[发明专利]一种资源信息处理方法

权利要求书

1.一种资源信息处理方法，用于企业云存储系统与移动端的相互认证，其特征在于，包括：

使用用户注册时输入的信息作为第一认证向量，使用由移动端固有特征生成的动态特性作为第二认证向量，确定认证系数常量O与I，并将动态向量D作为密钥，将加入静态向量S的设备特性C作为输入生成认证序列，并将该认证序列作为设备的动态特性，即：

SAC(D，C)＝SHA(D⊕O||SHA(S⊕I||C))

其中所述动态向量D使用最后一次登录时间和自变量随机数来生成；所述静态向量S使用用户设置的安全口令和注册时产生的随机数来生成；所述设备特性C将设备原始特性即集成电路标识码与所述静态和动态向量进行运算，得到设备动态特性即第二认证向量；

其中使用用户注册时输入的信息作为第一认证向量之前，还包括，在用户注册阶段，由用户向所述企业云存储系统的注册服务器请求注册，包括向注册服务器提供用户名与口令作为初级认证信息，同时提供可选信息；注册服务器收到注册请求后按照以下步骤进行处理：

设置用户提交的预注册信息需要符合的条件和格式；检查预注册信息是否符合设置的条件；若预注册信息匹配预设条件且用户为第一次注册则将用户信息保存到主服务器，随后生成初级可信根文件并返回给用户；

用户收到注册服务器返回的初级可信根文件后，将初级可信根文件、用户名、移动端集成电路标识码、用户设置的OTP安全码发送给企业云存储系统的动态认证服务器；动态认证服务器收到注册请求后按以下步骤完成用户注册：

检查初级可信根文件是否正确，同时向主服务器查询用户的初级预注册信息；设置预注册信息，包括设置移动端类型、操作系统、设备特性类型、静态向量、动态向量；检查收到的预注册信息是否满足预注册信息设置，若不满足则结束注册过程并返回失败信息；将用户预注册信息保存在主服务器中；设置认证服务器参数，包括不同等级关联用户的认证权值，不同属性的认证权值；将用户选择的原始关联用户发送给动态认证服务器，并将其作为自己的预设群体关联信息，动态认证服务器保存用户的预设群体关联信息，将动态认证服务器身份令牌分发给用户，完成动态特性注册；

在用户身份认证的第一认证向量认证中，包括：

1.1认证配置项设置：注册服务器首先设置需要检查的认证配置项，包括设置允许访问注册服务器的IP段、设置是否允许使用代理、设置使用的通信协议；

1.2检查认证配置项：注册服务器对上一步中设置的认证配置项进行检查，若认证信息匹配认证配置项设置，则进行步骤1.3，否则将认证失败信息返回给用户；

1.3验证认证信息：注册服务器检查用户的用户名与口令是否正确，若不正确则将认证失败信息返回给用户，若正确则将初级认证成功许可返回给用户；

1.4保存用户认证状态：完成后，注册服务器将用户成功完成初级认证的状态保存到主服务器中；

在第二认证向量认证阶段，该方法包括：

2.1动态认证服务器认证移动端：

生成移动端动态特性SAC(D，CU)，其中D为选定的动态向量，CU为加入静态向量的设备特性码；

移动端将SAC(D，CU)、用户名、移动端生成的随机数RU、初级可信根、时间戳封装后发送到动态认证服务器进行第二级认证；

动态认证服务器解封装信息，检查时间戳是否过期；若未过期则查询用户动态向量D、静态向量S，否则返回认证失败信息；

主服务器检查用户的用户名、认证状态、初级可信根是否正确，若用户成功完成初级认证则向动态认证服务器提供用户的动态向量D与静态向量S；

动态认证服务器计算移动端随机数RU，并使用同样SAC算法生成移动端动态特性SAC(D，CU)；随后将生成的移动端动态特性与收到的移动端动态特性进行比较，若比较结果相同，则动态认证服务器成功认证移动端，执行下一步，否则返回认证失败信息；

