一种身份认证系统和方法

文档序号:7892078阅读:152来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种身份认证系统和方法
技术领域
本发明涉及信息加密技术领域,特别涉及一种身份认证和方法。
背景技术
在今天这样一个互联网驱动的社会中,网上银行也称在线银行,已经成为金融机构整体发展策略中不可或缺的一部分。近年来使用网上银行的用户数量巨大增长,并且每年保持了稳定的发展势头。网上银行在给它的用户带来诸多便捷服务、给银行节省费用支出和带来更多利润增长点的同时,也承受着很多安全风险。很多银行意识到了这一点,纷纷采取行动,包括不断教育用户提高自身安全意识,安装杀毒软件,防木马软件;采用硬件 USBKey或者动态口令牌方式进行身份认证等。USBKey是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。目前为了一些企业更加安全方便的与网络银行系统进行对接,银行会在企业的电脑系统中布置一个前置服务器,前置服务器通过网络连接银行的后台系统,专门为该企业处理网络银行业务;相比于银行的公用服务器,这种供一个企业专用的前置服务器更加安全的保护了企业客户的商业隐私,也更加便于企业客户使用。前置服务器一般都伴有一个与该服务器绑定的USBKey,所述绑定即代表一种USBKey与前置服务器之间固定的对应关系;企业内部使用网络银行的时候,首先需要将USBKey通过USB接口接入前置服务器进行身份认证,在身份认证过程中只有与前置服务器存在绑定关系的USBKey能够通过身份认证,通过身份认证后,企业可以开始利用前置服务器进行网银操作。在现有技术中,USBKey与前置服务器的绑定主要有两种形式,一种为USBKey与前置服务器中例如IP地址等虚拟环节进行绑定;另一种是USBKey通过前置服务器中例如 (PU序列号或者硬盘序列号之类的硬件标识,直接与硬件进行绑定。现有技术中存在的缺点在于,如果同类似IP地址等虚拟环节进行绑定,由于IP地址等虚拟环节很可能被修改或者冒充,所以安全性非常低;如果同硬件进行绑定,当服务器的硬件进行了更新换代,则绑定失效,在实际应用中造成很大的不方便,并且所述硬件绑定实际上同样是通过一些虚拟环节来实现的,所以同样存在安全风险。

发明内容
有鉴于此,本发明的目的在于提供一种身份认证系统和方法,以实现更加安全方便的进行身份认证,具体技术方案如下—种身份认证系统,所述系统包括授权端,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;授权端存储私钥,将公钥发送至签名端储存;授权端利用私钥计算得到认证数据,将所述认证数据发送至所述签名端进行认证;签名端,用于从授权端接收公钥并存储;利用自身存储的公钥解析从授权端获取的认证数据,如果解析成功则通过认证。所述授权端包括第一生成单元,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥, 所述公钥与私钥彼此唯一匹配;第一运算单元,用于从第一存储单元获取私钥,利用所述私钥计算得到认证数据;第一发送单元,用于从第一生成单元获取公钥,将公钥发送至签名端保存;从第一运算单元获取认证数据,将认证数据发送至签名端进行认证;第一存储单元,用于存储私钥。所述签名端包括第二密钥认证单元,用于从授权端获取认证数据,从第二存储单元获取公钥,利用所述公钥解析所述认证数据,如果解析成功则通过认证;第二存储单元,用于从授权端获取公钥并存储。