專利名稱:一種網(wǎng)絡(luò)身份證的實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域���,是運用計算機��、網(wǎng)絡(luò)�、密碼和芯片技術(shù)�����,來實現(xiàn)網(wǎng)絡(luò)身份識別�,本發(fā)明適用于網(wǎng)絡(luò)實名制的各個領(lǐng)域。
背景技術(shù):
目前���,國內(nèi)外能完全解決可信網(wǎng)絡(luò)即網(wǎng)絡(luò)實名制問題的實用產(chǎn)品還沒有���,一些廠商生產(chǎn)的網(wǎng)絡(luò)認(rèn)證產(chǎn)品不安全�,如密保���,該產(chǎn)品是采用動態(tài)口令生成算法每分鐘產(chǎn)生一組6位數(shù)字的認(rèn)證口令�,但是���,黑客能通過向認(rèn)證服務(wù)器中植入木馬病毒和分析密保設(shè)備,獲得動態(tài)口令生成算法和動態(tài)口令的起點����,來破譯密保的防護(hù)系統(tǒng),另外一些廠商生產(chǎn)的網(wǎng)絡(luò)認(rèn)證產(chǎn)品�,如PKI/CA建立成本和密鑰維護(hù)成本都很高,同時���,PKI/CA還不能解決網(wǎng)絡(luò)用戶的規(guī)?;瘑栴}�,如超過10億網(wǎng)絡(luò)用戶的規(guī)模,PKI/CA將無法支持����,造成PKI/CA技術(shù)不能得到廣泛應(yīng)用����,總之�,現(xiàn)有的網(wǎng)絡(luò)認(rèn)證產(chǎn)品都不能滿足市場的需求。
發(fā)明內(nèi)容
一種網(wǎng)絡(luò)身份證的實現(xiàn)方法����,是運用計算機網(wǎng)絡(luò)、密碼和芯片技術(shù)為各個網(wǎng)絡(luò)應(yīng)用服務(wù)器來識別網(wǎng)絡(luò)用戶的身份�����,其實施步驟如下按國內(nèi)行政區(qū)域共建立600~2000地區(qū)認(rèn)證中心�,為各網(wǎng)絡(luò)應(yīng)用服務(wù)器提供用戶身份認(rèn)證,這種網(wǎng)絡(luò)分布式認(rèn)證方法是根據(jù)用戶的居民身份證號���,來確定地區(qū)認(rèn)證中心使網(wǎng)絡(luò)用戶單點登錄���,在客戶機端用戶使用認(rèn)證硬件設(shè)備——基于USB接口內(nèi)置智能芯片的密碼鑰匙或使用帶智能芯片的居民身份證即在居民身份證上嵌入智能芯片將居民身份證與網(wǎng)絡(luò)身份證合二為一,在各網(wǎng)絡(luò)應(yīng)用服務(wù)器里插入帶智能芯片的硬卡����,將所有地區(qū)認(rèn)證中心的域名和參數(shù)預(yù)存在硬卡的智能芯片中�,來引導(dǎo)網(wǎng)絡(luò)應(yīng)用服務(wù)器將用戶身份認(rèn)證任務(wù)交給指定的地區(qū)認(rèn)證中心來完成��,在客戶機端和地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器端分別建立加密認(rèn)證系統(tǒng)�����,將客戶機端加密認(rèn)證系統(tǒng)建立在認(rèn)證硬件設(shè)備的智能芯片里����,將認(rèn)證服務(wù)器端的加密認(rèn)證系統(tǒng)建立在加密卡的智能芯片里,在客戶機和認(rèn)證服務(wù)器兩端的加密認(rèn)證系統(tǒng)中建立一套“密鑰種子”矩陣和密鑰生成算法��,“密鑰種子”矩陣的元素采用隨機數(shù)生成��,通過密鑰生成算法來對少量“密鑰種子”矩陣元素進(jìn)行選取和計算��,組合生成對稱密鑰����,一次一變�,用對稱密鑰加密隨機數(shù)生成的認(rèn)證口令也一次一變,既保證加密認(rèn)證系統(tǒng)安全可靠���,且解決了網(wǎng)絡(luò)用戶身份認(rèn)證規(guī)?����;@一世界性難題��,同時�����,采用密碼即口令對認(rèn)證硬件設(shè)備進(jìn)行識別�����,采用對稱和非對稱算法協(xié)同安全策略實現(xiàn)用戶密碼的修改��,通過認(rèn)證硬件設(shè)備來分發(fā)密鑰�,并通過網(wǎng)絡(luò)下載方式實現(xiàn)認(rèn)證協(xié)議的升級,從而��,建立起一套完善的網(wǎng)絡(luò)身份證體系�����,實現(xiàn)網(wǎng)絡(luò)實名制���,全部過程用軟件和硬件結(jié)合方式實現(xiàn)�,具體方法如下1、建立分布式認(rèn)證中心����,在全國建立600~2000個地區(qū)認(rèn)證中心,負(fù)責(zé)為本地區(qū)即居民身份證發(fā)放地區(qū)的用戶提供網(wǎng)上身份識別���,網(wǎng)絡(luò)應(yīng)用服務(wù)器通過用戶的居民身份證號引導(dǎo)���,找到地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器,也是該用戶所在地公安部門核發(fā)居民身份證的地區(qū)���,如110108…………����,為北京市海淀區(qū)公安局發(fā)證單位�����。
2����、在網(wǎng)絡(luò)應(yīng)用服務(wù)器里都插入一塊公安部門統(tǒng)一制作的基于API接口內(nèi)置CPU智能芯片的硬卡����,在硬卡的智能芯片里寫入全國各地區(qū)認(rèn)證中心域名和地區(qū)參數(shù)�����,如為北京市海淀區(qū)的地區(qū)參數(shù)為110108��,使用硬卡的智能芯片存放數(shù)據(jù)能防止黑客篡改域名和地區(qū)參數(shù)�����,地區(qū)參數(shù)和地區(qū)認(rèn)證中心的域名一一對應(yīng)����,當(dāng)用戶的居民身份證號的前6位是110108時��,網(wǎng)絡(luò)應(yīng)用服務(wù)器將該類用戶送到北京市海淀區(qū)認(rèn)證中心�����,由該認(rèn)證中心負(fù)責(zé)認(rèn)證����,應(yīng)用服務(wù)器端存放的域名和地區(qū)參數(shù)各為600~2000組,一個地區(qū)認(rèn)證中心為一個區(qū)、縣居民或多個區(qū)�����、縣的居民提供網(wǎng)絡(luò)認(rèn)證�。
