专利摘要

本发明涉及一种集中账号密码认证生成系统，可以依赖它将用户的身份认证、密码生成都集中在一个权威的认证中心。认证中心与用户共享主密钥，给网站颁发ID，并且进行数字签名证实其身份，认证网站转发的用户的账号密码的真实性。用户在各个网站的账号是一样的，而密码都是由主密钥、网站ID等信息派生的，其中用到单向函数，因此即使知道一个网站的密码也无法反推主密钥，无法推测其他的网站的密码，并且用户可以无需认证的情况下进行安全的挂失和密码更新，不知道主密钥的人无法完成挂失。系统保证用户凭一个账号和主密钥，就可在所有加盟的网站无需认证进行注册和密码更新，既方便用户记忆，也方便网站的认证。

说明书

技术领域

本发明属信息安全领域，涉及一种集中账号密码认证生成系统。

背景技术

目前因特网上的网站越来越多，大多数网站都需要注册账号，并且设置相应的密码。有些网站还需进行身份认证才能注册，但是这种认证有时候就是随意输入自己的身份证号码、提交一些证明材料等，不仅工作量大，而且很容易伪造。为了方便，许多网站无需提交认证信息，用户就可以自由注册，这带来了安全隐患。

对于用户而言，在不同的网站注册需要设置不同的账号利密码，由于账号都是用户任意注册的，用户的常用用户名可能已经被他人抢先注册，不得不设置许多不同的用户名，而且密码为了保证安全性，也不得不设置不同的密码，所以用户造成了记忆上的不方便，往往会混淆不同网站的注册信息。

目前市场存在措施：目前市场上普遍推广的单点登陆系统可以简化企业内部多个系统登陆的繁琐问题。但是这种系统只适合在企业内部使用，适用范围较窄，不适合互联网范围内的广泛应用。

本发明设计了一种低成本的，一次认证即可应用到所有网站的集中账号密码认证生成系统，由一个可信任的账号认证管理中心来认证个人用户和网站用户，为个人用户生成唯一的账号，密码则根据算法自动生成。各个网站可以通过安全连接获得用户的账户和密码，而且密码只是对于该网站适用，其他网站的密码不能由此网站密码推算。各个网站可以独立设置一种自己网站的独立用户名和账户认证中心的统一账户(比如可以用@sohu.com和@ca.org分别标识网站自己的账户和认证中心的账户)，也可以全部采用账户认证中心的账户密码。

发明内容

本发明旨在提供一种集中式的认证和账户管理方法。

发明涉及到三方：认证中心C，用户A和网站B。认证中心负责用可靠的方式认证用户和网站，管理用户的账户和密码。

用户在认证中心的注册：用户提交自己的信息，认证中心通过各种方式，对用户的各种资料和信息进行认证，并且备案。经过认证后，采用安全的链接，与用户共享一个主密钥K。

网站在认证中心的注册：用户提交自己的信息，认证中心通过各种方式，核实网站的真实性，并且将相关信息备案。核实网站的身份后，获得网站的公钥，授予其唯一的一个ID。认证中心将网站Id公开，并且给网站B发一个签名文件，证明B的ID就是公开的那个。完成注册后，网站需要进行相应编程，首先是要支持认证中心的账户类型，假设为@ca.org类账户：其次要建立网站和认证中心直接的安全通信的编程。

用户在网站的注册：只要用户A和网站B都经过合法的认证，用户第一次注册网站B的时候，如果选择网站独立的账户，则与本系统无关；如果选择@ca.org类账户，则用户可以提交自己的统一账户，用户先查看认证中心网站中公布的网站B的ID，或者在B网站上下载一个认证中心的签名，证明网站B的ID，然后用户方根据主密钥、网站的ID和一些其他附加信息，附加信息中包括一个固定长度是用来标识挂失次数的，其中也可以包括账户名，注册的时候其值设置为0，采用单向函数来生成密码，注意如果生成的值很长，可以约定截取一定的位数。用户将信息提交给网站，网站将信息转发给认证中心，网站用认证中心的公钥加密用户的账户和密码给认证中心，并且用自己的私钥签名，认证中心接受到信息后，先用网站的公钥验证签名，然后用自己的私钥解密。由于认证中心和用户共享主密钥，所以认证中心也可以根据主密钥、网站的ID和一些其他附加信息，采用同样的单向函数来生成密码。由于两者知道的信息是一样的，所以，如果用户身份属实，得到的结果应该是一样的。认证中心将核实的结果告诉网站，如果身份得到核实，网站即可认可用户的账户和密码。此后如果用户需要修改密码，可以直接自己在网站修改。其中的附加信息为功能的拓展提供了预留的空间，预留的附加信息为做更多的设置和限定提供了条件，包括在同一网站的不同位置如果需要采用不同的密码的时候，可以在附加信息中加以区分，得到不同密码，也可以将账户名作为附加信息的一部分以达到更好的安全效果。

