一种身份认证方法及系统技术方案

本发明专利技术提供的一种身份认证方法及其系统，属于身份认证领域，解决了现有的身份认证技术无法保护个人隐私，且包含个人隐私的认证技术又必须提供可跟踪能力的技术问题。该身份认证方法主要包括第一认证者向第二认证者发送第一身份认证消息，第二认证者向认证服务器发送第二身份认证消息，认证服务器根据第二身份认证消息验证第二认证者所处安全域的合法性，认证服务器向第二认证者返回第三身份认证消息，第二认证者收到第三身份认证消息后，向第一认证者发送第四身份认证消息，第一认证者对第四身份认证消息进行验证。该认证系统主要包括第一认证者、第二认证者、第二认证者所处的安全域一级认证服务器。

【技术实现步骤摘要】
一种身份认证方法及系统
本专利技术涉及身份认证领域，尤其是一种身份认证方法及系统。
技术介绍
当今社会，人们越来越重视对自身隐私的保护，在很多要验证居民身份的场合，人们并不希望在自己身份合法性被验证的同时又将自己的身份信息公开给对方，从而充分保护自己的隐私。例如，在对一些敏感事件进行表决时，表决人既希望以合法的身份完成表决，又不希望暴露自己的身份；在一些消费场合，消费者在进行支付时并不希望商户知道自己的个人信息；网络用户在以可管控的身份登录网络后，在很多时候并不希望自己的身份信息暴露给公众。目前，这类隐私保护的需求越来越明显。提供身份认证服务的技术有多种，目前通常采用的是基于公钥密码技术的身份认证方法，这种方法通过数字签名完成对被认证者身份合法性的验证，同时被认证者的身份信息也将公开给认证者，很明显这类技术在为上述应用场合提供认证服务时有明显的局限性，因为它无法保护用户的隐私。另一方面，提供隐私保护的身份认证技术，又必须提供可追踪能力，便于管理者在必要时的管控。
技术实现思路
本专利技术为解决
技术介绍
中存在的目前的身份认证技术无法保护个人隐私，且包含个人隐私的认证技术又必须提供可跟踪能力的问题，提出一种身份认证方法及系统。本专利技术的技术解决方案是：一种身份认证方法，包括以下步骤：1)第一认证者向第二认证者发送第一身份认证消息；2)第二认证者向认证服务器发送第二身份认证消息，第二身份认证消息中包括第二认证者所处安全域的标识；3)认证服务器收到第二身份认证消息后，根据第二身份认证消息验证第二认证者所处安全域的合法性，产生对第二认证者所处安全域的验证结果；4)认证服务器向第二认证者返回第三身份认证消息，第三身份认证消息中包括第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息；5)第二认证者收到第三身份认证消息后，向第一认证者发送第四身份认证消息，第四身份认证消息中包括第二认证者所处安全域的标识、第二认证者所处安全域的验证结果、认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息以及第二认证者对包含第一认证者的标识符在内信息的身份认证信息；6)第一认证者收到第四身份认证消息后，对第四身份认证消息进行验证并根据验证情况确定第二认证者身份的合法性。本专利技术还提供一种身份认证系统，其特殊之处在于，所述系统包括：第一认证者、第二认证者、第二认证者所处的安全域、认证服务器；在第一认证者与第二认证者之间的身份认证过程中，第一认证者仅与第二认证者进行信息交互，认证服务器仅与第二认证者交互信息。本专利技术的有益效果在于：在认证过程中使得第二认证者在匿名的情况下完成认证活动，在第二认证者被认证的同时也保护了第二认证者的隐私。附图说明图1为本专利技术的示意图。具体实施方式本专利技术的系统包括第一认证者、第二认证者、第二认证者所处的安全域、认证服务器。