本站小編為你精心準備了手機彩信簽名參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
論文摘要:手機彩信通信;數字簽名;彩信認證;雙向認證;J2ME
論文摘要摘要:本文探索一種基于非對稱密碼體制、單向散列函數、數字證書和數字簽名的手機彩信通信接入雙向認證方案。在本方案中,認證服務器無需存儲和查找客戶端公鑰,且移動運營商具有自簽名的頂級證書服務器,無需借助第三方頒發證書。最后對本方案做了簡要的性能分析。
1引言
移動通信技術發展日新月異,3G,E3G,4G這些標志通信技術里程碑的名詞。通過手機彩信功能,現在可以傳輸文字,圖片,音樂和視頻等多媒體信息。彩信豐富了我們的日常生活,和此同時彩信中夾雜病毒和一些不良信息的現象不段出現。通信平安新問題已成為制約移動網絡應用的一個瓶頸,并且隨著移動通信網絡的迅猛發展,日益變得突出。借鑒互聯網領域的數字簽名技術,本文探索通過非對稱密鑰體制來實現手機彩信的通信平安。
2非對稱密鑰體制
有對稱和非對稱兩種密鑰體制。在對稱密鑰系統中,加密和解密采用相同的密鑰。因為加解密鑰相同,需要通信的雙方必須選擇和保存他們共同的密鑰,各方必須信任對方不會將密鑰泄密出去,這樣就可以實現數據的機密性和完整性。對于具有n個用戶的網絡,需要n(n-1)/2個密鑰,在用戶群不是很大的情況下,對稱密鑰系統是有效的。但是對于大型網絡,當用戶群很大,分布很廣時,密鑰的分配和保存就成了新問題。因此在移動通信中不可以采取對稱密鑰體制。
非對稱密鑰體制的基本思想是加密密鑰和解密密鑰不相同,由其中一個密鑰推導另一個密鑰在計算上是不可行的。一對彼此獨立、但又在數學上彼此相關的密鑰KP、KS總是一起生成,其中KP公開,稱為公鑰,KS保密,稱為私鑰。加密算法E和解密算法D是分開的。非對稱密碼體制的特征如下摘要:
(1)用公鑰加密的數據,只能由和其對應的私鑰解密,而不能用原公鑰解密;反之,用私鑰加密的數據,只能由和其對應的公鑰解密,而不能由原私鑰解密。即,設加密算法為E,解密算法為D,KP是公鑰,KS是KP對應的和私鑰,明文為X,則有摘要:Dkp[Eks(X)可以得出明文X,而Dks[Eks(X)則無法得出明文X。
(2)非對稱鑰體制不存在對稱秘鑰體制中的密鑰分配新問題和保存新問題。M個用戶之間相互通信只需要2M個密鑰即可完成。
(3)非對稱秘鑰體制支持以下功能摘要:
(4)機密性(Confidentiality)摘要:保證非授權人員不能非法獲取信息;
(5)確認(Authentication)摘要:保證對方屬于所聲稱的實體;
(6)數據完整性(Dataintegrity)摘要:保證信息內容不被篡改;
(7)不可抵賴性(Non-repudiation)摘要:發送者不能事后否認他發送過消息。
3一種雙向認證的方案摘要:
首先需要在移動運營商架設一臺證書服務器。證書服務器有自己的公鑰KCP和私鑰KCS,同時證書服務器也有一張自簽名的頂級證書,以防止它的公鑰被黑客替換。在用戶申請開通服務時,證書服務器為用戶頒發一張數字證書,并對證書進行數字簽名,以防止證書內容被篡改。頒發證書的時候為用戶創建了公鑰KUP、私鑰KUS,其中KUS由用戶保存且保密,KUP公開。
移動運營商架設一臺或多臺AAAServer(Authentication,Authorization,Accounting,認證、授權、計費服務器),它負責認證、授權和計費。AAAServer有自己的私鑰KSS、公鑰KSP和加密算法D、解密算法E。同時,它也擁有一張證書服務器頒發的數字證書。
用戶開機或者請求某種業務時,發起相應的認證過程,即向AAAServer發送認證開始請求。AAAServer收到請求后,向用戶發送證書請求,要求用戶出示數字證書。然后用戶將自己的數字證書發送給AAAServer。
AAAServer收到證書后,有三件事情需要證實摘要:
(1)該數字證書是移動運營商數字證書服務器所頒發;
(2)該數字證書未被篡改過;
(3)該證書確實為出示證書者所有。
對于前面兩項,AAAServer只需驗證數字證書上證書服務器的數字簽名即可得到證實。具體方法是用證書服務器的公鑰KCP解密數字簽名,然后再用公開的單向散列函數求證書的散列值,并比較二者,假如相同,驗證通過,不相同,驗證失敗。
