[发明专利]一种安全登录系统及方法、登录服务器和认证服务器

权利要求书

1.一种安全登录系统，其特征在于，包括登录服务器和认证服务器，其中：

所述登录服务器，用于接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求，利用自身的私钥Bs对所述登录请求解密，并根据所述登录请求向所述客户端发送利用用户的公钥Ap加密后的登录响应信息，所述登录响应信息中包括所述认证服务器的地址；

所述认证服务器，用于接收所述客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求，利用自身的私钥Cs对所述密钥请求解密，为所述用户生成会话密钥secret_key，并利用所述登录服务器的公钥对所述会话密钥加密后得到会话密钥信息发送给客户端；

所述登录服务器还用于接收所述客户端发送的解密请求，所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息，利用所述登录服务器私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。

2.如权利要求1所述的系统，其特征在于，所述登录请求中包括：所述客户端根据用户的密码m和随机数r生成的第一参数m’，所述m’＝m r^emod N，其中，N为常数；

所述登录服务器发送给所述客户端的登录响应信息中还包括：根据所述第一参数m’生成的第二参数u’，所述u’＝(m’)^dmod N；其中，d为常数，N为常数；

所述认证服务器收到的密钥请求中包括：所述客户端根据所述u’生成并发送的第三参数R，所述R＝(u’)^e/r mod N，其中，N为常数；

所述认证服务器进一步用于利用所述用户的公钥Ap对所述R加密得到Ap(R)，并将所述Ap(R)与所述利用所述登录服务器的公钥Bp加密后的会话密钥信息一并发送给客户端。

3.如权利要求2所述的系统，其特征在于，所述利用所述登录服务器的公钥Bp加密后的会话密钥信息具体为：利用所述登录服务器公钥Bp对f(secret_key,R)进行加密后得到的Bp(f(secret_key,R))；所述f(secret_key,R)为所述secret_key和所述R进行逻辑运算后的结果；

所述登录服务器对所述会话密钥信息解密再利用所述用户的公钥Ap加密后的结果为Ap(f(secret_key,R))。

4.如权利要求3所述的系统，其特征在于，所述客户端进一步用于接收到所述登录服务器发送的Ap(f(secret_key,R))后，利用自身私钥As对所述Ap(f(secret_key,R))解密得到密钥f(secret_key,R)，再通过f的逆向运算f’，得到会话密钥secret_key。

5.如权利要求1所述的系统，其特征在于，所述解密请求还包括：所述用户的身份信息，所述登录服务器进一步用于对所述用户的身份信息进行校验，确认所述用户身份合法。

6.如权利要求5所述的系统，其特征在于，所述用户的身份信息为所述用户的身份标识和/或所述用户的生物特征信息。

7.一种安全登录方法，其特征在于，包括如下步骤：

登录服务器接收客户端利用所述登录服务器的公钥Bp加密后发送的登录请求，利用自身的私钥Bs对所述登录请求解密，并根据所述登录请求向所述客户端发送利用用户的公钥Ap加密后的登录响应信息，所述登录响应信息中包括认证服务器的地址；

认证服务器接收所述客户端根据所述认证服务器地址并利用所述认证服务器的公钥Cp加密后发送的密钥请求，利用自身的私钥Cs对所述密钥请求解密，为所述用户生成会话密钥secret_key，并利用所述登录服务器的公钥Bp对所述会话密钥secret_key加密后得到会话密钥信息发送给客户端；

所述登录服务器接收所述客户端发送的解密请求，所述解密请求中包括所述利用所述登录服务器的公钥Bp加密后的会话密钥信息，利用所述登录服务器私钥Bs对所述会话密钥信息进行解密再利用所述用户的公钥Ap加密后发送给所述客户端。