CN102891856A - 一种多元实体与多元实体身份依赖方之间的安全访问方法 - Google Patents

Abstract

本发明公开了一种多元实体与多元实体身份依赖方RP之间的安全访问方法。本方法为：1）采用统一标识结构URI对多元实体进行编码；2）将统一描述后的多元实体向URI标识服务提供者URI-IdP进行注册，得到实体的身份凭证；3）实体登录身份依赖方RP时，RP将其定向到URI-IdP；4）URI-IdP验证该实体输入的身份凭证，并构建该实体本次登录的临时身份凭证及生成时间戳，用私钥对其签名；5）URI-IdP将该实体定向到RP，并将该签名发送到该RP；6）RP用URI-IdP的公钥验证该签名有效性并提取时间戳验证该实体临时访问凭证是否过期，如果过期，则拒绝该实体的访问。本发明实现多元实体身份标识的安全。

Description

一种多元实体与多元实体身份依赖方之间的安全访问方法

技术领域

本发明属于信息安全中的身份标识领域，具体涉及一种多元实体与多元实体身份依赖方RP之间的安全访问方法。

背景技术

随着云计算、物联网等新一代信息技术的兴起，诸如基于X.509目录服务的PKI、基于Kerberos架构的CAS等传统信息化身份管理系统在实体管理规模、组织结构复杂度、用户业务模式演化等方面与现实安全需求间日益产生差距。近年来，一些科研机构和组织针对上述信息化发展趋势，提出了相关解决方案。OpenID是由LiveJournal组织提出的一个去中心化的网上身份认证系统，它通过统一资源标志符（URI）对网络用户进行唯一标识和身份验证，它的核心思想是将身份管理、验证鉴别功能和具体应用业务剥离并托管给专业的身份服务提供商，从而实现用户可选择的身份登录方案。微软从Vista操作系统开始，引入了CardSpace标识元系统，为不同的数字身份系统提供一个统一的抽象表示层，从而在用户体验层面屏蔽了不同的安全令牌和标识信息结构。

上述系统虽然部分体现了以用户为中心的身份管理模式，但是针对人、机、物融合的物理信息网络场景缺乏技术支撑，没有考虑物理设备标识、信息对象标识、虚拟对象标识等多元实体身份的管理架构，即缺乏多元实体与多元实体身份依赖方之间安全访问的解决方案。

发明内容

本发明旨在针对人、机、物融合的新一代网络场景所面临的身份管理技术挑战，提供一种多元实体与多元实体身份依赖方RP之间的安全访问方法。依据云计算提供不同层次的服务模式，该方法涉及的实体类型包括用户实体、终端设备实体、虚拟对象实体(软件实体)和物化实体。

简要介绍本方案的基本思想

本发明吸取了已有解决方案的优点，具体来说，本发明技术方案包括下列几个方面：

方面一：定义基于统一资源标识符URI的多元实体身份标识的统一描述，该定义为多元实体在各自标识体系下完成到统一标识的映射，为多元实体统一标识的注册以及基于一致性哈希环多元实体身份标识信息的存储索引的实现奠定了坚实的基础。

方面二：针对云计算场景下的多元实体（用户实体、终端设备实体、虚拟对象实体和物化实体），分别给出其在统一身份标识下注册流程的实施方法。该阶段任务的实现了云计算场景下多元实体的统一描述及其多元实体间相互服务提供了很大的便利。

方面三：面对隐私保护意识日益加强，提供了基于通用唯一识别码UUID、DVB同步字节反转和SHA-256以及时间戳timestamp概念的统一身份标识加密算法，实现多元实体统一身份标识的隐私安全。该方法简洁方便具有很强的时效性。

进一步的，由于云计算中多元实体的统一标识信息的海量性以及业务应用的需要，本发明利用了一种快速存储检索的方法——一致性哈希环CRH，建立多元实体统一标识信息分布式存储的索引结构，实现多元实体标识的高效存储查询。

