[发明专利]一种基于可信第三方的纯软件CAVA身份认证方法

权利要求书

1.一种基于可信第三方的纯软件CAVA身份认证方法，其特征在于，包括如下步骤：

(1)数字证书申请阶段：

S1.1、消费者Ru和支付平台Rp分别向认证中心CA发送申请数字证书请求；

S1.2、认证中心CA审核申请数字证书请求后，分别为消费者Ru和支付平台Rp发放数字证书CER_u和CER_p，所述数字证书中包含身份认证参与者各自的基本信息INFO、公钥PUK和认证中心CA的数字签名DS；

(2)契约初始化阶段：

S2.1、消费者Ru向支付平台Rp发送建立契约请求，并向支付平台Rp发送包括ID_up和INFO_u在内的基础信息；其中ID_up表示消费者Ru在支付平台Rp中的身份标识符ID_up；INFO_u表示消费者Ru的非安全性信息；

S2.2、支付平台Rp在收到建立契约请求后，先进行审核；

S2.3、通过审核后，支付平台Rp向消费者Ru发送审核成功消息；

S2.4、收到成功消息后，消费者Ru和支付平台Rp分别向认证中心CA请求对方的数字证书CER_p和CER_u，CER_p表示支付平台Rp的数字证书，CER_u表示消费者Ru的数字证书；由于数字证书中包含了消费者Ru和支付平台Rp的真实身份信息，并由可信第三方即认证中心CA通过数字签名提供保障，因此消费者Ru和支付平台Rp可通过数字证书双向确认对方的身份；

S2.5、认证中心接收到消费者Ru和支付平台Rp的数字证书请求后，提取数字证书CER_p和CER_u；

S2.6、认证中心CA向消费者Ru和支付平台Rp分别发送数字证书CER_p和CER_u；

S2.7、消费者Ru和支付平台Rp收到对方的数字证书后，验证认证中心CA的数字签名DS并确认对方真实身份，契约达成，支付平台Rp存储INFO_u；

(3)商务流程的注册阶段：

S3.1、消费者Ru向商家系统Rb发送注册请求，并向商家系统Rb发送包括ID_ub和INFO_u在内的基础信息；ID_ub表示消费者Ru在商家系统Rb中的身份标识符；

S3.2、商家系统Rb在收到注册请求后，先进行审核；通过审核后，向消费者Ru发送系统消息MSG；

S3.3、收到系统消息MSG后，消费者Ru将自己设定的口令PW_ub经过1次哈希算法而得到安全令牌ST_ub并将安全令牌ST_ub发送至Rb；

S3.4、商家系统Rb收到安全令牌ST_ub后，存储ST_ub和INFO_u；

(4)商务流程的登录阶段：

S4.1、消费者Ru向商家系统Rb发送登录请求，并向商家系统Rb发送ID_ub、ST_ub和SI等安全信息；SI表示除ID_ub和PW_ub之外的安全信息；

S4.2、商家系统Rb在收到登录请求后，根据消费者Ru的ID_ub从数据库中调取预留的安全令牌ST_ub并进行审核；通过审核后，向消费者Ru发送系统消息MSG；

(5)结算阶段：

S5.1、消费者Ru向商家系统Rb发送结算请求，并向商家系统Rb发送ID_up用于Rb和Rp建立信任关系；

S5.2、商家系统Rb在收到结算请求后，将ID_up转发至支付平台Rp；

S5.3、支付平台Rp根据ID_up从数据库中查询消费者Ru的相关信息，若未查询到则返回相关错误信息，若查询到则生成一个随机字符串S，并将S发送给商家系统Rb；

S5.4、商家系统Rb在收到随机字符串S后转发给消费者Ru；

S5.5、消费者Ru收到随机字符串S后，将随机字符串S利用存储在本地的私钥PRK_u对随机字符串S进行加密而得到安全令牌ST_up并将安全令牌ST_up发送至商家系统Rb；

S5.6、商家系统Rb在收到安全令牌ST_up后转发给支付平台Rp；

S5.7、支付平台Rp收到安全令牌ST_up后，向认证中心CA请求消费者Ru的数字证书CER_u，验证认证中心CA的数字签名后从CER_u中提取消费者Ru的公钥PUK_u；

S5.8、支付平台利用消费者Ru的公钥PUK_u解密安全令牌ST_up并得到S’，若S＝S’，则信任关系TRUST建立并发送通知验证成功的系统消息，若验证失败则发送通过验证失败的系统消息；

S5.9、商家系统Rb和支付平台Rp之间的信任关系建立；

S5.10、商家系统Rb向支付平台Rp发起结算请求并发送结算信息M；

S5.11、支付平台Rp向商家系统Rb结算；

S5.12、若结算成功，支付平台Rp向商家系统Rb返回结算成功消息；

S5.13、商家系统Rb向消费者Ru返回结算成功消息。