CN104683306A - 一种安全可控的互联网实名认证机制 - Google Patents
一种安全可控的互联网实名认证机制 Download PDFInfo
- Publication number
- CN104683306A CN104683306A CN201310633694.8A CN201310633694A CN104683306A CN 104683306 A CN104683306 A CN 104683306A CN 201310633694 A CN201310633694 A CN 201310633694A CN 104683306 A CN104683306 A CN 104683306A
- Authority
- CN
- China
- Prior art keywords
- regs
- information
- web server
- user
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明属于网络安全技术领域,涉及网络身份认证、身份映射、网络身份管理与信息保护技术。本发明的目的在于设计出一套可以应用于互联网的、在确保用户真实身份安全前提下的具有高安全性的且可控的实名认证机制。该机制中网站服务器和判断用户身份真伪的实名注册服务器通过网络相连,实现注册服务器记录用户实名信息,网站服务器不保存真实的原始个人身份信息,且在实名注册及身份追溯过程中均采用加密信息处理。本发明的优点是可以有效杜绝个人身份信息被滥用,实现互联网用户的匿名网络行为可控可查,为互联网监管提供有价值的参考。
Description
技术领域
本发明属于网络安全技术领域,涉及网络身份认证、身份映射、网络身份管理与信息保护技术。
背景技术
传统的互联网数字身份标识管理体系中,每个网络应用或网站都有自己独立的用户身份标识管理体系,同一个用户访问多个系统和网站的时候需要注册和管理多套登录信息,使得认证体系变得越来越复杂而低效。由于网络应用的开放性和多样性,实行网络实名制,必须解决个人信息安全问题。为了确保用户的个人真实信息不被泄露、盗取,应当建立互联网身份监管机构统一执行互联网实名制信息管理。
本发明方法设计出一种具有前台匿名性和后台可追踪性的安全可控互联网实名认证机制,使之能克服现有技术的不足,在适应网络身份认证的要求上,解决完全分布式的网络环境中的身份信息保密的问题。
发明内容
本发明设计一种安全可控的互联网实名认证机制,对分布式模式下的互联网用户行为进行监控。用户需要登录互联网时,首先在该机构加密的客户端填写身份证号码和上网密码,信息被提交给该机构的注册服务器(Registration Server,RegS),认证通过后注册服务器对用户的实名信息进行数据库备案。用户登录微博、网游、论坛等账户,网站服务器(Web Server)仅需与互联网注册服务器的数据库建立关联,通过传输层安全协议(TLS)反馈通过认证的确认信息,并不传输用户的实名信息。这个流程避免同一个用户登录多个网站的重复注册,无需管理多套登录信息,同时保证用户的个人信息不被网站和网络服务商获取,实现“前台匿名、后台实名”。
互联网实名认证机制的安全性需要进一步保证。由于认证机制对各网站访问采取开放策略,因此对注册服务器自身系统的抗攻击能力以及可信赖性需要进行严格的限定,实现各网站与认证机制服务器之间的双向认证。此外,需要防止发生统一资源定位器(URL)标识篡改攻击。认证流程的关键环节依赖各网站所发送的URL标识,而这又依赖于网络地址映射的域名解析系统,而这种解析系统易发生URL篡改攻击。
互联网实名认证机制基于轻量级的URI(统一资源标识)/URL的数字身份标识管理体系,减少Web Server对用户注册和账户管理的负担,为用户提供互联网范围内的单点登录功能,解决传统数字身份标示管理系统中存在的问题。
各个网络实体的实现的功能如下:
UE(User Equipment):请求登录网络的终端用户;
RegS:为UE的身份提供实名注册服务,与Web Server建立关联验证,返回UE是否通过身份认证的信息;
RegS Database(注册服务器的数据库):为RegS保存用户注册的真实合法信息;
Web Server:将UE的登录请求发送至RegS,与互联网注册服务器的数据库建立关联后,为UE提供微博、微信、论坛等多媒体服务;
Gateway Proxy(网关代理,GP):为UE提供网络接入接口,并为UE提供网络行为的登录口令。
安全可控认证机制的设计思想是对用户的身份认证与用户行为的追溯分开进行,同时实现了分布式的用户行为监控;利用注册服务器的数据库来保存用户注册的真实合法信息,网站服务器仅需与注册服务器的数据库建立关联验证,无需传递用户实名信息,仅需传递注册服务器根据用户的注册信息生成的登录凭证,用户通过该凭证获得使用相关资源和服务的权限;当需要进行不可抵赖追溯时,根据注册服务器的数据库地址实现对用户的追溯。
互联网实名认证机制框架工作流程如下:
(1)身份注册:UE在可信Regs客户端注册实名信息,RegS在RegS Database保存该用户信息,并分配给用户身份标识;
(2)登陆网站:UE向Web Server提出登录请求,并发送身份标识给WebServer;
(3)解析标识:Web Server根据标识标准库、规范库和特征库的先验知识验证UE输入的身份标识是否符合统一的规范,如果UE是与之前向RegS提供的原始账户URL建立关联,则Web Server直接提取URL标识,如果UE输入的是与Web Server绑定的账户URL,此时RegS将连接WebServer地址,并从返回的HTML中解析Web Server提供的URL标识;
