一种身份验证信息发布方法与流程

本发明涉及身份验证领域，具体说涉及一种身份验证信息发布方法。

背景技术：

实名制是指办理和进行某项业务时需要提供有效的能证明个人/组织身份的证件或资料等，在对证件或资料信息进行核实后才能允许进行业务行为。在中国社会，实名制被应用于银行、电信、火车票、网吧、快递等各种领域。在我国互联网蓬勃发展的过程中，实名也在逐渐被应用在各种互联网的活动中，比如个人上网、域名注册或网站备案等。

身份验证在生活中越来越普遍，在很多应用场景下，身份验证结果都具有较强的时效性，并且身份验证数据的规模越来越大，对验证结果内容要求通用、简洁、可处理性强。

进一步的，用户以及监管者对于身份信息的发布也有了很高的要求：身份验证信息需要被及时、准确、安全的发布给各干系方。然而现有的身份验证信息发布方法执行流程比较繁琐，不能很好的满足不断提高的用户以及监管者需求。

因此，为了进一步满足用户以及监管者需求，需要一种新的身份验证信息发布方法。

技术实现要素：

为了进一步满足用户以及监管者需求，本发明提供了一种身份验证信息发布方法，所述方法包括以下步骤：

信息发布方以身份验证信息对应的标识域名作为关键字并向域名系统提交所述标识域名，所述身份验证信息包括注册资料和/或验证结果；

查询者通过所述标识域名，使用所述域名系统查阅相应的所述身份验证信息。

在一实施例中：

在向所述域名系统提交所述标识域名的过程中，将所述身份验证信息构造成文本类型的解析记录并提交给所述域名系统的域名解析服务器，其中，将所述标识域名作为所述文本类型的解析记录的关键字，将所述身份验证信息作为所述文本类型的解析记录的内容；

在所述查询者通过所述标识域名查阅所述身份验证信息时，所述域名解析服务器对其提供相应的所述文本类型的解析记录。

在一实施例中，构造用于发布所述身份验证信息的发布服务器，其中：

在向所述域名系统提交所述标识域名的过程中，将所述身份验证信息对应的标识域名构造成指向所述发布服务器的解析记录，并将所述解析记录提交给所述域名系统的域名解析服务器；

在所述查询者通过所述标识域名查阅所述身份验证信息时，所述域名解析服务器指引所述查询者访问所述发布服务器；

所述查询者通过所述标识域名访问所述发布服务器；

所述发布服务器通过所述查询者输入的标识域名查找并发布相应的所述身份验证信息。

在一实施例中：

在构造所述解析记录的过程中，将所述标识域名构造成指向所述发布服务器的网络互连地址的解析记录；

在所述查询者通过所述标识域名查阅所述身份验证信息时，所述域名解析服务器向所述查询者返回所述发布服务器的网络互连地址。

在一实施例中：

在构造所述解析记录的过程中，将所述标识域名构造成指向所述发布服务器的域名的解析记录；

在所述查询者通过所述标识域名查阅所述身份验证信息时，所述域名解析服务器向所述查询者返回所述发布服务器的域名。

在一实施例中，所述发布服务器以超文本的方式显示所述身份验证信息。

在一实施例中，在向域名系统提交所述标识域名的过程中采用消息推送或定时抓取的方式从所述信息发布方的身份验证数据库/数据缓存中获取所述身份验证信息或所述标识域名。

在一实施例中，搭建身份验证WHOIS服务器作为域名查询系统，当所述查 询者通过所述标识域名进行查询时，所述身份验证WHOIS服务器根据所述标识域名查找所述信息发布方的身份验证信息数据库/数据缓存，找到对应所述标识域名的身份验证信息的内容并以WHOIS要求的文本格式返回给所述查询者。

在一实施例中，在域名实名验证过程中，所述标识域名为所述身份验证信息对应的待申请域名。

在一实施例中，为所述身份验证信息构造一个符合域名规范的标识，使用该标识作为所述身份验证信息对应的所述标识域名。

与现有技术相比，本发明的方法不仅具有发布及时、响应快速、容量大等优势，而且本发明的方法可以完全依托现有系统执行，其应用推广难度以及硬件成本大大降低。

本发明的其它特征或优点将在随后的说明书中阐述。并且，本发明的部分特征或优点将通过说明书而变得显而易见，或者通过实施本发明而被了解。本发明的目的和部分优点可通过在说明书、权利要求书以及附图中所特别指出的步骤来实现或获得。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例共同用于解释本发明，并不构成对本发明的限制。在附图中：

