户智能终端与用户服务系统(SI)是基于互联网或移动运营商网络连接并交互数据。
【附图说明】
[0020]图1为本发明的用户服务系统和用户智能终端所有数据交互安全保护的流程图
【具体实施方式】
[0021]为使本发明的目的、技术方案和优点更加清楚明白,下面将结合实施例和附图,对本发明进一步详细说明。
[0022]本发明提供一种互联网的用户服务系统(SI)的用户安全登录及所有服务数据交互安全保护的方法,利用现有的CPK标识认证技术基于用户智能终端来实现所有数据的全过程全密态的信息交互。
[0023]用户服务系统(SI)为在互联网上提供用户服务系统。当用户需要使用该用户服务系统(Si)时,用户需要在SI上注册,提交SI所需求的用户标识和认证的用户私有信息。用户私有信息包括用户帐号标识、用户登录口令、身份证号、电话终端号码、邮箱以及其他的识别认证用户私有信息,具体看SI的类型而会有所不同。用户服务系统(SI)根据用户私有信息提取出用户私有标识,并将用户私有标识用CPK标识认证技术生成用户的CPK标识公私钥对。用户私有标识包括但不限于:身份证号码、电话号码、姓名、终端设备的ID号等。用户服务系统(Si)中保存有用于认证鉴权的多组数据,每一条所述的多组数据包括用户私有标识、用户的CPK标识公钥、随机数a的CPK标识公私钥对(临时产生,每次随机)、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加鉴权信息。用户智能终端里面保存了用户的CPK标识私钥、随机数a的CPK标识公私钥对(由SI临时产生安全下传给用户智能终端,每次随机)。用户的CPK标识私钥是用用户智能终端的开机口令或者开屏口令来进行加密保护的。
[0024]当用户需要使用用户服务系统(SI)提供的服务并同意用SI提供的基于CPK标识认证技术的数据交互安全保护的的方式,用户第一次登录SI时,应按照SI的要求在其常使用的智能终端(如能代表用户私人身份的智能手机)上面安装相应的服务应用系统。用户智能终端上的该服务应用系统用于将用户输入的Si的用户登录口令转换成用户登录口令的hash值并用接收到的随机数a的公钥加密后通过互联网(专线、VPN方式以及其他方式)或移动运营商的网络上传给Si;同时也接收来自用户的服务数据并对其进行加密发送给SI和来自SI的加密信息并对其进行解密展现给用户;其提供的功能还包括用户登录初始口令的修改等。
[0025]用户服务系统(SI)在每一次用户服务登录请求时,产生一个随机数a(仅供这次使用),再用CPK标识认证技术产生出这个随机数a的CPK的标识公私钥对(随机数a的CPK的标识公私钥对和随机数一样,仅供这次使用并且其使用具有时效性),用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。
[0026]用户智能终端将收到的加密信息用已存的用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对,接收用户输入的用户服务系统(SI)的用户登录口令并将其转换成用户登录口令的hash值,并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密,将加密后的信息发送给SI。用户服务系统(SI)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在SI系统的用户登录口令的hash值进行对比验证。若验证通过,SI再产生一个随机数b,用作用户登录成功后所有业务数据交互对称加密的密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败信息发送给用户智能终端。对称加密的算法包括但不限于:3DES算法、AES算法等。
[0027]用户智能终端用已存的随机数a的CPK标识私钥将收到SI的加密数据进行解密得出验证结果。若验证通过,即可登录用户服务系统,并使用相应的业务服务。若验证失败,则登录失败。用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
[0028]在用户服务系统(SI)中有一个对应随机数的私有协议,用于对产生的随机数的CPK标识公私钥对和随机数加以高速配对,并将随机数的CPK标识公私钥对和随机数与用户标识临时绑定,直至用户业务服务结束。当Si收到很多基于随机数的CPK标识公钥和随机数的加密的信息,可快速找到其对应的随机数的CPK标识私钥和随机数进行解密。
[0029]用户服务系统(SI)用CPK算法产生的随机数a的CPK标识公私钥对和随机数b都具有时效性。即用户在智能终端上接收到用户登录请求,需在约定的时间内输入用户登录口令;若用户在约定的时间内输入用户登录口令并验证成功,则后续用户服务系统与用户智能终端之间所有的数据交互都是基于随机数b来做会话密钥进行双向数据的加密保护;若超过约定的时间或用户登录口令验证失败,基于此次登录请求产生的随机数a和随机数a的CPK标识公私钥将被丢弃,作废处理。用户若要继续登录SI,需重新发起新的用户服务登录请求;用户服务系统(SI)再产生新的随机数a以及用户登录口令验证通过后新的随机数b,从而实现了一次一密。
[0030]参照图1,本发明基于CPK标识认证技术的数据交互安全保护方法包括以下步骤:
[0031]步骤101:用户在网络终端(电脑、PDA以及智能终端等)上打开用户服务系统
(SI)提供的公共业务登录通道,输入用户标识信息请求登录至SI。
[0032]步骤102:用户服务系统(SI)收到用户登录请求后,产生一个随机数a,并利用CPK标识认证技术产生出这个随机数a的CPK标识公私钥对(仅供这次用户登录验证用)。SI将随机数a的CPK标识公私钥对存在SI中,将随机数a的CPK标识公私钥对用用户的CPK标识公钥加密后通过互联网(专线、VPN方式以及其他方式)或移动运营商的网络安全下传给用户智能终端。
[0033]步骤103:用户智能终端将收到信息用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对并保存起来,接收用户在其智能终端上输入的SI所需要的用户登录口令。用户智能终端将用户登录口令转换成用户登录口令的hash值,并用接收到的随机数a的CPK标识公钥将用户登录口令的hash值加密后通过互联网(专线、VPN方式以及其他方式)或移动运营商的网络安全发送给用户服务系统(SI)。
[0034]步骤104:用户服务系统(SI)用已存的随机数a的CPK标识私钥解密得到用户登录口令的hash值,将解密得到用户登录口令的hash值和存在系统中的用户登录口令hash值进行对比验证。若验证通过,SI再产生一个随机数b用作登录成功后所有数据交互的会话密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败信息发送给用户智能终端。
[0035]步骤105:用户智能终端用随机数a的CPK标识私钥解密得到验证结果。若用户登录成功后,用户智能终端与用户服务系统(Si)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
[0036]若用户登录失败后,用户若要继续登录SI,需重新发起新的用户服务登录请求,需重复步骤101?步骤105,用户服务系统(SI)再产生新的随机数a及用户登录口令验证通过后新的随机数b