[发明专利]分布式公共证书服务网络的统一身份管理系统

权利要求书

1.一种分布式公共证书服务网络的统一身份管理系统，其特征在于，其包括骨干网、用户终端、公共证书服务中心；

公共证书服务中心包括至少一个根公共证书服务中心及至少一个区域公共证书服务中心；

根公共证书服务中心、区域公共证书服务中心接入到骨干网；

用户终端上的骨干网应用程序通过骨干网注册接入点接入骨干网进行注册；注册完成后能通过骨干网接入点接入骨干网；

区域公共证书服务中心具有区域公共证书服务器和区域管理员；

骨干网是一个基于统一身份地址，即UID地址的数据通信网络；

骨干网中的不同终端用户有唯一且不同的UID地址，骨干网中的设备有UID地址；

UID地址格式为C_R_X，其中C代表国家，R代表区域，X代表设备或终端用户；

公共证书服务中心、骨干网注册接入点、骨干网接入点具有设备UID地址；

终端用户具有用户UID地址；

每一个用户UID地址都与至少一个用户公共证书绑定，并在用户公共证书中标明该用户UID地址；

终端用户向区域公共证书服务中心申请获得其用户UID地址及对应的用户公共证书；

为终端用户签发用户公共证书的区域公共证书服务中心为该终端用户的所属区域公共证书服务中心；

终端用户的用户UID地址同其所属区域公共证书服务中心的设备UID地址具有相同的C及R。

2.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统，其特征在于，

每一个网上设备对应至少一个设备UID地址以及对应密钥。

3.根据权利要求1所述的分布式公共证书服务网络的统一身份管理系统，其特征在于，骨干网应用程序和骨干网注册接入点建立临时注册连接，用以传送申请信息和接收答复；

终端用户通过用户终端上的骨干网应用程序注册用户UID地址的过程如下：

用户终端上安装的骨干网应用程序第一次被启动时，生成一对终端用户公钥私钥及一启动临时通信密钥，用户通过应用程序交互界面选定区域公共证书服务中心，并输入用户注册信息后，生成申请表包；用户注册信息包括用户地理地址、通讯方式和身份信息；所述申请表包包含启动临时通信密钥、用户注册信息，并且用所选区域公共证书服务中心的公共证书的公钥加密；

骨干网注册接入点将申请表包以所选区域公共证书服务中心的设备UID地址为目标地址发送至骨干网，并附上终端用户通过骨干网应用程序同骨干网注册接入点建立临时注册连接的注册临时连接信息或连接进程标识；

所选区域公共证书服务中心接收到所述申请表包后，使用其私钥解密，发送一UID地址包到骨干网注册接入点UID地址，并通过临时注册连接送回骨干网应用程序；UID地址包通过启动临时通信密钥加密；UID地址包包括一组用户UID地址，该组用户UID地址中的C_R与所选区域公共证书服务中心的设备UID地址的C_R相同；该组用户UID地址根据用户申请表中地理地址选定；

用户终端接收到UID地址包后，其上的骨干网应用程序通过启动临时通信密钥解密UID地址包；

用户通过应用程序交互界面选定该组用户UID地址中的一个用户UID地址后，骨干网应用程序生成证书申请包，并通过骨干网注册接入点UID地址和临时注册连接以所选区域公共证书服务中心的设备UID地址为目标地址发送到骨干网；证书申请包用所选区域公共证书服务中心的公共证书的公钥加密；证书申请包包括选定的用户UID地址、终端用户公钥及证书用户信息，证书用户信息包括姓名、证书认证等级；

所选区域公共证书服务中心接收到该证书申请包后，使用其私钥解密，发往其区域公共证书服务器，由相应区域管理员根据证书申请包中的证书用户信息判断终端用户的真实身份，确定认证等级；

如果身份经过证实并且等级得到确认，所选区域公共证书服务中心通过用户终端与骨干网注册接入点UID地址和临时注册连接将用户公共证书包送回用户终端上的骨干网应用程序；用户公共证书包包括用户公共证书、证书链；用户公共证书包通过启动临时通信密钥加密；用户公共证书包括唯一证书序列号、选定用户UID地址、终端用户公钥及姓名，并由所选本地公共证书服务中心签名私钥数字签名；

用户终端上的骨干网应用程序接收到用户公共证书包后，通过启动临时通信密钥解密用户公共证书包；然后使用根证书认证用户公共证书，使用链路证书中的C_R字段认证证书链；

只有用户公共证书、证书链均通过认证，骨干网应用程序才能将用户公共证书进行安装；

注册完成。