三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng),包括支撐子系統(tǒng)����、服務(wù)子系統(tǒng)���、應(yīng)用子系統(tǒng)����。其中支撐子系統(tǒng)用于為主體模塊創(chuàng)建一一對應(yīng)的網(wǎng)絡(luò)身份�����,并為創(chuàng)建的主體網(wǎng)絡(luò)身份分配相應(yīng)的身份和/或?qū)傩浴7?wù)子系統(tǒng)用于由不同的身份/屬性提供模塊對不同的憑據(jù)進(jìn)行管理���,并向應(yīng)用子系統(tǒng)提供最低限度的身份/屬性斷言�����,根據(jù)所述主體網(wǎng)絡(luò)身份申請向所述支撐子系統(tǒng)發(fā)送相應(yīng)的注冊指令和/或更新指令和/或注銷指令���,并根據(jù)所述主體身份信息向所述支撐子系統(tǒng)發(fā)送相應(yīng)的身份和/或?qū)傩浴?yīng)用子系統(tǒng)包括多個主體模塊和多個依賴方模塊����,主體模塊向服務(wù)子系統(tǒng)發(fā)送網(wǎng)絡(luò)身份申請及相關(guān)信息。
【專利說明】三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計算機技術(shù)與信息安全領(lǐng)域�,涉及一種三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)。
【背景技術(shù)】
[0002]在網(wǎng)絡(luò)空間中�����,人們可以開展社團組織����、交友溝通、電子交易等活動�����,也能借助網(wǎng)絡(luò)進(jìn)行生產(chǎn)、學(xué)習(xí)����、交易的互動。借助網(wǎng)絡(luò)空間���,人們提高了生產(chǎn)率��、開發(fā)了新的平臺�、創(chuàng)建了新的商務(wù)場所����。但是在線活動的不斷增加,也使網(wǎng)絡(luò)空間中的威脅不斷增加��。
[0003]網(wǎng)絡(luò)空間活動存在欺詐的威脅���。隨著人們可以在線獲取越來越多的服務(wù),網(wǎng)絡(luò)空間中傳播的信息總量急劇膨脹��,數(shù)據(jù)失竊���、篡改��、欺詐和隱私泄露等造成的損失不斷增加��,在線入侵甚至威脅到國家關(guān)鍵基礎(chǔ)設(shè)施的安全����。
[0004]現(xiàn)在的網(wǎng)絡(luò)空間用戶信息管理不合理,一旦用戶提交信息�����,就幾乎沒有能力管理���,這迫使用戶不得不在安全隱私和獲取服務(wù)之間進(jìn)行權(quán)衡����。另外����,現(xiàn)在網(wǎng)絡(luò)空間中并沒有一個互通共用的框架,需要維護很多不同的用戶名和密碼�,極大增加了用戶和服務(wù)提供商的負(fù)擔(dān)。有些用戶為減少麻煩在不同的應(yīng)用中使用同樣的用戶名和密碼����,從而給不法分子更多可乘之機�,大大降低了應(yīng)用的安全性�。[0005]網(wǎng)絡(luò)空間開放式的信息共享增加了個人隱私受到威脅的風(fēng)險,未經(jīng)允許公布個人身份信息和敏感屬性造成的傷害和歧視事件在不斷增加����,受到誤導(dǎo)或不準(zhǔn)確信息影響的用戶對網(wǎng)絡(luò)空間的信任度降低,對新服務(wù)猶豫不決�����,不利于新技術(shù)的產(chǎn)生和推廣使用��。
[0006]因此����,隨著現(xiàn)實社會在網(wǎng)絡(luò)空間的不斷延伸,重要的網(wǎng)絡(luò)空間活動越來越多��,網(wǎng)絡(luò)空間的安全和現(xiàn)實社會的安全一樣重要��,與個人���、社會��、國家多個層面利益攸關(guān)�����。身份是重要的網(wǎng)絡(luò)空間安全基礎(chǔ)�,我們需要統(tǒng)一的身份管理體系支撐網(wǎng)絡(luò)空間安全����。
【發(fā)明內(nèi)容】
[0007]本發(fā)明實施例提供一種三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng),能夠建立現(xiàn)實身份和網(wǎng)絡(luò)身份的統(tǒng)一管理平臺���,保證網(wǎng)絡(luò)空間中在線交互的實體能夠相互信任�����。
[0008]本發(fā)明實施例采用如下技術(shù)方案:
[0009]提供一種三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)�����,包括:支撐子系統(tǒng)��、服務(wù)子系統(tǒng)����、應(yīng)用子系統(tǒng);
[0010]所述支撐子系統(tǒng)���,用于為主體模塊創(chuàng)建--對應(yīng)的網(wǎng)絡(luò)身份,并為創(chuàng)建的主體網(wǎng)
絡(luò)身份分配相應(yīng)的身份和/或?qū)傩?���;對可信?biāo)志����、身份/屬性提供模塊、依賴方模塊進(jìn)行審核��;網(wǎng)絡(luò)身份管理模塊可向居民身份證管理機構(gòu)和組織管理機構(gòu)等提交身份信息核查�����;和/或根據(jù)接收到的更新指令更新網(wǎng)絡(luò)身份相應(yīng)的身份和/或?qū)傩?���,?或根據(jù)接收到的注銷指令注銷網(wǎng)絡(luò)身份和/或?qū)傩裕?br>
[0011]所述服務(wù)子系統(tǒng),用于由不同的身份/屬性提供模塊對不同的憑據(jù)進(jìn)行管理���,并向應(yīng)用子系統(tǒng)提供最低限度的身份/屬性斷言�����,根據(jù)所述主體網(wǎng)絡(luò)身份申請向所述支撐子系統(tǒng)發(fā)送相應(yīng)的注冊指令和/或更新指令和/或注銷指令�����,并根據(jù)所述主體身份信息向所述支撐子系統(tǒng)發(fā)送相應(yīng)的身份和/或?qū)傩裕?br>
[0012]所述應(yīng)用子系統(tǒng)���,包括多個主體模塊和多個依賴方模塊,主體模塊向服務(wù)子系統(tǒng)發(fā)送網(wǎng)絡(luò)身份申請及相關(guān)信息��,其中�,所述網(wǎng)絡(luò)身份申請包括注冊網(wǎng)絡(luò)身份和/或更新網(wǎng)絡(luò)身份和/或注銷網(wǎng)絡(luò)身份,主體模塊使用多樣化的憑據(jù)進(jìn)行身份查驗��,并向服務(wù)子系統(tǒng)提交身份查驗請求����;依賴方模塊驗證身份/屬性提供模塊的斷言,也可以申請將主體標(biāo)識與網(wǎng)絡(luò)身份進(jìn)行綁定��。
