[发明专利]一种支持业务安全标记的身份管理方法及系统

说明书

本发明涉及一种支持业务安全标记的身份管理方法及系统。该方法包括：用户申请注册身份时，除录入该用户的身份信息、证书有效期等信息外，还配置业务安全标记；然后将业务安全标记与用户的身份信息绑定；用户完成身份认证后，向返回给相关系统的认证信息或认证票据中添加业务安全标记，相关系统根据认证信息或认证票据查询获得用户的业务安全标记。本发明提供了一种身份管理过程中同步管理用户业务安全属性的方法，使得现有身份管理系统支持业务安全标记，将网络环境下共享服务和资源的业务安全属性作为身份信息的一部分与用户身份绑定；用户进行身份认证后可以为相关系统提供用户的业务安全标记，从而统一并规范用户在各系统中的授权行为。

技术领域

本发明涉及一种身份管理方法，尤其涉及一种基于业务安全标记的身份管理方法，属于计算机信息安全领域。

背景技术

身份管理与认证技术是保护信息安全的一项重要技术，目前主要采用用户信息库、身份证书、属性证书等方法对用户的身份和相关用户属性信息进行管理。但传统的身份管理系统一般不管理用户在不同系统内的业务安全属性信息，这些信息往往由相关系统自行管理，当用户登录后，由相关系统再赋予用户。在网络环境下，这种缺乏业务安全信息的身份管理模式难以支持网络环境内各类系统形成统一规范的授权模式，不利于根据共享服务和资源的业务安全属性对其授权行为进行规范管理，难以全面理解用户在网络内所具有的业务安全属性及其与服务、资源授权的实际关系，很难建立统一的全局性用户安全管理视图并支持对资源不当授权或用户异常活动进行有效分析。

发明内容

针对现有身份管理系统中缺乏业务安全属性管理等问题，本发明的目的在于提供一种方法，用于为用户添加并管理业务安全标记信息，为相关应用和系统提供包含业务安全标记在内的用户身份信息，支持应用和系统基于用户业务安全标记信息对相关资源进行授权，从而统一并规范用户在各系统中的授权行为。

为了实现上述目的，本发明提供了一种支持业务安全标记的身份管理方法，该方法包括以下步骤：

Step 1：管理用户业务安全标记。用户申请注册身份时，例如申请用户账号或申请身份证书时，除录入该用户的身份信息、证书有效期等信息外，还需配置该用户的业务安全标记，该标记表明用户的安全级别、业务分类等业务安全属性。

Step 2：绑定业务安全标记。身份管理系统审核完用户相关信息，建立用户身份时，将业务安全标记与用户身份信息绑定。此步骤可通过4种方式实现：方式1，将业务安全标记嵌入用户身份证书中；方式2，将业务安全标记嵌入与身份证书关联的属性证书中；方式3，将业务安全标记写入身份管理系统中该用户的身份信息库；方式4，将业务安全标记写入用户的usbKey等硬件或其他介质中。

Step 3：提供用户业务安全标记。用户向某系统完成身份认证后，除了提供一般身份信息外，向认证信息或认证票据中添加该用户的业务安全标记，并支持其他系统根据认证信息或认证票据查询获得用户的业务安全标记。其中，认证信息、认证票据是指身份认证过程中传递的携带用户身份、属性等的信息或票据。认证票据也可以理解为是认证信息的一种。

为实现上述目的，本发明还提供了一种支持业务安全标记的身份管理系统，主要包括用户标记管理模块、标记关联模块：

所述用户标记管理模块主要实现用户业务安全标记的管理，用户在申请注册身份时，通过该模块配置用户的业务安全标记，或对用户的业务安全标记进行变更。相关信息审核通过后，将用户业务安全标记与用户身份绑定。

所述标记关联模块主要在用户完成身份认证后，向返回给相关系统的认证信息或认证票据中添加用户业务安全标记，并提供服务支持相关系统根据认证信息或认证票据查询获得用户的业务安全标记。

本发明的有益效果是：