[发明专利]分布式身份认证方法、装置与系统

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种分布式身份认证方法、装置与系统。

背景技术

随着WEB2.0技术以及社交网络平台技术的发展，用户以及应用之间的身份认证问题将成为最重要的问题之一。现有技术一般采用中心化(Centralized)的认证方式，即，用户访问每个网站都会经历账户注册、身份认证等过程。这些分散的身份注册和认证功能无论对应用网站的发展还是用户体验都是一种潜在的阻碍。这种认证方式存在一些缺陷和不足，主要包括：

1、归属不同网络社群的用户不能进行有效的交流；

2、用户的身份和用户数据在用户控制之下不能完全开放；

3、应用不能方便的获得用户身份和用户数据；

4、用户体验比较差，用户为了和不同网络的用户交往而建立并维护多个账号身份。

一种中心化的认证方式为PKI(Public Key Infrastructure，公钥基础设施)，PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI采用的是中心授信和层级结构的信任推导机制，各参与方都信任同一CA(Certificate Authority，认证中心)，由该CA来核对和验证各参与方的身份，也可由上级CA通过签名的方式对下级CA进行授信，这样，各个参与方都通过信任同一个根证书而建立起来信任链和信任关系。

由于PKI是一种中心化(Centralized)的认证方式，身份的签发是由CA来完成，证书的分发由用户完成，其中，签是签署，即用CA的私钥对证书进行签名；发指分发，即下载或提供存储介质。证书中包含有用户的身份标识，用户身份标识是一种非全局、非统一的用户标识。这种情况下，用户标识是否被伪造和篡改只能通过用户对签发证书的CA的信任来确定，而通常情况下，一般用户还是很难清楚到底哪些CA签发的证书是可以信任的。因此，PKI认证技术存在如下局限：

1、因为没有规范全局的证书访问机制，用户证书不具有可访问性，因此证书的分发和获取都非常的困难；

2、采用层级结构的信任推导机制，来保障用户标识的唯一性及合法性，不能构成一个自由开放的用户标识提供体系；

3、用户信息不容易附着和获得，因为用户信息附带在用户证书中，证书中所附着的用户信息是有限而且难于变化的。

一种分布式身份认证技术是YADIS(Yet Another Decentralized Identity Interoperability System，一种分布式身份互操作体系)技术。Yadis制定了一些规范用于支持：

1、可以用于多种网络服务的身份标识，该标识可以代表一个人或者是一个网络实体。身份标识使用标准语法和规范的名域空间。

2、用于描述身份标识所能提供的服务的一整套语法，以及语素定义。

3、通过该身份标识可以获得描述该标识的XRDS(eXtensible Resource Descriptor Sequence，可扩展资源描述序列)文档，该文档用于描述服务类型和入口地址的映射关系。

YADIS主要以URL作为身份标识ID，通过该ID可以发现捆绑在该ID上的服务。具体地，YADIS标识是一个可访问标识，通过该标识可以获得XRDS文档，XRDS文档可以描述服务类型和服务地址URI的映射，其中服务是一些能力集。例如：可以通过XRDS文档的描述发现该用户的Blog是否提供Pingback服务以及提供服务的Pingback地址，这样就可以在自己的Blog上回复该用户的日志。

XRDS文档中包含了很多的服务条目，每个条目最主要包含两个信息，一个是服务类型，一个是服务提供入口地址URI。服务类型代表服务消费方和服务提供方双方必须遵从的协议；入口地址意指消费方通过使用服务类型所规定的协议访问该地址，可以获得所期望的结果和信息。基于以上的规范和协议，可以使得身份标识上所描述和提供的多种服务可以很好的共存和互操作。

当一个用户提供了一个Yadis ID给应用网站Relying Party，应用网站将通过检索XRDS文档去发现该Yadis ID提供了哪些服务。例如“Flickr”网站为用户提供照片服务，这样可以在该用户的ID所对应的XRDS文档中加入照片分享的服务描述，这样该用户的朋友就可以给该用户分享照片了。