CN107835176A - 一种基于eID的网络身份认证方法及平台 - Google Patents

Abstract

本发明公开了一种基于eID的网络身份认证方法及平台，运营机构系统和服务机构系统在eID认证系统的支撑下，为线上应用系统提供eID身份认证和电子签名/验签服务。IDSO在全国范围内可构建多个，IDSO与eID认证系统进行直接数据交互；IDSP直接同线上应用系统交互数据，接受其eID服务请求，并转发至相应IDSO。每个IDSO下可服务多个IDSP，每个IDSP可为多个应用系统提供服务。IDSO和IDSP之间通过加密交换机建立加密通道交互数据。有益效果：通过借助eID登记发行机构严格的面签流程，基于公安部三所安全认证体系，统一审核签发eID，实现eID与持有者身份的一一对应，有效防止身份盗用和冒用，从而实现前台匿名，后台实名；为有强身份认证需求的互联网应用提供了有效的解决方案。

Description

一种基于eID的网络身份认证方法及平台

技术领域

本发明涉及信息安全技术领域，具体来说，涉及一种基于eID的网络身份认证方法及平台。

背景技术

网络“真名制”具有三大缺陷：1、网络用户的隐私得不到很好的保护。2、网络用户的账号安全缺乏保障。3、网络用户的真实性难以证明。目前国内的网络远程身份验证普遍使用“关联比对”方法，即将用户输入的“姓名+身份证号”等个人信息，传到后台对个人信息的正确性进行比对来认定其身份。

但"关联比对"方法在大规模应用的场景下主要存在几个问题：

1.个人信息比对正确并不能代表本人真实意愿，无法防范个人身份被冒用或盗用的风险；

2.容易造成个人信息泄露。采集个人信息的网络应用服务机构安全水平不一，个人信息大规模泄露的风险越来越高；

3. 网络用户的账号安全缺乏保障。

针对相关技术中的问题，目前尚未提出有效的解决方案。

eID是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识，能够在不泄露身份信息的前提下在线远程识别身份。“eID公民网络身份识别系统”会以用户个人身份信息和随机数计算出一个唯一代表用户身份的编码，即用户的网络身份标识编码（eIDcode）。该编码不含任何个人身份信息，且不可逆推出个人身份信息。用户使用eID通过网络向应用方自证身份时，应用方会通过连接“公安部公民网络身份识别系统”的运营和服务机构，请求验证核实用户网络身份的真实性和有效性。一旦用户网络身份通过验证，应用方会得到一个与该应用相对应的用户网络身份应用标识编码（appeIDcode）。因此，虽然用户拥有唯一的网络身份标识编码（eIDcode），但在不同的应用机构只能得到不同的网络身份应用标识编码（appeIDcode），从而避免用户在不同网络应用中的行为数据被汇聚、分析和追踪，可最大程度的保护个人身份和隐私信息。

发明内容

针对相关技术中的上述技术问题，本发明提出一种基于eID的网络身份认证方法及系统，能够有效解决用户网上身份信息安全的相关问题。

为实现上述技术目的，本发明的技术方案是这样实现的：

一方面，本发明提供了一种基于eID的网络身份认证平台，包括：线上应用系统，服务机构系统（IDSP，Identity Service Provider或AS），运营机构系统（IDSO，IdentityOperator Provider或OP）以及eID认证系统；

所述线上应用系统，用于接收用户提交的eID身份认证请求或eID签名验签请求，通过AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求；

所述服务机构系统，包括IDSP软件系统和服务设备，用于对线上应用系统提交的请求主要参数进行组装并通过服务设备对所述参数进行签名，向IDSO发起请求，接收IDSO返回的认证结果；

所述运营机构系统，包括IDSO软件系统和运营设备，用于接收并解析验证来自IDSP的请求，将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密，向eID认证系统发起请求，接收eID认证系统的返回结果，验证签名解密敏感信息并保存相关信息，通过运营设备生成当前用户在当前appid对应应用上的appeidcode，向IDSP返回认证结果；

