【技术实现步骤摘要】
三层结构的网络空间身份管理系统
本专利技术属于计算机技术与信息安全领域,涉及一种三层结构的网络空间身份管理系统。
技术介绍
在网络空间中,人们可以开展社团组织、交友沟通、电子交易等活动,也能借助网络进行生产、学习、交易的互动。借助网络空间,人们提高了生产率、开发了新的平台、创建了新的商务场所。但是在线活动的不断增加,也使网络空间中的威胁不断增加。网络空间活动存在欺诈的威胁。随着人们可以在线获取越来越多的服务,网络空间中传播的信息总量急剧膨胀,数据失窃、篡改、欺诈和隐私泄露等造成的损失不断增加,在线入侵甚至威胁到国家关键基础设施的安全。现在的网络空间用户信息管理不合理,一旦用户提交信息,就几乎没有能力管理,这迫使用户不得不在安全隐私和获取服务之间进行权衡。另外,现在网络空间中并没有一个互通共用的框架,需要维护很多不同的用户名和密码,极大增加了用户和服务提供商的负担。有些用户为减少麻烦在不同的应用中使用同样的用户名和密码,从而给不法分子更多可乘之机,大大降低了应用的安全性。网络空间开放式的信息共享增加了个人隐私受到威胁的风险,未经允许公布个人身份信息和敏感属性造成的伤害和歧视事件在不断增加,受到误导或不准确信息影响的用户对网络空间的信任度降低,对新服务犹豫不决,不利于新技术的产生和推广使用。因此,随着现实社会在网络空间的不断延伸,重要的网络空间活动越来越多,网络空间的安全和现实社会的安全一样重要,与个人、社会、国家多个层面利益攸关。身份是重要的网络空间安全基础,我们需要统一的身份管理体系支撑网络空间安全。
技术实现思路
本专利技术实施例提供一种三层结构 ...
【技术保护点】
一种三层结构的网络空间身份管理系统,其特征在于,包括:支撑子系统、服务子系统、应用子系统;所述支撑子系统,用于为主体模块创建一一对应的网络身份,并为创建的主体网络身份分配相应的身份和/或属性;对可信标志、身份/属性提供模块、依赖方模块进行审核;网络身份管理模块可向居民身份证管理机构和组织管理机构等提交身份信息核查;和/或根据接收到的更新指令更新网络身份相应的身份和/或属性,和/或根据接收到的注销指令注销网络身份和/或属性;所述服务子系统,用于由不同的身份/属性提供模块对不同的凭据进行管理,并向应用子系统提供最低限度的身份/属性断言,根据所述主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令,并根据所述用户身份信息向所述支撑子系统发送相应的身份和/或属性;所述应用子系统,包括多个主体模块和多个依赖方模块,主体向服务子系统发送网络身份申请及相关信息,其中,所述网络身份申请包括注册网络身份和/或更新网络身份和/或注销网络身份,主体模块使用多样化的凭据进行身份查验,并向服务子系统提交身份查验请求;依赖方模块验证身份/属性提供商的断言,也可以申请将主体标识与网络身份进 ...
【技术特征摘要】
1.一种三层结构的网络空间身份管理系统,其特征在于,包括:支撑子系统、服务子系统、应用子系统; 所述支撑子系统,用于为主体模块创建—对应的网络身份,并为创建的主体网络身份分配相应的身份和/或属性;对可信标志、身份/属性提供模块、依赖方模块进行审核;网络身份管理模块可向居民身份证管理机构和组织管理机构等提交身份信息核查;和/或根据接收到的更新指令更新网络身份相应的身份和/或属性,和/或根据接收到的注销指令注销网络身份和/或属性; 所述服务子系统,用于由不同的身份/属性提供模块对不同的凭据进行管理,并向应用子系统提供最低限度的身份/属性断言,根据所述主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令,并根据所述用户身份信息向所述支撑子系统发送相应的身份和/或属性; 所述应用子系统,包括多个主体模块和多个依赖方模块,主体向服务子系统发送网络身份申请及相关信息,其中,所述网络身份申请包括注册网络身份和/或更新网络身份和/或注销网络身份,主体模块使用多样化的凭据进行身份查验,并向服务子系统提交身份查验请求;依赖方模块验证身份/属性提供商的断言,也可以申请将主体标识与网络身份进行绑定。2.根据权利要求1所述的三层结构的网络空间身份管理系统,其特征在于,所述支撑子系统包括:审核模块、网络身份管理模块和审计模块; 所述审核模块, 用于根据接收到申请对可信标志、身份/属性提供模块、依赖方模块进行审核; 所述网络身份管理模块,可向居民身份证管理机构和组织管理机构等提交身份信息核查,为主体模块创建--对应的网络身份;并为创建的主体网络身份分配相应的身份和/或属性;和/或根据接收到的更新指令更新网络身份相应的身份和/或属性;和/或根据接收到的注销指令注销网络身份和/或属性; 所述审计模块,用于统计并存储所述支撑子系统的操作日志,并向主体模块提供通知。3.根据权利要求1所述的三层结构的网络空间身份管理系统,其特征在于,所述服务子系统包括:发现方模块、可信第三方模块、至少一个身份属性提供模块; 所述发现方模块,用于对身份发现请求进行解析,并根据路由规则找到与身份标识对应的身份/属性提供模块; 所述可信第三方模块,包括第三方信任服务单元,用于完成不同身份属性提供模块之间的信任传递; 所述身份属性提供模块,用于建立、维护和保证与主体模块相关的网络身份的安全,在必要时撤销、挂起和恢复主体模块的网络身份,并向所述支撑子系统发送所述相应的身份和/或属性、注册和/或更新和/或注销声明。4.根据权利要求3所述的三层结构的网络空间身份管理系统的服务子系统,其特征在于,所述身份属性提供模块用于建立、维护和保证与主体网络身份属性的安全; 所述身份属性提供模块包括: 身份属性服务和桥接服务单元,用于转换身份/属性格式; 联邦网关单元,用于映射多个依赖方模块和身份属性提供模块,实现访问多个服务的统一认证; 安全认证服务单元,用于对凭据进行认证; 身份信息确认单元,用于确认申请的主体模块是身份信息的合法拥有者或授权持有者; 信用管理服务单元,用于根据历史行为数据或依赖方模块的反馈信息,评估主体模块信用; 主体标识与网络身份绑定单元,用于提供依赖方模块中主体标识与主体网络身份的绑定; 身份校验单元,用于比较所提交的身份声明与事先证明的信息,确认提交的身份声明正确; 注册代理单元,用于身份/属性提供模块向发现方...
【专利技术属性】
技术研发人员:张知恒,吴江,周斌,王萌希,
申请(专利权)人:兴唐通信科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。