通信网络的身份认证方法、会话加密方法及相关设备

1.本技术的实施例涉及信息安全的技术领域，尤其涉及一种通信网络的用户身份认证方法、会话加密方法及相关设备。


背景技术：

2.现有的基于口令的多因素用户身份认证方式中最为突出的是无法抵御离线口令猜测攻击和缺乏前向安全性。过去的认证协议普遍基于一个假设，即智能卡或移动设备中的数据无法被攻击者获取，但随着攻击技术的发展，攻击者能够获取这些数据已经成为公认事实。在离线口令猜测攻击中，攻击者成功获取智能卡或生物特征后，能够离线猜测出用户的口令。
3.另外，前向安全性问题也极为关键，它能够确保即使系统被攻破，之前的通信内容也不会被攻击者获取，降低了系统被攻破后的损失。但目前大部分面向网络视频会议的用户身份认证协议无法实现前向安全性，这意味着它们不能够保护通信内容。
4.基于此，需要设计一种更为可靠和安全的身份认证技术，以满足高安全需求环境中的需求。


技术实现要素：

5.有鉴于此，本技术的目的在于提出一种通信网络的用户身份认证方法、会话加密方法及相关设备。
6.基于上述目的，本技术提供了通信网络的用户身份认证方法，其中，通信网络包括服务器端和至少一个用户端；
7.该方法包括：
8.在向用户端输入登录标识和登录口令后，令所述用户端利用所述登录标识和所述登录口令计算出第一待验因子，当所述第一待验因子与预置的第一目标因子相同，对所述用户端生成的第一随机数进行模幂运算，得到第一中间量，利用所述第一中间量将所述登录标识编码为第二中间量，将所述登录标识和所述登录口令编码为第二待验因子，将所述第一中间量、所述第二中间量和所述第二待验因子发送至服务器端；
9.令所述服务器端解码出所述登录标识，当所述服务器端具备与所述登录标识相同的目标标识，利用所述第一中间量和所述第二中间量计算第二目标因子，当所述第二目标因子与所述第二待验因子相同，则生成公钥对和私钥对，将所述公钥对编码为第三待验因子，将所述第三待验因子和所述公钥对发送至所述用户端；
10.令所述用户端将所述登录标识和所述公钥对编码为第三目标因子，当所述第三目标因子与所述第三待验因子相同，则将所述登录标识和所述公钥对编码为第四待验因子，并将所述第四待验因子发送至所述服务器端；
11.令所述服务器端利用所述私钥对和所述目标标识计算第四目标因子，当所述第四目标因子与所述第四待验因子相同，认证所述登录标识和登录口令合法，并登录与所述目
标标识对应的目标账户。
12.进一步地，该方法还包括：
13.当所述服务器端判定所述第一待验因子与所述第一目标因子不相同，确定所述登录标识不合法，并终止会话连接；
14.当所述服务器端判定不具备与所述登录标识相同的目标标识，确定所述登录标识不合法，并终止会话连接；
15.当所述第二目标因子与所述第二待验因子不相同，确定所述登录标识不合法，并终止会话连接，并判断当前所述用户端被判定为不合法的次数，当所述次数超过预设的次数阈值，令所述服务器端确定与所示目标标识对应的目标账户，并冻结所述目标账户，并令所述用户端将对应所述登录标识的数据冻结；
16.当所述第三目标因子与所述第三待验因子不相同，确定所述登录标识不合法，并终止会话连接；
17.当所述第四目标因子与所述第四待验因子不相同，确定所述登录标识不合法，并终止会话连接。
18.进一步地，在向用户端输入登录标识和登录口令之前，还包括：
19.在向所述用户端输入预设的目标标识和目标口令后，令所述用户端生成第一随机数，并采取哈希函数，利用所述第一随机数对所述目标口令进行扰动，得到目标口令扰动结果；
20.令所述用户端将所述目标标识和所述目标口令扰动结果发送至所述服务器端；
21.令所述服务器端对所述目标标识和所述目标口令扰动结果进行模幂运算，得到所述第一目标因子；
22.令所述服务器端在存储的用户标识中检验所述目标标识在是否已存在，当所述用户标识中不存在所述目标标识，存储所述目标标识，为所述目标标识创建所述目标账户，并在所述目标账户中生成对应所述目标标识的唯一随机数；
23.令所述服务器端采取所述哈希函数，对加入了所述唯一随机数的所述目标标识进行扰动，得到目标标识扰动结果，对所述目标标识扰动结果和所述目标口令扰动结果进行异或运算，得到第一异或结果；
24.令所述服务器端将所述第一目标因子、第一异或结果和所述哈希函数发送至所述用户端存储；
25.令所述用户端存储所述第一目标因子、第一异或结果、所述哈希函数和所述第一随机数，以完成对所述目标账户的注册。
26.进一步地，将所述登录标识和所述登录口令编码为第二待验因子之后，还包括：
27.令用户端向服务器端发送所述第一中间量、所述第二中间量、所述第二待验因子和预设的冻结指令；
28.令所述服务器端接收到所述冻结指令后，解码出所述登录标识，当所述服务器端具备与所述登录标识相同的目标标识，利用所述第一中间量和所述第二中间量计算第二目标因子，当所述第二目标因子与所述第二待验因子相同，将所述唯一随机数设置为空值，以令所述登录标识无法进行下一次认证。
29.进一步地，将所述唯一随机数设置为空值，以令所述登录标识无法进行下一次认
证之后，还包括：
30.在向所述用户端输入所述登录标识和登陆口令后，令所述用户端提取所述第一随机数，并采取哈希函数，利用所述第一随机数对所述登录口令进行扰动，得到登录口令扰动结果；
31.令所述用户端将所述登录标识和所述登录令扰动结果发送至所述服务器端；
32.令所述服务器端检验是否具备与所述登录标识相同的目标标识，当具备与所述登录标识相同的目标标识，则检验所述目标标识对应的目标账户是否被冻结；
33.当所述目标账户被冻结，则检验所述用户端登录标识对应的数据是否被冻结；
34.当所述用户端登录标识对应的数据被冻结，则令所述用户端为所述目标账户端重新注册登录标识和登录口令。
35.基于上述目的，本技术提供了会话加密方法，应用于通信网络，所述通信网络包括如上任意项所述的服务器端，和至少一个如上任意项所述的用户端；
36.该方法包括：
37.令所述用户端利用合法的登录标识计算出第一会话密钥；
38.令所述服务器端利用存储的与所述登录标识相同的目标标识计算出第二会话密钥；
39.令所述用户端利用所述第一会话密钥对发送至所述服务器端的数据进行加密，并利用所述第一会话密钥对所述服务器端发来的数据进行解密；
40.令所述服务器端利用所述第二会话密钥对发送至所述用户端的数据进行加密，并利用所述第二会话密钥对所述用户端发来的数据进行解密。
41.基于同一发明构思，本技术还提供了一种通信网络的用户身份认证装置，包括：输入模块、第一验证模块、第二验证模块和第三验证模块；
42.其中，所述输入模块，被配置为，在向用户端输入登录标识和登录口令后，令所述用户端利用所述登录标识和所述登录口令计算出第一待验因子，当所述第一待验因子与预置的第一目标因子相同，对所述用户端生成的第一随机数进行模幂运算，得到第一中间量，利用所述第一中间量将所述登录标识编码为第二中间量，将所述登录标识和所述登录口令编码为第二待验因子，将所述第一中间量、所述第二中间量和所述第二待验因子发送至服务器端；
