专利名称:身份验证系统和方法
技术领域:
本发明涉及身份验证领域,更具体而言,涉及一种支持跨系统验证的身份验证系统和方法。
背景技术:
出于安全和保密方面的要求,许多场合(如会议、展览、演出等)、单位(如企业、政府机构、民间组织)或信息网络系统(如电子商务、电子政务、网上银行等)需要采取必要的方式对人员的身份进行验证,目前主要的身份验证方式都离不开信息处理技术,根据代表人员身份的特征数据的来源可以分为两大类1、特征数据来源于人员的生理特征(如指纹、掌纹、视网膜、面部轮廓等),即使用特定算法从代表人员生理特征的图像数据中提取特征数据,通过比对特征数据来验证人员身份的真实性;2、特征数据是(或来源于)预先设定的秘密信息(如口令、对称密钥、私钥等),使秘密信息参与密码运算,通过验证密码运算的结果来验证人员身份的真实性。第1类身份验证方式,由于终端验证设备需要具备采集人员生理特征、提取特征数据的功能,设备成本和维护费用一般较高,适合于对安全性要求较高的单位和场合。第2类身份验证方式,因终端设备成本较低已经得到了更为广泛的应用,例如基于USB Key (或动态口令)的电子商务、网络银行登录和交易系统,基于智能IC卡的会议签到系统,基于电子票据(一种低廉的智能IC卡)的展览会门票系统,基于IC卡的门禁系统等等。然而,目前市面上的基于这类方式建设的各种身份验证系统,只验证本系统内部人员的身份,不能验证系统外的人员身份,其系统应用框图如图1所示。这种身份验证系统不支持跨系统的人员身份验证,例如各种场合的门票基本不能通用,各单位的门禁系统不支持验证其他单位的门禁卡,各商业银行的网络银行均不支持其他银行发行的USB Key(或动态口令),这造成了一定程度的系统重复建设、身份凭证繁多,浪费了社会资源、降低了社会效率。
发明内容
在下文中给出了关于本发明的简要概述,以便提供关于本发明的某些方面的基本理解。应当理解,这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分,也不是意图限定本发明的范围。其目的仅仅是以简化的形式给出某些概念,以此作为稍后论述的更详细描述的前序。根据本发明的一个方面,提出了一种基于公钥密码技术的身份验证系统,包括认证中心CA和多个验证分系统,其中所述认证中心CA被配置用于使用认证中心私钥RKm为所述多个验证分系统分别签发相应的系统数字证书,所述验证分系统均能够基于相应的系统数字证书和认证中心公钥RKpub来验证本验证分系统和其他验证分系统所颁发的身份凭证。根据本发明的另一个方面,提出了一种利用上述身份验证系统来对身份凭证进行验证的方法,包括利用系统数字证书和认证中心公钥来验证身份凭证中存储的个人数字证书;以及在个人数字证书验证通过之后使用个人数字证书中的个人公钥验证身份凭证的正确性。根据本发明的身份验证系统,可以实现跨用户系统的人员身份验证,减少系统重复建设、减少身份凭证发放数量,节约社会资源、提高社会效率。
图1示出了现有技术中的身份验证系统的示意性结构图;图2示出了根据本发明的一个实施例的身份验证系统的示意性结构图。图3示出了 CA签发各验证分系统的系统数字证书的过程的示意性流程图。图4示出了根据本发明的另一个实施例的身份验证系统的示意性结构图。图5示出了根据本发明的一个实施形式的身份验证服务器的示意性结构图。图6示出了根据本发明的一个实施形式的身份凭证签发过程的流程图。图7示出了根据本发明的一个实施例的对身份凭证进行验证的流程图。图8示出了根据本发明的一个实施例的对身份凭证进行验证的流程图。图9示出了根据本发明的一个实施例的对身份凭证进行验证的流程图。
