一種基于cpk標(biāo)識(shí)認(rèn)證技術(shù)的數(shù)據(jù)交互安全保護(hù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信數(shù)據(jù)交互安全保護(hù)領(lǐng)域，具體涉及一種基于CPK標(biāo)識(shí)認(rèn)證技術(shù)的數(shù)據(jù)交互安全保護(hù)方法。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)快速的發(fā)展，基于互聯(lián)網(wǎng)的各類用戶服務(wù)系統(tǒng)層出不窮，網(wǎng)絡(luò)已經(jīng)深入到用戶生活的各個(gè)方面，用戶經(jīng)常通過(guò)網(wǎng)絡(luò)使用與生活、工作及娛樂(lè)息息相關(guān)的各類服務(wù)。而在現(xiàn)今的互聯(lián)網(wǎng)上，病毒、釣魚(yú)網(wǎng)站、木馬、黑客等嚴(yán)重威脅著用戶服務(wù)數(shù)據(jù)信息交互的安全，用戶的數(shù)據(jù)資料等泄漏的事情時(shí)常發(fā)生。
[0003]互聯(lián)網(wǎng)用戶服務(wù)系統(tǒng)及用戶所有服務(wù)數(shù)據(jù)如何保護(hù)使其更為可信安全就顯得尤為重要。數(shù)據(jù)加密是保證數(shù)據(jù)安全傳遞的唯一使用有效的方法。而如今用戶服務(wù)系統(tǒng)的服務(wù)數(shù)據(jù)交互保護(hù)常用的方式根據(jù)密鑰類型的不同可以分為兩類:對(duì)稱加密算法和非對(duì)稱加密算法。對(duì)稱加密算法使用相同的密鑰(對(duì)稱密鑰)進(jìn)行數(shù)據(jù)的加密和解密，加解密數(shù)據(jù)速度快，主要缺點(diǎn)是由于是單一密鑰，長(zhǎng)期使用時(shí)系統(tǒng)安全性較差，不便于在開(kāi)放式網(wǎng)絡(luò)環(huán)境下使用。非對(duì)稱加密算法(公鑰加密)使用一對(duì)不同的密鑰(即非對(duì)稱密鑰，包括一個(gè)公鑰，可以公開(kāi)；另一個(gè)是私鑰，由用戶本人秘密保管)，由于是雙鑰密碼，破譯非常困難，系統(tǒng)安全性很高，因此特別適合于在開(kāi)放式網(wǎng)絡(luò)環(huán)境下使用，其主要缺點(diǎn)是算法復(fù)雜，加解密數(shù)據(jù)的速度和效率都比較低。
[0004]PKI認(rèn)證體系也是目前應(yīng)用的非對(duì)稱加密認(rèn)證體系,但其需要第三方的CA認(rèn)證中心的支持，驗(yàn)證時(shí)需要從CA中心獲取廠家公鑰，商家需要建立在線的CA中心，成本高，投資大，管理復(fù)雜，且不能實(shí)現(xiàn)點(diǎn)到點(diǎn)的離線認(rèn)證，無(wú)法實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的靜態(tài)密鑰交換。
[0005]因此，需要一種新的數(shù)據(jù)交互安全保護(hù)方法，能將互聯(lián)網(wǎng)特別是移動(dòng)互聯(lián)網(wǎng)的用戶服務(wù)系統(tǒng)的用戶登錄及用戶業(yè)務(wù)服務(wù)數(shù)據(jù)交互整合非對(duì)稱加密算法和對(duì)稱加密算法的優(yōu)點(diǎn)，又能實(shí)現(xiàn)不需要CA認(rèn)證中心，點(diǎn)對(duì)點(diǎn)一次一密的數(shù)據(jù)交互認(rèn)證方式，則可大大提高用戶服務(wù)系統(tǒng)數(shù)據(jù)交互的安全性，同時(shí)不管是商家還是用戶投入成本低，管理方便，最終極大地提高了用戶的綜合安全程度和用戶滿意度。

【發(fā)明內(nèi)容】

[0006]本發(fā)明為解決現(xiàn)有的技術(shù)問(wèn)題，提出一種基于CPK標(biāo)識(shí)認(rèn)證技術(shù)的數(shù)據(jù)交互安全保護(hù)方法，無(wú)需CA認(rèn)證中心，能極大的減少用戶投入成本，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的全過(guò)程全密態(tài)數(shù)據(jù)信息交互及認(rèn)證。