所述授权端还存储签名端的认证码信息;所述签名端还存储一个标示签名端自身唯一特征的序列号,所述授权端包括第三生成单元,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥, 所述公钥与私钥彼此唯一匹配;第三获取单元,用于从签名端获取签名端序列号,并将序列号发送至第三识别单元;第三识别单元,用于识别签名端的序列号,并根据从第三存储单元获取与该序列号对应的认证码信息;第三运算单元,用于从第三存储单元获取私钥,利用所述私钥计算得到认证数据;第三签名单元,用于从第三运算单元获取认证数据,从第三识别单元获取认证码信息,并将认证数据写入认证码信息中;第三发送单元,用于从第三生成单元获取公钥,将公钥发送至签名端保存;从第三签名单元获取写入认证数据的认证码信息并发送至签名端进行认证;第三存储单元,用于存储私钥和签名端的认证码信息。所述签名端还存储一个用于外部认证的合法认证码,所述签名端包括第四发送单元,用于从第四存储单元获取序列号并发送至授权端;第四密钥认证单元,用于接收授权端发送的写入认证数据的认证码信息,并从第四存储单元获取公钥,利用所述公钥解析所述认证码信息中写入的认证数据,如果解析成功则将认证码信息发送至第四认证码认证单元,如果解析不成功则中断认证;第四认证码认证单元,用于从第四密钥认证单元获取认证码信息,从第四存储单元获取合法认证码,并判断所述认证码信息是否与合法认证码一致,如果一致则认证成功, 如果不一致则中断认证;第四存储单元,用于从授权端获取公钥并存储,存储一个标示签名端自身唯一特征的序列号和一个用于外部认证的合法认证码。所述授权端还存储签名端的认证码信息;所述签名端还存储一个标示签名端自身唯一特征的序列号并在认证过程中生成一个随机数,所述授权端包括第五生成单元,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥, 所述公钥与私钥彼此唯一匹配;第五获取单元,用于从签名端获取签名端序列号与随机数,并将序列号发送至第五识别单元,将随机数发送至第五运算单元;第五识别单元,用于识别签名端的序列号,并根据从第五存储单元获取与该序列号对应的认证码信息;第五运算单元,用于从第五存储单元获取私钥,利用所述私钥计算得到认证数据; 并从第五识别单元获取认证码信息,从第五获取单元获取随机数,预先设置运算规则,利用运算规则运算随机数与认证码信息,得到运算认证码信息;第五签名单元,用于从第五运算单元获取认证数据和获取运算认证码信息,并将认证数据写入运算认证码信息中;第五发送单元,用于从第五生成单元获取公钥,将公钥发送至签名端保存;从第五签名单元获取写入认证数据的运算认证码信息并发送至签名端进行认证;第五存储单元,用于存储私钥和签名端的认证码信息。所述签名端还存储一个用于外部认证的合法认证码,所述签名端包括随机数单元,用于生成随机数,并将随机数发送至第六发送单元;第六发送单元,用于从第六存储单元获取序列号,从随机数单元获取随机数,将序列号与随机数发送至授权端;第六密钥认证单元,用于接收授权端发送的写入认证数据的运算认证码信息,并从第六存储单元获取公钥,利用所述公钥解析所述运算认证码信息中写入的认证数据,如果解析成功则将运算认证码信息发送至逆运算单元,如果解析不成功则中断认证;逆运算单元,用于从运算认证码信息中解析出认证码信息,并将认证码信息发送至第六认证码认证单元;第六认证码认证单元,用于从逆运算单元获取认证码信息,从第六存储单元获取合法认证码,并判断所述认证码信息是否与合法认证码一致,如果一致则认证成功,如果不一致则中断认证;第六存储单元,用于从授权端获取公钥并存储,存储一个标示签名端自身唯一特征的序列号和一个用于外部认证的合法认证码。一种身份认证方法,所述方法包括以下步骤计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;将私钥保存在授权端,公钥保存在签名端;授权端利用私钥计算得到认证数据;签名端接收授权端的认证数据,并利用自身存储的公钥解析所述认证数据,如果解析成功则通过认证。所述签名端接收授权端的认证数据,并利用自身存储的公钥解析所述认证数据还
