CN111130761B - 数权身份标识方法及系统 - Google Patents

Abstract

本发明实施例提供一种数权身份标识方法及系统，所述方法包括数权客体发送方根据安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典等6个元素的身份标识数据编码生成数权身份标识；数权客体接收方从数权身份标识中解码出上述6个身份标识；所述系统包括IBC服务网络、数权控制台、配置信息同步平台、数权身份标识编解码单元；本发明通过综合使用IBC技术和可信计算技术，保障了数权身份标识的全系统全域唯一性，支持跨安全域分布式身份标识和可信身份鉴别服务，支持数权身份防假冒、防篡改、防抵赖，本发明生成的数权身份标识通过数据字典进行压缩，降低了通信传输编码长度。

Description

数权身份标识方法及系统

技术领域

本发明涉及信息安全技术领域，尤其涉及用于数据安全的数权保护领域的数权身份标识方法及系统。

背景技术

所述数权，是指有数据在全生命周期治理过程中所产生的权利，涉及个人隐私、数据产权、国家主权等权益。数权主体，是指数据控制权所有人，可以是自然人、法人、非法人组织等，往往是数据所指向的特定对象或者该数据的收集、存储、传输、处理者。数权客体是数据，即数权涉及的有一定规律或价值的信息编码集合。所述数权保护，是指数权主体对数权客体所享有的完全支配权，使数权客体处于数权主体合法控制之下，使得数权主体拥有了自由行使、不受他人干涉的合法控制数据客体的权利。数权保护的本质是数权主体对数权客体的控制，为了保障数权主体的权益，数权主体作为施控者，影响和支配数权客体全生命周期所涉及受控对象，包括信源、信道、信宿、编码器、译码器等计算、存储、传输方面的软硬件设施。

Shamir于1984年提出了基于身份标识的密码学(Identity-Based Cryptograph，IBC)，其基本思想是：用户的身份信息就是其公钥，只要知道某个用户的身份就可以知道他的公钥，而无需再去获取并验证用户的公钥证书公钥不需要分发。用户公钥可以是任意的比特串，一般采用用户的姓名、地址、电子信箱地址等能标识其身份的信息作为用户公钥，并且为了撤销密钥，在实际应用时往往将日期(或其他时间标识)作为用户身份的一部分，这样用户私钥到期后不能使用。IBC技术已经在银行、零售、保险、能源、医疗保健等行业和政府系统中广泛应用和部署。随着应用的逐渐广泛，相关算法的标准化工作也在逐步展开。IEEEP1363.3基于标识密码技术工作组进行了相关算法的标准化工作，ISO/IEC也在进行标识加密算法的标准化工作，IETF也已经接受了标识加密邮件编码方案。在中国，标识密码技术的推广应用也备受关注。在2008年IBC算法正式获得国家密码管理局颁发的SM 9(商密九号算法)商密算法型号，目前国内主要使用的是国家商用密码管理局发布的SM9标识密码算法。

20世纪70年代初期，Anderson JP首次提出可信系统的概念，由此开始了人们对可信系统的研究，在可信计算四十余年的研究过程中，可信计算的含义不断地拓展，由侧重于硬件的可靠性、可用性到针对硬件平台、软件系统、服务的综合可信。有关可信计算的概念，在ISO/IEC 15408标准中给出了以下定义：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。成立于2003年的可信计算组织(Trusted Computing Group，TCG)致力于构建可信的软硬件计算环境，从硬件出发，从源头开始保证计算环境建立过程中各个相关组件的可信，从而建立一个可信的计算环境。可信计算组织提出了可信平台模块(Trusted Platform Module，TPM)的概念，并定义了具有安全存储和加密功能的TPM，作为可信平台建立过程中可信硬件基础，提供可信的度量和可信存储的方法，从硬件层面提供可信计算所需的相关计算需求；可信计算组织同时提出了基于可信链构建可信计算环境的方法，从TPM出发，对系统启动过程中涉及的相关组件逐级进行度量，一级验证一级，将信任关系逐级传递下去，最终保证整个平台环境的可信。

GB/T22239-2019《信息安全技术网络安全等级保护基本要求》提出应针对计算资源构建保护环境，以可信计算基(Trusted Computing Base，TCB)为基础，实现软硬件计算资源可信；针对信息资源构建业务流程控制链，基于可信计算技术实现访问控制和安全认证，密码操作调用和资源的管理等，构建以可信计算技术为基础的等级保护核心技术体系。TCB是指实现计算机系统安全保护的所有安全保护机制的集合，可以通过硬件、固件和软件的形式出现；TCB包含但不限于TPM，包括制定并执行安全策略的硬件、固件、软件的组合体。

目前，现有技术存在以下不足：缺乏数权身份标识和数权身份标识编码相关技术，在数权客体分解、组合、编码、译码等过程中，数权主体、数权客体、信源、信道、信宿缺乏一种有效识别数权客体编码解码时标识数权关系的可信身份机制，不能满足物联网、大数据、人工智能、数权保护等大规模用户群数权客体复杂编解码应用需求。

发明内容

针对现有技术的不足，本发明实施例提供一种数权身份标识方法及系统，通过综合使用IBC技术和可信计算技术，保障了数权身份标识的全系统全域唯一性，支持跨安全域分布式身份标识和可信身份鉴别服务，提供可信身份服务，支持数权身份防假冒、防篡改、防抵赖；本发明生成的数权身份标识通过数据字典进行压缩，降低了通信传输编码长度。