[0013]可選的��,所述支撐子系統(tǒng)包括:審核模塊�����、網(wǎng)絡(luò)身份管理模塊和審計模塊;
[0014]所述審核模塊�,用于根據(jù)接收到申請對可信標(biāo)志、身份/屬性提供模塊�����、依賴方模塊進(jìn)行審核��;
[0015]所述網(wǎng)絡(luò)身份管理模塊��,可向居民身份證管理機構(gòu)和組織管理機構(gòu)等提交身份信
息核查����,為主體模塊創(chuàng)建--對應(yīng)的網(wǎng)絡(luò)身份;并為創(chuàng)建的主體網(wǎng)絡(luò)身份分配相應(yīng)的身份
和/或?qū)傩?;?或根據(jù)接收到的更新指令更新網(wǎng)絡(luò)身份相應(yīng)的身份和/或?qū)傩裕缓?或根據(jù)接收到的注銷指令注銷網(wǎng)絡(luò)身份和/或?qū)傩浴?br>
[0016]所述審計模塊�,用于統(tǒng)計并存儲所述支撐子系統(tǒng)的操作日志,并向主體模塊提供通知�。
[0017]可選的,所述服務(wù)子系統(tǒng)包括:發(fā)現(xiàn)方模塊��、可信第三方模塊����、至少一個身份屬性提供1?塊�����;
[0018]所述發(fā)現(xiàn)方模塊,用于對身份發(fā)現(xiàn)請求進(jìn)行解析�����,并根據(jù)路由規(guī)則找到與身份標(biāo)識對應(yīng)的身份/屬性提供模塊���;
[0019]所述可信第三方模塊����,包括第三方信任服務(wù)單元�,用于完成不同身份屬性提供模塊之間的信任傳遞;
[0020]所述身份屬性提供模塊���,用于建立��、維護和保證與主體模塊相關(guān)的網(wǎng)絡(luò)身份的安全���,在必要時撤銷�����、掛起和恢復(fù)主體模塊的網(wǎng)絡(luò)身份����,并向所述支撐子系統(tǒng)發(fā)送所述相應(yīng)的身份和/或?qū)傩?����、注冊?或更新和/或注銷聲明���。
[0021]可選的����,所述身份屬性提供模塊用于建立�、維護和保證與主體網(wǎng)絡(luò)身份屬性的安全;
[0022]所述身份屬性提供模塊包括:
[0023]身份屬性服務(wù)和橋接服務(wù)單元�����,用于轉(zhuǎn)換身份/屬性格式����;
[0024]聯(lián)邦網(wǎng)關(guān)單元���,用于映射多個依賴方模塊和身份屬性提供模塊,實現(xiàn)訪問多個服務(wù)的統(tǒng)一認(rèn)證�;
[0025]安全認(rèn)證服務(wù)單元,用于對憑據(jù)進(jìn)行認(rèn)證����;
[0026]身份信息確認(rèn)單元,用于確認(rèn)申請的主體模塊是身份信息的合法擁有者或授權(quán)持有者�����;
[0027]信用管理服務(wù)單元�����,用于根據(jù)歷史行為數(shù)據(jù)或依賴方模塊的反饋信息�����,評估主體模塊信用�;
[0028]主體標(biāo)識與網(wǎng)絡(luò)身份綁定單元���,用于提供依賴方模塊主體標(biāo)識與主體網(wǎng)絡(luò)身份的綁定�����;
[0029] 身份校驗單元��,用于比較所提交的身份聲明與事先證明的信息�����,確認(rèn)提交的身份聲明正確�;
[0030]注冊代理單元,用于身份/屬性提供模塊向發(fā)現(xiàn)方模塊注冊�,和主體模塊向身份/屬性提供模塊注冊;
[0031]憑據(jù)管理單元�����,用于提供憑據(jù)的發(fā)布���、更新�����、使用和維護等�����;
[0032]保證等級管理單元�,用于為主體模塊和依賴方模塊提供不同保證等級的認(rèn)證;
[0033]主體查詢和審查監(jiān)控單元�,用于監(jiān)控、確認(rèn)���、核查���、保存導(dǎo)致狀態(tài)變化的事件或行為,并向主體模塊提供查詢接口 �����;
[0034]隱私保護單元���,用于僅收集主體身份證明必需的屬性信息,向依賴方模塊提供服務(wù)所必須的身份/屬性斷言���,對外提供主體身份信息時�,征求主體模塊許可�����。
[0035]可選的,所述應(yīng)用子系統(tǒng)包括至少一個主體模塊和至少一個依賴方模塊����;
[0036]所述主體模塊,包括個體或非用戶實體(包括組織��、硬件���、網(wǎng)絡(luò)���、軟件或者服務(wù)等),從身份/屬性提供模塊獲得憑據(jù)�����,并使用憑據(jù)與依賴方模塊在線交易�����;
[0037]所述依賴方模塊��,選擇身份/屬性提供模塊��,信任身份/屬性提供模塊對主體憑據(jù)的斷言,依據(jù)主體模塊的憑據(jù)做出交易決定����。可以選擇憑據(jù)的強度和獲取服務(wù)所需要的屬性�。
[0038]可選的,所述主體模塊包括:
[0039]身份代理單元����,用于向主體模塊提供交互界面,可由擴展瀏覽器��、本地多樣的客戶端或特殊終端設(shè)備調(diào)用�;
[0040]憑據(jù)選擇單元,用于主體模塊自由選擇憑據(jù)認(rèn)證�,滿足依賴方模塊需求;
[0041]信任標(biāo)識核查單元�,信任標(biāo)識說明依賴方模塊滿足網(wǎng)絡(luò)空間身份管理要求,主體模塊依據(jù)信任標(biāo)識選擇依賴方模塊�����;
[0042]委托單元���,主體模塊可以委托并授權(quán)其他主體模塊行使相關(guān)權(quán)利;
[0043]憑據(jù)申請和存儲單元,憑據(jù)的形式是多樣化的���,包括但不局限于智能卡�����、USB-Key�、SM卡�����、用戶名/ 口令等����。
[0044]可選的,所述依賴方模塊包括:
[0045]請求認(rèn)證與憑據(jù)選擇單元�����,用于選擇主體模塊需要證明的強度和獲取服務(wù)所需要的屬性����;
[0046]身份令牌/斷言解析單元,用于解析來自身份/屬性提供模塊的斷言����;
[0047]授權(quán)單元���,用于服務(wù)授權(quán),由依賴方模塊控制服務(wù)授權(quán)�,身份/屬性提供模塊負(fù)責(zé)憑據(jù)驗證;
