专利名称:一种基于社交网络的智能手机轻型安全认证方法及系统的制作方法
技术领域:
本发明涉及移动通信技术领域,尤其涉及信息加密和认证技木。
背景技术:
随着移动互联网技术的飞速发展,手机及移动服务已经成为人们日常生活的必需品。人们通过手机等移动终端接入网络,与之产生的大量在线服务在提高了手机用户体验的同时,利用手机进行银行帐号,个人信息,公司数据等私密信息操作存在安全威胁。传统 的授权认证方式主要通过输入密码实现,其安全性受到密码复杂性的影响。另外由于手机输入方式的限制而导致的安全性与方便性不一致,使得人们更倾向于选择简单的密码。再者手机存在计算、存储、电池等资源受限的缺陷,所以急需ー种既安全又方便的认证、授权机制。近两年来基于社交网络的手机安全认证正成为研究热点,它将用户的联系人当作用户的关联节点,一次交互事件当作一条边,从而将用户使用手机的行为转化为ー种与用户关联的社交网络,并从社交网络角度认证用户的合法性。目前主要的研究有Soleymani B给出的基于PKI (公钥基础设施)的手机社交认证协议,在一次认证过程中手机端需要进行多次非対称密钥的加密与解密。对于较为繁忙的用户(认证次数多)或者对安全性要求较高(认证票据更新快,认证票据需求量大)的用户,需要频繁的执行非対称密钥的加密/解密过程。但是非对称加密/解密方式是属于计算密集型任务,对计算资源需求量大,执行过程时间长。对于资源受限的智能手机,非対称密钥的缺点表现的尤其明显。首先是严重影响手机电池的续航时间,其次影响系统对用户操作的反映时间,且协议并未充分利用社交网络中的特性。与此相关的Justin Zhan提出的手机社交认证协议同样是基于PKI的,虽然其考虑到了不同联系人的影响カ不同的问题,给不同等级的联系人不同的权重,但权重的分配由用户手动分配,这样就引起了被分配了高权重的联系人可能不愿意參与认证,而经常參与认证的好友却被给予较低的权重的问题,且在处理认证过程时,不合理的采用了先让权重最小的联系人认证,若失败后再让权重较大联系人认证的方式。此方式未能充分利用大权重节点,由此导致了认证时延长,另外其协议中最重要的不足之处是需要联系人手动回复认证结果,操作起来复杂、可靠性低,使得用户难以接受。
发明内容
本发明所要解决的技术问题是针对已有的手机社交认证协议对终端资源消耗量大、认证成功率低、认证时延长的问题及手机具有的资源受限特征,结合手机通话网络具有的社交网络特征,设计一种基于社交网络的智能手机轻型安全认证机制以满足人们对使用手机在网络上操作敏感数据的安全性及方便性的需求,提高用户的使用体验。本发明建立ー种智能手机安全认证系统,该系统包括用户手机,用户联系人手机,认证中心,应用服务器,其中手机端包括权重计算模块,认证票据生成模块,认证票据与密钥安全管理模块,数据通信模块。认证中心由安全认证系统Kerberos服务器,认证服务器组成,其中Kerberos服务器负责分发对称密钥,认证服务器负责计算用户各好友影响因子和用户的身份认证。认证中心收到网络中需要进行身份认证的请求后,如电子邮件服务器等应用服务器的身份认证请求,通知用户手机进行身份认证;用户手机响应认证请求,通过认证票据与密钥安全管理模块及数据通信模块,发送收集到的全部认证票据到认证中心;认证中心根据收到的认证票据,使用每张有效认证票据中的认证权重及好友的影响因子计算出有效认证值,然后与认证服务器中设定的有效认证值的最小值(即认证门限)做比较获得最后认证结果(接受或拒绝),并将结果发送给应用服务器(发送身份认证请求的服务器)。本发明的安全认证具体步骤如下
