一种基于cpk标识认证技术的数据交互安全保护方法
一种基于cpk标识认证技术的数据交互安全保护方法
【技术领域】
[0001]本发明涉及通信数据交互安全保护领域,具体涉及一种基于CPK标识认证技术的数据交互安全保护方法。
【背景技术】
[0002]随着互联网快速的发展,基于互联网的各类用户服务系统层出不穷,网络已经深入到用户生活的各个方面,用户经常通过网络使用与生活、工作及娱乐息息相关的各类服务。而在现今的互联网上,病毒、钓鱼网站、木马、黑客等严重威胁着用户服务数据信息交互的安全,用户的数据资料等泄漏的事情时常发生。
[0003]互联网用户服务系统及用户所有服务数据如何保护使其更为可信安全就显得尤为重要。数据加密是保证数据安全传递的唯一使用有效的方法。而如今用户服务系统的服务数据交互保护常用的方式根据密钥类型的不同可以分为两类:对称加密算法和非对称加密算法。对称加密算法使用相同的密钥(对称密钥)进行数据的加密和解密,加解密数据速度快,主要缺点是由于是单一密钥,长期使用时系统安全性较差,不便于在开放式网络环境下使用。非对称加密算法(公钥加密)使用一对不同的密钥(即非对称密钥,包括一个公钥,可以公开;另一个是私钥,由用户本人秘密保管),由于是双钥密码,破译非常困难,系统安全性很高,因此特别适合于在开放式网络环境下使用,其主要缺点是算法复杂,加解密数据的速度和效率都比较低。
[0004]PKI认证体系也是目前应用的非对称加密认证体系,但其需要第三方的CA认证中心的支持,验证时需要从CA中心获取厂家公钥,商家需要建立在线的CA中心,成本高,投资大,管理复杂,且不能实现点到点的离线认证,无法实现点对点的静态密钥交换。
[0005]因此,需要一种新的数据交互安全保护方法,能将互联网特别是移动互联网的用户服务系统的用户登录及用户业务服务数据交互整合非对称加密算法和对称加密算法的优点,又能实现不需要CA认证中心,点对点一次一密的数据交互认证方式,则可大大提高用户服务系统数据交互的安全性,同时不管是商家还是用户投入成本低,管理方便,最终极大地提高了用户的综合安全程度和用户满意度。
【发明内容】
[0006]本发明为解决现有的技术问题,提出一种基于CPK标识认证技术的数据交互安全保护方法,无需CA认证中心,能极大的减少用户投入成本,实现点对点的全过程全密态数据信息交互及认证。
[0007]CPK技术作为一种新型的非对称的密码技术,是一种先进的标识认证体制,具有很好的安全性和易用性,可以方便地实现点对点的离线认证,无须CA认证中心,可实现点对点的静态密钥交换。CPK同时可以兼容在线验证,用户识别后,可以根据需要进行在线的后继处理,系统部署简洁方便,升级灵活。若能灵活的使用CPK标识认证技术,将随机数用CPK标识认证技术生成随机数的CPK标识公私钥对来加解密用户登录身份验证信息和身份验证通过后的新的随机数(会话密钥),并用新的随机数来做基于此次登录请求登录成功后的所有数据交互的加解密的会话密钥,则完全可实现点对点一次一密的认证及全流程全密态高效廉价的数据交互安全保护。
[0008]为达到上述目的,本发明的实施例采用的如下技术方案:
[0009]一种基于CPK标识认证技术的数据交互安全保护方法,适用于互联网的用户服务系统的用户安全登录及所有服务数据交互保护,其特征在于包括:
[0010]用户服务系统(SI)用于对用户提供业务服务,接收用户智能终端发出的用户登录请求,产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对,用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。
[0011]用户智能终端将收到的加密数据用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对,接受用户输入的用户服务系统(SI)的用户登录口令并将其转换成用户登录口令的hash值,并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密,将加密后的数据发给用户服务系统(SI)。
[0012]用户服务系统(SI)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在SI系统的用户登录口令的hash值进行对比验证。若验证通过,SI再产生一个随机数b,用作对称加密的加密密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败数据发送给用户智能终端。
[0013]用户智能终端用已存的随机数a的CPK标识私钥解密出验证结果。若验证通过,即可登录用户服务系统,并使用相应的业务服务。若验证失败,则登录失败。用户登录成功后,用户智能终端与用户服务系统(Si)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
[0014]所述用户服务系统(SI)中保存有用于认证鉴权的多组数据,每一条所述的多组数据包括用户私有标识、基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加认证鉴权数据。用户私有标识包括但不限于:身份证号码、电话号码、姓名、终端设备的ID号等。
[0015]所述用户智能终端中存有基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识私钥。用户的CPK标识私钥用于对用户的CPK标识公钥加密的数据进行解密。用户智能终端包括但不限于:电脑、智能手机、PDA等。
