),用于双方定时的更换会话密钥以保证数据交互的安全性。
[0037]在双向认证的过程,若出现任何一方认证失败,都会退出认证。用户若要继续登录SI,需重新发起新的用户登录请求,需重复步骤101?步骤105,用户服务器(SI)再产生新的随机数a和新的随机数a的CPK标识公私钥对及双向认证通过后新的随机数b。
[0038]本发明用CPK算法产生的随机数的CPK标识公私钥对的数量能力,从全球互联网用户的数量级来看可以认为是无穷的(按CPK理论体系算法,用IG的种子公私钥长度,能产生出10的1000次方个CPK标识公私钥对,其足够海量)。
[0039]基于CPK标识认证体制的特点,整个双向认证过程交互的信息都是用CPK公钥加密数据,用CPK私钥来解密数据;CPK私钥来签名数据,CPK公钥验证签字数据。双向认证成功后所有数据信息的交互都是用有定时更换的随机数做会话密钥进行双向数据的全流程全密态数据的传递交互。
[0040]由于本发明技术的应用和实施十分广泛,只要是需要进行身份识别和数据交互的用户设备与用户服务器之间都能够采用此方法实现设备系统之间的双向安全认证及所有服务数据的安全交互。以上所述,仅为本发明的优选实施例,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
【主权项】
1.一种基于CPK的双向认证及数据交互安全保护方法,适用于互联网的用户服务器与用户设备之间的双向认证及所有数据的交互保护,其特征在于包括: 用户服务器(SI)接收用户设备(Dl)发来的基于用户标识的用户登录请求,产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对,将用用户的CPK标识公钥加密的随机数a的CPK标识公私钥对和用用户的CPK标识公钥加密的SI的签名信息下传到Dl ;用户设备(Dl)将收到的加密数据用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对和SI的签名信息,Dl用SI的CPK标识公钥验证SI的CPK标识私钥的签名是否合法来完成对用户服务器(SI)的认证; 若用户服务器(SI)认证合法,用户设备(Dl)通过接受用户输入的SI的用户登录口令并将其转换成用户登录口令的hash值,并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密,将加密后的数据发给SI ;用户服务器(SI)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在SI系统的用户登录口令的hash值进行对比验证来完成对用户设备(Dl)的认证; 若验证通过,SI再产生一个随机数b,用作对称加密的加密密钥,用用户的CPK标识公钥将随机数b加密后发送给Dl ;若验证失败,则将用用户的CPK标识公钥加密的登录失败数据发送给Dl ; 用户设备(Dl)用已存的用户的CPK标识私钥解密出验证结果,若双向认证通过,即可登录成功;若双向认证失败,则登录失败;用户登录成功后,用户设备(Dl)与用户服务器(SI)之间所有的数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。2.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法,其特征在于:上述中的CPK,就是组合公钥体制(Combined Public Key Cryptosystem,简称CPK),是在椭圆曲线密码(ECC算法)上,由组合矩阵和分割密钥序列构成,是一种先进的标识认证体制。3.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法,其特征在于:在所述用户服务器(Si)中保存有用于认证鉴权的多组数据,每一条所述的多组数据包括用户标识、用户私有标识、基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加认证鉴权数据;用户私有标识包括但不限于:身份证号码、电话号码、姓名、终端设备的ID号等。4.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法,其特征在于:在所述用户设备中存有基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识私钥;用户的CPK标识私钥用于对用户的CPK标识公钥加密的数据进行解密;用户设备包括但不限于:电脑、智能手机、PDA、智能网关等。5.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法,其特征在于:所述的用户标识对于用户服务器(Si)具有唯一性,用户服务器(SI)接收到用户设备(Dl)发来的基于用户标识的用户登录请求后,SI验证该用户标识是否为系统的有效用户标识,若为有效的用户标识的登录请求,则继续双向认证;若为无效的用户标识的登录请求,则退出双向认证;用户标识包括但不限于:用户名、身份证号码、电话号码、姓名等。6.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法,其特征在于:所述的用户设备(DI)用SI的私有标识计算出SI的CPK标识公钥,用SI的CPK标识公钥验证SI的CPK标识私钥的签名是否合法,若服务器认证通过,则继续双向认证;若服务器认证失败,则退出双向认证;S1的私有标识包括但不限于:设备的ID号、服务器标识等。7.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法,其特征在于:所述的随机数a和随机数a的CPK标识公私钥对具有随机性和时效性,即用户服务器(SI)在每一次新的用户登录请求时,产生的随机数a和随机数a的CPK标识公私钥对都是仅供这次登录使用;用户在用户设备上接收到用户登录口令请求,需在约定的时间内输入用户登录口令,若用户在约定的时间内输入用户登录口令并验证成功,则双向认证通过;若超过约定的时间或用户登录口令验证失败,则基于此次登录请求产生的随机数a和随机数a的CPK标识公私钥对将被丢弃,作废处理,双向认证失败;用户若要继续登录SI,需重新发起新的用户登录请求;用户服务器(SI)再产生新的随机数a和随机数a的CPK标识公私钥对。8.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法,其特征在于:所述用户服务器(SI)产生随机数b具有定时更换性,即用户设备(Dl)与用户服务器(SI)自行约定更换会话密钥的时间;当Dl与SI双向认证成功后,SI会根据双方约定的时间预先产生新的随机数b并用用户的CPK标识公钥对其加密后安全下传给用户设备(Dl)。9.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法,其特征在于:所述的用户设备(Dl)与用户服务器(SI)之间传递的是用户登录口令产生的用户登录口令的hash值或相应的散列函数计算值。10.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法,其特征在于:所述的用户设备(Dl)与用户服务器(SI)是基于互联网或移动运营商网络连接并交互数据。
【专利摘要】本发明提供一种基于CPK的双向认证及数据交互安全保护方法。该方法用于用户服务器(S1)与用户设备(D1)之间的双向认证及所有数据的交互保护。S1接收D1发来的用户登录请求,产生随机数a、随机数a的CPK标识公私钥对和S1的标识私钥签名信息并将其加密后下传D1。D1用S1的标识公钥验证其签名信息是否合法来完成对S1的认证。S1用收到D1的用户登录口令的hash值与已存该值进行对比验证来完成对D1的认证。若双向认证通过,S1再产生一个随机数b将其加密后发送给D1;否则返回双向认证失败信息。用户双向认证成功后,D1与S1之间所有的数据都是用随机数b来做会话密钥,进行双向全密态的数据交互。
【IPC分类】H04L9/32, H04L29/06
【公开号】CN104901935
【申请号】CN201410498404
【发明人】陈谦, 孟俊, 邱银娟
【申请人】易兴旺, 陈谦, 胡浩, 孟俊
【公开日】2015年9月9日
【申请日】2014年9月26日