[发明专利]三层结构的网络空间身份管理系统

权利要求书

1.一种三层结构的网络空间身份管理系统，其特征在于，包括：支撑子系统、服务子系统、应用子系统；

所述支撑子系统，用于为主体模块创建一一对应的网络身份，并为创建的主体网络身份分配相应的身份和/或属性；对可信标志、身份/属性提供模块、依赖方模块进行审核；网络身份管理模块向居民身份证管理机构和组织管理机构提交身份信息核查；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性，和/或根据接收到的注销指令注销网络身份和/或属性；

所述服务子系统，用于由不同的身份/属性提供模块对不同的凭据进行管理，并向应用子系统提供最低限度的身份/属性断言，根据主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令，并根据用户身份信息向所述支撑子系统发送相应的身份和/或属性；

所述应用子系统，包括多个主体模块和多个依赖方模块，主体向服务子系统发送网络身份申请，其中，所述网络身份申请包括注册网络身份和/或更新网络身份和/或注销网络身份，主体模块使用凭据进行身份查验，并向服务子系统提交身份查验请求；依赖方模块验证身份/属性提供商的断言，申请将主体标识与网络身份进行绑定。

2.根据权利要求1所述的三层结构的网络空间身份管理系统，其特征在于，所述支撑子系统包括：审核模块、网络身份管理模块和审计模块；

所述审核模块，用于根据接收到的申请对可信标志、身份/属性提供模块和依赖方模块进行审核；

所述网络身份管理模块，向居民身份证管理机构和组织管理机构提交身份信息核查，为主体模块创建一一对应的网络身份；并为创建的主体网络身份分配相应的身份和/或属性；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性；和/或根据接收到的注销指令注销网络身份和/或属性；

所述审计模块，用于统计并存储所述支撑子系统的操作日志，并向主体模块提供通知。

3.根据权利要求1所述的三层结构的网络空间身份管理系统，其特征在于，所述服务子系统包括：发现方模块、可信第三方模块、至少一个身份/属性提供模块；

所述发现方模块，用于对身份发现请求进行解析，并根据路由规则找到与身份标识对应的身份/属性提供模块；

所述可信第三方模块，包括第三方信任服务单元，用于在同一用户不同的身份/属性提供模块之间传递信任信息；

所述身份/属性提供模块，用于建立、维护和保证与主体模块相关的网络身份的安全，撤销、挂起和恢复主体模块的网络身份，并向所述支撑子系统发送所述相应的身份和/或属性、注册和/或更新和/或注销声明。

4.根据权利要求3所述的三层结构的网络空间身份管理系统，其特征在于，所述身份/属性提供模块用于建立、维护和保证与主体网络身份属性的安全；

所述身份/属性提供模块包括：

身份属性服务和桥接服务单元，用于转换身份/属性格式；

联邦网关单元，用于映射多个依赖方模块和身份/属性提供模块，实现访问多个服务的统一认证；

安全认证服务单元，用于对凭据进行认证；

身份信息确认单元，用于确认申请的主体模块是身份信息的合法拥有者或授权持有者；

信用管理服务单元，用于根据历史行为数据或依赖方模块的反馈信息，评估主体模块信用；

主体标识与网络身份绑定单元，用于提供依赖方模块中主体标识与主体网络身份的绑定；

身份校验单元，用于比较所提交的身份声明与事先证明的信息，确认提交的身份声明正确；

注册代理单元，用于身份/属性提供模块向发现方模块注册，和主体模块向身份/属性提供模块注册；

凭据管理单元，用于提供凭据的发布、更新、使用和维护；

保证等级管理单元，用于为主体模块和依赖方模块提供不同保证等级的认证；

主体查询和审查监控单元，用于监控、确认、核查、保存导致状态变化的事件或行为，并向主体模块提供查询接口；

隐私保护单元，用于仅收集主体身份证明必需的属性信息，向依赖方模块提供服务所必须的身份/属性断言，对外提供主体身份信息时，征求主体模块许可。