[0016]所述用户服务系统(SI)在每一次用户服务登录请求时,产生一个随机数a(仅这次使用),再用CPK标识认证技术产生出这个随机数a的CPK标识公私钥对并存在SI中,SI将随机数a的CPK标识公私钥对加密后下传到用户智能终端。用户智能终端与SI之间的用户登录身份验证数据及会话密钥(用户登录口令验证通过后由SI产生)都是用CPK标识公私钥对来加解密并实现密态的数据交互和密钥交换。
[0017]所述用户服务系统(SI)对用户登录口令的hash值验证通过后,再产生一个随机数b并将其用随机数a的CPK标识公钥加密后下传到用户智能终端。用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。若SI对用户登录口令的hash值验证失败后,则直接将加密的登录失败数据下传给用户智能终端。
[0018]所述用户服务系统(SI)用CPK算法产生的随机数a的CPK标识公私钥对和随机数b都具有时效性。即用户在智能终端上接收到用户登录请求,需在约定的时间内输入用户登录口令;若用户在约定的时间内输入用户登录口令并验证成功,则后续用户服务系统与用户智能终端之间所有的数据交互都是基于随机数b来做会话密钥进行双向数据的加密保护;若超过约定的时间或用户登录口令验证失败,基于此次登录请求产生的随机数a和随机数a的CPK标识公私钥对将被丢弃,作废处理。用户若要继续登录SI,需重新发起新的用户服务登录请求;用户服务系统(SI)再产生新的随机数a及用户登录口令验证通过后新的随机数b,从而实现了一次一密。
[0019]在用户智能终端与用户服务系统(SI)之间传递的是用户登录口令产生的用户登录口令的hash值或相应的散列函数计算值;在用户智能终端与用户服务系统(SI)之间,所有的数据交互都是采用密文传递,是端到端过程的全密态数据交互;用 户智能终端与用户服务系统(SI)是基于互联网或移动运营商网络连接并交互数据。
【附图说明】
[0020]图1为本发明的用户服务系统和用户智能终端所有数据交互安全保护的流程图
【具体实施方式】
[0021]为使本发明的目的、技术方案和优点更加清楚明白,下面将结合实施例和附图,对本发明进一步详细说明。
[0022]本发明提供一种互联网的用户服务系统(SI)的用户安全登录及所有服务数据交互安全保护的方法,利用现有的CPK标识认证技术基于用户智能终端来实现所有数据的全过程全密态的信息交互。
[0023]用户服务系统(SI)为在互联网上提供用户服务系统。当用户需要使用该用户服务系统(Si)时,用户需要在SI上注册,提交SI所需求的用户标识和认证的用户私有信息。用户私有信息包括用户帐号标识、用户登录口令、身份证号、电话终端号码、邮箱以及其他的识别认证用户私有信息,具体看SI的类型而会有所不同。用户服务系统(SI)根据用户私有信息提取出用户私有标识,并将用户私有标识用CPK标识认证技术生成用户的CPK标识公私钥对。用户私有标识包括但不限于:身份证号码、电话号码、姓名、终端设备的ID号等。用户服务系统(Si)中保存有用于认证鉴权的多组数据,每一条所述的多组数据包括用户私有标识、用户的CPK标识公钥、随机数a的CPK标识公私钥对(临时产生,每次随机)、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加鉴权信息。用户智能终端里面保存了用户的CPK标识私钥、随机数a的CPK标识公私钥对(由SI临时产生安全下传给用户智能终端,每次随机)。用户的CPK标识私钥是用用户智能终端的开机口令或者开屏口令来进行加密保护的。
[0024]当用户需要使用用户服务系统(SI)提供的服务并同意用SI提供的基于CPK标识认证技术的数据交互安全保护的的方式,用户第一次登录SI时,应按照SI的要求在其常使用的智能终端(如能代表用户私人身份的智能手机)上面安装相应的服务应用系统。用户智能终端上的该服务应用系统用于将用户输入的Si的用户登录口令转换成用户登录口令的hash值并用接收到的随机数a的公钥加密后通过互联网(专线、VPN方式以及其他方式)或移动运营商的网络上传给Si;同时也接收来自用户的服务数据并对其进行加密发送给SI和来自SI的加密信息并对其进行解密展现给用户;其提供的功能还包括用户登录初始口令的修改等。
[0025]用户服务系统(SI)在每一次用户服务登录请求时,产生一个随机数a(仅供这次使用),再用CPK标识认证技术产生出这个随机数a的CPK的标识公私钥对(随机数a的CPK的标识公私钥对和随机数一样,仅供这次使用并且其使用具有时效性),用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。
[0026]用户智能终端将收到的加密信息用已存的用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对,接收用户输入的用户服务系统(SI)的用户登录口令并将其转换成用户登录口令的hash值,并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密,将加密后的信息发送给SI。用户服务系统(SI)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在SI系统的用户登录口令的hash值进行对比验证。若验证通过,SI再产生一个随机数b,用作用户登录成功后所有业务数据交互对称加密的密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败信息发送给用户智能终端。对称加密的算法包括但不限于:3DES算法、AES算法等。
