[发明专利]一种结合数字证书和动态密码的安全认证与交易方法

摘要

一种结合数字证书和动态密码的安全认证与交易方法，它有两大步骤：步骤一：安全认证方法；步骤二：安全交易方法。具体为：首先，基于数字证书实现客户端与服务器之间的双向认证；然后，在双向认证的基础上，通过数字证书和动态密码的结合实现安全认证；最后，在安全认证的基础上，通过数字证书和动态密码的结合实现安全交易。本发明结合数字证书和动态密码对用户的身份进行确认后，实现各种应用系统的安全登录和安全交易，本发明将数字证书和动态密码有机结合起来，避免了单独使用数字证书或动态密码的安全隐患，并充分发挥了各自的安全优势，能够抵御各种攻击，具有很高的安全性，满足网络中各种高安全应用的需求，在网络安全技术领域里具有较好的实用价值和广阔的应用前景。

主权项

1.一种结合数字证书和动态密码的安全认证与交易方法，其特征在于：首先，基于数字证书实现客户端与服务器之间的双向认证；然后，在双向认证的基础上，通过数字证书和动态密码的结合实现身份认证；最后，在安全认证的基础上，通过数字证书和动态密码的结合实现安全交易；该方法具体步骤如下：步骤一：安全认证方法结合数字证书和动态密码对用户的身份进行认证，判断是否为合法用户，用户只用拥有合法有效数字证书和动态密码，并经USB令牌按键确认才能通过服务器的认证，执行相应权限的操作，具体实现过程如下：(一)、基于数字证书进行客户端与服务器之间的双向认证(1)当登陆系统时，用户在客户端输入用户名ID_C后确认，客户端提示用户插入USB令牌；用户插入USB令牌，并通过USB令牌的键盘输入PIN码；若PIN码不正确，则USB令牌提示重新输入，错误三次后USB令牌锁定；若PIN码正确，则USB令牌将用户数字证书Cert_C发送给客户端，客户端将用户名ID_C和用户数字证书Cert_C一起发送给服务器；(2)服务器通过用户名ID_C在数据库中查找该用户；若不存在则结束会话，提示该用户不存在；若存在则用CA公钥K_CA验证用户数字证书Cert_C；若验证不通过则结束会话，提示用户数字证书错误；若验证通过则产生随机数R_S，并从用户数字证书Cert_C中提取用户公钥K_C对随机数R_S加密得到将和服务器数字证书Cert_S一起发送给客户端；(3)客户端从USB令牌中读取CA公钥K_CA验证服务器数字证书Cert_S；若验证不通过则结束会话，提示服务器数字证书错误；若验证通过则将发送给USB令牌，USB令牌用用户私钥K′_C解密得到随机数R_S后发送给客户端；客户端产生随机数R_C，并从服务器数字证书Cert_S中提取服务器公钥K_S加密R_S||R_C得到将发送给服务器；其中，符号||为字符串连接符；(4)服务器用服务器私钥K′_S解密得到随机数R_S||R_C，比较得到的随机数R_S与原来产生的随机数是否相同；若不相同则结束会话，提示客户端认证失败；若相同则表明客户端身份真实，服务器从用户数字证书Cert_C中提取用户公钥K_C对随机数R_C加密得到将发送给客户端；(5)客户端将发送给USB令牌，USB令牌用用户私钥K′_C解密得到随机数R_C后发送给客户端；客户端比较收到的随机数R_C与原来产生的随机数是否相同；若不相同则结束会话，提示服务器认证失败；若相同则表明服务器身份真实，提示客户端与服务器之间双向认证成功，请按USB令牌的确认键；(二)、结合数字证书和动态密码进行身份认证(1)用户按USB令牌的确认键基于事件生成动态密码OTP，USB令牌将OTP发送给客户端；客户端从服务器数字证书Cert_S中提取服务器公钥K_S加密OTP得到将发送给服务器；(2)服务器用服务器私钥K′_S解密得到OTP，服务器生成动态密码OTP，比较两个动态密码是否相同；若不相同则结束会话，提示用户动态密码错误；若相同则身份认证通过，提示身份认证成功；(3)身份认证成功后，就将客户端用户名ID_C绑定客户端的操作权限；因为随机数没有公开，所以可以用随机数R_S和R_C的运算值作为客户端与服务器之间的对称加密(AES)的密钥；客户端与服务器之间也可以用数字证书协商别的对称密钥；当客户端与服务器之间需要传输重要数据时，就用协商好的对称密钥进行加密传输；步骤二：安全交易方法在安全认证后，用户可以执行相应权限的操作，结合数字证书和动态密码的安全交易，用户只用拥有合法有效数字证书和动态密码，并经USB令牌按键确认才能完成交易；具体实现过程如下：(1)在用户身份认证成功的前提下，当用户进行网上交易确认时，用户在客户端确认，客户端提示用户插入USB令牌；用户插入USB令牌，并通过USB令牌的键盘输入PIN码；若PIN码不正确，则USB令牌提示重新输入，错误三次后USB令牌锁定；若PIN码正确，则USB令牌将用户确认信息发送给客户端，客户端将用户确认信息发送给服务器；(2)服务器用服务器私钥K′_S对交易账单号||交易账号||交易金额(XXX)进行数字签名得到将发送给客户端；(3)客户端从服务器数字证书Cert_S中提取服务器公钥K_S，解签名得到交易账单号||交易账号||交易金额后发送给USB令牌；USB令牌将交易账单号、交易账号、交易金额显示在屏幕上，用户查看USB令牌上的显示与电脑上正进行的交易账单号、交易账号、交易金额是否相同；若不相同则用户取消交易；若相同则用户按USB令牌的确认键基于事件生成动态密码OTP，USB令牌将OTP发送给客户端；另外，USB令牌用用户私钥K′_C对交易账单号||交易账号||交易金额(XXX)进行数字签名得到将发送给客户端；客户端从服务器数字证书Cert_S中提取服务器公钥K_S加密OTP得到最后将和一起发送给服务器；(4)服务器用服务器私钥K′_S解密得到OTP，服务器生成动态密码OTP，比较两个动态密码是否相同；若不相同则结束会话，提示用户动态密码错误；若相同则服务器从用户数字证书Cert_C中提取用户公钥K_C解签名得到XXX，比较XXX与原来的交易账单号、交易账号、交易金额是否相同；若不相同则结束会话，提示交易账单号、交易账号、交易金额有误；若相同则确认交易，提示交易成功。