[发明专利]分布式公共证书服务网络的统一身份管理系统

说明书

本发明公开了一种分布式公共证书服务网络的统一身份管理系统，根公共证书服务中心、区域公共证书服务中心接入到骨干网；用户终端通过骨干网接入点接入骨干网；区域公共证书服务中心具有区域公共证书服务器和区域管理员；骨干网是一个基于UID地址的数据通信网络；骨干网中的不同设备及终端用户有唯一且不同的UID地址；UID地址格式为C_R_X，其中C代表国家，R代表区域，X代表设备或终端用户；终端用户向区域公共证书服务中心申请获得其用户UID地址及用户公共证书；终端用户的用户UID地址同其所属区域公共证书服务中心的设备UID地址具有相同的C及R。本发明能自动有效管理网络用户统一身份。

技术领域

本发明涉及网络安全技术，特别涉及一种分布式公共证书(DIGITAL PUBLICCERTIFICATE)服务网络的统一身份(UID)管理系统。

背景技术

传统有线电话网中用户认证是基于物理连接，电话线连接用户座机到电信局是用户认证的依据。在无线网络世界，用户的认证是基于存储于用户识别卡(SIM)内部的数字密钥。在互联网世界，用户的认证是通过代理服务器，也就是说用户向服务器提供用户名、口令，当用户名和口令符合数据库中存储的信息一致时，代理服务器完成了对用户的认证。基于网站技术的PKI(Public Key Infrastructure，公钥基础设施)服务器为用户提供认证和证书服务也获得了很大成功。

互联网本身并不具备身份认证能力，因为IP包的地址非常容易作假。

通过代理服务器对一个文件的数字签名无法保证签名的法律有效性，因为理论上代理服务器的系统管理员也可以完成同样的签名。

代理服务器认证方法是通过中心秘密结构来实现的。因为所有的用户名和口令都存储在代理服务器中，所以任何泄露都将是灾难性的。历史上这样的事件已发生了很多次，最大的一次曾经造成了数千亿美元的经济损失。

当同一个用户进入不同的网站需要口令和用户名时，因为安全的原因，正确的做法是使用不同的口令。但是，随做数字经济的发展，一个用户需要经常访问的网站越来越多，需要使用的口令也越来越多，这对很多用户造成了巨大的困扰。

数字证书是解决网络安全问题的一个绕不开的办法，不管是ActiveX插件还是https都需要用到数字证书。

CA(Certificate Authority)被称为证书授权中心，是数字证书发放和管理的机构。

根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。

数字证书颁发过程一般为：用户首先产生自己的密钥对，将私钥自己留着，将公钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，并用CA自己的私钥对用户公钥进行签名生成数字证书并发给该用户，该数字证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。

在https建立连接时，客户用CA的公钥(根证书)对数字证书进行验证，比对一致，说明该数字证书确实是CA颁发的。

公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥)，公钥是密钥对中公开的部分，私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据。通过这种算法得到的密钥对能保证在世界范围内是独一的。使用这个密钥对的时候，如果用其中一个密钥加密一段数据，必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密，如果用私钥加密也必须用公钥解密，否则解密将不会成功。