所述第一认证者和第二认证者可互为认证者与被认证者；所述第一认证者具有自己的公开认证信息和私有认证信息，私有认证信息用来产生供其他认证者认证第一认证者的身份认证信息，公开认证信息对外公开用于其他认证者验证第一认证者的身份认证信息，第一认证者具有标识，该标识可以是第一认证者的标识符，也可以是第一认证者的身份证明信息；所述安全域是一种带有边界性质且边界内实体共享某一公开认证信息的逻辑划分，安全域内的实体各自具有自己的私有认证信息，用来生成供其他认证者认证该实体的身份认证信息，安全域的公开认证信息对外公开便于其他认证者验证该实体的身份认证信息，安全域具有标识，该标识可以是安全域的标识符，也可以是安全域的身份证明信息；所述认证服务器用来为认证者提供来自可信第三方的认证服务，帮助认证者完成对被认证者的身份认证，认证服务器具有私有认证信息以及相应的公开认证信息，公开认证信息用于公开给其他实体，用于验证认证服务器利用私有认证信息产生的身份认证信息。在本专利技术系统实现第一认证者与第二认证者之间的身份认证过程中，第一认证者仅与第二认证者进行信息交互(信息交互具体内容参照本专利技术提供的身份认证方法)，认证服务器仅与第二认证者交互信息(信息交互具体内容参照本专利技术提供的身份认证方法)。本专利技术身份认证方法，包括以下步骤：步骤一、第一认证者向第二认证者发送第一身份认证消息；步骤二、第二认证者向认证服务器发送第二身份认证消息，消息中包括第二认证者所处安全域的标识；步骤三、认证服务器收到第二身份认证消息后，根据第二认证者所处安全域的标识认证第二认证者所处安全域的合法性；步骤四、认证服务器向第二认证者返回第三身份认证消息，消息中包括对第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息；步骤五、第二认证者收到第三身份认证消息后，向第一认证者发送第四身份认证消息，消息中包括第二认证者所处安全域的标识、认证服务器对第二认证者所处安全域的验证结果、认证服务器对包括第二认证者所处安全域的验证结果在内信息的身份认证信息以及第二认证者对包含第一认证者的标识符在内信息的身份认证信息；步骤六、第一认证者收到第四身份认证消息后，对该消息进行验证，并根据验证情况确定第二认证者身份的合法性。在一种实施方式中，第一身份认证消息中可进一步包含第一时变参数，第一时变参数由第一认证者产生，第一时变参数可以是时间标记、顺序号或随机数；在第二身份认证消息中，可进一步包含第一时变参数；在第三身份认证消息的认证服务器的身份认证信息中，可进一步包含第一时变参数；在第四身份认证消息的第二认证者的身份认证信息中，可进一步包含第一时变参数。具体地，上述步骤三中，认证服务器检查第二认证者所处安全域的合法性可采用如下方法：如果第二身份认证消息中第二认证者所处安全域的标识为第二认证者所处安全域的标识符，则认证服务器查找第二认证者所处安全域的有效公开认证信息；或者，如果第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息，则认证服务器检查第二认证者所处安全域的身份证明信息的有效性。上述步骤五中，第一认证者对第四身份认证消息进行验证并根据验证情况确定第二认证者的合法性，其具体实现方式可以包括如下步骤：1)第一认证者验证认证服务器的身份认证信息是否有效，并在认证服务器的身份认证信息中包含第一时变参数时验证第一身份认证消息中第一认证者产生的第一时变参数与包含在认证服务器的身份认证信息中的第一时变参数是否相符，若均为是，则执行步骤2)；否则，确定第二认证者非法；2)第一认证者若根据认证服务器对第二认证者所处安全域的验证结果判断第二认证者所处安全域合法有效，则执行步骤3)，否则，确定第二认证者非法；3)第一认证者获取第二认证者所处安全域的公开认证信息，根据该公开认证信息验证第二认证者的身份认证信息是否有效、并检查第一认证者的标识符与包含在第二认证者的身份认证信息中的第一认证者的标识符是否一致、并在第二认证者的身份认证信息中包含第一时变参数时检查第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者的身份认证信息中的第一时变参数是否一致，若全部为是，则确定第二认证者合法，否则，确定第二认证者非法。进一步地，在第一身份认证消息中还包括第一认证者的标识；第二身份认证消息本文档来自技高网...

