技術領域

本發明屬信息安全領域，涉及一種集中賬號密碼認證生成系統。

背景技術

目前因特網上的網站越來越多，大多數網站都需要注冊賬號，并且設置相應的密碼。有些網站還需進行身份認證才能注冊，但是這種認證有時候就是隨意輸入自己的身份證號碼、提交一些證明材料等，不僅工作量大，而且很容易偽造。為了方便，許多網站無需提交認證信息，用戶就可以自由注冊，這帶來了安全隱患。

對于用戶而言，在不同的網站注冊需要設置不同的賬號利密碼，由于賬號都是用戶任意注冊的，用戶的常用用戶名可能已經被他人搶先注冊，不得不設置許多不同的用戶名，而且密碼為了保證安全性，也不得不設置不同的密碼，所以用戶造成了記憶上的不方便，往往會混淆不同網站的注冊信息。

目前市場存在措施：目前市場上普遍推廣的單點登陸系統可以簡化企業內部多個系統登陸的繁瑣問題。但是這種系統只適合在企業內部使用，適用范圍較窄，不適合互聯網范圍內的廣泛應用。

本發明設計了一種低成本的，一次認證即可應用到所有網站的集中賬號密碼認證生成系統，由一個可信任的賬號認證管理中心來認證個人用戶和網站用戶，為個人用戶生成唯一的賬號，密碼則根據算法自動生成。各個網站可以通過安全連接獲得用戶的賬戶和密碼，而且密碼只是對于該網站適用，其他網站的密碼不能由此網站密碼推算。各個網站可以獨立設置一種自己網站的獨立用戶名和賬戶認證中心的統一賬戶(比如可以用@sohu.com和@ca.org分別標識網站自己的賬戶和認證中心的賬戶)，也可以全部采用賬戶認證中心的賬戶密碼。

發明內容

本發明旨在提供一種集中式的認證和賬戶管理方法。

發明涉及到三方：認證中心C，用戶A和網站B。認證中心負責用可靠的方式認證用戶和網站，管理用戶的賬戶和密碼。

用戶在認證中心的注冊：用戶提交自己的信息，認證中心通過各種方式，對用戶的各種資料和信息進行認證，并且備案。經過認證后，采用安全的鏈接，與用戶共享一個主密鑰K。

網站在認證中心的注冊：用戶提交自己的信息，認證中心通過各種方式，核實網站的真實性，并且將相關信息備案。核實網站的身份后，獲得網站的公鑰，授予其唯一的一個ID。認證中心將網站Id公開，并且給網站B發一個簽名文件，證明B的ID就是公開的那個。完成注冊后，網站需要進行相應編程，首先是要支持認證中心的賬戶類型，假設為@ca.org類賬戶：其次要建立網站和認證中心直接的安全通信的編程。

用戶在網站的注冊：只要用戶A和網站B都經過合法的認證，用戶第一次注冊網站B的時候，如果選擇網站獨立的賬戶，則與本系統無關；如果選擇@ca.org類賬戶，則用戶可以提交自己的統一賬戶，用戶先查看認證中心網站中公布的網站B的ID，或者在B網站上下載一個認證中心的簽名，證明網站B的ID，然后用戶方根據主密鑰、網站的ID和一些其他附加信息，附加信息中包括一個固定長度是用來標識掛失次數的，其中也可以包括賬戶名，注冊的時候其值設置為0，采用單向函數來生成密碼，注意如果生成的值很長，可以約定截取一定的位數。用戶將信息提交給網站，網站將信息轉發給認證中心，網站用認證中心的公鑰加密用戶的賬戶和密碼給認證中心，并且用自己的私鑰簽名，認證中心接受到信息后，先用網站的公鑰驗證簽名，然后用自己的私鑰解密。由于認證中心和用戶共享主密鑰，所以認證中心也可以根據主密鑰、網站的ID和一些其他附加信息，采用同樣的單向函數來生成密碼。由于兩者知道的信息是一樣的，所以，如果用戶身份屬實，得到的結果應該是一樣的。認證中心將核實的結果告訴網站，如果身份得到核實，網站即可認可用戶的賬戶和密碼。此后如果用戶需要修改密碼，可以直接自己在網站修改。其中的附加信息為功能的拓展提供了預留的空間，預留的附加信息為做更多的設置和限定提供了條件，包括在同一網站的不同位置如果需要采用不同的密碼的時候，可以在附加信息中加以區分，得到不同密碼，也可以將賬戶名作為附加信息的一部分以達到更好的安全效果。

用戶密碼掛失和更新：如果用戶密碼泄露了或者被木馬盜取了，就需要將原來的密碼掛失，并且更新新的密碼，用戶掛失的時候可以自動生成一個新的密碼，其產生方式為利用單向函數，主密鑰、網站的ID和一些其他附加信息，將標識掛失次數的比特位發置為掛失的次數。網站接受到后，用類似的方法轉發給認證中心，認證中心認證通過后，即可采用該新密碼。掛失和更新是一體的，用更新的密碼可以認證用戶的身份，這樣避免一些人偽冒真正用戶進行惡意掛失。