一种基于USBKey的身份认证方法和系统与流程

本发明实施方式涉及身份认证技术领域，尤其涉及一种基于usbkey的身份认证方法和系统。

背景技术：

近年来，由于美国中央情报局技术分析员斯诺登爆出“棱镜门”事件，曝光了美国对全世界范围内从国家元首到普通个人的监视和监听，这使得人们对于美国的微软、苹果、谷歌、ibm等网络软硬件巨头公司也产生了很大的怀疑，很可能这些企业也都参与其中，在和平年代这些问题暴露的不太明显，但是一旦发生战争，这将会使我们的电脑和网络处在极大的危险之中。因此网络信息安全问题已经成为了全世界乃至我国社会关注的焦点，使用安全可靠的国产操作系统软硬件对我国国家安全和科技进步都有着极大的意义。随着网络互联网技术的迅猛发展，国家和企业也意识到在网络环境下的身份认证系统可能遭受到的攻击和威胁。

目前在网络环境下的常见的身份认证方式主要有：

使用用户名加口令的方式进行身份认证，但这也是最原始、最不安全的身份确认方式，非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造；

使用生物特征识别技术进行身份认证，包括指纹、声音、手迹、虹膜等，该技术以人体唯一的生物特征为依据，具有很好的安全性和有效性，但实现的技术复杂，技术不成熟，实施成本昂贵，在应用推广中不具有现实意义；

基于usbkey进行身份认证，usbkey是一种基于usb(universalserialbus，通用串行总线)接口与pc(personalcomputer)相连接的小巧硬件设备，可以存储用户的密钥或数字证书，利用usbkey内置的密码算法实现对用户身份的认证。它结合了现代密码学、usb等流行软硬件技术，有数字签名、数据加解密、存储证书等功能。它具有双因子认证、安全存储空间、硬件实现加密算法、使用方便，安全可靠、基于冲击-响应的认证模式等很多特点。usbkey不仅可用于电子文件、软件等方面的加密，还可用于电子政务内外网、电子商务网、金融机构证书认证中心、企业内部网等方面，同时也可以提供安全可靠的身份认证加密技术，能够保证相关网络系统的安全性。

但是，在实施本发明的过程中，发明人发现现有技术至少存在如下问题：

国产操作系统是指中国软件公司开发的计算机操作系统。操作系统由于控制硬件和应用软件之间的联系，其地位非常重要。在中国，对于操作系统主要还是基于安全和产业价值来进行考虑。国产操作系统通过这么多年的发展也取得了长足的进步，以中标麒麟、银河麒麟、共创linux等为代表的国产操作系统是目前中国国产操作系统相对比较稳定、成熟、应用也较为广泛的系统。虽然国产系统还没有在中国普通大众中普及，但是对于一些特定目的的应用具有非常好的实用价值。目前我国国产操作系统比较适合应用在有特定目标的软硬件结合方面，但usbkey和国产操作系统具体软硬件相互结合在身份认证应用上还是空白，值得进一步探索研发。

应该注意，上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

技术实现要素：

针对上述问题，本发明实施方式的目的在于提供一种基于usbkey的身份认证方法和系统，有效防止用户身份认证信息的泄漏、杜绝了密码被破解的可能性、并减少了应用软硬件程序开发工作量。

为实现上述目的，本发明实施方式提供一种基于usbkey的身份认证系统，包括：认证中心ca，用于采用公钥基础设施pki提供身份认证服务，并负责签发和管理数字证书；usbkey，用于存储数字证书，并基于所述数字证书对用户身份对应的信息进行加密；配置有pki/ca安全基础设施的安全服务中心，用于从认证中心获得数字证书并基于所述数字证书对usbkey的加密信息进行解密，当解密成功时通过用户身份认证，建立ssl数据安全传输通道；操作系统，用于获取usbkey中的用户身份和访问口令pin码，并在通过用户身份认证后，获取用户身份对应的业务权限，根据业务权限对业务数据进行数字签名。

进一步地，所述pki/ca安全基础设施从认证中心获得数字证书并为应用系统提供数字证书，基于所述数字证书对需要传输的信息进行加密和签名。

进一步地，所述安全服务中心将根据pki/ca安全基础设施提供的数字证书，为应用系统提供安全管理和安全服务，包括单点登录、用户管理、身份认证、授权管理、密码服务和安全审计功能。