一方面，本发明实施例提供一种数权身份标识方法，所述数权身份标识包含安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典的身份标识编码信息，所述方法包括如下过程：

S1、数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权保护消息的唯一身份标识；

S2、数权客体接收方根据DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码。

优选地，所述数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权保护消息的唯一身份标识，包括：

S11、从IBC服务网络获取基于IBC的身份标识Did，Uid，Sid；其中，Did是安全域基于IBC的身份标识，Uid是数权主体基于IBC的身份标识，Sid是数权控制器基于IBC的身份标识；所述IBC是指基于身份标识的密码学；

S12、根据数权保护策略DSP和数权编码字典DSD构造数权身份标识DSid：获取数权保护策略身份标识DSPid、数权编码字典身份标识DSDid、数权客体身份标识Mid；以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数，构造出全域唯一的数权身份识别信息编码，作为数权身份标识DSid；所述全域是指数权标识系统所部署的安全域；

S13、数权客体发送方与数权客体接收方通信过程中，以DSid作为数权保护消息的唯一身份标识。

优选地，所述数权主体设定数权保护策略DSP和数权编码字典DSD，其中，数权保护策略DSP有x个，每个DSP都有一个安全域内部唯一的身份标识编码DSPid；数权编码字典DSD有y个，每个DSD都有一个安全域内部的身份标识编码DSDid；x和y都是大于0的自然数。

优选地，所述安全域是IBC服务网络的一个节点；所述IBC服务网络按照树形结构划分安全域，分为可信计算基层、1级安全域层、……、n级安全域层，共计n+1层，n为大于0的自然数；所述Did在IBC服务网络内部是唯一编码的，其管理方式为：IBC服务网络在设立安全域时生成Did；IBC服务网络根据IBC密钥生成算法，为所述安全域生成一对全局密钥Didsk和Didpk，其中，Didsk是所述安全域的全局私钥，交由所述安全域管理；Didpk是所述安全域的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Didpk取值策略，Didpk取值或者与Did相同，或者由IBC服务网络分配一个与Did不同的取值。

优选地，所述数权主体基于IBC的身份标识Uid在所述安全域内部是唯一编码的，其管理方式为：数权主体在加入IBC服务网络时生成Uid；IBC服务网络根据IBC密钥生成算法，为所述数权主体生成一对全局密钥Uidsk和Uidpk，其中，Uidsk是所述数权主体的全局私钥，交由所述数权主体管理；Uidpk是所述数权主体的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Uidpk取值策略，Uidpk取值或者与Uid相同，或者由IBC服务网络分配一个与Uid不同的取值。

优选地，所述数权控制器基于IBC的身份标识Sid在所述安全域内部是唯一编码的，其管理方式为：数权控制器在加入IBC服务网络时生成Sid；IBC服务网络根据IBC密钥生成算法，为所述数权控制器生成一对全局密钥Sidsk和Sidpk，其中，Sidsk是所述数权控制器的全局私钥，交由数权控制器管理；Sidpk是所述数权控制器的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Sidpk取值策略，Sidpk取值或者与Sid相同，或者由IBC服务网络分配一个与Sid不同的取值。

优选地，数权客体接收方根据DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码，数权客体接收方执行数权保护策略身份标识DSPid对应的数权保护策略。

另一方面，本发明实施例提供一种数权身份标识系统，所述系统包括：

IBC服务网络：提供IBC身份标识服务，为IBC服务网络内的安全域、数权主体、数权控制器分别生成安全域内唯一的身份标识及一对全局密钥，包括一个全局私钥和一个全局公钥；并且负责在IBC服务网络全网广播同步全局公钥；IBC服务网络按照树形结构划分安全域，分为可信计算基层、1级安全域层、……、n级安全域层，n为大于0的自然数；

数权控制台：提供数权主体用户管理和设置数权保护策略和数权编码字典的用户操作界面，向配置信息同步平台输出数权保护策略和数权编码字典；

配置信息同步平台：接受数权控制台的数权保护策略和数权编码字典，同步数权保护策略和数权编码字典到IBC服务网络和数权身份标识编解码单元；实现IBC服务网络、数权控制台、数权身份标识编解码单元的配置信息同步；

数权身份标识编解码单元：以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，或者，根据DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码；

其中，所述IBC是指基于身份标识的密码学；Did是安全域基于IBC的身份标识，Uid是数权主体基于IBC的身份标识，Sid是数权控制器基于IBC的身份标识；Mid是数权客体身份标识、DSPid是数权保护策略身份标识、DSDid是数权编码字典身份标识。

优选地，所述配置信息同步平台，实现IBC服务网络、数权控制台、数权身份标识编解码单元的配置信息同步，所述配置信息同步的内容包含IBC服务网络发生数权主体、数权控制器、安全域的新增、修改、删除以及数权控制台在增加、修改、删除数权保护策略和数权编码字典造成的配置变更信息。

