CN109450916A - 一种基于eID的身份认证属性证明协议系统 - Google Patents
一种基于eID的身份认证属性证明协议系统 Download PDFInfo
- Publication number
- CN109450916A CN109450916A CN201811432754.9A CN201811432754A CN109450916A CN 109450916 A CN109450916 A CN 109450916A CN 201811432754 A CN201811432754 A CN 201811432754A CN 109450916 A CN109450916 A CN 109450916A
- Authority
- CN
- China
- Prior art keywords
- subsystem
- attribute
- credential
- asp
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种基于eID的身份认证属性证明协议系统,涉及身份验证技术领域;包括ASP子系统、用户代理子系统和属性凭证验证子系统,用户代理子系统代表用户向ASP子系统请求属性凭证,ASP子系统代表属性服务提供方签发属性凭证给用户代理子系统,依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统要求用户代理子系统出示ASP子系统签发的属性凭证进行身份证明,从而获得属性凭证验证子系统所在的依赖方提供的服务。
Description
技术领域
本发明公开一种基于eID的身份认证属性证明协议系统,涉及身份验证技术领域。
背景技术
"身份验证"一词更多地被用在计算机、通信等领域。身份验证又称"验证"、"鉴权",是指通过一定的手段,完成对用户身份的确认。身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。身份验证的目的是确认当前所声称为某种身份的用户,确实是所声称的用户。
本发明提供一种基于eID的身份认证属性证明协议系统,包括ASP子系统、用户代理子系统和属性凭证验证子系统,用户代理子系统代表用户向ASP子系统请求属性凭证,ASP子系统代表属性服务提供方签发属性凭证给用户代理子系统,依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统要求用户代理子系统出示ASP子系统签发的属性凭证进行身份证明,从而获得属性凭证验证子系统所在的依赖方提供的服务;利用本发明系统实现了用户的隐私保护,同时又对用户行为的实现监管。属性证明则提供向第三方证明其拥有合法属性权威签发的属性凭证,以满足特定应用对用户特征的限制。
eID(electronic Identity)全称为公民网络电子身份标识。在现实世界中,个人通常使用身份证来证明自己的身份,eID是网络世界中证明个人真实身份的电子文件,是加强网络身份管理的重要基础。目前,eID提供真实身份证明和真实属性证明功能。真实身份证明,即eID的拥有者向第三方应用系统证明其拥有有效的eID,而第三方应用系统获得关于eID的一个标识,该标识中不包含用户的真实身份信息,但eID服务平台可以通过用户eID的标识追溯到具体的用户。
发明内容
本发明针对现有技术的问题,提供一种基于eID的身份认证属性证明协议系统,具有通用性强、实施简便等特点,具有广阔的应用前景。
本发明提出的具体方案是:
一种基于eID的身份认证属性证明协议系统,包括ASP子系统、用户代理子系统和属性凭证验证子系统,
用户代理子系统代表用户向ASP子系统请求属性凭证,ASP子系统代表属性服务提供方签发属性凭证给用户代理子系统,
依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统要求用户代理子系统出示ASP子系统签发的属性凭证进行身份证明,从而获得属性凭证验证子系统所在的依赖方提供的服务。
所述的系统中ASP子系统代表属性服务提供方为不同用户和依赖方提供属性服务,依赖方接受不同的ASP子系统签发的属性凭证。
所述的系统中用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统回复属性访问请求,回复中包含属性凭证验证子系统所信任的属性服务提供方的标识,用户代理子系统根据属性服务提供方的标识选择合适的属性凭证进行身份证明。
所述的系统中依赖方的属性凭证验证子系统通过存储属性服务提供方的公钥信任ASP子系统签发的属性凭证。
一种基于eID的身份认证属性证明方法,根据所述的系统,用户利用用户代理子系统向ASP子系统请求属性凭证,属性服务提供方利用ASP子系统签发属性凭证给用户代理子系统,
依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,用户利用用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统要求用户出示属性凭证,用户利用用户代理子系统向属性凭证验证子系统出示ASP子系统签发的属性凭证进行身份证明,从而获得依赖方提供的服务。
所述的方法中属性服务提供方利用ASP子系统为不同用户和依赖方提供属性服务,依赖方接受不同的ASP子系统签发的属性凭证。
所述的方法中用户利用用户代理子系统向依赖方的属性凭证验证子系统发出属性访问请求,依赖方的属性凭证验证子系统回复属性访问请求,回复中包含属性凭证验证子系统所信任的属性服务提供方的标识,用户利用用户代理子系统根据属性服务提供方的标识选择合适的属性凭证进行身份证明。
所述的方法中用户与属性服务提供方建立TLS安全信道保护传输的数据。
所述的方法中用户与依赖方建立TLS安全信道保护用户的属性凭证验证时的用户隐私。
本发明的有益之处是:
本发明提供一种基于eID的身份认证属性证明协议系统,包括ASP子系统、用户代理子系统和属性凭证验证子系统,用户代理子系统代表用户向ASP子系统请求属性凭证,ASP子系统代表属性服务提供方签发属性凭证给用户代理子系统,依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统要求用户代理子系统出示ASP子系统签发的属性凭证进行身份证明,从而获得属性凭证验证子系统所在的依赖方提供的服务;利用本发明系统实现了用户的隐私保护,同时又对用户行为的实现监管。属性证明则提供向第三方证明其拥有合法属性权威签发的属性凭证,以满足特定应用对用户特征的限制。
附图说明
图1是本发明系统拓扑图;
图2本发明方法的流程示意图。
具体实施方式
本发明提供一种基于eID的身份认证属性证明协议系统,包括ASP子系统、用户代理子系统和属性凭证验证子系统,
用户代理子系统代表用户向ASP子系统请求属性凭证,ASP子系统代表属性服务提供方签发属性凭证给用户代理子系统,
