[发明专利]一种身份认证方法及身份认证系统

权利要求书

1.一种身份认证方法，其特征在于，服务器端与用户终端之间的通信采用统一认证协议，用户终端连接或者内置有认证器元件，认证方法包括：

服务器端收到认证请求后，下发认证请求报文至用户终端，等待认证响应消息；

服务器端接收到由用户终端生成的认证响应消息后，进行报文验证，同时进行数字证书数字签名验证，下发认证结果；

所述认证器元件是指能实现身份特征采集、提取、存储和匹配的终端认证设备；

所述认证响应消息是由用户终端指示认证器元件进行身份验证后，调用由认证器元件生成并存储的用户私钥和证书私钥进行数字签名，并遵循统一认证协议组成的；

进行身份认证前，还包括开通认证功能的步骤：

服务器端接收用户终端发来的注册请求后，下发注册请求报文至用户终端，等待注册响应消息；

服务器端接收到注册响应消息后，进行协议格式校验、安全策略验证，对注册响应消息使用设备证书验签，验签通过后，将证书申请信息发送给CA数字证书注册系统；

服务器端接收由CA数字证书注册系统签发的用户数字证书；

所述注册响应消息，由用户终端生成，生成方法是指示认证器元件对用户进行身份验证通过后，由认证器元件生成用户公私钥，同时认证器元件生成证书公私钥，用户私钥和证书私钥存储在认证器元件中，认证器元件将用户公钥、绑定关系、包含证书公钥的证书申请信息三者，使用设备私钥签名，遵循统一认证协议组成。

2.根据权利要求1所述的身份认证方法，其特征在于，所述认证响应消息的生成方式如下：用户终端接收认证请求报文，枚举当前有效数字证书供用户选择一张后，由用户终端向认证器元件发出指令，认证器元件对用户进行身份验证通过后，用户终端调用用户私钥和数字证书私钥进行数字签名，并遵循统一认证协议，生成认证响应消息。

3.根据权利要求1所述的身份认证方法，其特征在于，所述认证响应消息的生成方式如下：用户终端接收认证请求报文后，直接向认证器元件发出指令，认证器元件对用户进行身份验证通过后，用户终端调用用户私钥和数字证书私钥进行数字签名，并遵循统一认证协议，生成认证响应消息。

4.一种身份认证方法，其特征在于，服务器端与用户终端之间的通信采用统一认证协议，用户终端连接有认证器元件，认证方法包括：

用户终端被用户触发认证请求，将认证请求提交至服务器端，等待由服务器端下发的认证请求报文；

接收到认证请求报文后，指示认证器元件进行用户身份验证，验证通过后，调用由认证器元件生成并存储的用户私钥和数字证书私钥进行数字签名，并遵循统一认证协议，生成认证响应消息，返回给服务器端；

接收由服务器端生成的认证结果，展示给用户；

进行身份认证前，还包括开通认证功能的步骤：

用户终端被用户触发注册请求并传输至服务器端，接收服务器端下发的注册请求报文，对注册请求报文进行核验后，指示认证器元件进行用户身份验证，将由认证器元件完成验证后生成的用户公钥、绑定关系、包含证书公钥的证书申请信息，使用用户私钥签名，遵循统一认证协议，生成注册响应消息，发送给服务器端；

接收由服务器端从CA数字证书注册系统申领到的数字证书；

认证器元件在生成用户公钥的同时，还生成用户私钥，以及证书公钥和证书私钥。

5.根据权利要求4所述的身份认证方法，其特征在于，用户终端接收到认证请求报文后，枚举当前有效数字证书供用户选择，根据用户选择的一张数字证书，指示认证器元件对用户进行身份验证。

6.一种身份认证系统，其特征在于，包括服务器端、用户终端和认证器元件，用户终端和认证器元件通信或者直接物理连接，服务器端和用户终端通信连接，通信采用统一认证协议；执行权利要求1-5任一所述的身份认证方法。