專(zhuān)利名稱(chēng):一種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域,特別涉及一種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí) 的身份認(rèn)證方法及系統(tǒng)。
背景技術(shù):
當(dāng)前的互聯(lián)網(wǎng)在自身體系結(jié)構(gòu)方面存在著很多的缺陷,并且?guī)?lái)了很多安全問(wèn) 題?!吧矸荨眴?wèn)題在計(jì)算機(jī)應(yīng)用初期就是困擾信息系統(tǒng)安全的嚴(yán)重問(wèn)題,冒用合法用戶(hù)身份 進(jìn)入重要計(jì)算機(jī)系統(tǒng)大肆破壞的報(bào)道時(shí)有耳聞。缺少適合于現(xiàn)有計(jì)算環(huán)境的有效身份驗(yàn)證 手段是造成目前互聯(lián)網(wǎng)身份問(wèn)題日益嚴(yán)峻的主要原因?,F(xiàn)有的網(wǎng)絡(luò)管理對(duì)象一般是用戶(hù)所 使用的機(jī)器,而非用戶(hù)本身,而大多情況下用戶(hù)和機(jī)器并不能一一對(duì)應(yīng),因而更應(yīng)該關(guān)注于 用戶(hù)身份的真實(shí)性。現(xiàn)有常見(jiàn)的身份認(rèn)證方案如用戶(hù)名/密碼、智能卡認(rèn)證、USB-KEY認(rèn)證、動(dòng)態(tài)口令 卡和生物特征認(rèn)證。其中安全性最高的是動(dòng)態(tài)口令卡、USB-KEY和生物特征認(rèn)證。然而,生 物特征認(rèn)證如指紋、虹膜等,準(zhǔn)確性還有待提高;動(dòng)態(tài)口令卡認(rèn)證較為復(fù)雜,成本太高,且不 具有通用性;USB-KEY認(rèn)證成本較低,性?xún)r(jià)比較高,而且USB接口具有通用性,方便使用,并 且可以提供基于挑戰(zhàn)和數(shù)字證書(shū)兩種認(rèn)證方式,有較好的擴(kuò)展性?,F(xiàn)有的USB-KEY認(rèn)證多 用在網(wǎng)銀等對(duì)安全性需求較高的領(lǐng)域,然而隨著時(shí)代發(fā)展,基于USB-KEY的認(rèn)證將會(huì)應(yīng)用 的各個(gè)領(lǐng)域,同時(shí)USB-KEY的實(shí)體形式也會(huì)有像智能手機(jī)、PDA等可以通過(guò)藍(lán)牙設(shè)備認(rèn)證, 很好地解決了安全性與易用性之間的矛盾。新一代可信任互聯(lián)網(wǎng)是建立在真實(shí)IPv6源地址驗(yàn)證體系結(jié)構(gòu)(SAVA =Source Address Validation Architecture)之上,它可以為每一個(gè)接入互聯(lián)網(wǎng)的實(shí)體分配一個(gè)甚 至多個(gè)全局唯一的地址,并且用戶(hù)只有通過(guò)認(rèn)證才可以接入網(wǎng)絡(luò)。現(xiàn)有的用戶(hù)標(biāo)識(shí)一般都 是64位或128位,用戶(hù)難以記住如此長(zhǎng)的標(biāo)識(shí),并且沒(méi)有進(jìn)行很好的保護(hù),很容易被他人竊 取或篡改。
發(fā)明內(nèi)容
本發(fā)明解決的技術(shù)問(wèn)題在于提供一種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn) 證方法及系統(tǒng),通過(guò)為用戶(hù)分配唯一對(duì)應(yīng)的識(shí)別信息,并將其固定到安全的實(shí)體上,用戶(hù)通 過(guò)安全實(shí)體進(jìn)行認(rèn)證,這就相當(dāng)于為用戶(hù)分發(fā)了一個(gè)“網(wǎng)絡(luò)身份證”。本發(fā)明是通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)—種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法,包括以下步驟1)注冊(cè)用戶(hù)提交注冊(cè)申請(qǐng)后,根據(jù)用戶(hù)提交的身份信息和管理域信息,注冊(cè)管 理模塊為用戶(hù)生成一個(gè)由隨機(jī)串和管理域名組成的全局唯一的用戶(hù)基本標(biāo)識(shí),以及生成一 個(gè)與用戶(hù)基本標(biāo)識(shí)相對(duì)應(yīng)的包含用戶(hù)真實(shí)身份信息和網(wǎng)絡(luò)身份信息的用戶(hù)標(biāo)識(shí)證書(shū),再將 