2024年6月14日发(作者:)
(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(21)申请号 CN2.3
(22)申请日 2015.09.01
(71)申请人 中国互联网络信息中心
地址 100190 北京市海淀区中关村南四街四号1号楼
(72)发明人 延志伟 耿光刚 傅瑜 李晓东
(74)专利代理机构 北京君尚知识产权代理事务所(普通合伙)
代理人 余功勋
(51)
H04L9/32
H04L29/06
(10)申请公布号 CN 105162602 A
(43)申请公布日 2015.12.16
权利要求说明书 说明书 幅图
(54)发明名称
一种可信网络身份管理和验证系统
和方法
(57)摘要
本发明涉及一种可信网络身份管理
和验证系统和方法。用户标识管理单元维
护用户的网络身份标识信息,并将用户的
网络身份标识和公钥信息绑定注册到可信
标识维护单元;网络服务管理单元管理互
联网服务,并将对应的公钥信息和域名绑
定注册到可信标识维护单元;可信标识维
护单元部署DNSSEC协议,维护用户和互
联网服务的标识及公钥绑定信息;互联网
用户单元保存和管理自有私钥信息,并通
过查询所述可信标识维护单元获取可信的
网络服务提供者的信息;网络服务提供者
单元保存和管理自有私钥信息,并通过查
询所述可信标识维护单元获取用户信息。
本发明能够支持服务提供者和互联网用户
之间的双向身份验证、密钥协商、安全通
信等功能。
法律状态
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.一种可信网络身份管理和验证系统,其特征在于,包括用户标识管理单元、网络
服务管理
单元、可信标识维护单元、互联网用户单元以及网络服
务提供者单元;
所述用户标识管理单元维护用户的网络身份标识信息,并将用户的网络身份标识和
公
所述网络服务管理单元管理互联网服务,并将对应的公钥信息和域名绑定注册到所
述
所述可信标识维护单元部署DNSSEC协议,并维护用户和互联网服务的标识及公
钥绑
所述互联网用户单元保存和管理自有私钥信息,并通过查询所述可信标识维护单元
获
所述网络服务提供者单元保存和管理自有私钥信息,并通过查询所述可信标识维护
单
2.如权利要求1所述的系统,其特征在于:所述用户标识管理单元维护用户标识数
据库,其 中包含公民的身份信息、入境外国公民身份信息,用于
识管理单元生成经过注册的
元获取用户信息。
取可信的网络服务提供者的信息;
定信息;
可信标识维护单元;
钥信息绑定注册到所述可信标识维护单元;
对用户进行身份注册;所述用户标
用户的网络身份标识,并将该标识和用户提交的公钥信息注册
到所述可信标识维护单元。
3.如权利要求1所述的系统,其特征在于:所述网络服务管理单元维护网络服务提
供者备案 管理数据库,其中包含基于国内域名的网络服务提供者、
络服务提供者,用于对提供互联网
基于境外域名但在国内运行的网
服务的域名所有者进行注册备案。
4.如权利要求1所述的系统,其特征在于:所述网络服务管理单元根据服务类型设
定其安全
a)强安全需求业务:对用户身份真实性以及用户权限具有一定要求,并可能对会话
隐私
b)中安全需求业务:只进行用户对网络服务提供者的单向身份验证,并建立安全的
会话
c)弱安全需求业务:只有用户需要对网络服务提供者身份进行单向验证。
5.如权利要求1所述的系统,其特征在于:所述可信标识维护单元划分对应的域名
区维护可
信标识数据,包括个人标识维护域和服务标识维护域。
通道;
性有一定保障;
等级,分为三种类型:
6.如权利要求5所述的系统,其特征在于:所述个人标识维护域在.CN下建
立.USER子域, 在该子域下按照各地理区域的拼音缩写或
维护基于身份证编号
Alpha-3国家码建立对应的子域,在各子域下面