优选地，所述数权身份标识编解码单元实现数权身份标识编码过程包括：从IBC服务网络获取基于IBC的身份标识Did，Uid，Sid；获取数权保护策略身份标识DSPid、数权编码字典身份标识DSDid、数权客体身份标识Mid；以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数，构造出全域唯一的数权身份识别信息编码，作为数权身份标识DSid；所述全域是指所述数权标识系统所部署的安全域。

优选地，所述数权身份标识编解码单元从DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码过程中，执行数权保护策略身份标识DSPid对应的数权保护策略。

本发明的有益效果为：

1、数权身份标识中包含了安全域、数权主体、数权控制器基于IBC的身份标识信息Did，Uid，Sid，为数权主体、数权客体、数权控制器、数权控制台、数权客体全生命周期涉及的信源、信道、信宿提供了数据加密技术支撑，提供了安全域、数权主体、数权控制器身份防假冒、信息防篡改等方面的信息安全保护；

2、数权身份标识DSid具备IBC服务网络全域唯一，而IBC服务网络基于可信计算基(Trusted Computing Base，TCB)建设，具备多个安全域，拥有分布式服务大规模用户服务能力，使得数权身份标识DSid支撑跨安全域可信身份标识与认证功能；

3、数权身份标识DSid通过编入DSDid，引入数权编码字典，可极大缩短数权身份标识DSid的编码长度，提高通信编码效率；

4、数权身份标识DSid通过基于可信计算基(Trusted Computing Base，TCB)建设的IBC服务网络，基于数权身份标识DSid可实现基于可信计算技术实现访问控制和安全认证，密码操作调用和资源的管理等，构建以可信计算技术为基础的等级保护核心技术体系，为《中华人民共和国网络安全法》关于国家实施网络可信身份战略提供了一种有效的支撑技术，满足了GB/T22239-2019《信息安全技术网络安全等级保护基本要求》的可信计算计算应用支撑要求。

5、生成私钥的算法采用基于身份的分层加密算法HIBE，任何单一方面都无法生成私钥，防范了私钥生成中心伪造、泄露私钥的安全风险，提高了私钥管理安全性，简化了密钥的使用与管理，具备安全保密性高、应用灵活、使用方便并易于维护的技术优势。

6、采用了多层架构，有利于结合可信计算基和IBC技术的优势，通过可信计算基，实现不同的1级安全域之间的信任关系，支持跨安全域用户认证和安全访问；可实现不同安全域之间互通互联，支持离线更新共享、安全隔离网络和安全隔离存储等特殊安全域直接互通互联的应用需求。

7、数权保护策略在全网络自动同步，便于支持大规模数权主体用户对各自数权保护策略的管理。

8、为即时通讯系统、电子邮件系统、网络论坛系统、数据共享交换系统提供了基于IBC的安全身份标识和安全通信编码解决方案。

9、建立数权主体和数权客体之间的数权关系，实现安全域身份防假冒、防篡改等安全行为。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例数权身份标识方法流程图；

图2为本发明实施例数权身份标识系统结构示意图；

图3为本发明实施例多级安全域层的数权保护通信网络的分层示意图；

图4为本发明应用实施例安全域数权保护要素组成示意图；

图5为本发明应用实施例数权保护策略同步网络组成示意图；

图6为本发明应用实施即时通信系统的多级安全域层的数权保护通信网络组成示意图；

图7为本发明应用实施例即时通信系统的数权保护身份标识编码组成图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示为本发明实施例提供的一种数权身份标识方法的结构示意图，所述数权身份标识包含了安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典的身份标识编码信息，所述方法包括如下过程：

S1、数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权保护消息的唯一身份标识，过程包括：

S11、从IBC服务网络获取基于IBC的身份标识Did，Uid，Sid；其中，Did是安全域基于IBC的身份标识，Uid是数权主体基于IBC的身份标识，Sid是数权控制器基于IBC的身份标识；所述IBC是指基于身份标识的密码学(Identity Based Cryptography，IBC)；

S12、根据数权保护策略DSP和数权编码字典DSD构造数权身份标识DSid：获取数权保护策略身份标识DSPid、数权编码字典身份标识DSDid、数权客体身份标识Mid；以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数，构造出全域唯一的数权身份识别信息编码，作为数权身份标识DSid；所述全域，是指所述数权标识系统所部署的安全域；

S13、数权客体发送方与数权客体接收方通信过程中，以DSid作为数权保护消息的唯一身份标识；

S2、数权客体接收方根据DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码。

进一步的解释说明，所述数权主体设定数权保护策略DSP和数权编码字典DSD，其中，数权保护策略DSP有x个，每个DSP都有一个安全域内部唯一的身份标识编码DSPid；数权编码字典DSD有y个，每个DSD都有一个安全域内部的身份标识编码DSDid；x和y都是大于0的自然数。

进一步的解释说明，所述安全域是IBC服务网络的一个节点；所述IBC服务网络按照树形结构划分安全域，分为可信计算基层、1级安全域层、……、n级安全域层，共计n+1层，n为大于0的自然数；所述Did在IBC服务网络内部是唯一编码的，其管理方式为：IBC服务网络在设立安全域时生成Did；IBC服务网络根据IBC密钥生成算法，为所述安全域生成一对全局密钥Didsk和Didpk，其中，Didsk是所述安全域的全局私钥(Global Secret Key，GSK)，交由所述安全域管理；Didpk是所述安全域的全局公钥(Global PublicKey，GPK)，在IBC服务网络全网广播同步；IBC服务网络设定Didpk取值策略，Didpk取值或者与Did相同，或者由IBC服务网络分配一个与Did不同的取值。

