CN105119716A

CN105119716A - 一种基于sd卡的密钥协商方法

Info

Publication number: CN105119716A
Application number: CN201510415547.2A
Authority: CN
Inventors: 杨婧
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2015-07-15
Filing date: 2015-07-15
Publication date: 2015-12-02

Abstract

本发明公开了一种基于SD卡的密钥协商方法。本方法为：1)服务器为每一SD卡设置一秘密信息sw并将其保存到对应SD卡中；2)客户端中的该SD卡根据输入的用户标识CID与口令pw计算出密钥协商信息X，然后根据CID、pw、sw和X生成用户认证信息Auth_C，然后向服务器发送消息<CID,X,Auth_C>；3)服务器验证Auth_C，如果通过则生成密钥协商信息Y和会话密钥SK，然后根据CID、pw、sw、Y和SK生成认证信息Auth_S，然后向客户端发送消息<Y,Auth_S>；4)SD卡计算会话密钥SK’并验证Auth_S，如果验证通过，则接受会话密钥SK’。本发明为通信提供高强度的安全保护。

Description

一种基于SD卡的密钥协商方法

技术领域

本发明涉及一种基于SD卡的密钥协商方法，属于身份认证技术领域。

背景技术

移动支付，也称为手机支付，是指交易双方为了某种货物或者服务，使用移动终端设备为载体，通过移动通信网络实现的商业交易。近年来，在电子商务、移动互联网的兴起与快速发展等因素的推动下，移动支付呈现出强劲的增长势头。然而，随着智能手机上的恶意软件日渐泛滥，移动支付的安全性受到了巨大的考验。恶意软件往往会伪装成正常的移动软件，诱骗用户输入账号、密码等秘密信息，并通过短信等途径暗中发送至攻击者的手机或服务器，进一步还会诱导用户安装木马子包，劫持用户收到的包含验证码在内的所有短信，发送至攻击者的手机或服务器。而攻击者一旦收到这些信息，就会将用户账户内财产洗劫。这类盗号事件发生的一个根本原因在于支付***无法识别当前登录用户是否为账号拥有者，即支付***的认证机制不完善。

在移动支付领域，特别是很多第三方支付***为了扩大市场份额、降低用户操作复杂性，一般都采用静态口令与短信验证码相结合的方式来进行认证。用户先通过预先注册的静态口令密码登录支付***，服务器端再向用户注册的手机号发送短信验证码，当用户输入短信验证码后，即完成登录认证过程。这一过程的目标是通过“知道什么”(即静态口令)和“W拥有什么”(即手机号码)两个因素来完成对用户的认证。然而，在现有的移动支付过程中，由于有恶意软件存在的风险，通过短信并不能真正实现对“拥有手机号码”这一要素的认证。而网上银行所使用的刮刮卡、电子令牌以及USBKey设备，都是外置设备。在移动支付领域里要求用户随身携带这些设备以备满足随时随地的支付需求，会大大降低用户的使用体验。因此，选择内置于移动设备中的硬件来满足安全需求是移动支付领域的首选方案。

在移动设备上，尤其是智能手机，能够提供加解密、身份认证的硬件设备有SIM卡与SD卡两种选择。但是SIM卡的发行、管理以及应用受电信运营商的严格管控，因此SIM卡不适于开放的网络安全应用。目前在移动终端，综合考虑性能、应用的通用性、发卡管理的灵活性，一般选择安全SD卡来实现硬件安全功能。安全SD卡通过高性能的安全芯片，可以支持各类安全运算，如常见的加解密、数字签名生成与验证、随机数发生等操作。

用户与支付***之间的认证属于两方口令认证密钥协商(PAKE，password-basedauthenticatedkeyexchange)过程。两方PAKE所解决的基本问题是，通信双方通过提前预享口令进行身份认证并交互建立一个新的会话密钥。

