專利名稱:一種基于標(biāo)識認(rèn)證的全球網(wǎng)絡(luò)實(shí)名制實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域�����,是運(yùn)用計(jì)算機(jī)網(wǎng)絡(luò)、密碼和芯片技術(shù)���,來建立身份認(rèn)證 和數(shù)字簽名協(xié)議�,本發(fā)明適用于在全世界各國家或地區(qū)建立全球網(wǎng)絡(luò)實(shí)名制�。
背條技術(shù)
目前,世界各國使用的網(wǎng)絡(luò)身份認(rèn)證技術(shù)有兩類��, 一類是基于非密碼算法技術(shù)建立 的認(rèn)證協(xié)議如RADIUS��、密保(動(dòng)態(tài)口令)等���,第二類是基于密碼算法技術(shù)建立的認(rèn) 證協(xié)議,如KERBEROS��、 PPP���、 PKI和舊E ,第一類認(rèn)證協(xié)議由于沒有使用密碼算 法���,安全性能比較低,不適合來建立國際網(wǎng)絡(luò)實(shí)名制��,第二類認(rèn)證協(xié)議使用密碼算法�, 安全性能比較髙�,KERBEROS是基于"票證"并采用對稱密碼算法建立的認(rèn)證協(xié)議���, 具有較髙的安全性能�,但是��,KERBEROS中"票證"日常注冊管理煩瑣�,密鑰更新維 護(hù)成本較髙,PPP是基于MD5的認(rèn)證協(xié)議��,認(rèn)證協(xié)議存在安全漏洞��,PKI�����、舊E安全性 能較髙�����,尤其是PKI巳經(jīng)成為各國政府和軍隊(duì)網(wǎng)絡(luò)實(shí)名制的主流技術(shù)�����,相對比較普及���, 但是��,認(rèn)證中心建設(shè)成本較髙����,管理用戶的規(guī)模化不夠��,尤其對用戶達(dá)到幾十萬以上���, 需要建立很多個(gè)認(rèn)證中心交叉認(rèn)證,影響認(rèn)證效率����,認(rèn)證中心認(rèn)證速度較慢并發(fā)用戶量 小,不能支持超大用戶規(guī)模的網(wǎng)絡(luò)實(shí)名制����。IBE與PKI相似,認(rèn)證中心認(rèn)證速度較慢�����, 認(rèn)證中心建設(shè)成本較髙�����,也不能支持超大用戶規(guī)模的身份認(rèn)證,因此�,以上技術(shù)都不能 滿足全球網(wǎng)絡(luò)實(shí)名制的技術(shù)需求
發(fā)明內(nèi)容
:
一種基于標(biāo)識認(rèn)證的全球網(wǎng)絡(luò)實(shí)名制實(shí)現(xiàn)方法,是采用對稱密碼算法和芯片技術(shù)��, 建立分類認(rèn)證中心�,為國內(nèi)和國外網(wǎng)絡(luò)用戶提供認(rèn)證服務(wù),其實(shí)施步驟如下
首先��,為國際上所有網(wǎng)絡(luò)用戶建立唯一的用戶標(biāo)識����,用電話號碼的國家或地區(qū)區(qū)號 和用戶所在國的身份證號結(jié)合,作為網(wǎng)絡(luò)用戶的標(biāo)識�,并對應(yīng)用戶名和一套"密鑰種子" 表KK,在各國都要建立國內(nèi)和國際兩類認(rèn)證中心,國內(nèi)網(wǎng)路用戶在該國國內(nèi)認(rèn)證中心進(jìn)行身份認(rèn)證�,國外網(wǎng)絡(luò)用戶在該國的國際認(rèn)證中心進(jìn)行身份認(rèn)證,各國的每座網(wǎng)站上都
建立一對一的國內(nèi)認(rèn)證中心��,各國的所有網(wǎng)站都同時(shí)對應(yīng)10 30座國際認(rèn)證中心���,各網(wǎng) 站的認(rèn)證協(xié)議根據(jù)用戶的標(biāo)識中電話號碼的區(qū)號�,將認(rèn)證任務(wù)轉(zhuǎn)給對應(yīng)的國內(nèi)或國外認(rèn) 證中心來完成,各國的網(wǎng)絡(luò)用戶人手一把網(wǎng)絡(luò)認(rèn)證硬件設(shè)備���,來訪問并登錄全球所有國 家的網(wǎng)站��,在各國的國內(nèi)或國際認(rèn)證中心���、客戶機(jī)以及各國網(wǎng)絡(luò)實(shí)名制協(xié)會都建立加密 系統(tǒng),且釆用對稱密碼算法建立身份認(rèn)證協(xié)議和數(shù)字簽名協(xié)議����,運(yùn)用組合密鑰技術(shù)來加 密一組時(shí)間戳和隨機(jī)數(shù)生成認(rèn)證口令進(jìn)行身份認(rèn)證,或加密一組"摘要"進(jìn)行數(shù)字簽名����, 實(shí)現(xiàn)認(rèn)證密鑰和簽名密鑰一次一變,采用標(biāo)識認(rèn)證方式解決認(rèn)證中心規(guī)?��;J(rèn)證的"瓶 頸",通過各國的網(wǎng)絡(luò)實(shí)名制協(xié)會�����,來生產(chǎn)本國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)�����,并建立各國網(wǎng)絡(luò)用 戶認(rèn)證參數(shù)的安全更新維護(hù)方法,從而����,實(shí)現(xiàn)全球網(wǎng)絡(luò)實(shí)名制,全部過程用軟件和硬件 結(jié)合方式實(shí)現(xiàn)����,具體方法如下-
1、 網(wǎng)絡(luò)實(shí)名制是網(wǎng)絡(luò)用戶通過身份認(rèn)證進(jìn)入并訪問目標(biāo)網(wǎng)站��,且上網(wǎng)操作的主要任 務(wù)(或主要過程)不可抵賴�����,對于網(wǎng)絡(luò)用戶來說���,國際網(wǎng)絡(luò)實(shí)名制是將全球所有訪問各 網(wǎng)站的網(wǎng)絡(luò)用戶分為�,國內(nèi)網(wǎng)絡(luò)用戶和國外網(wǎng)絡(luò)用戶兩類�,各網(wǎng)站的實(shí)名制都需要對這 兩類網(wǎng)絡(luò)用戶進(jìn)行身份認(rèn)證,為此�����,建立國內(nèi)網(wǎng)絡(luò)用戶登錄本國網(wǎng)站的實(shí)名制架構(gòu)和國 外網(wǎng)絡(luò)用戶登錄本國網(wǎng)站的實(shí)名制架構(gòu)。
2���、 建立國內(nèi)網(wǎng)絡(luò)用戶登錄本國網(wǎng)站的實(shí)名制架構(gòu)����,全球有國家或地區(qū)大約為210 個(gè)����,在每個(gè)Gi國(i=l 210)的網(wǎng)站上建立一座國內(nèi)認(rèn)證中心,即建立與網(wǎng)站一對一 的國內(nèi)認(rèn)證中心����,將國內(nèi)全體網(wǎng)絡(luò)用戶SS (SS《3億)的認(rèn)證參數(shù)存放在國內(nèi)認(rèn)證中心, 為Gi國全體網(wǎng)絡(luò)用戶登錄Gi國網(wǎng)站提供認(rèn)證服務(wù)���。
3����、 各國的國內(nèi)認(rèn)證中心技術(shù)人員負(fù)責(zé)對本認(rèn)證中心網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的維護(hù)工作���, 在Gi國的各個(gè)國內(nèi)認(rèn)證中心都存放Gi國全部網(wǎng)絡(luò)用戶的認(rèn)證參數(shù),包括用戶標(biāo)識�����、 用戶名和"密鑰種子"。
4�、 網(wǎng)絡(luò)用戶的標(biāo)識由各國或地區(qū)的國際電話號碼區(qū)號和身份證號組成,即在身份 證號前面加上國家或地區(qū)的國際電話號碼區(qū)號�,如0028XXXXXXXXXXXXXXXXXX, 表示中國的網(wǎng)絡(luò)用戶。
5��、 網(wǎng)絡(luò)用戶的用戶標(biāo)識由22 ~ 36數(shù)字或字母組成�,每位數(shù)字或字母占4或8比 特,共占ll 36字節(jié)���,每個(gè)網(wǎng)絡(luò)用戶的用戶標(biāo)識都互不相同����,并具有唯一性����,網(wǎng)絡(luò)用
戶的用戶名由中國拼音IO 30位字母組成。
