專利名稱:一種多元實(shí)體與多元實(shí)體身份依賴方之間的安全訪問方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全中的身份標(biāo)識(shí)領(lǐng)域����,具體涉及一種多元實(shí)體與多元實(shí)體身份依賴方RP之間的安全訪問方法��。
背景技術(shù):
隨著云計(jì)算��、物聯(lián)網(wǎng)等新一代信息技術(shù)的興起�,諸如基于X. 509目錄服務(wù)的PKI���、基于Kerberos架構(gòu)的CAS等傳統(tǒng)信息化身份管理系統(tǒng)在實(shí)體管理規(guī)模�����、組織結(jié)構(gòu)復(fù)雜度�、用戶業(yè)務(wù)模式演化等方面與現(xiàn)實(shí)安全需求間日益產(chǎn)生差距����。近年來,一些科研機(jī)構(gòu)和組織針對上述信息化發(fā)展趨勢�,提出了相關(guān)解決方案。OpenID是由LiveJournal組織提出的一個(gè)去中心化的網(wǎng)上身份認(rèn)證系統(tǒng)�����,它通過統(tǒng)一資源標(biāo)志符(URI)對網(wǎng)絡(luò)用戶進(jìn)行唯一標(biāo)識(shí)和身份驗(yàn)證��,它的核心思想是將身份管理、驗(yàn)證鑒別功能和具體應(yīng)用業(yè)務(wù)剝離并托管給專業(yè)的身份服務(wù)提供商�,從而實(shí)現(xiàn)用戶可選擇的身份登錄方案。微軟從Vista操作系統(tǒng)開始�����, 引入了 CardSpace標(biāo)識(shí)元系統(tǒng)����,為不同的數(shù)字身份系統(tǒng)提供一個(gè)統(tǒng)一的抽象表示層,從而在用戶體驗(yàn)層面屏蔽了不同的安全令牌和標(biāo)識(shí)信息結(jié)構(gòu)���。上述系統(tǒng)雖然部分體現(xiàn)了以用戶為中心的身份管理模式���,但是針對人、機(jī)�、物融合的物理信息網(wǎng)絡(luò)場景缺乏技術(shù)支撐,沒有考慮物理設(shè)備標(biāo)識(shí)����、信息對象標(biāo)識(shí)���、虛擬對象標(biāo)識(shí)等多元實(shí)體身份的管理架構(gòu)��,即缺乏多元實(shí)體與多元實(shí)體身份依賴方之間安全訪問的解決方案�。
發(fā)明內(nèi)容
本發(fā)明旨在針對人、機(jī)����、物融合的新一代網(wǎng)絡(luò)場景所面臨的身份管理技術(shù)挑戰(zhàn),提供一種多元實(shí)體與多元實(shí)體身份依賴方RP之間的安全訪問方法���。依據(jù)云計(jì)算提供不同層次的服務(wù)模式���,該方法涉及的實(shí)體類型包括用戶實(shí)體、終端設(shè)備實(shí)體��、虛擬對象實(shí)體(軟件實(shí)體)和物化實(shí)體����。簡要介紹本方案的基本思想本發(fā)明吸取了已有解決方案的優(yōu)點(diǎn),具體來說�,本發(fā)明技術(shù)方案包括下列幾個(gè)方面方面一定義基于統(tǒng)一資源標(biāo)識(shí)符URI的多兀實(shí)體身份標(biāo)識(shí)的統(tǒng)一描述,該定義為多元實(shí)體在各自標(biāo)識(shí)體系下完成到統(tǒng)一標(biāo)識(shí)的映射��,為多元實(shí)體統(tǒng)一標(biāo)識(shí)的注冊以及基于一致性哈希環(huán)多元實(shí)體身份標(biāo)識(shí)信息的存儲(chǔ)索引的實(shí)現(xiàn)奠定了堅(jiān)實(shí)的基礎(chǔ)�����。方面二 針對云計(jì)算場景下的多元實(shí)體(用戶實(shí)體、終端設(shè)備實(shí)體��、虛擬對象實(shí)體和物化實(shí)體)�,分別給出其在統(tǒng)一身份標(biāo)識(shí)下注冊流程的實(shí)施方法。該階段任務(wù)的實(shí)現(xiàn)了云計(jì)算場景下多元實(shí)體的統(tǒng)一描述及其多元實(shí)體間相互服務(wù)提供了很大的便利��。方面三面對隱私保護(hù)意識(shí)日益加強(qiáng)����,提供了基于通用唯一識(shí)別碼UUID、DVB同步字節(jié)反轉(zhuǎn)和SHA-256以及時(shí)間戳timestamp概念的統(tǒng)一身份標(biāo)識(shí)加密算法���,實(shí)現(xiàn)多元實(shí)體統(tǒng)一身份標(biāo)識(shí)的隱私安全。該方法簡潔方便具有很強(qiáng)的時(shí)效性�。
進(jìn)一步的���,由于云計(jì)算中多元實(shí)體的統(tǒng)一標(biāo)識(shí)信息的海量性以及業(yè)務(wù)應(yīng)用的需要,本發(fā)明利用了一種快速存儲(chǔ)檢索的方法——一致性哈希環(huán)CRH�����,建立多元實(shí)體統(tǒng)一標(biāo)識(shí)信息分布式存儲(chǔ)的索引結(jié)構(gòu),實(shí)現(xiàn)多元實(shí)體標(biāo)識(shí)的高效存儲(chǔ)查詢�����。進(jìn)一步的,審計(jì)作為信息安全領(lǐng)域重要的手段�����,針對方面三隱私安全的要求���,給出了基于多元實(shí)體標(biāo)識(shí)關(guān)聯(lián)映射的審計(jì)方法,實(shí)現(xiàn)了多元實(shí)體服務(wù)應(yīng)用的審計(jì)安全���。本發(fā)明與現(xiàn)有技術(shù)相比�����,具有以下顯著優(yōu)點(diǎn)I.通用性強(qiáng)��。由于本發(fā)明采用了基于統(tǒng)一資源標(biāo)識(shí)符URI的多元實(shí)體樹狀身份標(biāo)識(shí)的統(tǒng)一完整性描述以及多元實(shí)體在各自標(biāo)識(shí)體系下到基于URI的多元實(shí)體身份統(tǒng)一描述的映射,適用于云計(jì)算場景中各種實(shí)體在各自體系下身份標(biāo)識(shí)的統(tǒng)一���,通用性較強(qiáng)����。