对于PAKE方案而言，敌手的攻击根据目标的不同主要分为两种。一种是破坏协议的认证性以及会话密钥的安全性。另一种是针对口令的穷举攻击，因为一般口令的长度有限，且字符空间较小，所以比起一般的基于对称密钥的认证密钥协商方案而言，PAKE方案容易遭受口令字典攻击。口令字典攻击主要分为在线口令字典攻击与离线口令字典攻击，其中离线字典攻击的危害要远大于在线字典攻击，对于PAKE协议而言，这种攻击必须是完全避免的，而对于在线口令字典攻击，一般应保证协议参与方可以检测是否存在这种攻击。

发明内容

本发明提出了一种基于SD卡的密钥协商方法，一方面通过静态口令与SD卡内置的秘密信息实现用户的双因素认证以及用户与服务器的双向认证，另一方面将认证过程与密钥协商过程结合，为认证后的安全消息传输提供了保证。

本发明的技术方案为一种基于SD卡的密钥协商方法，由用户与服务器两个通信方参与，服务器预先确定工作参数，用户通过注册协议在服务器上注册用户身份CID与用户口令pw，并将用户身份CID与用户持有的SD卡内的秘密信息sw绑定。用户与服务器间的认证密钥协商过程包括以下步骤：

A-1.用户输入用户标识CID与口令pw，SD卡选择随机数x∈_RZ_q，Z_q为模q的剩余类，计算并输出密钥协商信息X＝g^x与用户认证信息Auth_C＝H₁(CID,pw,sw,X)，用户向服务器发送消息M_C＝<CID,X,Auth_C>；

A-2.服务器根据与用户共享的口令pw与秘密信息sw验证Auth_C，如果通过，随机选择y∈_RZ_q，计算密钥协商信息Y＝g^y，会话密钥SK＝X^y，认证信息Auth_S＝H₁(CID,pw,sw,Y,SK)，向用户发送消息M_S＝<Y,Auth_S>，否则终止认证过程；

A-3.SD卡计算会话密钥SK’＝Y^x与Auth_S’＝H₁(CID,pw,sw,Y,SK’)，如果Auth_S’与Auth_S一致，则接受SK’为后续通信的会话密钥，通知用户认证通过，否则终止认证过程。

更进一步，所述工作参数为集合{q,g,E,D,K,H₀,H₁,L_K,L}，其中g是阶为素数q的有限循环群的生成元，(E,D,K)为对称加密方案，E为加密函数，D为解密函数，K为对称密钥，长度为L_K，H₀用于生成注册和口令更新时使用的加密密钥的函数。H₁用于生成通信过程中的认证消息的函数。H₀:{0,1}*→{0,1}^LK与H₁:{0,1}*→{0,1}^L是随机哈希函数，L为安全参数。

更进一步，所述用户持有的SD卡有唯一标识SID，服务器预先存储每个SD卡的SID与秘密信息sw的对应关系。

更进一步，所述用户持有的SD卡有PIN码保护。

更进一步，所述秘密信息sw为长度足够安全的随机字符串，穷举攻击是计算上不可行的。sw保存在用户持有的SD卡中且不可被导出。

更进一步，所述注册协议包括以下步骤：

R-1.用户输入用户标识CID与口令pw，SD卡选择随机字符串R₁，长度为L，计算加密密钥K＝H₀(R₁,sw)，对pw进行加密生成消息M＝E_K(pw)，计算用户注册认证信息R-Auth₁＝H₁(CID,SID,R₁,sw)，向服务器发送注册消息RM_C＝<CID,SID,M,R₁,R-Auth₁>；

R-2.服务器验证R-Auth₁正确后，计算解密密钥K’＝H₀(R₁,sw)，解密获得用户口令pw＝D_K’(M)，存储CID、SID与pw的对应关系，然后选择随机字符串R₂，长度为L，计算注册认证信息R-Auth₂＝H₁(CID，SID，R₁,R₂,sw,pw)，向用户发送注册验证消息RM_S＝<R₂,R-Auth₂>；

R-3.SD卡验证R-Auth₂正确，通知用户注册成功，否则通知用户注册失败。

更进一步，当用户需要更新口令时，通过以下步骤完成口令更新：

P-1.用户输入用户标识CID、旧口令pw_old与新口令pw_new，SD卡选择随机字符串R₁，长度为L，计算加密密钥K＝H₀(R₁,pw_old,sw)，对新口令进行加密得到密文消息M＝E_K(pw_new)，同时生成用户验证消息UP-Auth₁＝H₁(CID,R₁,sw,pw_old)，向服务器发送口令更新消息PMc＝<CID,M,R₁,UP-Auth₁>；