[0027]用户智能终端用已存的随机数a的CPK标识私钥将收到SI的加密数据进行解密得出验证结果。若验证通过,即可登录用户服务系统,并使用相应的业务服务。若验证失败,则登录失败。用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
[0028]在用户服务系统(SI)中有一个对应随机数的私有协议,用于对产生的随机数的CPK标识公私钥对和随机数加以高速配对,并将随机数的CPK标识公私钥对和随机数与用户标识临时绑定,直至用户业务服务结束。当Si收到很多基于随机数的CPK标识公钥和随机数的加密的信息,可快速找到其对应的随机数的CPK标识私钥和随机数进行解密。
[0029]用户服务系统(SI)用CPK算法产生的随机数a的CPK标识公私钥对和随机数b都具有时效性。即用户在智能终端上接收到用户登录请求,需在约定的时间内输入用户登录口令;若用户在约定的时间内输入用户登录口令并验证成功,则后续用户服务系统与用户智能终端之间所有的数据交互都是基于随机数b来做会话密钥进行双向数据的加密保护;若超过约定的时间或用户登录口令验证失败,基于此次登录请求产生的随机数a和随机数a的CPK标识公私钥将被丢弃,作废处理。用户若要继续登录SI,需重新发起新的用户服务登录请求;用户服务系统(SI)再产生新的随机数a以及用户登录口令验证通过后新的随机数b,从而实现了一次一密。
[0030]参照图1,本发明基于CPK标识认证技术的数据交互安全保护方法包括以下步骤:
[0031]步骤101:用户在网络终端(电脑、PDA以及智能终端等)上打开用户服务系统
(SI)提供的公共业务登录通道,输入用户标识信息请求登录至SI。
[0032]步骤102:用户服务系统(SI)收到用户登录请求后,产生一个随机数a,并利用CPK标识认证技术产生出这个随机数a的CPK标识公私钥对(仅供这次用户登录验证用)。SI将随机数a的CPK标识公私钥对存在SI中,将随机数a的CPK标识公私钥对用用户的CPK标识公钥加密后通过互联网(专线、VPN方式以及其他方式)或移动运营商的网络安全下传给用户智能终端。
[0033]步骤103:用户智能终端将收到信息用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对并保存起来,接收用户在其智能终端上输入的SI所需要的用户登录口令。用户智能终端将用户登录口令转换成用户登录口令的hash值,并用接收到的随机数a的CPK标识公钥将用户登录口令的hash值加密后通过互联网(专线、VPN方式以及其他方式)或移动运营商的网络安全发送给用户服务系统(SI)。
[0034]步骤104:用户服务系统(SI)用已存的随机数a的CPK标识私钥解密得到用户登录口令的hash值,将解密得到用户登录口令的hash值和存在系统中的用户登录口令hash值进行对比验证。若验证通过,SI再产生一个随机数b用作登录成功后所有数据交互的会话密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败信息发送给用户智能终端。
[0035]步骤105:用户智能终端用随机数a的CPK标识私钥解密得到验证结果。若用户登录成功后,用户智能终端与用户服务系统(Si)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
[0036]若用户登录失败后,用户若要继续登录SI,需重新发起新的用户服务登录请求,需重复步骤101?步骤105,用户服务系统(SI)再产生新的随机数a及用户登录口令验证通过后新的随机数b ,用来实现双向数据一次一密的数据安全认证及交互。
[0037]本发明用CPK算法产生的随机数的CPK标识公私钥对的数量能力,从全球互联网用户的数量级来看可以认为是无穷的(按CPK理论体系算法,用IG的种子公私钥长度,能产生出10的1000次方个CPK标识公私钥对,其足够海量)。
[0038]基于CPK标识认证体制的特点,整个登录验证过程交互的信息都是用公钥加密数据,用私钥来解密数据,实现了用户安全登录和静态密钥交换。登录成功后所有数据信息的交互都是用会话密钥进行双向数据的全流程全密态数据的传递交互。
[0039]由于本发明技术的应用和实施十分广泛,只要是需要对用户身份进行安全验证和业务数据交互的用户服务系统都能够采用此方法实现用户服务系统的安全登录和所有服务数据的安全交互。以上所述,仅为本发明的优选实施例,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
【主权项】
1.一种基于CPK标识认证技术的数据交互安全保护方法,适用于互联网的用户服务系统的用户安全登录及所有服务数据交互保护,其特征在于包括: 用户服务系统(Si)用于对用户提供业务服务,接收用户智能终端发出的用户登录请求,产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对,用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。 用户智能终端将收到的加密数据用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对,接受用户输入的用户服务系统(SI)的用户登录口令并将其转换成用户登录口令的hash值,并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密,将加密后的数据发给用户服务系统(SI)。 