[发明专利]一种基于两个隔离设备实现网络身份认证的方法和系统

权利要求书

1.一种基于两个隔离设备实现网络身份认证的方法和系统。该系统分为普通客户端、认证客户端和服务端三个部分。所述普通客户端和认证客户端分别运行于由同一用户所持有的两个物理上独立并且隔离的网络计算设备上。所述服务端包含认证服务。所述服务器端与所述普通客户端有通信能力，所述服务器端与所述认证客户端有通信能力，所述认证客户端与所述普通客户端可有直接通信或可无直接通信能力。所述认证客户端包含唯一信息。所述服务端能识别所述认证客户端的唯一信息。网络身份认证步骤如下：

A、用户通过所述普通客户端向服务端发出认证请求，并附认证附加信息；

B、所述服务端收到普通客户端的认证请求后，将认证附加信息片段发送给所述认证客户端；

C、所述认证客户端收到认证附加信息片段后，请求用户确认；

D、所述认证客户端得到用户的确认信息后，将确认信息和唯一信息返回给所述服务器端；

E、所述服务器端比对该唯一信息是否和认证附加信息匹配，完成身份认证流程。

2.根据权利要求1所述的方法和系统，其特征在于，所述的网络计算设备指任何具有计算单元，可运行操作系统和安装软件的设备，如个人计算机(PC)、笔记本、上网本、智能本、智能手机、智能手持设备(iPod Touch，PDA)、电纸书、网络电视等。

3.根据权利要求1所述的方法和系统，其特征在于，所述的普通客户端，可以是Web浏览器，也可以是普通的应用程序，而所述的认证客户端可以是手机软件或计算机软件，也可以是专门的硬件认证设备或者软件和硬件认证设备的组合。

4.根据权利要求1所述的方法和系统，其特征在于，所述的服务端，可包含或通过第三方提供跨网络通讯服务，以保证不在同一网络的所述服务器端与所述普通客户端有通信能力，或者不在同一网络的所述服务器端与所述认证客户端有通信能力。

5.根据权利要求4所述的方法和系统，其特征在于，所述的跨网络通讯服务，可以是建立互联网和移动通信网络之间的通信通道的服务，也可以是建立任意非直接相连网络之间的通信通道的服务。其典型的通讯方式是认证客户端经由短信、彩信、WAP等网关通过GPRS、CDMA、3G等移动通信网络接入互联网，并与互联网上的跨网络通讯服务相连。

6.根据权利要求1所述的方法和系统，其特征在于，所述的由普通客户端提交的认证附加信息可以只是帐号(或用户名)和密码和用户数据(如订单、转账信息等)，不包含任何与用户数字证书相关的信息，而认证客户端收到的认证附加信息片段可以是经过服务端用经CA机构认证的私钥进行签名的数据，其中不包含任何与用户密码相关的信息，并且所收到的帐号(或用户名)只是片段数据。

7.根据权利要求1所述的方法和系统，其特征在于，所述的认证客户端可识别来自服务端的认证附加信息并分辨其并非伪造，而所述的服务端可识别认证客户端的唯一信息并分辨出该唯一信息并非伪造。其方法可以基于PKI/CA公钥基础设施安全体 系，双方通过数字签名机制来防范他人伪造信息，也可以是其他可被证明能够防范他人伪造信息的方法。

8.根据权利要求1所述的方法和系统，其特征在于，所述的服务端可以是任意涉及个人及企业资产或机密数据安全的服务，如网上银行服务、在线支付服务、网络游戏服务、线上股票交易服务、在线数据备份等。

9.根据权利要求1所述的方法和系统，其特征在于，所述的服务端和普通客户端可以是接入互联网，但也可以位于移动通信网络甚至其他网络(如局域网)，认证客户端可以是接入移动通信网络，但也可以位于互联网甚至其他网络(如局域网)。

10.根据权利要求3所述的方法和系统，其特征在于，所述的Web浏览器可以是运行于任意用户操作系统(Windows，Linux，Mac OS，Android，Symbbian等)，可以是Internet Explorer(IE)，也可以任意非IE测览器(如Firefox，Chrome，Opera等)。