一种分布式可信组织身份访问控制系统及方法

本发明涉及信息安全技术领域，具体是一种分布式可信组织身份访问控制系统及方法。

多组织共同协作的业务场景中需要各参与方身份可信，从而使得业务过程的真实有效、结果不可抵赖。其可信身份体现在参与业务的主体个人公民身份可信、个人和组织的关系可信、个人所代表的组织身份可信；

传统应用系统的用户及权限管理，通常使用用户名、密码验证用户身份，然后根据用户的角或组确定用户在组织中的身份，并以此为依据进行授权及访问控制；但是存在着下述缺陷：1、重复认证、多地认证的问题：多头建设的身份体系在浪费资源的同时，也存在诸多数据共享和使用上的障碍，不同企业主体间的数据信息分别存储，无法综合利用；2、身份数据隐私与安全问题：用户身份信息散落在各个企业级的身份认证者手中，用户对自身信息的使用不够审慎，或者企业对用户身份进行信息验证都会引发身份信息的暴露，甚至对用户隐私信息造成严重侵犯；其次，用户身份信息在各家企业的服务器上存储，不同的企业对数据安全的重视程度和措施强度不同，使得用户的数据泄漏是一个木桶效应的问题，任何一处被攻破，用户的隐私即被泄露；而且传统管理通过角或组进行授权及访问控制，易被攻击与破解，导致非法用户越权访问；为此，我们提出一种分布式可信组织身份访问控制系统及方法。

为了解决上述方案存在的问题，本发明提供了一种分布式可信组织身份访问控制系统及方法，解决了在不泄漏隐私的情况下，多组织共同协作的业务场景中组织身份的验证问题。

本发明的目的可以通过以下技术方案实现：

一种分布式可信组织身份访问控制系统，包括组织申请模块、可信组织身份服务器以及身份验证模块；

所述组织申请模块用于用户申请组织身份；当用户申请加入组织时，由组织的管理员为用户分配组织身份并基于CP-ABE密码学算法生成属性私钥；用户接收到公私钥后更新自己的数字身份标识，并将更新后的数字身份标识存储至可信组织身份服务器；

当用户以组织身份访问第三方应用时，所述身份验证模块用于第三方应用验证用户是否拥有对应组织身份；验证成功后，第三方应用根据用户的组织身份授权用户访问。

进一步地，所述组织申请模块的具体工作步骤如下：

S1：用户通过组织申请模块上传加入请求信息至组织管理员；

S2：组织管理员为对应用户分配组织身份，即属性集；所述属性集为用户拥有的一个或多个属性集合；

S3：组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK；

S4：组织管理员将公私钥返回给用户，其中公私钥包含公开密钥PK和用户属性私钥SK。

进一步地，其中，组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK，具体包括：

调用初始化算法：完成初始化过程，生成一对公开密钥PK与主密MK；

调用密钥生成算法：传入主密钥MK和属性集，为用户生成属性私钥SK。

进一步地，所述身份验证模块的具体验证步骤为：

组织公开自己的数据身份标识，第三方应用为该组织设置访问策略；

用户以组织身份访问第三方应用时，对第三方应用公开自己的数字身份标识；第三方应用根据用户的数字身份标识到可信组织身份服务器获取该用户的公钥；其中用户的公钥为公开密钥PK；

第三方应用使用公钥及访问策略加密随机生成的字符串，将加密后的密文发送给用户；

用户使用属性私钥SK，基于CP-ABE密码学算法，将收到的密文解密成明文后返回给第三方应用；第三方应用比较收到的明文与原字符串，如果相同，则验证成功。

进一步地，其中CP-ABE密码学算法中的解密算法为：当用户属性私钥SK中包含的属性集满足密文包含的访问结构时，传入公开密钥PK、密文和用户属性私钥SK，将密文解密为明文；其中访问结构表现为：数据的访问策略，支持比较运算以及逻辑运算。

