[发明专利]一种基于USBKey的身份认证方法和系统

权利要求书

1.一种基于USBKey的身份认证系统，其特征在于，包括：

认证中心CA，用于采用公钥基础设施PKI提供身份认证服务，并负责签发和管理数字证书；

USBKey，用于存储数字证书，并基于所述数字证书对用户身份对应的信息进行加密；

配置有PKI/CA安全基础设施的安全服务中心，用于为用户及应用服务提供统一的身份认证机制，从认证中心获得数字证书并基于所述数字证书和公钥密码对USBKey的加密信息进行解密，当解密成功时通过用户身份认证，建立SSL数据安全传输通道；

操作系统，用于获取USBKey中的用户身份和访问口令PIN码，并在通过用户身份认证后，获取用户身份对应的业务权限，根据业务权限对业务数据进行数字签名。

2.根据权利要求1所述的基于USBKey的身份认证系统，其特征在于，所述PKI/CA安全基础设施从认证中心获得数字证书并为应用系统提供数字证书，基于所述数字证书对需要传输的信息进行加密和签名。

3.根据权利要求2所述的基于USBKey的身份认证系统，其特征在于，所述安全服务中心将根据PKI/CA安全基础设施提供的数字证书，为应用系统提供安全管理和安全服务，包括单点登录、用户管理、身份认证、授权管理、密码服务和安全审计功能。

4.根据权利要求3所述的基于USBKey的身份认证系统，其特征在于，所述安全服务中心包括应用系统、应用安全接口和安全管理，其中，

所述应用系统为C/S类应用、B/S类应用、桌面应用、操作系统级应用，且所述应用系统通过应用支撑平台提供的接口、服务和管理使用PKI机制确保安全；

所述应用安全接口，负责利用安全代理客户端软件将认证中心和安全基础设施结合起来，实现安全服务；

所述安全管理负责将与应用安全相关的安全控制功能进行统一管理。

5.根据权利要求4所述的基于USBKey的身份认证系统，其特征在于，所述应用安全接口包括：安全代理模块、安全插件模块和API接口模块，其中，

所述安全代理模块用于通过客户端软件实现安全代理；

所述安全插件模块用于利用软件插件的形式提供安全功能；

所述API接口模块用于进行二次开发解析数字证书。

6.根据权利要求4所述的基于USBKey的身份认证系统，其特征在于，所述安全管理包括：用户管理模块、统一认证模块、统一授权模块、安全审计模块以及单点登录模块，其中，

所述统一认证模块用于对用户进行统一身份认证；

所述统一授权模块用于对用户进行统一授予权限；

所述安全审计模块用于对证书和用户身份信息的安全性进行审核；

所述单点登录用于单个用户登陆。

7.根据权利要求1所述的基于USBKey的身份认证系统，其特征在于，所述操作系统采用国产操作系统，包括下面的至少一种：中标麒麟、银河麒麟、共创Linux、优麒麟、思普操作系统。

8.一种基于USBKey的身份认证方法，应用于权利要求1～7中任一项所述的基于USBKey的身份认证系统中，其特征在于，所述方法包括：

在非密网络中，认证中心签发和管理数字证书，客户端从认证中心下载并制作数字签名证书发送到USBKey；

在涉密网络中，安装在客户端的操作系统获取USBKey中的用户身份和访问口令PIN码，USBKey将用户身份对应的加密信息发送到安全服务中心，安全服务中心从认证中心获得数字签名证书和公钥密码解密USBKey加密信息，当解密成功时通过身份认证，建立SSL数据安全传输通道，操作系统获取用户身份对应的业务权限，并根据业务权限对业务数据进行数字签名。

9.根据权利要求8所述的基于USBKey的身份认证方法，其特征在于，所述非密网络生产数字证书，所述涉密网络使用数字证书，其中，

非密网指公共信息在网上公开的网络，涉密网指涉及机密信息不能公开的网络。

10.根据权利要求8所述的基于USBKey的身份认证方法，其特征在于，所述USBKey采用单钥密码算法、双钥密码算法或公开密钥数字签名算法对信息进行加密。