[发明专利]身份认证设备及身份认证方法

说明书

技术领域

本发明涉及一种身份认证设备及方法，尤其涉及一种设置有能提示随机码的提示单元的USB Key身份认证设备，以及一种基于随机码的USB Key身份认证方法。

背景技术

随着网络银行、电子商务等各种网络业务的不断普及，越来越多的身份认证机制被应用以防止日益猖獗的网络上的金融犯罪。现有的USB key身份认证就是存储PKI密码系统中的私钥和数字证书，在用户登录网上银行或进行其他网络业务时对用户进行身份认证的一种安全机制。

公知的USB Key是基于智能卡芯片，集成了ROM、RAM、FLASH、DES协处理器和RSA协处理器，内部嵌入智能卡操作系统(ChipOperating System，COS)软件并具有安全存储特性的安全设备。但是，这种USB Key身份认证仍然存在着以下安全漏洞。

USB Key身份认证设备是连接于PC上的公共设备，其设备文件对于PC上的进程来说是开放的，并且作为一个受控于PC的完全被动的设备。当用户提出交易请求而需要进行数字签名运算时，木马程序(以下简称木马)也可以提出同样的请求。提出请求后USB Key身份认证设备会响应该请求计算数字签名，并将签名结果送出。木马有了数字签名就能骗过服务器的验证。

另外，目前的USB Key身份认证设备中的用户PIN是固定不变的，木马可以利用Windows系统函数如钩子函数(Hook)，截获用户从键盘输入的PIN码，以此通过PIN校验发起数字签名请求，从而进行任何交易。

在这两种情况下，由于当请求USB Key身份认证设备进行数字签名运算时，这种身份认证机制不会向用户提供提示信息，以请求用户确认此次数字签名请求，因此对于木马提出的数字签名请求，用户不知情且无法将其拒绝，最终无法阻挡木马获得基于私钥的数字签名并据此进行交易或控制USB Key身份认证设备。

发明内容

因此，针对现有技术中存在的上述不足，本发明的目的在于提供一种能够在进行数字签名等重要操作之前向用户提供提示信息的USBKey身份认证设备，从而能够有效地防止木马等恶意程序在用户不知情的情况下获取数字签名来操纵USB Key身份认证设备，或在其他重要操作时进行以违法犯罪为目的的中间人攻击。

为了实现上述目的，根据本发明的一个方面，提供一种身份认证设备，包括：外部接口，用于与网络终端连接；提示单元；随机码发生单元，生成随机码并通过所述提示单元提示所述随机码；以及数字签名单元，通过所述外部接口接收外部输入，在所述外部输入与分配给所述身份认证设备的识别码和所述随机码发生单元所生成的随机码相同时，发出数字签名，其中，所述随机码发生单元生成并提示随机码的操作均独立于所述网络终端进行。

根据本发明的另一方面，提供一种身份认证方法，包括：将身份认证设备与网络终端连接，所述身份认证设备根据从网络终端收到的操作请求，生成并提示随机码；所述身份认证设备将接收到的随机码与所述提示的随机码进行核对，以验证所述身份认证设备的用户身份，其中，所述身份认证设备生成并提示随机码的操作均独立于所述网络终端进行。

根据本发明，通过在传统USB Key身份认证设备上增设提示单元来提示随机码，可以取得以下效果：

1)防止木马通过截获用户的PIN码来操作USB Key身份认证设备；

2)防止木马在用户不知情的情况下，给USB Key身份认证设备发送签名请求。

附图说明

图1示出了根据本发明一个优选实施方式的USB Key身份认证设备的结构示意图；

图2示出了应用本发明USB Key身份认证设备进行身份认证的系统结构图；

图3示出了本发明的USB Key身份认证方法的第一实施例的流程图；

图4示出了本发明的USB Key身份认证方法的第二实施例的流程图。

具体实施方式

通过以下参照附图对本发明具体实施方案的详细说明，本领域技术人员将更易于理解本发明的思想和实质。

图1示出了根据本发明一个优选实施方式的USB Key身份认证设备的结构示意图。如图1所示，USB Key身份认证设备1包括：外部接口11、随机码发生单元12、数字签名单元13、提示单元控制器14和提示单元15。需要说明的是，USB Key身份认证设备只是本发明实现的一个具体例子，显然本发明的构思并不限于这一具体例子中的应用。

外部接口11可以为USB接口。