三层结构的网络空间身份管理系统的制作方法

三层结构的网络空间身份管理系统的制作方法
【专利摘要】本发明公开了一种三层结构的网络空间身份管理系统，包括支撑子系统、服务子系统、应用子系统。其中支撑子系统用于为主体模块创建一一对应的网络身份，并为创建的主体网络身份分配相应的身份和/或属性。服务子系统用于由不同的身份/属性提供模块对不同的凭据进行管理，并向应用子系统提供最低限度的身份/属性断言，根据所述主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令，并根据所述主体身份信息向所述支撑子系统发送相应的身份和/或属性。应用子系统包括多个主体模块和多个依赖方模块，主体模块向服务子系统发送网络身份申请及相关信息。
【专利说明】三层结构的网络空间身份管理系统
【技术领域】
[0001]本发明属于计算机技术与信息安全领域，涉及一种三层结构的网络空间身份管理系统。
【背景技术】
[0002]在网络空间中，人们可以开展社团组织、交友沟通、电子交易等活动，也能借助网络进行生产、学习、交易的互动。借助网络空间，人们提高了生产率、开发了新的平台、创建了新的商务场所。但是在线活动的不断增加，也使网络空间中的威胁不断增加。
[0003]网络空间活动存在欺诈的威胁。随着人们可以在线获取越来越多的服务，网络空间中传播的信息总量急剧膨胀，数据失窃、篡改、欺诈和隐私泄露等造成的损失不断增加，在线入侵甚至威胁到国家关键基础设施的安全。
[0004]现在的网络空间用户信息管理不合理，一旦用户提交信息，就几乎没有能力管理，这迫使用户不得不在安全隐私和获取服务之间进行权衡。另外，现在网络空间中并没有一个互通共用的框架，需要维护很多不同的用户名和密码，极大增加了用户和服务提供商的负担。有些用户为减少麻烦在不同的应用中使用同样的用户名和密码，从而给不法分子更多可乘之机，大大降低了应用的安全性。[0005]网络空间开放式的信息共享增加了个人隐私受到威胁的风险，未经允许公布个人身份信息和敏感属性造成的伤害和歧视事件在不断增加，受到误导或不准确信息影响的用户对网络空间的信任度降低，对新服务犹豫不决，不利于新技术的产生和推广使用。
[0006]因此，随着现实社会在网络空间的不断延伸，重要的网络空间活动越来越多，网络空间的安全和现实社会的安全一样重要，与个人、社会、国家多个层面利益攸关。身份是重要的网络空间安全基础，我们需要统一的身份管理体系支撑网络空间安全。

【发明内容】

[0007]本发明实施例提供一种三层结构的网络空间身份管理系统，能够建立现实身份和网络身份的统一管理平台，保证网络空间中在线交互的实体能够相互信任。
[0008]本发明实施例采用如下技术方案:
[0009]提供一种三层结构的网络空间身份管理系统，包括:支撑子系统、服务子系统、应用子系统；
[0010]所述支撑子系统，用于为主体模块创建--对应的网络身份,并为创建的主体网
络身份分配相应的身份和/或属性；对可信标志、身份/属性提供模块、依赖方模块进行审核；网络身份管理模块可向居民身份证管理机构和组织管理机构等提交身份信息核查；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性，和/或根据接收到的注销指令注销网络身份和/或属性；
[0011]所述服务子系统，用于由不同的身份/属性提供模块对不同的凭据进行管理，并向应用子系统提供最低限度的身份/属性断言，根据所述主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令，并根据所述主体身份信息向所述支撑子系统发送相应的身份和/或属性；
[0012]所述应用子系统，包括多个主体模块和多个依赖方模块，主体模块向服务子系统发送网络身份申请及相关信息，其中，所述网络身份申请包括注册网络身份和/或更新网络身份和/或注销网络身份，主体模块使用多样化的凭据进行身份查验，并向服务子系统提交身份查验请求；依赖方模块验证身份/属性提供模块的断言，也可以申请将主体标识与网络身份进行绑定。