进一步地，所述安全管理包括：安全服务中心包括应用系统、应用安全接口和安全管理，其中，所述应用系统为c/s类应用、b/s类应用、桌面应用、操作系统级应用，且所述应用系统通过应用支撑平台提供的接口、服务和管理使用pki机制确保安全；所述应用安全接口，负责利用安全代理客户端软件将认证中心和安全基础设施结合起来，实现安全服务；所述安全管理负责将与应用安全相关的安全控制功能进行统一管理。

进一步地，所述应用安全接口包括：安全代理模块、安全插件模块和api接口模块，其中，所述安全代理模块用于通过客户端软件实现安全代理；所述安全插件模块用于利用软件插件的形式提供安全功能；所述api接口模块用于进行二次开发解析数字证书。

进一步地，所述安全管理包括：用户管理模块、统一认证模块、统一授权模块、安全审计模块以及单点登录模块，其中，所述统一认证模块用于对用户进行统一身份认证；所述统一授权模块用于对用户进行统一授予权限；所述安全审计模块用于对证书和用户身份信息的安全性进行审核；所述单点登录用于单个用户登陆。

进一步地，所述操作系统采用国产操作系统，包括下面的至少一种：中标麒麟、银河麒麟、共创linux、优麒麟、思普操作系统。

为实现上述目的，本发明还提供了一种基于usbkey的身份认证方法，应用于如前所述的基于usbkey的身份认证系统中，所述方法包括：在非密网络中，认证中心签发和管理数字证书，客户端从认证中心下载并制作数字签名证书发送到usbkey；在涉密网络中，安装在客户端的操作系统获取usbkey中的用户身份和访问口令pin码，usbkey将用户身份对应的加密信息发送到安全服务中心，安全服务中心从认证中心获得数字签名证书解密usbkey加密信息，当解密成功时通过身份认证，建立ssl数据安全传输通道，操作系统获取用户身份对应的业务权限，并根据业务权限对业务数据进行数字签名。

进一步地，所述非密网络生产数字证书，所述涉密网络使用数字证书，其中，非密网指公共信息在网上公开的网络，涉密网指涉及机密信息不能公开的网络。

进一步地，usbkey采用单钥密码算法、双钥密码算法或公开密钥数字签名算法对信息进行加密。

由上可见，本发明实施方式提供的一种基于usbkey的身份认证方法和系统，基于usbkey的身份认证在国产操作系统应用技术，将国产操作系统与usbkey、pki/ca技术相互结合，增加设计了安全服务中心，该安全服务中心为每个用户及应用服务提供统一的身份认证机制。利用数字证书和公钥密码技术对应用系统的每个子系统或用户的合法性进行检验，阻止非法子系统或用户对公共信息资源的访问，真正实现用户身份鉴别的唯一性。具体地，使用层次化的分区安全管理模式帮助安全管理员对系统结构中的任何层面进行管理，包括用户与组的管理、应用管理、策略管理以及管理员的管理；保证业务数据在存储、处理及传输过程中的一致性，防止信息被非授权修改；结合国产操作系统进行身份认证，这样可以保证身份认证的信息传输的保密性、数据交换的完整性、发送消息的不可否认性，交易者身份的确定性，形成安全可靠的身份认证系统。

附图说明

为了更清楚地说明本发明实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图逐一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施方式提供的基于usbkey的身份认证系统的示意图；

图2为本发明实施方式提供的配置有pki/ca安全基础设施的安全服务中心的示意图；

图3为本发明实施方式提供的基于usbkey的身份认证方法的示意图；

图4为本发明实施方式提供的信息加密过程的示意图；

图5为本发明实施方式提供的信息解密过程的示意图。

具体实施方式

为使本发明实施方式的目的、技术方案和优点更加清楚，下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。

本发明主要用于用户在线注册协议、身份认证等方面，网络方面主要分为涉密网和非涉密网络，根据目标机构的业务系统基于涉密运行的要求，将会与pki(publickeyinfrastructure/公钥基础设施)/ca(certificateauthority/数字证书认证中心)系统采取隔离的方式集成。此外，本发明加入了安全服务中心主要用于对usbkey用户的身份认证，并且可以赋予用户安全传输数据的权力，增加了一层安全保障。