3、建立網(wǎng)絡(luò)分布式認(rèn)證中心�,為本地區(qū)居民上網(wǎng)時提供認(rèn)證,也為全國的網(wǎng)絡(luò)應(yīng)用服務(wù)器提供網(wǎng)絡(luò)用戶的身份識別�,將每個用戶的認(rèn)證中心固定,用戶上任何網(wǎng)絡(luò)應(yīng)用服務(wù)器都在固定的認(rèn)證中心認(rèn)證��,各地區(qū)的公安部門只要管好本系統(tǒng)的認(rèn)證中心����,就能實現(xiàn)全國網(wǎng)絡(luò)實名制。
4���、在客戶機端�,用戶使用的認(rèn)證硬件設(shè)備是基于USB接口內(nèi)置智能芯片的密碼鑰匙��,或者帶智能芯片的居民身份證即在居民身份證上嵌入智能芯片���,將居民身份證與網(wǎng)絡(luò)身份證合二為一,每個用戶一個認(rèn)證硬件設(shè)備,若客戶機端用戶使用帶智能芯片居民身份證作為認(rèn)證硬件設(shè)備�����,認(rèn)證硬件設(shè)備的智能芯片與計算機的接口需要進(jìn)行改造�,使認(rèn)證硬件設(shè)備的智能芯片能接入計算機,若客戶機端用戶使用基于USB接口內(nèi)置智能芯片的密碼鑰匙作為認(rèn)證硬件設(shè)備����,認(rèn)證硬件設(shè)備的智能芯片與計算機的接口不需要改造,直接使用USB接口接入計算機���。
5��、將客戶機端加密認(rèn)證系統(tǒng)建立在認(rèn)證硬件設(shè)備的智能芯片里��,將認(rèn)證服務(wù)器端的加密認(rèn)證系統(tǒng)建立在加密卡的智能芯片里�,加密卡是一塊基于API接口內(nèi)置CPU智能芯片的硬件設(shè)備���,每個認(rèn)證中心的認(rèn)證服務(wù)器中插入一塊加密卡��。
6�����、在客戶機端認(rèn)證硬件設(shè)備的智能芯片里��,寫入對稱密碼算法�、非對稱算法、一組私鑰�、居民身份證號、用戶名��、密碼即口令�����、一套“密鑰種子”�、對稱密鑰生成算法和認(rèn)證協(xié)議。
7��、在認(rèn)證服務(wù)端加密卡的智能芯片里�,寫入對稱算法、非對稱算法����、私鑰、一組對稱密鑰KS���、對稱密鑰生成算法和認(rèn)證協(xié)議�����,用對稱密鑰KS分別將各用戶的密碼即口令����、公鑰和“密鑰種子”等認(rèn)證參數(shù)加密成密文�����,并與各用戶對應(yīng)的居民身份證號一起存放在認(rèn)證服務(wù)器的硬盤存儲區(qū)���,各認(rèn)證服務(wù)器端加密卡中的密鑰都不相同����,同時�,將認(rèn)證服務(wù)器端的公鑰存放在認(rèn)證服務(wù)器的硬盤里,其中私鑰和公鑰長度都為1024或2048bit�����,對稱密鑰長度為128bit���,用戶的居民身份證號為18位數(shù)字���,用戶名和密碼即口令都為8~16位數(shù)字��、字母或數(shù)字與字母的混合體���。
8、利用隨機數(shù)發(fā)生器來生產(chǎn)用戶的“密鑰種子”��,保證用戶“密鑰種子”的隨機生產(chǎn)����,每個用戶分別擁有一套不同的“密鑰種子”,每套“密鑰種子”共Z組����,Z=256~22080,每組0.5~1字節(jié)��,即4~8bit�����。
9���、利用密鑰生成算法對“密鑰種子”進(jìn)行選取和計算�,組合生成對稱密鑰,密鑰生成算法由隨機數(shù)和時間戳與“密鑰種子”矩陣組成�,其中隨機數(shù)由N位十六進(jìn)制數(shù)組成,N=16~64�,將隨機數(shù)轉(zhuǎn)成(1×N)隨機數(shù)矩陣L,即將N位十六進(jìn)制的隨機數(shù)作為(1×N)隨機數(shù)矩陣L的元素����;時間戳由年�����、月���、日��、時�、分鐘和秒組成��,時間戳由t位數(shù)字組成����,t為時間戳的取位范圍,t=8~14�,如t=14�,時間戳為“20070330152030”����,表示2007年3月30日15時20分30秒,選C年����,C=1~100,選1~12個月����、1~31天、1~24小時�����、1~60分和1~60秒�����,時間戳取值G=C+12+31+24+60+60=C+187�。
10、密鑰生成算法如下(1)將Z組“密鑰種子”組成(M×N)“密鑰種子”矩陣KK����,M=16~345���,N=16~64,“密鑰種子”矩陣KK的元素Zij占0.5~1字節(jié)����,即4~8bit,其中i=0~(M-1)�����,j=0~(N-1)����,其中N<=M�����,N=M-G+{(t-2)/2}�����,“密鑰種子”總量Z=M×N=256~22080組��,約占128~22080字節(jié)�����,即占1024bit~176640bit,加密認(rèn)證系統(tǒng)能管理用戶量至少為21024����;(2)根據(jù)時間戳從“密鑰種子”矩陣KK中選取N行,N列元素組成臨時“密鑰種子”矩陣KK2�����,將隨機數(shù)組成的(1×N)隨機數(shù)矩陣L=(S1��,S2���,…�����,SN)���,與臨時“密鑰種子”矩陣KK2相乘,得到(1×N)密鑰矩陣K�����,K=(k1,k2�,…,kN)��,定義“∧”表示矩陣在模二域上相乘�����,矩陣1∧矩陣2表示矩陣1與矩陣2在模二域上相乘�,是矩陣1與矩陣2元素之間的模二加;(3)若L=(S1���,S2��,…,SN)���,
