[发明专利]一种基于eID的网络身份认证方法及平台

说明书

技术领域

本发明涉及信息安全技术领域，具体来说，涉及一种基于eID的网络身份认证方法及平台。

背景技术

网络“真名制”具有三大缺陷：1、网络用户的隐私得不到很好的保护。2、网络用户的账号安全缺乏保障。3、网络用户的真实性难以证明。目前国内的网络远程身份验证普遍使用“关联比对”方法，即将用户输入的“姓名+身份证号”等个人信息，传到后台对个人信息的正确性进行比对来认定其身份。

但"关联比对"方法在大规模应用的场景下主要存在几个问题：

1.个人信息比对正确并不能代表本人真实意愿，无法防范个人身份被冒用或盗用的风险；

2.容易造成个人信息泄露。采集个人信息的网络应用服务机构安全水平不一，个人信息大规模泄露的风险越来越高；

3. 网络用户的账号安全缺乏保障。

针对相关技术中的问题，目前尚未提出有效的解决方案。

eID是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识，能够在不泄露身份信息的前提下在线远程识别身份。“eID公民网络身份识别系统”会以用户个人身份信息和随机数计算出一个唯一代表用户身份的编码，即用户的网络身份标识编码（eIDcode）。该编码不含任何个人身份信息，且不可逆推出个人身份信息。用户使用eID通过网络向应用方自证身份时，应用方会通过连接“公安部公民网络身份识别系统”的运营和服务机构，请求验证核实用户网络身份的真实性和有效性。一旦用户网络身份通过验证，应用方会得到一个与该应用相对应的用户网络身份应用标识编码（appeIDcode）。因此，虽然用户拥有唯一的网络身份标识编码（eIDcode），但在不同的应用机构只能得到不同的网络身份应用标识编码（appeIDcode），从而避免用户在不同网络应用中的行为数据被汇聚、分析和追踪，可最大程度的保护个人身份和隐私信息。

发明内容

针对相关技术中的上述技术问题，本发明提出一种基于eID的网络身份认证方法及系统，能够有效解决用户网上身份信息安全的相关问题。

为实现上述技术目的，本发明的技术方案是这样实现的：

一方面，本发明提供了一种基于eID的网络身份认证平台，包括：线上应用系统，服务机构系统（IDSP，Identity Service Provider或AS），运营机构系统（IDSO，Identity Operator Provider或OP）以及eID认证系统；

所述线上应用系统，用于接收用户提交的eID身份认证请求或eID签名验签请求，通过AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求；

所述服务机构系统，包括IDSP软件系统和服务设备，用于对线上应用系统提交的请求主要参数进行组装并通过服务设备对所述参数进行签名，向IDSO发起请求，接收IDSO返回的认证结果；

所述运营机构系统，包括IDSO软件系统和运营设备，用于接收并解析验证来自IDSP的请求，将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密，向eID认证系统发起请求，接收eID认证系统的返回结果，验证签名解密敏感信息并保存相关信息，通过运营设备生成当前用户在当前appid对应应用上的appeidcode，向IDSP返回认证结果；

所述eID认证系统，用于接收IDSO的请求验证身份，验证用户签名有效，向IDSO返回验证结果。

进一步的，所述运营机构系统与所述服务机构系统之间通过加密交换机建立加密通道交互数据，所述运营服务机构系统与多个服务机构系统连接，所述服务机构系统为多个线上应用系统提供服务。

进一步的，AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id以及app id。

进一步的，IDSO组装参数后向eID认证系统发起请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id、IDSO id。

进一步的，eID认证系统向IDSO返回验证结果时，携带相应信息，所述信息包括但不限于当前用户的eidcode和证书。

进一步的，IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，携带eidcode、appid、regcode，IDSO向IDSP返回认证结果，携带appeidcode。