本发明涉及一种异构网络环境多中心数字身份管理方法。
背景技术:
传统的统一身份管理系统,采用中心化的方式,实现对用户和系统资源的集中身份管理、集中认证管理、集中授权管理和集中审计管理,让企业网络或互联网环境的应用系统的访问方式更加简便、安全。但中心化的方式,在管理人员工作任务负担和身份服务性能方面,虽然可以通过分级管控、多服务器协同等加以缓解,但仍然存在不足。更为关键的是,中心化模式依赖于集中的信任,而在当前信息应用高速发展下,很多系统会涉及多个利息相关方,这些利益相关方之间往往不存在足够的信任。同时物联网等特定条件的应用,通常由于业务、网络、硬件的约束采用不同于传统计算机网络身份管理的模型,而业务发展促使各类异构网络、应用融合为一个整体提供服务。传统的中心化的统一身份管理系统无法满足异构网络环境的异构、多域身份管理需求。当前迅猛发展的区块链技术综合了对等网络、非对称密码等多项技术的优势,具有弱中心化、去中介化、高度自治、不可篡改等特征,在跨身份域数字身份管理和构建多方参与的信任服务方面具备巨大的潜力,在2016年得到国内外众多机构和企业的关注和投入。R3区块链联盟的十家银行成功测试了一个基于分布式账簿的KYC登记系统——该系统作为银行间共享平台,能够创建和管理企业和个人的数字身份,提供第三方身份认证服务;区块链初创公司ShoCard与SITA航空通讯公司研发了基于区块链的数字身份认证APP——该APP将旅客的身份信息和面部识别数据上传到区块链生成唯一的“行程标志”(Travel Token),并为相关航空公司共享,机场工作人员根据行程标志验证旅客身份信息,减少旅客办理乘机手续的麻烦和时间成本并增强安全性。这些身份管理方案在一定程度上解决了跨多个信任域的身份管理问题,但没有解决异构网络环境、异构身份管理模型的有效融合管理问题。
数字身份管理是构建网络空间信任基础的关键要素,移动互联网、物联网应用的高速发展和融合,使得异构网络环境、多信任域场景下的统一身份管理成为一个问题。分隔的身份基础设施形成管理“孤岛”,用户须维护多种身份凭证,应用不便,企业或组织需要维护多个管理模型不同的身份管理系统,企业或组织之间用户身份信息互通困难,迫切需要相应的解决方案。
技术实现要素:
为了克服现有技术的上述缺点,本发明提供了一种异构网络环境多中心数字身份管理方法,针对异构网络环境、多信任域场景下的联合身份管理和统一身份服务构建提供一种有效而且保护用户身份隐私信息的解决方案。
本发明解决其技术问题所采用的技术方案是:一种异构网络环境多中心数字身份管理方法,采用一个基于区块链的异构跨域身份管理系统实现多中心数据身份管理,所述异构跨域身份管理系统包括基于区块链的联合身份管理平台和接入联合身份管理平台的次级身份管理系统;所述基于区块链的联合身份管理平台由经授权的节点组成,节点之间组成对等网络,节点通过联合身份管理网关与次级身份管理系统协同,完成跨域认证和跨域身份信息传递;系统功能包括身份服务层、服务实现层和区块链基础平台层,其中:身份服务层对外提供身份管理服务,服务实现层具体实现身份管理功能,区块链基础平台层提供基础的区块链服务。
与现有技术相比,本发明的积极效果是:本发明采用一种基于区块链多链构建的用户身份与属性管理模型,实现了异构网络环境多信任域用户身份的联合管理。具体表现如下:
多链架构使得在统一管理多个异构网络时,容易集成不同的区块链方案,从而具备高度的灵活性,例如,可以高效集成不同身份管理联盟的身份管理区块链;也可以提供异构网络、异构身份管理模型的身份管理系统之间用户身份的关联和管理协同。
区块链数据库的分布式、不可篡改特性,提供用户身份管理活动的不可篡改的记录,确保了审计信息的可信。
用户身份信息在密钥管理机制的支持下加密存储,可保护用户隐私信息,防止用户隐私信息泄露。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为基于区块链的异构跨域身份管理网络部署模型
图2为异构跨域身份管理系统功能架构。
具体实施方式
本发明采用一种基于区块链多链构建的用户身份与属性管理模型,构建支持多类身份服务商和身份属性服务商提供统一身份服务的平台化方法,向用户提供跨多个服务商的身份服务,同时嵌入用户隐私保护机制。该方法可集成现有身份认证技术如证书服务,也可以集成基于互联网的创新身份服务。该方案在构建异构网络场景跨身份域数字身份管理和构建多方参与的信任服务方面具有独特的优势。
