[发明专利]一种授权认证方法及系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及通过签名Key和授权Key实现的一种授权认证方法及系统。

背景技术

目前，随着计算机技术的快速发展，网上银行(简称网银)越来也普及，有更多的人开始使用这种方便快捷的网银服务，如个人网上银行、企业网上银行、手机银行等，这些网银的应用都是通过互联网方式与网银后台服务器进行交互。还有一种网上银行的模式为银企直联，此模式实现了企业系统(财务系统/企业管理系统SAP/企业资源规划系统ERP)与银行系统网络层次的安全链接，可以有效的避免来自互联网的攻击。但是对于不同的企业，其内部管理规则不统一，如果不对企业前置机进行安全有效的认证与管理，容易给银行与企业带来风险与损失。

现有技术中，企业前置机由专人管理，USB Key始终插在前置机上，USB Key需要授权才可以使用，授权过程值是PIN码的确认过程，现有技术中PIN码是固定的，容易泄漏，且由于USB Key是便携设备，容易被转移到其他设备上使用，存在安全隐患；在进行网上交易时，每笔交易都要重复输入验证PIN码，操作比较繁琐；由于输入PIN码缓存到软件层中，每次签名时都需软件与硬件进行交互来认证PIN码，而这样做会对系统的整体响应造成影响。

发明内容

本发明的目的是为了解决USB Key易被转移、签名需重复验证PIN码的问题，提供了一种授权认证方法及系统。

本发明提供的一种授权认证方法，包括关联过程和认证过程，其中关联过程包括：

步骤a：第一计算机接收到关联请求后，在签名Key和授权Key中设置所述签名Key的外部认证密钥，所述外部认证密钥与所述签名Key的序列号一一对应；

步骤b：所述第一计算机从所述授权Key中将加密公钥导出并发送给所述签名Key；

步骤c：所述签名Key保存所述加密公钥；

其中认证过程包括：

步骤d：第二计算机接收到身份认证请求后，从所述签名Key中获取第二随机数和所述序列号，并将其发送给所述授权Key；

步骤e：所述授权Key根据接收到的所述序列号查找对应的外部认证密钥，使用所述外部认证密钥和与所述加密公钥对应的加密私钥对接收到的所述第二随机数进行签名生成待验证数据，将所述待验证数据通过所述第二计算机发送给所述签名Key；

步骤f：所述签名Key使用所述加密公钥和所述外部认证密钥对接收到的所述待验证数据进行验证。

其中，所述步骤a中第一计算机接收到关联请求后还包括：

所述第一计算机判断是否有授权Key与其连接，是则在签名Key和授权Key中设置所述签名Key的外部认证密钥，否则结束。

其中，所述第一计算机在签名Key和授权Key中设置所述签名Key的外部认证密钥，具体为：

所述第一计算机从所述签名Key中获取所述外部认证密钥，并将其发送给授权Key，所述授权Key接收所述外部认证密钥并进行保存。

其中，所述第一计算机在签名Key和授权Key中设置所述签名Key的外部认证密钥，具体为：

所述第一计算机从所述签名Key中获取序列号；

所述第一计算机设置所述签名Key的外部认证密钥，如果设置成功则将所述获取的序列号和所述外部认证密钥发送给授权Key，否则结束；

所述授权Key接收所述序列号和外部认证密钥并进行保存。

其中，所述第一计算机设置所述签名Key的外部认证密钥，具体为：

所述第一计算机从所述签名Key中获取所述外部认证密钥。

其中，所述第一计算机设置所述签名Key的外部认证密钥，具体为：

所述第一计算机从所述授权Key中获得外部认证密钥；

所述第一计算机将所述外部认证密钥发送给所述签名Key，所述签名Key接收所述外部认证密钥并进行保存；

所述外部认证密钥是所述授权Key随机生成的或预先设置的。

其中，所述第一计算机设置所述签名Key的外部认证密钥，具体为：

所述第一计算机生成预定长度的随机串，并将其设为所述签名Key的外部认证密钥；

所述第一计算机将所述外部认证密钥发送给所述签名Key，所述签名Key接收所述外部认证密钥进行保存。

其中，所述第一计算机设置所述签名Key的外部认证密钥，具体为：

所述第一计算机从所述签名Key和授权Key分别获取各自生成的随机串，将两者进行拼接或合并生成所述外部认证密钥；