43.所述第一验证模块，被配置为，令所述服务器端解码出所述登录标识，当所述服务器端具备与所述登录标识相同的目标标识，利用所述第一中间量和所述第二中间量计算第二目标因子，当所述第二目标因子与所述第二待验因子相同，则生成公钥对和私钥对，将所述公钥对编码为第三待验因子，将所述第三待验因子和所述公钥对发送至所述用户端；
44.所述第二验证模块，被配置为，令所述用户端将所述登录标识和所述公钥对编码为第三目标因子，当所述第三目标因子与所述第三待验因子相同，则将所述登录标识和所述公钥对编码为第四待验因子，并将所述第四待验因子发送至所述服务器端；
45.所述第三验证模块，被配置为，令所述服务器端利用所述私钥对和所述目标标识计算第四目标因子，当所述第四目标因子与所述第四待验因子相同，认证所述登录标识和登录口令合法，并登录与所述目标标识对应的目标账户。
46.基于同一发明构思，本技术还提供了一种会话加密装置，包括：第一计算模块、第
二计算模块、第一加解密模块和第二加解密模块；
47.其中，所述第一计算模块，被配置为，令所述用户端利用合法的登录标识计算出第一会话密钥；
48.所述第二计算模块，被配置为，令所述服务器端利用存储的与所述登录标识相同的目标标识计算出第二会话密钥；
49.所述第一加解密模块，被配置为，令所述用户端利用所述第一会话密钥对发送至所述服务器端的数据进行加密，并利用所述第一会话密钥对所述服务器端发来的数据进行解密；
50.所述第二加解密模块，被配置为，令所述服务器端利用所述第二会话密钥对发送至所述用户端的数据进行加密，并利用所述第二会话密钥对所述用户端发来的数据进行解密。
51.基于同一发明构思，本技术还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上任意一项所述的通信网络的用户身份认证方法和/或会话加密方法。
52.基于同一发明构思，本技术还提供了一种非暂态计算机可读存储介质，其中，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上述通信网络的用户身份认证方法和/或会话加密方法。
53.从上面所述可以看出，本技术提供的通信网络的用户身份认证方法、会话加密方法及相关设备，基于在用户端输入的登录标识和登录口令，来设计第一待验因子、第二待验因子、第三待验因子和第四待验因子，以令服务器对用户端输入的登录标识和登录口令进行认证，其中，通过第一待验因子来验证用户端的身份，并在服务器端存储认证失败的次数，综合利用了模幂运算和哈希函数来进行运算，并结合rsa加密算法来进行加密通信，从而实现用户端与服务器端之间会话密钥的前向安全性。
附图说明
54.为了更清楚地说明本技术或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
55.图1为本技术实施例的用户身份认证方法的流程图；
56.图2为本技术实施例的会话加密方法的流程图；
57.图3为本技术实施例的用户身份认证装置结构示意图；
58.图4为本技术实施例的会话加密装置结构示意图；
59.图5为本技术实施例的电子设备结构示意图。
具体实施方式
60.为使本技术的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本技术进一步详细说明。
61.需要说明的是，除非另外定义，本技术的实施例使用的技术术语或者科学术语应
当为本技术所属领域内具有一般技能的人士所理解的通常意义。本技术的实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。
62.可以理解的是，在使用本公开中各个实施例的技术方案之前，均会通过恰当的方式对所涉及的个人信息的类型、使用范围、使用场景等告知用户，并获得用户的授权。
63.例如，在响应于接收到用户的主动请求时，向用户发送提示信息，以明确的提示用户，其请求执行的操作将需要获取和使用到用户的个人信息。从而，使得用户可以根据提示信息来自主的选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。
64.作为一种可选的但非限定的实现方式，响应于接受到用户的主动请求，向用户发送提示信息的方式例如可以是弹窗的方式，弹窗中可以以文字的方式呈现提示信息。此外，弹窗中还可以承载供用户选择“同意”或者“不同意”向电子设备提供个人信息的选择控件。
65.可以理解的是，上述通知和获取用户授权过程仅是示意性的，不对本公开的实现方式构成限定，其他满足相关法律法规的方式也可应用于本公开的实现方式中。
66.如背景技术部分所述，相关的通信网络的用户身份认证方法和会话加密方法还难以满足实际使用的需要。
67.申请人在实现本技术的过程中发现，相关的通信网络的用户身份认证方法和会话加密方法存在的主要问题在于：现有的基于口令的多因素用户身份认证方式中最为突出的是无法抵御离线口令猜测攻击和缺乏前向安全性。过去的认证协议普遍基于一个假设，即智能卡或移动设备中的数据无法被攻击者获取，但随着攻击技术的发展，攻击者能够获取这些数据已经成为公认事实。在离线口令猜测攻击中，攻击者成功获取智能卡或生物特征后，能够离线猜测出用户的口令。
68.另外，前向安全性问题也极为关键，它能够确保即使系统被攻破，之前的通信内容也不会被攻击者获取，降低了系统被攻破后的损失。但目前大部分面向网络视频会议的用户身份认证协议无法实现前向安全性，这意味着它们不能够保护通信内容。因此，需要设计一种更为可靠和安全的身份认证技术，以满足高安全需求环境中的需求。
69.基于此，本技术中的一个或多个实施例提供了通信网络的用户身份认证方法和会话加密方法。
70.在本技术的实施例中，以具备服务器端和至少一个用户端的通信网络作为执行通信网络的用户身份认证方法和会话加密方法的具体的示例，并以网络视频会议作为通信网络的用户身份认证方法和会话加密方法的具体使用场景。
71.其中，服务器端与用户端之间可以通过信道进行通信。
72.进一步地，用户端内设置有用于存储和运算的子单元，在本实施例中，将该子单元称为智能卡，具有存储服务器发来的数据，以及，对数据进行计算等功能。
73.进一步地，将服务器端表示为s，将任意的第i个用户端表示为ui。
74.在本技术的一个或多个实施例中，在用户端与服务器端进行通信之前，可以令服务器端进行系统初始化。
75.具体地，可以令服务器s设置一个素数阶可乘群g的一个生成元g和一个长密钥x，并设置相应的初始公钥y＝g
x mod p，其中，p表示较大的素数。
76.进一步地，令服务器端s设置一个哈希函数h(
·
):0,1
*
→
0,1
l
，其中，l是函数输出的比特长度。
77.基于此，参与网络视频会议的用户可以通过用户端创建注册账户，并作为目标账户，在注册完成后，当用户登陆该目标账户时，可以通过用户端输入登录标识和登录口令来验证是否可以合法登录该目标账户。
78.以下结合附图详细说明本技术的实施例。
79.参考图1，本技术一个实施例的通信网络的用户身份认证方法，包括以下步骤：