本发明的部署模型如图1所示,系统的核心是基于区块链的联合身份管理平台,该平台由经授权的节点组成,节点之间组成对等网络,节点通过联合身份管理网关(可部署于节点上)与接入联合身份管理平台的次级身份管理系统协同,完成跨域认证和跨域身份信息传递。
次级身份管理系统可以是传统的中心化的身份管理系统或者面向某种物联网应用的特殊身份管理系统,也可以是基于区块链的新型身份管理系统,联合身份管理平台节点实现不同身份管理模型数据的转换。
基于区块链的身份管理系统(次级)是直接面向用户的身份管理系统,系统包含多种不同节点:全功能节点、轻量级节点。全功能节点保存区块链的完整块链数据,接收身份管理操作请求,执行智能合约实现身份管理操作包括跨域身份管理操作;轻量级节点保存近期块链数据,用于接收和预处理管理操作请求,返回处理结果。
本发明的功能模型如图2所示,系统功能分为身份服务层、服务实现层、区块链基础平台层。
图中身份服务层对外提供身份管理服务,主要包括对应用商提供基本的身份认证接口,同时与身份提供商的接口进行对接,实现初始身份信息的鉴别及登记等。服务实现层具体实现身份管理功能,对上屏蔽跨域跨异构环境的联合身份管理细节和身份管理操作的实现细节,并将相应操作日志和身份信息存入相应区块链平台;区块链基础平台层主要是提供基础的区块链服务。
区块链基础平台层为身份管理系统提供基本的区块链服务,该服务层主要包括成员管理服务、区块链服务、智能合约服务。成员管理服务主要对区块链系统中的验证节点和共识节点的成员身份进行管理,区块链服务用于形成共识并对区块链中账本进行管理,智能合约服务主要对部署在区块链系统的智能合约进行管理。
一、本发明的基本身份管理流程
1.1身份注册
用户提交必要身份信息,由身份管理中心(身份链节点)核验用户身份后,将用户信息记入本中心所属身份链。并通过跨域身份管理查询统一身份标识,建立同一用户不同标识之间的绑定关系。
1.2身份认证
身份认证包含两类场景:本地认证和跨域认证。
本地认证通过本地身份链查询用户信息并认证该用户,同时将认证操作日志记入区块链。
跨域认证则通过跨域身份功能将请求发送到联合身份管理区块链查询用户认证和授权信息,经用户属地身份管理系统(即拥有用户身份信息的身份管理系统)认证用户身份,最终将认证结果返回请求认证服务的应用。
1.3用户权限管理
用户权限管理采用本地化管理和基于属性的授权方式实现。
本地化管理查询本地授权信息,根据授权信息确定用户权限并反馈给应用。跨域权限管理根据信任关系与权限管理策略,请求用户属地身份管理系统反馈经签署的身份信息、权限信息或用户属性,从而确定本地用户权限。
1.4身份证明签发
身份证明签发用于用户身份出示等场景,本地服务根据本地身份服务(区块链或中心化身份管理系统)签发用户身份属性证书并反馈给应用。如果本地身份管理系统中没有该用户,但存在与用户属地身份管理系统的关联关系,可以通过跨域身份管理链,转由用户属地身份管理系统签发用户属性证书。
二、跨域身份管理
跨域用户身份管理支持3种模式:
模式1认证代理模式:本地身份管理中心通过跨域联合身份管理确定用户身份,根据本地安全策略管理用户可访问的资源。本模式适用于本地信任属地身份管理中心的用户身份鉴别,但资源管控策略本地独立控制的情况。
模式2身份信息迁移模式:本地身份管理中心通过跨域联合身份管理获取属地身份管理系统提供的用户身份与属性信息,根据用户属性和本地安全策略管控用户可访问的资源。本模式适用于本地和属地身份管理中心之间高度信任,并且身份信息迁移不会造成用户隐私泄露或损害身份信息提供方利益的情况。
模式3联合身份管理模式:本地身份管理中心通过跨域联合身份管理请求其他身份管理系统提供的用户身份与属性信息的认证,通过多方提供身份认证反馈计算用户身份和属性的可信程度,确定本地资源管控策略。
联合的各身份管理中心之间通过通知事件上链的方式,同步更新用户身份与属性的变更,实现用户的生命期管理。
三、安全与隐私保护
3.1身份管理活动的审计
所有身份管理活动包括身份注册、身份属性变更、身份认证等均以一条日志的形式记录在底层区块链数据库中。区块链的分布式、不可篡改特性,提供了用户身份管理活动的不可篡改性,确保审计信息的可信。
3.2用户隐私保护
用户身份和属性等隐私数据各自加密存储在区块链数据库中,其加密密钥采用特定密钥管理方案管控,确保仅被授权的参与方可以获取,以防止用户身份隐私信息的泄露。