86���、 Gi國(i=l~210)的各個(gè)網(wǎng)站都通過網(wǎng)絡(luò)用戶標(biāo)識中的國家或地區(qū)的國際電話 區(qū)號指引�����,將全球的網(wǎng)絡(luò)用戶身份識別任務(wù)��,交給Gi國各個(gè)網(wǎng)站對應(yīng)的國內(nèi)認(rèn)證中心 或國際認(rèn)證中心來完成�����,合法的網(wǎng)絡(luò)用戶能訪問并登錄Gi國網(wǎng)站進(jìn)行實(shí)名制操作�,非 法網(wǎng)絡(luò)用戶不能訪問并登錄Gi國網(wǎng)站進(jìn)行實(shí)名制操作。
7����、 認(rèn)證參數(shù)中的"密鑰種子"由二進(jìn)制數(shù)組成,是用隨機(jī)數(shù)發(fā)生器產(chǎn)生的"0"��、 "1" 亂碼�����,并具有隨機(jī)性�����,每個(gè)網(wǎng)絡(luò)用戶擁有一套"密鑰種子"KK,即每個(gè)用戶標(biāo)識對應(yīng) 一套"密鑰種子"���,各網(wǎng)絡(luò)用戶的"密鑰種子"都互不相同�����,每個(gè)網(wǎng)絡(luò)用戶的"密鑰種 子"占1.31 KB ~ 2.62 B字節(jié)�,并組成MXN "密鑰種子"KK表����,KK表的每個(gè)元素為 0.5或1字節(jié),
KK=
v0 0�����, V 0 1, ���, v0 N-l vl 0' vl 1�����, �����, vl N-1
VM-1 0��, VM-1 1�����,���, VM~1 N-l
(MXN)
其中KK表的元素為Vi i , i=0 ~ M-l���,就j=0 ~ N-l , M=66~164���, N46或32�。
8���、 建立全球各國(不含Gi國)網(wǎng)絡(luò)用戶登錄Gi國網(wǎng)站的實(shí)名制架構(gòu)���,設(shè)Gl國、…�、 Gj國、 ��、 G210國(j#i)為國外209個(gè)國家或地區(qū)(不同于Gi國)����,在Gi國建立10 30座國際認(rèn)證中心���,將全球這209個(gè)國家或地區(qū)(不含Gi國)的網(wǎng)絡(luò)用戶的認(rèn)證參數(shù), 分別存放在Gi國建立的10~30座國際認(rèn)證中心里�,B卩在Gi國的10 30座國際認(rèn)證 中心存放的是全球其他209個(gè)國家或地區(qū)(不含Gi國)的全體網(wǎng)絡(luò)用戶S (30億《S《 60億)的認(rèn)證參數(shù)���,為全球其他209個(gè)國家或地區(qū)(不含Gi國)的網(wǎng)絡(luò)用戶登錄Gi國 網(wǎng)站提供認(rèn)證服務(wù)���。
9、 由Gi國(i=l~210)的網(wǎng)絡(luò)實(shí)名制協(xié)會根據(jù)全球其他209個(gè)國家或地區(qū)(不含 Gi國)的語言種類和網(wǎng)絡(luò)用戶數(shù)量�����,將全球其他209個(gè)國家或地區(qū)(不含Gi國)的網(wǎng) 絡(luò)用戶認(rèn)證參數(shù)分別存放在Gi國的10 30座國際認(rèn)證中心里����,B卩 一座國際認(rèn)證中心 可能存放一個(gè)國家或地區(qū)的網(wǎng)絡(luò)用戶SI (1.5億《S1《3億)認(rèn)證參數(shù),也可能存放多個(gè)國家或地區(qū)的網(wǎng)絡(luò)用戶S2 (1.5億《S2《3億)認(rèn)證參數(shù)��,如將約2億多的美國網(wǎng)絡(luò)用 戶的認(rèn)證參數(shù)存放在一座國際認(rèn)證中心�����,將約2~3億使用英語的所有非洲國家的網(wǎng)絡(luò)用 戶認(rèn)證參數(shù)存放在一座國際認(rèn)證中心�。
10�、在Gi國建立的國際認(rèn)證中心�,為全球其它209個(gè)國家或地區(qū)(不含Gi國)的網(wǎng) 絡(luò)用戶訪問Gi國網(wǎng)站提供第三方集中認(rèn)證服務(wù),B卩將登錄Gi國所有網(wǎng)站的國外Gj (j ^i)網(wǎng)絡(luò)用戶的身份認(rèn)證任務(wù),通過G1國���、…����、Gj國�����、 �����、 G210國(不含Gi國)這 209個(gè)國家或地區(qū)網(wǎng)絡(luò)用戶的標(biāo)識指引�����,交給Gi國的10 30座國際認(rèn)證中心對應(yīng)Gj國 (i^j)的國際認(rèn)證中心來完成�����,Gi國網(wǎng)絡(luò)實(shí)名制協(xié)會的技術(shù)人員,負(fù)責(zé)為本國的10 30座國際認(rèn)證中心網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的更新維護(hù)工作���。
11��、 客戶機(jī)端加密系統(tǒng)的建立���,在客戶機(jī)上采用一支具有標(biāo)準(zhǔn)USB接口的密碼鑰匙 (即智能卡),或在用戶的身份上嵌入一塊智能芯片���,作為客戶機(jī)端網(wǎng)絡(luò)用戶的身份認(rèn)證
和數(shù)字簽名硬件設(shè)備,將對稱密碼算法����、對稱密鑰生成算法和一套"密鑰種子"表KK, 預(yù)先存放在智能卡的芯片中�,其中各個(gè)網(wǎng)絡(luò)用戶的一套"密鑰種子"表KK都互不相同, 在身份認(rèn)證和數(shù)字簽名協(xié)議中�����,對稱密鑰��、認(rèn)證口令和數(shù)字簽名都在芯片中生成�,從而, 提髙身份認(rèn)證和數(shù)字簽名協(xié)議的安全等級,在網(wǎng)絡(luò)上傳輸?shù)氖强梢怨_的身份認(rèn)證數(shù)據(jù)�, 包括經(jīng)過編碼的用戶標(biāo)識、時(shí)間戳�、隨機(jī)數(shù)、認(rèn)證口令(或數(shù)字簽名)和客戶端的IP 地址號�����。
12��、 認(rèn)證中心加密系統(tǒng)的建立�,在國內(nèi)或國際各個(gè)認(rèn)證中心的認(rèn)證服務(wù)器端使用標(biāo) 準(zhǔn)的PCI接口,與一塊或多塊加密卡結(jié)合��,作為各個(gè)認(rèn)證中心的認(rèn)證服務(wù)器端的認(rèn)證硬 件設(shè)備���,在加密卡芯片中�����,存放一套對稱密碼算法����、對稱密鑰生成算法和一組專用對稱 密鑰K�,其中各個(gè)國內(nèi)或各個(gè)國際認(rèn)證中心的對稱密鑰K都各不相同�,在國內(nèi)或國際 各個(gè)認(rèn)證中心認(rèn)證服務(wù)器里���,存放國內(nèi)或國外網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)用戶標(biāo)識����、用戶名 和"密鑰種子"表KK�����,其中將所有網(wǎng)絡(luò)用戶的"密鑰種子"表KK,用各個(gè)認(rèn)證中心 加密卡芯片中的專用對稱密鑰K事先分別加密成密文����,與對應(yīng)的國內(nèi)或國外網(wǎng)絡(luò)用戶的 標(biāo)識和用戶名一起�����,存放在認(rèn)證中心認(rèn)證服務(wù)器的數(shù)據(jù)庫里���,每個(gè)網(wǎng)絡(luò)用戶的"密鑰種 子"占1.31 KB ~ 2.62 KB字節(jié)�����,3億網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)大于為400 ~ 800 GB字 節(jié)����,每座認(rèn)證中心能管理網(wǎng)絡(luò)用戶SS (SS《3億),這種采用標(biāo)識認(rèn)證的方式解決了認(rèn)證 中心規(guī)?����;J(rèn)證的"瓶頸"�。
13、 在同一國家或地區(qū)的各個(gè)國內(nèi)認(rèn)證中心的加密卡里���,還存放一套相同的"密鑰
