一種基于基因證書的網絡數字身份認證方法

專利名稱：一種基于基因證書的網絡數字身份認證方法
技術領域：
本發明涉及一種用于身份認證的網絡安全技術，尤其涉及一種基于基因證書的網絡數字身份認證方法。
背景技術：
在信息系統中，網絡用戶和網絡設備的身份信息都是用一組特定的數據來表示的。在計算機網絡中，正確識別用戶及設備的數字身份并進而保證操作者的物理身份與數字身份相對應是保障信息系統安全的首道屏障。目前，計算機網絡中的數字身份認證技術分兩種情形用戶與主機之間的認證，主機與主機之間的認證。然而，現有的數字身份認證技術的利弊概述如下
(I)基于靜態口令的數字身份認證技術實現簡單、應用廣泛，但僅能用于用戶與主機間 的認證，且存在短口令易被猜測、長口令難記憶、明文口令易被截獲、密文口令易被字典式攻擊等問題。(2)基于動態口令的數字身份認證技術解決了口令易被猜測、截獲后重新使用的問題，但該技術僅用于用戶與主機間的認證，且難以同步客戶端與服務器端的時間。(3)基于智能卡(如IC卡)的數字身份認證技術克服了口令難記憶、難保存之缺陷，但該技術也僅用于用戶與主機間的認證，且存在被冒用、難以防范內存掃描和網絡監聽攻擊等不足。(4)基于傳統數字證書(如X. 509證書)的身份認證技術既能用于用戶與主機間的認證，又能用于主機與主機之間的認證，目前應用廣泛。但存在證書主體信息不明確(難以區別現實中的同名的網絡用戶)、計算量大、效率低、密鑰管理難度大、系統實現復雜、使用和維護成本高等缺陷。(5)基于生物特征(如指紋、聲音、視網膜、步態等)的數字身份認證技術借助人體獨一無二的生理或行為特征鑒別用戶身份，但存在用戶身體受傷、污潰嚴重、特殊群體(老繭多的勞動者)等情形下難以識別的弊端，且該技術不能用于主機與主機之間的認證。目前，基于口令、智能卡、數字證書、生物特征等技術，國內已公開了不少有關數字身份認證的專利申請案，但他們各有千秋。專利公開號為CN1674499、CN1674500的申請案通過采指紋鑒別用戶的數字身份，但這兩種方法不能用于主機與主機之間的認證。專利公開號為CN1564511、CN1614924的申請案提出了基于動態密碼的身份認證方法，解決了密碼明文傳輸不安全問題，但它們僅用于無線移動網絡。專利公開號為CN1444169、CN1545243的申請案屬于基于數字證書的身份認證技術，存在證書主體信息不明確、計算量大、效率低、密鑰管理難度大、系統實現復雜、使用和維護成本高等缺陷。依據人的基因信息不會改變、DNA身份鑒別結果準確率高的事實，借鑒公鑰基礎設施(PKI)的相關機理，本發明通過給網絡用戶和網絡設備簽發基因證書、驗證基因證書上的數字簽名信息并比較基因位點信息等途徑，提出了一種新的網絡數字身份認證方法。

發明內容
本發明的目的是提供一種基于基因證書的網絡數字身份認證方法，用于安全需求高、網絡用戶群相對固定(IP固定)的場合。一種基于基因證書的網絡 數字身份認證方法，采用B/S架構設計，依據基因證書并通過驗證數字簽名和基因位點信息對網絡環境下的數字身份進行認證；本發明包括以下步驟基因證書注冊；網絡基因和成員基因生成；基因證書生成；基于基因證書的數字身份認證。基因證書注冊包括以下步驟
登錄注冊頁面；
輸入網絡用戶或設備名稱e_e ；
輸入網絡用戶所用終端設備的IP地址并檢查其合法性；
輸入網絡用戶所用終端設備的MAC地址etmc并檢查其格式的正確性；
輸入網絡用戶所用終端設備的子網掩碼并對其進行形式檢查；
輸入用戶的身份證號idcardno或網絡設備的設備號deviceid，并對其合法性進行檢
查；
保存網絡用戶或設備名稱_me、網絡用戶所用終端設備的IP地址網絡用戶所用終端設備的MAC地址_c、網絡用戶所用終端設備的子網掩碼eimsk和用戶的身份證號idcardno或網絡設備的設備號deviceid。網絡基因和成員基因的生成步驟中包括以下步驟
讀取網絡用戶或設備名稱mme、網絡用戶所用終端設備的IP地址、網絡用戶所用終端設備的MAC地址_c、網絡用戶所用終端設備的子網掩碼eimsk和用戶的身份證號idcardno或網絡設備的設備號deviceid ；
生成網絡基因 network_gene=eip&emask ；
如果申請注冊的是網絡用戶，則成員基因|| iofca/Y&o,否則成員基|3 member_gene=emac 11 deviceid 0基因證書的生成步驟中包括以下步驟
為申請基因證書的網絡用戶或設備創建基因證書對象；
讀取網絡用戶或設備名稱ename、描述信息edesc ；
為基因證書對象Og的基因證書的版本、網絡實體名字網絡實體描述Ofe1SC賦值-.og. Kei/ 二版本號，og. name=ename, og. desc=edesc ；
生成網絡基因和成員基因；
