一种支持业务安全标记的身份管理方法及系统技术方案

本发明专利技术涉及一种支持业务安全标记的身份管理方法及系统。该方法包括：用户申请注册身份时，除录入该用户的身份信息、证书有效期等信息外，还配置业务安全标记；然后将业务安全标记与用户的身份信息绑定；用户完成身份认证后，向返回给相关系统的认证信息或认证票据中添加业务安全标记，相关系统根据认证信息或认证票据查询获得用户的业务安全标记。本发明专利技术提供了一种身份管理过程中同步管理用户业务安全属性的方法，使得现有身份管理系统支持业务安全标记，将网络环境下共享服务和资源的业务安全属性作为身份信息的一部分与用户身份绑定；用户进行身份认证后可以为相关系统提供用户的业务安全标记，从而统一并规范用户在各系统中的授权行为。

An identity management method and system supporting business security mark

The invention relates to an identity management method and a system supporting a service security mark. This method includes: when a user applies for registration identity, in addition to entering the user's identity information, certificate validity and other information, it also configures the business security mark; then it binds the business security mark with the user's identity information; after the user completes the identity authentication, it adds the business security mark to the authentication information returned to the related system or the authentication bill, and the relevant system adds the business security mark according to the authentication information Or query the authentication bill to obtain the user's business security mark. The invention provides a method for synchronously managing the user's business security attribute in the identity management process, which enables the existing identity management system to support the business security tag, bind the business security attribute of shared services and resources under the network environment as a part of the identity information with the user's identity; the user can provide the relevant system with the user's business security tag after the identity authentication, So as to unify and standardize the authorization behavior of users in each system.