80.步骤s101、在向用户端输入登录标识和登录口令后，令所述用户端利用所述登录标识和所述登录口令计算出第一待验因子，当所述第一待验因子与预置的第一目标因子相同，对所述用户端生成的第一随机数进行模幂运算，得到第一中间量，利用所述第一中间量将所述登录标识编码为第二中间量，将所述登录标识和所述登录口令编码为第二待验因子，将所述第一中间量、所述第二中间量和所述第二待验因子发送至服务器端。
81.在本技术的实施例中，如前所述，在用户向用户端输入登录标识和登录口令之前，需要用户进行账户注册。
82.具体地，用户可以向用户端ui输入预先设置的目标标识idi和目标口令pwi，并令用户端ui生成第一随机数b。
83.基于此，可以令用户端利用第一随机数b与目标口令pwi进行比特连接运算，并采用如上所述的哈希函数对运算结果进行扰动，以实现对原始的目标口令pwi的扰动，并得到目标口令扰动结果pwri。
84.具体地，可以按照如下所示的公式来确定目标口令扰动结果pwri：
85.pwri＝h(pwi||b)
86.进一步地，令用户端将目标口令扰动结果pwri和目标标识idi发送至服务器端。
87.进一步地，在服务器端s在一定时间间隔t
rg
后，接收到目标口令扰动结果pwri和目标标识idi，基于此，通过对目标口令扰动结果pwri和目标标识idi进行运算，得到第一目标因子ai。
88.具体地，可以采取哈希函数分别对目标口令扰动结果pwri和目标标识idi进行扰动，并将两者分别扰动后的结果进行异或运算，并对异或运算后的结果进行取模运算，再对取模运算后的结果进行扰动，得到第一目标因子。
89.具体地，可以按照如下所示的公式来确定第一目标因子ai：
[0090][0091]
其中，n0为[24,28]内的一个整数。
[0092]
进一步地，令服务器端s在其存储的用户标识中检验是否已经存在有目标标识idi，当用户标识中不存在该目标标识idi，则令服务器端s为该用户ui创建一个新的账户作为目标账户，在该账户中创建有目标记录：并将目标标识idi存储至该记录中。
[0093]
在本实施例中，目标记录具体可以表示为：{idi,yi,t
rg
,honey-list＝0}。
[0094]
其中，yi表示该服务器端s为用户ui生成的唯一随机数，也就是说，该唯一随机数yi与用户ui的目标标识idi唯一对应。
[0095]
进一步地，honey-list表示进行登录或认证时失败的次数。
[0096]
进一步地，令服务器端将唯一随机数yi、时间间隔t
rg
、目标标识idi和长密钥x进行比特连接运算，并使用上述的哈希函数对运算结果进行扰动，得到目标标识扰动结果ki。
[0097]
具体地，可以按照如下所示的公式来确定目标标识扰动结果ki：
[0098]ki
＝h(idi||x||yi||t
rg
)
[0099]
进一步地，令服务器端对目标标识扰动结果ki和目标口令扰动结果pwri进行异或运算，得到第一异或结果li。
[0100]
具体地，可以按照如下所示的公式来确定第一异或结果li：
[0101][0102]
进一步地，令服务器端将确定出的第一目标因子ai、第一异或结果li、哈希函数h(
·
)、n0、p、g和初始公钥y发送至用户端。
[0103]
进一步地，在用户端接收到服务器端发来的第一目标因子ai、第一异或结果li、哈希函数h(
·
)、n0、p、g和初始公钥y后，将其存储至智能卡，并将第一随机数b存储至客户端中的智能卡。
[0104]
基于此，用户ui完成目标账户的注册，并创建了目标标识idi和目标口令pwi。
[0105]
在本实施例中，在用户ui完成注册后，可以通过用户端登录时，在登录时，可以向用户端输入登录标识和登录口令，通过用户端与服务器的交互和运算，来验证该登录标识和登录口令是否与先前注册的目标标识和登录口令一致，并在认证一致后，可以登录至目标账户。
[0106]
具体地，在用户端输入登录标识id
′i和登录口令pw
′i。
[0107]
l1进一步地，利用上述智能卡中存储的第一随机数b与登录口令pw
′i进行比特连接运算，并采用如上所述的哈希函数对比特连接运算的结果进行扰动，以实现对原始的登录口令pw
′i的扰动，并得到登录口令扰动结果pwr
′i。
[0108]
具体地，可以按照如下所示的公式来确定登录口令扰动结果pwr
′i：
[0109]
pwr
′i＝h(pw
′i||b)
[0110]
进一步地，令用户端通过对登录口令扰动结果pwr
′i和登录标识id
′i进行运算，得到第一待验因子a
′i。
[0111]
具体地，可以采取哈希函数分别对登录口令扰动结果pwr
′i和登录标识id
′i进行扰动，并将两者分别扰动后的结果进行异或运算，并对异或运算后的结果进行取模运算，再对取模运算后的结果进行扰动，得到第一待验因子a
′i。
[0112]
具体地，可以按照如下所示的公式来确定第一待验因子a
′i：
[0113][0114]
进一步地，用户端利用智能卡中存储的第一目标因子ai与第一待验因子a
′i进行比较。
[0115]
进一步地，当第一目标因子ai与第一待验因子a
′i不相等时，则认为输入至用户端的登录标识id
′i和登录口令pw
′i中至少一个不合法，因此终止认证过程，并终止当前用户端
与服务器端的会话连接。
[0116]
进一步地，当第一目标因子ai与第一待验因子a
′i大小相等时，继续认证。
[0117]
l2进一步地，令用户端使用智能卡生成第二随机数r1，并利用该第二随机数r1进行模幂运算，以取得第一中间量c1和c2，利用c1和c2将登录标识id
′i编码为第二中间量di，并将登录标识id
′i和登录口令pw
′i编码为第二待验因子。
[0118]
具体地，令用户端使用智能卡中存储的g和生成的第二随机数r1，按照如下所示的公式进行模幂运算，得到第一中间量c1：
[0119][0120]
进一步地，令用户端使用智能卡中存储的初始公钥y和生成的第二随机数r1，按照如下所示的公式再次进行模幂运算，得到第一中间量c2：
[0121][0122]
基于此，可以对c1和c2进行比特连接运算，并采用哈希函数对该比特连接运算的结果进行干扰，将哈希函数的运算结果与登录标识id
′i进行异或运算，得到第二中间量di。
[0123]
具体地，可以按照如下所示的公式来确定di：
[0124][0125]
进一步地，对登录口令扰动结果pwr
′i与第一异或结果li进行异或运算，并将该异或运算的结果与第二中间量di、第一中间量c1和c2一同进行比特连接运算，并将该比特连接运算的结果进行哈希函数的扰动，得到第二待验因子m1，以此来实现将登录标识id
′i和登录口令pw
′i一起编码为第二待验因子m1。
[0126]
具体地，可以按照如下所示的公式来确定第二待验因子m1：
[0127]
m1＝h(di||c1||c2||k
′i)
[0128]
其中，
[0129]
l3基于此，令用户端将第一中间量c1、第二中间量di和第二待验因子m1发送至服务器端，以令服务器进行下一步的认证。
[0130]
步骤s102、令所述服务器端解码出所述登录标识，当所述服务器端具备与所述登录标识相同的目标标识，利用所述第一中间量和所述第二中间量计算第二目标因子，当所述第二目标因子与所述第二待验因子相同，则生成公钥对和私钥对，将所述公钥对编码为第三待验因子，将所述第三待验因子和所述公钥对发送至所述用户端。