用hash_it/指定的哈希算法Qihastud O)計算數字摘要即
h=Hhash id(og. ver+og. name+og. dese+og. network_gene+og. member_gene)；
簽名結果哪sign_val=Ekey(h),哀今Ekey(h)表示用私鑰對數字摘要力進行加密； 保存基因證書對象OS。基因證書的數字身份認證的步驟中包括以下步驟
應用服務器接收操作者的服務請求，并請求身份認證服務器認證操作者身份；
身份認證服務器提示用戶提交基因證書；
身份認證服務器接收基因證書gC ；身份認證服務器用基因證書服務器的公鑰解密沐signjal得到之；
身份認證服務器重算基因證書&中除簽名結果外其它信息系的數字摘要
h2 ;
若之=4則轉下一步，否則提示操作身份非法，并結束；
若&上的基因位點信息與基因證書服務器該操作者的位點信息一樣則提示操作身份合法，并結束。采用上述技術方案的本發明，基因證書服務器通過指派基因、數字簽名等途徑為網絡用戶和網絡設備簽發用于標識其數字身份的基因證書，身份認證服務器通過驗證基因證書上的簽名信息、基因位點匹配操作進而檢驗操作者物理身份與數字身份的一致性，達到網絡數字身份認證目的。


圖I是系統設計架構。圖2是基因證書注冊的步驟。圖3是網絡基因和成員基因生成的步驟。圖4是基因證書生成的步驟。圖5是基于基因證書的數字身份認證的步驟。
具體實施例方式本發明所述的基于基因證書的網絡數字身份認證方法包括網絡用戶或設備注冊、網絡基因和成員基因生成、基因證書生成、基于基因證書的數字身份鑒別四個部分構成，具體如下
I、系統設計架構
本發明采用瀏覽器/服務器(B/S)架構設計，網絡用戶通過瀏覽器訪問應用服務器，訪問之前先由身份認證服務器進行身份鑒別。本發明所述的基于基因證書的數字身份認證方法主要包括網絡用戶或設備注冊、網絡基因和成員基因生成、基因證書生成和基于基因證書的數字身份鑒別四個步驟。2、網絡用戶或設備注冊
注冊信息包括網絡用戶或設備的名稱、物理地址、IP地址、子網掩碼等用于生成基因證書位點的信息。可通過在線或離線方式對網絡用戶或設備進行注冊，為生成基因證書做鋪墊。實施時，用戶通過瀏覽器登錄基因證書服務器的注冊信息管理子系統后，輸入網絡用戶或設備的名稱、物理地址、IP地址、子網掩碼，注冊信息管理子系統經過數據排重、合法性檢查后將注冊信息寫入基因證書服務器的數據庫中。具體過程包括如下步驟
A、登錄注冊頁面；
B、輸入網絡用戶或設備名稱ename,檢查ename是否為空、是否已經存在,并查核ename的長度、復雜性是否滿足指定的要求；
C、輸入網絡用戶所用終端設備的IP地址并檢查其合法性；
D、輸入網絡用戶所用終端設備的MAC地址_c并檢查其格式的正確性；
E、輸入網絡用戶所用終端設備的子網掩碼并對其進行形式檢查；F、若是網絡用戶注冊則輸入用戶的身份證號i而arofeo，若是為網絡設備，如路由器、可網管的交換機注冊則輸入該網絡設備的設備號—id,并進行合法性檢查；
G、保存網絡用戶或設備名稱、網絡用戶所用終端設備的IP地址ei/7、網絡用戶所用終端設備的MAC地址_c、網絡用戶所用終端設備的子網掩碼eimsk和用戶的身份證號idcardno或網絡設備的設備號deviceid。3、網絡基因和成員基因生成
在本發明中，標識網絡用戶或設備數字身份的基因證書中的網絡基因和成員基因分別用于標識該實體所在的網絡、具體的主機及用戶信 。網絡基因和成員基因的生成步驟如下
A、讀取網絡用戶或設備名稱網絡用戶所用終端設備的IP地址網絡用戶所用終端設備的MAC地址_c、網絡用戶所用終端設備的子網掩碼eimsk和用戶的身份證號idcardno或網絡設備的設備號deviceid ；
B、生成網絡基因ne twork_gene=eip&emask ；；
C、如果申請注冊的是網絡用戶，則成員基因||iofca/Y&o,否則成員基因辦(9,1(9/761 二Il deviceid04、基因證書生成
基因證書服務器管理員首先審核注冊信息，然后通過基因證書管理軟件系統為合法注冊者生成基因證書& ;基因證書是一種用來標志和證明網絡實體身份的數字信息文件。基因證書生成過程包括如下步驟
A、為申請基因證書的網絡用戶或設備創建基因證書對象；
B、從已保存的注冊信息中讀取網絡用戶或設備名稱e_e、描述信息edesc；
C、依據基因證書gC的定義，為基因證書對象Og的基因證書的版本MT、網絡實體名字name、網絡實體描述 desc 賦值-.og. ver=版本號，og. name=ename, og. desc=edesc ；
D、調用上述網絡基因和成員基因生成方法為基因證書對象og的屬性和 member_gene 賦值；