根據(jù)時間戳從“密鑰種子”矩陣KK中選出(N×N)臨時“密鑰種子”矩陣KK2����,即 則K=L∧KK2=(k1���,K2���,…���,KN),其中k1={〔S1∧Y00〕∧〔S2∧Y10〕∧…∧〔SN∧YN0〕}�,K2={〔S1∧Y01〕∧〔S2∧Y11〕∧…∧〔SN∧YN1〕},……��,KN={〔S1∧Y0N〕∧〔S2∧Y1N〕∧…∧〔SN∧YNN〕}�����;舉例①當(dāng)S1=1100����,Y00=0010,S2=0101��,Y10=1010����,求〔S1∧Y00〕∧(S2∧Y10〕的值?則〔S1∧Y00〕∧(S2∧Y10〕=(1100∧0010)∧(0101∧1010)=(1110)∧(1111)=0001��,舉例②當(dāng)時間戳取14位即t=14,取時間戳中“年”為10年�,即C=10,則時間戳取值G=197���,“密鑰種子”矩陣KK與臨時“密鑰種子”矩陣KK2元素之間有如下關(guān)系Y00為Z00~Z90共10行中的一行�,Y10為Z100~Z210共12行中的一行���,Y20為Z220~Z520共31行中的一行�����,
Y30為Z530~Z760共24行中的一行�����,Y40為Z770~Z1350共60行中的一行���,Y50為Z1360~Z1960共60行中的一行,Y60=Z1970�,Y70=Z1980�,……,YN0=ZM0��,以上說明“密鑰種子”矩陣KK元素的后M-197行與KK2元素的后N-6行完全相同,根據(jù)時間戳從“密鑰種子”矩陣KK元素的前197行中�����,選取6行元素����,再取“密鑰種子”矩陣KK元素的后M-197行,共取出N=M-197+6=M-191行���,N列元素組成臨時“密鑰種子”矩陣KK2�����;(4)當(dāng)取時間戳t=14位��,對應(yīng)的“密鑰種子”矩陣的行對應(yīng)C年����,即C行����,對應(yīng)12個月,即12行���,對應(yīng)31天�����,即31行����,對應(yīng)24小時,即24行�,對應(yīng)60分鐘,即60行�����,對應(yīng)60秒�����,即60行��,組成的“密鑰種子”矩陣KK為M行����,N列,其中N=M-G+{(t-2)/2}=M-(C+12+31+24+60+60)+6=M-C-181���;(5)當(dāng)取時間戳t=14位���,將“密鑰種子”矩陣KK元素的第1~C行中取1行,第(C+1)~(C+12)中取1行�����,第(C+12+1)~(C+12+31)中取1行���,第(C+12+31+1)~(C+12+31+24)中取1行�����,第(C+12+31+24+1)~(C+12+31+24+60)中取1行���,第(C+12+31+24+60+1)~(C+12+31+24+60+60)中取1行,共取6行�����,再將“密鑰種子”矩陣KK元素的第{(C+12+31+24+60+60)+1}~M行的元素全部取出���,組成臨時(N×N)“密鑰種子”矩陣KK2�����,其中從“密鑰種子”矩陣KK元素的前C+12+31+24+60+60行中取出6行�;(6)將密鑰矩陣K的元素合并作為密鑰��,由于選取的臨時“密鑰種子”矩陣KK2和隨機數(shù)都一次一變�,生成的密鑰也一次一變,用該密鑰加密隨機數(shù)生成的認(rèn)證口令也一次一變��,從而�,提高加密認(rèn)證系統(tǒng)的安全等級,若密鑰長度超過128bit�,則進(jìn)行前后折疊再對位模二加,即取前128bit密鑰位與后128bit密鑰位對位模二加��,若后面密鑰位不足128bit���,不足部分用“0”補齊����。
11���、隨機數(shù)矩陣L與臨時“密鑰種子”矩陣KK2相乘得到的密鑰矩陣K��,兩矩陣的每個元素都參與計算����,得到的密鑰矩陣K是通過計算得出���,不是選取臨時“密鑰種子”矩陣KK2的個別元素���,同時,臨時“密鑰種子”矩陣KK2的生成是通過一次一變的時間戳����,來對“密鑰種子”矩陣KK的元素行進(jìn)行組合選取,具有隨機性��,生成的臨時“密鑰種子”矩陣KK2也一次一變��,每天的變化量為12×31×24×60×60�,即32140800,從而�����,防止黑客通過對大量選取參數(shù)時間戳和隨機數(shù)的分析獲得臨時“密鑰種子”矩陣KK2和“密鑰種子”KK的元素,來攻擊該密鑰生成算法體制���。
12�����、用存放在加密卡智能芯片中的對稱密鑰KS��,分別加密用戶的密碼(口令)�、公鑰和“密鑰種子”�,其中加密“密鑰種子”的方法是用對稱密鑰KS將“密鑰種子”矩陣KK元素的1~(C+12+31+24+60+60)行,分別按行加密成密文元素�����,再用對稱密鑰KS將“密鑰種子”矩陣KK元素的(C+12+31+24+60+60)+1行~M行按行的上下順序加密成密文元素�,從而,保證在認(rèn)證過程中將臨時“密鑰種子”矩陣KK2元素解密的速度�,其中具體將“密鑰種子”矩陣KK元素的前多少行分別用對稱密鑰KS加密,還需根據(jù)時間戳而定�����,若時間戳取t=8位���,需要用對稱密鑰KS分別加密“密鑰種子”矩陣KK元素的行為1~(C+12+31)行����,即“密鑰種子”矩陣KK元素的前M-N+{(t-2)/2}行元素。
13�����、存放在加密卡智能芯片中加密用戶的認(rèn)證參數(shù)的對稱密鑰KS不變���,這樣密鑰管理成本低,由于“密鑰種子”是由隨機數(shù)函數(shù)產(chǎn)生�,具有隨機性,公鑰和密碼也沒有文字的可讀性�����,破譯者無法證實破譯這些參數(shù)的結(jié)果是否正確�,因此,即使對稱密鑰KS不變�,黑客也不能破譯這些認(rèn)證參數(shù)。
14���、在每個用戶的認(rèn)證硬件設(shè)備智能芯片中�,僅需要存放少量的“密鑰種子”即M×N組“密鑰種子”,約占智能芯片存儲空間0.128K~22K字節(jié)�,即占1024bit~176640bit,就能組合生成2128種不同的密鑰�,為用戶提供幾十年的上網(wǎng)認(rèn)證,利用1024bit~176640bit“密鑰種子”����,加密認(rèn)證系統(tǒng)至少能管理21024以上網(wǎng)絡(luò)用戶,在地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器里備份1.28G~220G字節(jié)的“密鑰種子”���,就能為1000萬用戶提供上網(wǎng)認(rèn)證�����,建設(shè)成本低����,同時��,解決網(wǎng)絡(luò)身份證體系的用戶規(guī)?����;@一世界性難題����,組合密鑰體系也解決對稱密鑰更新成本的難題��,這種網(wǎng)絡(luò)分布認(rèn)證模式不需要在不同的認(rèn)證中心存儲相同用戶的認(rèn)證參數(shù)����,占用資源少���,而PKI/CA技術(shù)必須在不同的認(rèn)證中心存儲相同用戶的證書即統(tǒng)一證書�,占用資源多���,同時���,PKI/CA技術(shù)還需要在不同的認(rèn)證中心之間進(jìn)行交叉認(rèn)證�,效率低。
