认证装置及利用其进行网上身份认证与交易的系统与方法

摘要

一种认证装置，包括接口电路、指示灯、可视屏幕与安全芯片，安全芯片包括数字证书、私人密钥、加密/解密模块与数字签名模块，利用该认证装置进行网上身份认证与交易的系统包括认证装置、联网计算机与认证/交易服务器，利用该认证装置进行网上身份认证与交易的方法的关键之处在于通过认证装置对认证/交易服务器发出的加密信息进行解密与数字签名，并由认证/交易服务器对认证装置反馈的解密信息进行验证。本发明通过认证装置中设置的可视屏幕、加密/解密模块、数字签名模块以及用户与认证/交易服务器的互动合作提高了网上身份认证与交易的安全性，可以有效避免网上银行交易劫持、交易篡改、远程控制以盗用用户资金的问题。

主权项

一种利用认证装置进行网上身份认证的方法，其特征在于：所述认证装置(201)包括接口电路(101)、指示灯(102)、可视屏幕(103)与安全芯片(104)，所述安全芯片(104)中存储有该认证装置(201)在出厂时唯一的序列号和用于识别用户身份的数字证书及私人密钥，且该私人密钥不能从认证装置(201)中被导出；所述安全芯片(104)中还包括有加密/解密模块与数字签名模块，所述接口电路(101)为USB接口；所述安全芯片(104)中的加密/解密模块采用的加密/解密方法为1024位及其以上的RSA加密/解密方法或者192位及其以上的椭圆曲线加密/解密方法，所述安全芯片(104)中的数字签名模块采用的签名方法为1024位及其以上的RSA签名方法或者192位及其以上的椭圆曲线数字签名方法；所述认证装置(201)通过接口电路(101)与联网计算机(202)相互连接，联网计算机(202)的另一端与认证/交易服务器(203)相互连接；所述利用认证装置进行网上身份认证的方法依次包括以下步骤：第一步：先在客户端将所述认证装置(201)通过USB接口与联网计算机(202)进行连接，再使用联网计算机(202)连接所要登陆的认证/交易服务器(203)，输入用户名，发出登陆请求；第二步：认证/交易服务器(203)在收到用户的登陆请求后，先随机产生6‑10位验证码，然后在用户数据库中查找该用户的公钥，再利用该公钥对验证码进行加密，然后将加密后的密文返回给客户端；第三步：客户端上的联网计算机(202)将收到的密文传给认证装置(201)；第四步：认证装置(201)利用其存储的私人密钥与加密/解密模块对密文进行解密，将解密获得的随机验证码显示在可视屏幕(103)上；第五步：用户将上述认证装置(201)上显示的验证码输入到联网计算机(202)上的登陆页面，请求登陆验证；第六步：认证/交易服务器(203)对收到的验证码和存储的验证码进行比较验证，如一致，则验证通过，用户登陆成功，否则拒绝登陆；验证失败次数不能连续超过3次，否则对用户进行锁定；第七步：认证/交易服务器(203)将登陆处理结果返回给联网计算机(202)。