进一步地，若用户的属性私钥SK中包含的属性集不满足密文包含的访问结构，则无法解密，直接验证失败。

进一步地，一种分布式可信组织身份访问控制方法，包括：

步骤一：当用户申请加入组织时，由组织的管理员为用户分配组织身份并生成属性私钥；

步骤二：组织管理员将公私钥返回给用户，用户接收到公私钥后更新自己的数字身份标识，并将其存储至可信组织身份服务器；

步骤三：当用户以组织身份访问第三方应用时，第三方应用验证用户是否拥有对应组织身份；验证成功后，第三方应用即可根据用户的组织身份授权用户访问。

进一步地，用户加入组织的具体过程如下：

用户申请加入组织；

组织管理员为用户分配组织身份，即属性集；

组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK。

进一步地，第三方应用验证用户组织身份的具体过程如下：

组织公开自己的数据身份标识，第三方应用为该组织设置访问策略；

用户公开自己的数字身份标识，第三方应用根据用户的数字身份标识到可信组织身份服务器获取该用户的公钥；

第三方应用使用公钥及访问策略加密随机生成的字符串，将加密后的密文发送给用户；

用户使用属性私钥SK，基于CP-ABE密码学算法，将收到的密文解密成明文后返回给第三方应用；第三方应用比较收到的明文与原字符串，如果相同，则验证成功。

与现有技术相比，本发明的有益效果是：

1、本发明在分布式数字身份中嵌入CP-ABE实现组织身份；将公开密钥PK作为组织的一个公钥，主密钥MK作为对应的组织私钥，用户属性私钥SK是根据主密钥MK及属性集生成的，完全由组织自己控制；属性私钥SK中已经包含了用户拥有的属性，即代表了用户的组织身份；

2、本发明中用户私钥SK用来验证个人的组织身份（即与主体之间的关系），且用户私钥SK是根据组织私钥MK及组织身份生成的，完全由组织自己控制，整个验证过程不需要用户提供任何隐私数据，即所谓“零知识”证明，第三方应用系统根据访问结构进行授权及访问控制，从而实现针对多用户的授权，极大提高了信息安全性。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种分布式可信组织身份访问控制系统的系统框图。

图2为本发明一种分布式可信组织身份访问控制方法的流程示意图。

图3为本发明中用户加入组织的流程图。

图4为本发明中组织身份验证的流程图。

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1至图4所示，一种分布式可信组织身份访问控制系统，包括组织申请模块、可信组织身份服务器以及身份验证模块。

所述组织申请模块用于用户申请组织身份，当用户申请加入组织时，由组织的管理员为用户分配组织身份并生成私钥；具体分配过程如下：

S1：用户通过组织申请模块上传加入请求信息至组织管理员；

S2：响应于接收到组织申请模块上传的加入请求信息，组织管理员为对应用户分配组织身份，即属性集；所述属性集为用户拥有的一个或多个属性集合；例如：用户1：{电气，教授}；用户2：{计算机，教授}；用户3：{电气，博士}；用户4：{计算机，博士}；

S3：响应于为对应用户分配组织身份，组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK。

其中CP-ABE密码学算法包括以下主要算法：

1、初始化算法：完成初始化过程，生成一对公开密钥PK与主密钥MK；

2、密钥生成算法：传入主密钥MK和属性集，为用户生成属性私钥SK；

3、加密算法：传入公开密钥PK、明文数据以及访问结构，将明文数据加密成为密文，生成的密文只能被满足访问结构的用户解密；

4、解密算法：在用户属性私钥SK中包含的属性集满足密文包含的访问结构时，传入公开密钥PK、密文和用户属性私钥SK，将密文解密为明文。

其中访问结构表现为：数据的访问策略，支持比较运算以及逻辑运算；例如：计算机and博士or教授。

S4：组织管理员将公私钥返回给用户，其中公私钥包含公开密钥PK和用户属性私钥SK。

S5：用户接收到公私钥后更新自己的数字身份标识。

所述组织申请模块用于将用户更新后的数字身份标识存储至可信组织身份服务器；

当用户以组织身份访问第三方应用时，所述身份验证模块用于第三方应用验证用户是否拥有对应组织身份，具体步骤如下：

V1：组织公开自己的数据身份标识，第三方应用为该组织设置访问策略，所述访问策略即访问结构；例如：计算机and博士or教授；

V2：用户以组织身份访问第三方应用时，对第三方应用公开自己的数字身份标识；第三方应用根据用户的数字身份标识到可信组织身份服务器获取该用户的公钥；其中用户的公钥为公开密钥PK；