用户手机请求在认证中心登记注册,获得手机与认证中心的共享密钥,并提交好友列表;认证服务器(Kerberos服务器)通知联系人手机建立好友请求,当用户和联系人间建立好友关系后,为用户与好友间分发共享对称密钥,并进行认证票据分发、接收。用户手机在认证中心登记注册,获得用户手机与认证中心的共享密钥,提交好友列表,Kerberos服务器为用户与好友间分发共享对称密钥;用户和好友手机端权重计算模块根据用户的交互事件信息(如通话,短信,蓝牙及红外接入信息等)判断是否达到认证要求并计算出认证权重,认证票据生成模块通过认证票据与密钥安全管理模块获得密钥,通过权重计算模块获得认证权重后,生成认证票据;用户和好友手机端数据通信模块发送、接收认证票据,用户和好友手机端将接收到的认证票据交于认证票据与密钥安全管理模块;用户手机端定时上传交互事件记录到认证中心,认证中心根据用户的交互事件记录计算出用户各好友的影响因子;认证服务器收到应用服务器的身份认证请求后,通知用户手机进行身份认证;用户手机响应认证请求,通过认证票据与密钥安全管理模块及数据通信模块,发送所有认证票据到认证服务器;认证中心根据收到的认证票据,使用每张有效认证票据中的认证权重和好友的影响因子计算出有效认证值后,与认证门限比较获得认证结果发送给应用服务器。本发明利用手机通话网络中具有的社交网络性质,解决手机身份认证对于手机计算负担重,认证效率低、时延长的问题。将认证过程中的公钥加密和签名使用对称密钥替代,达到对手机端计算负担的减轻,延长续航时间并提高认证票据的安全性。在提高认证效率方面,结合了不同交互事件携帯的信任信息量不同,不同节点的影响カ不同和个体行为具有差异性的社交网络特性,给予每张身份认证票据不同的认证权重,每位好友不同的影响因子,每位用户不同的认证门限,从而让系统中用户的身份认证票据具有获得频率越快,认证结果越权威,其认证权重越高的特性。提高了认证效率,減少了认证时延,增强了认证的安全性。手机与认证服务器之间的认证过程在手机后台完成,无需用户的參与。因此认证过程对于用于是透明的,提高了終端用户的使用体验。说明书附图
图I是本发明的实施结构示意 图2是本发明的手机端结构 图3是本发明的主要认证消息的构成示意 图4是本发明的认证中心认证流程图。
具体实施方式
下面结合附图对本发明的具体实施作进ー步的详细阐明。
如图I所示为本发明的系统结构图。其中包括认证中心(G1),用户联系人手机(G2),用户手机(G3),应用服务器(G4)。其中,认证中心包括Kerberos服务器,认证服务器。如图2所示为手机端(包括用户手机和联系人手机)原理示意图,包括数据通信模块(Ml),票据与密钥安全管理模块(M2),认证票据生成模块(M3),认证权重计算模块(M4)。參照
图1,具体说明本发明智能手机安全认证过程,执行如下步骤
步骤0,用户与联系人建立好友关系后,为好友间分发共享密钥;步骤1,当用户手机端(G3)和好友手机端(G2)检测到符合认证要求的交互事件发生时,用户和好友的手机端均生成认证票据并发送给对方;步骤2,当用户访问需要认证身份的网络服务时,提供网络服务的应用服务器(G4);步骤3,将身份认证工作转交给认证中心(Gl);步骤4,认证中心收到认证请求后,对用户要求进行身份认证,用户发送收集到的全部认证票据到认证中心,认证中心根据认证票据和好友的影响因子审核用户身份的合法性;步骤5,将认证结果返回应用服务器,应用服务器根据认证结果决定是否接受用户的服务请求。其中用户和好友手机端定时上传交互事件记录到认证中心,认证中心根据用户的交互事件记录计算出用户各好友的影响因子,根据用户获得的有效认证值计算出认证门限。图I中,系统中用户的角色情况假设A、B、C、D均为认证系统中用户,其中B为主要分析对象为用户,A、C、D为B所设定的好友称为好友,以此对系统工作认证过程进行说明。新用户加入系统,可以通过以下两种方式完成新用户的加入,(I)主动注册,(2)好友邀请加入。用户手机申请进入系统时向认证中心(Gl)提交手机号码及用户相关信息,提交欲建立好友关系的联系人手机号码列表。