[0048]保證等級審核單元�����,用于依賴方模塊依據(jù)不同的身份/屬性提供模塊和不同形式的憑據(jù)斷言���,根據(jù)自身的策略進(jìn)行保證等級審核�����,提供相應(yīng)安全等級的服務(wù)��,關(guān)鍵的服務(wù)不允許授權(quán)給低等級的斷言�;
[0049]主體標(biāo)識管理單元����,用于依賴方模塊根據(jù)服務(wù)類型選擇是否需要進(jìn)行用戶身份標(biāo)識管理���;
[0050]聯(lián)邦代理單元:用于在聯(lián)盟圈內(nèi)實現(xiàn)單點登錄和登出��。
[0051]可選的����,提供統(tǒng)一的身份管理方法,由權(quán)威的網(wǎng)絡(luò)空間身份數(shù)據(jù)源保證主體模塊和依賴方模塊互相確認(rèn)身份�����,實現(xiàn)互通共用的網(wǎng)絡(luò)空間身份管理框架����。
[0052]可選的,所述身份屬性提供模塊提供最低限度身份/屬性斷言�����,身份/屬性提供模塊僅收集主體模塊身份證明必需的屬性信息����,僅向依賴方模塊提供服務(wù)所必須的身份/屬性斷言。
[0053]可選的����,提供�、申請���、存儲�、使用多樣化的憑據(jù)�,憑據(jù)的形式是多樣化的,包括智能卡���、USB-Key�、SM卡�����、用戶名/ 口令�;
[0054]所述身份屬性提供模塊,提供多樣化憑據(jù)的發(fā)布��、更新��、使用和維護����,并對多樣化的憑據(jù)進(jìn)行認(rèn)證;
[0055]所述主體模塊��,可以申請和存儲多樣化的憑據(jù),并自由選擇憑據(jù)進(jìn)行認(rèn)證��;
[0056]所述依賴方模塊�,用于選擇主體模塊需要證明的強度和獲取服務(wù)所需要的屬性�,接受對多樣化憑據(jù)認(rèn)證的斷言。
[0057]本發(fā)明實施例通過上述各子系統(tǒng)的協(xié)作�,建立現(xiàn)實身份和網(wǎng)絡(luò)身份的統(tǒng)一管理平臺,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)空間身份的注冊���、更新����、使用���、維護和注銷���,其中主體網(wǎng)絡(luò)身份與身份和/或?qū)傩韵嗷ソ壎ǎ蓪崿F(xiàn)網(wǎng)絡(luò)空間中在線交互的實體/各子系統(tǒng)的相互信任�。主體模塊確定自己的隱私能夠得到保護,在一些應(yīng)用子系統(tǒng)中可以匿名或使用假名�。
【專利附圖】
【附圖說明】
[0058]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單介紹�,顯而易見地���,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
[0059]圖1是本發(fā)明第一個實施例的網(wǎng)絡(luò)空間身份管理系統(tǒng)的邏輯關(guān)系圖�;
[0060]圖2是本發(fā)明第二個實施例的網(wǎng)絡(luò)身份管理流程圖。
【具體實施方式】
[0061]為使本發(fā)明實施例的目的����、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附圖���,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚地描述�,顯然�����,所描述的實施例是本發(fā)明一部分實施例�,而不是全部的實施例。基于本發(fā)明中的實施例���,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本發(fā)明保護的范圍�。
[0062]下面結(jié)合圖1對本發(fā)明實施例的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)中各子系統(tǒng)及各子系統(tǒng)的各模塊的功能進(jìn)行描述。
[0063]( I)支撐子系統(tǒng):主要用于實現(xiàn)網(wǎng)絡(luò)身份管理��,主要目標(biāo)是建立可靠的流程����,實現(xiàn)網(wǎng)絡(luò)身份與個體的一一對應(yīng)��,并為網(wǎng)絡(luò)身份分配屬性���,形成權(quán)威的整體身份記錄���。網(wǎng)絡(luò)身份通常由屬性集合組成。
[0064]審核模塊��,實現(xiàn)了對可信標(biāo)志�����、身份/屬性提供模塊����、依賴方模塊進(jìn)行審核����,可信標(biāo)志用于說明憑據(jù)����、身份/屬性提供模塊、依賴方模塊滿足網(wǎng)絡(luò)空間身份管理體系的要求��。信任標(biāo)志應(yīng)能抵抗篡改和偽造���;參與方可以驗證可靠性(包括視覺和電子的)����。信任標(biāo)志可以作為主體模塊選擇服務(wù)提供模塊和憑據(jù)的依據(jù)����。
[0065]網(wǎng)絡(luò)身份管理模塊,并為創(chuàng)建的主體網(wǎng)絡(luò)身份分配相應(yīng)的身份和/或?qū)傩?����;?或根據(jù)接收到的更新指令更新主體網(wǎng)絡(luò)身份相應(yīng)的身份和/或?qū)傩裕缓?或根據(jù)接收到的注銷指令注銷主體網(wǎng)絡(luò)身份��、所述主體網(wǎng)絡(luò)身份相應(yīng)的身份和/或?qū)傩?��。網(wǎng)絡(luò)身份管理模塊主要通過建立可靠的流程���,實現(xiàn)網(wǎng)絡(luò)身份全生命周期管理。
[0066]本實施例中��,網(wǎng)絡(luò)身份管理模塊可向居民身份證管理機構(gòu)和組織管理機構(gòu)等提交
身份信息核查���,為主體模塊創(chuàng)建--對應(yīng)的網(wǎng)絡(luò)身份,并為創(chuàng)建的主體網(wǎng)絡(luò)身份分配相應(yīng)
的身份和/或?qū)傩?���;?或根據(jù)接收到的更新、注銷指令更新�、注銷主體網(wǎng)絡(luò)身份相應(yīng)的身份和/或?qū)傩浴7?wù)子系統(tǒng)�,用于根據(jù)主體網(wǎng)絡(luò)申請向支撐子系統(tǒng)發(fā)送相應(yīng)的注冊指令和/或更新指令和/或注銷指令,根據(jù)主體身份信息向支撐子系統(tǒng)發(fā)送相應(yīng)的身份和/或?qū)傩?�;不同的身?屬性提供模塊對不同的憑據(jù)進(jìn)行管理���,并向應(yīng)用子系統(tǒng)提供最低限度的身份/屬性斷言����。應(yīng)用子系統(tǒng)包括多個主體和多個依賴方,主體向服務(wù)子系統(tǒng)發(fā)送用戶身份申請及相關(guān)信息����,使用多樣化的憑據(jù)進(jìn)行身份查驗,并向服務(wù)子系統(tǒng)提交身份查驗請求���;依賴方模塊驗證身份/屬性提供模塊的斷言�,也可以申請將依賴方模塊中主體標(biāo)識與主體網(wǎng)絡(luò)身份進(jìn)行綁定�。