请参阅图1，本发明实施方式提供一种基于usbkey的身份认证系统，包括：usbkey、操作系统、ca(certificateauthority，认证中心)、以及安全服务中心。

在本发明实施方式中，usbkey是一种基于usb接口与客户端(例如pc)相连接的小巧硬件设备，可以存储用户的密钥或数字证书，利用usbkey内置的密码算法实现对用户身份的认证。

在本发明实施方式中，操作系统采用国产操作系统，例如中标麒麟、银河麒麟、共创linux、优麒麟、思普操作系统等。当然并不限于此，在此不一一列举。

在本发明实施方式中，ca采用pki(publickeyinfrastructure，公钥基础设施)公开密钥基础架构技术提供身份认证服务，负责签发和管理数字证书。

在本发明实施方式中，请参阅图2，其中，安全服务中心包括：应用系统11、安全接口12、安全管理13，其中，

应用系统11可以包括c/s类应用、b/s类应用、各种桌面应用(如文件加密存储等)、操作系统级应用(如域管理等)，这些应用可以通过应用支撑平台提供的接口、服务和管理使用pki机制确保安全；

应用安全接口12负责利用安全代理客户端软件将ca安全基础设施及用户集中管理及认证系统与安全应用系统有机结合起来，实现全面的安全服务，包括：安全代理模块121、安全插件模块122和api接口模块123，其中，安全代理模块用于通过客户端软件实现安全代理；安全插件模块用于利用软件插件的形式提供安全功能；api接口模块用于进行二次开发解析数字证书；

安全管理13负责将与应用安全相关的各种安全控制功能进行统一管理，包括：用户管理模块131、统一认证模块132、统一授权模块133、安全审计模块134以及单点登录模块135，其中，统一认证模块用于对用户进行统一身份认证；统一授权模块用于对用户进行统一授予权限；安全审计模块用于对证书和用户身份信息的安全性进行审核；单点登录用于单个用户登陆。

此外，设置pki/ca安全基础设施配合安全服务中心。

其中，该pki/ca安全基础设施是以pki为核心技术的证书体系基础平台，它不直接面向应用，但它是保障应用安全的重要基础平台。其中，pki技术采用证书管理公钥，通过第三方的可信任机构ca把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起，在internet网上验证用户的身份。此外，该pki/ca安全基础设施为应用对象提供标准的数字证书，采用建立在pki基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输，为系统的安全通讯、身份认证等管理提供强有力的证书支持。

安全服务中心将根据安全基础设施签发的证书体系，直接面向业务应用，为应用系统提供全面的安全管理和安全服务，包括单点登录、用户管理、身份认证、授权管理、密码服务和安全审计功能。

基于上述的身份认证系统，在本发明实施方式中，非密网络生产数字证书，涉密网络使用数字证书，其中，非密网指公共信息可以在网上公开的网络，涉密网指涉及机密信息(例如国家机密信息)不能公开的网络，从而保证涉密信息的安全性。

如图3所示，本发明实施方式提供一种基于usbkey的身份认证方法，其中usbkey和客户端连接，该方法包括：

步骤s1：在非密网络中，认证中心签发和管理数字证书，客户端从认证中心下载并制作数字签名证书发送到usbkey。

步骤s2：在涉密网络中，安装在客户端的操作系统获取usbkey中的用户身份和访问口令pin码，usbkey将用户身份对应的加密信息发送到安全服务中心，安全服务中心从认证中心获得数字签名证书解密usbkey加密信息，当解密成功时通过身份认证，建立数据安全传输通道，操作系统解析数字签名证书并提取数字签名证书中的用户身份，获取用户身份对应的业务权限，并根据业务权限对业务数据进行数字签名。