(4)建立关联:通过Web Server和RegS之间关联的加密隧道用来验证后续的协议信息,在认证机制规范中创建关联,主体思路就是使用Diffie-Hellman密钥交换算法来生成共享密钥,此密钥用于对信息进行签名,能够实现安全传输数据;
(5)认证请求:Web Server重定向到RegS的数据库建立认证请求;
(6)认证协商:RegS和Web Server协商决定是否响应或者拒绝UE请求;
(7)认证响应:RegS生成UE信息是否可信的链接并重定向至Web Server,RegS生成UE信息是否可信的链接并重定向至目的站点,可信链接中包含用户账户URL及其相应的校验信息,应用站点对其验证并解析;
(8)认证完成:Web Server验证发自RegS的认证响应信息并完成授权。
附图说明
图1是本发明实施例的用于互联网实名认证机制的实施步骤和信令交互结构图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步的说明:
本发明主要包括3个组成部分的处理:注册阶段、网络行为监测阶段和不可抵赖追溯阶段。UE希望接受Web Server提供的服务时,Web Server要求进行实名认证,UE将身份信息传送给RegS,RegS返回对UE身份信息进行认证的结果,对传输链路进行加密保护传递信息的安全性。将上述已加密的个人身份信息和上述实名认证结果报告给上述网站服务器。
互联网实名认证机制的实施步骤和信令交互如下:
1.注册阶段
(1)UE首先获得所在GP的证书CertGP、MAC地址MACGP和URLGP;
(2)UE在RegS中注册自己的身份信息(身份证号和上网密码),注册完毕后,UE从RegS处获得一个登录网站的身份标识Sign On:
Sign On=SigRegs(MACUE||MACRegs||URLRegs)||[SigRegs(URLGP||URLRegs)||MACGP]PKGP||CertRegs
式中,SigRegs(MACUE||MACRegs||URLRegs)为Regs对自身地址和UE地址信息的签名,它可以作为UE访问Web Server的用户名;
[SigRegs(URLGP||URLRegs)||MACGP]PKGP是RegS为UE颁发的其接入GP时所需的凭证,用来告知GP关于UE的地址信息;PKGP是GP的公钥;
CertRegs为RegS的数字证书;通过RegS对自身地址的签名,可以防止提供虚假的RegS地址信息,该方法可以防止UE自身搭建的欺骗注册服务。
2.认证阶段
为了防止大量UE的访问造成RegS所造成的通信瓶颈,以及RegS被攻陷所造成的认证无法实施,可以采取对UE网络行为的认证与身份追溯分开实施的分布式实现思路,具体实现思路如下:
(1)UE访问Web Server时,需要先经过GP,GP要求用户提供自己从注册服务器得到的相关信息,UE的访问凭证[SigRegs(URLGP||URLRegs)||MACGP]PKGP发送给GP,GP用自己的私钥解密数据包,首先比较解密得到的MACGP与自己的MAC是否一样,如果不一样就直接丢弃该数据包,不允许UE的数据包通过,如果一致,就把SigRegs(URLGP||URLRegs)保存在本地。然后,为UE颁发口令PasswordUE(一个随机数),PasswordUE是UE访问Web Server的口令,GP把用户重定向到Web Server;
(2)Web Server站点要求UE建立关联(输入登录标识),UE把用户名SigRegs(MACUE||MACRegs||URLRegs)和口令PasswordUE以及CertGP、CertRegs发给Web Server站点;
(3)Web Server站点识别用户并获取UE的GP地址与RegS地址信息。WebServer首先验证CertRegs是否有效,如果有效,就用RegS的公钥PKRegs验证签名信息;另外,可以获得GP与Regs的地址信息URLGP和URLRegs;
(4)Web Server发送如下的数据包M1到网关代理GP请求对UE的认证:M1=SigWebS(MACWebS||URLWebS)||(URLGP||URLRegs||PasswordUE)PKGP||CertWebS
(5)GP对数据包进行处理。当GP接收到M1之后,首先验证CertWebS是否有效,如果有效,就用Web Server的公钥PKWebS验证签名信息,提取出Web Server的地址信息MACWebS||URLWebS;同时利用自己的私钥SKGP解密数据包,可以获得URLGP||URLRegs||PasswordUE,如果解密得到的地址信息URLGP与PasswordUE和自身保存的信息一致,就通过对UE的认证;
(6)GP形成数据包M2,把对UE认证通过的信息发给Web Server,其中M2=(URLGP||PasswordUE)PKWebS
(7)Web Server解密M2,如果解密得到的信息与自己保存的信息一致,则认为UE认证通过.Web Server得到UE认证通过的消息之后,就允许UE登录自己的网站,执行发帖等网络行为操作。
3.追溯阶段
当UE在互联网有违法行为,需要对UE的身份信息进行追踪,WebServer根据UE的用户名SigRegs(MACUE||MACRegs||URLRegs),找到相对应RegS的地址信息可以查找到UE注册的身份信息,进而实现对UE的追溯,就可以获得用户的真实身份信息。