所述eID认证系统，用于接收IDSO的请求验证身份，验证用户签名有效，向IDSO返回验证结果。

进一步的，所述运营机构系统与所述服务机构系统之间通过加密交换机建立加密通道交互数据，所述运营服务机构系统与多个服务机构系统连接，所述服务机构系统为多个线上应用系统提供服务。

进一步的，AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id以及app id。

进一步的，IDSO组装参数后向eID认证系统发起请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id、IDSO id。

进一步的，eID认证系统向IDSO返回验证结果时，携带相应信息，所述信息包括但不限于当前用户的eidcode和证书。

进一步的，IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，携带eidcode、appid、regcode，IDSO向IDSP返回认证结果，携带appeidcode。

另一方面，本发明还提供了一种基于eID的网络身份认证方法，包括：

S1 用户通过移动端提交eID身份认证请求，AP发起PKI身份识别服务请求或签名验签服务请求；

S2 IDSP接收并验证AP的请求，同时IDSP将AP的请求主要参数进行组装并通过服务设备进行签名；

S3 IDSP组装参数后向IDSO发起请求；

S4 IDSO接收并解析验证IDSP的请求，判断为真实认证后，IDSO将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密；

S5 IDSO组装参数后向eID认证系统发起请求；

S6 eID认证系统接收IDSO的请求验证用户身份，并验证用户签名有效，eID认证系统向IDSO返回验证结果；

S7 IDSO收到eID认证系统的返回结果，验证签名解密敏感信息并保存相关信息，IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，IDSO向IDSP返回认证结果；

S8 IDSP接收到消息后解析IDSO返回的结果码，IDSP验证IDSO签名并将结果返回给AP；

S9 AP接收IDSP返回消息并验证结果，取得appeidcode并通过验证后，当前用户即验证成功；

S10 用户通过移动客户端获取eID验证结果。

进一步的，S1中AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id以及app id。

进一步的，S5中IDSO组装参数后向eID认证系统发起请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id、IDSO id。

进一步的，S6中eID认证系统向IDSO返回验证结果时，携带相应信息，所述信息包括但不限于当前用户的eidcode和证书。

进一步的，S7中IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，携带eidcode、appid、regcode，IDSO向IDSP返回认证结果，携带appeidcode。

本发明的有益效果：通过借助 eID 登记发行机构严格的面签流程，基于公安部三所安全认证体系，统一审核签发 eID，实现 eID 与持有者身份的一一对应。用户使用eID时除了需要使用 eID 载体，还要输入 eID 签名密码，可有效防止身份盗用和冒用；在使用eID 注册网络应用时，通过 eID 可直接认证返回得到在该网络应用内唯一的eID 编码(appeidcode)，用户无需输入姓名、身份证号等个人身份隐私信息，从而实现前台匿名，后台实名；为有强身份认证需求的互联网应用提供了有效的解决方案。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例所述的一种基于eID的网络身份认证平台的结构示意图；

图2是根据本发明实施例所述的一种基于eID的网络身份认证方法的流程示意图；

图3是根据本发明实施例所述的一种基于eID的网络身份认证平台中IDSP和IDSO的系统结构图；

图4是根据本发明实施例所述的一种基于eID的网络身份认证平台中IDSP和IDSO的系统拓扑图；

图5是根据本发明实施例所述的一种基于eID的网络身份认证平台中IDSP的系统功能示意图；

图6是根据本发明实施例所述的一种基于eID的网络身份认证平台中IDSO的系统功能示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，根据本发明实施例所述的一方面，提供了一种基于eID的网络身份认证平台，包括：线上应用系统，服务机构系统（IDSP），运营机构系统（IDSO）以及eID认证系统（或称eID认证中心）；

所述线上应用系统，用于接收用户提交的eID身份认证请求或eID签名验签请求，通过AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求；

所述服务机构系统，包括IDSP软件系统和服务设备，用于对线上应用系统提交的请求主要参数进行组装并通过服务设备对所述参数进行签名，向IDSO发起请求，接收IDSO返回的认证结果；