2.安全性高����。由于本發(fā)明采用了基于通用唯一識(shí)別碼UUID���、DVB同步字節(jié)反轉(zhuǎn)和SHA-256算法實(shí)現(xiàn)對多元實(shí)體的統(tǒng)一標(biāo)識(shí)身份匿名保護(hù)�,達(dá)到一種訪問請求以臨時(shí)憑證出示的目的�,因此顯著提高了訪問請求的安全性。·3.存儲(chǔ)方便�����、查詢效率高��。由于本發(fā)明采用了基于一致性哈希技術(shù)的存儲(chǔ)索引方法,使其多元實(shí)體的統(tǒng)一身份標(biāo)識(shí)的存儲(chǔ)檢索依賴于高效簡易的一致性哈希環(huán)CHR��,達(dá)到一種理想的分布式存儲(chǔ)查詢的目的,因此存儲(chǔ)更容易����、查詢效率更高。4.審計(jì)性強(qiáng)���。由于本發(fā)明采用基于多元實(shí)體標(biāo)識(shí)關(guān)聯(lián)映射的審計(jì)方法����,使得審計(jì)方Auditor無條件的訪問URI標(biāo)識(shí)服務(wù)提供者URI-IdP的多元實(shí)體身份標(biāo)識(shí)映射表和身份依賴方RP的訪問請求映射表�,使得訪問請求對審計(jì)方的完全透明��,因此審計(jì)性很強(qiáng)��。
下面結(jié)合附圖對本發(fā)明作進(jìn)一步的說明。圖I為本發(fā)明實(shí)施總體框架�;圖2為基于URI的多元實(shí)體身份標(biāo)識(shí)統(tǒng)一的結(jié)構(gòu)示意圖;圖3為虛擬對象實(shí)體映射表���;圖4為EPC-96編碼體系不意圖;圖5為物化實(shí)體映射表����。圖6為圖I中統(tǒng)一多元實(shí)體身份憑證的存儲(chǔ)索引結(jié)構(gòu)映射示意圖��;圖7為圖2存儲(chǔ)索引結(jié)構(gòu)數(shù)值區(qū)間映射不意圖���;圖8為基于URI的多元實(shí)體身份標(biāo)識(shí)映射表;圖9為訪問請求映射表����;圖IO為審計(jì)訪問請求映射表����。
具體實(shí)施例方式為使本發(fā)明的目的、優(yōu)點(diǎn)以及技術(shù)方案更加清楚明白���,以下通過具體實(shí)施�����,并結(jié)合附圖��,對本發(fā)明進(jìn)一步詳細(xì)說明���。對于圖I從整體上描述了該方案實(shí)施的總體框架���,主要包括下面五部分的內(nèi)容�����。—����、基于URI的多兀實(shí)體身份標(biāo)識(shí)統(tǒng)一描述基于統(tǒng)一資源標(biāo)識(shí)符URI的分層結(jié)構(gòu)和標(biāo)識(shí)唯一特性�����,對用戶實(shí)體���、終端設(shè)備實(shí)體�、虛擬對象實(shí)體等多元實(shí)體類型進(jìn)行編碼,具體編碼方案如下URI標(biāo)識(shí)體系的結(jié)構(gòu)主要由管理域標(biāo)識(shí)���、類型標(biāo)識(shí)����、實(shí)體標(biāo)識(shí)等組成�,管理域標(biāo)識(shí)表示為Domain ID,類型標(biāo)識(shí)表示為ClassID����,實(shí)體標(biāo)識(shí)表示為Entity ID�����,完整的標(biāo)識(shí)結(jié)構(gòu)為URI ://Domain ID/Class ID/Entity ID,其中Domain ID可以根據(jù)管理域的內(nèi)部組織結(jié)構(gòu)進(jìn)行細(xì)化分層,例如Domain A/OrganizationB/Group C/;類型標(biāo)識(shí)在同一父類型下可以劃分若干子類型,例如Class A/Subclass B/ ;實(shí)體標(biāo)識(shí)Entity ID編碼結(jié)構(gòu)在不與Domain ID所蘊(yùn)含語義沖突的前提下,可采用自定義的編碼規(guī)則進(jìn)行描述�,例如字符串(組)和數(shù)字串(組)等����,形如圖2�����。上述三種類型標(biāo)識(shí)的組合為后繼該方案中其他方法的實(shí)施奠定了基礎(chǔ)�����。下面是基于URI組合標(biāo)記分別描述用戶實(shí)體�����、終端設(shè)備實(shí)體的舉例說明。例如針對用戶實(shí)體“中國科學(xué)院信息工程研究所LOIS實(shí)驗(yàn)室認(rèn)證授權(quán)工作組的員工Jame��,���,的身份標(biāo)識(shí)可表示為URI://id. cas. net/iie/lois/AAI/Jame ;針對15位IMEI編號(hào)為χχχχχχ-χχ-χχχχχχ-χ的移動(dòng)設(shè)備��,若出廠商為Axx Group,產(chǎn)地為BxxCity,生產(chǎn)線為 CxxLine,則該實(shí)體標(biāo)識(shí)可表示為 URI ://Axx Group/Bxx City/Cxx Line/ χχχχχχ-χχ-χχχχχχ-χ。二���、多元實(shí)體注冊流程用戶實(shí)體��、終端設(shè)備實(shí)體��、虛擬對象實(shí)體和物化實(shí)體向URI標(biāo)識(shí)服務(wù)提供者URI-IdP進(jìn)行注冊��;在進(jìn)行基于URI統(tǒng)一標(biāo)識(shí)身份注冊前一般都已擁有在各自管理體系下的標(biāo)識(shí)����,因此在多元實(shí)體注冊URI標(biāo)記過程中����,URI標(biāo)識(shí)服務(wù)提供者(URI-IdP)需要驗(yàn)證多元實(shí)體的有效身份憑證。