CN103312675B - 一种面向属性保护的数字身份服务方法及其系统 - Google Patents
一种面向属性保护的数字身份服务方法及其系统 Download PDFInfo
- Publication number
- CN103312675B CN103312675B CN201210065687.8A CN201210065687A CN103312675B CN 103312675 B CN103312675 B CN 103312675B CN 201210065687 A CN201210065687 A CN 201210065687A CN 103312675 B CN103312675 B CN 103312675B
- Authority
- CN
- China
- Prior art keywords
- attribute
- provider
- user
- trust
- voucher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种面向属性保护的数字身份服务方法及其系统,属于信息安全领域。本方法为:将属性提供方与信任提供方共同构成信任域,为所在的管理域内的应用系统以及用户提供属性服务以及信任凭证服务;身份服务提供方与应用系统共同部署在业务域,为应用系统提供身份管理服务,同时通过调用信任域内的属性提供方的服务代替业务系统完成对用户属性的请求服务。本系统包括至少一个信任域,至少一业务域;信任域分别通过网络与业务域连接;每一业务域包括一身份服务提供方和与其数据连接的若干应用系统,每一信任域包括一信任提供方及与其数据连接的一属性提供方。本发明可以在保障用户隐私安全的前提下,满足业务的用户属性需求。
Description
技术领域
本发明属于计算机技术与信息安全领域,涉及到云计算环境下的用户身份管理服务以及用户属性保护方法,具体表现为一种面向属性保护的数字身份服务方法及其系统。
背景技术
随着网络技术的发展,IT领域的资源在不断向互联网集中。云计算概念的提出,使软件,硬件,数据,平台等资源服务化的趋势加强,同样,以服务的形式提供安全功能,也是应用安全领域发展的必然趋势。一方面,安全服务由第三方负责建立,便于实施专门的安全机制,配备专业的安全人员进行管理和维护,提高系统的安全性;另一方面,服务使资源按需分配,可以减少传统网络业务为保障自身业务安全,而必须独立维护大量冗余信息所产生的代价。
从网络业务类型的角度来看,网络中业务越来越复杂,与人们的现实生活联系日益密切,在日常生活中扮演着越发重要的角色。由于网络影响力的极大提升,人们对互联网中个人信息的安全更加重视,以避免隐私信息的泄露为自身带来损失。因此,网络信任机制的建立具有很大的必要性。
网络身份是用户参与一切网络活动的基础,代表了用户映射在互联网世界的一个实体,但是随着互联网功能的增强,网络业务与现实业务的不断融合,一些网络业务需要用户的真实属性信息参与执行。这种业务模式在带来便捷的同时,也对用户的隐私安全造成了威胁。由第三方可信机构负责网络中用户属性信息的管理和维护,从用户与业务提供方的角度来看,是互联网业务发展的必然趋势。
从用户角度来讲,网络业务复杂多样,对用户的属性信息有不同的需求,例如电子银行可能需要用户的身份证号和电话号码,社交网站只需要了解用户的单位信息和邮件地址,而一些即时聊天软件则不需要知道任何的个人属性信息。用户没有必要为每种业务都提供所有的个人属性,业务需要什么样的用户属性需要由可信方建立统一的规范。从另一方面,用户通常对网络环境以及传输信道不够信任,不希望通过网络客户端直接注册个人的真实属性,同时也不愿意将个人的敏感属性信息,比如工资额度,直接提交给业务系统使用,就可以通过可信方为其提供属性证明,建立用户与业务之间的信任关系。
从业务的角度来讲,通常需要用户的真实属性信息参与业务的执行,或者根据属性进行业务信息统计以预测行业发展趋势,对自身业务进行远期规划。但是维护大量的用户属性信息,需要建立强安全防护措施,成本较高。若因为管理不善,造成用户隐私泄露,不仅影响业务运行以及企业声誉,而且需要为造成的损失承担经济和法律上的责任。此外,业务独立维护用户的真实属性信息,还需要花费高额代价对这些信息进行审核验证。
发明内容
根据现有技术中存在的技术问题,本发明的目的在于提供一种面向属性保护的数字身份服务方法及其系统,其通过第三方可信机构负责用户属性的审核、管理和维护,并根据业务的需求为其提供合适的属性信息。
本发明使用第三方安全服务的形式来为业务提供通用的数字身份管理系统,并以可信方为依托,在其中建立信任机制和属性发布机制,在保障用户隐私安全的前提下,满足业务对用户属性的需求。
本发明的技术方案为:
一种面向属性保护的数字身份服务方法,其步骤为:
