【技术实现步骤摘要】
分布式公共证书服务网络的统一身份管理系统
本专利技术涉及网络安全技术,特别涉及一种分布式公共证书(DIGITALPUBLICCERTIFICATE)服务网络的统一身份(UID)管理系统。
技术介绍
传统有线电话网中用户认证是基于物理连接,电话线连接用户座机到电信局是用户认证的依据。在无线网络世界,用户的认证是基于存储于用户识别卡(SIM)内部的数字密钥。在互联网世界,用户的认证是通过代理服务器,也就是说用户向服务器提供用户名、口令,当用户名和口令符合数据库中存储的信息一致时,代理服务器完成了对用户的认证。基于网站技术的PKI(PublicKeyInfrastructure,公钥基础设施)服务器为用户提供认证和证书服务也获得了很大成功。互联网本身并不具备身份认证能力,因为IP包的地址非常容易作假。通过代理服务器对一个文件的数字签名无法保证签名的法律有效性,因为理论上代理服务器的系统管理员也可以完成同样的签名。代理服务器认证方法是通过中心秘密结构来实现的。因为所有的用户名和口令都存储在代理服务器中,所以任何泄露都将是灾难性的。历史上这样的事件已发生了很多次,最大的一次曾经造成了数千亿美元的经济损失。当同一个用户进入不同的网站需要口令和用户名时,因为安全的原因,正确的做法是使用不同的口令。但是,随做数字经济的发展,一个用户需要经常访问的网站越来越多,需要使用的口令也越来越多,这对很多用户造成了巨大的困扰。数字证书是解决网络安全问题的一个绕不开的办法,不管是ActiveX插件还是htt...
【技术保护点】
1.一种分布式公共证书服务网络的统一身份管理系统,其特征在于,其包括骨干网、用户终端、公共证书服务中心;/n公共证书服务中心包括至少一个根公共证书服务中心及至少一个区域公共证书服务中心;/n根公共证书服务中心、区域公共证书服务中心接入到骨干网;/n用户终端上的骨干网应用程序通过骨干网注册接入点接入骨干网进行注册;注册完成后能通过骨干网接入点接入骨干网;/n区域公共证书服务中心具有区域公共证书服务器和区域管理员;/n骨干网是一个基于统一身份地址,即UID地址的数据通信网络;/n骨干网中的不同终端用户有唯一且不同的UID地址,骨干网中的设备有UID地址;/nUID地址格式为C_R_X,其中C代表国家,R代表区域,X代表设备或终端用户;/n公共证书服务中心、骨干网注册接入点、骨干网接入点具有设备UID地址;/n终端用户具有用户UID地址;/n每一个用户UID地址都与至少一个用户公共证书绑定,并在用户公共证书中标明该用户UID地址;/n终端用户向区域公共证书服务中心申请获得其用户UID地址及对应的用户公共证书;/n为终端用户签发用户公共证书的区域公共证书服务中心为该终端用户的所属区域公共证书服...
【技术特征摘要】
1.一种分布式公共证书服务网络的统一身份管理系统,其特征在于,其包括骨干网、用户终端、公共证书服务中心;
公共证书服务中心包括至少一个根公共证书服务中心及至少一个区域公共证书服务中心;
根公共证书服务中心、区域公共证书服务中心接入到骨干网;
用户终端上的骨干网应用程序通过骨干网注册接入点接入骨干网进行注册;注册完成后能通过骨干网接入点接入骨干网;
区域公共证书服务中心具有区域公共证书服务器和区域管理员;
骨干网是一个基于统一身份地址,即UID地址的数据通信网络;
骨干网中的不同终端用户有唯一且不同的UID地址,骨干网中的设备有UID地址;
UID地址格式为C_R_X,其中C代表国家,R代表区域,X代表设备或终端用户;
公共证书服务中心、骨干网注册接入点、骨干网接入点具有设备UID地址;
终端用户具有用户UID地址;
每一个用户UID地址都与至少一个用户公共证书绑定,并在用户公共证书中标明该用户UID地址;
终端用户向区域公共证书服务中心申请获得其用户UID地址及对应的用户公共证书;
为终端用户签发用户公共证书的区域公共证书服务中心为该终端用户的所属区域公共证书服务中心;
终端用户的用户UID地址同其所属区域公共证书服务中心的设备UID地址具有相同的C及R。
2.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
每一个网上设备及终端对应至少一个设备UID地址以及对应密钥。
3.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
骨干网应用程序和骨干网注册接入点建立临时注册连接,用以传送申请信息和接收答复;
终端用户通过用户终端上的骨干网应用程序注册用户UID地址的过程如下:
用户终端上安装的骨干网应用程序第一次被启动时,生成一对终端用户公钥私钥及一启动临时通信密钥,用户通过应用程序交互界面选定区域公共证书服务中心,并输入用户注册信息后,生成申请表包;用户注册信息包括用户地理地址、通讯方式和身份信息;所述申请表包包含启动临时通信密钥、用户注册信息,并且用所选区域公共证书服务中心的公共证书的公钥加密;
骨干网注册接入点将申请表包以所选区域公共证书服务中心的设备UID地址为目标地址发送骨干网,并附上终端用户通过骨干网应用程序同骨干网注册接入点建立临时注册连接的注册临时连接信息或连接进程标识;
