[发明专利]一种面向可信互联网的基于实体标识的身份认证方法及系统

说明书

技术领域

本发明属于互联网安全技术领域，特别涉及一种面向可信互联网的基于实体标识的身份认证方法及系统。

背景技术

当前的互联网在自身体系结构方面存在着很多的缺陷，并且带来了很多安全问题。“身份”问题在计算机应用初期就是困扰信息系统安全的严重问题，冒用合法用户身份进入重要计算机系统大肆破坏的报道时有耳闻。缺少适合于现有计算环境的有效身份验证手段是造成目前互联网身份问题日益严峻的主要原因。现有的网络管理对象一般是用户所使用的机器，而非用户本身，而大多情况下用户和机器并不能一一对应，因而更应该关注于用户身份的真实性。

现有常见的身份认证方案如用户名/密码、智能卡认证、USB-KEY认证、动态口令卡和生物特征认证。其中安全性最高的是动态口令卡、USB-KEY和生物特征认证。然而，生物特征认证如指纹、虹膜等，准确性还有待提高；动态口令卡认证较为复杂，成本太高，且不具有通用性；USB-KEY认证成本较低，性价比较高，而且USB接口具有通用性，方便使用，并且可以提供基于挑战和数字证书两种认证方式，有较好的扩展性。现有的USB-KEY认证多用在网银等对安全性需求较高的领域，然而随着时代发展，基于USB-KEY的认证将会应用的各个领域，同时USB-KEY的实体形式也会有像智能手机、PDA等可以通过蓝牙设备认证，很好地解决了安全性与易用性之间的矛盾。

新一代可信任互联网是建立在真实IPv6源地址验证体系结构(SAVA：Source Address Validation Architecture)之上，它可以为每一个接入互联网的实体分配一个甚至多个全局唯一的地址，并且用户只有通过认证才可以接入网络。现有的用户标识一般都是64位或128位，用户难以记住如此长的标识，并且没有进行很好的保护，很容易被他人窃取或篡改。

发明内容

本发明解决的技术问题在于提供一种面向可信互联网的基于实体标识的身份认证方法及系统，通过为用户分配唯一对应的识别信息，并将其固定到安全的实体上，用户通过安全实体进行认证，这就相当于为用户分发了一个“网络身份证”。

本发明是通过以下技术方案来实现：

一种面向可信互联网的基于实体标识的身份认证方法，包括以下步骤：

1)注册：用户提交注册申请后，根据用户提交的身份信息和管理域信息，注册管理模块为用户生成一个由随机串和管理域名组成的全局唯一的用户基本标识，以及生成一个与用户基本标识相对应的包含用户真实身份信息和网络身份信息的用户标识证书，再将用户基本标识和用户标识证书初始化到安全实体模块；并将用户的注册信息提交到处理数据库；

2)认证：将安全实体模块与计算机连接，启动安全实体模块后，通过认证软件向认证模块提起认证请求，利用安全实体模块存储的用户基本标识信息完成身份认证；

确认用户身份之后，认证模块从处理数据库获得用户的注册信息，为用户分配真实地址和随机的匿名地址，并将用户标识证书下载到本地；

3)应用：用户开始网络服务访问，应用服务器收到用户的访问请求之后，根据应用服务器自身所设置的访问模式，更换不同的访问模式：

基于匿名地址的访问，适用于不需要权限控制和安全级别的应用服务；

基于真实地址的访问，适用于使用真实地址进行的访问，将匿名地址更换为真实地址；

基于真实地址和用户标识证书的访问，适用于获取用户身份的访问，将匿名地址更换为真实地址，并进行用户标识证书的传递，以完成登录和访问。

所述的随机串的生成为：用户提交注册申请，并提供一个Email地址，将用户注册申请之后生成的随机字符串与其提交的Email地址进行连接后再完成HMAC运算，取结果的前64bit为随机串。

所述的用户基本标识的形式表示为：基本用户标识@管理域的域名。

所述的用户标识证书包括如下内容：

用户的真实身份：所属机构、ID号、职务、身份；

固定接口标识：用于用户真实地址的分配；

用户的虚拟社区身份：用户在虚拟社区或者需要登陆站点的登陆信息；

费用：按时间计算用户接入网络的费用；

信誉度：用数字表示的用户在网络中的信用度。

所述的安全实体模块上还设置有PIN码验证模块，安全实体模块连接之后，通过输入正确的PIN码以启动安全实体模块，提起认证请求。

所述的真实地址为IPv6地址格式：前64位为路由前缀，后64位依次为：