((id�,r,l_data�,data,n)����,key)�����,將服務(wù)請(qǐng)求消息m=(id�,r����,l_data����,data,n��,MAC1)作為短消息發(fā)送給證券交易所的交易代理服務(wù)器��,同時(shí)將消息M=(r��,l_data�,data,n)���,存儲(chǔ)在SIM卡中的服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block��;其中��,H為消息認(rèn)證函數(shù)���,其中,id�����,n,key為客戶端身份存儲(chǔ)區(qū)id_block中對(duì)應(yīng)的值�����,r為隨機(jī)數(shù)����,l_data為具體的服務(wù)請(qǐng)求信息data的長(zhǎng)度。(見圖1)���。(2)當(dāng)證券交易所的交易代理服務(wù)器收到手機(jī)發(fā)來的服務(wù)請(qǐng)求消息m=(id�,r����,l_data,data�����,n���,MAC1)后��,首先驗(yàn)證MAC1是否正確如果MAC1不正確�,丟棄服務(wù)請(qǐng)求消息m����,停止操作;如果MAC1正確�����,服務(wù)器檢索數(shù)據(jù)庫的請(qǐng)求服務(wù)表rq_table中該股民的所有M′��,比較收到的服務(wù)請(qǐng)求消息m中的r是否與該股民的某個(gè)M′中的r相同是�,則返回該筆業(yè)務(wù)的確認(rèn)消息m′=(flag′,n′�,r,l_rm����,rm,MAC3)���,然后結(jié)束��。其中flag′為確認(rèn)消息標(biāo)識(shí)����,rm,l_rm��,r��,n為M′中對(duì)應(yīng)的值���,MAC3=H(flag′�����,n′����,r��,l_rm���,rm)����,key),key為股民身份表id_table中該股民的認(rèn)證口令����。否����,則比較收到的服務(wù)請(qǐng)求消息m中的序列號(hào)n與數(shù)據(jù)庫股民身份表id_table中該股民的序列號(hào)n是否相同不相等,則向股民手機(jī)發(fā)送同步消息m″=(flag″�����,n-″�,id,r�,l_data,data�����,MAC2)�,然后結(jié)束。其中MAC2=H((flag″�,n-″,id�����,r,l_data��,data����,),key)�,flag″為同步標(biāo)識(shí),n″和key分別為交易代理服務(wù)器數(shù)據(jù)庫股民身份表id_table中存儲(chǔ)的該股民的序列號(hào)及認(rèn)證口令��,id�,r,l_data�,data為接收到的服務(wù)請(qǐng)求消息m中的對(duì)應(yīng)值。相等��,則處理股民手機(jī)發(fā)送的具體的服務(wù)請(qǐng)求信息data�。并將M′=(id,n+1���,r��,l_rm���,rm)存儲(chǔ)到數(shù)據(jù)庫請(qǐng)求服務(wù)表rq_table中����。其中rm為服務(wù)器對(duì)服務(wù)請(qǐng)求處理的結(jié)果�����,l_rm為rm的長(zhǎng)度�����,r��,id���,n為收到的服務(wù)請(qǐng)求消息m中對(duì)應(yīng)得值。并向股民手機(jī)發(fā)送確認(rèn)消息m′=(flag′��,n′���,r���,l_rm���,rm,MAc3)�,其中MAC3=H(flag′,n′�,r,l_rm��,rm�����,)����,key),flag′為確認(rèn)標(biāo)識(shí)�����,rm為服務(wù)器對(duì)具體的服務(wù)請(qǐng)求信息data處理的結(jié)果�,l_rm為rm的長(zhǎng)度����,n′=n+1,key為股民身份表中該股民的認(rèn)證口令��,r����,n為收到的服務(wù)請(qǐng)求消息m中對(duì)應(yīng)的值。隨后將數(shù)據(jù)庫股民身份表id_table中該股民的序列號(hào)n加1����,然后結(jié)束(見圖2)���。(3)股民的手機(jī)收到的短消息rm如果為確認(rèn)消息m′=(flag′��,n′�,r�����,l_rm��,rm���,MAC3)�����,先驗(yàn)證MAC3是否正確MAC3不正確����,則結(jié)束。MAC3正確����,則檢索服務(wù)請(qǐng)求存儲(chǔ)區(qū)中存儲(chǔ)的所有M。