图1是现有技术中域名实名验证的数据流结构简图；

图2是根据本发明一实施例的身份验证信息发布流程图；

图3-5分别是根据本发明不同实施例发布身份验证信息的数据流结构简图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此本发明的实施人员可以充分理解本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程并依据上述实现过程具体实施本发明。需要说明的是，只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。

身份验证在生活中越来越普遍，在很多应用场景下，身份验证结果都具有较强的时效性，并且身份验证数据的规模越来越大，对验证结果内容要求通用、简 洁、可处理性强。

进一步的，用户以及监管者对于身份信息的发布也有了很高的要求：身份验证信息需要被及时、准确、安全的发布给各干系方。然而现有的身份验证信息发布方法执行流程比较繁琐，不能很好的满足不断提高的用户以及监管者需求。

本发明提出了一种身份验证信息发布方法。为提出本发明的方法，发明人首先对现有的身份验证信息结构进行分析。在通常的情况下，身份验证信息包含验证结果(通过/不通过/未核验)。一般的，验证结果以“身份唯一性标记：验证结果信息”的关键词-值(Key-Value)形式发布，发布格式相近并且长度有限。身份验证信息的查询者通过“身份唯一性标记”确认自己所需要了解的验证结果信息。

进一步的，在某些情况下，身份验证信息还包含待验证信息(例如实名认证时需要验证的注册人信息)以及其他与身份验证有关的信息。由于上述信息本身就具有身份唯一性，因此身份验证信息可以提取出一个身份唯一性标记。

域名系统(Domain Name System，DNS)是现在广泛应用于互联网领域的基础网络技术。DNS的功能是将域名解析成互联网网络上的目的主机服务器的IP地址，让使用域名的用户能够通过域名访问到对应服务器上提供的各种网络服务。简单来说，在DNS系统中，用户输入域名，就可以得到与域名对应的主机服务器的IP地址，并且，在DNS系统中，域名是唯一的。

基于上述分析，在本发明的方法中，采用域名系统(Domain Name System，DNS)发布身份验证信息。在本发明中，将DNS中的域名作为身份验证信息中的“身份唯一性标记”。查询者输入域名，利用DNS查找并返回自己所需的身份验证信息。即：信息发布方以身份验证信息对应的标识域名作为关键字并向域名系统提交标识域名；查询者通过标识域名，使用域名系统查阅相应的身份验证信息。

本发明的方法采用DNS发布身份验证信息，具有发布及时、响应快速、容量大等优势，而且DNS采用DNS安全扩展(Domain Name System Security Extensions，DNSSEC)技术后，可以使DNS数据内容很难篡改，更加安全可靠。进一步的，本发明的方法可以完全依托现有的DNS系统执行，其应用推广难度以及硬件成本大大降低。

具体的，信息发布方为身份验证信息构造一个符合域名规范的标识，使用该 标识作为身份验证信息对应的标识域名(身份唯一性标记)。

以域名身份验证为例，在工业和信息化部《中国互联网络域名管理办法》中明确规定对于用户注册域名的实名制要求，“域名注册申请者应当提交真实、准确、完整的注册信息”。

如图1所示，在域名注册操作流程里，域名注册者100通过域名注册服务机构110(注册商)提交域名注册信息(身份证/营业执照/法人代表)，域名注册管理机构130(注册局)对域名申请单位的营业执照，法人代表等资料是否真实可靠进行实质性的核验。但是由于某些域名注册管理机构130属于境外机构，不具备条件或不必要进行域名实名核验的，会委托第三方核验机构120(VSP，Verification Service Provider)完成域名验证过程，并根据验证结果完成对注册者的域名注册过程。

