[发明专利]一种基于用户自主的标识认证实现方法

摘要

本发明公开了一种基于用户自主的标识认证实现方法。在该系统中，标识和密钥均由用户自行定义生成，支持实名和匿名认证及对密钥的自主控制和管理；通过采用种子密钥生成用户标识密钥对用户公钥做数字签名和验证，实现了用户标识与密钥的绑定及证明；通过种子公钥集的构建和管理，实现了不同信任域用户间的直接跨域交叉认证。该系统简洁灵活不仅适用于匿名认证也支持实名认证，可以用于构建多元化的基于标识的认证服务系统。

主权项

基于用户自主的标识认证系统实现方法，其特征在于，包括：步骤a.用户端定义用户标识uID；步骤b.用户端用密钥生成工具生成自用密钥对，包括私钥sk和公钥PK；步骤c.服务端定义种子密钥标识seedID并生成种子密钥，包括种子私钥seedsk和种子公钥seedPK；步骤d.用户端登录服务端，提交uID，服务端查重并接受uID后，用户端进一步提交PK；步骤e.服务端将用户端提交的uID通过seedsk生成该uID的标识私钥isk对用户端提交的PK做数字签名生成PKsig(包括PK及isk对PK的签名)，将uID、seedID和PKsig打包返回用户端，并自动将相关数据保存到数据库中，供查询和下载；步骤f.服务端将自己或其它服务端生成的seedPK汇集成种子公钥集，提供跨域交叉认证服务；步骤g.用户端将自行生成的sk以及从服务端返回的数据，包括uID、seedID、和PKsig写入用户密钥装置Key‑device；步骤h.签名方用自身的sk生成签名数据Datasig提交给验证方，Datasig中包含对内容的签名Contsig及签名方的uID、seedID以及PKsig；步骤i.验证方通过Datasig中提供的seedID从种子公钥集中选取与之对应的seedPK，并用uID计算出签名方的iPK，对PKsig进行验证，验证通过后提取签名方的PK对Contsig进行验证。