1)信任提供方为经过验证的注册用户颁发身份标识,并将用户注册的属性信息注册到属性提供方中;
2)信任提供方根据该用户的身份标识和属性提供方提供的对应于该用户的属性发布接口链接生成该用户的用户凭证;
3)应用系统向信任提供方发送凭证颁发请求,信任提供方为该应用系统生成一标识并设置一属性发布策略,将该属性发布策略配置到属性提供方;
4)信任提供方根据该应用系统的标识、属性提供方的策略查询接口链接地址和策略标识为该应用系统生成业务授权凭证;
5)身份服务提供方将应用系统的用户提交的用户凭证、注册的基本身份信息与该应用系统发送的业务授权凭证组合为一属性请求消息,然后根据用户凭证上的属性提供方链接地址将该属性请求消息发送给属性提供方;
6)属性提供方验证用户凭证正确性后,根据业务授权凭证中的策略查询接口链接地址查询到的属性发布策略,将用户的属性信息发布给身份服务提供方;
7)身份服务提供方将收到的属性信息提供给相应的应用系统。
进一步的,所述信任提供方与所述属性提供方为一一对应,构成一信任域;每一信任域设有一可信方,用于维护用户的属性信息。
进一步的,所述可信方拥有自己的公钥P和私钥Pr,提供给所在信任域中的信任提供方和属性提供方对执行的数据进行加解密;不同可信方之间通过PKI建立相互之间的信任关系。
进一步的,通过所述可信方根据应用系统的业务模式、部署的安全环境、业务规模为该应用系统制定所述属性发布策略。
进一步的,采用XML格式文件保存所述属性发布策略。
进一步的,所述信任提供方使用用户的URI资源标识符作为注册用户的唯一身份标识。
一种面向属性保护的数字身份服务系统,其特征在于包括至少一个信任域,至少一业务域;所述信任域分别通过网络与所述业务域连接;每一所述业务域包括一身份服务提供方和与其数据连接的若干应用系统,每一所述信任域包括一信任提供方及与其数据连接的一属性提供方;其中:
所述身份服务提供方,用于接收用户注册的基本身份信息,将用户凭证与应用系统的业务授权凭证进行组合,生成组合凭证,依靠组合凭证向属性提供方请求使用应用系统所需的用户属性信息;
所述信任提供方,用于为用户颁发用户凭证,所述用户凭证中包含用户的身份标识和用户属性所在的属性提供方标识;以及用于为应用系统颁发业务授权凭证,所述业务授权凭证包含应用系统的标识、属性提供方的策略查询接口链接地址和策略标识;
所述属性提供方,用于对用户的属性信息进行管理,为应用系统发布属性以及对每一应用系统的属性发布策略进行配置。
进一步的,所述信任提供方与所述属性提供方为一一对应,构成一信任域;每一信任域设有一可信方,用于维护用户的属性信息。
进一步的,所述可信方拥有自己的公钥P和私钥Pr,提供给所在信任域中的信任提供方和属性提供方对执行的数据进行加解密;不同可信方之间通过PKI建立相互之间的信任关系。
进一步的,所述信任提供方使用用户的URI资源标识符作为注册用户的唯一身份标识。
本发明提供了一种面向属性保护的数字身份服务系统,结合了云计算环境下,资源服务化的发展趋势,以通用的身份服务形式为多种业务提供身份管理功能,并解决当前网络环境中用户和业务之间关于用户属性使用的矛盾,建立了一种信任保障机制,保障用户属性安全合理地使用。身份服务的建立依托于第三方可信机构,并且由可信方负责服务的维护。身份管理服务系统包含三个部分:身份服务提供方,属性提供方和信任提供方。身份服务提供方与业务紧密结合,为独立的业务系统提供身份管理功能,并且作为属性服务的依赖方,向属性提供方请求用户属性信息;属性提供方负责用户属性的注册,管理和维护,同时还负责对业务系统需求进行评估,建立属性发布策略;信任提供方为用户和业务颁发信任凭证,建立信任支撑。
本发明还提出了一种用户属性的发布方法,根据业务需求及其部属的安全环境,为其建立属性发布策略,在保障用户隐私安全的基础上,满足业务正常执行的需求。
第一部分:数字身份服务系统的架构
数字身份服务系统包括直接面向应用提供服务的身份服务提供方,以及面向属性发布的属性提供方和信任凭证颁发的信任提供方,其总体架构如图1所示。其中属性提供方与信任提供方共同构成信任域,为所在的管理域内的应用系统以及用户提供属性服务以及信任凭证服务;身份服务提供方与应用系统共同部署在业务域,为应用系统提供身份管理服务,同时通过调用信任域内的属性提供方的服务代替业务系统完成对用户属性的请求服务。身份服务方可以实现跨域的属性提供方服务的调用,因此用户可以安全的使用不同管理域中的应用系统所提供的服务。各部分功能结构组成见图2。
身份服务提供方(ServiceProvider,SP)是一个面向多应用的服务模块,它建立通用的服务接口,为各种具体的应用系统提供身份管理功能。身份服务提供方部署在业务域,与具体的应用系统紧密耦合。从用户属性发布的角度来说,身份服务提供方又可看作是属性依赖方,它代替应用系统向属性提供方请求用户的属性信息,实现业务执行所必须的条件。
