[发明专利]一种身份认证系统和方法

说明书

技术领域

本发明涉及信息加密技术领域，特别涉及一种身份认证和方法。

背景技术

在今天这样一个互联网驱动的社会中，网上银行也称在线银行，已经成为金融机构整体发展策略中不可或缺的一部分。近年来使用网上银行的用户数量巨大增长，并且每年保持了稳定的发展势头。网上银行在给它的用户带来诸多便捷服务、给银行节省费用支出和带来更多利润增长点的同时，也承受着很多安全风险。很多银行意识到了这一点，纷纷采取行动，包括不断教育用户提高自身安全意识，安装杀毒软件，防木马软件；采用硬件USBKey或者动态口令牌方式进行身份认证等。

USBKey是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USBKey内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。

目前为了一些企业更加安全方便的与网络银行系统进行对接，银行会在企业的电脑系统中布置一个前置服务器，前置服务器通过网络连接银行的后台系统，专门为该企业处理网络银行业务；相比于银行的公用服务器，这种供一个企业专用的前置服务器更加安全的保护了企业客户的商业隐私，也更加便于企业客户使用。前置服务器一般都伴有一个与该服务器绑定的USBKey，所述绑定即代表一种USBKey与前置服务器之间固定的对应关系；企业内部使用网络银行的时候，首先需要将USBKey通过USB接口接入前置服务器进行身份认证，在身份认证过程中只有与前置服务器存在绑定关系的USBKey能够通过身份认证，通过身份认证后，企业可以开始利用前置服务器进行网银操作。

在现有技术中，USBKey与前置服务器的绑定主要有两种形式，一种为USBKey与前置服务器中例如IP地址等虚拟环节进行绑定；另一种是USBKey通过前置服务器中例如CPU序列号或者硬盘序列号之类的硬件标识，直接与硬件进行绑定。

现有技术中存在的缺点在于，如果同类似IP地址等虚拟环节进行绑定，由于IP地址等虚拟环节很可能被修改或者冒充，所以安全性非常低；如果同硬件进行绑定，当服务器的硬件进行了更新换代，则绑定失效，在实际应用中造成很大的不方便，并且所述硬件绑定实际上同样是通过一些虚拟环节来实现的，所以同样存在安全风险。

发明内容

有鉴于此，本发明的目的在于提供一种身份认证系统和方法，以实现更加安全方便的进行身份认证，具体技术方案如下：

一种身份认证系统，所述系统包括：

授权端，用于计算得到一个密钥对，所述密钥对包括一个公钥和一个私钥，所述公钥与私钥彼此唯一匹配；授权端存储私钥，将公钥发送至签名端储存；授权端利用私钥计算得到认证数据，将所述认证数据发送至所述签名端进行认证；

签名端，用于从授权端接收公钥并存储；利用自身存储的公钥解析从授权端获取的认证数据，如果解析成功则通过认证。

所述授权端包括：

第一生成单元，用于计算得到一个密钥对，所述密钥对包括一个公钥和一个私钥，所述公钥与私钥彼此唯一匹配；

第一运算单元，用于从第一存储单元获取私钥，利用所述私钥计算得到认证数据；

第一发送单元，用于从第一生成单元获取公钥，将公钥发送至签名端保存；从第一运算单元获取认证数据，将认证数据发送至签名端进行认证；

第一存储单元，用于存储私钥。

所述签名端包括：

第二密钥认证单元，用于从授权端获取认证数据，从第二存储单元获取公钥，利用所述公钥解析所述认证数据，如果解析成功则通过认证；

第二存储单元，用于从授权端获取公钥并存储。

所述授权端还存储签名端的认证码信息；所述签名端还存储一个标示签名端自身唯一特征的序列号，所述授权端包括：

第三生成单元，用于计算得到一个密钥对，所述密钥对包括一个公钥和一个私钥，所述公钥与私钥彼此唯一匹配；

第三获取单元，用于从签名端获取签名端序列号，并将序列号发送至第三识别单元；

第三识别单元，用于识别签名端的序列号，并根据从第三存储单元获取与该序列号对应的认证码信息；

第三运算单元，用于从第三存储单元获取私钥，利用所述私钥计算得到认证数据；

第三签名单元，用于从第三运算单元获取认证数据，从第三识别单元获取认证码信息，并将认证数据写入认证码信息中；

第三发送单元，用于从第三生成单元获取公钥，将公钥发送至签名端保存；从第三签名单元获取写入认证数据的认证码信息并发送至签名端进行认证；