数权身份标识方法及系统技术方案

本发明专利技术实施例提供一种数权身份标识方法及系统，所述方法包括数权客体发送方根据安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典等6个元素的身份标识数据编码生成数权身份标识；数权客体接收方从数权身份标识中解码出上述6个身份标识；所述系统包括IBC服务网络、数权控制台、配置信息同步平台、数权身份标识编解码单元；本发明专利技术通过综合使用IBC技术和可信计算技术，保障了数权身份标识的全系统全域唯一性，支持跨安全域分布式身份标识和可信身份鉴别服务，支持数权身份防假冒、防篡改、防抵赖，本发明专利技术生成的数权身份标识通过数据字典进行压缩，降低了通信传输编码长度。

Digital identity identification method and system

【技术实现步骤摘要】
数权身份标识方法及系统
本专利技术涉及信息安全
，尤其涉及用于数据安全的数权保护领域的数权身份标识方法及系统。
技术介绍
所述数权，是指有数据在全生命周期治理过程中所产生的权利，涉及个人隐私、数据产权、国家主权等权益。数权主体，是指数据控制权所有人，可以是自然人、法人、非法人组织等，往往是数据所指向的特定对象或者该数据的收集、存储、传输、处理者。数权客体是数据，即数权涉及的有一定规律或价值的信息编码集合。所述数权保护，是指数权主体对数权客体所享有的完全支配权，使数权客体处于数权主体合法控制之下，使得数权主体拥有了自由行使、不受他人干涉的合法控制数据客体的权利。数权保护的本质是数权主体对数权客体的控制，为了保障数权主体的权益，数权主体作为施控者，影响和支配数权客体全生命周期所涉及受控对象，包括信源、信道、信宿、编码器、译码器等计算、存储、传输方面的软硬件设施。Shamir于1984年提出了基于身份标识的密码学(Identity-BasedCryptograph，IBC)，其基本思想是：用户的身份信息就是其公钥，只要知道某个用户的身份就可以知道他的公钥，而无需再去获取并验证用户的公钥证书公钥不需要分发。用户公钥可以是任意的比特串，一般采用用户的姓名、地址、电子信箱地址等能标识其身份的信息作为用户公钥，并且为了撤销密钥，在实际应用时往往将日期(或其他时间标识)作为用户身份的一部分，这样用户私钥到期后不能使用。IBC技术已经在银行、零售、保险、能源、医疗保健等行业和政府系统中广泛应用和部署。随着应用的逐渐广泛，相关算法的标准化工作也在逐步展开。IEEEP1363.3基于标识密码技术工作组进行了相关算法的标准化工作，ISO/IEC也在进行标识加密算法的标准化工作，IETF也已经接受了标识加密邮件编码方案。在中国，标识密码技术的推广应用也备受关注。在2008年IBC算法正式获得国家密码管理局颁发的SM9(商密九号算法)商密算法型号，目前国内主要使用的是国家商用密码管理局发布的SM9标识密码算法。20世纪70年代初期，AndersonJP首次提出可信系统的概念，由此开始了人们对可信系统的研究，在可信计算四十余年的研究过程中，可信计算的含义不断地拓展，由侧重于硬件的可靠性、可用性到针对硬件平台、软件系统、服务的综合可信。有关可信计算的概念，在ISO/IEC15408标准中给出了以下定义：一个可信的组件、操作或过程的行为在任意操作条件下是可预测的，并能很好地抵抗应用程序软件、病毒以及一定的物理干扰造成的破坏。成立于2003年的可信计算组织(TrustedComputingGroup，TCG)致力于构建可信的软硬件计算环境，从硬件出发，从源头开始保证计算环境建立过程中各个相关组件的可信，从而建立一个可信的计算环境。可信计算组织提出了可信平台模块(TrustedPlatformModule，TPM)的概念，并定义了具有安全存储和加密功能的TPM，作为可信平台建立过程中可信硬件基础，提供可信的度量和可信存储的方法，从硬件层面提供可信计算所需的相关计算需求；可信计算组织同时提出了基于可信链构建可信计算环境的方法，从TPM出发，对系统启动过程中涉及的相关组件逐级进行度量，一级验证一级，将信任关系逐级传递下去，最终保证整个平台环境的可信。