用户服务系统(SI)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在SI系统的用户登录口令的hash值进行对比验证。若验证通过,SI再产生一个随机数b,用作对称加密的加密密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败数据发送给用户智能终端。 用户智能终端用已存的随机数a的CPK标识私钥解密出验证结果。若验证通过,即可登录用户服务系统,并使用相应的业务服务。若验证失败,则登录失败。 用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。2.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:上述中的CPK,就是组合公钥体制(Combined Public Key Cryptosystem,简称CPK),是在椭圆曲线密码(ECC算法)上,由组合矩阵和分割密钥序列构成,是一种先进的标识认证体制。3.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:在所述用户服务系统(Si)中保存有用于认证鉴权的多组数据,每一条所述的多组数据包括用户私有标识、基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加认证鉴权数据。用户私有标识包括但不限于:身份证号码、电话号码、姓名、终端设备的ID号等。4.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:在所述用户智能终端中存有基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识私钥。用户的CPK标识私钥用于对用户的CPK标识公钥加密的数据进行解密。用户智能终端包括但不限于:电脑、智能手机、PDA等。5.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:所述用户服务系统(SI)在每一次用户服务登录请求时,产生一个随机数a(仅这次使用),再用CPK标识认证技术产生出这个随机数a的CPK标识公私钥对并存在SI中,SI将随机数a的CPK标识公私钥对加密后下传到用户智能终端。用户智能终端与SI之间的用户登录身份验证数据及会话密钥(用户登录口令验证通过后由SI产生)都是用CPK标识公私钥对来加解密并实现密态的数据交互和密钥交换。6.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:所述用户服务系统(SI)对用户登录口令的hash值验证通过后,再产生一个随机数b并将其用随机数a的CPK标识公钥加密后下传到用户智能终端。用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。若SI对用户登录口令的hash值验证失败后,则直接将加密的登录失败数据下传给用户智能终端。7.如权利要求1或5或6所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:所述用户服务系统(SI)用CPK算法产生的随机数a的CPK标识公私钥对和随机数b都具有时效性。即用户在智能终端上接收到用户登录请求,需在约定的时间内输入用户登录口令;若用户在约定的时间内输入用户登录口令并验证成功,则后续用户服务系统与用户智能终端之间所有的数据交互都是基于随机数b来做会话密钥进行双向数据的加密保护;若超过约定的时间或用户登录口令验证失败,基于此次登录请求产生的随机数a和随机数a的CPK标识公私钥将被丢弃,作废处理。用户若要继续登录SI,需重新发起新的用户服务登录请求;用户服务系统(SI)再产生新的随机数a及用户登录口令验证通过后新的随机数b,从而实现了一次一密。8.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:在用户智能终端与用户服务系统(SI)之间传递的是用户登录口令产生的用户登录口令的hash值或相应的散列函数计算值。9.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:在所述的用户智能终端与用户服务系统(Si)之间,所有的数据交互都是采用密文传递,是端到端过程的全密态数据交互。10.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:用户智能终端与用户服务系统(Si)是基于互联网或移动运营商网络连接并交互数据。
【专利摘要】本发明提供一种基于CPK标识认证技术的数据交互安全保护方法。该方法用于用户服务系统(S1)的用户安全登录及所有服务数据的交互保护。S1接收用户智能终端发来的登录请求,产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对,用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。用户在智能终端上输入用户登录口令并转换成hash值加密后发给S1来识别用户身份的真实性。若验证通过,S1再产生一个随机数b将并其加密后发送给用户智能终端;否则返回登录失败的数据。用户登录成功后,用户智能终端与S1之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
【IPC分类】H04L9/32, H04L29/06
【公开号】CN104901803
【申请号】CN201410409283
