USBkey认证方法及系统的制作方法

USB key认证方法及系统的制作方法
【专利摘要】一种USB?key认证方法，包括：认证终端获取插入的USB设备，将所述插入的USB设备映射到代理服务器，并获取与所述认证终端对应的用户标识，将所述用户标识发送给所述代理服务器；所述代理服务器通过调用USB?key的驱动程序获取与所述映射的USB设备对应的加密证书的相关信息，并将所述加密证书的相关信息和所述用户标识发送给所述认证服务器；所述认证服务器判断所述加密证书的相关信息是否与所述用户标识匹配，若是，则获取与所述用户标识对应的认证终端，通知其认证成功。此外，还提供了一种USB?key认证系统。上述USB?key认证方法及系统可在未安装USB?key驱动的认证终端上运行，从而提高了安全性。
【专利说明】 USB key认证方法及系统
【技术领域】
[0001]本发明涉及互联网【技术领域】，特别是涉及一种USB key认证方法及系统。
【背景技术】
[0002]传统技术中的远程身份认证通常采用USB key认证方法，如日常使用的网银中，用户在登录网上银行时，需要先在认证终端上插入USB key,认证终端上的驱动程序从插入的USB key中读取出用于表示用户身份的证书信息，然后将该证书信息与输入的用户标识上传至认证服务器进行认证。
[0003]然而，发明人经研究发现传统技术中至少存在如下问题:传统技术中的USB key认证方法中，认证终端上必须具备USB key的驱动程序，而对于仅具有USB接口，但并不具备USB key的驱动程序的认证终端，只能通过未加密的证书文件进行认证，从而导致安全性不闻。

【发明内容】

[0004]基于此，有必要提供一种能提高安全性的USB key认证方法。
[0005]一种USB key认证方法,包括:
[0006]认证终端获取插入的USB设备，将所述插入的USB设备映射到代理服务器，并获取与所述认证终端对应的用户标识，将所述用户标识发送给所述代理服务器；
[0007]所述代理服务器通过调用USB key的驱动程序获取与所述映射的USB设备对应的加密证书的相关信息，并将所述加密证书的相关信息和所述用户标识发送给认证服务器；
[0008]所述认证服务器判断所述加密证书的相关信息是否与所述用户标识匹配，若是，则获取与所述用户标识对应的认证终端，通知其认证成功。
[0009]在其中一个实施例中，所述认证终端将所述插入的USB设备映射到代理服务器的步骤包括:
[0010]所述认证终端将所述插入的USB设备通过USB over IP的方式映射到代理服务器。
[0011]在其中一个实施例中，所述认证终端获取插入的USB设备的步骤之前还包括:
[0012]认证终端向认证服务器发起认证请求，所述认证请求中包含与认证终端对应的用户标识；
[0013]所述认证服务器返回需要通过USB key认证的提示信息。
[0014]在其中一个实施例中，所述认证终端向认证服务器发起认证请求的步骤之后还包括:
[0015]所述认证服务器建立与所述用户标识对应认证终端的会话；
[0016]所述认证服务器获取与所述用户标识对应的认证终端的步骤包括:
[0017]获取与所述用户标识对应会话，获取所述会话对应的认证终端。
[0018]在其中一个实施例中，所述需要通过USB key认证的提示信息中包含代理服务器的地址；
[0019]所述认证终端将所述插入的USB设备映射到代理服务器的步骤为:
[0020]所述认证终端根据所述需要通过USB key认证的提示信息中包含的代理服务器的地址将所述插入的USB设备映射到代理服务器。
[0021]此外，还有必要提供一种能提高安全性的USB key认证系统。
[0022]一种USB key认证系统，包括认证终端、代理服务器以及认证服务器，其中:
[0023]所述认证终端用于获取插入的USB设备，将所述插入的USB设备映射到代理服务器，并获取与所述认证终端对应的用户标识，将所述用户标识发送给所述代理服务器；
[0024]所述代理服务器用于通过调用USB key的驱动程序获取与所述映射的USB设备对应的加密证书的相关信息，并将所述加密证书的相关信息和所述用户标识发送给所述认证服务器；
