三层结构的网络空间身份管理系统技术方案

本发明专利技术公开了一种三层结构的网络空间身份管理系统，包括支撑子系统、服务子系统、应用子系统。其中支撑子系统用于为主体模块创建一一对应的网络身份，并为创建的主体网络身份分配相应的身份和/或属性。服务子系统用于由不同的身份/属性提供模块对不同的凭据进行管理，并向应用子系统提供最低限度的身份/属性断言，根据所述主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令，并根据所述主体身份信息向所述支撑子系统发送相应的身份和/或属性。应用子系统包括多个主体模块和多个依赖方模块，主体模块向服务子系统发送网络身份申请及相关信息。

【技术实现步骤摘要】
三层结构的网络空间身份管理系统
本专利技术属于计算机技术与信息安全领域，涉及一种三层结构的网络空间身份管理系统。
技术介绍
在网络空间中，人们可以开展社团组织、交友沟通、电子交易等活动，也能借助网络进行生产、学习、交易的互动。借助网络空间，人们提高了生产率、开发了新的平台、创建了新的商务场所。但是在线活动的不断增加，也使网络空间中的威胁不断增加。网络空间活动存在欺诈的威胁。随着人们可以在线获取越来越多的服务，网络空间中传播的信息总量急剧膨胀，数据失窃、篡改、欺诈和隐私泄露等造成的损失不断增加，在线入侵甚至威胁到国家关键基础设施的安全。现在的网络空间用户信息管理不合理，一旦用户提交信息，就几乎没有能力管理，这迫使用户不得不在安全隐私和获取服务之间进行权衡。另外，现在网络空间中并没有一个互通共用的框架，需要维护很多不同的用户名和密码，极大增加了用户和服务提供商的负担。有些用户为减少麻烦在不同的应用中使用同样的用户名和密码，从而给不法分子更多可乘之机，大大降低了应用的安全性。网络空间开放式的信息共享增加了个人隐私受到威胁的风险，未经允许公布个人身份信息和敏感属性造成的伤害和歧视事件在不断增加，受到误导或不准确信息影响的用户对网络空间的信任度降低，对新服务犹豫不决，不利于新技术的产生和推广使用。因此，随着现实社会在网络空间的不断延伸，重要的网络空间活动越来越多，网络空间的安全和现实社会的安全一样重要，与个人、社会、国家多个层面利益攸关。身份是重要的网络空间安全基础，我们需要统一的身份管理体系支撑网络空间安全。
技术实现思路
本专利技术实施例提供一种三层结构的网络空间身份管理系统，能够建立现实身份和网络身份的统一管理平台，保证网络空间中在线交互的实体能够相互信任。本专利技术实施例采用如下技术方案:提供一种三层结构的网络空间身份管理系统，包括:支撑子系统、服务子系统、应用子系统；所述支撑子系统，用于为主体模块创建--对应的网络身份,并为创建的主体网络身份分配相应的身份和/或属性；对可信标志、身份/属性提供模块、依赖方模块进行审核；网络身份管理模块可向居民身份证管理机构和组织管理机构等提交身份信息核查；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性，和/或根据接收到的注销指令注销网络身份和/或属性；所述服务子系统，用于由不同的身份/属性提供模块对不同的凭据进行管理，并向应用子系统提供最低限度的身份/属性断言，根据所述主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令，并根据所述主体身份信息向所述支撑子系统发送相应的身份和/或属性；所述应用子系统，包括多个主体模块和多个依赖方模块，主体模块向服务子系统发送网络身份申请及相关信息，其中，所述网络身份申请包括注册网络身份和/或更新网络身份和/或注销网络身份，主体模块使用多样化的凭据进行身份查验，并向服务子系统提交身份查验请求；依赖方模块验证身份/属性提供模块的断言，也可以申请将主体标识与网络身份进行绑定。