所述运营机构系统，包括IDSO软件系统和运营设备，用于接收并解析验证来自IDSP的请求，将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密，向eID认证系统发起请求，接收eID认证系统的返回结果，验证签名解密敏感信息并保存相关信息，通过运营设备生成当前用户在当前appid对应应用上的appeidcode，向IDSP返回认证结果；

所述eID认证系统，用于接收IDSO的请求验证身份，验证用户签名有效，向IDSO返回验证结果。

进一步的，所述运营机构系统与所述服务机构系统之间通过加密交换机建立加密通道交互数据，所述运营服务机构系统与多个服务机构系统连接，所述服务机构系统为多个线上应用系统提供服务。

进一步的，AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id以及app id。

进一步的，IDSO组装参数后向eID认证系统发起请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id、IDSO id。

进一步的，eID认证系统向IDSO返回验证结果时，携带相应信息，所述信息包括但不限于当前用户的eidcode和证书。

进一步的，IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，携带eidcode、appid、regcode，IDSO向IDSP返回认证结果，携带appeidcode。

如图2所示，另一方面，本发明还提供了一种基于eID的网络身份认证方法，包括：

S1 用户通过移动端提交eID身份认证请求，AP发起PKI身份识别服务请求或签名验签服务请求；

S2 IDSP接收并验证AP的请求，同时IDSP将AP的请求主要参数进行组装并通过服务设备进行签名；

S3 IDSP组装参数后向IDSO发起请求；

S4 IDSO接收并解析验证IDSP的请求，判断为真实认证后，IDSO将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密；

S5 IDSO组装参数后向eID认证系统发起请求；

S6 eID认证系统接收IDSO的请求验证用户身份，并验证用户签名有效，eID认证系统向IDSO返回验证结果；

S7 IDSO收到eID认证系统的返回结果，验证签名解密敏感信息并保存相关信息，IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，IDSO向IDSP返回认证结果；

S8 IDSP接收到消息后解析IDSO返回的结果码，IDSP验证IDSO签名并将结果返回给AP；

S9 AP接收IDSP返回消息并验证结果，取得appeidcode并通过验证后，当前用户即验证成功；

S10 用户通过移动客户端获取eID验证结果。

进一步的，S1中AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id以及app id。

进一步的，S5中IDSO组装参数后向eID认证系统发起请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id、IDSO id。

进一步的，S6中eID认证系统向IDSO返回验证结果时，携带相应信息，所述信息包括但不限于当前用户的eidcode和证书。

进一步的，S7中IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，携带eidcode、appid、regcode，IDSO向IDSP返回认证结果，携带appeidcode。

为了方便理解本发明的上述技术方案，以下通过具体使用方式上对本发明的上述技术方案进行详细说明。

如图1所示，根据本发明所述的一种基于eID的网络身份认证平台，运营机构系统（IDSO）和服务机构系统（IDSP）在eID认证系统的支撑下，为线上应用系统提供eID身份认证和电子签名/验签服务。IDSO在全国范围内可构建多个，IDSO与eID认证系统进行直接数据交互；IDSP直接同线上应用系统交互数据，接受其eID服务请求，并转发至相应IDSO。每个IDSO下可服务多个IDSP，每个IDSP可为多个应用系统提供服务。IDSO和IDSP之间通过加密交换机建立加密通道交互数据。

如图2所示，当用户持eID卡访问某个业务系统时所进行的身份认证如下：

a)用户在移动客户端操作，提交eID身份认证请求。

b)AP发起PKI身份识别服务请求（携带用户身份信息、原文、签名、签名算法、cert_id、appid等），IDSP接收并验证AP的请求。

c)IDSP将AP的请求主要参数进行组装并通过服务设备进行签名。

d)IDSP组装参数后向IDSO发起请求（携带用户身份信息、原文、签名、签名算法、cert_id、appid、IDSPid等），IDSO接收并解析验证IDSP的请求，判断为真实认证。

e)IDSO将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密。

f)IDSO组装参数后向eID认证中心发起请求（携带用户身份信息、原文、签名、签名算法、cert_id、IDSOid等），eID认证中心接收IDSO的请求验证用户身份，并验证用户签名有效。