的用户域名;所述服务标识维护域在.CN下建立.SERVICE子域,在
该子域下生成并维护境外注册但在国内运行的服务域名。
7.一种采用权利要求1所述系统的可信网络身份验证和安全通信方法,其特征在于,
包括如
1)互联网用户向用户标识管理单元进行实名注册;
2)用户标识管理单元为用户生成网络标识,并为其创建用户标识管理账号;
3)用户生成非对称密钥对,通过登录账号上传公钥信息;
4)用户标识管理单元将用户网络身份标识及其公钥信息注册到可信标识维护单元;
同时 将该用户的网络身份标识及其公钥信息发送给当地的ISP,由
络身份信息和上网账户信息进行绑定;
下步骤:
当地的ISP将该用户的网
5)互联网服务提供者向网络服务管理单元进行实名注册;
6)网络服务管理单元对其进行入网许可验证,基于服务内容进行安全等级划分,并
为其
创建服务标识管理账号;
7)互联网服务提供者生成非对称密钥对,通过登录账号上传公钥信息;
8)网络服务管理单元将服务域名及其公钥信息注册到可信标识维护单元;
9)当某用户要访问网络服务提供者的网站时,首先通过可信标识维护单元查询该网
站对
10)用户使用网络服务提供者的公钥签名自己的网络标识和公钥信息;
11)网络服务提供者查询可信标识维护单元,用自己的私钥核验用户网络标识和公
钥信
12)网络服务提供者生成对称密钥,用用户的公钥进行加密后传输给用户;
13)用户接收后用自己的私钥解密获得该对称密钥,用户和网络服务提供者使用该
对称密
8.如权利要求7所述的方法,其特征在于,步骤4)中用户标识管理单元将用户网络
身份标
a)用户标识管理单元通过专用安全接口向可信标识维护单元提交用户注册信息清单,
其 中必选信息至少包括:用户身份标识信息、所属省份或国家、
识及其公钥信息注册到可信标识维护单元的方法是:
钥进行安全通信。
息;
应的公钥信息和IP地址;
公钥信息、生存时间;
b)可信标识维护单元基于清单信息生成对应域名,其格式为:U-
; 其中USER为CN下的一个专门维护用户
U-ID为用户标识信息的域,Location标识该用户所属地理区域,
标识;
c)可信标识维护单元生成对应的DNS资源记录,并添加到对应的CN子域,其中
的生
d)可信标识维护单元向用户标识管理单元进行注册成功确认。
9.如权利要求7或8所述的方法,其特征在于:步骤8)中网络服务管理单元将服务
域名及
a)网络服务管理单元通过专用安全接口向可信标识维护单元提交注册的服务提供者
信息 清单,其中必选信息至少包括:网络服务提供者的域名、所属
等级、密钥算法和公钥信息、生存
其公钥信息注册到可信标识维护单元的方法是:
存期不大于用户注册信息清单中的生存期;
省份或国家、业务类型及安全
时间;
b)对于境内注册域名,可信标识维护单元基于清单信息生成对应的DNS资源记录,
并 添加作为对应境内域名的新建资源类型;对于境外注册但在境
单元基于该境外域名,附加
内运行的域名,可信标识维护
后缀,生成新的域名,并添加对应的资源记录;
c)可信标识维护单元向服务管理机构进行注册成功确认。
说 明 书
技术领域
本发明属于网络技术、信息安全技术领域,具体涉及一种可信网络身份管理和验证
系统
背景技术
近二十年来伴随着信息技术的迅猛发展,互联网在社会生产和个人生活中的重要性
日益 凸显,其服务和应用已经渗透到军事、文化、政治、经济等各个领域。
空前广泛的应用,其所面临的安全问题日益严峻。
怒的小鸟”间谍风波等案例不断引
和方法。
然而,伴随着互联网
“棱镜门”事件、“五只眼”情报联盟、“愤
发各国对网络可信安全的高度关注。
自2000年以来,美国、欧盟、日本等国家和地区均加快在信息网络中引入和部署
可信网 络战略框架,加强身份管理、构建可信环境。以美国为例,白
《网络空间可信身份国家战略》,计划用
和组织在网络上使用
宫早在2011年4月就发布了
10年左右时间构建网络身份生态体系,以推动个人