【技术保护点】
一种身份认证方法，其特征在于，所述方法包括以下步骤：1)第一认证者向第二认证者发送第一身份认证消息；2)第二认证者向认证服务器发送第二身份认证消息，第二身份认证消息中包括第二认证者所处安全域的标识；3)认证服务器收到第二身份认证消息后，根据第二身份认证消息验证第二认证者所处安全域的合法性，产生对第二认证者所处安全域的验证结果；4)认证服务器向第二认证者返回第三身份认证消息，第三身份认证消息中包括第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息；5)第二认证者收到第三身份认证消息后，向第一认证者发送第四身份认证消息，第四身份认证消息中包括第二认证者所处安全域的标识、第二认证者所处安全域的验证结果、认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息以及第二认证者对包含第一认证者的标识符在内信息的身份认证信息；6)第一认证者收到第四身份认证消息后，对第四身份认证消息进行验证并根据验证情况确定第二认证者身份的合法性。

【技术特征摘要】
1.一种身份认证方法，其特征在于，所述方法包括以下步骤：1)第一认证者向第二认证者发送第一身份认证消息，所述第一身份认证消息中还包括第一认证者的标识；2)第二认证者向认证服务器发送第二身份认证消息，第二身份认证消息中包括第二认证者所处安全域的标识，所述第二身份认证消息中还包括第一认证者的标识；3)认证服务器收到第二身份认证消息后，根据第二身份认证消息验证第二认证者所处安全域的合法性，产生对第二认证者所处安全域的验证结果；所述认证服务器还根据第二身份认证消息验证第一认证者的合法性而产生对第一认证者的验证结果；4)认证服务器向第二认证者返回第三身份认证消息，第三身份认证消息中包括第二认证者所处安全域的验证结果以及认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息；所述第三身份认证消息中还包括第一认证者的验证结果以及认证服务器对包含第一认证者的验证结果在内信息的身份认证信息；或者，第三身份认证消息中还包括第一认证者的验证结果，且第三身份认证消息中的认证服务器的身份认证信息中进一步包含第一认证者的验证结果；5)第二认证者收到第三身份认证消息后，向第一认证者发送第四身份认证消息，第四身份认证消息中包括第二认证者所处安全域的标识、第二认证者所处安全域的验证结果、认证服务器对包含第二认证者所处安全域的验证结果在内信息的身份认证信息以及第二认证者对包含第一认证者的标识符在内信息的身份认证信息；6)第一认证者收到第四身份认证消息后，对第四身份认证消息进行验证并根据验证情况确定第二认证者身份的合法性；7)第一认证者向第二认证者发送第五身份认证消息，第五身份认证消息中包括第一认证者对包含第二认证者标识符在内信息的身份认证信息；8)第二认证者收到第五身份认证消息后，验证第一认证者身份的合法性。2.如权利要求1所述的身份认证方法，其特征在于：所述步骤3)中，认证服务器根据第二身份认证消息验证第二认证者所处安全域的合法性的具体步骤包括：若第二身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的标识符，则认证服务器查找第二认证者所处安全域的公开认证信息，若查找到，则确定第二认证者所处安全域合法，否则，确定第二认证者所处安全域非法；或者若第二身份认证消息中的第二认证者所处安全域的标识为第二认证者所处安全域的身份证明信息，则认证服务器检查其身份证明信息的有效性，若有效，则确定第二认证者所处安全域合法，否则，确定第二认证者所处安全域非法。3.如权利要求1所述的身份认证方法，其特征在于：所述步骤6)中，第一认证者对第四身份认证消息进行验证并根据验证情况确定第二认证者的合法性，其具体实现方式包括如下步骤：6.1)第一认证者验证认证服务器的身份认证信息是否有效，若是，则执行步骤6.2)，否则，确定第二认证者非法；6.2)第一认证者若根据第二认证者所处安全域的验证结果判断第二认证者所处安全域合法有效，则执行步骤6.3)，否则，确定第二认证者非法；6.3)第一认证者获取第二认证者所处安全域的公开认证信息，根据该公开认证信息验证第二认证者的身份认证信息是否有效、并检查第一认证者的标识符与包含在第二认证者的身份认证信息中的第一认证者的标识符是否一致，若全部为是，则确定第二认证者合法，否则，确定第二认证者非法。