The invention provides a key information protection method and system based on OpenID, which involves identity authentication technology, cryptography technology and data desensitization technology. User key information is vertically divided into four categories: identifier, quasi-identifier, real-name identity information and sensitive information. Functional key is used for protection and decentralized storage, and trajectory information is encrypted, so that non-user key information can be encrypted. The key data of the same type can be desensitized by anti-association cutting, encryption and noise adding, which can effectively protect users'privacy and greatly reduce the risk of users' information database leakage.
【技术实现步骤摘要】
一种基于OpenID的关键信息保护方法及系统
本专利技术涉及身份鉴别技术、密码技术、数据脱敏技术,特别涉及一种将分割、加密、k匿名等多种技术进行灵活运用的用户个人信息保护系统及降低OpenID服务隐私风险的方法。
技术介绍
OpenID是一种构建在广泛应用的OAuth协议基础之上的去中心化的身份鉴别协议框架,OpenID中提出的身份鉴别框架使得网络中的应用(被称为依赖方)可以基于某身份服务提供方(通常是一个授权服务器)提供的鉴别服务,由身份服务提供方对用户执行鉴别流程,以验证终端用户的身份,并从身份服务提供方获取关于终端用户身份的信息,从而实现对终端用户的鉴别。由于OpenID技术固有的极大灵活性和方便性,使得OpenID服务提供方成为了用户身份信息的聚集地和集散箱,也给用户的隐私带来了极大的安全威胁。随着大数据技术的发展,对用户的信息进行收集和处理分析已经成为企业盈利的重要手段,也给用户隐私、企业安全、国家安全带来了挑战。基于大量的用户身份信息和用户网络行为信息,可以利用大数据推理分析出更多的隐私信息或趋势和规律等信息,这些信息犹如宝贵的财富可以用于企业决策、精准营销,也可成为犯罪分子的利器。一方面,用户的身份信息大多敏感,一旦泄露或者被非法获取,将给用户的隐私、甚至生命财产安全带来极大威胁。另一方面,只有流动起来的数据才能更大发挥其价值,信息的共享已经成为趋势。因此个人信息或者身份信息的保护和使用之间的平衡,已经成为业界研究的热点。继我国的《网络安全法》颁发之后,欧盟的GDPR也正是实施,各项与个人信息、身份信息相关的国际国家标准也相继出台,对个人信息 ...
【技术保护点】
1.一种基于openID的关键信息保护方法,包括以下步骤:将用户关键信息进行垂直分割,分成标识符、准标识符、实名身份信息和敏感信息四类;由用户主密钥派生生成保护上述四类信息的不同功能密钥;利用针对标识符的功能秘钥,对标识符的主标识符、用户登录账户和成对匿名标识符分别进行加密处理,并进行分散存储,混淆三者之间的对应关系;利用针对准标识符的功能秘钥,计算准标识符库记录的主键,针对每一条记录,利用概率分布得到新记录,对新记录的属性取值进行泛化或加噪处理;利用针对实名身份信息的功能密钥,生成多个子密钥,用以加密实名身份信息的实名属性;利用针对敏感信息的功能秘钥进行加密,计算敏感属性记录的主键;上述四类信息经过处理后,进行分散存储;对用户访问依赖方的行为以及用户信息流向依赖方的轨迹进行追踪,通过主键索引将轨迹信息与用户身份进行关联,同时对轨迹信息进行加密处理。
【技术特征摘要】
1.一种基于openID的关键信息保护方法,包括以下步骤:将用户关键信息进行垂直分割,分成标识符、准标识符、实名身份信息和敏感信息四类;由用户主密钥派生生成保护上述四类信息的不同功能密钥;利用针对标识符的功能秘钥,对标识符的主标识符、用户登录账户和成对匿名标识符分别进行加密处理,并进行分散存储,混淆三者之间的对应关系;利用针对准标识符的功能秘钥,计算准标识符库记录的主键,针对每一条记录,利用概率分布得到新记录,对新记录的属性取值进行泛化或加噪处理;利用针对实名身份信息的功能密钥,生成多个子密钥,用以加密实名身份信息的实名属性;利用针对敏感信息的功能秘钥进行加密,计算敏感属性记录的主键;上述四类信息经过处理后,进行分散存储;对用户访问依赖方的行为以及用户信息流向依赖方的轨迹进行追踪,通过主键索引将轨迹信息与用户身份进行关联,同时对轨迹信息进行加密处理。2.如权利要求1所述的方法,其特征在于,功能密钥派生方法为:以用户主标识符mID和用户唯一匹配的随机数r为种子,基于带密钥的杂凑算法Ha进行运算,计算用户主密钥mk=Ha(sk,mID,r),其中sk为系统密钥;结合功能标签集合{l1,l2,…,ln},生成密钥派生树,初始设置密钥派生树的根节点密钥为mk;获取待生成功能密钥fki的父节点密钥p-fki和对应的功能标签li,li为功能标签;计算用户的功能密钥fki=Ha(p-fki,li),得到不同的功能密钥{fk1,fk2,…,fkn}。3.如权利要求1所述的方法,其特征在于,对主标识符、用户登录账户和成对匿名标识符分别进行以下加密处理:主标识符库由<mID,用户名,r>记录组成,r为随机数,以fki为父节点密钥,生成两个子密钥ki1,ki2;对用户登录账户库中的用户记录<用户名,口令>,采用k匿名的方法,为每一个用户名生成k-1个假口令,每条用户账户记录扩展到k条,混淆真实口令记录的序号,真实序号=Hb(ki1,r)modk,其中Hb为带密钥的杂凑算法;对成对匿名标识符记录<mID,RP,rID>进行处理,其中RP为依赖方标识符,rID为用户在依赖方RP中的标识符,生成新的成对匿名标识符记录<Hb(ki2,mID,RP),rID>。4.如权利要求1所述的方法...
【专利技术属性】
技术研发人员:彭佳,李敏,高能,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。