[0067]網(wǎng)絡(luò)身份注冊/注銷單元:實現(xiàn)網(wǎng)絡(luò)身份的注冊和注銷。主體向網(wǎng)絡(luò)身份管理模塊或通過身份/屬性提供模塊向網(wǎng)絡(luò)身份管理模塊申請登記一個新的網(wǎng)絡(luò)身份����。綁定主體的網(wǎng)絡(luò)身份和現(xiàn)實身份,以進(jìn)行追溯和問責(zé)��。網(wǎng)絡(luò)身份管理模塊可向居民身份證管理機構(gòu)和組織管理機構(gòu)等提交身份信息核查��。[0068]網(wǎng)絡(luò)身份維護單元:由網(wǎng)絡(luò)身份管理模塊對網(wǎng)絡(luò)身份進(jìn)行全生命周期管理���,包括身份信息更新�����、屬性綁定等�����。
[0069]網(wǎng)絡(luò)身份安全單元:制定安全策略��,對功能和服務(wù)����、信令和通信接口、系統(tǒng)管理接口���、以及主體可識別信息等進(jìn)行安全保護�����。
[0070]網(wǎng)絡(luò)身份數(shù)據(jù)庫:建立權(quán)威的網(wǎng)絡(luò)身份數(shù)據(jù)庫,具有法律效力��。
[0071]審計機構(gòu)模塊:用于統(tǒng)計并存儲所述支撐子系統(tǒng)的操作日志���。主要進(jìn)行審計�����,如維護安全日志以滿足溯源問責(zé)要求��,保護主體信息�,并向主體模塊提供通知。
[0072](2)服務(wù)子系統(tǒng):主要用于根據(jù)主體模塊申請���,向網(wǎng)絡(luò)身份管理模塊提交網(wǎng)絡(luò)身份的注冊或更新�����。與網(wǎng)絡(luò)身份管理模塊進(jìn)行身份信息交互���。不同的身份/屬性提供模塊對不同的憑據(jù)進(jìn)行管理,接受來自主體模塊的身份查驗請求���,根據(jù)隱私保護原則提供最低限度的身份/屬性斷言��。
[0073]發(fā)現(xiàn)方模塊:用于根據(jù)所述主體身份信息確定對應(yīng)的身份/屬性提供模塊��。發(fā)現(xiàn)方需要對來自依賴方模塊的身份發(fā)現(xiàn)請求進(jìn)行解析��,并根據(jù)一定的路由規(guī)則找到與身份標(biāo)識相對應(yīng)的身份提供模塊�����。發(fā)現(xiàn)方可以自行維護一系列的身份提供模塊列表�����,也可以提供規(guī)范的接口讓身份提供模塊自行注冊����。發(fā)現(xiàn)方可以是國家權(quán)威機構(gòu)或權(quán)威機構(gòu)授權(quán)的實體。
[0074]可信第三方模塊:用于在同一用戶不同的身份/屬性提供模塊之間傳送信任信息���。當(dāng)身份查驗請求中涉及到不同的代理機構(gòu)時��,提供第三方信任服務(wù)�,完成兩個不同的代理機構(gòu)之間的信任傳遞�����?���?尚诺谌奖旧硪部梢允且粋€權(quán)威的身份提供模塊�����,如國家權(quán)威機構(gòu)或權(quán)威機構(gòu)授權(quán)的實體。
[0075]身份/屬性提供模塊:用于根據(jù)所述用戶身份信息提供相應(yīng)的身份和/或?qū)傩?,根?jù)所述指令生成模塊生成相應(yīng)的注冊和/或更新和/或注銷聲明,并向所述支撐子系統(tǒng)發(fā)送所述相應(yīng)的身份和/或?qū)傩?��、注冊?或更新和/或注銷聲明����。身份提供模塊負(fù)責(zé)建立��、維護和保證與主體相關(guān)的數(shù)字身份的安全�����,包括在必要時撤銷����、掛起和恢復(fù)主體的數(shù)字身份。屬性供應(yīng)模塊負(fù)責(zé)建立和維護身份屬性的相關(guān)安全��,包括確認(rèn)�����、更新和解除屬性聲明。
[0076]身份屬性服務(wù)單元:用于對同一主體不同格式的身份和/或?qū)傩赃M(jìn)行管理���、共享�、合并���、交互���。
[0077]轉(zhuǎn)換單元:用于將身份和/或?qū)傩缘母袷睫D(zhuǎn)換為預(yù)置格式。
[0078]身份屬性服務(wù)單元通過轉(zhuǎn)換單元將身份/屬性格式轉(zhuǎn)化��,允許對來自于不同的授權(quán)身份/屬性信息源的信息進(jìn)行管理����、共享、合并�、交互等。如:可以按主機網(wǎng)絡(luò)系統(tǒng)的標(biāo)準(zhǔn)格式提取身份信息��,也可以用通用語言對提取的信息進(jìn)行重新封裝���。
[0079]身份屬性橋接單元:如果跨域網(wǎng)絡(luò)邊界��,提供橋接功能�����。
[0080]聯(lián)邦網(wǎng)關(guān):實現(xiàn)多個依賴方模塊和身份提供模塊的對應(yīng)�����,簡化訪問多個服務(wù)的繁瑣認(rèn)證過程���,如:在依賴方模塊之間實現(xiàn)單點登錄。
[0081]安全認(rèn)證服務(wù)單元:對憑據(jù)進(jìn)行認(rèn)證��。某一項認(rèn)證服務(wù)可能恰好就是一項專業(yè)令牌服務(wù)的形式����。
[0082]身份確認(rèn)單元:用于根據(jù)所述用戶身份信息確定用戶是否合法。很多情況下需要借助可信第三方平臺�,通過公證的手段,確認(rèn)請求方是身份信息的合法擁有者或授權(quán)持有者����。
[0083]信用管理服務(wù)單元:根據(jù)歷史行為數(shù)據(jù)或依賴方模塊的反饋信息,評估主體信用���。依賴方模塊可以通過信用屬性對提供服務(wù)作出權(quán)衡�����。
[0084]主體標(biāo)識與網(wǎng)絡(luò)身份綁定單元���,用于將主體標(biāo)識與網(wǎng)絡(luò)身份綁定���。如有需要,提供依賴方模塊主體標(biāo)識與主體網(wǎng)絡(luò)身份的綁定���。兩層綁定的機制�����,可使主體模塊和依賴方模塊在應(yīng)用時僅使用賬戶或匿名�����,并不需要知道主體模塊在現(xiàn)實社會的真實身份��。在支撐層能夠?qū)⒅黧w行為與現(xiàn)實身份對應(yīng)�,實現(xiàn)追溯和審計����。
