[发明专利]一种身份管理系统

权利要求书

1.一种身份管理系统，其特征在于，包括：

第一身份管理设备、第二身份管理设备、服务请求设备以及服务提供设备；其中，所述第一身份管理设备与所述服务请求设备位于第一网络安全域；所述第二身份管理设备与所述服务提供设备位于第二网络安全域；所述第一身份管理设备、所述第二身份管理设备、所述服务请求设备以及所述服务提供设备之间通信连接；

所述服务请求设备用于将服务访问请求发送给所述第一身份管理设备，以请求访问所述服务提供设备；所述服务访问请求包括：包括用户的用户凭证；

所述第一身份管理设备用于：响应于接收到所述服务访问请求，验证所述用户凭证，以及将所述用户的身份信息进行加密，获得密文，并将所述密文发送给所述第二身份管理设备；其中，所述用户的身份信息包括以下一项或多项：用户的姓名、年龄、住址、学校或成绩；

如果所述用户凭证经所述第一身份管理设备验证通过，则所述服务请求设备成功访问所述服务提供设备；

所述第二身份管理设备用于接收所述第一身份管理设备发送的所述密文；

所述服务提供设备用于从所述第二身份管理设备中获取所述密文，并将所述密文进行解密，以获得所述用户的身份信息。

2.如权利要求1所述身份管理系统，其特征在于，

所述服务请求设备还用于：

在将服务访问请求发送给所述第一身份管理设备之前，

接收所述用户输入的所述用户凭证，并将所述用户凭证发送给所述第一身份管理设备以在所述第一身份管理设备上进行注册，其中，所述用户凭证包括：账号、密码。

3.如权利要求2所述身份管理系统，其特征在于，

所述第一身份管理设备还用于：

在接收到所述服务访问请求之前，接收所述服务请求设备在所述第一身份管理设备上注册时由所述服务请求设备所发送的所述用户凭证，并将所述用户凭证存储在所述第一身份管理设备中。

4.如权利要求1所述身份管理系统，其特征在于，

所述第二身份管理设备还用于：

初始化一个全局参数以及一个服务提供设备标识符；

基于所述全局参数及所述服务提供设备标识符生成公钥和主密钥，并将所述公钥发送给所述第一身份管理设备；

初始化一个所述用户的用户标识符、一个会话标识符，并基于所述用户标识符、所述会话标识符、所述主密钥、所述用户的属性信息以及所述全局参数生成私钥；

其中，所述私钥与所述用户标识符、所述用户属性、所述会话标识符相关联；其中，所述用户的属性信息包括以下一项或多项：所述用户的身份信息的使用目的、所述身份信息的使用期限或使用所述身份信息的设备的唯一标识码。

5.如权利要求4所述身份管理系统，其特征在于，

所述第一身份管理设备还用于：

接收所述第二身份管理设备发送的所述公钥以及所述全局参数；

初始化一个公开策略，结合所述公开策略、所述公钥以及所述全局参数将所述用户的身份信息进行加密，获得密文；其中，

所述用户的属性信息还用于描述所述公开策略。

6.如权利要求5所述身份管理系统，其特征在于，

所述服务提供设备具体用于：

结合所述第二身份管理设备生成的私钥，对从所述第二身份管理设备中获取的密文进行解密，以获得所述用户的身份信息；

如果所述私钥中的属性信息满足所述公开策略，则成功解密出所述用户的身份信息；

如果所述私钥中的属性信息不满足所述公开策略，则解密失败。