身份服务提供方包含如下功能:
1)基本身份管理:实现对用户基本身份信息的管理访问。基本身份信息是用户在身份注册过程中所填写的不涉及用户隐私的信息,例如昵称,头像等。功能接口使用WebService技术实现,以兼容不同平台的应用系统。
2)业务授权凭证配置:通过该功能接口将用户身份凭证与应用系统的业务授权凭证进行组合,生成组合凭证,身份服务提供方依靠组合凭证向属性提供方请求应用系统所需的用户属性信息。
3)属性查询:在获取用户的属性信息之后,身份服务提供方可以凭借组合凭证,代替应用系统通过该功能接口查询属性服务提供方获取的用户属性值。
4)数据库配置:根据业务需求将获取的用户属性存储在数据库中,生成相应的数据库表,并将数据库的元数据通过该功能接口提交给身份管理服务系统。
信任提供方(TrustProvider,TP)负责为用户和业务颁发信任凭证。信任凭证包含两种:用户凭证用于身份服务提供方在向属性提供方提取用户属性时,证明用户的合法身份;业务授权凭证用于身份服务提供方在向属性提供方提取属性时,证明业务所需的属性类型。身份服务提供方将两者组合起来,可以从属性提供方获取指定用户的指定属性信息或者属性证明。信任提供方和属性提供方一一对应,由特定的可信方维护。
信任提供方包含以下功能:
1)用户凭证颁发:为用户颁发用户凭证,用户凭证中包含用户的身份标识和用户属性所在的属性提供方标识,属性提供方使用用户的URI资源标识符作为用户的唯一标识。
2)业务授权凭证颁发:为业务颁发业务授权凭证,颁发业务授权凭证之前需要由可信方对业务的需求和应用环境进行分析评估,根据应用系统所需要的用户属性定制专门的属性发布策略,将每条策略对应的策略标识,写入授权凭证中。
属性提供方(AttributeProvider,AP)负责对用户的属性信息进行管理、为应用系统发布属性以及对属性发布策略进行配置。它由可信方建立和维护,部署在安全域以保障用户的隐私安全。
属性提供方包含以下功能:
1)用户属性注册功能:将用户的身份属性信息注册到本系统,注册成功之后通过信任提供方为用户颁发用户凭证。
2)属性发布:身份服务提供方通过使用由用户凭证和业务授权凭证构成的组合凭证访问该功能接口,获取应用系统所需的用户属性或者属性证明。
3)策略配置:通过该功能接口为属性提供方配置新的属性发布策略,属性发布策略用来判定是否将用户属性发布给身份服务提供方,由身份服务提供方发送给应用系统.或者对属性值进行分析,给出模糊的属性证明。
4)策略查询:通过查看组合凭证中的业务授权凭证获取策略标识,利用策略标识查询属性提供方中已经配置的策略,若有多条策略,除去相同内容的策略后将其合并,使用XML格式来表示。
第二部分:属性发布方法
属性发布方法是指身份服务提供方在运行过程中,根据业务实际需求,从属性提供方提取系统中用户的相关属性信息的方法。属性发布方法一方面保证了业务中用户属性信息的真实性,减少了业务直接进行用户属性审核验证的代价;另一方面根据业务的实际需求为其提供部分属性信息或者属性证明,避免了不必要的属性暴露,减少了用户隐私泄露的威胁。
属性发布的执行过程见图4,具体描述如下:
1)信任提供方为用户颁发身份凭证:
a)用户在信任提供方进行真实身份注册(即涉及用户隐私的属性信息),信任提供方以可信方为依托,验证用户身份的真实性;
b)为用户颁发身份标识,并将用户的属性信息注册到属性提供方AP中;
c)由信任提供方TP为用户颁发用户凭证,将用户的身份标识,属性提供方AP中对应于该用户的属性发布接口链接写入用户凭证中。
2)信任提供方应用系统颁发业务授权凭证:
a)应用系统向信任提供方发送凭证颁发请求,信任提供方接受应用系统的凭证颁发请求,依托可信方,对其业务模式、部署的安全环境、业务规模等做详细的评估,并为该应用系统设置一属性发布策略;
b)可信方决定哪些属性信息可以直接对其发布,哪些属性信息只需要做模糊的证明,然后将属性发布策略配置到属性提供方,并获取相应的策略标识;
c)信任提供方为应用系统发布业务授权凭证,包含应用系统的标识,属性提供方的策略查询接口链接地址,策略标识等。
3)属性请求发布过程:
a)应用系统将自身的业务授权凭证通过身份服务提供方的授权凭证配置接口,等待与用户凭证组合;
b)用户通过身份服务提供方的基本身份管理接口进行基本身份信息的注册,并提交个人的用户凭证;
c)身份服务提供方将用户的身份凭证与应用系统的授权凭证进行整合,组装成为一个整体的属性请求消息,然后根据身份凭证上的属性提供方链接地址,发送组装的属性请求消息给属性提供方;
d)属性提供方验证用户身份凭证的正确性,再根据授权凭证中的策略查询接口链接查询其对应的属性发布策略;
e)根据属性发布策略,将用户的属性信息发布给身份服务提供方。