用戶(hù)基本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí)證書(shū)初始化到安全實(shí)體模塊;并將用戶(hù)的注冊(cè)信息提交到處理數(shù)據(jù)庫(kù);2)認(rèn)證將安全實(shí)體模塊與計(jì)算機(jī)連接,啟動(dòng)安全實(shí)體模塊后,通過(guò)認(rèn)證軟件向 認(rèn)證模塊提起認(rèn)證請(qǐng)求,利用安全實(shí)體模塊存儲(chǔ)的用戶(hù)基本標(biāo)識(shí)信息完成身份認(rèn)證;確認(rèn)用戶(hù)身份之后,認(rèn)證模塊從處理數(shù)據(jù)庫(kù)獲得用戶(hù)的注冊(cè)信息,為用戶(hù)分配真 實(shí)地址和隨機(jī)的匿名地址,并將用戶(hù)標(biāo)識(shí)證書(shū)下載到本地;3)應(yīng)用用戶(hù)開(kāi)始網(wǎng)絡(luò)服務(wù)訪問(wèn),應(yīng)用服務(wù)器收到用戶(hù)的訪問(wèn)請(qǐng)求之后,根據(jù)應(yīng) 用服務(wù)器自身所設(shè)置的訪問(wèn)模式,更換不同的訪問(wèn)模式基于匿名地址的訪問(wèn),適用于不需要權(quán)限控制和安全級(jí)別的應(yīng)用服務(wù);基于真實(shí)地址的訪問(wèn),適用于使用真實(shí)地址進(jìn)行的訪問(wèn),將匿名地址更換為真實(shí) 地址;基于真實(shí)地址和用戶(hù)標(biāo)識(shí)證書(shū)的訪問(wèn),適用于獲取用戶(hù)身份的訪問(wèn),將匿名地址 更換為真實(shí)地址,并進(jìn)行用戶(hù)標(biāo)識(shí)證書(shū)的傳遞,以完成登錄和訪問(wèn)。所述的隨機(jī)串的生成為用戶(hù)提交注冊(cè)申請(qǐng),并提供一個(gè)Email地址,將用戶(hù)注冊(cè) 申請(qǐng)之后生成的隨機(jī)字符串與其提交的Email地址進(jìn)行連接后再完成HMAC運(yùn)算,取結(jié)果的 前64bit為隨機(jī)串。所述的用戶(hù)基本標(biāo)識(shí)的形式表示為基本用戶(hù)標(biāo)識(shí)@管理域的域名。所述的用戶(hù)標(biāo)識(shí)證書(shū)包括如下內(nèi)容用戶(hù)的真實(shí)身份所屬機(jī)構(gòu)、ID號(hào)、職務(wù)、身份;固定接口標(biāo)識(shí)用于用戶(hù)真實(shí)地址的分配;用戶(hù)的虛擬社區(qū)身份用戶(hù)在虛擬社區(qū)或者需要登陸站點(diǎn)的登陸信息;費(fèi)用按時(shí)間計(jì)算用戶(hù)接入網(wǎng)絡(luò)的費(fèi)用;信譽(yù)度用數(shù)字表示的用戶(hù)在網(wǎng)絡(luò)中的信用度。所述的安全實(shí)體模塊上還設(shè)置有PIN碼驗(yàn)證模塊,安全實(shí)體模塊連接之后,通過(guò) 輸入正確的PIN碼以啟動(dòng)安全實(shí)體模塊,提起認(rèn)證請(qǐng)求。所述的真實(shí)地址為IPv6地址格式前64位為路由前綴,后64位依次為3位的地址類(lèi)型標(biāo)志符,在地址分配時(shí)確定,000為真實(shí)地址,001為部分匿名地 址,010為完全匿名地址;5位的網(wǎng)絡(luò)運(yùn)營(yíng)商標(biāo)志符,標(biāo)識(shí)用戶(hù)所注冊(cè)的運(yùn)營(yíng)商服務(wù);24位的組織標(biāo)志符,標(biāo)識(shí)用戶(hù)所屬的組織;32位的順序標(biāo)志符,標(biāo)識(shí)用戶(hù)的唯一標(biāo)識(shí),在用戶(hù)注冊(cè)時(shí)確定。