15�����、用戶登錄網(wǎng)絡(luò)應(yīng)用服務(wù)器后�,“點擊”進(jìn)入應(yīng)用系統(tǒng)功能鍵,即需要如下操作交易�����、發(fā)表言論或登錄內(nèi)部辦公系統(tǒng)等,客戶機發(fā)出認(rèn)證請求��,并發(fā)送用戶的居民身份證號給網(wǎng)絡(luò)應(yīng)用服務(wù)器��,網(wǎng)絡(luò)應(yīng)用服務(wù)器收到后���,將居民身份證號的前6位送硬卡的智能芯片中����,并和預(yù)存在硬卡智能芯片里的地區(qū)參數(shù)對比��,找到對應(yīng)的地區(qū)參數(shù)和域名后�,網(wǎng)絡(luò)應(yīng)用服務(wù)器將用戶身份認(rèn)證任務(wù)交給該用戶居民身份證發(fā)證公安部門的地區(qū)認(rèn)證中心,由該地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器負(fù)責(zé)對該用戶的身份進(jìn)行識別�,加密認(rèn)證系統(tǒng)根據(jù)居民身份證號將對應(yīng)的地區(qū)認(rèn)證中心作為各網(wǎng)絡(luò)應(yīng)用服務(wù)器的臨時認(rèn)證中心,為網(wǎng)絡(luò)應(yīng)用服務(wù)器提供認(rèn)證服務(wù)�,實現(xiàn)用戶單點登錄應(yīng)用系統(tǒng),同時��,在各地區(qū)認(rèn)證中心進(jìn)行認(rèn)證的用戶是固定的���,在各網(wǎng)絡(luò)應(yīng)用服務(wù)器上登錄的用戶是不固定的和未知的��,這種網(wǎng)絡(luò)分布式認(rèn)證模式是開放型的���,而PKI/CA架構(gòu)的網(wǎng)絡(luò)認(rèn)證體制���,認(rèn)證中心和網(wǎng)絡(luò)應(yīng)用服務(wù)器的用戶都是固定的和已知的,PKI/CA認(rèn)證模式是封閉型的��。
16�����、客戶機發(fā)出認(rèn)證請求后���,加密認(rèn)證系統(tǒng)首先提示用戶輸入用戶名和密碼��,用戶輸入用戶名和密碼后��,加密認(rèn)證系統(tǒng)將用戶名和密碼輸入用戶認(rèn)證硬件設(shè)備的智能芯片里,與智能芯片中預(yù)存的用戶名和密碼對比��,若不正確�����,該認(rèn)證硬件設(shè)備不能使用,若正確���,則繼續(xù)執(zhí)行認(rèn)證協(xié)議����,該認(rèn)證硬件設(shè)備的智能芯片發(fā)出認(rèn)證請求��,并發(fā)送居民身份證號給網(wǎng)絡(luò)應(yīng)用服務(wù)器�,建立用戶名和密碼認(rèn)證系統(tǒng),是為保護(hù)客戶機端的認(rèn)證硬件設(shè)備不被他人使用����,用戶名和密碼在網(wǎng)絡(luò)身份認(rèn)證過程中不起作用。
17����、用戶網(wǎng)絡(luò)身份認(rèn)證過程是(1)認(rèn)證服務(wù)器收到用戶標(biāo)識——居民身份證號后,加密認(rèn)證系統(tǒng)產(chǎn)生時間戳和隨機數(shù)并發(fā)給客戶機���,客戶機端認(rèn)證硬件設(shè)備智能芯片中的認(rèn)證協(xié)議�,根據(jù)時間戳從預(yù)存在智能芯片中的“密鑰種子”矩陣KK的元素中選出N×N個元素�����,組成臨時(N×N)“密鑰種子”矩陣KK2,再將隨機數(shù)轉(zhuǎn)成(1×N)隨機數(shù)矩陣L����,將隨機數(shù)矩陣L與臨時“密鑰種子”矩陣KK2相乘,得到密鑰矩陣K����,將密鑰矩陣K的元素合并成密鑰,來加密隨機數(shù)得到認(rèn)證口令1��,將認(rèn)證口令1發(fā)送給認(rèn)證服務(wù)器��,其中由于產(chǎn)生的密鑰一次一變�,加密隨機數(shù)生成的認(rèn)證口令1也一次一變;(2)認(rèn)證服務(wù)器收到認(rèn)證口令1后�,根據(jù)居民身份證號找到對應(yīng)的“密鑰種子”矩陣KK的元素密文,根據(jù)時間戳從“密鑰種子”矩陣KK中選出N×N組元素組成臨時“密鑰種子”矩陣KK2���,將臨時“密鑰種子”矩陣KK2輸入加密卡的智能芯片里��,將KK2的元素用密鑰KS解密成明文�����,再將隨機數(shù)輸入智能芯片里�,并轉(zhuǎn)成(1×N)隨機數(shù)矩陣L���,用隨機數(shù)矩陣L與臨時“密鑰種子”矩陣KK2相乘得到密鑰矩陣K���,將密鑰矩陣K的元素合并得到密鑰,用該密鑰加密隨機數(shù)得到認(rèn)證口令2���,在智能芯片里對比認(rèn)證口令1和認(rèn)證口令2是否相同�����,來判別用戶的身份��。
18���、認(rèn)證協(xié)議的升級,通過從地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器上將升級后的認(rèn)證協(xié)議��,下載到用戶認(rèn)證硬件設(shè)備的智能芯片里�。
19、用戶要申請網(wǎng)絡(luò)身份證的認(rèn)證硬件設(shè)備����,用戶首先帶居民身份證去公安部門申請網(wǎng)絡(luò)身份證�,用戶收到認(rèn)證硬件設(shè)備——基于USB接口內(nèi)置智能芯片的密碼鑰匙����,或帶智能芯片的居民身份證,在認(rèn)證硬件設(shè)備的智能芯片中預(yù)存認(rèn)證協(xié)議��、居民身份證號�、用戶名、密碼���、“密鑰種子”���、一組私鑰和密鑰生成算法等。
20�����、公安系統(tǒng)建立網(wǎng)絡(luò)身份證認(rèn)證硬件設(shè)備的流程是�����,將認(rèn)證協(xié)議��、居民身份證號和用戶名輸入認(rèn)證硬件設(shè)備的智能芯片里,認(rèn)證硬件設(shè)備智能芯片中的隨機數(shù)發(fā)生器自動產(chǎn)生“密鑰種子”和密碼即口令�,加密認(rèn)證系統(tǒng)生成一對公私鑰并將私鑰存放在認(rèn)證硬件設(shè)備的智能芯片中����,將用戶名、居民身份證號����、密碼、“密鑰種子”和一組公私鑰等在公安部門的服務(wù)器里備份���。