认证中心通知联系人建立好友请求,若联系人手机不在系统中,则发出加入邀请。当联系人手机回复确认信息后,建立好友关系列表。新用户成功加入系统时,认证中心(Gl)就为该新用户(G3)分配ー个与认证中心(Gl)之间共享的对称密钥。然后当用户建立起好友关系时,为好友间分发对称密钥。安全认证系统Kerberos服务器为用户手机和好友关系列表中的联系人手机间(G2与G3)分配共享对称密钥,因该密钥是经过第三方认证的,所以此密钥即可作为加密,也可结合时间戳作为签名使用,用户手机端保存与所有好友(G3)共享的对称密钥及与认证中心(Gl)共享的对称密钥。按系统安全性对密钥更新时间的需求定时执行更新密钥,更新所有好友间的共享密钥。本发明采用Kerberos取代常用的公钥基础设施PKI,基于Kerberos的对称加密方式具有计算负担小,运行速度快,安全性高的特点。在本机制中由于要频繁的进行加密、解密操作使得公钥加密方式的计算负担对于资源受限的手机来说是比较严重的问题。认证票据分发过程,具体步骤为
用户手机接收到拨号请求后,认证票据生成模块(M3)检测通信对象是否为好友。若为好友,认证权重计算模块(M4)检测交互事件是否达到交互事件判断门限。当交互事件达到判断门限时,根据交互事件信息计算出认证权重。认证票据生成模块(M3)通过认证权重计算模块(M4)获得认证权重,通过票据与密钥安全管理模块(M2)获得加密密钥后生成认证票据(Ticket)并通过数据通信模块(Ml)发送给好友。
其中交互事件可以是通话,短信,蓝牙连接,红外传输等行为。交互事件信息可以是I.通话的时间,2.短信的交互条数,3.蓝牙信号的強弱,4.蓝牙及红外线的传输数据量等。交互事件的认证权重计算函数为
Ey(X) = exp(u-(x-0))-1(I)
式(I)中gKjc)为认证权重,X为交互事件信息衡量值,a为调节系数,设为交
互事件判断门限(可为最短通话时长),其中X、a、0通过对系统中交互事件信息决定,当系统认为交互事件为可信时对交互事件信息值 的最低要求。3所示本发明主要认证消息的构成示意图,好友手机A发送给用户手机B的认证票据的信息即LI的构成为。A首先通过权重计算模块(M4)
获得此次交互事件的认证权重,然后添加被认证对象标识B和此认证票据的有效期
Tvdid,最后使用A与认证中心共享的对称密钥Kas对Iab、B、Tvdid进行加密,获得认证票据
Ticket= {艮Iab,TmhJKai。对认证票据进行加密操作。加密操作是为了保证认证票据的
不可篡改性及保密性和对认证结果的签名作用。为了保证消息的不可重放性在发送认证票
据的消息中添加时间戳ら,最后使用与B的共享密钥[せ对Ticket、ら进行加密,形成发
送认证票据的消息,达到加密和签名的作用,使得用户B能够判断出此条消息确实来自于好友A且是最新的一次消息。当B接到A发来的认证消息时,通过解密,验证时间戳
的及时性检验认证票据{B,的有效性。当认证票据有效时,将认证票据交
由B的认证票据与密钥安全管理模块保存。其中认证票据与密钥安全管理模块标记所有认证票据的接收时间,定时删除超期的认证票据。用户身份认证过程具体包括,用户访问网络时,提供网络服务的服务器并不进行身份认证,而将身份认证工作交由认证中心完成,认证中心利用用户发来的认证票据进行身份认证,最后将认证结果返回给请求身份认证的服务器。当用户B访问网络服务需要接触敏感信息,如个人邮箱,网上银行,股票帐号等,身份确认工作交由第三方即认证中心(Gl)完成,认证中心(Gl)接到认证请求时,联系用户B要求认证其身份,然后用户B将收集
到的所有认证票据Ticket,添加发送时间戳Tbs,用户标识B后,使用与认证中心(Gl)共享密钥F、加密消息发送给认证服务器。如图3所示,L2为B发送的认证消息,其中添加了好友A与好友C的认证票据的消息构成为{{S,Iab,Tvalid JKas ,{B,Icb,Xffllid}KCS,Tbs3}Kbs。參照图4,认证中心收到用户B的认证消息后处理流程为