用户密码挂失和更新：如果用户密码泄露了或者被木马盗取了，就需要将原来的密码挂失，并且更新新的密码，用户挂失的时候可以自动生成一个新的密码，其产生方式为利用单向函数，主密钥、网站的ID和一些其他附加信息，将标识挂失次数的比特位发置为挂失的次数。网站接受到后，用类似的方法转发给认证中心，认证中心认证通过后，即可采用该新密码。挂失和更新是一体的，用更新的密码可以认证用户的身份，这样避免一些人伪冒真正用户进行恶意挂失。

由于采用了单向函数，网站知道用户的密码不能反推权威账号管理中心与户共享的密钥。密码泄露后，其他的人也无法通过密码来获取主密钥相关的信息，或者是新密码的相关信息。从而在保证便利性的同时，也保证了安全性。

具体实施方式

下面举例说明：

系统的各个功能可以采用B/S或者C/S模式实现，包括用户密码的计算，当然有些功能可以采用独立程序实现，我们这里假设采用B/S模式。

由于采用了单向函数，网站知道用户的密码不能反推权威账号管理中心与用户共享的密钥。密码泄露后，其他的人也无法通过密码来获取主密钥相关的信息，或者是新密码的相关信息。

本系统在实现的时候，主要是集中在认证中心的系统开发，并且认证中心可以给各个网站提供一个的代码模板供网站使用，另外，为了方便用户，可以开发一个密码生成器供用户下载到本地，随时可计算各个网站的密码，使得用户不用网页脚本就可以计算密码。

(一)认证中心网站采用单向加密的安全套接字链接。用户登录认证中心网站，提交注册信息，.包括用户的身份信息等。认证中心看到注册申请后，阅读用户提交的资料，并且采用查验证件等方式来核实用户资料的真实性，然后请求用户提交主密钥。用户采用安全链接将主密钥K加密后发给认证中心，认证中心将用户的各种资料和主密钥存放在数据库中。

(二)网站管理员登录认证中心网站，提交网站的注册信息，.包括网站及其法人的身份信息等。认证中心看到注册申请后，阅读网站提交的资料，并且采用各种方式来核实用户资料的真实性，然后给网站分配一个ID，要求网站提交自己的公钥(如果没有，请求用户生成密钥对，提交公钥)，对公钥做一个数字签名，同时，也将分配给网站的ID、网站的域名、Ip、网站的公钥等信息存放在一个文件中做一个签名，发给网站，网站可以将这一文件放在网上供用户下载利验证。

(三)用户将认证中心的数字证书设置为受信任的发行者类别。用户注册网站时，可以登录认证中心的网站，查询网站B的ID，或者直接在网站B上下载认证中心的签名文件。然后认证中心的一个网页的脚本可以根据主密钥、ID和附加的信息生成密码。用户打开这个页面，生成密码。这其中可以采用多种方式来实现单向函数：第一种方法是对所有的信息，比如主密钥、ID和附加的信息做MD5等哈希函数运算，取其中固定长度的一部分作为密码。第二种方法是以主密钥作为密钥，用某个固定的分组密码或者流密码算法来加密ID和附加信息，截取密文的固定长度的一部分作为密码。由于分组密码和流密码在已知明文密文对的时候是安全的，无法获得密钥，所以，即使是网站，也不能根据ID利附加信息与密码来反推主密钥。

(四)用户登录网站B，提交自己的用户名利密码，进行注册。网站将ID、账户名和密码加密后转发给认证中心，认证中心认证网站身份的真实性，并且解密信息后，验证用户的密码是否正确，并且告知网站，网站得到正确的信息后，接受用户的注册，将用户名和密码存放在数据库中。注意用户和网站B之间也必须采用安全套接字进行安全连接。网站B和认证中心则必须采用双向认证的安全套接字连接。

(五)如果用户在网站的密码泄露了，可以在认证中心的一个挂失的网页中用脚本计算第n次挂失的密码，然后在网站B中选择挂失页面，提交一个挂失的请求，挂失的请求中包括了挂失的次数，网站将用户以前的挂失次数调出来，核对新的挂失次数是否是增加了1次，如果是，将挂失次数加1，然后将挂失相关信息提交给认证中心，认证中心做核对，将结果告知网站B；如果不是，拒绝用户的请求。如果被告知用户的挂失时输入的密码正确，接受用户的挂失，并且更新用户的密码。

集中账号密码认证生成系统专利购买费用说明

Q：办理专利转让的流程及所需资料

A：专利权人变更需要办理著录项目变更手续，有代理机构的，变更手续应当由代理机构办理。

1：专利变更应当使用专利局统一制作的“著录项目变更申报书”提出。

2：按规定缴纳著录项目变更手续费。

3：同时提交相关证明文件原件。

4：专利权转移的，变更后的专利权人委托新专利代理机构的，应当提交变更后的全体专利申请人签字或者盖章的委托书。

Q:专利著录项目变更费用如何缴交

A：（1）直接到国家知识产权局受理大厅收费窗口缴纳,（2）通过代办处缴纳，（3）通过邮局或者银行汇款,更多缴纳方式

Q：专利转让变更，多久能出结果

A：著录项目变更请求书递交后，一般1-2个月左右就会收到通知，国家知识产权局会下达《转让手续合格通知书》。