进一步的解释说明，所述数权主体基于IBC的身份标识Uid在所述安全域内部是唯一编码的，其管理方式为：数权主体在加入IBC服务网络时生成Uid；IBC服务网络根据IBC密钥生成算法，为所述数权主体生成一对全局密钥Uidsk和Uidpk，其中，Uidsk是所述数权主体的全局私钥，交由所述数权主体管理；Uidpk是所述数权主体的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Uidpk取值策略，Uidpk取值或者与Uid相同，或者由IBC服务网络分配一个与Uid不同的取值。

进一步的解释说明，所述数权控制器基于IBC的身份标识Sid在所述安全域内部是唯一编码的，其管理方式为：数权控制器在加入IBC服务网络时生成Sid；IBC服务网络根据IBC密钥生成算法，为所述数权控制器生成一对全局密钥Sidsk和Sidpk，其中，Sidsk是所述数权控制器的全局私钥，交由数权控制器管理；Sidpk是所述数权控制器的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Sidpk取值策略，Sidpk取值或者与Sid相同，或者由IBC服务网络分配一个与Sid不同的取值。

进一步的解释说明，数权客体接收方根据DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码，数权客体接收方执行数权保护策略身份标识DSPid对应的数权保护策略。

本发明实施例具有以下有益效果：

1、数权身份标识中包含了安全域、数权主体、数权控制器基于IBC的身份标识信息Did，Uid，Sid，为数权主体、数权客体、数权控制器、数权控制台、数权客体全生命周期涉及的信源、信道、信宿提供了数据加密技术支撑，提供了安全域、数权主体、数权控制器身份防假冒、信息防篡改等方面的信息安全保护；

2、数权身份标识DSid具备IBC服务网络全域唯一，而IBC服务网络基于可信计算基(Trusted Computing Base，TCB)建设，具备多个安全域，拥有分布式服务大规模用户服务能力，使得数权身份标识DSid支撑跨安全域可信身份标识与认证功能；

3、数权身份标识DSid通过编入DSDid，引入数权编码字典，可极大缩短数权身份标识DSid的编码长度，提高通信编码效率。

如图2所示为本发明实施例提供的一种数权身份标识系统的结构示意图，所述系统包括：

21、IBC服务网络：提供IBC身份标识服务，为IBC服务网络内的安全域、数权主体、数权控制器分别生成安全域内唯一的身份标识及一对全局密钥，包括一个全局私钥(Global Secret Key，GSK)和一个全局公钥(Global PublicKey，GPK)；并且负责在IBC服务网络全网广播同步全局公钥；IBC服务网络按照树形结构划分安全域，分为可信计算基层、1级安全域层、……、n级安全域层，n为大于0的自然数；

22、数权控制台：提供数权主体用户管理和设置数权保护策略和数权编码字典的用户操作界面，向配置信息同步平台输出数权保护策略和数权编码字典；

23、配置信息同步平台：接受数权控制台的数权保护策略和数权编码字典，同步数权保护策略和数权编码字典到IBC服务网络和数权身份标识编解码单元；实现IBC服务网络、数权控制台、数权身份标识编解码单元的配置信息同步；

24、数权身份标识编解码单元：以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，或者，根据DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码。

进一步的解释说明，所述配置信息同步平台实现两方面的功能，第一方面，接受数权控制台的数权保护策略和数权编码字典，并实现所在安全域及其各级2级安全域内部的各种数权控制器之间同步数权保护策略；第二方面，实现所有相互联通的安全域所含全部的数权控制器对数权编码字典的同步。

进一步的解释说明，所述配置信息同步平台，实现IBC服务网络、数权控制台、数权身份标识编解码单元的配置信息同步，所述配置信息同步，内容包含了IBC服务网络发生数权主体、数权控制器、安全域的新增、修改、删除以及数权控制台在增加、修改、删除数权保护策略和数权编码字典造成的配置变更信息。

进一步的解释说明，所述数权身份标识编解码单元实现数权身份标识编码过程包括：从IBC服务网络获取基于IBC的身份标识Did，Uid，Sid；获取数权保护策略身份标识DSPid、数权编码字典身份标识DSDid、数权客体身份标识Mid；以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数，构造出全域唯一的数权身份识别信息编码，作为数权身份标识DSid；所述全域，是指所述数权标识系统所部署的安全域；

进一步的解释说明，所述数权身份标识编解码单元从DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码过程中，执行数权保护策略身份标识DSPid对应的数权保护策略。

本发明实施例具有以下有益效果：通过综合使用IBC技术和可信计算技术，保障了数权身份标识的全系统全域唯一性，支持跨安全域分布式身份标识和可信身份鉴别服务，提供可信身份服务，支持数权身份防假冒、防篡改、防抵赖；本发明生成的数权身份标识通过数据字典进行压缩，降低了通信传输编码长度。数权身份标识DSid通过基于可信计算基(Trusted Computing Base，TCB)建设的IBC服务网络，基于数权身份标识DSid可实现基于可信计算技术实现访问控制和安全认证，密码操作调用和资源的管理等，构建以可信计算技术为基础的等级保护核心技术体系，为《中华人民共和国网络安全法》关于国家实施网络可信身份战略提供了一种有效的支撑技术，满足了GB/T22239-2019《信息安全技术网络安全等级保护基本要求》的可信计算计算应用支撑要求。