10種子"表KKi (i=l 210)����,該套"密鑰種子"表KKi與國內(nèi)網(wǎng)絡(luò)認(rèn)證協(xié)會(或?qū)W會)的 加密系統(tǒng)中一套"密鑰種子"表KKi相同���,各國(即Gl國�����、……�����、G210國)網(wǎng)絡(luò)實(shí)名 制協(xié)會使用一套"密鑰種子"表KKi (i=l~210)�,來加密國內(nèi)網(wǎng)絡(luò)實(shí)名制協(xié)會制作的國 內(nèi)網(wǎng)絡(luò)用戶認(rèn)證參數(shù),進(jìn)行各個(gè)國內(nèi)認(rèn)證中心與該國或地區(qū)的網(wǎng)絡(luò)認(rèn)證協(xié)會(或?qū)W會) 之間的數(shù)據(jù)安全傳輸��,實(shí)現(xiàn)同一國家或地區(qū)的各個(gè)國內(nèi)認(rèn)證中心存放的國內(nèi)網(wǎng)絡(luò)用戶認(rèn) 證參數(shù)的更新維護(hù)�����。
14���、 網(wǎng)絡(luò)實(shí)名制協(xié)會加密系統(tǒng)建立
(1) 在各國網(wǎng)絡(luò)實(shí)名制協(xié)會的加密系統(tǒng)硬件設(shè)備里����,事先存放一套對稱加密算法���、 一套對稱密鑰生成算法���、 一套"密鑰種子"表KKi (i=l 210)和210套"密鑰種子" 表(KEY1 、 KEY2����、……��、KEY210),由于國際上有210個(gè)國家或地區(qū)�,所以需要設(shè)置210 套"密鑰種子"表�����,這210套"密鑰種子"表與210個(gè)國家或地區(qū)二者建立一一對應(yīng)關(guān) 系����,各國網(wǎng)絡(luò)實(shí)名制協(xié)會都對應(yīng)一套"密鑰種子"表KEY i (i=l 210)�,艮卩Gi國對 應(yīng)"密鑰種子"表KEYi ,各國網(wǎng)絡(luò)實(shí)名制協(xié)會都有210套相同的"密鑰種子"表(KEY1 、 KEY2��、 ......�、 KEY210);
(2) Gi國(i=l 210)網(wǎng)絡(luò)實(shí)名制協(xié)會使用一套"密鑰種子"表KKi (i=l 210), 來加密國內(nèi)網(wǎng)絡(luò)實(shí)名制協(xié)會制作的國內(nèi)網(wǎng)絡(luò)用戶認(rèn)證參數(shù)�����,為國內(nèi)認(rèn)證中心提供國內(nèi)網(wǎng) 絡(luò)用戶認(rèn)證參數(shù)的安全更新維護(hù)���;
(3) 全球有210個(gè)國家或地區(qū)設(shè)為Gl國.....Gi國�、…�����、Gj國.....G210 (Gi
^Gj)�, Gj國(j=l 210)網(wǎng)絡(luò)實(shí)名制協(xié)會使用對應(yīng)本國的一套"密鑰種子"表KEY j
(j=l~210),來加密本國網(wǎng)絡(luò)實(shí)名制協(xié)會制作的網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)����,生成一種Gj國 網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的密文�����,存放在Gj國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站里���,供全球其他209個(gè)國 家或地區(qū)(即Gl國���、……、Gi國��、……��、G210國���,i^j)網(wǎng)絡(luò)實(shí)名制協(xié)會下載��,從 而��,實(shí)現(xiàn)全球各國網(wǎng)絡(luò)實(shí)名制協(xié)會之間網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的安全交換。
15����、 對稱密鑰生成算法��,是通過以時(shí)間戳和隨機(jī)數(shù)組成的對稱密鑰生成算法�����,對"密 鑰種子"表進(jìn)行選取��,B卩用時(shí)間戳來對"密鑰種子"KK表的"行"進(jìn)行控制選取����, 用隨機(jī)數(shù)來對"密鑰種子"KK表的"列"進(jìn)行控制選取���,從"密鑰種子"KK表中選取 N個(gè)"密鑰種子"表元素合并為一組對稱密鑰�,對稱密鑰由算法自動(dòng)生成�,實(shí)現(xiàn)對稱密 鑰更新免維護(hù),從而����,降低了認(rèn)證中心的運(yùn)營成本。
16���、 對稱密鑰生成算法中的時(shí)間戳能夠有效分割"密鑰種子"表的行���,當(dāng)KK表的元素為0.5比特���,時(shí)間戳取年、月�、日、時(shí)和分��,隨機(jī)數(shù)取32位16進(jìn)制時(shí)�����,KK表中的 時(shí)間戳的"年"行對應(yīng)10行元素����,"月"行對應(yīng)12行元素,"日"行對應(yīng)31行元素����,"時(shí)" 行對應(yīng)24行元素,"分"行對應(yīng)60行元素�,共137行元素,時(shí)間戳取"年" "分"共 5部分�����,32 (位)-5 (部分)=27 (行)���,137 (行)+27 (行)=164 (行)��,MXN=164X 32,在1分鐘內(nèi)"密鑰種子"取重復(fù)的概率很小1/280 ,保證組合密鑰一次一變����,不重 復(fù)使用�,從而,保證認(rèn)證口令�����、認(rèn)證密鑰和簽名密鑰都一次一變��,實(shí)現(xiàn)密鑰更新管理安 全�����、髙效�。
17、 各加密卡中的一組專用對稱密鑰K兩兩互不相同����,用K加密網(wǎng)絡(luò)用戶相同的"密 鑰種子"生成的密文互不相同����,實(shí)現(xiàn)不同認(rèn)證中心相同網(wǎng)絡(luò)用戶的"密鑰種子"的安全 存儲�����,同時(shí)���,有效分割不同認(rèn)證中心的網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)����。
18���、 密鑰生產(chǎn)與管理��,各國每個(gè)網(wǎng)絡(luò)用戶標(biāo)識是唯一的��,"密鑰種子"表KK也是 唯一的�����,二者之間建立一一對應(yīng)的關(guān)系���,本國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)用戶標(biāo)識�����、用戶名 和"密鑰種子"表KK����,由本國網(wǎng)絡(luò)實(shí)名制協(xié)會負(fù)責(zé)提供��,并由本國指定的商用密碼生 成廠商負(fù)責(zé)統(tǒng)一制作����,為本國網(wǎng)站對應(yīng)的國內(nèi)認(rèn)證中心����,提供本國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù), 也包括認(rèn)證參數(shù)的更新維護(hù)�,全球各國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù),分別由各國指定的商用密 碼生成廠商根據(jù)統(tǒng)一標(biāo)準(zhǔn)負(fù)責(zé)制作�����,再由各國網(wǎng)絡(luò)實(shí)名制協(xié)會負(fù)責(zé)定期相互提供�����。
19、 網(wǎng)絡(luò)實(shí)名制實(shí)施的過程�,是網(wǎng)絡(luò)用戶通過身份認(rèn)證協(xié)議來訪問并登錄目標(biāo)網(wǎng)站, 并進(jìn)入應(yīng)用系統(tǒng)瀏覽有關(guān)信息�,若網(wǎng)絡(luò)用戶還需要進(jìn)行匯款(或發(fā)表言論),必須對該用 戶填寫的匯款單(或發(fā)表的言論)進(jìn)行數(shù)字簽名�,并在客戶機(jī)端的芯片里存放在數(shù)字簽 名數(shù)據(jù)中的時(shí)間戳、隨機(jī)數(shù)����、數(shù)字簽名和客戶機(jī)的IP地址號,另外��,在認(rèn)證中心服務(wù)器 里存放數(shù)字簽名數(shù)據(jù)�,B卩用戶的標(biāo)識、時(shí)間戳���、隨機(jī)數(shù)���、數(shù)字簽名、客戶機(jī)的IP地址 號和匯款單(或發(fā)表言論)�����,通過在客戶機(jī)端的芯片和認(rèn)證中心的服務(wù)器中存放部分或全 部數(shù)字簽名數(shù)據(jù),來實(shí)現(xiàn)用戶的操作過程不可抵賴�。