依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统要求用户代理子系统出示ASP子系统签发的属性凭证进行身份证明,从而获得属性凭证验证子系统所在的依赖方提供的服务。
同时提供与上述方法相对应的一种基于eID的身份认证属性证明方法,根据所述的系统,用户利用用户代理子系统向ASP子系统请求属性凭证,属性服务提供方利用ASP子系统签发属性凭证给用户代理子系统,
依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,用户利用用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统要求用户出示属性凭证,用户利用用户代理子系统向属性凭证验证子系统出示ASP子系统签发的属性凭证进行身份证明,从而获得依赖方提供的服务。
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
利用本发明方法及系统,
用户利用用户代理子系统向ASP子系统请求属性凭证,属性服务提供方利用ASP子系统签发属性凭证给用户代理子系统,
依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,该信赖一般通过公钥系统建立,依赖方存储信赖的所有属性服务提供方的公钥,
用户利用用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统回复属性访问请求,回复中包含属性凭证验证子系统所信任的属性服务提供方的标识,用户代理子系统根据属性服务提供方的标识选择合适的属性凭证进行身份证明,从而获得依赖方提供的服务。
在上述实施例中,ASP子系统可以为多个用户和依赖方RP提供属性服务,同时依赖方RP也可以信任多个ASP子系统,即ASP子系统代表属性服务提供方为不同用户和依赖方提供属性服务,依赖方接受不同的ASP子系统签发的属性凭证,同时属性凭证验证子系统通常嵌入在应用系统中,
当用户利用用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统回复属性访问请求,回复中包含属性凭证验证子系统所信任的属性服务提供方的标识,用户代理子系统根据属性服务提供方的标识选择合适的属性凭证进行身份证明,从而获得依赖方提供的服务。
在上述实施例中,用户与属性服务提供方建立TLS安全信道保护传输的数据,用户和属性服务提供方进行签发协议时,通过TLS安全信道建立协议可以同时完成相互认证和信道建立,如果在系统中采用客户端证书认证的TLS协议,则本发明中属性服务提供方与用户直接的相互认证过程可以省略,用户和依赖方进行属性证明时,也可以建立TLS安全信道,保护用户属性凭证验证时的隐私,该TLS信道不需要使用客户端证书认证。
同时,上述实施例中,如果需要加入属性的有效期信息,则只需要把第一个属性设定为有效期,在出示时必须出示有效期这个属性即可。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
Claims (9)
1.一种基于eID的身份认证属性证明协议系统,其特征是
包括ASP子系统、用户代理子系统和属性凭证验证子系统,
用户代理子系统代表用户向ASP子系统请求属性凭证,ASP子系统代表属性服务提供方签发属性凭证给用户代理子系统,
依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统要求用户代理子系统出示ASP子系统签发的属性凭证进行身份证明,从而获得属性凭证验证子系统所在的依赖方提供的服务。
2.根据权利要求1所述的系统,其特征是ASP子系统代表属性服务提供方为不同用户和依赖方提供属性服务,依赖方接受不同的ASP子系统签发的属性凭证。
3.根据权利要求1或2所述的系统,其特征是用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统回复属性访问请求,回复中包含属性凭证验证子系统所信任的属性服务提供方的标识,用户代理子系统根据属性服务提供方的标识选择合适的属性凭证进行身份证明。
4.根据权利要求3所述的系统,其特征是依赖方的属性凭证验证子系统通过存储属性服务提供方的公钥信任ASP子系统签发的属性凭证。
5.一种基于eID的身份认证属性证明方法,其特征是根据权利要求1-4任一所述的系统,用户利用用户代理子系统向ASP子系统请求属性凭证,属性服务提供方利用ASP子系统签发属性凭证给用户代理子系统,
依赖方的属性凭证验证子系统信任ASP子系统签发的属性凭证,用户利用用户代理子系统向属性凭证验证子系统发出属性访问请求,属性凭证验证子系统要求用户出示属性凭证,用户利用用户代理子系统向属性凭证验证子系统出示ASP子系统签发的属性凭证进行身份证明,从而获得依赖方提供的服务。
6.根据权利要求5所述的方法,其特征是属性服务提供方利用ASP子系统为不同用户和依赖方提供属性服务,依赖方接受不同的ASP子系统签发的属性凭证。
7.根据权利要求5或6所述的方法,其特征是用户利用用户代理子系统向依赖方的属性凭证验证子系统发出属性访问请求,依赖方的属性凭证验证子系统回复属性访问请求,回复中包含属性凭证验证子系统所信任的属性服务提供方的标识,用户利用用户代理子系统根据属性服务提供方的标识选择合适的属性凭证进行身份证明。
8.根据权利要求7所述的方法,其特征是用户与属性服务提供方建立TLS安全信道保护传输的数据。
9.根据权利要求8所述的方法,其特征是用户与依赖方建立TLS安全信道保护用户的属性凭证验证时的用户隐私。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811432754.9A CN109450916A (zh) | 2018-11-28 | 2018-11-28 | 一种基于eID的身份认证属性证明协议系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811432754.9A CN109450916A (zh) | 2018-11-28 | 2018-11-28 | 一种基于eID的身份认证属性证明协议系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109450916A true CN109450916A (zh) | 2019-03-08 |
Family
