技術領域：

本發明涉及信息安全領域，是利用密碼技術進行網絡身份認證和數字簽名，保證登錄用戶的身份真實，保證對文件的簽名可信、完整，且不可抵賴。

背景技術：

目前，國內外一些廠商生產的基于密碼算法的網絡身份認證產品，都是采用公鑰技術如：PKI，采用PKI技術建立CA數字認證中心的建立成本較高，認證和簽名驗證速度較慢，不能解決超大規模用戶的并發身份認證和文件的簽名驗證，另外，PKI的密鑰更新需要人工干預，則每年要交密鑰更新服務費，運行成本很高，從而，影響了PKI的普及。

發明內容：

基于三層疊加式密鑰管理技術的身份認證和數字簽名方法，是采用單鑰密碼算法、三層疊加式密鑰管理技術和芯片硬件技術，建立身份認證和數字簽名系統；在基于常用的單鑰密鑰管理情況下，在客戶端芯片里寫入：單鑰密碼算法、摘要算法、一組傳輸密鑰、客戶端芯片的標識、客戶端身份認證協議和數字簽名協議，在認證中心端的認證服務器加密卡芯片里，寫入單鑰密碼算法、摘要算法、全體對應認證中心端的客戶端芯片的標識和對應的傳輸密鑰，以及認證中心端的身份認證協議和簽名驗證協議；當用戶量較大時，認證中心需要部署較多的加密卡設備，來存儲大量對應客戶端的傳輸密鑰；在客戶端芯片里，用一組隨機數作為認證密鑰加密另一組隨機數S，生成客戶端的認證口令，并用傳輸密鑰將認證密鑰加密成密文后，與認證口令和隨機數S一起發送給認證中心端，在認證中心端加密卡芯片里，使用對應客戶端的傳輸密鑰，將接收到的認證密鑰的密文解密，再用解密后的認證密鑰加密隨機數S，生成認證中心端的認證口令，通過對比客戶端和認證中心兩端的認證口令，來確認客戶端用戶的身份是否可信，從而，保證合法用戶登錄，防止非法或越權的網絡訪問；在客戶端芯片里，用一組隨機數作為簽名密鑰對文件進行數字簽名，并用傳輸密鑰將簽名密鑰加密成密文后，與文件和文件的數字簽名一起發送給認證中心端，在認證中心端加密卡芯片里，使用對應客戶端的傳輸密鑰，將接收到的簽名密鑰的密文解密，再用解密后的簽名密鑰，對文件的數字簽名進行簽名驗證，來確認客戶端文件的簽名是否可信、不可抵賴，且保證被簽名的文件數據完整；

本發明是采用單鑰密碼算法和三層疊加式密鑰管理技術，在客戶端和認證中心端的芯片硬件里，建立身份認證和數字簽名系統，其方法的技術特征在于：

在基于三層疊加式密鑰管理情況下，在客戶端芯片里寫入：單鑰密碼算法、摘要算法、客戶端芯片的標識、一組傳輸密鑰、客戶端身份認證協議和數字簽名協議，在認證中心端認證服務器的加密卡芯片里寫入：單鑰密碼算法、摘要算法、一組存儲密鑰、認證中心端身份認證協議和簽名驗證協議，在認證中心端認證服務器的硬盤存儲區，存儲對應認證中心端全體客戶端的芯片標識和傳輸密鑰的密文；當用戶量較大時，不需要在認證中心部署較多的加密卡設備，來存儲大量對應客戶端的傳輸密鑰；采用三層疊加式密鑰管理技術，是指采用三層疊加式密鑰管理方法，其中：第一層密鑰為：認證或簽名密鑰，認證密鑰用來建立身份認證協議，簽名密鑰用來建立數字簽名協議；第二層密鑰為：傳輸密鑰，傳輸密鑰用于加密認證或簽名密鑰，保證認證或簽名密鑰交換傳輸過程的安全；第三層密鑰為：存儲密鑰，存儲密鑰用于分別加密對應全體客戶端的傳輸密鑰，保證傳輸密鑰在認證中心端的存儲安全，使用存儲密鑰加密傳輸密鑰，使用傳輸密鑰加密認證或簽名密鑰，再用認證密鑰加密一組隨機數生成認證口令，或用簽名密鑰對客戶端文件的“摘要”信息進行加密即：數字簽名；從而，建立基于三層疊加式密鑰管理技術的身份認證系統和數字簽名系統，防止非法或越權的網絡訪問，同時，確保文件的簽名可信、不可抵賴，且確保被簽名的文件數據完整，全部過程用軟件和硬件結合方式實現，具體方法如下：

1、客戶端包括：固定終端如：PC機設備和移動終端如：手機設備，在固定終端設備上使用基于USB接口的智能卡，在移動終端上使用SD卡，將智能卡或SD卡作為客戶端的加密系統硬件設備，在客戶端智能卡或SD卡的芯片里，建立客戶端的加密系統，即：寫入單鑰密碼算法、摘要算法、客戶端身份認證協議、數字簽名協議，且寫入數據：客戶端芯片的標識和一組傳輸密鑰。