圖1:身份認(rèn)證協(xié)議的過程圖 圖2:數(shù)字簽名協(xié)議的過程圖
圖3:各國的國內(nèi)認(rèn)證中心網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)更新維護(hù)過程的拓?fù)鋱D 圖4:各國的國際認(rèn)證中心網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)更新維護(hù)過程的拓?fù)鋱D
具體實(shí)施例方式
以下結(jié)合
國際網(wǎng)絡(luò)實(shí)名制的實(shí)現(xiàn)步驟
圖l:說明網(wǎng)絡(luò)實(shí)名制技術(shù)中身份認(rèn)證協(xié)議的實(shí)施過程如下
(1) 由客戶機(jī)端發(fā)出認(rèn)證請求;
(2) 由ffEB服務(wù)器產(chǎn)生時(shí)間戳和隨機(jī)數(shù)并發(fā)送給客戶機(jī)端�����,同時(shí)計(jì)算認(rèn)證生命周 期T;
(3) 客戶機(jī)收到時(shí)間戳和隨機(jī)數(shù)后傳輸給客戶機(jī)端硬件設(shè)備的芯片里���,根據(jù)時(shí)間
戳�、隨機(jī)數(shù)組成的對稱密鑰生成算法�����,對"密鑰種子"表KK的元素進(jìn)行選取�����,選出一
組對稱密鑰l,用該對稱密鑰l加密時(shí)間戳和隨機(jī)數(shù)生成認(rèn)證口令l�����,將用戶標(biāo)識�、認(rèn)
證口令l�、隨機(jī)數(shù)�、時(shí)間戳和客戶機(jī)的IP號等認(rèn)證數(shù)據(jù)���,并發(fā)送給WEB服務(wù)器���;
(4) WEB服務(wù)器首先計(jì)算T是否結(jié)束,若T結(jié)束����,則WEB服務(wù)器通知客戶機(jī)端認(rèn) 證失敗,若T未結(jié)束����,則WEB服務(wù)器根據(jù)用戶的標(biāo)識將認(rèn)證數(shù)據(jù)傳輸給國內(nèi)或國際認(rèn) 證中心,該認(rèn)證中心再根據(jù)用戶的標(biāo)識找到存放在認(rèn)證服務(wù)硬盤里該用戶對應(yīng)的一套
"密鑰種子"表KK,再將該套"密鑰種子"表KK傳給加密卡芯片里��,在芯片里將該 套"密鑰種子"表解密成明文,根據(jù)對稱密鑰生成算法從解密后的該套"密鑰種子" 表KK中選出一組對稱密鑰2,來加密時(shí)間戳和隨機(jī)數(shù)生成認(rèn)證口令2,再對比認(rèn)證口 令1和認(rèn)證口令2是否相同來確定用戶的身份是否合法�;
(5) 如果用戶身份認(rèn)證成功�����,將認(rèn)證結(jié)果通知WEB服務(wù)器認(rèn)證成功�����,WEB服務(wù)器將 用戶送入應(yīng)用服務(wù)器�����,應(yīng)用服務(wù)器根據(jù)用戶權(quán)限授權(quán)該用戶進(jìn)入相應(yīng)的應(yīng)用系統(tǒng)�,如果 身份認(rèn)證失敗,則拒絕該用戶訪問應(yīng)用系統(tǒng)�����,并將認(rèn)證結(jié)果經(jīng)過WEB服務(wù)器通知客戶機(jī) 端認(rèn)證失敗�。
圖2:說明網(wǎng)絡(luò)實(shí)名制技術(shù)中數(shù)字簽名協(xié)議的實(shí)施過程如下
(1) 客戶機(jī)端發(fā)出數(shù)字簽名請求(B卩網(wǎng)絡(luò)用戶點(diǎn)擊匯款或發(fā)表言論確任按鈕);
(2) WEB服務(wù)器產(chǎn)生時(shí)間戳和隨機(jī)數(shù)并發(fā)送給客戶機(jī)端���;
(3) 客戶機(jī)收到時(shí)間戳和隨機(jī)數(shù)后傳輸給客戶機(jī)端硬件設(shè)備的芯片里,并對網(wǎng)銀用 戶的匯款單(或發(fā)表言論)的內(nèi)容取出并合并在一起輸入該芯片里��,在芯片里���,數(shù)字簽 名系統(tǒng)使用HASH函數(shù)將匯款單(或發(fā)表言論)合并在一起的內(nèi)容進(jìn)行摘要�����,得到其"數(shù) 字指紋1",根據(jù)時(shí)間戳和隨機(jī)數(shù)組成的對稱密鑰生成算法��,對"密鑰種子"表KK元素進(jìn)行選取�����,選出一組對稱密鑰1,用該對稱密鑰1加密"數(shù)字指紋1",得到"數(shù)字指紋 1"的密文即數(shù)字簽名�����,再將數(shù)字簽名數(shù)據(jù)即用戶的標(biāo)識���、時(shí)間戳�����、隨機(jī)數(shù)��、數(shù)字簽 名���、客戶機(jī)的IP地址號和匯款單(或發(fā)表言論), 一并發(fā)送給WEB服務(wù)器��,同時(shí)�����,在客 戶機(jī)端的芯片里存放在數(shù)字簽名數(shù)據(jù)中的時(shí)間戳、隨機(jī)數(shù)�����、數(shù)字簽名和客戶機(jī)的IP地址 號�,其中該芯片里保存前30次的數(shù)字簽名數(shù)據(jù),新的數(shù)字簽名數(shù)據(jù)進(jìn)來將舊的數(shù)字簽 名數(shù)據(jù)清除�����;
(4) WEB服務(wù)器收到數(shù)字簽名數(shù)據(jù)即網(wǎng)絡(luò)用戶標(biāo)識���、時(shí)間戳�����、隨機(jī)數(shù)����、數(shù)字簽名�����、 客戶機(jī)的IP地址號和匯款單(或發(fā)表言論)之后�����,根據(jù)網(wǎng)絡(luò)用戶的標(biāo)識����,將數(shù)字簽名數(shù) 據(jù)發(fā)送給對應(yīng)的國內(nèi)或國外認(rèn)證中心
(5) 在該認(rèn)證中心里,首先�,簽名驗(yàn)證系統(tǒng)定位存放在認(rèn)證服務(wù)硬盤里該網(wǎng)絡(luò)用戶 對應(yīng)的"密鑰種子"表KK,再輸入加密卡芯片里�����,根據(jù)時(shí)間戳和隨機(jī)數(shù)組成的對稱密鑰 生成算法�,對"密鑰種子"表KK進(jìn)行選取,選出一組對稱密鑰2�,用該對稱密鑰2解密 數(shù)字簽名得到"數(shù)字指紋l"的明文,使用HASH函數(shù)將匯款單(或發(fā)表言論)內(nèi)容進(jìn)行 摘要得到"數(shù)字指紋2"����,經(jīng)過對比"數(shù)字指紋1"和"數(shù)字指紋2"是否相同,來確定 是否為合法簽名�,若為合法簽名,則該認(rèn)證中心的簽名驗(yàn)證系統(tǒng)將合法簽名的匯款單(或 發(fā)表言論)直接輸出給匯款(或發(fā)表言論)系統(tǒng)�,進(jìn)行匯款單(或發(fā)表言論),并將匯款 單(或發(fā)表言論)作為一條記錄存放在匯款單(或發(fā)表言論)數(shù)據(jù)庫中,并在認(rèn)證中心 存放數(shù)字簽名數(shù)據(jù)���,同時(shí)�����,經(jīng)過WEB服務(wù)器返回客戶機(jī)端"匯款(或發(fā)表的言論上網(wǎng)) 成功"�,若為非法簽名��,則該認(rèn)證中心的簽名驗(yàn)證系統(tǒng)經(jīng)過WEB服務(wù)器反饋該客戶機(jī)端
"非法簽名����,匯款(或發(fā)表的言論上網(wǎng))失敗"。
圖3:說明國際網(wǎng)絡(luò)實(shí)名制中���,各國的國內(nèi)認(rèn)證中心網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)更新維護(hù)過
程
