一种基于cpk标识认证技术的数据交互安全保护方法
【技术领域】
[0001]本发明涉及通信数据交互安全保护领域,具体涉及一种基于CPK标识认证技术的数据交互安全保护方法。
【背景技术】
[0002]随着互联网快速的发展,基于互联网的各类用户服务系统层出不穷,网络已经深入到用户生活的各个方面,用户经常通过网络使用与生活、工作及娱乐息息相关的各类服务。而在现今的互联网上,病毒、钓鱼网站、木马、黑客等严重威胁着用户服务数据信息交互的安全,用户的数据资料等泄漏的事情时常发生。
[0003]互联网用户服务系统及用户所有服务数据如何保护使其更为可信安全就显得尤为重要。数据加密是保证数据安全传递的唯一使用有效的方法。而如今用户服务系统的服务数据交互保护常用的方式根据密钥类型的不同可以分为两类:对称加密算法和非对称加密算法。对称加密算法使用相同的密钥(对称密钥)进行数据的加密和解密,加解密数据速度快,主要缺点是由于是单一密钥,长期使用时系统安全性较差,不便于在开放式网络环境下使用。非对称加密算法(公钥加密)使用一对不同的密钥(即非对称密钥,包括一个公钥,可以公开;另一个是私钥,由用户本人秘密保管),由于是双钥密码,破译非常困难,系统安全性很高,因此特别适合于在开放式网络环境下使用,其主要缺点是算法复杂,加解密数据的速度和效率都比较低。
[0004]PKI认证体系也是目前应用的非对称加密认证体系,但其需要第三方的CA认证中心的支持,验证时需要从CA中心获取厂家公钥,商家需要建立在线的CA中心,成本高,投资大,管理复杂,且不能实现点到点的离线认证,无法实现点对点的静态密钥交换。
[0005]因此,需要一种新的数据交互安全保护方法,能将互联网特别是移动互联网的用户服务系统的用户登录及用户业务服务数据交互整合非对称加密算法和对称加密算法的优点,又能实现不需要CA认证中心,点对点一次一密的数据交互认证方式,则可大大提高用户服务系统数据交互的安全性,同时不管是商家还是用户投入成本低,管理方便,最终极大地提高了用户的综合安全程度和用户满意度。
【发明内容】
[0006]本发明为解决现有的技术问题,提出一种基于CPK标识认证技术的数据交互安全保护方法,无需CA认证中心,能极大的减少用户投入成本,实现点对点的全过程全密态数据信息交互及认证。
[0007]CPK技术作为一种新型的非对称的密码技术,是一种先进的标识认证体制,具有很好的安全性和易用性,可以方便地实现点对点的离线认证,无须CA认证中心,可实现点对点的静态密钥交换。CPK同时可以兼容在线验证,用户识别后,可以根据需要进行在线的后继处理,系统部署简洁方便,升级灵活。若能灵活的使用CPK标识认证技术,将随机数用CPK标识认证技术生成随机数的CPK标识公私钥对来加解密用户登录身份验证信息和身份验证通过后的新的随机数(会话密钥),并用新的随机数来做基于此次登录请求登录成功后的所有数据交互的加解密的会话密钥,则完全可实现点对点一次一密的认证及全流程全密态高效廉价的数据交互安全保护。
[0008]为达到上述目的,本发明的实施例采用的如下技术方案:
[0009]一种基于CPK标识认证技术的数据交互安全保护方法,适用于互联网的用户服务系统的用户安全登录及所有服务数据交互保护,其特征在于包括:
[0010]用户服务系统(SI)用于对用户提供业务服务,接收用户智能终端发出的用户登录请求,产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对,用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。
[0011]用户智能终端将收到的加密数据用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对,接受用户输入的用户服务系统(SI)的用户登录口令并将其转换成用户登录口令的hash值,并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密,将加密后的数据发给用户服务系统(SI)。
[0012]用户服务系统(SI)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在SI系统的用户登录口令的hash值进行对比验证。若验证通过,SI再产生一个随机数b,用作对称加密的加密密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败数据发送给用户智能终端。
[0013]用户智能终端用已存的随机数a的CPK标识私钥解密出验证结果。若验证通过,即可登录用户服务系统,并使用相应的业务服务。若验证失败,则登录失败。用户登录成功后,用户智能终端与用户服务系统(Si)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
[0014]所述用户服务系统(SI)中保存有用于认证鉴权的多组数据,每一条所述的多组数据包括用户私有标识、基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加认证鉴权数据。用户私有标识包括但不限于:身份证号码、电话号码、姓名、终端设备的ID号等。
[0015]所述用户智能终端中存有基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识私钥。用户的CPK标识私钥用于对用户的CPK标识公钥加密的数据进行解密。用户智能终端包括但不限于:电脑、智能手机、PDA等。
[0016]所述用户服务系统(SI)在每一次用户服务登录请求时,产生一个随机数a(仅这次使用),再用CPK标识认证技术产生出这个随机数a的CPK标识公私钥对并存在SI中,SI将随机数a的CPK标识公私钥对加密后下传到用户智能终端。用户智能终端与SI之间的用户登录身份验证数据及会话密钥(用户登录口令验证通过后由SI产生)都是用CPK标识公私钥对来加解密并实现密态的数据交互和密钥交换。
[0017]所述用户服务系统(SI)对用户登录口令的hash值验证通过后,再产生一个随机数b并将其用随机数a的CPK标识公钥加密后下传到用户智能终端。用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。若SI对用户登录口令的hash值验证失败后,则直接将加密的登录失败数据下传给用户智能终端。
[0018]所述用户服务系统(SI)用CPK算法产生的随机数a的CPK标识公私钥对和随机数b都具有时效性。即用户在智能终端上接收到用户登录请求,需在约定的时间内输入用户登录口令;若用户在约定的时间内输入用户登录口令并验证成功,则后续用户服务系统与用户智能终端之间所有的数据交互都是基于随机数b来做会话密钥进行双向数据的加密保护;若超过约定的时间或用户登录口令验证失败,基于此次登录请求产生的随机数a和随机数a的CPK标识公私钥对将被丢弃,作废处理。用户若要继续登录SI,需重新发起新的用户服务登录请求;用户服务系统(SI)再产生新的随机数a及用户登录口令验证通过后新的随机数b,从而实现了一次一密。
[0019]在用户智能终端与用户服务系统(SI)之间传递的是用户登录口令产生的用户登录口令的hash值或相应的散列函数计算值;在用户智能终端与用户服务系统(SI)之间,所有的数据交互都是采用密文传递,是端到端过程的全密态数据交互;用