安全、高效、易用的可信身份。
这就意味着互联网的安全可信越来越重要,而建立互联网用户和服务提供者之间的
双向
域名系统(DomainNameSystem,DNS)是一种将域名映射为某些预定义类型资源记录
(如 IP地址)的分布式互联网服务系统。作为一种互联网应用层的资源寻
它互联网络应用服务的基础,常见的互联网络应
服务等)都以域名服务为基
认证已经成为构建互联网安全可信环境迫在眉睫的基础。
址服务,域名服务是其
用服务(如Web服务、电子邮件服务、FTP
础来实现资源的寻址和定位。
DNS的原始协议是一种轻量级协议,它不能对服务数据内容提供安全保证;而且
DNS 数据在互联网上以明文方式进行传输,数据在传输过程中很容易遭到
协议本身不提供数据内容的完整性保护机制,因
改及来源是否正确;此外,
证,这
劫持或篡改。由于DNS
此接收方无法判别接收到的消息是否遭到篡
DNS协议的实现通常以UDP协议为基础,缺乏通信的可靠性保
进一步加重了消息被篡改或被伪造的可能性。正是由于DNS协议所暴露出来的以
上安 全缺陷,促使了DNS安全扩展(DNSSecurityExtensions,DNSSEC)的产
生和发展。
DNSSEC协议是一个针对DNS协议的安全扩展,它通过给DNS的应答消息添加基
于非 对称加密算法的数字签名,来保证数据未经篡改且来源正确;再通过
向父域提交自己的公域名体系自下而上逐级
共密钥,来实现整个域名体系的逐级安全认证。具体而言,DNSSEC为
DNS数据提供了三方面的安全保障:(1)来源验证:保证DNS应答消息来自
服务器;(2)完整性验证:保证DNS应答消息在传输途
用户请求一个不存在的域名时,
证这个否定应
被授权的权威
中未经篡改;(3)否定存在验证:当
DNS服务器也能够给出包含数字签名的否定应答消息,以保
答的可靠性。
DNSSEC本质上是在域名系统树形授权体系的基础上,再建立一套基于密码学手
段的签 名/验证体系,也就是信任链体系,通过信任链上的逐级安全
真实可靠(数据完整性和非否认性)。 验证,来确保DNS查询结果的
发明内容
本发明提供一种可信网络身份管理和验证系统和方法,能够实现服务提供者和互联
网用
户之间的双向身份验证、密钥协商、安全通信等功能。
为实现上述目的,本发明采用的技术方案如下:
一种可信网络身份管理和验证系统,包括用户标识管理单元、网络服务管理单元、
可信
所述用户标识管理单元维护用户的网络身份标识信息,并将用户的网络身份标识和
公钥
所述网络服务管理单元管理互联网服务,并将对应的公钥信息和域名绑定注册到所
述可
所述可信标识维护单元部署DNSSEC协议,并维护用户和互联网服务的标识及公
钥绑定
所述互联网用户单元保存和管理自有私钥信息,并通过查询所述可信标识维护单元
获取
所述网络服务提供者单元保存和管理自有私钥信息,并通过查询所述可信标识维护
单元
一种采用上述系统的可信网络身份验证和安全通信方法,包括如下步骤:
1)互联网用户向用户标识管理单元进行实名注册;
2)用户标识管理单元为用户生成网络标识,并为其创建用户标识管理账号;
3)用户生成非对称密钥对,通过登录账号上传公钥信息;
获取用户信息。
可信的网络服务提供者的信息;
信息;
信标识维护单元;
信息绑定注册到所述可信标识维护单元;
标识维护单元、互联网用户单元以及网络服务提供者单元;
4)用户标识管理单元将用户网络身份标识及其公钥信息注册到可信标识维护单元;
同时 将该用户的网络身份标识及其公钥信息发送给当地的ISP,由当地的
信息和上网账户信息ISP将该用户的网络身份
进行绑定;
5)互联网服务提供者向网络服务管理单元进行实名注册;
6)网络服务管理单元对其进行入网许可验证,基于服务内容进行安全等级划分,并
为其
7)互联网服务提供者生成非对称密钥对,通过登录账号上传公钥信息;
8)网络服务管理单元将服务域名及其公钥信息注册到可信标识维护单元;