( I )針對具有X. 509證書標(biāo)識(shí)的用戶實(shí)體����,注冊流程如下①URI-IdP導(dǎo)入為用戶實(shí)體頒發(fā)的證書CA或CA信任鏈(為用戶實(shí)體E頒發(fā)證書的認(rèn)證中心CA的根證書及證書信任鏈),生成信任庫Trust-Store ;②針對注冊實(shí)體E���,URI-IdP確定其Domain ID和Class ID ;即在URI-IdP端確定統(tǒng)一的 Domain ID 和 Class ID�。③實(shí)體E的公鑰證書為Certpub,私鑰為Keypii��,用戶實(shí)體所在注冊端生成隨機(jī)數(shù)nonce,用私鑰Keylffi對nonce簽名����,簽名和E的公鑰證書Certpub通過安全通道傳遞至URI-IdP ;用戶實(shí)體所在注冊端與URI-IdP進(jìn)行交互時(shí)建立該安全通道,一般通過SSL(Https)協(xié)議建立�����。用戶實(shí)體注冊時(shí)��,只提供簽名和公鑰證書�����,而私鑰是只有注冊的用戶實(shí)體知道��,不需要提供���。④URI-IdP用Certpub驗(yàn)證簽名���,并將nonce值加I后用公鑰Certpub加密返回�;⑤注冊端在實(shí)體E的介入下(即實(shí)體E輸入所需信息)對返回信息解密���,并驗(yàn)證nonce的值,若驗(yàn)證通過,則由實(shí)體E(或其他方式)確定其Entity ID ;實(shí)體E可根據(jù)URI編碼規(guī)范自己確定Entity ID,或者采用其他方式�����,比如利用第三方根據(jù)URI編碼規(guī)范確定。⑥在實(shí)體E的自愿前提下���,通過安全信道提供給URI-IdP若干屬性信息�����,URI-IdP為具體的屬性類型定級����,級別越高的屬性涉及的實(shí)體信息越精細(xì)����,URI-IdP日后為其提供的潛在服務(wù)質(zhì)量也越高(可根據(jù)具體應(yīng)用場景,強(qiáng)制用戶提供某些屬性信息)���;⑦URI-IdP將實(shí)體E的URI標(biāo)識(shí)和公鑰證書Certpub以及屬性集綁定���,生成實(shí)體的身份憑證并根據(jù)第四部分介紹的方案進(jìn)行后臺(tái)存儲(chǔ)�����。(II)以iphone���、android手機(jī)為代表的終端設(shè)備,通常將設(shè)備唯一標(biāo)識(shí)符固化到硬器件中(例如頂EI���,MEID��,ESN, IMSI等)�����,針對這類實(shí)體類型��,URI注冊流程如下(以MEI為例)①注冊端通過安裝在終端設(shè)備的可信軟件代理agent獲取設(shè)備的MEI標(biāo)識(shí)符以及基礎(chǔ)的系統(tǒng)信息(包括設(shè)備廠商標(biāo)識(shí)����、系統(tǒng)版本號(hào)及其他連帶信息);②注冊端通過agent通過安全信道將上述信息傳遞至URI-IdP ;終端設(shè)備實(shí)體E注冊端與URI-IdP進(jìn)行交互時(shí)建立該安全通道����;③URI-IdP通過具體設(shè)備信息確定其Domain ID和Class ID,由agent確定其Entity ID �����;④URI-IdP針對終端設(shè)備提供附加屬性選項(xiàng)�����,在用戶的介入下�����,可以將更多用戶的屬性信息和終端設(shè)備標(biāo)識(shí)符綁定;⑤URI-IdP將終端設(shè)備實(shí)體E的URI標(biāo)識(shí)和MEI標(biāo)識(shí)符以及終端用戶屬性集綁 定��,生成實(shí)體的身份憑證并根據(jù)第四部分介紹的方案進(jìn)行后臺(tái)存儲(chǔ)�。(III)虛擬對象實(shí)體注冊流程如下以Android、Symbian手機(jī)為代表終端設(shè)備的安裝包(APK�、Sis),針對該類實(shí)體,URI注冊流程如下(以APK為例)①URI-IdP導(dǎo)入可信任的軟件供應(yīng)商CA或CA信任鏈(為虛擬對象實(shí)體APK頒發(fā)證書的認(rèn)證中心CA的根證書及證書信任鏈����,即虛擬對象實(shí)體的軟件供應(yīng)商的可信根證書或證書信任鏈),生成信任庫Trust-Store �����;②注冊端通過可信軟件代理agent獲取虛擬對象實(shí)體E (APK安裝包)的相關(guān)信息(包括軟件供應(yīng)商的OID (供應(yīng)商唯一標(biāo)識(shí))和公鑰PK、APK的哈希摘要等)���,創(chuàng)建與維護(hù)一張?zhí)摂M對象實(shí)體(軟件實(shí)體)映射表�,為被注冊虛擬對象實(shí)體登記�。該映射表由四部分屬性字段組成,分別為Domain ID���、OID�、Hash (供應(yīng)商加密軟件的哈希摘要)和Alias (別名�����,指存儲(chǔ)軟件的名稱)��,保證DomainID與OID —致性及(DomainID Alias)組合的唯一1丨生�,形如圖3 ;③agent取出上述映射表中將被注冊虛擬對象實(shí)體的登記記錄及相關(guān)信息(供應(yīng)商公鑰PK�����、APK)通過安全信道遞至URI-IdP ��;④URI-IdP使用供應(yīng)商公鑰PK驗(yàn)證APK的可信任性��,驗(yàn)證通過后,URI-IdP依據(jù)映射表記錄��,確定其Domain ID和Class ID, Domain ID取映射表Domain ID屬性值,ClassID取映射表Alias屬性值��;⑤URI-IdP將虛擬對象實(shí)體E的URI標(biāo)識(shí)和供應(yīng)商公鑰PK以及APK的哈希摘要綁定��,生成實(shí)體的身份憑證并根據(jù)第四部分介紹方案進(jìn)行后臺(tái)存儲(chǔ)����。