[0131]
在本技术的实施例中，令服务器端接收用户端发来的第一中间量c1、第二中间量di和第二待验因子m1，并利用第一中间量解码出登录标识。
[0132]
l4具体地，令服务器端对第一中间量c1进行模幂运算，并采用哈希函数对模幂运算的结果施加扰动，并将哈希函数的运算结果与第二中间量di进行异或运算，来得解码出登录标识id
′i。
[0133]
具体地，可以按照如下所示的公式来确定登录标识id
′i：
[0134][0135]
其中，
[0136]
进一步地，服务器端从其存储的全部用户标识中搜索，判断是否存在任意用户标
识与该登录标识id
′i相同，若存在，则将该用户标识作为目标标识，并继续认证。
[0137]
进一步地，当服务器端不存在任意用户标识与该登录标识id
′i相同时，则认为输入至用户端的登录标识id
′i和登录口令pw
′i中至少一个不合法，因此终止认证过程，并终止当前用户端与服务器端的会话连接。
[0138]
l5进一步地，令服务器端对所述第一中间量c1和所述第二中间量di进行比特连接运算，并将登录标识id
′i加入该比特连接运算中，以此来计算第二目标因子m
′1。
[0139]
具体地，可以按照如下所示的公式来确定第二目标因子m
′1：
[0140]m′1＝h(di||c1||c
′2||ki)
[0141]
其中，ki＝h(id
′i||x||yi||t
rg
)。
[0142]
进一步地，令服务器端对第二目标因子m
′1与第二待验因子m1进行比较。
[0143]
进一步地，当第二目标因子m
′1与第二待验因子m1不相等时，则认为输入至用户端的登录口令pw
′i不合法，因此终止认证过程，并终止当前用户端与服务器端的会话连接。
[0144]
进一步地，当认证登录口令pw
′i不合法时，则对honey-list中的次数加1，当honey-list中的次数超出了预先设置的次数阈值时，则令服务器端确定出与目标标识idi所对应的目标账户，并冻结该目标账户，同时，令用户端将该登录标识id
′i对应相关的全部数据冻结。
[0145]
在一些实施例中，对目标账户冻结后，该目标账户内的全部数据将无法被调用和读取；对该登录标识id
′i对应相关的全部数据冻结后，则相关的全部数据无法被调用和读取。
[0146]
进一步地，当第二目标因子m
′1与第二待验因子m1大小相等时，继续认证。
[0147]
l6进一步地，令服务器端初始化rsa加密算法(非对称加密算法)，并生成一对公钥对(n，e)，以及，一对私钥对(n，d)。
[0148]
基于此，令服务器端对公钥对、c
′2、ki、目标标识idi和第一中间量c1进行比特连接运算，来得到第三待验因子m2。
[0149]
具体地，可以按照如下所示的公式来确定第三待验因子m2：
[0150]
m2＝h(idi||ki||c1||c
′2||n||e)
[0151]
进一步地，令服务器端将确定出的第三待验因子m2和生成的公钥对(n，e)发送至用户端，以令用户端进行下一步的认证。
[0152]
步骤s103、令所述用户端将所述登录标识和所述公钥对编码为第三目标因子，当所述第三目标因子与所述第三待验因子相同，则将所述登录标识和所述公钥对编码为第四待验因子，并将所述第四待验因子发送至所述服务器端。
[0153]
在本技术的实施例中，令用户端接收服务器端发来的第三待验因子m2和公钥对(n，e)，并生成第三目标因子m
′2。
[0154]
l7具体地，令用户端对登录标识id
′i、第一中间量c1、第一中间量c2和公钥对(n，e)进行比特连接运算，并在比特连接运算中加入与登录口令pw
′i相关的k
′i，在通过哈希函数来计算出第三目标因子m
′2。
[0155]
具体地，可以按照如下所示的公式来确定第三目标因子m
′2：
[0156]m′2＝h(id
′i||k
′i||c1||c2||n||e)
[0157]
进一步地，令用户端对第三目标因子m
′2与第三待验因子m2进行比较。
[0158]
进一步地，当第三目标因子m
′2与第三待验因子m2不相等时，则认为输入至用户端的登录口令pw
′i不合法，因此终止认证过程，并终止当前用户端与服务器端的会话连接。
[0159]
进一步地，当第三目标因子m
′2与第三待验因子m2大小相等时，继续认证。
[0160]
进一步地，令用户端使用智能卡生成第三随机数r2，其中，r2∈[0,n]。
[0161]
进一步地，利用该第三随机数r2和私钥对进行模幂运算，以取得第三中间量c3，并对第三中间量c3、登录标识id
′i、与登录口令pw
′i相关的k
′i和第三随机数r2进行比特连接运算，以编码出第四待验因子m3。
[0162]
具体地，可以按照如下所示的公式来确定第四待验因子m3：
[0163]
m3＝h(id
′i||c3||k
′i||r2)
[0164]
其中，可以按照如下所示的公式来确定第三中间量c3：
[0165][0166]
进一步地，令用户端将确定出的第四待验因子m3和第三中间量c3发送至服务器端，以令服务器端进行下一步的认证。
[0167]
步骤s104、令所述服务器端利用所述私钥对和所述目标标识计算第四目标因子，当所述第四目标因子与所述第四待验因子相同，认证所述登录标识和登录口令合法，并登录与所述目标标识对应的目标账户。
[0168]
在本技术的实施例中，令服务器端接收用户端发来的第四待验因子m3和第三中间量c3，并利用前述步骤中生成的私钥对(n，d)和第三中间量c3来计算出第四目标因子m
′3。
[0169]
l9具体地，利用私钥对(n，d)进行模幂运算，并将模幂运算的结果与ki、目标标识idi、第三中间量c3进行比特连接运算，再对比特连接运算的结果执行哈希函数，以此得到第四目标因子m
′3。
[0170]
其中，可以按照如下所示的公式来确定第四目标因子m
′3：
[0171]m′3＝h(idi||c3||ki||r
′2)
[0172]
其中，
[0173]
进一步地，令服务器端对第四目标因子m
′3与第四待验因子m3进行比较。
[0174]
进一步地，当第四目标因子m
′3与第四待验因子m3不相等时，则认为输入至用户端的登录口令pw
′i不合法，因此终止认证过程，并终止当前用户端与服务器端的会话连接。
[0175]
进一步地，当第四目标因子m
′3与第四待验因子m3大小相等时，则认为登录标识d
′i和登录口令认证pw
′i均合法，基于此，用户端可以通过服务器端来登录在服务器端与目标标识idi所对应的目标账户。
[0176]
在本技术的另一实施例中，在将所述登录标识和所述登录口令编码为第二待验因子之后，还包括：
[0177]
令用户端向服务器端发送所述第一中间量、所述第二中间量、所述第二待验因子和预设的冻结指令；
[0178]
令所述服务器端接收到所述冻结指令后，解码出所述登录标识，当所述服务器端具备与所述登录标识相同的目标标识，利用所述第一中间量和所述第二中间量计算第二目标因子，当所述第二目标因子与所述第二待验因子相同，将所述唯一随机数设置为空值，以令所述登录标识无法进行下一次认证。