7包括签名端发送自身的序列号到授权端;授权端利用序列号获取对应的认证码信息;授权端利用私钥计算得到认证数据;并将认证数据写入认证码信息中;授权端将写入认证数据的认证码信息发送至签名端;签名端利用自身存储的公钥解析认证码信息中写入的认证数据,如果解析成功则认证认证码信息,如果解析不成功则中断认证;判断所述认证码信息是否与签名端保存的合法认证码一致,如果一致则认证成功,如果不一致则中断认证。所述签名端接收授权端的认证数据,并利用自身存储的公钥解析所述认证数据还包括签名端发送自身的序列号与随机数到授权端;授权端利用序列号获取对应的认证码信息,并预先设置运算规则,利用运算规则运算随机数与认证码信息,得到运算认证码信息;授权端利用私钥计算得到认证数据,将认证数据写入运算认证码信息中;将写入认证数据的运算认证码信息发送至签名端;签名端利用自身存储的公钥解析运算认证码信息中写入的认证数据,如果解析成功则认证运算认证码信息,如果解析不成功则中断认证;签名端从运算认证码信息中解析出认证码信息;签名端判断所述认证码信息是否与签名端保存的合法认证码一致,如果一致则认证成功,如果不一致则中断认证。通过以上技术方案可知,本发明存在的有益效果是,所述系统通过授权端与签名端之间的唯一匹配,既避免了虚拟环节绑定的高风险,又避免了硬件绑定的复杂不便,实现了身份认证系统安全简洁的绑定;另外本发明通过为认证码加入随机数运算,使得每次身份认证发送的运算认证码信息不同,从而避免了出现恶意劫持认证码而造成的安全隐患。


为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图I为本发明实施例所述系统结构示意图;图2为本发明另一实施例所述系统结构示意图;图3为本发明又一实施例所述系统结构示意图;图4为本发明实施例所述方法流程图;图5为本发明另一实施例所述方法流程图;图6为本发明又一实施例所述方法流程图。
具体实施方式
在本发明中,通过产生一个彼此唯一匹配的密钥对,并且将该密钥对中的私钥保存在本发明所述身份认证系统的授权端,将该密钥对中的公钥保存在本发明所述身份认证系统的签名端;实现了所述授权端与签名端之间唯一且固定的对应关系,即完成了授权端与签名端的绑定。上述绑定的授权端与签名端在使用过程中,通过利用所述私钥计算得到认证数据,并利用对应的公钥解析该认证数据完成认证身份的功能。为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。参照图I所示,为本发明所述系统公开的具体实施例。所述系统包括授权端和签名端,具体为授权端,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;授权端存储私钥,将公钥发送至签名端储存;授权端利用私钥计算得到认证数据,将所述认证数据发送至所述签名端进行认证;签名端,用于从授权端接收公钥并存储;利用自身存储的公钥解析从授权端获取的认证数据,如果解析成功则通过认证。本实施例中,所述授权端包括第一生成单元,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥, 所述公钥与私钥彼此唯一匹配;第一运算单元,用于从第一存储单元获取私钥,利用所述私钥计算得到认证数据;第一发送单元,用于从第一生成单元获取公钥,将公钥发送至签名端保存;从第一运算单元获取认证数据,将认证数据发送至签名端进行认证;第一存储单元,用于存储私钥;所述签名端包括第二密钥认证单元,用于从授权端获取认证数据,从第二存储单元获取公钥,利用所述公钥解析所述认证数据,如果解析成功则通过认证;第二存储单元,用于从授权端获取公钥并存储。本实施例所述系统通过授权端和签名端二者分别保存一对唯一匹配的私钥与公钥,实现了授权端与签名端之间唯一的对应绑定。所述系统在进行身份认证的过程中,授权端利用所述私钥计算得到认证数据,只有与该私钥绑定的公钥才能够解析该认证数据,签名端在解析认证数据成功的情况下认为身份认真成功。本实施例为本发明所述系统的一个基础实施例。本实施例中所述授权端与签名端通过分别保存一个密钥对中的私钥与公钥实现了彼此唯一且固定的绑定关系,并且通过私钥与公钥运算并解析认证数据完成身份认证。