如图3所示，为本发明实施例多级安全域层的数权保护通信网络的分层示意图，所述分层身份标识服务网络是结合了可信计算基(Trusted Computing Base，TCB)和基于身份标识的密码学(Identity Based Cryptography，IBC)技术的多级网络；所述网络总体分为n+1层：可信计算基层、1级安全域层、……、n级安全域层，n为大于0的自然数。其中：

可信计算基层：提供访问控制和安全认证，使得不同的1级安全域通过可信计算基层相互信任。

1级安全域层：1级安全域层内的每个安全域(如：安全域1和安全域2)都有且只有一个私钥生成中心(如：PKG-11和PKG-12)，每个安全域从可信计算基层申请到的公钥作为该私钥生成中心的身份标识。如公钥Did-11作为该PKG-11的身份标识。

2级安全域层：2级安全域层内的每个安全域(如安全域11和安全域12)有且只有一个私钥生成中心(如PKG-211和PKG-212)。2级安全域层内的每个安全域中的私钥生成中心均向对应的1级安全域的私钥生成中心申请一套公钥和私钥。如PKG-211向PKG-11申请一套公钥和私钥。将公钥作为该安全域的私钥生成中心的身份标识。如公钥Did-211作为该PKG-211的身份标识。

……

n级安全域层，n级安全域层内的每个安全域(如安全域1…11和安全域1…12)有且只有一个私钥生成中心(如：PKG-n1…11和PKG-n1…12)。n级安全域层内的每个安全域中的私钥生成中心均向对应的n-1级安全域的私钥生成中心申请一套公钥和私钥。如PKG-n1…11向PKG-(n-1)1…11申请一套公钥和私钥。将公钥作为该安全域的私钥生成中心的身份标识。如公钥Did-n1…11作为该PKG-n1…11的身份标识。

进一步的解释说明，所述私钥生成中心还用于与所属第k级安全域层之上k-1级中至少一级安全域层中安全域的私钥生成中心协商生成第k级安全域层中安全域对应的私钥。做到任何一个私钥生成中心都不能独立生成私钥，防范了私钥生成中心受到安全攻击后，大规模泄露用户私钥的风险。提高了私钥管理安全性，简化了密钥的使用与管理，具备安全保密性高、应用灵活、使用方便并易于维护的技术优势。

例如2级安全域层中的安全域11的私钥由PKG-211与PKG-11协商生成。

n级安全域层中的安全域1…11的私钥可由PKG-n1…11、PKG-(n-1)1…11、PKG-11三个私钥生成中心协商生成。

优选的，为了实现对数据传输的加密过程的执行，所述私钥生成中心，用于采用IBC身份标识生成数权主体用户和数权控制器的私钥；所述私钥生成中心采用HIBE技术构建，包括四个算法：系统建立算法、密钥生成算法、加密算法、解密算法。具体地，所述私钥生成中心还用于根据安全域的数权主体身份标识、数权控制器的身份标识和安全域的私钥生成对应于数权主体用户的私钥、对应于数权控制器的私钥。即：安全域的私钥可以用来生成数据传输过程中用于加密数据的私钥。

本发明实施例具备以下有益效果：

1、支持跨安全域分布式身份标识和可信身份鉴别服务；基于可信计算基(TrustedComputing Base，TCB)建设的IBC服务网络为《中华人民共和国网络安全法》关于国家实施网络可信身份战略提供了一种有效的支撑技术，满足了GB/T22239-2019《信息安全技术网络安全等级保护基本要求》的可信计算计算应用支撑要求。

2、生成私钥的算法采用基于身份的分层加密算法HIBE，任何单一方面都无法生成私钥，防范了私钥生成中心伪造、泄露私钥的安全风险，提高了私钥管理安全性，简化了密钥的使用与管理，具备安全保密性高、应用灵活、使用方便并易于维护的技术优势。

3、采用了多层架构，有利于结合可信计算基和IBC技术的优势，通过可信计算基，实现不同的1级安全域之间的信任关系，支持跨安全域用户认证和安全访问；可实现不同安全域之间互通互联，支持离线更新共享、安全隔离网络和安全隔离存储等特殊安全域直接互通互联的应用需求。

以下通过应用实例对本发明上述实施例进行详细说明：

如图4所示，为本发明应用实施例安全域数权保护要素组成示意图

所述私钥生成中心，创建系统服务。所述安全域管控代理是发起或控制安全域的个人或机构，承担管理和控制安全域的责任，可以是人、软件、无生命的物体、某个组织或其他可以赋予安全管控责任的实体。

所述数权控制器，是安全域内影响和支配数权客体全生命周期所涉及受控对象，包括信源、信道、信宿、编码器、译码器等计算、存储、传输方面的软硬件设施，典型的数权控制器包括服务器设备、路由器设备、交换机设备、防火墙设备、用户终端设备、传感器编解码设备。