P-2.服务器验证UP-Auth₁，如果验证通过，计算解密密钥K’＝H₀(R₁,pw_old,,sw)，解密获得用户新口令pw_new＝D_K(M)，选择随机字符串R₂，长度为L，计算服务器验证消息UP-Auth₂＝H₁(CID,R₁,R₂,sw,pw_new)，向用户发送口令更新验证消息PM_S＝<R₂,UP-Auth₂>；

P-3.SD卡验证UP-Auth₂，如果验证通过，通知用户口令修改成功，否则通知用户口令修改失败。

更进一步，当用户需要更换SD卡时，新SD卡的标识为SID_new，对应的秘密消息为sw_new，通过以下步骤完成SD卡更换：

S-1.用户输入用户标识CID与口令pw，新SD卡选择随机字符串R₁，长度为L，计算用户认证消息US-Auth₁＝H₁(CID,SID_new,R₁,sw_new,pw)，向服务器发送SD卡更新消息SMc＝<CID,SID_new,R₁,US-Auth₁>；

S-2.服务器验证US-Auth₁，如果验证通过，根据CID查找用户原先的SD卡标识SID_old，并标记该SD卡作废，然后存储SID_new与CID的对应关系，选择随机字符串R₂，长度为L，计算服务器认证消息US-Auth₂＝H₁(CID,SID_new,R₁,R₂,sw_new,pw)，向用户发送SD卡更新确认消息SM_S＝<R₂,US-Auth₂>；

S-3.SD卡验证US-Auth₂，如果验证通过，通知用户SD卡更换成功，否则通知用户SD卡更换失败。

本发明的有益效果：

本发明所述方法基于安全SD卡实现，能够保证用户与支付***的双向认证以及会话密钥的安全性，抵抗口令猜测攻击、SD卡被盗攻击与钓鱼软件攻击。该方案不依赖PKI基础设施的支撑，也不需要SD卡通过安全途径分发，实施简单方便，应用于移动支付领域，可以在不改变用户现有的登陆操作方式的同时，提供高强度的安全保护，有效抵抗钓鱼、盗号攻击，保障用户的账户安全。

附图说明

图1是本发明一种基于SD卡的口令认证密钥协商实现方法的工作模型。

图2是本发明一种基于SD卡的口令认证密钥协商实现方法的一实施例中用户注册流程示意图。

图3是本发明一种基于SD卡的口令认证密钥协商实现方法的一实施例中用户认证流程示意图。

图4是本发明一种基于SD卡的口令认证密钥协商实现方法的一实施例中用户口令更新流程示意图。

图5是本发明一种基于SD卡的口令认证密钥协商实现方法的一实施例中用户SD卡更新流程示意图。

具体实施方式

下面通过附图并结合具体的实例来详述本发明的技术方案实施过程。

在移动支付场景下，用户通过安装在手机上的支付客户端与支付***进行远程通信完成包括用户注册、认证与密钥协商、口令更新以及SD卡更换四个过程。支付客户端调用手机中内置的SD卡的安全API接口完成安全计算操作。工作模型如图1所示。

用户提前购买支付***发布的安全SD卡。安全SD卡内预置秘密信息为sw，支付***可以通过安全SD卡的序列号SID查询得到sw。安全SD卡在手机端通过PIN码保护。此外，工作参数{q,g,E,D,K,H₀,H₁,L_K,L}也预先写入SD卡。其中g是阶为素数q的有限循环群的生成元，(E,D,K)为对称加密方案，E为加密函数，D为解密函数，K为对称密钥，长度为L_K，H₀用于生成注册和口令更新时使用的加密密钥的函数。H₁用于生成通信过程中的认证消息的函数。H₀:{0,1}*→{0,1}^LK与H₁:{0,1}*→{0,1}^L是随机哈希函数，L为安全参数。