在具体应用中,一般会将签名端置于服务器或个人计算机的内部,将授权端接入服务器或个人计算机,用户可以通过上述二者完成在服务器或者个人计算机上的身份认证。本实施例存在的有益效果是利用本发明所述身份认证系统中两部分之间的绑定代替传统身份认证装置的绑定方式;解决了传统身份认证装置直接与服务器或个人计算机的虚拟环节进行绑定而存在的安全性问题,也解决了传统身份认证装置直接与服务器或个人计算机的硬件进行绑定而带来的使用不便。另外,当服务器或个人计算机出现故障或者需要更换,只需要取出内置的签名端并置于新的服务器或个人计算机内部即可,不存在身份认证系统绑定关系的变更,从而使本实施例所述系统更加实用。对图I所示实施例中的技术方案进一步扩充,可以得到如图2所示的实施例,具体为所述授权端还存储签名端的认证码信息;所述签名端还存储一个标示签名端自身唯一特征的序列号和一个用于外部认证的合法认证码;授权端包括第三生成单元,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥, 所述公钥与私钥彼此唯一匹配;第三获取单元,用于从签名端获取签名端序列号,并将序列号发送至第三识别单元;第三识别单元,用于识别签名端的序列号,并根据从第三存储单元获取与该序列号对应的认证码信息;第三运算单元,用于从第三存储单元获取私钥,利用所述私钥计算得到认证数据;第三签名单元,用于从第三运算单元获取认证数据,从第三识别单元获取认证码信息,并将认证数据写入认证码信息中;第三发送单元,用于从第三生成单元获取公钥,将公钥发送至签名端保存;从第三签名单元获取写入认证数据的认证码信息并发送至签名端进行认证;第三存储单元,用于存储私钥和签名端的认证码信息;签名纟而包括第四发送单元,用于从第四存储单元获取序列号并发送至授权端;第四密钥认证单元,用于接收授权端发送的写入认证数据的认证码信息,并从第四存储单元获取公钥,利用所述公钥解析所述认证码信息中写入的认证数据,如果解析成功则将认证码信息发送至第四认证码认证单元,如果解析不成功则中断认证;第四认证码认证单元,用于从第四密钥认证单元获取认证码信息,从第四存储单元获取合法认证码,并判断所述认证码信息是否与合法认证码一致,如果一致则认证成功, 如果不一致则中断认证;第四存储单元,用于从授权端获取公钥并存储,存储一个标示签名端自身唯一特征的序列号和一个用于外部认证的合法认证码。本实施例相对于图I所示实施例,进一步实现了对于认证码信息进行认证的功能,使得技术方案更加完整。对于认证码进行认证的环节为本发明的优选方案,通过该优选方案本实施例通过私钥与公钥运算并解析认证数据完成身份认证的同时,还需进一步验证认证码授权端保存的认证码是否与签名端的合法认证码一致,进一步提高了所述系统的安全性。参照图3所示,为本发明公开的另一个具体实施例。本实施例中选取的应用场景具体为,为使网银系统与企业对接,银行在企业部署前置服务器,而前置服务器需要对企业进行身份认证后才能够实现网络交易;在本实施例中,所述系统实际上为一种USBKey,而不同于传统的USBKey,本发明所述USBKey包括两个不同的功能实体,具体为授权Key和签名Key。在本实施例中,所述授权端即授权Key,所述签名端即签名Key。本实施例中所述签名Key置于前置服务器内部,授权Key则通过USB接口与前置服务器对接;授权Key对接到前置服务器后,签名Key对其进行身份认证,并且签名Key只允许与自身绑定的唯一授权 Key通过认证。