具体实施例方式在下文中将结合附图对本发明的示范性实施例进行描述。为了清楚和简明起见, 在说明书中并未描述实际实施方式的所有特征。然而,应该了解,在开发任何这种实际实施例的过程中必须做出很多特定于实施方式的决定,以便实现开发人员的具体目标,并且这些决定可能会随着实施方式的不同而有所改变。此外,还应该了解,虽然开发工作有可能是非常复杂和费时的,但对得益于本公开内容的本领域技术人员来说,这种开发工作仅仅是例行的任务。在此,还需要说明的一点是,为了避免因不必要的细节而模糊了本发明,在附图中仅仅示出了与根据本发明的方案密切相关的装置结构,而省略了与本发明关系不大的其他细节。如背景技术部分提及的那样,在实际进行身份验证时,每个用户系统配发给本系统人员专用的人员凭证,例如,接触式或非接触式的智能IC卡或者USB key等。一个人当他要进入用户系统A时需要使用系统A的人员凭证来进行验证。当他要进入另一个系统B 时,往往需要不同于系统A的属于系统B的人员凭证来进行验证。这样的操作,不仅造成了一定程度的系统重复建设,还给用户带来了麻烦,用户需要携带的身份凭证繁多,浪费了社会资源、降低了社会效率。因此,需要一种简便统一的身份验证方法和系统,来实现跨用户系统的身份验证方法,用户仅仅使用一个身份凭证就能在多个用户系统中受到验证。第一实施例发明人注意到,如果对于多个验证分系统设置有它们都认可的认证中心,由该认证中心为各个验证分系统签发系统数字证书,则由于该系统数字证书是其他验证分系统也认可的,因此各验证分系统所签发的个人数字证书以及身份凭证在其他验证分系统中也可以得到验证。图2是说明根据本发明的一个实施例的身份验证系统的示意性结构图。如图2所示,身份验证系统包括认证中心CA和多个验证分系统S1、S2、…、Sn,其中认证中心CA使用认证中心私钥RKfti为所述多个验证分系统S1、S2、…、Sn分别签发验证分系统的系统数字证书 SC1、SC2、…、SCn。需要说明的是,虽然在图2中的示意性结构图中仅仅示出了唯一的认证中心CA, 本领域技术人员容易想到其还可以有多种实现方式。例如,可以使用多个并行的认证中心或者是层级式的认证中心体系,这并不影响本发明的实质。在图3中示出了 CA签发各验证分系统的系统数字证书的过程的示意性流程图。从图3可见,其中包括步骤310、验证分系统使用本系统的系统私钥SKfti对系统数字证书SC请求信息进行数字签名,并将SC请求信息及数字签名一并发给CA。在该步骤之前,验证分系统已经获得了本系统的公/私钥对(SKmZSKph),例如可以使用智能卡或USB Key来产生该公/私钥对,也可以使用其他方式获得该公/私钥对。私钥SKm可以存储在智能卡或USB Key中。 系统数字证书SC请求信息可以包括系统公钥SKaib和本验证分系统的系统ID等。步骤320、CA用SC请求信息中的系统公钥SKaib验证数字签名的正确性,并审查SC 请求信息,如果数字签名正确、SC请求信息审查合格,则用认证中心私钥RKfti签发SC,SC的内容包括但不限于序列号、申请者的系统ID、签名者的ID、证书有效期限、公钥密码算法标识、SKpub、数字签名等信息。步骤330、CA公开发布和管理所签发的SC。验证分系统S1、S2、…、Sn能够基于相应的系统数字证书SCl,…,SCn和认证中心公钥RKaib来验证本验证分系统和其他验证分系统所颁发的身份凭证。由于认证中心CA 是各验证分系统都认可的认证中心,因此对于用认证中心CA私钥RKm签发的SC1、SC2、…、 SCn,各系统都可以使用CA的公钥进行验证,从而可以进一步验证各验证分系统所签发的身份凭证。利用这种方式,实现了跨系统的身份验证。对于上述内容,在下面的实施例中将进一步具体描述。第二实施例图4示出了根据本发明的另一个实施例的身份验证系统的示意性结构图。从图4 可以看到,验证分系统分别包括身份验证服务器和身份验证终端。在附图中,为了清楚起见,仅仅针对验证分系统1中的身份验证服务器410和身份验证终端420示出了附图标记。 当下文中提及身份验证服务器410或身份验证终端420以及其中的部件时,如果没有特别说明,则其不能理解为仅仅局限于验证分系统1中的相关部件,而是可以扩展到其他验证分系统中的相应部件。身份验证终端420是一种终端设备,其可以支持公钥密码算法、可读取人员身份凭证中的信息并验证其真伪。