9)当某用户要访问网络服务提供者的网站时,首先通过可信标识维护单元查询该网
站对
10)用户使用网络服务提供者的公钥签名自己的网络标识和公钥信息;
11)网络服务提供者查询可信标识维护单元,用自己的私钥核验用户网络标识和公
钥信
12)网络服务提供者生成对称密钥,用用户的公钥进行加密后传输给用户;
13)用户接收后用自己的私钥解密获得该对称密钥,用户和网络服务提供者使用该
对称
本发明利用DNS及DNSSEC技术,来进行互联网可信身份的管理和验证,并支持
密钥进行安全通信。
息;
应的公钥信息和IP地址;
创建服务标识管理账号;
不同 安全等级的服务管理,进而支持服务提供者和互联网用户之间的双向
安全通信等功能。 身份验证、密钥协商、
附图说明
图1是可信网络框架相关角色示意图。
图2是密钥分发和用户标识注册示意图。
图3是密钥分发和服务标识注册示意图。
图4是可信标识维护域的示意图。
图5是可信标识验证流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附
图,
本发明具体包括五种功能角色:管理用户身份信息的机构、管理互联网服务提供者
的机 构、维护用户和服务可信标识信息的机构、互联网用户以及网络服务
角色可以通过具体的硬件装置或软件模块实现,
对本发明做进一步说明。
提供者。上述五种功能
可分别称为用户标识管理单元/装置/模块、网
络服务管理单元/装置/模块、可信标识维护单元/装置/模块、互联网用户单
网络服务提供者单元/装置/模块。下面采用“单元”这一
元/装置/模块以及
名称,如图1所示。
用户标识管理单元维护中国公民(及外籍入境用户)的唯一性标识信息,并将其网络
身 份标识和公钥信息绑定注册到可信标识维护单元,同时将用户的网络
息与当地的ISP(InternetServiceProvider网络服务
户的网络身份标识和该用户的上网
身份标识信息和公钥信
提供商)进行共享,从而使ISP能够将用
账户信息进行绑定。
网络服务管理单元管理国内注册(及国外注册但国内运行)的互联网服务,对其服务
安 全性需求进行确认,将对应公钥信息和域名绑定注册到可信标识维护
单元。
可信标识维护单元部署DNSSEC协议,通过可扩展、可管理的模式维护海量用户/
服务标
互联网用户单元保存和管理自有私钥信息,并通过查询可信标识维护单元获取可信
的网
网络服务提供者单元保存并管理自有私钥信息,并通过查询可信标识维护单元获取
用户
下面就各角色关键功能进行分别描述。
1.用户标识管理单元
用户标识管理单元维护用户标识数据库,其中包含:1)我国公民的身份信息(如身
份证 号码);2)入境外国公民身份信息(如护照编号)。希望在我国境内获取
都需要在用户标识数据库进行真实身份注册,并
箱和手机号码)。并为每个
户的身
信息。
络服务提供者信息。
识和公钥绑定信息,并支持高效准确的查询。
互联网服务的所有人
填写多于一种有效通信方式(一般为电子邮
注册的用户生成一个账户,管理用户的身份及公钥信息。同时将用
份信息和公钥信息通过带外的安全方式发送给当地的ISP备案。
用户标识管理单元生成经过注册的用户的网络身份标识,并将该标识和用户提交的
公钥
1.1用户注册:用户在用户标识数据库中填写相关信息之后,选择用户注册功能,
用户 将生成的密钥中的公钥注册到标识数据库。为了避免假冒用户注册,
册身份和注册人的严格一致,具体可以参考CN
信息注册到可信标识维护单元,如图2所示;
在这个步骤必须保证注
个人域名注册流程和用户核验机制。
3.1标识注册:用户标识数据库通过专用安全接口(如CN域名注册服务)向标识维护
单
●用户身份标识信息
●所属省份或国家
●公钥信息
●生存时间
3.2标识注册确认:标识维护单元基于清单信息,首先生成对应域名,其格式如下:
其中USER为CN下的一个专门维护用户标识信息的域,Location标识该用户所属
