[发明专利]一种基于CPK的双向认证及数据交互安全保护方法

说明书

技术领域

本发明涉及互联网的通信数据交互安全保护领域，具体涉及一种基于CPK的双向认证及数据交互安全保护方法。

背景技术

随着互联网快速的发展，基于互联网的各类用户服务层出不穷，网络已经深入到用户生活的各个方面，用户经常通过网络使用与生活、工作及娱乐息息相关的各类服务。互联网用户所有数据交互如何使其更为可信安全就显得尤为重要。数据加密是保证数据安全传递的唯一使用有效的方法。根据密钥类型的不同可以分为两类：对称加密算法和非对称加密算法。对称加密算法使用相同的密钥(对称密钥)进行数据的加密和解密，加解密数据速度快，主要缺点是由于是单一密钥，长期使用时系统安全性较差，不便于在开放式网络环境下使用。非对称加密算法(公钥加密)使用一对不同的密钥(即非对称密钥，包括一个公钥，可以公开；另一个是私钥，由用户本人秘密保管)，由于是双钥密码，破译非常困难，系统安全性很高，因此特别适合于在开放式网络环境下使用，其主要缺点是算法复杂，加解密数据的速度和效率都比较低。

现有的很多用户服务器都是采用单一的加密方式进行数据的交互，并且对用户或用户设备都只进行单向认证。现有的单向认证方式通过假设认证双方中有一方是可信的，即用户服务器侧被认为是可信的，仅验证用户设备身份，并不验证服务器身份。而在现今的互联网上，病毒、钓鱼网站、木马、黑客等严重威胁着用户数据交互的安全，用户的数据资料等泄漏的事情时常发生。常用的这种单向安全认证和单一的加密方式的安全性受到了威胁，其系统的安全性较差。

发明内容

本发明为解决现有的技术问题，提出一种基于CPK的双向认证及数据交互安全保护方法，利用CPK标识认证技术并整合非对称加密算法和对称加密算法的优点对互联网的用户服务器与用户设备进行双向认证及数据交互保护。

CPK技术作为一种新型的非对称的密码技术，是一种先进的标识认证体制，具有很好的安全性和易用性，可以方便地实现点对点的离线认证，无须CA认证中心，可实现点对点的静态密钥交换。CPK同时可以兼容在线验证，用户识别后，可以根据需要进行在线的后继处理，系统部署简洁方便，升级灵活。

为达到上述目的，本发明的实施例采用的如下技术方案：

一种基于CPK的双向认证及数据交互安全保护方法，适用于互联网的用户服务器与用户设备之间的双向认证及所有数据的交互保护，其特征在于包括：

用户服务器(S1)接收用户设备(D1)发来的基于用户标识的用户登录请求，产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对，将用用户的CPK标识公钥加密的随机数a的CPK标识公私钥对和用用户的CPK标识公钥加密的S1的签名信息下传到D1。用户设备(D1)将收到的加密数据用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对和S1的签名信息。用户设备(D1)用S1的CPK标识公钥验证S1的CPK标识私钥的签名是否合法来完成对用户服务器(S1)的认证。

若用户服务器(S1)认证合法，用户设备(D1)通过接受用户输入的S1的用户登录口令并将其转换成用户登录口令的hash值，并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密，将加密后的数据发给S1。用户服务器(S1)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在S1系统的用户登录口令的hash值进行对比验证来完成对用户设备(D1)的认证。若验证通过，S1再产生一个随机数b，用作对称加密的加密密钥，用用户的CPK标识公钥将随机数b加密后发送给D1；若验证失败，则将用用户的CPK标识公钥加密的登录失败数据发送给D1。

用户设备(D1)用已存的用户的CPK标识私钥解密出验证结果。若双向认证通过，即可登录成功；若双向认证失败，则登录失败。用户登录成功后，用户设备(D1)与用户服务器(S1)之间所有的数据都是用随机数b来做会话密钥，进行双向全密态的服务数据交互。

所述的用户服务器(S1)中保存有用于认证鉴权的多组数据，每一条所述的多组数据包括用户标识、用户私有标识、基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加认证鉴权数据。用户私有标识包括但不限于：身份证号码、电话号码、姓名、终端设备的ID号等。