【技术实现步骤摘要】
数权身份标识方法及系统
本专利技术涉及信息安全
,尤其涉及用于数据安全的数权保护领域的数权身份标识方法及系统。
技术介绍
所述数权,是指有数据在全生命周期治理过程中所产生的权利,涉及个人隐私、数据产权、国家主权等权益。数权主体,是指数据控制权所有人,可以是自然人、法人、非法人组织等,往往是数据所指向的特定对象或者该数据的收集、存储、传输、处理者。数权客体是数据,即数权涉及的有一定规律或价值的信息编码集合。所述数权保护,是指数权主体对数权客体所享有的完全支配权,使数权客体处于数权主体合法控制之下,使得数权主体拥有了自由行使、不受他人干涉的合法控制数据客体的权利。数权保护的本质是数权主体对数权客体的控制,为了保障数权主体的权益,数权主体作为施控者,影响和支配数权客体全生命周期所涉及受控对象,包括信源、信道、信宿、编码器、译码器等计算、存储、传输方面的软硬件设施。Shamir于1984年提出了基于身份标识的密码学(Identity-BasedCryptograph,IBC),其基本思想是:用户的身份信息就是其公钥,只要知道某个用户的身份就可以知道他的公钥,而无需再去获取并验证用户的公钥证书公钥不需要分发。用户公钥可以是任意的比特串,一般采用用户的姓名、地址、电子信箱地址等能标识其身份的信息作为用户公钥,并且为了撤销密钥,在实际应用时往往将日期(或其他时间标识)作为用户身份的一部分,这样用户私钥到期后不能使用。IBC技术已经在银行、零售、保险、能源、医疗保健等行业和政府系统中广泛应用和部署。随着应用的逐渐广泛, ...
【技术保护点】
1.一种数权身份标识方法,其特征在于,所述数权身份标识包含安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典的身份标识编码信息,所述方法包括如下过程:/nS1、数权客体发送方以Did,Uid,Sid,Mid,DSPid,DSDid数据编码为参数编码数权身份标识DSid,作为向数权客体接收方发送的数权消息的唯一身份标识;其中,Did是安全域基于IBC的身份标识数据编码,Uid是数权主体基于IBC的身份标识数据编码,Sid是数权控制器基于IBC的身份标识数据编码,DSPid是数权保护策略身份标识数据编码,DSDid是数权编码字典身份标识数据编码,Mid是数权客体身份标识数据编码;所述IBC是指基于身份标识的密码学;/nS2、数权客体接收方根据DSid解码出Did、Uid、Sid、Mid、DSPid、DSDid数据编码。/n
【技术特征摘要】
1.一种数权身份标识方法,其特征在于,所述数权身份标识包含安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典的身份标识编码信息,所述方法包括如下过程:
S1、数权客体发送方以Did,Uid,Sid,Mid,DSPid,DSDid数据编码为参数编码数权身份标识DSid,作为向数权客体接收方发送的数权消息的唯一身份标识;其中,Did是安全域基于IBC的身份标识数据编码,Uid是数权主体基于IBC的身份标识数据编码,Sid是数权控制器基于IBC的身份标识数据编码,DSPid是数权保护策略身份标识数据编码,DSDid是数权编码字典身份标识数据编码,Mid是数权客体身份标识数据编码;所述IBC是指基于身份标识的密码学;
S2、数权客体接收方根据DSid解码出Did、Uid、Sid、Mid、DSPid、DSDid数据编码。
2.根据权利要求1所述的数权身份标识方法,其特征在于,所述数权客体发送方以Did,Uid,Sid,Mid,DSPid,DSDid数据编码为参数编码数权身份标识DSid,作为向数权客体接收方发送的数权保护消息的唯一身份标识,包括:
S11、从IBC服务网络获取基于IBC的身份标识Did,Uid,Sid;
S12、根据数权保护策略DSP和数权编码字典DSD构造数权身份标识DSid:获取数权保护策略身份标识DSPid、数权编码字典身份标识DSDid、数权客体身份标识Mid;以Did,Uid,Sid,Mid,DSPid,DSDid数据编码为参数,构造出全域唯一的数权身份识别信息编码,作为数权身份标识DSid;所述全域是指数权标识系统所部署的安全域;
S13、数权客体发送方与数权客体接收方通信过程中,以DSid作为数权保护消息的唯一身份标识。
3.根据权利要求2所述的数权身份标识方法,其特征在于,所述数权主体设定数权保护策略DSP和数权编码字典DSD,其中,数权保护策略DSP有x个,每个DSP都有一个安全域内部唯一的身份标识编码DSPid;数权编码字典DSD有y个,每个DSD都有一个安全域内部的身份标识编码DSDid;x和y都是大于0的自然数。
4.根据权利要求2所述的数权身份标识方法,其特征在于,所述安全域是IBC服务网络的一个节点;所述IBC服务网络按照树形结构划分安全域,分为可信计算基层、1级安全域层、……、n级安全域层,共计n+1层,n为大于0的自然数;所述Did在IBC服务网络内部是唯一编码的,其管理方式为:IBC服务网络在设立安全域时生成Did;IBC服务网络根据IBC密钥生成算法,为所述安全域生成一对全局密钥Didsk和Didpk,其中,Didsk是所述安全域的全局私钥,交由所述安全域管理;Didpk是所述安全域的全局公钥,在IBC服务网络全网广播同步;IBC服务网络设定Didpk取值策略,Didpk取值或者与Did相同,或者由IBC服务网络分配一个与Did不同的取值。
5.根据权利要求2所述的数权身份标识方法,其特征在于,所述数权主体基于IBC的身份标识Uid在所述安全域内部是唯一编码的,其管理方式为:数权主体在加入IBC服务网络时生成Uid;IBC服务网络根据IBC密钥生成算法,为所述数权主体生成一对全局密钥Uidsk和Uidpk,其中,Uidsk是所述数权主体的全局私钥,交由所述数权主体管理;Uidpk是所述数权主体的全局公钥,在IBC服务网络全网广播同步;IBC服务网络设定Uidpk取值策略,Uidpk取值或者与Uid相同,或者由IBC服务网络分配一个与Uid不同的取值。...
【专利技术属性】
技术研发人员:丁爱民,王继龙,沙天兵,彭悦勇,
申请(专利权)人:丁爱民,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。