[0085]身份校驗單元:通過將所提交的身份聲明與事先證明的信息進(jìn)行比較來確認(rèn)聲明身份是正確的過程�?���;旧仙矸菪r炇请x線進(jìn)行的����。一旦離線身份檢驗通過,就有可能進(jìn)行在線建立身份����。身份校驗通常是用戶注冊電子身份的前提,可以借助可信第三方�����。
[0086]注冊代理單元:用于為身份/屬性提供模塊提供確定模塊(發(fā)現(xiàn)方)的注冊和用于為主體提供身份/屬性提供模塊的注冊�����。I)身份/屬性提供模塊向發(fā)現(xiàn)方實體進(jìn)行注冊��。2)主體向身份/屬性提供模塊進(jìn)行注冊�����。當(dāng)主體需要申請身份服務(wù)時,必須進(jìn)行注冊����,向(身份供應(yīng)模塊)提供請求身份所必需的身份信息。注冊時�����,注冊服務(wù)從不同的權(quán)威的系統(tǒng)中整合用戶信息�,包括完成核查和確認(rèn)的E-mail通知。當(dāng)注冊服務(wù)從不同權(quán)威的系統(tǒng)中收集信息進(jìn)行核實時��,應(yīng)通知主體�,在主體的授權(quán)下進(jìn)行,且不能收集超過請求身份所必須的身份信息以外的更多的信息���。
[0087]憑據(jù)管理單元:提供憑據(jù)的發(fā)布�、更新�、使用和維護等服務(wù)。
[0088]保證等級管理單元:為主體模塊和依賴方模塊提供不同保證等級的認(rèn)證服務(wù)�。身份/屬性提供模塊維護一套相應(yīng)的策略,并對不同類型的服務(wù)區(qū)分保證等級�,不同保證等級對應(yīng)不同的認(rèn)證方法和不同維度的認(rèn)證因素��,還有可能關(guān)聯(lián)不同的權(quán)威數(shù)據(jù)源�。不同身份/屬性提供模塊的保證等級策略可能是不同的����,依賴方模塊與身份/屬性提供模塊之間同樣也需要協(xié)商保證等級,否則會導(dǎo)致服務(wù)授權(quán)錯誤�����。
[0089]主體查詢/審查監(jiān)控單元:包括安全機制所執(zhí)行的監(jiān)控��、確認(rèn)和核查行為����,以及用于保存一些導(dǎo)致狀態(tài)變化的事件或行為的審查結(jié)構(gòu)���。并向主體提供查詢接口���。[0090]隱私保護單元:身份/屬性提供模塊僅收集主體身份證明必需的屬性信息,僅向依賴方模塊提供服務(wù)所必需的屬性信息斷言�。對外提供主體身份屬性信息時,征求主體模塊許可���。
[0091](3)應(yīng)用子系統(tǒng):典型的依賴方模塊應(yīng)用如:網(wǎng)絡(luò)實名����、電子交易、人口動態(tài)管理應(yīng)用等�。主體模塊請求接入依賴方模塊,使用多樣化的憑據(jù)進(jìn)行身份查驗�,如:智能卡、USB_Key�����、SIM卡�����、用戶名/ 口令等����。依賴方模塊驗證身份/屬性提供模塊的斷言,也可以申請將依賴方模塊中主體標(biāo)識與主體網(wǎng)絡(luò)身份進(jìn)行綁定�。同一個主體模塊的網(wǎng)絡(luò)身份在依賴方模塊不同的應(yīng)用系統(tǒng)對應(yīng)不同的主體標(biāo)識,如對應(yīng)不同的帳號����、匿名或使用假名����,這些都可以作為屬性�����,綁定在主體網(wǎng)絡(luò)身份上���。依賴方模塊應(yīng)用系統(tǒng)并不知道該主體模塊在其它系統(tǒng)的標(biāo)識體現(xiàn)形式�。
[0092]主體模塊:個體或非用戶實體(包括組織�����、硬件�、網(wǎng)絡(luò)�����、軟件或者服務(wù)等)����。主體模塊從身份/屬性提供模塊那里獲得使用假名的或者唯一標(biāo)識的憑據(jù),使用憑據(jù)進(jìn)行在線交易���。
[0093]身份代理單元:為依賴方模塊認(rèn)證提供持續(xù)的用戶體驗�,并提供主體交互界面??捎蓴U展瀏覽器、本地多樣的客戶端或特殊終端設(shè)備調(diào)用���。
[0094]憑據(jù)選擇單元:在滿足依賴方模塊應(yīng)用接入需求的同時����,主體模塊可以自由選擇憑據(jù)進(jìn)行認(rèn)證���。
[0095]信任標(biāo)識核查單元:主體模塊通過核對依賴方模塊是否有信任標(biāo)識�����,來選擇依賴方模塊�。信任標(biāo)識說明依賴方模塊滿足網(wǎng)絡(luò)空間身份管理體系的要求��。當(dāng)主體模塊訪問依賴方模塊的在線服務(wù)時����,信任標(biāo)識可以電子驗證。
[0096]委托單元:主體模塊可以委托并授權(quán)其他主體模塊行使相關(guān)權(quán)利�����。
[0097]憑據(jù)申請和存儲單元:用于申請和存儲用戶交易的憑據(jù)。憑據(jù)的形式是多樣化的�,如智能卡、USB_Key�����、SM卡����、用戶名/ 口令等。
[0098]依賴模塊:通過主體模塊的憑據(jù)做出交易決定���。依賴方模塊選擇和信任身份/屬性供應(yīng)模塊�。依賴方模塊無需整合所有的憑據(jù)類型����,依賴方模塊信任身份/屬性供應(yīng)模塊對主體憑據(jù)的斷言��。有時�����,依賴方模塊也需要向主體模塊鑒定和認(rèn)證自身。依賴方模塊可以選擇證明的強度和獲取服務(wù)所需要的屬性�����。
[0099]請求認(rèn)證與憑據(jù)選擇單元:依賴方模塊根據(jù)服務(wù)�,選擇主體模塊需要證明的強度和獲取服務(wù)所需要的屬性。
[0100]身份令牌/斷言解析單元:解析來自身份/屬性提供模塊的斷言�����。
[0101]授權(quán)單元:服務(wù)的授權(quán)和憑據(jù)的驗證是分離的���。通常身份/屬性提供模塊負(fù)責(zé)憑據(jù)驗證��,依賴方模塊控制服務(wù)授權(quán)�。
[0102]保證等級審核單元:對不同的身份/屬性提供模塊和不同方式的憑據(jù)斷言����,依賴方模塊根據(jù)自身的策略進(jìn)行保證等級審核。根據(jù)評定的信任度����,來提供相應(yīng)安全等級的服務(wù)。依賴方模塊在進(jìn)行服務(wù)授權(quán)時,信任度是一個重要的依據(jù)�。關(guān)鍵的服務(wù)是不允許授權(quán)給信任度很低的認(rèn)證斷言的。
