[发明专利]身份认证的方法、系统、认证主体和被认证主体

说明书

【技术领域】

本发明涉及计算机安全技术领域，特别涉及一种身份认证的方法、系统、认证主体和被认证主体。

【背景技术】

身份认证过程是认证主体对被认证主体进行认证以确认身份、拥有权以及所属权利等，其中认证主体通常是服务提供方，被认证主体通常是用户。从最基础的层次上讲，是认证主体对被认证主体提交的信息进行确认的过程。从原理上讲，认证主体和被认证主体需要建立共有信息，并且通过共有信息进行辨认来达成认证，这种共有信息是建立信任和认证的基础。

现有身份认证方式主要存在两种：

其一、对称认证。这种认证方式中，认证主体和被认证主体之间直接采用对称信息进行认证，最突出的优点就是：不需要任何其他第三方参与。然而这种认证方式也存在弊端，即从技术上讲，服务提供商作为认证主体存在作伪的可能，用户作为被认证主体也存在抵赖曾要求某个交易的可能。

其二、非对称认证。这种认证方式中，认证主体和被认证主体拥有同一信息主体的不同分支，例如数字证书为一信息主体，公钥和私钥是同一信息主体的不同分支。最突出的优点是服务提供商的不可伪造性以及用户的不可抵赖性。然而这种认证方式同样存在弊端，就是在认证过程中加入第三方，使得认证主体和被认证主体之间的信任和认证转变为对于第三方的信任，第三方的加入不仅带来系统的极大复杂性，也带来了安全隐患。例如最近披露的消息，公钥基础设施(PKI)中的第三方Verisign的服务器曾经被黑客攻击，这样全球互联网的安全都存在隐患，因为所有的非对称认证依赖的数字证书的根都在Verisign的服务器。

【发明内容】

有鉴于此，本发明提供了一种身份认证的方法、系统、认证主体和被认证主体，以便于提高安全性的同时，保证交易的可信任程度即服务提供商作为认证主体的不可伪造性和用于作为被认证主体的不可抵赖性。

具体技术方案如下：

一种身份认证的方法，预先在认证主体和被认证主体之间约定对称密钥SK、公钥PubK以及基于用户特征的信息df(PI)，并在所述被认证主体上预先产生所述PubK对应的私钥PrivK；所述身份认证的方法包括：

S1、认证主体产生交易控制数据T，发送所述T至被认证主体；

S2、被认证主体采用预设的认证函数对所述SK、T和df(PI)进行计算得到W，并利用所述PrivK对W进行加密后得到V，并将所述V发送至认证主体；

S3、认证主体利用所述PubK对所述V进行解密后得到W′，并采用预设的认证函数对SK、T和df(PI)进行计算得到W；

S4、认证主体验证所述步骤S3得到的W与W′是否一致，如果一致，则身份认证通过，否则身份认证失败。

一种认证主体，应用于包含认证主体和被认证主体的身份认证系统，预先在所述认证主体和被认证主体之间约定了对称密钥SK、公钥PubK以及基于用户特征的信息df(PI)，且所述被认证主体上预先产生了所述PubK对应的私钥PrivK；

所述认证主体具体包括：

认证处理单元，用于产生交易控制数据T，并且采用预设的认证函数对所述SK、T和df(PI)进行计算得到W，利用所述PubK对数据交互单元提供的V进行解密后得到W′，验证所述W与W′是否一致，如果一致，则身份认证通过，否则身份认证失败；

数据交互单元，用于发送所述T发送给被认证主体；接收所述被认证主体利用所述PrivK对W进行加密后得到的V，并提供给所述认证处理单元；

数据存储单元，用于存储所述SK、PubK、df(PI)和T。

一种被认证主体，应用于包含认证主体和被认证主体的身份认证系统，预先在所述认证主体和被认证主体之间约定了对称密钥SK、公钥PubK以及基于用户特征的信息df(PI)，且所述被认证主体上预先产生了所述PubK对应的私钥PrivK；

所述被认证主体包括：

数据交互单元，用于接收所述认证主体发送来的交易控制数据T；将认证处理单元产生的V发送至所述认证主体；

认证处理单元，用于采用预设的认证函数对所述SK、T和df(PI)进行计算得到W，利用所述PrivK对W进行加密后得到V；

数据存储单元，用于存储所述SK、PubK、df(PI)和V。

一种身份认证的系统，该系统包括上述认证主体和被认证主体。

一种身份认证的系统，该系统包括上述认证主体、被认证主体以及非对称信息登记主体；

所述非对称信息登记主体，用于存储被认证主体发送来的PubK、R和PrR。