步骤Rl :使用与B共享密钥Kbi解密认证中心收到的用户B的认证消息后获得时间戳
Tbs、用户标识B和各好友对B的认证票据,通MTfe验证消息的及时性。服务器获得好友A、C对B的认证票据。
步骤R2 :分别使用好友A、C与服务器的共享密钥Kei、Keis解密认证票据。检验对各张票据中的认证对象标识B与用户标识B是否一致,随后检验各票据中的认证票据有效期 ;是否有效。步骤R3 :使用认证票据中的认证权重和认证中心计算出的好友的影响因子
计算出有效认证值,然后与认证模型门限比较获得认证結果。由于各好友与用户是熟悉度不同,所以各好友的认证权威也应是不一样的。因此按与好友的熟悉度给各好友分配不同的影响因子。例如仅考虑通话信息这ー维度,好友的熟悉度使用好友与用户间的通话总 时间作为依据并按降序排序,好友的影响因子可根据如
下公式获取,Rsx = ”-ぐ0.1,其中Rm为用户B的好友X的影响因子,、力好友X在用户B好友中的熟悉度排名,Ti为调整系数,使得大于O。认证门限值的确定既要考虑到安全性,S卩非法用户不能轻易达到,同时也要考虑认证的可用性,即合法用户在正常情况下能够满足。由于个人行为具有差异性,导致用户所获得的有效认证值的范围不同,所以在设定认证门限时需考虑个体的差异性。使用针对不同用户设定不同认证门限的方式来提高认证协议的可用性和安全性。对不同的用户设定认证门限值应当达到以下要求1.获得的有效认证值波动大的用户认证门限低。(提高认证的成功率)2.获得的有效认证值高的用户认证门限高(提高认证的安全性)3.认证门限值不应高于用户成功认证时获得的有效认证值的均值。由此得到用户的认证门限值为
权利要求
1.基于社交网络的智能手机轻型安全认证方法,其特征在于,该方法包括以下步骤用户手机在认证中心登记,获得用户手机与认证中心的共享密钥,提交好友列表,为用户手机与好友手机间分发共享对称密钥;用户和好友手机端权重计算模块根据交互事件信息计算交互事件的认证权重,通 过认证票据与密钥安全管理模块获得密钥,通过权重计算模块获得认证权重后,生成认证票据;用户和好友手机端数据通信模块发送、接收认证票据,将认证票据提交认证票据与密钥安全管理模块;用户手机端定时上传交互事件记录至认证中心,认证中心根据用户交互事件记录计算用户各好友的影响因子;认证中心收到应用服务器的身份认证请求后,通知用户手机进行身份认证,用户手机响应认证请求,通过认证票据与密钥安全管理模块及数据通信模块,发送所有认证票据到认证中心;认证中心根据收到的认证票据,使用有效认证票据中的认证权重和好友的影响因子计算出有效认证值后,与认证门限比较获得认证结果发送给应用服务器。
2.根据权利要求I所述的安全认证方法,其特征在于,所述生成认证票据具体为:好友手机A通过权重计算模块获得交互事件的认证权重Iab,添加被认证对象标识B和认证的有效期Tvdli,并用A与认证服务器共享的对称密钥Kas加密,获得认证票据Ticket=。
3.根据权利要求I所述的安全认证方法,其特征在于,认证服务器根据用户的交互事件记录计算出各好友的影响因子R加,根据如下公式,Rsx n *0.1计算P、.,其中,、力好友X在用户B好友列表中的排名I 力调整系数,使得ち^大于O。
4.根据权利要求I所述的安全认证方法,其特征在于,根据用户获得的有效认证值为用户设定不同的认证门限值,认证门限值满足以下要求获得有效认证值波动大的用户认证门限低;获得有效认证值高的用户认证门限高;认证门限值不高于用户成功认证时获得的有效认证值的均值。
