技術領域

本發明涉及信息安全技術，尤其涉及一種身份認證方法及系統。

背景技術

公鑰基礎設施(Public?Key?Infrastructure，PKI)體系是一組建立在公開密碼算法基礎上的硬件、軟件、人員和應用程序的集合，它采用證書管理公鑰，通過第三方可信任機構數字證書認證中心(Certificate?Authority，CA)把用戶的公鑰和用戶的其他標識信息(如名稱、身份證號等)綁定在一起，用以在互聯網上驗證用戶的身份，PKI體系把公鑰密碼和對稱密碼有機的結合在一起，實現密鑰的自動管理，保證數據的機密性和完整性。其中，CA是一個獨立于所有用戶之外的可信任第三方，是整個PKI體系的核心，它負責為PKI體系中所有的實體(如用戶、軟件、機器等)發放數字證書(以下簡稱證書)，更新證書和廢止過期證書等。數字證書是由CA簽發的用于標明用戶身份的電子文檔，其中包含用戶的公鑰、可以唯一標識用戶身份的用戶標識(如用戶ID)以及CA對上述信息的簽名等，CA將簽發的數字證書發送給最終用戶，并將該數字證書公布出去。

便攜式存儲設備(如存儲卡)一般采用PKI技術實現數字版權保護(DRM)功能，其擁有自己的證書，一般證書是在便攜式存儲設備發行之前由CA寫入該設備內的。為了保證通信的安全性，便攜式存儲設備在與終端(如手機、PC機)進行通信之前，需要進行身份認證。

在美國專利文獻US20050210241中，公開了一種便攜式存儲設備與終端之間身份認證的方法。該專利采用了基于證書的身份認證方法，便攜式存儲設備內保存有設備自身證書、CA證書、以及證書吊銷列表(CertificateRevocation?List，CRL)等；終端內保存有終端自身證書、CA證書、以及CRL等。便攜式存儲設備與終端之間進行身份認證時，各自將自身的證書發給對方，雙方首先驗證對方證書的有效性，如果雙方證書都有效，則認證通過，便攜式存儲設備與終端之間可以進行安全通信；否則，只要有一方證書被驗證為無效，整個認證過程就立刻停止。

在上述身份認證方法中，證書有效性驗證是基于CRL進行的。當用戶證書因用戶私鑰遺失、泄漏或被破解等原因必須被吊銷時，吊銷的證書信息要及時發布出去，一般CA通過發布CRL來完成，CRL是由CA簽名的一組電子文檔，包含了被吊銷證書的唯一標識(證書序列號)，證書驗證方利用CRL來驗證證書持有者的證書是否有效。

便攜式存儲設備在收到終端的證書之后，就在自身的CRL中查找是否有終端證書，如果沒有，則證明終端證書有效；否則，終端證書被視為無效。終端在收到便攜式存儲設備的證書之后，也以類似的方式對便攜式存儲設備證書有效性進行驗證。其實，在便攜式存儲設備和終端進行證書有效性驗證之前，還有一個CRL更新的過程，即：首先，便攜式存儲設備和終端將各自保存的CRL的簽發時間信息發送給對方，雙方通過對比CRL簽發時間判斷自己保存的CRL是否比對方的要新，如果便攜式存儲設備發現自身保存的CRL不如終端的新，便攜式存儲設備將向終端發送CRL更新請求，終端收到請求后，將自身保存的CRL發給便攜式存儲設備，以替換便攜式存儲設備內已過時的CRL；類似地，終端也以同樣的方式判斷自身保存的CRL是否過時并進行更換。

由以上描述可見，上述身份認證方法主要存在以下缺點：

首先，證書的有效性驗證是基于當時保存在便攜式存儲設備和終端內的CRL進行的，但無論是便攜式存儲設備還是終端都無法保證其保存的CRL是實時更新的，如果當時的CRL不是最新的，那么驗證出的證書有效性結果就不準確，從而使得便攜式存儲設備與終端之間的通信安全性得不到可靠保證。

其次，在認證過程中，便攜式存儲設備與終端之間要進行多次、頻繁的信息交互，比如：交互發送CRL簽發時間信息、一方向另一方發送更新的CRL、交互發送證書以及處理完各種請求后的響應應答等，整個認證處理過程過于繁瑣，容易造成較大的時延，同時這也給便攜式存儲設備和終端提出了較高的性能要求。

再次，該方法要求在便攜式存儲設備內維護CRL，但是，對于便攜式存儲設備(如移動存儲卡)來說，其存儲空間十分有限，在存儲卡內保存一定規模的CRL，需要耗費存儲卡相當大的存儲空間，從而使得存儲卡的有效存儲空間大大縮小。

發明內容

有鑒于此，本發明的主要目的在于提供一種身份認證方法及系統，保證便攜式存儲設備與終端之間的通信安全。

為達到上述目的，本發明提供的身份認證方法包括以下步驟：