可选的，所述支撑子系统包括:审核模块、网络身份管理模块和审计模块；所述审核模块，用于根据接收到申请对可信标志、身份/属性提供模块、依赖方模块进行审核；所述网络身份管理模块，可向居民身份证管理机构和组织管理机构等提交身份信息核查，为主体模块创建--对应的网络身份；并为创建的主体网络身份分配相应的身份和/或属性；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性；和/或根据接收到的注销指令注销网络身份和/或属性。所述审计模块，用于统计并存储所述支撑子系统的操作日志，并向主体模块提供通知。可选的，所述服务子系统包括:发现方模块、可信第三方模块、至少一个身份属性提供1?块；所述发现方模块，用于对身份发现请求进行解析，并根据路由规则找到与身份标识对应的身份/属性提供模块；所述可信第三方模块，包括第三方信任服务单元，用于完成不同身份属性提供模块之间的信任传递；所述身份属性提供模块，用于建立、维护和保证与主体模块相关的网络身份的安全，在必要时撤销、挂起和恢复主体模块的网络身份，并向所述支撑子系统发送所述相应的身份和/或属性、注册和/或更新和/或注销声明。可选的，所述身份属性提供模块用于建立、维护和保证与主体网络身份属性的安全；所述身份属性提供模块包括:身份属性服务和桥接服务单元，用于转换身份/属性格式；联邦网关单元，用于映射多个依赖方模块和身份属性提供模块，实现访问多个服务的统一认证；安全认证服务单元，用于对凭据进行认证；身份信息确认单元，用于确认申请的主体模块是身份信息的合法拥有者或授权持有者；信用管理服务单元，用于根据历史行为数据或依赖方模块的反馈信息，评估主体模块信用；主体标识与网络身份绑定单元，用于提供依赖方模块主体标识与主体网络身份的绑定； 身份校验单元，用于比较所提交的身份声明与事先证明的信息，确认提交的身份声明正确；注册代理单元，用于身份/属性提供模块向发现方模块注册，和主体模块向身份/属性提供模块注册；凭据管理单元，用于提供凭据的发布、更新、使用和维护等；保证等级管理单元，用于为主体模块和依赖方模块提供不同保证等级的认证；主体查询和审查监控单元，用于监控、确认、核查、保存导致状态变化的事件或行为，并向主体模块提供查询接口 ；隐私保护单元，用于仅收集主体身份证明必需的属性信息，向依赖方模块提供服务所必须的身份/属性断言，对外提供主体身份信息时，征求主体模块许可。可选的，所述应用子系统包括至少一个主体模块和至少一个依赖方模块；所述主体模块，包括个体或非用户实体(包括组织、硬件、网络、软件或者服务等)，从身份/属性提供模块获得凭据，并使用凭据与依赖方模块在线交易；所述依赖方模块，选择身份/属性提供模块，信任身份/属性提供模块对主体凭据的断言，依据主体模块的凭据做出交易决定。可以选择凭据的强度和获取服务所需要的属性。可选的，所述主体模块包括:身份代理单元，用于向主体模块提供交互界面，可由扩展浏览器、本地多样的客户端或特殊终端设备调用；凭据选择单元，用于主体模块自由选择凭据认证，满足依赖方模块需求；信任标识核查单元，信任标识说明依赖方模块满足网络空间身份管理要求，主体模块依据信任标识选择依赖方模块；委托单元，主体模块可以委托并授权其他主体模块行使相关权利；凭据申请和存储单元，凭据的形式是多样化的，包括但不局限于智能卡、USB-Key、SM卡、用户名/ 口令等。可选的，所述依赖方模块包括:请求认证与凭据选择单元，用于选择主体模块需要证明的强度和获取服务所需要的属性；身份令牌/断言解析单元，用于解析来自身份/属性提供模块的断言；授权单元，用于服务授权，由依赖方模块控制服务授权，身份/属性提供模块负责凭据验证；保证等级审核单元，用于依赖方模块依据不同的身份/属性提供模块和不同形式的凭据断言，根据自身的策略进行保证等级审核，提供相应安全等级的服务，关键的服务不允许授权给低等级的断言；主体标识管理单元，用于依赖方模块根据服务类型选择是否需要进行用户身份标识管理；联邦代理单元:用于在联盟圈内实现单点登录和登出。可选的，提供统一的身份管理方法，由权威的网络空间身份数据源保证主体模块和依赖方模块互相确认身份，实现互通共用的网络空间身份管理本文档来自技高网...