( IV)物化實(shí)體注冊流程如下以物聯(lián)網(wǎng)中嵌入RFID電子標(biāo)簽為代表的設(shè)備,針對這類實(shí)體����,URI注冊流程如下(以RFID中典型代表EPCGlobal體系中的EPC-96電子標(biāo)簽設(shè)備為例)①URI-IdP導(dǎo)入可信任的RFID設(shè)備供應(yīng)商CA或CA信任鏈(為物化實(shí)體RFID設(shè)備頒發(fā)證書的認(rèn)證中心CA的根證書及證書信任鏈����,即物化實(shí)體供應(yīng)商的可信根證書或證書信任鏈),生成信任庫Trust-Store �����;②注冊端通過可信任的RFID代理agent獲取電子標(biāo)簽設(shè)備中存儲(chǔ)的被識(shí)別實(shí)體的相關(guān)信息(這里指RFID電子標(biāo)簽的控制模塊存儲(chǔ)器中存儲(chǔ)的標(biāo)簽的所有信息�����,如EPC-96編碼信息,形如圖4)����,創(chuàng)建與維護(hù)一張物化實(shí)體(RFID電子標(biāo)簽設(shè)備)映射表,為被注冊物化實(shí)體登記���。該映射表由五個(gè)屬性字段組成��,分別為實(shí)體代碼Entity ID (EPC編碼體系標(biāo)頭與序列號(hào)連接字符串)�、Domain ID��、廠商識(shí)別代碼�����、Alias (存儲(chǔ)物化設(shè)備類型名)和對象分類代碼��,保證實(shí)體代碼Entity ID唯一性,Domain ID和廠商識(shí)別代碼����、Alias和對象分類代碼的一致性,形如圖5���。③agent取出上述映射表中將被注冊物化實(shí)體的登記記錄及RFID設(shè)備供應(yīng)商公鑰PK通過安全信道遞至URI-IdP �����;④URI-IdP使用供應(yīng)商公鑰PK驗(yàn)證RFID設(shè)備的可信任性�����,驗(yàn)證通過后���,URI-IdP依據(jù)映射表記錄���,確定其Domain ID、Class ID和Entity ID, Domain ID取映射表DomainID屬性值�,Class ID取映射表Alias (物化設(shè)備類型名)屬性值,Entity ID取映射表是實(shí)體代碼屬性值�����;⑤URI-IaP將物化實(shí)體E的URI標(biāo)識(shí)和供應(yīng)商公鑰PK以及Domain ID���、廠商識(shí)別代碼、Alias (物化設(shè)備類型名)和對象分類代碼綁定�����,生成實(shí)體的身份憑證并根據(jù)第四部分 介紹方案進(jìn)行后臺(tái)存儲(chǔ)。三����、基于UUID的局部標(biāo)識(shí)及隱私保護(hù)方法多元實(shí)體通過注冊獲取的URI標(biāo)識(shí)(即實(shí)體的身份憑證)具備一定程度的語義可讀性,在與身份依賴方RP的業(yè)務(wù)交互中���,除去強(qiáng)制審計(jì)要求之外�,應(yīng)提供用戶針對RP的身份隱私保護(hù)出示方案�����。本發(fā)明基于登陸隨機(jī)通用唯一識(shí)別碼UUID����、DVB同步字節(jié)反轉(zhuǎn)(DVB數(shù)字視頻廣播中提出的同步字節(jié)反轉(zhuǎn)算法)和SHA-256算法實(shí)現(xiàn)用戶的身份匿名出示,期間涉及RP�����、URI-IdP和User三方�����,其中URI-IdP具備頒發(fā)可信時(shí)間戳(timestamp)的能力,具體過程如下①用戶(可以是任一種多元實(shí)體)登錄RP門戶��,在未提供身份證明的情況下�,RP通過用戶選擇的方式將其跳轉(zhuǎn)至URI-IdP門戶;②用戶利用身份憑證(即注冊過程生成的URI標(biāo)識(shí)及綁定信息)通過URI-IdP的鑒別���,URI-IdP基于UUID通用計(jì)算方法生成用戶本次登錄隨機(jī)的128bit位UUID標(biāo)識(shí)(表示為UUID128(User))��,然后采用DVB同步字節(jié)反轉(zhuǎn)算法對該次登錄的隨機(jī)標(biāo)識(shí)UUID128(User)進(jìn)行反轉(zhuǎn)生成128bit位的反轉(zhuǎn)UUID標(biāo)識(shí)(表示為UUID128(User)反)�,并將UUID128(User) &和UUID128(User)拼接組成本次登錄的256bit位UUID標(biāo)識(shí)(表示為UUID256 (User) =UUID128(User)反 Il UUID128 (User))����,再利用 SHA-256 算法生成用戶 URI 標(biāo)識(shí)的256bit位哈希摘要(表示為SHA-256256 (URI));③將UUID 256 (User)和 SHA-2 5 6 256 (URI)進(jìn)行異或運(yùn)算(nj!l)』!se_SHA^256“(im生產(chǎn)一臨時(shí)身份憑證��,拼接URI-IdP生成時(shí)間戳timestamp�,用URI-IdP的私鑰Pri對其進(jìn)行簽名,表示為Sig^[(I(III)2,. {User) Θ SHA-256 �、;"."")|| !/meslamp];④URI-IdP門戶將用戶重定向到RP方���,同時(shí)將Sigpri[ / ///Λ56(User) SHA-25625(i(lIRI) ||作為實(shí)體臨時(shí)訪問憑證 Access Token