V3：第三方应用使用公钥及访问策略加密随机生成的字符串，将加密后的密文发送给用户；

V4：用户使用属性私钥SK，基于CP-ABE密码学算法，将收到的密文解密成明文后返回给第三方应用。

其中用户属性私钥SK用来验证个人的组织身份即主体之间的关系，且用户属性私钥SK是根据主密钥MK及组织身份生成的，完全由组织自己控制；主密钥MK与公开密钥PK为一对公私钥；

若用户属性私钥SK不满足访问结构，则无法解密，直接验证失败。

本发明在分布式数字身份标识中嵌入CP-ABE密码学算法，将公开密钥PK作为组织的一个公钥，主密钥MK作为对应的组织私钥，将属性私钥SK作为用户的一个私钥；属性私钥SK中已经包含了用户拥有的属性（代表用户的组织身份），基于“零知识”证明实现可验证的组织身份。

V5：第三方应用比较收到的明文与原字符串，如果相同，则验证成功；验证成功后，第三方应用即可根据用户的组织身份授权用户访问。

整个验证过程不需要用户提供任何隐私数据，即所谓“零知识”证明，第三方应用系统根据访问结构进行授权及访问控制，从而实现针对多用户的授权；用户按照上述过程验证成功即完成授权，而且验证及授权过程中不会泄漏个人及组织的任何隐私，极大提高了信息安全性；

其中“零知识”证明：它指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的。“零知识”证明实质上是一种涉及两方或更多方的协议，即两方或更多方完成一项任务所需采取的一系列步骤。证明者向验证者证明并使其相信自己知道或拥有某一消息，但证明过程不能向验证者泄漏任何关于被证明消息的信息。

一种分布式可信组织身份访问控制方法，包括如下步骤：

步骤一：当用户申请加入组织时，由组织的管理员为用户分配组织身份并生成私钥；具体为：

用户申请加入组织；

组织管理员为用户分配组织身份，即属性集；

组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK；具体包括：

调用初始化算法，完成初始化过程，生成一对公开密钥PK与主密钥MK；

调用密钥生成算法：传入主密钥MK和属性集，为用户生成属性私钥SK。

步骤二：组织管理员将公私钥返回给用户，用户接收到公私钥后更新自己的数字身份标识，并将更新后的数字身份标识存储至可信组织身份服务器。

步骤三：当用户以组织身份访问第三方应用时，第三方应用验证用户是否拥有对应组织身份；验证成功后，第三方应用即可根据用户的组织身份授权用户访问；具体验证方法为：

组织公开自己的数据身份标识，第三方应用为该组织设置访问策略；

用户以某组织身份使用第三方应用，对第三方应用公开自己的数字身份标识；

第三方应用根据用户的数字身份标识到可信组织身份服务器获取该用户的公钥；

第三方应用使用公钥及访问策略加密随机生成的字符串，将加密后的密文发送给用户；

用户使用属性私钥SK，基于CP-ABE密码学算法，将收到的密文解密成明文后返回给第三方应用。

第三方应用比较收到的明文与原字符串，如果相同，则验证成功。

本发明的工作原理：

一种分布式可信组织身份访问控制系统及方法，在工作时，所述组织申请模块用于用户申请组织身份，当用户申请加入组织时，由组织的管理员为用户分配组织身份并生成私钥；首先组织管理员为对应用户分配组织身份，即属性集，组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK；当用户以组织身份访问第三方应用时，所述身份验证模块用于第三方应用验证用户是否拥有对应组织身份，首先组织公开自己的数据身份标识，第三方应用为该组织设置访问策略；然后第三方应用根据用户的数字身份标识到可信组织身份服务器获取该用户的公钥；再使用公钥及访问策略加密随机生成的字符串，将加密后的密文发送给用户；用户使用属性私钥SK，基于CP-ABE密码学算法，将收到的密文解密成明文后返回给第三方应用；若收到的明文与原字符串相同，则验证成功；第三方应用即可根据用户的组织身份授权用户访问；整个验证过程不需要用户提供任何隐私数据，即所谓“零知识”证明，同时第三方应用系统根据访问结构进行授权及访问控制，从而实现针对多用户的授权；而且验证及授权过程中不会泄漏个人及组织的任何隐私，极大提高了信息安全性。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。