ID=65555038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811432754.9A Pending CN109450916A (zh) | 2018-11-28 | 2018-11-28 | 一种基于eID的身份认证属性证明协议系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109450916A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110555756A (zh) * | 2019-09-04 | 2019-12-10 | 中国联合网络通信集团有限公司 | 无人值守租车方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0456386B1 (en) * | 1990-05-11 | 1998-11-11 | International Computers Limited | Access control in a distributed computer system |
| CN104125199A (zh) * | 2013-04-25 | 2014-10-29 | 中国科学院软件研究所 | 一种基于属性的匿名认证方法及系统 |
| CN106533681A (zh) * | 2015-09-11 | 2017-03-22 | 中国科学院软件研究所 | 一种支持部分出示的属性证明方法与系统 |
| CN108769020A (zh) * | 2018-05-29 | 2018-11-06 | 东北大学 | 一种隐私保护的身份属性证明系统及方法 |
-
2018
- 2018-11-28 CN CN201811432754.9A patent/CN109450916A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0456386B1 (en) * | 1990-05-11 | 1998-11-11 | International Computers Limited | Access control in a distributed computer system |
| CN104125199A (zh) * | 2013-04-25 | 2014-10-29 | 中国科学院软件研究所 | 一种基于属性的匿名认证方法及系统 |
| CN106533681A (zh) * | 2015-09-11 | 2017-03-22 | 中国科学院软件研究所 | 一种支持部分出示的属性证明方法与系统 |
| CN108769020A (zh) * | 2018-05-29 | 2018-11-06 | 东北大学 | 一种隐私保护的身份属性证明系统及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110555756A (zh) * | 2019-09-04 | 2019-12-10 | 中国联合网络通信集团有限公司 | 无人值守租车方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Lin et al. | BCPPA: A blockchain-based conditional privacy-preserving authentication protocol for vehicular ad hoc networks | |
| CN103856477B (zh) | 一种可信计算系统及相应的认证方法和设备 | |
| US9768962B2 (en) | Minimal disclosure credential verification and revocation | |
| CN113438088B (zh) | 基于区块链分布式身份的社交网络信用监测方法及装置 | |
| US8726360B2 (en) | Telecommunication method, computer program product and computer system | |
| TW201916633A (zh) | 基於憑證管理的電動車充電方法和系統 | |
| CN108769020B (zh) | 一种隐私保护的身份属性证明系统及方法 | |
| CN105608577A (zh) | 实现不可否认性的方法及其支付管理服务器和用户终端 | |
| CN113204783B (zh) | 一种隐私保护的安全去中心化自我主权身份认证协议方法 | |
| KR20070030284A (ko) | 일회용 사설키를 사용하여 디지털 서명을 구현하기 위한시스템 및 방법 | |
| US8700909B2 (en) | Revocation of a biometric reference template | |
| CN108206821A (zh) | 一种身份认证的方法及系统 | |
| CN101262342A (zh) | 分布式授权与验证方法、装置及系统 | |
| CN101527634B (zh) | 账户信息与证书绑定的系统和方法 | |
| CN105376064B (zh) | 一种匿名消息认证系统及其消息签名方法 | |
| CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
| KR20220028870A (ko) | 블록체인 네트워크 기반의 분산 아이디(Decentralized Identifier, DID)를 이용한 모바일 신분증 인증 서비스 방법 및 모바일 신분증 인증 서비스를 수행하는 사용자 단말 | |
| CN115174091B (zh) | 一种面向分布式数字身份的同态加密隐私保护方法 | |
| CN105554018A (zh) | 网络实名验证方法 | |
| WO2021198017A1 (de) | Personalisierter, serverindividueller authentifizierungsmechanismus | |
| CN117280346A (zh) | 用于生成、提供和转发基于与用户相关的电子文件的可信电子数据集或证书的方法和装置 | |
| Abraham et al. | SSI Strong Authentication using a Mobile-phone based Identity Wallet Reaching a High Level of Assurance. | |
| CN110321682A (zh) | 一种基于uaf和ibc的统一身份认证方法及装置 | |
| CN106533681A (zh) | 一种支持部分出示的属性证明方法与系统 | |
| CN109450916A (zh) | 一种基于eID的身份认证属性证明协议系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190308 |