在本发明的实施例中,身份凭证可以是支持公钥密码算法的电子化证件或者触摸式或非触摸式IC卡、USB key或者移动或无线设备中支持公钥密码算法的安全模块等等。在身份验证终端420中,可以储存认证中心CA的公钥数字证书RC(系统根证书)、某些验证分系统的系统数字证书SC以支持对这些验证分系统签发的人员身份凭证的真实性验证,并支持脱机验证。优选的是,在身份验证终端420中还储存有某些特殊人员名单PID_List。对于这些特殊人员的身份凭证的验证,不受终端中存储的SC的范围限制,需要联机验证。关于涉及特殊人员名单PID_List的情况,将在下面的第三实施例中讨论。下面对身份验证服务器410进行进一步描述。图5示出了根据本发明的一个实施形式的身份验证服务器410的示意性结构图。 可见,身份验证服务器410进一步包括身份凭证签发子系统4101,用于签发和管理属于本验证分系统的身份凭证,也即,对于验证分系统1的身份凭证签发子系统,则其签发和管理属于验证分系统1的身份凭证,对于验证分系统2的身份凭证签发子系统,则其签发和管理验证分系统2的身份凭证。身份验证服务器410还包括身份验证控制子系统4102,用于将认证中心CA的公钥RKpub或公钥证书RC、所属验证分系统支持验证的第一系统名单SID_ Listl及其相应的经所述认证中心CA签发的系统数字证书SC发送给本验证分系统的身份验证终端420,以实现身份验证终端420的初始化。此外,身份验证控制子系统4102还能够管理本系统内所有的身份验证终端。在进一步描述身份验证终端420如何验证身份凭证之前,先具体描述身份凭证签发子系统4101签发身份凭证的过程。身份凭证签发子系统4101可以连接有读卡器或者USB 接口等输入/输出接口,可以通过该输入/输出接口签发属于本验证分系统的身份凭证。图6示出了根据本发明的一个实施形式的身份凭证签发过程的流程图。从图6可见,在身份凭证签发子系统签发属于本验证分系统的身份凭证的过程中,包括如下步骤步骤610、身份凭证产生个人公/私钥对PKPub/PKM,用个人私钥PKph对身份凭证中的个性化信息进行数字签名,并将数字签名和个人公钥发送给身份凭证签发子系统。其中身份凭证中的个性化信息是与个人身份、系统配置等相关的信息。该信息可以由签发子系统写入到身份凭证中。在必要时,身份凭证签发子系统还可以用储存在智能卡或USBKey 中的验证分系统私钥SKm对个性化信息进行数字签名,并将数字签名一并写入到身份凭证中。步骤620、身份凭证签发子系统用个人公钥PKpub验证数字签名的正确性,如果数字签名不正确,则结束身份凭证签发流程,即签发失败。否则执行步骤630。步骤630、身份凭证签发子系统使用验证分系统私钥SKm签发个人数字证书PC。 其中,PC包括但不限于序列号、申请者的ID、签名者的ID、证书有效期限、公钥密码算法标识、PKpub、数字签名等信息。步骤640、身份凭证签发子系统将个人数字证书PC写入身份凭证,并发送给身份验证控制子系统。由于在上述身份凭证的签发流程中,个人数字证书PC的请求者自己产生公/私钥对,并用私钥对指定的数据进行数字签名,身份凭证签发子系统通过验证数字签名的正确性来确认请求者拥有相应的私钥,因此有效地防止了使用他人的公钥申请SC或PC的情况, 提高了系统的安全性。下面进一步描述身份验证终端420如何验证身份凭证。在验证身份凭证之前,需要对身份验证终端进行初始化。根据一个实施形式,身份验证终端420利用认证中心CA的公钥RKaib或公钥证书RC来对接收到的第一系统名单SID_Listl中的验证分系统的系统数字证书SC进行验证。具体而言,身份验证终端420首先使用CA的公钥RKpub来逐个验证SID_Listl中的各SC的正确性,保留正确的SC,拒绝不正确的SC并将相应验证分系统的系统ID、即SID从SID_Listl 中删除,从而得到第二系统名单SID_List2。由此,实现了身份验证终端420的初始化。