【发明人】陈谦, 孟俊, 邱银娟
【申请人】易兴旺, 陈谦, 胡浩, 孟俊
【公开日】2015年9月9日
【申请日】2014年8月20日
【技术领域】
[0001]本发明涉及通信数据交互安全保护领域,具体涉及一种基于CPK标识认证技术的数据交互安全保护方法。
【背景技术】
[0002]随着互联网快速的发展,基于互联网的各类用户服务系统层出不穷,网络已经深入到用户生活的各个方面,用户经常通过网络使用与生活、工作及娱乐息息相关的各类服务。而在现今的互联网上,病毒、钓鱼网站、木马、黑客等严重威胁着用户服务数据信息交互的安全,用户的数据资料等泄漏的事情时常发生。
[0003]互联网用户服务系统及用户所有服务数据如何保护使其更为可信安全就显得尤为重要。数据加密是保证数据安全传递的唯一使用有效的方法。而如今用户服务系统的服务数据交互保护常用的方式根据密钥类型的不同可以分为两类:对称加密算法和非对称加密算法。对称加密算法使用相同的密钥(对称密钥)进行数据的加密和解密,加解密数据速度快,主要缺点是由于是单一密钥,长期使用时系统安全性较差,不便于在开放式网络环境下使用。非对称加密算法(公钥加密)使用一对不同的密钥(即非对称密钥,包括一个公钥,可以公开;另一个是私钥,由用户本人秘密保管),由于是双钥密码,破译非常困难,系统安全性很高,因此特别适合于在开放式网络环境下使用,其主要缺点是算法复杂,加解密数据的速度和效率都比较低。
[0004]PKI认证体系也是目前应用的非对称加密认证体系,但其需要第三方的CA认证中心的支持,验证时需要从CA中心获取厂家公钥,商家需要建立在线的CA中心,成本高,投资大,管理复杂,且不能实现点到点的离线认证,无法实现点对点的静态密钥交换。
[0005]因此,需要一种新的数据交互安全保护方法,能将互联网特别是移动互联网的用户服务系统的用户登录及用户业务服务数据交互整合非对称加密算法和对称加密算法的优点,又能实现不需要CA认证中心,点对点一次一密的数据交互认证方式,则可大大提高用户服务系统数据交互的安全性,同时不管是商家还是用户投入成本低,管理方便,最终极大地提高了用户的综合安全程度和用户满意度。
【发明内容】
[0006]本发明为解决现有的技术问题,提出一种基于CPK标识认证技术的数据交互安全保护方法,无需CA认证中心,能极大的减少用户投入成本,实现点对点的全过程全密态数据信息交互及认证。
[0007]CPK技术作为一种新型的非对称的密码技术,是一种先进的标识认证体制,具有很好的安全性和易用性,可以方便地实现点对点的离线认证,无须CA认证中心,可实现点对点的静态密钥交换。CPK同时可以兼容在线验证,用户识别后,可以根据需要进行在线的后继处理,系统部署简洁方便,升级灵活。若能灵活的使用CPK标识认证技术,将随机数用CPK标识认证技术生成随机数的CPK标识公私钥对来加解密用户登录身份验证信息和身份验证通过后的新的随机数(会话密钥),并用新的随机数来做基于此次登录请求登录成功后的所有数据交互的加解密的会话密钥,则完全可实现点对点一次一密的认证及全流程全密态高效廉价的数据交互安全保护。
[0008]为达到上述目的,本发明的实施例采用的如下技术方案:
[0009]一种基于CPK标识认证技术的数据交互安全保护方法,适用于互联网的用户服务系统的用户安全登录及所有服务数据交互保护,其特征在于包括:
[0010]用户服务系统(SI)用于对用户提供业务服务,接收用户智能终端发出的用户登录请求,产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对,用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。
[0011]用户智能终端将收到的加密数据用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对,接受用户输入的用户服务系统(SI)的用户登录口令并将其转换成用户登录口令的hash值,并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密,将加密后的数据发给用户服务系统(SI)。
[0012]用户服务系统(SI)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在SI系统的用户登录口令的hash值进行对比验证。若验证通过,SI再产生一个随机数b,用作对称加密的加密密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败数据发送给用户智能终端。
[0013]用户智能终端用已存的随机数a的CPK标识私钥解密出验证结果。若验证通过,即可登录用户服务系统,并使用相应的业务服务。若验证失败,则登录失败。用户登录成功后,用户智能终端与用户服务系统(Si)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
[0014]所述用户服务系统(SI)中保存有用于认证鉴权的多组数据,每一条所述的多组数据包括用户私有标识、基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加认证鉴权数据。用户私有标识包括但不限于:身份证号码、电话号码、姓名、终端设备的ID号等。
[0015]所述用户智能终端中存有基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识私钥。用户的CPK标识私钥用于对用户的CPK标识公钥加密的数据进行解密。用户智能终端包括但不限于:电脑、智能手机、PDA等。