进一步的，审计作为信息安全领域重要的手段，针对方面三隐私安全的要求，给出了基于多元实体标识关联映射的审计方法，实现了多元实体服务应用的审计安全。

本发明与现有技术相比，具有以下显著优点：

1．通用性强。由于本发明采用了基于统一资源标识符URI的多元实体树状身份标识的统一完整性描述以及多元实体在各自标识体系下到基于URI的多元实体身份统一描述的映射，适用于云计算场景中各种实体在各自体系下身份标识的统一，通用性较强。

2．安全性高。由于本发明采用了基于通用唯一识别码UUID、DVB同步字节反转和SHA-256算法实现对多元实体的统一标识身份匿名保护，达到一种访问请求以临时凭证出示的目的，因此显著提高了访问请求的安全性。

3．存储方便、查询效率高。由于本发明采用了基于一致性哈希技术的存储索引方法，使其多元实体的统一身份标识的存储检索依赖于高效简易的一致性哈希环CHR，达到一种理想的分布式存储查询的目的，因此存储更容易、查询效率更高。

4．审计性强。由于本发明采用基于多元实体标识关联映射的审计方法，使得审计方Auditor无条件的访问URI标识服务提供者URI-IdP的多元实体身份标识映射表和身份依赖方RP的访问请求映射表，使得访问请求对审计方的完全透明，因此审计性很强。

附图说明

下面结合附图对本发明作进一步的说明。

图1为本发明实施总体框架；

图2为基于URI的多元实体身份标识统一的结构示意图；

图3为虚拟对象实体映射表；

图4为EPC-96编码体系示意图;

图5为物化实体映射表。

图6为图1中统一多元实体身份凭证的存储索引结构映射示意图；

图7为图2存储索引结构数值区间映射示意图；

图8为基于URI的多元实体身份标识映射表；

图9为访问请求映射表；

图10为审计访问请求映射表。

具体实施方式

为使本发明的目的、优点以及技术方案更加清楚明白，以下通过具体实施，并结合附图，对本发明进一步详细说明。

对于图1从整体上描述了该方案实施的总体框架，主要包括下面五部分的内容。

一、基于URI的多元实体身份标识统一描述

基于统一资源标识符URI的分层结构和标识唯一特性，对用户实体、终端设备实体、虚拟对象实体等多元实体类型进行编码，具体编码方案如下：URI标识体系的结构主要由管理域标识、类型标识、实体标识等组成，管理域标识表示为Domain ID，类型标识表示为ClassID，实体标识表示为Entity ID，完整的标识结构为URI：//Domain ID/Class ID/Entity ID，其中Domain ID可以根据管理域的内部组织结构进行细化分层，例如Domain A/OrganizationB/Group C/；类型标识在同一父类型下可以划分若干子类型，例如Class A/Subclass B/；实体标识Entity ID编码结构在不与Domain ID所蕴含语义冲突的前提下，可采用自定义的编码规则进行描述，例如字符串（组）和数字串（组）等，形如图2。上述三种类型标识的组合为后继该方案中其他方法的实施奠定了基础。

下面是基于URI组合标记分别描述用户实体、终端设备实体的举例说明。

例如：针对用户实体“中国科学院信息工程研究所LOIS实验室认证授权工作组的员工Jame”的身份标识可表示为URI://id.cas.net/iie/lois/AAI/Jame；针对15位IMEI编号为xxxxxx-xx-xxxxxx-x的移动设备，若出厂商为Axx Group，产地为Bxx City，生产线为CxxLine，则该实体标识可表示为URI://Axx Group/Bxx City/Cxx Line/xxxxxx-xx-xxxxxx-x。

二、多元实体注册流程

用户实体、终端设备实体、虚拟对象实体和物化实体向URI标识服务提供者URI-IdP进行注册；在进行基于URI统一标识身份注册前一般都已拥有在各自管理体系下的标识，因此在多元实体注册URI标记过程中，URI标识服务提供者（URI-IdP）需要验证多元实体的有效身份凭证。