需要说明的是,身份验证控制子系统4102将第一系统名单SID_Listl及其相应的系统数字证书SC发送给本验证分系统的身份验证终端420,以及身份验证终端420验证第一系统名单SID_Listl从而得到第二系统名单SID_List2,这些过程可以反复独立操作,以便不断更新本系统支持验证的SID_List2。另外,优选的是,预先设置或者协商身份验证控制子系统4102和身份验证终端 420之间的信息加密密钥Keic和/或信息认证密钥Kma。,它们为对称密钥。身份验证控制子系统4102和身份验证终端420利用信息加密密钥Ken对彼此之间传输的信息进行加密和解密,和/或利用信息认证密钥KM。对彼此之间传输的信息计算和验证信息验证码。通过这种方式,进一步保证了所交换的信息的保密性和真实性。完成初始化之后,身份验证终端420可以对身份凭证进行验证。图7示出了根据本发明的一个实施例的对身份凭证进行验证的流程图。可见,身份验证终端420对身份凭证进行验证包括以下步骤步骤710、身份验证终端基于第二系统名单SID_List2对请求验证的身份凭证中的个人数字证书PC进行验证。具体而言,身份验证终端首先判断身份凭证的个人数字证书 PC中的系统ID、即SID是否属于第二系统名单SID_List2,并拒绝其系统ID不属于第二系统名单的身份凭证。随后使用相应的系统数字证书SC验证身份凭证中的个人数字证书PC 的正确性。为此,验证终端从SC中取出验证分系统公钥SKpub验证PC的正确性。若PC验证不通过,则拒绝用户身份。若PC验证通过,则执行步骤720。步骤720、使用个人数字证书PC中的个人公钥PKpub验证身份凭证的正确性。为此,验证终端发一段包含随机数(或时间戳)的信息RM给身份凭证,身份凭证使用个人私钥PKm对RM进行数字签名,并将数字签名结果Sigffl返回给验证终端;验证终端从PC中取出PKpub验证Sigffl的正确性,若Sigffl验证不通过,则拒绝用户身份(报警并结束),若SigRM 验证通过,则承认用户身份(授予相应权限,结束)。从上面描述的身份验证终端420对身份凭证进行验证的实施例中可以看到,本发明实施例的方案能够实现对身份凭证的跨系统验证。第三实施例在第二实施例中,身份验证控制子系统将第一系统名单SID_Listl发送给身份验证终端,身份验证终端利用验证后的第二系统名单SID_List2来进行个人数字证书PC的验证。在第三实施例中,身份验证控制子系统还可以将特殊人员名单PID_List发送给身份验证终端。其中,特殊进入的人员可能并不属于第一系统名单SID_Listl中的任何一个验证分系统。因此,身份验证终端在对身份凭证中的个人数字证书PC进行验证时,还考虑特殊人员名单PID_List。下面进行具体描述。在本实施例中,身份验证服务器410的身份验证控制子系统4102将认证中心CA 的公钥RKaib或公钥证书RC、本验证分系统支持验证的其他验证分系统名单SID_Listl (第一系统名单)及其相应的系统数字证书SC发送给本验证分系统的身份验证终端420,此外还将特殊人员名单PID_List发送给身份验证终端,以实现身份验证终端420的初始化。下面进一步描述在本实施例中身份验证终端420验证身份凭证的过程。在验证身份凭证之前,需要对身份验证终端进行初始化。在本实施例中,身份验证终端420同样利用认证中心CA的公钥RKaib或公钥证书 RC来对接收到的第一系统名单SID_Listl中的验证分系统的系统数字证书SC进行数字签名验证,从而得到第二系统名单SID_List2。关于该过程的描述可以参见第二实施例,这里不再赘述。此外,身份验证终端420还储存特殊人员名单PID_List。由此,实现了身份验证终端420的初始化。需要说明的是,身份验证控制子系统4102将第一系统名单SID_Listl及其相应的系统数字证书Sc、特殊人员名单PID_List发送给本验证分系统的身份验证终端420,身份验证终端420验证第一系统名单从而得到第二系统名单SID_List2以及储存特殊人员名单PID_List,这些过程可以反复独立操作,以便不断更新本系统支持验证的SID_List2和 PID_List。