[0103]主體標(biāo)識管理單元:依賴方模塊可以根據(jù)服務(wù)類型選擇是否需要進(jìn)行用主體標(biāo)識管理���。
[0104]聯(lián)邦代理單元:身份聯(lián)邦可以使得身份信息非集中化存放��,而可以實現(xiàn)在聯(lián)盟圈內(nèi)的單點登錄和登出����。當(dāng)某個身份/屬性提供模塊通過一定的協(xié)議向依賴方模塊發(fā)起聯(lián)邦請求時���,依賴方模塊需要聯(lián)邦代理來解析這些聯(lián)邦請求�����,并作出是否聯(lián)邦的響應(yīng)�����。
[0105]本發(fā)明網(wǎng)絡(luò)空間身份管理系統(tǒng)以用戶為中心��,支持安全交易、匿名認(rèn)證等���。網(wǎng)絡(luò)空間身份管理系統(tǒng)將實現(xiàn)如下4個方面的功能:(I)安全����,網(wǎng)絡(luò)空間活動得到保護,不易受到犯罪分子危害�;(2)方便易用,盡可能采用自動化的身份解決方案和易于運營的技術(shù)��,主體可以管理更少的帳戶和口令�;(3)隱私保護,主體相信其數(shù)據(jù)能夠得到公平和透明的處理�����;
(4)靈活�����,提供多樣化的身份憑據(jù)��。
[0106]請參閱圖2�����,圖2為網(wǎng)絡(luò)身份管理流程圖��,為建立網(wǎng)絡(luò)身份的流程,包括注冊�、維護、使用和注銷四個步驟�����。
[0107]注冊:主體模塊向網(wǎng)絡(luò)身份管理模塊或身份/屬性提供模塊申請登記一個新的網(wǎng)絡(luò)身份�����,或向網(wǎng)絡(luò)身份管理模塊申請更新一個已有的網(wǎng)絡(luò)身份����。主體模塊可以離線申請,到網(wǎng)絡(luò)身份管理模塊進(jìn)行身份信息采集��,完成登記和更新�。主體模塊也可以通過身份/屬性提供模塊進(jìn)行在線申請,不同身份/屬性提供模塊通過身份信息采集�����,發(fā)布了不同的憑據(jù)���,并可以進(jìn)行認(rèn)證��,如智能卡��、USB-Key> SIM卡���、用戶名/ 口令等。主體模塊可以使用多樣化的憑據(jù)����,由身份/屬性提供模塊將采集的相關(guān)身份信息提交給網(wǎng)絡(luò)身份管理模塊,完成網(wǎng)絡(luò)身份的登記����。申請登記新的網(wǎng)絡(luò)身份時,網(wǎng)絡(luò)身份管理模塊應(yīng)檢查該用戶是否已經(jīng)登記過網(wǎng)絡(luò)身份����。網(wǎng)絡(luò)身份管理模塊可向居民身份證管理機構(gòu)和組織管理機構(gòu)等提交身份信息核查,未通過核查的主體模塊將不予登記網(wǎng)絡(luò)身份��。網(wǎng)絡(luò)身份管理模塊將采集的身份信息和網(wǎng)絡(luò)身份進(jìn)行綁定或更新已有的身份信息�����。注冊成功后��,網(wǎng)絡(luò)身份管理模塊向身份/屬性提供模塊發(fā)布相關(guān)信息。
[0108]維護:網(wǎng)絡(luò)身份管理模塊對主體模塊身份相關(guān)數(shù)據(jù)(如標(biāo)識符����、屬性)和數(shù)據(jù)狀態(tài)進(jìn)行安全管理和維護,記錄身份信息中相關(guān)屬性的更新�,并向該主體模塊和身份/屬性提供模塊提供通知。主體模塊可以向網(wǎng)絡(luò)身份管理模塊出示證明���,申請屬性變更�。身份/屬性提供模塊可以從網(wǎng)絡(luò)身份管理模塊獲得最新的屬性信息�����。當(dāng)使用過程中出現(xiàn)屬性爭議時��,以權(quán)威網(wǎng)絡(luò)身份數(shù)據(jù)庫的屬性記錄為準(zhǔn)���,并對有爭議的屬性進(jìn)行更新��。網(wǎng)絡(luò)身份管理模塊應(yīng)周期性對身份相關(guān)數(shù)據(jù)狀態(tài)進(jìn)行確認(rèn)�����。主體模塊可以向網(wǎng)絡(luò)身份管理模塊申請暫停網(wǎng)絡(luò)身份及相關(guān)數(shù)據(jù)的使用���,網(wǎng)絡(luò)身份管理模塊也可以依照相關(guān)規(guī)定暫停主體網(wǎng)絡(luò)身份及相關(guān)數(shù)據(jù)的使用��。暫停使用指對主體身份及相關(guān)數(shù)據(jù)的有效性進(jìn)行撤除����,仍然保留原始數(shù)據(jù)�����。
[0109]使用:主體模塊��、依賴方模塊���、身份/屬性提供模塊三方進(jìn)行交互,主體模塊可以使用身份/屬性提供模塊認(rèn)證的身份/屬性斷言登錄依賴方模塊應(yīng)用系統(tǒng)�,依賴方模塊并不需要知道主體模塊的真實身份,支持匿名使用����,實現(xiàn)接入控制。單點登錄和單點登出是典型的應(yīng)用示例�。但是,網(wǎng)絡(luò)身份并不局限于依賴方模塊應(yīng)用的接入控制��,而是意味著將有一個唯一的數(shù)字代表主體,可以供多種目的使用��,如審計���、追溯等�。接入控制只是其中的一個目的���。
[0110]注銷:主體模塊可以向網(wǎng)絡(luò)身份管理模塊申請注銷網(wǎng)絡(luò)身份及相關(guān)數(shù)據(jù)�����。當(dāng)主體模塊生命周期終止時�,網(wǎng)絡(luò)身份管理模塊也可以依照相關(guān)規(guī)定注銷該主體模塊的網(wǎng)絡(luò)身份及相關(guān)數(shù)據(jù)�����。身份/屬性提供模塊可以從網(wǎng)絡(luò)身份管理模塊獲得最新的信息�����。注銷時�����,對網(wǎng)絡(luò)身份及相關(guān)數(shù)據(jù)進(jìn)行歸檔,網(wǎng)絡(luò)身份及整個生命周期過程中產(chǎn)生的所有數(shù)據(jù)都將徹底銷毀�����,不會留下任何痕跡����。注銷后應(yīng)防止繼續(xù)使用無效的網(wǎng)絡(luò)身份及相關(guān)數(shù)據(jù)。[0111]綜上所述���,本發(fā)明實施例的有益效果為:
[0112]社會信息化身份管理系統(tǒng)已經(jīng)不僅僅局限于對人口社會屬性的管理,網(wǎng)絡(luò)空間的身份��、行為�、屬性同樣要納入統(tǒng)一管理的范疇。網(wǎng)絡(luò)空間身份管理體系提供了一個統(tǒng)一的管理平臺��,增強對主體的隱私保護�����,僅采集和交流必需的信息�����;提供安全的解決方案,保證機密性���、完整性�、可用性和不可抵賴性����,能夠認(rèn)證身份,抵抗盜竊�、篡改和偽造,并作為法律證據(jù)���。