Gi國網(wǎng)絡(luò)實(shí)名制協(xié)會技術(shù)人員����,首先啟動(dòng)該網(wǎng)絡(luò)實(shí)名制協(xié)會的加密系統(tǒng)��,由該加密 系統(tǒng)產(chǎn)生一組時(shí)間戳和隨機(jī)數(shù)����,由該加密系統(tǒng)產(chǎn)生一組時(shí)間戳和隨機(jī)數(shù),控制Gi國各網(wǎng) 站認(rèn)證中心統(tǒng)一對應(yīng)的一套"密鑰種子"表KKi (i=l 210),組合生成一組對稱密鑰��, 來加密Gi國全體或部分網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)生成密文���,并與該組時(shí)間戳和隨機(jī)數(shù)一起存 放到Gi國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站里��,Gi國各國內(nèi)認(rèn)證中心的技術(shù)人員��,定期經(jīng)過身份 認(rèn)證登錄Gi國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站�,下載Gi國網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的密文�����,Gi國國內(nèi)
認(rèn)證中心的加密系統(tǒng)��,根據(jù)收到的該組時(shí)間戳和隨機(jī)數(shù)����,對"密鑰種子"表KKi (i=l
14210)進(jìn)行組合選取,生成一組對稱密鑰���,來解密該國內(nèi)認(rèn)證中心獲得的Gi國網(wǎng)絡(luò)用戶 的認(rèn)證參數(shù)密文獲得明文�����,再用該國內(nèi)認(rèn)證中心芯片中的專用對稱密鑰K,分別對Gi國 全體或部分網(wǎng)絡(luò)用戶認(rèn)證參數(shù)中的"密鑰種子"表KK明文進(jìn)行加密生成密文�,并與對應(yīng) 的用戶標(biāo)識和用戶名一起存放在該認(rèn)證中心數(shù)據(jù)庫里,從而���,實(shí)現(xiàn)Gi國的國內(nèi)網(wǎng)站對應(yīng) 的國內(nèi)認(rèn)證中心里的國內(nèi)網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的更新維護(hù)�。
圖4:說明國際網(wǎng)絡(luò)實(shí)名制中�����,各國的國際認(rèn)證中心網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)更新維護(hù) 過程
Gl國網(wǎng)絡(luò)實(shí)名制協(xié)會的技術(shù)人員�,首先啟動(dòng)本國網(wǎng)絡(luò)實(shí)名制協(xié)會的加密系統(tǒng),由該 加密系統(tǒng)產(chǎn)生一組時(shí)間戳1和隨機(jī)數(shù)1,控制Gl國對應(yīng)的一套"密鑰種子"表KEY 1 組合生成一組對稱密鑰����,來加密Gl國網(wǎng)絡(luò)實(shí)名制協(xié)會制作的網(wǎng)絡(luò)用戶認(rèn)證參數(shù)生成密 文,再與該組時(shí)間戳1和隨機(jī)數(shù)1 一并存放在Gl國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站上,Gi國(1=1 210, i#j)的網(wǎng)絡(luò)實(shí)名制協(xié)會技術(shù)人員����,登錄Gl國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站,下載Gl 國的網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)密文��,再用對應(yīng)G1國的一套"密鑰種子"表KEY 1以及該組 時(shí)間戳l和隨機(jī)數(shù)l,組合生成一組對稱密鑰����,來解密G1國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)密文生 成明文����,之后���,Gi國的網(wǎng)絡(luò)實(shí)名制協(xié)會技術(shù)人員,用Gi國中對應(yīng)Gl國的國際認(rèn)證中心 (共10-30座中對應(yīng)G1國的一座)加密卡里的一組專用對稱密鑰K ���,分別加密G1國 所有網(wǎng)絡(luò)用戶認(rèn)證參數(shù)中的"密鑰種子"表KK,生成密文即"密鑰種子"表KK密文��, 并與對應(yīng)G1國用戶標(biāo)識和用戶名一起��,存放在Gi國中對應(yīng)Gl國的國際認(rèn)證中心的數(shù) 據(jù)庫里��,至此��,完成了 Gi國國際認(rèn)證中心中Gl國網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的安全更新維 護(hù)��,......�����,Gj國網(wǎng)絡(luò)實(shí)名制協(xié)會的技術(shù)人員�,啟動(dòng)本國網(wǎng)絡(luò)實(shí)名制協(xié)會的加密系統(tǒng)��,由
該加密系統(tǒng)產(chǎn)生一組時(shí)間戳j和隨機(jī)數(shù)j,并控制Gj國對應(yīng)的"密鑰種子"表KEY j 組合生成一組對稱密鑰���,將自己制作的本國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)加密成密文��,再與該組 時(shí)間戳j和隨機(jī)數(shù)j 一并存放在Gj國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站上��,供Gi國網(wǎng)絡(luò)實(shí)名制協(xié) 會技術(shù)人員用相同的方法獲取�,完成Gi國國際認(rèn)證中心中Gj國網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的安 全更新維護(hù)��,......�����,G210國網(wǎng)絡(luò)實(shí)名制協(xié)會的技術(shù)人員�����,用相同方法將自己制作的本國
網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)加密成密文���,存放在G210國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站上���,供Gi國網(wǎng) 絡(luò)實(shí)名制協(xié)會技術(shù)人員用相同的方法獲取,完成Gi國的國際認(rèn)證中心中G210國網(wǎng)絡(luò)用 戶認(rèn)證參數(shù)的安全更新維護(hù),當(dāng)i=l�����、 2����、……,210�����, i^j時(shí)��,Gi國網(wǎng)絡(luò)實(shí)名制協(xié)會的
技術(shù)人員��,用以上方法實(shí)現(xiàn)各國國際認(rèn)證中心里國外網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的更新維護(hù)�����。
權(quán)利要求