所选区域公共证书服务中心接收到所述申请表包后,使用其私钥解密,发送一UID地址包到骨干网注册接入点UID地址,并通过临时注册连接送回骨干网应用程序;UID地址包通过启动临时通信密钥加密;UID地址包包括一组用户UID地址,该组用户UID地址中的C_R与所选区域公共证书服务中心的设备UID地址的C_R相同;该组用户UID地址根据用户申请表中地理地址选定;
用户终端接收到UID地址包后,其上的骨干网应用程序通过启动临时通信密钥解密UID地址包;
用户通过应用程序交互界面选定该组用户UID地址中的一个用户UID地址后,骨干网应用程序生成证书申请包,并通过骨干网注册接入点UID地址和临时注册连接以所选区域公共证书服务中心的设备UID地址为目标地址发送到骨干网;证书申请包用所选区域公共证书服务中心的公共证书的公钥加密;证书申请包包括选定的用户UID地址、终端用户公钥及证书用户信息,证书用户信息包括姓名、证书认证等级;
所选区域公共证书服务中心接收到该证书申请包后,使用其私钥解密,发往其区域公共证书服务器,由相应区域管理员根据证书申请包中的证书用户信息判断终端用户的真实身份,确定认证等级;
如果身份经过证实并且等级得到确认,所选区域公共证书服务中心通过户终端与骨干网注册接入点UID地址和临时注册连接将用户公共证书包送回用户终端上的骨干网应用程序;用户公共证书包包括用户公共证书、证书链;用户公共证书包通过启动临时通信密钥加密;用户公共证书包括唯一证书序列号、选定用户UID地址、终端用户公钥及姓名,并由所选本地公共证书服务中心签名私钥数字签名;
用户终端上的骨干网应用程序接收到用户公共证书包后,通过启动临时通信密钥解密用户公共证书包;然后使用根证书认证用户公共证书,使用链路证书C_R认证证书链;
只有用户公共证书、证书链均通过认证,骨干网应用程序才能将用户公共证书进行安装;
注册完成。
4.根据权利要求3所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
骨干网应用程序在用户终端安装用户公共证书后,骨干网应用程序发送启用新证书消息到所选区域公共证书服务中心;启用新证书消息包括指令权限;
所选区域公共证书服务中心收到启用新证书消息后,发往其区域公共证书服务器,由相应区域管理员将对指令权限进行认证,指令权限认证通过后,启动所选区域公共证书服务中心的区域公共证书服务器的用户公共证书启用流程;
所选区域公共证书服务中心的区域公共证书服务器的该终端用户的用户公共证书启用流程完成后,发送一个证书启用消息到骨干网;证书启用消息包括用户公共证书中的用户UID地址;
注册完成。
5.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
各区域公共证书服务中心的设备UID地址及公共证书预先安装在用户终端或同骨干网应用程序捆绑在一起。
6.根据权利要求3所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
根证书和骨干网应用程序捆绑在一起,用户安装骨干网应用程序时根证书共同安装。
7.根据权利要求3所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
根证书和链路证书从骨干网网站下载,或者从区块链下载。
8.根据权利要求3所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
终端用户收到的链路证书,由根证书认证其有效性后进行自动安装。
9.根据权利要求3所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
所选区域公共证书服务中心发送的UID地址包中对应有该区域公共证书服务中心的链路证书,并且当用户选定UID地址包中一组UID地址中的一个用户UID地址时,自动下载UID地址包中的链路证书。
10.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
所述用户终端是具有操作系统并能进行网络连接的硬件设备。
11.根据权利要求10所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
所述用户终端是智能手机、PC机、笔记本电脑或服务器。
12.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
所述用户终端通过下载、预装、媒介安装骨干网应用程序,或者直接从区域公共证书服务中心获得并安装骨干网应用程序。
13.根据权利要求12所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
当一个终端用户从区域公共证书服务中心下载骨干网应用程序时,下载的骨干网应用程序的数字签名要通过根证书和链路证书进行验证。
14.根据权利要求3所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
终端用户能通过用户终端上的骨干网应用程序选择终端用户私钥是否使用密码进行保护;
如果选择终端用户私钥受密码保护,每次启动用户终端上的骨干网应用程序时,用户必须提供正确密码,否则禁止使用骨干网应用程序,禁止登陆骨干网。
15.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