g)eID认证中心向IDSO返回验证结果，携带当前用户的eidcode和证书等（敏感数据加密），IDSO收到eID认证中心的返回结果，验证签名解密敏感信息并保存相关信息。

h)IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode（携带eidcode、appid、regcode）。

i)IDSO向IDSP返回认证结果，并携带appeidcode，IDSP接收到消息后解析IDSO返回的结果码。

j)IDSP验证IDSO签名并将结果返回给AP。

k)AP接收IDSP返回消息并验证结果，取得appeidcode并通过验证后，当前用户即验证成功。

l)用户通过移动客户端获取eID验证结果。

在具体应用时，如图3、图4所示，为服务机构系统（IDSP）及运营机构系统（IDSO）的系统结构图和系统拓扑图。

IDSP和IDSO根据系统结构可以分为安全管理区、数据存储区以及核心功能区，所述核心功能区分别与所述安全管理区以及数据存储区连接，其中，安全管理区包括安全管理设备和密钥管理设备，数据存储区包括磁盘阵列和存储加密机，核心功能区包括eID认证服务设备、eID验证设备、负载均衡服务设备以及数据库访问设备。实践中，数据存储区可通过布设网络存储加密机及磁盘阵列实现，核心功能区可通过布设eID认证服务器、eID验证设备、负载均衡服务器以及数据库服务器实现，安全管理区可通过布设安全管理设备和密钥管理设备实现，此外，IDSP或者IDSO在于外部连接时，需依次通过核心加密交换机、VPN设备、防火墙及路由器。

如图5所示，为eID服务机构系统（IDSP）的功能结构示意图，按照功能结构，IDSP分为服务子系统、管理子系统以及数据库，其中，所述服务子系统提供的服务包括PKI身份识别服务、PKI签名验签服务、PKI匿名认证服务、HMAC身份识别服务、HMAC签名验签服务以及HMAC匿名认证服务，所述管理子系统的功能包括IDSP运行总览、服务管理、计费管理、AP接入管理、用户管理以及审计管理，所述数据库包括服务日志表集合、计费表集合以及管理信息表集合。

如图6所示，为eID运营机构系统（IDSO）的功能结构示意图，按照功能结构，IDSO分为服务子系统和管理子系统，所述服务子系统提供的服务包括eID身份识别服务、eID签名验签服务、eID匿名认证服务、证书撤销列表同步以及载体撤销列表同步，所述管理子系统的功能包括IDSO接入管理、IDSP接入管理、AP接入管理、系统权限管理、用户管理、日志管理、审计管理以及eID运营门户。

综上所述，借助于本发明的上述技术方案，可获得以下有益效果：

经济效益

① 项目具有应用领域宽、范围广的特点，可以对全国网上各行业、各领域提供eID身份实名认证、远程安全登录、网上电子签名和相关增值服务。

② 项目不仅在山东省，而且在全国都是一个创新和领先行业。中汇通联通过平台建设正在形成部分行业标准和行业规范。项目的研发和建设的相关文件将成为制定行业标准和行业规范的基础参考文件。由于介入早，领先于其他省市，这无疑给山东带来一个信息科技领域的先发优势。

③ 市场刚刚开发，尚未形成竞争态势，项目发展前景非常广阔。随着国家网络安全法的实施和eID生态圈的不断完善与健全，随着系统功能外延、更多的推广应用和换代升级应用，项目的市场规模将持续快速增长。

④ 应用产品可以标准化。通过小范围试点成功后，可以复制和推广到同行业的其他地域。降低研发成本和建设成本。迅速占领和扩大市场。

⑤ eID的应用，可为政府在便民服务中，降低人工服务成本，提高服务效率，节省国家开支。

社会效益

①eID运营平台项目符合国家信息安全政策和宏观发展方向。

② 可以有效解决电子政务、电子商务和娱乐互联网的eID身份实名认证、远程安全登录、网上电子签名和相关增值服务中遇到的身份信息安全的相关问题。

③ 可以有效保护个人身份信息安全，解决被泄露和盗用的问题，提高政府的公信力。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于eID的网络身份认证平台，其特征在于，包括：线上应用系统，服务机构系统，运营机构系统以及eID认证系统；