具体为所述授权端还存储签名端的认证码信息;所述签名端还存储一个标示签名端自身唯一特征的序列号和一个用于外部认证的合法认证码,并在认证过程中生成一个随机数;授权端包括第五生成单元,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥, 所述公钥与私钥彼此唯一匹配;第五获取单元,用于从签名端获取签名端序列号与随机数,并将序列号发送至第五识别单元,将随机数发送至第五运算单元;第五识别单元,用于识别签名端的序列号,并根据从第五存储单元获取与该序列号对应的认证码信息;第五运算单元,用于从第五存储单元获取私钥,利用所述私钥计算得到认证数据; 并从第五识别单元获取认证码信息,从第五获取单元获取随机数,预先设置运算规则,利用运算规则运算随机数与认证码信息,得到运算认证码信息;第五签名单元,用于从第五运算单元获取认证数据和获取运算认证码信息,并将认证数据写入运算认证码信息中;第五发送单元,用于从第五生成单元获取公钥,将公钥发送至签名端保存;从第五签名单元获取写入认证数据的运算认证码信息并发送至签名端进行认证;第五存储单元,用于存储私钥和签名端的认证码信息;签名端包括随机数单元,用于生成随机数,并将随机数发送至第六发送单元;第六发送单元,用于从第六存储单元获取序列号,从随机数单元获取随机数,将序列号与随机数发送至授权端;第六密钥认证单元,用于接收授权端发送的写入认证数据的运算认证码信息,并从第六存储单元获取公钥,利用所述公钥解析所述运算认证码信息中写入的认证数据,如果解析成功则将运算认证码信息发送至逆运算单元,如果解析不成功则中断认证;逆运算单元,用于从运算认证码信息中解析出认证码信息,并将认证码信息发送至第六认证码认证单元;第六认证码认证单元,用于从逆运算单元获取认证码信息,从第六存储单元获取合法认证码,并判断所述认证码信息是否与合法认证码一致,如果一致则认证成功,如果不一致则中断认证;第六存储单元,用于从授权端获取公钥并存储,存储一个标示签名端自身唯一特征的序列号和一个用于外部认证的合法认证码。
在本实施例中,所述生成单元生成一个密钥对,密钥对包括一个公钥和一个私钥, 所述公钥与私钥彼此唯一匹配,签名Key存储公钥,授权Key存储私钥,通过上述方式即实现了签名Key与授权Key之间的绑定,所述公钥只能解析对应的私钥运算产生的认证数据, 也就是说签名Key只允许与自身绑定的唯一授权Key通过认证。所述计算得到密钥对的方法具体采用rsa算法,rsa算法为本技术领域所公知,在此不作赘述。在本实施例的某些实际情况中,所述授权Key和签名Key是利用传统的USBKey改造得到,而传统USBKey的身份认证方式是通过手动输入PIN码进行认证。本实施例中所述系统通过密钥对生成和解析认证数据,并配合认证码认证来进行身份认证,不需要手动输入PIN码的认证。所以在本实施例所述系统中,关闭签名Key的PIN码认证路径,以防止通过密钥对和认证码以外的手段进行认证,提高安全性。在本实施例中,所述第五运算单元利用运算规则运算随机数与认证码信息,运算认证码信息具体可参照如下案例认证码信息为一串4位的数字0000。在某一次身份认证的过程中,生成的随机数为2。本实施例中预先设置的计算规则为,在认证码信息中的每一位数字与随机数相加,得到的结果保留最后一位。按照上述规则对认证码信息和随机数进行运算,得到的运算认证码信息即一串4位的数字2222。相应的,所述逆运算单元中根据上述运算规则设置对应的还原规则,即运算认证码信息的每个数字减去随机数,如果该数字小于随机数则加10后再减去随机数;利用此还原规则,通过运算认证码信息2222解析出认证码信息0000。在本实施例中,将USBKey —分为二,授权Key与置于前置服务器内部的签名Key 通过密钥对进行绑定,从而实现了 USBKey与前置服务器的绑定。本实施例中绑定形式不同于传统的虚拟环节绑定或硬件绑定,所以即避免了虚拟环节绑定中易被入侵修改的风险, 也避免了硬件上的限制,提高了安全性和方便性。本实施例为本发明的一个优选方案。本实施例中除了密钥对生成和解析认证数据,与认证码认证的双重认证环节,还包括了随机数与认证码运算和逆运算的过程。所以本实施例除了包含了图I和图2所示两个实施例的有益效果之外,还包括以下有益效果通过上述随机数与认证码信息运算的过程,在每一次的认证中,由于随机数发生变化,则授权端发送到签名端的运算认证码信息每次都可能不相同,由此避免了通过恶意劫持认证码信息破解认证过程。