(1)Web Server利用UE保留在服务器上的用户名,形成对UE身份信息查询的数据包M3发给RegS:
M3=SigWebS(MACWebS||URLWebS)||[(SigRegs(MACUE||MACRegs||URLRegs)||URLRegs)]PKRegs||CertWebS
(2)RegS对数据包处理。RegS接收到M3之后,首先验证CertWebS是否有效,如果有效,就用Web Server的公钥PKWebS验证签名信息,提取出Web Server的地址信息MACWebS||URLWebS;同时利用自己的私钥SKRegs解密数据包,可以获得SigRegs(MACUE||MACRegs||URLRegs)||URLRegs,如果解密得到的地址信息URLRegs与自身地址信息一致,就利用SigRegs(MACUE||MACRegs||URLRegs)来查找UE注册的身份信息,并返回给Web Server。
本发明提出安全可控的互联网实名认证机制可行性分析:
1.身份隐私性与可追踪性
在用户不违反相关法律情况下,保护了用户访问Internet的匿名性;用户在RegS上输入真实身份信息后,得到URL形式的身份标识,可以登陆任何支持URL身份标识认证的Web Server,并且可以实现同一个注册账号在多个网站之间自由登录使用。在需要追踪用户身份的时候,通过对UE的注册服务器进行身份查询,就可以追溯用户,为追究某些造成恶劣影响的用户行为提供科学依据。
2.认证交互的安全性
基于证书的机制实现了Web Server与RegS之间的认证交互流程。WebServer站点与RegS之间建立安全关联时,采用Diffie-Hellman密钥交换算法,在Web Server与RegS之间交互信息进行加解密处理。同时,基于服务器自签名的机制可以防止UE自身搭建的RegS欺骗攻击。UE获得身份标识,通过RegS对自身地址的签名,可以防止UE提供虚假的RegS地址信息,此方案可以防止UE木马病毒自身搭建RegS的欺骗攻击。
3.数据通信的时效性
基于安全可控的互联网实名认证机制实现分布模式下的UE网络行为监控,提高系统的整体安全性能。用户的网络行为认证与追溯分别给出了实施步骤,由于用户的网络行为认证过程是经常进行的,大量用户的访问就会造成RegS的通信瓶颈;同时,在RegS被攻陷的情况下,造成认证过程的无法实施。在分布式模式下,由GP执行认证功能,提升了系统的安全性能。
Claims (2)
1.互联网实名认证机制框架工作流程:用户需要登录互联网时,首先在该机构加密的客户端填写身份证号码和上网密码,信息被提交给该机构的注册服务器(Registration Server,RegS),认证通过后注册服务器对用户的实名信息进行数据库备案,用户登录微博、网游、论坛等账户,网站服务器(WebServer)仅需与互联网注册服务器的数据库建立关联,通过传输层安全协议(TLS)反馈通过认证的确认信息,并不传输用户的实名信息。
2.互联网实名认证机制的实施步骤:包括3个组成部分的处理:注册阶段、网络行为监测阶段和不可抵赖追溯阶段;
如上所述的一种安全可控的互联网实名认证机制,其中部分一中,互联网实名认证机制框架工作流程为:
1)身份注册:UE在可信Regs客户端注册实名信息,RegS在RegS Database保存该用户信息,并分配给用户身份标识;
2)登陆网站:UE向Web Server提出登录请求,并发送身份标识给Web Server;
3)解析标识:Web Server根据标识标准库、规范库和特征库的先验知识验证UE输入的身份标识是否符合统一的规范,如果UE是与之前向RegS提供的原始账户URL建立关联,则Web Server直接提取URL标识,如果UE输入的是与WebServer绑定的账户URL,此时RegS将连接Web Server地址,并从返回的HTML中解析Web Server提供的URL标识;
4)建立关联:通过Web Server和RegS之间关联的加密隧道用来验证后续的协议信息,在认证机制规范中创建关联,主体思路就是使用Diffie-Hellman密钥交换算法来生成共享密钥,此密钥用于对信息进行签名,能够实现安全传输数据;
5)认证请求:Web Server重定向到RegS的数据库建立认证请求;
6)认证协商:RegS和Web Server协商决定是否响应或者拒绝UE请求;
7)认证响应:RegS生成UE信息是否可信的链接并重定向至Web Server,RegS生成UE信息是否可信的链接并重定向至目的站点,可信链接中包含用户账户URL及其相应的校验信息,应用站点对其验证并解析;
8)认证完成:Web Server验证发自RegS的认证响应信息并完成授权;
如上所述的一种安全可控的互联网实名认证机制,其中部分二中,互联网实名认证机制的实施步骤是:
1)注册阶段
UE首先获得所在GP的证书CertGP、MAC地址MACGP和URLGP,然后在RegS中注册自己的身份信息(身份证号和上网密码),注册完毕后,UE从RegS处获得一个登录网站的身份标识Sign On,通过RegS对自身地址的签名,可以防止提供虚假的RegS地址信息,该方法可以防止UE自身搭建的欺骗注册服务;
2)认证阶段
为了防止大量UE的访问造成RegS所造成的通信瓶颈,以及RegS被攻陷所造成的认证无法实施,可以采取对UE网络行为的认证与身份追溯分开实施的分布式实现思路;
3)追溯阶段
