[发明专利]计算机安全认证智能密钥

说明书

本发明涉及一种计算机网络身份认证。

众所周知，身份认证在计算机系统和计算机网络中非常重要，目前采用的身份认证方法主要有二种：用户+口令的方式(如：普通PAP认证、人体指纹等生理上的认证方法)、和采用数字证书认证方式。其中第一方式比较适合于不需要经过第三方认证的系统，如：操作系统的用户身份确认、企业内部网络、或借助于互联网络连接的专用网络；而第二种方式则适合于跨部门、跨企业的业务往来，验证的双方是对等的，要相互认证，这种认证需要第三方来确认的双方身份的系统中，如电子商务系统等。

第一种认证方式即为简单的用户名+口令的方式来认证用户，这种方式存在三大安全隐患：(1)口令易被猜测；(2)口令在网络上传输易被窃获；(3)用户帐号信息被存放在认证方(服务器端)，易被超级用户泄密，或被黑客攻击的对象，即使用户帐号信息被加密存放，因加密的密钥和加密的信息被存放在同一台计算机中，总有办法找到加密的密钥来解被加密的信息。

对于用户名+口令的认证方式一个比较好的改进办法是采用动态密码的认证，其优点是用户每一次的网络登录其密码不一样，杜绝了因在网络上窃听密码而造成系统不安全的可能性。目前，动态密码的认证方式基本上采用安全认证协议，即CHAP(Challenge Handshake AuthenticationProtocol)。

CHAP是一种通过验证方与被验证方之间的三次信息交互(握手)来验证访问者身份的认证协议。验证方周期性地检验登录和访问请求，一旦检测到，就生成和发送一个随机数Challenge给被验证者。被验证者据此生成一单向加密(One-way encryption)的摘要值作为应答(Response)传给验证方。验证方根据收到的Response来判断用户身份合法性。

CHAP成功认证的前提是验证双方共享同样的秘密值和单向加密算法(One-way Encryption，实际就是HASH算法)。实际验证中，服务器端在发出随机数的同时，会和客户端一道以共享的秘密值和Challenge为因子计算报文摘要，并把二者计算的结果汇总、比较，若相等，则认可该次访问，反之予以拒绝。

CHAP协议能保证用户在验证用户合法性的时候保证每一次登录网上的信息不一样，从而保证用户密码的安全。但其安全性建立在用户/客户机和服务器共享相同的秘密值，为了用户的利益，用户当然会安全地保存自己的秘密值，但服务器秘密值的保存的安全性维系在服务器本身的安全，服务器中秘密值的泄密和破解是本协议的最大安全隐患；另外，CHAP协议本身不能解决用户端口令被猜测的安全隐患。

本发明的目的是提供一种计算机安全认证智能密钥，它虽然要求验证方和被验证方事先共享同一秘密值，但保存的结果却不相同，在提供验证服务的一方是密文，而密钥和明文则交给待验证的用户保管，又为了保证密钥安全传递和用户身份的正确验证，同时使用了非对称和对称加密技术。

本发明的具体构思如下：

1、利用智能密钥(Skey)和强化的CHAP协议构造安全认证密钥来鉴别用户的身份。

2、Skey带有独立的处理器，只要插入USB接口，加载不同算法，即可进行各种运算；根据需要，Skey可配置8-64K可擦写存储器(EPROM)，足以支持复杂应用的用户信息存储需求；此外，Skey对用户信息采用文件系统管理和双重口令保护，确保信息存取安全可靠。

3、安全智能认证密钥采用强化的CHAP协议来认证用户，在认证用户过程中，采用CHAP协议来认证用户，但在服务器端用户的秘密值在建立用户帐号是采用随机生成的对称密钥加密存放在服务器端，而密钥被存放在Skey中，由用户自己保存，服务器中不再有用户个人的密钥；而用户自己保存的秘密值无须加密，原始的秘密值被保存在Skey中由用户自己保存；

4、Skey中用于认证用户身份的秘密值和密钥的提取，必须通过Skey本身的安全认证以后，才能获取。

5、客户端的密钥传送到服务器，通过服务器端生成的一对随机密钥(公钥和私钥)来保证客户密钥从客户端安全传输到服务器端。首先，服务器把随机的公钥传给客户，客户用这把随机的公钥加密客户密钥，然后，客户把加密的密钥传给服务器，服务器利用随即产生的那对私钥来解密客户密钥。这样，客户密钥被安全地传送到服务器端。