（Ⅰ）针对具有X.509证书标识的用户实体，注册流程如下：

①URI-IdP导入为用户实体颁发的证书CA或CA信任链（为用户实体E颁发证书的认证中心CA的根证书及证书信任链），生成信任库Trust-Store；

②针对注册实体E，URI-IdP确定其Domain ID和Class ID；即在URI-IdP端确定统一的Domain ID和Class ID。

③实体E的公钥证书为Cert_pub，私钥为Key_pri，用户实体所在注册端生成随机数nonce，用私钥Key_pri对nonce签名，签名和E的公钥证书Cert_pub通过安全通道传递至URI-IdP；用户实体所在注册端与URI-IdP进行交互时建立该安全通道，一般通过SSL（Https）协议建立。用户实体注册时，只提供签名和公钥证书，而私钥是只有注册的用户实体知道，不需要提供。

④URI-IdP用Cert_pub验证签名，并将nonce值加1后用公钥Cert_pub加密返回；

⑤注册端在实体E的介入下（即实体E输入所需信息）对返回信息解密，并验证nonce的值，若验证通过，则由实体E（或其他方式）确定其Entity ID；实体E可根据URI编码规范自己确定Entity ID，或者采用其他方式，比如利用第三方根据URI编码规范确定。

⑥在实体E的自愿前提下，通过安全信道提供给URI-IdP若干属性信息，URI-IdP为具体的属性类型定级，级别越高的属性涉及的实体信息越精细，URI-IdP日后为其提供的潜在服务质量也越高（可根据具体应用场景，强制用户提供某些属性信息）；

⑦URI-IdP将实体E的URI标识和公钥证书Cert_pub以及属性集绑定，生成实体的身份凭证并根据第四部分介绍的方案进行后台存储。

（Ⅱ）以iphone、android手机为代表的终端设备，通常将设备唯一标识符固化到硬器件中（例如IMEI，MEID，ESN，IMSI等），针对这类实体类型，URI注册流程如下（以IMEI为例）：

①注册端通过安装在终端设备的可信软件代理agent获取设备的IMEI标识符以及基础的系统信息（包括设备厂商标识、系统版本号及其他连带信息）；

②注册端通过agent通过安全信道将上述信息传递至URI-IdP；终端设备实体E注册端与URI-IdP进行交互时建立该安全通道；

③URI-IdP通过具体设备信息确定其Domain ID和Class ID，由agent确定其Entity ID；

④URI-IdP针对终端设备提供附加属性选项，在用户的介入下，可以将更多用户的属性信息和终端设备标识符绑定；

⑤URI-IdP将终端设备实体E的URI标识和IMEI标识符以及终端用户属性集绑定，生成实体的身份凭证并根据第四部分介绍的方案进行后台存储。

（III）虚拟对象实体注册流程如下：

以Android、Symbian手机为代表终端设备的安装包（APK、Sis），针对该类实体，URI注册流程如下（以APK为例）：

①URI-IdP导入可信任的软件供应商CA或CA信任链（为虚拟对象实体APK颁发证书的认证中心CA的根证书及证书信任链，即虚拟对象实体的软件供应商的可信根证书或证书信任链），生成信任库Trust-Store；

②注册端通过可信软件代理agent获取虚拟对象实体E（APK安装包）的相关信息（包括软件供应商的OID(供应商唯一标识)和公钥PK、APK的哈希摘要等），创建与维护一张虚拟对象实体（软件实体）映射表，为被注册虚拟对象实体登记。该映射表由四部分属性字段组成，分别为Domain ID、OID、Hash（供应商加密软件的哈希摘要）和Alias（别名，指存储软件的名称），保证DomainID与OID一致性及（DomainID Alias）组合的唯一性，形如图3；