GB/T22239-2019《信息安全技术网络安全等级保护基本要求》提出应针对计算资源构建保护环境，以可信计算基(TrustedComputingBase，TCB)为基础，实现软硬件计算资源可信；针对信息资源构建业务流程控制链，基于可信计算技术实现访问控制和安全认证，密码操作调用和资源的管理等，构建以可信计算技术为基础的等级保护核心技术体系。TCB是指实现计算机系统安全保护的所有安全保护机制的集合，可以通过硬件、固件和软件的形式出现；TCB包含但不限于TPM，包括制定并执行安全策略的硬件、固件、软件的组合体。目前，现有技术存在以下不足：缺乏数权身份标识和数权身份标识编码相关技术，在数权客体分解、组合、编码、译码等过程中，数权主体、数权客体、信源、信道、信宿缺乏一种有效识别数权客体编码解码时标识数权关系的可信身份机制，不能满足物联网、大数据、人工智能、数权保护等大规模用户群数权客体复杂编解码应用需求。
技术实现思路
针对现有技术的不足，本专利技术实施例提供一种数权身份标识方法及系统，通过综合使用IBC技术和可信计算技术，保障了数权身份标识的全系统全域唯一性，支持跨安全域分布式身份标识和可信身份鉴别服务，提供可信身份服务，支持数权身份防假冒、防篡改、防抵赖；本专利技术生成的数权身份标识通过数据字典进行压缩，降低了通信传输编码长度。一方面，本专利技术实施例提供一种数权身份标识方法，所述数权身份标识包含安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典的身份标识编码信息，所述方法包括如下过程：S1、数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权保护消息的唯一身份标识；S2、数权客体接收方根据DSid解码出Did，Uid，Sid，Mid，DSPid，DSDid数据编码。优选地，所述数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权保护消息的唯一身份标识，包括：S11、从IBC服务网络获取基于IBC的身份标识Did，Uid，Sid；其中，Did是安全域基于IBC的身份标识，Uid是数权主体基于IBC的身份标识，Sid是数权控制器基于IBC的身份标识；所述IBC是指基于身份标识的密码学；S12、根据数权保护策略DSP和数权编码字典DSD构造数权身份标识DSid：获取数权保护策略身份标识DSPid、数权编码字典身份标识DSDid、数权客体身份标识Mid；以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数，构造出全域唯一的数权身份识别信息编码，作为数权身份标识DSid；所述全域是指数权标识系统所部署的安全域；S13、数权客体发送方与数权客体接收方通信过程中，以DSid作为数权保护消息的唯一身份标识。优选地，所述数权主体设定数权保护策略DSP和数权编码字典DSD，其中，数权保护策略DSP有x个，每个DSP都有一个安全域内部唯一的身份标识编码DSPid；数权编码字典DSD有y个，每个DSD都有一个安全域内部的身份标识编码DSDid；x和y都是大于0的自然数。优选地，所述安全域是IBC服务网络的一个节点；所述IBC服务网络按照树形结构划分安全域，分为可信计算基层、1级安全域层、……、n级安全域层，共计n+1层，n为大于0的自然数；所述Did在IBC服务网络内部是唯一编码的，其管理方式为：IBC服务网络在设立安全域时生成Did；IBC服务网络根据IBC密钥生成算法，为所述安全域生成一对全局密钥Didsk和Didpk，其中，Didsk是所述安全本文档来自技高网...

