本發明提供一種基于跨域屬性異構的身份服務方法、介質及設備，所述基于跨域屬性異構的身份服務方法包括：在各個信任域內獲取用戶屬性集合之間的映射關系，并確定跨域屬性語義關系對；根據所述跨域屬性語義關系對構建用戶的跨域強身份屬性集合；所述跨域強身份屬性集合用于各個信任域中對用戶進行鑒權；對所述跨域強身份屬性集合鑒權后確定的用戶進行動態可信度評估，并根據評估結果作出是否授權訪問的決定。本發明通過構建域間唯一關聯用戶身份的屬性集合，以實現跨域身份鑒權。并在此基礎上，利用屬性映射與基于Beta分布的動態信任度評估機制實現了異構跨域環境下動、靜態結合的綜合訪問授權方法。

技術領域

本發明屬于網絡技術與安全的技術領域，涉及一種跨域的身份服務方法，特別是涉及一種基于跨域屬性異構的身份服務方法、介質及設備。

背景技術

根據身份屬性對用戶進行正確的鑒權并進而執行授權等身份管理服務，是基于屬性訪問控制ABAC構建的“鑒權和授權基礎設施AAIs”以實現用戶訪問權限管控的重要基礎。在鑒權過程中，需要收集用戶包括身份ID在內的各種身份屬性信息以唯一的確認當前用戶的身份。例如，當用戶登錄某個系統時，其提交的賬號和密碼就是一個用于身份鑒權的屬性集合，認證方會從系統存儲中得到預先保存的賬號、密碼對，并與用戶提交的相比對，由于只有合法用戶可以同時擁有正確的賬號和密碼值，系統可以認為當前用戶確實是其所聲稱的合法用戶。有時為了避免其他用戶通過竊取密鑰的方式進行身份偽裝，用于鑒權的屬性集合可能還會包括動態的手機驗證碼，使得從認證方的角度來看，在某個時間區間內，同時滿足賬號、密碼、手機號、驗證碼的屬性要求的僅有一個合法用戶。可以看出，如果可以收集用戶的一個盡可能小的身份屬性集合，使得該集合唯一的關聯該用戶，即不存在其他用戶與當前用戶在這個屬性集合上擁有相同的屬性取值，則可以基于這個屬性集合對當前用戶進行身份鑒權。

當用戶屬性來自于同一個信任域時，這個唯一關聯身份的屬性集合的構建過程并不困難。但是，當用戶在身份鑒權時需要的身份屬性是從多個不同的信任域匯總得到時，就會存在信任域對用戶屬性的表達語義異構的情況，從而導致如何正確的獲取該屬性集合成為跨域身份鑒權需要解決的一個關鍵性的挑戰問題。當然，可以在多個信任域之間定義統一的身份屬性詞匯表，但這會極大的降低系統的擴展性，且一旦某個資源需要的身份屬性超出公共集合范圍，就又會產生之前的異構性問題。此外，若要在身份屬性異構的分布式環境下正確實現跨域的數據安全訪問控制，還需要構建能夠消除因語義異構導致的資源訪問策略沖突問題的授權機制，以實現資源的安全共享。因此，作為不同屬性之間知識共享和互操作的一種方法，屬性聚合技術受到了越來越多的關注。屬性聚合的初衷是為了信息共享，但是建立一個全局通用的屬性合集存在很大的困難，由于不同信任域對屬性的定義表述不一樣，構建標準不一致，從而造成了域間的屬性異構。