5.根据权利要求2所述的安全认证方法,其特征在于,认证服务器收到用户B的认证消息后,使用与B共享密钥Kbs解密认证消息获得时间戳Tts、用户标识B和各好友对B的认证票据,通过Tt;验证消息的及时性,服务器获得好友A、C对B的认证票据;分别使用好友A、C与服务器的共享密钥Kas、Kes解密认证票据;检验认证票据中的认证对象标识与用户标识是否一致,检验认证票据中的?;—是否有效;使用有效认证票据中的认证权重和好友的影响因子i &计算出有效认证值后与认证门限比较获得认证結果。
6.根据权利要求2所述的安全认证方法,其特征在于,所述生成认证票据进ー步为在认证票据中添加时间戳1^,用户手机B获得发送给好友手机A的认证票据信息LI み,ら。
7.根据权利要求6所述的安全认证方法,其特征在干,当用户手机B收到好友A发来的认证票据信息Li时,通过解密,验证时间戳检验认证票据Ticket的有效性,当认证票据有效时,将认证票据交由B的认证票据与密钥安全管理模块保存。
8.基于社交网络的智能手机轻型安全认证系统,其特征在干,该系统包括认证中心、用户手机、好友手机、应用服务器,其中,用户手机及联系人手机包括数据通信模块、票据与密钥安全管理模块、认证票据生成模块、认证权重计算模块,用户手机在认证中心登记,获得用户手机与认证中心的共享密钥,提交好友列表,为用户手机与好友手机间分发共享对称密钥;用户和好友手机端权重计算模块根据交互事件信息计算交互事件的认证权重,认证票据与密钥安全管理模块获得密钥,权重计算模块获得认证权重,生成认证票据;数据通信模块发送、接收认证票据,将认证票据提交认证票据与密钥安全管理模块;用户的手机端定时上传交互事件记录至认证中心,认证中心根据用户的交互事件记录计算用户各好友的影响因子;认证中心收到应用服务器的身份认证请求后,通知用户手机进行身份认证,用户手机响应认证请求,通过认证票据与密钥安全管理模块及数据通信模块,发送所有认证票据到认证中心;认证中心根据收到的认证票据,使用有效认证票据中的认证权重和好友的影响因子计算有效认证值,与认证门限比较获得认证结果发送给应用服务器。
9.根据权利要求8所述的安全认证系统,其特征在于,所述生成认证票据具体为好友手机A通过权重计算模块获得交互事件的认证权重1せ,添加被认证对象标识B和认证的有效期Tvalld ,并用A与认证服务器共享的对称密钥Kas加密,获得认证票据Ticket= {B,I^TvalJKas ;根据权利要求I所述的安全认证方法,其特征在干,认证服务器根据用户的交互事件记录计算出各好友的影响因子根据如下公式,= ち^0.1计算其中、为好友X在用户B好友列表中的排名,叹为调整系数,使得2 ,大于O。
10.根据权利要求9所述的安全认证系统,其特征在于,所述生成认证票据进ー步为在认证票据中添加时间戳'Ta ,获得发送给好友B的认证票据信息LI {{B,JKas,Tdf }K^,当用户手机B收到好友A发来的认证票据信息LI {(B3Jq6jT^ ^as5 Tdj}K^时,通过解密,验证时间戳检验认证票据Ticket的有效性,当认证票据有效时,将认证票据交由B的认证票据与密钥安全管理模块保存。
全文摘要
本发明请求保护一种基于社交网络的智能手机轻型安全认证方法,涉及手机用户的身份认证方式,该方法通过运用手机通话网络中存在用户常用联系人数量较小且联系对象稳定,不同交互事件携带的信任信息量不同,不同节点影响力不同及个体行为具有差异性的社交网络特性,有效的解决了基于社交网络的认证协议手机资源消耗量大,认证效率且时延长的问题,同时提高了认证的安全性。手机端自动认证的方式提高了用户的使用体验。本机制可以广泛用于移动互联网,计算机网络等相关领域。
文档编号H04W12/06GK102665215SQ201210135178
公开日2012年9月12日 申请日期2012年5月4日 优先权日2012年5月4日
发明者刘宴兵, 刘飞飞, 徐光侠, 肖云鹏, 胡文平, 黄 俊 申请人:重庆邮电大学