技術領域

本發明涉及一種認證裝置，尤其涉及一種認證裝置及利用其進行網上身份認證與交易的系統與方法，具體適用于網絡身份認證和網上數據傳輸安全。

背景技術

目前，網絡的快速發展及其提供的極大便利，使人們越來越多的依賴網絡進行各種活動，譬如網上銀行、網上購物、網上繳費等，但是網絡在為人們提供便捷性的同時，其開放性也為人們帶來了極大的安全風險，因而網絡信息安全也越來越引起人們重視，而網絡信息安全的前提是準確識別合法用戶，實現訪問控制。

用戶的身份認證是網絡應用安全體系的一個重要組成部分，合法用戶的訪問授權必須通過身份認證來實現。目前，網絡身份認證主要有以下幾種：

用戶名加口令：安全級別極低，該方法的安全性無法保障，目前基本被淘汰；

手機動態認證碼：通過用戶開戶時綁定的手機號碼，系統將隨機生成的動態認證碼通過短信的形式發送給用戶實現用戶身份的識別，雖然實現起來比較方便，只需具備一個手機即可，但是當手機丟失或網絡不通暢時，就會影響用戶的使用；

動態令牌：動態令牌是一種內置電源、密碼生成芯片和顯示屏、根據專門的算法每隔一定時間自動更新動態口令的專用硬件，主要有兩種，一種為挑戰模式，這類產品典型代表為刮刮卡和可輸入挑戰的令牌，另一種為時間同步模式令牌。但動態令牌存在一個致命的缺陷，即使用動態令牌進行認證的系統無法抵抗木馬的篡改攻擊，而且服務器需要存儲動態令牌的種子，因而存在著巨大的安全隱患。

數字證書：數字證書是由權威公正CA證書授權即Certificate?Authority中心簽發的、以數字證書為核心的加密機制，該加密機制可以對網絡上傳輸的信息進行加密和解密、數字簽名和驗證，確保網絡上傳遞消息的機密性、完整性以及交易實體的真實性、簽名的不可否認性，從而保障網絡應用的安全性，數字證書在理論上是最安全的一種方式，但是依然存在證書丟失或盜用的情況。

中國專利公開號為CN101183456A，公開日為2008年5月21日的發明專利公開了一種USBKey加密裝置、以及利用該USBKey加密裝置進行加密、認證的系統與方法，該發明的USBKey裝置，包括USB接口，用于插入計算機上的USB插座與計算機連接；指示燈，用于指示所述USBKey裝置的工作狀態；以及內置的芯片，其中存儲有所述USBKey裝置在出廠時唯一的序列號，所述芯片中還存放用于識別客戶身份的數字證書和私人密鑰，此私人密鑰不能從所述USBKey裝置中被導出，其特征在于，所述USBKey裝置還包括可視屏幕，用于使用所述USBKey裝置進行數字簽名時，所述USBKey裝置將待簽名信息顯示在屏幕上，所述的USBKey裝置還包括一個或多個按鈕，用來對待簽名信息進行確認取消等操作，所述可視屏幕可以是觸摸屏。雖然該發明能夠避免USBKey裝置被交易劫持、交易篡改以及遠程控制的問題，但是其在使用過程中沒有涉及到認證裝置即USBKey裝置與認證/交易服務器之間的互動合作，因而不能避免聯網計算機在進行網上身份認證與交易時被交易劫持、交易篡改以及遠程控制的問題。

發明內容

本發明的目的是克服現有技術中存在的認證裝置與認證/交易服務器之間不互動、聯網計算機被交易劫持、交易篡改、遠程控制的缺陷與問題，提供一種可在認證裝置與認證/交易服務器之間進行互動合作、可以同時有效避免USBKey裝置與聯網計算機被交易劫持、交易篡改、遠程控制的認證裝置及利用其進行網上身份認證與交易的系統與方法。

為實現以上目的，本發明的技術解決方案是：一種認證裝置，包括接口電路、指示燈、可視屏幕與安全芯片，所述安全芯片中存儲有該認證裝置在出廠時唯一的序列號和用于識別用戶身份的數字證書及私人密鑰，且該私人密鑰不能從認證裝置中被導出，所述安全芯片中還包括有加密/解密模塊，所述接口電路為USB接口。

所述安全芯片中還包括有數字簽名模塊。

所述安全芯片中的加密/解密模塊采用的加密/解密方法為1024位及其以上的RSA加密/解密方法或者192位及其以上的橢圓曲線加密/解密方法，所述安全芯片中的數字簽名模塊采用的簽名方法為1024位及其以上的RSA簽名方法或者192位及其以上的橢圓曲線數字簽名方法。

一種利用上述的認證裝置進行網上身份認證與交易的系統，該系統依次包括：認證裝置、聯網計算機與認證/交易服務器，所述認證裝置通過接口電路與聯網計算機相互連接，聯網計算機的另一端與認證/交易服務器相互連接。

一種利用上述的認證裝置進行網上身份認證的方法，該方法依次包括以下步驟：