[发明专利]离线物理隔离的认证方法及其认证系统

说明书

本发明公开了一种离线物理隔离的认证方法，包括硬件设备和业务平台，认证方法包括：硬件设备随机生成一对公钥和私钥，其中私钥只写存储，公钥显示；用户获取硬件设备及对应的公钥；用户通过公钥向业务平台申请绑定，公钥用于验证用户的身份；用户在业务平台中与硬件设备绑定；当业务平台需要验证用户的身份时，对一串随机信息生成一个第一认证码；用户使用硬件设扫描第一认证码；硬件设备通过私钥对扫描到的第一认证码数据进行签名，并将签名后的信息生成一个第二认证码；业务平台扫描第二认证码，再用用户的公钥进行验证，从而认证用户身份，返回认证信息。本发明还公开了一种离线物理隔离的认证系统，本发明的认证过程离线、物理隔离。

技术领域

本发明涉及信息安全技术领域，特别是一种离线物理隔离的认证方法及其认证系统。

背景技术

随着互联网技术的不断发展，安全认证也显得越来越重要。尤其在金融领域、物联网场景下，认证的安全直接决定了一个产品的好坏。纵观行业，目前有的安全认证大概包括一次性短信验证码、硬件令牌、手机令牌、基于推送的身份验证令牌等。一次性短信验证码是指用短信作为身份验证因子。用短信向用户手机发送随机的六位数字，于是理论上只有持有正确手机的人才能通过验证。硬件令牌，作为现役多因子身份认证法中的重要方法，硬件身份验证令牌常以带一次性短信验证码显示屏的密钥卡的形式存在，硬件本身保护着其内部唯一密钥。手机令牌很大程度上与硬件令牌类似，但是通过手机应用实现的，手机令牌最大的优势在于用户只需要智能手机就可以了，而智能手机现在是人们生活的基本必备品。基于推送的身份验证令牌，一种脱胎于常见手机令牌和短信验证码的验证令牌，运用安全推送技术进行身份验证，与短信不同，推送消息不含一次性短信验证码，而是包含只能被用户手机上特定App打开的加密信息。因此，用户拥有上下文相关信息可供判断登录尝试是否真实，然后快速同意或拒绝验证。但是以上这些方式都需要联网或者物理性接触，同时随着黑客技术的发展，凡是存在网络连接及物理接触的方式，都会存在被黑的可能性。

发明内容

为解决现有技术中存在的问题，本发明的目的是提供一种离线物理隔离的认证方法及其认证系统，本发明可以解决目前在高级别的认证过程中由于物理接触、网络、蓝牙等接触过程中，存在的安全风险，能够有效的提高认证的安全行与可行度，而在目前的方案中，多数是接触式的，或者需要网络连接的，这些都存在着一定的风险。

为实现上述目的，本发明采用的技术方案是：一种离线物理隔离的认证方法，包括硬件设备和业务平台，所述的认证方法包括以下步骤：

步骤1、硬件设备随机生成一对公钥和私钥，其中所述私钥只写存储于所述硬件设备中，所述公钥在硬件设备上进行显示；

步骤2、用户获取所述硬件设备，以及获取该硬件设备对应的公钥；

步骤3、用户通过公钥向业务平台申请与硬件设备进行绑定，公钥用于通过硬件设备验证用户的身份；

步骤4、用户在业务平台中与硬件设备绑定；

步骤5、当业务平台需要验证用户的身份时，对一串随机信息生成一个第一认证码；

步骤6、用户使用硬件设扫描所述第一认证码；

步骤7、硬件设备通过所述私钥对扫描到的第一认证码数据进行签名，并将签名后的信息生成一个第二认证码，并将所述第二认证码显示在硬件设备上；

步骤8、业务平台扫描所述第二认证码，再用用户的公钥进行验证，从而认证用户身份，返回认证信息。

作为一种优选的实施方式，所述的第一认证码和第二认证码均为二维码。

本发明还提供一种如上所述的离线物理隔离的认证方法的认证系统，包括硬件设备和业务平台，所述的认证系统还包括：