对应本发明所述身份认证系统,本发明还公开了一种身份认证方法的实施例,参照图4所示,具体步骤如下计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;将私钥保存在授权端,公钥保存在签名端;授权端利用私钥计算得到认证数据;签名端接收授权端的认证数据,并利用自身存储的公钥解析所述认证数据,如果解析成功则通过认证。本实施例为本发明所述方法的一个基础实施例。本实施例中所述授权端与签名端通过分别保存一个密钥对中的私钥与公钥实现了彼此唯一且固定的绑定关系,并且通过私钥与公钥运算并解析认证数据完成身份认证。在具体应用中,一般会将签名端置于服务器或个人计算机的内部,将授权端接入服务器或个人计算机,用户可以通过上述二者完成在服务器或者个人计算机上的身份认证。本实施例存在的有益效果是利用本发明所述身份认证方法中两部分之间的绑定代替传统身份认证装置的绑定方式;解决了传统身份认证装置直接与服务器或个人计算机的虚拟环节进行绑定而存在的安全性问题,也解决了传统身份认证装置直接与服务器或个人计算机的硬件进行绑定而带来的使用不便。另外,当服务器或个人计算机出现故障或者需要更换,只需要取出内置的签名端并置于新的服务器或个人计算机内部即可,不存在身份认证方法绑定关系的变更,从而使本实施例所述方法更加实用。对图4所示实施例进一步扩充后,可得到如下另一个方法实施例,如图5所示,具体步骤如下签名端发送自身的序列号到授权端;授权端利用序列号获取对应的认证码信息;授权端利用私钥计算得到认证数据; 并将认证数据写入认证码信息中;授权端将写入认证数据的认证码信息发送至签名端;签名端利用自身存储的公钥解析认证码信息中写入的认证数据,如果解析成功则认证认证码信息,如果解析不成功则中断认证;判断所述认证码信息是否与签名端保存的合法认证码一致,如果一致则认证成功,如果不一致则中断认证。本实施例相对于图4所示实施例,进一步实现了对于认证码信息进行认证的功能,使得技术方案更加完整。对于认证码进行认证的环节为本发明的优选方案,通过该优选方案本实施例通过私钥与公钥运算并解析认证数据完成身份认证的同时,还需进一步验证认证码授权端保存的认证码是否与签名端的合法认证码一致,进一步提高了所述系统的安全性。对应图3所示方法实施例,本发明公开了又一个方法实施例,参照图6所示,具体步骤为计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;将私钥保存在授权端,公钥保存在签名端;签名端发送自身的序列号与随机数到授权端;授权端利用序列号获取对应的认证码信息,并预先设置运算规则,利用运算规则运算随机数与认证码信息,得到运算认证码信息;授权端利用私钥计算得到认证数据,将认证数据写入运算认证码信息中;将写入认证数据的运算认证码信息发送至签名端;签名端利用自身存储的公钥解析运算认证码信息中写入的认证数据,如果解析成功则认证运算认证码信息,如果解析不成功则中断认证;签名端从运算认证码信息中解析出认证码信息;签名端判断所述认证码信息是否与签名端保存的合法认证码一致,如果一致则认证成功,如果不一致则中断认证。
本实施例为本发明的一个优选方案。本实施例中除了密钥对生成和解析认证数据,与认证码认证的双重认证环节,还包括了随机数与认证码运算和逆运算的过程。所以本实施例除了包含了图4和图5所示两个实施例的有益效果之外,还包括以下有益效果通过上述随机数与认证码信息运算的过程,在每一次的认证中,由于随机数发生变化,则授权端发送到签名端的运算认证码信息每次都可能不相同,由此避免了通过恶意劫持认证码信息破解认证过程。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种身份认证系统,其特征在于,所述系统包括授权端,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;授权端存储私钥,将公钥发送至签名端储存;授权端利用私钥计算得到认证数据,将所述认证数据发送至所述签名端进行认证;签名端,用于从授权端接收公钥并存储;利用自身存储的公钥解析从授权端获取的认证数据,如果解析成功则通过认证。
