[发明专利]一种身份认证方法和系统

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种身份认证方法和系统。

背景技术

当终端(如PC机、手机等)对便携式存储设备(如智能卡、存储卡等)进行访问时，便携式存储设备需要对访问的终端进行身份认证，图1为现有技术中身份认证方法的流程图。如图1所示，现有技术中身份认证的方法包括以下步骤：

步骤101，当终端探测到便携式存储设备时，给便携式存储设备上电，便携式存储设备向请求访问的终端发送身份认证请求。

步骤102，终端收到便携式存储设备发送的身份认证请求后，通过人机交互界面提示用户输入个人识别号码(PIN)，用户根据人机交互界面的提示输入PIN。

步骤103，终端向便携式存储设备返回身份认证请求响应，该身份认证请求响应以明文方式携带用户输入的PIN。

步骤104，便携式存储设备收到用户输入的PIN后，对比用户输入的PIN、以及自身预先存储的PIN，如果二者一致，则身份认证通过；否则，身份认证失败。

步骤105，便携式存储设备向终端返回身份认证结果，如果身份认证通过，则该终端可对该便携式存储设备进行访问；否则，终端无法访问。

在现有的身份认证方法中，由于终端将用户输入的PIN以明文方式发送给便携式存储设备以进行身份认证，终端发送的PIN很容易被非法用户窃取或截获，导致非法用户也有可能获得访问该便携式存储设备的权限，因此现有的身份认证方法的安全性不高。

发明内容

有鉴于此，本发明的主要目的在于提供一种身份认证方法，以提高终端与便携式存储设备之间的身份认证的安全性。

本发明的另一目的在于提供一种身份认证系统，以提高终端与便携式存储设备之间的身份认证的安全性。

为达到上述目的，本发明的技术方案具体是这样实现的：

一种身份认证系统，该系统包括：终端、便携式存储设备，

所述便携式存储设备包括：身份认证模块、安全处理模块加载单元，其中，

身份认证模块使用自身的会话密钥对自身产生的会话票据进行加密；

安全处理模块加载单元在所述终端中加载安全处理模块；

安全处理模块携带与身份认证模块相同的会话密钥产生机制，并与身份认证模块按照相同的会话密钥产生机制产生各自的会话密钥；安全处理模块还携带与身份认证模块中的加密机制对应的解密机制，并使用自身的会话密钥解密来自身份认证模块的加密的会话票据，并将解密后得到的会话票据返回给身份认证模块；

且，身份认证模块还用于比较接收到的会话票据与自身产生的会话票据。

所述身份认证模块包括：第一会话密钥产生单元、第一会话票据产生单元、加密单元，身份认证单元；所述安全处理模块包括：身份信息录入及保存单元、第二会话密钥产生单元、解密单元；其中，

第一会话密钥产生单元，用于以便携式存储设备自身的身份信息为密钥种子产生第一会话密钥；

第一会话票据产生单元，用于产生第一会话票据并将第一会话票据发送给加密单元和身份认证单元；

加密单元，用于使用第一会话密钥加密第一会话票据，将加密的第一会话票据发送给解密单元；

身份信息录入及保存单元，用于用户录入身份信息及保存用户录入的身份信息；

第二会话密钥产生单元，用于以用户录入的身份信息为密钥种子按照第一会话密钥的产生机制产生第二会话密钥；

解密单元，用于使用第二会话密钥按照与加密机制对应的解密机制解密来自加密单元的加密的第一会话票据，并将解密后得到的第二会话票据发送给身份认证单元；

身份认证单元，用于比较来自解密单元的第二会话票据和来自第一会话票据产生单元的第一会话票据是否一致，如果一致则对终端的身份认证通过；否则，身份认证失败。

所述终端为PC机、或手机、或自动柜员机ATM；

所述便携式存储设备为智能卡、或存储卡、或USBKey。

所述终端和所述便携式存储设备之间采用ISO7816接口协议、或通用存储卡接口协议、或USB接口协议、或无线接口协议。

所述身份信息为个人识别号码PIN、或生物特征信息。

所述身份信息录入及保存单元包括软键盘。

所述第一会话票据和第二会话票据依据当前会话时间产生。

一种身份认证方法，该方法包括以下步骤：

便携式存储设备将与自身相同的会话密钥产生机制、以及与自身的加密机制对应的解密机制加载至终端；

便携式存储设备使用自身的会话密钥对自身产生的会话票据进行加密；