[0007]CPK技術(shù)作為一種新型的非對(duì)稱的密碼技術(shù)，是一種先進(jìn)的標(biāo)識(shí)認(rèn)證體制，具有很好的安全性和易用性，可以方便地實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的離線認(rèn)證，無(wú)須CA認(rèn)證中心，可實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)的靜態(tài)密鑰交換。CPK同時(shí)可以兼容在線驗(yàn)證，用戶識(shí)別后，可以根據(jù)需要進(jìn)行在線的后繼處理，系統(tǒng)部署簡(jiǎn)潔方便，升級(jí)靈活。若能靈活的使用CPK標(biāo)識(shí)認(rèn)證技術(shù)，將隨機(jī)數(shù)用CPK標(biāo)識(shí)認(rèn)證技術(shù)生成隨機(jī)數(shù)的CPK標(biāo)識(shí)公私鑰對(duì)來(lái)加解密用戶登錄身份驗(yàn)證信息和身份驗(yàn)證通過(guò)后的新的隨機(jī)數(shù)(會(huì)話密鑰)，并用新的隨機(jī)數(shù)來(lái)做基于此次登錄請(qǐng)求登錄成功后的所有數(shù)據(jù)交互的加解密的會(huì)話密鑰，則完全可實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)一次一密的認(rèn)證及全流程全密態(tài)高效廉價(jià)的數(shù)據(jù)交互安全保護(hù)。
[0008]為達(dá)到上述目的，本發(fā)明的實(shí)施例采用的如下技術(shù)方案:
[0009]一種基于CPK標(biāo)識(shí)認(rèn)證技術(shù)的數(shù)據(jù)交互安全保護(hù)方法，適用于互聯(lián)網(wǎng)的用戶服務(wù)系統(tǒng)的用戶安全登錄及所有服務(wù)數(shù)據(jù)交互保護(hù)，其特征在于包括:
[0010]用戶服務(wù)系統(tǒng)(SI)用于對(duì)用戶提供業(yè)務(wù)服務(wù)，接收用戶智能終端發(fā)出的用戶登錄請(qǐng)求，產(chǎn)生隨機(jī)數(shù)a并用CPK標(biāo)識(shí)認(rèn)證技術(shù)生成隨機(jī)數(shù)a的CPK標(biāo)識(shí)公私鑰對(duì)，用用戶的CPK標(biāo)識(shí)公鑰將隨機(jī)數(shù)a的CPK標(biāo)識(shí)公私鑰對(duì)加密后下傳到用戶智能終端。
[0011]用戶智能終端將收到的加密數(shù)據(jù)用用戶的CPK標(biāo)識(shí)私鑰解密得到隨機(jī)數(shù)a的CPK標(biāo)識(shí)公私鑰對(duì)，接受用戶輸入的用戶服務(wù)系統(tǒng)(SI)的用戶登錄口令并將其轉(zhuǎn)換成用戶登錄口令的hash值，并用隨機(jī)數(shù)a的CPK標(biāo)識(shí)公鑰對(duì)用戶登錄口令的hash值進(jìn)行加密，將加密后的數(shù)據(jù)發(fā)給用戶服務(wù)系統(tǒng)(SI)。
[0012]用戶服務(wù)系統(tǒng)(SI)用存在系統(tǒng)中的隨機(jī)數(shù)a的CPK標(biāo)識(shí)私鑰對(duì)其解密得到用戶登錄口令的hash值并與存在SI系統(tǒng)的用戶登錄口令的hash值進(jìn)行對(duì)比驗(yàn)證。若驗(yàn)證通過(guò)，SI再產(chǎn)生一個(gè)隨機(jī)數(shù)b，用作對(duì)稱加密的加密密鑰，用隨機(jī)數(shù)a的CPK標(biāo)識(shí)公鑰將隨機(jī)數(shù)b加密后發(fā)送給用戶智能終端；若驗(yàn)證失敗，則將用隨機(jī)數(shù)a的CPK標(biāo)識(shí)公鑰加密的登錄失敗數(shù)據(jù)發(fā)送給用戶智能終端。
[0013]用戶智能終端用已存的隨機(jī)數(shù)a的CPK標(biāo)識(shí)私鑰解密出驗(yàn)證結(jié)果。若驗(yàn)證通過(guò)，即可登錄用戶服務(wù)系統(tǒng)，并使用相應(yīng)的業(yè)務(wù)服務(wù)。若驗(yàn)證失敗，則登錄失敗。用戶登錄成功后，用戶智能終端與用戶服務(wù)系統(tǒng)(Si)之間所有的服務(wù)數(shù)據(jù)都是用隨機(jī)數(shù)b來(lái)做會(huì)話密鑰，進(jìn)行雙向全密態(tài)的服務(wù)數(shù)據(jù)交互。