2.根据权利要求I所述系统,其特征在于,所述授权端包括第一生成单元,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;第一运算单元,用于从第一存储单元获取私钥,利用所述私钥计算得到认证数据; 第一发送单元,用于从第一生成单元获取公钥,将公钥发送至签名端保存;从第一运算单元获取认证数据,将认证数据发送至签名端进行认证;第一存储单元,用于存储私钥。
3.根据权利要求2所述系统,其特征在于,所述签名端包括第二密钥认证单元,用于从授权端获取认证数据,从第二存储单元获取公钥,利用所述公钥解析所述认证数据,如果解析成功则通过认证;第二存储单元,用于从授权端获取公钥并存储。
4.根据权利要求I所述系统,其特征在于,所述授权端还存储签名端的认证码信息;所述签名端还存储一个标示签名端自身唯一特征的序列号,所述授权端包括第三生成单元,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;第三获取单元,用于从签名端获取签名端序列号,并将序列号发送至第三识别单元; 第三识别单元,用于识别签名端的序列号,并根据从第三存储单元获取与该序列号对应的认证码信息;第三运算单元,用于从第三存储单元获取私钥,利用所述私钥计算得到认证数据; 第三签名单元,用于从第三运算单元获取认证数据,从第三识别单元获取认证码信息, 并将认证数据写入认证码信息中;第三发送单元,用于从第三生成单元获取公钥,将公钥发送至签名端保存;从第三签名单元获取写入认证数据的认证码信息并发送至签名端进行认证;第三存储单元,用于存储私钥和签名端的认证码信息。
5.根据权利要求4所述系统,其特征在于,所述签名端还存储一个用于外部认证的合法认证码,所述签名端包括第四发送单元,用于从第四存储单元获取序列号并发送至授权端;第四密钥认证单元,用于接收授权端发送的写入认证数据的认证码信息,并从第四存储单元获取公钥,利用所述公钥解析所述认证码信息中写入的认证数据,如果解析成功则将认证码信息发送至第四认证码认证单元,如果解析不成功则中断认证;第四认证码认证单元,用于从第四密钥认证单元获取认证码信息,从第四存储单元获取合法认证码,并判断所述认证码信息是否与合法认证码一致,如果一致则认证成功,如果不一致则中断认证;第四存储单元,用于从授权端获取公钥并存储,存储一个标示签名端自身唯一特征的序列号和一个用于外部认证的合法认证码。
6.根据权利要求I所述系统,其特征在于,所述授权端还存储签名端的认证码信息;所述签名端还存储一个标示签名端自身唯一特征的序列号并在认证过程中生成一个随机数, 所述授权端包括第五生成单元,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;第五获取单元,用于从签名端获取签名端序列号与随机数,并将序列号发送至第五识别单元,将随机数发送至第五运算单元;第五识别单元,用于识别签名端的序列号,并根据从第五存储单元获取与该序列号对应的认证码信息;第五运算单元,用于从第五存储单元获取私钥,利用所述私钥计算得到认证数据;并从第五识别单元获取认证码信息,从第五获取单元获取随机数,预先设置运算规则,利用运算规则运算随机数与认证码信息,得到运算认证码信息;第五签名单元,用于从第五运算单元获取认证数据和获取运算认证码信息,并将认证数据写入运算认证码信息中;第五发送单元,用于从第五生成单元获取公钥,将公钥发送至签名端保存;从第五签名单元获取写入认证数据的运算认证码信息并发送至签名端进行认证;第五存储单元,用于存储私钥和签名端的认证码信息。