【技术保护点】
1.一种数权身份标识方法，其特征在于，所述数权身份标识包含安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典的身份标识编码信息，所述方法包括如下过程：/nS1、数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权消息的唯一身份标识；其中，Did是安全域基于IBC的身份标识数据编码，Uid是数权主体基于IBC的身份标识数据编码，Sid是数权控制器基于IBC的身份标识数据编码，DSPid是数权保护策略身份标识数据编码，DSDid是数权编码字典身份标识数据编码，Mid是数权客体身份标识数据编码；所述IBC是指基于身份标识的密码学；/nS2、数权客体接收方根据DSid解码出Did、Uid、Sid、Mid、DSPid、DSDid数据编码。/n

【技术特征摘要】
1.一种数权身份标识方法，其特征在于，所述数权身份标识包含安全域、数权主体、数权控制器、数权客体、数权保护策略、数权编码字典的身份标识编码信息，所述方法包括如下过程：
S1、数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权消息的唯一身份标识；其中，Did是安全域基于IBC的身份标识数据编码，Uid是数权主体基于IBC的身份标识数据编码，Sid是数权控制器基于IBC的身份标识数据编码，DSPid是数权保护策略身份标识数据编码，DSDid是数权编码字典身份标识数据编码，Mid是数权客体身份标识数据编码；所述IBC是指基于身份标识的密码学；
S2、数权客体接收方根据DSid解码出Did、Uid、Sid、Mid、DSPid、DSDid数据编码。


2.根据权利要求1所述的数权身份标识方法，其特征在于，所述数权客体发送方以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数编码数权身份标识DSid，作为向数权客体接收方发送的数权保护消息的唯一身份标识，包括：
S11、从IBC服务网络获取基于IBC的身份标识Did，Uid，Sid；
S12、根据数权保护策略DSP和数权编码字典DSD构造数权身份标识DSid：获取数权保护策略身份标识DSPid、数权编码字典身份标识DSDid、数权客体身份标识Mid；以Did，Uid，Sid，Mid，DSPid，DSDid数据编码为参数，构造出全域唯一的数权身份识别信息编码，作为数权身份标识DSid；所述全域是指数权标识系统所部署的安全域；
S13、数权客体发送方与数权客体接收方通信过程中，以DSid作为数权保护消息的唯一身份标识。


3.根据权利要求2所述的数权身份标识方法，其特征在于，所述数权主体设定数权保护策略DSP和数权编码字典DSD，其中，数权保护策略DSP有x个，每个DSP都有一个安全域内部唯一的身份标识编码DSPid；数权编码字典DSD有y个，每个DSD都有一个安全域内部的身份标识编码DSDid；x和y都是大于0的自然数。


4.根据权利要求2所述的数权身份标识方法，其特征在于，所述安全域是IBC服务网络的一个节点；所述IBC服务网络按照树形结构划分安全域，分为可信计算基层、1级安全域层、……、n级安全域层，共计n+1层，n为大于0的自然数；所述Did在IBC服务网络内部是唯一编码的，其管理方式为：IBC服务网络在设立安全域时生成Did；IBC服务网络根据IBC密钥生成算法，为所述安全域生成一对全局密钥Didsk和Didpk，其中，Didsk是所述安全域的全局私钥，交由所述安全域管理；Didpk是所述安全域的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Didpk取值策略，Didpk取值或者与Did相同，或者由IBC服务网络分配一个与Did不同的取值。


5.根据权利要求2所述的数权身份标识方法，其特征在于，所述数权主体基于IBC的身份标识Uid在所述安全域内部是唯一编码的，其管理方式为：数权主体在加入IBC服务网络时生成Uid；IBC服务网络根据IBC密钥生成算法，为所述数权主体生成一对全局密钥Uidsk和Uidpk，其中，Uidsk是所述数权主体的全局私钥，交由所述数权主体管理；Uidpk是所述数权主体的全局公钥，在IBC服务网络全网广播同步；IBC服务网络设定Uidpk取值策略，Uidpk取值或者与Uid相同，或者由IBC服务网络分配一个与Uid不同的取值。...

【专利技术属性】
技术研发人员：丁爱民，王继龙，沙天兵，彭悦勇，
申请(专利权)人：丁爱民，
类型：发明
国别省市：北京;11