[发明专利]基于跨域属性异构的身份服务方法、介质及设备

权利要求书

1.一种基于跨域属性异构的身份服务方法，其特征在于，所述基于跨域属性异构的身份服务方法包括：

在各个信任域内获取用户属性集合之间的映射关系，并确定跨域属性语义关系对；所述信任域是指用户的身份管理系统；

根据所述跨域属性语义关系对构建用户的跨域强身份属性集合；所述跨域强身份属性集合是指在各个信任域内均可以关联到唯一用户的属性集合，并用于各个信任域中对用户进行鉴权；

对所述跨域强身份属性集合鉴权后确定的用户进行动态可信度评估，并根据评估结果作出是否授权访问的决定。

2.根据权利要求1所述的基于跨域属性异构的身份服务方法，其特征在于，所述在各个信任域内获取用户属性集合之间的映射关系，并确定跨域属性语义关系对的步骤包括：

将用户发起资源访问请求的信任域作为目标信任域；

通过目标信任域的服务提供方向所述目标信任域的身份提供方发起鉴权请求；

根据所述鉴权请求，通过所述目标信任域的身份提供方向至少一个属性关联信任域的属性提供方获取用户投射的身份属性，利用所述用户投射的身份属性确定跨域属性语义关系对。

3.根据权利要求2所述的基于跨域属性异构的身份服务方法，其特征在于，所述根据所述跨域属性语义关系对构建用户的跨域强身份属性集合的步骤包括：

将所述目标信任域与至少一个所述属性关联信任域之间两两建立跨域强身份属性集合。

4.根据权利要求3所述的基于跨域属性异构的身份服务方法，其特征在于，所述将所述目标信任域与至少一个所述属性关联信任域之间两两建立跨域强身份属性集合的步骤包括：

将所述目标信任域中的属性信息与选定的属性关联信任域中的属性信息取交集；

判断所述交集是否确定唯一关联的用户身份；

若是，将所述交集作为跨域强身份属性集合；若否，在所述目标信任域和选定的属性关联信任域中分别添加属性信息，判断所述交集与所添加的属性信息形成的并集是否确定唯一关联的用户身份；若是，将所述并集作为跨域强身份属性集合；若否，继续在所述目标信任域和选定的属性关联信任域中分别添加属性信息，直至所述交集与所添加的属性信息形成的并集可以确定唯一关联的用户身份；

遍历所有的属性关联信任域，在选定后执行上述步骤。

5.根据权利要求2所述的基于跨域属性异构的身份服务方法，其特征在于，所述各个信任域对用户进行鉴权的步骤包括：

通过所述目标信任域的身份提供方和所述属性关联信任域的身份提供方共同基于所述跨域强身份属性集合对用户进行鉴权；

将各个所述属性关联信任域的身份提供方的鉴权结果汇总至所述目标信任域的身份提供方；

将所述目标信任域的身份提供方和所述属性关联信任域的身份提供方均鉴权成功的用户判定为合法用户。

6.根据权利要求2所述的基于跨域属性异构的身份服务方法，其特征在于，所述对所述跨域强身份属性集合鉴权后确定的用户进行动态可信度评估，并根据评估结果作出是否授权访问的决定的步骤包括：

通过所述跨域属性语义关系对消除资源访问策略与用户跨域属性的语义冲突，进行静态授权；

在静态授权通过时结合用户的历史行为，利用基于Beta分布的动态信任度评估机制对用户动态可信度进行评估；其中，所述历史行为是在持续时间的监控下基于时间先后顺序对用户行为作出的相对定义。

7.根据权利要求6所述的基于跨域属性异构的身份服务方法，其特征在于，所述通过所述跨域属性语义关系对消除资源访问策略与用户跨域属性的语义冲突，进行静态授权的步骤包括：

将各个所述属性关联信任域的用户属性集合统一映射到所述目标信任域中，形成映射集合；

通过所述目标信任域的身份提供方获取所述目标信任域的服务提供方中的资源访问策略，并通过所述目标信任域的身份提供方判断所述映射集合中的属性值与资源访问策略中相应属性值的匹配情况；

若所述映射集合中的属性值与资源访问策略中相应的属性值均相等，则判定为静态授权通过；若存在至少一个所述映射集合中的属性值与资源访问策略中相应的属性值不相等，则判定为静态授权未通过。