另外,优选的是,预先设置或者协商身份验证控制子系统4102和身份验证终端 420之间的信息加密密钥Keic和/或信息认证密钥Kma。,它们为对称密钥。身份验证控制子系统4102和身份验证终端420利用信息加密密钥Ken对彼此之间传输的信息进行加密和解密,和/或利用信息认证密钥KM。对彼此之间传输的信息计算和验证信息验证码。通过这种方式,进一步保证了所交换的信息的保密性和真实性。完成初始化之后,身份验证终端420可以对身份凭证进行验证。图8示出了根据本发明的一个实施例的对身份凭证进行验证的流程图。可见,身份验证终端420对身份凭证进行验证包括以下步骤步骤810、身份验证终端基于第二系统名单SID_List2和特殊人员名单PID_List 对请求验证的身份凭证中的个人数字证书PC进行验证。具体而言,身份验证终端首先确定个人数字证书PC中的个人ID、即PID是否属于PID_List,如果是,则根据身份凭证中的个人数字证书PC的签发系统ID、即SID向身份验证控制子系统请求该系统ID所标识的验证分系统的系统数字证书SC,并利用认证中心公钥RKpub验证该系统数字证书SC的正确性,在系统数字证书SC正确的情况下使用该系统数字证书SC验证特殊人员的身份凭证中的个人数字证书PC的正确性。如果PID并不属于PID_List,则身份验证终端利用第二系统名单 SID_List2来验证PC,该具体过程在第二实施例中针对图7的步骤710中已经进行了描述, 这里不再重复。步骤820、使用个人数字证书PC中的个人公钥I3Kaib验证身份凭证的正确性。该具体过程在第二实施例中针对图7的步骤720中已经进行了描述,这里不再重复。需要说明的是,本领域技术人员也可以想到在步骤810中为了验证PC先考虑第二系统名单SID_List2,然后再考虑特殊人员名单PID_List。因此,上面描述的顺序并未形成对本发明的限制。该实施例提供的方案既能完成属于本验证分系统的人员的身份验证(将本系统的SID放在SID_List中),也能完成其他系统人员的身份验证;既支持脱机身份验证(不在PID_List中的SID_List中所有系统的所有人员),也支持对特殊人员(PID_List中的所有人员)的联机身份验证。因此,极大地增强了身份验证系统的实用性和灵活性,能够减少系统重复建设、减少身份凭证发放数量,节约社会资源、提高社会效率。第四实施例在第四实施例中,对于第三实施例中的身份凭证验证过程进行了详细描述。图9示出了根据本发明的实施例的身份凭证验证过程的流程图。可见,身份验证过程包括如下步骤步骤910、身份凭证向身份验证终端发出身份验证请求,将身份凭证中存储的个人数字证书PC发送给身份验证终端;步骤920、身份验证终端检查PC格式和使用期限的有效性,PC无效则拒绝用户身份验证请求(报警并结束);步骤930、身份验证终端检查PC中的个人ID,即PID,判断是否属于特许进入的 PID_List,不是则转向步骤960,是则执行步骤940 ;步骤940、根据PC中的签发系统ID,即SID向身份验证控制子系统请求SID所标识的验证分系统的系统数字证书SC ;步骤950、身份验证终端接收身份验证控制子系统返回所请求的SC,用CA的公钥 RKaib验证SC的正确性,验证正确则转向步骤970,验证错误则拒绝用户身份验证请求(报警并结束);其中,若身份验证控制子系统返回错误或拒绝信息,则拒绝用户身份验证请求 (报警并结束);步骤960、身份验证终端检查PC中的SID,判断是否属于支持验证的SID_List,如果不是则拒绝用户身份验证请求(报警并结束);步骤970、身份验证终端从SC中取出SKpub验证PC的正确性,若PC验证不通过,则拒绝用户身份(报警并结束);步骤980、PC验证通过后,身份验证终端发一段包含随机数(或时间戳)的信息RM 给身份凭证,身份凭证使用个人私钥PKph对RM进行数字签名,并将数字签名结果Sigffl返回给验证终端;步骤990、身份验证终端从PC中取出PKpub验证Sigffl的正确性,若Si^11验证不通过,则拒绝用户身份(报警并结束),若Sigffl验证通过,则承认用户身份(授予相应权限,