用户持有安全SD卡后，通过支付客户端在支付***上进行远程注册，设置口令，绑定SD卡。其过程如图2所示，具体过程如下：

1.C→S：<CID,SID,M,R₁,Auth₁>

①.用户启动支付***手机支付客户端，支付客户端检测SD卡是否已设置PIN码。如果未设置，要求用户设置PIN码，重新启动；

②.用户输入用户名CID、口令pw；

③.支付客户端调用SD卡的注册接口，输入用户名CID以及用户口令pw，获取消息<CID，SID,M,R₁,Auth₁>，其中M＝E_K(pw)为口令pw的加密信息，K＝H₀(R₁,sw)为加密密钥，R₁为长度为L的随机字符串，Auth_C1＝H₁(CID,SID,R₁,sw)为认证消息；

④.支付客户端发送消息<CID,SID,M,R₁,Auth₁>给支付***。

2.S→C：<R₂,Auth₂>

①.支付***根据SID获取对应的秘密信息sw；

②.支付***计算Auth₁’＝H₁(CID,SID,R₁,sw)，如果Auth₁’与Auth₁一致，则继续；

③.支付***计算K＝H₀(R₁,sw)，解密获得pw＝D_K(M)，安全存储CID、pw、SID。

④.支付***选择长度为L的随机字符串R₂，计算Auth₂＝H₁(CID，SID，R₁,R₂,sw,pw)，发送(R₂,Auth₂)给支付客户端，用户C的注册过程完成。

3.支付客户端收到<R₂,Auth₂>后，调用SD卡的注册确认接口，SD卡计算Auth₂’＝H₁(CID,SID,R₁,R₂,sw,pw)，如果Auth₂’与Auth₂一致，则返回注册成功的标识。

完成注册后，用户就可以与服务器进行认证，完成密钥协商。其过程如图3所示，具体过程如下：

1.C→S：<CID,X,AuthC>

①.用户启动支付***手机支付客户端，输入用户名CID与口令pw；

②.支付客户端要求用户输入SD卡的PIN码；

③.支付客户端调用SD卡的认证接口，输入用户名CID与口令pw，获取消息<CID,X,Auth_C>，其中x∈_RZ_q，X＝g^x，Auth_C＝H₁(CID,pw,sw,X)；

④.支付客户端发送消息<CID,X,AuthC>给支付***S。

2.S→C：<Y,AuthS>

①.支付***根据CID获取pw，查询对应的SID，并获取对应的sw；

②.支付***计算Auth_C’＝H₁(CID,pw,sw,X)，如果Auth_C’与AuthC一致，则继续；

③.支付***计算Y＝PW^y，y∈_RZ_q，SK＝X^y，Auth_S＝H₁(CID,pw,sw,Y,SK)；

④.支付***发送消息<Y,Auth_S>给支付客户端，认证过程结束，并使用SK作为与用户C进行后续通信的会话密钥。

3.支付客户端接收消息<Y,Auth_S>后，调用SD卡的认证确认接口，SD卡计算SK’＝Y^x，AuthS’＝H₁(CID,pw,sw,Y,SK’)，如果Auth_S’与Auth_S一致，则接受SK’为后续通信的会话密钥，返回认证成功的标识。

当用户忘记口令或者认为口令不安全时，可以通过口令更新过程来修改口令。其过程如图4所示，具体过程如下：

1.C→S：<CID,M,R₁,Auth₁>

①.用户启动支付***手机支付客户端，输入用户名CID、旧口令pw_old、新口令pw_new；

②.支付客户端要求用户输入SD卡的PIN码；

③.支付客户端调用SD卡的修改口令接口，输入用户名CID、旧口令pw_old、新口令pw_new，获取消息<CID,M,R₁,Auth₁>，其中M＝E_K(pw_new)，K＝H₀(R₁,pw_old,sw)为加密密钥，R₁为长度为L的随机字符串，Auth₁＝H₁(CID,R₁,sw,pw_old)为认证消息；