[0013]可选的，所述支撑子系统包括:审核模块、网络身份管理模块和审计模块；
[0014]所述审核模块，用于根据接收到申请对可信标志、身份/属性提供模块、依赖方模块进行审核；
[0015]所述网络身份管理模块，可向居民身份证管理机构和组织管理机构等提交身份信
息核查，为主体模块创建--对应的网络身份；并为创建的主体网络身份分配相应的身份
和/或属性；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性；和/或根据接收到的注销指令注销网络身份和/或属性。
[0016]所述审计模块，用于统计并存储所述支撑子系统的操作日志，并向主体模块提供通知。
[0017]可选的，所述服务子系统包括:发现方模块、可信第三方模块、至少一个身份属性提供1?块；
[0018]所述发现方模块，用于对身份发现请求进行解析，并根据路由规则找到与身份标识对应的身份/属性提供模块；
[0019]所述可信第三方模块，包括第三方信任服务单元，用于完成不同身份属性提供模块之间的信任传递；
[0020]所述身份属性提供模块，用于建立、维护和保证与主体模块相关的网络身份的安全，在必要时撤销、挂起和恢复主体模块的网络身份，并向所述支撑子系统发送所述相应的身份和/或属性、注册和/或更新和/或注销声明。
[0021]可选的，所述身份属性提供模块用于建立、维护和保证与主体网络身份属性的安全；
[0022]所述身份属性提供模块包括:
[0023]身份属性服务和桥接服务单元，用于转换身份/属性格式；
[0024]联邦网关单元，用于映射多个依赖方模块和身份属性提供模块，实现访问多个服务的统一认证；
[0025]安全认证服务单元，用于对凭据进行认证；
[0026]身份信息确认单元，用于确认申请的主体模块是身份信息的合法拥有者或授权持有者；
[0027]信用管理服务单元，用于根据历史行为数据或依赖方模块的反馈信息，评估主体模块信用；
[0028]主体标识与网络身份绑定单元，用于提供依赖方模块主体标识与主体网络身份的绑定；
[0029] 身份校验单元，用于比较所提交的身份声明与事先证明的信息，确认提交的身份声明正确；
[0030]注册代理单元，用于身份/属性提供模块向发现方模块注册，和主体模块向身份/属性提供模块注册；
[0031]凭据管理单元，用于提供凭据的发布、更新、使用和维护等；
[0032]保证等级管理单元，用于为主体模块和依赖方模块提供不同保证等级的认证；
[0033]主体查询和审查监控单元，用于监控、确认、核查、保存导致状态变化的事件或行为，并向主体模块提供查询接口 ；
[0034]隐私保护单元，用于仅收集主体身份证明必需的属性信息，向依赖方模块提供服务所必须的身份/属性断言，对外提供主体身份信息时，征求主体模块许可。
[0035]可选的，所述应用子系统包括至少一个主体模块和至少一个依赖方模块；
[0036]所述主体模块，包括个体或非用户实体(包括组织、硬件、网络、软件或者服务等)，从身份/属性提供模块获得凭据，并使用凭据与依赖方模块在线交易；
[0037]所述依赖方模块，选择身份/属性提供模块，信任身份/属性提供模块对主体凭据的断言，依据主体模块的凭据做出交易决定。可以选择凭据的强度和获取服务所需要的属性。
[0038]可选的，所述主体模块包括:
[0039]身份代理单元，用于向主体模块提供交互界面，可由扩展浏览器、本地多样的客户端或特殊终端设备调用；
[0040]凭据选择单元，用于主体模块自由选择凭据认证，满足依赖方模块需求；
[0041]信任标识核查单元，信任标识说明依赖方模块满足网络空间身份管理要求，主体模块依据信任标识选择依赖方模块；
[0042]委托单元，主体模块可以委托并授权其他主体模块行使相关权利；
[0043]凭据申请和存储单元，凭据的形式是多样化的，包括但不局限于智能卡、USB-Key、SM卡、用户名/ 口令等。
[0044]可选的，所述依赖方模块包括:
[0045]请求认证与凭据选择单元，用于选择主体模块需要证明的强度和获取服务所需要的属性；
