[发明专利]一种身份认证方法及身份认证系统

说明书

本发明公开了一种身份认证方法及身份认证系统，该系统的服务器端与用户终端之间的通信采用统一认证协议，用户终端连接有认证器元件。认证方法包括：服务器端收到认证请求后，下发认证请求报文至用户终端，等待认证响应消息；服务器端接收到由用户终端生成的认证响应消息后，进行报文验证，同时进行数字证书数字签名验证，下发认证结果；所述认证器元件是指能实现身份特征采集、提取、存储和匹配的终端认证设备。该系统和方法基于统一协议的数字证书安全应用机制，兼容PKI体系，为业务提供统一的认证服务，降低集成部署难度，用户体验好，安全性高，也保护了用户隐私。

技术领域

本发明涉及用户身份认证技术领域，具体涉及一种兼容性好的身份认证方法及身份认证系统。

背景技术

目前业界流行的认证解决方案是通过专用硬件设备管理密钥，针对不同的操作系统、应用软件提供不同的管理工具、插件等方式完成应用侧的使用，通过通信链路将数字签名结果发送至后端完成数字签名验证。

在数字证书使用过程中，需要设计操作系统、基础应用软件(如浏览器等)，由于缺乏统一协议支撑，需要用户安装各类管理工具、插件等，多平台兼容难度大、用户使用复杂、体验差；数字证书的安全主要集中在密钥的管理安全，但是对前后端交互过程的安全性，缺乏安全防护机制，出现重放攻击、钓鱼攻击、中间人攻击等安全风险；

PKI/CA机制设计是在80年代，主要是在密钥的管理层面提供了解决方案，做到了统一，但是在应用层面就缺少统一的规范，导致了一系列应用安全和兼容性问题，也使得密码技术应用难于推广使用。

发明内容

本发明的目的是针对现有技术中的上述问题，提供一种兼容性好、安全性高、泛在性强、用户体验好的一种身份认证方法。本发明还提供了一种身份认证系统。

第一方面，本发明提供一种身份认证方法，服务器端与用户终端之间的通信采用统一认证协议，用户终端连接或者内置有认证器元件，认证方法包括：

服务器端收到认证请求后，下发认证请求报文至用户终端，等待认证响应消息；

服务器端接收到由用户终端生成的认证响应消息后，进行报文验证，同时进行数字证书数字签名验证，下发认证结果；

所述认证器元件是指能实现身份特征采集、提取、存储和匹配的终端认证设备；

所述认证响应消息是由用户终端指示认证器元件进行身份验证后，调用由认证器元件生成并存储的用户私钥和数字证书私钥进行数字签名，并遵循统一认证协议组成的。即，认证响应消息是由用户终端最终封装而成并发给服务器的，而认证响应消息的核心部分(如签名消息)由认证器元件产生。

可选或优选的，上述身份认证方法中，所述认证响应消息的生成方式如下：用户终端接收认证请求报文，枚举当前有效数字证书供用户选择一张后，由用户终端向认证器元件发出指令，认证器元件对用户进行身份验证通过后，用户终端调用用户私钥和数字证书私钥进行数字签名，并遵循统一认证协议，生成认证响应消息。

可选或优选的，上述身份认证方法中，所述认证响应消息的生成方式如下：用户终端接收认证请求报文后，直接向认证器元件发出指令，认证器元件对用户进行身份验证通过后，用户终端调用用户私钥和数字证书私钥进行数字签名，并遵循统一认证协议，生成认证响应消息。

可选或优选的，上述身份认证方法中，进行身份认证前，还包括开通认证功能的步骤：

服务器端接收用户终端发来的注册请求后，下发注册请求报文至用户终端，等待注册响应消息；

服务器端接收到注册响应消息后，进行协议格式校验、安全策略验证，对注册响应消息使用设备证书验签，验签通过后，将证书申请信息发送给CA数字证书注册系统；

服务器端接收由CA数字证书注册系统签发的用户数字证书；