4)身份服务提供方接收到用户属性之后,将其进行保存,为后续的业务执行提供帮助。
与现有技术相比,本发明的积极效果为:
本发明提出了一种云计算环境下以第三方安全服务的形式为业务提供通过的数字身份管理的系统构架;用户仅在可信方对真实身份进行一次注册,就可以实现跨域访问业务服务;对用户的隐私信息保护按照基于属性的发布机制,在保障用户隐私安全的前提下,满足业务的用户属性需求。
附图说明
图1数字身份服务系统的架构示意图;
图2数字身份服务系统各部分功能结构示意图;
图3数字身份服务系统部署图;
图4用户属性发布方法示意图;
图5用户身份凭证及业务授权凭证颁发流程图;
图6用户属性请求发布流程图。
具体实施方式
下面通过具体的实施例对本发明做进一步描述。
本发明从网络数字身份服务系统架构和对用户属性保护技术两个方面来考虑,通过引入可信第三方,为网络中各类业务建立通用的身份服务框架。从应用系统的角度,身份服务框架能够为其提供身份管理功能,减少了应用独立维护用户身份、建立安全保护机制所消耗的代价;同时由可信方提供身份管理功能,多业务之间账号融合更加便捷,为业务之间的合作建立良好的条件。从用户的角度,由可信方对其属性进行维护,对业务的属性使用也建立了统一的评估和审核标准,降低了用户隐私信息泄露的风险。
本实施例根据发明内容设计,主要包括两个部分:数字身份服务系统的架构和接口定义,以及用户属性信息发布流程。数字身份服务系统架构包含三个子服务系统,分别成为身份服务提供方,信任提供方和属性提供方。属性发布流程根据发明内容中属性发布方法设计,定义了如何将用户的属性信息由可信方发布给具体的应用系统。
(一)数字身份服务系统架构
数字身份服务系统包含的三个子系统分别为身份服务提供方ServiceProvider,信任提供方TrustProvider和属性提供方AttributeProvider。身份服务提供方部署在业务域,为应用系统提供身份管理功能,它以WebService方式建立接口,实现平台兼容性,满足不同环境下的业务需求。信任提供方和属性提供方是一一对应的,由可信第三方负责维护,前者为用户和应用系统颁发信任凭证,保障属性发布过程的安全性,后者负责对用户的属性信息以及属性的发布策略进行管理维护。
下面介绍各个子系统对外提供的主要接口,以及接口实现的具体功能:
1)身份服务提供方(SP):
基本身份管理接口:BasicManage
功能:根据输入中指定的操作,对用户的基本身份信息进行管理。基本身份信息是用户进行账号注册时所填写的不涉及个人隐私的属性。
输入参数:
Operation:包括五类操作”register”,”update”,”find”,”delete”和”destroy”,分别指定对基本身份信息的注册,修改,查询,删除以及账户的注销;
Parameters:存储用户身份信息的名值对,身份信息名必须与数据库中字段名一致,以保证SP进行正确的数据存储。对于查询、删除操作,身份信息名值对中的值可以为空值。
返回值:
Results:对于bool类型的结果,返回字符串”true”或者”false”,对于查询操作,返回字符串数组。
使用WebService实现接口,接口描述如下:
授权凭证配置接口:AuthCredentialConf
功能:将输入参数中指定的授权凭证配置到本身份服务提供方。
输入参数:
Path:授权凭证的存储路径;
返回值:
Result:bool类型的返回值,表示凭证是否配置成功。
使用WebService实现该接口,接口描述如下:
属性查询接口:AttributeInquire
功能:查询用户的属性,这些属性是从属性提供方获取,包含用户个人隐私信息。
输入参数:
Operation:字符串数组,指示按哪些属性字段查询;
Parameters:字符串数组,表示查询条件;
返回值:
Results:符合查询条件的用户列表。
WebService实现的属性查询接口,可描述如下:
数据库配置接口:DBConfig
功能:将数据库的链接地址,表数据等元数据信息配置到SP,便于其使用。
输入参数:
Paths:数据库元数据配置文件的存储路径;
返回值:
Result:bool类型的值,表示配置成功或者失败。
使用WebService方式实现DBConfig接口,描述如下:
2)信任提供方(TP):
用户凭证颁发接口:UserCredGen
功能:为用户颁发身份凭证,用于在后续的属性发布过程中证明用户身份,本实施例中
使用公钥证书来表示身份凭证。
输入参数:
UserId:用户的身份标识;
Position:用户属性所注册的AP链接地址;
返回值:
UserCredential:编码后的用户身份证书以及私钥。
WebService方式定义的接口如下:
业务授权凭证颁发接口:AppCredGen
