专利名称:一种面向可信互联网的基于实体标识的身份认证方法及系统的制作方法
技术领域:
本发明属于互联网安全技术领域,特别涉及一种面向可信互联网的基于实体标识 的身份认证方法及系统。
背景技术:
当前的互联网在自身体系结构方面存在着很多的缺陷,并且带来了很多安全问 题。“身份”问题在计算机应用初期就是困扰信息系统安全的严重问题,冒用合法用户身份 进入重要计算机系统大肆破坏的报道时有耳闻。缺少适合于现有计算环境的有效身份验证 手段是造成目前互联网身份问题日益严峻的主要原因。现有的网络管理对象一般是用户所 使用的机器,而非用户本身,而大多情况下用户和机器并不能一一对应,因而更应该关注于 用户身份的真实性。现有常见的身份认证方案如用户名/密码、智能卡认证、USB-KEY认证、动态口令 卡和生物特征认证。其中安全性最高的是动态口令卡、USB-KEY和生物特征认证。然而,生 物特征认证如指纹、虹膜等,准确性还有待提高;动态口令卡认证较为复杂,成本太高,且不 具有通用性;USB-KEY认证成本较低,性价比较高,而且USB接口具有通用性,方便使用,并 且可以提供基于挑战和数字证书两种认证方式,有较好的扩展性。现有的USB-KEY认证多 用在网银等对安全性需求较高的领域,然而随着时代发展,基于USB-KEY的认证将会应用 的各个领域,同时USB-KEY的实体形式也会有像智能手机、PDA等可以通过蓝牙设备认证, 很好地解决了安全性与易用性之间的矛盾。新一代可信任互联网是建立在真实IPv6源地址验证体系结构(SAVA =Source Address Validation Architecture)之上,它可以为每一个接入互联网的实体分配一个甚 至多个全局唯一的地址,并且用户只有通过认证才可以接入网络。现有的用户标识一般都 是64位或128位,用户难以记住如此长的标识,并且没有进行很好的保护,很容易被他人窃 取或篡改。
发明内容
本发明解决的技术问题在于提供一种面向可信互联网的基于实体标识的身份认 证方法及系统,通过为用户分配唯一对应的识别信息,并将其固定到安全的实体上,用户通 过安全实体进行认证,这就相当于为用户分发了一个“网络身份证”。本发明是通过以下技术方案来实现—种面向可信互联网的基于实体标识的身份认证方法,包括以下步骤1)注册用户提交注册申请后,根据用户提交的身份信息和管理域信息,注册管 理模块为用户生成一个由随机串和管理域名组成的全局唯一的用户基本标识,以及生成一 个与用户基本标识相对应的包含用户真实身份信息和网络身份信息的用户标识证书,再将 用户基本标识和用户标识证书初始化到安全实体模块;并将用户的注册信息提交到处理数据库;2)认证将安全实体模块与计算机连接,启动安全实体模块后,通过认证软件向 认证模块提起认证请求,利用安全实体模块存储的用户基本标识信息完成身份认证;确认用户身份之后,认证模块从处理数据库获得用户的注册信息,为用户分配真 实地址和随机的匿名地址,并将用户标识证书下载到本地;3)应用用户开始网络服务访问,应用服务器收到用户的访问请求之后,根据应 用服务器自身所设置的访问模式,更换不同的访问模式基于匿名地址的访问,适用于不需要权限控制和安全级别的应用服务;基于真实地址的访问,适用于使用真实地址进行的访问,将匿名地址更换为真实 地址;基于真实地址和用户标识证书的访问,适用于获取用户身份的访问,将匿名地址 更换为真实地址,并进行用户标识证书的传递,以完成登录和访问。所述的随机串的生成为用户提交注册申请,并提供一个Email地址,将用户注册 申请之后生成的随机字符串与其提交的Email地址进行连接后再完成HMAC运算,取结果的 前64bit为随机串。所述的用户基本标识的形式表示为基本用户标识@管理域的域名。