21�、建立地區(qū)認(rèn)證中心認(rèn)證服務(wù)器流程是�����,在各地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器端建立加密認(rèn)證系統(tǒng)即插入加密卡�����,加密卡的智能芯片內(nèi)寫入對稱算法����、非對稱算法�、私鑰�、一組對稱密鑰KS、對稱密鑰生成算法和一套認(rèn)證協(xié)議��,用加密卡智能芯片中的對稱密鑰KS將本地區(qū)各用戶的密碼�、公鑰和“密鑰種子”加密成密文,并與對應(yīng)的居民身份證號一起存放在認(rèn)證服務(wù)器的硬盤存儲區(qū)����,認(rèn)證服務(wù)器端不存放用戶名。
22���、用戶若丟失認(rèn)證硬件設(shè)備����,去當(dāng)?shù)毓膊块T的柜臺掛失���,并出示戶口本或說出用戶密碼和居民身份證號����,公安部門的認(rèn)證服務(wù)器系統(tǒng)管理員使用超級用戶的認(rèn)證硬件設(shè)備���,登錄地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器�����,核實用戶的居民身份證號和密碼是否正確�����,若不正確��,為非法用戶��,若正確���,則清除本地區(qū)認(rèn)證中心認(rèn)證服務(wù)器中該用戶的認(rèn)證參數(shù),重新為用戶生產(chǎn)“密鑰種子”�、一對公私鑰和密碼,用戶的用戶名和居民身份證號不變��,將用戶的認(rèn)證參數(shù)分別寫入一個新認(rèn)證硬件設(shè)備的智能芯片里和地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器里�����,并將新?lián)Q的認(rèn)證硬件設(shè)備發(fā)給用戶����。
23���、在認(rèn)證服務(wù)器端建立認(rèn)證監(jiān)控系統(tǒng),加密認(rèn)證系統(tǒng)將使用過的時間戳和隨機數(shù)串��,視為黑客“冒名頂替”����,防止黑客利用“重放”攻擊加密認(rèn)證系統(tǒng)。
24���、當(dāng)用戶需要修改密碼時���,用戶先登錄本地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器,再選擇修改密碼按鈕鍵���,用戶輸入新密碼兩次���,客戶端加密認(rèn)證系統(tǒng)將新密碼首先存放到用戶的認(rèn)證硬件設(shè)備智能芯片里,再調(diào)用認(rèn)證服務(wù)器端的公鑰加密新密碼�,將新密碼的密文發(fā)送給認(rèn)證服務(wù)器端,認(rèn)證服務(wù)器端在加密卡的智能芯片中���,用其私鑰將新密碼的密文解密后得到密碼的明文�����,再用對稱密鑰KS將密碼加密成密文�,替代原密碼存放在該用戶的認(rèn)證參數(shù)存儲區(qū)。
25�、當(dāng)用戶的密碼忘記了需要找回,用戶持認(rèn)證硬件設(shè)備去當(dāng)?shù)毓膊块T的柜臺�����,公安部門的認(rèn)證服務(wù)器系統(tǒng)管理員使用超級用戶的認(rèn)證硬件設(shè)備���,登錄地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器,為用戶找回密碼�����。
圖1網(wǎng)絡(luò)身份證的過程程2密鑰生成算法的建立和密鑰組合生成的流程圖
具體實施例方式以下結(jié)合
網(wǎng)絡(luò)身份證的實現(xiàn)步驟圖1說明網(wǎng)絡(luò)身份證的認(rèn)證過程��,在國內(nèi)的網(wǎng)絡(luò)中有應(yīng)用服務(wù)器1~n臺�,n>1000萬,有認(rèn)證服務(wù)器1~m臺�����,m=600~2000臺,有用戶b位�����,b>2億�����,當(dāng)用戶a登錄網(wǎng)絡(luò)應(yīng)用服務(wù)器u并擬進(jìn)入應(yīng)用系統(tǒng)����,如銀行轉(zhuǎn)帳或虛擬財產(chǎn)交易等,或進(jìn)入內(nèi)部辦公系統(tǒng)�����,用戶a將認(rèn)證硬件設(shè)備插入客戶機并輸入用戶名和密碼即口令�����,加密認(rèn)證系統(tǒng)將用戶a輸入的用戶名和密碼與認(rèn)證硬件設(shè)備智能芯片中預(yù)存的用戶名和密碼對比����,若不正確,則該認(rèn)證硬件設(shè)備不能使用,若正確�����,則繼續(xù)執(zhí)行認(rèn)證協(xié)議�����,該認(rèn)證硬件設(shè)備發(fā)送居民身份證號給網(wǎng)絡(luò)應(yīng)用服務(wù)器u��,根據(jù)用戶a的居民身份證號網(wǎng)絡(luò)應(yīng)用服務(wù)器u將用戶網(wǎng)絡(luò)認(rèn)證任務(wù)轉(zhuǎn)給該居民身份證號所在地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器v��,認(rèn)證服務(wù)器v收到居民身份證號后��,立刻產(chǎn)生一組隨機數(shù)和時間戳并發(fā)送給客戶機端����,客戶機端認(rèn)證協(xié)議根據(jù)二者組合生成一組對稱密鑰�,將隨機數(shù)加密成密文即認(rèn)證口令1,并將認(rèn)證口令1發(fā)送給認(rèn)證服務(wù)器v��,認(rèn)證服務(wù)器v根據(jù)用戶a的居民身份證號找到對應(yīng)的“密鑰種子”矩陣KK�,根據(jù)時間戳對“密鑰種子”矩陣KK的元素進(jìn)行選取,生成臨時“密鑰種子”矩陣KK2��,并將臨時“密鑰種子”矩陣KK2輸入加密卡的智能芯片中��,用對稱密鑰KS將臨時“密鑰種子”矩陣KK2的元素解密成明文,再用隨機數(shù)矩陣L與之相乘得到密鑰矩陣K���,用密鑰矩陣K的元素合并成對稱密鑰��,并加密隨機數(shù)生成認(rèn)證口令2���,在智能芯片里對比認(rèn)證口令1和認(rèn)證口令2是否相同,來確定用戶a的身份是否合法�����,認(rèn)證服務(wù)器v最后將認(rèn)證結(jié)果告訴網(wǎng)絡(luò)應(yīng)用服務(wù)器u��,網(wǎng)絡(luò)應(yīng)用服務(wù)器u根據(jù)認(rèn)證服務(wù)器v提供的認(rèn)證結(jié)果�,決定是否允許用戶a進(jìn)入應(yīng)用系統(tǒng)。