3)属性提供方(AP):
用户属性注册接口:AttributeReg
功能:将用户的属性信息注册到AP
输入参数:
Parameters:用户真实属性信息的名值对;
返回值:
UserId:为用户生成的标识符。
使用WebService定义该接口可描述如下:
属性发布接口:AttributeReq
功能:根据输入的凭证信息为SP发布其所需的用户属性。
输入参数:
BindedCredential:用户凭证与应用的授权凭证进行组装,得到的联合凭证;
返回值:
AttributeResult:根据策略判定,返回的用户属性信息。这些属性信息经过了加密处理,防止在明文传输过程中引起隐私泄露。
WebService定义的该接口可以描述如下:
策略配置接口:PolicyConf
功能:将策略文件配置到本AP,获取相应的策略标识。
输入参数:
Path:XML格式策略文件的存储路径;
返回值:
PolicyId:为策略颁发的标识。
WebService定义的PolicyConf接口如下:
策略查询接口:PolicyInquire
功能:根据输入的策略标识符查询相应的子策略,然后将这些子策略合并成一个完整的属性发布策略返回给调用者。
输入参数:
PolicyIds:子策略标识数组;
返回值:
PolicyPack:多条子策略整合的完整策略。
使用WebService方式定义该接口,描述如下:
(二)属性请求发布流程
本实施例根据发明内容中属性发布方法设计,以执行流程的方式进行描述。描述过程将服务系统中的三方分别简称为SP,TP和AP,介绍流程之前,首先对流程中所用到的符号进行解释:
{...}Pr:使用私钥Pr对花括号中的数据作数字签名;
[...]P:使用公钥P对方括号中的数据作加密处理。
下面对流程的实现过程进行具体介绍:
执行属性发布流程,首先必须建立以下前提条件:
1.TP和AP一一对应,由同一个可信方管理维护。每个可信方拥有自己的公钥P和私钥Pr,用于自己TP和AP的业务执行;
2.不同的可信方之间能够通过PKI技术建立相互之间的信任关系。
首先,用户需要选择一个可信提供方进行真实属性信息的注册。在最简单的情况下,以用户主管机构作为独立的可信方,则用户的属性注册可以统一进行。属性注册过程见图5,具体描述如下:
1.用户将个人属性信息{a1,a2,...,an}通过AP的用户属性注册接口进行注册,获取个人的身份标识UserId;
2.AP将用户的标识UserId以及AP的链接地址ApUrl发送到TP的用户属性颁发接口;
3.TP为用户生成公私钥对Pu和Pru,并使用TP的私钥为UserId,ApUrl和Pu生成数字签名,作为用户凭证,表示为Cu={UserId,ApUrl,Pu}Pr,最后将Cu和Pru返回给用户。
应用系统也需要选择一个可信提供方对其业务类型、业务规模、安全环境部署、所在管理域等信息进行注册,由可信方对其进行评估,决定它对用户的哪些属性可见,并制定相应的属性发布策略。这个过程可以表示如下:
1.可信方对应用系统的业务需求、安全环境进行评估,决定它可见的用户属性ai1,ai2,...,aik,针对这些属性分别建立属性发布策略或者重用之前已定义的策略,给出策略标识Pid1,Pid2,...,Pidk,将这些策略标识记为策略标识集合PolSet,将属性发布策略发送到AP,对应的策略链接地址为ApUrl,并将策略标识集合PolSet发送到TP;
2.TP为应用系统生成系统标识SID以及公私钥对Ps和Prs,并根据应用标识SID,策略标识集PolSet,TP对应的AP的链接地址ApUrl,公钥Ps生成数字签名作为授权凭证,表示为Cs={SID,PolSet,ApUrl,Ps}Pr,并将Cs和Prs返回给应用系统;
3.应用系统通过其身份服务提供方SP的授权凭证配置接口,将授权凭证Cs提交给SP;应用系统的用户通过SP基本身份管理接口进行基本身份信息注册,之后SP会将用户身份凭证与应用系统的授权凭证组装,用组装凭证向AP请求用户属性信息,此过程见图6,具体描述如下:
1.SP将Cs和Cu直接作内容拼接,将其发送给用户。由于用户的用户凭证与应用系统的业务授权凭证不一定由同一可信提供方颁发,所以下面的步骤将Cs记为Cs={SID,PolSet,ApUrl1,Ps}Pr1,Pr1为与用户处于不同管理域的另一可信方的私钥,其对应的公钥为P1;
2.用户使用私钥Pru对步骤1的信息做签名,得到组装凭证C,并将其返回给SP,C={Cu,Cs}Pru={{UserId,ApUrl,Pu}Pr,{SID,PolSet,ApUrl1,Ps}Pr1}Pru;
3.SP从组装凭证C中读取用户属性所在AP的链接地址ApUrl,将C发送到对应的AP属性发布接口;