[0046]身份令牌/断言解析单元，用于解析来自身份/属性提供模块的断言；
[0047]授权单元，用于服务授权，由依赖方模块控制服务授权，身份/属性提供模块负责凭据验证；
[0048]保证等级审核单元，用于依赖方模块依据不同的身份/属性提供模块和不同形式的凭据断言，根据自身的策略进行保证等级审核，提供相应安全等级的服务，关键的服务不允许授权给低等级的断言；
[0049]主体标识管理单元，用于依赖方模块根据服务类型选择是否需要进行用户身份标识管理；
[0050]联邦代理单元:用于在联盟圈内实现单点登录和登出。
[0051]可选的，提供统一的身份管理方法，由权威的网络空间身份数据源保证主体模块和依赖方模块互相确认身份，实现互通共用的网络空间身份管理框架。
[0052]可选的，所述身份属性提供模块提供最低限度身份/属性断言，身份/属性提供模块仅收集主体模块身份证明必需的属性信息，仅向依赖方模块提供服务所必须的身份/属性断言。
[0053]可选的，提供、申请、存储、使用多样化的凭据，凭据的形式是多样化的，包括智能卡、USB-Key、SM卡、用户名/ 口令；
[0054]所述身份属性提供模块，提供多样化凭据的发布、更新、使用和维护，并对多样化的凭据进行认证；
[0055]所述主体模块，可以申请和存储多样化的凭据，并自由选择凭据进行认证；
[0056]所述依赖方模块，用于选择主体模块需要证明的强度和获取服务所需要的属性，接受对多样化凭据认证的断言。
[0057]本发明实施例通过上述各子系统的协作，建立现实身份和网络身份的统一管理平台，能够实现网络空间身份的注册、更新、使用、维护和注销，其中主体网络身份与身份和/或属性相互绑定，可实现网络空间中在线交互的实体/各子系统的相互信任。主体模块确定自己的隐私能够得到保护，在一些应用子系统中可以匿名或使用假名。
【专利附图】

【附图说明】
[0058]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0059]图1是本发明第一个实施例的网络空间身份管理系统的逻辑关系图；
[0060]图2是本发明第二个实施例的网络身份管理流程图。
【具体实施方式】
[0061]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0062]下面结合图1对本发明实施例的三层结构的网络空间身份管理系统中各子系统及各子系统的各模块的功能进行描述。
[0063]( I)支撑子系统:主要用于实现网络身份管理，主要目标是建立可靠的流程，实现网络身份与个体的一一对应，并为网络身份分配属性，形成权威的整体身份记录。网络身份通常由属性集合组成。
[0064]审核模块，实现了对可信标志、身份/属性提供模块、依赖方模块进行审核，可信标志用于说明凭据、身份/属性提供模块、依赖方模块满足网络空间身份管理体系的要求。信任标志应能抵抗篡改和伪造；参与方可以验证可靠性(包括视觉和电子的)。信任标志可以作为主体模块选择服务提供模块和凭据的依据。
[0065]网络身份管理模块，并为创建的主体网络身份分配相应的身份和/或属性；和/或根据接收到的更新指令更新主体网络身份相应的身份和/或属性；和/或根据接收到的注销指令注销主体网络身份、所述主体网络身份相应的身份和/或属性。网络身份管理模块主要通过建立可靠的流程，实现网络身份全生命周期管理。
[0066]本实施例中，网络身份管理模块可向居民身份证管理机构和组织管理机构等提交
身份信息核查，为主体模块创建--对应的网络身份，并为创建的主体网络身份分配相应
的身份和/或属性；和/或根据接收到的更新、注销指令更新、注销主体网络身份相应的身份和/或属性。服务子系统，用于根据主体网络申请向支撑子系统发送相应的注册指令和/或更新指令和/或注销指令，根据主体身份信息向支撑子系统发送相应的身份和/或属性；不同的身份/属性提供模块对不同的凭据进行管理，并向应用子系统提供最低限度的身份/属性断言。应用子系统包括多个主体和多个依赖方，主体向服务子系统发送用户身份申请及相关信息，使用多样化的凭据进行身份查验，并向服务子系统提交身份查验请求；依赖方模块验证身份/属性提供模块的断言，也可以申请将依赖方模块中主体标识与主体网络身份进行绑定。