VSP进行域名核验的整个流程，是将域名注册者的身份信息进行验证并将身份结果信息发布的过程。包括：

步骤1.接收域名注册者或者域名注册服务机构提交的域名以及注册者身份资料；

步骤2.对域名以及注册资料的真实性、有效性进行核验；

步骤3.向注册管理机构、域名注册者以及行业监管部门发布域名及注册资料验证状态或最终结果。

本发明的方法主要涉及上述步骤3中发布域名验证结果的方法。此时，域名注册验证中间状态或者验证结果保存在VSP的数据库中。在域名实名验证过程中，由于身份验证信息本身就对应一个域名(待申请域名)，因此VSP现在以域名作为验证结果的关键字(KEY)(标识域名)，域名验证结果(中间状态)以及部分域名注册信息作为验证结果发布给相关人或组织。即验证结果查询者可以通过域名(Key)，使用DNS的方式查询VSP发布的域名验证结果(value)：“通过/不通过/未核验以及其他验证信息”。查询方式遵从DNS以及相关标准流程和协议。

需要指出的是，本发明的方法可以支持的验证对象可以是域名资料(身份证/工商执照/组织机构代码证/护照/三证合一统一代码)，也可以是其他可以标记身份的资料；本发明的方法不涉及验证方法，对验证信息发布方没有限制或要求，相关环节中的各个机构或个人都可能有发布信息的需要。从应用上来说，验证内 容的发布，也不局限于域名领域。

DNS协议中具有很多的记录类型(Resource Record Type)，有些记录类型，如NS/A/AAAA/MX，已经被广泛的用到了域名解析或邮箱服务等领域。在本发明一实施例中，利用DNS协议中的记录类型发布身份验证信息。

在DNS中，文本(TXT)是一种应用灵活的记录类型，其一般为某个主机名或域名设置的说明。在本发明一实施例中，将TXT记录类型作为标识域名对应的身份验证信息(验证结果)的说明。

具体的，标识域名作为TXT记录的关键字，身份验证信息作为TXT类型记录的内容。与域名注册局发布名称服务器(NameServer，NS)解析记录的方法类似，可以将TXT记录以全量的方式写入zone文件，待DNS服务器加载zone文件后就可以对外提供查询服务；也可以采用增量更新的方式，通过标准的域名更新(DNS Update)协议将TXT记录写入DNS服务器，使之可以对外提供查询。

具体流程如图2所示，首先执行步骤S200，获取标识域名及其身份验证信息(验证结果)。具体的，访问身份验证数据库/数据缓存获取标识域名及其身份验证信息(验证结果)，获取的方式可以采用消息推送的方式，也可以采用定时抓取的方式。

然后执行步骤S210，将获取到的标识域名及其身份验证信息(验证结果)构造成TXT类型的解析记录(将标识域名作为TXT类型的解析记录的关键字，将身份验证信息作为TXT类型的解析记录的内容)。接着执行步骤S220，将TXT类型的解析记录提交给域名解析服务器。

在查询者进行查询时，首先向域名解析服务器提交待查询的标识域名(S230)，域名解析服务器将查询者提交的标识域名与存储的所有解析记录的关键字(标识域名)做匹配(S240)，然后向查询者提供相应的TXT类型的解析记录(S250)。

对应的数据流关系结构如图3所示，构造身份验证解析记录发布模块310(在VSP处)，身份验证解析记录发布模块310首先访问身份验证数据库/数据缓存300获取标识域名及其身份验证信息(验证结果)。获取的方式可以采用消息推送的方式，也可以采用定时抓取的方式。然后，身份验证解析记录发布模块310将获取到的标识域名及其身份验证信息(验证结果)构造成TXT类型的解析记录，并提交给域名解析服务器320。

当查询者330查询时向域名解析服务器320输入标识域名，域名解析服务器320返回标识域名对应的TXT类型的解析记录。进一步的，如果需要保障数据的安全性，向定向用户发布身份结果，需要将数据加密，使持有私钥的查询用户才能解密并还原查询结果数据。

在本实施例中，身份验证信息以TXT类型记录的方式保存在DNS服务器(域名解析服务器)中，查询者在进行身份验证信息的查询时只需要访问DNS服务器，查询响应速度被大大提高。进一步的，DNS服务器本身就具有容量大、可靠性高的特点，这不仅增加了身份验证信息的可存储数量，而且提高了存储安全程度。进一步的，上述流程可以完全依托现有的DNS系统执行，其应用推广难度以及硬件成本大大降低。