[0179]
在本实施例中，在用户发现客户端出现被盗用等情况，用户可以选择对其已注册目标账户主动冻结。
[0180]
具体地，用户可以向客户端输入登录标识id
′i和登录口令pw
′i。
[0181]
进一步地，利用上述智能卡中存储的第一随机数b与登录口令pw
′i进行比特连接运算，并采用如上所述的哈希函数对比特连接运算的结果进行扰动，以实现对原始的登录口令pw
′i的扰动，并得到登录口令扰动结果pwr
′i。
[0182]
具体地，可以按照如下所示的公式来确定登录口令扰动结果pwr
′i：
[0183]
pwr
′i＝h(pw
′i||b)
[0184]
进一步地，令用户端通过对登录口令扰动结果pwr
′i和登录标识id
′i进行运算，得到第一待验因子a
′i。
[0185]
具体地，可以采取哈希函数分别对登录口令扰动结果pwr
′i和登录标识id
′i进行扰动，并将两者分别扰动后的结果进行异或运算，并对异或运算后的结果进行取模运算，再对取模运算后的结果进行扰动，得到第一待验因子a
′i。
[0186]
具体地，可以按照如下所示的公式来确定第一待验因子a
′i：
[0187][0188]
进一步地，用户端利用智能卡中存储的第一目标因子ai与第一待验因子a
′i进行比较。
[0189]
进一步地，当第一目标因子ai与第一待验因子a
′i不相等时，则认为输入至用户端的登录标识id
′i和登录口令pw
′i中至少一个不合法，因此终止认证过程，并终止当前用户端与服务器端的会话连接。
[0190]
进一步地，当第一目标因子ai与第一待验因子a
′i大小相等时，继续认证。
[0191]
进一步地，令用户端使用智能卡生成第二随机数r1，并利用该第二随机数r1进行模幂运算，以取得第一中间量c1和c2，利用c1和c2将登录标识id
′i编码为第二中间量di，并将登录标识id
′i和登录口令pw
′i编码为第二待验因子。
[0192]
具体地，令用户端使用智能卡中存储的g和生成的第二随机数r1，按照如下所示的公式进行模幂运算，得到第一中间量c1：
[0193][0194]
进一步地，令用户端使用智能卡中存储的初始公钥y和生成的第二随机数r1，按照如下所示的公式再次进行模幂运算，得到第一中间量c2：
[0195][0196]
基于此，可以对c1和c2进行比特连接运算，并采用哈希函数对该比特连接运算的结果进行干扰，将哈希函数的运算结果与登录标识id
′i进行异或运算，得到第二中间量di。
[0197]
具体地，可以按照如下所示的公式来确定di：
[0198][0199]
进一步地，对登录口令扰动结果pwr
′i与第一异或结果li进行异或运算，并将该异或运算的结果与第二中间量di、第一中间量c1和c2一同进行比特连接运算，并将该比特连接运算的结果进行哈希函数的扰动，得到第二待验因子m1，以此来实现将登录标识id
′i和登录口令pw
′i一起编码为第二待验因子m1。
[0200]
具体地，可以按照如下所示的公式来确定第二待验因子m1：
[0201]
m1＝h(di||c1||c2||k
′i)
[0202]
其中，
[0203]
基于此，令用户端将第一中间量c1、第二中间量di、第二待验因子m1和冻结指令发送至服务器端。
[0204]
进一步地，令服务器端接收用户端发来的第一中间量c1、第二中间量di、第二待验因子m1和冻结指令，并利用第一中间量解码出登录标识。
[0205]
进一步地，令服务器端对第一中间量c1进行模幂运算，并采用哈希函数对模幂运算的结果施加扰动，并将哈希函数的运算结果与第二中间量di进行异或运算，来得解码出登录标识id
′i。
[0206]
具体地，可以按照如下所示的公式来确定登录标识id
′i：
[0207][0208]
其中，
[0209]
进一步地，服务器端从其存储的全部用户标识中搜索，判断是否存在任意用户标识与该登录标识id
′i相同，若存在，则将该用户标识作为目标标识，并继续认证。
[0210]
进一步地，当服务器端不存在任意用户标识与该登录标识id
′i相同时，则认为输入至用户端的登录标识id
′i和登录口令pw
′i中至少一个不合法，因此终止认证过程，并终止当前用户端与服务器端的会话连接。
[0211]
进一步地，令服务器端对所述第一中间量c1和所述第二中间量di进行比特连接运算，并将登录标识id
′i加入该比特连接运算中，以此来计算第二目标因子m
′1。
[0212]
具体地，可以按照如下所示的公式来确定第二目标因子m
′1：
[0213]m′1＝h(di||c1||c
′2||ki)
[0214]
其中，ki＝h(id
′i||x||yi||t
rg
)。
[0215]
进一步地，令服务器端对第二目标因子m
′1与第二待验因子m1进行比较。
[0216]
进一步地，当第二目标因子m
′1与第二待验因子m1不相等时，则认为输入至用户端的登录口令pw
′i不合法，因此终止认证过程，并终止当前用户端与服务器端的会话连接。
[0217]
进一步地，当认证登录口令pw
′i不合法时，则对honey-list中的次数加1，当honey-list中的次数超出了预先设置的次数阈值时，则令服务器端确定出与目标标识idi所对应的目标账户，并冻结该目标账户，同时，令用户端将该登录标识id
′i对应相关的全部数据冻结。
[0218]
在一些实施例中，对目标账户冻结后，该目标账户内的全部数据将无法被调用和读取；对该登录标识id
′i对应相关的全部数据冻结后，则相关的全部数据无法被调用和读取。
[0219]
进一步地，当第二目标因子m
′1与第二待验因子m1大小相等时，将唯一随机数yi设置为空值。
[0220]
基于此，该登录标识id
′i无法进行下一步认证，也就是说，与该登录标识id
′i相同的目标标识idi所对应的目标账户无法被登录。
[0221]
在本技术的另一实施例中，将所述唯一随机数设置为空值，以令所述登录标识无
法进行下一次认证之后，还包括：
[0222]
在向所述用户端输入所述登录标识和登陆口令后，令所述用户端提取所述第一随机数，并采取哈希函数，利用所述第一随机数对所述登录口令进行扰动，得到登录口令扰动结果；
[0223]
令所述用户端将所述登录标识和所述登录令扰动结果发送至所述服务器端；
[0224]
令所述服务器端检验是否具备与所述登录标识相同的目标标识，当具备与所述登录标识相同的目标标识，则检验所述目标标识对应的目标账户是否被冻结；
[0225]
当所述目标账户被冻结，则检验所述用户端登录标识对应的数据是否被冻结；
[0226]
当所述用户端登录标识对应的数据被冻结，则令所述用户端为所述目标账户端重新注册登录标识和登录口令。
[0227]
在本技术的实施例中，当用户已注册的目标账户被冻结后，可以通过重新注册来解除目标账户的冻结状态。
[0228]
具体地，在用户端输入登录标识id
′i和登录口令pw
′i。
[0229]
进一步地，利用上述智能卡中存储的第一随机数b与登录口令pw
′i进行比特连接运算，并采用如上所述的哈希函数对比特连接运算的结果进行扰动，以实现对原始的登录口令pw
