[发明专利]身份认证的方法和智能密钥装置

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种身份认证的方法和智能密钥装置。

背景技术

随着计算机技术的发展，信息安全越来越受到人们的关注，其中身份认证是信息安全的一个重要组成部分。身份认证是指计算机及网络系统确认操作者身份的过程，计算机系统和计算机网络是一个虚拟的数字世界，在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。

目前广泛采用的身份认证方式为“用户名和密码”认证方式，即需要进行身份认证的软件利用用户输入的用户名和密码来完成身份验证。每个用户的密码都是由用户自己设定的，只有用户自己才知道，因此只要能够正确地输入密码，计算机就认为这个用户是合法用户。然而，该方式在安全性和使用上还存在着很多缺点：许多用户为了防止忘记密码，会将密码写在一个自己认为安全的地方，极易造成密码泄露；用户在使用不同的软件时，有可能会使用不同的用户名和密码，所以在用户名和密码的记忆和使用方面也很不方便；“用户名和密码”的身份认证方式使用的是单因子认证方法(仅通过一个条件来证明一个人的身份的认证方法称为单因子认证)，仅使用一个条件判断用户的身份容易被仿冒，极不安全；一些不法分子经常盗取合法用户的用户名、密码等身份识别信息，然后通过这些信息非法使用软件，或将其转售给他人，从中牟取不义之财，给合法用户造成很大损失。

基于智能密钥装置的身份认证方式是近几年发展起来的一种方便、安全的身份认证方式。智能密钥装置是一种带有处理器和存储器的小型硬件装置，可以通过计算机的数据通讯接口与计算机连接，一般是通过USB(Universal Serial Bus，通用串行总线)接口与计算机相连，通常被称为USB KEY或USB Token(身份认证设备)。智能密钥装置具有物理抗攻击的特性，安全性很高。

智能密钥装置目前被广泛应用在身份识别、网上银行和VPN(Virtual Private Network，虚拟专用网络)等方面，智能密钥装置可以对其内部存储的数据进行加、解密处理，即可以将智能密钥装置用于软件版权保护领域；另外可以将一些重要信息存储到智能密钥装置中，用以保证安全性或者防止遗忘，比如密码等。目前，较高端的智能密钥装置都是可编程的，即可以实现在智能密钥装置中运行预先存入其中的代码。

目前，智能密钥装置一般采用安全设计芯片来实现其与安全相关的功能，因为安全设计芯片除了具有通用嵌入式微控制器的各种特性外，更突出的特性是表现在安全性能方面。安全设计芯片在芯片设计时会针对安全性能在结构上做一些特殊处理，使其更加安全。安全设计芯片一般都要求符合相关的标准，以及通过相关的认证等以保证其安全性能，比如TCG(Trusted Computing Group，可信计算组织)TPM(Trusted Platform Module，可信平台模块)v1.2规范、ISO(International Standardize Organization，国际标准化组织)15408国际标准或中国密码管理委员会标准等等。目前市面上有很多款安全设计芯片可供选择，其中意法半导体的ST19WP18微控制器，已通过“公共标准”评估保障级EAL5+(增强版)的认证，这是ISO15408国际标准关于此类产品的最高标准之一。目前用的比较多的智能卡芯片为安全设计芯片的一种。

一般而言，在智能密钥装置内，利用安全设计芯片与其它硬件电路结合构成用于实现信息安全操作的安全模块，其中，安全模块执行的信息安全操作主要包括：数据交互(在信息安全设备内对写入的数据进行加密或对读取的数据进行解密)；身份认证信息处理、存储/验证密码信息、存储/验证签名、存储/验证证书、权限管理；以及预置代码进行数据运算等等；其中预置代码包括预置用户软件部分片断(用户软件部分片断不能被读出信息安全设备，并在信息安全设备内部运行进行数据运算)，和预置软件保护应用接口函数(软件保护应用接口函数为信息安全设备和软件开发商应用之间的接口级函数)等等。

现有的智能密钥装置一般采用校验码验证用户身份的合法性，在进行身份认证时将智能密钥装置与计算机相连，用户在计算机上输入校验码，智能密钥装置会将用户输入的校验码与其内部存储的校验码进行比较，验证该校验码的正确性，当用户输入的校验码正确时，说明该用户为该智能密钥装置的合法持有者，允许该用户使用该智能密钥装置；否则，禁止用户使用该智能密钥装置。