一種基于cpk標識認證技術的安全登錄方法
【技術領域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)的用戶服務系統(tǒng)登錄的安全性認證辦法;尤其涉及一種基于CPK標識認證技術的安全登錄方法���。
【背景技術】
[0002]隨著互聯(lián)網(wǎng)快速的發(fā)展�����,基于互聯(lián)網(wǎng)的各類用戶服務系統(tǒng)層出不窮��,網(wǎng)絡已經(jīng)深入到用戶生活的各個方面�,用戶經(jīng)常通過網(wǎng)絡登錄到各類用戶服務系統(tǒng)中,用戶服務系統(tǒng)都是在同一個網(wǎng)絡邏輯通道上輸入用戶標識和用戶口令�����,用于對用戶身份的認證鑒權識另IJ����。而在現(xiàn)今的互聯(lián)網(wǎng)上��,病毒��、釣魚網(wǎng)站��、木馬����、黑客等嚴重威脅著用戶登錄安全,單一的網(wǎng)絡公用通道被攻擊時�,用戶的所有信息資料包括用戶登錄口令等泄漏的事情時常發(fā)生���。
[0003]如果有一種認證登錄的方法,能將互聯(lián)網(wǎng)的用戶服務系統(tǒng)的用戶業(yè)務通道和用戶口令通道進行邏輯隔離��,支持用戶標識和用戶登錄口令不同邏輯通道的信息輸入,則可大大降低用戶標識和用戶口令被同時竊取的概率,同時也大大增加冒用用戶標識和攻擊用戶口令登錄系統(tǒng)的難度����,最終極大地提高了用戶的綜合安全程度。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的實施例提供一種基于CPK標識認證技術的安全登錄方法����。該方法包括用于實現(xiàn)用戶業(yè)務通道和用戶口令通道邏輯隔離而引入的口令安全服務系統(tǒng)����,基于現(xiàn)有CPK標識認證技術實現(xiàn)了用戶服務系統(tǒng)的安全登錄,用以解決現(xiàn)有大多數(shù)互聯(lián)網(wǎng)用戶服務系統(tǒng)的登錄安全問題��。該方法可用于各種有認證鑒權需求的網(wǎng)絡用戶服務系統(tǒng)���。
[0005]為達到上述目的�����,本發(fā)明的實施例采用的如下技術方案:
[0006]一種基于CPK標識認證技術的安全登錄方法����,適用于對用戶登錄服務的身份認證鑒權,其特征在于:它由用戶智能終端���、口令安全服務系統(tǒng)(S2)和用戶服務系統(tǒng)(SI)組成��;
[0007]所述用戶服務系統(tǒng)(SI)用于對用戶提供服務�����,接收用戶服務登錄請求和產(chǎn)生隨機數(shù)并用CPK標識認證技術生成隨機數(shù)的CPK標識公私鑰對,將用戶服務登錄請求用S2的CPK標識公鑰加密和將隨機數(shù)的CPK標識公鑰用用戶的CPK標識公鑰進行加密�����,將加密后的信息傳遞給口令安全服務系統(tǒng)(S2)����。口令安全服務系統(tǒng)(S2)用自身的CPK標識私鑰解密得到用戶服務登錄請求���,產(chǎn)生出用戶登錄口令請求����,將用戶登錄口令請求用用戶的CPK標識公鑰加密,將用戶的CPK標識公鑰加密的用戶登錄口令請求和用戶的CPK標識公鑰加密的隨機數(shù)公鑰一起安全下傳到用戶智能終端�����。
[0008]用戶智能終端用用戶的CPK標識私鑰解密得到用戶登錄口令請求和隨機數(shù)的CPK標識公鑰�����,接收用戶輸入的SI的用戶登錄口令并將其轉換成用戶登錄口令的hash值�����,并用隨機數(shù)的CPK標識公鑰對用戶登錄口令的hash值進行加密��,將加密后的信息經(jīng)由口令安全服務系統(tǒng)(S2)安全中轉給用戶服務系統(tǒng)(SI)�����。用戶服務系統(tǒng)(SI)用存在系統(tǒng)中的隨機數(shù)的CPK標識私鑰對其解密得到用戶登錄口令的hash值并與存在SI系統(tǒng)的用戶口令的hash值進行對比驗證����。若驗證通過,返回用戶登錄同意許可�����,并提供用戶相應的業(yè)務服務。若驗證失敗�,返回用戶登錄拒絕許可。