4.AP使用可信方公钥P验证用户凭证Cu,再使用Pu验证组装凭证C的正确性,凭证的正确性验证即签名的真确性验证。验证通过后,使用可信方私钥Pr对Cs做签名得到msg1={Cs}Pr={{SID,PolSet,ApUrl1,Ps}Pr1}Pr,然后将msg1发送到应用系统对应的属性提供方AP1进行策略查询。AP1的链接地址为Cs中的字段ApUrl1;
5.AP1首先使用msg1的信任源的证书获取公钥P验证消息的正确性,再使用当前可信方的公钥P1验证凭证Cs的正确性,验证通过后,根据策略标识集PolSet中的策略标识,读取相应的XML策略文件,并将其组装成一个完整的XML策略文件policy。将XML策略编码后先用Pr1签名,再使用P加密得到消息msg2=[{policy}Pr1]P,将其发送给AP;
6.AP将接收到的消息msg2,将其解密并验证签名,之后根据策略文件policy读取用户的相应属性或者建立属性证明attributes,并用Ps对attributes加密,得到消息msg3=[attributes]Ps发送给SP;
7.SP将消息解密,得到用户的属性信息attributes,并将其保存到数据库中,完成属性请求发布流程。
Claims (10)
1.一种面向属性保护的数字身份服务方法,其步骤为:
1)信任提供方为经过验证的注册用户颁发身份标识,并将用户注册的属性信息注册到属性提供方中;
2)信任提供方根据该用户的身份标识和属性提供方提供的对应于该用户的属性发布接口链接生成该用户的用户凭证;
3)应用系统向信任提供方发送凭证颁发请求,信任提供方为该应用系统生成一标识并设置一属性发布策略,将该属性发布策略配置到属性提供方;
4)信任提供方根据该应用系统的标识、属性提供方的策略查询接口链接地址和策略标识为该应用系统生成业务授权凭证;
5)身份服务提供方将应用系统的用户提交的用户凭证、注册的基本身份信息与该应用系统发送的业务授权凭证组合为一属性请求消息,然后根据用户凭证上的属性提供方链接地址将该属性请求消息发送给属性提供方;
6)属性提供方验证用户凭证正确性后,根据业务授权凭证中的策略查询接口链接地址查询到的属性发布策略,将用户的属性信息发布给身份服务提供方;
7)身份服务提供方将收到的属性信息提供给相应的应用系统。
2.如权利要求1所述的方法,其特征在于所述信任提供方与所述属性提供方为一一对应,构成一信任域;每一信任域设有一可信方,用于维护用户的属性信息。
3.如权利要求2所述的方法,其特征在于所述可信方拥有自己的公钥P和私钥Pr,提供给所在信任域中的信任提供方和属性提供方对执行的数据进行加解密;不同可信方之间通过PKI建立相互之间的信任关系。
4.如权利要求2所述的方法,其特征在于通过所述可信方根据应用系统的业务模式、部署的安全环境、业务规模为该应用系统制定所述属性发布策略。
5.如权利要求1或4所述的方法,其特征在于采用XML格式文件保存所述属性发布策略。
6.如权利要求1所述的方法,其特征在于所述信任提供方使用用户的URI资源标识符作为注册用户的唯一身份标识。
7.一种面向属性保护的数字身份服务系统,其特征在于包括至少一个信任域,至少一业务域;所述信任域分别通过网络与所述业务域连接;每一所述业务域包括一身份服务提供方和与其数据连接的若干应用系统,每一所述信任域包括一信任提供方及与其数据连接的一属性提供方;其中:
所述应用系统,用于向信任提供方发送凭证颁发请求;
所述身份服务提供方,用于接收用户注册的基本身份信息,将用户凭证与应用系统的业务授权凭证进行组合,生成组合凭证,依靠组合凭证向属性提供方请求使用应用系统所需的用户属性信息;
所述信任提供方,用于为用户颁发用户凭证,所述用户凭证中包含用户的身份标识和用户属性所在的属性提供方标识;以及用于为应用系统颁发业务授权凭证,所述业务授权凭证包含应用系统的标识、属性提供方的策略查询接口链接地址和策略标识;
所述属性提供方,用于验证用户凭证正确性、根据业务授权凭证中的策略查询接口链接地址查询到的属性发布策略,以及对用户的属性信息进行管理,为应用系统发布属性以及对每一应用系统的属性发布策略进行配置。
8.如权利要求7所述的系统,其特征在于所述信任提供方与所述属性提供方为一一对应,构成一信任域;每一信任域设有一可信方,用于维护用户的属性信息。
9.如权利要求8所述的系统,其特征在于所述可信方拥有自己的公钥P和私钥Pr,提供给所在信任域中的信任提供方和属性提供方对执行的数据进行加解密;不同可信方之间通过PKI建立相互之间的信任关系。