具体地，可继续参见图1，该方法中验证过程包括：

(1)将usbkey插入pc端国产操作系统获取到usbkey中的用户身份信息；

(2)用户选择并提交用户证书，usbkey要求输入访问口令pin码；

(3)usbkey将加密后的信息发送到安全服务中心；

(4)安全服务中心获得此信息后，从ca那里获得数字签名证书解密usbkey加密信息密钥；

(5)验证成功的话，则可以创建ssl加密会话隧道实现用户的安全代理访问。

在本发明实施方式中，信息加密指利用非对称密钥进行数据加密的过程，通常用于会话密钥的加密和协商，如：ssl(securesocketslayer安全套接层)协议会话密钥协商和数字信封的会话密钥加密等。信息加密包括加密和解密两个过程。信息加密过程如图4所示，信息加密实施者使用信息解密实施者的加密证书公钥对信息或数据进行加密计算，获得密文。信息加密过程如图5所示，信息解密实施者使用自己的加密证书私钥对密文进行解密，获得原始信息或数据。

在本发明实施方式中，usbkey可以采用单钥密码算法、双钥密码算法或公开密钥数字签名算法等对信息进行加密。加密信息包括名称、e-mail、身份证号等信息。

例如，单钥密码算法(加密)，又称对称密码算法：是指加密密钥和解密密钥为同一密钥的密码算法。因此，信息的发送者和信息的接收者在进行信息的传输与处理时，必须共同持有该密码(称为对称密码)。

双钥密码算法(加密、签名)，又称公钥密码算法：是指加密密钥和解密密钥为两个不同密钥的密码算法。公钥密码算法不同于单钥密码算法，它使用了一对密钥：一个用于加密信息，另一个则用于解密信息，通信双方无需事先交换密钥就可进行保密通信。

公开密钥数字签名算法(签名)，dsa(digitalsignaturealgorithm，数字签名算法，用作数字签名标准的一部分)，它是另一种公开密钥算法，它不能用作加密，只用作数字签名。dsa使用公开密钥，为接受者验证数据的完整性和数据发送者的身份。它也可用于由第三方去确定签名和所签数据的真实性。dsa算法的安全性基于解离散对数的困难性，这类签字标准具有较大兼容性和适用性，成为网络安全体系的基本构件之一。

在本发明实施方式中，建立数据安全传输通道为创建ssl加密会话隧道。部署在应用服务器前的两个传输层加密设备通过数字证书进行ssl认证、密钥协商，数据传输过程使用ssl认证协商产生的密钥进行数据传输加密保护。在传输层加密系统中，客户端设备、加密网关基于数字证书完成双方的身份认证和密钥协商。

上述的涉及到的基于usbkey的身份认证方法的具体技术细节和基于usbkey的身份认证系统中的类似，故不再具体赘述。

由上可见，本发明实施方式是基于usbkey的身份认证在国产操作系统应用技术方法，该方法可以将国产操作系统与usbkey、pki/ca技术相互结合，增加设计了安全服务中心，该安全服务中心为每个用户及应用服务提供统一的身份认证机制。利用数字证书和公钥密码技术对应用系统的每个子系统或用户的合法性进行检验，阻止非法子系统或用户对公共信息资源的访问，真正实现用户身份鉴别的唯一性。具体地，使用层次化的分区安全管理模式帮助安全管理员对系统结构中的任何层面进行管理，包括用户与组的管理、应用管理、策略管理以及管理员的管理；保证业务数据在存储、处理及传输过程中的一致性，防止信息被非授权修改；结合国产操作系统进行身份认证，这样可以保证身份认证的信息传输的保密性、数据交换的完整性、发送消息的不可否认性，交易者身份的确定性，形成安全可靠的身份认证系统。

本说明书中的各个实施方式均采用递进的方式描述，各个实施方式之间相同相似的部分互相参见即可，每个实施方式重点说明的都是与其他实施方式的不同之处。

最后应说明的是：上面对本发明的各种实施方式的描述以描述的目的提供给本领域技术人员。其不旨在是穷举的、或者不旨在将本发明限制于单个公开的实施方式。如上所述，本发明的各种替代和变化对于上述技术所属领域技术人员而言将是显而易见的。因此，虽然已经具体讨论了一些另选的实施方式，但是其它实施方式将是显而易见的，或者本领域技术人员相对容易得出。本发明旨在包括在此已经讨论过的本发明的所有替代、修改、和变化，以及落在上述申请的精神和范围内的其它实施方式。