一种基于Usbkey的防钓鱼安全身份认证方法与流程

本发明涉及安全认证，尤其涉及一种基于usbkey的防钓鱼安全身份认证方法。

背景技术：

1、现有以usbkey为数字证书载体的身份认证硬件进行数字签名时，是以usbkey密码作为唯一保护机制，密码验证通过后，服务端的ca签名验证服务器通过验证用户数字证书签名的有效性，并使用数字证书中公钥验证数字签名成功后方可确认当前操作用户的操作。

2、当合法usbkey持有者由于疏忽将usbkey密码泄露给第三方后，第三方只要持有该usbkey即可以在任何地方，任何时间冒充合法持有者进行身份认证操作，造成用户的个人重要信息泄露。

3、而且钓鱼网站将真实网站的签名报文通过网络传递的方式传递到合法usbkey持有者的电脑本机上，并在钓鱼网站页面通过伪装url方式，在伪造的页面上提示usbkey持有者进行更新用户信息，发红包，抽奖等具有引诱性的标题要求插入usbkey，输入密码，usbkey持有者由于引诱性的诱导盲目进行操作，导致用户的资金，信息损失。

技术实现思路

1、鉴于上述的分析，本发明实施例旨在提供一种基于usbkey的防钓鱼安全身份认证方法，用以解决现有仅通过密码保护的usbkey在身份认证中存在安全漏洞的问题。

2、本发明实施例提供了一种基于usbkey的防钓鱼安全身份认证方法，包括以下步骤：

3、首次使用usbkey时，usbkey生成第一动态加密因子，加密后发送至服务器，服务器根据用户指纹信息设置签名授权信息，根据解密后的第一动态加密因子存储签名授权信息；

4、使用usbkey进行登录时，usbkey生成第二动态加密因子，加密后发送至服务器，服务器根据解密后的第二动态加密因子、签名授权信息和用户信息构建成签名报文下发至usbkey；

5、usbkey根据第二动态加密因子对签名报文解密后，根据usbkey存储的签名授权信息和内置芯片，对解密后的签名报文中的签名授权信息依次验证，当签名授权信息和usbkey密码全部验证成功时，根据usbkey存储的个人签名证书和密钥对，对解密后的签名报文进行签名并发送至服务器，服务器对签名验证成功时用户身份认证通过。

6、基于上述方法的进一步改进，usbkey的内置芯片包括：主控芯片，以及通过串口与主控芯片连接的定位芯片、时间校准芯片和指纹模块，定位芯片用于获取当前usbkey所在位置的经纬度，时间校准芯片用于获取当前时间，指纹模块用于实时采集指纹信息，在签发usbkey时录入指纹信息；主控芯片获取其它芯片读取的数据，存储数据至主控芯片的存储器中，以及将录入的指纹信息的哈希值存储至服务器数据库中。

7、基于上述方法的进一步改进，usbkey在签发时，下载服务器根证书、个人签名证书和密钥对，并存储至主控芯片的存储器中；第一动态加密因子和第二动态加密因子是usbkey的主控芯片调用随机数发生器生成的32字节的随机数；usbkey利用服务器根证书中的公钥对动态加密因子进行加密，服务器利用服务器根证书中的私钥对动态加密因子进行解密。

8、基于上述方法的进一步改进，根据用户指纹信息设置签名授权信息，包括：当采集的用户指纹信息同时通过usbkey的指纹验证和服务器的指纹验证时，通过在实时地图中圈定区域，计算出经纬度范围值得到区域数据；通过选择时间段设置时段数据；通过录入url地址列表设置url数据；通过获取服务器中最新版本的页面签名控件的二进制数据，并计算出哈希值得到页面签名控件数据；区域数据、时段数据、url数据和页面签名控件数据作为签名授权信息。

9、基于上述方法的进一步改进，usbkey的指纹验证是将采集的用户指纹信息与usbkey中该用户录入的指纹信息进行比对，如果一致，则表示通过验证；服务器的指纹验证是将采集的用户指纹信息的哈希值与服务器中存储的该用户的指纹信息的哈希值进行比对，如果一致，则表示通过验证。

10、基于上述方法的进一步改进，根据解密后的第一动态加密因子存储签名授权信息，包括：将签名授权信息中各项数据的哈希值存储至服务器数据库中，同时服务器利用解密后的第一动态加密因子对签名授权信息加密后下发至usbkey，usbkey的主控芯片利用第一动态加密因子对签名授权信息解密后，以密文方式存储至主控芯片的存储器中。

11、基于上述方法的进一步改进，对解密后的签名报文中的签名授权信息依次验证，是按照页面签名控件数据验证、区域数据验证、时段数据验证和url数据验证的顺序，任意一个验证项验证失败，结束用户身份认证，提示用户身份认证失败。

12、基于上述方法的进一步改进，页面签名控件数据验证、区域数据验证、时段数据验证和url数据验证均包括：根据验证项，获取解密后的签名报文中的签名授权信息中对应项数据，作为第一数据；usbkey的主控芯片读取并解密存储器中存储的相同项数据，将数据哈希值作为第二数据；如果第一数据与第二数据一致，则验证成功，否则，验证失败。

13、基于上述方法的进一步改进，区域数据验证和时段数据验证还包括：usbkey的主控芯片获取验证项对应的内置芯片读取的数据，作为第三数据，如果第三数据在第二数据范围内，则验证成功，否则，验证失败。

14、基于上述方法的进一步改进，url数据验证还包括：获取页面签名控件读取的当前网页的url，作为第四数据，如果第四数据在第二数据范围内，则验证成功，否则，验证失败。

