[发明专利]一种身份认证方法及系统

说明书

技术领域

本发明涉及信息安全技术，尤其涉及一种身份认证方法及系统。

背景技术

公钥基础设施(Public Key Infrastructure，PKI)体系是一组建立在公开密码算法基础上的硬件、软件、人员和应用程序的集合，它采用证书管理公钥，通过第三方可信任机构数字证书认证中心(Certificate Authority，CA)把用户的公钥和用户的其他标识信息(如名称、身份证号等)绑定在一起，用以在互联网上验证用户的身份，PKI体系把公钥密码和对称密码有机的结合在一起，实现密钥的自动管理，保证数据的机密性和完整性。其中，CA是一个独立于所有用户之外的可信任第三方，是整个PKI体系的核心，它负责为PKI体系中所有的实体(如用户、软件、机器等)发放数字证书(以下简称证书)，更新证书和废止过期证书等。数字证书是由CA签发的用于标明用户身份的电子文档，其中包含用户的公钥、可以唯一标识用户身份的用户标识(如用户ID)以及CA对上述信息的签名等，CA将签发的数字证书发送给最终用户，并将该数字证书公布出去。

便携式存储设备(如存储卡)一般采用PKI技术实现数字版权保护(DRM)功能，其拥有自己的证书，一般证书是在便携式存储设备发行之前由CA写入该设备内的。为了保证通信的安全性，便携式存储设备在与终端(如手机、PC机)进行通信之前，需要进行身份认证。

在美国专利文献US20050210241中，公开了一种便携式存储设备与终端之间身份认证的方法。该专利采用了基于证书的身份认证方法，便携式存储设备内保存有设备自身证书、CA证书、以及证书吊销列表(CertificateRevocation List，CRL)等；终端内保存有终端自身证书、CA证书、以及CRL等。便携式存储设备与终端之间进行身份认证时，各自将自身的证书发给对方，双方首先验证对方证书的有效性，如果双方证书都有效，则认证通过，便携式存储设备与终端之间可以进行安全通信；否则，只要有一方证书被验证为无效，整个认证过程就立刻停止。

在上述身份认证方法中，证书有效性验证是基于CRL进行的。当用户证书因用户私钥遗失、泄漏或被破解等原因必须被吊销时，吊销的证书信息要及时发布出去，一般CA通过发布CRL来完成，CRL是由CA签名的一组电子文档，包含了被吊销证书的唯一标识(证书序列号)，证书验证方利用CRL来验证证书持有者的证书是否有效。

便携式存储设备在收到终端的证书之后，就在自身的CRL中查找是否有终端证书，如果没有，则证明终端证书有效；否则，终端证书被视为无效。终端在收到便携式存储设备的证书之后，也以类似的方式对便携式存储设备证书有效性进行验证。其实，在便携式存储设备和终端进行证书有效性验证之前，还有一个CRL更新的过程，即：首先，便携式存储设备和终端将各自保存的CRL的签发时间信息发送给对方，双方通过对比CRL签发时间判断自己保存的CRL是否比对方的要新，如果便携式存储设备发现自身保存的CRL不如终端的新，便携式存储设备将向终端发送CRL更新请求，终端收到请求后，将自身保存的CRL发给便携式存储设备，以替换便携式存储设备内已过时的CRL；类似地，终端也以同样的方式判断自身保存的CRL是否过时并进行更换。

由以上描述可见，上述身份认证方法主要存在以下缺点：

首先，证书的有效性验证是基于当时保存在便携式存储设备和终端内的CRL进行的，但无论是便携式存储设备还是终端都无法保证其保存的CRL是实时更新的，如果当时的CRL不是最新的，那么验证出的证书有效性结果就不准确，从而使得便携式存储设备与终端之间的通信安全性得不到可靠保证。

其次，在认证过程中，便携式存储设备与终端之间要进行多次、频繁的信息交互，比如：交互发送CRL签发时间信息、一方向另一方发送更新的CRL、交互发送证书以及处理完各种请求后的响应应答等，整个认证处理过程过于繁琐，容易造成较大的时延，同时这也给便携式存储设备和终端提出了较高的性能要求。

再次，该方法要求在便携式存储设备内维护CRL，但是，对于便携式存储设备(如移动存储卡)来说，其存储空间十分有限，在存储卡内保存一定规模的CRL，需要耗费存储卡相当大的存储空间，从而使得存储卡的有效存储空间大大缩小。

发明内容

有鉴于此，本发明的主要目的在于提供一种身份认证方法及系统，保证便携式存储设备与终端之间的通信安全。

为达到上述目的，本发明提供的身份认证方法包括以下步骤：