一種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證系統(tǒng),包括以下運(yùn)行模塊注冊(cè)管理模塊和安全實(shí)體模塊注冊(cè)管理模塊接受用戶(hù)申請(qǐng),為用戶(hù)生成一個(gè)由 隨機(jī)串和管理域名組成的全局唯一的用戶(hù)基本標(biāo)識(shí),以及生成一個(gè)與用戶(hù)基本標(biāo)識(shí)相對(duì)應(yīng) 的包含用戶(hù)真實(shí)身份信息和網(wǎng)絡(luò)身份信息的用戶(hù)標(biāo)識(shí)證書(shū),再將用戶(hù)基本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí) 證書(shū)初始化到安全實(shí)體模塊;并將用戶(hù)注冊(cè)信息提交到數(shù)據(jù)庫(kù)管理模塊;數(shù)據(jù)庫(kù)管理模塊管理和存放用戶(hù)的標(biāo)識(shí)信息以及用戶(hù)標(biāo)識(shí)證書(shū),負(fù)責(zé)用戶(hù)信息 的添加和刪除,協(xié)助認(rèn)證模塊完成用戶(hù)身份認(rèn)證,并且實(shí)時(shí)記錄用戶(hù)行為的動(dòng)態(tài)信息;認(rèn)證模塊接受安全實(shí)體模塊通過(guò)認(rèn)證軟件提起的認(rèn)證請(qǐng)求,利用安全實(shí)體模塊 存儲(chǔ)的用戶(hù)基本標(biāo)識(shí)信息完成身份認(rèn)證,確認(rèn)用戶(hù)身份之后,認(rèn)證模塊從處理數(shù)據(jù)庫(kù)獲得用戶(hù)的注冊(cè)信息,為用戶(hù)分配真實(shí)地址和隨機(jī)的匿名地址,并提供用戶(hù)標(biāo)識(shí)證書(shū)的下載;應(yīng)用模塊為用戶(hù)和應(yīng)用服務(wù)器接入到認(rèn)證系統(tǒng)中提供支持,該模塊包括客戶(hù)端 代理Proxy以及為網(wǎng)絡(luò)應(yīng)用服務(wù)器所提供的API調(diào)用接口 ;客戶(hù)端代理Proxy根據(jù)用戶(hù)所 訪問(wèn)的網(wǎng)絡(luò)服務(wù)類(lèi)型的不同,完成匿名地址/真實(shí)地址的切換、用戶(hù)標(biāo)識(shí)證書(shū)的傳遞,以及 與所訪問(wèn)的應(yīng)用服務(wù)器的交互;網(wǎng)絡(luò)應(yīng)用服務(wù)器通過(guò)API調(diào)用接口,來(lái)設(shè)定應(yīng)用服務(wù)的訪 問(wèn)模式和用戶(hù)標(biāo)識(shí)證書(shū)解析,完成對(duì)用戶(hù)標(biāo)識(shí)和多模式訪問(wèn)的支持。所述的安全實(shí)體模塊采用USB-KEY或智能手機(jī)為載體。所述的安全實(shí)體模塊上還設(shè)置有PIN碼驗(yàn)證模塊,安全實(shí)體模塊連接之后,通過(guò) 輸入正確的PIN碼以啟動(dòng)安全實(shí)體模塊,提起認(rèn)證請(qǐng)求。所述的用戶(hù)對(duì)網(wǎng)絡(luò)服務(wù)的多模式訪問(wèn)為基于匿名地址的訪問(wèn)、基于真實(shí)地址的 訪問(wèn),以及基于真實(shí)地址和用戶(hù)標(biāo)識(shí)證書(shū)的訪問(wèn)。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下有益的技術(shù)效果針對(duì)現(xiàn)有網(wǎng)絡(luò)實(shí)體身份標(biāo)識(shí)和身份認(rèn)證嚴(yán)重滯后的問(wèn)題,本發(fā)明提供的面向可信 互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法及系統(tǒng),通過(guò)為用戶(hù)分配唯一對(duì)應(yīng)的用戶(hù)基本標(biāo)識(shí) 和用戶(hù)標(biāo)識(shí)證書(shū),使用更為安全的實(shí)體(USB-KEY或智能手機(jī))認(rèn)證方式接入互聯(lián)網(wǎng),來(lái)保 證用戶(hù)信息安全性和唯一性,識(shí)別出各種虛假或錯(cuò)誤的身份標(biāo)識(shí)符企圖進(jìn)入網(wǎng)絡(luò)的實(shí)體, 為各種網(wǎng)絡(luò)應(yīng)用提供身份認(rèn)證服務(wù);并且將用戶(hù)標(biāo)識(shí)和硬件實(shí)體捆綁起來(lái),加密存儲(chǔ)之后, 用戶(hù)只需記住簡(jiǎn)短的PIN碼就可以獲取自己的標(biāo)志,有效的防治被他人竊取。而對(duì)應(yīng)于用戶(hù)基本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí)證書(shū),本發(fā)明又對(duì)IPv6地址結(jié)構(gòu)進(jìn)行了再設(shè) 計(jì),提出了兩種地址類(lèi)型真實(shí)地址和匿名地址,在認(rèn)證時(shí)進(jìn)行分配;并且將將用戶(hù)標(biāo)識(shí)擴(kuò) 充為更為豐富的用戶(hù)屬性證書(shū)時(shí),在此基礎(chǔ)上,以此也可為用戶(hù)提供三種訪問(wèn)模式的網(wǎng)絡(luò) 訪問(wèn)基于匿名地址的訪問(wèn)、基于真實(shí)地址的訪問(wèn),以及基于真實(shí)地址和用戶(hù)標(biāo)識(shí)證書(shū)的訪 問(wèn)。