[发明专利]一种用于分布式用户服务间认证方法

说明书

技术领域

本发明涉及信息安全技术领域，特别是一种用于分布式用户服务间认证系统。

背景技术

随着互联网技术的不断发展，各个平台的终端开始具有更强性能、更丰富接口的操作系统，计算资源开始丰富，在此基础上对平台的安全要求开始逐渐提高。信息安全主要包括系统安全和数据安全两个方面。系统安全一般采用防火墙、防病毒及其他安全防范技术等措施，是属于被动型的安全措施。数据安全则主要采用现代密码技术对数据进行主动的安全保护，如数据保密、数据完整性、身份认证等技术。

数字签名技术是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明、是密码学中非对称加密和数字摘要技术的结合应用。在数字签名的传输过程中还需要一个可信的管理设备来统一发放、管理、废除数字证书的机构——证书管理机构（CA）。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书，它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。目前数据、密钥信息以明文或者简单加密的形式在网络上传输，所带来的数据泄露的隐患较大，信息安全度低。

发明内容

本发明的目的在于提供一种安全可靠的用于分布式用户服务间认证系统，具有认证用户合法性、数据加密传输和信息签名的功能。

实现本发明目的的技术解决方案为：一种用于分布式用户服务间认证系统，包括认证中心、客户机、服务器和定制的身份认证装置，所述认证中心包括相互连接的加密存储介质和加密芯片；所述认证中心、客户机和服务器两两相连，客户机和服务器均通过usb接口与定制的身份认证装置相连；所述认证中心的加密芯片处理加密解密请求并生成密钥、加密存储介质存储所有定制的身份认证装置的密钥信息；所述身份认证装置进行加密解密，并存储身份认证器密钥和通行时使用的密钥；进行加密数据通信时，每次通信的双方都使用密钥加密，服务器与认证中心、客户机与认证中心分别使用各自对应的密钥，客户机与服务器则使用认证中心新生成的会话密钥。

一种用于分布式用户服务间认证方法，包括以下步骤：

步骤1、客户机读取定制的身份认证装置中的身份信息，使用定制的身份认证装置的加密芯片和用户密钥对用户信息、服务信息和时间戳进行加密，并发送到认证中心；

步骤2、认证中心读取内部加密存储介质中的用户密钥，并对接收到的认证信息进行解密，判断用户合法性：若用户合法，则认证中心通过内部加密芯片生成本次会话服务提供方服务器使用的公钥与私钥、客户机使用的公钥与私钥、以及会话使用的会话密钥；

步骤3、认证中心读取内部加密存储介质中存储的服务方服务器密钥，加密本次通信服务方服务器私钥、客户机的公钥和会话密钥并发送到服务方服务器；

步骤4、服务方服务器使用定制的身份认证装置中存储的服务方密钥，解密得到服务器私钥、客户机公钥和会话密钥并生成确认信息，使用会话密钥加密确认信息发送到认证中心；

步骤6、认证中心接收到服务器的确认信息后，使用客户密钥加密服务器公钥、客户机私钥和会话密钥发送给客户机；

步骤7、客户机使用定制的身份认证装置解密得到客户机私钥、服务器公钥和会话密钥，使用会话密钥加密确认信息并发送给认证中心；

步骤8、服务器使用会话密钥加密，同时分别向客户机和服务方服务器发送认证完成信息，客户机和服务器接收到认证完成信息后，独立于认证中心进行通讯。

本发明与现有技术相比，其显著优点是：（1）认证中心控制证书的生成传播，证书和密钥混合使用实现完整的加密和验证机制；（2）密码和密钥不以明文的形式在网络中传播，密钥以加密的形式传播；（3）证书的生命周期较短，并且每次会话都会有新的证书产生；（4）认证中心服务器使用加密芯片进行加密，并将数据存储到加密的存储芯片，客户端需要定制的设备进行密钥操作而不经过主机的运算，安全高效。

附图说明

图1是本发明用于分布式用户服务间认证系统的结构示意图。

具体实施方式

下面结合附图及具体实施例对本发明作进一步详细说明。

结合图1，本发明用于分布式用户服务间认证系统，包括认证中心、客户机、服务器和定制的身份认证装置，所述认证中心包括相互连接的加密存储介质和加密芯片；所述认证中心、客户机和服务器两两相连，客户机和服务器均通过usb接口与定制的身份认证装置相连；