[0009]在所述用戶服務系統(tǒng)(SI)中保存有用于認證鑒權的多組信息���,每一條所述的多組信息包括用戶私有標識�、基于用戶私有標識產(chǎn)生的用戶的CPK標識公私鑰對中的CPK標識公鑰�、用戶登錄口令、用戶登錄口令的hash值和關聯(lián)的電話終端號碼及附加鑒權信息�。用戶私有標識包括但不限于:身份證號碼、電話號碼����、姓名、終端設備的ID號等�����。
[0010]在所述用戶智能終端中存有基于用戶私有標識產(chǎn)生的用戶的CPK標識公私鑰對中的CPK標識私鑰����。用戶的CPK標識私鑰用于對用戶的CPK標識公鑰加密的信息進行解密����。
[0011]所述用戶服務系統(tǒng)(SI)在每一次用戶服務登錄請求時���,產(chǎn)生一個隨機數(shù)(僅這次使用),再用CPK標識認證技術產(chǎn)生出這個隨機數(shù)的CPK標識公私鑰對��。SI將隨機數(shù)的CPK標識私鑰存在用戶服務系統(tǒng)(Si)中����,用于對隨機數(shù)的CPK標識公鑰加密的信息進行解密;將隨機數(shù)的CPK標識公鑰安全下傳到用戶智能終端上����,用于對用戶智能終端的用戶登錄口令hash值進行認證加密。
[0012]所述用戶服務系統(tǒng)(SI)用CPK算法產(chǎn)生的隨機數(shù)的CPK標識公私鑰對具有時效性����。即用戶在智能終端上接收到用戶登錄請求,需在約定的時間內(nèi)輸入用戶口令���;若超過約定的時間���,基于此次登錄請求產(chǎn)生的隨機數(shù)和隨機數(shù)的CPK標識公私鑰將被丟棄,作廢處理����。用戶若要繼續(xù)登錄用戶服務系統(tǒng)����,需重新發(fā)起新的用戶服務登錄請求����;用戶服務系統(tǒng)(Si)再產(chǎn)生新的隨機數(shù),從而實現(xiàn)了一次一密��。
[0013]用戶智能終端與口令安全服務系統(tǒng)(S2)之間�����,口令安全服務系統(tǒng)(S2)與用戶服務系統(tǒng)(SI)之間傳遞的都是用戶登錄口令產(chǎn)生的用戶登錄口令的hash值或相應的散列函數(shù)計算值����。
[0014]用戶智能終端與口令安全服務系統(tǒng)(S2)之間,口令安全服務系統(tǒng)(S2)與用戶服務系統(tǒng)(Si)之間���,所有的信息交互都是采用CPK的標識公鑰進行加密和CPK的標識私鑰進行解密,是端到端過程的全密態(tài)信息交互����。
[0015]口令安全服務系統(tǒng)(S2)和用戶服務系統(tǒng)(SI)是基于互聯(lián)網(wǎng)連接并交互信息���;用戶智能終端與口令安全服務系統(tǒng)(S2)是基于互聯(lián)網(wǎng)或移動運營商網(wǎng)絡連接并交互信息。
[0016]用戶服務系統(tǒng)(SI)的用戶業(yè)務通道和用戶口令通道的邏輯隔離�。即用戶在用戶服務系統(tǒng)(Si)的公共業(yè)務通道發(fā)起用戶登錄請求,在用戶私有的任意智能終端輸入用戶登錄口令����,從而實現(xiàn)了用戶服務系統(tǒng)(Si)雙邏輯隔離通道的安全登錄。用戶智能終端包括但不限于:電腦���、智能手機��、PDA等���。
【附圖說明】
[0017]圖1為本發(fā)明的用戶登錄用戶服務系統(tǒng)認證鑒權的流程圖
【具體實施方式】
[0018]為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明白�����,下面將結合實施例和附圖��,對本發(fā)明進一步詳細說明����。
[0019]本發(fā)明提供一種用于對用戶服務系統(tǒng)(SI)的用戶服務登錄的身份認證鑒權的安全登錄方法�,引入口令安全服務系統(tǒng)(S2)�����,用于實現(xiàn)用戶業(yè)務通道和用戶口令通道的邏輯隔離��,并基于現(xiàn)有的CPK標識認證技術實現(xiàn)用戶服務登錄的全流程全密態(tài)的安全登錄�。