[0113]支持使用現(xiàn)實身份進(jìn)行網(wǎng)絡(luò)空間身份注冊��,避免了直接為主體發(fā)放數(shù)字證書和建立全國大規(guī)模統(tǒng)一的CA建設(shè)����,避免了 CA系統(tǒng)的互聯(lián)互通問題����,同時保證了網(wǎng)絡(luò)身份信息的機密性、完整性����、有效性���。
[0114]支持多樣化的憑據(jù)注冊網(wǎng)絡(luò)身份,支持網(wǎng)絡(luò)身份離線注冊和在線注冊����,易于用戶使用,能夠安全可靠地獲取唯一網(wǎng)絡(luò)身份憑據(jù)���。
[0115]應(yīng)用子系統(tǒng)僅可見本應(yīng)用中的主體標(biāo)識�,保證了實名應(yīng)用中的匿名性���。
[0116]顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精神和范圍��。這樣�����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)���,則本發(fā)明也意圖包含這些改動和變型在內(nèi)�。
【權(quán)利要求】
1.一種三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng),其特征在于�����,包括:支撐子系統(tǒng)��、服務(wù)子系統(tǒng)��、應(yīng)用子系統(tǒng)���; 所述支撐子系統(tǒng)����,用于為主體模塊創(chuàng)建—對應(yīng)的網(wǎng)絡(luò)身份,并為創(chuàng)建的主體網(wǎng)絡(luò)身份分配相應(yīng)的身份和/或?qū)傩?��;對可信?biāo)志��、身份/屬性提供模塊��、依賴方模塊進(jìn)行審核���;網(wǎng)絡(luò)身份管理模塊可向居民身份證管理機構(gòu)和組織管理機構(gòu)等提交身份信息核查;和/或根據(jù)接收到的更新指令更新網(wǎng)絡(luò)身份相應(yīng)的身份和/或?qū)傩?���,?或根據(jù)接收到的注銷指令注銷網(wǎng)絡(luò)身份和/或?qū)傩裕? 所述服務(wù)子系統(tǒng)���,用于由不同的身份/屬性提供模塊對不同的憑據(jù)進(jìn)行管理,并向應(yīng)用子系統(tǒng)提供最低限度的身份/屬性斷言����,根據(jù)所述主體網(wǎng)絡(luò)身份申請向所述支撐子系統(tǒng)發(fā)送相應(yīng)的注冊指令和/或更新指令和/或注銷指令,并根據(jù)所述用戶身份信息向所述支撐子系統(tǒng)發(fā)送相應(yīng)的身份和/或?qū)傩裕? 所述應(yīng)用子系統(tǒng)���,包括多個主體模塊和多個依賴方模塊����,主體向服務(wù)子系統(tǒng)發(fā)送網(wǎng)絡(luò)身份申請及相關(guān)信息�����,其中�����,所述網(wǎng)絡(luò)身份申請包括注冊網(wǎng)絡(luò)身份和/或更新網(wǎng)絡(luò)身份和/或注銷網(wǎng)絡(luò)身份���,主體模塊使用多樣化的憑據(jù)進(jìn)行身份查驗�,并向服務(wù)子系統(tǒng)提交身份查驗請求���;依賴方模塊驗證身份/屬性提供商的斷言��,也可以申請將主體標(biāo)識與網(wǎng)絡(luò)身份進(jìn)行綁定����。
2.根據(jù)權(quán)利要求1所述的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)�����,其特征在于�,所述支撐子系統(tǒng)包括:審核模塊、網(wǎng)絡(luò)身份管理模塊和審計模塊����; 所述審核模塊, 用于根據(jù)接收到申請對可信標(biāo)志�、身份/屬性提供模塊、依賴方模塊進(jìn)行審核�; 所述網(wǎng)絡(luò)身份管理模塊,可向居民身份證管理機構(gòu)和組織管理機構(gòu)等提交身份信息核查,為主體模塊創(chuàng)建--對應(yīng)的網(wǎng)絡(luò)身份�;并為創(chuàng)建的主體網(wǎng)絡(luò)身份分配相應(yīng)的身份和/或?qū)傩裕缓?或根據(jù)接收到的更新指令更新網(wǎng)絡(luò)身份相應(yīng)的身份和/或?qū)傩?�;?或根據(jù)接收到的注銷指令注銷網(wǎng)絡(luò)身份和/或?qū)傩裕? 所述審計模塊,用于統(tǒng)計并存儲所述支撐子系統(tǒng)的操作日志�,并向主體模塊提供通知。
3.根據(jù)權(quán)利要求1所述的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)����,其特征在于,所述服務(wù)子系統(tǒng)包括:發(fā)現(xiàn)方模塊���、可信第三方模塊�����、至少一個身份屬性提供模塊���; 所述發(fā)現(xiàn)方模塊,用于對身份發(fā)現(xiàn)請求進(jìn)行解析�,并根據(jù)路由規(guī)則找到與身份標(biāo)識對應(yīng)的身份/屬性提供模塊; 所述可信第三方模塊���,包括第三方信任服務(wù)單元�,用于完成不同身份屬性提供模塊之間的信任傳遞�����; 所述身份屬性提供模塊���,用于建立����、維護和保證與主體模塊相關(guān)的網(wǎng)絡(luò)身份的安全�����,在必要時撤銷��、掛起和恢復(fù)主體模塊的網(wǎng)絡(luò)身份�,并向所述支撐子系統(tǒng)發(fā)送所述相應(yīng)的身份和/或?qū)傩浴⒆院?或更新和/或注銷聲明�。