[0014]所述用戶服務(wù)系統(tǒng)(SI)中保存有用于認(rèn)證鑒權(quán)的多組數(shù)據(jù)，每一條所述的多組數(shù)據(jù)包括用戶私有標(biāo)識(shí)、基于用戶私有標(biāo)識(shí)產(chǎn)生的用戶的CPK標(biāo)識(shí)公私鑰對(duì)中的CPK標(biāo)識(shí)公鑰、用戶登錄口令、用戶登錄口令的hash值和關(guān)聯(lián)的電話終端號(hào)碼及附加認(rèn)證鑒權(quán)數(shù)據(jù)。用戶私有標(biāo)識(shí)包括但不限于:身份證號(hào)碼、電話號(hào)碼、姓名、終端設(shè)備的ID號(hào)等。
[0015]所述用戶智能終端中存有基于用戶私有標(biāo)識(shí)產(chǎn)生的用戶的CPK標(biāo)識(shí)公私鑰對(duì)中的CPK標(biāo)識(shí)私鑰。用戶的CPK標(biāo)識(shí)私鑰用于對(duì)用戶的CPK標(biāo)識(shí)公鑰加密的數(shù)據(jù)進(jìn)行解密。用戶智能終端包括但不限于:電腦、智能手機(jī)、PDA等。
[0016]所述用戶服務(wù)系統(tǒng)(SI)在每一次用戶服務(wù)登錄請(qǐng)求時(shí)，產(chǎn)生一個(gè)隨機(jī)數(shù)a(僅這次使用)，再用CPK標(biāo)識(shí)認(rèn)證技術(shù)產(chǎn)生出這個(gè)隨機(jī)數(shù)a的CPK標(biāo)識(shí)公私鑰對(duì)并存在SI中，SI將隨機(jī)數(shù)a的CPK標(biāo)識(shí)公私鑰對(duì)加密后下傳到用戶智能終端。用戶智能終端與SI之間的用戶登錄身份驗(yàn)證數(shù)據(jù)及會(huì)話密鑰(用戶登錄口令驗(yàn)證通過(guò)后由SI產(chǎn)生)都是用CPK標(biāo)識(shí)公私鑰對(duì)來(lái)加解密并實(shí)現(xiàn)密態(tài)的數(shù)據(jù)交互和密鑰交換。
[0017]所述用戶服務(wù)系統(tǒng)(SI)對(duì)用戶登錄口令的hash值驗(yàn)證通過(guò)后，再產(chǎn)生一個(gè)隨機(jī)數(shù)b并將其用隨機(jī)數(shù)a的CPK標(biāo)識(shí)公鑰加密后下傳到用戶智能終端。用戶登錄成功后，用戶智能終端與用戶服務(wù)系統(tǒng)(SI)之間所有的服務(wù)數(shù)據(jù)都是用隨機(jī)數(shù)b來(lái)做會(huì)話密鑰，進(jìn)行雙向全密態(tài)的服務(wù)數(shù)據(jù)交互。若SI對(duì)用戶登錄口令的hash值驗(yàn)證失敗后，則直接將加密的登錄失敗數(shù)據(jù)下傳給用戶智能終端。
[0018]所述用戶服務(wù)系統(tǒng)(SI)用CPK算法產(chǎn)生的隨機(jī)數(shù)a的CPK標(biāo)識(shí)公私鑰對(duì)和隨機(jī)數(shù)b都具有時(shí)效性。即用戶在智能終端上接收到用戶登錄請(qǐng)求，需在約定的時(shí)間內(nèi)輸入用戶登錄口令；若用戶在約定的時(shí)間內(nèi)輸入用戶登錄口令并驗(yàn)證成功，則后續(xù)用戶服務(wù)系統(tǒng)與用戶智能終端之間所有的數(shù)據(jù)交互都是基于隨機(jī)數(shù)b來(lái)做會(huì)話密鑰進(jìn)行雙向數(shù)據(jù)的加密保護(hù)；若超過(guò)約定的時(shí)間或用戶登錄口令驗(yàn)證失敗，基于此次登錄請(qǐng)求產(chǎn)生的隨機(jī)數(shù)a和隨機(jī)數(shù)a的CPK標(biāo)識(shí)公私鑰對(duì)將被丟棄，作廢處理。用戶若要繼續(xù)登錄SI，需重新發(fā)起新的用戶服務(wù)登錄請(qǐng)求；用戶服務(wù)系統(tǒng)(SI)再產(chǎn)生新的隨機(jī)數(shù)a及用戶登錄口令驗(yàn)證通過(guò)后新的隨機(jī)數(shù)b，從而實(shí)現(xiàn)了一次一密。
[0019]在用戶智能終端與用戶服務(wù)系統(tǒng)(SI)之間傳遞的是用戶登錄口令產(chǎn)生的用戶登錄口令的hash值或相應(yīng)的散列函數(shù)計(jì)算值；在用戶智能終端與用戶服務(wù)系統(tǒng)(SI)之間，所有的數(shù)據(jù)交互都是采用密文傳遞，是端到端過(guò)程的全密態(tài)數(shù)據(jù)交互；用