圖2說明密鑰生成算法的建立和組合生成密鑰的方法和過程��,取時間戳為12位����,即取時間戳為年、月�、日、時和分鐘,取時間戳中年為50年��,即C=50�,取隨機數(shù)為32位十六進(jìn)制數(shù),取“密鑰種子”Z=M×N組���,每組0.5字節(jié)共4bit��,則“密鑰種子”矩陣KK元素中與時間戳對應(yīng)的元素行有G=C+12+31+24+60=177行�����,其中M=204����,N=32����,設(shè)時間戳中50年的范圍是2007年~2056年,則建立(204×32)“密鑰種子”矩陣KK�,“密鑰種子”矩陣KK的元素為204行�����,32列,即 設(shè)加密認(rèn)證系統(tǒng)生成的時間戳為200703301520�,即2007年3月30日15時20分,加密認(rèn)證系統(tǒng)隨機生成的隨機數(shù)為S1�����,S2����,…,S32�,則根據(jù)時間戳對“密鑰種子”矩陣KK的元素進(jìn)行選取,選出32行���,32列元素組成臨時“密鑰種子”矩陣KK2�,即
其中臨時“密鑰種子”矩陣KK2的元素為A20070�,A2007,…���,A200731����,B30�,B31���,…,B331����,C300,C301���,…��,C3031���,D150,D151�,…,D1531�,E200,E201��,…�,E2031,Z50����,Z51,…���,Z531�����,……����,Z310��,Z311�,…,Z3131�����,將隨機數(shù)轉(zhuǎn)成(1×32)隨機數(shù)矩陣L=(S1�,S2,…����,S32),與(32×32)臨時“密鑰種子”矩陣KK2相乘——“∧”����,得到(1×32)密鑰矩陣K=(k1��,k2�����,…����,k32)��,即K=L∧KK2��,其中k1=(S1∧A20070)∧(S2AB30)∧(S3∧C300)∧(S4∧D150)∧(S5∧E200)∧(S6∧Z50)∧…∧(S32∧Z310)����,k2=(S1∧A20071)∧(S2∧B31)∧(S3∧C301)∧(S4∧D151)∧(S5∧E201)∧(S6∧Z51)∧…∧(S32∧Z311),……�,k32=(S1∧A200731)∧(S2∧B331)∧(S3∧C3031)∧(S4∧D1531)∧(S5∧E2031)∧(S6∧Z531)∧ …∧(S32∧Z3131),最后����,將密鑰矩陣K的元素合并作為密鑰,若密鑰長度超過128bit����,將超過部分的密鑰位�����,與前128bit密鑰位折疊后對位模二加,若超過部分的密鑰位不足128bit�,則用“0”補齊。
權(quán)利要求
1.一種網(wǎng)絡(luò)身份證的實現(xiàn)方法��,是運用計算機網(wǎng)絡(luò)��、密碼和芯片技術(shù)為各個網(wǎng)絡(luò)應(yīng)用服務(wù)器來識別網(wǎng)絡(luò)用戶的身份��,其實施步驟如下按國內(nèi)行政區(qū)域共建立600~2000地區(qū)認(rèn)證中心�����,為各網(wǎng)絡(luò)應(yīng)用服務(wù)器提供用戶身份認(rèn)證����,這種網(wǎng)絡(luò)分布式認(rèn)證方法是根據(jù)用戶的居民身份證號,來確定地區(qū)認(rèn)證中心使網(wǎng)絡(luò)用戶單點登錄���,在客戶機端用戶使用認(rèn)證硬件設(shè)備——基于USB接口內(nèi)置智能芯片的密碼鑰匙或使用帶智能芯片的居民身份證即在居民身份證上嵌入智能芯片將居民身份證與網(wǎng)絡(luò)身份證合二為一����,在各網(wǎng)絡(luò)應(yīng)用服務(wù)器里插入帶智能芯片的硬卡,將所有地區(qū)認(rèn)證中心的域名和參數(shù)預(yù)存在硬卡的智能芯片中���,來引導(dǎo)網(wǎng)絡(luò)應(yīng)用服務(wù)器將用戶身份認(rèn)證任務(wù)交給指定的地區(qū)認(rèn)證中心來完成�,在客戶機端和地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器端分別建立加密認(rèn)證系統(tǒng)����,將客戶機端加密認(rèn)證系統(tǒng)建立在認(rèn)證硬件設(shè)備的智能芯片里,將認(rèn)證服務(wù)器端的加密認(rèn)證系統(tǒng)建立在加密卡的智能芯片里��,在客戶機和認(rèn)證服務(wù)器兩端的加密認(rèn)證系統(tǒng)中建立一套“密鑰種子”矩陣和密鑰生成算法�,“密鑰種子”矩陣的元素采用隨機數(shù)生成,通過密鑰生成算法來對少量“密鑰種子”矩陣元素進(jìn)行選取和計算�,組合生成對稱密鑰,一次一變�����,用對稱密鑰加密隨機數(shù)生成的認(rèn)證口令也一次一變�����,既保證加密認(rèn)證系統(tǒng)安全可靠,且解決了網(wǎng)絡(luò)用戶身份認(rèn)證規(guī)?;@一世界性難題,同時�����,采用密碼即口令對認(rèn)證硬件設(shè)備進(jìn)行識別��,采用對稱和非對稱算法協(xié)同安全策略實現(xiàn)用戶密碼的修改����,通過認(rèn)證硬件設(shè)備來分發(fā)密鑰�,并通過網(wǎng)絡(luò)下載方式實現(xiàn)認(rèn)證協(xié)議的升級,從而�,建立起一套完善的網(wǎng)絡(luò)身份證體系,實現(xiàn)網(wǎng)絡(luò)實名制�����。