结束)ο从上面的实施例可以看出,在身份验证过程中还包括了身份验证终端检查PC格式和使用期限的有效性的步骤,该步骤是可选的步骤。另外,如前面已经提及的那样,上面仅仅是一个示例性的方案,为了验证PC完全可以先考虑第二系统名单SID_List2,然后再考虑特殊人员名单PID_List,这并不影响本发明的实质。第五实施例根据本发明的一个实施例,还提出了一种使用前述实施例所描述的身份验证系统来对身份凭证进行验证的方法,包括利用系统数字证书SC和认证中心公钥RKpub来验证身份凭证中存储的个人数字证书PC ;以及在个人数字证书验证通过之后使用个人数字证书 PC中的个人公钥PKaib验证身份凭证的正确性。根据一个实施形式,利用系统数字证书SC和认证中心公钥RKaib来验证身份凭证中的个人数字证书PC的步骤包括身份验证终端基于第二系统名单SID_List2对身份凭证进行验证,其中第二系统名单SID_List2是身份验证终端所属的验证分系统支持验证的系统名单。根据一个实施形式,利用系统数字证书SC和认证中心公钥RKaib来验证身份凭证中的个人数字证书PC的步骤包括身份验证终端判断身份凭证中的个人数字证书PC的签发系统ID是否属于第二系统名单SID_List2,并拒绝其系统ID不属于第二系统名单SID_ List2的身份凭证;身份验证终端使用相应的系统数字证书SC验证身份凭证中的个人数字证书PC的正确性。根据一个实施形式,利用系统数字证书SC和认证中心公钥RKaib来验证身份凭证中的个人数字证书PC的步骤还包括身份验证终端还基于特殊人员名单PID_List对身份凭证的个人数字证书PC进行验证。根据一个实施形式,身份验证终端在基于特殊人员名单对特殊人员的身份凭证进行验证的过程中,根据身份凭证中的个人数字证书PC的签发系统ID向身份验证控制子系统请求该系统ID所标识的验证分系统的系统数字证书SC,并利用认证中心公钥RKaib验证该系统数字证书SC的正确性,在系统数字证书SC正确的情况下使用该系统数字证书SC验证特殊人员的身份凭证中的个人数字证书PC的正确性。根据一个实施形式,还包括身份验证终端检查身份凭证中的个人数字证书PC的有效性,并拒绝无效的身份凭证。其中,该有效性包括但不限于个人数字证书PC的格式有效性和使用期限有效性。关于上述方法实施例的具体内容可以参见装置实施例的相关部分,这里不再赘述。从上面的实施例中可以看到,在本发明实施例的方案中通过引入现有身份验证系统不具有的CA,CA基于公钥密码技术为所有验证分系统签发系统数字证书SC,验证分系统为人员签发人员身份凭证,因此可以实现跨验证分系统的身份验证。这里,公钥密码算法可以选择ECC或RSA,RC、SC和PC既可以是标准的数字证书(如X. 509),也可以是CA和系统自定义的数字证书。本发明实施例通过在验证终端中设置初始化信息例如第二系统名单并且在有特殊人员请求验证时验证终端向身份验证服务器请求特殊人员名单,使得终端既能完成本系统人员的身份验证(将本系统的系统ID放在系统中),也能完成其他系统人员的身份验证; 既支持脱机身份验证(不在特殊人员名单中的系统名单中所有系统的所有人员),也支持对特殊人员(特殊人员名单中的所有人员)的联机身份验证。在身份验证服务器对身份验证终端进行初始化时,在身份验证服务器与身份验证终端之间提供可选的信息加密和验证手段,以保障它们之间数据传输的保密性和真实性。在本发明中,系统数字证书SC或个人数字证书PC的请求者自己产生公/私钥对, 并用私钥对指定的数据进行数字签名,系统数字证书SC或个人数字证书PC的签发者通过验证数字签名的正确性来确认请求者拥有相应的私钥,可以防止使用他人的公钥申请SC 或PC的情况。