技術(shù)領(lǐng)域

本發(fā)明涉及信息安全領(lǐng)域，特別涉及一種身份認(rèn)證方法和系統(tǒng)。

背景技術(shù)

當(dāng)終端(如PC機(jī)、手機(jī)等)對便攜式存儲設(shè)備(如智能卡、存儲卡等)進(jìn)行訪問時，便攜式存儲設(shè)備需要對訪問的終端進(jìn)行身份認(rèn)證，圖1為現(xiàn)有技術(shù)中身份認(rèn)證方法的流程圖。如圖1所示，現(xiàn)有技術(shù)中身份認(rèn)證的方法包括以下步驟：

步驟101，當(dāng)終端探測到便攜式存儲設(shè)備時，給便攜式存儲設(shè)備上電，便攜式存儲設(shè)備向請求訪問的終端發(fā)送身份認(rèn)證請求。

步驟102，終端收到便攜式存儲設(shè)備發(fā)送的身份認(rèn)證請求后，通過人機(jī)交互界面提示用戶輸入個人識別號碼(PIN)，用戶根據(jù)人機(jī)交互界面的提示輸入PIN。

步驟103，終端向便攜式存儲設(shè)備返回身份認(rèn)證請求響應(yīng)，該身份認(rèn)證請求響應(yīng)以明文方式攜帶用戶輸入的PIN。

步驟104，便攜式存儲設(shè)備收到用戶輸入的PIN后，對比用戶輸入的PIN、以及自身預(yù)先存儲的PIN，如果二者一致，則身份認(rèn)證通過；否則，身份認(rèn)證失敗。

步驟105，便攜式存儲設(shè)備向終端返回身份認(rèn)證結(jié)果，如果身份認(rèn)證通過，則該終端可對該便攜式存儲設(shè)備進(jìn)行訪問；否則，終端無法訪問。

在現(xiàn)有的身份認(rèn)證方法中，由于終端將用戶輸入的PIN以明文方式發(fā)送給便攜式存儲設(shè)備以進(jìn)行身份認(rèn)證，終端發(fā)送的PIN很容易被非法用戶竊取或截獲，導(dǎo)致非法用戶也有可能獲得訪問該便攜式存儲設(shè)備的權(quán)限，因此現(xiàn)有的身份認(rèn)證方法的安全性不高。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的主要目的在于提供一種身份認(rèn)證方法，以提高終端與便攜式存儲設(shè)備之間的身份認(rèn)證的安全性。

本發(fā)明的另一目的在于提供一種身份認(rèn)證系統(tǒng)，以提高終端與便攜式存儲設(shè)備之間的身份認(rèn)證的安全性。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的：

一種身份認(rèn)證系統(tǒng)，該系統(tǒng)包括：終端、便攜式存儲設(shè)備，

所述便攜式存儲設(shè)備包括：身份認(rèn)證模塊、安全處理模塊加載單元，其中，

身份認(rèn)證模塊使用自身的會話密鑰對自身產(chǎn)生的會話票據(jù)進(jìn)行加密；

安全處理模塊加載單元在所述終端中加載安全處理模塊；

安全處理模塊攜帶與身份認(rèn)證模塊相同的會話密鑰產(chǎn)生機(jī)制，并與身份認(rèn)證模塊按照相同的會話密鑰產(chǎn)生機(jī)制產(chǎn)生各自的會話密鑰；安全處理模塊還攜帶與身份認(rèn)證模塊中的加密機(jī)制對應(yīng)的解密機(jī)制，并使用自身的會話密鑰解密來自身份認(rèn)證模塊的加密的會話票據(jù)，并將解密后得到的會話票據(jù)返回給身份認(rèn)證模塊；

且，身份認(rèn)證模塊還用于比較接收到的會話票據(jù)與自身產(chǎn)生的會話票據(jù)。

所述身份認(rèn)證模塊包括：第一會話密鑰產(chǎn)生單元、第一會話票據(jù)產(chǎn)生單元、加密單元，身份認(rèn)證單元；所述安全處理模塊包括：身份信息錄入及保存單元、第二會話密鑰產(chǎn)生單元、解密單元；其中，

第一會話密鑰產(chǎn)生單元，用于以便攜式存儲設(shè)備自身的身份信息為密鑰種子產(chǎn)生第一會話密鑰；

第一會話票據(jù)產(chǎn)生單元，用于產(chǎn)生第一會話票據(jù)并將第一會話票據(jù)發(fā)送給加密單元和身份認(rèn)證單元；

加密單元，用于使用第一會話密鑰加密第一會話票據(jù)，將加密的第一會話票據(jù)發(fā)送給解密單元；

身份信息錄入及保存單元，用于用戶錄入身份信息及保存用戶錄入的身份信息；

第二會話密鑰產(chǎn)生單元，用于以用戶錄入的身份信息為密鑰種子按照第一會話密鑰的產(chǎn)生機(jī)制產(chǎn)生第二會話密鑰；

解密單元，用于使用第二會話密鑰按照與加密機(jī)制對應(yīng)的解密機(jī)制解密來自加密單元的加密的第一會話票據(jù)，并將解密后得到的第二會話票據(jù)發(fā)送給身份認(rèn)證單元；

身份認(rèn)證單元，用于比較來自解密單元的第二會話票據(jù)和來自第一會話票據(jù)產(chǎn)生單元的第一會話票據(jù)是否一致，如果一致則對終端的身份認(rèn)證通過；否則，身份認(rèn)證失敗。

所述終端為PC機(jī)、或手機(jī)、或自動柜員機(jī)ATM；

所述便攜式存儲設(shè)備為智能卡、或存儲卡、或USBKey。

所述終端和所述便攜式存儲設(shè)備之間采用ISO7816接口協(xié)議、或通用存儲卡接口協(xié)議、或USB接口協(xié)議、或無線接口協(xié)議。

所述身份信息為個人識別號碼PIN、或生物特征信息。

所述身份信息錄入及保存單元包括軟鍵盤。

所述第一會話票據(jù)和第二會話票據(jù)依據(jù)當(dāng)前會話時間產(chǎn)生。

一種身份認(rèn)證方法，該方法包括以下步驟：

便攜式存儲設(shè)備將與自身相同的會話密鑰產(chǎn)生機(jī)制、以及與自身的加密機(jī)制對應(yīng)的解密機(jī)制加載至終端；

便攜式存儲設(shè)備使用自身的會話密鑰對自身產(chǎn)生的會話票據(jù)進(jìn)行加密；