③agent取出上述映射表中将被注册虚拟对象实体的登记记录及相关信息（供应商公钥PK、APK）通过安全信道递至URI-IdP；

④URI-IdP使用供应商公钥PK验证APK的可信任性，验证通过后，URI-IdP依据映射表记录，确定其Domain ID和Class ID，Domain ID取映射表Domain ID属性值，ClassID取映射表Alias属性值；

⑤URI-IdP将虚拟对象实体E的URI标识和供应商公钥PK以及APK的哈希摘要绑定，生成实体的身份凭证并根据第四部分介绍方案进行后台存储。

（IV）物化实体注册流程如下：

以物联网中嵌入RFID电子标签为代表的设备，针对这类实体，URI注册流程如下（以RFID中典型代表EPCGlobal体系中的EPC-96电子标签设备为例）：

①URI-IdP导入可信任的RFID设备供应商CA或CA信任链（为物化实体RFID设备颁发证书的认证中心CA的根证书及证书信任链，即物化实体供应商的可信根证书或证书信任链），生成信任库Trust-Store；

②注册端通过可信任的RFID代理agent获取电子标签设备中存储的被识别实体的相关信息（这里指RFID电子标签的控制模块存储器中存储的标签的所有信息，如EPC-96编码信息，形如图4），创建与维护一张物化实体（RFID电子标签设备）映射表，为被注册物化实体登记。该映射表由五个属性字段组成，分别为实体代码Entity ID（EPC编码体系标头与序列号连接字符串）、Domain ID、厂商识别代码、Alias（存储物化设备类型名）和对象分类代码，保证实体代码Entity ID唯一性，Domain ID和厂商识别代码、Alias和对象分类代码的一致性，形如图5。

③agent取出上述映射表中将被注册物化实体的登记记录及RFID设备供应商公钥PK通过安全信道递至URI-IdP；

④URI-IdP使用供应商公钥PK验证RFID设备的可信任性，验证通过后，URI-IdP依据映射表记录，确定其Domain ID、Class ID和Entity ID，Domain ID取映射表DomainID属性值，Class ID取映射表Alias（物化设备类型名）属性值，Entity ID取映射表是实体代码属性值；

⑤URI-IaP将物化实体E的URI标识和供应商公钥PK以及Domain ID、厂商识别代码、Alias（物化设备类型名）和对象分类代码绑定，生成实体的身份凭证并根据第四部分介绍方案进行后台存储。

三、基于UUID的局部标识及隐私保护方法

多元实体通过注册获取的URI标识（即实体的身份凭证）具备一定程度的语义可读性，在与身份依赖方RP的业务交互中，除去强制审计要求之外，应提供用户针对RP的身份隐私保护出示方案。本发明基于登陆随机通用唯一识别码UUID、DVB同步字节反转（DVB数字视频广播中提出的同步字节反转算法）和SHA-256算法实现用户的身份匿名出示，期间涉及RP、URI-IdP和User三方，其中URI-IdP具备颁发可信时间戳(timestamp)的能力，具体过程如下：

①用户（可以是任一种多元实体）登录RP门户，在未提供身份证明的情况下，RP通过用户选择的方式将其跳转至URI-IdP门户；

②用户利用身份凭证（即注册过程生成的URI标识及绑定信息）通过URI-IdP的鉴别，URI-IdP基于UUID通用计算方法生成用户本次登录随机的128bit位UUID标识（表示为UUID₁₂₈(User)），然后采用DVB同步字节反转算法对该次登录的随机标识UUID₁₂₈(User)进行反转生成128bit位的反转UUID标识（表示为UUID₁₂₈(User)_反），并将UUID₁₂₈(User)_反和UUID₁₂₈(User)拼接组成本次登录的256bit位UUID标识（表示为UUID₂₅₆(User)=UUID₁₂₈(User)_反‖UUID₁₂₈(User)），再利用SHA-256算法生成用户URI标识的256bit位哈希摘要（表示为SHA-256₂₅₆(URI)）；