E、用信息摘要算法標識符hash」d指定的哈希算法(記為Hhashid O )計算信息摘要h h=Hhash id(og. ver+og. name+og. dese+og. network_gene+og. member_gene)；
F、按照下述方法計算基因證書對象( 1 的簽名結果
og. sign_val=Ekey(h)，哀中Ekey(h)表示用私鑰對數字摘要力進行加密；
G、保存基因證書對象og。經過上述步驟，得到基因證書&，其形式化定義為
權利要求
1.一種基于基因證書的網絡數字身份認證方法，其特征在于采用B/S架構設計，依據基因證書并通過驗證數字簽名和基因位點信息對網絡環境下的數字身份進行認證；本發明包括以下步驟基因證書注冊；網絡基因和成員基因生成；基因證書生成；基于基因證書的數字身份認證。
2.根據權利要求I所述的ー種基于基因證書的網絡數字身份認證方法，其特征在于基因證書注冊包括以下步驟 登錄注冊頁面； 輸入網絡用戶或設備名稱e_e ； 輸入網絡用戶所用終端設備的IP地址^/7并檢查其合法性； 輸入網絡用戶所用終端設備的MAC地址etmc并檢查其格式的正確性； 輸入網絡用戶所用終端設備的子網掩碼并對其進行形式檢查； 輸入用戶的身份證號idcardno或網絡設備的設備號deviceid，并對其合法性進行檢查； 保存網絡用戶或設備名稱mme、網絡用戶所用終端設備的IP地址eか、網絡用戶所用終端設備的MAC地址_c、網絡用戶所用終端設備的子網掩碼eimsk和用戶的身份證號idcardno或網絡設備的設備號deviceid。
3.根據權利要求I所述的ー種基于基因證書的網絡數字身份認證方法，其特征在于網絡基因和成員基因的生成步驟中包括以下步驟 讀取網絡用戶或設備名稱mme、網絡用戶所用終端設備的IP地址eか、網絡用戶所用終端設備的MAC地址_c、網絡用戶所用終端設備的子網掩碼eimsk和用戶的身份證號idcardno或網絡設備的設備號deviceid ； 生成網絡基因 network_gene=eip&emask ； 如果申請注冊■的是網絡用戶，則成員基因|| iofca/Y&o,否則成員基H member_gene=emac 11 Ueviceid0
4.根據權利要求I所述的ー種基于基因證書的網絡數字身份認證方法，其特征在于基因證書的生成步驟中包括以下步驟 為申請基因證書的網絡用戶或設備創建基因證書對象Oぎ； 讀取網絡用戶或設備名稱ename、描述信息edesc ； 為基因證書對象Og的基因證書的版本、網絡實體名字/ a e、網絡實體描述Ofe1SC賦值-.og. Kei/ ニ te本號，og. name=ename, og. desc=edesc ； 生成網絡基因和成員基因； 用hash_it/指定的哈希算法Qihastud O)計算數字摘要ん即 h =Hhash d(og. ver+og. name+og. dese+og. networK_gene+og. member—gene)； 簽名結果收.sign_val=Ekey(h),哀キEkey(h)表示用私鑰對數字摘要力進行加密； 保存基因證書對象oぎ。
5.根據權利要求I所述的ー種基于基因證書的網絡數字身份認證方法，其特征在于基因證書的數字身份認證的步驟中包括以下步驟 應用服務器接收操作者的服務請求，并請求身份認證服務器認證操作者身份； 身份認證服務器提示用戶提交基因證書；身份認證服務器接收基因證書gC ； 身份認證服務器用基因證書服務器的公鑰解密が:sign_val得到ん； 身份認證服務器重算基因證書が中除簽名結果W皮外其它信息系的數字摘要h2 ; 若ん=4則 轉下一歩，否則提示操作身份非法，并結束； 若が上的基因位點信息與基因證書服務器該操作者的位點信息ー樣則提示操作身份合法，并結束。
全文摘要
本發明涉及一種基于基因證書的網絡數字身份認證方法，采用瀏覽器/服務器架構設計，由基因證書服務器、身份認證服務器及其管理系統組成。操作者首先向基因證書服務器提交戶名、描述、IP、子網掩碼、MAC、身份證號或設備號等注冊信息，基因證書服務器校驗成功后通過指派基因、數字簽名為網絡用戶或設備生成獨一無二、不可破解的基因證書；操作者訪問應用系統之前，身份認證服務器通過驗證基因證書上的簽名信息和基因位點數據匹配檢驗操作者物理身份與數字身份的一致性。本發明具有準確率高、安全性好的特點，解決了口令難記、易忘、不安全的問題，彌補了傳統數字證書主體信息不明確的缺陷，克服了基于生物特征的認證技術不能鑒別設備身份之不足。
文檔編號H04L29/06GK102769606SQ20111044314
公開日2012年11月7日 申請日期2011年12月27日 優先權日2011年12月27日
發明者孫飛顯, 靳曉婷 申請人:中原工學院