[0067]网络身份注册/注销单元:实现网络身份的注册和注销。主体向网络身份管理模块或通过身份/属性提供模块向网络身份管理模块申请登记一个新的网络身份。绑定主体的网络身份和现实身份，以进行追溯和问责。网络身份管理模块可向居民身份证管理机构和组织管理机构等提交身份信息核查。[0068]网络身份维护单元:由网络身份管理模块对网络身份进行全生命周期管理，包括身份信息更新、属性绑定等。
[0069]网络身份安全单元:制定安全策略，对功能和服务、信令和通信接口、系统管理接口、以及主体可识别信息等进行安全保护。
[0070]网络身份数据库:建立权威的网络身份数据库，具有法律效力。
[0071]审计机构模块:用于统计并存储所述支撑子系统的操作日志。主要进行审计，如维护安全日志以满足溯源问责要求，保护主体信息，并向主体模块提供通知。
[0072](2)服务子系统:主要用于根据主体模块申请，向网络身份管理模块提交网络身份的注册或更新。与网络身份管理模块进行身份信息交互。不同的身份/属性提供模块对不同的凭据进行管理，接受来自主体模块的身份查验请求，根据隐私保护原则提供最低限度的身份/属性断言。
[0073]发现方模块:用于根据所述主体身份信息确定对应的身份/属性提供模块。发现方需要对来自依赖方模块的身份发现请求进行解析，并根据一定的路由规则找到与身份标识相对应的身份提供模块。发现方可以自行维护一系列的身份提供模块列表，也可以提供规范的接口让身份提供模块自行注册。发现方可以是国家权威机构或权威机构授权的实体。
[0074]可信第三方模块:用于在同一用户不同的身份/属性提供模块之间传送信任信息。当身份查验请求中涉及到不同的代理机构时，提供第三方信任服务，完成两个不同的代理机构之间的信任传递。可信第三方本身也可以是一个权威的身份提供模块，如国家权威机构或权威机构授权的实体。
[0075]身份/属性提供模块:用于根据所述用户身份信息提供相应的身份和/或属性，根据所述指令生成模块生成相应的注册和/或更新和/或注销声明，并向所述支撑子系统发送所述相应的身份和/或属性、注册和/或更新和/或注销声明。身份提供模块负责建立、维护和保证与主体相关的数字身份的安全，包括在必要时撤销、挂起和恢复主体的数字身份。属性供应模块负责建立和维护身份属性的相关安全，包括确认、更新和解除属性声明。
[0076]身份属性服务单元:用于对同一主体不同格式的身份和/或属性进行管理、共享、合并、交互。
[0077]转换单元:用于将身份和/或属性的格式转换为预置格式。
[0078]身份属性服务单元通过转换单元将身份/属性格式转化，允许对来自于不同的授权身份/属性信息源的信息进行管理、共享、合并、交互等。如:可以按主机网络系统的标准格式提取身份信息，也可以用通用语言对提取的信息进行重新封装。
[0079]身份属性桥接单元:如果跨域网络边界，提供桥接功能。
[0080]联邦网关:实现多个依赖方模块和身份提供模块的对应，简化访问多个服务的繁琐认证过程，如:在依赖方模块之间实现单点登录。
[0081]安全认证服务单元:对凭据进行认证。某一项认证服务可能恰好就是一项专业令牌服务的形式。
[0082]身份确认单元:用于根据所述用户身份信息确定用户是否合法。很多情况下需要借助可信第三方平台，通过公证的手段，确认请求方是身份信息的合法拥有者或授权持有者。
[0083]信用管理服务单元:根据历史行为数据或依赖方模块的反馈信息，评估主体信用。依赖方模块可以通过信用属性对提供服务作出权衡。
[0084]主体标识与网络身份绑定单元，用于将主体标识与网络身份绑定。如有需要，提供依赖方模块主体标识与主体网络身份的绑定。两层绑定的机制，可使主体模块和依赖方模块在应用时仅使用账户或匿名，并不需要知道主体模块在现实社会的真实身份。在支撑层能够将主体行为与现实身份对应，实现追溯和审计。