所述的用户标识证书包括如下内容用户的真实身份所属机构、ID号、职务、身份;固定接口标识用于用户真实地址的分配;用户的虚拟社区身份用户在虚拟社区或者需要登陆站点的登陆信息;费用按时间计算用户接入网络的费用;信誉度用数字表示的用户在网络中的信用度。所述的安全实体模块上还设置有PIN码验证模块,安全实体模块连接之后,通过 输入正确的PIN码以启动安全实体模块,提起认证请求。所述的真实地址为IPv6地址格式前64位为路由前缀,后64位依次为3位的地址类型标志符,在地址分配时确定,000为真实地址,001为部分匿名地 址,010为完全匿名地址;5位的网络运营商标志符,标识用户所注册的运营商服务;24位的组织标志符,标识用户所属的组织;32位的顺序标志符,标识用户的唯一标识,在用户注册时确定。一种面向可信互联网的基于实体标识的身份认证系统,包括以下运行模块注册管理模块和安全实体模块注册管理模块接受用户申请,为用户生成一个由 随机串和管理域名组成的全局唯一的用户基本标识,以及生成一个与用户基本标识相对应 的包含用户真实身份信息和网络身份信息的用户标识证书,再将用户基本标识和用户标识 证书初始化到安全实体模块;并将用户注册信息提交到数据库管理模块;数据库管理模块管理和存放用户的标识信息以及用户标识证书,负责用户信息 的添加和删除,协助认证模块完成用户身份认证,并且实时记录用户行为的动态信息;认证模块接受安全实体模块通过认证软件提起的认证请求,利用安全实体模块 存储的用户基本标识信息完成身份认证,确认用户身份之后,认证模块从处理数据库获得用户的注册信息,为用户分配真实地址和随机的匿名地址,并提供用户标识证书的下载;应用模块为用户和应用服务器接入到认证系统中提供支持,该模块包括客户端 代理Proxy以及为网络应用服务器所提供的API调用接口 ;客户端代理Proxy根据用户所 访问的网络服务类型的不同,完成匿名地址/真实地址的切换、用户标识证书的传递,以及 与所访问的应用服务器的交互;网络应用服务器通过API调用接口,来设定应用服务的访 问模式和用户标识证书解析,完成对用户标识和多模式访问的支持。所述的安全实体模块采用USB-KEY或智能手机为载体。所述的安全实体模块上还设置有PIN码验证模块,安全实体模块连接之后,通过 输入正确的PIN码以启动安全实体模块,提起认证请求。所述的用户对网络服务的多模式访问为基于匿名地址的访问、基于真实地址的 访问,以及基于真实地址和用户标识证书的访问。与现有技术相比,本发明具有以下有益的技术效果针对现有网络实体身份标识和身份认证严重滞后的问题,本发明提供的面向可信 互联网的基于实体标识的身份认证方法及系统,通过为用户分配唯一对应的用户基本标识 和用户标识证书,使用更为安全的实体(USB-KEY或智能手机)认证方式接入互联网,来保 证用户信息安全性和唯一性,识别出各种虚假或错误的身份标识符企图进入网络的实体, 为各种网络应用提供身份认证服务;并且将用户标识和硬件实体捆绑起来,加密存储之后, 用户只需记住简短的PIN码就可以获取自己的标志,有效的防治被他人窃取。而对应于用户基本标识和用户标识证书,本发明又对IPv6地址结构进行了再设 计,提出了两种地址类型真实地址和匿名地址,在认证时进行分配;并且将将用户标识扩 充为更为丰富的用户属性证书时,在此基础上,以此也可为用户提供三种访问模式的网络 访问基于匿名地址的访问、基于真实地址的访问,以及基于真实地址和用户标识证书的访 问。本发明提供的面向可信互联网的基于实体标识的身份认证方法及系统,将成为基 于真实IP地址访问的下一代可信任互联网网络基础设施之一。
图1为本发明的系统总体框架示意图;图2为本发明的系统的各要素关系示意图;图3为本发明的认证和多访问模式的流程图。