10.如权利要求7所述的系统,其特征在于所述信任提供方使用用户的URI资源标识符作为注册用户的唯一身份标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210065687.8A CN103312675B (zh) | 2012-03-13 | 2012-03-13 | 一种面向属性保护的数字身份服务方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210065687.8A CN103312675B (zh) | 2012-03-13 | 2012-03-13 | 一种面向属性保护的数字身份服务方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103312675A CN103312675A (zh) | 2013-09-18 |
| CN103312675B true CN103312675B (zh) | 2016-05-18 |
Family
ID=49137461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210065687.8A Expired - Fee Related CN103312675B (zh) | 2012-03-13 | 2012-03-13 | 一种面向属性保护的数字身份服务方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103312675B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916267B (zh) * | 2014-03-14 | 2019-04-12 | 兴唐通信科技有限公司 | 三层结构的网络空间身份管理系统 |
| EP3257221B1 (en) * | 2015-02-13 | 2022-03-09 | Yoti Holding Limited | Digital identity |
| CA3002034A1 (en) | 2015-10-14 | 2017-04-20 | Cambridge Blockchain, LLC | Systems and methods for managing digital identities |
| CN106991298B (zh) * | 2016-01-21 | 2021-02-02 | 斑马智行网络(香港)有限公司 | 应用程序对接口的访问方法、授权请求方法及装置 |
| CN106600405B (zh) * | 2016-11-17 | 2021-06-22 | 复旦大学 | 基于区块链的数据权益保护方法 |
| CN109005029B (zh) * | 2018-06-25 | 2019-08-16 | 北京迪曼森科技有限公司 | 可信应用标识的生成方法和系统、应用方法和应用端设备 |
| CN110134859B (zh) * | 2019-04-02 | 2021-05-07 | 中国科学院数据与通信保护研究教育中心 | 一种个人信息管理方法及系统 |
| CN111130761B (zh) * | 2019-11-12 | 2022-07-29 | 丁爱民 | 数权身份标识方法及系统 |
| CN113381992B (zh) * | 2021-06-07 | 2022-03-18 | 中国电子科技网络信息安全有限公司 | 一种基于区块链的证照管理方法 |
| CN113779534B (zh) * | 2021-09-02 | 2024-02-23 | 广州大白互联网科技有限公司 | 一种基于数字身份的个人信息提供方法和业务平台 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
| CN101640687A (zh) * | 2009-08-31 | 2010-02-03 | 国家信息中心 | 一种权限管理系统及方法 |
| CN101895555A (zh) * | 2010-07-30 | 2010-11-24 | 中国科学院软件研究所 | 一种基于bpel的安全访问业务集成建模方法 |
| CN102035837A (zh) * | 2010-12-07 | 2011-04-27 | 中国科学院软件研究所 | 一种分层连接可信网络的方法及系统 |
-
2012
- 2012-03-13 CN CN201210065687.8A patent/CN103312675B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
| CN101640687A (zh) * | 2009-08-31 | 2010-02-03 | 国家信息中心 | 一种权限管理系统及方法 |
| CN101895555A (zh) * | 2010-07-30 | 2010-11-24 | 中国科学院软件研究所 | 一种基于bpel的安全访问业务集成建模方法 |