④支付客户端发送消息<CID,M,R₁,Auth₁>给支付***。

2.S→C：<R₂,Auth₂>

①.支付***根据CID获取用户的旧口令pw_old以及SD卡秘密信息sw；

②.支付***计算Auth₁’＝H₁(CID,R₁,sw,pw_old)，如果Auth₁’与Auth₁一致，则继续；

③.支付***计算K＝H₀(R₁,pw_old,,sw)，解密获得pw_new＝D_K(M)，更新用户口令。

④.支付***选择长度为L的随机字符串R₂，计算Auth₂＝H₁(CID,R₁,R₂,sw,pw_new)，发送<R₂,Auth₂>给支付客户端，用户C的口令更新过程完成。

3.支付客户端收到<R₂,Auth₂>后，调用SD卡的口令修改确认接口，SD卡计算Auth₂’＝H₁(CID,R₁,R₂,sw,pw_new)，如果Auth₂’与Auth₂一致，则返回口令修改成功的标识。

当装有SD卡的手机丢失或SD卡丢失后，用户重新购买SD卡，启动支付***手机支付客户端，客户端检测SD卡为新卡，要求用户输入PIN码，并启动SD卡更新账号绑定过程。SD卡更新阶段的通信协议如图5所示，具体过程如下：

1.C→S：<CID,SID_new,R₁,Auth₁>

①.用户输入用户名CID、口令pw；

②.支付客户端要求用户输入SD卡的PIN码；

③.支付客户端调用SD卡的更新绑定接口，输入用户名CID、口令pw，获取消息<CID,SID,R₁,Auth₁>，其中R₁为长度为L的随机字符串，Auth₁＝H₁(CID,SID_new,R₁,sw_new,pw)为认证消息；

④支付客户端发送消息<CID,SID_new,R₁,Auth₁>给支付***。

2.S→C：<R₂,Auth₂>

①.支付***查找SID_new对应的sw_new；

②.支付***计算Auth₁’＝H₁(CID,SID_new,R₁,sw_new,pw)，如果Auth₁’与Auth₁一致，则根据CID查找用户原先的SD卡序列号SID_old，并标记该SD卡作废，然后将SID_new与CID绑定；

③.支付***选择长度为L的随机字符串R₂，计算Auth₂＝H₁(CID,SID_new,R₁,R₂,sw_new,pw)，发送<R₂,Auth₂>给支付客户端，用户C的SD卡更新过程完成。

3.支付客户端收到<R₂,Auth₂>后，调用SD卡的更新绑定确认接口，SD卡计算Auth₂’＝H₁(CID,SID_new,R₁,R₂,sw_new,pw)，如果Auth₂’与Auth₂一致，则返回更新账号绑定成功的标识。

Claims

1.一种基于SD卡的密钥协商方法，其步骤为：

1)服务器为每一SD卡设置一秘密信息sw并将其保存到对应SD卡中；客户端中设有该SD卡；用户通过所述客户端在该服务器上注册用户身份CID与用户口令pw，并将用户身份CID与对应秘密信息sw绑定；

2)所述客户端中的该SD卡根据输入的用户标识CID与口令pw计算出一密钥协商信息X，然后根据用户标识CID、口令信息pw、秘密信息sw和密钥协商信息X生成一用户认证信息Auth_C，然后向服务器发送消息M_C＝<CID,X,Auth_C>；

3)服务器根据该SD卡的秘密信息sw验证该用户认证信息Auth_C，如果通过，则生成一密钥协商信息Y和会话密钥SK，然后根据该用户标识CID及其对应的口令信息pw、秘密信息sw，密钥协商信息Y和会话密钥SK生成一认证信息Auth_S，然后向该客户端发送消息M_S＝<Y,Auth_S>；如果未通过验证，则终止认证过程；

4)该客户端的SD卡计算会话密钥SK’并验证Auth_S，如果验证通过，则接受会话密钥SK’，否则终止认证过程。

2.如权利要求1所述的方法，其特征在于，所述工作参数为集合{q,g,E,D,K,H₀,H₁,L_K,L,}，其中g是阶为素数q的有限循环群的生成元，E为加密函数，D为解密函数，K为长度为L_K的对称密钥，H₀为用于生成加密密钥的函数。H₁为用于生成认证消息的函数，L为安全参数。