③将UUID₂₅₆(User)和SHA-256₂₅₆(URI)进行异或运算

生产一临时身份凭证，拼接URI-IdP生成时间戳timestamp，用URI-IdP的私钥Pri对其进行签名，表示为 ${\mathrm{Sig}}_{\mathrm{pri}}[{\mathrm{UUID}}_{256}\left(\mathrm{User}\right)\⊕\mathrm{SHA}-{256}_{256}\left(\mathrm{URI}\right)|\left|\mathrm{timestamp}\right];$

④URI-IdP门户将用户重定向到RP方，同时将 ${\mathrm{Sig}}_{\mathrm{pri}}[{\mathrm{UUID}}_{256}\left(\mathrm{User}\right)\⊕\mathrm{SHA}-{256}_{256}\left(\mathrm{URI}\right)|\left|\mathrm{timestamp}\right]$ 作为实体临时访问凭证Access Token一起传递到RP；

⑤RP用URI-IdP的公钥验证签名有效性并提取timestamp验证实体临时访问凭证AccessTokenID是否过期，如果过期，则拒绝该用户的访问。UUID₂₅₆(User)保证了每次用户每次登陆的凭证新鲜性，可以有效预防重放攻击，SHA-256₂₅₆(URI)为了事后用户实体行为的身份取证，确认用户的唯一URI标识。

四、基于一致性哈希技术的多元实体身份凭证存储索引建立方法

多元实体的身份凭证信息是海量的，同时需要配合业务系统满足对身份信息的快速检索，基于这种需求，本发明利用一致性哈希环建立针对标识信息分布式存储的索引结构。具体过程如下：

①预先设定0~2³²为一致性哈希环CHR的数值区间，分布式存储节点K的标识表示为Identification_K，基于哈希算法Hash_M(具体实现可采用SHA-1系列算法、MD5算法等)计算Hash_M(Identification_K)，从而确定节点K在CHR中的位置，形如图6；

②设定实体E的URI表示为URI://AAA/BBB/CCC/DDD，计算h₁=hash_m(AAA)，h₂=hash_m(AAA/BBB)，h₃=hash_m(AAA/BBB/CCC)，h₄=hash_m(AAA/BBB/CCC/DDD)，h_E=h₁||h₂||h₃||h₄；通过这个结构计算出的哈希值来确定实体信息在一致性哈希环CHR中存储位置，h₁值首先确定存储节点，h2，h3，h4值确定在该节点的存储位置，实现一种目录结构树的存储；

③将数值区间划分为32个子区间，每一子区间对应一个节点，设哈希环CHR分布32个存储控制节点，为CHR建立子区间到存储节点的映射列表，形如图7，若实体E的URI标识按照步骤②的方法计算哈希h₁∈[0,2²⁷-1]，则实体E的身份凭证由节点Node₁负责存储或管理；

④若URI://AAA对应实体E的相关信息存储在节点K上，则其他以URI://AAA开头的实体信息也都存储在节点K上（或通过节点K控制管理），例如URI://AAA/BBB、URI://AAA/BBB/CCC、URI://AAA/BBB/CCC/DDD对应的实体信息都存储在节点K上（或通过节点K控制）；

⑤节点K对应h_E为h₁开头的所有实体信息，若经过统计h_E的结构相对简单，即下层路径分支少于某一阈值的结构，则节点K对应的物理主机负责实现实体信息的本地存储；若经过统计h_E的结构相对复杂，即下层路径分支较多，则节点K对应的物理主机可以也采用一致性哈希环对下一级路径不同的实体信息进行分布式定位存储。

⑥出于信息冗余考虑，若实体E的信息定位在节点Node_i，则相关信息可以在节点Node_i+1和Node_i+2上进行备份存储，保证每个实体信息在CHR有至少2个备份。

五、基于多元实体标识关联映射的审计方法

在具体的业务过程中，实体可能会涉及多种类型的标识信息（即实体注册得到的身份凭证），例如针对用移动设备连接企业资源的公司用户，其自身具备组织机构的身份标识，其使用的设备具有IMEI标识，其访问的公司资源具备虚拟资产标识，通过多元实体映射关系可以建立标识间的关联，从而实现基于多元实体标识的综合审计，期间涉及URI-IdP、RP和审计方(Auditor)。具体流程如下：

