本申請提供了一種安全登錄系統及方法、登錄服務器和認證服務器，所述安全登錄系統包括登錄服務器和認證服務器；所述登錄服務器，用于接收用戶發送的登錄請求，并在認證通過后反饋用戶登錄響應信息，登錄響應信息包括認證服務器的地址；所述認證服務器，用于接收用戶發送的密鑰請求，并在為用戶生成會話密鑰之后利用登錄服務器的公鑰對會話密鑰加密，發送密鑰響應信息給用戶；登錄服務器還用于接收用戶發送的包括會話密鑰的解密請求，并在認證通過后利用登錄服務器私鑰對會話密鑰進行解密反饋給用戶。由于本申請對現有的用戶安全登錄訪問架構進行了改進，將登錄服務和認證服務分離，提高了用戶登錄訪問的認證效率和安全性。

技術領域

本申請涉及網絡安全技術領域，尤其涉及一種安全登錄系統及方法、登錄服務器和認證服務器。

背景技術

當前，安全登錄是大部分用戶訪問互聯網、使用互聯網服務的關鍵步驟。如果用戶登錄的安全性不能保證，那么良好的服務體驗則無從談起，還有可能造成用戶個人數據、甚至財產等的損失。

用戶的登錄方式已從最初簡單的用戶名/密碼登錄，發展至如今的密鑰加密登錄、可變密鑰加密登錄、證書認證登錄等多種方式。現有的安全登錄方式大多為用戶發送用戶信息給服務器，由服務器進行認證，當所述服務器認證通過后允許用戶登錄，這種登錄認證方式存在較大的安全風險。

現有技術不足在于：

現有的登錄認證方式存在較大的安全風險。

發明內容

本申請實施例提出了一種安全登錄系統及方法、登錄服務器和認證服務器，以解決現有技術中登錄認證方式存在較大的安全風險的技術問題。

本申請實施例提供了一種安全登錄系統，其特征在于，包括登錄服務器和認證服務器，其中：

所述登錄服務器，用于接收客戶端利用所述登錄服務器的公鑰Bp加密后發送的登錄請求，利用自身的私鑰Bs對所述登錄請求解密，并根據所述登錄請求向所述客戶端發送利用所述用戶的公鑰Ap加密后的登錄響應信息，所述登錄響應信息中包括所述認證服務器的地址；

所述認證服務器，用于接收所述客戶端根據所述認證服務器地址并利用所述認證服務器的公鑰Cp加密后發送的密鑰請求，利用自身的私鑰Cs對所述密鑰請求解密，為所述用戶生成會話密鑰secret_key，并利用所述登錄服務器的公鑰對所述會話密鑰加密后得到會話密鑰信息發送給客戶端；

所述登錄服務器還用于接收所述客戶端發送的解密請求，所述解密請求中包括所述利用所述登錄服務器的公鑰Bp加密后的會話密鑰信息，利用所述登錄服務器私鑰Bs對所述會話密鑰信息進行解密再利用所述用戶的公鑰Ap加密后發送給所述客戶端。

本申請實施例提供了一種安全登錄方法，其特征在于，包括如下步驟：

登錄服務器接收客戶端利用所述登錄服務器的公鑰Bp加密后發送的登錄請求，利用自身的私鑰Bs對所述登錄請求解密，并根據所述登錄請求向所述客戶端發送利用所述用戶的公鑰Ap加密后的登錄響應信息，所述登錄響應信息中包括認證服務器的地址；

認證服務器接收所述客戶端根據所述認證服務器地址并利用所述認證服務器的公鑰Cp加密后發送的密鑰請求，利用自身的私鑰Cs對所述密鑰請求解密，為所述用戶生成會話密鑰secret_key，并利用所述登錄服務器的公鑰Bp對所述會話密鑰secret_key加密后得到會話密鑰信息發送給客戶端；

所述登錄服務器接收所述客戶端發送的解密請求，所述解密請求中包括所述利用所述登錄服務器的公鑰Bp加密后的會話密鑰信息，利用所述登錄服務器私鑰Bs對所述會話密鑰信息進行解密再利用所述用戶的公鑰Ap加密后發送給所述客戶端。

本申請實施例提供了一種登錄服務器，包括：

第一接收模塊，用于接收客戶端利用所述登錄服務器的公鑰Bp加密后發送的登錄請求；