′i的扰动，并得到登录口令扰动结果pwr
′i。
[0230]
具体地，可以按照如下所示的公式来确定登录口令扰动结果pwr
′i：
[0231]
pwr
′i＝h(pw
′i||b)
[0232]
进一步地，将登录口令扰动结果pwr
′i和登录标识id
′i发送至服务器端。
[0233]
进一步地，在服务器端接收登录口令扰动结果pwr
′i和登录标识id
′i后，在其存储的用户账户中，查找是否存在任意用户标识与该登录标识id
′i相同。
[0234]
进一步地，若存在任意用户标识与该登录标识id
′i相同，则将该用户标识确定为目标标识idi。
[0235]
进一步地，判断该目标标识idi所对应的目标账户是否仍处于被冻结的状态。
[0236]
进一步地，若该目标账户处于被冻结的状态，则判断用户端的智能卡中，与登录标识id
′i相关的数据是否处于被冻结的状态。
[0237]
进一步地，若与登录标识id
′i相关的数据处于被冻结的状态，则令用户为该目标账户设置新的登录标识和新的登录口令。
[0238]
进一步地，通过用户端，对新的登录标识和新的登录口令重新进行注册。
[0239]
可见，本技术的实施例的通信网络的用户身份认证方法，基于在用户端输入的登录标识和登录口令，来设计第一待验因子、第二待验因子、第三待验因子和第四待验因子，以令服务器对用户端输入的登录标识和登录口令进行认证，其中，通过第一待验因子来验证用户端的身份，并在服务器端存储认证失败的次数，综合利用了模幂运算和哈希函数来进行运算，并结合rsa加密算法来进行加密通信，从而实现用户端与服务器端之间会话密钥的前向安全性。
[0240]
参考图2，本技术一个实施例的会话加密方法，该方法应用于前述实施例中的通信网络，并具备同样的服务器和至少一个用户端。
[0241]
并具体包括以下步骤：
[0242]
步骤s201、令所述用户端利用合法的登录标识计算出第一会话密钥。
[0243]
在本实施例中，在确定出用户端的登录标识和登录口令合法后，可以令用户端对登录标识id
′i、第一中间量c1和c2、第三中间量c3，与登录口令pw
′i相关的k
′i，以及第三随机数r2进行比特连接运算，并对比特连接运算的结果执行哈希函数，以此来得到第一会话密钥sk1。
[0244]
其中，可以按照如下所示的公式来确定第一会话密钥sk1：sk1＝h(id
′i||c1||c2||c3||k
′i||r2)。
[0245]
步骤s202、令所述服务器端利用存储的与所述登录标识相同的目标标识计算出第二会话密钥。
[0246]
在本实施例中，服务器端基于具备与登录标识id
′i相同的目标标识idi，可以令服务器端对目标标识idi、第一中间量c1、第三中间量c3、c
′2、r
′2、以及与登录标识idi相关的ki进行比特连接运算，并对比特连接运算的结果执行哈希函数，以此来得到第二会话密钥sk2。
[0247]
其中，可以按照如下所示的公式来确定第二会话密钥sk2：sk2＝h(idi||c1||c
′2||c3||ki||r
′2)。
[0248]
步骤s203、令所述用户端利用所述第一会话密钥对发送至所述服务器端的数据进行加密，并利用所述第一会话密钥对所述服务器端发来的数据进行解密。
[0249]
在本实施例中，用户端基于前述步骤计算拿出的第一会话密钥sk1，在与服务器端进行通信时，可以使用该第一会话密钥sk1来对数据进行加密，并将加密后的加密数据发送至服务器端。
[0250]
在一些实施例中，用户端还可以使用第一会话密钥sk1来对服务器端发来的加密数据进行解密，以得到原数据。
[0251]
步骤s204、令所述服务器端利用所述第二会话密钥对发送至所述用户端的数据进行加密，并利用所述第二会话密钥对所述用户端发来的数据进行解密。
[0252]
在本实施例中，服务器端基于前述步骤计算拿出的第二会话密钥sk2，在与用户器端进行通信时，可以使用该第二会话密钥sk2来对数据进行加密，并将加密后的加密数据发送至用户端。
[0253]
在一些实施例中，服务器端还可以使用第人会话密钥sk2来对用户端发来的加密数据进行解密，以得到原数据。
[0254]
需要说明的是，本技术的实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本技术的实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
[0255]
需要说明的是，上述对本技术的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
[0256]
基于同一发明构思，与上述任意实施例方法相对应的，本技术的实施例还提供了一种通信网络的用户身份认证装置。
[0257]
参考图3，所述通信网络的用户身份认证装置，包括：输入模块301、第一验证模块302、第二验证模块303和第三验证模块304；
[0258]
其中，所述输入模块301，被配置为，在向用户端输入登录标识和登录口令后，令所述用户端利用所述登录标识和所述登录口令计算出第一待验因子，当所述第一待验因子与预置的第一目标因子相同，对所述用户端生成的第一随机数进行模幂运算，得到第一中间量，利用所述第一中间量将所述登录标识编码为第二中间量，将所述登录标识和所述登录口令编码为第二待验因子，将所述第一中间量、所述第二中间量和所述第二待验因子发送至服务器端；
[0259]
所述第一验证模块302，被配置为，令所述服务器端解码出所述登录标识，当所述服务器端具备与所述登录标识相同的目标标识，利用所述第一中间量和所述第二中间量计算第二目标因子，当所述第二目标因子与所述第二待验因子相同，则生成公钥对和私钥对，将所述公钥对编码为第三待验因子，将所述第三待验因子和所述公钥对发送至所述用户端；
[0260]
所述第二验证模块303，被配置为，令所述用户端将所述登录标识和所述公钥对编码为第三目标因子，当所述第三目标因子与所述第三待验因子相同，则将所述登录标识和所述公钥对编码为第四待验因子，并将所述第四待验因子发送至所述服务器端；
[0261]
所述第三验证模块304，被配置为，令所述服务器端利用所述私钥对和所述目标标识计算第四目标因子，当所述第四目标因子与所述第四待验因子相同，认证所述登录标识和登录口令合法，并登录与所述目标标识对应的目标账户。
[0262]
基于同一发明构思，与上述任意实施例方法相对应的，本技术的实施例还提供了一种会话加密装置。
[0263]
参考图4，所述会话加密装置，包括：第一计算模块401、第二计算模块402、第一加解密模块403和第二加解密模块404；
[0264]
其中，所述第一计算模块401，被配置为，令所述用户端利用合法的登录标识计算出第一会话密钥；
[0265]
所述第二计算模块402，被配置为，令所述服务器端利用存储的与所述登录标识相同的目标标识计算出第二会话密钥；
[0266]
所述第一加解密模块403，被配置为，令所述用户端利用所述第一会话密钥对发送至所述服务器端的数据进行加密，并利用所述第一会话密钥对所述服务器端发来的数据进行解密；