地理 区域(对于中国公民以省份区分,对于入境外国公民以国家区分),U-
户标识(如身份证或护照编号)。
元提交用户注册信息清单,其中必选信息至少包括:
ID为不超过13位的用
然后标识维护单元生成对应的DNS资源记录(本发明不限定采用何种资源记录,建
议使 用TLSA或TXT资源记录),并添加到对应的CN子域,其中的生存
清单中的生存期。 期不大于用户注册信息
最后,标识维护单元向用户标识管理单元进行注册成功确认。
1.2用户注册确认:接收到注册成功确认消息之后,用户标识管理单元向用户发送
注册
2.网络服务管理单元
网络服务管理单元维护网络服务提供者备案管理数据库,其中包含:1)基于国内域
名 (.CN、.中国、.公司、.网络等)的网络服务提供者;2)基于境外域名但
服务提供者(如)。希望在中国范围提供
都应该在该数据库进行注册备案,
码)。并为每
成功消息及对应的用户网络身份标识(通过用户选择的通信方式)。
在国内运行的网络
安全、有效互联网服务的域名所有者
并填写多于一种有效通信方式(一般为电子邮箱和手机号
个注册的服务生成一个账户,管理服务对应域名、IP及公钥信息。
此外,网络服务管理单元还应根据服务类型,设定其安全等级,当前分为三种类型:
●强安全需求业务:对用户身份真实性以及用户权限具有一定要求,并可能对会话
隐私
●中安全需求业务:只进行用户对网络服务提供者的单向身份验证,并建立安全的
会话
●弱安全需求业务:只有用户需要对网络服务提供者身份进行单向验证。
通道;
性有一定保障;
在网络服务提供者注册过程中,涉及网络服务提供者单元、网络服务管理单元和可
信标
2.1服务注册:互联网服务提供者希望在互联网环境中提供一定业务,首先需要在
网络 服务管理单元进行注册和备案,为了避免假冒注册,在这个步骤必须
的严格一致,具体可以参考CN公司域名注册流
识维护单元之间的交互,如图3所示;
保证注册身份和注册人
程和手续核验机制。
4.1标识注册:网络服务管理单元基于其注册的信息,划定其业务安全等级,然后
接收 服务提供者生成的密钥对的公钥信息。然后由网络服务管理单元通过
域名注册服务)向标识维护
专用安全接口(如CN
单元提交注册的服务提供者信息清单,其中必选信息至少包括:
●网络服务提供者的域名
●所属省份或国家
●业务类型及安全等级
●密钥算法和公钥信息
●生存时间
4.2标识注册确认:对于境内注册域名,标识维护单元基于清单信息,生成对应的
DNS 资源记录,并添加作为对应境内域名的新建资源类型;对于境外注册
标识维护单元基于该境外域名,附加
记录。如
但在境内运行的域名,
后缀,生成新的域名,并添加对应的资源
将在CN域中存在如下域名的一条DNS资源记录:
最后标识维护单元向服务管理单元进行注册成功确认。
2.2服务注册确认:接收到注册成功确认消息之后,服务标识管理单元向该服务提
供者 发放注册成功消息、新的DNS记录中域名信息(通过服务提供者选择
的通信方式)。
3.可信标识维护单元
可信标识维护单元管理可信标识数据,在现有的域名体系中增加对DNSSEC协议
的支持 (至少保证管理网络身份信息的DNS区支持DNSSEC)。并划
数据,具体规划如图4所示。 分对应的域名区维护可信标识
1)个人标识维护域:在.CN下建立.USER子域,在该子域下按照各地理区域的拼音
缩写 (或Alpha-3国家码)建立对应的子域(如北京为.BJ,山西为.SX,山东
民为.USA)。在各子域下面维护基于身份证编号的用户为.SD,美国入境公
域名。
其中,各地理区域的拼音缩写可以参考中国各省、直辖市、自治区名称汉语拼音字
母缩 写表(/guifanbiaozhun/guifanbiaozhun/2011-11-
国家码是为了避免跟中国各省拼音缩写存在冲突
家码也是SD,但其Alpha-
26/);采用Alpha-3