所述线上应用系统，用于接收用户提交的eID身份认证请求或eID签名验签请求，通过AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求；

所述服务机构系统，包括IDSP软件系统和服务设备，用于对线上应用系统提交的请求主要参数进行组装并通过服务设备对所述参数进行签名，向IDSO发起请求，接收IDSO返回的认证结果；

所述运营机构系统，包括IDSO软件系统和运营设备，用于接收并解析验证来自IDSP的请求，将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密，向eID认证系统发起请求，接收eID认证系统的返回结果，验证签名解密敏感信息并保存相关信息，通过运营设备生成当前用户在当前appid对应应用上的appeidcode，向IDSP返回认证结果；

所述eID认证系统，用于接收IDSO的请求验证身份，验证用户签名有效，向IDSO返回验证结果。

2.根据权利要求1所述的基于eID的网络身份认证平台，其特征在于，所述运营机构系统与所述服务机构系统之间通过加密交换机建立加密通道交互数据，所述运营服务机构系统与多个服务机构系统连接，所述服务机构系统为多个线上应用系统提供服务。

3.根据权利要求1所述的基于eID的网络身份认证平台，其特征在于，AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id以及app id。

4.根据权利要求1所述的基于eID的网络身份认证平台，其特征在于，IDSO组装参数后向eID认证系统发起请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id、IDSO id。

5.根据权利要求1所述的基于eID的网络身份认证平台，其特征在于，eID认证系统向IDSO返回验证结果时，携带相应信息，所述信息包括但不限于当前用户的eidcode和证书；IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，携带eidcode、appid、regcode，IDSO向IDSP返回认证结果，携带appeidcode。

6.一种基于eID的网络身份认证方法，其特征在于，包括：

S1 用户通过移动端提交eID身份认证请求或eID签名验签请求，AP发起PKI身份识别服务请求或签名验签服务请求；

S2 IDSP接收并验证AP的请求，同时IDSP将AP的请求主要参数进行组装并通过服务设备进行签名；

S3 IDSP组装参数后向IDSO发起请求；

S4 IDSO接收并解析验证IDSP的请求，判断为真实认证后，IDSO将IDSP的请求主要参数进行组装并通过运营设备进行签名和敏感数据加密；

S5 IDSO组装参数后向eID认证系统发起请求；

S6 eID认证系统接收IDSO的请求验证用户身份，并验证用户签名有效，eID认证系统向IDSO返回验证结果；

S7 IDSO收到eID认证系统的返回结果，验证签名解密敏感信息并保存相关信息，IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，IDSO向IDSP返回认证结果；

S8 IDSP接收到消息后解析IDSO返回的结果码，IDSP验证IDSO签名并将结果返回给AP；

S9 AP接收IDSP返回消息并验证结果，取得appeidcode并通过验证后，当前用户即验证成功；

S10 用户通过移动客户端获取eID验证结果。

7.根据权利要求6所述的基于eID的网络身份认证方法，其特征在于，S1中AP向IDSP发起PKI/HMAC身份识别服务请求或者签名验签服务请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id以及app id。

8.根据权利要求6所述的基于eID的网络身份认证方法，其特征在于，S5中IDSO组装参数后向eID认证系统发起请求时，携带相应信息，所述信息包括但不限于用户身份信息、原文、签名、签名算法、cert_id、IDSO id。

9.根据权利要求6所述的基于eID的网络身份认证方法，其特征在于，S6中eID认证系统向IDSO返回验证结果时，携带相应信息，所述信息包括但不限于当前用户的eidcode和证书。

10.根据权利要求6所述的基于eID的网络身份认证方法，其特征在于，S7中IDSO通过运营设备生成当前用户在当前appid对应应用上的appeidcode，携带eidcode、appid、regcode，IDSO向IDSP返回认证结果，携带appeidcode。