[0016]所述用户服务系统(SI)在每一次用户服务登录请求时,产生一个随机数a(仅这次使用),再用CPK标识认证技术产生出这个随机数a的CPK标识公私钥对并存在SI中,SI将随机数a的CPK标识公私钥对加密后下传到用户智能终端。用户智能终端与SI之间的用户登录身份验证数据及会话密钥(用户登录口令验证通过后由SI产生)都是用CPK标识公私钥对来加解密并实现密态的数据交互和密钥交换。
[0017]所述用户服务系统(SI)对用户登录口令的hash值验证通过后,再产生一个随机数b并将其用随机数a的CPK标识公钥加密后下传到用户智能终端。用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。若SI对用户登录口令的hash值验证失败后,则直接将加密的登录失败数据下传给用户智能终端。
[0018]所述用户服务系统(SI)用CPK算法产生的随机数a的CPK标识公私钥对和随机数b都具有时效性。即用户在智能终端上接收到用户登录请求,需在约定的时间内输入用户登录口令;若用户在约定的时间内输入用户登录口令并验证成功,则后续用户服务系统与用户智能终端之间所有的数据交互都是基于随机数b来做会话密钥进行双向数据的加密保护;若超过约定的时间或用户登录口令验证失败,基于此次登录请求产生的随机数a和随机数a的CPK标识公私钥对将被丢弃,作废处理。用户若要继续登录SI,需重新发起新的用户服务登录请求;用户服务系统(SI)再产生新的随机数a及用户登录口令验证通过后新的随机数b,从而实现了一次一密。
[0019]在用户智能终端与用户服务系统(SI)之间传递的是用户登录口令产生的用户登录口令的hash值或相应的散列函数计算值;在用户智能终端与用户服务系统(SI)之间,所有的数据交互都是采用密文传递,是端到端过程的全密态数据交互;用 户智能终端与用户服务系统(SI)是基于互联网或移动运营商网络连接并交互数据。
【附图说明】
[0020]图1为本发明的用户服务系统和用户智能终端所有数据交互安全保护的流程图
【具体实施方式】
[0021]为使本发明的目的、技术方案和优点更加清楚明白,下面将结合实施例和附图,对本发明进一步详细说明。
[0022]本发明提供一种互联网的用户服务系统(SI)的用户安全登录及所有服务数据交互安全保护的方法,利用现有的CPK标识认证技术基于用户智能终端来实现所有数据的全过程全密态的信息交互。
[0023]用户服务系统(SI)为在互联网上提供用户服务系统。当用户需要使用该用户服务系统(Si)时,用户需要在SI上注册,提交SI所需求的用户标识和认证的用户私有信息。用户私有信息包括用户帐号标识、用户登录口令、身份证号、电话终端号码、邮箱以及其他的识别认证用户私有信息,具体看SI的类型而会有所不同。用户服务系统(SI)根据用户私有信息提取出用户私有标识,并将用户私有标识用CPK标识认证技术生成用户的CPK标识公私钥对。用户私有标识包括但不限于:身份证号码、电话号码、姓名、终端设备的ID号等。用户服务系统(Si)中保存有用于认证鉴权的多组数据,每一条所述的多组数据包括用户私有标识、用户的CPK标识公钥、随机数a的CPK标识公私钥对(临时产生,每次随机)、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加鉴权信息。用户智能终端里面保存了用户的CPK标识私钥、随机数a的CPK标识公私钥对(由SI临时产生安全下传给用户智能终端,每次随机)。用户的CPK标识私钥是用用户智能终端的开机口令或者开屏口令来进行加密保护的。
[0024]当用户需要使用用户服务系统(SI)提供的服务并同意用SI提供的基于CPK标识认证技术的数据交互安全保护的的方式,用户第一次登录SI时,应按照SI的要求在其常使用的智能终端(如能代表用户私人身份的智能手机)上面安装相应的服务应用系统。用户智能终端上的该服务应用系统用于将用户输入的Si的用户登录口令转换成用户登录口令的hash值并用接收到的随机数a的公钥加密后通过互联网(专线、VPN方式以及其他方式)或移动运营商的网络上传给Si;同时也接收来自用户的服务数据并对其进行加密发送给SI和来自SI的加密信息并对其进行解密展现给用户;其提供的功能还包括用户登录初始口令的修改等。
[0025]用户服务系统(SI)在每一次用户服务登录请求时,产生一个随机数a(仅供这次使用),再用CPK标识认证技术产生出这个随机数a的CPK的标识公私钥对(随机数a的CPK的标识公私钥对和随机数一样,仅供这次使用并且其使用具有时效性),用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。
[0026]用户智能终端将收到的加密信息用已存的用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对,接收用户输入的用户服务系统(SI)的用户登录口令并将其转换成用户登录口令的hash值,并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密,将加密后的信息发送给SI。用户服务系统(SI)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在SI系统的用户登录口令的hash值进行对比验证。若验证通过,SI再产生一个随机数b,用作用户登录成功后所有业务数据交互对称加密的密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败信息发送给用户智能终端。对称加密的算法包括但不限于:3DES算法、AES算法等。
