[发明专利]一种基于CPK的双向认证及数据交互安全保护方法

权利要求书

1.一种基于CPK的双向认证及数据交互安全保护方法，适用于互联网的用户服务器与用户设备之间的双向认证及所有数据的交互保护，其特征在于包括：

用户服务器(S1)接收用户设备(D1)发来的基于用户标识的用户登录请求，产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对，将用用户的CPK标识公钥加密的随机数a的CPK标识公私钥对和用用户的CPK标识公钥加密的S1的签名信息下传到D1；用户设备(D1)将收到的加密数据用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对和S1的签名信息，D1用S1的CPK标识公钥验证S1的CPK标识私钥的签名是否合法来完成对用户服务器(S1)的认证；

若用户服务器(S1)认证合法，用户设备(D1)通过接受用户输入的S1的用户登录口令并将其转换成用户登录口令的hash值，并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密，将加密后的数据发给S1；用户服务器(S1)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在S1系统的用户登录口令的hash值进行对比验证来完成对用户设备(D1)的认证；

若验证通过，S1再产生一个随机数b，用作对称加密的加密密钥，用用户的CPK标识公钥将随机数b加密后发送给D1；若验证失败，则将用用户的CPK标识公钥加密的登录失败数据发送给D1；

用户设备(D1)用已存的用户的CPK标识私钥解密出验证结果，若双向认证通过，即可登录成功；若双向认证失败，则登录失败；用户登录成功后，用户设备(D1)与用户服务器(S1)之间所有的数据都是用随机数b来做会话密钥，进行双向全密态的服务数据交互。

2.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法，其特征在于：上述中的CPK，就是组合公钥体制(Combined Public Key Cryptosystem，简称CPK)，是在椭圆曲线密码(ECC算法)上，由组合矩阵和分割密钥序列构成，是一种先进的标识认证体制。

3.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法，其特征在于：在所述用户服务器(S1)中保存有用于认证鉴权的多组数据，每一条所述的多组数据包括用户标识、用户私有标识、基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加认证鉴权数据；用户私有标识包括但不限于：身份证号码、电话号码、姓名、终端设备的ID号等。

4.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法，其特征在于：在所述用户设备中存有基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识私钥；用户的CPK标识私钥用于对用户的CPK标识公钥加密的数据进行解密；用户设备包括但不限于：电脑、智能手机、PDA、智能网关等。

5.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法，其特征在于：所述的用户标识对于用户服务器(S1)具有唯一性，用户服务器(S1)接收到用户设备(D1)发来的基于用户标识的用户登录请求后，S1验证该用户标识是否为系统的有效用户标识，若为有效的用户标识的登录请求，则继续双向认证；若为无效的用户标识的登录请求，则退出双向认证；用户标识包括但不限于：用户名、身份证号码、电话号码、姓名等。

6.如权利要求1所述的一种基于CPK的双向认证及数据交互安全保护方法，其特征在于：所述的用户设备(D1)用S1的私有标识计算出S1的CPK标识公钥，用S1的CPK标识公钥验证S1的CPK标识私钥的签名是否合法，若服务器认证通过，则继续双向认证；若服务器认证失败，则退出双向认证；S1的私有标识包括但不限于：设备的ID号、服务器标识等。