在本发明中,身份凭证可以是支持公钥密码算法的各类电子化证件(如电子护照);可以是金融IC卡(符合PB0C2.0规范),包括接触卡和非接触卡;可以是电子商务和网上银行广泛使用的USB Key ;可以是移动和无线设备中的支持公钥密码算法的安全模块 (如SD Key)。该身份凭证并不局限于人员所使用的身份凭证,而是可以扩展到例如商品、 产品、货物等等的身份凭证,而并不影响本发明的本质。本发明可以支持多种应用情况(1)许多场合(如会议、展览、演出等)的门票验证系统,实现各场合通用的电子票据及验证系统;(2)各单位(如公司、政府机构、民间组织)的门禁系统,实现跨单位人员身份验证,方便交流与合作;(3)各种信息网络系统(如电子商务、电子政务、网上银行、电子护照等)的登录或身份验证子系统,实现各系统通用的身份凭证,方便跨系统业务的开展;(4)各种消费场所(如商店、酒店、市场等)的电子支付系统中的身份验证子系统,实现通用的电子支付平台。以上虽然结合附图详细描述了本发明的实施例,但是应当明白,上面所描述的实施方式只是用于说明本发明,而并不构成对本发明的限制。对于本领域的技术人员来说,可以对上述实施方式作出各种修改和变更而没有背离本发明的实质和范围。因此,本发明的范围仅由所附的权利要求及其等效含义来限定。
权利要求
1.一种基于公钥密码技术的身份验证系统,包括认证中心CA和多个验证分系统(Si,…,Sn),其中所述认证中心CA被配置用于使用认证中心私钥RKph为所述多个验证分系统(Si,…,Sn)分别签发相应的系统数字证书 (SCI,…,SCn),所述验证分系统(Si,…,Sn)均能够基于相应的系统数字证书(SCI,…, SCn)和认证中心公钥RKaib来验证本验证分系统和其他验证分系统所颁发的身份凭证。
2.根据权利要求1所述的身份验证系统,其中所述验证分系统包括身份验证服务器、身份验证终端,其中,所述身份验证服务器进一步包括身份凭证签发子系统,用于签发和管理属于本验证分系统的人员的身份凭证;以及身份验证控制子系统,用于将认证中心的公钥或公钥证书、 第一系统名单及其相应的系统数字证书发送给本验证分系统的身份验证终端,其中所述第一系统名单是本验证分系统支持验证的其他验证分系统的名单;并且所述身份验证终端利用认证中心的公钥或公钥证书来对第一系统名单中的验证分系统的系统数字证书进行数字签名验证,将验证通过的系统数字证书对应的验证分系统ID 列入第二系统名单,并基于第二系统名单对请求验证的身份凭证中的个人数字证书进行数字签名验证,并在个人数字证书验证通过之后使用个人数字证书中的个人公钥验证身份凭证的正确性。
3.如权利要求2所述的身份验证系统,其中所述身份验证终端在基于第二系统名单对请求验证的身份凭证中的个人数字证书进行数字签名验证的过程中,首先判断身份凭证中的个人数字证书中的证书签发系统ID是否属于第二系统名单,并拒绝证书签发系统ID不属于第二系统名单的身份凭证,随后使用相应的系统数字证书验证身份凭证中的个人数字证书的正确性。
4.如权利要求2所述的身份验证系统,其中所述身份验证控制子系统还被配置为将特许进入的特殊人员名单发送给身份验证终端,身份验证终端还基于特殊人员名单对身份凭证中的个人数字证书进行验证。
5.如权利要求4所述的身份验证系统,其中所述身份验证终端在基于特殊人员名单对特殊人员的身份凭证进行验证的过程中,根据身份凭证中的个人数字证书的证书签发系统 ID向身份验证控制子系统请求该证书签发系统ID所标识的验证分系统的系统数字证书, 并利用认证中心公钥RKpub验证该系统数字证书的正确性,在系统数字证书正确的情况下使用该系统数字证书验证特殊人员的身份凭证中的个人数字证书的正确性。
6.如权利要求1所述的身份验证系统,其中在认证中心CA签发验证分系统系统的系统数字证书SC的过程中,验证分系统产生本系统的系统公/私钥对,用系统私钥对系统数字证书SC请求信息进行数字签名,并将系统数字证书SC请求信息及数字签名一并发给认证中心CA,认证中心CA用系统数字证书SC请求信息中的系统公钥验证数字签名的正确性,并审查SC请求信息,如果数字签名正确、SC请求信息审查合格,则用认证中心私钥签发系统数字证书SC。