[0027]用户智能终端用已存的随机数a的CPK标识私钥将收到SI的加密数据进行解密得出验证结果。若验证通过,即可登录用户服务系统,并使用相应的业务服务。若验证失败,则登录失败。用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
[0028]在用户服务系统(SI)中有一个对应随机数的私有协议,用于对产生的随机数的CPK标识公私钥对和随机数加以高速配对,并将随机数的CPK标识公私钥对和随机数与用户标识临时绑定,直至用户业务服务结束。当Si收到很多基于随机数的CPK标识公钥和随机数的加密的信息,可快速找到其对应的随机数的CPK标识私钥和随机数进行解密。
[0029]用户服务系统(SI)用CPK算法产生的随机数a的CPK标识公私钥对和随机数b都具有时效性。即用户在智能终端上接收到用户登录请求,需在约定的时间内输入用户登录口令;若用户在约定的时间内输入用户登录口令并验证成功,则后续用户服务系统与用户智能终端之间所有的数据交互都是基于随机数b来做会话密钥进行双向数据的加密保护;若超过约定的时间或用户登录口令验证失败,基于此次登录请求产生的随机数a和随机数a的CPK标识公私钥将被丢弃,作废处理。用户若要继续登录SI,需重新发起新的用户服务登录请求;用户服务系统(SI)再产生新的随机数a以及用户登录口令验证通过后新的随机数b,从而实现了一次一密。
[0030]参照图1,本发明基于CPK标识认证技术的数据交互安全保护方法包括以下步骤:
[0031]步骤101:用户在网络终端(电脑、PDA以及智能终端等)上打开用户服务系统
(SI)提供的公共业务登录通道,输入用户标识信息请求登录至SI。
[0032]步骤102:用户服务系统(SI)收到用户登录请求后,产生一个随机数a,并利用CPK标识认证技术产生出这个随机数a的CPK标识公私钥对(仅供这次用户登录验证用)。SI将随机数a的CPK标识公私钥对存在SI中,将随机数a的CPK标识公私钥对用用户的CPK标识公钥加密后通过互联网(专线、VPN方式以及其他方式)或移动运营商的网络安全下传给用户智能终端。
[0033]步骤103:用户智能终端将收到信息用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对并保存起来,接收用户在其智能终端上输入的SI所需要的用户登录口令。用户智能终端将用户登录口令转换成用户登录口令的hash值,并用接收到的随机数a的CPK标识公钥将用户登录口令的hash值加密后通过互联网(专线、VPN方式以及其他方式)或移动运营商的网络安全发送给用户服务系统(SI)。
[0034]步骤104:用户服务系统(SI)用已存的随机数a的CPK标识私钥解密得到用户登录口令的hash值,将解密得到用户登录口令的hash值和存在系统中的用户登录口令hash值进行对比验证。若验证通过,SI再产生一个随机数b用作登录成功后所有数据交互的会话密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败信息发送给用户智能终端。
[0035]步骤105:用户智能终端用随机数a的CPK标识私钥解密得到验证结果。若用户登录成功后,用户智能终端与用户服务系统(Si)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
[0036]若用户登录失败后,用户若要继续登录SI,需重新发起新的用户服务登录请求,需重复步骤101?步骤105,用户服务系统(SI)再产生新的随机数a及用户登录口令验证通过后新的随机数b ,用来实现双向数据一次一密的数据安全认证及交互。
[0037]本发明用CPK算法产生的随机数的CPK标识公私钥对的数量能力,从全球互联网用户的数量级来看可以认为是无穷的(按CPK理论体系算法,用IG的种子公私钥长度,能产生出10的1000次方个CPK标识公私钥对,其足够海量)。
[0038]基于CPK标识认证体制的特点,整个登录验证过程交互的信息都是用公钥加密数据,用私钥来解密数据,实现了用户安全登录和静态密钥交换。登录成功后所有数据信息的交互都是用会话密钥进行双向数据的全流程全密态数据的传递交互。
[0039]由于本发明技术的应用和实施十分广泛,只要是需要对用户身份进行安全验证和业务数据交互的用户服务系统都能够采用此方法实现用户服务系统的安全登录和所有服务数据的安全交互。以上所述,仅为本发明的优选实施例,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。
【主权项】
1.一种基于CPK标识认证技术的数据交互安全保护方法,适用于互联网的用户服务系统的用户安全登录及所有服务数据交互保护,其特征在于包括: 用户服务系统(Si)用于对用户提供业务服务,接收用户智能终端发出的用户登录请求,产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对,用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。 用户智能终端将收到的加密数据用用户的CPK标识私钥解密得到随机数a的CPK标识公私钥对,接受用户输入的用户服务系统(SI)的用户登录口令并将其转换成用户登录口令的hash值,并用随机数a的CPK标识公钥对用户登录口令的hash值进行加密,将加密后的数据发给用户服务系统(SI)。 用户服务系统(SI)用存在系统中的随机数a的CPK标识私钥对其解密得到用户登录口令的hash值并与存在SI系统的用户登录口令的hash值进行对比验证。