本發(fā)明提供的面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法及系統(tǒng),將成為基 于真實(shí)IP地址訪問(wèn)的下一代可信任互聯(lián)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施之一。
圖1為本發(fā)明的系統(tǒng)總體框架示意圖;圖2為本發(fā)明的系統(tǒng)的各要素關(guān)系示意圖;圖3為本發(fā)明的認(rèn)證和多訪問(wèn)模式的流程圖。
具體實(shí)施例方式下面結(jié)合附圖對(duì)面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法及系統(tǒng)、用戶(hù)基 本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí)證書(shū)、多訪問(wèn)模式做進(jìn)一步詳細(xì)描述,所述是對(duì)本發(fā)明的解釋而不是限定。參見(jiàn)圖1 圖3,一種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法,包括以下 步驟1)注冊(cè)用戶(hù)提交注冊(cè)申請(qǐng)后,根據(jù)用戶(hù)提交的身份信息和管理域信息,注冊(cè)管 理模塊為用戶(hù)生成一個(gè)由隨機(jī)串和管理域名組成的全局唯一的用戶(hù)基本標(biāo)識(shí),以及生成一 個(gè)與用戶(hù)基本標(biāo)識(shí)相對(duì)應(yīng)的包含用戶(hù)真實(shí)身份信息和網(wǎng)絡(luò)身份信息的用戶(hù)標(biāo)識(shí)證書(shū),再將 用戶(hù)基本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí)證書(shū)初始化到安全實(shí)體模塊;并將用戶(hù)的注冊(cè)信息提交到處理數(shù)據(jù)庫(kù);2)認(rèn)證將安全實(shí)體模塊與計(jì)算機(jī)連接,啟動(dòng)安全實(shí)體模塊后,通過(guò)認(rèn)證軟件向 認(rèn)證模塊提起認(rèn)證請(qǐng)求,利用安全實(shí)體模塊存儲(chǔ)的用戶(hù)基本標(biāo)識(shí)信息完成身份認(rèn)證;確認(rèn)用戶(hù)身份之后,認(rèn)證模塊從處理數(shù)據(jù)庫(kù)獲得用戶(hù)的注冊(cè)信息,為用戶(hù)分配真 實(shí)地址和隨機(jī)的匿名地址,并將用戶(hù)標(biāo)識(shí)證書(shū)下載到本地;3)應(yīng)用用戶(hù)開(kāi)始網(wǎng)絡(luò)服務(wù)訪問(wèn),應(yīng)用服務(wù)器收到用戶(hù)的訪問(wèn)請(qǐng)求之后,根據(jù)應(yīng) 用服務(wù)器自身所設(shè)置的訪問(wèn)模式,更換不同的訪問(wèn)模式基于匿名地址的訪問(wèn),適用于不需要權(quán)限控制和安全級(jí)別的應(yīng)用服務(wù);基于真實(shí)地址的訪問(wèn),適用于使用真實(shí)地址進(jìn)行的訪問(wèn),將匿名地址更換為真實(shí) 地址;基于真實(shí)地址和用戶(hù)標(biāo)識(shí)證書(shū)的訪問(wèn),適用于獲取用戶(hù)身份的訪問(wèn),將匿名地址 更換為真實(shí)地址,并進(jìn)行用戶(hù)標(biāo)識(shí)證書(shū)的傳遞,以完成登錄和訪問(wèn)。