[0267]
所述第二加解密模块404，被配置为，令所述服务器端利用所述第二会话密钥对发送至所述用户端的数据进行加密，并利用所述第二会话密钥对所述用户端发来的数据进行解密。
[0268]
为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本技术的实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
[0269]
上述实施例的装置用于实现前述任一实施例中相应的通信网络的用户身份认证方法和/或会话加密方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0270]
基于同一发明构思，与上述任意实施例方法相对应的，本技术的实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，
所述处理器执行所述程序时实现如上任意一实施例所述的通信网络的用户身份认证方法和/或会话加密方法。
[0271]
图5示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
[0272]
处理器1010可以采用通用的cpu(central processing unit，中央处理器)、微处理器、应用专用集成电路(application specific integrated circuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本技术实施例所提供的技术方案。
[0273]
存储器1020可以采用rom(read only memory，只读存储器)、ram(random access memory，随机存取存储器)、静态存储设备、动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本技术实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。
[0274]
输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入/输出模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
[0275]
通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
[0276]
总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
[0277]
需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本技术实施例方案所必需的组件，而不必包含图中所示的全部组件。
[0278]
上述实施例的装置用于实现前述任一实施例中相应的通信网络的用户身份认证方法和/或会话加密方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0279]
基于同一发明构思，与上述任意实施例方法相对应的，本技术还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一实施例所述的通信网络的用户身份认证方法和/或会话加密方法。
[0280]
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。
[0281]
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的通信网络的用户身份认证方法和/或会话加密方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0282]
所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本技术的范围(包括权利要求)被限于这些例子；在本技术的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本技术的实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。
[0283]
另外，为简化说明和讨论，并且为了不会使本技术的实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本技术的实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本技术的实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本技术的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本技术的实施例。因此，这些描述应被认为是说明性的而不是限制性的。
[0284]
尽管已经结合了本技术的具体实施例对本技术进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。
[0285]
本技术的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本技术的实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本技术的保护范围之内。

技术特征：
1.一种通信网络的身份认证方法，其特征在于，所述通信网络包括服务器端和至少一个用户端；所述方法包括：在向用户端输入登录标识和登录口令后，令所述用户端利用所述登录标识和所述登录口令计算出第一待验因子，当所述第一待验因子与预置的第一目标因子相同，对所述用户端生成的第一随机数进行模幂运算，得到第一中间量，利用所述第一中间量将所述登录标识编码为第二中间量，将所述登录标识和所述登录口令编码为第二待验因子，将所述第一中间量、所述第二中间量和所述第二待验因子发送至服务器端；令所述服务器端解码出所述登录标识，当所述服务器端具备与所述登录标识相同的目标标识，利用所述第一中间量和所述第二中间量计算第二目标因子，当所述第二目标因子与所述第二待验因子相同，则生成公钥对和私钥对，将所述公钥对编码为第三待验因子，将所述第三待验因子和所述公钥对发送至所述用户端；令所述用户端将所述登录标识和所述公钥对编码为第三目标因子，当所述第三目标因子与所述第三待验因子相同，则将所述登录标识和所述公钥对编码为第四待验因子，并将所述第四待验因子发送至所述服务器端；令所述服务器端利用所述私钥对和所述目标标识计算第四目标因子，当所述第四目标因子与所述第四待验因子相同，认证所述登录标识和登录口令合法，并登录与所述目标标识对应的目标账户。