若验证通过,SI再产生一个随机数b,用作对称加密的加密密钥,用随机数a的CPK标识公钥将随机数b加密后发送给用户智能终端;若验证失败,则将用随机数a的CPK标识公钥加密的登录失败数据发送给用户智能终端。 用户智能终端用已存的随机数a的CPK标识私钥解密出验证结果。若验证通过,即可登录用户服务系统,并使用相应的业务服务。若验证失败,则登录失败。 用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。2.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:上述中的CPK,就是组合公钥体制(Combined Public Key Cryptosystem,简称CPK),是在椭圆曲线密码(ECC算法)上,由组合矩阵和分割密钥序列构成,是一种先进的标识认证体制。3.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:在所述用户服务系统(Si)中保存有用于认证鉴权的多组数据,每一条所述的多组数据包括用户私有标识、基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识公钥、用户登录口令、用户登录口令的hash值和关联的电话终端号码及附加认证鉴权数据。用户私有标识包括但不限于:身份证号码、电话号码、姓名、终端设备的ID号等。4.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:在所述用户智能终端中存有基于用户私有标识产生的用户的CPK标识公私钥对中的CPK标识私钥。用户的CPK标识私钥用于对用户的CPK标识公钥加密的数据进行解密。用户智能终端包括但不限于:电脑、智能手机、PDA等。5.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:所述用户服务系统(SI)在每一次用户服务登录请求时,产生一个随机数a(仅这次使用),再用CPK标识认证技术产生出这个随机数a的CPK标识公私钥对并存在SI中,SI将随机数a的CPK标识公私钥对加密后下传到用户智能终端。用户智能终端与SI之间的用户登录身份验证数据及会话密钥(用户登录口令验证通过后由SI产生)都是用CPK标识公私钥对来加解密并实现密态的数据交互和密钥交换。6.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:所述用户服务系统(SI)对用户登录口令的hash值验证通过后,再产生一个随机数b并将其用随机数a的CPK标识公钥加密后下传到用户智能终端。用户登录成功后,用户智能终端与用户服务系统(SI)之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。若SI对用户登录口令的hash值验证失败后,则直接将加密的登录失败数据下传给用户智能终端。7.如权利要求1或5或6所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:所述用户服务系统(SI)用CPK算法产生的随机数a的CPK标识公私钥对和随机数b都具有时效性。即用户在智能终端上接收到用户登录请求,需在约定的时间内输入用户登录口令;若用户在约定的时间内输入用户登录口令并验证成功,则后续用户服务系统与用户智能终端之间所有的数据交互都是基于随机数b来做会话密钥进行双向数据的加密保护;若超过约定的时间或用户登录口令验证失败,基于此次登录请求产生的随机数a和随机数a的CPK标识公私钥将被丢弃,作废处理。用户若要继续登录SI,需重新发起新的用户服务登录请求;用户服务系统(SI)再产生新的随机数a及用户登录口令验证通过后新的随机数b,从而实现了一次一密。8.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:在用户智能终端与用户服务系统(SI)之间传递的是用户登录口令产生的用户登录口令的hash值或相应的散列函数计算值。9.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:在所述的用户智能终端与用户服务系统(Si)之间,所有的数据交互都是采用密文传递,是端到端过程的全密态数据交互。10.如权利要求1所述的一种基于CPK标识认证技术的数据交互安全保护方法,其特征在于:用户智能终端与用户服务系统(Si)是基于互联网或移动运营商网络连接并交互数据。
【专利摘要】本发明提供一种基于CPK标识认证技术的数据交互安全保护方法。该方法用于用户服务系统(S1)的用户安全登录及所有服务数据的交互保护。S1接收用户智能终端发来的登录请求,产生随机数a并用CPK标识认证技术生成随机数a的CPK标识公私钥对,用用户的CPK标识公钥将随机数a的CPK标识公私钥对加密后下传到用户智能终端。用户在智能终端上输入用户登录口令并转换成hash值加密后发给S1来识别用户身份的真实性。若验证通过,S1再产生一个随机数b将并其加密后发送给用户智能终端;否则返回登录失败的数据。用户登录成功后,用户智能终端与S1之间所有的服务数据都是用随机数b来做会话密钥,进行双向全密态的服务数据交互。
【IPC分类】H04L9/32, H04L29/06
【公开号】CN104901803
【申请号】CN201410409283
【发明人】陈谦, 孟俊, 邱银娟
【申请人】易兴旺, 陈谦, 胡浩, 孟俊
【公开日】2015年9月9日
【申请日】2014年8月20日
最新回复(0)