一種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證系統(tǒng),包括以下運(yùn)行模塊注冊(cè)管理模塊和安全實(shí)體模塊注冊(cè)管理模塊接受用戶(hù)申請(qǐng),為用戶(hù)生成一個(gè)由 隨機(jī)串和管理域名組成的全局唯一的用戶(hù)基本標(biāo)識(shí),以及生成一個(gè)與用戶(hù)基本標(biāo)識(shí)相對(duì)應(yīng) 的包含用戶(hù)真實(shí)身份信息和網(wǎng)絡(luò)身份信息的用戶(hù)標(biāo)識(shí)證書(shū),再將用戶(hù)基本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí) 證書(shū)初始化到安全實(shí)體模塊;并將用戶(hù)注冊(cè)信息提交到處理數(shù)據(jù)庫(kù);數(shù)據(jù)庫(kù)管理模塊管理和存放用戶(hù)的標(biāo)識(shí)信息以及用戶(hù)標(biāo)識(shí)證書(shū),負(fù)責(zé)用戶(hù)信息 的添加和刪除,協(xié)助認(rèn)證模塊完成用戶(hù)身份認(rèn)證,并且實(shí)時(shí)記錄用戶(hù)行為的動(dòng)態(tài)信息;認(rèn)證模塊接受安全實(shí)體模塊通過(guò)認(rèn)證軟件提起的認(rèn)證請(qǐng)求,利用安全實(shí)體模塊 存儲(chǔ)的用戶(hù)基本標(biāo)識(shí)信息完成身份認(rèn)證,確認(rèn)用戶(hù)身份之后,認(rèn)證模塊從處理數(shù)據(jù)庫(kù)獲得 用戶(hù)的注冊(cè)信息,為用戶(hù)分配真實(shí)地址和隨機(jī)的匿名地址,并提供用戶(hù)標(biāo)識(shí)證書(shū)的下載;應(yīng)用模塊為用戶(hù)和應(yīng)用服務(wù)器接入到認(rèn)證系統(tǒng)中提供支持,該模塊包括客戶(hù)端 代理Proxy以及為網(wǎng)絡(luò)應(yīng)用服務(wù)器所提供的API調(diào)用接口 ;客戶(hù)端代理Proxy根據(jù)用戶(hù)所 訪問(wèn)的網(wǎng)絡(luò)服務(wù)類(lèi)型的不同,完成匿名地址/真實(shí)地址的切換、用戶(hù)標(biāo)識(shí)證書(shū)的傳遞,以及 與所訪問(wèn)的應(yīng)用服務(wù)器的交互;網(wǎng)絡(luò)應(yīng)用服務(wù)器通過(guò)API調(diào)用接口,來(lái)設(shè)定應(yīng)用服務(wù)的訪 問(wèn)模式和用戶(hù)標(biāo)識(shí)證書(shū)解析,完成對(duì)用戶(hù)標(biāo)識(shí)和多模式訪問(wèn)的支持。所述的用戶(hù)基本標(biāo)識(shí)為用戶(hù)所分配的全局唯一的身份標(biāo)識(shí),其形式表示為 基本用戶(hù)標(biāo)識(shí)@管理域的域名,例如注冊(cè)于西安交通大學(xué)域中的用戶(hù)基本標(biāo)識(shí)如下 157fdl2e93a95163ixjtu. edu. cn。所述的隨機(jī)串的生成為用戶(hù)提交注冊(cè)申請(qǐng),并提供一個(gè)Email地址,將用戶(hù)注冊(cè) 申請(qǐng)之后生成的隨機(jī)字符串與其提交的Email地址進(jìn)行連接后再完成HMAC運(yùn)算,取結(jié)果的 前64bit為隨機(jī)串。該方法產(chǎn)生用戶(hù)標(biāo)識(shí)“碰撞”的可能性極低,適合于分布式的用戶(hù)標(biāo)識(shí)管理。管理域設(shè)計(jì)思想是采用基于域名的用戶(hù)標(biāo)識(shí)設(shè)計(jì),不同域之間的身份認(rèn)證模塊可 以安全的通信,來(lái)處理用戶(hù)跨域漫游的情況。用戶(hù)標(biāo)識(shí)證書(shū)擴(kuò)充為更為豐富的用戶(hù)屬性證書(shū),與一般公鑰證書(shū)的不同點(diǎn)在于 屬性證書(shū)中囊括了用戶(hù)的靜態(tài)屬性和動(dòng)態(tài)屬性,并且根據(jù)用戶(hù)信息動(dòng)態(tài)生成,時(shí)刻更新。所 包含的內(nèi)容包括
用戶(hù)的真實(shí)身份所屬機(jī)構(gòu)、ID號(hào)、職務(wù)、身份;固定接口標(biāo)識(shí)用于用戶(hù)真實(shí)地址的分配;用戶(hù)的虛擬社區(qū)身份用戶(hù)在虛擬社區(qū)或者需要登陸站點(diǎn)的登陸信息;費(fèi)用按時(shí)間計(jì)算用戶(hù)接入網(wǎng)絡(luò)的費(fèi)用;信譽(yù)度用數(shù)字表示的用戶(hù)在網(wǎng)絡(luò)中的信用度。