所述数权主体用户，是指所在安全域内的数权主体的数字身份账号。每个数权主体用户都需要以自身的身份标识Uid作为公钥，与所在安全域的私钥生成中心协商，生成自己的私钥，由自己保存和管理。

进一步的解释说明，数权主体用户的身份标识Uid采用其账号ID，作为该数权主体用户公钥。

进一步的解释说明，数权控制器的身份标识Sid采用硬件设备厂商编码或者软件授权码，数权控制器以自身的身份标识作为公钥，与所在安全域的私钥生成中心协商，生成所述数权控制器的私钥。

进一步的解释说明，对于大于1并且小于或者等于n的自然数k，所述k级安全域层的安全域内的数权控制器、数权主体用户、数权主体用户群组生成私钥的算法采用基于身份的分层加密算法HIBE(Hierarchical Indentity-Based Encryption)，数权控制器、数权主体用户、数权主体用户群组的私钥是经由多个安全域的私钥生成中心联合生成，任何一个私钥生成中心都不能独立生成所述私钥，防范了私钥生成中心受到安全攻击后，大规模泄露用户私钥的风险。

进一步的解释说明，1级安全域的私钥生成中心PKG-11使用国密SM2算法，为2级安全域的私钥生成中心PKG-211提供公钥和私钥，其中，公钥作为PKG-211的身份标识。

进一步的解释说明，对于所有硬件设备形态的数权控制器的身份标识包括厂商名称、设备品牌、设备型号、设备出厂编码等信息内容。

进一步的解释说明，个人类别的数权主体用户使用手机号或者电子邮件地址作为Uid；

进一步的解释说明，法人和组织机构类别的数权主体用户使用法人组织机构代码或者法人名称作为Uid；

进一步的解释说明，私钥生成方案采用GS-HIBE方案或者基于GS-HIBE方案进行改进的方案。所述GS-HIBE方案是是由Gentry和Silverberg联合提出的基于双线性BDH难题的分层加密HIBE方案。

本发明应用实施例具有以下有益效果：

1、生成私钥的算法采用基于身份的分层加密算法HIBE，任何单一方面都无法生成私钥，防范了私钥生成中心伪造、泄露私钥的安全风险，提高了私钥管理安全性，简化了密钥的使用与管理，具备安全保密性高、应用灵活、使用方便并易于维护的技术优势。

2、可实现不同安全域之间互通互联，支持离线更新共享、安全隔离网络和安全隔离存储等特殊安全域直接互通互联的应用需求。

如图5所示，为本发明应用实施例数权保护策略同步网络组成示意图，所述数权保护策略同步网络由数权主体用户、数权控制台、配置信息同步平台、信源数权控制器、信道数权控制器、信宿数权控制器等部分组成。

数权控制台、配置信息同步平台、信源数权控制器、信道数权控制器、信宿数权控制器都要参与到通信网络中。

每个安全域内部部署着一个配置信息同步平台，用于同步包括数权控制台、信源数权控制器、信道数权控制器、信宿数权控制器等所有数权控制器之间的数权保护策略、数权编码字典。数权主体用户通过数权控制台发布数权保护策略、数权编码字典，由配置信息同步平台分发更新到所有相关的数权控制器；所述数权控制台是数权主体用户管理和设置数权保护策略、数权编码字典的数权控制器。所述数权保护策略包括数权证书和数权指令证书

所述数权证书和数权指令证书，是指数权主体用户使用数权主体用户私钥签发的数字证书，内容包括(1)数权主体用户的身份标识Uid；(2)数权保护策略、数权保护指令使用数权主体用户私钥加密的密文；(3)数权保护策略、数权保护指令使用数权主体用户私钥进行的电子签名；(4)安全域对数权主体用户的身份标识Uid的电子签名。

所述数权编码字典，是每个1级安全域记载所在1级安全域及所有2安全域层、3级安全域、……、n级安全域的所有安全域共同使用的数权身份标识编码协议和授权两方面的信息。数权保护通信网络实现所有相互联通的安全域所含全部的数权控制器对数权编码字典的同步，1级安全域的配置信息同步平台负责同步所有各个1级安全域的数权编码字典，并确保分发到所在1级安全域的下属安全域的所有配置信息同步平台，进而下发到所有数权控制器。

每个1级安全域可用使用多个数权编码字典，以便支持不同应用场景下的通信编码需求；不同的1级安全域之间通过数权编码字典实现跨1级安全域之间的通信。

进一步的解释说明，所述数权控制台、配置信息同步平台的身份标识，与数权控制器的身份标识都采用硬件设备厂商编码或者软件授权码，以自身的身份标识作为公钥，与所在安全域的私钥生成中心协商，生成对应的私钥。

本发明应用实施例具有以下有益效果：

1、缩短了数权身份标识编码，降低了通信传输编码长度；

2、通过数权控制台配置信息同步平台，实现了数权保护策略在全网络自动同步，便于支持大规模数权主体用户对各自数权保护策略的管理。

3、支持不同应用场景下的使用不同通信编码需求，具备良好的系统灵活性和扩展性。

如图6所示，为本发明应用实施例即时通信系统的多级安全域层的数权保护通信网络组成示意图

网络由可信计算基、1级安全域CZZ、企业A安全域、企业B安全域组成。在各个安全域中均部署上述系统。在1级安全域CZZ中部署着私钥生成中心PKG-CZZ，企业A安全域中部署私钥生成中心PKG-A，企业B安全域中部署私钥生成中心PKG-B。