4.如权利要求1所述的身份认证方法，其特征在于：所述步骤1)中的第一身份认证消息中进一步包括第一时变参数，第一时变参数由第一认证者产生；所述步骤2)中的第二身份认证消息中进一步包括第一时变参数；所述步骤4)中的第三身份认证消息的认证服务器的身份认证信息中，进一步包含第一时变参数；所述步骤5)中的第四身份认证消息的第二认证者的身份认证信息中，进一步包含第一时变参数；所述步骤6)中，第一认证者对第四身份认证消息进行验证并根据验证情况确定第二认证者的合法性，其具体实现方式包括如下步骤：6.1)第一认证者验证认证服务器的身份认证信息是否有效，并验证第一身份认证消息中第一认证者产生的第一时变参数与包含在认证服务器的身份认证信息中的第一时变参数是否相符，若均为是，则执行步骤6.2)，否则，确定第二认证者非法；6.2)第一认证者若根据第二认证者所处安全域的验证结果判断第二认证者所处安全域合法有效，则执行步骤6.3)，否则，确定第二认证者非法；6.3)第一认证者获取第二认证者所处安全域的公开认证信息，根据该公开认证信息验证第二认证者的身份认证信息是否有效、并检查第一认证者的标识符与包含在第二认证者的身份认证信息中的第一认证者的标识符是否一致、并检查第一身份认证消息中第一认证者产生的第一时变参数与包含在第二认证者的身份认证信息中的第一时变参数是否一致，若全部为是，则确定第二认证者合法，否则，确定第二认证者非法。5.如权利要求1所述的身份认证方法，其特征在于：所述步骤3)中，认证服务器还根据第二身份认证消息验证第一认证者的合法性，具体步骤包括：若第二身份认证消息中的第一认证者的标识为第一认证者的标识符，则认证服务器查找第一认证者的公开认证信息，若查找到，则确定第一认证者合法，否则，确定第一认证者非法；或者若第二身份认证消息中的第一认证者的标识为第一认证者的身份证明信息，则认证服务器检查其身份证明信息的有效性，若有效，则确定第一认证者合法，否则，确定第一认证者非法。6.如权利要求1所述的身份认证方法，其特征在于：所述步骤8)中，第二认证者验证第一认证者的合法性的具体步骤包括：8.1)第二认证者验证认证服务器对包含第一认证者的验证结果在内信息的身份认证信息是否有效，若是，则执行8.2)，否则，确定第一认证者非法；8.2)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效，则执行8.3)，否则，确定第一认证者非法；8.3)第二认证者获取第一认证者的公开认证信息，根据该公开认证信息验证第一认证者的身份认证信息是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致，若均为是，则确定第一认证者合法，否则，确定第一认证者非法。7.如权利要求1所述的身份认证方法，其特征在于：在所述步骤5)中，在第二认证者向第一认证者发送第四身份认证消息之前，第二认证者验证认证服务器对包含第一认证者的验证结果在内信息的身份认证信息是否有效；并在验证认证服务器对包含第一认证者的验证结果在内信息的身份认证信息有效时，向第一认证者发送第四身份认证消息；所述步骤8)中，第二认证者验证第一认证者的合法性的具体步骤包括：8.1)第二认证者若根据认证服务器对第一认证者的验证结果判断第一认证者合法有效，则执行步骤8.2)，否则，确定第一认证者非法；8.2)第二认证者获取第一认证者的公开认证信息，根据该公开认证信息验证第一认证者的身份认证信息是否有效、并检查第二认证者所处安全域的标识符与包含在第一认证者的身份认证信息中的第二认证者所处安全域的标识符是否一致，若均为是，则确定第一认证者合法，否则，确定第一认证者非法。8.如权利要求1所述的身份认证方法，其特征在于：在所述步骤2)中，第二身份认证消息中可进一步包含第二时变参数，第二时变参数由第二认证者产生；在所述步骤3)中，第三身份认证消息的认证服务器对包含第一认证者的验证结果在内信息的身份认证信息中，进一步包含第二时变参数；所述步骤8)中，第二认证者验证第一认证者的合法性的具体步骤包括：8.1)第二认证者验证认证服务器对包含第一认证者的验证结果的身份认证信息是否有效，并检查第二认证消息中第二认证者产生的第二时变参数与包含在认证服务器对包含第二时变参数在内信息的身份认证信息中的第二时变参数是否...

【专利技术属性】
技术研发人员：杜志强，曹军，铁满霞，李毅，
申请(专利权)人：西安西电捷通无线网络通信股份有限公司，
类型：发明
国别省市：