技術領域

本發明涉及信息加密技術領域，特別涉及一種身份認證和方法。

背景技術

在今天這樣一個互聯網驅動的社會中，網上銀行也稱在線銀行，已經成為金融機構整體發展策略中不可或缺的一部分。近年來使用網上銀行的用戶數量巨大增長，并且每年保持了穩定的發展勢頭。網上銀行在給它的用戶帶來諸多便捷服務、給銀行節省費用支出和帶來更多利潤增長點的同時，也承受著很多安全風險。很多銀行意識到了這一點，紛紛采取行動，包括不斷教育用戶提高自身安全意識，安裝殺毒軟件，防木馬軟件；采用硬件USBKey或者動態口令牌方式進行身份認證等。

USBKey是一種USB接口的硬件設備。它內置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數字證書，利用USBKey內置的公鑰算法實現對用戶身份的認證。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認證的安全性。

目前為了一些企業更加安全方便的與網絡銀行系統進行對接，銀行會在企業的電腦系統中布置一個前置服務器，前置服務器通過網絡連接銀行的后臺系統，專門為該企業處理網絡銀行業務；相比于銀行的公用服務器，這種供一個企業專用的前置服務器更加安全的保護了企業客戶的商業隱私，也更加便于企業客戶使用。前置服務器一般都伴有一個與該服務器綁定的USBKey，所述綁定即代表一種USBKey與前置服務器之間固定的對應關系；企業內部使用網絡銀行的時候，首先需要將USBKey通過USB接口接入前置服務器進行身份認證，在身份認證過程中只有與前置服務器存在綁定關系的USBKey能夠通過身份認證，通過身份認證后，企業可以開始利用前置服務器進行網銀操作。

在現有技術中，USBKey與前置服務器的綁定主要有兩種形式，一種為USBKey與前置服務器中例如IP地址等虛擬環節進行綁定；另一種是USBKey通過前置服務器中例如CPU序列號或者硬盤序列號之類的硬件標識，直接與硬件進行綁定。

現有技術中存在的缺點在于，如果同類似IP地址等虛擬環節進行綁定，由于IP地址等虛擬環節很可能被修改或者冒充，所以安全性非常低；如果同硬件進行綁定，當服務器的硬件進行了更新換代，則綁定失效，在實際應用中造成很大的不方便，并且所述硬件綁定實際上同樣是通過一些虛擬環節來實現的，所以同樣存在安全風險。

發明內容

有鑒于此，本發明的目的在于提供一種身份認證系統和方法，以實現更加安全方便的進行身份認證，具體技術方案如下：

一種身份認證系統，所述系統包括：

授權端，用于計算得到一個密鑰對，所述密鑰對包括一個公鑰和一個私鑰，所述公鑰與私鑰彼此唯一匹配；授權端存儲私鑰，將公鑰發送至簽名端儲存；授權端利用私鑰計算得到認證數據，將所述認證數據發送至所述簽名端進行認證；

簽名端，用于從授權端接收公鑰并存儲；利用自身存儲的公鑰解析從授權端獲取的認證數據，如果解析成功則通過認證。

所述授權端包括：

第一生成單元，用于計算得到一個密鑰對，所述密鑰對包括一個公鑰和一個私鑰，所述公鑰與私鑰彼此唯一匹配；

第一運算單元，用于從第一存儲單元獲取私鑰，利用所述私鑰計算得到認證數據；

第一發送單元，用于從第一生成單元獲取公鑰，將公鑰發送至簽名端保存；從第一運算單元獲取認證數據，將認證數據發送至簽名端進行認證；

第一存儲單元，用于存儲私鑰。

所述簽名端包括：

第二密鑰認證單元，用于從授權端獲取認證數據，從第二存儲單元獲取公鑰，利用所述公鑰解析所述認證數據，如果解析成功則通過認證；

第二存儲單元，用于從授權端獲取公鑰并存儲。

所述授權端還存儲簽名端的認證碼信息；所述簽名端還存儲一個標示簽名端自身唯一特征的序列號，所述授權端包括：

第三生成單元，用于計算得到一個密鑰對，所述密鑰對包括一個公鑰和一個私鑰，所述公鑰與私鑰彼此唯一匹配；

第三獲取單元，用于從簽名端獲取簽名端序列號，并將序列號發送至第三識別單元；

第三識別單元，用于識別簽名端的序列號，并根據從第三存儲單元獲取與該序列號對應的認證碼信息；

第三運算單元，用于從第三存儲單元獲取私鑰，利用所述私鑰計算得到認證數據；

第三簽名單元，用于從第三運算單元獲取認證數據，從第三識別單元獲取認證碼信息，并將認證數據寫入認證碼信息中；

第三發送單元，用于從第三生成單元獲取公鑰，將公鑰發送至簽名端保存；從第三簽名單元獲取寫入認證數據的認證碼信息并發送至簽名端進行認證；