如图7所示，本发明应用实施例即时通信系统的数权保护身份标识编码组成图

本实施例企业A有2个数权主体用户，分别是用户A1和用户A2；有2个数权控制器，分别是用户A1使用的即时通信终端软件和用户A2使用的即时通信终端软件。企业B有1个数权主体用户，即用户B3，有1个数权控制器，即用户B3使用的即时通信终端软件。安全域的默认数权保护策略身份标识＝DSP001，数权编码字典身份标识＝DSD01。

所述PKG-CZZ的IBC身份标识Did＝可信计算基公钥；

所述PKG-A的IBC身份标识Did＝SM2公钥A；

所述PKG-B的IBC身份标识Did＝SM2公钥B；

所述用户A1的IBC身份标识Uid＝A100；

所述用户A1使用的即时通信终端软件的IBC身份标识Sid＝IMA100；

所述用户A2的IBC身份标识Uid＝A200；

所述用户A2使用的即时通信终端软件的IBC身份标识Sid＝IMA200；

所述用户B3的IBC身份标识Uid＝B300；

所述用户B3使用的即时通信终端软件的IBC身份标识Sid＝IM B300；

所述数权保护策略由数权主体在数权控制台设置，由配置信息同步平台负责更新。所述数权保护策略身份标识DSPid＝DSP001，内容如下：

数权保护策略身份标识DSPid＝DSP001

接收人转发策略＝0：不可转发

其他可阅读用户＝0：无其他用户

其他可阅读用户组＝0：无其他用户组

消息有效时间规则＝0：无限制

所述数权编码字典由数权主体在数权控制台设置，每当安全域由增减变化时，数权编码字典也要相应更新。所述数权编码字典由数权身份标识管理系统的配置信息同步平台负责更新。

所述数权编码字典身份标识DSDid＝DSD01，内容如下：

DSDid＝DSD01

证书生成时间＝T1；

1级安全域名称＝CZZ；

1级安全域简码＝1001；

1级安全域1001的私钥生成中心名称＝PKG-CZZ；

1级安全域1001的Did＝可信计算基公钥；

2级安全域名称＝企业A；

2级安全域企业A的简码＝2001；

2级安全域2001的私钥生成中心名称＝PKG-A；

2级安全域2001的Did＝SM2公钥A；

2级安全域名称＝企业B；

2级安全域企业B的简码＝2002；

2级安全域2002的私钥生成中心名称＝PKG-B；

2级安全域2002的Did＝SM2公钥B；

数权身份标识编码规则＝Did：Uid：Sid：Mid：DSPid：DSDid

以上数据的国密算法SM3的哈希值＝HASH1；

HASH1使用1级安全域CZZ的私钥加密密文＝电子签名编码1；

所述数权身份标识管理系统数权身份标识编码单元根据所述数权编码字典DSD，完成对数权客体的数权身份标识编码。编码内容如下：

用户A1通过IM终端软件发送Mid＝MA1001的消息数权身份标识编码：2001：A100：IMA100：MA1001：DSP001：DSD01。

用户A2通过IM终端软件发送Mid＝MA2001的消息数权身份标识编码：2001：A200：IMA200：MA2001：DSP001：DSD01。

用户B3通过IM终端软件发送Mid＝MB3001的消息数权身份标识编码：2002：B300：IMB300：MB3001：DSP001：DSD01。

所述数权身份标识管理系统数权身份标识译码单元根据所述数权编码字典，完成对数权主体用户和数权控制器的数权身份标识译码。根据数权身份标识的数权保护策略身份标识，执行数权保护策略DSP001，达到数权主体对数权客体控制目的。

本发明应用实施例具有以下有益效果：

1、通过数权保护编码字典压缩了数权身份标识编码，降低了通信传输编码长度；

2、通过数权保护策略和数权编码字典的同步更新机制，实现了安全域身份防假冒、防篡改、防抵赖；

3、提供了一种基于数权保护的身份标识编码系统，设置在数权保护通信网络中每级安全域层中每个安全域中，根据安全域身份标识生成数权编码字典并同步分发到各个安全域中，从而在数据传输中根据数权编码字典对传输数据进行地址编码，建立数权主体和数权客体之间的数权关系，实现安全域身份防假冒、防篡改等安全行为，用于即时通信系统、邮件系统、数据共享交换系统，支持数权保护功能的实现。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (9)

1.一种数权身份标识方法，其特征在于，所述数权身份标识包含安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典的身份标识编码信息，所述方法包括如下过程：

S1、数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权消息的唯一身份标识；其中，Did是安全域基于IBC的身份标识数据编码，Uid是数权主体基于IBC的身份标识数据编码，Sid是数权控制器基于IBC的身份标识数据编码，DSPid是数权保护策略身份标识数据编码，DSDid是数权编码字典身份标识数据编码，Mid是数权客体身份标识数据编码；所述IBC是指基于身份标识的密码学；

