[发明专利]一种支持业务安全标记的身份管理方法及系统

权利要求书

1.一种支持业务安全标记的身份管理方法，其特征在于，包括以下步骤：

用户申请注册身份时，配置所述用户的业务安全标记；

将所述业务安全标记与所述用户的身份信息绑定；

所述用户完成身份认证后，向返回给相关系统的认证信息或认证票据中添加所述用户的业务安全标记，所述相关系统根据认证信息或认证票据查询获得所述用户的业务安全标记；

所述业务安全标记为一个包含多种业务安全属性的多元组，表示为M＝C，G，F，其中M为业务安全标记，C为安全级别，G为多个业务安全属性的集合；F为操作控制属性的集合。

2.根据权利要求1所述的方法，其特征在于，所述相关系统基于获得的所述用户的业务安全标记对其相关对象进行访问控制和管控。

3.根据权利要求1所述的方法，其特征在于，用户申请注册身份时，除配置所述业务安全标记以外，还录入该用户的其它信息，所述其它信息包括：身份信息、证书有效期。

4.根据权利要求1所述的方法，其特征在于，资源的业务安全标记记为M(r)＝C_r，G_r，F_r，系统对象即主体的业务安全标记记为M(s)＝C_s，G_s，M(s)与M(r)之间的关系有两种：支配关系与不可比；如果C_s≥C_r且记为M(s)≥M(r)，则标记M(s)支配标记M(r)，表示主体可支配客体；如果M(s)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体；如果则主体即系统对象应根据该标记包含的具体操作控制属性限制对资源进行相应操作。

5.根据权利要求1所述的方法，其特征在于，采用下列方式中的任意一种将所述业务安全标记与所述用户的身份信息绑定：方式1，将业务安全标记嵌入用户身份证书中；方式2，将业务安全标记嵌入与身份证书关联的属性证书中；方式3，将业务安全标记写入身份管理系统中该用户的身份信息库；方式4，将业务安全标记写入用户的usbKey硬件或其他介质中。

6.根据权利要求5所述的方法，其特征在于，针对方式1，用户进行身份认证时，认证成功后通过读取用户的身份证书获得该用户的业务安全标记M(u)；针对方式2，用户进行身份认证时，认证成功后通过读取用户的属性证书获得该用户的业务安全标记M(u)；针对方式3，用户进行身份认证时，认证成功后通过访问身份管理系统获得该用户的业务安全标记M(u)；针对方式4，用户进行身份认证时，认证成功后通过读取usbKey硬件或其他介质，获得该用户的业务安全标记M(u)。

7.一种支持业务安全标记的身份管理系统，其特征在于，包括：

用户标记管理模块，负责实现用户业务安全标记的管理，用户在申请注册身份时，通过该模块配置用户的业务安全标记，或对用户的业务安全标记进行变更，并将用户业务安全标记与用户的身份信息绑定；

标记关联模块，负责在用户完成身份认证后，向返回给相关系统的认证信息或认证票据中添加用户业务安全标记，并提供标记关联查询服务支持相关系统根据认证信息或认证票据查询获得用户的业务安全标记；

所述业务安全标记为一个包含多种业务安全属性的多元组，表示为M＝C，G，F，其中M为业务安全标记，C为安全级别，G为多个业务安全属性的集合；F为操作控制属性的集合。

8.根据权利要求7所述的系统，其特征在于，资源的业务安全标记记为M(r)＝C_r，G_r，F_r，系统对象即主体的业务安全标记记为M(s)＝C_s，G_s，M(s)与M(r)之间的关系有两种：支配关系与不可比；如果C_s≥C_r且记为M(s)≥M(r)，则标记M(s)支配标记M(r)，表示主体可支配客体；如果M(s)与M(r)之间不存在支配关系，则它们之间不可比，主体无权支配客体；如果则主体即系统对象应根据该标记包含的具体操作控制属性限制对资源进行相应操作。