生成服务器随机数Rs，然后使用用户的动态向量D与静态向量S生成服务器动态特性SAC(D，Cs)，并将生成的服务器随机数Rs与服务器动态特性封装后发回移动端；Cs为加入静态向量的设备特性码；

2.2移动端认证动态认证服务器：

移动端解封装信息，并计算时间戳与服务器随机数Rs；随后移动端检查时间戳是否过期，若未过期则使用动态向量D与静态向量S生成服务器动态特性SAC(D，Cs)，并与收到的服务器动态特性进行比较，否则向动态认证服务器发送移动端认证服务器失败信息；若比较结果相同，则移动端成功认证动态认证服务器，并向动态认证服务器发送认证成功信息，否则返回认证失败；

2.3生成会话密钥：

动态认证服务器Q检查移动端用户P返回信息是否正确，若正确则使用随机数RU、RS计算本次会话密钥，同时按预定策略改变用户的动态向量D，否则返回认证失败；移动端使用同样的方法更新动态向量，并计算相同的本次会话密钥；

用户P首先获取动态认证服务器Q的公钥证书CA{KQ}，提取Q的公钥KQ，然后将如下信息发送给动态认证服务器Q：

M＝ERSA-M(KQ,KPQ||tP||IDQ||X)，X＝ERSA-PS(JP，IDQ)，

tP为时间戳，IDQ为Q的身份，KPQ为协商的会话密钥；JP为P的私钥；所述ERSA-M、ERSA-PS分别为RSA公钥加密算法和签名算法；

动态认证服务器Q收到发送的信息M后，首先用Q的私钥JQ解密信息M，得：KQ,KPQ||tP||IDQ||X；

若时间戳tP、IDQ均有效，则Q提取P的公钥KP，验证签名值X＝ERSA-PS(KP，IDQ)，即DRSA-PS(KP,ERSA-PS(KP，IDQ))，若以上签名值有效，则会话密钥申请成功；

所述DRSA-PS为RSA验证签名算法；

通过会话密钥KPQ对用户P的标识IDP以及产生的散列函数HASH进行加密，即ESHA(KPQ||IDP||HASH)并将加密后的ESHA(KPQ||IDP||HASH)发送给用户，所述ESHA为SHA加密算法；

用户收到信息ESHA(KPQ||IDP||HASH)后，通过会话密钥KPQ解密得用户标识IDP以及对应的散列函数；

同时，用户生成在区间(0，1)之间的随机数RU、RS，并生成单向散列链表，并把散列链表的链尾值散列发送给主服务器；

用户P使用第一认证向量认证完成后协商的会话密钥加密拥有的身份令牌，随后将加密后的身份令牌发送给动态认证服务器Q；动态认证服务器检查用户P的第一认证向量认证情况，若认证成功则解密用户P的身份令牌，并验证令牌的有效期；计算身份令牌的加权和与合法性阈值，若令牌加权和大于合法性阈值则判定用户P的第二认证向量认证成功；

完成动态和静态向量认证后，服务器与移动端获得了同样的会话密钥，移动端随后可以使用对称加密算法加密通信信息来访问云平台服务器；

其中，所述身份令牌还包括用户间群体关联信息的许可；所述用户间群体关联信息的建立包括：

(1)确定两个用户的耦合度是否达到预设阈值；用户间A与用户B的耦合度达到某一阈值，则确定对方可信；随后用户A向服务器请求生成用户B的身份令牌，同时用户B也向服务器请求生成用户A的身份令牌；

(2)获取身份令牌；服务器同时收到用户A与用户B互相为对方生成身份令牌的请求，则确定用户A与用户B间建立了群体关联信息；随后生成用户A、用户B的身份令牌并对应发送给用户B与用户A；

用户A与用户B的所述耦合度CpC(A，B)通过以下过程来计算：

CpC(A，B)＝arctan(m/θ)+arctan(n/θ)

上式中m为用户A向用户B发起的通信次数；n为用户B向用户A发起的通信次数，θ为调节系数。