| CN102035837A (zh) * | 2010-12-07 | 2011-04-27 | 中国科学院软件研究所 | 一种分层连接可信网络的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103312675A (zh) | 2013-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103312675B (zh) | 一种面向属性保护的数字身份服务方法及其系统 | |
| CA3015695C (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| Kent | Privacy enhancement for internet electronic mail: Part II: Certificate-based key management | |
| Boritz et al. | Security in XML-based financial reporting services on the Internet | |
| CN113271211B (zh) | 一种数字身份验证系统、方法、电子设备及存储介质 | |
| Trèek | An integral framework for information systems security management | |
| Mukta et al. | Blockchain-based verifiable credential sharing with selective disclosure | |
| US20130318619A1 (en) | Encapsulated security tokens for electronic transactions | |
| US7788485B2 (en) | Method and system for secure transfer of electronic information | |
| CN105791259B (zh) | 一种个人信息保护的方法 | |
| CN109936570A (zh) | 一种基于以太坊区块链的去中心化标识符属性管理系统 | |
| Ribeiro et al. | STORK: a real, heterogeneous, large-scale eID management system | |
| Buccafurri et al. | Integrating digital identity and blockchain | |
| CN106911627A (zh) | 一种基于eID的真实身份安全控制方法及其系统 | |
| Wang et al. | Achieving secure and flexible m-services through tickets | |
| CN112199448A (zh) | 基于区块链的工商注册登记方法及系统 | |
| CN105518689A (zh) | 与用于访问数据网络的用户认证有关的方法和系统 | |
| CN112905979A (zh) | 电子签名授权方法以及装置、存储介质、电子装置 | |
| Kent et al. | RFC1114: Privacy enhancement for Internet electronic mail: Part II-certificate-based key management | |
| CN115456619B (zh) | 一种基于区块链技术的虚拟预付卡发行系统和方法 | |
| Camenisch et al. | H2. 1—ABC4trust architecture for developers | |
| CN112991031A (zh) | 一种基于区块链技术的电子账本管理系统 | |
| Pashalidis et al. | Privacy in identity and access management systems | |
| Rech et al. | A decentralized service-platform towards cross-domain entitlement handling | |
| Crispo et al. | WWW security and trusted third party services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160518 Termination date: 20210313 |