[发明专利]一种认证方法和认证系统

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种认证方法和认证系统。

背景技术

近几年，网络的快速发展及其提供的极大便利，使人们越来越多的依赖网络手段进行各种活动，包括身份识别、网上银行和VPN(Virtual Private Network，虚拟专用网络，又称为虚拟私人网络)等。

相应地，网络信息安全也越来越引起人们的重视，近些年来出现了一种信息安全产品，即一种便携式的可移动使用的硬件设备，一般称为认证设备，是一种带有微处理器的小型硬件设备。认证设备通过主机的数据通讯接口与主机建立连接，设备内的处理器一般采用安全设计芯片，利用其内置的安全机制，实现密钥生成、密钥安全存储和预置加密算法等功能，与密钥相关的运算完全在认证设备内部执行，所以认证设备安全性很高。由于认证设备的上述优点，故可以将其应用在身份认证、网上银行和VPN等领域。

目前，通过客户端对用户的身份进行合法性认证的技术主要有基于认证设备(包括智能卡、电子装置等)的口令验证技术，利用这些技术进行交易合法性认证的一般流程为：客户端将操作信息传输到认证设备中进行签名，客户端再将经认证设备签名后的操作信息通过网络传输给服务端进行认证。

但是，由于客户端一般都是用户个人计算机，安全级别一般很低，非常容易被黑客攻击或中木马病毒等，所以如果客户端计算机被黑客或木马病毒等远程控制，很容易通过统一标准的访问接口(比如CryptoAPI接口标准或PKCS#11接口标准等)将交易信息传输至认证设备进行签名后发送到服务端验证，从而冒用合法用户的身份信息进行交易，而整个过程常常是不能被用户所查知的，给合法用户的正常交易带来极大的安全隐患。

发明内容

为了解决上述冒用合法用户身份进行交易的安全隐患，本发明提供了一种认证方法和系统，有效避免合法用户身份被冒用的问题。

一种认证方法，包括如下步骤：

客户端处理操作信息得到验证信息，并将所述验证信息发送至认证设备；

认证设备判断所述验证信息中是否有关键信息，如果验证信息中有关键信息，则输出关键信息并等待确认，认证设备接收到对关键信息的确认信息后，利用加密算法处理所述验证信息得到密文信息，并将所述密文信息发送回所述客户端；如果验证信息中无关键信息，则利用加密算法处理所述验证信息得到密文信息，并将所述密文信息发送回所述客户端；

客户端将所述操作信息和所述密文信息发送至服务端；

服务端判断所述操作信息的类型，当操作信息的类型为交易信息类型时，解析所述密文信息中的关键信息，通过认证所述关键信息的合法性和所述密文信息的合法性完成操作；当操作信息的类型不是交易信息类型时，通过认证所述密文信息的合法性完成操作。

所述客户端处理操作信息得到验证信息方法的具体步骤为：判断操作信息的类型，当操作信息的类型为交易信息类型时，客户端将操作信息处理为含有关键信息的验证信息；当操作信息的类型不是交易信息类型时，客户端将操作信息处理为不含有关键信息的验证信息。

当操作信息的类型为交易信息类型时，客户端对操作信息进行变换得到关键信息，对操作信息进行运算得到特征信息，将所述关键信息和特征信息组合生成验证信息；当操作信息的类型不是交易信息类型时，客户端对操作信息进行运算生成验证信息。

当操作信息的类型为交易信息类型时，客户端直接将所述操作信息作为验证信息或提取所述操作信息中的一部分作为验证信息；当操作信息的类型不是交易信息类型时，客户端对操作信息进行运算生成验证信息。

所述认证设备判断所述验证信息中是否有关键信息方法的具体步骤为：所述认证设备利用预存的所述关键信息的标识符判断客户端发送来的验证信息中是否有关键信息；所述关键信息标识符为所述关键信息中用于表示标识作用的字符。

所述认证设备利用预存的所述关键信息的标识符判断客户端发送来的验证信息中是否有关键信息方法的具体步骤为：

所述认证设备利用预先存储的关键信息标识符与所述验证信息比较，判断验证信息中是否含有所述关键信息标识符，如果含有所述关键信息标识符则所述验证信息中有关键信息，如果不含所述关键信息标识符，则所述验证信息中无关键信息。