技術領域

本發明涉及信息安全技術領域，具體來說，涉及一種基于eID的網絡身份認證方法及平臺。

背景技術

網絡“真名制”具有三大缺陷：1、網絡用戶的隱私得不到很好的保護。2、網絡用戶的賬號安全缺乏保障。3、網絡用戶的真實性難以證明。目前國內的網絡遠程身份驗證普遍使用“關聯比對”方法，即將用戶輸入的“姓名+身份證號”等個人信息，傳到后臺對個人信息的正確性進行比對來認定其身份。

但"關聯比對"方法在大規模應用的場景下主要存在幾個問題：

1.個人信息比對正確并不能代表本人真實意愿，無法防范個人身份被冒用或盜用的風險；

2.容易造成個人信息泄露。采集個人信息的網絡應用服務機構安全水平不一，個人信息大規模泄露的風險越來越高；

3. 網絡用戶的賬號安全缺乏保障。

針對相關技術中的問題，目前尚未提出有效的解決方案。

eID是以密碼技術為基礎、以智能安全芯片為載體、由“公安部公民網絡身份識別系統”簽發給公民的網絡電子身份標識，能夠在不泄露身份信息的前提下在線遠程識別身份。“eID公民網絡身份識別系統”會以用戶個人身份信息和隨機數計算出一個唯一代表用戶身份的編碼，即用戶的網絡身份標識編碼（eIDcode）。該編碼不含任何個人身份信息，且不可逆推出個人身份信息。用戶使用eID通過網絡向應用方自證身份時，應用方會通過連接“公安部公民網絡身份識別系統”的運營和服務機構，請求驗證核實用戶網絡身份的真實性和有效性。一旦用戶網絡身份通過驗證，應用方會得到一個與該應用相對應的用戶網絡身份應用標識編碼（appeIDcode）。因此，雖然用戶擁有唯一的網絡身份標識編碼（eIDcode），但在不同的應用機構只能得到不同的網絡身份應用標識編碼（appeIDcode），從而避免用戶在不同網絡應用中的行為數據被匯聚、分析和追蹤，可最大程度的保護個人身份和隱私信息。

發明內容

針對相關技術中的上述技術問題，本發明提出一種基于eID的網絡身份認證方法及系統，能夠有效解決用戶網上身份信息安全的相關問題。

為實現上述技術目的，本發明的技術方案是這樣實現的：

一方面，本發明提供了一種基于eID的網絡身份認證平臺，包括：線上應用系統，服務機構系統（IDSP，Identity Service Provider或AS），運營機構系統（IDSO，Identity Operator Provider或OP）以及eID認證系統；

所述線上應用系統，用于接收用戶提交的eID身份認證請求或eID簽名驗簽請求，通過AP向IDSP發起PKI/HMAC身份識別服務請求或者簽名驗簽服務請求；

所述服務機構系統，包括IDSP軟件系統和服務設備，用于對線上應用系統提交的請求主要參數進行組裝并通過服務設備對所述參數進行簽名，向IDSO發起請求，接收IDSO返回的認證結果；

所述運營機構系統，包括IDSO軟件系統和運營設備，用于接收并解析驗證來自IDSP的請求，將IDSP的請求主要參數進行組裝并通過運營設備進行簽名和敏感數據加密，向eID認證系統發起請求，接收eID認證系統的返回結果，驗證簽名解密敏感信息并保存相關信息，通過運營設備生成當前用戶在當前appid對應應用上的appeidcode，向IDSP返回認證結果；

所述eID認證系統，用于接收IDSO的請求驗證身份，驗證用戶簽名有效，向IDSO返回驗證結果。

進一步的，所述運營機構系統與所述服務機構系統之間通過加密交換機建立加密通道交互數據，所述運營服務機構系統與多個服務機構系統連接，所述服務機構系統為多個線上應用系統提供服務。

進一步的，AP向IDSP發起PKI/HMAC身份識別服務請求或者簽名驗簽服務請求時，攜帶相應信息，所述信息包括但不限于用戶身份信息、原文、簽名、簽名算法、cert_id以及app id。

進一步的，IDSO組裝參數后向eID認證系統發起請求時，攜帶相應信息，所述信息包括但不限于用戶身份信息、原文、簽名、簽名算法、cert_id、IDSO id。

進一步的，eID認證系統向IDSO返回驗證結果時，攜帶相應信息，所述信息包括但不限于當前用戶的eidcode和證書。

進一步的，IDSO通過運營設備生成當前用戶在當前appid對應應用上的appeidcode，攜帶eidcode、appid、regcode，IDSO向IDSP返回認證結果，攜帶appeidcode。