7.如权利要求2所述的身份验证系统,其中在身份凭证签发子系统签发属于本验证分系统的身份凭证的过程中,身份凭证产生个人公/私钥对,用个人私钥对身份凭证中的个性化信息进行数字签名,并将数字签名和个人公钥发送给身份凭证签发子系统,身份凭证签发子系统用个人公钥验证数字签名的正确性,如果数字签名正确,则使用系统私钥签发个人数字证书,将该个人数字证书写入身份凭证,并将个人数字证书发送给身份验证控制子系统。
8.根据权利要求2所述的身份验证系统,其中预先设置或者协商身份验证控制子系统和身份验证终端之间的信息加密密钥和/或信息认证密钥,身份验证控制子系统和身份验证终端利用信息加密密钥对彼此之间传输的信息进行加密和解密,和/或利用信息认证密钥对彼此之间传输的信息计算和验证信息验证码。
9.根据权利要求1所述的身份验证系统,其特征在于,所述认证中心CA包括单一认证中心、多个并行的认证中心或者是层级式的认证中心体系。
10.如权利要求1所述的身份验证系统,其特征在于,所述身份凭证包括支持公钥密码算法的电子化证件或者触摸式或非触摸式IC卡、USB key或者移动或无线设备中支持公钥密码算法的安全模块。
11.一种使用如权利要求1至10之一所述的身份验证系统来对身份凭证进行验证的方法,包括利用系统数字证书和认证中心公钥来验证身份凭证中存储的个人数字证书;以及在个人数字证书验证通过之后使用个人数字证书中的个人公钥验证身份凭证的正确性。
12.根据权利要求11所述的方法,其中利用系统数字证书和认证中心公钥来验证身份凭证中的个人数字证书的步骤包括身份验证终端基于第二系统名单对身份凭证进行验证,其中第二系统名单是身份验证终端所属的验证分系统支持验证的其他验证分系统名
13.根据权利要求12所述的方法,其中利用系统数字证书和认证中心公钥来验证身份凭证中的个人数字证书的步骤包括身份验证终端判断身份凭证中的个人数字证书中的证书签发系统ID是否属于第二系统名单,并拒绝证书签发系统ID不属于第二系统名单的身份凭证;身份验证终端使用相应的系统数字证书验证身份凭证中的个人数字证书的正确性。
14.根据权利要求12所述的方法,其中利用系统数字证书和认证中心公钥来验证身份凭证中的个人数字证书的步骤还包括身份验证终端还基于特殊人员名单对身份凭证中的个人数字证书进行验证。
15.根据权利要求14所述的方法,其中身份验证终端在基于特殊人员名单对特殊人员的身份凭证进行验证的过程中,根据身份凭证中的个人数字证书的证书签发系统ID向身份验证控制子系统请求该系统ID所标识的验证分系统的系统数字证书,并利用认证中心公钥RKaib验证该系统数字证书的正确性,在系统数字证书正确的情况下使用该系统数字证书验证特殊人员的身份凭证中的个人数字证书的正确性。
16.根据权利要求11至15之一所述的方法,还包括身份验证终端检查身份凭证中的个人数字证书的有效性,并拒绝无效的身份凭证。
全文摘要
本发明公开了一种基于公钥密码技术的身份验证系统和一种利用所述身份验证系统来对身份凭证进行验证的方法。所述身份验证系统包括认证中心CA和多个验证分系统,其中所述认证中心CA被配置用于使用认证中心私钥RKPri为所述多个验证分系统分别签发相应的系统数字证书,所述验证分系统均能够基于相应的系统数字证书和认证中心公钥RKPub来验证本验证分系统和其他验证分系统所颁发的身份凭证。利用根据本发明的身份验证系统,可以实现跨用户系统的人员身份验证,减少系统重复建设、减少身份凭证发放数量,节约社会资源、提高社会效率。
文档编号H04L9/30GK102271040SQ20111021051
公开日2011年12月7日 申请日期2011年7月26日 优先权日2011年7月26日
发明者郭瑞宾 申请人:北京华大信安科技有限公司