当UE在互联网有违法行为,需要对UE的身份信息进行追踪,Web Server根据UE的用户名SigRegs(MACUE||MACRegs||URLRegs),找到相对应RegS的地址信息可以查找到UE注册的身份信息,进而实现对UE的追溯,就可以获得用户的真实身份信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310633694.8A CN104683306A (zh) | 2013-12-03 | 2013-12-03 | 一种安全可控的互联网实名认证机制 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310633694.8A CN104683306A (zh) | 2013-12-03 | 2013-12-03 | 一种安全可控的互联网实名认证机制 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104683306A true CN104683306A (zh) | 2015-06-03 |
Family
ID=53317909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310633694.8A Pending CN104683306A (zh) | 2013-12-03 | 2013-12-03 | 一种安全可控的互联网实名认证机制 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104683306A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789911A (zh) * | 2016-11-15 | 2017-05-31 | 深圳银链科技有限公司 | 一种基于区块链的网络身份验证方法与系统 |
| CN106954185A (zh) * | 2017-03-27 | 2017-07-14 | 深圳市雄帝科技股份有限公司 | 关联证件信息与移动终端标识信息的方法及装置 |
| CN107196965A (zh) * | 2017-07-04 | 2017-09-22 | 烟台大学 | 一种安全网络实名登记注册技术 |
| CN107911222A (zh) * | 2017-11-21 | 2018-04-13 | 沃通电子认证服务有限公司 | 数字签名生成、验证方法及其设备和存储介质 |
| CN108322430A (zh) * | 2017-03-02 | 2018-07-24 | 黄策 | 匿名式的实名认证法 |
| CN108509806A (zh) * | 2018-04-09 | 2018-09-07 | 北京东方网润科技有限公司 | 一种具有隐私保护的大数据精准营销系统及设备 |
| CN108667785A (zh) * | 2017-04-01 | 2018-10-16 | 金联汇通信息技术有限公司 | 基于Open ID的网络身份服务的系统和方法 |
| CN108781216A (zh) * | 2016-01-25 | 2018-11-09 | 瑞典爱立信有限公司 | 用于网络接入的方法和设备 |
| CN109005036A (zh) * | 2017-06-06 | 2018-12-14 | 北京握奇智能科技有限公司 | 一种基于标识密码算法的区块链成员管理方法和系统 |
| CN110929183A (zh) * | 2018-08-31 | 2020-03-27 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置和机器可读介质 |
| WO2022040950A1 (zh) * | 2020-08-26 | 2022-03-03 | 黄策 | 匿名式的实名认证方法 |
-
2013
- 2013-12-03 CN CN201310633694.8A patent/CN104683306A/zh active Pending
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108781216A (zh) * | 2016-01-25 | 2018-11-09 | 瑞典爱立信有限公司 | 用于网络接入的方法和设备 |
| CN108781216B (zh) * | 2016-01-25 | 2021-03-16 | 瑞典爱立信有限公司 | 用于网络接入的方法和设备 |
| CN106789911A (zh) * | 2016-11-15 | 2017-05-31 | 深圳银链科技有限公司 | 一种基于区块链的网络身份验证方法与系统 |
| CN108322430A (zh) * | 2017-03-02 | 2018-07-24 | 黄策 | 匿名式的实名认证法 |
| CN106954185A (zh) * | 2017-03-27 | 2017-07-14 | 深圳市雄帝科技股份有限公司 | 关联证件信息与移动终端标识信息的方法及装置 |
| CN108667785B (zh) * | 2017-04-01 | 2020-11-27 | 金联汇通信息技术有限公司 | 基于Open ID的网络身份服务的系统和方法 |
| CN108667785A (zh) * | 2017-04-01 | 2018-10-16 | 金联汇通信息技术有限公司 | 基于Open ID的网络身份服务的系统和方法 |