2.根據(jù)權(quán)利要求1的方法����,其特征在于在全國建立600~2000個地區(qū)認(rèn)證中心,負(fù)責(zé)為本地區(qū)即居民身份證發(fā)放地區(qū)的用戶提供上網(wǎng)絡(luò)身份識別�����,網(wǎng)絡(luò)應(yīng)用服務(wù)器通過用戶的居民身份證號前6位引導(dǎo),找到地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器�����,也是該用戶所在地公安部門核發(fā)居民身份證的地區(qū)�����,如110108…………����,為北京市海淀區(qū)公安局發(fā)證單位。
3.根據(jù)權(quán)利要求1和權(quán)利要求2的方法����,其特征在于(1)網(wǎng)絡(luò)應(yīng)用服務(wù)器里都插入公安部門統(tǒng)一制作的基于API接口內(nèi)置CPU智能芯片的硬卡,在智能芯片里存放全國各地區(qū)認(rèn)證中心域名和參數(shù)��,域名和參數(shù)各為M組��,M=600~2000�����,如北京市海淀區(qū)的參數(shù)為110108,從而��,防止黑客篡改網(wǎng)絡(luò)應(yīng)用服務(wù)器里域名和參數(shù)���;(2)客戶機發(fā)出認(rèn)證請求���,并發(fā)送用戶的居民身份證號給網(wǎng)絡(luò)應(yīng)用服務(wù)器,網(wǎng)絡(luò)應(yīng)用服務(wù)器收到后�����,將居民身份證號的前6位送硬卡的智能芯片中���,與預(yù)存的參數(shù)對比,找到對應(yīng)的參數(shù)和域名后�,網(wǎng)絡(luò)應(yīng)用服務(wù)器將用戶身份認(rèn)證任務(wù)交給該用戶居民身份證發(fā)證公安部門的地區(qū)認(rèn)證中心,由該地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器負(fù)責(zé)對該用戶的身份進(jìn)行識別���,并將識別結(jié)果傳給網(wǎng)絡(luò)應(yīng)用服務(wù)器�。
4.根據(jù)權(quán)利要求1�����、權(quán)利要求2和權(quán)利要求3的方法,其特征在于(1)加密認(rèn)證系統(tǒng)根據(jù)居民身份證號將對應(yīng)的地區(qū)認(rèn)證中心作為各網(wǎng)絡(luò)應(yīng)用服務(wù)器的臨時認(rèn)證中心�,為網(wǎng)絡(luò)應(yīng)用服務(wù)器提供認(rèn)證服務(wù),實現(xiàn)用戶單點登錄應(yīng)用系統(tǒng)����;(2)建立網(wǎng)絡(luò)分布式認(rèn)證中心,為本地區(qū)居民上網(wǎng)時提供認(rèn)證��,也為全國的網(wǎng)絡(luò)應(yīng)用服務(wù)器提供網(wǎng)絡(luò)用戶的身份識別����,將每個用戶的認(rèn)證中心固定,用戶上任何網(wǎng)絡(luò)應(yīng)用服務(wù)器都在固定的認(rèn)證中心認(rèn)證�,各地區(qū)的公安部門只要管好本系統(tǒng)的認(rèn)證中心,就能實現(xiàn)全國網(wǎng)絡(luò)實名制��;(3)在各地區(qū)認(rèn)證中心進(jìn)行認(rèn)證的用戶是固定的����,在各網(wǎng)絡(luò)應(yīng)用服務(wù)器上登錄的用戶是不固定的和未知的,這種網(wǎng)絡(luò)分布式認(rèn)證模式是開放型的�,而PKI/CA架構(gòu)的網(wǎng)絡(luò)認(rèn)證體制,認(rèn)證中心和網(wǎng)絡(luò)應(yīng)用服務(wù)器的用戶都是固定的和已知的�,PKI/CA網(wǎng)絡(luò)認(rèn)證模式是封閉型的;(4)本發(fā)明這種網(wǎng)絡(luò)分布認(rèn)證模式��,不需要在不同的認(rèn)證中心存儲相同用戶的認(rèn)證參數(shù),占用資源少����,而PKI/CA技術(shù)必須在不同的認(rèn)證中心存儲相同用戶的證書即統(tǒng)一證書,占用資源多��,同時�����,PKI/CA技術(shù)還需要在不同的認(rèn)證中心之間進(jìn)行交叉認(rèn)證�,效率低。
5.根據(jù)權(quán)利要求1的方法��,其特征在于每個用戶認(rèn)證硬件設(shè)備的智能芯片中僅存放0.128K~22K字節(jié)的“密鑰種子”����,每個用戶的“密鑰種子”都不同��,在地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器里備份的本地區(qū)全體用戶“密鑰種子”共計1.28G~220G字節(jié)�����,就能為1000萬用戶提供上網(wǎng)認(rèn)證服務(wù)��,建立成本低。
6.根據(jù)權(quán)利要求1和權(quán)利要求4的方法�,其特征在于網(wǎng)絡(luò)身份證體系的建設(shè)規(guī)模化和成本直接影響該系統(tǒng)實施��,美國的PKI/CA技術(shù)只能解決10億規(guī)模用戶的網(wǎng)絡(luò)認(rèn)證���,同時��,PKI/CA的建立成本巨大�,本發(fā)明采用密鑰生成算法對少量的“密鑰種子”矩陣元素進(jìn)行選取和計算�����,來獲得對稱密鑰���,能管理21024以上網(wǎng)絡(luò)用戶���,從而,解決網(wǎng)絡(luò)身份證體系建設(shè)的用戶規(guī)?;@一世界性難題,組合密鑰體系也解決對稱密鑰更新成本高的難題����。
7.根據(jù)權(quán)利要求1��、和4和5的方法��,其特征在于(1)將“密鑰種子”組成(M×N)“密鑰種子”矩陣KK�����,由時間戳控制從“密鑰種子”矩陣KK中選出N行N列元素����,組成臨時“密鑰種子”矩陣KK2�����,根據(jù)一次一變的時間戳來對“密鑰種子”矩陣KK元素的行進(jìn)行組合選取����,達(dá)到一次一變,生成的臨時“密鑰種子”矩陣KK2也一次一變����;(2)將隨機數(shù)轉(zhuǎn)成(1×N)隨機數(shù)矩陣L���,與臨時“密鑰種子”矩陣KK2相乘����,得到(1×N)密鑰矩陣K,再將密鑰矩陣K的元素合并成密鑰����,由于選取的臨時“密鑰種子”矩陣KK2和隨機數(shù)都一次一變,生成的密鑰也一次一變�,用該密鑰加密隨機數(shù)生成的認(rèn)證口令也一次一變,從而��,提高加密認(rèn)證系統(tǒng)的安全等級��;(3)隨機數(shù)矩陣L和臨時“密鑰種子”矩陣KK2中每個元素都參與計算�,得到的密鑰矩陣K是通過計算得出,不是選取矩陣KK2中的個別元素���,從而��,防止黑客通過對大量選取參數(shù)即時間戳和隨機數(shù)的分析獲得矩陣KK和KK2的元素���,來攻擊該密鑰生成算法。