UID地址总长度为16位数字或字符,C为5位数字或字符,R为5位数字或字符,X为6位数字或字符。
16.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
用户UID地址、设备UID地址在编号上区分开来。
17.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
用UID地址C_R_X中的C或者R的第一位字母用以区分用户UID地址和设备UID地址。
18.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
一个用户公共证书包含有下列信息:UID地址、名称、简称、证书签署人、序列号、认证等级、过期时间。
19.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
每一个国家有一个或多个根公共证书服务中心;
不同的根公共证书服务中心有不同的根证书及相应根秘钥。
20.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
根公共证书服务中心具有根公共证书服务器及根管理员;
根公共证书服务中心保存根证书和对应根密钥;
一个根公共证书服务中心及其之下的各区域公共证书服务中心为以根公共证书服务中心为根的树形结构;
根公共证书服务中心向其之下的区域公共证书服务中心签发他们的公共证书,同时建立证书链路。
21.根据权利要求20所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
根密钥长度大于8192bits。
22.根据权利要求20所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
区域公共证书服务中心分为三层。
23.根据权利要求4所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
用户公共证书包通过启动临时通信密钥及通过验证码加密;
所选区域公共证书服务中心并通过用户联系信息中的通讯方式发送验证码;
用户终端接收到用户公共证书包后,其上的骨干网应用程序通过启动临时通信密钥,以及用户通过应用程序交互界面提交的验证码,解密用户公共证书包。
24.根据权利要求23所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
骨干网应用程序在用户终端安装用户公共证书后,骨干网应用程序发送启用新证书消息到所选区域公共证书服务中心;启用新证书消息包括指令权限及验证码。
25.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
所述区域公共证书服务中心还包括终端用户证书缓存器、链路证书缓存器、管理员服务器;
所述区域公共证书服务中心的区域公共证书服务器存储有所辖终端用户的用户公共证书,以及所辖终端用户的用户UID地址指针表;
所辖终端用户的用户UID地址指针表包括其他区域公共证书服务中心使用所辖终端用户的用户公共证书的使用记录;
只要其他区域公共证书服务中心引用所辖终端用户的用户公共证书,用户UID地址指针表就指向该其他区域公共证书服务中心;
用户证书缓存器用于保存其他区域公共证书服务中心签署的公共证书;
用户证书缓存器存有一个证书用户使用指针表;
证书用户使用指针表记录所辖终端用户使用其他区域用户服务中心所辖用户的用户公共证书的使用记录;
链路证书缓存器存有所辖用户使用过的其他本地用户服务中心所辖用户的链路证书,并存有一个链路用户使用指针表;
链路用户使用指针表存储所辖用户使用其他本地用户服务中心所辖用户的链路证书的使用记录。
26.根据权利要求25所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
用户证书缓存器中的证书用户使用指针表更新时,区域公共证书服务中心的将通知所有的使用该更新的用户公共证书的用户;
当一个用户公共证书作废时,区域公共证书服务中心也将通知所有使用该作废的用户公共证书的用户。
27.根据权利要求25所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
链路证书连接根证书和区域公共证书服务中心的公共证书;
当一个用户终端上的骨干网应用程序从区域公共证书服务中心自动下载链路证书后,通过根证书进行验证。
28.根据权利要求25所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
链路证书需要更新时,更新链路证书的签发者会通知相关终端用户。
29.根据权利要求25所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
终端用户的用户终端上的骨干网应用程序定期向其所属区域公共证书服务中心查询关联证书的更新情况。
30.根据权利要求29所述的分布式公共证书服务网络的统一身份管理系统,其特征在于,
如果所属区域公共证书服务中心中不存在证书更新标示,终端用户的...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。