還可以包括基本用戶(hù)標(biāo)識(shí);Email用戶(hù)標(biāo)識(shí);用戶(hù)的認(rèn)證密鑰用于用戶(hù)認(rèn)證時(shí)所需的密碼;注冊(cè)域用戶(hù)注冊(cè)時(shí)所處的安全域;角色此處可擴(kuò)展用于用戶(hù)的權(quán)限管理等,角色分類(lèi)可以為超級(jí)管理員、管理 員、普通用戶(hù)和過(guò)客;公鑰證書(shū)用戶(hù)在注冊(cè)時(shí)獲取的公鑰證書(shū);私鑰用戶(hù)在注冊(cè)過(guò)程中獲取證書(shū)的同時(shí)產(chǎn)生的私鑰。生存周期僅對(duì)用戶(hù)標(biāo)識(shí)證書(shū)有效。安全實(shí)體模塊采用USB-KEY或智能手機(jī)為用戶(hù)基本標(biāo)識(shí)和標(biāo)識(shí)證書(shū)的載體,完成 復(fù)雜的身份認(rèn)證和交互過(guò)程;安全實(shí)體模塊上還設(shè)置有PIN碼驗(yàn)證模塊,安全實(shí)體模塊連 接之后,通過(guò)輸入正確的PIN碼以啟動(dòng)安全實(shí)體模塊,提起認(rèn)證請(qǐng)求;用戶(hù)只需記住簡(jiǎn)短的 PIN碼就可以獲取自己的標(biāo)志,有效的防治被他人竊取。用戶(hù)有三次輸入PIN碼的機(jī)會(huì),三 次輸入錯(cuò)誤則硬件實(shí)體功能鎖死,從而有效的保障用戶(hù)信息的安全性。所述的真實(shí)地址為IPv6地址格式前64位為路由前綴,將用戶(hù)的信息通過(guò)格式設(shè) 計(jì)隱含到后64位Interface ID (記為IID)中,形成類(lèi)似于用戶(hù)身份證編號(hào)類(lèi)似的地址,后 64位依次為3位的地址類(lèi)型標(biāo)志符(Type),在地址分配時(shí)確定,000為真實(shí)地址,001為部分匿 名地址,010為完全匿名地址;5位的網(wǎng)絡(luò)運(yùn)營(yíng)商標(biāo)志符(ISP),標(biāo)識(shí)用戶(hù)所注冊(cè)的運(yùn)營(yíng)商服務(wù),比如電信、網(wǎng)通、 鐵通、教育網(wǎng)等;24位的組織標(biāo)志符(ORG),標(biāo)識(shí)用戶(hù)所屬的組織,比如公司、企業(yè)、學(xué)校、機(jī)關(guān)單位 等;32位的順序標(biāo)志符(Sequence ID),標(biāo)識(shí)用戶(hù)的唯一標(biāo)識(shí),在用戶(hù)注冊(cè)時(shí)確定,可 采用順序分配。設(shè)計(jì)格式如下
權(quán)利要求
1.一種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法,其特征在于,包括以下步驟1)注冊(cè)用戶(hù)提交注冊(cè)申請(qǐng)后,根據(jù)用戶(hù)提交的身份信息和管理域信息,注冊(cè)管理模 塊為用戶(hù)生成一個(gè)由隨機(jī)串和管理域名組成的全局唯一的用戶(hù)基本標(biāo)識(shí),以及生成一個(gè)與 用戶(hù)基本標(biāo)識(shí)相對(duì)應(yīng)的包含用戶(hù)真實(shí)身份信息和網(wǎng)絡(luò)身份信息的用戶(hù)標(biāo)識(shí)證書(shū),再將用戶(hù) 基本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí)證書(shū)初始化到安全實(shí)體模塊;并將用戶(hù)的注冊(cè)信息提交到處理數(shù)據(jù) 庫(kù);2)認(rèn)證將安全實(shí)體模塊與計(jì)算機(jī)連接,啟動(dòng)安全實(shí)體模塊后,通過(guò)認(rèn)證軟件向認(rèn)證 模塊提起認(rèn)證請(qǐng)求,利用安全實(shí)體模塊存儲(chǔ)的用戶(hù)基本標(biāo)識(shí)信息完成身份認(rèn)證;確認(rèn)用戶(hù)身份之后,認(rèn)證模塊從處理數(shù)據(jù)庫(kù)獲得用戶(hù)的注冊(cè)信息,為用戶(hù)分配真實(shí)地 址和隨機(jī)的匿名地址,并將用戶(hù)標(biāo)識(shí)證書(shū)下載到本地;3)應(yīng)用用戶(hù)開(kāi)始網(wǎng)絡(luò)服務(wù)訪問(wèn),應(yīng)用服務(wù)器收到用戶(hù)的訪問(wèn)請(qǐng)求之后,根據(jù)應(yīng)用服 務(wù)器自身所設(shè)置的訪問(wèn)模式,更換不同的訪問(wèn)模式基于匿名地址的訪問(wèn),適用于不需要權(quán)限控制和安全級(jí)別的應(yīng)用服務(wù);基于真實(shí)地址的訪問(wèn),適用于使用真實(shí)地址進(jìn)行的訪問(wèn),將匿名地址更換為真實(shí)地址;基于真實(shí)地址和用戶(hù)標(biāo)識(shí)證書(shū)的訪問(wèn),適用于獲取用戶(hù)身份的訪問(wèn),將匿名地址更換 為真實(shí)地址,并進(jìn)行用戶(hù)標(biāo)識(shí)證書(shū)的傳遞,以完成登錄和訪問(wèn)。