一起傳遞到RP ��;⑤RP用URI-IdP的公鑰驗(yàn)證簽名有效性并提取timestamp驗(yàn)證實(shí)體臨時(shí)訪問憑證AccessTokenID是否過期,如果過期,則拒絕該用戶的訪問。UUID256 (User)保證了每次用戶每次登陸的憑證新鮮性,可以有效預(yù)防重放攻擊�����,SHA-2 5 6256(URI)為了事后用戶實(shí)體行為的身份取證��,確認(rèn)用戶的唯一 URI標(biāo)識(shí)��。四���、基于一致性哈希技術(shù)的多元實(shí)體身份憑證存儲(chǔ)索引建立方法多元實(shí)體的身份憑證信息是海量的�,同時(shí)需要配合業(yè)務(wù)系統(tǒng)滿足對身份信息的快速檢索�,基于這種需求,本發(fā)明利用一致性哈希環(huán)建立針對標(biāo)識(shí)信息分布式存儲(chǔ)的索引結(jié)構(gòu)����。具體過程如下①預(yù)先設(shè)定(Γ232為一致性哈希環(huán)CHR的數(shù)值區(qū)間,分布式存儲(chǔ)節(jié)點(diǎn)K的標(biāo)識(shí)表示為IdentificationK,基于哈希算法Hashltl (具體實(shí)現(xiàn)可采用SHA-1系列算法�、MD5算法等)計(jì)算HashM(IdentificationK),從而確定節(jié)點(diǎn)K在CHR中的位置 ,形如圖6 ;②設(shè)定實(shí)體E 的 URI 表示為 URI ://AAA/BBB/CCC/DDD�,計(jì)算 Ii1=Iiash111(AAA),h2=hashm(AAA/BBB), h3=hashm(AAA/BBB/CCC), h4=hashm (AAA/BBB/CCC/DDD)�,K=K h2 Ih3I Ih4 ;通過這個(gè)結(jié)構(gòu)計(jì)算出的哈希值來確定實(shí)體信息在一致性哈希環(huán)CHR中存儲(chǔ)位置,Ii1值首先確定存儲(chǔ)節(jié)點(diǎn)���,h2���,h3���,h4值確定在該節(jié)點(diǎn)的存儲(chǔ)位置,實(shí)現(xiàn)一種目錄結(jié)構(gòu)樹的存儲(chǔ)����;③將數(shù)值區(qū)間劃分為32個(gè)子區(qū)間,每一子區(qū)間對應(yīng)一個(gè)節(jié)點(diǎn)�,設(shè)哈希環(huán)CHR分布32個(gè)存儲(chǔ)控制節(jié)點(diǎn),為CHR建立子區(qū)間到存儲(chǔ)節(jié)點(diǎn)的映射列表�����,形如圖7�,若實(shí)體E的URI標(biāo)識(shí)按照步驟②的方法計(jì)算哈希h e [O, 227-1],則實(shí)體E的身份憑證由節(jié)點(diǎn)Node1負(fù)責(zé)存儲(chǔ)或管理��;④若URI: //AAA對應(yīng)實(shí)體E的相關(guān)信息存儲(chǔ)在節(jié)點(diǎn)K上����,則其他以URI: //AAA開頭的實(shí)體信息也都存儲(chǔ)在節(jié)點(diǎn)K上(或通過節(jié)點(diǎn)K控制管理),例如URI: //AAA/BBB����、URI: //AAA/BBB/CCC.URI: //AAA/BBB/CCC/DDD對應(yīng)的實(shí)體信息都存儲(chǔ)在節(jié)點(diǎn)K上(或通過節(jié)點(diǎn)K控制);⑤節(jié)點(diǎn)K對應(yīng)hE為Ill開頭的所有實(shí)體信息,若經(jīng)過統(tǒng)計(jì)hE的結(jié)構(gòu)相對簡單���,即下層路徑分支少于某一閾值的結(jié)構(gòu)�,則節(jié)點(diǎn)K對應(yīng)的物理主機(jī)負(fù)責(zé)實(shí)現(xiàn)實(shí)體信息的本地存儲(chǔ)�;若經(jīng)過統(tǒng)計(jì)hE的結(jié)構(gòu)相對復(fù)雜,即下層路徑分支較多���,則節(jié)點(diǎn)K對應(yīng)的物理主機(jī)可以也采用一致性哈希環(huán)對下一級路徑不同的實(shí)體信息進(jìn)行分布式定位存儲(chǔ)�����。⑥出于信息冗余考慮���,若實(shí)體E的信息定位在節(jié)點(diǎn)Nodei,則相關(guān)信息可以在節(jié)點(diǎn)Nodei+1和Nodei+2上進(jìn)行備份存儲(chǔ),保證每個(gè)實(shí)體信息在CHR有至少2個(gè)備份�����。五�、基于多元實(shí)體標(biāo)識(shí)關(guān)聯(lián)映射的審計(jì)方法在具體的業(yè)務(wù)過程中,實(shí)體可能會(huì)涉及多種類型的標(biāo)識(shí)信息(即實(shí)體注冊得到的身份憑證)����,例如針對用移動(dòng)設(shè)備連接企業(yè)資源的公司用戶�����,其自身具備組織機(jī)構(gòu)的身份標(biāo)識(shí)����,其使用的設(shè)備具有MEI標(biāo)識(shí)���,其訪問的公司資源具備虛擬資產(chǎn)標(biāo)識(shí)�,通過多元實(shí)體映射關(guān)系可以建立標(biāo)識(shí)間的關(guān)聯(lián)���,從而實(shí)現(xiàn)基于多元實(shí)體標(biāo)識(shí)的綜合審計(jì)����,期間涉及URI-IdP����、RP和審計(jì)方(Auditor)。具體流程如下①審計(jì)方(Auditor)無條件的訪問由URI-IdP創(chuàng)建與維護(hù)的基于URI的多元實(shí)體身份標(biāo)識(shí)映射表����,該映射表由四個(gè)屬性字段組成��,分別為多兀實(shí)體標(biāo)識(shí)URI��、256位登陸隨機(jī)通用唯一識(shí)別碼UUID256�����、實(shí)體訪問時(shí)間戳Timestamp和實(shí)體URI標(biāo)識(shí)256位哈希摘要SHA256,保證URI和SHA256的一致性以及URI�����、UUID256的唯一性���,形如圖8���。