8.根據(jù)權(quán)利要求1�、權(quán)利要求4、權(quán)利要求5和權(quán)利要求6的方法�,其特征在于(1)“密鑰種子”是生成密鑰的主要參數(shù)����,當(dāng)“密鑰種子”泄漏被黑客獲得后�,加密認(rèn)證系統(tǒng)的安全將受到嚴(yán)重威脅,在客戶機端將用戶的居民身份證號及其對應(yīng)的“密鑰種子”都存放在認(rèn)證硬件設(shè)備的智能芯片中�,智能芯片能防止黑客非法讀取智能芯片中的信息來攻擊加密認(rèn)證系統(tǒng);(2)在認(rèn)證服務(wù)器端的所有用戶的“密鑰種子”都要用認(rèn)證服務(wù)器端加密卡智能芯片中的對稱密鑰KS進(jìn)行加密�����,然后將密文形式的各用戶“密鑰種子”存放在認(rèn)證服務(wù)器的硬盤存儲區(qū)中�,認(rèn)證過程中將用戶的“密鑰種子”的密文在芯片里解密,從而�,既保證各用戶“密鑰種子”的存儲安全,又大大降低了認(rèn)證服務(wù)器端加密認(rèn)證系統(tǒng)使用硬件設(shè)備存儲“密鑰種子”——主要認(rèn)證參數(shù)的建設(shè)成本�����;(3)根據(jù)時間戳t取位范圍�,將“密鑰種子”矩陣KK的元素前M-N+{(t-2)/2}行,用對稱密鑰KS按行分別加密成密文��,將“密鑰種子”矩陣KK的元素后N-{(t-2)/2}行���,用對稱密鑰KS按上下行的順序加密成密文��,從而���,保證在認(rèn)證過程中,將臨時“密鑰種子”矩陣KK元素解密的速度�����。
9.根據(jù)權(quán)利要求1和權(quán)利要求7的方法��,其特征在于(1)在客戶機端��,將用戶的各種認(rèn)證參數(shù)即用戶名����、密碼即口令、居民身份證號�、私鑰和“密鑰種子”,與對稱算法���、非對稱算法�����、密鑰種子生成算法和認(rèn)證協(xié)議存放在認(rèn)證硬件設(shè)備的智能芯片里����,智能芯片里的數(shù)據(jù)不可非法讀出,從而����,防止黑客攻擊客戶機端的加密認(rèn)證系統(tǒng),同時��,通過認(rèn)證硬件設(shè)備來分發(fā)密鑰����;(2)在認(rèn)證服務(wù)器端,將用戶的各種認(rèn)證參數(shù)即“密鑰種子”��、密碼和私鑰用對稱密鑰KS分別加密成密文���,與對應(yīng)的居民身份證號一起存放在認(rèn)證服務(wù)器硬盤存儲區(qū)�����,從而�,防止黑客篡改認(rèn)證服務(wù)器端的用戶認(rèn)證參數(shù)�����。
10.根據(jù)權(quán)利要求1和權(quán)利要求8的方法,其特征在于(1)用戶進(jìn)行網(wǎng)絡(luò)認(rèn)證時首先輸入用戶名和密碼��,客戶端加密認(rèn)證系統(tǒng)將用戶名和密碼傳輸?shù)秸J(rèn)證硬件設(shè)備的智能芯片里��,與智能芯片里預(yù)存的用戶名和密碼進(jìn)行對比�����,來確定用戶的身份�����,合法用戶能使用該認(rèn)證硬件設(shè)備���,非法用戶則不能使用該認(rèn)證硬件設(shè)備,建立用戶名和密碼認(rèn)證系統(tǒng)����,是為保護(hù)客戶機端的認(rèn)證硬件設(shè)備不被他人使用,用戶名和密碼在網(wǎng)絡(luò)用戶身份認(rèn)證過程中不起作用����;(2)用戶修改密碼的過程是用戶首先登錄本地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器,選擇修改密碼按鈕并輸入新密碼,客戶機端的加密認(rèn)證系統(tǒng)將新密碼寫入用戶認(rèn)證硬件設(shè)備的智能芯片里��,再調(diào)用認(rèn)證服務(wù)器端的公鑰來加密新密碼��,并發(fā)送給認(rèn)證服務(wù)器端�����,在認(rèn)證服務(wù)器端的加密卡智能芯片里用其私鑰解密后�,用對稱密鑰KS將密碼加密成密文,替代原密碼存放在用戶的參數(shù)存儲區(qū)�。
全文摘要
一種網(wǎng)絡(luò)身份證的實現(xiàn)方法,是運用計算機�����、網(wǎng)絡(luò)���、密碼和芯片技術(shù)�,按國內(nèi)行政區(qū)域分別建立600~2000個地區(qū)認(rèn)證中心�,為網(wǎng)絡(luò)應(yīng)用服務(wù)器提供網(wǎng)絡(luò)用戶身份認(rèn)證,網(wǎng)絡(luò)應(yīng)用服務(wù)器根據(jù)用戶的居民身份證號����,把網(wǎng)絡(luò)用戶身份認(rèn)證任務(wù)交給用戶居民身份證發(fā)證地區(qū)的認(rèn)證中心來完成���,該地區(qū)認(rèn)證中心將認(rèn)證結(jié)果反饋給網(wǎng)絡(luò)應(yīng)用服務(wù)器,在客戶機端和地區(qū)認(rèn)證中心的認(rèn)證服務(wù)器端分別建立加密認(rèn)證系統(tǒng)�,采用對稱算法和組合密鑰體制,通過密鑰生成算法對少量的“密鑰種子”進(jìn)行選取和計算�,生成一次一變的對稱密鑰和認(rèn)證口令,解決了網(wǎng)絡(luò)用戶身份認(rèn)證規(guī)?��;@一世界性難題,從而��,實現(xiàn)網(wǎng)絡(luò)實名制��,并將居民身份證與網(wǎng)絡(luò)身份證合二為一���。
文檔編號G06Q10/00GK101022337SQ20071006482
公開日2007年8月22日 申請日期2007年3月28日 優(yōu)先權(quán)日2007年3月28日
發(fā)明者胡祥義 申請人:胡祥義