一种基于eID的真实身份安全控制方法及其系统技术方案

本发明专利技术公开了一种基于eID的真实身份安全控制方法及其系统。本系统包括目标应用系统AS的虚拟身份管理系统VIMS和真实身份管理系统EMS；其中，VIMS用于对用户进行认证；认证通过，则生成绑定请求发送至EMS；当该用户访问该AS时，生成登录请求发送给该EMS；EMS用于根据绑定请求对用户进行认证；验证通过则返回该用户的eID身份Ie，然后将该Ie和绑定请求中包含的账号Iv、V进行绑定，然后将绑定结果发送至该VIMS；以及根据登录请求对用户进行认证；验证通过，则根据返回虚拟账号集合{I}、该EMS的标识E生成认证结果信息返回给该VIMS；该VIMS获取其中包含的虚拟账号Iv对该用户的访问进行处理。

【技术实现步骤摘要】
一种基于eID的真实身份安全控制方法及其系统
本专利技术涉及一种基于eID的真实身份安全控制方法及其系统，属于计算机

技术介绍
随着网络技术的发展，网络生活在人们的生活中正占据越来越重要的地位，涉及到日常生活的方方面面。然而，网络应用在给人们生活带来便利的同时，以网络诈骗、钓鱼攻击等为代表的安全威胁也随之日益增多，造成的损失逐年递增。用户身份的认证是解决上述问题的重要过程，通过对用户网络身份进行认证，可以确保实体身份的有效性，然而，网络身份的虚拟性仍然无法实现出现安全问题时对责任方的有效追查，因此，依赖用户真实身份建立实名制的网络身份，得到了越来越多的关注。目前，我国已建立了电子身份标识(electronicIdentity,eID)系统，该系统依托公安部覆盖13亿人口的全国公民身份信息库，为保证网络用户身份的真实性提供了信任基础。然而，实名制网络身份的建立，在提升网络可信和可追踪性的同时，也为安全功能的实施提出了更高的挑战。由于真实身份的敏感性，使得其传播将会对用户现实生活产生直接影响，如果不能对其进行有效控制，可能会造成用户和系统的重大安全问题。另一方面，网络应用种类日益增加，进一步扩展了用户身份信息传播的范围，同时对应用监管的缺失也增加了恶意泄露、贩卖用户隐私的威胁程度，使得用户隐私问题的解决变得更加困难。如何在依托真实身份建立网络空间信任的同时，避用户隐私泄露造成安全威胁，是目前真实身份管理系统必须解决的问题。在我国的eID系统中，通过由eID统一认证并出具身份断言的方式来实现对用户真实身份信息的保护。当用户需要访问电子商务、电子票务、网络游戏等网络应用并需要进行身份认证时，用户使用其持有的eID载体(USBKEY、智能卡等)在eID系统处进行认证，eID系统认证用户eID身份后，为应用提供包含用户eID身份的身份证明，这一身份证明保证了用户身份的真实性，同时，由于用户姓名、年龄、住址等信息储存于eID系统内部，因此网络应用智只能确认用户身份的真实性，而无法了解用户身份信息，从而在一定程度上保护了用户隐私。虽然eID系统的这一设计可以在一定程度上解决用户隐私保护问题，但是其在应用时，仍存在一些不足：首先，由于eID身份的唯一性，使得应用仍然可以通过这一信息对同一用户的操作进行跨应用关联，建立用户行为档案。此外，用户在不同的组织内拥有不同的身份和组织关系，如工作中基于单位和部门的关系、银行交易中基于账号的关系、社交网络中基于联系人的关系等。因此，对于这些不同类别的应用，依赖其相关组织建立虚拟账号管理系统，采取不同结构管理用户虚拟账号，是自然且便利的，而采用单一的eID身份对其进行替代，不符合当前网络应用的现状，也不利于进行灵活的身份管理。在相关问题的解决方案中，专利《一种两层架构的可信身份服务平台及其构建方法》(ZL201010588222.1)提出了一种两层架构的可信身份服务平台，依靠分离的上级网络身份证系统与下级业务账号管理系统来实现隐私保护问题和真实身份绑定问题。但是该专利技术专利中所依赖的上级网络身份证系统必须维护用户的受信数字身份信息、业务账号系统信息与用户绑定信息，然而，在我国已应用的电子身份标识(eID)系统中，用户受信数字身份信息的维护方未提供相关绑定功能，而且在当前环境下，让eID系统的管理方来额外提供这些功能也是不现实的，因此，该专利技术所提出的技术无法直接应用于eID系统中，来以解决eID系统面临的用户隐私保护问题。