并取得該映射表中一條記錄的URI和UUID256屬性值;②審計(jì)方(Auditor)無條件的訪問由RP創(chuàng)建與維護(hù)的訪問請求映射表,該映射表包括五個(gè)屬性字段�����,分別為訪問憑證Access Token����、訪問資源標(biāo)識(shí)Resource ID��、訪問類型標(biāo)識(shí)AccessID��、當(dāng)前訪問時(shí)間CurrentTime和訪問結(jié)果Result,保證Access Token的唯一性���,形如圖9 ;其中Assess Token是指實(shí)體在步驟三生成的實(shí)體臨時(shí)訪問憑證,ResourceID是指實(shí)體訪問的資源標(biāo)識(shí)���,Assess ID是指實(shí)體對訪問資源的處理方式(主要包括Update��、Delete���、Read、Write)�����、CurrentTime是指實(shí)體提出訪問請求的當(dāng)前時(shí)間�、Result是指實(shí)體訪問請求的處理結(jié)果。審計(jì)方(Auditor)用URI-IdP的公鑰驗(yàn)證每條記錄AccessToken 有效性,并從中取得這條記錄的WZD256(C^er) SHA-256256(I/i J) || timestamp �,除去時(shí)間戳timestamp形成C/i/iD256(M^) SHA-256256(LW/)與①取得UUID256進(jìn)行異或運(yùn)算UUID256(User)Φ SHA-256256(URI) ΘUUID256(User)獲得 SHA_2 5 6256 (URI)摘要,通過基于 URI的多元實(shí)體身份標(biāo)識(shí)映射表中URI和SHA256的一致性���,確定訪問實(shí)體URI在訪問請求映射表對應(yīng)的記錄���。③將②中確定的URI訪問記錄保存在審計(jì)方創(chuàng)建與維護(hù)的審計(jì)記錄映射表,審計(jì)方依據(jù)要審查的多元實(shí)體訪問情況的記錄����,需要獲知多元實(shí)體URI標(biāo)識(shí)����、訪問的資源、對訪問資源的處理����、多元實(shí)體訪問的當(dāng)前時(shí)間及訪問的處理結(jié)果�����,創(chuàng)建與維護(hù)審計(jì)記錄映射 表�����。該映射表由五個(gè)屬性字段構(gòu)成��,分別是URI����、Resource ID�����、Access ID�����、CurrentTime和Result,形如圖 10�����。④重復(fù)②③操作,直到被審計(jì)實(shí)體URI所有記錄檢索完畢�����。
權(quán)利要求
1.一種多元實(shí)體與多元實(shí)體身份依賴方之間的安全訪問方法��,其步驟為 1)采用統(tǒng)一標(biāo)識(shí)結(jié)構(gòu)URI對多元實(shí)體進(jìn)行編碼�;其中�����,標(biāo)識(shí)結(jié)構(gòu)URI包括管理域標(biāo)識(shí)Domain ID����、類型標(biāo)識(shí) Class ID����、實(shí)體標(biāo)識(shí) Entity ID; 2)將步驟I)統(tǒng)一描述后的多元實(shí)體向URI標(biāo)識(shí)服務(wù)提供者URI-IdP進(jìn)行注冊�����,得到實(shí)體的身份憑證并存儲(chǔ)�; 3)實(shí)體登錄身份依賴方RP時(shí),RP將其定向到URI-IdP對該實(shí)體進(jìn)行驗(yàn)證�����; 4)URI-IdP驗(yàn)證該實(shí)體輸入的身份憑證���,如果驗(yàn)證未通過,則拒絕該實(shí)體訪問RP;如果驗(yàn)證通過��,則URI-IdP生成該實(shí)體本次登錄隨機(jī)的128bit位UUID標(biāo)識(shí)UUID128(User)�����; 5)URI-IdP對隨機(jī)標(biāo)識(shí)UUID128 (User)進(jìn)行反轉(zhuǎn)生成128bit位的反轉(zhuǎn)UUID標(biāo)識(shí)UUID128 (User)反�,并將 UUID128 (User)反和 UUID128 (User)拼接組成本次登錄的 256bit 位 UUID標(biāo)識(shí) UUID256 (User) =UUID128 (User)反 II UUID128 (User)��,再利用 SHA-256 算法生成用戶 URI 標(biāo)識(shí)的 256bit 位哈希摘要 SHA-256256 (URI)����; 6)URI-IdP將UUID256 (User)和SHA_2 5 6256 (URI)進(jìn)行異或運(yùn)算生成該實(shí)體的一臨時(shí)身份憑證�����,同時(shí)生成時(shí)間戳timestamp,并用URI-IdP私鑰對臨時(shí)身份憑證和時(shí)間戳進(jìn)行簽名�����; 7)URI-IdP將該實(shí)體定向到RP�����,并將該簽名作為實(shí)體臨時(shí)訪問憑證發(fā)送到該RP ����; 8)RP用URI-IdP的公鑰驗(yàn)證該簽名有效性并提取timestamp驗(yàn)證該實(shí)體臨時(shí)訪問憑證是否過期,如果過期�,則拒絕該實(shí)體的訪問,否則接受訪問����。
2.如權(quán)利要求I所述的方法�,其特征在于所述表示結(jié)構(gòu)URI為URI://DomainID/ClassID/Entnity ID����。
3.如權(quán)利要求I所述的方法,其特征在于多元實(shí)體包括用戶實(shí)體���、終端設(shè)備實(shí)體�、虛擬對象實(shí)體和物化實(shí)體�。
