WO2007065333A1 - Procede et systeme d'authentification d'identite - Google Patents

Description

身份 方法 統 本 要求于 2005 12 7 提交中 利局、

200510102263．4、 " 身份 方法 的中 的 先 ， 其全部內容 引用 合在本 。

木領域

本 涉 通信領域中的 木 休 說， 涉 身份 方法 和 統。

背景 木 力保 通信 的安全性、可靠性 通信 身份的

是十分重要 必要的 有效的身份 木也逐漸 通信 統中 安全 技木的重要組成部分。

身份 木可用于 鍵性 、 、文件或者同 如 上 很 和同上 紀 、 屯子 各等。 此外， 看家庭亦公室、 大量的旅行和 功用戶越未越 依賴 信息資源， 程用戶 身份 得更 重要 其次， 了 操作 統和平台 施保 ， 需要

同 汞的用戶 身份 。

也就是說， 是 工、 合作伙伴， 是客戶， 在本地、 是 亦 ， 都可以用到身份 木。 需要 屯子 、

汞或其他 于 X 各 或 T 中的信息或 ，可靠的身份 有助于 只有 用戶才能 同 。

現有 木 在通信 通信各方都 身份 和制未 各 的身份 以及 通信 提供的身份信息 其自身信息是否一致。

常用的 有RAL ( e oeA he ca o a se Sevce, 考用戶 ) 、 于 CE/ ebe os ( s b ed Comp gE v o me / ebe os， 這于在公共同 上 分布 的工 並 的安全 ) 的 和制、 于公共 的 和 于 / 的 和制等。

目前 用的身份 木 管理公 ，通 三 的可信 任 - - 中 ， 將用戶的公 和用戶的其他 信息捆綁在 起 用戶身份的 所述其他 信息可以是 、 e- a (屯子 ) 、 身 份 等。通用的亦 是 用建立在公共 上的數字 通 將 要 的數字信 和 ， 信息的安全 。 信息 而 中 的數字 中的身份 信息在 就是固 定的， 缺少 。 果 方需要 數字 中沒有的內容或 份特 現有的 方法就 以滿足此 要求 下面以數字 的 說 明。

到 中 取得 的數字 ， 中 的 數 字 的數字 ， 以 定數字 是可信任的 然 用數字 中的公 和 通信， 以 的 份 將數字 中的身份 紙和通信

未。 一般情況下， 身份 就此 ， 可以 行下 步的通 信。現有的身份 方法基本上可以 現身份的 信息 的和 、 、 完整性和不可否 ， 而 信息的安全 。

然所述現有 木中的方案能在一定程度上滿足要求，但是存在 下 由于使用此 方法必須由 的 客戶 身份 ，沒有充 分利用同 中的

由于 的 半信息 固定的 容 ，所以 的身份信息有限 固定， 不能滿足 性化的需要，缺少 休的 程度和天活性， 缺少 用戶休 。 是因 ， 在滿足安全性的要求 ， 方希望有更 的 、 活性和交互 同 希望 的 容也 向 化、 性化。

內容

本 提供 份 方法和 統， 信息多 化、 性化。

本 的 介方面， 身份 方法 包括

通信 身份 方式及公共 P 身份 方式 的 包括 以基本信息、 性化信息或基本信息 性 信息作力身份 信息

所述通信 方 前述 的身份 方式，通 前述 的公共 身份 。

可 所述通信 方 身份 方式及 共 的 包括 所述通信 方中的第 方向 二 送至少 身份 方式和至少 介公共 的信息

所述第二 所述信息中的公共 和身份 方式， 一 。

可 ， 所述通信 方 的身份 力以基本信息作力身份 信息 ，所述的通信 方 前述 的公共 份 的 所述通信 所述公共 交換公 ， 的基本信息 通信 的公 和基本信息。