技术实现思路
本专利技术的目的之一在于克服现有技术中存在的问题，提供一种基于eID的真实身份安全控制方法及其系统。具体来说，如图1所示，本专利技术技术方案包括下列几个重要方面：一、eID身份与虚拟账号绑定方法当用户需要在某个支持本方法的应用系统中引入其eID身份进行认证登录时，需先执行的eID身份与虚拟账号绑定方法如下所述：1.用户访问目标应用系统，申请进行身份绑定；2.用户使用预先注册的虚拟账号向应用系统进行认证，应用系统通过用户名/口令、PKI证书等方式对用户进行认证。验证用户具有系统中的合法身份，若用户通过认证，则应用系统生成身份绑定请求并交由真实身份管理系统进行处理；3.用户使用其预先获取的eID载体向真实身份管理系统进行认证，真实身份管理系统验证用户持有合法的eID身份，若用户通过认证，则真实身份管理系统接受身份绑定请求，建立并缓存映射信息，之后生成绑定结果信息并发送给应用系统。二、eID身份登录方法当执行完eID身份与虚拟账号的绑定过程后，当用户需要访问应用系统中需要进行身份认证的服务和资源时，执行的eID身份登录方法如下所述：1.用户访问目标应用系统，申请进行基于eID的认证。应用系统将该请求交由真实身份管理系统进行处理；2.用户使用其预先获取的eID载体与真实身份管理系统进行交互认证，该认证可以通过eID系统进行，认证结束后，真实身份管理系统可验证用户是否持有合法的eID身份。若用户通过认证，则真实身份管理系统确认用户是否已经就目标系统的虚拟账号执行过身份绑定操作，若是，则生成认证信息并向应用系统发送该信息。3.应用系统验证认证信息的有效性，如果有效，则应用系统从中获取用户在本系统中对应的虚拟账号，为用户提供相应服务与资源。在本方案中，用户认证信息需要在真实身份管理系统与应用系统之间通过可信方式传递。传递方式可以选择多种不同的形式来实现，例如，在B/S应用模式下可以选择在HTTPS保护下采用安全断言置标语言(SAML)标准作为认证信息的发布形式，组织之间以及组织内部的信任通过PKI体系来保证。在C/S应用模式下，如果采用对称密钥体系来建立信任关系可直接对认证信息加密进行传输，如果采用PKI体系可以选择加密信道下对认证信息进行签名的方式传送。和现有技术相比，本专利技术的真实身份管理方法具有如下优势：1、引入真实身份管理系统，基于eID身份保证用户身份真实性，在发生安全问题时可以建立完整的身份映射链进行责任认定，提升了网络行为的安全性。2、与现有eID系统身份认证过程相比，本专利技术通过建立真实身份管理系统建立eID身份与虚拟账号的映射，在应用系统中仍使用原有用户虚拟账号，避免了通过eID身份进行跨应用身份关联，进一步提高了隐私性，同时保留原有虚拟账号体系，也更符合用户操作习惯和网络现状。3、与现有技术相比，本方案中的真实身份管理系统独立于eID系统运行，基于eID系统已建立的用户认证功能实现认证，不需对现有eID系统进行改造或要求eID系统提供额外服务，可直接应用，具有现实实用性；此外，本方案中的真实身份管理系统可在提供eID-虚拟账号绑定的同时，接入其它类似于eID的受信身份，实现虚拟账号与多种真实身份的绑定；最后，本方案还提供了在进行绑定后，使用eID载体进行认证访问应用的功能，进一步增强了系统使用时的灵活性。4、本方案中的应用系统仍然保留原有的身份管理与账号体系，无需进行整体迁移，原有基于虚拟账号的认证机制也可保留，具有更高的灵活性和更低的部署代价。三、基于eID的真实身份管理系统本专利技术针对B/S应用模式，根据以上身份管理方法的核心思想给出了一套真实身份管理系统。它由真实身份管理系统(EMS,EIDManagementSystem)本文档来自技高网...

