The invention relates to an identity management method and a system supporting a service security mark. This method includes: when a user applies for registration identity, in addition to entering the user's identity information, certificate validity and other information, it also configures the business security mark; then it binds the business security mark with the user's identity information; after the user completes the identity authentication, it adds the business security mark to the authentication information returned to the related system or the authentication bill, and the relevant system adds the business security mark according to the authentication information Or query the authentication bill to obtain the user's business security mark. The invention provides a method for synchronously managing the user's business security attribute in the identity management process, which enables the existing identity management system to support the business security tag, bind the business security attribute of shared services and resources under the network environment as a part of the identity information with the user's identity; the user can provide the relevant system with the user's business security tag after the identity authentication, So as to unify and standardize the authorization behavior of users in each system.
【技术实现步骤摘要】
一种支持业务安全标记的身份管理方法及系统
本专利技术涉及一种身份管理方法,尤其涉及一种基于业务安全标记的身份管理方法,属于计算机信息安全领域。
技术介绍
身份管理与认证技术是保护信息安全的一项重要技术,目前主要采用用户信息库、身份证书、属性证书等方法对用户的身份和相关用户属性信息进行管理。但传统的身份管理系统一般不管理用户在不同系统内的业务安全属性信息,这些信息往往由相关系统自行管理,当用户登录后,由相关系统再赋予用户。在网络环境下,这种缺乏业务安全信息的身份管理模式难以支持网络环境内各类系统形成统一规范的授权模式,不利于根据共享服务和资源的业务安全属性对其授权行为进行规范管理,难以全面理解用户在网络内所具有的业务安全属性及其与服务、资源授权的实际关系,很难建立统一的全局性用户安全管理视图并支持对资源不当授权或用户异常活动进行有效分析。
技术实现思路
针对现有身份管理系统中缺乏业务安全属性管理等问题,本专利技术的目的在于提供一种方法,用于为用户添加并管理业务安全标记信息,为相关应用和系统提供包含业务安全标记在内的用户身份信息,支持应用和系统基于用户业务安全标记信息对相关资源进行授权,从而统一并规范用户在各系统中的授权行为。为了实现上述目的,本专利技术提供了一种支持业务安全标记的身份管理方法,该方法包括以下步骤:Step1:管理用户业务安全标记。用户申请注册身份时,例如申请用户账号或申请身份证书时,除录入该用户的身份信息、证书有效期等信息外,还需配置该用户的业务安全标记,该标记表明用户的安全级别、业务分类等业务安全属性。Step2:绑定业务安全标记。身份管理系统 ...
【技术保护点】
1.一种支持业务安全标记的身份管理方法,其特征在于,包括以下步骤:用户申请注册身份时,配置所述用户的业务安全标记;将所述业务安全标记与所述用户的身份信息绑定;所述用户完成身份认证后,向返回给相关系统的认证信息或认证票据中添加所述用户的业务安全标记,所述相关系统根据认证信息或认证票据查询获得所述用户的业务安全标记。
【技术特征摘要】
1.一种支持业务安全标记的身份管理方法,其特征在于,包括以下步骤:用户申请注册身份时,配置所述用户的业务安全标记;将所述业务安全标记与所述用户的身份信息绑定;所述用户完成身份认证后,向返回给相关系统的认证信息或认证票据中添加所述用户的业务安全标记,所述相关系统根据认证信息或认证票据查询获得所述用户的业务安全标记。2.根据权利要求1所述的方法,其特征在于,所述相关系统基于获得的所述用户的业务安全标记对其相关对象进行访问控制和管控。3.根据权利要求1所述的方法,其特征在于,用户申请注册身份时,除配置所述业务安全标记以外,还录入该用户的其它信息,所述其它信息包括:身份信息、证书有效期。4.根据权利要求1所述的方法,其特征在于,所述业务安全标记为一个包含多种业务安全属性的多元组,表示为M=<C,G,F>,其中M为业务安全标记,C为安全级别,G为多个业务安全属性的集合;F为操作控制属性的集合。5.根据权利要求4所述的方法,其特征在于,资源的业务安全标记记为M(r)=<Cr,Gr,Fr>,系统对象即主体的业务安全标记记为M(s)=<Cs,Gs>,M(s)与M(r)之间的关系有两种:支配关系与不可比;如果Co≥Cr且记为M(o)≥M(r),则标记M(o)支配标记M(r),表示主体可支配客体;如果M(o)与M(r)之间不存在支配关系,则它们之间不可比,主体无权支配客体;如果则主体即系统对象应根据该标记包含的具体操作控制属性限制对资源进行相应操作。6.根据权利要求1所述的方法,其特征在于,采用下列方式中的任意一种将所述业务安全标记与所述用户的身份信息绑定:方式1,将业务安全标记嵌入用户身份证书中;方式2,将业务安全标记嵌入与身份证书关联的属性证书中;方式3,将业务安全标记写入身份管理系统中该用户的身份信息库;方式4,将业务安全标记写入用户的usbK...
【专利技术属性】
技术研发人员:于海波,李宏宝,刘坤颖,肖俊超,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。