[0085]身份校验单元:通过将所提交的身份声明与事先证明的信息进行比较来确认声明身份是正确的过程。基本上身份校验是离线进行的。一旦离线身份检验通过，就有可能进行在线建立身份。身份校验通常是用户注册电子身份的前提，可以借助可信第三方。
[0086]注册代理单元:用于为身份/属性提供模块提供确定模块(发现方)的注册和用于为主体提供身份/属性提供模块的注册。I)身份/属性提供模块向发现方实体进行注册。2)主体向身份/属性提供模块进行注册。当主体需要申请身份服务时，必须进行注册，向(身份供应模块)提供请求身份所必需的身份信息。注册时，注册服务从不同的权威的系统中整合用户信息，包括完成核查和确认的E-mail通知。当注册服务从不同权威的系统中收集信息进行核实时，应通知主体，在主体的授权下进行，且不能收集超过请求身份所必须的身份信息以外的更多的信息。
[0087]凭据管理单元:提供凭据的发布、更新、使用和维护等服务。
[0088]保证等级管理单元:为主体模块和依赖方模块提供不同保证等级的认证服务。身份/属性提供模块维护一套相应的策略，并对不同类型的服务区分保证等级，不同保证等级对应不同的认证方法和不同维度的认证因素，还有可能关联不同的权威数据源。不同身份/属性提供模块的保证等级策略可能是不同的，依赖方模块与身份/属性提供模块之间同样也需要协商保证等级，否则会导致服务授权错误。
[0089]主体查询/审查监控单元:包括安全机制所执行的监控、确认和核查行为，以及用于保存一些导致状态变化的事件或行为的审查结构。并向主体提供查询接口。[0090]隐私保护单元:身份/属性提供模块仅收集主体身份证明必需的属性信息，仅向依赖方模块提供服务所必需的属性信息断言。对外提供主体身份属性信息时，征求主体模块许可。
[0091](3)应用子系统:典型的依赖方模块应用如:网络实名、电子交易、人口动态管理应用等。主体模块请求接入依赖方模块，使用多样化的凭据进行身份查验，如:智能卡、USB_Key、SIM卡、用户名/ 口令等。依赖方模块验证身份/属性提供模块的断言，也可以申请将依赖方模块中主体标识与主体网络身份进行绑定。同一个主体模块的网络身份在依赖方模块不同的应用系统对应不同的主体标识，如对应不同的帐号、匿名或使用假名，这些都可以作为属性，绑定在主体网络身份上。依赖方模块应用系统并不知道该主体模块在其它系统的标识体现形式。
[0092]主体模块:个体或非用户实体(包括组织、硬件、网络、软件或者服务等)。主体模块从身份/属性提供模块那里获得使用假名的或者唯一标识的凭据，使用凭据进行在线交易。
[0093]身份代理单元:为依赖方模块认证提供持续的用户体验，并提供主体交互界面。可由扩展浏览器、本地多样的客户端或特殊终端设备调用。
[0094]凭据选择单元:在满足依赖方模块应用接入需求的同时，主体模块可以自由选择凭据进行认证。
[0095]信任标识核查单元:主体模块通过核对依赖方模块是否有信任标识，来选择依赖方模块。信任标识说明依赖方模块满足网络空间身份管理体系的要求。当主体模块访问依赖方模块的在线服务时，信任标识可以电子验证。
[0096]委托单元:主体模块可以委托并授权其他主体模块行使相关权利。
[0097]凭据申请和存储单元:用于申请和存储用户交易的凭据。凭据的形式是多样化的，如智能卡、USB_Key、SM卡、用户名/ 口令等。
[0098]依赖模块:通过主体模块的凭据做出交易决定。依赖方模块选择和信任身份/属性供应模块。依赖方模块无需整合所有的凭据类型，依赖方模块信任身份/属性供应模块对主体凭据的断言。有时，依赖方模块也需要向主体模块鉴定和认证自身。依赖方模块可以选择证明的强度和获取服务所需要的属性。
[0099]请求认证与凭据选择单元:依赖方模块根据服务，选择主体模块需要证明的强度和获取服务所需要的属性。
[0100]身份令牌/断言解析单元:解析来自身份/属性提供模块的断言。
[0101]授权单元:服务的授权和凭据的验证是分离的。通常身份/属性提供模块负责凭据验证，依赖方模块控制服务授权。
