技術領域

本發明屬于計算機技術與信息安全領域，涉及到云計算環境下的用戶身份管理服務以及用戶屬性保護方法，具體表現為一種面向屬性保護的數字身份服務方法及其系統。

背景技術

隨著網絡技術的發展，IT領域的資源在不斷向互聯網集中。云計算概念的提出，使軟件，硬件，數據，平臺等資源服務化的趨勢加強，同樣，以服務的形式提供安全功能，也是應用安全領域發展的必然趨勢。一方面，安全服務由第三方負責建立，便于實施專門的安全機制，配備專業的安全人員進行管理和維護，提高系統的安全性；另一方面，服務使資源按需分配，可以減少傳統網絡業務為保障自身業務安全，而必須獨立維護大量冗余信息所產生的代價。

從網絡業務類型的角度來看，網絡中業務越來越復雜，與人們的現實生活聯系日益密切，在日常生活中扮演著越發重要的角色。由于網絡影響力的極大提升，人們對互聯網中個人信息的安全更加重視，以避免隱私信息的泄露為自身帶來損失。因此，網絡信任機制的建立具有很大的必要性。

網絡身份是用戶參與一切網絡活動的基礎，代表了用戶映射在互聯網世界的一個實體，但是隨著互聯網功能的增強，網絡業務與現實業務的不斷融合，一些網絡業務需要用戶的真實屬性信息參與執行。這種業務模式在帶來便捷的同時，也對用戶的隱私安全造成了威脅。由第三方可信機構負責網絡中用戶屬性信息的管理和維護，從用戶與業務提供方的角度來看，是互聯網業務發展的必然趨勢。

從用戶角度來講，網絡業務復雜多樣，對用戶的屬性信息有不同的需求，例如電子銀行可能需要用戶的身份證號和電話號碼，社交網站只需要了解用戶的單位信息和郵件地址，而一些即時聊天軟件則不需要知道任何的個人屬性信息。用戶沒有必要為每種業務都提供所有的個人屬性，業務需要什么樣的用戶屬性需要由可信方建立統一的規范。從另一方面，用戶通常對網絡環境以及傳輸信道不夠信任，不希望通過網絡客戶端直接注冊個人的真實屬性，同時也不愿意將個人的敏感屬性信息，比如工資額度，直接提交給業務系統使用，就可以通過可信方為其提供屬性證明，建立用戶與業務之間的信任關系。

從業務的角度來講，通常需要用戶的真實屬性信息參與業務的執行，或者根據屬性進行業務信息統計以預測行業發展趨勢，對自身業務進行遠期規劃。但是維護大量的用戶屬性信息，需要建立強安全防護措施，成本較高。若因為管理不善，造成用戶隱私泄露，不僅影響業務運行以及企業聲譽，而且需要為造成的損失承擔經濟和法律上的責任。此外，業務獨立維護用戶的真實屬性信息，還需要花費高額代價對這些信息進行審核驗證。

發明內容

根據現有技術中存在的技術問題，本發明的目的在于提供一種面向屬性保護的數字身份服務方法及其系統，其通過第三方可信機構負責用戶屬性的審核、管理和維護，并根據業務的需求為其提供合適的屬性信息。

本發明使用第三方安全服務的形式來為業務提供通用的數字身份管理系統，并以可信方為依托，在其中建立信任機制和屬性發布機制，在保障用戶隱私安全的前提下，滿足業務對用戶屬性的需求。

本發明的技術方案為：

一種面向屬性保護的數字身份服務方法，其步驟為：

1)信任提供方為經過驗證的注冊用戶頒發身份標識，并將用戶注冊的屬性信息注冊到屬性提供方中；

2)信任提供方根據該用戶的身份標識和屬性提供方提供的對應于該用戶的屬性發布接口鏈接生成該用戶的用戶憑證；

3)應用系統向信任提供方發送憑證頒發請求，信任提供方為該應用系統生成一標識并設置一屬性發布策略，將該屬性發布策略配置到屬性提供方；

4)信任提供方根據該應用系統的標識、屬性提供方的策略查詢接口鏈接地址和策略標識為該應用系統生成業務授權憑證；

5)身份服務提供方將應用系統的用戶提交的用戶憑證、注冊的基本身份信息與該應用系統發送的業務授權憑證組合為一屬性請求消息，然后根據用戶憑證上的屬性提供方鏈接地址將該屬性請求消息發送給屬性提供方；

6)屬性提供方驗證用戶憑證正確性后，根據業務授權憑證中的策略查詢接口鏈接地址查詢到的屬性發布策略，將用戶的屬性信息發布給身份服務提供方；

7)身份服務提供方將收到的屬性信息提供給相應的應用系統。

進一步的，所述信任提供方與所述屬性提供方為一一對應，構成一信任域；每一信任域設有一可信方，用于維護用戶的屬性信息。

進一步的，所述可信方擁有自己的公鑰P和私鑰Pr，提供給所在信任域中的信任提供方和屬性提供方對執行的數據進行加解密；不同可信方之間通過PKI建立相互之間的信任關系。