[0025]所述认证服务器用于判断所述加密证书的相关信息是否与所述用户标识匹配，若是，则获取与所述用户标识对应的认证终端，通知其认证成功。
[0026]在其中一个实施例中,所述认证终端还用于将所述插入的USB设备通过USB overIP的方式映射到代理服务器。
[0027]在其中一个实施例中，所述认证终端还用于向认证服务器发起认证请求，所述认证请求中包含与认证终端对应的用户标识；
[0028]所述认证服务器还用于返回需要通过USB key认证的提示信息。
[0029]在其中一个实施例中，所述认证服务器还用于建立与所述用户标识对应认证终端的会话；且还用于获取与所述用户标识对应会话，获取所述会话对应的认证终端。
[0030]在其中一个实施例中，所述需要通过USB key认证的提示信息中包含代理服务器的地址:
[0031]所述认证终端还用于根据所述需要通过USB key认证的提示信息中包含的代理服务器的地址将所述插入的USB设备映射到代理服务器。
[0032]上述USB key认证方法及系统中，认证终端将插入的USB设备映射到代理服务器后，可通过代理服务器辅助在认证服务器上进行认证，使得在认证终端上不具备USB key的驱动的情况下，仍能通过代理服务器的辅助作用完成基于USB key的认证，使得用户不需要进行安全性较低的基于未加密证书认证，而仍然可以使用USB key在未安装USB key驱动的认证终端上进行认证，从而提高了安全性。
【专利附图】

【附图说明】
[0033]图1为一个实施例中USB key认证方法的流程图；
[0034]图2为一个实施例中USB key认证系统的结构示意图。
【具体实施方式】
[0035]在一个实施例中，如图1所示，一种USB key认证方法，该方法完全依赖于计算机程序，该计算机程序可运行于基于冯洛伊曼体系的USB key认证系统上。该USB key认证系统可基于计算机系统，包括认证终端、代理服务器以及认证服务器。其中，与传统技术相t匕，认证终端上可无需安装USB key驱动程序。[0036]该方法包括以下步骤:
[0037]步骤S102，认证终端获取插入的USB设备，将插入的USB设备映射到代理服务器，并获取与认证终端对应的用户标识，将用户标识发送给代理服务器。
[0038]包含加密证书的USB设备在认证终端上插入时可触发的USB key插入事件，认证终端可根据该USB key插入事件知晓有USB设备插入到认证终端上，从而获取该插入的USB设备。
[0039]在本实施例中，认证终端获取插入的USB设备的步骤之前还可向认证服务器发起认证请求，认证请求中包含与认证终端对应的用户标识。认证服务器返回需要通过USB key认证的提示信息。
[0040]例如，在用户登录网银时，打开登录界面，输入账号密码后点击提交，此时，网银客户端向认证服务器发起认证请求，该认证请求中则包含该输入的账号(即与认证终端对应的用户标识)。认证服务器接收到该认证请求后，返回提示信息，提示用户在认证终端上插AUSB key进行USB key认证。用户在接收到提示信息之后则在认证终端上插入USB设备，触发USB key插入事件，认证终端即可获取该插入的USB设备。在其他实施例中，用户标识也可以是设备识别码、终端标识等标识信息。
[0041]在另一个实施例中，认证终端还可在插入USB设备之后再发起认证请求。例如，用户登录网银时，可先插入USB key,认证终端即可将其映射到终端服务器，并将其机器识别码(例如MAC地址等)发送给终端服务器，然后用户再在网银界面上输入账号密码，并点击提交向认证服务器发起认证请求，此时，认证请求中可包含账号密码信息以及该认证终端的机器识别码。
[0042]优选的，认证终端可通过USB over IP的方式将插入的USB设备映射到代理服务器。
[0043]例如，认证终端上的配置文件中可包含代理服务器的IP地址，认证终端可通过读取配置文件获取代理服务器的IP地址，然后与该代理服务器在以太网环境或互联网环境中建立网络连接。网络连接建立后，即可通过USB over IP的方式将插入的USB设备映射到代理服务器上。也就是说，USB设备插入认证终端后，经由IP网络接入代理服务器，对代理服务器而言，该通过USB over IP接入的USB设备与直接插入在代理服务器的USB控制器上的USB设备相同。