【技术实现步骤摘要】
一种支持业务安全标记的身份管理方法及系统
本专利技术涉及一种身份管理方法，尤其涉及一种基于业务安全标记的身份管理方法，属于计算机信息安全领域。
技术介绍
身份管理与认证技术是保护信息安全的一项重要技术，目前主要采用用户信息库、身份证书、属性证书等方法对用户的身份和相关用户属性信息进行管理。但传统的身份管理系统一般不管理用户在不同系统内的业务安全属性信息，这些信息往往由相关系统自行管理，当用户登录后，由相关系统再赋予用户。在网络环境下，这种缺乏业务安全信息的身份管理模式难以支持网络环境内各类系统形成统一规范的授权模式，不利于根据共享服务和资源的业务安全属性对其授权行为进行规范管理，难以全面理解用户在网络内所具有的业务安全属性及其与服务、资源授权的实际关系，很难建立统一的全局性用户安全管理视图并支持对资源不当授权或用户异常活动进行有效分析。
技术实现思路
针对现有身份管理系统中缺乏业务安全属性管理等问题，本专利技术的目的在于提供一种方法，用于为用户添加并管理业务安全标记信息，为相关应用和系统提供包含业务安全标记在内的用户身份信息，支持应用和系统基于用户业务安全标记信息对相关资源进行授权，从而统一并规范用户在各系统中的授权行为。为了实现上述目的，本专利技术提供了一种支持业务安全标记的身份管理方法，该方法包括以下步骤：Step1：管理用户业务安全标记。用户申请注册身份时，例如申请用户账号或申请身份证书时，除录入该用户的身份信息、证书有效期等信息外，还需配置该用户的业务安全标记，该标记表明用户的安全级别、业务分类等业务安全属性。Step2：绑定业务安全标记。身份管理系统审核完用户相关信息，建立用户身份时，将业务安全标记与用户身份信息绑定。此步骤可通过4种方式实现：方式1，将业务安全标记嵌入用户身份证书中；方式2，将业务安全标记嵌入与身份证书关联的属性证书中；方式3，将业务安全标记写入身份管理系统中该用户的身份信息库；方式4，将业务安全标记写入用户的usbKey等硬件或其他介质中。Step3：提供用户业务安全标记。用户向某系统完成身份认证后，除了提供一般身份信息外，向认证信息或认证票据中添加该用户的业务安全标记，并支持其他系统根据认证信息或认证票据查询获得用户的业务安全标记。其中，认证信息、认证票据是指身份认证过程中传递的携带用户身份、属性等的信息或票据。认证票据也可以理解为是认证信息的一种。为实现上述目的，本专利技术还提供了一种支持业务安全标记的身份管理系统，主要包括用户标记管理模块、标记关联模块：所述用户标记管理模块主要实现用户业务安全标记的管理，用户在申请注册身份时，通过该模块配置用户的业务安全标记，或对用户的业务安全标记进行变更。相关信息审核通过后，将用户业务安全标记与用户身份绑定。所述标记关联模块主要在用户完成身份认证后，向返回给相关系统的认证信息或认证票据中添加用户业务安全标记，并提供服务支持相关系统根据认证信息或认证票据查询获得用户的业务安全标记。本专利技术的有益效果是：本专利技术的支持业务安全标记的身份管理方法及系统，提供了一种身份管理过程中同步管理用户业务安全属性的方法，使得现有身份管理系统支持业务安全标记，将网络环境下共享服务和资源的业务安全属性作为身份信息的一部分，与用户身份绑定。用户进行身份认证后，可以为相关系统提供用户的业务安全标记，从而统一并规范用户在各系统中的授权行为，并可有效分析资源不当授权或用户异常活动情况。附图说明图1为本专利技术的支持业务安全标记的身份管理方法的基本流程图；图2为本专利技术的支持业务安全标记的身份管理系统的基本结构图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂，以下结合附图对本专利技术的优选实施例进行说明，应当理解，此处所描述的实施例仅用于说明和解释本专利技术，并不用于限定本专利技术。本专利技术的支持业务安全标记的身份管理方法的基本流程图请参见图1，下面将参考图1对本专利技术的支持业务安全标记的身份认证方法进行详述：1.业务安全标记业务安全标记M为一个包含多种业务安全属性的多元组，M＝<C，G，F>。其中C为安全级别；G为多个业务安全属性gi的集合，G＝{g1,g2,…gn}，gi可以为业务类别、工作组、角色、环境要求等业务安全属性；F为操作控制属性fj的集合，F＝{f1,f2,…fm}，fj可以为读写控制、打印控制、刻录控制、拷贝控制等操作类属性。数据等信息对象(资源)的业务安全标记记为M(r)＝<Cr，Gr，Fr>，用户、应用、进程等系统对象(主体)的业务安全标记记为M(s)＝<Cs，Gs>。主体标记M(s)与资源标记M(r)之间的关系有两种：支配关系与不可比。标记M(s)支配标记M(r)，当Cs≥Cr且我们记为M(s)≥M(r)，表示主体可支配客体。如果M(s)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体。如果则主体应根据该标记包含的具体操作控制属性fj限制对资源进行相应操作。2.配置用户的业务安全标记用户申请注册用户身份时，除提交一般的用户身份信息，如基本信息(用户ID、用户姓名、证书有效期)、相关属性等信息外，还需配置用户的业务安全标记，记为M(u)＝<Cu，Gu>，表明用户的安全级别、业务类别等业务安全属性。3.绑定用户的业务安全标记将用户业务安全标记M(u)与用户身份信息绑定。其中，可至少通过4种方式实现绑定：方式1，将业务安全标记M(u)嵌入用户身份证书中，此种方法将业务安全标记M(u)和用户身份信息签发在一张用户身份证书中，实现业务安全标记M(u)与用户身份信息绑定。方式2，将业务安全标记M(u)嵌入到与身份证书关联的属性证书中，在签发身份证书时，同时签发属性证书，实现业务安全标记M(u)与用户身份信息绑定。方式3，将业务安全标记M(u)写入身份管理系统中的该用户的身份信息库中，实现业务安全标记M(u)与用户身份信息绑定。方式4，将业务安全标记M(u)写入用户的usbKey等硬件或其他介质中，并实现业务安全标记M(u)与介质中用户身份信息绑定。4.提供用户的业务安全标记针对上述方式1，用户进行身份认证时，认证成功后，可通过读取用户的身份证书，向返回的认证信息或认证票据中添加用户业务安全标记，获得该用户的业务安全标记M(u)。针对上述方式2，用户进行身份认证时，认证成功后，可通过读取用户的属性证书，向返回的认证信息或认证票据中添加用户业务安全标记，获得该用户的业务安全标记M(u)。针对上述方式3，用户进行身份认证时，认证成功后，可通过访问身份管理系统，向返回的认证信息或认证票据中添加用户业务安全标记，获得该用户的业务安全标记M(u)。针对上述方式4，用户进行身份认证时，认证成功后，可以通过读取usbKey等硬件或其他介质，向返回的认证信息或认证票据中添加用户业务安全标记，获得该用户的业务安全标记M(u)。此外，还可以通过访问身份管理系统提供的标记关联查询服务，获取特定用户的业务安全标记M(u)。本实施例中，用户进行身份注册申请时，配置该用户的业务安全标记，将用户信息与业务安全标记绑定，当用户向某系统进行身份认证时，该系统可获得该用户的业务安全标记信息，实现基于用户业务安全标记对其相关对象进行访问控制和本文档来自技高网...

