[发明专利]一种面向属性保护的数字身份服务方法及其系统

说明书

技术领域

本发明属于计算机技术与信息安全领域，涉及到云计算环境下的用户身份管理服务以及用户属性保护方法，具体表现为一种面向属性保护的数字身份服务方法及其系统。

背景技术

随着网络技术的发展，IT领域的资源在不断向互联网集中。云计算概念的提出，使软件，硬件，数据，平台等资源服务化的趋势加强，同样，以服务的形式提供安全功能，也是应用安全领域发展的必然趋势。一方面，安全服务由第三方负责建立，便于实施专门的安全机制，配备专业的安全人员进行管理和维护，提高系统的安全性；另一方面，服务使资源按需分配，可以减少传统网络业务为保障自身业务安全，而必须独立维护大量冗余信息所产生的代价。

从网络业务类型的角度来看，网络中业务越来越复杂，与人们的现实生活联系日益密切，在日常生活中扮演着越发重要的角色。由于网络影响力的极大提升，人们对互联网中个人信息的安全更加重视，以避免隐私信息的泄露为自身带来损失。因此，网络信任机制的建立具有很大的必要性。

网络身份是用户参与一切网络活动的基础，代表了用户映射在互联网世界的一个实体，但是随着互联网功能的增强，网络业务与现实业务的不断融合，一些网络业务需要用户的真实属性信息参与执行。这种业务模式在带来便捷的同时，也对用户的隐私安全造成了威胁。由第三方可信机构负责网络中用户属性信息的管理和维护，从用户与业务提供方的角度来看，是互联网业务发展的必然趋势。

从用户角度来讲，网络业务复杂多样，对用户的属性信息有不同的需求，例如电子银行可能需要用户的身份证号和电话号码，社交网站只需要了解用户的单位信息和邮件地址，而一些即时聊天软件则不需要知道任何的个人属性信息。用户没有必要为每种业务都提供所有的个人属性，业务需要什么样的用户属性需要由可信方建立统一的规范。从另一方面，用户通常对网络环境以及传输信道不够信任，不希望通过网络客户端直接注册个人的真实属性，同时也不愿意将个人的敏感属性信息，比如工资额度，直接提交给业务系统使用，就可以通过可信方为其提供属性证明，建立用户与业务之间的信任关系。

从业务的角度来讲，通常需要用户的真实属性信息参与业务的执行，或者根据属性进行业务信息统计以预测行业发展趋势，对自身业务进行远期规划。但是维护大量的用户属性信息，需要建立强安全防护措施，成本较高。若因为管理不善，造成用户隐私泄露，不仅影响业务运行以及企业声誉，而且需要为造成的损失承担经济和法律上的责任。此外，业务独立维护用户的真实属性信息，还需要花费高额代价对这些信息进行审核验证。

发明内容

根据现有技术中存在的技术问题，本发明的目的在于提供一种面向属性保护的数字身份服务方法及其系统，其通过第三方可信机构负责用户属性的审核、管理和维护，并根据业务的需求为其提供合适的属性信息。

本发明使用第三方安全服务的形式来为业务提供通用的数字身份管理系统，并以可信方为依托，在其中建立信任机制和属性发布机制，在保障用户隐私安全的前提下，满足业务对用户属性的需求。

本发明的技术方案为：

一种面向属性保护的数字身份服务方法，其步骤为：

1)信任提供方为经过验证的注册用户颁发身份标识，并将用户注册的属性信息注册到属性提供方中；

2)信任提供方根据该用户的身份标识和属性提供方提供的对应于该用户的属性发布接口链接生成该用户的用户凭证；

3)应用系统向信任提供方发送凭证颁发请求，信任提供方为该应用系统生成一标识并设置一属性发布策略，将该属性发布策略配置到属性提供方；

4)信任提供方根据该应用系统的标识、属性提供方的策略查询接口链接地址和策略标识为该应用系统生成业务授权凭证；

5)身份服务提供方将应用系统的用户提交的用户凭证、注册的基本身份信息与该应用系统发送的业务授权凭证组合为一属性请求消息，然后根据用户凭证上的属性提供方链接地址将该属性请求消息发送给属性提供方；

6)属性提供方验证用户凭证正确性后，根据业务授权凭证中的策略查询接口链接地址查询到的属性发布策略，将用户的属性信息发布给身份服务提供方；

7)身份服务提供方将收到的属性信息提供给相应的应用系统。

进一步的，所述信任提供方与所述属性提供方为一一对应，构成一信任域；每一信任域设有一可信方，用于维护用户的属性信息。

进一步的，所述可信方拥有自己的公钥P和私钥Pr，提供给所在信任域中的信任提供方和属性提供方对执行的数据进行加解密；不同可信方之间通过PKI建立相互之间的信任关系。