可 所述通信 方 的公 和基本信息 ， 步包括 所述通信 各 可的公共 搜索 的基本信息

所述已 的信息和所述搜索信息 比較， 信息的可信 。 可 ， 所述 共 是 或者 中的 資源。

可 ， 通信 的身份 力以 性化信息作力 份 信息 ， 的通信 方 前述 的公共 身份 的 所述通信 方 的 公共 交換公 或者直接交換公 ， 的公

所述通信 方中的第 方 二 的 性 信息。

可 ， 所述通信 方 的身份 力以基本信息 性化信 息作力身份 信息 的通信 方 前述 的公共 身份 的 包括

所述通信 的 公共 交換 提供的基 本信息 所迷通信 的公 和基本信息

所述通信 方中的第 方 第二 的 性化信息。

可 所述通信 方中的第 方 的 性化信息 包括 所述 一方向 二 提出 性 信息的 要求

所述 所述要求到第二公共

所述 二公共 將七所述要求 的 性化信息 第 所述 一方根 所述第二 性化信息 二 身份 。

可 ， 所述第 公共 是 中 或者同 中的

公共 是 中的 資源。

方法近 在所述 方 第二公共 的 二 的 性化信息的同 方向其信任的 共 搜索第二 信息的 ， 將搜索結果 所述 性化信息 比較。

本 的另 方面 身份 統， 方、通信 、 所述通信 所述第 方相連的 二 、 所述通信 第 方 和 相連的公共 包括 裝置、 信息 裝置， 其七 所述的 裝置 于接收由所述第 方 的 的身份 方式和公共 ，接收由所述 二 的 通信

的身份 方式和公共 的信息

所述的 方和 二方根 所述 裝置的 信息，通 所述信 息 裝置 身份 。

可 ， 迷信息 裝置包括 基本信息 裝置和 性化 份信息 裝置

所述 二 和 方 基本信息 裝置到 公共 取得 的基本信息， 第 公共 的 基本信息的

所述第二 和第 方 基本信息 裝置 二公共予 的 性化信息的 。

可 ， 統近包括 栓索比較裝置， 于比 信息 基本信息 裝置的 的相同 ， 各通信 身份是否可信。 本 通信 方 在通信 中 身份 方式 使得身份 的方式 化、 、 方 。 通信 方在身份 的 中充分利用 中的 資源不依賴于 的 三 的 ， 滿足 性化的需 要， 增 了用戶的 程度。

第二 按照 己的需求向 方提出 性 信息的 要求 而 不 限制于現有 木中 的固定模式 、 性的 容， 滿 足了通信 信 內容小 fa、 化的需求 增 了用戶休 和交互 。 另外， 允許第一方 搜索 二 的身份信息 充分利用了 ，

說明 1力本 的身份 方法的 方式的基本原理

2力本 的 中 方 身份 的示意

固 3力本 的 中 第二 身份 的示意

4力本 的身份 統的 的 。

休 方式

本 的身份 方法的 方式借助 休 威性、公 和身份 信息可信性的政府 、 、 、很 、 通信 等因 公共 資源 要求通信的 需要 得的 通信 身份信息相 的 信息的內容和身份特 而使 中的公共 資源得到充分的利用， 信息多 化、 性化以滿足通信 方的需要 增強通信 方 休的 ， 交互 和 活性。 的 。

固 1， 是本 的 方式的流程 。 方式中， 以 二 向 方 通信力 。

步驟110， 二方向 一方 希望建立通信的通信 ， 通信 以明文方式 。

步驟120， 第 方在接收到未 于 二 的通信 如果同意 建立 則通信 方 ， 以 身份 方式和提供身份 信息 的公共 。 的基本信息的身份 也可以是通 同 中的 資源 的基本信息 的 份 可以是通 或 中的 資源 的 性化信息 的 份 或者是通 或同 中的 資源 的基本信息 性化信息的身份 。

也就是說，通信 方 身份 的 共 可以是 中 和 中 的 資源， 其中的同 資源可以是政府 、 合所、很 、 通信 、 等 提供通信 身份信息 容和身份特 的有 威性、公 和可信性的同 中存在的公共 資源。

的 性化信息包括所有的 身份相 的信息， 性化信 息是通 的同 中的 資源提供的， 資源通常是被 最了解 身信息的同 資源。

步驟130 通信 方 的結果是 的 共 基本信息 的身份 。

步驟131 通信 方在 的公共 交換公 ， 提供 的基本信息。

步驟132 通信 方 的公 和基本信息。 在身份

行下 步的通信。

的 可 于公共 和制的數字 和 方 式，信息 密的方法不限于某 和制，可以 現有 木中的 算法 。

在 定公 的 ，由 方和第二方同 向 中的公共 身份 的 。 中的公共 接收通信 的

方的 信息將 的身份信息 。 的內容包括 方 的基本信息。

步驟140 通信 方 的結果是 的公共 性化信 息的身份 。

方希望 方式得到更羊 的 二 信息以便 二 的身份的 做出 ，由接收通信 的 方向 通信 的 二 性化信息的 。

步驟141，通信 在 的公共 交換公 或者不 公共 直接交換 提供的基本信息。

步驟142， 通信 的公 和基本信息。 ， 也可 其他用于可以信息 密的其他方式。

步驟143， 第 方 所述公共 的 二 的 性化信息

' 。 在 定公 的 ， 方向第二 提出 性化信息的 份 要求。其 性化信息包括 一方希望 第二 得的任何可以用于 第 身份的信息和第 方希望知道的信息 以是 信息、 身份特 等， 例 ， 一方希望得 二 是否持有 和 ， 或者 木 。 要求以密文形式 。 二 在得到 要求 和 方的 公 行解 ， 的明文信息在 方都 可的公共 身份 由公共 提供 第二 的身份 相符的 信息。 在 公共 將 二 的 性化信息 第 方 ， 方根 公 共 的 二 的 信息未 第二 的身份，決定是否和 二 行下 步的通信。