如果m′中的r與服務(wù)請(qǐng)求存儲(chǔ)區(qū)所有M中的r都不相同����,則結(jié)束。如果m′中的r與某個(gè)M中的r相同���,則從服務(wù)請(qǐng)求存儲(chǔ)區(qū)中刪除該M����,然后比較m′中的n′是否大于股民身份存儲(chǔ)區(qū)中的n�����,大于則股民身份存儲(chǔ)區(qū)中的n加1,小于等于則n不變�����。如果股民手機(jī)收到的短消息rm為同步消息m″=(flag″���,n-″���,id,r���,l_data,data��,MAC2)�,先驗(yàn)證MAC2是否正確MAC2不正確,則結(jié)束�。MAC2正確,則檢索服務(wù)請(qǐng)求存儲(chǔ)區(qū)中存儲(chǔ)的信息M�,比較m″中的r是否與某個(gè)M中的r相同不相同,則結(jié)束���。相同���,則生成新的m=(id�����,r�����,l_data�,data��,n��,MAC1)發(fā)送給服務(wù)器����,并將SIM卡中服務(wù)請(qǐng)求存儲(chǔ)區(qū)該M中的序列號(hào)n更新為m″中的n,然后結(jié)束��。其中id��,r����,l_data���,data,n是m″對(duì)應(yīng)的值��,MAC1=H((id�,r,l_data�,data,n)����,key),key為股民身份存儲(chǔ)區(qū)id_block中的認(rèn)證口令(見圖3)�。(4)當(dāng)股民手機(jī)發(fā)送請(qǐng)服務(wù)請(qǐng)求信息之后很長(zhǎng)時(shí)間沒有收到證券交易所交易代理服務(wù)器返回的處理結(jié)果,股民還想重新發(fā)送這個(gè)服務(wù)請(qǐng)求時(shí)�,客戶所要做的是利用第一次發(fā)送m時(shí)存儲(chǔ)在SIM卡中rq_block中的M=(r,l_data�,data�����,n)中的r��,.l_data,data����,,以及身份存儲(chǔ)區(qū)id_block中的序列號(hào)n�,,身份標(biāo)識(shí)id���,認(rèn)證口令key���,計(jì)算新的MAC1=H((id,r���,l�,.data��,n)��,key)��,生成新的m=((id�,r,l����,data��,n)��,key)�,將新的m發(fā)送給服務(wù)器�����。同時(shí)用身份存儲(chǔ)區(qū)id_block中的n更新服務(wù)請(qǐng)求存儲(chǔ)區(qū)rq_block中M=(id��,r��,l���,data�����,n)中的n���。(5)服務(wù)請(qǐng)求存儲(chǔ)區(qū)與請(qǐng)求服務(wù)表的管理�。為了防止無限制地占用存儲(chǔ)空間,需要?jiǎng)h除手機(jī)端服務(wù)請(qǐng)求存儲(chǔ)區(qū)的記錄及服務(wù)器端的請(qǐng)求服務(wù)表的記錄。本實(shí)施例中���,手機(jī)端刪除服務(wù)請(qǐng)求存儲(chǔ)區(qū)記錄的方法如下�����,用股民身份存儲(chǔ)區(qū)id_block中的序列號(hào)n與服務(wù)請(qǐng)求存儲(chǔ)區(qū)中每個(gè)M中的業(yè)務(wù)序列號(hào)n做差��,如果該差值超過了所規(guī)定的上限值CM���,這個(gè)M所占用的存儲(chǔ)區(qū)清零;本實(shí)施例中�����,客戶端的這個(gè)上限值CM定為8�;當(dāng)處理手機(jī)端發(fā)送服務(wù)請(qǐng)求時(shí),服務(wù)器端也要進(jìn)行請(qǐng)求服務(wù)表rq_block的管理用股民的身份表id_table中該股民的序列號(hào)n與請(qǐng)求服務(wù)表rq_table中該客戶所有的業(yè)務(wù)序列號(hào)n′做差�,如果有差值超過所規(guī)定的上限值SM,則請(qǐng)求服務(wù)表中該業(yè)務(wù)序列號(hào)為n′的這條紀(jì)錄將被刪除�;本實(shí)施例中,這個(gè)上限值SM定為9����;SM=CM+1�;服務(wù)器端亦可利用定時(shí)器進(jìn)行請(qǐng)求服務(wù)表的管理��。本實(shí)施例是目前看來最實(shí)用最優(yōu)的實(shí)施例��。當(dāng)結(jié)合本實(shí)施例理解本發(fā)明時(shí)����,要理解到,本發(fā)明不限于本實(shí)施例�����。