[发明专利]一种用户与服务器之间安全认证的方法

说明书

本发明公开了一种用户与服务器之间安全认证的方法，服务器无需生成和公布公钥，通过交换临时公钥和验证值来交互，验证双方的合法性，保证客户端与服务器端建立安全且有效的传输信道，并最终生成会话密钥进行后续的通信。并建立会话密钥更新机制，在会话密钥泄露造成的安全信道失效的情况下，仍能重新建立安全信道；以及建立口令更改机制，保障了用户更改的新口令能安全地更新到数据库。本发明的方法，不需要生成并发布公钥及公钥证书，不需要进行公钥证书的验证与管理，安全有效，而且难以被攻击。

技术领域

本发明属于用户安全认证技术领域，尤其涉及一种用户与服务器之间安全认证的方法。

背景技术

现代高速网络的快速发展，给现代人的工作、生活和社交带来极其丰富的选择和高度的便捷。移动互联网的发展进一步突破了时间和空间的限制，如今人们可以随时随地使用自己的手机、平板等设备进行网络视频、手机银行转账支付、网店购物等远程操作，也能使用人脸、扫码、NFC等支付方式进行乘坐地铁公交、线下购物，无现金的生活方式越来越普及和流行。一些新兴技术产品如无人驾驶汽车、无人飞行器、智能家居、VR眼镜等，也随着5G网络的商用，走入人们的视线，受到大众的欢迎。网络技术的飞速发展促进了工业控制、物联网、云计算、虚拟现实、区块链等领域的火热，而这些技术领域反过来又进一步催生了更大的网络需求，在未来人们的生活与工作越来越离不开现代网络。然而万物互联互通也带来新的安全风险，常见的网络攻击包括中间人攻击、DDOS攻击、口令暴力破解攻击等，其中协议本身的漏洞是实施成功攻击的根本原因之一。

很多认证协议的提出与应用，有效的保障了网络的安全性。两方口令认证与密钥交换(2PAKE)协议作为其中最重要的认证协议之一，可以让用户在公网与可信服务器互相认证，且建立一个安全的会话密钥。

然而，目前的技术方案，在采用公钥认证加密来保护用户的口令时，服务器首先需要生成并发布公钥及公钥证书，这种方案需要服务器发布公钥证书，因此需要进行公钥证书的验证与管理。

还有一些方案，服务器接收用户提交的身份信息，向用户发送包含用户口令和有效期间的注册信息；用户生成登录信息参数，向服务器发送登录信息；服务器根据身份信息、登录信息参数和有效期间生成服务器会话密钥，向用户发送用户会话密钥参数；用户生成用户会话密钥；服务器和用户根据各自生成的会话密钥进行相互认证。然而，这种方案有严重的协议漏洞，缺乏用户与服务器两方的相互身份认证，攻方能够有效假冒成任何一方，进行中间人攻击。

发明内容

本发明的目的是提供一种用户与服务器之间安全认证的方法，用以避免上述背景技术中提到的问题，在保证用户与服务器相互认证的安全性与鲁棒性的同时，具有较高的运算效率。

为了实现上述目的，本申请技术方案如下：

一种用户与服务器之间安全认证的方法，包括：

服务器接收用户注册请求，所述用户注册请求中携带有用户身份标识和第一哈希值，所述第一哈希值根据用户身份标识和口令生成；

服务器接收用户登录请求，所述用户登录请求中携带用户身份标识和第一临时公钥，所述第一临时公钥由用户按照临时公钥算法生成；

服务器按照临时公钥算法生成第二临时公钥，将所述第二临时公钥与第一哈希值异或运算后生成第三临时值，将服务器身份标识和所述第三临时值发送给用户，以便用户将所述第三临时值与第一哈希值进行异或运算后获取第二临时公钥替代值，根据所述第一临时公钥、第二临时公钥替代值生成第一验证值，并向服务器发送携带第一验证值的认证请求；

服务器接收用户发送的第一验证值，根据所述第一临时公钥、第二临时公钥计算第二验证值，并与第一验证值比较验证，如果相等，则服务器认证用户成功；