1�、一種基于標(biāo)識認(rèn)證的全球網(wǎng)絡(luò)實(shí)名制實(shí)現(xiàn)方法�,是采用對稱密碼算法和芯片技術(shù),建立分類認(rèn)證中心���,為國內(nèi)和國外網(wǎng)絡(luò)用戶提供認(rèn)證服務(wù)���,首先��,為國際上所有網(wǎng)絡(luò)用戶建立唯一的用戶標(biāo)識���,用電話號碼的國家或地區(qū)區(qū)號和用戶所在國的身份證號結(jié)合,作為網(wǎng)絡(luò)用戶的標(biāo)識�,并對應(yīng)用戶名和一套“密鑰種子”表KK,在各國都要建立國內(nèi)和國際兩類認(rèn)證中心���,國內(nèi)網(wǎng)路用戶在該國國內(nèi)認(rèn)證中心進(jìn)行身份認(rèn)證�,國外網(wǎng)絡(luò)用戶在該國的國際認(rèn)證中心進(jìn)行身份認(rèn)證�,各國的每座網(wǎng)站上都建立一對一的國內(nèi)認(rèn)證中心,各國的所有網(wǎng)站都同時(shí)對應(yīng)10~30座國際認(rèn)證中心�,各網(wǎng)站的認(rèn)證協(xié)議根據(jù)用戶的標(biāo)識中電話號碼的區(qū)號,將認(rèn)證任務(wù)轉(zhuǎn)給對應(yīng)的國內(nèi)或國外認(rèn)證中心來完成����,各國的網(wǎng)絡(luò)用戶人手一把網(wǎng)絡(luò)認(rèn)證硬件設(shè)備,來訪問并登錄全球所有國家的網(wǎng)站���,在各國的國內(nèi)或國際認(rèn)證中心���、客戶機(jī)以及各國網(wǎng)絡(luò)實(shí)名制協(xié)會都建立加密系統(tǒng)����,且采用對稱密碼算法建立身份認(rèn)證協(xié)議和數(shù)字簽名協(xié)議����,運(yùn)用組合密鑰技術(shù)來加密一組時(shí)間戳和隨機(jī)數(shù)生成認(rèn)證口令進(jìn)行身份認(rèn)證,或加密一組“摘要”進(jìn)行數(shù)字簽名��,實(shí)現(xiàn)認(rèn)證密鑰和簽名密鑰一次一變��,采用標(biāo)識認(rèn)證方式解決認(rèn)證中心規(guī)?��;J(rèn)證的“瓶頸”,通過各國的網(wǎng)絡(luò)實(shí)名制協(xié)會����,來生產(chǎn)本國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù),并建立各國網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的安全更新維護(hù)方法���,從而��,實(shí)現(xiàn)全球網(wǎng)絡(luò)實(shí)名制�����。
2�����、 根據(jù)權(quán)利要求1的方法�,其特征在于國際網(wǎng)絡(luò)實(shí)名制是將全球所有訪問各網(wǎng)站的網(wǎng)絡(luò)用戶分為,國內(nèi)網(wǎng)絡(luò)用戶和國外網(wǎng) 絡(luò)用戶兩類�,各網(wǎng)站的實(shí)名制都需要對這兩類網(wǎng)絡(luò)用戶進(jìn)行身份認(rèn)證,為此�����,建立國內(nèi) 網(wǎng)絡(luò)用戶登錄本國網(wǎng)站的實(shí)名制架構(gòu)和國外網(wǎng)絡(luò)用戶登錄本國網(wǎng)站的實(shí)名制架構(gòu)�。
3、根據(jù)權(quán)利要求2的方法���,其特征在于(1) 建立國內(nèi)網(wǎng)絡(luò)用戶登錄本國網(wǎng)站的實(shí)名制架構(gòu)�,全球有國家或地區(qū)大約為210 個(gè)�����,在每個(gè)Gi國(i=l~210)的網(wǎng)站上建立一座國內(nèi)認(rèn)證中心�����,艮P:建立與網(wǎng)站一對一 的國內(nèi)認(rèn)證中心,將國內(nèi)全體網(wǎng)絡(luò)用戶SS (SS《3億)的認(rèn)證參數(shù)存放在國內(nèi)認(rèn)證中心����, 為Gi國全體網(wǎng)絡(luò)用戶登錄Gi國網(wǎng)站提供認(rèn)證服務(wù);(2) 建立全球各國(不含Gi國)網(wǎng)絡(luò)用戶登錄Gi國網(wǎng)站的實(shí)名制架構(gòu)����,設(shè)Gl 國、 �、 Gj國、…���、G210國(j^i)為國外209個(gè)國家或地區(qū)(不同于Gi國)��,在Gi 國建立10 30座國際認(rèn)證中心,將全球這209個(gè)國家或地區(qū)(不含Gi國)的網(wǎng)絡(luò)用戶 的認(rèn)證參數(shù)�����,分別存放在Gi國建立的10 30座國際認(rèn)證中心里����,即在Gi國的10 30座國際認(rèn)證中心存放的是全球其他209個(gè)國家或地區(qū)(不含Gi國)的全體網(wǎng)絡(luò)用戶S(30億《S《60億)的認(rèn)證參數(shù)����,為全球其他209個(gè)國家或地區(qū)(不含Gi國)的網(wǎng)絡(luò)用 戶登錄Gi國網(wǎng)站提供認(rèn)證服務(wù)����。
4、 根據(jù)權(quán)利要求3的方法�,其特征在于Gi國(i=l 210)的各個(gè)網(wǎng)站都通過網(wǎng)絡(luò)用戶標(biāo)識中的國家或地區(qū)的國際電話區(qū)號 指引,將全球的網(wǎng)絡(luò)用戶身份識別任務(wù)��,交給Gi國各個(gè)網(wǎng)站對應(yīng)的國內(nèi)認(rèn)證中心或國際 認(rèn)證中心來完成����,合法的網(wǎng)絡(luò)用戶能訪問并登錄Gi國網(wǎng)站進(jìn)行實(shí)名制操作,非法網(wǎng)絡(luò)用 戶不能訪問并登錄Gi國網(wǎng)站進(jìn)行實(shí)名制操作����。
5、 根據(jù)權(quán)利要求3的方法����,其特征在于(1) 由Gi國(i=l 210)的網(wǎng)絡(luò)實(shí)名制協(xié)會根據(jù)全球其他209個(gè)國家或地區(qū)(不含 Gi國)的語言種類和網(wǎng)絡(luò)用戶數(shù)量,將全球其他209個(gè)國家或地區(qū)(不含Gi國)的網(wǎng) 絡(luò)用戶認(rèn)證參數(shù)分別存放在Gi國的10 30座國際認(rèn)證中心里���,即 一座國際認(rèn)證中心 可能存放一個(gè)國家或地區(qū)的網(wǎng)絡(luò)用戶Sl (1.5億《S1《3億)認(rèn)證參數(shù)�,也可能存放多個(gè) 國家或地區(qū)的網(wǎng)絡(luò)用戶S2 (1.5億《S2《3億)認(rèn)證參數(shù);(2) 在Gi國建立的國際認(rèn)證中心���,為全球其它209個(gè)國家或地區(qū)(不含Gi國)的 網(wǎng)絡(luò)用戶訪問Gi國網(wǎng)站提供第三方集中認(rèn)證服務(wù)�,即將登錄Gi國所有網(wǎng)站的國外Gj(j^i)網(wǎng)絡(luò)用戶的身份認(rèn)證任務(wù),交給Gi國的10 30座國際認(rèn)證中心對應(yīng)Gj國(i ^j)的國際認(rèn)證中心來完成��。
6��、 根據(jù)權(quán)利要求1的方法�����,其特征在于(1) 客戶機(jī)端加密系統(tǒng)的建立����,在客戶機(jī)上釆用一支具有標(biāo)準(zhǔn)USB接口的智能卡, 或在用戶的身份上嵌入一塊智能芯片�����,作為客戶機(jī)端網(wǎng)絡(luò)用戶的身份認(rèn)證和數(shù)字簽名硬 件設(shè)備���,將對稱密碼算法、對稱密鑰生成算法和一套"密鑰種子"表KK,預(yù)先存放在智 能卡的芯片中���,其中各個(gè)網(wǎng)絡(luò)用戶的一套"密鑰種子"表KK都不相同���,在身份認(rèn)證和 數(shù)字簽名協(xié)議中�,對稱密鑰��、認(rèn)證口令和數(shù)字簽名都在芯片中生成�����,從而����,提髙身份認(rèn) 證和數(shù)字簽名協(xié)議的安全等級;(2) 認(rèn)證中心加密系統(tǒng)的建立�,在國內(nèi)或國際各個(gè)認(rèn)證中心的認(rèn)證服務(wù)器端插入一 塊或多塊加密卡結(jié)合,作為各個(gè)認(rèn)證中心的認(rèn)證服務(wù)器端的認(rèn)證硬件設(shè)備�����,在加密卡芯 片中�,存放一套對稱密碼算法、對稱密鑰生成算法和一組專用對稱密鑰K���,其中各個(gè) 國內(nèi)或各個(gè)國際認(rèn)證中心的對稱密鑰K都各不相同�����,在國內(nèi)或國際各個(gè)認(rèn)證中心認(rèn)證服務(wù)器里����,存放國內(nèi)或國外網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)用戶標(biāo)識、用戶名和"密鑰種子"表KK�����,其中將所有網(wǎng)絡(luò)用戶的"密鑰種子"表KK,用各個(gè)認(rèn)證中心加密卡芯片中的專用對 稱密鑰K事先分別加密成密文�����,與對應(yīng)的國內(nèi)或國外網(wǎng)絡(luò)用戶的標(biāo)識和用戶名一起���,存 放在認(rèn)證中心認(rèn)證服務(wù)器的數(shù)據(jù)庫里����,每座認(rèn)證中心能管理網(wǎng)絡(luò)用戶SS(SS《3億)����,這 種采用標(biāo)識認(rèn)證的方式解決了認(rèn)證中心規(guī)模化認(rèn)證的"瓶頸";(3)網(wǎng)絡(luò)實(shí)名制協(xié)會加密系統(tǒng)建立����,在各國網(wǎng)絡(luò)實(shí)名制協(xié)會的加密系統(tǒng)硬件設(shè)備里, 事先存放一套對稱加密算法�、 一套對稱密鑰生成算法、 一套"密鑰種子"表KKi (i=l 210)和210套"密鑰種子"表(KEY1 ���、 KEY2�����、 ......