[发明专利]一种基于eID的网络身份认证方法及平台

权利要求书

1.一种基于eID的网络身份认证平台，其特征在于，包括：线上应用系统，服务机构系统，运营机构系统以及eID认证系统；

所述线上应用系统，用于接收用户提交的eID身份认证请求或eID签名验签请求，通过AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求；

所述服务机构系统，包括IDSP软件系统和服务设备，用于对线上应用系统提交的请求主要参数进行组装并通过服务设备对所述参数进行签名，向IDSO发起请求，接收IDSO返回的认证结果；

所述运营机构系统，包括IDSO软件系统和运营设备，用于接收并解析验证来自IDSP的请求，将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密，向eID认证系统发起请求，接收eID认证系统的返回结果，验证签名解密敏感信息并保存相关信息，通过运营设备生成当前用户在当前appid对应应用上的appeidcode，向IDSP返回认证结果；

所述eID认证系统，用于接收IDSO的请求验证身份，验证用户签名有效，向IDSO返回验证结果。

2.根据权利要求1所述的基于eID的网络身份认证平台，其特征在于，所述运营机构系统与所述服务机构系统之间通过加密交换机建立加密通道交互数据，所述运营服务机构系统与多个服务机构系统连接，所述服务机构系统为多个线上应用系统提供服务。

3.根据权利要求1所述的基于eID的网络身份认证平台，其特征在于，AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id以及app id。

4.根据权利要求1所述的基于eID的网络身份认证平台，其特征在于，IDSO组装参数后向eID认证系统发起请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id、IDSO id。

5.根据权利要求1所述的基于eID的网络身份认证平台，其特征在于，eID认证系统向IDSO返回验证结果时，携带相应信息，所述信息包括但不限于当前用户的eidcode和证书；IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，携带eidcode、appid、regcode，IDSO向IDSP返回认证结果，携带appeidcode。

6.一种基于eID的网络身份认证方法，其特征在于，包括：

S1 用户通过移动端提交eID身份认证请求或eID签名验签请求，AP发起PKI身份识别服务请求或签名验签服务请求；

S2 IDSP接收并验证AP的请求，同时IDSP将AP的请求主要参数进行组装并通过服务设备进行签名；

S3 IDSP组装参数后向IDSO发起请求；

S4 IDSO接收并解析验证IDSP的请求，判断为真实认证后，IDSO将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密；

S5 IDSO组装参数后向eID认证系统发起请求；

S6 eID认证系统接收IDSO的请求验证用户身份，并验证用户签名有效，eID认证系统向IDSO返回验证结果；

S7 IDSO收到eID认证系统的返回结果，验证签名解密敏感信息并保存相关信息，IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，IDSO向IDSP返回认证结果；

S8 IDSP接收到消息后解析IDSO返回的结果码，IDSP验证IDSO签名并将结果返回给AP；

S9 AP接收IDSP返回消息并验证结果，取得appeidcode并通过验证后，当前用户即验证成功；

S10 用户通过移动客户端获取eID验证结果。

7.根据权利要求6所述的基于eID的网络身份认证方法，其特征在于，S1中AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id以及app id。

8.根据权利要求6所述的基于eID的网络身份认证方法，其特征在于，S5中IDSO组装参数后向eID认证系统发起请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id、IDSO id。