[0020]用戶服務系統(tǒng)(SI)為在互聯(lián)網(wǎng)提供用戶服務的系統(tǒng)。當用戶需要使用該用戶服務系統(tǒng)(Si)時�,用戶需要在SI上注冊,提交SI所需求的用戶標識和認證的用戶私有信息���。用戶私有信息包括用戶帳號標識���、用戶登錄口令、身份證號��、電話終端號碼�、郵箱以及其他的識別認證用戶私有信息,具體看SI的類型而會有所不同��。用戶服務系統(tǒng)(SI)根據(jù)用戶私有信息提取出用戶私有標識并將用戶私有標識用CPK標識認證技術生成用戶的CPK標識公私鑰對�����。用戶私有標識包括但不限于:身份證號碼�����、電話號碼��、姓名�����、終端設備的ID號等���。用戶服務系統(tǒng)(Si)中保存有用于認證鑒權的多組信息����,每一條所述的多組信息包括用戶私有標識����、用戶的CPK標識公鑰、隨機數(shù)的CPK標識公私鑰對中的隨機數(shù)的CPK標識私鑰(臨時產(chǎn)生��,每次隨機)�、用戶登錄口令、用戶登錄口令的hash值和關聯(lián)的電話終端號碼及附加鑒權信息���。用戶智能終端里面保存了用戶的CPK標識私鑰���,用戶的CPK標識私鑰是用用戶智能終端的開機口令或者開屏口令來進行加密保護的�����。
[0021]當用戶需要使用用戶服務系統(tǒng)(SI)提供的服務并同意用SI提供的基于CPK標識認證技術的安全登錄的方式���,用戶第一次登錄SI時,應按照SI的要求在其常使用的智能終端(如能代表用戶私人身份的智能手機)上面安裝相應的服務系統(tǒng)�����。用戶智能終端上的該服務系統(tǒng)用于提供用戶在用戶服務系統(tǒng)發(fā)起登錄請求時用戶登錄口令的的輸入(包括用戶口令的修改等)��,將用戶輸入的用戶口令明文轉換成hash值����,并將用戶口令的hash值用接收到的隨機數(shù)的CPK標識公鑰進行加密后,通過互聯(lián)網(wǎng)(專線�、VPN方式以及其他方式)或移動運營商的網(wǎng)絡發(fā)給口令安全服務系統(tǒng)(S2)。S2將收到用戶智能終端的加密信息通過互聯(lián)網(wǎng)(專線�、VPN方式以及其他方式)直接中轉給用戶服務系統(tǒng)(SI)。SI要識別驗證解密得到的用戶口令的hash值是否與已存于系統(tǒng)的相關信息一致,來判斷用戶身份的真實性����。
[0022]用戶服務系統(tǒng)(SI)在每一次用戶服務登錄請求時,產(chǎn)生一個隨機數(shù)(僅供這次使用)��,再用CPK標識認證技術產(chǎn)生出這個隨機數(shù)的CPK的標識公私鑰對(隨機數(shù)的CPK的標識公私鑰對和隨機數(shù)一樣�����,僅供這次使用并且其使用具有時效性)�����。在用戶服務系統(tǒng)(SI)中有一個隨機數(shù)私有協(xié)議�,用于對產(chǎn)生的隨機數(shù)的CPK標識公私鑰對加以高速配對����,并將隨機數(shù)的CPK標識公私鑰對與用戶標識臨時綁定,直至登錄結束�。當SI收到很多基于隨機數(shù)的CPK標識公鑰加密的信息,可快速找到其對應的隨機數(shù)的CPK標識私鑰進行解密��。用用戶的CPK標識公鑰將隨機數(shù)的CPK標識公鑰加密后通過互聯(lián)網(wǎng)(專線��、VPN方式以及其他方式)發(fā)給口令安全服務系統(tǒng)(S2),并由S2通過互聯(lián)網(wǎng)(專線���、VPN方式以及其他方式)或者移動運營商的網(wǎng)絡安全中轉下傳到用戶智能終端����,用于對用戶智能終端的用戶登錄口令的hash值進行加密�����。當用戶智能終端接收到用戶登錄口令請求��,需在約定的時間內(nèi)輸入用戶登錄口令�。若超過約定的時間,基于此次登錄請求產(chǎn)生的隨機數(shù)和隨機數(shù)的CPK標識公私鑰將被丟棄��,作廢處理�����。用戶若要繼續(xù)登錄用戶服務系統(tǒng)��,需重新發(fā)起新一輪的用戶服務登錄請求��;用戶服務系統(tǒng)(SI)再產(chǎn)生新的隨機數(shù)����。
[0023]口令安全服務系統(tǒng)(S2)是該CPK標識認證技術的安全登錄方法的關鍵組成系統(tǒng)�,其主要負責用戶服務系統(tǒng)(Si)和用戶智能終端信息的安全傳輸和