S2、数权客体接收方根据DSid解码出Did、Uid、Sid、Mid、DSPid、DSDid数据编码；

所述数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权保护消息的唯一身份标识，包括：

S11、从IBC服务网络获取基于IBC的身份标识Did，Uid，Sid；

S12、根据数权保护策略DSP和数权编码字典DSD构造数权身份标识DSid：获取数权保护策略身份标识DSPid、数权编码字典身份标识DSDid、数权客体身份标识Mid；以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数，构造出全域唯一的数权身份识别信息编码，作为数权身份标识DSid；所述全域是指数权标识系统所部署的安全域；

S13、数权客体发送方与数权客体接收方通信过程中，以DSid作为数权保护消息的唯一身份标识；

其中，所述安全域是IBC服务网络的一个节点；所述IBC服务网络按照树形结构划分安全域，分为可信计算基层、1级安全域层、……、n级安全域层，共计n+1层，n为大于0的自然数。

2.根据权利要求1所述的数权身份标识方法，其特征在于，所述数权主体设定数权保护策略DSP和数权编码字典DSD，其中，数权保护策略DSP有x个，每个DSP都有一个安全域内部唯一的身份标识编码DSPid；数权编码字典DSD有y个，每个DSD都有一个安全域内部的身份标识编码DSDid；x和y都是大于0的自然数。

3.根据权利要求1所述的数权身份标识方法，其特征在于，所述Did在IBC服务网络内部是唯一编码的，其管理方式为：IBC服务网络在设立安全域时生成Did；IBC服务网络根据IBC密钥生成算法，为所述安全域生成一对全局密钥Didsk和Didpk，其中，Didsk是所述安全域的全局私钥，交由所述安全域管理；Didpk是所述安全域的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Didpk取值策略，Didpk取值或者与Did相同，或者由IBC服务网络分配一个与Did不同的取值。

4.根据权利要求1所述的数权身份标识方法，其特征在于，所述数权主体基于IBC的身份标识Uid在所述安全域内部是唯一编码的，其管理方式为：数权主体在加入IBC服务网络时生成Uid；IBC服务网络根据IBC密钥生成算法，为所述数权主体生成一对全局密钥Uidsk和Uidpk，其中，Uidsk是所述数权主体的全局私钥，交由所述数权主体管理；Uidpk是所述数权主体的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Uidpk取值策略，Uidpk取值或者与Uid相同，或者由IBC服务网络分配一个与Uid不同的取值。

5.根据权利要求1所述的数权身份标识方法，其特征在于，所述数权控制器基于IBC的身份标识Sid在所述安全域内部是唯一编码的，其管理方式为：数权控制器在加入IBC服务网络时生成Sid；IBC服务网络根据IBC密钥生成算法，为所述数权控制器生成一对全局密钥Sidsk和Sidpk，其中，Sidsk是所述数权控制器的全局私钥，交由数权控制器管理；Sidpk是所述数权控制器的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Sidpk取值策略，Sidpk取值或者与Sid相同，或者由IBC服务网络分配一个与Sid不同的取值。

6.根据权利要求1所述的数权身份标识方法，其特征在于，数权客体接收方根据DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码，数权客体接收方执行数权保护策略身份标识DSPid对应的数权保护策略。

7.一种数权身份标识系统，其特征在于，所述系统包括：

IBC服务网络：提供IBC身份标识服务，为IBC服务网络内的安全域、数权主体、数权控制器分别生成安全域内唯一的身份标识及一对全局密钥，包括一个全局私钥和一个全局公钥；并且负责在IBC服务网络全网广播同步全局公钥；IBC服务网络按照树形结构划分安全域，分为可信计算基层、1级安全域层、……、n级安全域层，n为大于0的自然数；

数权控制台：提供数权主体用户管理和设置数权保护策略和数权编码字典的用户操作界面，向配置信息同步平台输出数权保护策略和数权编码字典；

配置信息同步平台：接受数权控制台的数权保护策略和数权编码字典，同步数权保护策略和数权编码字典到IBC服务网络和数权身份标识编解码单元；实现IBC服务网络、数权控制台、数权身份标识编解码单元的配置信息同步；

数权身份标识编解码单元：以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，或者，根据DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码；

其中，所述IBC是指基于身份标识的密码学；Did是安全域基于IBC的身份标识，Uid是数权主体基于IBC的身份标识，Sid是数权控制器基于IBC的身份标识；Mid是数权客体身份标识、DSPid是数权保护策略身份标识、DSDid是数权编码字典身份标识；

所述数权身份标识编解码单元实现数权身份标识编码过程包括：从IBC服务网络获取基于IBC的身份标识Did，Uid，Sid；获取数权保护策略身份标识DSPid、数权编码字典身份标识DSDid、数权客体身份标识Mid；以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数，构造出全域唯一的数权身份识别信息编码，作为数权身份标识DSid；所述全域是指数权标识系统所部署的安全域。

8.根据权利要求7所述的数权身份标识系统，其特征在于，所述配置信息同步平台，实现IBC服务网络、数权控制台、数权身份标识编解码单元的配置信息同步，所述配置信息同步的内容包含IBC服务网络发生数权主体、数权控制器、安全域的新增、修改、删除以及数权控制台在增加、修改、删除数权保护策略和数权编码字典造成的配置变更信息。

9.根据权利要求7所述的数权身份标识系统，其特征在于，所述数权身份标识编解码单元从DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码过程中，执行数权保护策略身份标识DSPid对应的数权保护策略。

Images