[0102]保证等级审核单元:对不同的身份/属性提供模块和不同方式的凭据断言，依赖方模块根据自身的策略进行保证等级审核。根据评定的信任度，来提供相应安全等级的服务。依赖方模块在进行服务授权时，信任度是一个重要的依据。关键的服务是不允许授权给信任度很低的认证断言的。
[0103]主体标识管理单元:依赖方模块可以根据服务类型选择是否需要进行用主体标识管理。
[0104]联邦代理单元:身份联邦可以使得身份信息非集中化存放，而可以实现在联盟圈内的单点登录和登出。当某个身份/属性提供模块通过一定的协议向依赖方模块发起联邦请求时，依赖方模块需要联邦代理来解析这些联邦请求，并作出是否联邦的响应。
[0105]本发明网络空间身份管理系统以用户为中心，支持安全交易、匿名认证等。网络空间身份管理系统将实现如下4个方面的功能:(I)安全，网络空间活动得到保护，不易受到犯罪分子危害；(2)方便易用，尽可能采用自动化的身份解决方案和易于运营的技术，主体可以管理更少的帐户和口令；(3)隐私保护，主体相信其数据能够得到公平和透明的处理；
(4)灵活，提供多样化的身份凭据。
[0106]请参阅图2，图2为网络身份管理流程图，为建立网络身份的流程，包括注册、维护、使用和注销四个步骤。
[0107]注册:主体模块向网络身份管理模块或身份/属性提供模块申请登记一个新的网络身份，或向网络身份管理模块申请更新一个已有的网络身份。主体模块可以离线申请，到网络身份管理模块进行身份信息采集，完成登记和更新。主体模块也可以通过身份/属性提供模块进行在线申请，不同身份/属性提供模块通过身份信息采集，发布了不同的凭据，并可以进行认证，如智能卡、USB-Key> SIM卡、用户名/ 口令等。主体模块可以使用多样化的凭据，由身份/属性提供模块将采集的相关身份信息提交给网络身份管理模块，完成网络身份的登记。申请登记新的网络身份时，网络身份管理模块应检查该用户是否已经登记过网络身份。网络身份管理模块可向居民身份证管理机构和组织管理机构等提交身份信息核查，未通过核查的主体模块将不予登记网络身份。网络身份管理模块将采集的身份信息和网络身份进行绑定或更新已有的身份信息。注册成功后，网络身份管理模块向身份/属性提供模块发布相关信息。
[0108]维护:网络身份管理模块对主体模块身份相关数据(如标识符、属性)和数据状态进行安全管理和维护，记录身份信息中相关属性的更新，并向该主体模块和身份/属性提供模块提供通知。主体模块可以向网络身份管理模块出示证明，申请属性变更。身份/属性提供模块可以从网络身份管理模块获得最新的属性信息。当使用过程中出现属性争议时，以权威网络身份数据库的属性记录为准，并对有争议的属性进行更新。网络身份管理模块应周期性对身份相关数据状态进行确认。主体模块可以向网络身份管理模块申请暂停网络身份及相关数据的使用，网络身份管理模块也可以依照相关规定暂停主体网络身份及相关数据的使用。暂停使用指对主体身份及相关数据的有效性进行撤除，仍然保留原始数据。
[0109]使用:主体模块、依赖方模块、身份/属性提供模块三方进行交互，主体模块可以使用身份/属性提供模块认证的身份/属性断言登录依赖方模块应用系统，依赖方模块并不需要知道主体模块的真实身份，支持匿名使用，实现接入控制。单点登录和单点登出是典型的应用示例。但是，网络身份并不局限于依赖方模块应用的接入控制，而是意味着将有一个唯一的数字代表主体，可以供多种目的使用，如审计、追溯等。接入控制只是其中的一个目的。
[0110]注销:主体模块可以向网络身份管理模块申请注销网络身份及相关数据。当主体模块生命周期终止时，网络身份管理模块也可以依照相关规定注销该主体模块的网络身份及相关数据。身份/属性提供模块可以从网络身份管理模块获得最新的信息。注销时，对网络身份及相关数据进行归档，网络身份及整个生命周期过程中产生的所有数据都将彻底销毁，不会留下任何痕迹。注销后应防止继续使用无效的网络身份及相关数据。[0111]综上所述，本发明实施例的有益效果为:
[0112]社会信息化身份管理系统已经不仅仅局限于对人口社会属性的管理，网络空间的身份、行为、属性同样要纳入统一管理的范畴。网络空间身份管理体系提供了一个统一的管理平台，增强对主体的隐私保护，仅采集和交流必需的信息；提供安全的解决方案，保证机密性、完整性、可用性和不可抵赖性，能够认证身份，抵抗盗窃、篡改和伪造，并作为法律证据。
[0113]支持使用现实身份进行网络空间身份注册，避免了直接为主体发放数字证书和建立全国大规模统一的CA建设，避免了 CA系统的互联互通问题，同时保证了网络身份信息的机密性、完整性、有效性。
[0114]支持多样化的凭据注册网络身份，支持网络身份离线注册和在线注册，易于用户使用，能够安全可靠地获取唯一网络身份凭据。
[0115]应用子系统仅可见本应用中的主体标识，保证了实名应用中的匿名性。
[0116]显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
【权利要求】
1.一种三层结构的网络空间身份管理系统，其特征在于，包括:支撑子系统、服务子系统、应用子系统； 所述支撑子系统，用于为主体模块创建—对应的网络身份,并为创建的主体网络身份分配相应的身份和/或属性；对可信标志、身份/属性提供模块、依赖方模块进行审核；网络身份管理模块可向居民身份证管理机构和组织管理机构等提交身份信息核查；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性，和/或根据接收到的注销指令注销网络身份和/或属性； 所述服务子系统，用于由不同的身份/属性提供模块对不同的凭据进行管理，并向应用子系统提供最低限度的身份/属性断言，根据所述主体网络身份申请向所述支撑子系统发送相应的注册指令和/或更新指令和/或注销指令，并根据所述用户身份信息向所述支撑子系统发送相应的身份和/或属性； 所述应用子系统，包括多个主体模块和多个依赖方模块，主体向服务子系统发送网络身份申请及相关信息，其中，所述网络身份申请包括注册网络身份和/或更新网络身份和/或注销网络身份，主体模块使用多样化的凭据进行身份查验，并向服务子系统提交身份查验请求；依赖方模块验证身份/属性提供商的断言，也可以申请将主体标识与网络身份进行绑定。
2.根据权利要求1所述的三层结构的网络空间身份管理系统，其特征在于，所述支撑子系统包括:审核模块、网络身份管理模块和审计模块； 所述审核模块， 用于根据接收到申请对可信标志、身份/属性提供模块、依赖方模块进行审核； 所述网络身份管理模块，可向居民身份证管理机构和组织管理机构等提交身份信息核查,为主体模块创建--对应的网络身份；并为创建的主体网络身份分配相应的身份和/或属性；和/或根据接收到的更新指令更新网络身份相应的身份和/或属性；和/或根据接收到的注销指令注销网络身份和/或属性； 所述审计模块，用于统计并存储所述支撑子系统的操作日志，并向主体模块提供通知。
3.根据权利要求1所述的三层结构的网络空间身份管理系统，其特征在于，所述服务子系统包括:发现方模块、可信第三方模块、至少一个身份属性提供模块； 所述发现方模块，用于对身份发现请求进行解析，并根据路由规则找到与身份标识对应的身份/属性提供模块； 所述可信第三方模块，包括第三方信任服务单元，用于完成不同身份属性提供模块之间的信任传递； 所述身份属性提供模块，用于建立、维护和保证与主体模块相关的网络身份的安全，在必要时撤销、挂起和恢复主体模块的网络身份，并向所述支撑子系统发送所述相应的身份和/或属性、注册和/或更新和/或注销声明。