【技术保护点】
一种基于eID的真实身份安全控制方法，其步骤为：1)用户向目标应用系统AS的虚拟身份管理系统VIMS发起身份绑定请求；其中，该绑定请求中包含该VIMS的标识V和该用户在VIMS中注册的虚拟账号Iv；2)该虚拟身份管理系统VIMS对该用户进行认证；如果认证通过，则为该用户生成绑定请求，并将其发送至真实身份管理系统EMS；3)该EMS根据该绑定请求对该用户进行基于eID的认证；如果验证通过，则返回该用户的eID身份Ie，然后将该Ie和该绑定请求中包含的Iv、V进行绑定，然后将绑定结果发送至该VIMS；4)该用户访问该目标应用系统AS时，该目标应用系统AS的虚拟身份管理系统VIMS生成登录请求发送给该真实身份管理系统EMS；其中，该登录请求包括该VIMS的标识V；5)该EMS根据该登录请求对该用户进行基于eID的认证；如果验证通过，则根据该用户的eID身份Ie和该标识V，获取该用户在该EMS中已绑定的虚拟账号集合{I}；6)该EMS根据返回集合{I}、该EMS的标识E生成认证结果信息返回给该VIMS；该VIMS验证该认证结果的有效性，如果验证通过，则获取其中包含的虚拟账号Iv，然后按照该虚拟账号Iv对该用户的访问进行处理。...

【技术特征摘要】
1.一种基于eID的真实身份安全控制方法，其步骤为：1)用户向目标应用系统AS的虚拟身份管理系统VIMS发起身份绑定请求；其中，该绑定请求中包含该VIMS的标识V和该用户在VIMS中注册的虚拟账号Iv；2)该虚拟身份管理系统VIMS对该用户进行认证；如果认证通过，则为该用户生成绑定请求，并将其发送至真实身份管理系统EMS；3)该EMS根据该绑定请求对该用户进行基于eID的认证；如果验证通过，则返回该用户的eID身份Ie，然后将该Ie和该绑定请求中包含的Iv、V进行绑定，然后将绑定结果发送至该VIMS；4)该用户访问该目标应用系统AS时，该目标应用系统AS的虚拟身份管理系统VIMS生成登录请求发送给该真实身份管理系统EMS；其中，该登录请求包括该VIMS的标识V；5)该EMS根据该登录请求对该用户进行基于eID的认证；如果验证通过，则根据该用户的eID身份Ie和该标识V，获取该用户在该EMS中已绑定的虚拟账号集合{I}；6)该EMS根据返回集合{I}、该EMS的标识E生成认证结果信息返回给该VIMS；该VIMS验证该认证结果的有效性，如果验证通过，则获取其中包含的虚拟账号Iv，然后按照该虚拟账号Iv对该用户的访问进行处理。2.如权利要求1所述的方法，其特征在于，该虚拟身份管理系统VIMS对该用户进行认证的方法为：该虚拟身份管理系统VIMS首先提请该用户进行虚拟账号登录；该用户访问VIMS中的登录页面，使用其已注册的虚拟账号Iv以及预先协商好的用户名、口令或PKI证书进行认证。3.如权利要求1所述的方法，其特征在于，所述基于eID的认证的方法为：该EMS将该用户转至登录页面进行基于eID的认证，该EMS根据该用户提供的包含其eID身份的载体验证该用户eID身份的有效性，对该用户进行认证。4.如权利要求1所述的方法，其特征在于，生成所述绑定结果的方法为：该EMS在映射信息表T中建立以Ie、V作为索引，Iv作为键值的记录，生成该绑定结果。5.如权利要求1所述的方法，其特征在于，所述认证结果为带有防篡改机制的认证结果。6.如权利要求1～5任一所述的方法，其特征在于，所述步骤6...

【专利技术属性】
技术研发人员：冯登国，张严，张立武，高志刚，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：北京,11