需要说明的是，一般在DNS系统中，TXT记录长度限制在65535(0xFFFF)字节内，实际使用时一般不超过512字节。一般情况下，上述数据容量足够保存一个身份验证信息。进一步的，DNS也允许用户自定义新的数据类型，但需要解析服务器的支持。

在本发明另一实施例中，基于DNS中的WHOIS协议发布身份验证信息。WHOIS协议也是域名系统协议之一，用于给域名注册用户或域名注册服务机构提供域名内容的查询服务。WHOIS服务基于43端口，采用传输控制协议(Transmission Control Protocol，TCP)的方式发布关键词：值(Key:Value)格式的文本数据，且对于返回的验证结果信息没有长度限制(相较于采用TXT方式，其能够存储数据量更大的单个身份验证信息)。

为实现WHOIS协议，信息发布方(VSP)需要搭建身份验证WHOIS服务器作为域名查询系统，WHOIS服务器是整个服务的核心，对应的数据流关系结构如图4所示。

当查询者430通过标识域名进行查询时，身份验证WHOIS服务器410根据标识域名查找信息发布方的身份验证信息数据库/数据缓存400，找到对应标识域名的身份验证信息的内容并以WHOIS要求的文本格式返回给查询者430。

在上述实施例中，返回到查询者处的查询结果均是以文本格式为基础的。但是在某些情况中，单纯的文本并不能满足用户需求。在现有的互联网协议中，使用基于超文本(HTTP/HTTPS)协议的网页(WEB)服务是网民熟悉并广泛使用的网络服务。个人电脑上众多的浏览器都提供了用户访问类似www的完善的 HTTP/HTTPS的支持。而且，HTTP/HTTPS可以灵活的为用户提供文档、二维码、图片、动画、视频等复杂内容的展示，并方便加入登录校验、访问控制等功能。

为了适应用户的应用习惯，在本发明一实施例中，采用超文本的身份验证信息发布方式。具体的，信息发布方(VSP)构造用于发布身份验证信息的发布服务器以及用于构造解析记录的身份验证解析记录生成服务器，对应的数据流关系结构如图5所示。

身份验证解析记录生成服务器510首先访问信息发布方(VSP)的身份验证数据库/数据缓存500获取标识域名。获取的方式可以采用消息推送的方式，也可以采用定时抓取的方式。然后，身份验证解析记录生成服务器510将获取到的标识域名构造成指向发布服务器540的解析记录，并提交给域名解析服务器520。

在查询者530通过标识域名查阅身份验证信息时，域名解析服务器520指引查询者530访问发布服务器540。查询者530通过标识域名访问发布服务器540，发布服务器540通过查询者530输入的标识域名在身份验证数据库/数据缓存500中查找匹配的身份验证信息并将查找到的身份验证信息以HTTP/HTTPS的方式发布给查询者530。

具体的，身份验证解析记录生成服务器510将标识域名构造成指向发布服务器540的网络互连地址(IP地址)的A/AAAA类型的解析记录，或者将标识域名构造成指向发布服务器540的服务域名的CNAME类型的解析记录。当查询者530查询身份验证域名时，域名解析服务器520向查询者530返回验证结果发布服务器的IP地址(A/AAAA)或域名(CNAME)。

采用HTTP/HTTPS的方式发布身份验证信息，可以充分利用HTTP/HTTPS的现有资源和各类功能，返回的内容可以动态调整，并给查询者定制的展示方式。HTTP/HTTPS的显示方式灵活多样，便于查询者接受。

综上，与现有技术相比，本发明的方法不仅具有发布及时、响应快速、容量大等优势，而且本发明的方法可以完全依托现有系统执行，其应用推广难度以及硬件成本大大降低。

虽然本发明所公开的实施方式如上，但所述的内容只是为了便于理解本发明而采用的实施方式，并非用以限定本发明。本发明所述的方法还可有其他多种实施例。在不背离本发明实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变或变形，但这些相应的改变或变形都应属于本发明的权利要求 的保护范围。