具体实施例方式下面结合附图对面向可信互联网的基于实体标识的身份认证方法及系统、用户基 本标识和用户标识证书、多访问模式做进一步详细描述,所述是对本发明的解释而不是限定。参见图1 图3,一种面向可信互联网的基于实体标识的身份认证方法,包括以下 步骤1)注册用户提交注册申请后,根据用户提交的身份信息和管理域信息,注册管 理模块为用户生成一个由随机串和管理域名组成的全局唯一的用户基本标识,以及生成一 个与用户基本标识相对应的包含用户真实身份信息和网络身份信息的用户标识证书,再将 用户基本标识和用户标识证书初始化到安全实体模块;并将用户的注册信息提交到处理数据库;2)认证将安全实体模块与计算机连接,启动安全实体模块后,通过认证软件向 认证模块提起认证请求,利用安全实体模块存储的用户基本标识信息完成身份认证;确认用户身份之后,认证模块从处理数据库获得用户的注册信息,为用户分配真 实地址和随机的匿名地址,并将用户标识证书下载到本地;3)应用用户开始网络服务访问,应用服务器收到用户的访问请求之后,根据应 用服务器自身所设置的访问模式,更换不同的访问模式基于匿名地址的访问,适用于不需要权限控制和安全级别的应用服务;基于真实地址的访问,适用于使用真实地址进行的访问,将匿名地址更换为真实 地址;基于真实地址和用户标识证书的访问,适用于获取用户身份的访问,将匿名地址 更换为真实地址,并进行用户标识证书的传递,以完成登录和访问。一种面向可信互联网的基于实体标识的身份认证系统,包括以下运行模块注册管理模块和安全实体模块注册管理模块接受用户申请,为用户生成一个由 随机串和管理域名组成的全局唯一的用户基本标识,以及生成一个与用户基本标识相对应 的包含用户真实身份信息和网络身份信息的用户标识证书,再将用户基本标识和用户标识 证书初始化到安全实体模块;并将用户注册信息提交到处理数据库;数据库管理模块管理和存放用户的标识信息以及用户标识证书,负责用户信息 的添加和删除,协助认证模块完成用户身份认证,并且实时记录用户行为的动态信息;认证模块接受安全实体模块通过认证软件提起的认证请求,利用安全实体模块 存储的用户基本标识信息完成身份认证,确认用户身份之后,认证模块从处理数据库获得 用户的注册信息,为用户分配真实地址和随机的匿名地址,并提供用户标识证书的下载;应用模块为用户和应用服务器接入到认证系统中提供支持,该模块包括客户端 代理Proxy以及为网络应用服务器所提供的API调用接口 ;客户端代理Proxy根据用户所 访问的网络服务类型的不同,完成匿名地址/真实地址的切换、用户标识证书的传递,以及 与所访问的应用服务器的交互;网络应用服务器通过API调用接口,来设定应用服务的访 问模式和用户标识证书解析,完成对用户标识和多模式访问的支持。所述的用户基本标识为用户所分配的全局唯一的身份标识,其形式表示为 基本用户标识@管理域的域名,例如注册于西安交通大学域中的用户基本标识如下 157fdl2e93a95163ixjtu. edu. cn。所述的随机串的生成为用户提交注册申请,并提供一个Email地址,将用户注册 申请之后生成的随机字符串与其提交的Email地址进行连接后再完成HMAC运算,取结果的 前64bit为随机串。该方法产生用户标识“碰撞”的可能性极低,适合于分布式的用户标识管理。管理域设计思想是采用基于域名的用户标识设计,不同域之间的身份认证模块可 以安全的通信,来处理用户跨域漫游的情况。用户标识证书扩充为更为丰富的用户属性证书,与一般公钥证书的不同点在于 属性证书中囊括了用户的静态属性和动态属性,并且根据用户信息动态生成,时刻更新。所 包含的内容包括