4.如權(quán)利要求3所述的方法,其特征在于所述實(shí)體為用戶實(shí)體時(shí)�����,所述實(shí)體注冊流程為 41)URI-IdP導(dǎo)入為用戶實(shí)體E頒發(fā)的證書CA或CA信任鏈�����,生成信任庫Trust-Store��; 42)對注冊實(shí)體E���,URI-IdP確定其DomainID和Class ID,即在URI-IdP端確定統(tǒng)一的 Domain ID 和 Class ID ��; 43)實(shí)體E的公鑰證書為Certpub,私鑰為KeypH;實(shí)體E的注冊端生成隨機(jī)數(shù)nonce�����,用私鑰Key#對nonce簽名���,簽名和實(shí)體E的公鑰證書Certpub傳遞至URI-IdP �����; 44)URI-IdP用Certpub驗(yàn)證簽名���,并將nonce值加I后用公鑰Certpub加密返回給注冊端; 45)注冊端對返回信息解密,并驗(yàn)證nonce的值,若驗(yàn)證通過,則確定其EntityID ; 46)注冊端將實(shí)體E提供的屬性信息發(fā)送給URI-IdP�,URI-IdP為所提供的屬性類型定級; 47)URI-IdP將實(shí)體E的URI標(biāo)識(shí)和公鑰證書Certpub以及屬性集綁定�,生成實(shí)體的身份憑證。
5.如權(quán)利要求3所述的方法��,其特征在于所述實(shí)體為終端設(shè)備實(shí)體時(shí)����,所述實(shí)體注冊流程為 51)注冊端通過安裝在終端設(shè)備實(shí)體E的可信軟件代理agent獲取終端設(shè)備實(shí)體E的IMEI標(biāo)識(shí)符以及系統(tǒng)信息; 52)注冊端將上述信息傳遞至URI-IdP���; 53)URI-IdP根據(jù)終端設(shè)備實(shí)體E的信息確定其DomainID和Class ID,由agent確定其 Entity ID �����; 54)URI-IdP將終端設(shè)備實(shí)體E的URI標(biāo)識(shí)和MEI標(biāo)識(shí)符以及終端設(shè)備實(shí)體E提供的屬性集綁定�����,生成實(shí)體E的身份憑證�����。
6.如權(quán)利要求3所述的方法��,其特征在于所述實(shí)體為虛擬對象實(shí)體時(shí)��,所述實(shí)體注冊流程為 61)URI -1 dP導(dǎo)入為虛擬對象實(shí)體E頒發(fā)的證書CA或CA信任鏈����,生成信任庫Trust-Store ; 62)注冊端通過虛擬對象實(shí)體E的可信軟件代理agent獲取虛擬對象實(shí)體E的相關(guān)信息��,創(chuàng)建與維護(hù)一張?zhí)摂M對象實(shí)體映射表��,登記注冊的虛擬對象實(shí)體���;該虛擬對象實(shí)體映射表的屬性字段包括Domain ID��、OID���、Hash和Alias ; 63)agent取出虛擬對象實(shí)體映射表中注冊的虛擬對象實(shí)體的登記記錄及其相關(guān)信息遞至 URI-IdP ����; 64)URI-IdP利用所提取的相關(guān)信息驗(yàn)證虛擬對象實(shí)體E的可信任性,驗(yàn)證通過后�,URI-IdP依據(jù)虛擬對象實(shí)體映射表記錄,確定其Domain ID和Class ID, Domain ID取映射表Domain ID屬性值,Class ID取映射表Alias屬性值����; 65)URI-IdP將虛擬對象實(shí)體E的URI標(biāo)識(shí)及虛擬對象實(shí)體E相關(guān)信息綁定,生成實(shí)體E的身份憑證����。
7.如權(quán)利要求3所述的方法,其特征在于所述實(shí)體為物化實(shí)體時(shí)�,所述實(shí)體注冊流程為 71 )URI-IdP導(dǎo)入為物化實(shí)體E頒發(fā)的證書CA或CA信任鏈,生成信任庫Trust-Store �; 72)注冊端通過物化實(shí)體E的RFID代理agent獲取物化實(shí)體E中存儲(chǔ)的被識(shí)別實(shí)體的相關(guān)信息,并創(chuàng)建與維護(hù)一張物化實(shí)體映射表,登記注冊的物化實(shí)體���;該物化實(shí)體映射表的屬性字段包括實(shí)體代碼Entity ID> Domain ID�����、廠商識(shí)別代碼����、Alias和對象分類代碼����; 73)agent取出物化實(shí)體映射表中注冊的物化實(shí)體E的登記記錄及物化實(shí)體E供應(yīng)商PK 遞至 URI-IdP ; 74)URI-IdP使用供應(yīng)商PK驗(yàn)證物化實(shí)體E的可信任性����,驗(yàn)證通過后,URI-IdP依據(jù)物化實(shí)體映射表記錄�����,確定其Domain ID���、Class ID和Entity ID �;Domain ID取映射表DomainID屬性值,Class ID取映射表Alias屬性值���,Entity ID取映射表是實(shí)體代碼屬性值�; 75)URI-IdP將物化實(shí)體E的URI標(biāo)識(shí)和供應(yīng)商PK以及Domain ID��、廠商識(shí)別代碼����、Alias和對象分類代碼綁定�����,生成實(shí)體E的身份憑證����。
8.如權(quán)利要求Γ7任一所述的方法,其特征在于利用一致性哈希環(huán)建立針對實(shí)體注冊得到的身份憑證進(jìn)行分布式存儲(chǔ)與索引���,其方法為 81)預(yù)設(shè)一致性哈希環(huán)CHR的數(shù)值區(qū)間���,分布式存儲(chǔ)節(jié)點(diǎn)K的標(biāo)識(shí)表示為Identif icationK,基于哈希算法 Hashltl 計(jì)算 HashM(Identif icationK),確定節(jié)點(diǎn) K 在 CHR 中的位置; 82)設(shè)實(shí)體E 的 URI 表示為 URI://AAA/BBB/CCC/DDD�,計(jì)算 Ii1=Iiashni(AAA),h2=hashm(AAA/BBB), h3=hashm(AAA/BBB/CCC), h4=hashm (AAA/BBB/CCC/DDD),hE=h」|h2| |h3| |h4 ;其中,管理域標(biāo)識(shí)DomainID取值為AAA��、類型標(biāo)識(shí)Class ID取值為BBB��、實(shí)體標(biāo)識(shí)Entity