技術領域

本發明涉及互聯網的通信數據交互安全保護領域，具體涉及一種基于CPK的雙向認證及數據交互安全保護方法。

背景技術

隨著互聯網快速的發展，基于互聯網的各類用戶服務層出不窮，網絡已經深入到用戶生活的各個方面，用戶經常通過網絡使用與生活、工作及娛樂息息相關的各類服務。互聯網用戶所有數據交互如何使其更為可信安全就顯得尤為重要。數據加密是保證數據安全傳遞的唯一使用有效的方法。根據密鑰類型的不同可以分為兩類：對稱加密算法和非對稱加密算法。對稱加密算法使用相同的密鑰(對稱密鑰)進行數據的加密和解密，加解密數據速度快，主要缺點是由于是單一密鑰，長期使用時系統安全性較差，不便于在開放式網絡環境下使用。非對稱加密算法(公鑰加密)使用一對不同的密鑰(即非對稱密鑰，包括一個公鑰，可以公開；另一個是私鑰，由用戶本人秘密保管)，由于是雙鑰密碼，破譯非常困難，系統安全性很高，因此特別適合于在開放式網絡環境下使用，其主要缺點是算法復雜，加解密數據的速度和效率都比較低。

現有的很多用戶服務器都是采用單一的加密方式進行數據的交互，并且對用戶或用戶設備都只進行單向認證。現有的單向認證方式通過假設認證雙方中有一方是可信的，即用戶服務器側被認為是可信的，僅驗證用戶設備身份，并不驗證服務器身份。而在現今的互聯網上，病毒、釣魚網站、木馬、黑客等嚴重威脅著用戶數據交互的安全，用戶的數據資料等泄漏的事情時常發生。常用的這種單向安全認證和單一的加密方式的安全性受到了威脅，其系統的安全性較差。

發明內容

本發明為解決現有的技術問題，提出一種基于CPK的雙向認證及數據交互安全保護方法，利用CPK標識認證技術并整合非對稱加密算法和對稱加密算法的優點對互聯網的用戶服務器與用戶設備進行雙向認證及數據交互保護。

CPK技術作為一種新型的非對稱的密碼技術，是一種先進的標識認證體制，具有很好的安全性和易用性，可以方便地實現點對點的離線認證，無須CA認證中心，可實現點對點的靜態密鑰交換。CPK同時可以兼容在線驗證，用戶識別后，可以根據需要進行在線的后繼處理，系統部署簡潔方便，升級靈活。

為達到上述目的，本發明的實施例采用的如下技術方案：

一種基于CPK的雙向認證及數據交互安全保護方法，適用于互聯網的用戶服務器與用戶設備之間的雙向認證及所有數據的交互保護，其特征在于包括：

用戶服務器(S1)接收用戶設備(D1)發來的基于用戶標識的用戶登錄請求，產生隨機數a并用CPK標識認證技術生成隨機數a的CPK標識公私鑰對，將用用戶的CPK標識公鑰加密的隨機數a的CPK標識公私鑰對和用用戶的CPK標識公鑰加密的S1的簽名信息下傳到D1。用戶設備(D1)將收到的加密數據用用戶的CPK標識私鑰解密得到隨機數a的CPK標識公私鑰對和S1的簽名信息。用戶設備(D1)用S1的CPK標識公鑰驗證S1的CPK標識私鑰的簽名是否合法來完成對用戶服務器(S1)的認證。

若用戶服務器(S1)認證合法，用戶設備(D1)通過接受用戶輸入的S1的用戶登錄口令并將其轉換成用戶登錄口令的hash值，并用隨機數a的CPK標識公鑰對用戶登錄口令的hash值進行加密，將加密后的數據發給S1。用戶服務器(S1)用存在系統中的隨機數a的CPK標識私鑰對其解密得到用戶登錄口令的hash值并與存在S1系統的用戶登錄口令的hash值進行對比驗證來完成對用戶設備(D1)的認證。若驗證通過，S1再產生一個隨機數b，用作對稱加密的加密密鑰，用用戶的CPK標識公鑰將隨機數b加密后發送給D1；若驗證失敗，則將用用戶的CPK標識公鑰加密的登錄失敗數據發送給D1。

用戶設備(D1)用已存的用戶的CPK標識私鑰解密出驗證結果。若雙向認證通過，即可登錄成功；若雙向認證失敗，則登錄失敗。用戶登錄成功后，用戶設備(D1)與用戶服務器(S1)之間所有的數據都是用隨機數b來做會話密鑰，進行雙向全密態的服務數據交互。

所述的用戶服務器(S1)中保存有用于認證鑒權的多組數據，每一條所述的多組數據包括用戶標識、用戶私有標識、基于用戶私有標識產生的用戶的CPK標識公私鑰對中的CPK標識公鑰、用戶登錄口令、用戶登錄口令的hash值和關聯的電話終端號碼及附加認證鑒權數據。用戶私有標識包括但不限于：身份證號碼、電話號碼、姓名、終端設備的ID號等。