[0044]在另一个实施例中，前述认证服务器返回的需要通过USB key认证的提示信息中可包含代理服务器的地址。
[0045]认证终端将插入的USB设备映射到代理服务器的步骤可具体为:认证终端根据需要通过USB key认证的提示信息中包含的代理服务器的地址将插入的USB设备映射到代理服务器。
[0046]也就是说，认证终端在发起认证请求时并不知晓需要与哪个代理服务器进行映射，而是根据认证服务器返回的需要通过USB key认证的提示信息中包含的代理服务器的地址与代理服务器进行连接。使得代理服务器的网络地址不会暴露给公众用户，从而提高了安全性。
[0047]步骤S104，代理服务器通过调用USB key的驱动程序获取与映射的USB设备对应的加密证书的相关信息，并将加密证书的相关信息和用户标识发送给认证服务器。[0048]如上例中，认证终端通过USB over IP方式将USB设备映射到代理服务器上后，代理服务器可通过加载USB key驱动对该映射到的USB设备进行读取操作，读取出其中存储的加密证书的相关信息。读取完毕后，则将认证终端发送的用户标识与该加密证书的相关信息发送给认证服务器。
[0049]步骤S106，认证服务器判断加密证书的相关信息是否与用户标识匹配，若是，则获取与用户标识对应的认证终端，通知其认证成功。
[0050]认证服务器接收到代理服务器发送的加密证书的相关信息和用户标识之后，通过预设的算法对加密证书的相关信息进行处理，然后与该用户标识进行匹配，若匹配，则表示认证成功。
[0051 ] 在本实施例中，认证终端向认证服务器发起认证请求的步骤之后，认证服务器还可建立与所述用户标识对应认证终端的会话。
[0052]认证服务器获取与用户标识对应的认证终端的步骤可具体为:获取与用户标识对应会话，获取会话对应的认证终端。
[0053]也就是说，认证服务器若判断得到代理服务器发送的加密证书的相关信息与用户标识匹配，则在其会话中查找与该用户标识对应的会话，然后将认证成功的信息返回给该会话对应的认证终端。同样，若认证失败，则认证服务器也将认证失败的提示信息发回给该用户标识对应的会话对应的认证终端。
[0054]在一个实施例中，如图2所示,一种USB key认证系统,包括认证终端102、代理服务器104以及认证服务器106，其中:
[0055]认证终端102用于获取插入的USB设备，将插入的USB设备映射到代理服务器104，并获取与认证终端102对应的用户标识，将用户标识发送给代理服务器104 ；
[0056]代理服务器104用于通过调用USB key的驱动程序获取与映射的USB设备中对应的加密证书的相关信息，并将加密证书的相关信息和用户标识发送给认证服务器106 ；
[0057]认证服务器106用于判断加密证书的相关信息是否与用户标识匹配，若是，则获取与用户标识对应的认证终端102，通知其认证成功。
[0058]在一个实施例中，认证终端102还用于将插入的USB设备通过USB over IP的方式映射到代理服务器104。
[0059]在一个实施例中，认证终端102还用于向认证服务器106发起认证请求，认证请求中包含与认证终端102对应的用户标识；
[0060]认证服务器106还用于返回需要通过USB key认证的提示信息。
[0061]在一个实施例中，认证服务器106还用于建立与用户标识对应认证终端102的会话；且还用于获取与用户标识对应会话，获取会话对应的认证终端102。
[0062]在一个实施例中，需要通过USB key认证的提示信息中包含代理服务器104的地址:
[0063]认证终端102还用于根据需要通过USB key认证的提示信息中包含的代理服务器104的地址将插入的USB设备映射到代理服务器104。
