[发明专利]一种面向可信互联网的基于实体标识的身份认证方法及系统

权利要求书

1.一种面向可信互联网的基于实体标识的身份认证方法，其特征在于，包括以下步骤：

1)注册：用户提交注册申请后，根据用户提交的身份信息和管理域信息，注册管理模块为用户生成一个由随机串和管理域名组成的全局唯一的用户基本标识，以及生成一个与用户基本标识相对应的包含用户真实身份信息和网络身份信息的用户标识证书，再将用户基本标识和用户标识证书初始化到安全实体模块；并将用户的注册信息提交到处理数据库；

2)认证：将安全实体模块与计算机连接，启动安全实体模块后，通过认证软件向认证模块提起认证请求，利用安全实体模块存储的用户基本标识信息完成身份认证；

确认用户身份之后，认证模块从处理数据库获得用户的注册信息，为用户分配真实地址和随机的匿名地址，并将用户标识证书下载到本地；

3)应用：用户开始网络服务访问，应用服务器收到用户的访问请求之后，根据应用服务器自身所设置的访问模式，更换不同的访问模式：

基于匿名地址的访问，适用于不需要权限控制和安全级别的应用服务；

基于真实地址的访问，适用于使用真实地址进行的访问，将匿名地址更换为真实地址；

基于真实地址和用户标识证书的访问，适用于获取用户身份的访问，将匿名地址更换为真实地址，并进行用户标识证书的传递，以完成登录和访问。

2.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法，其特征在于，所述的随机串的生成为：用户提交注册申请，并提供一个Email地址，将用户注册申请之后生成的随机字符串与其提交的Email地址进行连接后再完成HMAC运算，取结果的前64bit为随机串。

3.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法，其特征在于，所述的用户基本标识的形式表示为：基本用户标识@管理域的域名。

4.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法，其特征在于，所述的用户标识证书还包括如下内容：

用户的真实身份：所属机构、ID号、职务、身份；

固定接口标识：用于用户真实地址的分配；

用户的虚拟社区身份：用户在虚拟社区或者需要登陆站点的登陆信息；

费用：按时间计算用户接入网络的费用；

信誉度：用数字表示的用户在网络中的信用度。

5.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法，其特征在于，所述的安全实体模块上还设置有PIN码验证模块，安全实体模块连接之后，通过输入正确的PIN码以启动安全实体模块，提起认证请求。

6.如权利要求1所述的面向可信互联网的基于实体标识的身份认证方法，其特征在于，所述的真实地址为IPv6地址格式：前64位为路由前缀，后64位依次为：

3位的地址类型标志符，在地址分配时确定，000为真实地址，001为部分匿名地址，010为完全匿名地址；

5位的网络运营商标志符，标识用户所注册的运营商服务；

24位的组织标志符，标识用户所属的组织；

32位的顺序标志符，标识用户的唯一标识，在用户注册时确定。