[发明专利]一种分布式可信组织身份访问控制系统及方法

说明书

本发明公开了一种分布式可信组织身份访问控制系统及方法，涉及信息安全技术领域，解决了在不泄漏隐私的情况下，多组织共同协作的业务场景中组织身份验证的技术问题；包括组织申请模块、可信组织身份服务器以及身份验证模块，组织申请模块用于用户申请组织身份，由组织的管理员为用户分配组织身份并基于CP‑ABE密码学算法生成属性私钥；当用户以组织身份访问第三方应用时，身份验证模块用于第三方应用验证用户是否拥有对应组织身份，本发明通过用户私钥SK验证个人的组织身份，整个验证过程不需要用户提供任何隐私数据，即所谓“零知识”证明，同时第三方应用系统根据访问结构进行授权及访问控制，极大提高了信息安全性。

技术领域

本发明涉及信息安全技术领域，具体是一种分布式可信组织身份访问控制系统及方法。

背景技术

多组织共同协作的业务场景中需要各参与方身份可信，从而使得业务过程的真实有效、结果不可抵赖。其可信身份体现在参与业务的主体个人公民身份可信、个人和组织的关系可信、个人所代表的组织身份可信；

传统应用系统的用户及权限管理，通常使用用户名、密码验证用户身份，然后根据用户的角色或群组确定用户在组织中的身份，并以此为依据进行授权及访问控制；但是存在着下述缺陷：1、重复认证、多地认证的问题：多头建设的身份体系在浪费资源的同时，也存在诸多数据共享和使用上的障碍，不同企业主体间的数据信息分别存储，无法综合利用；2、身份数据隐私与安全问题：用户身份信息散落在各个企业级的身份认证者手中，用户对自身信息的使用不够审慎，或者企业对用户身份进行信息验证都会引发身份信息的暴露，甚至对用户隐私信息造成严重侵犯；其次，用户身份信息在各家企业的服务器上存储，不同的企业对数据安全的重视程度和措施强度不同，使得用户的数据泄漏是一个木桶效应的问题，任何一处被攻破，用户的隐私即被泄露；而且传统管理通过角色或群组进行授权及访问控制，易被攻击与破解，导致非法用户越权访问；为此，我们提出一种分布式可信组织身份访问控制系统及方法。

发明内容

为了解决上述方案存在的问题，本发明提供了一种分布式可信组织身份访问控制系统及方法，解决了在不泄漏隐私的情况下，多组织共同协作的业务场景中组织身份的验证问题。

本发明的目的可以通过以下技术方案实现：

一种分布式可信组织身份访问控制系统，包括组织申请模块、可信组织身份服务器以及身份验证模块；

所述组织申请模块用于用户申请组织身份；当用户申请加入组织时，由组织的管理员为用户分配组织身份并基于CP-ABE密码学算法生成属性私钥；用户接收到公私钥后更新自己的数字身份标识，并将更新后的数字身份标识存储至可信组织身份服务器；

当用户以组织身份访问第三方应用时，所述身份验证模块用于第三方应用验证用户是否拥有对应组织身份；验证成功后，第三方应用根据用户的组织身份授权用户访问。

进一步地，所述组织申请模块的具体工作步骤如下：

S1：用户通过组织申请模块上传加入请求信息至组织管理员；

S2：组织管理员为对应用户分配组织身份，即属性集；所述属性集为用户拥有的一个或多个属性集合；

S3：组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK；

S4：组织管理员将公私钥返回给用户，其中公私钥包含公开密钥PK和用户属性私钥SK。

进一步地，其中，组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK，具体包括：

调用初始化算法：完成初始化过程，生成一对公开密钥PK与主密MK；

调用密钥生成算法：传入主密钥MK和属性集，为用户生成属性私钥SK。

进一步地，所述身份验证模块的具体验证步骤为：