��、 KEY210),由于國際上有210個(gè)國家或地區(qū)����,所以需要設(shè)置210套"密鑰種子"表�����,這210套"密鑰種子"表與210個(gè)國 家或地區(qū)二者建立一一對應(yīng)關(guān)系�,各國網(wǎng)絡(luò)實(shí)名制協(xié)會都對應(yīng)一套"密鑰種子"表KEY i (i=l 210), B卩Gi國對應(yīng)"密鑰種子"表KEYi ,各國網(wǎng)絡(luò)實(shí)名制協(xié)會都有210套 相同的"密鑰種子"表(KEYI �、 KEY2、 ......、 KEY210)��。
7����、 根據(jù)權(quán)利要求6的方法,其特征在于(1) 在同一國家或地區(qū)的各個(gè)國內(nèi)認(rèn)證中心的加密卡里�,還存放一套相同的"密鑰 種子"表KKi (i=l 210),該套"密鑰種子"表KKi與國內(nèi)網(wǎng)絡(luò)認(rèn)證協(xié)會(或?qū)W會)的 加密系統(tǒng)中一套"密鑰種子"表KKi也相同���,各國(即Gl國�、……�、G210國)網(wǎng)絡(luò)實(shí) 名制協(xié)會使用一套"密鑰種子"表KKi (i=l 210),來加密國內(nèi)網(wǎng)絡(luò)實(shí)名制協(xié)會制作的 國內(nèi)網(wǎng)絡(luò)用戶認(rèn)證參數(shù),進(jìn)行各個(gè)國內(nèi)認(rèn)證中心與該國或地區(qū)的網(wǎng)絡(luò)認(rèn)證協(xié)會(或?qū)W會) 之間的數(shù)據(jù)安全傳輸�����,實(shí)現(xiàn)同一國家或地區(qū)的各個(gè)國內(nèi)認(rèn)證中心存放的國內(nèi)網(wǎng)絡(luò)用戶認(rèn) 證參數(shù)的更新維護(hù)��;(2) 全球有210個(gè)國家或地區(qū)設(shè)為Gl國�、...、Gi國����、...、Gj國、...�、G210 (Gi ^Gj), Gj國(j=l 210)網(wǎng)絡(luò)實(shí)名制協(xié)會使用對應(yīng)本國的一套"密鑰種子"表KEY j(j=l 210),來加密本國網(wǎng)絡(luò)實(shí)名制協(xié)會制作的網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)����,生成一種Gj國 網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的密文����,存放在Gj國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站里,供全球其他209個(gè)國 家或地區(qū)(即Gl國��、……�����、Gi國�、……、G210國��,i^j)網(wǎng)絡(luò)實(shí)名制協(xié)會下載�����,從 而��,實(shí)現(xiàn)全球各國網(wǎng)絡(luò)實(shí)名制協(xié)會之間網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的安全交換。
8�����、 根據(jù)權(quán)利要求6的方法�����,其特征在于(1)對稱密鑰生成算法�,是通過以時(shí)間戳和隨機(jī)數(shù)組成的對稱密鑰生成算法,對"密 鑰種子"表進(jìn)行選取���,即用時(shí)間戳來對"密鑰種子"KK表的"行"進(jìn)行控制選取���, 用隨機(jī)數(shù)來對"密鑰種子"KK表的"列"進(jìn)行控制選取,從"密鑰種子"KK表中選取N個(gè)"密鑰種子"表元素合并為一組對稱密鑰�,對稱密鑰由算法自動(dòng)生成,實(shí)現(xiàn)對稱密 鑰更新免維護(hù)�����,從而�����,降低了認(rèn)證中心的運(yùn)營成本;(2) 對稱密鑰生成算法中的時(shí)間戳能夠有效分割"密鑰種子"表的行���,當(dāng)KK表的元 素為0.5比特����,時(shí)間戳取年���、月���、日���、時(shí)和分���,隨機(jī)數(shù)取32位16進(jìn)制時(shí),KK表中的時(shí) 間戳的"年"行對應(yīng)10行元素��,"月"行對應(yīng)12行元素�����,"日"行對應(yīng)31行元素�����,"時(shí)" 行對應(yīng)24行元素,"分"行對應(yīng)60行元素�����,共137行元素���,時(shí)間戳取"年" "分"共 5部分�����,32 (位)-5 (部分)=27 (行)����,137 (行)+27 (行)=164 (行)���,MXN=164X 32����,在l分鐘內(nèi)"密鑰種子"取重復(fù)的概率很小1/280��,保證組合密鑰一次一變���,不重 復(fù)使用�����,從而����,保證認(rèn)證口令、認(rèn)證密鑰和簽名密鑰都一次一變�,實(shí)現(xiàn)密鑰更新管理安 全、髙效�;(3) 各加密卡中的一組專用對稱密鑰K兩兩互不相同,用K加密網(wǎng)絡(luò)用戶相同的"密 鑰種子"生成的密文互不相同�,實(shí)現(xiàn)不同認(rèn)證中心相同網(wǎng)絡(luò)用戶的密鑰種子的安全存儲���, 同時(shí)�,有效分割不同認(rèn)證中心的網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)�。
9、根據(jù)權(quán)利要求7的方法��,其特征在于(1) Gi國網(wǎng)絡(luò)實(shí)名制協(xié)會技術(shù)人員����,首先啟動(dòng)該網(wǎng)絡(luò)實(shí)名制協(xié)會的加密系統(tǒng)�����,由 該加密系統(tǒng)產(chǎn)生一組時(shí)間戳和隨機(jī)數(shù)���,由該加密系統(tǒng)產(chǎn)生一組時(shí)間戳和隨機(jī)數(shù),控制Gi 國各網(wǎng)站認(rèn)證中心統(tǒng)一對應(yīng)的一套"密鑰種子"表KKi (i=l 210),組合生成一組對稱 密鑰���,來加密Gi國全體或部分網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)生成密文��,并與該組時(shí)間戳和隨機(jī)數(shù) 一起存放到Gi國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站里����,Gi國各國內(nèi)認(rèn)證中心的技術(shù)人員�,定期經(jīng) 過身份認(rèn)證登錄Gi國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站,下載Gi國網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的密文���,Gi 國國內(nèi)認(rèn)證中心的加密系統(tǒng)����,根據(jù)收到的該組時(shí)間戳和隨機(jī)數(shù)�,對"密鑰種子"表KKi(i=l 210)進(jìn)行組合選取,生成一組對稱密鑰���,來解密該國內(nèi)認(rèn)證中心獲得的Gi國網(wǎng) 絡(luò)用戶的認(rèn)證參數(shù)密文獲得明文��,再用該國內(nèi)認(rèn)證中心芯片中的專用對稱密鑰K����,分別 