7.根据权利要求6所述系统,其特征在于,所述签名端还存储一个用于外部认证的合法认证码,所述签名端包括随机数单元,用于生成随机数,并将随机数发送至第六发送单元;第六发送单元,用于从第六存储单元获取序列号,从随机数单元获取随机数,将序列号与随机数发送至授权端;第六密钥认证单元,用于接收授权端发送的写入认证数据的运算认证码信息,并从第六存储单元获取公钥,利用所述公钥解析所述运算认证码信息中写入的认证数据,如果解析成功则将运算认证码信息发送至逆运算单元,如果解析不成功则中断认证;逆运算单元,用于从运算认证码信息中解析出认证码信息,并将认证码信息发送至第六认证码认证单元;第六认证码认证单元,用于从逆运算单元获取认证码信息,从第六存储单元获取合法认证码,并判断所述认证码信息是否与合法认证码一致,如果一致则认证成功,如果不一致则中断认证;第六存储单元,用于从授权端获取公钥并存储,存储一个标示签名端自身唯一特征的序列号和一个用于外部认证的合法认证码。
8.一种身份认证方法,其特征在于,所述方法包括以下步骤计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;将私钥保存在授权端,公钥保存在签名端;授权端利用私钥计算得到认证数据;签名端接收授权端的认证数据,并利用自身存储的公钥解析所述认证数据,如果解析成功则通过认证。
9.根据权利要求8所述方法,其特征在于,签名端接收授权端的认证数据,并利用自身存储的公钥解析所述认证数据还包括签名端发送自身的序列号到授权端;授权端利用序列号获取对应的认证码信息;授权端利用私钥计算得到认证数据;并将认证数据写入认证码信息中;授权端将写入认证数据的认证码信息发送至签名端;签名端利用自身存储的公钥解析认证码信息中写入的认证数据,如果解析成功则认证认证码信息,如果解析不成功则中断认证;判断所述认证码信息是否与签名端保存的合法认证码一致,如果一致则认证成功,如果不一致则中断认证。
10.根据权利要求8所述方法,其特征在于,所述签名端接收授权端的认证数据,并利用自身存储的公钥解析所述认证数据还包括签名端发送自身的序列号与随机数到授权端;授权端利用序列号获取对应的认证码信息,并预先设置运算规则,利用运算规则运算随机数与认证码信息,得到运算认证码信息;授权端利用私钥计算得到认证数据,将认证数据写入运算认证码信息中;将写入认证数据的运算认证码信息发送至签名端;签名端利用自身存储的公钥解析运算认证码信息中写入的认证数据,如果解析成功则认证运算认证码信息,如果解析不成功则中断认证;签名端从运算认证码信息中解析出认证码信息;签名端判断所述认证码信息是否与签名端保存的合法认证码一致,如果一致则认证成功,如果不一致则中断认证。
全文摘要
本发明实施例提供一种身份认证系统和方法,所述系统包括授权端,用于计算得到一个密钥对,所述密钥对包括一个公钥和一个私钥,所述公钥与私钥彼此唯一匹配;授权端存储私钥,将公钥发送至签名端储存;授权端利用私钥计算得到认证数据,将所述认证数据发送至所述签名端进行认证;签名端,用于从授权端接收公钥并存储;利用自身存储的公钥解析从授权端获取的认证数据,如果解析成功则通过认证;所述方法包括计算得到一个密钥对;将私钥保存在授权端,公钥保存在签名端;授权端利用私钥计算得到认证数据;签名端接收授权端的认证数据,并利用自身存储的公钥解析所述认证数据,如果解析成功则通过认证。
文档编号H04L9/32GK102594843SQ201210078629
公开日2012年7月18日 申请日期2012年3月22日 优先权日2012年3月22日
发明者刘丹, 张立忠, 方涛, 曾庆祥, 李珂, 李蕾, 汪湛, 王力, 赵琳峰, 郑飞 申请人:中国农业银行股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:曾庆祥;王力;刘丹;李珂;李蕾;汪湛;张立忠;赵琳峰;方涛;郑飞
  • 技术所有人:中国农业银行股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2