①审计方(Auditor)无条件的访问由URI-IdP创建与维护的基于URI的多元实体身份标识映射表，该映射表由四个属性字段组成，分别为多元实体标识URI、256位登陆随机通用唯一识别码UUID256、实体访问时间戳Timestamp和实体URI标识256位哈希摘要SHA256，保证URI和SHA256的一致性以及URI、UUID256的唯一性，形如图8。并取得该映射表中一条记录的URI和UUID256属性值；

②审计方(Auditor)无条件的访问由RP创建与维护的访问请求映射表，该映射表包括五个属性字段，分别为访问凭证Access Token、访问资源标识Resource ID、访问类型标识AccessID、当前访问时间CurrentTime和访问结果Result，保证Access Token的唯一性，形如图9；其中Assess Token是指实体在步骤三生成的实体临时访问凭证，Resource ID是指实体访问的资源标识，Assess ID是指实体对访问资源的处理方式（主要包括Update、Delete、Read、Write）、CurrentTime是指实体提出访问请求的当前时间、Result是指实体访问请求的处理结果。审计方(Auditor)用URI-IdP的公钥验证每条记录Access Token有效性，并从中取得这条记录的 ${\mathrm{UUID}}_{256}\left(\mathrm{User}\right)\⊕\mathrm{SHA}-{256}_{256}\left(\mathrm{URI}\right)\left|\right|\mathrm{timestamp},$ 除去时间戳timestamp形成

与①取得UUID256进行异或运算 ${\mathrm{UUID}}_{256}\left(\mathrm{User}\right)\⊕\mathrm{SHA}-{256}_{256}\left(\mathrm{URI}\right)\⊕{\mathrm{UUID}}_{256}\left(\mathrm{User}\right)$ 获得SHA-256₂₅₆(URI)摘要，通过基于URI的多元实体身份标识映射表中URI和SHA256的一致性，确定访问实体URI在访问请求映射表对应的记录。

③将②中确定的URI访问记录保存在审计方创建与维护的审计记录映射表，审计方依据要审查的多元实体访问情况的记录，需要获知多元实体URI标识、访问的资源、对访问资源的处理、多元实体访问的当前时间及访问的处理结果，创建与维护审计记录映射表。该映射表由五个属性字段构成，分别是URI、Resource ID、Access ID、CurrentTime和Result，形如图10。

④重复②③操作，直到被审计实体URI所有记录检索完毕。

Claims (10)

1.一种多元实体与多元实体身份依赖方之间的安全访问方法，其步骤为：

1）采用统一标识结构URI对多元实体进行编码；其中，标识结构URI包括：管理域标识Domain ID、类型标识Class ID、实体标识Entity ID；

2）将步骤1）统一描述后的多元实体向URI标识服务提供者URI-IdP进行注册，得到实体的身份凭证并存储；

3）实体登录身份依赖方RP时，RP将其定向到URI-IdP对该实体进行验证；

4）URI-IdP验证该实体输入的身份凭证，如果验证未通过，则拒绝该实体访问RP；如果验证通过，则URI-IdP生成该实体本次登录随机的128bit位UUID标识UUID₁₂₈(User)；

5）URI-IdP对随机标识UUID₁₂₈(User)进行反转生成128bit位的反转UUID标识UUID₁₂₈(User)_反，并将UUID₁₂₈(User)_反和UUID₁₂₈(User)拼接组成本次登录的256bit位UUID标识UUID₂₅₆(User)=UUID₁₂₈(User)_反‖UUID₁₂₈(User)，再利用SHA-256算法生成用户URI标识的256bit位哈希摘要SHA-256₂₅₆(URI)；