3.如权利要求2所述的方法，其特征在于，所述客户端在该服务器上进行注册的方法为：

31)所述客户端的SD卡选择一长度为L的随机字符串R₁计算一加密密钥K＝H₀(R₁,sw)，对输入口令pw进行加密生成消息M＝E_K(pw)，然后计算一用户注册认证信息R-Auth₁＝H₁(CID,SID,R₁,sw)，然后将生成的注册消息RM_C＝<CID,SID,M,R₁,R-Auth₁>发送给所述服务器；

32)所述服务器验证R-Auth₁正确后，计算解密密钥K’＝H₀(R₁,sw)，解密获得用户口令pw＝D_K’(M)，存储CID、SID与pw的对应关系；然后选择长度为L的随机字符串R₂，计算一注册认证信息R-Auth₂＝H₁(CID，SID，R₁,R₂,sw,pw)，然后将生成的注册验证消息RM_S＝<R₂,R-Auth₂>发送给对应的所述客户端；

33)所述客户端的SD卡验证R-Auth₂，如果正确则注册成功，否则注册失败。

4.如权利要求2或3所述的方法，其特征在于，所述SD卡选择一随机数x∈_RZ_q，Z_q为模q的剩余类，然后计算并输出密钥协商信息X＝g^x与用户认证信息Auth_C＝H₁(CID,pw,sw,X)。

5.如权利要求4所述的方法，其特征在于，所述服务器选择一随机数y∈_RZ_q，然后计算密钥协商信息Y＝g^y，会话密钥SK＝X^y，认证信息Auth_S＝H₁(CID,pw,sw,Y,SK)。

6.如权利要求5所述的方法，其特征在于，所述SD卡计算SK’＝Y^x，Auth_S’＝H₁(CID,pw,sw,Y,SK’)，如果Auth_S’与Auth_S一致，则判断为验证通过，接受SK’为后续通信的会话密钥。

7.如权利要求2或3所述的方法，其特征在于，当更新口令pw时，其更新步骤为：

71)对输入的用户标识CID、旧口令pw_old与新口令pw_new，客户端的SD卡选择一长度为L随机字符串R₁计算加密密钥K＝H₀(R₁,pw_old,sw)，然后对新口令加密得到密文消息M＝E_K(pw_new)，同时生成用户验证消息UP-Auth₁＝H₁(CID,R₁,sw,pw_old)，向服务器发送口令更新消息PMc＝<CID,M,R₁,UP-Auth₁>；

72)服务器验证UP-Auth₁，如果验证通过，则计算解密密钥K’＝H₀(R₁,pw_old,,sw)，解密获得用户新口令pw_new＝D_K(M)，然后选择一长度为L的随机字符串R₂计算服务器验证消息UP-Auth₂＝H₁(CID,R₁,R₂,sw,pw_new)，向客户端发送口令更新验证消息PM_S＝<R₂,UP-Auth₂>；

73)客户端的SD卡验证UP-Auth₂，如果验证通过，则用户口令修改成功，否则口令修改失败。

8.如权利要求2或3所述的方法，其特征在于，当所述客户端更换SD卡时，新SD卡的标识为SID_new，对应的秘密消息为sw_new，其步骤为：

81)对输入的用户标识CID与口令pw，所述客户端的新SD卡选择长度为L的随机字符串R₁计算用户认证消息US-Auth₁＝H₁(CID,SID_new,R₁,sw_new,pw)，然后向服务器发送SD卡更新消息SMc＝<CID,SID_new,R₁,US-Auth₁>；

82)服务器验证US-Auth₁，如果验证通过，则根据CID查找原SD卡标识SID_old，并标记该SD卡作废，然后存储SID_new与CID的对应关系，选择长度为L的随机字符串R₂计算服务器认证消息US-Auth₂＝H₁(CID,SID_new,R₁,R₂,sw_new,pw)，然后向所述客户端发送SD卡更新确认消息SM_S＝<R₂,US-Auth₂>；

83)所述客户端的新SD卡验证US-Auth₂，如果验证通过，则SD卡更换成功，否则SD卡更换失败。

9.如权利要求1或2或3所述的方法，其特征在于，所述SD卡设有PIN码保护。

10.如权利要求1或2或3所述的方法，其特征在于，所述秘密信息sw存储于SD卡中且设置为不可被导出。