該方法可在移動(dòng)電話的無線通信網(wǎng)絡(luò)環(huán)境下����,以最簡(jiǎn)捷的通信方式完成網(wǎng)絡(luò)中服務(wù)方與客戶方之間的身份認(rèn)證,該身份認(rèn)證的完成必須有專用的通信及網(wǎng)絡(luò)設(shè)備做其實(shí)施的基礎(chǔ)��。權(quán)利要求1.一種專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法其組成包括a.初始準(zhǔn)備工作(1)存儲(chǔ)區(qū)的分配即在服務(wù)器的數(shù)據(jù)庫中建立身份表�、請(qǐng)求服務(wù)表;(2)用戶注冊(cè)并協(xié)商認(rèn)證口令��?����?蛻舳说椒?wù)器端注冊(cè),由服務(wù)器指定客戶的身份標(biāo)識(shí)���,并協(xié)商認(rèn)證口令,客戶端將認(rèn)證口令��,身份標(biāo)識(shí)��,序列號(hào)寫入身份存儲(chǔ)區(qū)中��,服務(wù)器端將客戶的認(rèn)證口令�,身份標(biāo)識(shí),序列號(hào)寫入身份表中���。b.身份認(rèn)證過程客戶端向服務(wù)器端發(fā)送請(qǐng)求服務(wù)消息(m)����,服務(wù)器收到服務(wù)請(qǐng)求消息(m)后��,向客戶端發(fā)送確認(rèn)消息(m′)或者發(fā)送同步消息(m″)���,客戶根據(jù)服務(wù)器返回的消息是確認(rèn)消息(m′)還是同步消息(m″)采取不同的措施�,如果是確認(rèn)消息(m′)��,就獲得服務(wù)要求的處理結(jié)果;如果是同步消息(m″)客戶再次向服務(wù)器發(fā)送請(qǐng)求服務(wù)消息或者客戶不發(fā)送任何消息���。2.根據(jù)權(quán)利要求1所述的專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法�,其特征是所述的服務(wù)請(qǐng)求消息在包括所述的服務(wù)請(qǐng)求信息的同時(shí)還包括所述的同步序列號(hào)與標(biāo)示服務(wù)請(qǐng)求信息的隨機(jī)數(shù)�����;客戶在發(fā)送所述的服務(wù)請(qǐng)求消息時(shí)要保存所述的服務(wù)請(qǐng)求信息��、隨機(jī)數(shù)���、序列號(hào)��。3.根據(jù)權(quán)利要求1或2所述的專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法�,其特征是所述的服務(wù)器在發(fā)送所述的確認(rèn)消息后需要存儲(chǔ)所述的客戶身份標(biāo)識(shí)����、隨機(jī)數(shù)、序列號(hào)及對(duì)服務(wù)請(qǐng)求信息的處理結(jié)果��;服務(wù)器向客戶發(fā)送的消息是確認(rèn)消息還是同步消息依賴于服務(wù)器端是否存儲(chǔ)了該客戶隨機(jī)數(shù)��。4.根據(jù)權(quán)利要求1或2所述的專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法�����,其特征是客戶收到服務(wù)器發(fā)送的同步消息后,再次發(fā)送服務(wù)請(qǐng)求消息或者是不發(fā)送任何消息取決于客戶端是否存儲(chǔ)有同步消息中的隨機(jī)數(shù)���。全文摘要專門用于移動(dòng)電話聯(lián)網(wǎng)接入服務(wù)的身份認(rèn)證方法���,是一種軟硬件相結(jié)合的信息處理系統(tǒng)�����。本方法的組成包括初始準(zhǔn)備工作和身份認(rèn)證過程��,該認(rèn)證包括客戶端向服務(wù)器端發(fā)送請(qǐng)求服務(wù)消息�,服務(wù)器收到服務(wù)請(qǐng)求消息后,向客戶端發(fā)送確認(rèn)消息或者發(fā)送同步消息��,客戶根據(jù)服務(wù)器返回的消息是確認(rèn)消息還是同步消息采取不同的措施�����,如果是確認(rèn)消息����,就獲得服務(wù)要求的處理結(jié)果�;如果是同步消息客戶再次向服務(wù)器發(fā)送請(qǐng)求服務(wù)消息或者客戶不發(fā)送任何消息���。本方法用于防止由于網(wǎng)絡(luò)通信時(shí)延造成的損失和防止口令竊聽攻擊與重傳攻擊��、要求節(jié)省通信費(fèi)用的場(chǎng)合�����。文檔編號(hào)H04M11/06GK1430400SQ0210900公開日2003年7月16日申請(qǐng)日期2002年1月1日優(yōu)先權(quán)日2002年1月1日發(fā)明者楊義光申請(qǐng)人:哈爾濱萬博信息技術(shù)有限公司