2.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法,其特征在 于,所述的隨機(jī)串的生成為用戶(hù)提交注冊(cè)申請(qǐng),并提供一個(gè)Email地址,將用戶(hù)注冊(cè)申請(qǐng) 之后生成的隨機(jī)字符串與其提交的Email地址進(jìn)行連接后再完成HMAC運(yùn)算,取結(jié)果的前 64bit為隨機(jī)串。
3.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法,其特征在 于,所述的用戶(hù)基本標(biāo)識(shí)的形式表示為基本用戶(hù)標(biāo)識(shí)@管理域的域名。
4.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法,其特征在 于,所述的用戶(hù)標(biāo)識(shí)證書(shū)還包括如下內(nèi)容用戶(hù)的真實(shí)身份所屬機(jī)構(gòu)、ID號(hào)、職務(wù)、身份; 固定接口標(biāo)識(shí)用于用戶(hù)真實(shí)地址的分配;用戶(hù)的虛擬社區(qū)身份用戶(hù)在虛擬社區(qū)或者需要登陸站點(diǎn)的登陸信息; 費(fèi)用按時(shí)間計(jì)算用戶(hù)接入網(wǎng)絡(luò)的費(fèi)用; 信譽(yù)度用數(shù)字表示的用戶(hù)在網(wǎng)絡(luò)中的信用度。
5.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法,其特征在 于,所述的安全實(shí)體模塊上還設(shè)置有PIN碼驗(yàn)證模塊,安全實(shí)體模塊連接之后,通過(guò)輸入正 確的PIN碼以啟動(dòng)安全實(shí)體模塊,提起認(rèn)證請(qǐng)求。
6.如權(quán)利要求1所述的面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法,其特征在 于,所述的真實(shí)地址為IPv6地址格式前64位為路由前綴,后64位依次為3位的地址類(lèi)型標(biāo)志符,在地址分配時(shí)確定,000為真實(shí)地址,001為部分匿名地址,010 為完全匿名地址;5位的網(wǎng)絡(luò)運(yùn)營(yíng)商標(biāo)志符,標(biāo)識(shí)用戶(hù)所注冊(cè)的運(yùn)營(yíng)商服務(wù);24位的組織標(biāo)志符,標(biāo)識(shí)用戶(hù)所屬的組織;32位的順序標(biāo)志符,標(biāo)識(shí)用戶(hù)的唯一標(biāo)識(shí),在用戶(hù)注冊(cè)時(shí)確定。
7.一種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證系統(tǒng),其特征在于,包括以下運(yùn)行 模塊注冊(cè)管理模塊和安全實(shí)體模塊注冊(cè)管理模塊接受用戶(hù)申請(qǐng),為用戶(hù)生成一個(gè)由隨機(jī) 串和管理域名組成的全局唯一的用戶(hù)基本標(biāo)識(shí),以及生成一個(gè)與用戶(hù)基本標(biāo)識(shí)相對(duì)應(yīng)的包 含用戶(hù)真實(shí)身份信息和網(wǎng)絡(luò)身份信息的用戶(hù)標(biāo)識(shí)證書(shū),再將用戶(hù)基本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí)證書(shū) 初始化到安全實(shí)體模塊;并將用戶(hù)注冊(cè)信息提交到數(shù)據(jù)庫(kù)管理模塊;數(shù)據(jù)庫(kù)管理模塊管理和存放用戶(hù)的標(biāo)識(shí)信息以及用戶(hù)標(biāo)識(shí)證書(shū),負(fù)責(zé)用戶(hù)信息的添 加和刪除,協(xié)助認(rèn)證模塊完成用戶(hù)身份認(rèn)證,并且實(shí)時(shí)記錄用戶(hù)行為的動(dòng)態(tài)信息;認(rèn)證模塊接受安全實(shí)體模塊通過(guò)認(rèn)證軟件提起的認(rèn)證請(qǐng)求,利用安全實(shí)體模塊存儲(chǔ) 