| CN109005036A (zh) * | 2017-06-06 | 2018-12-14 | 北京握奇智能科技有限公司 | 一种基于标识密码算法的区块链成员管理方法和系统 |
| CN109005036B (zh) * | 2017-06-06 | 2023-04-07 | 北京握奇智能科技有限公司 | 一种基于标识密码算法的区块链成员管理方法和系统 |
| CN107196965B (zh) * | 2017-07-04 | 2020-02-11 | 烟台大学 | 一种安全网络实名登记注册方法 |
| CN107196965A (zh) * | 2017-07-04 | 2017-09-22 | 烟台大学 | 一种安全网络实名登记注册技术 |
| CN107911222B (zh) * | 2017-11-21 | 2020-08-28 | 沃通电子认证服务有限公司 | 数字签名生成、验证方法及其设备和存储介质 |
| CN107911222A (zh) * | 2017-11-21 | 2018-04-13 | 沃通电子认证服务有限公司 | 数字签名生成、验证方法及其设备和存储介质 |
| CN108509806A (zh) * | 2018-04-09 | 2018-09-07 | 北京东方网润科技有限公司 | 一种具有隐私保护的大数据精准营销系统及设备 |
| CN110929183A (zh) * | 2018-08-31 | 2020-03-27 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置和机器可读介质 |
| CN110929183B (zh) * | 2018-08-31 | 2024-04-09 | 斑马智行网络(香港)有限公司 | 一种数据处理方法、装置和机器可读介质 |
| WO2022040950A1 (zh) * | 2020-08-26 | 2022-03-03 | 黄策 | 匿名式的实名认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104683306A (zh) | 一种安全可控的互联网实名认证机制 | |
| CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN102111410B (zh) | 一种基于代理的单点登录方法及系统 | |
| EP1763947B1 (en) | Authenticating users | |
| CN100574193C (zh) | 转接第三方登陆的方法、系统及第三方网站、业务服务器 | |
| US8683607B2 (en) | Method of web service and its apparatus | |
| CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| US20160248752A1 (en) | Multi factor user authentication on multiple devices | |
| EP2391083B1 (en) | Method for realizing authentication center and authentication system | |
| CN107835176A (zh) | 一种基于eID的网络身份认证方法及平台 | |
| CN1855814A (zh) | 一种安全的统一身份认证方案 | |
| CN103179134A (zh) | 基于Cookie的单点登录方法、系统及其应用服务器 | |
| CN105553666B (zh) | 一种智能电力终端安全认证系统及方法 | |
| CN105554098A (zh) | 一种设备配置方法、服务器及系统 | |
| CN103237038A (zh) | 一种基于数字证书的双向入网认证方法 | |
| US20170070486A1 (en) | Server public key pinning by url | |
| JP2016521029A (ja) | セキュリティ管理サーバおよびホームネットワークを備えるネットワークシステム、およびそのネットワークシステムにデバイスを含めるための方法 | |
| US11451517B2 (en) | Secure and auditable proxy technology using trusted execution environments | |
| CN109274579A (zh) | 一种基于微信平台的多应用用户统一认证方法 | |
| US20230299973A1 (en) | Service registration method and device | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN102629928B (zh) | 一种基于公共密钥的互联网彩票系统安全链路实施方法 | |
| CN111163069A (zh) | 一种基于区块链的物联网用户隐私保护方法 | |
| CN110620750A (zh) | 一种分布式系统的网络安全验证方法 | |
| CN104506518A (zh) | Mips平台网络系统访问控制的身份认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150603 |