[发明专利]数权身份标识方法及系统

说明书

本发明实施例提供一种数权身份标识方法及系统，所述方法包括数权客体发送方根据安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典等6个元素的身份标识数据编码生成数权身份标识；数权客体接收方从数权身份标识中解码出上述6个身份标识；所述系统包括IBC服务网络、数权控制台、配置信息同步平台、数权身份标识编解码单元；本发明通过综合使用IBC技术和可信计算技术，保障了数权身份标识的全系统全域唯一性，支持跨安全域分布式身份标识和可信身份鉴别服务，支持数权身份防假冒、防篡改、防抵赖，本发明生成的数权身份标识通过数据字典进行压缩，降低了通信传输编码长度。

技术领域

本发明涉及信息安全技术领域，尤其涉及用于数据安全的数权保护领域的数权身份标识方法及系统。

背景技术

所述数权，是指有数据在全生命周期治理过程中所产生的权利，涉及个人隐私、数据产权、国家主权等权益。数权主体，是指数据控制权所有人，可以是自然人、法人、非法人组织等，往往是数据所指向的特定对象或者该数据的收集、存储、传输、处理者。数权客体是数据，即数权涉及的有一定规律或价值的信息编码集合。所述数权保护，是指数权主体对数权客体所享有的完全支配权，使数权客体处于数权主体合法控制之下，使得数权主体拥有了自由行使、不受他人干涉的合法控制数据客体的权利。数权保护的本质是数权主体对数权客体的控制，为了保障数权主体的权益，数权主体作为施控者，影响和支配数权客体全生命周期所涉及受控对象，包括信源、信道、信宿、编码器、译码器等计算、存储、传输方面的软硬件设施。

Shamir于1984年提出了基于身份标识的密码学(Identity-Based Cryptograph，IBC)，其基本思想是：用户的身份信息就是其公钥，只要知道某个用户的身份就可以知道他的公钥，而无需再去获取并验证用户的公钥证书公钥不需要分发。用户公钥可以是任意的比特串，一般采用用户的姓名、地址、电子信箱地址等能标识其身份的信息作为用户公钥，并且为了撤销密钥，在实际应用时往往将日期(或其他时间标识)作为用户身份的一部分，这样用户私钥到期后不能使用。IBC技术已经在银行、零售、保险、能源、医疗保健等行业和政府系统中广泛应用和部署。随着应用的逐渐广泛，相关算法的标准化工作也在逐步展开。IEEEP1363.3基于标识密码技术工作组进行了相关算法的标准化工作，ISO/IEC也在进行标识加密算法的标准化工作，IETF也已经接受了标识加密邮件编码方案。在中国，标识密码技术的推广应用也备受关注。在2008年IBC算法正式获得国家密码管理局颁发的SM 9(商密九号算法)商密算法型号，目前国内主要使用的是国家商用密码管理局发布的SM9标识密码算法。

20世纪70年代初期，Anderson JP首次提出可信系统的概念，由此开始了人们对可信系统的研究，在可信计算四十余年的研究过程中，可信计算的含义不断地拓展，由侧重于硬件的可靠性、可用性到针对硬件平台、软件系统、服务的综合可信。有关可信计算的概念，在ISO/IEC 15408标准中给出了以下定义：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。成立于2003年的可信计算组织(Trusted Computing Group，TCG)致力于构建可信的软硬件计算环境，从硬件出发，从源头开始保证计算环境建立过程中各个相关组件的可信，从而建立一个可信的计算环境。可信计算组织提出了可信平台模块(Trusted Platform Module，TPM)的概念，并定义了具有安全存储和加密功能的TPM，作为可信平台建立过程中可信硬件基础，提供可信的度量和可信存储的方法，从硬件层面提供可信计算所需的相关计算需求；可信计算组织同时提出了基于可信链构建可信计算环境的方法，从TPM出发，对系统启动过程中涉及的相关组件逐级进行度量，一级验证一级，将信任关系逐级传递下去，最终保证整个平台环境的可信。