第一方近可以在比較信息的同 二 的 性化信息的 同 的可信 。

二 在等待 方 信息的同 也可以 到 己 可的 中搜索 方 信息，將搜索到的信息和 公共 的信息 身份比較 以 定是否 行下 步的通信 。

步驟150， 通信 的結果是 的公共 性化 息的身份 。

于基本信息 性化信息的身份 首先 步驟151 于 基本信息 份 。 在基本信息 再 步驟152 于 性 化信息 。

基本信息和 性化信息 完成 ，近可以由 一方 行搜索 二 信息，和 方 可的公共 提供的基本信息 比較， 以 信息的可信 ， 強第二 身份的可信 。 果 可信度比較 方 可 二 的身份則 步的通信。

了 于 本 的理解，下面分別 第 方和 二 的工作流程 說明。

固 2， 是本 的 中 第一方 身份 的流程 。 步驟210 第二 需要和 一方通信， 向第 方 希望建立通信的通 信 通信 以明文方式 。

等待未 一方的 ， 果 方同意 ，將以明文向 二 送至少 身份 的方式和至少一介 方 的公共 。

步驟220， 二 在 方提供的身份 方式和公共 信息中 第二 的身份方式和公共 作力身份 的 和 。

在同 通信中 以決定 的方式，充分利用各 資源 兔了現有 木中 只能 形式的身份 的不足， 且 資源 提供除了基本信息 外的更 和 的通信 方的身 份特 和 信息。

步驟230 二 到 方 的公共 ， 公共 下載 方的公 和基本身份信息。

然， 果 不 基本身份信息 則 方可以直接交換公 。 步驟240， 二 方的公 和基本身份信息 可以 于P ( P b c ey a c e， )的數字 和 密 的方式， 以結合 些其他的 方式 方式 份 。

步驟250 在 ， 果第二 的基本信息不能滿足 方的要 求， 二 接收到第 方向 提出的 性化信息要求，此要求信息

方的 和第二 的公 ， 以 不 。

步驟260 二 依 方 身份信息的要求 到公共 身份 信息 上述的公共 要有 定的 威性、 公 和可信

步驟270， 等待 方的 果身份信息得到 一方的 可， 就可 以 行下 步的通信 反之， 則被拒絕 行下一步的通信。 3， 是本 的 中 二 身份 的流程 。 步驟310， 第 方接收到 二 的明文形式的通信 。

步驟320 身份 方式 ， 第 方 明文形式的 身份 方式和 信任的公共 信息 二 。

步驟 330 第 方接收到 形式的第二 的 方式和公共 步驟340， 第 方 到 方 的公共 ， 公共 下載 二 的公 和基本身份信息。

然， 果 不 基本身份信息 ， 則 方可以直接交換公 。 步驟350 二 的公 和基本 份信息 ，可以 于P 的數字 和 密的方式， 近可以結合 些其他的 方式 / 方式 身份 。

步驟360， 在 ， 如果得到的第二 的基本信息不能滿足 方的要求， 方可以向第二 提出其 的身份信息要求 ，

信息 方的 和 二 的公 以 不 。

步驟370 第一方接收第二 的 性化身份 信息。

此 可以 步驟380， 方可以 己到信任的公共 搜索 第二 的身份信息。 然 也可以 省略步驟380。

步驟390 第二 的身份的 。 果 ， 則 行下 步通信。

在此步驟 ，第一方可以 按照 二 的 提供身份信息 的公共 行可信度比較 在 步驟380的情況下 己搜索到 的 二 的身份信息和其基本信息 符合度 ， 信息的內容越相似 符合度就越高。

4所示，是本 的身份 的 統的 的 固， 份 統包括 方410、 通信 400、 所述通信 400

方410相連的 二 420、以及通 所述通信 一方410和 二 420 相連的公共 ( 未 )。

統近包括 方 410 和 二 420 相連的 裝置 430、 信息 裝置440和檢索比較裝置450

所述 裝置430接收由 方410 的身份 要求， 接收第二 420 未的 可的信息。 裝置430 通信 方 ， 以 基本信息、 性化信息或基本信息 性化信息作力 身份 的 以及 公共 將通信 方 的身份