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：当所述服务器端判定所述第一待验因子与所述第一目标因子不相同，确定所述登录标识不合法，并终止会话连接；当所述服务器端判定不具备与所述登录标识相同的目标标识，确定所述登录标识不合法，并终止会话连接；当所述第二目标因子与所述第二待验因子不相同，确定所述登录标识不合法，并终止会话连接，并判断当前所述用户端被判定为不合法的次数，当所述次数超过预设的次数阈值，令所述服务器端确定与所示目标标识对应的目标账户，并冻结所述目标账户，并令所述用户端将对应所述登录标识的数据冻结；当所述第三目标因子与所述第三待验因子不相同，确定所述登录标识不合法，并终止会话连接；当所述第四目标因子与所述第四待验因子不相同，确定所述登录标识不合法，并终止会话连接。3.根据权利要求1所述的方法，其特征在于，所述在向用户端输入登录标识和登录口令之前，还包括：在向所述用户端输入预设的目标标识和目标口令后，令所述用户端生成第一随机数，并采取哈希函数，利用所述第一随机数对所述目标口令进行扰动，得到目标口令扰动结果；令所述用户端将所述目标标识和所述目标口令扰动结果发送至所述服务器端；令所述服务器端对所述目标标识和所述目标口令扰动结果进行模幂运算，得到所述第一目标因子；令所述服务器端在存储的用户标识中检验所述目标标识在是否已存在，当所述用户标
识中不存在所述目标标识，存储所述目标标识，为所述目标标识创建所述目标账户，并在所述目标账户中生成对应所述目标标识的唯一随机数；令所述服务器端采取所述哈希函数，对加入了所述唯一随机数的所述目标标识进行扰动，得到目标标识扰动结果，对所述目标标识扰动结果和所述目标口令扰动结果进行异或运算，得到第一异或结果；令所述服务器端将所述第一目标因子、第一异或结果和所述哈希函数发送至所述用户端存储；令所述用户端存储所述第一目标因子、第一异或结果、所述哈希函数和所述第一随机数，以完成对所述目标账户的注册。4.根据权利要3所述的方法，其特征在于，所述将所述登录标识和所述登录口令编码为第二待验因子之后，还包括：令用户端向服务器端发送所述第一中间量、所述第二中间量、所述第二待验因子和预设的冻结指令；令所述服务器端接收到所述冻结指令后，解码出所述登录标识，当所述服务器端具备与所述登录标识相同的目标标识，利用所述第一中间量和所述第二中间量计算第二目标因子，当所述第二目标因子与所述第二待验因子相同，将所述唯一随机数设置为空值，以令所述登录标识无法进行下一次认证。5.根据权利要求4所述的方法，其特征在于，所述将所述唯一随机数设置为空值，以令所述登录标识无法进行下一次认证之后，还包括：在向所述用户端输入所述登录标识和登陆口令后，令所述用户端提取所述第一随机数，并采取哈希函数，利用所述第一随机数对所述登录口令进行扰动，得到登录口令扰动结果；令所述用户端将所述登录标识和所述登录令扰动结果发送至所述服务器端；令所述服务器端检验是否具备与所述登录标识相同的目标标识，当具备与所述登录标识相同的目标标识，则检验所述目标标识对应的目标账户是否被冻结，当所述目标账户被冻结，则检验所述用户端登录标识对应的数据是否被冻结；当所述用户端登录标识对应的数据被冻结，则令所述用户端为所述目标账户端重新注册登录标识和登录口令。6.一种会话加密方法，其特征在于，应用于通信网络，所述通信网络包括如权利要求1-5中任意项所述的服务器端，和至少一个如权利要求1-5中任意项所述的用户端；所述方法包括：令所述用户端利用合法的登录标识计算出第一会话密钥，利用所述第一会话密钥对发送至所述服务器端的数据进行加密，并利用所述第一会话密钥对所述服务器端发来的数据进行解密；令所述服务器端利用存储的与所述登录标识相同的目标标识计算出第二会话密钥，利用所述第二会话密钥对发送至所述用户端的数据进行加密，并利用所述第二会话密钥对所述用户端发来的数据进行解密。7.一种通信网络的身份认证装置，其特征在于，包括：输入模块、第一验证模块、第二验证模块和第三验证模块；
其中，所述输入模块，被配置为，在向用户端输入登录标识和登录口令后，令所述用户端利用所述登录标识和所述登录口令计算出第一待验因子，当所述第一待验因子与预置的第一目标因子相同，对所述用户端生成的第一随机数进行模幂运算，得到第一中间量，利用所述第一中间量将所述登录标识编码为第二中间量，将所述登录标识和所述登录口令编码为第二待验因子，将所述第一中间量、所述第二中间量和所述第二待验因子发送至服务器端；所述第一验证模块，被配置为，令所述服务器端解码出所述登录标识，当所述服务器端具备与所述登录标识相同的目标标识，利用所述第一中间量和所述第二中间量计算第二目标因子，当所述第二目标因子与所述第二待验因子相同，则生成公钥对和私钥对，将所述公钥对编码为第三待验因子，将所述第三待验因子和所述公钥对发送至所述用户端；所述第二验证模块，被配置为，令所述用户端将所述登录标识和所述公钥对编码为第三目标因子，当所述第三目标因子与所述第三待验因子相同，则将所述登录标识和所述公钥对编码为第四待验因子，并将所述第四待验因子发送至所述服务器端；所述第三验证模块，被配置为，令所述服务器端利用所述私钥对和所述目标标识计算第四目标因子，当所述第四目标因子与所述第四待验因子相同，认证所述登录标识和登录口令合法，并登录与所述目标标识对应的目标账户。8.一种会话加密装置，其特征在于，包括：第一计算模块、第二计算模块、第一加解密模块和第二加解密模块；其中，所述第一计算模块，被配置为，令所述用户端利用合法的登录标识计算出第一会话密钥；所述第二计算模块，被配置为，令所述服务器端利用存储的与所述登录标识相同的目标标识计算出第二会话密钥；所述第一加解密模块，被配置为，令所述用户端利用所述第一会话密钥对发送至所述服务器端的数据进行加密，并利用所述第一会话密钥对所述服务器端发来的数据进行解密；所述第二加解密模块，被配置为，令所述服务器端利用所述第二会话密钥对发送至所述用户端的数据进行加密，并利用所述第二会话密钥对所述用户端发来的数据进行解密。9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5和/或权利要求6中任意项所述的方法。10.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行根据权利要求1至5和/或权利要求6中任意项所述的方法。

技术总结
本申请提供一种种通信网络的用户身份认证方法、会话加密方法及相关设备；该方法包括：利用登录标识和登录口令计算出第一待验因子，若与第一目标因子相同，则计算第一中间量，利用第一中间量将登录标识编码为第二中间量，将登录标识和登录口令编码为第二待验因子，将第一中间量、第二中间量和第二待验因子发送至服务器端；若服务器端具备与登录标识相同的目标标识，则计算出第二目标因子，若与第二待验因子相同，则生成公钥对和私钥对，并计算拿出第三待验因子发送至用户端；用户端计算出为第三目标因子，若与第三待验因子相同，则计算第四待验因子并发送至服务器端；服务器端计算第四目标因子，两者相同，认证登录标识和登录口令合法。合法。合法。


技术研发人员：王晨宇 徐国胜 徐国爱 钟林良
受保护的技术使用者：北京邮电大学
技术研发日：2023.04.24
技术公布日：2023/8/9