4.根據(jù)權(quán)利要求3所述的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)的服務(wù)子系統(tǒng),其特征在于��,所述身份屬性提供模塊用于建立��、維護和保證與主體網(wǎng)絡(luò)身份屬性的安全�����; 所述身份屬性提供模塊包括: 身份屬性服務(wù)和橋接服務(wù)單元�,用于轉(zhuǎn)換身份/屬性格式�����; 聯(lián)邦網(wǎng)關(guān)單元����,用于映射多個依賴方模塊和身份屬性提供模塊�,實現(xiàn)訪問多個服務(wù)的統(tǒng)一認(rèn)證; 安全認(rèn)證服務(wù)單元�,用于對憑據(jù)進(jìn)行認(rèn)證; 身份信息確認(rèn)單元����,用于確認(rèn)申請的主體模塊是身份信息的合法擁有者或授權(quán)持有者; 信用管理服務(wù)單元�,用于根據(jù)歷史行為數(shù)據(jù)或依賴方模塊的反饋信息,評估主體模塊信用��; 主體標(biāo)識與網(wǎng)絡(luò)身份綁定單元���,用于提供依賴方模塊中主體標(biāo)識與主體網(wǎng)絡(luò)身份的綁定; 身份校驗單元���,用于比較所提交的身份聲明與事先證明的信息,確認(rèn)提交的身份聲明正確; 注冊代理單元��,用于身份/屬性提供模塊向發(fā)現(xiàn)方模塊注冊�,和主體模塊向身份/屬性提供模塊注冊�����; 憑據(jù)管理單元����,用于提供憑據(jù)的發(fā)布、更新���、使用和維護等�����; 保證等級管理單元�,用于為主體模塊和依賴方模塊提供不同保證等級的認(rèn)證�����; 主體查詢和審查監(jiān)控單元�����,用于監(jiān)控、確認(rèn)�、核查、保存導(dǎo)致狀態(tài)變化的事件或行為��,并向主體模塊提供查詢接口����; 隱私保護單元,用于僅收集主體身份證明必需的屬性信息�,向依賴方模塊提供服務(wù)所必須的身份/屬性斷言,對外提供主體身份信息時�,征求主體模塊許可。
5.根據(jù)權(quán)利要求1所述的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)����,其特征在于,所述應(yīng)用子系統(tǒng)包括至少一個主體模塊和至少一個依賴方模塊����; 所述主體模塊,包括個體或非用戶實體(包括組織����、硬件、網(wǎng)絡(luò)、軟件或者服務(wù)等)�,從身份/屬性提供模塊獲得憑據(jù),并使用憑據(jù)與依賴方模塊在線交易��; 所述依賴方模塊�����,選擇身份/屬性提供模塊�,信任身份/屬性提供模塊對主體憑據(jù)的斷言�����,依據(jù)主體模塊的憑據(jù)做出交易決定���;能夠選擇憑據(jù)的強度和獲取服務(wù)所需要的屬性�����。
6.根據(jù)權(quán)利要求5所述的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)����,其特征在于����,所述主體模塊包括: 身份代理單元�����,用于向主體模塊提供交互界面����,可由擴展瀏覽器�����、本地多樣的客戶端或特殊終端設(shè)備調(diào)用��; 憑據(jù)選擇單元����,用于主體模塊自由選擇憑據(jù)認(rèn)證,滿足依賴方模塊需求�����; 信任標(biāo)識核查單元�,信任標(biāo)識說明依賴方模塊滿足網(wǎng)絡(luò)空間身份管理要求,主體模塊依據(jù)信任標(biāo)識選擇依賴方模塊����; 委托單元����,主體模塊可以委托并授權(quán)其他主體模塊行使相關(guān)權(quán)利�; 憑據(jù)申請和存儲單元,憑據(jù)的形式是多樣化的����,包括但不局限于智能卡、USB - Key�、SIM卡���、用戶名/ 口令等�����。
7.根據(jù)權(quán)利要求5所述的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)���,其特征在于,所述依賴方模塊包括: 請求認(rèn)證與憑據(jù)選擇單元��,用于選擇主體模塊需要證明的強度和獲取服務(wù)所需要的屬性�; 身份令牌/斷言解析單元���,用于解析來自身份/屬性提供模塊的斷言;授權(quán)單元�,用于服務(wù)授權(quán),由依賴方模塊控制服務(wù)授權(quán)�,身份/屬性提供模塊負(fù)責(zé)憑據(jù)驗證; 保證等級審核單元���,用于依賴方模塊依據(jù)不同的身份/屬性提供模塊和不同形式的憑據(jù)斷言���,根據(jù)自身的策略進(jìn)行保證等級審核,提供相應(yīng)安全等級的服務(wù)�����,關(guān)鍵的服務(wù)不允許授權(quán)給低等級的斷言���; 主體標(biāo)識管理單元����,用于依賴方模塊根據(jù)服務(wù)類型選擇是否需要進(jìn)行主體標(biāo)識管理����; 聯(lián)邦代理單元:用于在聯(lián)盟圈內(nèi)實現(xiàn)單點登錄和登出�����。
8.根據(jù)權(quán)利要求2所述的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)���,其特征在于,所述的支撐子系統(tǒng)提供統(tǒng)一的身份管理方法��,由權(quán)威的網(wǎng)絡(luò)空間身份數(shù)據(jù)源保證主體模塊和依賴方模塊互相確認(rèn)身份��,實現(xiàn)互通共用的網(wǎng)絡(luò)空間身份管理框架��。
9.根據(jù)權(quán)利要求4所述的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)�����,其特征在于�����,所述身份屬性提供模塊提供最低限度身份/屬性斷言��,身份/屬性提供模塊僅收集主體身份證明必需的屬性信息����,僅向依賴方模塊提供服務(wù)所必須的身份/屬性斷言。
10.根據(jù)權(quán)利要求1所述的三層結(jié)構(gòu)的網(wǎng)絡(luò)空間身份管理系統(tǒng)����,其特征在于,所述系統(tǒng)提供��、申請�、存儲、使用多樣化的憑據(jù)�,包括智能卡、USB-Key���、SIM卡����、用戶名/ 口令等���; 所述身份屬性提供模塊�,提供多樣化憑據(jù)的發(fā)布����、更新、使用和維護���,并對多樣化的憑據(jù)進(jìn)行認(rèn)證����; 所述主體模塊,能夠申請和存儲多樣化的憑據(jù)�,并自由選擇憑據(jù)進(jìn)行認(rèn)證; 所述依賴方模塊�,用于選擇主體模塊需要證明的強度和獲取服務(wù)所需要的屬性,接受對多樣化憑據(jù)認(rèn)證的斷言��。
【文檔編號】H04L12/24GK103916267SQ201410096407
【公開日】2014年7月9日 申請日期:2014年3月14日 優(yōu)先權(quán)日:2014年3月14日
【發(fā)明者】張知恒, 吳江, 周斌, 王萌希 申請人:興唐通信科技有限公司