的余 和公共 的信息 。

所述信息 裝置440 裝置430相連， 于接收 裝 置430的 出的 方式及 的公共 ， 信息 裝置440, 所述的通信 方 身份 。

中， 所述的信息 裝置440包括

基本信息 裝置441 于在通信 裝置430的 需要 基本信息 ， 二 和第 方 基本信息 裝置441到公共 取得 基本信息

性化身份信息 裝置442 于在通信 的 需要 性化身份信息 方 性化身份信息 裝置 442 第二 共 向 提供的 性化信息 。

通信 的 比較裝置 450在公共 信息 行檢 ， 比較 信息 基本信息 的 的相同 此外， 方 近可以 所述的 比較裝置450在公共 二 信息 比 信息 性化身份信息 裝置的 的相同 ， 各通信 身份是否可信。

然，本領域的 木 可以 本 行各 和 而不 本 的精神和 。 ，倘若本 的 修改和 于本 要 求及其等同 木的 固 則本 也 包含 和 在 。

Claims

要 求

1、 身份 方法 其特 在于， 包括

通信 ， 份 方式 共 身份 方式 ， 的 包括 以基本信息、 性化信息或基本信息 性化信息作力身份 信息

所述通信 方 前 的身份 方式，通 前述 的公共 身份 。

2、 要求 1所述的方法， 其特 在于， 所述通信 身份 方式及公共 的 包括

所述通信 中的 方向 二 送至少 身份 方式和至少 介公共 的信息

所述第二 所述信息中的公共 和 份 方式， 第一 。

3、 要求 1所述的方法， 其特 在于， 所述通信 的 力以基本信息作力 份 信息 所述的通信 方 前述 的公共 身份 的 包括

所述通信 方 公共 交換公 ， 的基本信息 通信 方 的公 和基本信息。

4、 要求 1所述的方法， 其特 在于， 所述通信 方 的 和基本信息 步

所述通信 方 各自 可的公共 搜索 的基本信息

所述已 的信息和所述搜索信息 比較 信息的可信 。

5、 要求3或4所述的方法， 其特 在于， 所述公共 是 或者 中的 資源。

6、 要求 1 的方法 其特 在于 所述通信 方 的身 份 力以 性化信息作力 份 信息 ， 的通信 前述 的公共 份 的 包括

所迷通信 的 公共 交換公 或者直接交換公 ， 的公 所述通信 中的 方 二 的 性 信息。

7、 要求 1所述的方法， 其特 在于 所述通信 的 份 余 力以基本信息 性化信息作力身份 信息 ，所述的通信 方 前述 的公共 身份 的 包括

所述通信 方 的第 公共 交換公 提供的基 本信息

所述通信 方 的公 和基本信息

所述通信 方中的 方 二 的 性 信息。

8、 要求6或7所述的方法， 其特 在于 所述通信 中的 第二 的 性化信息， 包括

所述第 方向 二 提出 性化信息的 要求

所述第二 所述要求到 二公共

所述 二公共 將 所述要求 的 二 性 信息 所述第 方根 所述 二 性化信息 第二 身份

9、 要求8 的方法， 其特 在于 所述第 公共 是 P， 或者 中的 二公共 是同 中的 資源。

10、 要求8所述的方法， 其特 在于， 近包括 在所 一方 第二 共 的 二 的 性化信息的同 第 方向其信任的公 搜索 二 信息的 ， 將搜索 七所述 性化信息 比 較。

11、 身份 統 方、 通信同 、 所述通信 所述 方相連的 二 、 所述通信同 一方和 二 相連的公 共 特 在于， 包括 裝置、 信息 裝置， 其

所述的 裝置 于接收由所述 方 未的 的身份 方式和 共 ，接收由所述 二 未的 通信 方 的身份 方式和公共 的信息

所述的 方和第二方根 裝置的 信息，通 所述信 息 裝置 身份 。

12、 要求 11 的身份 統 其特 在于， 所述信息 裝置包括 基本信息 裝置和 性化身份信息 裝置

所述第 和第一方 基本信息 裝置到第一公共 取得 的基本信息 第 公共 的 基本信息的

所述第二 和第 方 基本信息 裝置 第二公共

的 性化信息的 。

13、 要求 12 的身份 統， 其特 在于， 近包括 檢 索比較裝置 于比較 信息 基本信息 裝置的 的相同 ， 各通信 身份是否可信。