[发明专利]一种基于CPK标识认证的端对端身份认证及加密方法

说明书

技术领域

本发明涉及网络信息安全领域，尤其涉及一种基于CPK标识认证的端对端身份认证及加密方法。

背景技术

随着网络应用的的普及发展，网络信息安全的问题日益严重并威胁大众，而信息安全的把控核心在于认证和加密。目前全世界范围内主要存在两套认证体系，PKI公钥体系和CPK组合公钥体系。认证体系主要解决的问题是身份认证和密钥交换，身份认证解决身份真伪的鉴别，而密钥交换解决数据的安全传输。在PKI公钥体系中，采用CA认证中心负责管理用户的公钥证书，而用户的公私钥证书与用户标识并没有关系，每次认证都需要在线的CA认证中心的支持，无法实现离线的端对端的认证；PKI的认证容量比较低，认证过程需要消耗海量的网络资源，且其无法实现跨域的身份认证，其建设成本高，维护复杂。在CPK组合公钥体系中，利用椭圆曲线密码理论，构造了种子公、私钥矩阵，以微小的种子密钥(如48kb)产生出巨大的公私钥对数量(如10的48次方)，解决了密钥规模化管理和应用难题，可满足海量的认证需求；CPK技术中的密钥分散存储、静态调用的运行模式，可以实现无第三方和非在线认证，支持端对端的认证需求；其建设成本低，维护简单。

在互联网和移动互联网的快速发展下，PKI公钥体系已经无法满足新的需求，如移动应用端对端的认证及加密等，且当PKI中的CA认证中心一旦出现问题，整个认证系统将全面瘫痪。因此我们提出一种基于CPK组合公钥体系的身份认证及加密方法，其不需要第三方的CA中心、可实现离线的、跨域的、海量的基于公网的端对端的身份认证和密钥交换。

发明内容

为达到上述目的，本发明提供一种基于CPK标识认证的端对端身份认证及加密方法，采用如下技术方案：

一种基于CPK标识认证的端对端身份认证及加密方法，其特征在于：

服务端接收用户端发来的用服务端的CPK标识公钥加密的用户的CPK签名信息，用服务端的CPK标识私钥进行解密得到用户的CPK签名信息，采用CPK算法用用户私有标识和种子公钥计算出用户的CPK标识公钥来验证用户的CPK签名信息，将验证后的认证结果信息用用户的CPK标识公钥进行加密并返回给用户端；

用户身份认证通过后，用户端与服务端可进行会话密钥的交换，用户端与服务端基于该会话密钥进行认证加密通信；服务端可为身份认证通过的不同用户的用户端完成网络地 址交换，用户端的不同用户可用自己的CPK Key设备(如用户A与用户B)进行身份认证及会话密钥交换，并基于该会话密钥实现用户端对用户端的认证加密通信。

所述服务端为支持CPK标识认证技术、能进行CPK标识白名单管理的服务设备或服务云端；服务端的功能包括但不限于：服务审计等可设置的功能。

所述用户端为支持CPK标识认证技术的软件或设备，用户端的每个用户都有一个基于用户私有标识的用户的CPK Key设备；在用户发起身份认证请求后，用户端先检测是否有用户的CPK Key设备插入，若检测到有用户的CPK Key设备插入，再对用户输入的CPK pin码做本地验证；CPK pin码验证通过后，用户端再发送用户的身份认证信息给服务端；若没有检测到用户的CPK Key设备或有用户的CPK Key设备但用户输入的CPK pin码错误，其显示相应的错误信息给用户。

所述用户的CPK Key设备在使用前需要用户设置CPK Key的pin码来激活CPK Key设备，在每次认证中都需要用户输入已设置的CPK Key的pin码做本地验证；用户的CPK Key的Pin码在一次认证中错误输入到达一定次数，用户的CPK Key设备会锁死，用户则需要去CPK Key设备的发证中心去解锁。

所述的用户端与服务端或用户端与用户端的身份认证及加密是端对端的身份认证及加密通信，且不需要认证中心。

所述的端对端的身份认证及加密通信可支持跨域的用户认证及加密通信，即不同域的用户端(或服务端)互为协议，并存放需要通信的域的CPK种子公钥矩阵，可实现不同域的用户端之间的相互认证及加密通信。

所述的会话密钥为随机数(临时产生，每次随机)，该随机数可由通信双方的任意一端产生；通过用用户私有标识和种子公钥在本地计算出对话端的用户的CPK标识公钥，并用对话端用户的CPK标识公钥对会话密钥进行加密来实现密钥的交换；会话密钥可定时更换(更换时间可自行定义)，从而实现了一话一密安全可信的通信。

所述的端对端的身份认证及加密都是基于互联网或移动网络连接的通信。

附图说明