(如山东缩写为SD,而Sudan的Alpha-2国
3国家码为SDN),具体代码参见:/obp/ui/#search。
2)服务标识维护域:在.CN下建立.SERVICE子域,在该子域下生成并维护境外注
册但 在国内运行的服务域名。
注册服务:可信标识维护单元应提供标识注册单元(用户标识管理单元和网络服务
管理
●注册服务器和客户端的时钟同步
●海量标识注册和更新的效率
●注册者身份的安全认证以及注册数据的安全传输
查询服务:可信标识维护单元还应为用户和服务提供者提供标识信息的查询接口和
服务,
●海量标识查询的效率
●对基础DNS服务的影响规避
4.用户(互联网用户单元)
用户首先需要在用户标识管理单元进行注册和身份验证,并自己生成非对称密钥,
将其
5.网络服务提供者(网络服务提供者单元)
网络服务提供者首先需要在网络服务管理单元进行开通业务前的注册,并根据网络
服务 管理单元评定的安全等级生成对应非对称密钥对,将其中公钥信息注
的对应账户。
中公钥信息注册到用户标识管理单元的对应账户。
重点提供如下功能和性能保证:
单元)对应的接口和服务,重点提供如下功能和性能保障:
册到网络服务管理单元
基于上述各角色对网络身份管理的功能,可以实现图5所示的网络身份验证流程,
具体
包括如下步骤:
(1)互联网用户向用户标识管理单元进行实名注册;
(2)用户标识管理单元基于验证结构,为用户生成网络标识,并为其创建用户标识
管理 账号(如使用身份证系统,身份证号码可作为用户名,身份证验证码
可作为初始登录密码);
(3)用户生成非对称密钥对,通过登录该账号上传公钥信息;
(4)用户标识管理单元将用户网络身份标识及其公钥信息注册到可信标识维护单元;
同 时将该用户的网络身份标识及其公钥信息发送给当地的ISP,由当地
份信息和上网账户信息进行绑定。从而使得用户
到当地ISP上查到该用户的
IPv4
的ISP将该用户的网络身
标识管理单元可以根据用户的网络身份信息
上网在线时长,访问的网站信息,IP地址(IPv4公有地址信息,
私有地址信息,IPv6地址信息)等,从而对该用户进行合法的网络监控和通过IP地
址
(1’)互联网服务提供者向网络服务管理单元进行实名注册;
(2’)网络服务管理单元对其进行入网许可验证,并基于服务内容进行安全等级划分,
并
(3’)互联网服务提供者生成非对称密钥对,通过登录该账号上传公钥信息;
(4’)网络服务管理单元将服务域名及其公钥信息注册到可信标识维护单元;
(5)当某用户要访问网络服务提供者的网站时,首先通过可信标识维护单元查询该
网站 对应的公钥信息和IP地址;
为其创建服务标识管理账号;
进行网络溯源等功能。
(6)用户使用网络服务提供者的公钥签名自己的网络标识和公钥信息;
(7)网络服务提供者查询可信标识维护单元,用自己的私钥核验用户网络标识和公
钥信
(8)网络服务提供者生成对称密钥,用用户的公钥进行加密后传输给用户;
(9)用户接收后用自己的私钥解密获得该对称密钥,用户和网络服务提供者使用该
对称
本发明定义了保证互联网通信双方安全通信,以及网络可管可控的主要逻辑角色,
并定 义了各角色的关键功能及可信标识验证流程。为了支持各种实际应用
细节进行限定,本领域技术人员可以采用现有方
密钥进行安全通信。
息;
情况,并未对如下技术
法来实现:
1)用户网络标识生成机制;
2)用户和网络服务提供者的密钥生成方法;
3)各角色注册标识管理数据的安全通信接口;
4)用户和服务提供者对包含可信标识及对应公钥的签名记录的验证机制;
5)通过用户的IP地址进行溯源的功能。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人
员可 以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精
护范围应以权利要求书所述为准。
神和范围,本发明的保
发布评论