6）URI-IdP将UUID₂₅₆(User)和SHA-256₂₅₆(URI)进行异或运算生成该实体的一临时身份凭证，同时生成时间戳timestamp，并用URI-IdP私钥对临时身份凭证和时间戳进行签名；

7）URI-IdP将该实体定向到RP，并将该签名作为实体临时访问凭证发送到该RP；

8）RP用URI-IdP的公钥验证该签名有效性并提取timestamp验证该实体临时访问凭证是否过期，如果过期，则拒绝该实体的访问，否则接受访问。

2.如权利要求1所述的方法，其特征在于所述表示结构URI为URI://Domain ID/ClassID/Entnity ID。

3.如权利要求1所述的方法，其特征在于多元实体包括用户实体、终端设备实体、虚拟对象实体和物化实体。

4.如权利要求3所述的方法，其特征在于所述实体为用户实体时，所述实体注册流程为：

41）URI-IdP导入为用户实体E颁发的证书CA或CA信任链，生成信任库Trust-Store；

42）对注册实体E，URI-IdP确定其Domain ID和Class ID，即在URI-IdP端确定统一的Domain ID和Class ID；

43）实体E的公钥证书为Cert_pub，私钥为Key_pri；实体E的注册端生成随机数nonce，用私钥Key_pri对nonce签名，签名和实体E的公钥证书Cert_pub传递至URI-IdP；

44）URI-IdP用Cert_pub验证签名，并将nonce值加1后用公钥Cert_pub加密返回给注册端；

45）注册端对返回信息解密，并验证nonce的值，若验证通过，则确定其Entity ID；

46）注册端将实体E提供的属性信息发送给URI-IdP，URI-IdP为所提供的属性类型定级；

47）URI-IdP将实体E的URI标识和公钥证书Cert_pub以及属性集绑定，生成实体的身份凭证。

5.如权利要求3所述的方法，其特征在于所述实体为终端设备实体时，所述实体注册流程为：

51）注册端通过安装在终端设备实体E的可信软件代理agent获取终端设备实体E的IMEI标识符以及系统信息；

52）注册端将上述信息传递至URI-IdP；

53）URI-IdP根据终端设备实体E的信息确定其Domain ID和Class ID，由agent确定其Entity ID；

54）URI-IdP将终端设备实体E的URI标识和IMEI标识符以及终端设备实体E提供的属性集绑定，生成实体E的身份凭证。

6.如权利要求3所述的方法，其特征在于所述实体为虚拟对象实体时，所述实体注册流程为：

61）URI-IdP导入为虚拟对象实体E颁发的证书CA或CA信任链，生成信任库Trust-Store；

62）注册端通过虚拟对象实体E的可信软件代理agent获取虚拟对象实体E的相关信息，创建与维护一张虚拟对象实体映射表，登记注册的虚拟对象实体；该虚拟对象实体映射表的属性字段包括：Domain ID、OID、Hash和Alias；

63）agent取出虚拟对象实体映射表中注册的虚拟对象实体的登记记录及其相关信息递至URI-IdP；

64）URI-IdP利用所提取的相关信息验证虚拟对象实体E的可信任性，验证通过后，URI-IdP依据虚拟对象实体映射表记录，确定其Domain ID和Class ID，Domain ID取映射表Domain ID属性值，Class ID取映射表Alias属性值；

65）URI-IdP将虚拟对象实体E的URI标识及虚拟对象实体E相关信息绑定，生成实体E的身份凭证。

7.如权利要求3所述的方法，其特征在于所述实体为物化实体时，所述实体注册流程为：

71）URI-IdP导入为物化实体E颁发的证书CA或CA信任链，生成信任库Trust-Store；

72）注册端通过物化实体E的RFID代理agent获取物化实体E中存储的被识别实体的相关信息，并创建与维护一张物化实体映射表，登记注册的物化实体；该物化实体映射表的属性字段包括：实体代码Entity ID、Domain ID、厂商识别代码、Alias和对象分类代码；

