[发明专利]一种新型的USBKey外部认证方法和USBKey装置

说明书

【所属技术领域】

本发明涉及一种基于公钥密码技术实现USBKey对外部调用者进行身份认证和鉴权，从而实现 USBKey访问控制的方法，以及支持该方法的新型USBKey装置，具体来说，本方法和装置涉及解决USBKey 的安全调用问题。

【技术背景】

USBKey作为一种安全外设，只是其本身安全是不够的，必须同时保证对其调用也是安全的，USBKey 才能真正成为一种安全外设。

USBKey面世后，极大地丰富和提升了各类电子应用的安全解决方案，但是USBKey在系统整体结构 中是一个被调用者的角色，因此在USBKey的实际应用中，调用者身份认证和鉴权成为整个USBKey应用 安全体系中的基础环节，尤其是基于电脑和互联网这种开放环境的安全应用，如果USBKey本身访问控制 机制不具备或者不完善，那么其自身的所有安全设计就失去意义。

现有的一种解决措施是基于对称密钥的USBKey外部认证方法。对称密钥外部认证方法的实现方式为： 通过在USBKey和调用者之间维护一对相同的主密钥，每次调用的时候，USBKey和调用者都通过该主密 钥，并以具体调用者标识为参数产生具体调用者对应的子密钥，调用者通过该子密钥对USB Key生成并传 递给调用者的随机数加密；USB Key内部使用自身内部运算得到的相同子密钥对调用者提交的随机数加密 结果进行解密，并与原始随机数进行比较。如果匹配则继续访问，否则拒绝访问。上述实现方式是比较完 整的基于对称密钥认证方式，目前实际应用中解决方案较之更加简化。即便如此，这种方法存在一个根本 安全隐患鉴于对称密码技术本身的局限性而无法解决：那就是主密钥的安全问题，一旦主密钥泄漏，整个 安全体系就会彻底失效，而且主密钥还分散在大量的调用者和USBKey处，由此产生的安全风险和安全管 理成本很高。

与上述方法不同的是，本发明采用PKI非对称公钥密码技术，该技术产生的目的之一就是为了解决身 份认证和鉴权，不需要调用者和USBKey维护共同的主密钥，USBKey对调用者的验证是基于调用者自身 的证书私钥，整个验证体系的信任源证书是CA中心的根证书私钥，该私钥在CA中心离线保存，从来不 需要分布到USBKey和调用者处，不存在上述方法的主密钥安全保管风险和成本，而调用者本身的证书私 钥即使出现泄密，其损失也只限于该调用者自身，而不是整个基于USBKey的安全体系；而且单个调用者 证书私钥的更换也非常快捷方便，一旦发现泄密，可以即时申请更换，可以有效降低泄密风险。

【发明目的】

本发明的目的在于采用公钥密码技术中的数字证书机制，经济便捷可靠地实现USBKey对调用者的访 问控制，从而解决USBKey在应用环节的安全问题。

【发明内容】

基于公钥密码技术实现USBKey对外部调用者进行身份认证，从而实现USBKey访问控制的方法， 以及支持该方法的新型USBKey装置。具体内容如下：

调用者需要调用USBKey时，首先向USBKey请求一个随机数并提交调用者证书；USBKey验证证书有效 性及其对应的USBKey操作权限，通过后产生一个随机数，本地保存调用者证书公钥和随机数；然后，调用 者用自己的证书私钥解密，得到返回的随机数，并对调用命令和得到的随机数签名，然后将签名值连同调 用命令一起传递给USBKey；最后，USBKey通过验证签名值即可验证调用者以及调用的合法性，根据调 用者需要，USBKey还可以对返回的敏感信息通过调用者证书公钥加密后返回，从而实现基于公钥密码技 术的USBKey访问控制和敏感信息的加密传输，通过随机数机制可以防止非法重复调用。

在USBKey内部独立验证证书有效性，包括验证证书颁发机构根证书签名的有效性、验证证书时效性、 验证证书黑名单，在USBKey内预置颁发机构根证书，从而验证证书颁发机构根证书签名的有效性；通过 第三方授权的系统、按照特定安全接口下载时间戳到USBKey，并在本地管理，籍此实现证书时效性验证， 第三方系统可以是具有时间戳服务的任何机构，包括CA中心、或者其他服务机构；在USBKey内保存调用 者证书黑名单，并接受特定授权机构或者个人按照特定安全接口进行更新维护，籍此实现证书是否在黑名 单的验证。

在普通USBKey功能的基础上，增加对上述方法对应的新增功能即可形成一种新型的USBKey装置。