用户的真实身份所属机构、ID号、职务、身份;固定接口标识用于用户真实地址的分配;用户的虚拟社区身份用户在虚拟社区或者需要登陆站点的登陆信息;费用按时间计算用户接入网络的费用;信誉度用数字表示的用户在网络中的信用度。还可以包括基本用户标识;Email用户标识;用户的认证密钥用于用户认证时所需的密码;注册域用户注册时所处的安全域;角色此处可扩展用于用户的权限管理等,角色分类可以为超级管理员、管理 员、普通用户和过客;公钥证书用户在注册时获取的公钥证书;私钥用户在注册过程中获取证书的同时产生的私钥。生存周期仅对用户标识证书有效。安全实体模块采用USB-KEY或智能手机为用户基本标识和标识证书的载体,完成 复杂的身份认证和交互过程;安全实体模块上还设置有PIN码验证模块,安全实体模块连 接之后,通过输入正确的PIN码以启动安全实体模块,提起认证请求;用户只需记住简短的 PIN码就可以获取自己的标志,有效的防治被他人窃取。用户有三次输入PIN码的机会,三 次输入错误则硬件实体功能锁死,从而有效的保障用户信息的安全性。所述的真实地址为IPv6地址格式前64位为路由前缀,将用户的信息通过格式设 计隐含到后64位Interface ID (记为IID)中,形成类似于用户身份证编号类似的地址,后 64位依次为3位的地址类型标志符(Type),在地址分配时确定,000为真实地址,001为部分匿 名地址,010为完全匿名地址;5位的网络运营商标志符(ISP),标识用户所注册的运营商服务,比如电信、网通、 铁通、教育网等;24位的组织标志符(ORG),标识用户所属的组织,比如公司、企业、学校、机关单位 等;32位的顺序标志符(Sequence ID),标识用户的唯一标识,在用户注册时确定,可 采用顺序分配。设计格式如下
权利要求
1.一种面向可信互联网的基于实体标识的身份认证方法,其特征在于,包括以下步骤1)注册用户提交注册申请后,根据用户提交的身份信息和管理域信息,注册管理模 块为用户生成一个由随机串和管理域名组成的全局唯一的用户基本标识,以及生成一个与 用户基本标识相对应的包含用户真实身份信息和网络身份信息的用户标识证书,再将用户 基本标识和用户标识证书初始化到安全实体模块;并将用户的注册信息提交到处理数据 库;2)认证将安全实体模块与计算机连接,启动安全实体模块后,通过认证软件向认证 模块提起认证请求,利用安全实体模块存储的用户基本标识信息完成身份认证;确认用户身份之后,认证模块从处理数据库获得用户的注册信息,为用户分配真实地 址和随机的匿名地址,并将用户标识证书下载到本地;3)应用用户开始网络服务访问,应用服务器收到用户的访问请求之后,根据应用服 务器自身所设置的访问模式,更换不同的访问模式基于匿名地址的访问,适用于不需要权限控制和安全级别的应用服务;基于真实地址的访问,适用于使用真实地址进行的访问,将匿名地址更换为真实地址;基于真实地址和用户标识证书的访问,适用于获取用户身份的访问,将匿名地址更换 为真实地址,并进行用户标识证书的传递,以完成登录和访问。
2.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法,其特征在 于,所述的随机串的生成为用户提交注册申请,并提供一个Email地址,将用户注册申请 之后生成的随机字符串与其提交的Email地址进行连接后再完成HMAC运算,取结果的前 64bit为随机串。
3.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法,其特征在 于,所述的用户基本标识的形式表示为基本用户标识@管理域的域名。
4.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法,其特征在 于,所述的用户标识证书还包括如下内容用户的真实身份所属机构、ID号、职务、身份; 固定接口标识用于用户真实地址的分配;用户的虚拟社区身份用户在虚拟社区或者需要登陆站点的登陆信息; 费用按时间计算用户接入网络的费用; 信誉度用数字表示的用户在网络中的信用度。
