[发明专利]一种面向属性保护的数字身份服务方法及其系统

权利要求书

1.一种面向属性保护的数字身份服务方法，其步骤为：

1)信任提供方为经过验证的注册用户颁发身份标识，并将用户注册的属性信息注册到属性提供方中；

2)信任提供方根据该用户的身份标识和属性提供方提供的对应于该用户的属性发布接口链接生成该用户的用户凭证；

3)应用系统向信任提供方发送凭证颁发请求，信任提供方为该应用系统生成一标识并设置一属性发布策略，将该属性发布策略配置到属性提供方；

4)信任提供方根据该应用系统的标识、属性提供方的策略查询接口链接地址和策略标识为该应用系统生成业务授权凭证；

5)身份服务提供方将应用系统的用户提交的用户凭证、注册的基本身份信息与该应用系统发送的业务授权凭证组合为一属性请求消息，然后根据用户凭证上的属性提供方链接地址将该属性请求消息发送给属性提供方；

6)属性提供方验证用户凭证正确性后，根据业务授权凭证中的策略查询接口链接地址查询到的属性发布策略，将用户的属性信息发布给身份服务提供方；

7)身份服务提供方将收到的属性信息提供给相应的应用系统。

2.如权利要求1所述的方法，其特征在于所述信任提供方与所述属性提供方为一一对应，构成一信任域；每一信任域设有一可信方，用于维护用户的属性信息。

3.如权利要求2所述的方法，其特征在于所述可信方拥有自己的公钥P和私钥Pr，提供给所在信任域中的信任提供方和属性提供方对执行的数据进行加解密；不同可信方之间通过PKI建立相互之间的信任关系。

4.如权利要求2所述的方法，其特征在于通过所述可信方根据应用系统的业务模式、部署的安全环境、业务规模为该应用系统制定所述属性发布策略。

5.如权利要求1或4所述的方法，其特征在于采用XML格式文件保存所述属性发布策略。

6.如权利要求1所述的方法，其特征在于所述信任提供方使用用户的URI资源标识符作为注册用户的唯一身份标识。

7.一种面向属性保护的数字身份服务系统，其特征在于包括至少一个信任域，至少一业务域；所述信任域分别通过网络与所述业务域连接；每一所述业务域包括一身份服务提供方和与其数据连接的若干应用系统，每一所述信任域包括一信任提供方及与其数据连接的一属性提供方；其中：

所述身份服务提供方，用于接收用户注册的基本身份信息，将用户凭证与应用系统的业务授权凭证进行组合，生成组合凭证，依靠组合凭证向属性提供方请求使用应用系统所需的用户属性信息；

所述信任提供方，用于为用户颁发用户凭证，所述用户凭证中包含用户的身份标识和用户属性所在的属性提供方标识；以及用于为应用系统颁发业务授权凭证，所述业务授权凭证包含应用系统的标识、属性提供方的策略查询接口链接地址和策略标识；

所述属性提供方，用于对用户的属性信息进行管理，为应用系统发布属性以及对每一应用系统的属性发布策略进行配置。

8.如权利要求7所述的系统，其特征在于所述信任提供方与所述属性提供方为一一对应，构成一信任域；每一信任域设有一可信方，用于维护用户的属性信息。

9.如权利要求8所述的系统，其特征在于所述可信方拥有自己的公钥P和私钥Pr，提供给所在信任域中的信任提供方和属性提供方对执行的数据进行加解密；不同可信方之间通过PKI建立相互之间的信任关系。

10.如权利要求7所述的系统，其特征在于所述信任提供方使用用户的URI资源标识符作为注册用户的唯一身份标识。