4.根据权利要求3所述的三层结构的网络空间身份管理系统的服务子系统，其特征在于，所述身份属性提供模块用于建立、维护和保证与主体网络身份属性的安全； 所述身份属性提供模块包括: 身份属性服务和桥接服务单元，用于转换身份/属性格式； 联邦网关单元，用于映射多个依赖方模块和身份属性提供模块，实现访问多个服务的统一认证； 安全认证服务单元，用于对凭据进行认证； 身份信息确认单元，用于确认申请的主体模块是身份信息的合法拥有者或授权持有者； 信用管理服务单元，用于根据历史行为数据或依赖方模块的反馈信息，评估主体模块信用； 主体标识与网络身份绑定单元，用于提供依赖方模块中主体标识与主体网络身份的绑定; 身份校验单元，用于比较所提交的身份声明与事先证明的信息，确认提交的身份声明正确； 注册代理单元，用于身份/属性提供模块向发现方模块注册，和主体模块向身份/属性提供模块注册； 凭据管理单元，用于提供凭据的发布、更新、使用和维护等； 保证等级管理单元，用于为主体模块和依赖方模块提供不同保证等级的认证； 主体查询和审查监控单元，用于监控、确认、核查、保存导致状态变化的事件或行为，并向主体模块提供查询接口； 隐私保护单元，用于仅收集主体身份证明必需的属性信息，向依赖方模块提供服务所必须的身份/属性断言，对外提供主体身份信息时，征求主体模块许可。
5.根据权利要求1所述的三层结构的网络空间身份管理系统，其特征在于，所述应用子系统包括至少一个主体模块和至少一个依赖方模块； 所述主体模块，包括个体或非用户实体(包括组织、硬件、网络、软件或者服务等)，从身份/属性提供模块获得凭据，并使用凭据与依赖方模块在线交易； 所述依赖方模块，选择身份/属性提供模块，信任身份/属性提供模块对主体凭据的断言，依据主体模块的凭据做出交易决定；能够选择凭据的强度和获取服务所需要的属性。
6.根据权利要求5所述的三层结构的网络空间身份管理系统，其特征在于，所述主体模块包括: 身份代理单元，用于向主体模块提供交互界面，可由扩展浏览器、本地多样的客户端或特殊终端设备调用； 凭据选择单元，用于主体模块自由选择凭据认证，满足依赖方模块需求； 信任标识核查单元，信任标识说明依赖方模块满足网络空间身份管理要求，主体模块依据信任标识选择依赖方模块； 委托单元，主体模块可以委托并授权其他主体模块行使相关权利； 凭据申请和存储单元，凭据的形式是多样化的，包括但不局限于智能卡、USB - Key、SIM卡、用户名/ 口令等。
7.根据权利要求5所述的三层结构的网络空间身份管理系统，其特征在于，所述依赖方模块包括: 请求认证与凭据选择单元，用于选择主体模块需要证明的强度和获取服务所需要的属性； 身份令牌/断言解析单元，用于解析来自身份/属性提供模块的断言；授权单元，用于服务授权，由依赖方模块控制服务授权，身份/属性提供模块负责凭据验证； 保证等级审核单元，用于依赖方模块依据不同的身份/属性提供模块和不同形式的凭据断言，根据自身的策略进行保证等级审核，提供相应安全等级的服务，关键的服务不允许授权给低等级的断言； 主体标识管理单元，用于依赖方模块根据服务类型选择是否需要进行主体标识管理； 联邦代理单元:用于在联盟圈内实现单点登录和登出。
8.根据权利要求2所述的三层结构的网络空间身份管理系统，其特征在于，所述的支撑子系统提供统一的身份管理方法，由权威的网络空间身份数据源保证主体模块和依赖方模块互相确认身份，实现互通共用的网络空间身份管理框架。
9.根据权利要求4所述的三层结构的网络空间身份管理系统，其特征在于，所述身份属性提供模块提供最低限度身份/属性断言，身份/属性提供模块仅收集主体身份证明必需的属性信息，仅向依赖方模块提供服务所必须的身份/属性断言。
10.根据权利要求1所述的三层结构的网络空间身份管理系统，其特征在于，所述系统提供、申请、存储、使用多样化的凭据，包括智能卡、USB-Key、SIM卡、用户名/ 口令等； 所述身份属性提供模块，提供多样化凭据的发布、更新、使用和维护，并对多样化的凭据进行认证； 所述主体模块，能够申请和存储多样化的凭据，并自由选择凭据进行认证； 所述依赖方模块，用于选择主体模块需要证明的强度和获取服务所需要的属性，接受对多样化凭据认证的断言。
【文档编号】H04L12/24GK103916267SQ201410096407
【公开日】2014年7月9日 申请日期:2014年3月14日 优先权日:2014年3月14日
【发明者】张知恒, 吴江, 周斌, 王萌希 申请人:兴唐通信科技有限公司