【技术保护点】
1.一种支持业务安全标记的身份管理方法，其特征在于，包括以下步骤：用户申请注册身份时，配置所述用户的业务安全标记；将所述业务安全标记与所述用户的身份信息绑定；所述用户完成身份认证后，向返回给相关系统的认证信息或认证票据中添加所述用户的业务安全标记，所述相关系统根据认证信息或认证票据查询获得所述用户的业务安全标记。

【技术特征摘要】
1.一种支持业务安全标记的身份管理方法，其特征在于，包括以下步骤：用户申请注册身份时，配置所述用户的业务安全标记；将所述业务安全标记与所述用户的身份信息绑定；所述用户完成身份认证后，向返回给相关系统的认证信息或认证票据中添加所述用户的业务安全标记，所述相关系统根据认证信息或认证票据查询获得所述用户的业务安全标记。2.根据权利要求1所述的方法，其特征在于，所述相关系统基于获得的所述用户的业务安全标记对其相关对象进行访问控制和管控。3.根据权利要求1所述的方法，其特征在于，用户申请注册身份时，除配置所述业务安全标记以外，还录入该用户的其它信息，所述其它信息包括：身份信息、证书有效期。4.根据权利要求1所述的方法，其特征在于，所述业务安全标记为一个包含多种业务安全属性的多元组，表示为M＝<C，G，F>，其中M为业务安全标记，C为安全级别，G为多个业务安全属性的集合；F为操作控制属性的集合。5.根据权利要求4所述的方法，其特征在于，资源的业务安全标记记为M(r)＝<Cr，Gr，Fr>，系统对象即主体的业务安全标记记为M(s)＝<Cs，Gs>，M(s)与M(r)之间的关系有两种：支配关系与不可比；如果Co≥Cr且记为M(o)≥M(r)，则标记M(o)支配标记M(r)，表示主体可支配客体；如果M(o)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体；如果则主体即系统对象应根据该标记包含的具体操作控制属性限制对资源进行相应操作。6.根据权利要求1所述的方法，其特征在于，采用下列方式中的任意一种将所述业务安全标记与所述用户的身份信息绑定：方式1，将业务安全标记嵌入用户身份证书中；方式2，将业务安全标记嵌入与身份证书关联的属性证书中；方式3，将业务安全标记写入身份管理系统中该用户的身份信息库；方式4，将业务安全标记写入用户的usbK...

【专利技术属性】
技术研发人员：于海波，李宏宝，刘坤颖，肖俊超，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11