[发明专利]基于跨域属性异构的身份服务方法、介质及设备

说明书

本发明提供一种基于跨域属性异构的身份服务方法、介质及设备，所述基于跨域属性异构的身份服务方法包括：在各个信任域内获取用户属性集合之间的映射关系，并确定跨域属性语义关系对；根据所述跨域属性语义关系对构建用户的跨域强身份属性集合；所述跨域强身份属性集合用于各个信任域中对用户进行鉴权；对所述跨域强身份属性集合鉴权后确定的用户进行动态可信度评估，并根据评估结果作出是否授权访问的决定。本发明通过构建域间唯一关联用户身份的属性集合，以实现跨域身份鉴权。并在此基础上，利用属性映射与基于Beta分布的动态信任度评估机制实现了异构跨域环境下动、静态结合的综合访问授权方法。

技术领域

本发明属于网络技术与安全的技术领域，涉及一种跨域的身份服务方法，特别是涉及一种基于跨域属性异构的身份服务方法、介质及设备。

背景技术

根据身份属性对用户进行正确的鉴权并进而执行授权等身份管理服务，是基于属性访问控制ABAC构建的“鉴权和授权基础设施AAIs”以实现用户访问权限管控的重要基础。在鉴权过程中，需要收集用户包括身份ID在内的各种身份属性信息以唯一的确认当前用户的身份。例如，当用户登录某个系统时，其提交的账号和密码就是一个用于身份鉴权的属性集合，认证方会从系统存储中得到预先保存的账号、密码对，并与用户提交的相比对，由于只有合法用户可以同时拥有正确的账号和密码值，系统可以认为当前用户确实是其所声称的合法用户。有时为了避免其他用户通过窃取密钥的方式进行身份伪装，用于鉴权的属性集合可能还会包括动态的手机验证码，使得从认证方的角度来看，在某个时间区间内，同时满足账号、密码、手机号、验证码的属性要求的仅有一个合法用户。可以看出，如果可以收集用户的一个尽可能小的身份属性集合，使得该集合唯一的关联该用户，即不存在其他用户与当前用户在这个属性集合上拥有相同的属性取值，则可以基于这个属性集合对当前用户进行身份鉴权。

当用户属性来自于同一个信任域时，这个唯一关联身份的属性集合的构建过程并不困难。但是，当用户在身份鉴权时需要的身份属性是从多个不同的信任域汇总得到时，就会存在信任域对用户属性的表达语义异构的情况，从而导致如何正确的获取该属性集合成为跨域身份鉴权需要解决的一个关键性的挑战问题。当然，可以在多个信任域之间定义统一的身份属性词汇表，但这会极大的降低系统的扩展性，且一旦某个资源需要的身份属性超出公共集合范围，就又会产生之前的异构性问题。此外，若要在身份属性异构的分布式环境下正确实现跨域的数据安全访问控制，还需要构建能够消除因语义异构导致的资源访问策略冲突问题的授权机制，以实现资源的安全共享。因此，作为不同属性之间知识共享和互操作的一种方法，属性聚合技术受到了越来越多的关注。属性聚合的初衷是为了信息共享，但是建立一个全局通用的属性合集存在很大的困难，由于不同信任域对属性的定义表述不一样，构建标准不一致，从而造成了域间的属性异构。