15、与现有技术相比，本发明至少可实现如下有益效果之一：

16、1、引入区域检测，时段检测，url检测和页面签名控件检测，并对usbkey增加内置芯片，从软件层面到硬件层面都增加了安全防护，扩展除了密码之外对空间、时间和控件信息的鉴别，提高身份认证的安全性；通过引入指纹模块，保证只有合法用户才能修改usbkey中存储的签名授权信息，防止被第三方恶意修改。

17、2、usbkey的所有操作只能内部完成，外部无法篡改数据和违规操作，提高安全性。

18、3、服务器只存储数据的哈希值，且引入usbkey生成的动态加密因子，确保在网络传输中无法被破解成明文且无法被重复使用，大大提高了数据传输的安全性。

19、本发明中，上述各技术方案之间还可以相互组合，以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述，并且，部分优点可从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书以及附图中所特别指出的内容中来实现和获得。

技术特征：

1.一种基于usbkey的防钓鱼安全身份认证方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于usbkey的防钓鱼安全身份认证方法，其特征在于，所述usbkey的内置芯片包括：主控芯片，以及通过串口与主控芯片连接的定位芯片、时间校准芯片和指纹模块，所述定位芯片用于获取当前usbkey所在位置的经纬度，所述时间校准芯片用于获取当前时间，所述指纹模块用于实时采集指纹信息，在签发usbkey时录入指纹信息；所述主控芯片获取其它芯片读取的数据，存储数据至主控芯片的存储器中，以及将录入的指纹信息的哈希值存储至服务器数据库中。

3.根据权利要求2所述的基于usbkey的防钓鱼安全身份认证方法，其特征在于，所述usbkey在签发时，下载服务器根证书、个人签名证书和密钥对，并存储至主控芯片的存储器中；所述第一动态加密因子和第二动态加密因子是usbkey的主控芯片调用随机数发生器生成的32字节的随机数；所述usbkey利用所述服务器根证书中的公钥对动态加密因子进行加密，所述服务器利用所述服务器根证书中的私钥对动态加密因子进行解密。

4.根据权利要求2或3所述的基于usbkey的防钓鱼安全身份认证方法，其特征在于，所述根据用户指纹信息设置签名授权信息，包括：当采集的用户指纹信息同时通过usbkey的指纹验证和服务器的指纹验证时，通过在实时地图中圈定区域，计算出经纬度范围值得到区域数据；通过选择时间段设置时段数据；通过录入url地址列表设置url数据；通过获取服务器中最新版本的页面签名控件的二进制数据，并计算出哈希值得到页面签名控件数据；所述区域数据、时段数据、url数据和页面签名控件数据作为签名授权信息。

5.根据权利要求4所述的基于usbkey的防钓鱼安全身份认证方法，其特征在于，所述usbkey的指纹验证是将采集的用户指纹信息与usbkey中该用户录入的指纹信息进行比对，如果一致，则表示通过验证；所述服务器的指纹验证是将采集的用户指纹信息的哈希值与服务器中存储的该用户的指纹信息的哈希值进行比对，如果一致，则表示通过验证。

6.根据权利要求3所述的基于usbkey的防钓鱼安全身份认证方法，其特征在于，所述根据解密后的第一动态加密因子存储签名授权信息，包括：将签名授权信息中各项数据的哈希值存储至服务器数据库中，同时服务器利用解密后的第一动态加密因子对签名授权信息加密后下发至usbkey，usbkey的主控芯片利用第一动态加密因子对签名授权信息解密后，以密文方式存储至主控芯片的存储器中。

7.根据权利要求3所述的基于usbkey的防钓鱼安全身份认证方法，其特征在于，所述对解密后的签名报文中的签名授权信息依次验证，是按照页面签名控件数据验证、区域数据验证、时段数据验证和url数据验证的顺序，任意一个验证项验证失败，结束用户身份认证，提示用户身份认证失败。

8.根据权利要求7所述的基于usbkey的防钓鱼安全身份认证方法，其特征在于，所述页面签名控件数据验证、区域数据验证、时段数据验证和url数据验证均包括：根据验证项，获取解密后的签名报文中的签名授权信息中对应项数据，作为第一数据；usbkey的主控芯片读取并解密存储器中存储的相同项数据，将数据哈希值作为第二数据；如果第一数据与第二数据一致，则验证成功，否则，验证失败。

9.根据权利要求8所述的基于usbkey的防钓鱼安全身份认证方法，其特征在于，所述区域数据验证和时段数据验证还包括：usbkey的主控芯片获取验证项对应的内置芯片读取的数据，作为第三数据，如果第三数据在第二数据范围内，则验证成功，否则，验证失败。

10.根据权利要求8所述的基于usbkey的防钓鱼安全身份认证方法，其特征在于，所述url数据验证还包括：获取页面签名控件读取的当前网页的url，作为第四数据，如果第四数据在第二数据范围内，则验证成功，否则，验证失败。

技术总结本发明涉及一种基于Usbkey的防钓鱼安全身份认证方法，属于安全认证技术领域，解决了现有仅通过密码保护的Usbkey在身份认证中存在安全漏洞的问题。包括：首次使用Usbkey时生成第一动态加密因子，设置签名授权信息；使用Usbkey进行登录时，生成第二动态加密因子，加密后发送至服务器，服务器根据解密后的第二动态加密因子、签名授权信息和用户信息构建成签名报文下发至Usbkey；Usbkey根据Usbkey存储的签名授权信息和内置芯片，对解密后的签名报文中的签名授权信息依次验证，当签名授权信息和Usbkey密码全部验证成功时，对解密后的签名报文进行签名，服务器对签名验证成功时用户身份认证通过。实现了身份认证安全性的提高。技术研发人员：刘建军,张炜,郭军受保护的技术使用者：北京华大智宝电子系统有限公司技术研发日：技术公布日：2024/9/9