為了證實該證書確實為證書出示者所有,AAAServer生成一個大的隨機數R,并使用用戶的公鑰KUP(數字證書中包含KUP,因此服務器無需預先存儲用戶公鑰,也無需查找數據庫,這有利于加快處理速度)將R加密,得到EKup(R)。為了防止R在傳輸過程中被黑客截獲并修改,使得合法用戶得不到正確的認證。AAAServer先使用一個公開的單向散列函數H功能于R,得到H(R),然后用服務器的私鑰KSS對H(R)進行加密(數字簽名)。最后將Ekup(R)+Ekss[H(R)發送給用戶。客戶收到Ekup(R)+Ekss[H(r)后,首先應該驗證R在傳輸過程中是否被篡改過。方法如下摘要:首先,客戶端使用AAAServer的公鑰KSP解開Ekss[H(R),即摘要:DKsp(Ekss[H(r))=H(R)
再用客戶端私鑰KUS解密Ekup(R),即摘要:
Dkus[Ekup(R)=R’,
然后再用公開的單向散列函數H(必須和AAAServer使用的H相同),求R′的散列值H(R′)。假如在傳輸過程中R被篡改過,即R′≠R,那么根據散列函數的性質,必然有摘要:H(R′)≠H(R),從而發現R被修改過這一事實。
假如上面的操作證實R未被修改,那么客戶端接下來的工作是設法將解密得到的R′不被篡改地傳回AAAServer,以便AAAServer進行鑒別。為了防止在將R′傳回給AAAServer的過程中,被黑客捕捉并篡改,使得合法用戶不能通過認證。在回傳R′時,先對R′施以單向散列函數H,得到R′的一個散列值H(R′)。然后使用用戶的私鑰KUS對H(R′)進行加密(數字簽名),最后將R′和加密后的H(R′)一起,即R’+Ekus[H(R’)回傳給AAAServer。這里R′可以明文傳輸,無需加密,因為R是隨機數,每次都不一樣,黑客即使獲得R′也不能對認證過程構成威脅。
AAAServer收到R’+Ekus[H(R’)后,驗證過程如下摘要:
首先驗證R′是否等于R。假如R′=R,說明該證書確實為其出示者所有,對用戶的認證獲得通過。
假如R′≠R,有兩種可能,即要么用戶提供的證書是假的,要么R′在傳輸過程被人篡改過。要檢查R′是否被修改過,AAAServer只需驗證用戶的數字簽名即可摘要:
假如R′被篡改為R″(R″≠R′),則必然有H(R″)≠H(R′),從而可以發現R′在傳輸過程中被修改過。
假如經過前面驗證,R′在傳輸過程中沒有被修改,且R′≠R,這說明用戶所出示的數字證書非法,用戶認證失敗。
至此,AAAServer對客戶端認證完成。反方向的客戶端對AAAServer的認證類似,不再詳述。
當雙向認證完成后(事實上,可以是客戶端被認證合法之后),AAAServer向SMS(SubscriberManagementSystem,用戶管理系統)發送用戶通過認證,并請求該用戶的業務信息。SMS收到請求后,查找該用戶的業務信息,并發送給AAAServer。AAAServer據此對該用戶授權、計費。
4方案性能分析
本認證方案采用了單向散列函數、非對稱密碼體制、數字證書、數字簽名等信息平安技術。認證服務器無需存儲用戶公鑰,也不需要查找相應數據庫,處理速度快。
(1)有效性(Validity)摘要:在本認證方案過程中,要求用戶出示了由移動運營商證書服務器頒發的數字證書,并對證書進行了三項驗證,確保證書的有效性(為移動運營商證書服務器所頒發)、完整性(未被修改過)和真實性(確實為該用戶所有)得到驗證。在AAAServer方,我們認為沒有必要向客戶端出示其證書。客戶端知道合法的AAAServer的公鑰,只需驗證自稱是AAAServer的一方擁有該公鑰對應的私鑰即可,因為世界上有且僅有合法的AAAServer知道該私鑰。
(2)完整性(Integrity)摘要:在認證消息傳輸過程中,我們始終堅持了消息可靠傳輸這一原則,對認證消息采取了保護辦法。一旦認證消息在傳輸過程中被修改,消息到達對方時將被發現。
不可否認性(Non-repudiation)摘要:本方案中所有認證消息都采用了發送方數字簽名,使得發送方對自己發送的消息不可否認。
可行性(Feasibility)摘要:本認證方案采用的單向散列函數、非對稱密碼體制、數字證書等信息平安技術經過多年發展,已經比較成熟。單向散列函數有MD2、MD4、MD5、SHA系列、HAVAL-128以及RIPEMD等,其中MD4目前被認為不平安。非對稱密碼體制中最成功的是RSA。值得一提的是和RSA算法相關的基本專利已于2000年9月到期,這直接關系到系統成本。另外,本方案采用的數字證書是自己頒發的,移動運營商的證書服務器具有自簽名的頂級證書,無需借助第三方證書機構。
5結束語
彩信豐富人們的生活,手機銀行,手機炒股……各種網絡應用在移動網絡中產生,通信平安顯的很重要。通過數字簽名技術來解決手機彩信通信平安是一種切實可行的方案,非對稱的加密體制為方案的實現提供了可能性,在基于J2ME的開發平臺下實現,使得具有很強的可移植性,為手機彩信提供平安保障。