5.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法,其特征在 于,所述的安全实体模块上还设置有PIN码验证模块,安全实体模块连接之后,通过输入正 确的PIN码以启动安全实体模块,提起认证请求。
6.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法,其特征在 于,所述的真实地址为IPv6地址格式前64位为路由前缀,后64位依次为3位的地址类型标志符,在地址分配时确定,000为真实地址,001为部分匿名地址,010 为完全匿名地址;5位的网络运营商标志符,标识用户所注册的运营商服务;24位的组织标志符,标识用户所属的组织;32位的顺序标志符,标识用户的唯一标识,在用户注册时确定。
7.一种面向可信互联网的基于实体标识的身份认证系统,其特征在于,包括以下运行 模块注册管理模块和安全实体模块注册管理模块接受用户申请,为用户生成一个由随机 串和管理域名组成的全局唯一的用户基本标识,以及生成一个与用户基本标识相对应的包 含用户真实身份信息和网络身份信息的用户标识证书,再将用户基本标识和用户标识证书 初始化到安全实体模块;并将用户注册信息提交到数据库管理模块;数据库管理模块管理和存放用户的标识信息以及用户标识证书,负责用户信息的添 加和删除,协助认证模块完成用户身份认证,并且实时记录用户行为的动态信息;认证模块接受安全实体模块通过认证软件提起的认证请求,利用安全实体模块存储 的用户基本标识信息完成身份认证,确认用户身份之后,认证模块从处理数据库获得用户 的注册信息,为用户分配真实地址和随机的匿名地址,并提供用户标识证书的下载;应用模块为用户和应用服务器接入到认证系统中提供支持,该模块包括客户端代理 Proxy以及为网络应用服务器所提供的API调用接口 ;客户端代理Proxy根据用户所访问 的网络服务类型的不同,完成匿名地址/真实地址的切换、用户标识证书的传递,以及与所 访问的应用服务器的交互;网络应用服务器通过API调用接口,来设定应用服务的访问模 式和用户标识证书解析,完成对用户标识和多模式访问的支持。
8.如权利要求7所述的面向可信互联网的基于实体标识的身份认证系统,其特征在 于,所述的安全实体模块采用USB-KEY或智能手机为载体。
9.如权利要求7所述的面向可信互联网的基于实体标识的身份认证系统,其特征在 于,所述的安全实体模块上还设置有PIN码验证模块,安全实体模块连接之后,通过输入正 确的PIN码以启动安全实体模块,提起认证请求。
10.如权利要求7所述的面向可信互联网的基于实体标识的身份认证系统,其特征在 于,所述的用户对网络服务的多模式访问为基于匿名地址的访问、基于真实地址的访问, 以及基于真实地址和用户标识证书的访问。
全文摘要
本发明公开了一种面向可信互联网的基于实体标识的身份认证方法及系统,通过为用户分配唯一对应的用户基本标识和用户标识证书,使用更为安全的实体认证方式接入互联网,来保证用户信息安全性和唯一性,识别出各种虚假或错误的身份标识符企图进入网络的实体,为各种网络应用提供身份认证服务。而对应于用户基本标识和用户标识证书,本发明又对IPv6地址结构进行了再设计,提出了两种地址类型真实地址和匿名地址,在认证时进行分配;并且将将用户标识扩充为更为丰富的用户属性证书时,在此基础上,以此也可为用户提供三种访问模式的网络访问基于匿名地址的访问、基于真实地址的访问,以及基于真实地址和用户标识证书的访问。
文档编号H04L29/06GK102006299SQ20101056352
公开日2011年4月6日 申请日期2010年11月29日 优先权日2010年11月29日
发明者孙嘉骏, 安欢, 徐瑞, 李卫, 梁继红, 王琰, 覃遵颖, 郑卫斌 申请人:西安交通大学