(19)中华人民共和国国家知识产权局*CN101873316A*(12)发明专利申请(10)申请公布号CNCN101873316101873316A(43)申请公布日2010.10.27(21)申请号201010192063.3(22)申请日2010.06.04(71)申请人吴梅兰地址518000广东省深圳市罗湖区深南东路5047号发展银行大厦13楼(72)发明人吴梅兰(74)专利代理机构深圳市维邦知识产权事务所44269代理人黄莉(51)Int.Cl.H04L29/06(2006.01)权利要求书4页说明书7页附图5页(54)发明名称身份验证方法、系统及身份验证器(57)摘要本发明实施例涉及一种身份验证方法，其主要利用服务器端与身份验证器之间预先配置的通信根密钥及通信ID，在服务器端与身份验证器之间创建虚链路，并基于该虚链路，在服务器端与身份验证器之间依据用户对身份验证器物理操作产生的输入信息进行验证交互，服务器端依据该验证交互结果进行身份验证器的授权判定。本发明实施例还提供了一种身份验证系统及身份验证器。采用本发明实施例，可在身份验证过程中加入用户对身份验证器输入信息的实际物理操作处理，避开了用户操作客户端的不可信因素，消除了客户端受病毒、黑客或恶意程序控制的安全隐患，进而大大提高了身份验证的安全性能，保证了网络应用安全可靠运行。CN108736ACN101873316ACCNN110187331601873317A权利要求书1/4页1.一种身份验证方法，该方法基于一种身份验证系统，其特征在于，所述身份验证系统包括服务器端、与所述服务器端通过第一通信链路相连的客户端，以及通过第二通信链路连接到所述客户端的身份验证器，所述方法包括：通过所述第一通信链路以及所述第二通信链路，利用在所述服务器端与所述身份验证器之间预先配置的通信根密钥及通信ID，在所述服务器端与所述身份验证器之间创建虚链路；基于所述虚链路，在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互，所述服务器端依据该验证交互结果进行所述身份验证器的授权判定。2.如权利要求1所述的方法，其特征在于，在所述服务器与所述身份验证器之间预先配置所述通信根密钥及通信ID具体包括：所述客户端通过所述第一通信链路向所述服务器端发送对所述身份验证器进行初始化的请求；所述服务器端根据所述请求，生成用于初始化所述身份验证器的通信根密钥及通信ID后，建立包含所述通信根密钥和所述通信ID的对应关系，并通过所述第一通信链路向所述客户端返回所述通信根密钥及所述通信ID；所述客户端通过所述第二通信链路将所述通信根密钥及通信ID写入所述身份验证器。3.如权利要求2所述的方法，其特征在于，在所述服务器端与所述身份验证器之间创建虚链路具体包括：所述客户端通过所述第一通信链路及所述第二通信链路在所述身份验证器与所述服务器端之间转发包含所述通信ID的通信内容；所述服务器端根据所述通信ID查找所述对应关系，得到对应的所述通信根密钥；所述服务器端与所述身份验证器之间利用所述通信根密钥，通过所述第一通信链路及所述第二通信链路进行协商通信，得到用于创建所述虚链路的临时通信密钥。4.如权利要求1所述的方法，其特征在于，所述输入信息为随机串输入信息、单键确认信息、密码输入信息、生物特征输入信息或序列号输入信息，当所述输入信息为随机串输入信息，在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互具体包括：所述服务器端通过所述第一通信链路将预置的随机串发送到所述客户端；所述客户端对所述随机串进行显示以提示用户通过所述身份验证器输入该随机串；所述身份验证器获得所述随机串输入信息；所述身份验证器通过所述虚链路将所述随机串输入信息反馈到所述服务器端；所述服务器端通过验证所述随机串输入信息及所述随机串匹配后，进行所述身份验证器的授权；当所述输入信息为单键确认信息，在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互具体包括：所述服务器端通过所述第一通信链路将用于提示所述用户进行单键确认的第一提示信息发送到所述客户端；2CCNN110187331601873317A权利要求书2/4页所述客户端对所述第一提示信息进行显示；所述身份验证器获得所述单键确认信息；所述身份验证器依据所述单键确认信息将验证通过信息通过所述虚链路反馈到所述服务器端；所述服务器端依据所述验证通过信息对所述身份验证器进行授权，当所述输入信息为密码输入信息，在所述服务器端与所述身份验证器之间依据用户对所述身份验证器物理操作产生的输入信息进行验证交互具体包括：所述服务器端通过所述第一通信链路将用于提示所述用户进行密码验证的第二提示信息发送到所述客户端；