技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)的通信數(shù)據(jù)交互安全保護領(lǐng)域，具體涉及一種基于CPK的雙向認(rèn)證及數(shù)據(jù)交互安全保護方法。

背景技術(shù)

隨著互聯(lián)網(wǎng)快速的發(fā)展，基于互聯(lián)網(wǎng)的各類用戶服務(wù)層出不窮，網(wǎng)絡(luò)已經(jīng)深入到用戶生活的各個方面，用戶經(jīng)常通過網(wǎng)絡(luò)使用與生活、工作及娛樂息息相關(guān)的各類服務(wù)。互聯(lián)網(wǎng)用戶所有數(shù)據(jù)交互如何使其更為可信安全就顯得尤為重要。數(shù)據(jù)加密是保證數(shù)據(jù)安全傳遞的唯一使用有效的方法。根據(jù)密鑰類型的不同可以分為兩類：對稱加密算法和非對稱加密算法。對稱加密算法使用相同的密鑰(對稱密鑰)進行數(shù)據(jù)的加密和解密，加解密數(shù)據(jù)速度快，主要缺點是由于是單一密鑰，長期使用時系統(tǒng)安全性較差，不便于在開放式網(wǎng)絡(luò)環(huán)境下使用。非對稱加密算法(公鑰加密)使用一對不同的密鑰(即非對稱密鑰，包括一個公鑰，可以公開；另一個是私鑰，由用戶本人秘密保管)，由于是雙鑰密碼，破譯非常困難，系統(tǒng)安全性很高，因此特別適合于在開放式網(wǎng)絡(luò)環(huán)境下使用，其主要缺點是算法復(fù)雜，加解密數(shù)據(jù)的速度和效率都比較低。

現(xiàn)有的很多用戶服務(wù)器都是采用單一的加密方式進行數(shù)據(jù)的交互，并且對用戶或用戶設(shè)備都只進行單向認(rèn)證。現(xiàn)有的單向認(rèn)證方式通過假設(shè)認(rèn)證雙方中有一方是可信的，即用戶服務(wù)器側(cè)被認(rèn)為是可信的，僅驗證用戶設(shè)備身份，并不驗證服務(wù)器身份。而在現(xiàn)今的互聯(lián)網(wǎng)上，病毒、釣魚網(wǎng)站、木馬、黑客等嚴(yán)重威脅著用戶數(shù)據(jù)交互的安全，用戶的數(shù)據(jù)資料等泄漏的事情時常發(fā)生。常用的這種單向安全認(rèn)證和單一的加密方式的安全性受到了威脅，其系統(tǒng)的安全性較差。

發(fā)明內(nèi)容

本發(fā)明為解決現(xiàn)有的技術(shù)問題，提出一種基于CPK的雙向認(rèn)證及數(shù)據(jù)交互安全保護方法，利用CPK標(biāo)識認(rèn)證技術(shù)并整合非對稱加密算法和對稱加密算法的優(yōu)點對互聯(lián)網(wǎng)的用戶服務(wù)器與用戶設(shè)備進行雙向認(rèn)證及數(shù)據(jù)交互保護。

CPK技術(shù)作為一種新型的非對稱的密碼技術(shù)，是一種先進的標(biāo)識認(rèn)證體制，具有很好的安全性和易用性，可以方便地實現(xiàn)點對點的離線認(rèn)證，無須CA認(rèn)證中心，可實現(xiàn)點對點的靜態(tài)密鑰交換。CPK同時可以兼容在線驗證，用戶識別后，可以根據(jù)需要進行在線的后繼處理，系統(tǒng)部署簡潔方便，升級靈活。

為達到上述目的，本發(fā)明的實施例采用的如下技術(shù)方案：

一種基于CPK的雙向認(rèn)證及數(shù)據(jù)交互安全保護方法，適用于互聯(lián)網(wǎng)的用戶服務(wù)器與用戶設(shè)備之間的雙向認(rèn)證及所有數(shù)據(jù)的交互保護，其特征在于包括：

用戶服務(wù)器(S1)接收用戶設(shè)備(D1)發(fā)來的基于用戶標(biāo)識的用戶登錄請求，產(chǎn)生隨機數(shù)a并用CPK標(biāo)識認(rèn)證技術(shù)生成隨機數(shù)a的CPK標(biāo)識公私鑰對，將用用戶的CPK標(biāo)識公鑰加密的隨機數(shù)a的CPK標(biāo)識公私鑰對和用用戶的CPK標(biāo)識公鑰加密的S1的簽名信息下傳到D1。用戶設(shè)備(D1)將收到的加密數(shù)據(jù)用用戶的CPK標(biāo)識私鑰解密得到隨機數(shù)a的CPK標(biāo)識公私鑰對和S1的簽名信息。用戶設(shè)備(D1)用S1的CPK標(biāo)識公鑰驗證S1的CPK標(biāo)識私鑰的簽名是否合法來完成對用戶服務(wù)器(S1)的認(rèn)證。

若用戶服務(wù)器(S1)認(rèn)證合法，用戶設(shè)備(D1)通過接受用戶輸入的S1的用戶登錄口令并將其轉(zhuǎn)換成用戶登錄口令的hash值，并用隨機數(shù)a的CPK標(biāo)識公鑰對用戶登錄口令的hash值進行加密，將加密后的數(shù)據(jù)發(fā)給S1。用戶服務(wù)器(S1)用存在系統(tǒng)中的隨機數(shù)a的CPK標(biāo)識私鑰對其解密得到用戶登錄口令的hash值并與存在S1系統(tǒng)的用戶登錄口令的hash值進行對比驗證來完成對用戶設(shè)備(D1)的認(rèn)證。若驗證通過，S1再產(chǎn)生一個隨機數(shù)b，用作對稱加密的加密密鑰，用用戶的CPK標(biāo)識公鑰將隨機數(shù)b加密后發(fā)送給D1；若驗證失敗，則將用用戶的CPK標(biāo)識公鑰加密的登錄失敗數(shù)據(jù)發(fā)送給D1。

用戶設(shè)備(D1)用已存的用戶的CPK標(biāo)識私鑰解密出驗證結(jié)果。若雙向認(rèn)證通過，即可登錄成功；若雙向認(rèn)證失敗，則登錄失敗。用戶登錄成功后，用戶設(shè)備(D1)與用戶服務(wù)器(S1)之間所有的數(shù)據(jù)都是用隨機數(shù)b來做會話密鑰，進行雙向全密態(tài)的服務(wù)數(shù)據(jù)交互。

所述的用戶服務(wù)器(S1)中保存有用于認(rèn)證鑒權(quán)的多組數(shù)據(jù)，每一條所述的多組數(shù)據(jù)包括用戶標(biāo)識、用戶私有標(biāo)識、基于用戶私有標(biāo)識產(chǎn)生的用戶的CPK標(biāo)識公私鑰對中的CPK標(biāo)識公鑰、用戶登錄口令、用戶登錄口令的hash值和關(guān)聯(lián)的電話終端號碼及附加認(rèn)證鑒權(quán)數(shù)據(jù)。用戶私有標(biāo)識包括但不限于：身份證號碼、電話號碼、姓名、終端設(shè)備的ID號等。