【技术保护点】
一种三层结构的网络空间身份管理系统，其特征在于，包括：支撑子系统、服务子系统、应用子系统；所述支撑子系统，用于为主体模块创建一一对应的网络身份，并为创建的主体网络身份分配相应的身份和/或属性；对可信标志、身份/属性提供模块、依赖方模块进行审核；网络身份管理模块可向居民身份证管理机构和组织管理机构等提交身份信息核查；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性，和/或根据接收到的注销指令注销网络身份和/或属性；所述服务子系统，用于由不同的身份/属性提供模块对不同的凭据进行管理，并向应用子系统提供最低限度的身份/属性断言，根据所述主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令，并根据所述用户身份信息向所述支撑子系统发送相应的身份和/或属性；所述应用子系统，包括多个主体模块和多个依赖方模块，主体向服务子系统发送网络身份申请及相关信息，其中，所述网络身份申请包括注册网络身份和/或更新网络身份和/或注销网络身份，主体模块使用多样化的凭据进行身份查验，并向服务子系统提交身份查验请求；依赖方模块验证身份/属性提供商的断言，也可以申请将主体标识与网络身份进行绑定。...

【技术特征摘要】
1.一种三层结构的网络空间身份管理系统，其特征在于，包括:支撑子系统、服务子系统、应用子系统； 所述支撑子系统，用于为主体模块创建—对应的网络身份,并为创建的主体网络身份分配相应的身份和/或属性；对可信标志、身份/属性提供模块、依赖方模块进行审核；网络身份管理模块可向居民身份证管理机构和组织管理机构等提交身份信息核查；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性，和/或根据接收到的注销指令注销网络身份和/或属性； 所述服务子系统，用于由不同的身份/属性提供模块对不同的凭据进行管理，并向应用子系统提供最低限度的身份/属性断言，根据所述主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令，并根据所述用户身份信息向所述支撑子系统发送相应的身份和/或属性； 所述应用子系统，包括多个主体模块和多个依赖方模块，主体向服务子系统发送网络身份申请及相关信息，其中，所述网络身份申请包括注册网络身份和/或更新网络身份和/或注销网络身份，主体模块使用多样化的凭据进行身份查验，并向服务子系统提交身份查验请求；依赖方模块验证身份/属性提供商的断言，也可以申请将主体标识与网络身份进行绑定。2.根据权利要求1所述的三层结构的网络空间身份管理系统，其特征在于，所述支撑子系统包括:审核模块、网络身份管理模块和审计模块； 所述审核模块， 用于根据接收到申请对可信标志、身份/属性提供模块、依赖方模块进行审核； 所述网络身份管理模块，可向居民身份证管理机构和组织管理机构等提交身份信息核查,为主体模块创建--对应的网络身份；并为创建的主体网络身份分配相应的身份和/或属性；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性；和/或根据接收到的注销指令注销网络身份和/或属性； 所述审计模块，用于统计并存储所述支撑子系统的操作日志，并向主体模块提供通知。3.根据权利要求1所述的三层结构的网络空间身份管理系统，其特征在于，所述服务子系统包括:发现方模块、可信第三方模块、至少一个身份属性提供模块； 所述发现方模块，用于对身份发现请求进行解析，并根据路由规则找到与身份标识对应的身份/属性提供模块； 所述可信第三方模块，包括第三方信任服务单元，用于完成不同身份属性提供模块之间的信任传递； 所述身份属性提供模块，用于建立、维护和保证与主体模块相关的网络身份的安全，在必要时撤销、挂起和恢复主体模块的网络身份，并向所述支撑子系统发送所述相应的身份和/或属性、注册和/或更新和/或注销声明。4.根据权利要求3所述的三层结构的网络空间身份管理系统的服务子系统，其特征在于，所述身份属性提供模块用于建立、维护和保证与主体网络身份属性的安全； 所述身份属性提供模块包括: 身份属性服务和桥接服务单元，用于转换身份/属性格式； 联邦网关单元，用于映射多个依赖方模块和身份属性提供模块，实现访问多个服务的统一认证； 安全认证服务单元，用于对凭据进行认证； 身份信息确认单元，用于确认申请的主体模块是身份信息的合法拥有者或授权持有者； 信用管理服务单元，用于根据历史行为数据或依赖方模块的反馈信息，评估主体模块信用； 主体标识与网络身份绑定单元，用于提供依赖方模块中主体标识与主体网络身份的绑定; 身份校验单元，用于比较所提交的身份声明与事先证明的信息，确认提交的身份声明正确； 注册代理单元，用于身份/属性提供模块向发现方...

【专利技术属性】
技术研发人员：张知恒，吴江，周斌，王萌希，
申请(专利权)人：兴唐通信科技有限公司，
类型：发明
国别省市：北京;11