對Gi國全體或部分網(wǎng)絡(luò)用戶認(rèn)證參數(shù)中的"密鑰種子"表KK明文進(jìn)行加密生成密文, 并與對應(yīng)的用戶標(biāo)識和用戶名一起存放在該認(rèn)證中心數(shù)據(jù)庫里����,從而,實(shí)現(xiàn)Gi國的國內(nèi) 網(wǎng)站對應(yīng)的國內(nèi)認(rèn)證中心里的國內(nèi)網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的更新維護(hù)����;(2) Gl國網(wǎng)絡(luò)實(shí)名制協(xié)會的技術(shù)人員,首先啟動(dòng)本國網(wǎng)絡(luò)實(shí)名制協(xié)會的加密系統(tǒng)��, 由該加密系統(tǒng)產(chǎn)生一組時(shí)間戳1和隨機(jī)數(shù)1,控制Gl國對應(yīng)的一套"密鑰種子"表KEY 1組合生成一組對稱密鑰�,來加密Gl國網(wǎng)絡(luò)實(shí)名制協(xié)會制作的網(wǎng)絡(luò)用戶認(rèn)證參數(shù)生成密文�����,再與該組時(shí)間戳1和隨機(jī)數(shù)1 —并存放在Gl國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站上,Gi國(i-l 210, i^j)的網(wǎng)絡(luò)實(shí)名制協(xié)會技術(shù)人員�����,登錄Gl國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站,下載Gl 國的網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)密文�,再用對應(yīng)G1國的一套"密鑰種子"表KEY 1以及該組 時(shí)間戳l和隨機(jī)數(shù)l,組合生成一組對稱密鑰�����,來解密G1國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)密文生 成明文����,之后,Gi國的網(wǎng)絡(luò)實(shí)名制協(xié)會技術(shù)人員����,用Gi國中對應(yīng)Gl國的國際認(rèn)證中心 (共10~30座中對應(yīng)Gl國的一座)加密卡里的一組專用對稱密鑰K ,分別加密G1國 所有網(wǎng)絡(luò)用戶認(rèn)證參數(shù)中的"密鑰種子"表KK,生成密文即"密鑰種子"表KK密文, 并與對應(yīng)Gl國用戶標(biāo)識和用戶名一起�,存放在Gi國中對應(yīng)Gl國的國際認(rèn)證中心的數(shù) 據(jù)庫里,至此���,完成了 Gi國國際認(rèn)證中心中Gl國網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的安全更新維護(hù).......��,Gj國網(wǎng)絡(luò)實(shí)名制協(xié)會的技術(shù)人員�����,啟動(dòng)本國網(wǎng)絡(luò)實(shí)名制協(xié)會的加密系統(tǒng)��,由該加密系統(tǒng)產(chǎn)生一組時(shí)間戳j和隨機(jī)數(shù)j�,并控制Gj國對應(yīng)的"密鑰種子"表KEY j 組合生成一組對稱密鑰,將自己制作的本國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)加密成密文��,再與該組 時(shí)間戳j和隨機(jī)數(shù)j 一并存放在Gj國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站上����,供Gi國網(wǎng)絡(luò)實(shí)名制協(xié) 會技術(shù)人員用相同的方法獲取,完成Gi國國際認(rèn)證中心中Gj國網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的安全更新維護(hù)........G210國網(wǎng)絡(luò)實(shí)名制協(xié)會的技術(shù)人員�����,用相同方法將自己制作的本國網(wǎng)絡(luò)用戶的認(rèn)證參數(shù)加密成密文�,存放在G210國網(wǎng)絡(luò)實(shí)名制協(xié)會的網(wǎng)站上,供Gi國網(wǎng) 絡(luò)實(shí)名制協(xié)會技術(shù)人員用相同的方法獲取�����,完成Gi國的國際認(rèn)證中心中G210國網(wǎng)絡(luò)用 戶認(rèn)證參數(shù)的安全更新維護(hù)���,當(dāng)i=l����、 2��、……,210, i#j時(shí)��,Gi國網(wǎng)絡(luò)實(shí)名制協(xié)會的 技術(shù)人員��,用以上方法實(shí)現(xiàn)各國國際認(rèn)證中心里國外網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的更新維護(hù)����。
10、根據(jù)權(quán)利要求2的方法��,其特征在于網(wǎng)絡(luò)實(shí)名制實(shí)施的過程���,是網(wǎng)絡(luò)用戶通過身份認(rèn)證協(xié)議來訪問并登錄目標(biāo)網(wǎng)站�,并 進(jìn)入應(yīng)用系統(tǒng)瀏覽有關(guān)信息���,若網(wǎng)絡(luò)用戶還需要進(jìn)行匯款(或發(fā)表言論)���,必須對該用戶 填寫的匯款單(或發(fā)表的言論)進(jìn)行數(shù)字簽名,并在客戶機(jī)端的芯片里存放在數(shù)字簽名 數(shù)據(jù)中的時(shí)間戳���、隨機(jī)數(shù)����、數(shù)字簽名和客戶機(jī)的IP地址號,另外�����,在認(rèn)證中心服務(wù)器里 存放數(shù)字簽名數(shù)據(jù)���,即用戶的標(biāo)識��、時(shí)間戳�、隨機(jī)數(shù)��、數(shù)字簽名�、客戶機(jī)的IP地址號 和匯款單(或發(fā)表言論),通過在客戶機(jī)端的芯片和認(rèn)證中心的服務(wù)器中存放部分或全部 數(shù)字簽名數(shù)據(jù)�����,來實(shí)現(xiàn)用戶的操作過程不可抵賴���。
全文摘要
一種基于標(biāo)識認(rèn)證的全球網(wǎng)絡(luò)實(shí)名制實(shí)現(xiàn)方法���,是將各個(gè)網(wǎng)站的網(wǎng)絡(luò)用戶身份認(rèn)證分為兩類���,在所有網(wǎng)站上建立一對一的國內(nèi)認(rèn)證中心����,為國內(nèi)網(wǎng)絡(luò)用戶登錄本國網(wǎng)站提供認(rèn)證服務(wù),在國內(nèi)建立10~30座國際認(rèn)證中心����,為外國(各國或地區(qū))網(wǎng)絡(luò)用戶訪問并登錄國內(nèi)網(wǎng)站提供第三方集中認(rèn)證服務(wù),采用標(biāo)識認(rèn)證方式解決認(rèn)證中心規(guī)?����;J(rèn)證的“瓶頸”���,通過各國網(wǎng)絡(luò)實(shí)名制協(xié)會(或?qū)W會)與國內(nèi)網(wǎng)站技術(shù)人員之間建立的加密傳輸方式����,進(jìn)行國內(nèi)認(rèn)證中心網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的更新維護(hù)����,同時(shí),通過各國網(wǎng)絡(luò)實(shí)名制協(xié)會(或?qū)W會)之間建立的加密傳輸方式��,進(jìn)行各國國際認(rèn)證中心網(wǎng)絡(luò)用戶認(rèn)證參數(shù)的更新維護(hù),從而����,實(shí)現(xiàn)全球網(wǎng)絡(luò)實(shí)名制。
文檔編號H04L29/06GK101552672SQ20091008187
公開日2009年10月7日 申請日期2009年4月15日 優(yōu)先權(quán)日2009年4月15日
發(fā)明者胡祥義 申請人:胡祥義