的用戶(hù)基本標(biāo)識(shí)信息完成身份認(rèn)證,確認(rèn)用戶(hù)身份之后,認(rèn)證模塊從處理數(shù)據(jù)庫(kù)獲得用戶(hù) 的注冊(cè)信息,為用戶(hù)分配真實(shí)地址和隨機(jī)的匿名地址,并提供用戶(hù)標(biāo)識(shí)證書(shū)的下載;應(yīng)用模塊為用戶(hù)和應(yīng)用服務(wù)器接入到認(rèn)證系統(tǒng)中提供支持,該模塊包括客戶(hù)端代理 Proxy以及為網(wǎng)絡(luò)應(yīng)用服務(wù)器所提供的API調(diào)用接口 ;客戶(hù)端代理Proxy根據(jù)用戶(hù)所訪問(wèn) 的網(wǎng)絡(luò)服務(wù)類(lèi)型的不同,完成匿名地址/真實(shí)地址的切換、用戶(hù)標(biāo)識(shí)證書(shū)的傳遞,以及與所 訪問(wèn)的應(yīng)用服務(wù)器的交互;網(wǎng)絡(luò)應(yīng)用服務(wù)器通過(guò)API調(diào)用接口,來(lái)設(shè)定應(yīng)用服務(wù)的訪問(wèn)模 式和用戶(hù)標(biāo)識(shí)證書(shū)解析,完成對(duì)用戶(hù)標(biāo)識(shí)和多模式訪問(wèn)的支持。
8.如權(quán)利要求7所述的面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證系統(tǒng),其特征在 于,所述的安全實(shí)體模塊采用USB-KEY或智能手機(jī)為載體。
9.如權(quán)利要求7所述的面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證系統(tǒng),其特征在 于,所述的安全實(shí)體模塊上還設(shè)置有PIN碼驗(yàn)證模塊,安全實(shí)體模塊連接之后,通過(guò)輸入正 確的PIN碼以啟動(dòng)安全實(shí)體模塊,提起認(rèn)證請(qǐng)求。
10.如權(quán)利要求7所述的面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證系統(tǒng),其特征在 于,所述的用戶(hù)對(duì)網(wǎng)絡(luò)服務(wù)的多模式訪問(wèn)為基于匿名地址的訪問(wèn)、基于真實(shí)地址的訪問(wèn), 以及基于真實(shí)地址和用戶(hù)標(biāo)識(shí)證書(shū)的訪問(wèn)。
全文摘要
本發(fā)明公開(kāi)了一種面向可信互聯(lián)網(wǎng)的基于實(shí)體標(biāo)識(shí)的身份認(rèn)證方法及系統(tǒng),通過(guò)為用戶(hù)分配唯一對(duì)應(yīng)的用戶(hù)基本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí)證書(shū),使用更為安全的實(shí)體認(rèn)證方式接入互聯(lián)網(wǎng),來(lái)保證用戶(hù)信息安全性和唯一性,識(shí)別出各種虛假或錯(cuò)誤的身份標(biāo)識(shí)符企圖進(jìn)入網(wǎng)絡(luò)的實(shí)體,為各種網(wǎng)絡(luò)應(yīng)用提供身份認(rèn)證服務(wù)。而對(duì)應(yīng)于用戶(hù)基本標(biāo)識(shí)和用戶(hù)標(biāo)識(shí)證書(shū),本發(fā)明又對(duì)IPv6地址結(jié)構(gòu)進(jìn)行了再設(shè)計(jì),提出了兩種地址類(lèi)型真實(shí)地址和匿名地址,在認(rèn)證時(shí)進(jìn)行分配;并且將將用戶(hù)標(biāo)識(shí)擴(kuò)充為更為豐富的用戶(hù)屬性證書(shū)時(shí),在此基礎(chǔ)上,以此也可為用戶(hù)提供三種訪問(wèn)模式的網(wǎng)絡(luò)訪問(wèn)基于匿名地址的訪問(wèn)、基于真實(shí)地址的訪問(wèn),以及基于真實(shí)地址和用戶(hù)標(biāo)識(shí)證書(shū)的訪問(wèn)。
文檔編號(hào)H04L29/06GK102006299SQ20101056352
公開(kāi)日2011年4月6日 申請(qǐng)日期2010年11月29日 優(yōu)先權(quán)日2010年11月29日
發(fā)明者孫嘉駿, 安歡, 徐瑞, 李衛(wèi), 梁繼紅, 王琰, 覃遵穎, 鄭衛(wèi)斌 申請(qǐng)人:西安交通大學(xué)