73）agent取出物化实体映射表中注册的物化实体E的登记记录及物化实体E供应商PK递至URI-IdP；

74）URI-IdP使用供应商PK验证物化实体E的可信任性，验证通过后，URI-IdP依据物化实体映射表记录，确定其Domain ID、Class ID和Entity ID；Domain ID取映射表Domain ID属性值，Class ID取映射表Alias属性值，Entity ID取映射表是实体代码属性值；

75）URI-IdP将物化实体E的URI标识和供应商PK以及Domain ID、厂商识别代码、Alias和对象分类代码绑定，生成实体E的身份凭证。

8.如权利要求1~7任一所述的方法，其特征在于利用一致性哈希环建立针对实体注册得到的身份凭证进行分布式存储与索引，其方法为：

81）预设一致性哈希环CHR的数值区间，分布式存储节点K的标识表示为Identification_K，基于哈希算法Hash_M计算Hash_M(Identification_K)，确定节点K在CHR中的位置；

82）设实体E的URI表示为URI://AAA/BBB/CCC/DDD，计算h₁=hash_m(AAA)，h₂=hash_m(AAA/BBB)，h₃=hash_m(AAA/BBB/CCC)，h₄=hash_m(AAA/BBB/CCC/DDD)，h_E=h₁||h₂||h₃||h₄；其中，管理域标识DomainID取值为AAA、类型标识Class ID取值为BBB、实体标识Entity ID取值为CCC/DDD；

83）将数值区间划分为N个子区间，每一子区间对应一个存储节点，为CHR建立子区间到存储节点的映射列表；若实体E的URI标识按照步骤82）的方法计算实体E的身份凭证对应的存储节点；

84）若URI://AAA对应实体E的身份凭证存储在节点K上，则其他以URI://AAA开头的实体信息也都存储在节点K上；

85）统计h_E的结构中，如果其下层路径分支少于设定阈值，则节点K对应的物理主机负责实现实体信息的本地存储；否则节点K对应的物理主机采用一致性哈希环对下一级路径不同的实体信息进行分布式定位存储。

9.如权利要求8所述的方法，其特征在于若实体E的信息定位在节点Node_i，则实体E的相关信息在节点Node_i +1和Node_i+2上进行备份存储，保证每个实体信息在CHR有至少2个备份；所述数值区间为0~2^N；将数据区间等分为N个区间，N为大于1的整数。

10.如权利要求1~7任一所述的方法，其特征在于对多元实体的身份凭证进行审计，其方法为：

91）审计方访问由URI-IdP创建与维护的基于URI的多元实体身份标识映射表，并取得该映射表中一条记录的URI和UUID256属性值；该多元实体身份标识映射表包括四个属性字段，分别为多元实体标识URI、256位登陆随机通用唯一识别码UUID256、实体访问时间戳Timestamp和实体URI标识256位哈希摘要SHA256；

92）审计方访问由RP创建与维护的访问请求映射表，该访问请求映射表包括五个属性字段，分别为访问凭证Access Token、访问资源标识Resource ID、访问类型标识AccessID、当前访问时间CurrentTime和访问结果Result；审计方用URI-IdP的公钥验证每条记录Access Token有效性，并从中取得这条记录的签名，除去时间戳timestamp形成

将其与UUID标识UUID₂₅₆(User)进行异或运算，获得SHA-256₂₅₆(URI)摘要，然后通过多元实体身份标识映射表中URI和SHA256的一致性，确定访问实体URI在访问请求映射表对应的URI访问记录；

93）将92）中确定的URI访问记录保存在审计方创建与维护的审计记录映射表，审计方依据要审查的多元实体访问情况的记录，获取多元实体URI标识、访问的资源、对访问资源的处理、多元实体访问的当前时间及访问的处理结果，创建与维护审计记录映射表；该审计记录映射表包括五个属性字段：URI、Resource ID、Access ID、CurrentTime和Result；

94）重复92）、93）操作，直到被审计实体URI所有记录检索完毕。

Images