[0064]上述USB key认证方法及系统中，认证终端将插入的USB设备映射到代理服务器后，可通过代理服务器辅助在认证服务器上进行认证，使得在认证终端上不具备USB key的驱动的情况下，仍能通过代理服务器的辅助作用完成基于USB key的认证，使得用户不需要进行安全性较低的基于未加密证书认证，而仍然可以使用USB key在未安装USB key驱动的认证终端上进行认证，从而提高了安全性。
[0065]本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random AccessMemory, RAM)等。
【权利要求】
1.一种USB key认证方法,包括: 认证终端获取插入的USB设备，将所述插入的USB设备映射到代理服务器，并获取与所述认证终端对应的用户标识，将所述用户标识发送给所述代理服务器； 所述代理服务器通过调用USB key的驱动程序获取与所述映射的USB设备对应的加密证书的相关信息，并将所述加密证书的相关信息和所述用户标识发送给认证服务器； 所述认证服务器判断所述加密证书的相关信息是否与所述用户标识匹配，若是，则获取与所述用户标识对应的认证终端，通知其认证成功。
2.根据权利要求1所述的USBkey认证方法，其特征在于，所述认证终端将所述插入的USB设备映射到代理服务器的步骤包括: 所述认证终端将所述插入的USB设备通过USB over IP的方式映射到代理服务器。
3.根据权利要求1所述的USBkey认证方法，其特征在于，所述认证终端获取插入的USB设备的步骤之前还包括: 认证终端向认证服务器发起认证请求，所述认证请求中包含与认证终端对应的用户标识； 所述认证服务器返回需要通过USB key认证的提示信息。
4.根据权利要求3所述的USBkey认证方法，其特征在于，所述认证终端向认证服务器发起认证请求的步骤之后还包括:. 所述认证服务器建立与所述用户标识对应认证终端的会话； 所述认证服务器获取与所述用户标识对应的认证终端的步骤包括: 获取与所述用户标识对应会话，获取所述会话对应的认证终端。
5.根据权利要求3所述的USBkey认证方法，其特征在于，所述需要通过USB key认证的提示信息中包含代理服务器的地址； 所述认证终端将所述插入的USB设备映射到代理服务器的步骤为: 所述认证终端根据所述需要通过USB key认证的提示信息中包含的代理服务器的地址将所述插入的USB设备映射到代理服务器。
6.一种USB key认证系统，其特征在于，包括认证终端、代理服务器以及认证服务器，其中: 所述认证终端用于获取插入的USB设备，将所述插入的USB设备映射到代理服务器，并获取与所述认证终端对应的用户标识，将所述用户标识发送给所述代理服务器； 所述代理服务器用于通过调用USB key的驱动程序获取与所述映射的USB设备对应的加密证书的相关信息，并将所述加密证书的相关信息和所述用户标识发送给所述认证服务器； 所述认证服务器用于判断所述加密证书的相关信息是否与所述用户标识匹配，若是，则获取与所述用户标识对应的认证终端，通知其认证成功。
7.根据权利要求6所述的USBkey认证系统，其特征在于，所述认证终端还用于将所述插入的USB设备通过USB over IP的方式映射到代理服务器。
8.根据权利要求6所述的USBkey认证系统，其特征在于，所述认证终端还用于向认证服务器发起认证请求，所述认证请求中包含与认证终端对应的用户标识； 所述认证服务器还用于返回需要通过USB key认证的提示信息。
9.根据权利要求8所述的USBkey认证系统，其特征在于，所述认证服务器还用于建立与所述用户标识对应认证终端的会话；且还用于获取与所述用户标识对应会话，获取所述会话对应的认证终端。
10.根据权利要求8所述的USBkey认证系统，其特征在于，所述需要通过USB key认证的提示信息中包含代理服务器的地址: 所述认证终端还用于根据所述需要通过USB key认证的提示信息中包含的代理服务器的地址将所述插入的USB设备映射到代理服务器。
【文档编号】H04L9/32GK103475484SQ201310409689
【公开日】2013年12月25日 申请日期:2013年9月9日 优先权日:2013年9月9日
【发明者】林海长, 卢艺, 林彦 申请人:深信服网络科技（深圳）有限公司