ID取值為CCC/DDD �����; 83)將數(shù)值區(qū)間劃分為N個(gè)子區(qū)間�����,每一子區(qū)間對應(yīng)一個(gè)存儲(chǔ)節(jié)點(diǎn)���,為CHR建立子區(qū)間到存儲(chǔ)節(jié)點(diǎn)的映射列表��;若實(shí)體E的URI標(biāo)識(shí)按照步驟82)的方法計(jì)算實(shí)體E的身份憑證對應(yīng)的存儲(chǔ)節(jié)點(diǎn)��; 84)若URI://AAA對應(yīng)實(shí)體E的身份憑證存儲(chǔ)在節(jié)點(diǎn)K上�,則其他以URI: //AAA開頭的實(shí)體信息也都存儲(chǔ)在節(jié)點(diǎn)K上���; 85)統(tǒng)計(jì)hE·的結(jié)構(gòu)中�,如果其下層路徑分支少于設(shè)定閾值����,則節(jié)點(diǎn)K對應(yīng)的物理主機(jī)負(fù)責(zé)實(shí)現(xiàn)實(shí)體信息的本地存儲(chǔ)�;否則節(jié)點(diǎn)K對應(yīng)的物理主機(jī)采用一致性哈希環(huán)對下一級路徑不同的實(shí)體信息進(jìn)行分布式定位存儲(chǔ)���。
9.如權(quán)利要求8所述的方法����,其特征在于若實(shí)體E的信息定位在節(jié)點(diǎn)Nodei,則實(shí)體E的相關(guān)信息在節(jié)點(diǎn)Nodei +1和Nodei+2上進(jìn)行備份存儲(chǔ)�,保證每個(gè)實(shí)體信息在CHR有至少2個(gè)備份����;所述數(shù)值區(qū)間為(Γ2ν ;將數(shù)據(jù)區(qū)間等分為N個(gè)區(qū)間,N為大于I的整數(shù)���?����!?br>
10.如權(quán)利要求Γ7任一所述的方法�,其特征在于對多元實(shí)體的身份憑證進(jìn)行審計(jì)��,其方法為 91)審計(jì)方訪問由URI-IdP創(chuàng)建與維護(hù)的基于URI的多元實(shí)體身份標(biāo)識(shí)映射表��,并取得該映射表中一條記錄的URI和UUID256屬性值;該多元實(shí)體身份標(biāo)識(shí)映射表包括四個(gè)屬性字段��,分別為多元實(shí)體標(biāo)識(shí)URI���、256位登陸隨機(jī)通用唯一識(shí)別碼UUID256���、實(shí)體訪問時(shí)間戳Timestamp和實(shí)體URI標(biāo)識(shí)256位哈希摘要SHA256 ; 92)審計(jì)方訪問由RP創(chuàng)建與維護(hù)的訪問請求映射表�,該訪問請求映射表包括五個(gè)屬性字段,分別為訪問憑證Access Token�����、訪問資源標(biāo)識(shí)Resource ID���、訪問類型標(biāo)識(shí)AccessID�、當(dāng)前訪問時(shí)間CurrentTime和訪問結(jié)果Result ;審計(jì)方用URI-IdP的公鑰驗(yàn)證每條記錄Access Token有效性�����,并從中取得這條記錄的簽名��,除去時(shí)間戳timestamp形■JUID2ib{User) mA-2562JURl),將其與 UUID 標(biāo)識(shí) UUID256 (User)進(jìn)行異或運(yùn)算���,獲得SHA-2 5 6256 (URI)摘要�����,然后通過多元實(shí)體身份標(biāo)識(shí)映射表中URI和SHA256的一致性�����,確定訪問實(shí)體URI在訪問請求映射表對應(yīng)的URI訪問記錄��; 93)將92)中確定的URI訪問記錄保存在審計(jì)方創(chuàng)建與維護(hù)的審計(jì)記錄映射表����,審計(jì)方依據(jù)要審查的多元實(shí)體訪問情況的記錄�,獲取多元實(shí)體URI標(biāo)識(shí)、訪問的資源���、對訪問資源的處理��、多元實(shí)體訪問的當(dāng)前時(shí)間及訪問的處理結(jié)果���,倉Il建與維護(hù)審計(jì)記錄映射表;該審計(jì)記錄映射表包括五個(gè)屬性字段URI�、Resource ID> Access ID����、CurrentTime 和 Result ��; 94)重復(fù)92)�����、93)操作����,直到被審計(jì)實(shí)體URI所有記錄檢索完畢。
全文摘要
本發(fā)明公開了一種多元實(shí)體與多元實(shí)體身份依賴方RP之間的安全訪問方法����。本方法為1)采用統(tǒng)一標(biāo)識(shí)結(jié)構(gòu)URI對多元實(shí)體進(jìn)行編碼;2)將統(tǒng)一描述后的多元實(shí)體向URI標(biāo)識(shí)服務(wù)提供者URI-IdP進(jìn)行注冊�,得到實(shí)體的身份憑證;3)實(shí)體登錄身份依賴方RP時(shí)��,RP將其定向到URI-IdP��;4)URI-IdP驗(yàn)證該實(shí)體輸入的身份憑證��,并構(gòu)建該實(shí)體本次登錄的臨時(shí)身份憑證及生成時(shí)間戳��,用私鑰對其簽名;5)URI-IdP將該實(shí)體定向到RP���,并將該簽名發(fā)送到該RP�;6)RP用URI-IdP的公鑰驗(yàn)證該簽名有效性并提取時(shí)間戳驗(yàn)證該實(shí)體臨時(shí)訪問憑證是否過期�,如果過期,則拒絕該實(shí)體的訪問�。本發(fā)明實(shí)現(xiàn)多元實(shí)體身份標(biāo)識(shí)的安全。
文檔編號(hào)H04L9/32GK102891856SQ201210397718
公開日2013年1月23日 申請日期2012年10月18日 優(yōu)先權(quán)日2012年10月18日
發(fā)明者王雅哲, 林東岱, 王瑜 申請人:中國科學(xué)院信息工程研究所